系統與應用安全管理平台助力企業安全左移檢視原始碼討論檢視歷史

來自 網絡 的圖片

系統與應用安全管理平台助力企業安全左移中國電信股份有限公司研究院擁有深厚的技術創新底蘊和優良傳統，是中國通信行業知名的研發機構之一。

作為中國電信科技創新體系的主體，研究院負責基礎和前瞻技術研究、應用研究，開展關鍵核心技術研究驗證、面向企業戰略與技術方向的決策支持及應用創新等工作。研發創新涵蓋5G、雲計算^[1]、人工智能、大數據、物聯網、安全等多個領域的創新研發和規模化商用。

高素質的人才隊伍

研究院現有員工1700多人，70%具有碩士以上學歷；博士、教授級高工、海外引入專家等頂尖科技人才層出不窮；企業人才隊伍屢次斬獲政府特殊津貼 、「百千萬人才」、國家級「突出貢獻中青年專家」、中國電信首席專家、技術類高級專家等榮譽與稱號。

高質量的研究成果：1）專利：累計申請專利4153件，獲得專利授權2002件，5項專利榮獲中國專利獎。2）標準：主導/聯合主導發布國際標準345項，2020年提交並通過的國際標準文稿509篇。3）獎項：科研成果獲得業界廣泛認可，累計獲得省部級獎項174項。

高水平的實驗室資源：具有國家級實驗室2個，省部級實驗室3個，集團重點實驗室^[2]7個，院級實驗室16個；共有設備1600多台套，涵蓋無線、傳輸、IP、雲計算等多個領域；面向全院及全集團提供科研支持，並向全社會開放提供服務。

成果概述

中國電信研究院安全工程研究中心自主研發了系統與應用安全管理平台，包含代碼審計、組件安全、鏡像掃描、移動應用安全、終端安全、滲透測試六個模塊，為各類應用系統提供從需求、設計、開發、測試、發布、運營全生命周期的一站式P2DR安全服務能力。系統與應用安全管理平台以先進的全生命周期理念作為內核，採用了行業領先的檢測與監測技術，並根據中國電信組織架構定製了具有中國電信特色的、可落地、可推廣的DevSecOps方案，為全國IT上雲提供開發運維一體化安全檢測賦能。系統與應用安全管理平台為中國電信集團各單位持續提供各類安全服務實現安全左移，有效保障了企業應用系統安全，實現了降本增效。

案例突破性

系統與應用安全管理平台為各類應用系統提供全生命周期的一站式P2DR安全服務能力。截至2021年3月，移動應用安全已為31省公司、15個專業公司，總計560個內部用戶、600多個App提供服務，降本增效達3000萬。中國電信自營合作App均分由原來的不足60分，提升至92.04分，App高危漏洞數量由最初的1936個降低到541個。代碼審計已累計為24個使用單位檢測81個應用系統，共計1.4億行代碼，檢出35.6萬個嚴重高危風險，代碼安全檢測誤報率降低75%，檢測效率提升50%。組件安全為中國電信175個應用組件提供持續的漏洞監測和月度報告服務和4次入網檢測。在內部應用成熟基礎上，逐步對外部用戶提供開發安全能力，打造中國電信移動網絡差異化服務，營造清朗網絡空間，提升中國電信社會形象。

技術要點

當前，各種形式的網絡攻擊、不法入侵、惡意代碼、安全漏洞層出不窮，對關鍵信息基礎設施安全、數據安全、個人信息安全構成嚴重威脅。面對種類繁多的網絡安全風險，缺乏高效的安全檢測能力編排及安全能力調度策略，在集團雲網一體化的新形勢下，開發運維一體化中的開發各階段缺乏有效安全管控手段，爆發式增長的終端設備的漏洞數量，潛在的安全風險對安全運維的工作量及成本形成雙重壓力。針對安全工具分散獨立配置部署、管理繁雜、功能有限的行業痛點，中國電信研究院安全工程研究中心自主研發了系統與應用安全管理平台，包含代碼審計、組件安全、鏡像掃描、移動應用安全、終端安全、滲透測試六個模塊，為各類應用系統提供從需求、設計、開發、測試、發布、運營全生命周期的一站式P2DR安全服務能力，為中國電信集團各單位及外部用戶持續提供各類安全服務實現安全左移，有效保障了企業應用系統安全。

代碼審計提供面向業務系統源碼的代碼安全審計業務，支持識別、跟蹤和指導修復源代碼中的缺陷，提升系統的代碼安全水平，防範企業內部風險。

代碼審計的基礎檢測包括虛擬編譯、數據流分析、控制流分析、結構分析、語義分析和配置分析；支持多引擎融合、結果歸併、迭代檢測及檢測規則自定義；集成了代碼版本管理系統、缺陷管理系統和郵件系統；支持雲資源部署、一體機、Docker輕量級和本地部署。

代碼審計研究了最新的IAST交互式檢測技術，動靜態結合檢測，利用運行時插裝，在程序特定位置插入探針，在程序運行時，通過探針獲取請求，代碼數據流，控制流等信息，綜合利用動態污點追蹤技術，運行時缺陷檢測技術判斷漏洞信息，並返回代碼詳情；研究動態污點追蹤技術，在程序執行過程中，通過實時監控程序的污點數據在系統中的傳播來檢測數據能否從污點源到污點匯聚點，定位漏洞信息。

為了滿足中國電信雲網融合新需求，代碼審計制定了具有中國電信特色的DevSecOps方案，為全國IT上雲提供開發運維一體化安全檢測賦能，通過定製化開發創新，實現全國系統上雲集約化代碼安全應用檢測，滿足省公司資源池應用安全掃描等特色化需求，助力集團上雲工程。

組件安全主要用於識別項目依賴項並檢查是否存在任何已知的，公開披露的漏洞，保證開發人員能對第三方組件安全時刻保持警惕，培養開發團隊安全意識。

組件安全的漏洞數據平台支持多數據源漏洞信息自動採集，支持多種主流漏洞信息源NVD, CNNVD等，支持漏洞信息搜索、定製，支持漏洞信息關聯分析。組件安全檢測引擎支持基於多數據源的漏洞分析，支持軟件組成分析SCA、提供開源軟件發現、許可證信息等，支持Web頁面、Restful API、月報等多種展示方式。

鏡像安全用於對微服務容器鏡像進行安全漏洞掃描，兼容NVD/CNNVD等主流漏洞庫，實現容器鏡像風險可視化，提供豐富接口，滿足CI/CD和DevOps等各種使用場景要求，同時提供私有化部署，雲平台SaaS服務等各種部署和使用方式。

移動應用全生命周期管理平台覆蓋移動應用的開發、測試、上線、發布， 以及運營的各個環節，實現對移動應用進行全生命周期的一站式安全解決方案。

移動應用安全首次提出移動應用全生命周期管理平台概念，通過引入了軟件行業的全生命周期理念，結合目前熱門的敏捷開發、微服務、中台、雲原生2.0、SDLC、DevSecOps和零信任，使得本平台從開發到運營過程都保持以先進的理念作為內核；支持電信的組織管理架構，採用集團-省公司/專業公司-地市公司分級賬號管理模式，並且根據實際情況進行擴展；自主集成開發了功能全面的App安全檢測系統，通過深度靜態檢測技術、動態檢測技術、源代碼掃描、多引擎檢測等能力，全面評估應用的安全問題，準確定位問題根源，呈現詳細的安全問題詳情，並提供解決方案供開發者參考；自主研發了移動應用SDK版本檢測技術，目前已通過技術許可形式授權給國內頭部移動應用安全廠商部署使用，獲得15萬知識產權類收入，實現了上海研究院技術許可案例零的突破。

App安全檢測引擎支持15大類共105個風險檢測項，業界領先；支持動態檢測、靜態檢測、SDK檢測、惡意檢測；建立了SDK樣本庫和SDK基本信息庫，共收錄了約1000個SDK樣本以及近100條SDK基本信息；確定了SDK安全檢測項75項，建立了SDK版本漏洞庫，共收錄了9199個漏洞;選取了3大類特徵建立SDK特徵庫1178條。

終端安全針對智能終端固件實現靜動態檢測，支持弱口令、危險函數、敏感信息和CVE檢測，輔助測試人員完成智能終端測試，面向智能終端提供安全合規檢測，包括物理安全、系統安全、網絡通信安全和數據安全檢測，已對外提供入庫安全審計服務。

終端安全具備實時和分時操作系統固件安全分析能力；支持主流的squashfs、cramfs、linux ext、jffs2等文件系統；覆蓋2014-2020年發布的10000+智能設備相關CVE漏洞；支持弱口令1000+；支持危險函數28；設備評估指標項支持定製化管理、組件風險模型實時更新、設備評估指標項動態打分功能、項目風險分析功能。

滲透測試提供自動化漏洞檢測、滲透測試服務，具備靈活的配置接口，輔助技術人員完成滲透測試任務，提高測試效率。主要能力包括自動化WEB風險檢測、漏洞掃描、滲透測試路徑智能規劃、集成滲透測試工具及匯集專家滲透經驗、按需自動編排實現自定義自動化流程。

系統與應用安全管理平台目前已部署至天翼雲，對內部與外部用戶開放服務。代碼審計、組件安全、鏡像安全、APP安全、終端安全等檢測能力覆蓋電信各省公司和專業公司，通過雲道安全審計中心滿足雲網安全條線的開發安全需求，並且通過原子能力平台統一接口對外提供服務。

移動應用安全已為31省公司、15個專業公司提供服務，總計560個內部用戶，為集團600多個App提供全生命周期安全管理,形成了穩定的App資產管理體系，切實保障了信息的及時性、可靠性，節省了大量人力與時間成本。目前各單位已實現App應報盡報，平台已收集中國電信自營合作全量App，截至2021年3月底，收集的App數量由工作開展之初的290款增長到555款。移動應用安全還向企業外部用戶、內部用戶提供了全面可靠的安全檢測工具，降本增效達3000萬。截至2021年3月，平台累計提供安全檢測服務8243次、安全加固服務1449次。中國電信自營合作App均分由原來的不足60分，提升至92.04分，App高危漏洞數量由最初的1936個降低到541個，平均每個App高危漏洞由3.6個降低到0.92個，全國形成了一片「藍海」的安全態勢，處於行業領先地位。研究院與網信安部協同各單位共同營造了安全的App環境，提升了企業社會價值，切實推動了App安全的規範化、安全化、健康化發展。

代碼審計已累計為24個使用單位檢測81個應用系統，共計1.4億行代碼，檢出35.6萬個嚴重高危風險，在集團雲網一體化的新形勢下，提升開發運維一體化中的開發階段安全管控能力。IAST交互式檢測能力在集團雲網運營部雲道平台集中部署，在雲網融合PaaS上線，成為安全審計中心最為重要的一個系統，滿足雲網運營部IT開發中心，各省公司或專業公司開發團隊，集團以及各省公司開發質量監管部門的安全開發需求。代碼安全檢測誤報率降低75%，檢測效率提升50% 。

組件安全為中國電信175個應用組件提供持續的漏洞監測和月度報告服務 和4次入網檢測。

系統安全負責集團市場部智慧家庭終端入庫審計工作，已經完成45多款設備的入庫測試，固件檢測數超過3000個。

參考文獻