工業(yè)互聯(lián)網(wǎng)安全脆弱性分析與檢測標(biāo)準(zhǔn)

1工業(yè)互聯(lián)網(wǎng)安全脆弱性分析與檢測規(guī)范GB/T5271.8-2001信息技術(shù)詞匯第8部GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險檢測GB/T25056-2010信息安全技術(shù)證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)GB/T28452-2012信息安全技術(shù)應(yīng)用軟件系統(tǒng)通用安全技術(shù)GB/T302791-2013信息安全技術(shù)安全漏洞等級劃分GB/T35273-2017信息安全技術(shù)個人信息安GB/T30976.1-2014工業(yè)控制系統(tǒng)信息屬于泛互聯(lián)網(wǎng)的目錄分類。使用開放性網(wǎng)絡(luò)來連接人、數(shù)據(jù)與機(jī)器，激發(fā)工業(yè)化生2也可包括諸如真實性、可核查性、不可否認(rèn)性工業(yè)互聯(lián)網(wǎng)系統(tǒng)安全脆弱性動態(tài)分析DynamicAnalysisofSecurityVulnerabilityofICS：工業(yè)控制系統(tǒng)（IndustriDCS：分布式控制系統(tǒng)/集散控制系統(tǒng)（DistributedControlSystePCS：過程控制系統(tǒng)（ProcessControlSystePLC：可編程序控制器（ProgrammableLogicControlRTU：遠(yuǎn)程終端控制系統(tǒng)（RemoteTerminalIED：智能電子設(shè)備/智能監(jiān)測單元（IntelligentEHMI：人機(jī)界面（HumanMachineInterfaSIS：生產(chǎn)過程自動化監(jiān)控和管理系統(tǒng)（SupervisoryInformatio3MES：制造執(zhí)行管理系統(tǒng)（ManufacturingExecutionSysteSCADA：數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SupervisoryControlandDataAca)構(gòu)建工業(yè)互聯(lián)網(wǎng)系統(tǒng)的威脅分類和攻b)利用相關(guān)方法對工業(yè)互聯(lián)網(wǎng)系統(tǒng)安全脆弱性做分析；用5測準(zhǔn)備階段根據(jù)歷史統(tǒng)計或行業(yè)判斷予以確定，并得到被檢測方5高43中21低威脅幾乎不可能發(fā)生，僅可能在非常罕見和如，系統(tǒng)受到病毒攻擊頻率，系統(tǒng)不可用頻率，系統(tǒng)遭遇黑客攻按攻擊造成的危害分類可以分為以下b)系統(tǒng)停服：入侵者往往采用簡單粗暴的方式，向平臺系統(tǒng)中關(guān)鍵部件發(fā)送大量包，使得目標(biāo)部件失去功能，使得系統(tǒng)的完整性遭到c)網(wǎng)絡(luò)中斷：不同于系統(tǒng)停服，入侵者雖然無法控制目標(biāo)設(shè)備，也無法使其癱瘓，但是可以通d)數(shù)據(jù)篡改：系統(tǒng)中傳輸和存儲的信息數(shù)據(jù)是工業(yè)互聯(lián)網(wǎng)系統(tǒng)實現(xiàn)6e)非法接入：智能表計、智能家電、分布式能源設(shè)備等多種智能終端大量接入。業(yè)務(wù)終端數(shù)量攻擊對象云協(xié)議智能端攻擊步驟攻擊執(zhí)行攻擊執(zhí)行攻擊部署入侵滲透攻擊準(zhǔn)備攻擊危害攻擊樣本知識庫的構(gòu)建從六個對象類描述并封裝攻擊樣本，為實現(xiàn)攻擊個體以及基于攻擊個a)具體攻擊行為：具體攻擊行為描述的是攻擊者完成一個原子攻擊所進(jìn)c)安全狀態(tài)：安全狀態(tài)包含被攻擊目標(biāo)的狀態(tài)和攻擊者的狀態(tài)，如攻擊者當(dāng)前的起始權(quán)限，這d)代碼實例：代碼實例作為具體攻擊行為的實現(xiàn)將能夠被攻擊過程的模擬平臺在攻擊過程中直e)安全漏洞：安全漏洞對攻擊行為所依附的漏洞宿主進(jìn)行描述，包括漏洞宿主的軟硬件、操作7利用攻擊前提/攻擊后果安全狀態(tài)攻擊特征攻擊特征攻擊方法代碼實例利用攻擊前提/攻擊后果安全狀態(tài)攻擊特征攻擊特征攻擊方法代碼實例f)攻擊行為間關(guān)聯(lián)關(guān)系：為了對攻擊過程進(jìn)行模擬，攻擊樣本庫需要對攻擊行為間的前后依賴安全漏洞安全漏洞攻擊者狀態(tài)攻擊者狀態(tài)量攻擊數(shù)據(jù)包監(jiān)測報警主機(jī)日志其他攻擊行其他攻擊行為6.3.1工業(yè)互聯(lián)網(wǎng)系統(tǒng)安全脆弱性二進(jìn)制文件逆向與中間語8缺陷智能識別模擬執(zhí)行數(shù)據(jù)流分析基于中間語言的缺陷識別缺陷智能識別模擬執(zhí)行數(shù)據(jù)流分析基于中間語言的缺陷識別中間語言表示中間語言表示二進(jìn)制文件結(jié)構(gòu)與程序結(jié)構(gòu)分析逆向與中間語言表示.2二進(jìn)制文件結(jié)構(gòu)與程序以Mach-O文件格式為例。Mach-O文件格式是OSX與iOS系統(tǒng)上的可執(zhí)行文件格式，類似于2.LoadCommands：這一段9第一行DataHI前四個字節(jié)0x0100000C表示CPU的廠商，后四第二行DataLO前四個字節(jié)0x00100000表示數(shù)據(jù)偏移量，即數(shù)據(jù)記錄地址開始的位置。后四個字節(jié)第三行DataLO前兩個字節(jié)0x000B表示符號表數(shù)據(jù)塊結(jié)構(gòu)重定向后的偏移地址。后兩個字節(jié)ADDMULMODANDNOPNOPbbbb6.3.2工業(yè)互聯(lián)網(wǎng)系統(tǒng)安全脆弱性基于動態(tài)污點(diǎn)的工控協(xié)議動播路徑跟蹤、安全性斷言這三個步驟。基于動態(tài)污 工控指令識別令發(fā)現(xiàn)漏洞基于文法模糊的動態(tài)漏洞挖塊參考列表，特殊應(yīng)用（如WEB應(yīng)用、移動應(yīng)用）的弱點(diǎn)有部分涉及，但不是本章節(jié)描述重點(diǎn)。脆弱性檢脆弱性檢測指標(biāo)：代碼應(yīng)避免將可信和不可信數(shù)據(jù)組合在同一結(jié)構(gòu)體中，違背信任邊界。脆弱性檢測人員應(yīng)檢查代碼安全體系是否將來自可信源和非可信源的數(shù)據(jù)混合在同一數(shù)據(jù)結(jié)構(gòu)體a)脆弱性檢測人員應(yīng)檢查代碼安全體系聲明為b)脆弱性檢測人員應(yīng)檢查代碼安全體系是否將公共數(shù)據(jù)分配給私有數(shù)組，如果結(jié)a)應(yīng)檢查代碼安全體系中包含敏感數(shù)據(jù)的類是否可復(fù)制，如Java語言中的實現(xiàn)了Clonenableb)應(yīng)檢查代碼安全體系中包含敏感數(shù)據(jù)的類是否可實現(xiàn)了序列化接口，使類可序列脆弱性檢測人員應(yīng)檢查代碼安全體系中的應(yīng)用程序編程接口（API）或與將不可序列化的對象存儲到磁盤上可能導(dǎo)致序列化失敗和應(yīng)用程序崩潰。a)不正確的變量或引用；脆弱性檢測人員應(yīng)檢查代碼在釋放堆內(nèi)存前是否采用合適的方式進(jìn)行信息的清理。如C語言中是否使用realloc()調(diào)整存儲敏感信息的緩沖區(qū)大小，如存在該操作，將存在可能暴露敏感信息的風(fēng)險。realloc()函數(shù)不是從內(nèi)存中刪除，而通常是將舊內(nèi)存塊的內(nèi)容復(fù)制到一個新的、更大的內(nèi)存塊，這可能暴露給攻擊者使用“memorydump”或其他方法來進(jìn)行讀取敏感數(shù)據(jù)的“堆檢查”攻擊。脆弱性檢測指標(biāo)：不應(yīng)使用不兼容類型的指針來訪問脆弱性檢測指標(biāo)：應(yīng)避免使用指針的減法來確定內(nèi)存脆弱性檢測人員應(yīng)檢查代碼是否將一個NULL或0以外的固定地址賦值給指針。將固定地址賦值給指脆弱性檢測指標(biāo)：不應(yīng)把指向非結(jié)構(gòu)體類型指針強(qiáng)制轉(zhuǎn)換a)應(yīng)檢查代碼安全體系是否對關(guān)鍵變量進(jìn)行初始化，未初始化關(guān)鍵變量易導(dǎo)致系統(tǒng)按非預(yù)期值b)應(yīng)檢查代碼安全體系是否采用了不安全或安全性較差的缺省值來初始化內(nèi)部變量。缺省值通c)應(yīng)檢查代碼安全體系中關(guān)鍵的內(nèi)部變量或資源是否采用了可信邊界外的外部輸入值進(jìn)行初始可能會導(dǎo)致資源在使用階段就被過早釋放，脆弱性檢測人員應(yīng)檢查代碼安全體系在初始化失敗后能否安全7.5.6啟用后臺線程前主線程未完脆弱性檢測指標(biāo)：不應(yīng)在初始化類時啟用后a)脆弱性檢測人員應(yīng)檢查代碼安全體系中當(dāng)特定錯誤（如不可恢復(fù)邏輯錯否在以不可預(yù)測的狀態(tài)繼續(xù)執(zhí)行，而導(dǎo)致數(shù)據(jù)有被損壞的風(fēng)險，在程b)脆弱性檢測人員應(yīng)檢查代碼安全體系在使用資源后是否恰當(dāng)?shù)貓?zhí)行臨時文件或輔助資源的清d)應(yīng)檢查是否確保線程池中正在執(zhí)行的任務(wù)失敗后給出提示；f)應(yīng)檢查是否對函數(shù)或操作返回值是否為預(yù)期值進(jìn)行了檢查；g)應(yīng)檢查是否返回定制的錯誤頁面給用戶來預(yù)防敏感信息的泄露。脆弱性檢測指標(biāo)：應(yīng)避免關(guān)鍵狀態(tài)數(shù)據(jù)被外脆弱性檢測指標(biāo)：應(yīng)對外部可訪問鎖加以限制，不允許被預(yù)期范圍之外的實體影響。a)應(yīng)檢查代碼安全體系中如果信號處理函數(shù)不可中斷，那么信號處理函b)應(yīng)檢查代碼安全體系中信號處理函數(shù)代碼序列是否包含非異步安全代碼序列，脆弱性檢測指標(biāo)：應(yīng)對共享資源使用正確的并發(fā)處理a)應(yīng)檢查代碼安全體系在多線程環(huán)境中對共享數(shù)據(jù)的訪問是否為同步訪問，如果結(jié)果為否定，b)應(yīng)檢查代碼安全體系中線程間共享的對象是否聲明正確的存儲持續(xù)期，如果結(jié)e)應(yīng)檢查代碼安全體系中多個線程中等待彼此釋放鎖的可執(zhí)行片段是否避免了死鎖情況發(fā)生，g)脆弱性檢測人員應(yīng)檢查代碼是否將敏感數(shù)據(jù)存儲在沒有被鎖定或被錯誤鎖定的內(nèi)存中，（將敏感數(shù)據(jù)存儲于加鎖不恰當(dāng)?shù)膬?nèi)存區(qū)域，可能會導(dǎo)致該l)應(yīng)檢查代碼安全體系中在異常發(fā)生時是否釋放已經(jīng)持有的鎖，如果結(jié)果為否定，則提示存在b)應(yīng)檢查代碼安全體系中臨時文件是否在程序終止前移除，如果結(jié)果為否定，則提示存在安全c)應(yīng)檢查代碼安全體系中是否在具有不安全權(quán)限的目錄中創(chuàng)建臨時d)應(yīng)檢查是否違背最小特權(quán)原則，以高于功能所需的特權(quán)級別（如根用戶或管理員用戶）在執(zhí)k)應(yīng)檢查是否可避免攻擊者使用欺騙、候選名、候選路徑/通道或捕獲重放攻擊等手段繞過身份m)對于客戶端/服務(wù)器架構(gòu)的產(chǎn)品，應(yīng)檢查是否避免僅在客戶端而非服務(wù)器端執(zhí)行認(rèn)證，如果結(jié)n)應(yīng)檢查是否避免過于嚴(yán)格的賬戶鎖定機(jī)制（賬戶鎖定保護(hù)機(jī)制過于嚴(yán)格且容易被觸發(fā)，就允p)應(yīng)檢查是否未對信道兩端的操作者進(jìn)行充分的身份認(rèn)證，或未充分保證信道的完整性，從而q)應(yīng)檢查是否避免通信通道源的驗證不當(dāng)，確保請求來自預(yù)期源，如s)應(yīng)檢查通信信道是否正確指定目的地來預(yù)防如下風(fēng)險：攻擊者在目的地偽裝成受信任的服務(wù)c)應(yīng)檢查是否避免對敏感數(shù)據(jù)的明文存儲或明文傳輸；e)應(yīng)檢查是否選擇被業(yè)界專家公認(rèn)比較健壯的算法，未自行開發(fā)或定制私有加密算法并定期確c)應(yīng)檢查是否避免偽隨機(jī)數(shù)生成器（PRNG）每次都使用相同的種子、可預(yù)測的種子（如脆弱性檢測指標(biāo)：應(yīng)驗證數(shù)據(jù)的起源或真實性，避免接收無效b)應(yīng)檢查是否未驗證或不正確驗證數(shù)據(jù)的密碼學(xué)簽名；d)應(yīng)檢查是否缺失或進(jìn)行不恰當(dāng)完整性檢e)應(yīng)檢查安全相關(guān)的輸入是否僅依賴于加密技術(shù)而未進(jìn)行完整性檢查；g)應(yīng)檢查是否信任來自系統(tǒng)事件的信息；h)應(yīng)檢查是否依賴未經(jīng)驗證和完整性檢查的Cooki脆弱性檢測指標(biāo)：應(yīng)避免非預(yù)期數(shù)據(jù)類型處脆弱性檢測指標(biāo)：應(yīng)防止以大小寫混合的方式繞過凈化和脆弱性檢測指標(biāo)：不應(yīng)混用具有泛型和非泛型的原始數(shù)據(jù)脆弱性檢測指標(biāo)：不應(yīng)將結(jié)構(gòu)體的長度等同于其各個成員長度脆弱性檢測人員應(yīng)檢查代碼在進(jìn)行數(shù)值范圍比較時，是否c)通過差異性（響應(yīng)差異性、行為差異性、時間差異性）導(dǎo)脆弱性檢測指標(biāo)：應(yīng)避免對數(shù)據(jù)結(jié)構(gòu)控制域的刪除或意外會引起嚴(yán)重編程邏輯錯誤，應(yīng)避免對數(shù)據(jù)結(jié)構(gòu)控制域刪脆弱性檢測指標(biāo)：不應(yīng)對環(huán)境變量的長度做脆弱性檢測指標(biāo)：應(yīng)避免在文件訪問前對鏈接解析不脆弱性檢測指標(biāo)：應(yīng)避免執(zhí)行的命令或加載的庫文件脆弱性檢測指標(biāo)：應(yīng)避免外部控制的格式化脆弱性檢測指標(biāo)：應(yīng)對方法或函數(shù)的參數(shù)進(jìn)脆弱性檢測人員應(yīng)檢查代碼是否存在對方法或函數(shù)的參數(shù)進(jìn)行合法性或安全性校驗。脆弱性檢測指標(biāo)：不應(yīng)開放不可信站點(diǎn)的U脆弱性檢測指標(biāo)：應(yīng)正確處理SQL命令中7.9.31未恰當(dāng)處理語法形式不完全符合預(yù)期脆弱性檢測指標(biāo)：應(yīng)恰當(dāng)處理輸入語法形式不完全符合預(yù)期規(guī)范的a)脆弱性檢測人員應(yīng)檢查代碼是否正確處理當(dāng)參數(shù)被定義但相關(guān)的值缺脆弱性檢測指標(biāo)：應(yīng)對輸出日志中的特殊字符進(jìn)行過濾和脆弱性檢測人員應(yīng)檢查代碼是否對HTTP頭中的Web腳本特殊字符進(jìn)行過濾處理。因HTTP頭中的Web脆弱性檢測人員應(yīng)檢查代碼是否存在允許實體在授權(quán)或認(rèn)證前執(zhí)行合法但代價高的操作。脆弱性檢測人員應(yīng)檢查代碼是否存在重復(fù)釋放資源的情形脆弱性檢測人員應(yīng)檢查代碼調(diào)用的內(nèi)存管理函數(shù)是否匹配，如malloc/free來分配或刪除資源。當(dāng)脆弱性檢測指標(biāo)：switch等條件語句中不應(yīng)缺失默認(rèn)脆弱性檢測人員應(yīng)檢查代碼switch等條就會被釋放，再使用該變量地址時會出現(xiàn)意想不脆弱性檢測指標(biāo)：不應(yīng)出現(xiàn)表達(dá)式永真或永脆弱性檢測人員應(yīng)檢查代碼是否存在表達(dá)式邏輯永真或永假代碼的7.12.4漏洞嚴(yán)重性檢測指標(biāo)項的依據(jù)建立的檢測模型與每類指標(biāo)的相對重要性，構(gòu)造判斷矩陣表，查表獲得信息系統(tǒng)漏洞嚴(yán)重性等級。工業(yè)互聯(lián)網(wǎng)系統(tǒng)漏洞嚴(yán)重性檢測計算示例見a)具有中華人民共和國境內(nèi)注冊的獨(dú)立法人資格；b)具備分析脆弱性對系統(tǒng)的影響的能力，能夠識別脆弱性對所實施的系統(tǒng)的影響，并對發(fā)生影d)具備檢測系統(tǒng)脆弱性狀況的能力，能對風(fēng)險變化、事件記錄、b)服務(wù)合同簽訂：與客戶簽訂服務(wù)協(xié)議，明確服務(wù)范圍、目標(biāo)、時間、內(nèi)容、金風(fēng)險等方面要求。根據(jù)項目需求組織客戶及相關(guān)技術(shù)專家對技術(shù)方案和實施方案進(jìn)行論證，a)依照項目需求和項目范圍的要求，提出項目初驗申請，組織客戶和相2n122n121n12x分本身的狀況來進(jìn)行直接的給定，而一些賦值是根據(jù)后文給出的情況來進(jìn)行判定后進(jìn)行打分，其中d111、漏洞嚴(yán)重性A漏洞存在的可能性對目標(biāo)系統(tǒng)安全無無0表E.7官方補(bǔ)丁、臨時補(bǔ)丁、臨時解決方案0有表E.8漏洞存在的可能性、技術(shù)細(xì)節(jié)報告低中高B低中高2019-05-10Android低案/security/bulletin/2019-051417151514171515C1|=|4|1212|1|1914|9|1|9|1]|1|1914|9|1|9|1]4||3|735 513|C4 13B=W1=(0.80.2}W1=(0.80.2 W3=(0.7439,0.0633,0.1939 W4=(0.637,0.1047,0.2583 ..............................................................λ(C2)maxλ(C2)maxλ(C3)maxλ(C3)maxCR(C)=CI(C1)=0<0.10CR(C2)==0.0079<0.10CR(C2)==0.0079<0.10CR(C3)=CI(C3)=0.0614<0.10RI(n=3)CR(C4)=CI(C4)=0.0332<0.10RI(n=3)CR(B)=CI(B)=0.0497<0.10RI(n=4)12345678900假設(shè)有一位專家，于是Mijk=fijk(dij1)，請專家打分，獲「d111,d121,d211,d211,d231,]「8.0,8.0,8.0,9.0,7.0]Ld311,d321,d331,Ld311,d321,d331,d441,d421,d431」L7.5,7.0,8.0,5.0,7.0,9.0」|x+,2,|x+,2,|x,,|x,,fj0=j1|x+,2,|x+,2,|x,,|x,,