6月27日，由余杭区委网信办、浙江省网络空间安全协会主办，软件供应链安全专委会协办的网安浙江行民营企业“软件供应链安全能力提升”专项培训在杭举办，默安科技技术总监韩继受邀出席并担任讲师，吸引了来自90余家行业重点企业的代表参与。

图 开班宣讲

在浙江，民营企业作为经济发展的重要支柱，其在网络安全中的角色至关重要。随着数字化转型的加速推进，民营企业在软件供应链安全方面面临日益复杂和多样化的挑战。保护供应链安全不仅关乎企业自身利益，也关系到整个行业和地区的安全稳定。此次培训旨在提升民营企业软件供应链安全保护意识，落实重点企业安全主体责任，提升企业的软件供应链安全保护水平。

韩继结合默安科技在软件供应链安全领域的多年实践经验，深入分析了当下软件供应链安全面临的挑战和风险、有效的风险管理策略与治理手段，分享了监管检查案例及其对企业的影响，引发与会人员的积极讨论和深刻思考。

韩继表示，在数字化高速发展的今天，供应链中存在的攻击面纷繁复杂，致使软件供应链日渐成为网络攻击重灾区，攻击事件频发，安全形势愈发严峻。软件供应链安全以软件供应链环节为主线，以风险管理为整体指导原则，指导供需双方开展组织和供应活动管理。而供应活动风险存在于软件供应链的各个环节中，需对供应中断和降级、技术、知识产权三类安全风险进行重点关注和防范。

通过对重点安全风险的关注，针对性开展软件供应链安全风险管理关键活动，韩继建议分三步进行。

第一，基于场景分类进行资产疏理。在软件供应链中，不同业务场景的重要程度不同，通常可分为一般业务场景、重要业务场景和核心业务场景。针对这些场景，需要进行相应的资产疏理工作。这包括对软件产品、物料清单、关键安全信息等内容的分类和整理，确保不同等级的业务场景在安全资产管理方面得到适当的关注和管理。

第二，建立软件供应链安全图谱。安全图谱是一个包含详细信息的框架，涵盖了软件产品的各种相关信息，如供应链来源、产品组成、关键安全特性等。根据不同的业务场景，安全图谱需要满足递增的安全要求，以确保对供应链中各环节的安全管控。

第三，进行软件供应安全检测与风险评估。根据应用系统的重要性评级，提前开展风险评估和安全检测工作。这包括对潜在的安全漏洞、供应商信誉、物料合规性等方面进行综合评估，及时识别和评估可能存在的安全风险。同时，制定相应的风险处置方案和应急响应计划，建立起有效的风险管理机制，以应对可能的安全威胁和事件发生。

最后，结合辖区企业的实际情况，韩继详细介绍了软件供应链安全监管检查实施方案、检查流程、检查形式、成果示例等，与实践相结合，更具指导意义。通过此次培训，参与企业不仅在理论上增强了软件供应链安全保护意识，也掌握了实际应用的安全技术和管理方法。该培训提升了民营企业在复杂网络环境中的竞争力，强化企业软件供应链安全风险治理责任，对于浙江地区的民营企业具有重要的意义和价值。未来，默安科技也将持续地为更多行业企业提供软件供应链安全相关培训和技术支撑，帮助他们建立起健全的安全防护体系，应对日益复杂的网络安全威胁，保障持续稳定发展。