供应链安全分析与国产化评估实战

📚 共计 30 章节
01
供应链安全概述
全球供应链安全形势 · 典型攻击模式(软件/硬件/服务) · 核心概念与定义
基础概念
02
供应链攻击案例分析
SolarWinds · Log4j · 恶意包投毒(npm/PyPI) · 硬件后门(Supermicro)
案例攻击
03
供应链安全风险管理框架
NIST SP 800-161 · ISO 28000 · EO 14028 · 中国《网络安全法》与关基条例
标准合规
04
软件物料清单(SBOM)
SPDX/CycloneDX · 生成工具(syft等) · 漏洞管理 · 签名与验证
SBOM工具
05
软件供应链安全实践
安全编码(OWASP Top10) · SAST · SCA · Sigstore/Cosign 签名
开发DevSecOps
06
硬件供应链安全
芯片设计风险 · RoT/TPM · JTAG/SWD安全 · PCB防篡改
硬件芯片
07
服务供应链安全
云服务商评估(CSPM) · SaaS审计 · 外包安全 · 第三方API评估
服务
08
供应链安全评估方法论
供应商尽职调查 · 安全评分卡 · 渗透测试 · 安全审计流程
评估方法论
09
国产化战略背景与政策解读
信创产业 · 党政替代要求 · 国产化率指标 · 科技自立自强
政策信创
10
国产CPU评估
飞腾 · 鲲鹏 · 龙芯(LoongArch) · 兆芯/海光(x86兼容)
CPU芯片
11
国产操作系统评估
麒麟/统信 · 内核安全增强 · 生态兼容性 · RTOS国产化
OS生态
12
国产数据库评估
达梦DM8 · 人大金仓 · OceanBase/TiDB · 迁移工具
数据库迁移
13
国产中间件评估
东方通/宝兰德 · RocketMQ vs Kafka · 国产ESB/API网关
中间件消息
14
国产办公套件与协同软件评估
WPS深度兼容 · 永中/中标普华 · 蓝凌/致远信创适配
办公协同
15
国产网络安全产品评估
防火墙/IDS(深信服等) · 密码机/VPN · EDR · 态势感知
安全产品
16
国产芯片设计工具(EDA)评估
华大九天 · 概伦电子 · 先进工艺节点适用性
EDA芯片
17
国产工业软件评估
中望/浩辰CAD · 国产CAE · PLM/MES在离散制造
工业CAD
18
国产化适配与迁移实战
Windows→国产OS(Wine/容器) · Oracle→达梦/金仓 · Tomcat→东方通
迁移适配
19
国产化性能测试与调优
SPEC/TPC-C基准 · JVM调优 · 存储/网络IO · 负载均衡
性能调优
20
供应链安全与国产化融合评估模型
联合评估矩阵 · 风险-成本-性能三维决策 · 国产化优先级排序
模型决策
21
开源软件供应链安全
许可证合规 · Bus Factor · 镜像站安全 · CVE/CNA响应
开源合规
22
供应链安全自动化工具链
CI/CD安全门禁 · IaC扫描(Checkov/tfsec) · 容器签名(Ratify/OPA)
自动化CI/CD
23
供应链安全事件应急响应
检测与溯源 · 隔离回滚 · 通报机制(CISA/CNVD) · 根因分析
应急响应
24
国产化供应链的韧性评估
单一供应商依赖 · 多源备选 · 物流产能风险 · 地缘政治影响
韧性风险
25
行业案例:金融行业
银行核心系统国产化 · 证券低延迟 · 支付网关供应链审计
金融案例
26
行业案例:能源与关键基础设施
电力调度国产化 · 石油化工工控安全 · 水利交通信创
能源关基
27
行业案例:政务与公共服务
电子政务云 · 公安国防自主可控 · 医疗HIS/PACS适配
政务医疗
28
供应链安全与国产化的未来趋势
AI生成代码风险 · 量子计算与PQC · RISC-V新机遇
趋势前沿
29
供应链安全合规审计与认证
等保2.0 · CCRC资质 · ISO 27001扩展 · SOC 2评估
合规审计
30
综合实战项目:企业级评估体系
制定安全策略 · 国产化路线图 · 供应商监控 · 评估报告
实战项目