DB32 T 4274-2022 工业互联网安全脆弱性分析与检测规范.pdf

1、 ICS 25.040 CCS N 10 DB32 江苏省地方标准 DB 32/T 4274 2022 工业互联 网安全脆 弱性分析 与检测规 范 Industrial Internet Security Vulnerability Analysis and Testing Standards 2022-05-26 发布 2022-06-26 实施 江苏省市 场监督 管 理局 发 布 DB 32/T 4274 2022 I 目 次 前言.III 1 范围.1 2 规范 性引 用文 件.1 3 术语、定 义和 缩略 语.1 3.1 术 语和 定义.1 3.2 缩 略语.2 4 总则.3 5 分析

2、 与检 测流 程.3 6 分析.4 6.1 威 胁分 类与 样本 库的 构建.4 6.2 攻 击样 本库 构建.5 6.3 分 析步 骤与 要求.7 7 检测.13 7.1 弱 点脆 弱 性 检测 总体 要求.13 7.2 环 境与 封装.13 7.3 API 调用.14 7.4 指 针安 全.15 7.5 初 始化 与清 理环 节.16 7.6 错 误处 理.17 7.7 时 间和 状态.17 7.8 通 用安 全特 性.19 7.9 数 据处 理.21 7.10 代码 质量.26 7.11 弱点 脆弱 性检 测列 表.28 7.12 安全 脆弱 性检 测流 程 与方法.28 8 服务.29

3、 8.1 服 务机 构基 本能 力要 求.29 8.2 服 务流 程.30 附录 A（资料 性）模型 的建立.31 DB 32/T 4274 2022 II 附录 B（资料 性）工业 互联网 系统 脆弱 性检 测记 录表.33 附录 C（资料 性）工业 互联网 系统 脆弱 性漏 洞访 谈信息 记录 表.34 附录 D（资料 性）工业 互联网 系统 脆弱 性（漏洞）检测 指标 及参 考权 重.35 附录 E（规范 性）工业 互联网 系统 脆弱 性检 测专 家打分 指标 值分 类说 明.36 附录 F（资料 性）判断 矩阵表.38 附录 G（规范 性）弱点 脆弱性 检测 列 表.40 附录 H（资

4、料 性）工业 互联网 系统 漏洞 严重 性等 级评定 表.43 附录 I（资料 性）工业 互联网 系统 脆弱 性计 算示 例.44 DB 32/T 42742022 III 前 言 本文件 按照GB/T 1.1 2020 标准 化工 作导则 第1 部分：标准化 文件 的结构 和起草 规则 的规 定起草。请注意 本文 件的 某些 内容 可能涉 及专 利。本文 件的 发布机 构不 承担 识别 专利 的责任。本文件 由江 苏省 信息 安全 标准化 技术 委员 会提 出并 归口。本文件 起草 单位：南 京理 工大学、南 京工 业职 业技 术大学、五 邑 大 学、东南 大学、南京 航空 航 天 大学、江

5、 苏省 工业 与信 息化 厅、江 苏省 产品 质量 监督 检验研 究院、江 苏大 象信 息技术 服务 有限 公 司、江 苏省中天 互联 科技 有限 公司、江 苏三 台山 数据 应用 研 究院有 限公 司、江 苏远 恒 教育科 技有 限公 司、江 苏 省信息网 络安 全协 会。本文件 主要 起草 人：李千 目、侯 君、金 雷、戴晟、武 斌、张 建航、龙华 秋、曹玖 新、时 宗胜、蒋剑、练智超、韩 皓、李冬 成、牛博威、孟 庆杰、蔡 文杰、袁键、邓 高见、陈 彦文。DB 32/T 4274 2022 1 工 业互联 网安全脆 弱性分 析与检测 规范 1 范围 本文件 规定 了工 业互 联网 系统威

6、 胁分 类与 攻击 样本 库构建 的步 骤和 一般 要求，以及安 全脆 弱性 检 测流程与 方法、分 析与 检测 服务机 构基 本能 力要 求与 服务流 程要 求。本文件 适用 于工 业互 联网 系统安 全脆 弱性 分析 与检 测，脆 弱性 严重 性综 合指 数 计算与 等级 划 分 检 测。2 规范性 引用 文件 下列文 件中 的内 容通 过文 中的规 范性 引用 而构 成本 文件必 不可 少的 条款。其 中，注日 期的 引用 文件，仅该日 期对 应的 版本 适用 于本文 件；不注 日期 的引 用文件，其 最新 版本（包 括所有 的修 改单）适 用 于 本文件。GB/T 25069 信 息安

7、 全技 术 术语 GB/T 5271.8-2001 信息 技 术 词汇 第8 部分：安 全 GB/T 20984-2007 信息 安全技 术 信息 安全 风险 检 测规范 GB/T 25056-2010 信息 安全技 术 证书 认证 系统 密 码及其 相关 安全 技术 规范 GB/T 28452-2012 信息 安全技 术 应用 软件 系统 通 用安全 技术 要求 GB/T 302791-2013 信息 安全技 术 安全 漏洞 等级 划 分指南 GB/T 35273-2017 信息 安全技 术 个人 信息 安全 规 范 GB/T 30976.1-2014 工业 控制系 统信 息安 全 3 术语

8、、定义 和缩 略语 术语和 定义 3.1 下列术 语和 定义 适用 于本 文件。3.1.1 工业互 联网 Industrial Internet 属于泛 互联 网的 目录 分类。使用 开放 性网 络来 连接 人、数 据与 机器，激 发工 业化生 产力。3.1.2 工业互 联网 系统 Industrial Internet system 面向工业 全 生命 周期，依 托工业 互联 网，在传 感网 络技术、大 数据 技术、云 计算技 术、边缘 计 算 技术、自 动化 技术、人工 智 能 等技术 基 础上，通 过 智 能化 的 感知、人 机交 互、决策和 执行 技术，实 现设 计过程、制造 过程 和

9、制 造装 备智能 化，是 信 息技 术、智能技 术 与 装备 制造 技术 的深度 融合 与集 成。3.1.3 DB 32/T 4274 2022 2 漏洞 Vulnerability 计算机 信息 系统 在需 求、设计、实现、配置、运行 等过程 中，有意 或无 意产 生的缺 陷。这些 缺陷 以不同形 式存 在于 计算 机信 息系统 的各 个层 次和 环节 之中，一旦 被恶 意主 体所 利用，就会 对计 算 机 信 息 系统的安 全造 成损 害，从而 影响计 算机 信息 系统 的正 常运行。保 持信 息的 保密 性、完 整性、可 用 性；另 外也可包 括诸 如真 实性、可 核查性、不 可否 认性

10、 和可 靠性等。来源：GB/T 302791-2013 3.1.4 工业控 制协 议 Industrial control protocol 工业控 制 系 统网 络中 进行 数据交 换而 建立 的规 则、标准或 约定，规 范了 设备 之间的 通 信 行为 与 相 关的接口 标准。来源：IEEE802.11 3.1.5 工业互 联网 系统 安全 脆弱 性静态 分析 Static analysis of industrial Internet system security vulnerability 在不运 行工 控协 议实 现程 序的前 提下，分 析软 件程 序中存 在的 漏洞，通 过对 工

11、控协 议实 现程 序 的 词法、语 法、语义 进行 分析，检测 软件 中存 在的 弱安 全函数 调用 和缺 陷代 码片 段。来源：GB/T 20278-2013 定义3.3 3.1.6 工 业 互 联 网 系 统 安 全 脆 弱 性 动 态 分 析 Dynamic Analysis of Security Vulnerability of Industrial Internet System 分别从 系统 侧和 网络 侧两 方面实 现工 控协 议脆 弱性 分析的 技术。在 系统 侧，针 对工控 协议 数据 的 动态污点，通过 数据 流分 析 和函数 摘要 方法，跟踪 工 控协议 数据 流的 传

12、播，挖 掘工控 协议 实现 过程 中潜 在的漏洞；在 网络 侧，同 时 向被测 协议 的客 户端（即 工控系 统主 站）和服 务器 端（即 智能 终端 设备）发 送预先设 计的 协议 畸形 数据 输入，监视 测试 过程 和返 回的异 常结 果，发现 工控 协议存 在的 安全 漏洞。来源：GB/T 30976.1-2014 定义3.3 缩略语 3.2 下列缩 略语 适用 于本 文件。ICS：工业 控制 系统（Industrial Control System）DCS：分布 式控 制系 统/集 散控制 系统（Distributed Control System）PCS：过程 控制 系统（Proce

13、ss Control System）PLC：可编 程序 控制 器（Programmable Logic Controller）RTU：远程 终端 控制 系统（Remote Terminal Unit）IED：智能 电子 设备/智能 监测单 元（Intelligent Electronic Device）HMI：人机 界面（Human Machine Interface）SIS：生产 过程 自动 化监 控 和管理 系统（Supervisory Information System）DB 32/T 4274 2022 3 MES：制造 执行 管理 系统（Manufacturing Executio

14、n System）SCADA：数 据采 集与 监视 控 制系统（Supervisory Control and Data Acquisition）4 总则 脆弱性 检测 人员 的主 要工 作职能 在于 收集 和呈 现信 息，客 观地 呈现 代码 安全 体系中 的问 题，不 应 隐瞒；对 代码 安全 体系 等相 关内容 保守 秘密，不 对外 泄露相 关内 容。5 分析与 检测 流程 工业互 联网 系统 安全 脆弱 性分析 与检 测的 流程 见图1：分析检测准备现场记录构建工业互联网系统的威胁分类构建工业互联网系统的攻击样本库工业互联网系统安全脆弱性做分析对工业互联网系统安全脆弱性做检测输出脆弱性

15、检测报告 图1 分析与 检测 流程 图 如图1，工 业互 联网 系统 安 全脆弱 性分 析与 检测 的流 程为：a)构建工 业互 联网 系统 的威 胁分类 和攻 击样 本库；b)利用相 关方 法对 工业 互联 网系统 安全 脆弱 性做 分析；DB 32/T 4274 2022 4 c)利用相 关方 法对 工业 互联 网系统 安全 脆弱 性做 检测。6 分析 威胁分 类与 样本 库的 构建 6.1 6.1.1 威胁分 类原 则 表1提 供了 一种 基于 表现 形 式的威 胁分 类方 法。表1 一种基 于表 现形 式的 威胁 分类表 种类 描述 威胁子类 软硬件故障 对业务实施或系统运行产生影响的

16、设备硬件故障、通讯链路中断、系统本身或软件缺陷造等问题 设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障 物理环境影响 对信息系统正常运行造成影响的物理环境问题和自然灾害 断电、静电、灰尘、潮湿、温 度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等 无作为或操作失误 应该执行而没有执行相应的操作，或无意地执行了错误的操作 维护错误、操作失误等 管理不到位 安全管理无法落实或不到位，从而破坏信息系统正常有序运行 管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等 恶意代码 故意在计算机系统上执行恶意任务的程序代码 病毒、特洛伊木马、蠕

17、虫、陷 门、间谍软件、窃听软件等 越权或滥用 通过采用一些措施，超越自己的权限访问了本来无权访问的资源，或者滥用自己的职权，做出破坏信息系统的行为 非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等 网络攻击 利用工具和技术通过网络对信息系统进行攻击和入侵 网络探测和信息采集、漏洞探测、嗅探（账户、口令、权限等）、用户身 份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等 物理攻击 通过物理的接触造成对软件、硬件、数据的破坏 物理接触、物理破坏、盗窃等 泄密 信息泄露给不应了解的他人 内部信息泄露、外部信息泄露等 篡改 非法修改信息，

18、破坏信息的完整性使系统的安全性降低或信息不可用 篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等 抵赖 不承认收到的信息和所作的操作和交易 原发抵赖、接收抵赖、第三方抵赖等 6.1.2 威胁等 级 DB 32/T 4274 2022 5 对威胁 出现 的频 率进 行等 级化处 理，不 同等 级分 别 代表威 胁出 现的 频率 的高 低。等级 数值 越大，威胁出现 的频 率越 高。表2提供 了威 胁出现 频率 的 一种威 胁等级 判断 方法。在实际 的检测 中，威胁频 率的判 断依据 应在 检测准备 阶段 根据 历史 统计 或行业 判断 予以 确定，并 得到

19、被 检测 方的 认可。表2 威胁等 级表 等级 标识 定义 5 高 出现的频率很高（或 1 次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过 4 较高 出现的频率较高（或 1 次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过 3 中 出现的频率中等（或 1 次/半年）；或在某种情况下可能会发生；或被证实曾经发生过 2 较低 出现的频率较小；或一般不太可能发生；或没有被证实发生过 1 低 威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生 6.1.3 威胁调 查 根据组 织和 信息 系统 自身 的特点，发 生的 历史 安全 事件记 录，面临 威胁 分析 等方法 进行

20、 调查：a)运行过 一段 时间 的信 息系 统，可根据 以往 发生 的安 全事件 记录，分 析信 息系 统面临 的威 胁。例如，系 统受 到病 毒攻 击频 率，系 统不 可用 频率，系 统遭遇 黑客 攻击 频率 等等；b)在实际 环境 中，通过 检测 工具以 及各 种日 志，可分 析信息 系统 面临 的威 胁；c)对信息 系统 而言，可 参考 组织内 其他 信息 系统 面临 的威胁 来分 析本 系统 所面 临威胁；对组 织 而言，可 参考 其他 类似 组织 或其他 组织 类似 信息 系统 面临威 胁分 析本 组织 和本 系统面 临威 胁；d)第三方 组织 发布 的安 全态 势方面 的数 据。攻

21、击样 本库 构建 6.2 6.2.1 攻击样 本库 分类 6.2.1.1 按攻击 目标 的不 同可 分为 以下四 类：云攻击、网络 攻击、协议 攻 击和智 能端 攻击。网络 攻 击者通 常使 用公 共云 环境 渗透到 本地 数据 中心进行云 攻击。而 协议 攻击 是通过 消耗 网络 服务 器、路由器、交 换机、防 火墙、负载 均衡 等设 备 的 资 源 达到破坏 的目 的。智能 端攻 击使智 能（无人）客 户端 出现异 常。6.2.1.2 按攻击 造成 的危 害分 类可 以分为 以下 五类：a)恶 意 控制：核心 部件 被 入侵 者 恶意 控 制，正常 的 业务 逻 辑被 篡 改，从而 对 工

22、业 互 联网 系统生产和使 用造 成巨 大的 破坏；b)系 统 停服：入侵 者往 往 采用 简 单粗 暴 的方 式，向 平台 系 统中 关 键部 件发 送 大量 的 非正 常数据包，使 得目 标部 件失 去功 能，使 得系 统的 完整 性遭 到破坏；c)网 络 中断：不同 于系 统 停服，入侵 者 虽然 无法 控 制目 标 设备，也无 法使 其 瘫痪，但是 可以通过 干 扰其 网 络连 接，使 它无 法 和其 他 设备 通信。尤其 在 系统 网 络中 广泛 使 用无 线 连接，为这类攻击 手段 提供 了应 用场 景；d)数 据 篡改：系统 中传 输 和存 储 的信 息 数据 是工 业 互联 网

23、 系统 实 现自 动化 管 控的 基 础，信息被入侵者 篡改；DB 32/T 4274 2022 6 e)非 法 接入：智能 表计、智能 家 电、分 布式 能源 设 备等 多 种智 能 终端 大量 接 入。业 务终 端数量庞大、类型 多样，存 在信 息泄露、非 法接 入、被控 制的风 险。6.2.1.3 攻击按 步骤 分类 可以 分为 以下四 类：准备阶 段、入 侵渗 透阶 段、部署阶 段和 执行 阶段。综 合以上 三个 方面 利用 星形 多维的 分类 方法 将攻击样本 分类，如 图2 所示。攻击 对象智能 端网络协议云攻击 危害攻击 准备入侵 渗透攻击 部署攻击 执行攻击 步骤 图2 工业互

24、 联网 系统 攻击 星形 分类方 法 6.2.2 攻击样 本的 构建 基于以 上攻击 分类 标准，服务人 员可利 用第 三方发 布的安 全数据 或利 用自身 能力挖 掘的安 全数 据，构建符 合6.2.3 架构 的攻 击 样本库。6.2.3 攻击样 本库 的架 构 6.2.3.1 攻击样 本知识 库的 构建 从 六 个对 象类描 述 并 封装攻 击样本，为实 现攻 击个体 以及基 于攻 击 个体的攻 击样 本的 具体 化。6.2.3.2 攻击样 本库 的体 系构 架如 图 3 所 示，其中 包括 以下 六个对 象类 对 应 的具 体内 容：a)具 体 攻击 行 为：具体 攻 击行 为 描述 的

25、 是攻 击者 完 成一 个 原子 攻 击所 进行 的 操作，可以 抽象为对目标 建立 连接 并发 送攻 击数据 包；b)攻击特 征：在 攻击 行为 发生 时表现 出来 的系 统/数据 特 征，包括 网络 流量 异常、安 全事件 报警、网络数 据包 和主 机日 志等；c)安 全 状态：安全 状态 包 含被 攻 击目 标 的状 态和 攻 击者 的 状态，如攻 击者 当 前的 起 始权 限，这是作为 攻击 行为 的前 提条 件。攻 击行 为发 生后，安 全状态 改变，作 为攻 击行 为的后 果；d)代 码 实例：代码 实例 作 为具 体 攻击 行 为的 实现 将 能够 被 攻击 过 程的 模拟 平

26、台在 攻 击过 程中直接调用；e)安 全 漏洞：安全 漏洞 对 攻击 行 为所 依 附的 漏洞 宿 主进 行 描述，包括 漏洞 宿 主的 软 硬件、操作系统和 网络 应用；DB 32/T 4274 2022 7 f)攻 击 行为 间 关联 关系：为了 对 攻击 过 程进 行模 拟，攻 击 样本 库 需要 对攻 击 行为 间 的前 后依赖关系进 行描 述，以便 正确 刻画攻 击者 在某 个步 骤所 能够选 择的 攻击 手段。攻击 方法安全 漏洞代码 实例安全 状态攻击 特征其他 攻击 行为利用攻击 前提/攻击 后果攻击 特征关联攻击 者状 态目标 状态网络异 常流量攻击 数据 包监测 报警主机

27、日志实现 图3 攻击样 本库 的体 系构 架 分析步 骤与 要求 6.3 6.3.1 工业互 联网 系统 安全 脆弱 性静态 分析 6.3.1.1 二进制 文件 逆向 与中 间语 言表示 6.3.1.1.1 通过逆 向分析 和中 间语言 技术，将工控 协议 实现的 二进制 文件进 行分 析，并 将其转 化成 中间语言 表示。以 中间 表示 语言为 基础，实 现模 拟执 行数据 流分 析与 缺陷 的智 能识别，进 而挖 掘 漏 洞。工控协议 脆弱 性静 态分 析流 程如 图 4 所 示。DB 32/T 4274 2022 8 逆向 与中 间语 言 表示 基于 中间 语言 的 缺陷 识别二进 制文

28、 件结 构 与程 序结 构 分析中间 语言 表示模 拟 执 行 数 据 流 分 析缺陷 智能 识别 图4 工控协 议脆 弱性 静态 分析 流程 6.3.1.1.2 二进制 文件 结构 与程 序结 构分析 根据已 知待 测二 进制 文件 结构，分 析待 测二 进制 代码 的文件 信息，包括 文件 总体 信息、重 定位 信 息、符号表、调 试信 息、代码 和数据 等。以Mach-O 文 件 格 式 为 例。Mach-O 文 件 格 式 是 OS X 与 iOS 系 统 上 的 可 执 行 文 件 格 式，类 似 于windows 的 PE 文件 与 Linux（其他 Unix like）的 ELF

29、 文件。主 要由 以下 三 部分组 成：1.Header：保 存了Mach-O 的一些 基本 信息，包 括了 平台、文件 类型、LoadCommands 的个 数等 等。2.LoadCommands：这一 段 紧跟Header，加 载Mach-O 文件时 会使 用这 里的 数据 来确定 内存 的分 布。3.Data：这里 包含 了具 体 的代码、数 据等 等。图5为 某一Mach-0文 件二 进 制形式。DB 32/T 4274 2022 9 图5 某Mach-O 文件 的二 进制 组 成形式 第一行Data LO 前四 个字节0 xCAFEBABE 表示字 节的大 小端顺序（0 xCAFEB

30、ABE 为 大端，0 xBEBAFECA 为小端）。后 四个 字节 表示 该文件 支持 哪种CPU 架构，图中的0 x00000002 表 示支 持的CPU 版 本。第一行Data HI 前四 个字 节0 x0100000C 表示CPU 的厂 商，后四 个字 节0 x00000000 表示CPU 类 型。第二行Data LO 前四 个字 节0 x00100000 表示 数据偏 移 量，即 数据记 录地 址开始 的位置。后四 个字 节表示0 x00F02700 表示 数据 量的大 小。第三行Data LO 前两个字节0 x000B 表示符号表数据块结构重定向后的偏移地址。后两个字节Ox00280

31、000 表示 符号 的起 始地址、字 符串 的偏 移量 等。第三行Data HI 前四 个字 节0 x00233000 表示 文件 的通 用唯一 识别 码（UUID）,是 文件能 够被 正确 序列化的必 不可 少的 条件 之一。6.3.1.1.3 中间语 言表 示 中间语 言是汇 编级 别的中 间表示,指令 粒度比 汇编 指 令小，一条汇 编指 令将映 射到若 干条中 间表 示指令中。在翻 译过 程中，汇 编指令 的具 体语 义将 被细 化并拆 分为 多条 适当 的指 令，并维 持着 汇编 指令 和翻译后 的指 令的 关系。指 令集主 要包 含算 术运 算操 作指令、位 操作 指令、数 据传输

32、 操作 指令、条件操作指令等。中 间语 言指 令种 类如表3所 示。表3 中间语 言指 令种 类 DB 32/T 4274 2022 10 操作种类 操作码 含义 示例 算术运算操作 ADD 两个值相加 ADD t0,t1,t2 SUB 两个值相减 SUB t6,t8,t9 MUL 两个值无符号相乘 MUL t3,4,t5 DIV 两个值无符号相除 DIV 4000,t2,t3 MOD 两个值无符号相除求模 MOD t8,8,t4 BSH 两个值逻辑移位操作 BSH t1,2,t2 位操作 AND 两个值按位与操作 AND t0,t1,t2 OR 两个值按位或操作 OR t7,t9,t12 X

33、OR 两个值按位异或操作 XOR t8,4,t9 数据传输操作 STR 存一个值到寄存器 STR t1,t2 LDM 从内存读取 LDM413600,t1 STM 存值到内存 STM t2,414280 条件操作 BISZ 将一个值和 0 比较 BISZ t0,t1 JCC 条件跳转 JCCT1,401000 其他操作 UNDEF 解除寄存器值定义 UNDEF,t1 UNKN 未知 UNKN NOP 无操作 NOP 当编程 语言 被编 译后，会产 生中间 语言 表示，可以 对中 间语言 进行 分析，进而 完成 安全脆 弱 性 分 析。例如，ADD t0,t1,t2，意为 将t1、t2 寄存器内

34、的值相加，放到t0 中去。如果t1、t2 寄存器的值非法、不 可读或 寄存 器t0 不可 写，那么会 导致 程序存 在脆弱 性，同 时若t0、t1、t2 寄存 器不做 读写 检验，则同样存在 脆弱 性。6.3.1.2 基于中 间语 言的 缺陷 智能 识别 6.3.1.2.1 模拟执 行数 据流 分析 模拟执 行计 划以 模块 函数 调用图 和函 数控 制流 图等 信息为 输入，从 模块 指定 的入口 函数 开始，迭 代往下依 次分 析每 个可 达的 函数。为了 使分 析达 到最 好的效 率，内部 模拟 执行 过程应 采用 函数 摘 要 的 策 略实现。缺陷 查找 分析 应在 模拟执 行的 前提

35、 下进 行，模拟执 行数 据流 分析 流程 图如图6所 示。DB 32/T 4274 2022 11 二进制程序（工控协议实现程序）中间语言二进制文件结构分析二进制程序结构分析数据库模拟执行器（函数摘要）污点传播检测其他检测缺陷智能识别库函数模拟器约束收集器先验知识库反汇编提升导入 图6 模拟执 行数 据流 分析 流程 图 6.3.1.2.2 缺陷智 能识 别 缺陷识 别检 测是 静态 脆弱 性分析 的目 的，缺陷 检测 方 法主要 基于 程序 模拟 执行 获得的 模块 函数 摘 要信息，污点 传播 分析 是采 用的主 要分 析策 略。缺陷检 测方 法深 度优 先遍 历以入 口函 数为 根结

36、点的 函数调 用树，判 断叶 子结 点是否 受污 染。污 染 数据流由 根结 点进 入，一 直 往下传 播至 叶子 结点。在 传播过 程 中，父函 数和 子 函数间 通过 子函 数摘 要中 的输入条 件映 射表 进行 传递，以父函 数的 输入 污染 情况 和子函 数的 输入 条件 映射 表计算 子函 数的 输入 污 染情况。通过不 断迭 代传递，将污 染数据 传至 叶子结 点（危 险调用 点或 危险代 码段）。在叶 子结 点,进一步判定 危险 点是 否受 到污 染数据 的影 响，从而 确定 是 否是一 个可 疑的 安全 缺陷 点缺陷 识别 查找 的缺 陷 种类有缓 冲区 溢出、格 式化 字符串

37、、注 入、命令 注入、整数 溢出 及单 字节 字符 串循环 拷贝 代码 模 式。缺 陷检测判 定对 危险 缺陷 点输 入抽象 值进 行检 查，若 输 入中含 有污 染值，则较 大 的可能 是确 定的 危险 点，定位为高 危险 程度；输 入中 含 有未 初始 值或 未知 值，危险程 度稍 微小 些，定位 为中级 或低 级危 险。若 输 入值是未 污染 的，则可 判定 该调用 点是 安全 的。6.3.2 工业互 联网 系统 安全 脆弱 性动态 分析 6.3.2.1 基于动 态污 点的 工控 协议 动态分 析 为检测 出引 起工 控系 统运 行流程 异常 的污 点数 据，需要经 过指 令识 别与 污

38、点 数据标 识、污点 数 据 传播路径 跟踪、安 全性 断言 这三个 步骤。基 于动 态污 点的工 控协 议动 态分 析流 程如图7所 示。三个步 骤的 具体 释义 如下：指令识 别与 污点 数据 标识：在进 行污 点分 析之 前，将 目标程 序所 依赖 的数 据标 记为不 可信 的污 点 源数据。污点数 据传 播路 径跟 踪：在 污点数 据运 算的 过程 中，将 所 有与 之相 关的 变量、函数 等设为 污 染 状 态。安全性 断言：在程 序的 某 个运行 状态 下，检 查状 态 系统中 的内 存变 量或 寄存 器，判断 其中 的数 据是否被污 染以 及对 应的 污点 数据是 哪些。DB 3

39、2/T 4274 2022 12 内部数据工控指令识别标记的控制指令污点数据协议缓存协议缓存协议缓存协议缓存AddMavMulSub运算指令JmpSysCallStringFmi发现漏洞污点数据成为关键指令的参数指令识别与污点数据标识 污点数据传播路径跟踪 安全性断言内部数据工控协议数据 图7 基于动 态污 点的 工控 协议 动态分 析流 程 6.3.2.2 基于文 法模 糊的 动态 漏洞 挖掘技 术 基于文 法模糊 测试 的工控 协议动 态分析 流程 如图8 所 示。首 先将工 控协 议抽象 为协议 结构描 述，随后安全 协议 的结 构描 述生 成模糊 测试 数据 集，模糊 测 试数据 集在

40、 测试 引擎 的调 度下通 过测 试代 理向 被 测系统发 送变 异的 协议 数据 包，被 测系 统的 状态 通过 目标监 控反 馈给 测试 引擎，以指 导后 续的 调度 策略。协议结构识别离线pacp 文件/在线数据流测试数据生成基于文法的测试数据生成测试引擎程序调用测试代理程序监控/日志模块/分析模块测试目标监控错误现场/异常定位漏洞类型分析被测系统主站/PLC/RTU/DCS 图8 基于文 法模 糊测 试的 工控 协议动 态分 析流 程 DB 32/T 4274 2022 13 7 检测 弱点脆 弱性 检测 总体 要求 7.1 通用弱 点脆 弱性 检测 列表 是针对 常见 的桌 面应 用

41、软 件的代 码安 全体 系（以下 简称代 码）弱点 列 举 的参考列 表，特 殊应 用（如WEB 应用、移动 应用）的弱 点有部 分涉及，但 不是本 章节描 述重点。脆 弱性 检测时可 根据 被脆 弱性 检测 的具体 对象 及应 用场 景对 本列表 进行 调整 制定。考 虑到语 言的 多样 性，以 典 型的结构 化语 言（C）和面 向 对象语 言（Java）为 目标 进行描 述。本章将 从11个 方面 给出审 查工业 互联网 系统 安全的 具体条 款。其 中，环境与 封装8条 脆弱 性检 测 条款；API 调用4 条脆 弱性 检测 条款；指 针安 全7 条脆 弱性 检测条 款；初 始化 与清

42、理环 节8 条 脆弱 性检 测条 款；错误处 理1 条脆 弱性 检测 条 款；时间 和状 态12 条脆 弱 性检测 条款；通用 安全 特 性5类 子项，39 条 脆弱 性检测条款；数 据处 理33 条脆 弱性检 测条 款；代码 质量17 条脆 弱性 检测 条款；总 计129 条 脆弱 性检 测条 款。环境与 封装 7.2 7.2.1 对错误 会话 暴露 数据 元素 脆弱性 检测 指标：代 码应 避免对 错误 会话 暴露 数据 元素。脆弱性 检测 人员 应检 查代 码在应 用的 不同 会话 之间 是否会 发生 信息 泄露，尤 其 是在多 线程 环境 下 遗留调试 代码。脆弱性 检测 指标：代 码

43、中 不应遗 留调 试代 码。脆弱性 检测 人员 应检 查部 署到应 用环 境的 代码 安全 体系是 否含 有调 试或 测试 功能的 代码，该 部 分 代码是否 会造 成意 外的 后门 入口。7.2.2 数据信 任边 界的 违背 脆弱性 检测 指标：代 码应 避免将 可信 和不 可信 数据 组合在 同一 结构 体中，违 背信任 边界。脆 弱 性 检测 人 员应 检 查代码 安 全 体系 是 否将 来 自可信 源 和 非可 信 源的 数 据混合 在 同 一数 据 结构 体或同一 结构 化的 消息 体中，模糊 了二 者的 边界。7.2.3 类的错 误比 较 脆弱性 检测 指标：在 类进 行比较 时，

44、不应 只使 用名 称比较。脆弱性 检测 人员 应检 查代 码中当 多个 类具 有相 同的 名字时，是 否仅 通过 名字 比较类。只 通过 类 名 称进行比 较可 能会 导致 使用 错误的 类。如Java 语言 中 应该同 时使 用 getClass()方法 和运 算符“=”来比较类。7.2.4 私有数 组类 型数 据域 的不 安全操 作 脆弱性 检测 指标：公 开方 法中不 应返 回私 有的 数组 类型的 数据 域，或将 公共 的数据 赋值 给私 有 数 组类型的 数据 域。a)脆 弱 性检 测 人员 应检 查 代码 安 全体 系 声明 为公 开 的方 法 时，是 否返 回私 有 数组 的 引

45、用，如果结果为 肯定，数 组的 数据 会有遭 到破 坏的 安全 风险；b)脆 弱 性检 测 人员 应检 查 代码 安 全体 系 是否 将公 共 数据 分 配给 私 有数 组，如 果结 果 为肯 定，则等于给 了该 数组 公众 访问 权限，数组 的数 据会 有遭 到破坏 的安 全风 险。7.2.5 包含敏 感数 据类 的安 全 DB 32/T 4274 2022 14 脆弱性 检测 指标：包 含敏 感数据 的类 不应 可复 制和 可序列 化。脆弱性 检测 人员 应检 查代 码安全 体系 中包 含敏 感数 据的类 的相 关行 为是 否安 全，具 体要 求包 括 但 不限于：a)应检查 代码 安全

46、体系 中包 含敏感 数据 的类 是否 可复 制，如 Java 语 言中的 实 现了 Clonenable接口使 类可 复制，包 含敏 感数据 的类 不应 被复 制；b)应 检 查代 码 安全 体系 中 包含 敏 感数 据 的类 是否 可 实现 了 序列 化 接口，使 类 可序 列 化，包含敏感数据 的类 不应 可序 列化。7.2.6 暴露危 险的 方法 或函 数 脆弱性 检测 指标：不 应暴 露危险 的方 法或 函数。脆弱性 检测人 员应 检查代 码安全 体系中 的应 用程序 编程接 口（API）或 与外 部 交互的 类似接 口是 否暴露了 危险 方法 或函 数，他们本 应受 到适 当的 限制

47、。危险 方法 或函 数暴 露的 形式有 如下 几种：a)该方法/函 数原 本设 计为 非 外部用 户使 用；b)该方法/函 数原 本设 计为 部 分用户 访问，如 限定 来自 基于 Internet 访问 的某 网 站。7.2.7 存储不 可序 列化 的对 象到 磁盘 脆弱性 检测 指标：不 应将 不可序 列化 的对 象存 储到 磁盘。脆弱性 检测人 员应 检查（如J2EE 框架 中）代 码安 全 体系是 否试图 将不 可序列 化的对 象写到 磁盘 中，将不可 序列 化的 对象 存储 到磁盘 上可 能导 致序 列化 失败和 应用 程序 崩溃。API 调用 7.3 7.3.1 参数指 定错 误

48、脆弱性 检测 指标：函 数功 能调用 应正 确指 定参 数。脆弱性 检测 人员 应检 查函 数/方 法调 用时 参数 指定 是 否正确，是 否存 在如 下情 况：a)不正确 的变 量或 引用；b)不正确 数量 的参 数；c)参数顺 序不 正确；d)参数类 型不 正确；e)错误的 值。以上检 查项 的任 一结 果为 肯定，则提 示存 在安 全风 险。7.3.2 堆内存 释放 问题 脆弱性 检测 指标：应 避免 在释放 堆内 存前 清理 不恰 当而导 致敏 感信 息暴 露。脆弱性 检测人 员应 检查代 码在释 放堆内 存前 是否采 用合适 的方式 进行 信息的 清理。如C语 言中 是 否使用rea

49、lloc()调 整 存 储 敏 感 信 息 的 缓 冲 区 大 小，如 存 在 该 操 作，将 存 在 可 能 暴 露 敏 感 信 息 的 风 险。realloc()函数不 是从 内 存 中删除，而通 常是 将旧内 存块的 内容复 制到 一个新 的、更 大的内 存块，这 可能暴露 给攻 击者 使用“memory dump”或其 他方 法来 进行读 取敏 感数 据的“堆 检查”攻击。7.3.3 忽略函 数返 回值 脆弱性 检测 指标：应 正确 检查函 数的 返回 值，避免 忽略函 数的 返回 值。DB 32/T 4274 2022 15 脆弱性 检测 人员 应检 查代 码是否 对方 法或 函数

50、调用 的返回 值作 了检 查，如未 检查函 数的 返回 值，则提示代 码存 在无 法检 测非 预期状 态的 风险。7.3.4 端口多 重绑 定 脆弱性 检测 指标：不 应对 同一端 口进 行多 重绑 定。脆弱性 检测 人员 应检 查代 码是否 有多 个套 接字 绑定 到相同 端口，从 而导 致该 端 口上的 服务 有被 盗 或被欺骗 的风 险。指针安 全 7.4 7.4.1 不兼容 的指 针类 型 脆弱性 检测 指标：不 应使 用不兼 容类 型的 指针 来访 问变量。脆弱性 检测 人员 应检 查代 码是否 使用 不兼 容类 型的 指针来 访问 变量。通 过不 可 兼容类 型的 指针 修 改变量