DB32-T 4274-2022 工業(yè)互聯(lián)網(wǎng)安全脆弱性分析與檢測標準

ICS25.040CCSICS25.040CCSN10江 蘇 省 地 方 標 準DB32/T4274—2022工業(yè)互聯(lián)網(wǎng)安全脆弱性分析與檢測規(guī)范IndustrialInternetSecurityVulnerabilityAnalysisandTestingStandards2022-05-26發(fā)布 2022-06-26實施江蘇省場監(jiān)理局 發(fā)布DB32/T4274DB32/T4274—2022標準下載目 次前言 III1范圍 12規(guī)性用件 13術(shù)、義縮語 13.1語定義 13.2略語 24總則 35分與測程 36分析 4脅類樣庫構(gòu)建 4擊本構(gòu)建 5析驟要求 77檢測 137.1點弱檢總要求 137.2境封裝 137.3API147.4針全 157.5始與理節(jié) 167.6誤理 177.7間狀態(tài) 177.8用全性 197.9據(jù)理 217.10代質(zhì)量 26弱脆性測表 28安脆性測與方法 288服務(wù) 298.1務(wù)構(gòu)本力求 298.2務(wù)程 30附錄資性）模的建立 31I附錄資性）工互聯(lián)系脆性測錄表 33附錄資性）工互聯(lián)系脆性洞談信記表 34附錄資性）工互聯(lián)系脆性漏）檢指及考重 35附錄規(guī)性）工互聯(lián)系脆性測家打指值類明 36附錄資性）判矩陣表 38附錄規(guī)性）弱脆弱檢列表 40附錄資性）工互聯(lián)系漏嚴性級評表 43附錄資性）工互聯(lián)系脆性算例 44II前 言本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。III工業(yè)互聯(lián)網(wǎng)安全脆弱性分析與檢測規(guī)范范圍本文件適用于工業(yè)互聯(lián)網(wǎng)系統(tǒng)安全脆弱性分析與檢測，脆弱性嚴重性綜合指數(shù)計算與等級劃分檢測。（GB/T25069信息安全技術(shù)術(shù)語GB/T5271.8-2001信息技術(shù)詞匯第8部分：安全GB/T20984-2007信息安全技術(shù)信息安全風險檢測規(guī)范GB/T25056-2010信息安全技術(shù)證書認證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范GB/T28452-2012信息安全技術(shù)應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求GB/T302791-2013信息安全技術(shù)安全漏洞等級劃分指南GB/T35273-2017信息安全技術(shù)個人信息安全規(guī)范GB/T30976.1-2014工業(yè)控制系統(tǒng)信息安全下列術(shù)語和定義適用于本文件。3.1.1工業(yè)聯(lián)網(wǎng) IndustrialInternet屬于泛互聯(lián)網(wǎng)的目錄分類。使用開放性網(wǎng)絡(luò)來連接人、數(shù)據(jù)與機器，激發(fā)工業(yè)化生產(chǎn)力。3.1.2工業(yè)聯(lián)系統(tǒng) IndustrialInternetsystem3.1.31漏洞 Vulnerability[來源：GB/T302791-2013]3.1.4工業(yè)制議 Industrialcontrolprotocol[來源：IEEE802.11]3.1.5工業(yè)聯(lián)系安脆性靜分析 StaticanalysisofindustrialInternetsystemsecurityvulnerability[來源：GB/T20278-2013定義3.3]3.1.6工業(yè)互聯(lián)網(wǎng)系統(tǒng)安全脆弱性動態(tài)分析 DynamicAnalysisofSecurityVulnerabilityofIndustrialInternetSystem（（[來源：GB/T30976.1-2014定義3.3]縮略語下列縮略語適用于本文件。ICS：工業(yè)控制系統(tǒng)（IndustrialControlSystem）DCS：分布式控制系統(tǒng)/集散控制系統(tǒng)（DistributedControlSystem）PCS：過程控制系統(tǒng)（ProcessControlSystem）PLC：可編程序控制器（ProgrammableLogicController）RTU：遠程終端控制系統(tǒng)（RemoteTerminalUnit）IED：智能電子設(shè)備/智能監(jiān)測單元（IntelligentElectronicDevice）HMI：人機界面（HumanMachineInterface）SIS：生產(chǎn)過程自動化監(jiān)控和管理系統(tǒng)（SupervisoryInformationSystem）2MES：制造執(zhí)行管理系統(tǒng)（ManufacturingExecutionSystem）SCADA：數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SupervisoryControlandDataAcquisition）總則工業(yè)互聯(lián)網(wǎng)系統(tǒng)安全脆弱性分析與檢測的流程見圖1：分析檢測準備分析檢測準備現(xiàn)場記錄構(gòu)建工業(yè)互聯(lián)網(wǎng)系統(tǒng)的威脅分類構(gòu)建工業(yè)互聯(lián)網(wǎng)系統(tǒng)的攻擊樣本庫工業(yè)互聯(lián)網(wǎng)系統(tǒng)安全脆弱性做分析對工業(yè)互聯(lián)網(wǎng)系統(tǒng)安全脆弱性做檢測輸出脆弱性檢測報告圖1 分析檢流圖3分析表1提供了一種基于表現(xiàn)形式的威脅分類方法。表1 一種于現(xiàn)式威分類表種類描述威脅子類軟硬件故障對業(yè)務(wù)實施或系統(tǒng)運行產(chǎn)生影響系統(tǒng)本身或軟件缺陷造等問題設(shè)備硬件故障、傳輸設(shè)備故障、存儲媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障物理環(huán)境影響對信息系統(tǒng)正常運行造成影響的物理環(huán)境問題和自然災(zāi)害電磁干擾、洪災(zāi)、火災(zāi)、地震等無作為或操作失誤應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯誤的操作維護錯誤、操作失誤等管理不到位安全管理無法落實或不到位，從而破壞信息系統(tǒng)正常有序運行管理制度和策略不完善、管理規(guī)程缺失、職責不明確、監(jiān)督控管機制不健全等惡意代碼故意在計算機系統(tǒng)上執(zhí)行惡意任務(wù)的程序代碼竊聽軟件等越權(quán)或濫用系統(tǒng)的行為濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息等網(wǎng)絡(luò)攻擊利用工具和技術(shù)通過網(wǎng)絡(luò)對信息系統(tǒng)進行攻擊和入侵網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探（賬用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運行的控制和破壞等物理攻擊通過物理的接觸造成對軟件、硬件、數(shù)據(jù)的破壞物理接觸、物理破壞、盜竊等泄密信息泄露給不應(yīng)了解的他人內(nèi)部信息泄露、外部信息泄露等篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等抵賴不承認收到的信息和所作的操作和交易原發(fā)抵賴、接收抵賴、第三方抵賴等4表2提供了威脅出現(xiàn)頻率的一種威脅等級判斷方法。在實際的檢測中，威脅頻率的判斷依據(jù)應(yīng)在檢測準備階段根據(jù)歷史統(tǒng)計或行業(yè)判斷予以確定，并得到被檢測方的認可。表2 威脅級表等級標識定義5高出現(xiàn)的頻率很高（或≥1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實經(jīng)常發(fā)生過4較高出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過3中出現(xiàn)的頻率中等（或＞1次/半年）；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過2較低出現(xiàn)的頻率較?。换蛞话悴惶赡馨l(fā)生；或沒有被證實發(fā)生過1低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生根據(jù)組織和信息系統(tǒng)自身的特點，發(fā)生的歷史安全事件記錄，面臨威脅分析等方法進行調(diào)查：）5攻擊步驟攻擊執(zhí)行攻擊步驟攻擊執(zhí)行攻擊部署入侵滲透攻擊準備云網(wǎng)絡(luò)協(xié)議圖2 工業(yè)聯(lián)系攻星分類法

攻擊危害基于以上攻擊分類標準，服務(wù)人員可利用第三方發(fā)布的安全數(shù)據(jù)或利用自身能力挖掘的安全數(shù)據(jù)，構(gòu)建符合6.2.3架構(gòu)的攻擊樣本庫。36利用安全漏洞攻擊前提/利用安全漏洞攻擊前提/攻擊后果目標狀態(tài)安全狀態(tài)攻擊者狀態(tài)攻擊特征量攻擊方法攻擊特征攻擊數(shù)據(jù)包實現(xiàn)監(jiān)測報警代碼實例主機日志關(guān)聯(lián)其他攻擊行為圖3 攻擊本的系架47二進制文件結(jié)構(gòu)與程序結(jié)構(gòu)分析二進制文件結(jié)構(gòu)與程序結(jié)構(gòu)分析模擬執(zhí)行數(shù)據(jù)流分析中間語言表示缺陷智能識別逆向與中間語言表示基于中間語言的缺陷識別圖4 工控議弱靜分流程以Mach-O文件格式為例。Mach-O文件格式是OSX與iOS系統(tǒng)上的可執(zhí)行文件格式，類似于windows的PE文件與Linux（其他Unixlike）的ELF文件。主要由以下三部分組成：HeaderMach-OLoadCommands2.LoadCommandsHeaderMach-O3.Data圖5為某一Mach-0文件二進制形式。8圖5 某Mach-O文的進成形式第一行DataLO前四個字節(jié)0xCAFEBABE表示字節(jié)的大小端順序（0xCAFEBABE為大端，0xBEBAFECA為小端）。后四個字節(jié)表示該文件支持哪種CPU架構(gòu)，圖中的0x00000002表示支持的CPU版本。第一行DataHI前四個字節(jié)0x0100000C表示CPU的廠商，后四個字節(jié)0x00000000表示CPU類型。第二行DataLO前四個字節(jié)0x00100000表示數(shù)據(jù)偏移量，即數(shù)據(jù)記錄地址開始的位置。后四個字節(jié)表示0x00F02700表示數(shù)據(jù)量的大小。第三行DataLO前兩個字節(jié)0x000B表示符號表數(shù)據(jù)塊結(jié)構(gòu)重定向后的偏移地址。后兩個字節(jié)Ox00280000DataHI0x002330003表3 中間言令類9操作種類操作碼含義示例算術(shù)運算操作ADD兩個值相加ADDt0,t1,t2SUB兩個值相減SUBt6,t8,t9MUL兩個值無符號相乘MULt3,4,t5DIV兩個值無符號相除DIV4000,t2,t3MOD兩個值無符號相除求模MODt8,8,t4BSH兩個值邏輯移位操作BSHt1,2,t2位操作AND兩個值按位與操作ANDt0,t1,t2OR兩個值按位或操作ORt7,t9,t12XOR兩個值按位異或操作XORt8,4,t9數(shù)據(jù)傳輸操作STR存一個值到寄存器STRt1,t2LDM從內(nèi)存讀取LDM413600,t1STM存值到內(nèi)存STMt2,414280條件操作BISZ將一個值和0比較BISZt0,t1JCC條件跳轉(zhuǎn)JCCT1,401000其他操作UNDEF解除寄存器值定義UNDEF,t1UNKN未知UNKNNOP無操作NOP例如，ADDt0,t1,t2t1、t2t0中去。如果t1、t2不可讀或寄存器t0不可寫，那么會導(dǎo)致程序存在脆弱性，同時若t0、t1、t2寄存器不做讀寫檢驗，則同樣存在脆弱性。610二進制程序（工控二進制程序（工控協(xié)議實現(xiàn)程序）庫函數(shù)模擬器中間語言庫函數(shù)模擬器中間語言）約束收集器提升污點傳播檢測其他檢測導(dǎo)入先驗知識庫數(shù)據(jù)庫缺陷智能識別二進制文件結(jié)構(gòu)分析二進制文件結(jié)構(gòu)分析二進制程序結(jié)構(gòu)分析圖6 模擬行據(jù)分流圖（7三個步驟的具體釋義如下：否被污染以及對應(yīng)的污點數(shù)據(jù)是哪些。11運算指令污點數(shù)據(jù)工運算指令污點數(shù)據(jù)工控指令識別協(xié)議緩存協(xié)議緩存議數(shù)據(jù)標記的控制指令協(xié)議緩存協(xié)議緩存內(nèi)部數(shù)據(jù)MulAddSubMav發(fā)現(xiàn)漏洞污點數(shù)據(jù)成為關(guān)鍵指令的參數(shù)StringFmiSysCallJmp圖7 基于態(tài)點工協(xié)動態(tài)析程協(xié)議結(jié)構(gòu)識別離線pacp文件/在線數(shù)據(jù)流測試代理程序監(jiān)控/日志模塊/分析模協(xié)議結(jié)構(gòu)識別離線pacp文件/在線數(shù)據(jù)流測試代理程序監(jiān)控/日志模塊/分析模塊被測系統(tǒng)主站/PLC/RTU/DCS測試數(shù)據(jù)生成基于文法的測試數(shù)據(jù)生成測試目標監(jiān)控錯誤現(xiàn)場/異常定位漏洞類型分析圖8 基于法糊試工協(xié)議態(tài)析程12檢測（WEB）（C）（Java）118AP調(diào)用81253317129脆弱性檢測指標：代碼應(yīng)避免對錯誤會話暴露數(shù)據(jù)元素。脆弱性檢測指標：代碼中不應(yīng)遺留調(diào)試代碼。脆弱性檢測指標：代碼應(yīng)避免將可信和不可信數(shù)據(jù)組合在同一結(jié)構(gòu)體中，違背信任邊界。脆弱性檢測人員應(yīng)檢查代碼安全體系是否將來自可信源和非可信源的數(shù)據(jù)混合在同一數(shù)據(jù)結(jié)構(gòu)體或同一結(jié)構(gòu)化的消息體中，模糊了二者的邊界。脆弱性檢測指標：在類進行比較時，不應(yīng)只使用名稱比較。JavagetClass13脆弱性檢測指標：包含敏感數(shù)據(jù)的類不應(yīng)可復(fù)制和可序列化。Java語言中的實現(xiàn)了Clonenable脆弱性檢測指標：不應(yīng)暴露危險的方法或函數(shù)。脆弱性檢測人員應(yīng)檢查代碼安全體系中的應(yīng)用程序編程接口（API）或與外部交互的類似接口是否暴露了危險方法或函數(shù)，他們本應(yīng)受到適當?shù)南拗?。危險方法或函數(shù)暴露的形式有如下幾種：//Internet脆弱性檢測指標：不應(yīng)將不可序列化的對象存儲到磁盤。脆弱性檢測人員應(yīng)檢查（如J2EE框架中）代碼安全體系是否試圖將不可序列化的對象寫到磁盤中，將不可序列化的對象存儲到磁盤上可能導(dǎo)致序列化失敗和應(yīng)用程序崩潰。API脆弱性檢測指標：函數(shù)功能調(diào)用應(yīng)正確指定參數(shù)。脆弱性檢測人員應(yīng)檢查函數(shù)/方法調(diào)用時參數(shù)指定是否正確，是否存在如下情況：以上檢查項的任一結(jié)果為肯定，則提示存在安全風險。脆弱性檢測指標：應(yīng)避免在釋放堆內(nèi)存前清理不恰當而導(dǎo)致敏感信息暴露。C使用realloc()調(diào)整存儲敏感信息的緩沖區(qū)大小，如存在該操作，將存在可能暴露敏感信息的風險。realloc(memorydump脆弱性檢測指標：應(yīng)正確檢查函數(shù)的返回值，避免忽略函數(shù)的返回值。14脆弱性檢測指標：不應(yīng)對同一端口進行多重綁定。脆弱性檢測指標：不應(yīng)使用不兼容類型的指針來訪問變量。脆弱性檢測指標：應(yīng)避免使用指針的減法來確定內(nèi)存大小。脆弱性檢測指標：不應(yīng)把固定地址賦值給指針。脆弱性檢測人員應(yīng)檢查代碼是否將一個NULL或0以外的固定地址賦值給指針。將固定地址賦值給指針會降低代碼的可移植性，并為攻擊者進行注入代碼等攻擊提供便利。問其字段，如果結(jié)果為肯定，則可能存在內(nèi)存訪問錯誤或數(shù)據(jù)損壞的風險。脆弱性檢測指標：不應(yīng)釋放不在緩沖區(qū)起始位置的指針。脆弱性檢測指標：不應(yīng)使用越界的指針偏移。脆弱性檢測指標：應(yīng)避免無效指針的使用。15脆弱性檢測指標：應(yīng)避免不安全的資源或變量的初始化。應(yīng)檢查代碼安全體系是否采用了不安全或安全性較差的缺省值來初始化內(nèi)部變量。缺省值通脆弱性檢測指標：應(yīng)避免引用計數(shù)的更新不恰當。脆弱性檢測人員應(yīng)檢查代碼安全體系中管理資源的引用計數(shù)是否正確更新，引用計數(shù)更新不正確，可能會導(dǎo)致資源在使用階段就被過早釋放，或雖已使用完畢但得不到釋放的安全風險。脆弱性檢測指標：不應(yīng)使用過期的文件描述符。脆弱性檢測指標：初始化失敗后應(yīng)退出程序。脆弱性檢測人員應(yīng)檢查代碼安全體系在初始化失敗后能否安全退出。脆弱性檢測指標：發(fā)生異常時，應(yīng)恢復(fù)對象到先前的狀態(tài)。（脆弱性檢測指標：不應(yīng)在初始化類時啟用后臺線程。16脆弱性檢測指標：不應(yīng)發(fā)布部分初始化的對象。脆弱性檢測指標：應(yīng)避免不安全的資源清理。脆弱性檢測人員應(yīng)檢查代碼安全體系中資源清理部分的相關(guān)功能，檢查項包括但不限于：脆弱性檢測人員應(yīng)檢查代碼安全體系中當特定錯誤（如不可恢復(fù)邏輯錯誤）發(fā)生時，程序是脆弱性檢測指標：應(yīng)恰當進行錯誤處理。脆弱性檢測人員應(yīng)檢查代碼安全體系中錯誤處理是否安全，具體要求包括但不限于：I/O脆弱性檢測指標：應(yīng)避免關(guān)鍵狀態(tài)數(shù)據(jù)被外部控制。脆弱性檢測指標：應(yīng)避免隱蔽通道。推斷出受保護的信息，從而造成信息暴露。脆弱性檢測指標：應(yīng)對外部可訪問鎖加以限制，不允許被預(yù)期范圍之外的實體影響。17脆弱性檢測指標：應(yīng)制定會話過期機制。脆弱性檢測指標：不應(yīng)將資源暴露給錯誤的范圍。脆弱性檢測指標：應(yīng)避免未經(jīng)控制的遞歸。脆弱性檢測指標：執(zhí)行迭代或循環(huán)應(yīng)恰當?shù)叵拗蒲h(huán)執(zhí)行的次數(shù)，應(yīng)避免無限循環(huán)。脆弱性檢測指標：應(yīng)正確使用信號處理函數(shù)。脆弱性檢測人員應(yīng)檢查代碼安全體系中信號處理函數(shù)的使用，具體要求包括但不限于：脆弱性檢測指標：應(yīng)對共享資源使用正確的并發(fā)處理機制。脆弱性檢測人員應(yīng)檢查代碼安全體系中共享資源的使用及并發(fā)處理的過程，具體要求包括但不限于：18脆弱性檢測人員應(yīng)檢查代碼是否將敏感數(shù)據(jù)存儲在沒有被鎖定或被錯誤鎖定的內(nèi)存中，（磁盤上的交換文件中，從而使得數(shù)據(jù)更容易被外部獲取）脆弱性檢測指標：應(yīng)正確使用臨時文件。脆弱性檢測人員應(yīng)檢查代碼安全體系中臨時文件是否安全，預(yù)防因臨時文件造成的敏感信息泄露，具體要求包括：脆弱性檢測指標：符號名稱應(yīng)映射到正確對象。Web脆弱性檢測指標：web應(yīng)用不應(yīng)在重定向后執(zhí)行額外代碼。脆弱性檢測人員應(yīng)檢查web代碼是否存在重定向后執(zhí)行額外代碼，如果結(jié)果為肯定，則提示存在安全風險。19脆弱性檢測指標：應(yīng)確保權(quán)限、特權(quán)的管理安全以及其他訪問控制措施的安全。ID應(yīng)檢查是否違背最小特權(quán)原則，以高于功能所需的特權(quán)級別（如根用戶或管理員用戶）DNS/應(yīng)檢查是否避免過于嚴格的賬戶鎖定機制（許攻擊者通過鎖定合法用戶的賬戶來拒絕服務(wù)合法的系統(tǒng)用戶）脆弱性檢測指標：密碼相關(guān)功能應(yīng)符合國家密碼相關(guān)標準的要求。20（CBC）RSA（OAEP）脆弱性檢測指標：應(yīng)確保產(chǎn)生安全的隨機數(shù)。脆弱性檢測人員應(yīng)檢查代碼安全體系是否安全產(chǎn)生隨機數(shù)，具體脆弱性檢測要求包括但不限于：（PRNG）如進程）應(yīng)檢是避使具密碼弱的隨數(shù)成器（PRNG）于密景如上查的一果否定則示在全險 脆弱性檢測指標：應(yīng)驗證數(shù)據(jù)的起源或真實性，避免接收無效數(shù)據(jù)。Cookie脆弱性檢測指標：應(yīng)確保個人信息保護。脆弱性檢測指標：應(yīng)避免非預(yù)期數(shù)據(jù)類型處理不當。A-Z21數(shù)據(jù)脆弱性檢測指標：不應(yīng)依賴數(shù)據(jù)/內(nèi)存布局。脆弱性檢測指標：應(yīng)防止以大小寫混合的方式繞過凈化和驗證。脆弱性檢測指標：不應(yīng)在過濾字符串之前對字符串進行驗證。脆弱性檢測指標：執(zhí)行比較時不應(yīng)部分比較或不充分的比較。脆弱性檢測人員應(yīng)檢查比較條件是否充分，防止不充分比較造成邏輯繞過風險。脆弱性檢測指標：不應(yīng)混用具有泛型和非泛型的原始數(shù)據(jù)類型。脆弱性檢測指標：應(yīng)避免字節(jié)序使用不正確。脆弱性檢測指標：不應(yīng)將結(jié)構(gòu)體的長度等同于其各個成員長度之和。脆弱性檢測指標：應(yīng)避免越界回繞錯誤。脆弱性檢測人員應(yīng)檢查代碼是否存在數(shù)值賦值超出數(shù)值類型范圍，應(yīng)避免賦值越界。脆弱性檢測指標：應(yīng)避免除零錯誤。22脆弱性檢測人員應(yīng)檢查代碼是否存在除零操作，應(yīng)避免除零錯誤。脆弱性檢測指標：數(shù)值范圍比較時，不應(yīng)遺漏邊界值檢查。脆弱性檢測人員應(yīng)檢查代碼在進行數(shù)值范圍比較時，是否遺漏了最小值、最大值等邊界值檢查。脆弱性檢測指標：應(yīng)避免敏感信息暴露。脆弱性檢測人員應(yīng)檢查代碼安全體系中是否有敏感信息暴露，重點審查暴露的途徑包含但不限于：（）GET脆弱性檢測指標：應(yīng)避免信息丟失或遺漏。（脆弱性檢測指標：應(yīng)避免對數(shù)據(jù)結(jié)構(gòu)控制域的刪除或意外增加。脆弱性檢測人員應(yīng)檢查代碼關(guān)于數(shù)據(jù)結(jié)構(gòu)控制域的操作：23脆弱性檢測指標：應(yīng)避免內(nèi)存緩沖區(qū)邊界操作的限制不恰當。脆弱性檢測指標：應(yīng)保證字符串的存儲具有足夠的空間容納字符數(shù)據(jù)和結(jié)尾符。脆弱性檢測指標：不應(yīng)對環(huán)境變量的長度做出假設(shè)。脆弱性檢測指標：應(yīng)避免未檢查輸入數(shù)據(jù)大小就進行緩沖區(qū)復(fù)制。脆弱性檢測指標：應(yīng)避免使用錯誤的長度值訪問緩沖區(qū)。脆弱性檢測指標：應(yīng)避免路徑遍歷。路徑遍歷指未將路徑名限制在受限目錄。脆弱性檢測指標：應(yīng)避免在文件訪問前對鏈接解析不恰當。脆弱性檢測指標：應(yīng)避免執(zhí)行的命令或加載的庫文件來自非可信源或在非可信環(huán)境中執(zhí)行。

24脆弱性檢測指標：應(yīng)檢查循環(huán)條件輸入，避免過度循環(huán)導(dǎo)致拒絕服務(wù)。脆弱性檢測人員應(yīng)檢查代碼是否存在循環(huán)條件輸入，因過度循環(huán)條件輸入可能會導(dǎo)致拒絕服務(wù)風險。脆弱性檢測指標：應(yīng)避免文件名或路徑的外部可控制。脆弱性檢測指標：應(yīng)避免外部控制的格式化字符串。脆弱性檢測指標：應(yīng)對方法或函數(shù)的參數(shù)進行驗證。脆弱性檢測人員應(yīng)檢查代碼是否存在對方法或函數(shù)的參數(shù)進行合法性或安全性校驗。URL脆弱性檢測指標：不應(yīng)開放不可信站點的URL重定向。URL脆弱性檢測指標：應(yīng)正確處理命令中的特殊元素。SQL脆弱性檢測指標：應(yīng)正確處理SQL命令中的特殊元素。SQLSQL脆弱性檢測指標：應(yīng)避免跨站腳本攻擊。25脆弱性檢測指標：應(yīng)對輸出日志中的特殊字符進行過濾和驗證。脆弱性檢測人員應(yīng)檢查代碼是否對輸出日志中的特殊字符做過濾和驗證。因?qū)μ厥庾址醋鲞^濾，可能會造成信息泄露。HTTPWeb脆弱性檢測指標：應(yīng)對HTTP頭的Web腳本語法中的特殊字符進行過濾和驗證。脆弱性檢測人員應(yīng)檢查代碼是否對HTTP頭中的Web腳本特殊字符進行過濾處理。因HTTP頭中的Web腳本含有特殊字符，可能會導(dǎo)致瀏覽器執(zhí)行惡意腳本。由于有些代碼的質(zhì)量的好壞會影響軟件的安全性，本規(guī)范將部分代碼質(zhì)量規(guī)范納入標準范疇。脆弱性檢測指標：不應(yīng)導(dǎo)致文件描述符窮盡。脆弱性檢測人員應(yīng)檢查代碼是否存在導(dǎo)致文件描述符窮盡情形。具體檢查項包括但不限于：脆弱性檢測指標：應(yīng)及時釋放動態(tài)分配的內(nèi)存。脆弱性檢測指標：應(yīng)避免對網(wǎng)絡(luò)消息容量的控制不充分。26脆弱性檢測指標：應(yīng)避免算法復(fù)雜度攻擊。脆弱性檢測人員應(yīng)檢查代碼中算法是否在最壞情況下非常低效，復(fù)雜度高，會嚴重降低系統(tǒng)性能。如果是，則攻擊者就可以利用精心編制的操作來觸發(fā)最壞情況的發(fā)生，從而引發(fā)算法復(fù)雜度攻擊。脆弱性檢測指標：應(yīng)遵守正確的行為次序避免早期放大攻擊數(shù)據(jù)。脆弱性檢測人員應(yīng)檢查代碼是否存在允許實體在授權(quán)或認證前執(zhí)行合法但代價高的操作。I/O脆弱性檢測指標：應(yīng)限制堆空間的消耗，防止堆空間耗盡。脆弱性檢測人員應(yīng)檢查代碼是否有導(dǎo)致堆空間耗盡的情形，具體檢查項包括但不限于：脆弱性檢測指標：應(yīng)避免重復(fù)釋放資源。脆弱性檢測人員應(yīng)檢查代碼是否存在重復(fù)釋放資源的情形。重復(fù)釋放資源可能會造成系統(tǒng)崩潰。脆弱性檢測指標：不應(yīng)引用或訪問已被釋放后的內(nèi)存。NULL27脆弱性檢測指標：應(yīng)調(diào)用匹配的內(nèi)存管理函數(shù)。脆弱性檢測人員應(yīng)檢查代碼調(diào)用的內(nèi)存管理函數(shù)是否匹配，如malloc/free來分配或刪除資源。當內(nèi)存管理函數(shù)不匹配時，可能帶來內(nèi)存損壞或程序崩潰等風險。脆弱性檢測指標：switch等條件語句中不應(yīng)缺失默認情況。脆弱性檢測人員應(yīng)檢查代碼switch等條件語句中是否存在缺失默認情況的情形。脆弱性檢測指標：不應(yīng)包含無法執(zhí)行的死代碼脆弱性檢測人員應(yīng)檢查代碼是否存在無法執(zhí)行的死代碼。脆弱性檢測指標：不應(yīng)包含可達斷言。脆弱性檢測指標：不應(yīng)使用具有不一致性實現(xiàn)的函數(shù)或字符。脆弱性檢測指標：不應(yīng)出現(xiàn)表達式永真或永假代碼。脆弱性檢測人員應(yīng)檢查代碼是否存在表達式邏輯永真或永假代碼的情形。詳見附錄G。應(yīng)由檢測方、被檢測方及必要的第三方（例如系統(tǒng)開發(fā)實施單位）組成檢測小組。（B）28（A（依據(jù)建立的檢測模型與每類指標的相對重要性，構(gòu)造判斷矩陣表，參見附錄F，依次層次分析法與灰色檢測方法相結(jié)合計算獲得每個一級指標的權(quán)重分配，然后計算系統(tǒng)漏洞的整體嚴重性。（漏洞服務(wù)服務(wù)機構(gòu)應(yīng)具備的基本資格包括：29服務(wù)機構(gòu)應(yīng)具備的基本技術(shù)能力包括：服務(wù)方案制定：根據(jù)客戶需求，編制技術(shù)方案和實施方案，明確人員、進度、質(zhì)量、溝通、風險等方面要求。根據(jù)項目需求組織客戶及相關(guān)技術(shù)專家對技術(shù)方案和實施方案進行論證，30附錄A（資料性）模型的建立決策目標G決策目標G最高層（目標層準則A1準則A2準則An中間層（準則層）子準則B1子準則B2子準則Bn最底層（方案層）方案P1子準則P2子準則Px圖A.1遞階層次結(jié)構(gòu)模型31漏洞嚴重性A漏洞嚴重性A可信度B1可利用性B2對目標系統(tǒng)安全性影響B(tài)3修復(fù)水平B4C11技術(shù)細節(jié)報告的可信度C12訪問向量 訪問復(fù)雜 授權(quán)認證C23保密性 嚴重性C31 C32C33C21度C22C41C42方案C43圖A.2實際漏洞的結(jié)構(gòu)建立示意圖32附錄B（資料性）工業(yè)互聯(lián)網(wǎng)系統(tǒng)脆弱性檢測記錄表參見表B.1表B.1工業(yè)互聯(lián)網(wǎng)系統(tǒng)脆弱性檢測記錄表被檢測系統(tǒng)檢測時間被檢測單位服務(wù)機構(gòu)檢測現(xiàn)場訪談訪談地點訪談時間訪談專家姓名所屬部門職務(wù)備注專家對漏洞等級進行打分二級指標專家打分漏洞存在的可能性技術(shù)細節(jié)報告的可信度訪問向量訪問復(fù)雜度授權(quán)認證保密性完整性可利用性官方補丁臨時補丁臨時解決方案漏洞嚴重性檢測值漏洞嚴重性檢測結(jié)果被檢測方負責人簽字檢測方負責人簽字

33附錄C（資料性）工業(yè)互聯(lián)網(wǎng)系統(tǒng)脆弱性漏洞訪談信息記錄表參見表C.1表C.1工業(yè)互聯(lián)網(wǎng)系統(tǒng)脆弱性漏洞訪談信息記錄表被檢測系統(tǒng)訪談時間訪談地點訪談形式被檢測單位檢測實施單位被訪談人實施訪談人訪談主要內(nèi)容訪談主要目的漏洞信息記錄漏洞名稱發(fā)布日期影響產(chǎn)品來源描述訪問向量訪問復(fù)雜度授權(quán)認證影響類型臨時解決方案廠商不定被訪談人簽字訪談人簽字

34附錄D（資料性）工業(yè)互聯(lián)網(wǎng)系統(tǒng)脆弱性（漏洞）檢測指標及參考權(quán)重參見表D.1本身的狀況來進行直接的給定，而一些賦值是根據(jù)后文給出的情況來進行判定后進行打分，其中d111d112、d123、d141、d142，表D.1工業(yè)互聯(lián)網(wǎng)系統(tǒng)脆弱性（漏洞）檢測指標及參考權(quán)重0級指標1級指標2級指標專家賦值賦值說明漏洞嚴重性A可信度B1漏洞存在的可能性C11技術(shù)細節(jié)報告的可信度C12可利用B2訪問向量C21訪問復(fù)雜度C22授權(quán)認證C23對目標系統(tǒng)安全性影響B(tài)3保密性C31完整性C32可利用性C33修復(fù)水平B4官方補丁C41臨時補丁C42臨時解決方案C4335附錄E（規(guī)范性）工業(yè)互聯(lián)網(wǎng)系統(tǒng)脆弱性檢測專家打分指標值分類說明表E.1訪問賦值路徑說明表賦值描述本地本地權(quán)限提升等鄰接利用該安全漏洞要求攻擊者與受攻擊系統(tǒng)處于同一個廣播域或沖突域中。鄰接攻擊示例：藍牙、IEEE802.11等遠程不局限與本地和鄰接。遠程攻擊示例：RPC緩沖區(qū)溢出漏洞表E.2攻擊復(fù)雜度賦值說明表賦值描述簡單無需借助外部條件，例如自動操作、無需授權(quán)即可完成攻擊復(fù)雜需要借助外部條件，例如需要人工參與點擊文件，點擊按鈕或者用戶授權(quán)表E.3保密性、完善性和可用性影響賦值說明表賦值描述完全安全漏洞對保密性、完整性和可用性的影響較嚴重部分安全漏洞對保密性、完整性和可用性影響相對較輕無安全漏洞對保密性、完整性和可用性無影響表E.4訪問賦值路徑量化表賦值分類指標分類量化值賦值說明本地0≤本地＜3鄰接3≤鄰接＜7遠程7≤遠程＜1036表E.5攻擊復(fù)雜度量化值表賦值分類指標分類量化值賦值說明簡單0≤簡單＜5復(fù)雜5≤復(fù)雜＜10表E.6保密性、完善性和可用性三個方面的量化值賦值分類指標分類量化值賦值說明無0部分1≤部分＜7完全7≤完全＜10表E.7官方補丁、臨時補丁、臨時解決方案三個方面的量化值賦值分類指標分類量化值賦值說明沒有0有7≤有＜10表E.8漏洞存在的可能性、技術(shù)細節(jié)報告的可信度的量化值賦值分類指標分類量化值賦值說明低0≤低＜3中3≤中＜7高7≤高＜10表E.9授權(quán)認證的量化值賦值分類指標分類量化值賦值說明多次0≤多次＜3一次3≤一次＜7不需要認證7≤不需要認證＜1037附錄F（資料性）判斷矩陣表表F.1第二層中漏洞存在的可能性C11和技術(shù)細節(jié)報告的可信度C12相對于可信度B1的重要性C1名稱漏洞存在的可能性C11技術(shù)細節(jié)C12漏洞存在的可能性C11C12表F.2第二層中訪問向量C21、訪問復(fù)雜度C22和授權(quán)認證C23相對于可利用B2的重要性C2名稱訪問向量C21訪問復(fù)雜度C22授權(quán)認證C23訪問向量C21訪問復(fù)雜度C22授權(quán)認證C23表F.3第二層中保密性C31、完整性C32和可利用性C33相對于對目標系統(tǒng)安全性影響B(tài)3的重要性C3名稱保密性C31完整性C32可利用C33保密性C31完整性C32可利用性C3338表F.4第二層中官方補丁C41、臨時補丁C42和臨時解決方案C43相對于修復(fù)水平B4的重要性C4名稱官方補丁C41臨時補丁C42臨時解決方案C43官方補丁C41臨時補丁C42臨時解決方案C43表F.5F.5B2B3B4性的重要性B名稱可信度B1可利用B2對目標系統(tǒng)安B3修復(fù)水平B4可信度B1可利用B2對目標系統(tǒng)安全性影響B(tài)3修復(fù)水平B439附錄G（規(guī)范性）弱點脆弱性檢測列表表G.1弱點脆弱性檢測列表檢測環(huán)境與封裝對錯誤會話暴露數(shù)據(jù)元素遺留調(diào)試代碼數(shù)據(jù)信任邊界的違背類的錯誤比較私有數(shù)組類型數(shù)據(jù)域的不安全操作包含敏感數(shù)據(jù)類的安全暴露危險的方法或函數(shù)存儲不可序列化的對象到磁盤API調(diào)用參數(shù)指定錯誤堆內(nèi)存釋放問題忽略函數(shù)返回值端口多重綁定指針安全不兼容的指針類型利用指針減法確定內(nèi)存大小將固定地址賦值給指針試圖訪問非結(jié)構(gòu)體類型的域釋放一個不在緩沖區(qū)起始位置的指針指針偏移越界無效指針使用初始化與清理環(huán)節(jié)資源與變量不安全初始化引用計數(shù)的更新不恰當過期的文件描述符初始化失敗后未退出異常狀態(tài)的處理啟用后臺線程前主線程未完成類的初始化發(fā)布未完成初始化的對象資源不安全清理錯誤處理時間和狀態(tài)關(guān)鍵狀態(tài)數(shù)據(jù)外部可控隱蔽通道未加限制的外部可訪問鎖會話過期機制缺失將資源暴露給錯誤范圍未經(jīng)控制的遞歸無限循環(huán)40信號錯誤共享資源的并發(fā)安全問題不安全的臨時文件符號名稱未映射到正確對象Web重定向后執(zhí)行額外代碼通用安全特性權(quán)限、特權(quán)與訪問控制問題密碼安全問題隨機數(shù)安全問題數(shù)據(jù)真實性驗證問題個人信息保護數(shù)據(jù)處理非預(yù)期數(shù)據(jù)類型處理不當數(shù)據(jù)/內(nèi)存布局問題繞過凈化和驗證在字符串驗證前未進行過濾條件比較不充分泛型和非泛型原始數(shù)據(jù)類型字節(jié)序使用問題結(jié)構(gòu)體長度數(shù)值越界回繞錯誤除零問題邊界值檢查缺失敏感信息暴露信息丟失或遺漏數(shù)據(jù)結(jié)構(gòu)控制域安全問題內(nèi)存緩沖區(qū)邊界操作忽略字符串結(jié)尾符對環(huán)境變量長度做出假設(shè)緩沖區(qū)復(fù)制造成溢出使用錯誤長度訪問緩沖區(qū)路徑遍歷文件訪問解析為鏈接不恰當非可信環(huán)境下命令執(zhí)行循環(huán)條件輸入導(dǎo)致拒絕服務(wù)外部控制文件名或路徑檢查外部控制格式化字符串問題對方法或函數(shù)參數(shù)驗證問題URL重定向命令行注入SQL執(zhí)行語句注入跨站腳本41未恰當處理語法形式不完全符合預(yù)期規(guī)范的輸入對輸出日志中特殊字符處理問題對HTTP頭Web腳本特殊字符處理問題代碼質(zhì)量文件描述符窮盡問題內(nèi)存未釋放對網(wǎng)絡(luò)消息容量的控制算法復(fù)雜度問題早期放大問題子進程訪問父進程敏感資源問題堆空間耗盡問題重復(fù)釋放資源訪問已釋放內(nèi)存內(nèi)存釋放指針賦值問題內(nèi)存管理函數(shù)成對調(diào)用條件語句缺失默認情況問題無法執(zhí)行的死代碼問題返回棧上變量地址問題可達斷言實現(xiàn)不一致函數(shù)問題表達式永真或永假問題42附錄H（資料性）工業(yè)互聯(lián)網(wǎng)系統(tǒng)漏洞嚴重性等級評定表參見表H.1表H.1漏洞嚴重性計算量化值分類描述0.0很低2.0低4.0中6.0較高8.0高10.0很高注：計算出的綜合量化值與表E.1的等級量化值進行比較，差的絕對值小的就屬于那一個分類。43附錄I（資料性）工業(yè)互聯(lián)網(wǎng)系統(tǒng)脆弱性計算示例漏洞名稱Androidseccomp權(quán)限提升漏洞發(fā)布日期2019-05-10影響產(chǎn)品Android來源國家信息安全漏洞共享平臺描述Android一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。AndroidKernel組件seccomp存在權(quán)限提升漏洞。攻擊者可利用該漏洞繞過seccomp，提升權(quán)限。訪問向量遠程網(wǎng)絡(luò)攻擊訪問復(fù)雜度低授權(quán)認證不需要影響類型通用型漏洞臨時解決方案廠商已發(fā)布漏洞修復(fù)程序，請及時關(guān)注更新：/security/bulletin/2019-05-01廠商補丁Androidseccomp權(quán)限提升漏洞的補丁0級指標1級指標2級指標專家賦值漏洞嚴重性A可信度B1漏洞存在的可能性C118.0技術(shù)細節(jié)報告的可信度C128.0可利用B2訪問向量C218.0訪問復(fù)雜度C229.0授權(quán)認證C237.0對目標系統(tǒng)安全性影響B(tài)3保密性C317.5完整性C327.0可利用性C338.0修復(fù)水平B4官方補丁C415.0臨時補丁C427.0臨時解決方案C439.044構(gòu)造檢測體系中每一層的判斷矩陣，分別如下：1

1

1 1146 146

1 9 5

1 9 5114

C1

C24

12C3191

14C3191141

1

6 2 1

141 145

141 145 14141135 135 3 1

1 137 31 2C41 1 1B 5 5125 3 512

1 513 3

1 1 31 5 31由步驟（1）得到的判斷矩陣，計算各層指標權(quán)重（矩陣C1的特征向量）

(1)（C2）（C3）（C4）

(2)(3)(4)（矩陣B的特征向量）

(5)各矩陣的最大特征值：C1xC1xC2xC2xC3xC3xC4xBxBx45各矩陣相對一致性指標：RC)IC)00.CR(C2)

CI(C2)(n

0.00790.10CR(C2)

CI(C2)(n

0.00790.10CR(C3)

CI(C3)(n

0.06140.10CR(C4)

CI(C4)(n

0.03320.10CR(B)

CI(B)(n

0.04970.10010RI