国家自然科学基金委员会.docx

1、国家自然科学基金委员会国家自然科学基金委员会信息系统应用软件代码安全审计服务项目技术招标文件二零一三年九月目 录1 工程概述 22 系统介绍 32.1 系统建设目标 32.2 系统介绍 33 代码安全审计范围 34 代码安全审计内容要求 44.1 上下文环境分析 44.2 静态代码审计 64.3 动态安全检查 74.4 风险分析和应对 74.5 问题跟踪 85 代码安全审计成果 85.1 代码安全审计方案 85.2 代码安全审计报告 85.3 问题跟踪报告 86 对审计方的资质要求 86.1 资质要求 86.2 技术要求 96.3 进度要求 91 工程概述在国家自然科学基金委“十二五”信息化建

2、设总体规划的指导下，规范流程，整合系统、强化基础、完善功能，到2012年，建设成以科学基金管理业务为核心，融合办公事务管理，提供信息资源共享和辅助决策支持的科学基金管理平台，实现统一系统，统一门户，统一编码，统一数据，统一共享的新一代信息化管理系统。为全面贯彻基金委“十二五”信息化建设总战略，新一代基金委信息化管理系统将更好地服务于国家科学界，服务于科学基金的管理者、专家和广大科研人员，提高科学家和公众的认知度和满意度，有效降低行政成本，提高监管能力和公共服务水平。2 系统介绍2.1 系统建设目标国家自然科学基金委信息系统建设工程以国家自然科学基金项目管理为核心，综合运用创新的管理理念和先进的

3、信息技术，建立覆盖基金项目全过程生命周期的业务支撑和信息管理与服务平台。在实现业务管理信息化的同时，进一步推进内部办公的全程电子化和对外信息发布的网络化进程。通过国家自然科学基金信息系统的实施，初步建成网络化、数字化、安全、可靠、高效的国家自然科学基金信息共享环境和支撑服务体系，进一步提升信息化基础设施的建设水平，拓展和完善数据中心的服务能力，为科学基金资助管理提供深层次的信息化服务与支持，为基础科学研究提供信息共享服务支持。2.2 系统介绍国家自然科学基金委新一代信息系统的建设内容包括科学基金管理、电子政务办公、数据资源共享、辅助决策支持等内容的信息库，分别为项目基本信息库、项目拨款信息库、

4、专家与人才信息库、依托单位信息库、学术和科研成果库、组织机构信息库、用户信息库、电子文档信息库、项目档案信息库和网站内容信息库。科学基金管理系统是基金委的核心业务系统，涵盖全过程项目管理子系统、计划与财务管理子系统、依托单位和地区联络网管理子系统和专家人才管理子系统。3 代码安全审计范围 本次代码安全审计范围包括国家自然科学基金委新一代信息系统的全部建设内容，代码文件共计17773个，文件大小约289M。4 代码安全审计内容要求4.1 上下文环境分析以软件生命周期为主线，收集、整理并分析各种应用程序代码相关的资料（这些资料包括用户需求说明书、需求规格说明书、概要设计与详细设计、安全设计要求、测

5、试方案等），对应用系统的上下文环境进行必要的分析，以攻击者视角识别出各种可能的潜在威胁。包含需求风险分析、架构风险分析以及设计风险分析等内容。4.1.1 需求风险分析利用已有的用户需求说明材料，并结合与相关方（用户及用户代表、开放方等）进行面对面访谈或者调查问卷的形式，收集安全相关信息（包含涉众分析、核心资产信息等）。通过分析用户的类型、业务诉求以及权限等信息确认用户信任等级，识别出攻击者可能利用的攻击场景，通过分析业务需求以及系统功能需求，识别出攻击者关注的信息资产（潜在攻击者的攻击目标）。4.1.1.1 用户分析按照系统的需求，将用户进行分类整理，并确认用户对系统安全的信任等级。细致的用户

6、分析，可以为未来的风险应对措施提供参考，有效降低整个应用系统的安全管控成本。4.1.1.2 资产分析信息资产是潜在攻击者所关注的目标，在进行全面的代码安全审计工作之前，识别信息系统所涉及到的核心资产是必不可少的步骤。对于网站类信息资产主要有如下三个大的方面： 系统使用者，包含系统使用者的登录凭据、个人信息等； 应用系统，包括系统远程执行代码的能力，执行数据库的读写操作的能力，以及系统本身的可用性和完整性； 站点，包括系统使用者的会话信息、访问数据库（数据文件）的能力、创建人员的能力以及安全审计日志等。4.1.2 架构风险分析利用已有的需求文档、架构设计（概要设计）文档，并结合访谈或问卷形式，收

7、集关于系统出入点、操作用例、第三方程序使用情况的信息，识别出架构设计中存在的安全风险。4.1.2.1 系统出入点系统出入点是所有外部或内部对象访问系统的界面，同时也是攻击者对目标系统进行攻击的关键节点。出入点是联系攻击者与核心资产之间的重要通道，将所有识别出来的系统出入点组织在一起，就成为整个系统的暴露面。同时结合其他上下文分析，分析出针对每一个出入点所对应的信任等级。如下为出入点信任等级的示例：4.1.2.2 用例与数据流分析根据已有需求文档中用户用例、数据流图等信息，确定系统内部的安全边界。核实这些安全边界是否符合用户（或对象）的角色定义要求，是否存在跨越边界的特权用户和特权代码。4.1.

8、2.3 外部依赖及组件分析根据需求文档、设计文档等梳理系统的基础开发、运行等环境，并对这些内容进行安全分析。主要包含如下内容： 网站部署的位置 主机的操作系统 WEB服务平台 采用的数据库系统 任何第三方的组件等4.1.3 设计风险分析通过查看设计文档、代码开发规范、访谈或者问卷的形式，了解代码开发团队采用的安全控制措施情况，以最快的方式了解到系统可能存在的安全漏洞。访谈或问卷主要关注如下类型控制措施在系统设计与编码实践过程中的实施情况： 输入验证 身份验证 授权 配置管理 敏感数据 会话管理 加密技术 参数操作 异常管理 审核和日志记录等4.2 静态代码审计静态分析首先利用工具分析程序的源代

9、码，其次利用人工审计的方法对关键的问题或节点进行确认。通过提取程序关键语法，解释其语义，理解程序行为，根据预先设定的漏洞特征、安全规则等检测缺陷。静态分析技术采用的方法主要有：规则检查、类型推导、数据流分析、控制流分析等。4.2.1 规则检查程序本身的安全性可由安全规则描述。程序本身存在一些编程规则，即一些通用的安全规则，也称之为漏洞模式，比如程序在root权限下要避免exec调用。 规则检查方法将这些规则以特定语法描述，由规则处理器接收，并将其转换为分析器能够接受的内部表示，然后再将程序行为进行比对、检测。4.2.2 约束分析约束分析方法将程序分析过程分为约束产生和约束求解两个阶段,前者利用

10、约束产生规则建立变量类型或分析状态之间的约束系统 ,后者对这些约束系统进行求解。约束系统可以分为等式约束、集合约束和混合约束三种形式。等式约束的约束项之间只存在相等关系。集合约束把每个程序变量看成一个值集 ,变量赋值被解释为集合表达式之间的包含关系。混合约束系统由部分等式约束和部分集合约束组成。4.2.3 数据流分析数据流分析是一组在不运行程序的条件下，从程序中获取数据流信息的技术，数据流信息最终被传递给检测识别系统进行进一步缺陷分析。在数据流信息获取方面，分析的精度问题至关重要，从流不敏感、流敏感和路径敏感三个方面来增加分析的精度。如：流不敏感分析给出的是一个函数整体的数据流信息；流敏感的分

11、析给出函数控制流图上每一个点对应的信息；路径敏感分析对函数控制流图上每个点可能给出多个信息，沿着不同的路径到达同一个程序点可能会产生不同的状态信息，路径敏感分析保留这些不同的信息。4.2.4 控制流分析控制流分析对程序执行时可能经过的路径进行图形化表示，根据不同语句之间的关系，尤其是由“条件转移”、“循环”等引入的分支关系，通过对这些语句的处理，得到关于程序结构的图形化分析。控制流分析可以检测潜在危险的操作执行顺序。通过分析程序中的控制流路径，能确定在执行一系列操作时是否遵循了特定的顺序。4.3 动态安全检查静态安全检查本身具有一定的局限性，为了更为有效的完成代码审计工作，有效发现代码存在的安

12、全缺陷，有必要对测试环境中的应用系统进行外部、动态的安全检查。主要安全检查的内容： 端口安全扫描：利用自动化的端口工具对测试环境的暴露面主机、网络进行全方位的端口漏洞检查。以验证系统、平台等相关要素的安全性。 应用程序安全扫描：利用自动化的网站应用扫描工具对目标测试系统进行自动化检测，一方面可以验证一部分代码审计中发现的漏洞，另一方面弥补静态审计中可能遗漏的漏洞或弱点。 人工漏洞验证：对于存在疑问的漏洞，可以采用人工漏洞验证的方式进行检查和确认。4.4 风险分析和应对利用合适的威胁分析模型进行风险分析，评价出所有识别出的漏洞的风险值，并进行排序。根据每一风险的风险值制定响应的应对措施。最终形成

13、信息系统应用软件代码安全审计报告。根据组织的安全控制策略要求，应对措施可以分为如下几种： 忽略 跟踪 减弱 接受 转移4.5 问题跟踪根据安全代码审计报告中的问题或漏洞列表，跟踪开发团队或运营维护团队对问题或漏洞的修正情况，对完成修正的问题或漏洞进行再次确认和检查，最终形成问题跟踪报告。5 代码安全审计成果5.1 代码安全审计方案代码安全审计方案主要是如何实施代码安全审计项目的一个执行方案。至少包含审计目标、参考依据、方法论模型、代码安全审计内容、核心技术手段、项目过程控制、环境要求、配合要求、进度计划安排等内容。5.2 代码安全审计报告安全审计工作主体任务完成后，制作代码安全审计报告。报告内

14、容至少包含代码安全综合评价、过程性详细分析结果、问题（风险）跟踪表等信息。5.3 问题跟踪报告问题跟踪报告是在问题跟踪表基础之上建立的文档，主要包含代码安全问题、影响评价、应对措施以及应对措施的执行情况等信息。6 对审计方的资质要求6.1 资质要求6.1.1 投标人必须已开展代码安全审计相关工作2年以上；且具有政府部委信息安全项目成功案例5个或5个以上（中标后提供合同复印件盖章备查）。6.1.2 投标人必须拥有专业代码安全审计人员5人以上，且全部为机构编制内人员或与机构签订2年以上劳动合同的聘用人员。6.1.3 参加本项目的主要技术人员应具有中国信息安全产品测评认证中心颁发的国家信息安全认证注

15、册信息安全专业人员证书（CISP）。6.1.4 拥有与开展代码安全审计相适应的安全检测设备与检测工具。6.2 技术要求审计方提供的代码安全审计方案包括但不限于以下要求：（1） 依据国家的漏洞标准或行业内漏洞标准，对信息系统代码进行安全审计，审计结束后形成代码安全审计报告文档。（2） 实施前需要提前提交整体实施方案，方案至少包含主要方法、工具、人员及进度安排等信息。（3） 实施前，参与人员必须签署必要的保密协议，并在实施过程中必须遵守如下基本的保密要求： 信息传递，检测过程中存在的电子信息的传递，按照保密级别分类进行传送。采用电子邮件传递的信息，需使用附件形式，文件包采用一次一密，密码采用汉字、

16、字母、数字、有效字符组合的方式进行。检测涉及软件源代码、中间文件、可运行实体等重要信息，采用专人专用介质送递。 网络隔离，检测环境与其它网络环境严格物理隔离，对进出测试环境的人员采取严格管理，只有测试人员和其它必要人员方可进入，确保测试过程中源代码的安全和保密。 测试人员不得私自开启计算机机箱，不得私自装配并使用可读写光驱、磁带机、磁光盘机、USB和硬盘等外置存储设备。 测试人员不得泄露被测源代码信息，不得与知密范围以外人员谈论被测源代码信息。（4） 代码审计过程不能影响各项业务的进行，对危险操作给出风险规避方案，并指明可能产生的后果，在征得批准后方可实施。（5） 代码审计方需要提供参与项目的人员与组织情况、服务报价及其他优惠条件。6.3 进度要求 要求中标方在签订合同后，一个月内完成合同所规定的代码审计工作。