AI+电信运营商(软件)供应链安全解决方案

当前，全球地缘政治博弈持续加剧，网络空间对抗已从单点突破演变为针对软件供应链的“体系化渗透”。攻击者将目标锁定于开源社区、第三方库、设备供应商等上游环节，利用“信任传递”机制中的漏洞实施精准打击，意图实现“一次投毒、全网瘫痪”的战略效果。欧美等国家地区已将软件物料清单与供应链可信验证上升为国家立法要求，要求关键基础设施运营者建立全链路可追溯、可审计的软件供应链安全管理体系，标志着供应链安全已从技术选择跃升为国家战略防线与数字主权基石。

作为国家关键信息基础设施的核心运营者，运营商承担着基础通信网络与重要信息系统的安全保障责任，其软件供应链安全直接关乎国家安全命脉与经济社会运行根基。随着5G/6G网络规模部署、算网融合深入推进，核心网、业务支撑系统全面云化，网络功能虚拟化引入海量开源组件，自研、集采、多方集成相互交织，形成高度复杂的软件供应链生态。CT与IT深度融合使攻击面急剧扩大，风险贯穿设备制造、第三方开发、开源引入及自研全链路，任何环节的隐患一旦被利用，都可能导致核心网中断、用户数据泄露，甚至引发跨区域通信瘫痪，对国家主权、安全与发展利益构成系统性、战略性威胁。

外部威胁升级的同时，国内合规监管正经历从“底线防守”向“主动治理”的根本性跃升。2026年1月1日正式施行的修订版《网络安全法》首次将监管触角延伸至供应链源头，对关键信息基础设施运营者的违法罚款上限提高至一千万元，彰显国家依法筑牢供应链安全防线的坚定决心。《关键信息基础设施安全保护条例》《网络安全审查办法》《网络安全技术 软件供应链安全要求》《电信网和互联网安全等级保护指南》及《电信行业关键信息基础设施安全保护 安全管理总体要求》等法规标准密集出台，形成了覆盖软件供应链全生命周期的技术规范体系。另外，近年来两部委对电信运营商网络与信息安全责任考核要点中，“供应链安全管理”被明确列为扣分项，要求建立供应商清单、采购安全检测产品、开展软件成分分析与漏洞排查。软件供应链安全已从企业自主选择变为必须达标的刚性红线。

国际攻击升级、行业架构复杂、法规监管收紧三重力量叠加，使软件供应链成为运营商行业最脆弱的暴露面。面对系统性、生态级的风险挑战，碎片化工具已难以应对，亟需构建覆盖全生命周期的可信软件供应链安全体系，从源头建立“可管、可控、可信”的内生安全能力，实现从被动防御向主动免疫的根本转变。

基于上述背景，结合运营商行业特有的业务场景与运营模式，当前对软件供应链安全建设的需求主要聚焦在以下三个层面：

（一）政策合规要求：落实监管红线，构建可审计、可溯源的合规管理体系

运营商必须严格对标《网络安全法》《关键信息基础设施安全保护条例》等法律合规与两部委网络与信息安全考核中关于软件采购、开源引入、供应商审查的强制性义务，落实运营商网络安全考核要求，将供应链安全管理全面纳入合规框架。建立覆盖全链路的软件安全检测管理与供应商安全考核机制，实现从集采到自研、从源码到镜像的全流程可追溯，以可审计的合规体系守住监管红线，确保在各级安全检查中“无扣分、无通报、无整改”。

（二）行业变革诉求：保障网络云化安全，在源头建立可信开发能力

5G/6G规模化部署与算网深度融合使核心网全面云化，海量开源组件与多源供应交织导致攻击面急剧扩大。攻击者不再正面突破边界，而是转向开源社区与第三方服务商实施源头投毒。亟需将安全左移至开发前端，建立可信的软件生产环境与交付管道，在编码、构建、打包各环节嵌入自动化检测与成分分析，以最小安全摩擦支撑网络云化敏捷迭代，从根源阻断供应链渗透风险。

（三）基础设施保障：夯实通信网络安全底座，构建主动防御与协同联动能力

运营商承载基础通信网络与重要信息系统，其软件供应链安全直接关系国家安全战略全局。软件供应链攻击具有潜伏持久、扩散隐蔽、修复成本高等特征，应将供应链安全提升至基础设施保障高度，整合威胁情报与资产信息，建立集测绘、评估、监测、预警、响应于一体的协同防御平台，实现对核心网、业务支撑系统、算力网络的全局风险感知与精准封堵，从事后应急转向事前主动防御，为通信网络稳定运行提供确定性安全保障。

面对中国移动“集团-省-专业公司”多级架构、海量自研与集采软件并存的复杂格局，创新性提出构建覆盖软件全生命周期的“三位一体”AI可信软件供应链安全体系，将AI能力深度融入源头净化、过程管控与全局运营关键节点，面向开发团队、集采中心、运维部门构建规模化、体系化的安全能力，实现软件供应链风险可知、可控、可管、可信。

（一）AI可信安全开发工厂——面向全网自研体系的内生安全开发交付基础设施

面向中国移动集团IT公司、研究院、各省公司及专业公司自研团队，覆盖核心网云化、业务支撑系统、智慧中台、行业应用等自研软件开发场景，构建集可信组件管理、安全编码、自动化检测于一体的AI可信安全开发工厂。遵循运营商软件供应链安全规范，建设集团级可信组件中心仓，统一纳管全网开源组件、第三方库、自研算法库，实施准入检测与版本锁定，建立与华为、中兴等主流设备商的软件物料清单协同机制，逐步推动核心网元、基站设备底层固件成分透明化。将安全活动左移至编码与构建阶段，以低摩擦方式嵌入全网CI/CD管道，集成AI赋能的SAST、SCA、IAST、容器镜像扫描等工具链。引入AI驱动的漏洞研判与智能运营智能体，通过安全质量门禁实现代码与交付制品的自动校验、成分核验与智能验证，确保每一行代码、每一个镜像“出厂即安全、交付即合规”。通过覆盖全网数万名开发人员的可信组件源与自动化检测能力，从源头阻断供应链投毒，构建运营商级别的大规模可信开发生态，完全满足《网络安全技术 软件供应链安全要求》等国家标准安全合规要求。

（二）AI软件供应链安全检测工具箱——面向集采入网的全流量智能检测关口

面向中国移动集团集采中心、各省公司采购部、网络部，覆盖核心网设备、承载网设备、业务平台、通用软硬件等集采软件及外包代码的入网检测场景，部署基于AI的软件供应链安全评估检测工具箱，形成“总部集中检测+省公司属地化筛查”的两级检测体系，严格落实《网络安全审查办法》对关键产品的前置检测要求。工具箱基于多Agent协调编排架构，构建软件供应链安全检测智能体能力矩阵，涵盖开源成分解析、SBOM核验、恶意代码深度挖掘、配置风险核查、同源代码分析等核心检测智能体，可对固件、二进制文件、源码包、容器镜像开展静态代码分析、动态运行检测与成分溯源。嵌入AI大模型增强的风险检测引擎，基于行为特征与代码语义的深度学习模型，有效识别零日漏洞、代码投毒、隐蔽后门及许可证冲突。构建“先检测、后入网、可重测”的刚性管控机制。通过自动化生成符合监管要求的可审计检测报告，支撑供应商考核与合规审查，确保每一件外来软件“引入即可控”，以工业化、智能化检测能力保障入网软件安全底线，构建集采供应链的“安全过滤器”。

（三）AI软件供应链威胁情报与态势感知平台——面向关基设施的全局协同防御中枢

面向集团网络部、网安部、各省公司及专业公司运维团队，覆盖5G核心网、承载网、业务支撑系统、数据中心、云平台等全网关键信息基础设施，构建覆盖集团-省-专业公司三级架构的软件供应链威胁情报与态势感知平台，落实《关键信息基础设施安全保护条例》关于“态势感知、监测预警、协同响应”的法定要求。平台依托全量资产台账与供应链图谱，融合多源漏洞情报、国家级威胁情报、行业共享预警及暗网监测数据，形成软件供应链风险全景视图。引入AI驱动的风险研判与处置推荐引擎，自动关联资产脆弱性、攻击路径与业务影响，实现新发高危漏洞（如Log4j2类）分钟级定位影响范围、精准评估修复优先级，并联动工单系统自动化派发处置任务。通过可视化大屏将软件风险信息与实时网络运行状态动态关联，构建覆盖“测绘-预警-响应-修复-度量-审计”的持续运营闭环，支撑安全与运维人员的协同作战，推动安全策略从被动补丁式向情报驱动、风险量化演进，确保通信网络在动态对抗环境中持续可信、弹性可控，全面符合国家法规及行业监管要求。