中國移動智慧家庭運營中心“守望者·清源平臺”獲批加入智能審計工具行業(yè)共享計劃

2023年12月15日，由中國信通院主辦的“2023GOLF+IT新治理領(lǐng)導(dǎo)力論壇”在北京正式召開，論壇上正式啟動IT新治理智能審計工具能力驗證和行業(yè)共享計劃，中國移動智慧家庭運營中心（簡稱“智家中心”）聯(lián)合中國移動集團內(nèi)審部、信安中心推動“守望者·清源平臺”加入行業(yè)共享計劃暨首批高質(zhì)量智能審計工具。

同時，“守望者·清源平臺”憑借優(yōu)秀的軟件供應(yīng)鏈安全保障及智能審計治理能力，在一眾產(chǎn)品中脫穎而出，成功通過IT新治理領(lǐng)域?qū)徲嫻ぞ咴u估，軟件供應(yīng)鏈安全保障及智能審計治理能力獲權(quán)威認可。

隨著新一輪科技革命和產(chǎn)業(yè)變革深入發(fā)展，企業(yè)IT治理邊界不斷擴大，為應(yīng)對數(shù)字時代企業(yè)面臨的不確定性，提升風險治理水平，構(gòu)建現(xiàn)代化的IT數(shù)字化審計及治理工具已成為企業(yè)在數(shù)字經(jīng)濟行穩(wěn)致遠的重要抓手。

在此數(shù)字化、信息化、智能化為特征的科技變革浪潮中，智家中心依托中國移動集團內(nèi)審部戰(zhàn)略思想指導(dǎo)，聯(lián)合信安中心，研發(fā)打造“守望者·清源平臺”，提供軟件物料清單（SBOM）分析、安全漏洞和開源許可等檢測功能，有效的解決了軟件供應(yīng)鏈上下游信任問題，實現(xiàn)了漏洞等安全問題的快速定位，以“短平快”方式有效解決軟件供應(yīng)鏈安全監(jiān)測防御場景問題，解放人員生產(chǎn)力，并堅持以業(yè)務(wù)發(fā)展為主線，審計與治理兩輪驅(qū)動，“以審促改”確保軟件安全審計治理體系在合規(guī)、風險可控的基礎(chǔ)上有效支撐業(yè)務(wù)戰(zhàn)略發(fā)展，驅(qū)動業(yè)務(wù)價值提升。

多方協(xié)同，打造業(yè)審融合體系，筑牢審計治理根基

緊跟行業(yè)發(fā)展步伐，為加快從傳統(tǒng)的安全基礎(chǔ)支撐向賦能IT數(shù)智化審計治理轉(zhuǎn)型、向高質(zhì)量發(fā)展、高安全軟件供應(yīng)保障轉(zhuǎn)變，中國移動加強多方協(xié)同，以中國移動集團內(nèi)審部審計戰(zhàn)略規(guī)劃為指導(dǎo)，依托智家中心和信安中心研發(fā)優(yōu)勢，打造“守望者·清源平臺”平臺，提出以“管”、“審”、“治”結(jié)合策略，構(gòu)建起多方協(xié)同業(yè)審融合軟件供應(yīng)鏈審計合規(guī)安全治理體系，在研發(fā)全流程審計合規(guī)與安全治理緊密協(xié)同方面發(fā)力。

一方面，組織自頂向下，堅持多方協(xié)同，拉通企業(yè)內(nèi)部跨單位、跨部門協(xié)同，從集團至公司，圍繞以審促治這一核心合力對軟件供應(yīng)鏈進行全生命周期的安全管理，實現(xiàn)軟件供應(yīng)鏈審計合規(guī)安全治理體系有效落地，確保企業(yè)軟件質(zhì)量和安全性合規(guī)發(fā)展；另一方面，組織自底向上，針對各業(yè)務(wù)場景敏捷落地相關(guān)安全能力點，通過明晰供應(yīng)流程，聚焦供應(yīng)流程風險審計點，清晰設(shè)置各項安全保障質(zhì)量門卡點，以快速滿足業(yè)務(wù)場景的安全需求，降低軟件供應(yīng)過程對業(yè)務(wù)的安全威脅，有效避免管理和技術(shù)的“兩張皮”問題，求解“軟件供應(yīng)鏈全鏈路安全審計”+“業(yè)務(wù)融合發(fā)展”的創(chuàng)新體系，夯實企業(yè)安全合規(guī)審計治理基石。

多項創(chuàng)新，夯實安全防控能力，激活審計治理效能

軟件供應(yīng)鏈安全攻擊遍布行業(yè)生產(chǎn)的各個環(huán)節(jié)：采購引入、外包后門、開發(fā)工具污染、自主開發(fā)引入、升級更新劫持等，讓人防不勝防。為促進業(yè)務(wù)發(fā)展符合安全防御審計的需求，“守望者·清源平臺”秉承數(shù)字技術(shù)賦能理念，將軟件供應(yīng)鏈安全治理能力融入到安全研發(fā)過程，在軟件采購、需求設(shè)計、開發(fā)、測試、運維等階段，建立全生命周期看護能力，將安全風險“左移”的同時形成動態(tài)監(jiān)測的長效機制。經(jīng)與安全研發(fā)流程（DevSecOps/SDLC等）無縫融合，實現(xiàn)軟件供應(yīng)鏈治理流程化，輔助各監(jiān)管節(jié)點的實際落地及有效執(zhí)行。同時，平臺以軟件物料清單為基礎(chǔ)深化技術(shù)創(chuàng)新，創(chuàng)新軟件成分動態(tài)化監(jiān)測實踐、創(chuàng)新軟件成分識別與安全檢測分離技術(shù)，在打通軟件物料清單上下游完整性驗證的同時，實現(xiàn)對軟件成分漏洞、軟件許可動態(tài)化監(jiān)測和安全漏洞“一鍵式”排查能力，做到真正意義上的軟件臺賬清晰、排查高效和精準，構(gòu)建起端到端的供應(yīng)鏈軟件治理體系，實現(xiàn)產(chǎn)品供應(yīng)鏈軟件動態(tài)安全監(jiān)測，全面激活軟件供應(yīng)鏈安全場景審計治理效能，為企業(yè)安全持續(xù)合規(guī)“高速護航”。

“守望者·清源平臺”作為中國移動開展2023年軟件供應(yīng)鏈安全內(nèi)部審計的專用檢測工具，已對中國移動集團55家單位開展軟件供應(yīng)鏈安全審計，截至當前已完成1004個產(chǎn)品140萬個組件的合規(guī)檢測，累計審計及發(fā)現(xiàn)風險問題數(shù)量明顯增多，效果顯著。

未來，智家中心將堅持創(chuàng)新引領(lǐng)、科技驅(qū)動，進一步深耕軟件供應(yīng)鏈安全防御治理能力，以技術(shù)創(chuàng)新與管理創(chuàng)新雙提升完善自身能力，不斷提升網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)高質(zhì)量供給，推進軟件供應(yīng)鏈上下游共建協(xié)同體系，助力網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展！