文章总结： 本文分享了默安科技协助某大型财务公司应用软件供应链安全国标的实践案例。针对金融核心系统复杂及人员短缺痛点，通过将GB/T43698—2024标准融入全流程，建立组织协同与技术管控机制。实施措施涵盖风险考核、SBOM管理及安全中台建设，实现了关键业务安全全覆盖，填补行业治理空白，为关基行业提供了标准化参考路径。 综合评分： 84 文章分类： 供应链安全,安全建设,解决方案,技术标准,软文广告

案例分享：某大型财务公司核心系统场景下的软件供应链安全国标应用实践

值得信赖的 值得信赖的

默安科技

2026年3月16日 17:52 浙江

本期客户概述

该客户是国内规模最大、业务资质最全的集团财务公司之一，承担的司库结算系统作为所在领域全球资金出入的“主动脉”，涉及大量境内外资金进出和资金安全。

针对财务公司行业核心系统普遍存在的金融专业化业务场景众多、上下游业务链条关联交互复杂及应用安全人员短缺等痛点，默安科技软件供应链安全专家团队帮助该客户将GB/T 43698—2024《网络安全技术 软件供应链安全要求》等标准应用于财务核心系统的设计、研发、测试、上线、运营环节的全流程安全管控，以“组织协同+技术管控+考核绑定”实现核心系统软件供应链安全管理闭环，为资金密集型央企及关基行业提供可复用的标准化路径。该应用实践成功入选2025年全国网络安全标准化技术委员会“网络安全国家标准应用实践案例库（供应链安全方向）”。**

标准核心内容应用情况

//

将软件供应链安全风险管理纳入核心业务风险考核指标

参考GB/T43698—2024《网络安全技术 软件供应链安全要求》的相关章节条目，依托财务公司业务部门、金融科技部门、风险合规部门、软件开发团队构建核心系统应用安全风险管控纵深防御体系，业务需求部门作为第一道防线，嵌入场景化安全需求分析，通过对银行账户、资金结算等多类典型场景威胁进行自动化关联生成安全需求和设计文档，开展源头治理；金融科技部门制定安全质量验证基线及准入清单，针对核心系统数百个功能点开展需求验证闭环；风险合规部门针对监管要求和上线风险清单开展安全专项审计与残余风险监测，形成了落地可执行、可检测、可验证的开发安全体系安全防线。

//

开展软件供应链安全图谱常态化管理

参考GB/T43698—2024《网络安全技术 软件供应链安全要求》软件供应链安全图谱的相关章节条目，建立软件供应链安全图谱常态化管理机制。对核心系统组件信息、开源代码片段信息、运行环境依赖、外部网络服务等进行SBOM梳理，常态化维护数千条组件信息，通过对接该客户主机安全管理和容器云安全管理平台相关数据获取多类核心系统基础设施软件、工作负载等环境依赖信息，构建了覆盖核心系统组件、代码及依赖环境的软件物料清单。基于SBOM清单开展核心系统软件供应链安全风险分析，为核心系统国产化组件平稳过渡提供了多维度依据。

//

打造“安全中台+工具链”技术底座

参考GB/T 43698—2024《网络安全技术 软件供应链安全要求》相关章节条目，从软件采购到软件废止6大环节全面融入到核心系统软件供应链安全管理的框架里，并建立了技术底座。建设集成威胁建模的工具、源代码安全审计工具、软件成分扫描工具、测试环境进行的灰盒的插桩扫描，部署运行时进行资产漏洞扫描巡检，并且基于各个工具的扫描能力和成果，建立开发安全管理平台，包括流程的管控、应用安全测试的编排、漏洞的闭环管理，实现安全卡点覆盖率95%以上。

三步走 打通标准实践模式

//

立制度

建立保障体系，结合标准要求，通过整合现有体系，将软件供应链安全管理要求融入现有的信息安全管理体系和业务风险管理框架中，明确相关方责任， 在各项制度中清晰定义公司业务部门、金融科技部门、风险合规部门、供应商安全职责，在完成相关制度正式审批发布后，对所有相关人员进行制度的培训和宣贯。

//

治存量

开展专项治理，针对软件供应链安全风险管理框架的重点内容开展专项治理活动，在供应链透明度管理方面，通过自动化工具采集和整理软件组件信息，形成详细的SBOM并定期更新；在组件存量漏洞治理方面，充分评估兼容性和替换成本，结合末端防护进行风险管控。

//

控增量

基于软件供应链安全管理制度、开发安全体系管理规范及软件供应链安全风险考核指标，确保采购流程、开发流程和测试流程按照规范进行执行，通过SCA、SAST、IAST等技术工具实现了对软件供应过程的自动化安全检测和管理。

案例实施效果卓著

在默安科技团队的协助下，借助GB/T 43698—2024《网络安全技术 软件供应链安全要求》等标准，该财务公司行业核心系统场景下的实践效果主要包括：

//

统一供应链安全管理规范，填补行业体系化治理空白

依据国标提供的基础框架和细粒度要求，开展体系化的供应链安全管理，建立完善的供应商管控、软件供应链知识图谱建设维护、常态化检测\监测\评估\应急机制机制，填补了财务公司行业软件供应链安全体系化治理的空白。

//

正向研发安全体系落地，保障核心系统实战化安全防护

基于DevSecOps成熟度模型构建“威胁建模-自动化检测-风险量化”闭环体系，实现了关键业务场景威胁建模100%覆盖、重点业务功能安全测试100%覆盖、核心业务系统软件供应链图谱100%覆盖，通过开发安全检测驱动业务代码瘦身，减少近百万条废弃代码，提升代码运行稳定性和效率。

//

树立财务公司行业标杆，引领国家标准行业落地推广

以“安全左移、全链融合、智能驱动”为核心理念，默安科技协助该客户构建覆盖需求设计、开发测试、部署运维的全生命周期安全治理框架，引领财务公司软件供应链安全治理在行业的标准化实践路径，标准实践成果可以广泛的适用于其他同类金融单位，共同保障国家资金安全。

结语

在2025国家网络安全宣传周上，全国网络安全标准化技术委员会正式公布“网络安全国家标准应用实践案例库（供应链安全方向）”入选名单。默安科技凭借在软件供应链安全领域深厚的技术积累、前瞻性的标准研究以及卓越的行业实践，成功入选三项案例，成为本次评选案例入选数量最多的安全厂商。这一国家级殊荣，不仅是对默安科技创新实力与落地成效的权威认证，更是其深度参与国家标准制定、引领行业实践的有力证明。

作为国内较早布局软件供应链安全的企业，默安科技参与多项软件供应链安全相关国家标准的编制工作，始终坚持“产品+服务+标准”三位一体的发展路径，目前在开发安全、供应链安全领域形成了完整的产品矩阵与解决方案，并陆续成功应用于水利、运营商、能源、政务、制造等多个关键行业的头部客户地，为客户提供全方位的软件供应链安全能力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：默安科技 值得信赖的 值得信赖的《案例分享：某大型财务公司核心系统场景下的软件供应链安全国标应用实践》