一、電信供應鏈軟件安全測評的定義
電信供應鏈軟件安全測評是指針對電信行業網絡產品和服務供應鏈中軟件環節的安全風險,通過系統化、標準化的方法對軟件全生命周期的安全性進行檢測、評估和驗證的活動。其核心目標是識別軟件供應鏈中的潛在安全威脅,確保軟件產品從開發、交付到運維各環節的可信性、可控性和安全性。
在數字化轉型加速的背景下,電信行業作為關鍵信息基礎設施的重要組成部分,其軟件供應鏈涉及操作系統、數據庫、中間件、業務應用及開源組件等多元要素。任何一個環節的安全漏洞都可能引發連鎖反應,導致數據泄露、服務中斷甚至網絡攻擊。因此,軟件安全測評不僅是技術驗證手段,更是保障國家網絡安全的戰略性舉措。
二、政策要求與法規框架
我國對電信供應鏈軟件安全的管理已形成較為完善的政策法規體系,主要包含以下層面:
1. 國家法律層面
《網絡安全法》明確規定網絡產品和服務提供者不得設置惡意程序,并要求開展安全檢測;《數據安全法》和《個人信息保護法》進一步強化了數據處理活動的安全責任。2021年實施的《關鍵信息基礎設施安全保護條例》將電信行業納入關鍵信息基礎設施范疇,明確要求運營者采購網絡產品和服務時申報網絡安全審查。
2. 部門規章與規范性文件
2020年,國家網信辦等12部門聯合發布的《網絡安全審查辦法》要求電信行業運營者在采購網絡產品和服務時申報網絡安全審查,確保供應鏈安全。工信部同步建立供應鏈安全常態化監管機制,重點關注軟件下載平臺、云平臺、基礎通用軟件等環節,開展開源代碼安全檢測。
3. 最新政策動態
2024年11月1日,GB/T 43698-2024《網絡安全技術 軟件供應鏈安全要求》和GB/T 43848-2024《網絡安全技術 軟件產品開源代碼安全評價方法》兩項國家標準正式實施,為電信行業軟件供應鏈安全測評提供了權威依據。2025年,中國網絡安全審查認證和市場監管大數據中心(CCRC)正式啟動軟件供應鏈安全能力評估活動,推動測評工作制度化、規范化。
三、測評標準體系
電信供應鏈軟件安全測評遵循多層次、多維度的標準體系:
1. 核心國家標準
GB/T 43698-2024《網絡安全技術 軟件供應鏈安全要求》:確立軟件供應鏈安全目標,規定供需雙方的組織管理和供應活動管理安全要求,適用于指導風險管理、組織管理和供應活動管理,為安全檢測和評估提供依據。
GB/T 43848-2024《網絡安全技術 軟件產品開源代碼安全評價方法》:規定開源代碼成分安全評價要素和流程,適用于靜態安全評價,解決開源成分可見性不足、漏洞響應滯后等核心挑戰。
GB/T 36637-2018《信息安全技術 ICT供應鏈安全風險管理指南》:從全生命周期角度開展風險分析,實現供應鏈的完整性、保密性、可用性和可控性目標。
2. 行業標準與團體標準
中國信通院發布的《軟件供應鏈安全管理能力成熟度模型》《可信研發運營安全能力成熟度模型》等標準,從管理機制、供應鏈上游、生產鏈和下游四大維度明確安全指標。
電信終端產業協會制定的《網絡產品供應鏈安全要求》針對管理制度、組織機構、人員及供應鏈環節提出分級安全要求。
廣東騰創具有CNAS、CMA/CCRC、信息安全風險評估等資質證書,可提供電信供應鏈軟件安全測評服務檢測。內容包含:漏洞掃描(應用、系統、設備、數據庫等)、源代碼安全評估、滲透測試、信息安全風險評估、基線核查、信息安全應急演練、信息安全應急響應、系統上線安全評估、信息安全培訓、互聯網暴露面檢測、內網資產梳理機風險排查、信息安全巡檢、信息安全迎檢等。還能提供電力信息系統代碼檢測,安全檢測(滲透測試、漏洞測試)。
在線客服1
400-004-1069