《工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)》課件- 40-工控應(yīng)用程序安全

IndustrialInternetsecuritytechnologyfoundation工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)《工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)》課程組第5章工控應(yīng)用安全技術(shù)工控應(yīng)用程序安全010203代碼審計(jì)介紹審計(jì)整體思路人員安全培訓(xùn)的重要性目錄04工控應(yīng)用程序漏洞一、代碼審計(jì)代碼審計(jì)（Codeaudit）是一種以發(fā)現(xiàn)程序錯(cuò)誤，安全漏洞和違反程序規(guī)范為目標(biāo)的源代碼分析。軟件代碼審計(jì)是對(duì)編程項(xiàng)目中源代碼的全面分析，旨在發(fā)現(xiàn)錯(cuò)誤，安全漏洞。它是防御性編程范例的一個(gè)組成部分，它試圖在軟件發(fā)布之前減少錯(cuò)誤。

C和C++源代碼是最常見(jiàn)的審計(jì)代碼，因?yàn)樵S多高級(jí)語(yǔ)言（如Python）具有較少的潛在易受攻擊的功能（例如，不檢查邊界的函數(shù)）。概念一、代碼審計(jì)技術(shù)手段代碼檢查是審計(jì)工作中最常用的技術(shù)手段，實(shí)際應(yīng)用中，采用“自動(dòng)分析+人工驗(yàn)證”的方式進(jìn)行。自動(dòng)分析人工驗(yàn)證代碼檢查通常檢查項(xiàng)目包括：系統(tǒng)所用開(kāi)源框架、源代碼設(shè)計(jì)、錯(cuò)誤處理不當(dāng)、直接對(duì)象引用、資源濫用、API濫用、后門代碼發(fā)現(xiàn)等一、代碼審計(jì)識(shí)別類型通過(guò)代碼審計(jì)，通常能夠識(shí)別如下代碼中的風(fēng)險(xiǎn)點(diǎn)：一、代碼審計(jì)1、代碼與架構(gòu)復(fù)雜幾十萬(wàn)、幾百萬(wàn)行代碼、一個(gè)業(yè)務(wù)分幾十個(gè)模塊幾十個(gè)代碼倉(cāng)庫(kù)家常便飯；開(kāi)發(fā)語(yǔ)言多種多樣，各種自研框架、流行框架應(yīng)接不暇、架構(gòu)還非常復(fù)雜。以上兩個(gè)問(wèn)題對(duì)審計(jì)人員來(lái)說(shuō)無(wú)疑是很大的挑戰(zhàn)。2、工具準(zhǔn)召率工具插件準(zhǔn)召率低，需要根據(jù)開(kāi)發(fā)語(yǔ)言、編碼風(fēng)格自定義；工具對(duì)邏輯漏洞的無(wú)力，與業(yè)務(wù)邏輯漏洞大量曝光的漏洞態(tài)勢(shì)之間產(chǎn)生矛盾。審計(jì)中的常見(jiàn)問(wèn)題二、審計(jì)整體思路1、準(zhǔn)備工作獲得源碼要審計(jì)當(dāng)然要先獲得相應(yīng)的源碼，最好有相關(guān)文檔等，資料越多越易于理解源碼。安裝網(wǎng)站在本地搭建網(wǎng)站，一邊審計(jì)一邊調(diào)試。通過(guò)跟蹤各種動(dòng)態(tài)變化了解源碼的作用。網(wǎng)站結(jié)構(gòu)瀏覽源碼文件夾，了解該程序的大致目錄入口文件

通過(guò)入口文件可以知道程序的架構(gòu)、運(yùn)行流程、包含那些配置文件，包含哪些過(guò)濾文件以及包含那些安全過(guò)濾文件，了解程序的業(yè)務(wù)邏輯。配置文件看config等文件，一般類似config等文件中保存一些數(shù)據(jù)庫(kù)、程序的相關(guān)信息?？梢钥磾?shù)據(jù)庫(kù)編碼。二、審計(jì)整體思路數(shù)據(jù)庫(kù)編碼gbk寬字節(jié)注入變量值引用雙引號(hào)雙引號(hào)解析代碼二、審計(jì)整體思路2、審計(jì)方法自動(dòng)手動(dòng)結(jié)合黑白盒結(jié)合正反向跟蹤動(dòng)靜結(jié)合過(guò)往與當(dāng)下結(jié)合checklist與安全編碼規(guī)范結(jié)合通讀與走讀結(jié)合由近年來(lái)發(fā)生的安全事件說(shuō)起三、人員安全培訓(xùn)的重要性

發(fā)生事件:2010年7月攻擊目標(biāo):伊朗核電站（物理隔離網(wǎng)絡(luò))入侵方式:收集核電站工作人員和其家庭成員信息針對(duì)家用電腦發(fā)起攻擊，控制家用電腦并感染所有接入的USB移動(dòng)介質(zhì)通過(guò)U盤，將病毒擺渡核電站內(nèi)部網(wǎng)絡(luò)2015年的最后一周，烏克蘭至少有三個(gè)區(qū)域的電力系統(tǒng)被具有高度破壞性的惡意軟件攻擊并導(dǎo)致大規(guī)模的停電12月23日，伊萬(wàn)諾-弗蘭科夫斯克地區(qū)，有超過(guò)一半的家庭（約140萬(wàn)人）遭受了停電的困擾。整個(gè)停電事件持續(xù)了數(shù)小時(shí)之久病毒關(guān)閉生產(chǎn)控制大區(qū)的控制服務(wù)器，使得二次信息系統(tǒng)喪失對(duì)物理設(shè)備的感知和控制力，導(dǎo)致部分設(shè)備運(yùn)行中斷而大面積停電。安全文化是企業(yè)文化的一部分，它是企業(yè)員工安全觀念和安全行為的具體體現(xiàn)。安全觀念安全行為安全文化三、人員安全培訓(xùn)的重要性

員工的安全觀念包括安全意識(shí)、安全態(tài)度、安全認(rèn)識(shí)觀、安全知識(shí)等；安全行為包括作業(yè)方式和習(xí)慣行為。管理者的安全決策態(tài)度和安全指揮行為，員工的安全反應(yīng)和操作規(guī)范程度等都從不同方面體現(xiàn)著企業(yè)安全文化的內(nèi)涵。安全是生產(chǎn)的靈魂，安全生產(chǎn)的靈魂源自安全文化。大力倡導(dǎo)和弘揚(yáng)安全文化，是做好企業(yè)安全工作的基礎(chǔ)。三、人員安全培訓(xùn)的重要性

在進(jìn)行人員安全培訓(xùn)時(shí)，我們應(yīng)當(dāng)著重注意以下幾種網(wǎng)絡(luò)威脅:三、人員安全培訓(xùn)的重要性

四、工控應(yīng)用程序漏洞ICS/SCADA漏洞Top10