2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩5頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、附錄A(資料性)軟件供應(yīng)鏈安全風(fēng)險(xiǎn)A.1 概述軟件供應(yīng)鏈?zhǔn)且粋€(gè)全球分布的、具有供應(yīng)商多樣性、產(chǎn)品服務(wù)復(fù)雜性、全流程覆蓋等諸多特點(diǎn)的復(fù)雜系統(tǒng),在軟件供應(yīng)鏈各個(gè)供應(yīng)活動(dòng)中均可能引入安全隱患,導(dǎo)致軟件漏洞、軟件后門、惡意篡改、假冒偽劣、知識產(chǎn)權(quán)風(fēng)險(xiǎn)、供應(yīng)中斷、信息泄露等安全風(fēng)險(xiǎn)。A.2 軟件漏洞利用隨著軟件的復(fù)雜度不斷提高,軟件產(chǎn)品內(nèi)部開發(fā)過程中產(chǎn)生的以及從上游繼承的軟件漏洞無法避免,這些軟件漏洞可能被攻擊者利用,對軟件以及計(jì)算機(jī)系統(tǒng)造成嚴(yán)重

2、的安全風(fēng)險(xiǎn)。A.3 軟件后門植入主要包括以下內(nèi)容:a) 供方預(yù)留供方出于軟件維護(hù)的目的,在軟件產(chǎn)品中預(yù)置后門,如果預(yù)置后門被泄露,攻擊者會通過預(yù)置后門獲得軟件或操作系統(tǒng)的訪問權(quán)限;b) 攻擊者惡意植入攻擊者入侵軟件開發(fā)環(huán)境,污染軟件供應(yīng)鏈中的組件,劫持軟件交付升級鏈路,攻擊軟件運(yùn)行環(huán)境植入惡意后門,獲得軟件或操作系統(tǒng)的訪問權(quán)限。A.4 惡意篡改主要包括以下內(nèi)容:a) 惡意代碼植入在需方不知情的情況下,在軟件產(chǎn)品或供應(yīng)鏈中的組件中植入具有

3、惡意邏輯的可執(zhí)行文件、代碼模塊或代碼片斷。b) 開發(fā)工具植入使用被惡意篡改的開發(fā)工具,導(dǎo)致開發(fā)的軟件或組件存在惡意代碼。c) 供應(yīng)信息篡改在供方不知情的情況下,篡改軟件供應(yīng)鏈上傳遞的供應(yīng)信息,如銷售信息、商品信息、軟件構(gòu)成信息等。A.5 假冒偽劣供方提供未經(jīng)產(chǎn)品認(rèn)證、檢測的軟件或組件,或未按照聲明和承諾提供合格的產(chǎn)品。A.6 知識產(chǎn)權(quán)非法使用未經(jīng)授權(quán)而生產(chǎn)、銷售、發(fā)布軟件或組件,導(dǎo)致軟件產(chǎn)品的全部或部分被泄漏到授權(quán)表 A.1 風(fēng)險(xiǎn)要求對

4、應(yīng)關(guān)系序號 安全風(fēng)險(xiǎn) 安全要求條款 控制措施 安全保護(hù)目標(biāo)1A.2 軟件漏洞利用5.1.1 a)b)c)d)5.1.2 c)f)g)h)5.1.3 a)d)e)5.1.3 e)5.1.4 f)g)5.2.1 c)f)g)h)5.2.2 a)5.2.3 b)g)5.2.4 h)i)k)n)進(jìn)行代碼、組件、軟件漏洞檢測分析、漏洞修復(fù),對于殘余漏洞風(fēng)險(xiǎn)提供虛擬補(bǔ)丁、熱補(bǔ)丁更新提升供應(yīng)活動(dòng)引入的技術(shù)安全風(fēng)險(xiǎn)管理能力2A.3 軟件后門植入5.1.

5、1 a)b)c)d)5.1.2 a)c)f)g)h)5.1.3 a)d)e)5.1.2 c)5.2.1 c)f)g)5.2.3 a)c)d)5.2.4 i)j)k)n)開展入侵檢測、操作審計(jì)等,并針對維護(hù)升級通道進(jìn)行認(rèn)證、防止控制和操作審計(jì)提升供應(yīng)活動(dòng)引入的技術(shù)安全風(fēng)險(xiǎn)管理能力3 A.4 惡意篡改5.1.1 a)b)c)d)5.1.2 a)c)f)g)h)5.1.3 a)d)e)5.2.1f)g)5.2.2 b)c)5.2.3 a)e)

6、g)5.2.4 g)i)j)k)l)軟件完整性的校驗(yàn)、防篡改預(yù)警等保護(hù)機(jī)制提升供應(yīng)活動(dòng)引入的技術(shù)安全風(fēng)險(xiǎn)管理能力4 A.5 假冒偽劣5.1.1 a)b)c)d)5.1.2 a)c)f)g)h)5.1.3 a)d)e)5.2.1 f)5.2.2b)c)d)g)5.2.3 g)5.2.4 f)i)j)l)n)明確相關(guān)測評要求,并在軟件交付時(shí)進(jìn)行相應(yīng)的安全檢查和審核提升供應(yīng)活動(dòng)引入的技術(shù)安全風(fēng)險(xiǎn)管理能力5A.6 知識產(chǎn)權(quán)非法使用5.1.1 a

7、)b)c)d)5.1.2 c)e)f)g)h)5.1.3 a)d)e)5.1.5a)b)c)d)5.2.1 e)5.2.3 d)h)i)5.2.4 c)d)i)j)k)明確相關(guān)知識產(chǎn)權(quán)要求,并在交付時(shí)進(jìn)行相應(yīng)的安全檢查和審核提升軟件供應(yīng)鏈數(shù)據(jù)安全風(fēng)險(xiǎn)管理能力6A.7 供應(yīng)中斷5.1.1 a)b)c)d)5.1.2 b)f)g)h)5.1.3 a)d)e)5.1.4 a)b)c)d)5.2.1 b)5.1.4 a)-h)5.2.1 b)h

8、)i)5.2.2 d)f)5.2.3 a)b)c)5.2.4 a)e)i)m)n)建立供應(yīng)商安全預(yù)警、冗余等機(jī)制提升軟件產(chǎn)品或服務(wù)中斷供應(yīng)等風(fēng)險(xiǎn)管理能力7 A.8 信息泄露5.1.1 a)b)c)d)5.1.2 a)c)f)g)h)5.1.3 a)d)e)5.1.4e)f)g)5.2.1 d)5.2.3 d)f)e)h)i)5.2.4 d)j)k)l)n)5.2.5 c)d)f)在數(shù)據(jù)采集、傳輸、存儲及運(yùn)維中進(jìn)行認(rèn)證、加密、水印、脫敏等

9、數(shù)據(jù)安全管控。提升軟件供應(yīng)鏈數(shù)據(jù)安全風(fēng)險(xiǎn)管理能力8A.9 開源許可違規(guī)使用5.1.1 a)b)c)d)5.1.3 a)d)e)5.2.2a)- h) 5.2.3 h)i)對開源組件使用許可協(xié)議情況進(jìn)行檢測并提供相應(yīng)的評估說明提升供應(yīng)活動(dòng)引入的技術(shù)安全風(fēng)險(xiǎn)管理能力9A.10 供應(yīng)鏈劫持5.1.1 a)b)c)d)5.1.3 a)d)e)5.2.1 g)h)5.2.3 a)c)d)e)f)5.2.4 a)c)f)h)i)m)對供應(yīng)鏈上游環(huán)境

10、安全進(jìn)行相應(yīng)的評估和加固;軟件運(yùn)維升級通道進(jìn)行身份認(rèn)證、傳輸加密及訪問控制提升軟件產(chǎn)品或服務(wù)中斷供應(yīng)等風(fēng)險(xiǎn)管理能力10 A.11 其他風(fēng)險(xiǎn)5.1.1 a)5.1.2 a)d)f)g)h)5.1.3 b)c)5.2.1 a)d)f)5.2.2 e)5.2.3 a)5.2.4 k)m)n)5.2.5 a)b)e)加強(qiáng)機(jī)構(gòu)職責(zé)、制度建設(shè)防范多種風(fēng)險(xiǎn)提升軟件產(chǎn)品或服務(wù)中斷供應(yīng)等風(fēng)險(xiǎn)管理能力、供應(yīng)活動(dòng)引入的技術(shù)安全風(fēng)險(xiǎn)管理能力、數(shù)據(jù)安全風(fēng)險(xiǎn)管理能

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論