近日,深圳市档案学会举办了“奋进新征程,兰台谱新篇”2023年国际档案日专题讲座。开源网安常务副总经理王颉博士受邀参加此次讲座,分享了《档案信息安全实务:时代与展望》,从软件供应链安全的维度为到场人员讲解了数字化时代下智慧档案的安全建设与管理方案。
本次座谈会瞄准信息技术发展前沿、探索智慧档案的发展路径。来自深圳市档案局馆、各区档案局馆、各专业档案馆、市直机关、企事业单位档案工作人员到场参加了此次讲座。
王颉博士表示,随着档案管理信息化建设逐步增强,现代档案工作高度依赖信息化技术和档案管理系统。他认为,在档案信息化建设的过程中,因软件供应链安全问题频发,层出不穷的档案窃取、泄露问题也随之而来,对档案信息安全造成了极大的威胁。
近年来,国家颁布的《中华人民共和国档案法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等均规定档案馆和机关、团体、企业事业单位以及其他组织应当加强档案信息化建设,并采取措施保障档案信息安全。
王颉博士提出,档案行业面临着软件供应链上游不可控、开源软件风险巨大、软件安全开发流程不完善、安全管控体系缺失等问题,应从以下几个方面着手解决。
-
使用开源治理工具与SBOM平台建设开源治理机制,建立起软件资产库与供应商软件资产管理流程。
-
根据《软件供应链安全管理要求》最佳实践建立供应商安全能力评估表,梳理和制定供应商能力管理要求的安全基线,减小供应商侧的安全威胁。
-
引入软件供应链安全管理平台,进行交互式软件安全测试、代码安全审计、开源软件合规治理、镜像安全检测及渗透测试等,在上线前发现安全问题、上线后检测安全问题。
-
通过构建S-SDLC软件开发管理流程、运维管理流程,建立和完善软件供应链安全治理 流程中发现安全问题的闭环处置流程,从开发→交付→使用的环节建立起软件供应链安全治理的流程,使安全问题能得到有效闭环处置。
通过本次学习,档案工作者对软件供应链安全重要性认知得到了加强,提升了现代档案工作信息安全风险应对能力,推动了现代档案工作安全高效开展。
开源网安依托多年来的技术与经验,已为大量的政企单位提供了软件供应链安全建设服务、安全意识培训等服务,为数字经济的发展提供了坚实的安全保障。未来,我们将继续帮助各企事业单位提高网络与信息安全能力,切实筑牢数字化建设的安全防线。