《工業(yè)互聯網安全技術基礎》課件- 40-工控應用程序安全

IndustrialInternetsecuritytechnologyfoundation工業(yè)互聯網安全技術基礎《工業(yè)互聯網安全技術基礎》課程組第5章工控應用安全技術工控應用程序安全010203代碼審計介紹審計整體思路人員安全培訓的重要性目錄04工控應用程序漏洞一、代碼審計代碼審計（Codeaudit）是一種以發(fā)現程序錯誤，安全漏洞和違反程序規(guī)范為目標的源代碼分析。軟件代碼審計是對編程項目中源代碼的全面分析，旨在發(fā)現錯誤，安全漏洞。它是防御性編程范例的一個組成部分，它試圖在軟件發(fā)布之前減少錯誤。

C和C++源代碼是最常見的審計代碼，因為許多高級語言（如Python）具有較少的潛在易受攻擊的功能（例如，不檢查邊界的函數）。概念一、代碼審計技術手段代碼檢查是審計工作中最常用的技術手段，實際應用中，采用“自動分析+人工驗證”的方式進行。自動分析人工驗證代碼檢查通常檢查項目包括：系統(tǒng)所用開源框架、源代碼設計、錯誤處理不當、直接對象引用、資源濫用、API濫用、后門代碼發(fā)現等一、代碼審計識別類型通過代碼審計，通常能夠識別如下代碼中的風險點：一、代碼審計1、代碼與架構復雜幾十萬、幾百萬行代碼、一個業(yè)務分幾十個模塊幾十個代碼倉庫家常便飯；開發(fā)語言多種多樣，各種自研框架、流行框架應接不暇、架構還非常復雜。以上兩個問題對審計人員來說無疑是很大的挑戰(zhàn)。2、工具準召率工具插件準召率低，需要根據開發(fā)語言、編碼風格自定義；工具對邏輯漏洞的無力，與業(yè)務邏輯漏洞大量曝光的漏洞態(tài)勢之間產生矛盾。審計中的常見問題二、審計整體思路1、準備工作獲得源碼要審計當然要先獲得相應的源碼，最好有相關文檔等，資料越多越易于理解源碼。安裝網站在本地搭建網站，一邊審計一邊調試。通過跟蹤各種動態(tài)變化了解源碼的作用。網站結構瀏覽源碼文件夾，了解該程序的大致目錄入口文件

通過入口文件可以知道程序的架構、運行流程、包含那些配置文件，包含哪些過濾文件以及包含那些安全過濾文件，了解程序的業(yè)務邏輯。配置文件看config等文件，一般類似config等文件中保存一些數據庫、程序的相關信息。可以看數據庫編碼。二、審計整體思路數據庫編碼gbk寬字節(jié)注入變量值引用雙引號雙引號解析代碼二、審計整體思路2、審計方法自動手動結合黑白盒結合正反向跟蹤動靜結合過往與當下結合checklist與安全編碼規(guī)范結合通讀與走讀結合由近年來發(fā)生的安全事件說起三、人員安全培訓的重要性

發(fā)生事件:2010年7月攻擊目標:伊朗核電站（物理隔離網絡)入侵方式:收集核電站工作人員和其家庭成員信息針對家用電腦發(fā)起攻擊，控制家用電腦并感染所有接入的USB移動介質通過U盤，將病毒擺渡核電站內部網絡2015年的最后一周，烏克蘭至少有三個區(qū)域的電力系統(tǒng)被具有高度破壞性的惡意軟件攻擊并導致大規(guī)模的停電12月23日，伊萬諾-弗蘭科夫斯克地區(qū)，有超過一半的家庭（約140萬人）遭受了停電的困擾。整個停電事件持續(xù)了數小時之久病毒關閉生產控制大區(qū)的控制服務器，使得二次信息系統(tǒng)喪失對物理設備的感知和控制力，導致部分設備運行中斷而大面積停電。安全文化是企業(yè)文化的一部分，它是企業(yè)員工安全觀念和安全行為的具體體現。安全觀念安全行為安全文化三、人員安全培訓的重要性

員工的安全觀念包括安全意識、安全態(tài)度、安全認識觀、安全知識等；安全行為包括作業(yè)方式和習慣行為。管理者的安全決策態(tài)度和安全指揮行為，員工的安全反應和操作規(guī)范程度等都從不同方面體現著企業(yè)安全文化的內涵。安全是生產的靈魂，安全生產的靈魂源自安全文化。大力倡導和弘揚安全文化，是做好企業(yè)安全工作的基礎。三、人員安全培訓的重要性

在進行人員安全培訓時，我們應當著重注意以下幾種網絡威脅:三、人員安全培訓的重要性

四、工控應用程序漏洞ICS/SCADA漏洞Top10