《工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)》課件- 40-工控應(yīng)用程序安全_第1頁
《工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)》課件- 40-工控應(yīng)用程序安全_第2頁
《工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)》課件- 40-工控應(yīng)用程序安全_第3頁
《工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)》課件- 40-工控應(yīng)用程序安全_第4頁
《工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)》課件- 40-工控應(yīng)用程序安全_第5頁
已閱讀5頁,還剩14頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

IndustrialInternetsecuritytechnologyfoundation工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)《工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)》課程組第5章工控應(yīng)用安全技術(shù)工控應(yīng)用程序安全010203代碼審計介紹審計整體思路人員安全培訓的重要性目錄04工控應(yīng)用程序漏洞一、代碼審計代碼審計(Codeaudit)是一種以發(fā)現(xiàn)程序錯誤,安全漏洞和違反程序規(guī)范為目標的源代碼分析。軟件代碼審計是對編程項目中源代碼的全面分析,旨在發(fā)現(xiàn)錯誤,安全漏洞。它是防御性編程范例的一個組成部分,它試圖在軟件發(fā)布之前減少錯誤。

C和C++源代碼是最常見的審計代碼,因為許多高級語言(如Python)具有較少的潛在易受攻擊的功能(例如,不檢查邊界的函數(shù))。概念一、代碼審計技術(shù)手段代碼檢查是審計工作中最常用的技術(shù)手段,實際應(yīng)用中,采用“自動分析+人工驗證”的方式進行。自動分析人工驗證代碼檢查通常檢查項目包括:系統(tǒng)所用開源框架、源代碼設(shè)計、錯誤處理不當、直接對象引用、資源濫用、API濫用、后門代碼發(fā)現(xiàn)等一、代碼審計識別類型通過代碼審計,通常能夠識別如下代碼中的風險點:一、代碼審計1、代碼與架構(gòu)復雜幾十萬、幾百萬行代碼、一個業(yè)務(wù)分幾十個模塊幾十個代碼倉庫家常便飯;開發(fā)語言多種多樣,各種自研框架、流行框架應(yīng)接不暇、架構(gòu)還非常復雜。以上兩個問題對審計人員來說無疑是很大的挑戰(zhàn)。2、工具準召率工具插件準召率低,需要根據(jù)開發(fā)語言、編碼風格自定義;工具對邏輯漏洞的無力,與業(yè)務(wù)邏輯漏洞大量曝光的漏洞態(tài)勢之間產(chǎn)生矛盾。審計中的常見問題二、審計整體思路1、準備工作獲得源碼要審計當然要先獲得相應(yīng)的源碼,最好有相關(guān)文檔等,資料越多越易于理解源碼。安裝網(wǎng)站在本地搭建網(wǎng)站,一邊審計一邊調(diào)試。通過跟蹤各種動態(tài)變化了解源碼的作用。網(wǎng)站結(jié)構(gòu)瀏覽源碼文件夾,了解該程序的大致目錄入口文件

通過入口文件可以知道程序的架構(gòu)、運行流程、包含那些配置文件,包含哪些過濾文件以及包含那些安全過濾文件,了解程序的業(yè)務(wù)邏輯。配置文件看config等文件,一般類似config等文件中保存一些數(shù)據(jù)庫、程序的相關(guān)信息??梢钥磾?shù)據(jù)庫編碼。二、審計整體思路數(shù)據(jù)庫編碼gbk寬字節(jié)注入變量值引用雙引號雙引號解析代碼二、審計整體思路2、審計方法自動手動結(jié)合黑白盒結(jié)合正反向跟蹤動靜結(jié)合過往與當下結(jié)合checklist與安全編碼規(guī)范結(jié)合通讀與走讀結(jié)合由近年來發(fā)生的安全事件說起三、人員安全培訓的重要性

發(fā)生事件:2010年7月攻擊目標:伊朗核電站(物理隔離網(wǎng)絡(luò))入侵方式:收集核電站工作人員和其家庭成員信息針對家用電腦發(fā)起攻擊,控制家用電腦并感染所有接入的USB移動介質(zhì)通過U盤,將病毒擺渡核電站內(nèi)部網(wǎng)絡(luò)2015年的最后一周,烏克蘭至少有三個區(qū)域的電力系統(tǒng)被具有高度破壞性的惡意軟件攻擊并導致大規(guī)模的停電12月23日,伊萬諾-弗蘭科夫斯克地區(qū),有超過一半的家庭(約140萬人)遭受了停電的困擾。整個停電事件持續(xù)了數(shù)小時之久病毒關(guān)閉生產(chǎn)控制大區(qū)的控制服務(wù)器,使得二次信息系統(tǒng)喪失對物理設(shè)備的感知和控制力,導致部分設(shè)備運行中斷而大面積停電。安全文化是企業(yè)文化的一部分,它是企業(yè)員工安全觀念和安全行為的具體體現(xiàn)。安全觀念安全行為安全文化三、人員安全培訓的重要性

員工的安全觀念包括安全意識、安全態(tài)度、安全認識觀、安全知識等;安全行為包括作業(yè)方式和習慣行為。管理者的安全決策態(tài)度和安全指揮行為,員工的安全反應(yīng)和操作規(guī)范程度等都從不同方面體現(xiàn)著企業(yè)安全文化的內(nèi)涵。安全是生產(chǎn)的靈魂,安全生產(chǎn)的靈魂源自安全文化。大力倡導和弘揚安全文化,是做好企業(yè)安全工作的基礎(chǔ)。三、人員安全培訓的重要性

在進行人員安全培訓時,我們應(yīng)當著重注意以下幾種網(wǎng)絡(luò)威脅:三、人員安全培訓的重要性

四、工控應(yīng)用程序漏洞ICS/SCADA漏洞Top10

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論