DB32-T 4274-2022 工業(yè)互聯(lián)網(wǎng)安全脆弱性分析與檢測標準

DB32IndustrialInternetSecurityVulnerabilityI 2 3 3 4 4 5 本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。練智超、韓皓、李冬成、牛博威、孟慶杰、蔡文杰、袁鍵、鄧高見、1工業(yè)互聯(lián)網(wǎng)安全脆弱性分析與檢測規(guī)范GB/T5271.8-2001信息技術詞匯第8部GB/T20984-2007信息安全技術信息安全風險檢測GB/T25056-2010信息安全技術證書認證系統(tǒng)密碼及其相關安全技術GB/T28452-2012信息安全技術應用軟件系統(tǒng)通用安全技術GB/T302791-2013信息安全技術安全漏洞等級劃分GB/T35273-2017信息安全技術個人信息安GB/T30976.1-2014工業(yè)控制系統(tǒng)信息過程、制造過程和制造裝備智能化，是信息技術、智能2也可包括諸如真實性、可核查性、不可否認性工業(yè)互聯(lián)網(wǎng)系統(tǒng)安全脆弱性動態(tài)分析DynamicAnalysisofSecurityVulnerabilityof預先設計的協(xié)議畸形數(shù)據(jù)輸入，監(jiān)視測試過程和返回的異常結果，發(fā)現(xiàn)工控協(xié)議存在的安全漏洞。ICS：工業(yè)控制系統(tǒng)（IndustriDCS：分布式控制系統(tǒng)/集散控制系統(tǒng)（DistributedControlSystePCS：過程控制系統(tǒng)（ProcessControlSystePLC：可編程序控制器（ProgrammableLogicControlRTU：遠程終端控制系統(tǒng)（RemoteTerminalIED：智能電子設備/智能監(jiān)測單元（IntelligentEHMI：人機界面（HumanMachineInterfaSIS：生產(chǎn)過程自動化監(jiān)控和管理系統(tǒng)（SupervisoryInformatio3MES：制造執(zhí)行管理系統(tǒng)（ManufacturingExecutionSysteSCADA：數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SupervisoryControlandDataAca)構建工業(yè)互聯(lián)網(wǎng)系統(tǒng)的威脅分類和攻b)利用相關方法對工業(yè)互聯(lián)網(wǎng)系統(tǒng)安全脆弱性做分析；4用5表2提供了威脅出現(xiàn)頻率的一種威脅等級判斷方法。在實際的檢測中，威脅頻率的判斷依據(jù)應在檢測準備階段根據(jù)歷史統(tǒng)計或行業(yè)判斷予以確定，并得到被檢測方5高）；4）；3中）；21低威脅幾乎不可能發(fā)生，僅可能在非常罕見和根據(jù)組織和信息系統(tǒng)自身的特點，發(fā)生的歷史安全事件記錄，面臨威脅分析等方法進行調查：如，系統(tǒng)受到病毒攻擊頻率，系統(tǒng)不可用頻率，系統(tǒng)遭遇黑客攻按攻擊造成的危害分類可以分為以下a)惡意控制：核心部件被入侵者惡意控制，正常的業(yè)務邏輯被篡改，從而對工業(yè)互聯(lián)網(wǎng)系統(tǒng)生b)系統(tǒng)停服：入侵者往往采用簡單粗暴的方式，向平臺系統(tǒng)中關鍵部件發(fā)送大量的非正常數(shù)據(jù)包，使得目標部件失去功能，使得系統(tǒng)的完整性遭到c)網(wǎng)絡中斷：不同于系統(tǒng)停服，入侵者雖然無法控制目標設備，也無法使其癱瘓，但是可以通過干擾其網(wǎng)絡連接，使它無法和其他設備通信。尤其在系統(tǒng)網(wǎng)絡中廣泛使用無線連接，為這d)數(shù)據(jù)篡改：系統(tǒng)中傳輸和存儲的信息數(shù)據(jù)是工業(yè)互聯(lián)網(wǎng)系統(tǒng)實現(xiàn)自動化管控的基礎，信息被6e)非法接入：智能表計、智能家電、分布式能源設備等多種智能終端大量接入。業(yè)務終端數(shù)量攻擊對象云協(xié)議智能端攻擊步驟攻擊執(zhí)行攻擊部署入侵滲透攻擊準備攻擊危害攻擊樣本知識庫的構建從六個對象類描述并封裝攻擊樣本，為實現(xiàn)攻擊個體以及基于攻擊個a)具體攻擊行為：具體攻擊行為描述的是攻擊者完成一個原子攻擊所進行的操作，可以抽象為c)安全狀態(tài)：安全狀態(tài)包含被攻擊目標的狀態(tài)和攻擊者的狀態(tài)，如攻擊者當前的起始權限，這d)代碼實例：代碼實例作為具體攻擊行為的實現(xiàn)將能夠被攻擊過程的模擬平臺在攻擊過程中直e)安全漏洞：安全漏洞對攻擊行為所依附的漏洞宿主進行描述，包括漏洞宿主的軟硬件、操作7f)攻擊行為間關聯(lián)關系：為了對攻擊過程進行模擬，攻擊樣本庫需要對攻擊行為間的前后依賴關系進行描述，以便正確刻畫攻擊者在某個步驟所能夠選擇安全漏洞利用攻擊前提/攻擊后果安全狀態(tài)攻擊者狀態(tài)量攻擊方法攻擊特征攻擊方法攻擊數(shù)據(jù)包監(jiān)測報警監(jiān)測報警代碼實例主機日志其他攻擊行為6.3.1工業(yè)互聯(lián)網(wǎng)系統(tǒng)安全脆弱性二進制文件逆向與中間語.1通過逆向分析和中間語言技術，將工控協(xié)議實現(xiàn)的二進制文件進行分析，并將其轉化成中8模擬執(zhí)行數(shù)據(jù)流分析二進制文件結構與程序結構分析模擬執(zhí)行數(shù)據(jù)流分析缺陷智能識別中間語言表示缺陷智能識別逆向與中間語言表示基于中間語言的缺陷識別.2二進制文件結構與程序以Mach-O文件格式為例。Mach-O文件格式是OSX與iOS系統(tǒng)上的可執(zhí)行文件格式，類似于1.Header：保存了Mach-O的2.LoadCommands：這一段緊跟Header，加載Mach-9第一行DataLO前四個字節(jié)0xCAFEBABE表示字節(jié)的大小端順序（0xCAFEBABE為大端，0xBEBAFECA為小端）。后四個字節(jié)表示該文件支持哪種CPU架構第一行DataHI前四個字節(jié)0x0100000C表示CPU的廠商，后四第二行DataLO前四個字節(jié)0x00100000表示數(shù)據(jù)偏移量，即數(shù)據(jù)記錄地址開始的位置。后四個字節(jié)第三行DataLO前兩個字節(jié)0x000B表示符號表數(shù)據(jù)塊結構重定向后的偏移地址。后兩個字節(jié)中間語言是匯編級別的中間表示,指令粒度比匯編指令小，一ADDMULMODANDNOPNOP例如，ADDt0,t1,t2，意為將t1、t2寄存器內的值相加，放到不可讀或寄存器t0不可寫，那么會導致程序存在脆弱性，同時若t0、t1、t2寄存器不做讀寫檢驗，則同實現(xiàn)。缺陷查找分析應在模擬執(zhí)行的前提下進行，模擬情況。通過不斷迭代傳遞，將污染數(shù)據(jù)傳至葉子結點（危險調用點或危險代碼段）。在葉子結點,進一6.3.2工業(yè)互聯(lián)網(wǎng)系統(tǒng)安全脆弱性基于動態(tài)污點的工控協(xié)議動播路徑跟蹤、安全性斷言這三個步驟?；趧討B(tài)污發(fā)現(xiàn)漏洞發(fā)現(xiàn)漏洞 工控指令識別令基于文法模糊的動態(tài)漏洞挖基于文法模糊測試的工控協(xié)議動態(tài)分析流程如圖8所示。首先將工控協(xié)議抽象為協(xié)議結構描述，隨參考列表，特殊應用（如WEB應用、移動應用）的弱點有部分涉及，但不是本章節(jié)描述重點。脆弱性檢本章將從11個方面給出審查工業(yè)互聯(lián)網(wǎng)系統(tǒng)安全的具體條款。其中，環(huán)境與封裝8條脆弱性檢測條測條款；數(shù)據(jù)處理33條脆弱性檢測條款；代碼質量17條脆脆弱性檢測指標：代碼應避免將可信和不可信數(shù)據(jù)組合在同一結構體中，違背信任邊界。脆弱性檢測人員應檢查代碼安全體系是否將來自可信源和非可信源的數(shù)據(jù)混合在同一數(shù)據(jù)結構體脆弱性檢測指標：在類進行比較時，不應只使用名稱a)脆弱性檢測人員應檢查代碼安全體系聲明為公開的方法時，是否返回私有數(shù)組的引用，如果b)脆弱性檢測人員應檢查代碼安全體系是否將公共數(shù)據(jù)分配給私有數(shù)組，如果結果為肯定，則a)應檢查代碼安全體系中包含敏感數(shù)據(jù)的類是否可復制，如Java語言中的實現(xiàn)了Clonenableb)應檢查代碼安全體系中包含敏感數(shù)據(jù)的類是否可實現(xiàn)了序列化接口，使類可序列化，包含敏脆弱性檢測人員應檢查代碼安全體系中的應用程序編程接口（API）或與暴露了危險方法或函數(shù)，他們本應受到適當?shù)南拗?。危險方法或函數(shù)暴露的形式有如下幾種：將不可序列化的對象存儲到磁盤上可能導致序列化失敗和應用程序崩潰。a)不正確的變量或引用；脆弱性檢測人員應檢查代碼在釋放堆內存前是否采用合適的方式進行信息的清理。如C語言中是否使用realloc()調整存儲敏感信息的緩沖區(qū)大小，如存在該操作，將存在可能暴露敏感信息的風險。realloc()函數(shù)不是從內存中刪除，而通常是將舊內存塊的內容復制到一個新的、更大的內存塊，這可能暴露給攻擊者使用“memorydump”或其他方法來進行讀取敏感數(shù)據(jù)的“堆檢查”攻擊。脆弱性檢測指標：不應使用不兼容類型的指針來訪問脆弱性檢測指標：應避免使用指針的減法來確定內存脆弱性檢測人員應檢查代碼是否將一個NULL或0以外的固定地址賦值給指針。將固定地址賦值給指脆弱性檢測指標：不應把指向非結構體類型指針強制轉換a)應檢查代碼安全體系是否對關鍵變量進行初始化，未初始化關鍵變量易導致系統(tǒng)按非預期值b)應檢查代碼安全體系是否采用了不安全或安全性較差的缺省值來初始化內部變量。缺省值通c)應檢查代碼安全體系中關鍵的內部變量或資源是否采用了可信邊界外的外部輸入值進行初始可能會導致資源在使用階段就被過早釋放，脆弱性檢測人員應檢查代碼安全體系在初始化失敗后能否安全脆弱性檢測指標：發(fā)生異常時，應恢復對象到先前的7.5.6啟用后臺線程前主線程未完脆弱性檢測指標：不應在初始化類時啟用后脆弱性檢測人員應檢查代碼安全體系中資源清理部分的相關功能，檢查項包括但不限于：a)脆弱性檢測人員應檢查代碼安全體系中當特定錯誤（如不可恢復邏輯錯誤）發(fā)生時，程序是否在以不可預測的狀態(tài)繼續(xù)執(zhí)行，而導致數(shù)據(jù)有被損壞的風險，在程序終止時應執(zhí)行正確的b)脆弱性檢測人員應檢查代碼安全體系在使用資源后是否恰當?shù)貓?zhí)行臨時文件或輔助資源的清脆弱性檢測人員應檢查代碼安全體系中錯誤處理是否安全，具體要求包括但不限于：d)應檢查是否確保線程池中正在執(zhí)行的任務失敗后給出提示；f)應檢查是否對函數(shù)或操作返回值是否為預期值進行了檢查；g)應檢查是否返回定制的錯誤頁面給用戶來預防敏感信息的泄露。脆弱性檢測指標：應避免關鍵狀態(tài)數(shù)據(jù)被外注：隱蔽時間通道通過隨著時間推移調節(jié)某些方面的系統(tǒng)行為來傳遞脆弱性檢測指標：應對外部可訪問鎖加以限制，不允許被預期范圍之外的實體影響。脆弱性檢測指標：執(zhí)行迭代或循環(huán)應恰當?shù)叵拗蒲h(huán)執(zhí)行的次數(shù)，應避免無限循環(huán)。a)應檢查代碼安全體系中如果信號處理函數(shù)不可中斷，那么信號處理函數(shù)在執(zhí)行時是否已屏蔽b)應檢查代碼安全體系中信號處理函數(shù)代碼序列是否包含非異步安全代碼序列，如果結果為肯脆弱性檢測指標：應對共享資源使用正確的并發(fā)處理a)應檢查代碼安全體系在多線程環(huán)境中對共享數(shù)據(jù)的訪問是否為同步訪問，如果結果為否定，b)應檢查代碼安全體系中線程間共享的對象是否聲明正確的存儲持續(xù)期，如果結果為否定，則c)應檢查代碼安全體系中是否在并發(fā)上下文中使用不可重入的函數(shù)，如果結果為肯定，則提示e)應檢查代碼安全體系中多個線程中等待彼此釋放鎖的可執(zhí)行片段是否避免了死鎖情況發(fā)生，g)脆弱性檢測人員應檢查代碼是否將敏感數(shù)據(jù)存儲在沒有被鎖定或被錯誤鎖定的內存中，（將敏感數(shù)據(jù)存儲于加鎖不恰當?shù)膬却鎱^(qū)域，可能會導致該內存通過虛擬內存管理器被寫入到在磁盤上的交換文件中，從而使得數(shù)據(jù)更容易被外部獲?。绻Y果為肯定，則提示存在安h)應檢查代碼安全體系中是否存在互斥體被鎖定時刪除它們的情況，如果結果為肯定，則提示k)應檢查代碼安全體系中是否存在對未加鎖的資源進行解鎖，如果結果為肯定，則提示存在安l)應檢查代碼安全體系中在異常發(fā)生時是否釋放已經(jīng)持有的鎖，如果結果為否定，則提示存在a)應檢查代碼安全體系中是否創(chuàng)建或使用不安全的臨時文件，如果結果為肯定，則提示存在安b)應檢查代碼安全體系中臨時文件是否在程序終止前移除，如果結果為否定，則提示存在安全c)應檢查代碼安全體系中是否在具有不安全權限的目錄中創(chuàng)建臨時文件，如果結果為肯定，則脆弱性檢測人員應檢查web代碼是否存在重定向后執(zhí)行額外代碼，如果結果為肯定，則提示存在安a)應檢查是否缺失認證機制，如果結果為肯定，則提示存在安全風險；b)應檢查是否缺失授權機制，如果結果為肯定，則提示存在安全風險；d)應檢查是否違背最小特權原則，以高于功能所需的特權級別（如根用戶或管理員用戶）在執(zhí)e)應檢查放棄特權后，是否檢查其放棄是否成功，如果結果為否定，則提示存在安全風險；f)應檢查是否創(chuàng)建具有正確訪問權限的文件，如果結果為否定，則提示存在安全風險；g)應檢查是否避免關鍵資源的不正確h)應檢查是否確保正確的行為次序，避免在解析與凈化處理之前進行授權，如果結果為否定，i)應檢查是否限制過多認證嘗試，如果結果為否定，k)應檢查是否可避免攻擊者使用欺騙、候選名、候選路徑/通道或捕獲重放攻擊等手段繞過身份m)對于客戶端/服務器架構的產(chǎn)品，應檢查是否避免僅在客戶端而非服務器端執(zhí)行認證，如果結n)應檢查是否避免過于嚴格的賬戶鎖定機制（賬戶鎖定保護機制過于嚴格且容易被觸發(fā)，就允許攻擊者通過鎖定合法用戶的賬戶來拒絕服務合法的系統(tǒng)用戶），如果結果為否定，則提示o)應檢查是否在認證機制中使用口令哈希代替p)應檢查是否未對信道兩端的操作者進行充分的身份認證，或未充分保證信道的完整性，從而q)應檢查是否避免通信通道源的驗證不當，確保請求來自預期源，如果結果為否定，則提示存r)應檢查是否避免通過用戶控制密鑰繞過授權機制，如s)應檢查通信信道是否正確指定目的地來預防如下風險：攻擊者在目的地偽裝成受信任的服務器來竊取數(shù)據(jù)或引起拒絕服務。如果結果為否定，則提示存在安全c)應檢查是否避免對敏感數(shù)據(jù)的明文存儲或明文傳輸；e)應檢查是否選擇被業(yè)界專家公認比較健壯的算法，未自行開發(fā)或定制私有加密算法并定期確c)應檢查是否避免偽隨機數(shù)生成器（PRNG）每次都使用相同的種子、可預測的種子（如d)應檢查是否避免使用具有密碼學弱點的偽隨機數(shù)生脆弱性檢測指標：應驗證數(shù)據(jù)的起源或真實性，避免接收無效b)應檢查是否未驗證或不正確驗證數(shù)據(jù)的密碼學簽名；d)應檢查是否缺失或進行不恰當完整性檢e)應檢查安全相關的輸入是否僅依賴于加密技術而未進行完整性檢查；g)應檢查是否信任來自系統(tǒng)事件的信息；h)應檢查是否依賴未經(jīng)驗證和完整性檢查的Cooki相關人的默認同意的情況被訪問。不當處理私人信息脆弱性檢測指標：應避免非預期數(shù)據(jù)類型處或協(xié)議版本變動時，數(shù)據(jù)組織形式可能會發(fā)生變化從而帶來非脆弱性檢測指標：應防止以大小寫混合的方式繞過凈化和脆弱性檢測指標：不應混用具有泛型和非泛型的原始數(shù)據(jù)脆弱性檢測指標：不應將結構體的長度等同于其各個成員長度脆弱性檢測人員應檢查代碼是否存在數(shù)值賦值超出數(shù)值類型范圍，應避免賦值越界。脆弱性檢測指標：數(shù)值范圍比較時，不應遺漏邊界值脆弱性檢測人員應檢查代碼在進行數(shù)值范圍比較時，是否c)通過差異性（響應差異性、行為差異性、時間差異性）導脆弱性檢測指標：應避免對數(shù)據(jù)結構控制域的刪除或意外會引起嚴重編程邏輯錯誤，應避免對數(shù)據(jù)結構控制域刪脆弱性檢測指標：不應對環(huán)境變量的長度做脆弱性檢測指標：應避免在文件訪問前對鏈接解析不脆弱性檢測指標：應避免執(zhí)行的命令或加載的庫文件如結果為肯定，則應用程序有執(zhí)行攻擊者惡意脆弱性檢測指標：應避免外部控制的格式化脆弱性檢測指標：應對方法或函數(shù)的參數(shù)進脆弱性檢測人員應檢查代碼是否存在對方法或函數(shù)的參數(shù)進行合法性或安全性校驗。脆弱性檢測指標：不應開放不可信站點的U脆弱性檢測人員應檢查代碼是否存在URL重定向到不可信站點的現(xiàn)象。因重定向到不可信站點，可c)通過執(zhí)行這個命令，應用程序為攻擊者提供了攻擊者不應擁有脆弱性檢測指標：應正確處理SQL命令中脆弱性檢測人員應檢查代碼利用用戶可控的輸入數(shù)據(jù)構造SQL命令時，是否對外部輸入數(shù)據(jù)中的特殊元素進行處理，如果未處理，那么這些數(shù)據(jù)有可能被解釋為SQL命令而非普通用戶的輸入數(shù)據(jù)。攻擊7.9.31未恰當處理語法形式不完全符合預期脆弱性檢測指標：應恰當處理輸入語法形式不完全符合預期規(guī)范的a)脆弱性檢測人員應檢查代碼是否正確處理當參數(shù)被定義但相關的值缺e)脆弱性檢測人員應檢查代碼是否處理超過預期數(shù)量的參數(shù)，應避免未對多余f)脆弱性檢測人員應檢查代碼是否正確處理未定義的參數(shù)，應避免未對未定義參脆弱性檢測指標：應對輸出日志中的特殊字符進行過濾和脆弱性檢測人員應檢查代碼是否對HTTP頭中的Web腳本特殊字符進行過濾處理。因HTTP頭中的Web如果是，則攻擊者就可以利用精心編制的操作來觸發(fā)最壞情況的發(fā)生，從而引發(fā)算法復脆弱性檢測人員應檢查代碼是否存在允許實體在授權或認證前執(zhí)行合法但代價高的操作。程被創(chuàng)建或執(zhí)行時，子進程繼承任何打開的文件描述符，如不關閉則可能會造成未經(jīng)授權的訪問。脆弱性檢測指標：應限制堆空間的消耗，防止堆空間脆弱性檢測人員應檢查代碼是否存在重復釋放資源的情形脆弱性檢測人員應檢查代碼調用的內存管理函數(shù)是否匹配，如malloc/free來分配或刪除資源。當脆弱性檢測指標：switch等條件語句中不應缺失默認脆弱性檢測人員應檢查代碼switch等條就會被釋放，再使用該變量地址時會出現(xiàn)意想不言在其中某個連接中發(fā)生，就會導致所有其他連接脆弱性檢測指標：不應出現(xiàn)表達式永真或永脆弱性檢測人員應檢查代碼是否存在表達式邏輯永真或永假代碼的7.12.4漏洞嚴重性檢測指標項的依據(jù)建立的檢測模型與每類指標的相對重要性，構造判斷矩陣表，灰色檢測方法相結合計算獲得每個一級指標的權查表獲得信息系統(tǒng)漏洞嚴重性等級。工業(yè)互聯(lián)網(wǎng)系統(tǒng)漏洞嚴重性檢測計算示例見a)具有中華人民共和國境內注冊的獨立法人資格；b)建立人員管理制度和能力考核指標，制定相關培訓計劃，定期開展培訓；f)建立質量管理制度，跟蹤服務質量，并能對服務質量進行持續(xù)改進。a)具備分析工業(yè)互聯(lián)網(wǎng)系統(tǒng)脆弱性的能力，能夠收集、合成系統(tǒng)的脆弱性數(shù)據(jù)；b)具備分析脆弱性對系統(tǒng)的影響的能力，能夠識別脆弱性對所實施的系統(tǒng)的影響，并對發(fā)生影d)具備檢測系統(tǒng)脆弱性狀況的能力，能對風險變化、事件記錄、防護措施進行監(jiān)視，能識別突e)具備檢測或證實系統(tǒng)脆弱性的能力，包括檢a)服務需求界定：調研客戶背景信息，明確客戶需求，與客戶充分溝通，達成共識并編寫需求b)服務合同簽訂：與客戶簽訂服務協(xié)議，明確服務范圍、目標、時間、內容、金額、質量和輸a)服務方案制定：根據(jù)客戶需求，編制技術方案和實施方案，明確人員、進度、質量、溝通、風險等方面要求。根據(jù)項目需求組織客戶及相關技術專家對技術方案和實施方案進行論證，b)人員和工具準備：組建服務團隊，服務團隊應由管理層、相關業(yè)務骨干、技術人員等組成。b)對項目實施監(jiān)督管理，建立客戶滿意c)根據(jù)項目需求和項目范圍定期對項目實施情況進行評審，采取適當措施，控制項目風險。a)依照項目需求和項目范圍的要求，提出項目初驗申請，組織客戶和相關方對項目進行初步驗b)根據(jù)合同約定，配合驗收組完成項目終審驗收，提交項目終驗報告。 nnnn1x1x分本身的狀況來進行直接的給定，而一些賦值是根據(jù)后文給出的情況來進行判定后進行打分，其中d111、表D.1工業(yè)互聯(lián)網(wǎng)系統(tǒng)脆弱性（漏洞）檢漏洞嚴重性A漏洞存在的可能性對目標系統(tǒng)安全無無0表E.7官方補丁、臨時補丁、臨時解決方案0有表E.8漏洞存在的可能性、技術細節(jié)報告低中高表F.5表F.5第一層中可信度B1、可利用B2、對目標系統(tǒng)安全性影響B(tài)3和修復水平B4相對于漏洞嚴重B低中高注：計算出的綜合量化值與表E.1的等級量化值進行比較，差的AndroidAndroid一套以Linux為基礎的開源低案/security/bulletin/2019-05wi=(0.8,0.2)wi=(0.8,02'1