《金融行业软件供应链安全白皮书2023》重磅发布—加强安全保障 降低安全风险

7月20日，2023中关村论坛系列活动——第七届金融科技与金融安全大会在中关村展示中心成功举办。由中关村互联网金融研究院副院长张政东于在主论坛压轴发布《金融行业软件供应链安全白皮书2023》（以下简称白皮书）。

白皮书由中关村互联网金融研究院、中关村金融科技产业发展联盟联合北京数字世界咨询有限公司及北京比瓴科技有限公司组建的“金融行业软件供应链安全课题工作组”共同编制完成，旨在提升金融行业软件供应链的安全保障能力，降低行业安全风险。

白皮书中指出，在这个软件定义一切的世界，软件供应链安全是一切业务发展的基石。随着近几年开源技术快速应用，在云计算、移动互联网、大数据、AI技术等领域逐渐形成技术主流。开源技术正在渗透软件领域的方方面面，金融机构的发展已经越来越难以规避开源的引入，软件供应链安全管理成为了庞大、复杂且系统的工程。软件供应链攻击事件时有发生，对金融机构造成了严重的损失。在面临监管要求严、迭代速度快、安全人员少及风险处置重的压力下，金融行业对软件供应链安全的关注日益提升，

白皮书重点内容如下：

01

金融行业软件供应链安全概况

金融行业软件供应链安全具有复杂程度高、业务连续性要求高、数据价值高、行业监管严格等特点。可将金融行业软件供应链安全的目标定义为：识别和防范供应关系和供应活动中面临的安全风险，提升金融行业软件供应链安全保障能力，降低中断供应风险、技术和数据安全风险、知识产权风险到可接受的程度。

近年来由于国际形势错综复杂，软件供应链安全事件频发，金融行业软件供应链安全已经成为网络安全热点问题。金融行业软件供应链主要面临中断供应、技术与数据安全、知识产权等三大类风险。

由此可见，金融机构需要采取一系列措施来应对不断增长的安全威胁，建立完善的供应链管理制度，以应对软件供应链安全的挑战，确保软件供应链的安全可信，降低风险，金融行业的软件供应链安全体系建设势在必行。

02

金融行业软件供应链安全总体框架

工作组参考典型软件供应链安全框架、安全开发框架，结合访谈调研情况提出金融行业软件供应链安全治理参考框架，包括软件供应链通用风险控制以及软件生命周期风险控制两个部分。

工作组希望可以通过金融行业软件供应链安全治理参考框架助力金融行业软件供应链安全治理工作，对金融机构软件供应链安全实践活动起到指导性作用。

03

金融行业软件供应链安全实践

工作组结合调研内容和金融行业软件供应链安全治理参考框架，总结出在落地软件供应链安全体系时，主要包括制定软件供应链安全制度与规范、选择和评估供应商、软件与组件的准入、在软件生命周期实施安全性、持续监控和警报这五项重点工作。

04

金融行业软件供应链安全趋势和展望

调研过程中，多家金融机构从技术及管理的角度提出了对金融行业软件供应链安全未来发展趋势的判断和展望。随后课题组将各方观点汇总并分类后发现，金融机构主要希望通过提升供应链透明度、强化供应链风险管理、推动软件供应链安全标准和指南、建立金融行业软件供应链安全监测平台以及引入自动化和智能化安全解决方案这五个方面优化金融行业软件供应链安全生态。

未来，白皮书将以年度为单位持续更新，诚邀更多金融行业专业机构及科技资深专家学者加入白皮书编写工作，进一步分析金融行业软件供应链安全方面的现状和挑战，共同为软件供应链安全生态的发展贡献行业力量。

-2023“光大杯”中关村番钛客金融科技国际创新大赛-