文/李鵬 王明 張海洋

1 引言

1.1 背景

信息安全已上升到國(guó)家安全層面?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》也于2017年6月1日起施行。另一方面，信息安全事件頻發(fā)，CSDN、12306和日本航空等數(shù)據(jù)泄露事件造成了極其嚴(yán)重的影響。

中國(guó)民航信息網(wǎng)絡(luò)股份有限公司（本文簡(jiǎn)稱：中航信）所運(yùn)營(yíng)的民航商務(wù)信息系統(tǒng)被國(guó)務(wù)院列為八大系統(tǒng)之一，包含海量民航商業(yè)機(jī)密信息。中航信研發(fā)中心開(kāi)發(fā)、運(yùn)維著數(shù)百個(gè)信息系統(tǒng)，如何發(fā)現(xiàn)系統(tǒng)中的安全問(wèn)題并進(jìn)行修復(fù)，提升系統(tǒng)的安全性，是我們必須面對(duì)的緊迫而嚴(yán)峻的問(wèn)題，因此，針對(duì)本課題的研究工作十分必要。

1.2 研究現(xiàn)狀

Gartner 2017年發(fā)布的關(guān)鍵信息安全技術(shù)明確指出了OSS Security Scanning and Software Composition Analysis for DevSecOps（ 面 向DevSecOps的運(yùn)營(yíng)支撐系統(tǒng)安全掃描與軟件組成分析）的重要意義。這也是Gartner繼2016年后，連續(xù)兩年將該項(xiàng)技術(shù)列入年度重要信息安全技術(shù)，其重要性和先進(jìn)性可見(jiàn)一斑。

目前市場(chǎng)上安全測(cè)試產(chǎn)品眾多，國(guó)外產(chǎn)品中Fortify、AppScan在國(guó)內(nèi)應(yīng)用廣泛，國(guó)內(nèi)廠商360、綠盟、安恒、思客云等公司都有成熟的掃描器產(chǎn)品。但大部分產(chǎn)品過(guò)于單一，針對(duì)民航信息系統(tǒng)全生命周期的安全保護(hù)，需要定制化的解決方案。

圖1：安全測(cè)試平臺(tái)主要功能

2 應(yīng)用前景和社會(huì)經(jīng)濟(jì)效益

民航旅客運(yùn)輸量持續(xù)高增長(zhǎng)，2018年旅客運(yùn)輸量6.1億人次，同比增長(zhǎng)10.9%。飛行安全直接關(guān)系到旅客的人身安全；對(duì)民航系統(tǒng)的攻擊逐年遞增；民航信息系統(tǒng)為提升旅客出行體驗(yàn)不斷建設(shè)；因此，針對(duì)民航信息系統(tǒng)DevOps的安全測(cè)試研究推廣工作勢(shì)在必行。

3 三層自動(dòng)化半透明測(cè)試體系設(shè)計(jì)

3.1 橫向功能

本安全測(cè)試解決方案從七個(gè)角度對(duì)業(yè)務(wù)系統(tǒng)開(kāi)展安全測(cè)試、安全監(jiān)控、漏洞修復(fù)指導(dǎo)、安全開(kāi)發(fā)知識(shí)傳遞等工作，全面保障業(yè)務(wù)系統(tǒng)信息安全，提升安全管理水平（如圖1），主要功能點(diǎn)包括：定期自動(dòng)下載源碼進(jìn)行源碼安全分析檢測(cè)；自動(dòng)化的對(duì)所有網(wǎng)站系統(tǒng)進(jìn)行應(yīng)用安全漏洞檢測(cè)；自動(dòng)化的完成弱口令檢測(cè)；自動(dòng)化的檢索GitHub和CSDN上是否有公司相關(guān)泄露信息并推送檢測(cè)結(jié)果和修改方法等。大部分工作以自動(dòng)化、半透明的方式執(zhí)行，對(duì)開(kāi)發(fā)團(tuán)隊(duì)而言不必增加大量工作，在完成安全測(cè)試任務(wù)的同時(shí)獲得了較好的用戶體驗(yàn)，同時(shí)降低了比較昂貴的信息安全人員的投入，避免了對(duì)單個(gè)專家的強(qiáng)依賴，以較低的成本使得中航信系統(tǒng)安全性達(dá)到了行業(yè)較高水平。

3.2 縱深層次

本系統(tǒng)縱向三個(gè)層次以 “白+黑+機(jī)器人”（軟件源代碼白盒安全測(cè)試+WEB應(yīng)用系統(tǒng)黑盒測(cè)試+模擬人工滲透測(cè)試工具）為基礎(chǔ)，結(jié)合目前應(yīng)用軟件安全所面臨的新的挑戰(zhàn)不斷改進(jìn)，為軟件提供半透明化、自動(dòng)化和持續(xù)性的安全測(cè)試和軟件安全分析。使用倒金字塔模型盡早、用盡量低的成本、解決盡可能多的問(wèn)題。使得本方案成為一個(gè)真正切合實(shí)際的企業(yè)級(jí)安全測(cè)試解決方案（如圖2）。

4 安全測(cè)試實(shí)施概要

4.1 源碼層安全測(cè)試

4.1.1 源碼安全檢測(cè)

（1）源代碼安全檢測(cè)平臺(tái)化。將單機(jī)版的源代碼安全檢測(cè)工具平臺(tái)化（B/S架構(gòu)），同時(shí)將安全檢測(cè)的流程也具象化于平臺(tái)之上，開(kāi)發(fā)人員和測(cè)試人員通過(guò)平臺(tái)進(jìn)行檢測(cè)、審計(jì)、報(bào)表、知識(shí)管理等工作，可以大大提升安全檢測(cè)的產(chǎn)出能力。初步評(píng)估，測(cè)試效率提升了5倍以上；

（2）重點(diǎn)解決關(guān)鍵問(wèn)題。將動(dòng)輒上千的安全漏洞進(jìn)行分類排序，挑選出TOP10問(wèn)題要求開(kāi)發(fā)團(tuán)隊(duì)進(jìn)行修改，集中精力解決最關(guān)鍵的問(wèn)題（解決開(kāi)發(fā)人員“我沒(méi)空”問(wèn)題）；

（3）安全意識(shí)傳遞。推動(dòng)安全掃描和第一次漏洞審計(jì)由開(kāi)發(fā)團(tuán)隊(duì)完成（解決“我不信”問(wèn)題），也使得開(kāi)發(fā)團(tuán)隊(duì)開(kāi)始重視安全開(kāi)發(fā)；

（4）修復(fù)指導(dǎo)。配套安全編碼規(guī)范進(jìn)行指導(dǎo)培訓(xùn)（解決“我不會(huì)”問(wèn)題）。

通過(guò)上述四項(xiàng)工作，測(cè)試效率顯著提升、安全漏洞的修改可落地，開(kāi)發(fā)人員也開(kāi)始了解安全開(kāi)發(fā)，一年完成多輪次全覆蓋的安全檢測(cè)，大部分產(chǎn)品線TOP10問(wèn)題修復(fù)率100%。

4.1.2 開(kāi)源組件安全漏洞檢測(cè)

本模塊集開(kāi)源軟件安全漏洞收集，開(kāi)源軟件安全檢查管理、安全檢查漏洞報(bào)警及發(fā)布、安全策略執(zhí)行、開(kāi)源軟件安全漏洞知識(shí)分享等為一體，在源代碼安全檢測(cè)過(guò)程中發(fā)現(xiàn)系統(tǒng)中開(kāi)源組件的安全漏洞。幫助安全測(cè)試人員完成如下五項(xiàng)工作：

（1）統(tǒng)計(jì)軟件系統(tǒng)中使用的開(kāi)源組件名稱、版本；

（2）統(tǒng)計(jì)軟件系統(tǒng)中的開(kāi)源組件是否有已曝露的安全漏洞？

（3）統(tǒng)計(jì)常見(jiàn)的開(kāi)源組件有哪些漏洞？怎么樣修復(fù)?

（4）快速、批量地查找某一版本（或版本區(qū)間）的開(kāi)源軟件組件在哪些項(xiàng)目中使用？

（5）定時(shí)、定項(xiàng)地對(duì)正在開(kāi)發(fā)過(guò)程中的軟件項(xiàng)目進(jìn)行開(kāi)源軟件組件安全漏洞檢測(cè)。

4.1.3 自定義規(guī)則檢測(cè)

源代碼安全檢測(cè)規(guī)則庫(kù)的優(yōu)劣直接決定了安全檢測(cè)的效果，業(yè)界源代碼安全檢測(cè)工具的規(guī)則庫(kù)包含的規(guī)則是通用的，對(duì)于企業(yè)內(nèi)部特有的一些漏洞，需要通過(guò)定制化規(guī)則的手段進(jìn)行實(shí)現(xiàn)。需要定制化的規(guī)則分為業(yè)務(wù)特性的規(guī)則定制、生產(chǎn)故障的規(guī)則定制、突發(fā)通用漏洞的規(guī)則定制等。

4.1.4 提升自動(dòng)化和透明化程度

源碼檢測(cè)與SVN和GIT結(jié)合、將C/C++安全檢測(cè)插件化（做到安全掃描與編譯環(huán)境的解耦），自動(dòng)下載源代碼進(jìn)行安全測(cè)試，進(jìn)一步提升了平臺(tái)的自動(dòng)化水平，降低了開(kāi)發(fā)人員工作量。在保密方面也對(duì)檢測(cè)結(jié)果的存儲(chǔ)進(jìn)行了加密。

4.1.5 撰寫行業(yè)標(biāo)準(zhǔn)

OWASP是一個(gè)開(kāi)源的、非盈利的全球性安全組織，致力于應(yīng)用軟件的安全研究。目前OWASP全球擁有220個(gè)分部近六萬(wàn)名會(huì)員，共同推動(dòng)了安全標(biāo)準(zhǔn)、安全測(cè)試工具、安全指導(dǎo)手冊(cè)等應(yīng)用安全技術(shù)的發(fā)展。我們憑借幾年的積淀和樂(lè)于分享的精神，參與編寫了OWASP《靜態(tài)源代碼安全分析工具測(cè)評(píng)基準(zhǔn)》并面向全國(guó)發(fā)布，作為業(yè)界開(kāi)展源代碼安全測(cè)試工作的指導(dǎo)性準(zhǔn)則。

4.2 應(yīng)用安全檢測(cè)

本功能模塊支持自動(dòng)化的對(duì)網(wǎng)站系統(tǒng)進(jìn)行單個(gè)或批量安全檢測(cè)。支持多用戶并發(fā)，開(kāi)發(fā)團(tuán)隊(duì)可以自助配置完成網(wǎng)站安全掃描、漏洞審計(jì)等功能。極大提升了網(wǎng)站系統(tǒng)安全檢測(cè)的效率，對(duì)掃描結(jié)果的統(tǒng)計(jì)也更加方便。在重保期間，對(duì)所有網(wǎng)站進(jìn)行自動(dòng)化快速掃描，發(fā)揮了重要作用。

工具平臺(tái)具有良好的彈性，可以通過(guò)橫向擴(kuò)充資源提升容量，并支持多種掃描引擎的調(diào)度使用。

4.3 滲透測(cè)試

4.3.1 弱口令檢測(cè)

定制開(kāi)發(fā)滲透測(cè)試中常用的弱口令檢測(cè)（主機(jī)、數(shù)據(jù)庫(kù)、WEB、郵箱、FTP等）模塊，本模塊支持：

（1）對(duì)企業(yè)所使用的“數(shù)據(jù)庫(kù)”、“Email”、“FTP”，“Linux”和“WEB網(wǎng)站”弱口令檢測(cè)；

（2）自動(dòng)化地對(duì)企業(yè)上萬(wàn)臺(tái)服務(wù)器進(jìn)行大批量、高效的弱口令檢查；

（3）根據(jù)用戶提供的弱密碼元素集自動(dòng)化生成貼合用戶的弱口令字典集；

（4）集中化統(tǒng)一管理、發(fā)布、查看、通知企業(yè)級(jí)弱口令檢測(cè)和修復(fù)情況。

4.3.2 開(kāi)源軟件安全漏洞檢測(cè)

圖2：解決方案示意圖

本模塊通過(guò)在服務(wù)器上部署監(jiān)控程序，實(shí)時(shí)反饋系統(tǒng)中開(kāi)源軟件是否包含安全漏洞，并進(jìn)行漏洞管理。

4.3.3 敏感信息防泄漏監(jiān)控

本模塊針對(duì)GitHub,CSDN這樣的互聯(lián)網(wǎng)發(fā)布平臺(tái)，檢測(cè)企業(yè)的軟件源代碼、技術(shù)資料、敏感數(shù)據(jù)文檔等是否外泄。本模塊支持三項(xiàng)工作：

（1）檢測(cè)企業(yè)的軟件源代碼、開(kāi)發(fā)文檔、敏感信息資料等內(nèi)容是否被外泄到GitHub,CSDN上；

（2）自動(dòng)化地對(duì)企業(yè)所有項(xiàng)目組的相關(guān)數(shù)據(jù)進(jìn)行大批量、高效的上線安全監(jiān)控，定時(shí)巡檢，防范企業(yè)敏感信息外泄；

（3）能夠集中化統(tǒng)一管理、發(fā)布、查看、通知企業(yè)的敏感信息外泄的問(wèn)題和處理情況。

4.3.4 網(wǎng)站域名備案監(jiān)控

本模塊完成企業(yè)網(wǎng)站域名備案狀態(tài)檢測(cè)，自動(dòng)化搜索企業(yè)一二級(jí)域名是否在企業(yè)內(nèi)部備案，以及是否在公安部和工信部備案。本模塊包含四個(gè)功能點(diǎn)：

（1）對(duì)企業(yè)所使用的一級(jí)，二級(jí)，三 級(jí)，四級(jí)域名進(jìn)行自動(dòng)化檢測(cè)；

（2）對(duì)企業(yè)所使用的域名是否在公安部備案進(jìn)行檢查；

（3）對(duì)企業(yè)所使用的域名是否在工信部備案進(jìn)行檢查；

（4）對(duì)企業(yè)所使用的域名是否在企業(yè)內(nèi)部備案進(jìn)行檢查。

4.3.5 網(wǎng)站防篡改監(jiān)控

本模塊檢測(cè)企業(yè)指定的網(wǎng)站頁(yè)面是否被篡改。本模塊支持：

（1）針對(duì)企業(yè)所指定的網(wǎng)站、網(wǎng)頁(yè)進(jìn)行分鐘級(jí)的監(jiān)控，對(duì)網(wǎng)頁(yè)上的任何變化進(jìn)行對(duì)比監(jiān)控，及時(shí)發(fā)現(xiàn)惡意的篡改行為；

（2）根據(jù)用戶提供的敏感詞庫(kù)，對(duì)網(wǎng)站，網(wǎng)頁(yè)上出現(xiàn)的不良詞匯進(jìn)行實(shí)時(shí)監(jiān)控，一旦發(fā)現(xiàn)，及時(shí)告警。

4.3.6 其他

結(jié)合手工滲透測(cè)試和比賽的經(jīng)驗(yàn)，利用Metasploit、Nmap、一些Python滲透測(cè)試框架等對(duì)系統(tǒng)進(jìn)行檢測(cè)，發(fā)現(xiàn)潛在問(wèn)題，進(jìn)一步提升系統(tǒng)安全性。

5 結(jié)束語(yǔ)

作為央企，信息安全的國(guó)家隊(duì)，我們有責(zé)任、有義務(wù)保護(hù)好我們的系統(tǒng)，以更高的標(biāo)準(zhǔn)要求自己，并積極分享。習(xí)總書(shū)記多次提及“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”，在未來(lái)的5年、10年甚至20年，我們希望窮盡畢生精力，打造出值得驕傲的信息安全測(cè)試解決方案！