案例详情
  • 国家互联网应急中心案例
    2014年09月项目组与国家信息技术安全研究中心签署了软件代码安全合规性检测工具采购合同。
案例详情

实施工作:
    国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构。作为国家级应急中心,CNCERT的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行。
    CNCERT在中国大陆31个省、自治区、直辖市设有分支机构。目前,CNCERT作为我国网络安全应急体系的核心协调机构,通过组织网络安全企业、学校、民间团体和研究机构,协调骨干网络运营单位、域名服务机构和其他应急组织等,构建我国互联网安全应急体系,共同处理各类互联网重大网络安全事件。
    2014年09月项目组与国家信息技术安全研究中心签署了软件代码安全合规性检测工具采购合同。
    1、 在该单位实施软件代码安全合规检测工具,通过运用静态分析技术,针对安全编程标准的相关要求对软件代码进行安全合规性检测。
    2、 通过该工具,可自动识别软件安全漏洞、质量缺陷、架构问题,并能进行软件度量,根据检测结果评估软件安全性并生成软件质量报表。
    3、 支持国际、国内以及互联网应急中心的自定义标准规则集。包括:ISO/IEC TS 17961:2013《C Secure Coding Rules》(C语言安全编程标准)、MISRA C 2004英国汽车工业软件可靠性联会 C语言标准、MISRA C++  2008英国汽车工业软件可靠性联会 C++语言标准。GJB 53692005航天型号C语言安全子集、GJB 8114C/C++语言编程安全子集等。
    4、 同时支持CWE、OWASP组织的高危缺陷及漏洞。包括:空指针解引用、释放非堆内存、缓冲区溢出、内存泄漏、资源泄漏、释放未分配内存、注入缺陷、线程死锁、不可达代码、未经验证的用户输入、使用未初始化变量、返回局部变量、DNS欺骗等。
    5、 提供一个全闭环的静态代码检测的周期,主要功能需包括被检文件同步(上传),检测项配置,进行合规性及漏洞缺陷检测及软件度量,检测结果输出定位以及检测结果确认的一体化界面。
客户受益:
    1、 通过实施软件代码安全合规性检测工具项目,已在CNCERT建立一套完整的安全测试审计制度,减少由不规范、不安全的编码而产生的安全性漏洞,真正地提高了互联网及IT应用系统的质量和安全性。
    2、 通过工具自动对网站的源代码验证分析后,检测出各类网站高危漏洞220余条,主要包括:分布式拒绝服务攻击(DDoS攻击)、网页暗链篡改、Weblogic服务器Java反序列化漏洞、ARM内核系统存在预置ROOT权限口令漏洞、Squid服务器拒绝服务漏洞、Squid服务器拒绝服务漏洞、libupnp函数库缓冲区溢出漏洞、Redis未授权访问漏洞等漏洞。
    3、 COBOT能够在网站上线之前发现网站潜在的安全漏洞,大大降低了运行时的安全漏洞,对提高网站的安全性具有重要意义。
    4、 通过实施软件代码安全合规性检测工具后,CNCERT已经处置了网络安全事件13573起,包括处置DDoS攻击服务售卖平台14个,DDoS攻击控制服务器51个,通知1706个被篡改和916个被植入后门的网站用户单位对网站进行修复。