1、工业互联网软件代码安全技术发展及趋势刘虹 上海工业控制系统安全创新功能型平台一、工业互联网安全问题剖析平台视角Beyond Trust Future Industry为工业安全赋能2工业互联网平台 工业互联网平台是面向制造业数字化、网络化、智能化需求，构建基于海量数据采集、汇聚、分析和服务体系。边缘数据是基础 工业IaaS是支撑 工业PaaS是核心 工业APP是关键设计APP生产APP管理APP服务APP设备状态分析供应链分析能耗分析优化 应用开发（开发工具、微服务框架）工业微服务组件库（知识组件、算法组件、原理模型组件）工业数据建模和分析（机理建模、机器学习、可视化）工业大数据系统（工业大数

2、据清洗、管理、分析、可视化等）设备管理资源管理运维管理故障恢复云基础设备（服务器、存储、网络、虚拟化）设备接入协议解析边缘数据处理通用PaaS平台资源部署和管理业务运行应用创新应用层SaaS平台层PaaS边缘层IaaS层数据+模型=应用参考工业互联网平台白皮书3工业互联网的安全视角4数据采集协议转化边缘智能数据不足：部署传感器进行数字化改造，支持设备数据感知和互联数据杂乱：协议识别解析，支持TCP/IP、Modbus、Profinet等主流通信协议数据计算：数据本地存储、分发和预处理数据不敢传数据不能传数据不必传网络延迟资源功耗协议适配负载均衡数据泄漏离线处理 边缘层：物理空间隐性数据在信息空

3、间的显性化工业互联网的安全视角5安全可信验证实时操作系统安全核心器件（芯片/控制器）SafeOS嵌入式C程序单元测试 最高等级动态测试要求语句、分支及MC/DC覆盖达到100%符合IEC 61508等功能安全标准代码运行时动态缺陷检查 动态符号执行求解引擎 防止内存泄露、内存重复释放 防止除零、空指针、数组/指针越界 代码签名，保障运行代码授权设备数据接入与控制对云端数据上传和控制接收边缘端智能分析服务 边缘层：工业嵌入式系统基础软硬件安全测试和缺陷发现工业互联网的安全视角6大变小（虚拟化）小聚大（云计算）vCPUvCPUvCPUvCPUvCPUCPU工业云工业互联网APP资源基于计算、网络、

4、存储等资源虚拟化的系统资源池服务的颗粒度更精细 IaaS层：基于计算、网络、存储等资源虚拟化的系统资源池 支撑工业数据“采集、存储、应用、共享”全生命周期 支持数据聚合和基础设施复用，从烟囱式分散平台向融合式集中平台演进工业互联网的安全视角7 IaaS层：基于零信任和微分段的软件定义安全策略安全叠加：隔离+并行+中心化谷歌BeyondCorpVMWare NSX限制并严格执行访问控制接入验证所有数据来源监控审计网络流量日志利用微分段在数据中心内部对虚机进行隔离边界核心分发接入工业互联网的安全视角8APPAPPAPPAPPAPPAPPsupOSIaaS承载（服务器、存储、虚拟化）边缘计算（边缘模

5、型）PaaS层：基于云基础设施的工业互联网操作系统 向下调试设备、业务系统等软硬件资源 向上承载工业APP等应用服务工业互联网的安全视角9 PaaS层：提供工业APP创建、测试和部署的安全开发环境整体式架构紧耦合功能集成在一个进程中整体性扩展松耦合功能分布在不同进程中按需配置扩展API网关工业APP日志审计安全路由访问控制黑白名单协议适配身份认证虚拟机篡改虚拟机跳跃虚拟机逃逸虚拟机隐匿rootkit拒绝服务APPAPP微服务架构工业互联网的安全视角10人机物云化：传统软件云化改造（研发设计、经营管理、生产制造）云生：新型工业APP（状态监控、故障诊断、监测预警）设备性能优化工业流程优化单元级系

6、统级平台级状态感知实时诊断分析预测科学决策深度广度 SaaS层：面向特定行业、特定场景的应用解决方案 服务于研发、生产、管理、服务全过程 全产业链+产品全生命周期工业互联网的安全视角11软件成分分析及漏洞扫描 源代码和二进制文件扫描 漏洞关系网 开源许可证合规性云化APP云生APP安全传输 基于证书的安全链接 端到端的安全通道 提供接口供APP调用代码保护 代码混淆 机密数据保护 预防代码提取和篡改安全存储 密钥保护 加密数据存储设备指纹 通过手机特定的软硬件标识生成设备指纹基于微服务固化的工业APP：开放、通用 SaaS层：支持代码审计的已知漏洞分析和未知漏洞发现二、工业互联网安全核心要素软

7、件代码安全Beyond Trust Future Industry为工业安全赋能12软件代码安全重要性13软件代码开发环境操作系统、编译器、调试器保障环境建模工具仿真工具测试工具验证工具OSATEStimulusNISCADEAITADTTesbedBTMDSpace2017年11月28日俄罗斯联盟-2.1B火箭发射失败软件错误导致19颗卫星烧毁损失4亿元2018年10月29日、2019年3月10日两架波音737-MAX-8坠毁软件问题导致346人遇难4000架订单取消损失4万亿元2018年3月20日Uber自动驾驶汽车车祸软件问题导致1人身亡工业软件“卡脖子”现状14需求分析系统设计详细设计

8、编码单元测试集成测试系统测试验收测试工业操作系统工业测试验证软件通信协议栈工业组态软件确保功能和信息安全管理和控制硬软件资源连接不同系统与软硬件结构网络提供通信支持建立现场与监控层沟通人机界面的软件平台“V”型工控系统开发/测试流程 工业软件的设计、研发和测试等全生命周期依赖工具链。以汽车行业为例，95%的工业软件支撑工具均由国外厂商垄断；亟待研发自主可控的软件代码安全支撑软件，解决“掐脖子”问题。工业软件安全面临的挑战15需求分析架构设计详细设计代码实现物理环境网络环境人机交互设备协同软件模型软件过程外部环境软件交互环境复杂“分析难”工业装备与环境交互样式多，软件性能定量分析困难外部环境复杂

9、多变，软件非功能定量评估困难软件功能设计正确性“验证难”软件逻辑复杂、模型多样、状态繁多，难以统一描述软件行为的严格验证技术匮乏，深层次缺陷难以揭示软件可靠性和安全性“保障难”控制软件与物理环境融合，传统手段难以保障可靠性软件开发过程涉及阶段多，各阶段产物一致性难以保障工业软件产品开发周期16设计阶段集成和测试阶段产品开发：系统层系统级产品开发启动（计划）技术性网络安全需求规范系统设计硬件层开发启动（计划）硬件层网络安全需求规范硬件设计软件层开发启动（计划）软件层网络安全需求规范软件架构设计软件单元设计实现软件单元测试软件集成和网络安全测试软件层网络安全需求验证硬件集成和网络安全测试硬件层网络

10、安全需求验证功能集成和网络安全测试网络安全验证确认网络安全评估生产发布三、软件代码“功能安全+信息安全”应用实践Beyond Trust Future Industry为工业安全赋能17软件代码功能安全和信息安全18SafetySecurityn 信息安全不能违背功能安全的有效性n 功能安全需要兼顾信息安全的致效和失效机理n 信息安全与功能安全协同符合多次迭代的演进过程 国际电工术语委员会：功能安全：所考虑的物理单元没有“对外部”的不可接受风险 信息安全：所考虑的物理单元没有“来自外部”的不可接受的风险软件代码功能安全19n 安全等级从SIL1到SIL4或ASIL-A到ASIL-D，动态测试要

11、求逐渐变高n 最高等级动态测试中单元测试需达到语句、分支及MC/DC覆盖100%n 时间紧，任务重，需要投入大量人力及时间！语句覆盖分支覆盖条件覆盖mc/dc覆盖数据流覆盖路径覆盖白盒测试ISO 26262DO-178B/CDO-333航空IEC 61508工业EN 50128汽车轨交 功能安全国际标准软件代码功能安全20n 用例编写效率低下、测试用例质量参差不齐（平均每人每天仅能够测试5-8个函数）n 无法快速达到语句、分支及MC/DC的100%覆盖n 难以实现如路径覆盖、数据流覆盖等更高强度的覆盖测试报告驱动模块被测模块测试用例（人工）桩模块1桩模块3桩模块2 软件代码功能安全长期依赖Te

12、ssy、Testbed等国外工具软件代码功能安全21n动态符号执行技术能够自动对代码进行预处理及插桩n生成满足所选覆盖准则（语句、分支、边界、MC/DC覆盖）的测试用例，自动生成执行驱动函数自动生成驱动自动打桩1被测模块自动生成测试用例自动打桩3自动打桩2自动执行测试用例动态符号执行求解引擎导出测试用例*.sut导出测试覆盖率插桩分析模块 软件代码功能安全核心技术：动态符号执行技术软件代码功能安全22n除零错误n空指针算数操作n数组越界n空指针n指针越界n指针非法释放n内存重复释放n指针非法删除n内存泄漏n使用已释放指针ClockworkClang Static AnalyzerClang S

13、tatic Analyzer 软件代码功能安全存在的代码缺陷：误报率30%-40%软件代码信息安全23HeartbleedrtbleedVenom mGhoststEquifaEquifax x事件名称：Heartbleed（2014）漏洞介绍：CVE-2014-0160出现在加密程序库OpenSSL的安全漏洞，该程序库广泛用于实现互联网的传输层安全（TLS）协议。事件名称：Ghost（2015）漏洞介绍：CVE-2015-0235漏洞位于Linux的glibc函式库中，这个漏洞可以允许攻击者远程获取操作系统的最高控制权限。事件名称：Equifax（2017）事件始末：利用CVE-2017-5

14、638漏洞进入美国老牌征信公司Equifax数据库，窃取美加英等1.43亿用户消费记录及信用卡详情。软件代码漏洞和缺陷引发的安全事件软件代码信息安全24开源库使用安全漏洞许可证问题 软件代码安全漏洞及开源许可分析需求 对源代码和二进制文件进行分析，无缝集成到软件开发周期中 利用深度学习与人工经验，来处理TB级开源与封闭源漏洞数据软件代码信息安全25n Blackduckn Vulnerability Checkern SourceClearn Synk哈希引擎结果特征引擎结果 软件代码安全漏洞分析工具：源代码+二进制文件软件代码信息安全26上传二进制文件或源代码，分析代码中的开源文件。软件成分

15、分析分析代码的开源文件检测开源文件中的隐患提供对应信息与修复建议搜索出软件组件分析安全漏洞以及许可证隐忧代码缺陷检测提供代码漏洞补丁，针对性修复漏洞。代码漏洞修复 软件代码信息安全分析全流程软件代码信息安全27n 开源组件可能引用其他第三方组件，对其产生依赖。n 通过搜索Package Manager生成的管理文件，获得代码开源组件。语言组件数CVE安全隐患C/C+约25万约2万约2.5万Java约370万约1000约1000JavaScript约820万约800约400Python约140万约700约500Ruby约16万约400约200PHP约160万约300约100Dot Net约200

16、万约300-总共:约2000万约2.5万约3万 软件代码组件和成分分析软件代码信息安全28n 已公开，已认证漏洞认证机构NVD、Bugzilla等n 已公开，未认证漏洞通过公开数据爬虫通过追踪开源组件状态Commitn 未公开，未认证漏洞安全警告用于二进制文件扫描组件特征达到阈值，则判定为安全警告。软件代码安全漏洞及疑似漏洞分析软件代码信息安全29n 权威安全漏洞认证机构对接n 源代码管理工具（漏洞追踪器）n 代码级的漏洞修复方案 国际权威安全漏洞和主流开源平台中国网络安全与功能安全人才白皮书31 上海控安&猎聘网联合发布 基于猎聘平台5200万+中高端人才数据库 分析网络安全与功能安全领域的人才画像、行业及地域供需、薪酬等维度