導(dǎo)語：石油化工行業(yè)安全檢測技術(shù)的實踐一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：隨著數(shù)字經(jīng)濟在能源化工行業(yè)的重要性不斷增強，網(wǎng)絡(luò)安全成為企業(yè)數(shù)字轉(zhuǎn)型的基本保障，在軟件定義一切的技術(shù)大趨勢下，其安全性嚴重影響著企業(yè)的數(shù)據(jù)和業(yè)務(wù)的安全，從實戰(zhàn)化和體系化的角度，安全左移既是攻防兩端戰(zhàn)術(shù)發(fā)展的需要，也是企業(yè)降低因軟件安全缺陷造成安全事件影響以及后期修復(fù)成本的需要，本文根據(jù)實際工作經(jīng)驗結(jié)合國際領(lǐng)先的Gartner魔力象限報告，分析應(yīng)用程序檢測領(lǐng)域的各種技術(shù)優(yōu)勢和發(fā)展趨勢，為企業(yè)在建立DevSecOps體系時提供參考。

關(guān)鍵詞：應(yīng)用安全；數(shù)字化能力；代碼審計；交互式應(yīng)用安全檢測

近年來，中國石化嚴格落實國家“三化六防”的總體要求，并以科技力量全面推動全集團網(wǎng)絡(luò)安全體系建設(shè)，完善集團網(wǎng)絡(luò)安全頂層設(shè)計，開展實戰(zhàn)化內(nèi)部攻防演練，落實網(wǎng)絡(luò)安全等級保護2.0新標準，持續(xù)建設(shè)提升網(wǎng)絡(luò)安全綜合防范體系，全集團網(wǎng)絡(luò)安全整體防護水平取得長足進步。在集團公司數(shù)字化轉(zhuǎn)型的大背景下，信息系統(tǒng)的穩(wěn)定性和安全性將對轉(zhuǎn)型戰(zhàn)略的產(chǎn)生有深度的影響，在國家工業(yè)互聯(lián)網(wǎng)白皮書中，將安全和平臺、網(wǎng)絡(luò)共同定義為工業(yè)互聯(lián)網(wǎng)的基礎(chǔ)。云計算、大數(shù)據(jù)、軟件定義更加凸顯信息系統(tǒng)的“軟實力”的比重越來越高，因此軟件的安全性在整體安全體系中的重要性愈發(fā)突出。提升應(yīng)用程序的安全水平，在開發(fā)測試階段盡可能多地發(fā)現(xiàn)軟件安全漏洞，將代碼錯誤，邏輯缺陷消滅在系統(tǒng)上線之前，實現(xiàn)安全防線“左移”，是落實“三化六防”要求的重要舉措。網(wǎng)絡(luò)安全市場碎片化情況嚴重，賽迪、IDG和Gartner等研究機構(gòu)的調(diào)研報告就成為用戶了解技術(shù)和選擇產(chǎn)品的參考渠道之一，在應(yīng)用安全檢測領(lǐng)域，Gartner的魔力象限是歷時較長，也較權(quán)威的技術(shù)、產(chǎn)品和市場競爭力分析的綜合性報告，通過歷年報告持續(xù)分析，對應(yīng)用檢測技術(shù)發(fā)展和石化應(yīng)用需求適配形成了較為良性的互動。

1中國石化應(yīng)用系統(tǒng)安全的控制機制

中國石化信息化起步早，發(fā)展周期長，產(chǎn)業(yè)涉及勘探、煉化、銷售等完整的上中下游鏈條，數(shù)據(jù)中心遍布全國和海外，應(yīng)用系統(tǒng)包括經(jīng)營、生產(chǎn)、銷售、金融、客戶、工程、科技的方方面面，內(nèi)部人員能力參差不齊，外部供應(yīng)鏈多樣且復(fù)雜，攻擊暴露面多，作為能源行業(yè)，網(wǎng)絡(luò)安全事件影響大，經(jīng)過多年網(wǎng)絡(luò)安全體系建設(shè)，在基礎(chǔ)設(shè)施防護方面建立了較為齊備的縱深防御體系，但應(yīng)用和數(shù)據(jù)安全依然面臨著較大的風險。中國石化為加強信息系統(tǒng)全生命周期的安全管理，規(guī)范信息系統(tǒng)上線/驗收安全檢查流程，及時發(fā)現(xiàn)和消除信息系統(tǒng)存在的安全隱患，消除或降低信息系統(tǒng)的安全風險，保障信息系統(tǒng)安全穩(wěn)定運行，根據(jù)《中國石化信息安全管理辦法》、《中國石化信息安全監(jiān)督檢查實施細則》，特制定《信息系統(tǒng)上線/驗收安全檢查工作規(guī)范》，此工作規(guī)范為應(yīng)用系統(tǒng)安全的紅線或者底線，結(jié)合信息安全“三同步”要求，實現(xiàn)應(yīng)用的生命周期安全管控。信息系統(tǒng)上線/驗收安全檢查工作由各單位信息化管理部門負責組織實施。信息化管理部門組織成立信息系統(tǒng)上線/驗收信息安全檢查組，檢查組嚴格執(zhí)行有關(guān)管理規(guī)范和技術(shù)標準對信息系統(tǒng)進行全面、細致的檢查工作。信息系統(tǒng)上線/驗收安全檢查工作共分為五個階段，分別是準備階段、調(diào)研階段、現(xiàn)場檢查階段、整改階段以及檢查收尾階段。在這5個階段中，一些是管理控制相關(guān)內(nèi)容，比如申請表，自查表，系統(tǒng)定級情況等，一些是技術(shù)檢查相關(guān)內(nèi)容，比如安全基線，系統(tǒng)漏洞檢查，應(yīng)用漏洞檢查，對于重要應(yīng)用，多類型的應(yīng)用安全檢測成為必查項目?，F(xiàn)場檢查是應(yīng)用系統(tǒng)安全重點階段，其工作包括人員訪談、配置核查、資料查閱、漏洞掃描、滲透測試等方式。檢查內(nèi)容包括但不限于以下內(nèi)容：安全配置檢查、滲透性安全測試和漏洞掃描。（1）安全配置檢查是指檢查系統(tǒng)各項配置是否符合等級保護或基線的要求，即各安全策略是否得到實現(xiàn)。其檢查范圍包括網(wǎng)絡(luò)層面、主機層面、應(yīng)用層面及數(shù)據(jù)層面。（2）滲透性安全測試是從信息系統(tǒng)的外部或內(nèi)部進行模擬滲透性攻擊測試，主要測試信息系統(tǒng)對內(nèi)外部風險暴露的脆弱性。（3）漏洞掃描是指利用掃描工具對信息系統(tǒng)的安全脆弱性進行自動化檢查。漏洞掃描包含主機掃描和應(yīng)用掃描。各項技術(shù)性檢測就需要依靠系統(tǒng)平臺支撐完成相應(yīng)的檢測和閉環(huán)管理工作。

2應(yīng)用程序安全檢測技術(shù)分類

隨著基礎(chǔ)網(wǎng)絡(luò)安全防護體系的日益完善，直接通過網(wǎng)絡(luò)層或者系統(tǒng)層漏洞完成攻擊操作愈發(fā)困難，而應(yīng)用面向交易和面向用戶的屬性，無法采用網(wǎng)絡(luò)的方式屏蔽暴露面，因此攻擊者可以通過合法和開放界面實現(xiàn)攻擊目的，尤其云計算、大數(shù)據(jù)和基于軟件定義技術(shù)的發(fā)展，基于API接口方式的應(yīng)用廣泛，應(yīng)用層攻擊更加普遍，據(jù)Gartner預(yù)測，到2023年，90%的Web應(yīng)用程序?qū)⒁訟PI而非用戶界面（UI）的形式受到更多的攻擊，而這一數(shù)據(jù)在2020年是50%。到2022年，API濫用將從不常見的攻擊轉(zhuǎn)變?yōu)樽畛Ｒ姷墓?，從而?dǎo)致企業(yè)Web應(yīng)用程序的數(shù)據(jù)泄露?？梢钥闯鲈赪eb攻擊中針對API的攻擊將占據(jù)主流。面對占據(jù)主流地位的應(yīng)用攻擊，相應(yīng)的應(yīng)用安全檢測技術(shù)也在不斷發(fā)展，根據(jù)檢測技術(shù)特點和應(yīng)用場景，主要的應(yīng)用安全檢測技術(shù)有如下三種：

2.1靜態(tài)應(yīng)用安全檢測（SAST）技術(shù)

即通常所說的代碼審計，是一種分析應(yīng)用程序源代碼、字節(jié)碼或者二進制代碼的技術(shù)，目的是發(fā)現(xiàn)存在的安全漏洞，適用于軟件生命周期（SDL）開發(fā)、測試階段。石化盈科目前在部分項目中會采用此種方式用以加強開發(fā)和測試階段的代碼級安全漏洞的發(fā)現(xiàn)和加固。例如總部集中部署的部分智能工廠應(yīng)用。其優(yōu)點在于發(fā)現(xiàn)更多的代碼級漏洞，比如硬編碼缺陷或者溢出級漏洞，不足之處在于漏洞報告數(shù)量眾多，是否具有利用價值需要專業(yè)人員評判和檢驗。

2.2動態(tài)應(yīng)用安全檢測（DAST）技術(shù)

即通常所說的應(yīng)用安全檢測或者掃描，DAST模擬黑客手法，對應(yīng)用程序（常見的對象是基于Web技術(shù)的應(yīng)用程序和服務(wù)）進行仿真攻擊，通過分析應(yīng)用程序的對于攻擊負載的反應(yīng)，結(jié)合攻擊特征庫，確定是否存在應(yīng)用漏洞。適用于測試或運維階段分析處于運行狀態(tài)的應(yīng)用程序。這是最常見的應(yīng)用程序檢測方式，在總部部署系統(tǒng)需要在上線階段和驗收階段完成此類檢測，高中風險漏洞須整改才能獲得相應(yīng)部門的簽字，這也是外部測評機構(gòu)的必測內(nèi)容。其優(yōu)點是操作簡單，而且是業(yè)界通用的檢測方式，在滿足合規(guī)方面是必選項，而且以攻擊的角度檢驗應(yīng)用的安全性，經(jīng)過良好配置的檢測報告具有較高的參考價值。

2.3交互式應(yīng)用安全檢測（IAST）

該技術(shù)同時結(jié)合了SAST和DAST的技術(shù)特點，不像DAST只是通過網(wǎng)絡(luò)流量中應(yīng)用的響應(yīng)進行攻擊判定，也不像SAST需要獲得源代碼，它通常在測試運行環(huán)境中部署代理來觀察操作或攻擊并識別漏洞。石化盈科系統(tǒng)集成事業(yè)部開發(fā)研制的云安全檢測平臺可以看作是采用類似技術(shù)的安全檢測產(chǎn)品。其優(yōu)點在于可以檢測到一些純黑盒方式無法識別的安全漏洞，例如業(yè)務(wù)邏輯缺陷，同時也在檢測深度和速度上具有比較大的靈活性，同時與白盒技術(shù)相比，其漏洞可被利用的可信度更高，誤報率相對較低。隨著供應(yīng)鏈攻擊事件的快速增長，開源軟件的漏洞也列入了應(yīng)用安全檢測范疇，軟件組合分析（SCA）技術(shù)用于識別應(yīng)用程序中使用的開源和第三方組件及其已知的安全漏洞，SCA在經(jīng)歷過幾年的不溫不火之外，目前也呈現(xiàn)快速上升的趨勢，以前作為代碼審計類產(chǎn)品的功能組件，目前有些廠家推出了獨立的產(chǎn)品，也許在不遠的將來，會作為單獨的技術(shù)產(chǎn)品進行評測。應(yīng)用安全檢測傳統(tǒng)上是按照產(chǎn)品模式交付的，在云計算大行其道的當下，越來越多的廠商傾向于采用訂閱服務(wù)的方式，其優(yōu)勢在于降低一次投入成本，促進成交，同時也加強用戶黏性，實現(xiàn)長期合作的目的，也減少傳統(tǒng)交易模式下的維保和軟件更新的客戶困擾。其缺點是不適用于國內(nèi)用戶的采購習(xí)慣和采購規(guī)程，因此在國內(nèi)尤其是石化企業(yè)中推廣困難。

3應(yīng)用安全主流供應(yīng)商特點分析

在2021年的魔力象限中，老牌廠商依然占據(jù)了主要位置，說明這個產(chǎn)業(yè)對于技術(shù)積累還是有一定要求的，同時一些代碼托管平臺借助著Devops的優(yōu)勢出現(xiàn)在不同象限中，展現(xiàn)出業(yè)務(wù)發(fā)展的需求和趨勢，還有一些產(chǎn)品跌出了象限，以及有些產(chǎn)品換了新東家，雖然應(yīng)用安全檢測需求很旺盛，但市場并不大，這些年一些新勢力加入，市場競爭激烈程度有所加強。榜單產(chǎn)品中選擇在國內(nèi)主要是石化行業(yè)應(yīng)用較多的產(chǎn)品進行綜合分析，有些產(chǎn)品的主要市場不在國內(nèi)，暫不做介紹。

3.1HCLSoftware

其實就是IBM的應(yīng)用安全旗艦產(chǎn)品Appscan，前幾年售賣給HCL，其DAST是安全測評機構(gòu)、安全團隊和安全人員的必備工具，和HP的fortify同為元老級的應(yīng)用安全檢測工具。在2020年的魔力象限中可能是因為換了新東家，暫時失去領(lǐng)導(dǎo)者地位，今年重回領(lǐng)導(dǎo)者象限，但與業(yè)界領(lǐng)先者的差距還是較大。HCL繼承了IBM產(chǎn)品線全的特點，解決方案包括SAST，DAST和IAST，也分別提供標準版和企業(yè)版，而且通過Asoc提供SaaS服務(wù)，此外通過ICA和IFA技術(shù)，提高了檢測速率和降低了誤報率，但是IBM沒有SCA，其企業(yè)版通過和BD集成完善此部分功能。IAST的能力和其他競爭對手相比尚未得到認可。在石化行業(yè)，Appscan的動態(tài)檢測技術(shù)引入時間長，檢測范圍廣，其完整性和權(quán)威性還是有保障的，但是IBM產(chǎn)品優(yōu)勢和劣勢都在于產(chǎn)品過“重”，其功能的大而全在效率上就不是特突出，而且所謂的整體解決方案意味著技術(shù)之間的耦合性較強，要實現(xiàn)IBM描繪的完整功能藍圖可能需要采用從開發(fā)環(huán)境、集成系統(tǒng)和檢測平臺的整套方案。

3.2MicroFocus

又是一個長著新面孔的老朋友，MicroFocus收購了HP的安全檢測產(chǎn)品線，將Webinspect和Fortify納入麾下。在應(yīng)用檢測方面，HP的基礎(chǔ)比IBM更深厚，產(chǎn)品全，品牌認知度更高，除了具備自己的SCA外，也能和BD集成，DevInspect做得比較成熟、開發(fā)過程集成度較高。HP將此業(yè)務(wù)轉(zhuǎn)讓給MicroFocus，從絕對的領(lǐng)頭羊地位跌落，目前雖然還處于第一象限，但和HCL一樣，相對落后了，用戶普遍反映配置復(fù)雜、學(xué)習(xí)量大、易用性較差。在實測過程中，F(xiàn)ortify還是偏重與客戶端部署，與云端服務(wù)的發(fā)展趨勢不是很一致，當然客戶端部署有其優(yōu)越性，其檢測功能也依然強大，但從石化信息化發(fā)展“一切應(yīng)用上云”的要求來看，顯得有些跟不上節(jié)奏。

3.3Checkmarx

來自以色列，但凡來自這個國家的產(chǎn)品，讓人又喜又恨，喜的是技術(shù)的確非常好，而且抓住一個點能做得很深很細，恨的是市場一般，找支持找服務(wù)比較難。Checkmarx的sast做得非常強，可能是目前支持語言種類最多的產(chǎn)品，不像其他的主要支持Java或者.Net.Checkmarx有一套完整的SDLC工具集和devops方案，包括代碼庫、編譯系統(tǒng)、bug追蹤、IDE和QA測試工具，通過周期循環(huán)和并行機制，其檢測效率較高，而且配置簡單，學(xué)習(xí)難度較小。其缺點在于只做SAST，DAST是和Rapid7合作聯(lián)盟，也沒有IAST和RASP，其余WAF集成聯(lián)動只支持ModSecurity，對象不是很多。在實戰(zhàn)中，Checkmarx的服務(wù)化做得較好，可以比較簡單地實現(xiàn)多租戶管理，應(yīng)該可以通過二次開發(fā)實現(xiàn)與石化智云平臺的集成，補充完善云安全服務(wù)目錄。其增量檢測的技術(shù)也有效地降低了工作負載和檢測時長，適合企業(yè)級的應(yīng)用安全管理。但是在功能上對于配置類的安全檢測結(jié)果不如Fortify完整全面。

3.4Synopsys

中文名字叫新思，是個專做測試的企業(yè)，在中美貿(mào)易戰(zhàn)中，屬于技術(shù)禁用的企業(yè)之一，在軟硬件檢測領(lǐng)域具有很強的實力，安全的檢測市場進入時間不長，Synopsys的Coverity是代碼管理工具中C/C++掃描功能最強、誤報最少的軟件。新思來自美國加利福尼亞的山景城，近年來在AST領(lǐng)域發(fā)力，陸續(xù)收購了多家AST公司，將自己的排名從第四象限直接拉升到第一象限，這些收購包括：Cigital、Codiscope、Codenomicon、Converity、Protecode等，使其具備了IAST、SAST和SCA的較完整的支撐能力。Sysnopsys的強項之一在IoT領(lǐng)域，支持廣泛的IoT相關(guān)協(xié)議，比如XMPP、MQTT、CoAP、AMQP，除了檢測之外，安全的IDE也是開發(fā)安全管理的一個重要環(huán)節(jié)，可以在代碼輸入階段做語法檢查。工作原理并不復(fù)雜，檢測規(guī)則或者知識庫是其核心能力，這個就要看公司實力和積累了。Synopsys的問題在于北美區(qū)域之外的市場影響力不足，還有大量收購后的各類產(chǎn)品如何整合都需要進一步觀察，此外，不提供本地部署的DAST可能會在對一些安全控制敏感的組織選擇時產(chǎn)生一定影響。從其他一些新上榜的企業(yè)或者產(chǎn)品也可以看出一些技術(shù)發(fā)展的趨勢，例如Github、Gitlab的上榜，提供AST作為其更廣泛的DevOps平臺的一部分。它們在自己的工作流程中整合了商業(yè)或開源掃描軟件，可以為平臺用戶提供SAST和DAST服務(wù)。利用平臺優(yōu)勢，還為SCA提供依賴掃描。在GitLab的安全功能模塊中還包括機密管理、容器掃描的開源掃描功能和許可證合規(guī)性檢查，非常適合使用其平臺進行持續(xù)交付并需要嵌入應(yīng)用軟件安全檢測工作流程的組織。

4結(jié)束語

在2020年之前，綠盟（Nsfocus）作為唯一的國內(nèi)代表占據(jù)榜上的一席之位，現(xiàn)在的榜單已經(jīng)全部被國外品牌占據(jù)，其實從Gartner所作的技術(shù)發(fā)展趨勢分析中可見一斑，對于api、容器、云原生應(yīng)用的檢測成為重要的考核指標，國外的老牌廠商延續(xù)了自身深厚的研發(fā)功力，迅速完成了產(chǎn)品的更新迭代，形成了完整的解決方案，而國內(nèi)老牌檢測企業(yè)則尚未跟上這一變化，這不僅是檢測技術(shù)研究的落后，也是整體應(yīng)用場景覆蓋不全，反而倒是一些小而新的安全企業(yè)專門針對新興需求開發(fā)出了相應(yīng)的產(chǎn)品，但其又缺乏歷史積累，沒有形成整體解決方案，另外還有一些互聯(lián)網(wǎng)廠商根據(jù)自身需求，在引進或者開源的基礎(chǔ)上，開發(fā)出了適合需要的工具，但并未形成成熟產(chǎn)品輸出到市場。我們可以看到，應(yīng)用安全檢測市場的一些國外老牌廠商已經(jīng)在此細分領(lǐng)域耕耘了多年，也不斷開發(fā)出不同的產(chǎn)品功能和提供了適應(yīng)技術(shù)發(fā)展的業(yè)務(wù)模式，隨著安全防線左移需求的不斷加強，作為最接近核心資產(chǎn)“數(shù)據(jù)”的應(yīng)用程序，其安全性將愈發(fā)重要，也必將需要更好的安全產(chǎn)品去應(yīng)對復(fù)雜安全環(huán)境，提升組織應(yīng)用的縱深安全防護水平。

參考文獻：

[1]劉遠.石油化工行業(yè)網(wǎng)絡(luò)安全運營的探索與思考[J].中國信息安全，2019（8）.

[2]何金棟.Web應(yīng)用安全檢測工具的設(shè)計和實現(xiàn)[J].通訊世界，2016（23）.

[3]DaleGardner，MarkHorvath.MagicQuadrantforApplicationSecurityTesting，Published27May2021.

[4]聽云.解讀GartnerMQ（1）丨一文讀懂：讓微軟、華為“折腰”的Gartner魔力，2020-03-05.

[5]索亮.對主流掃描工具漏洞檢測能力的測試與分析[J].信息安全與技術(shù)，2010（06）.

[6]高秋燕.基于高校的網(wǎng)絡(luò)安全檢測與防護[J].電子世界，2021（01）.

[7]邊鋒.Web應(yīng)用安全漏洞“一掃光”[J].中國計算機用戶，2007（24）.

[8]Synopsys：DevSecOpspracticesandopen-sourcemanagementin2020，NetworkSecurity，2020-12-01.

作者：孫笑慶 單位：石化盈科信息技術(shù)有限責任公司