1.创新基金(能力建设类)-源代码安全检测与风险控制技术研究_new要点解析.doc

中国电力科学研究院科技创新 基金项目 可行性研究报告 （能力建设类） 项目名称： 智能电网应用系统代码级安全检测与风险控制技术研究 申请单位： 中国电力科学研究院 2013 年 1月 至 2013 年 12 月 项 目 负 责 人 ： 刘楠 联系电话： 010865 电子邮箱： Liunan2009@ 申请日期： 2012年 7 月  一、需求分析 1. 需求环境和潜在客户分析 “十一五”末，国家电网公司（以下简称“公司”）信息化“SG186”工程建设顺利竣工，“SG-ERP”正逐步推进，信息化工作由建设向运行和深化应用转变。“十二五”期间，公司提出建设坚强智能电网、构建“三集五大”体系，深入推进“两个转变”、建设“一强三优”现代公司的战略目标，信息化作为推进公司实现发展战略目标的核心保障体系，作用日益突出。随着智能电网的建设，开发厂商服务能力和软件质量对国家电网公司及其下属电网省公司乃至整个电网系统的信息化建设都将会产生的影响1-4级应用安全中规定对代码安全进行测评，公司文件《 Q／GDW 597-2011国家电网应用 软件通用安全要求》中规定应对代码缺陷进行检测。 国网公司先后发布《国家电网公司计算机软件著作权管理与保护办法》和《2010年软件著作权管理与保护工作实施意见》，文件中明确要求加强软件著作权管理与保护，对软件著作权资料的提交、审核和使用作了明确的要求，确保提交的源代码的真实、完整、可用，并要求进行软件著作权资料审核和验证方法研究，为软件著作权管理与保护工作提供技术保障。 3. 目的和意义 源代码安全检测与风险控制技术的研究弥补了中国电科院（以下简称“我院”）在软件在代码层面研究上的不足，提升了我院源代码的检测能力，降低对外部技术的依存度。通过对开发人员与检测人员进行安全培训，可以提高电力行业开发人员及测试人员安全意识，指导开发实践，从根源上保障电力信息系统良性发展。 同时，本项目研究成果将对国家电力系统的信息安全建设工作提供有力的支撑，通过试点示范与推广应用紧密衔接的方式，实现技术研究成果的及时、有效转化，为今后电网应用系统提供体系化的保障，为国家重要行业和央企的信息安全防护工作率先示范。另外，研究成果的广泛应用也将会对源代码安全检测与风险控制的有关研究与建设提供参考，持续的完善和提升可以促进源代码检测业务的标准化与规范化，符合本单位信息系统发展的需要。 二、可行性分析 1. 竞争性技术分析 (1) 国外研究水平的现状和发展趋势 国外十分重视源代码安全检测与风险控制工作，各国纷纷开展了相关的研究项目和计划。在代码安全检测方面，2006年，美国国土安全部（DHS）为了检测开放原代码软件是否安全，于1月展开一项为期3年、总计124万美元的计划，通过斯坦福大学、厂商Coverity和赛门铁克共同合作，对开源软件进行安全性检测。欧盟也于2007年3月22日正式通过了关于建立欧洲信息安全社会战略的决议。在代码风险控制方面，目前已有诸如ORACLE、SAP、Intel 、Cisco 等大型企业把源代码同源性检测引入到本公司的所有开发部门，进行源代码检测和管理，以规避知识产权风险。代码搜索技术随着搜索引擎技术的发展而不断丰富，也形成了较为成熟的代码同源性多重匹配定位技术，如文件比对、文本比对、Token比对、语法比对、语义比对技术，这些技术都能够在不同程度上找到代码文件相似性，越新出现的技术越能够在更深层次上识别出相似代码。基于以上技术，已经形成了几款成熟的商业的和开源的源代码同源性检测工具以及一些其他常用的开源组件知识产权检测产品。 (2) 国内研究水平的现状和发展趋势 在国内，源代码安全检测与风险控制工作缺乏相应的成熟工具，尚处在技术研究阶段。一些研究机构如华北计算技术研究所等开始着手一些技术研究，并利用商业检测工具开展源代码缺陷检测业务。中国信息安全测评中心为代表的测评机构也开始着手研究相关技术，目前尚不成熟，却不对外提供服务。而在代码风险控制方面，大多数软件开发企业特别是最终用户对软件同源性鉴别观念意识不强，因知识产权问题造成的安全风险近年内屡有发生。仅有少数几个研究机构对代码同源性分析技术作了一定的探索，如采用多种代码分析方式、在文本、Token、语法等层次上进行同源性分析，能够提供较为精确的同源性检测结果，也已形成为数不多的几款同源性检测工具。但精确快捷的定位分析和建立满足行业应用特殊性的基准数据库仍存在一定的不足和空白，更缺少了完备的源码基准数据库与高效精确的同源鉴别技术并存一体的兼备模式。 2. 项目承担单位的研究基础 (1) 项目承担单位研究水平的现状 中国电力科学研究院（简称中国电科院）成立于1951年，是国家电网公司直属科研单位，是中国电力行业多学