等保2.0的自动代码审计及开源治理解决方案

 

2016年10月10日，第五届全国信息安全等级保护技术大会召开，公安部网络安全保卫局郭启全总工指出：国家对网络安全等级保护制度提出了新的要求，标志着等级保护制度进入2.0时代。2017年5月，公安部发布《网络安全等级保护定级指南》、《网络安全等级保护基本要求 第5部分：工业控制系统安全扩展要求》等4个行业标准，把等级保护上升为法律，等级保护的工作内容和保护对象持续扩展，尤其是对国家关键信息基础设施重点保护。

我公司原来在进行等级保护项目中，主要是运用人工手段与工具相结合的方式，原来采用的工具比较多，分散，整个项目实施过程中，运用多种工具的结合，相互补充发现安全问题，但是需要等级保护人员掌握多种工具，消耗大量时间，多种工具结合整合报告，效率也相对较低。我们开始想自己研发工具，但是经过前期调研和需求分析，认为投入上百万成本研发相关工具性价比较低，于是在市场上寻找合作伙伴，我们最终选择北大软件进行合作，北大软件有两款工具，CoBOT和HoBOT，对开发团队研发系统进行多个方面检测，发现安全漏洞，产生中文的风险审计报告，具有软件代码安全感知和预警能力。在风险审计报告中，除了具有比较详尽的描述安全漏洞列表和描述，同时提供修复建议和样例参考，使我们不仅具有发现安全风险能力，同时具备了对安全漏洞修复建议的咨询能力。

    据了解北大软件正在整合原有的CoBOT和HoBOT工具，专门为等保2.0提供一套解决方案，能够对系统代码自动进行安全审计和对开源软件进行治理管控，代码安全审计报告中包括安全漏洞信息，经过等保人员的确认后，形成等保审查报告。下面我分析一下，博博如何与GB/T 22239-2019信息安全技术网络安全等级保护基本要求中相关条款匹配。

    在9.1.2.2通信传输一节，a)应采用密码技术保证通信过程中数据的完整性；b)应采用密码技术保证通信过程中数据的保密性；库博能够检测通信过程中的设定的弱密码、弱hash、密码权限、不安全的加密存储、内存污染等检测器，审查系统在传输过程中是否加密，加密使用的加密算法是否安全，密码存储是否安全等问题。

在9.1.3.1安全区域边界一节， a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；库博能够对外部注入、管道劫持、污染数据、非授信边界等检测器对系统进行审查，报告是否存在安全风险。

在9.1.3.3入侵防范一节，a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；a)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；库博能够提供相对路径遍历、绝对路径遍历、LDAP注入、不可信的搜索路径、SQL注入、命令行注入等检测器对系统进行审查，报告是否存在违反该标准的操作。

在9.1.3.4恶意代码和垃圾邮件防范一节中，a)应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码保护机制的升级和更新。库博具有强大的漏洞模式分析引擎，同时可以提供在线更新和离线软件包更新方式，保持对恶意代码的检测和防护能力。

在9.1.4.4入侵防范一节，c)应提供数据有效性检测功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设计要求；e) 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。博博能够对多种输入接口进行检测，例如：JavaScript注入、SQL注入、XML注入、资源注入、二阶SQL注入等进行检测，报告接口薄弱环节。

 

CoBOT等保2.0解决方案不仅仅可以在安全风险检测上具有强大的发现能力，提供修复建议能力，更能够与企业安全管理系统进行对接，并能够根据企业的风险防范规范，定制检测器和检测报告，把等保落地运用。同时，符合当前业界流行的Devops模式，可以集中到Jenkins平台，持续集成，持续进行安全检测，不用等到过等保时，临时突击应对，把安全生产落实到每一天。另外，该解决方案除了运用到软件生产企业，也可以软件产品采购、外包软件开发、软件资产评估等场景。

相对于传统人工手段和多个工具结合的方式进行等保项目实施，采用该解决方案大幅度提升了系统风险识别能力，提升了等保项目工作效率。作为安全企业，我们更看重的工作的可复用性，减少学习成本，提升工作效率的同时为企业带来的额外效益。

 

（完）