近年來，發展數字經濟成為我國構建新發展格局、推動建設現代化經濟體系的重要方向，供應鏈創新和應用已上升到國家安全戰略，關系到我國經濟安全與高質量發展。隨著供應鏈網絡的擴展和深化，相關攻擊事件也在逐年增加，供應鏈網絡安全問題成為各大企業關注的焦點。

供應鏈是一個技術與物理空間覆蓋面都非常廣泛的概念，可以概括性地理解為一系列相互關聯的企業、組織和個人，共同完成產品或服務的生產、銷售和交付等過程。面對龐大而復雜的供應鏈，保證全鏈路安全是一場“持久戰”，既需要投入大量人力物力，還需要反復打磨。但對于即將開展攻防演練或進入重保的企業來說，如何在較短周期、有限投入的條件下，最大程度地確保特殊時期的供應鏈安全，成為企業面臨的棘手問題。

針對上述情況，天融信通過需求分析、項目實踐等方式，面向企業總結出一套“以查促建”的供應鏈安全防護思路，從8個關鍵點應對實戰化場景中的燃眉之急。

關鍵點1 網絡拓撲圖和資產清單

可靠的防護一定是在摸清家底的條件下實現的。為了全面掌握主體企業所采購的資產及技術服務的狀況，在發生安全事件時能夠第一時間精確定位，進行妥善處置，完整真實的企業拓撲圖、資產與服務供給清單必不可少。其中應包括硬件設備、軟件、應用程序、操作系統、數據庫、網絡設備等所有與供應鏈相關的資產信息。同時，企業應建立包括資產位置、IP地址、MAC地址、品牌型號、版本信息等在內的資產臺賬。

關鍵點2 緊盯供應商網絡安全管理

企業應對所有供應商進行安全評估，確保其符合供應鏈的安全要求，并在此基礎上分類管理。但在時間和資源有限的情況下，可要求供應商進行自查、自評估，并提供安全資質和加固證明，由上游企業定期審查供應商安全管理情況，對不符合要求的供應商進行限制或解除合作。

同時，企業還應根據供應商提供的軟硬件、服務的種類與重要程度對其進行分級分類管理，有針對性地部署戰時防護策略。例如，為企業提供連續性服務的供應商存在短時間內難以徹底根除的安全風險，但為保證主體企業正常運營無法暫停合作，則應提前開展入侵路徑評估與失陷應急演練，封堵或重點防護高危路徑，預演供應商失陷場景應急響應流程，做好全方位的戰前準備。

關鍵點3 關注軟件開源風險

主體企業應關注軟件開源代碼及依賴風險，同時應具備對各類軟件進行代碼審計、風險識別、成因分析的能力。如時間和條件上暫時不允許逐一排查隱患，則應根據業務及軟件供應商分級，優先消除與重要業務相關軟件的開源風險，并提前完善應急預案，便于攻擊事件發生時實現快速、精準定位與處置。

關鍵點4 制定并加強網絡安全策略

主體企業與供應商之間應具備安全有效的網絡隔離，以確保供應商失陷后攻擊者無法快速直達主體企業內網進一步引發嚴重后果，從而爭取更充分的反應與處置時間。例如，與企業核心系統存在專線直連的供應商，不僅要全面評估其安全風險，督促整改，還應重點加強網絡邊界防護手段，包括網絡訪問控制、安全認證、數據加密、應用程序過濾等。同時應做好漏洞管理、網絡安全管理和日志審計工作，實現對異常行為的早發現、早上報、早處置。

關鍵點5 加強網絡安全培訓和教育

在安全防護體系中，人往往是最容易被突破的環節。企業主體單位應定期對全員進行安全培訓和教育，包括保密意識、口令管理、安全認證、應用程序安全、應急響應、社會工程學攻擊等方面的知識。并在戰前總結高危風險場景，開展專題式安全培訓與演練。確保所有員工了解網絡安全策略和安全事件上報流程，重要崗位員工熟練掌握安全事件的應急處置流程。同時，主體企業也應督促重要供應商在臨戰階段開展相關培訓。

關鍵點6 做好訪問權限控制

為進一步縮小供應鏈攻擊面，應對全鏈路用戶、設備和應用程序實施準入控制，并在特定時間段內限制非必要的訪問。確保所有用戶都有獨立的賬號，且在登錄系統時開啟二次強身份認證機制，如人臉識別、動態口令等，拒絕來自未經授權用戶和設備的訪問。

關鍵點7 扎實的數據備份和恢復機制

在實戰化場景中，企業必須杜絕一切僥幸心理，切實做好數據備份與恢復等準備工作。結合業務特點制定數據備份和恢復策略，確保數據的完整性和可用性。對重要數據進行加密、備份和存儲，并定期測試數據恢復的可行性。確保備份數據存儲在安全的位置，并防止數據泄露和丟失，以便安全事件發生后能夠第一時間恢復業務，最大程度降低攻擊造成的不良影響和經濟損失。

關鍵點8 周期性安全審計和風險評估

即使主體企業暫時無法深入推進全盤供應鏈安全建設，也應定期對各類供應商進行安全審計和風險評估，有效發現并解決潛在的安全風險和漏洞。在安全審計和風險評估期間，企業能夠以較為宏觀的角度逐步知曉當前防護體系下，供應鏈可能存在哪些攻擊路徑，哪些網絡邊界需要進一步防護和加固，及時制定預案，提前防控攻擊影響，確保供應鏈網絡的安全性和可靠性。

目前，天融信已建立北京、鄭州、上海、西安、成都、華南、華南運營商、安全集成八大業務中心，擁有1000+名專業安全服務人員。與此同時，基于覆蓋全國的90余個分支機構，致力于在安全攻防、安全工程領域的研究、實踐和應用，為客戶業務安全保駕護航。

“產業鏈供應鏈安全”在黨的二十大報告中首次提出，且多次被提及，不僅強調了要著力提升產業鏈供應鏈韌性和安全水平，還強調了要確保重要產業鏈供應鏈安全。天融信從“檢查、監管”角度出發，為客戶提供信息系統全生命周期中多元化、多層級的安全服務，有效提升企業在供應鏈安全方面整體防御能力，助力供應鏈廠家在網絡安全、數據安全領域內建設的快速發展。