工業移動智能APP安全檢測技術綜述

劉志堯 曹禹 賈晨宇

國家工業信息安全發展研究中心 北京 100040

《十部門關于印發加強工業互聯網安全工作的指導意見的通知》中指出意見，需強化平臺和工業應用程序（APP）安全，建立健全工業APP應用前安全檢測機制，強化應用過程中用戶信息和數據安全保護[1]。本文分析總結了工業移動智能APP當前典型架構，及與傳統移動智能應用APP主要區別及安全風險點，并總結工業移動智能APP安全檢測技術體系，助力工業APP應用前安全檢測機制發展。

1 工業移動智能APP

1.1 典型架構

工業移動智能APP是工業互聯網平臺SaaS層應用的智能移動化的典型成果，本文工業移動智能APP典型架構包括邊緣層、IaaS基礎設施層、工業PaaS平臺層、工業SaaS應用層，如圖1所示。

圖1 工業移動智能APP平臺架構

（1）邊緣層。邊緣層是工業移動智能APP平臺基礎，主要支持各類工業控制設備及現場信息采集設備接入，是實現傳統工業設備智能化、移動化的橋梁。邊緣層智能接入設備還支持協議解析，并可在一定程度上集成工業ERP系統、工業MES等主要生產控制系統；工業現場SCADA自動化系統、RTDB數據庫系統、LIMS實驗室管理系統等系統數據需通過平臺邊緣層接入工業互聯網平臺。

（2）IaaS基礎設施層。IaaS基礎設施層為工業互聯網平臺提供計算資源池、網絡資源池、存儲資源池。

（3）工業PaaS平臺層。PaaS層是工業互聯網平臺核心層，支撐工業移動智能APP開發、調試、部署及運維。在微服務框架下，構建工業微服務組件體系，其具備模塊化、可移植化、可復用化等特點，是快速構建及部署工業移動智能APP的基礎。

（4）工業SaaS應用層。工業移動智能APP是工業SaaS應用層關鍵產品，工業移動智能APP通過調用平臺工具、微服務、數據系統等，提供了工業互聯網智能化、移動化的解決方案，可快速構建實施監控、生產控制、經營管理等移動APP應用。

1.2 主要特點及風險

工業移動智能APP是基于移動通信智能終端設備開發及運行，承載工業知識及經驗，連通工業通信數據，實現移動智能控制的創新工業軟件，在信息安全方面具備如下特點：

（1）基于嵌入式系統運行。工業移動智能APP客戶端基于嵌入式系統運行，當前主流移動嵌入式系統Android、IOS及嵌入式Linux等均存在大量原生安全漏洞，可能導致權限破解、數據泄露、遠程控制等問題，這些安全風險在工業領域會造成難以估量的嚴重后果。

（2）基于工業協議遠程通訊。工業移動智能APP通過集成工業協議實現遠程工業通訊，當前應用層工業協議如Modbus、S7、OPC等大多為私有協議，不具備數據加密、通訊驗證、會話保護等安全機制，通過互聯網通訊的工業移動智能APP極易存在通訊安全風險。

（3）基于實時工業數據控制。工業移動智能APP應用于工業監控、生產控制、經營運轉等工業場景，通過現場控制設備采集的實時數據需通過工業互聯網平臺進行智能化處理，最終通過工業移動智能APP完成終端接口交互，并反饋給現場控制設備或生產管理系統，工業應用場景數據實時性具備較高要求，工業移動智能APP需要具備一定的防攻擊、抗干擾能力。

2 工業移動智能APP信息安全檢測技術

2.1 工業移動智能APP通訊協議安全檢測

（1）工業私有協議逆向解析。工業私有協議逆向解析技術主要包括數據獲取、格式拆分、元素提取、關聯分析、特征提取、自動分類等關鍵技術[2]。

（2）工業協議安全檢測。針對工業私有協議特點，工業協議安全檢測主要利用非預期數據交互，并監控輸出狀態達到安全測試目的。自動化Fuzzing模糊測試技術已廣泛應用于協議安全測試，經過工業協議逆向解析得到的協議特征是模糊測試基本元素，根據解析結果構造數據測試單元。

2.2 工業移動智能APP程序源文件安全檢測

當前工業移動智能APP程序源文件主要存在以下安全風險：Java代碼反編譯風險、篡改和二次打包風險、Janus簽名機制漏洞、加固殼識別風險等。針對工業移動智能APP程序源文件安全檢測技術主要為通過解包、反編譯等方式處理包文件，采用靜態解析源碼的檢測方式，捕捉并定位到源文件源碼中任何可能產生任意風險的內容及路徑[3]。

2.3 工業移動智能APP動態調試安全檢測

工業移動智能APP在運行過程中存在本地數據存儲安全風險、數據通信傳輸安全風險及內部數據交互安全風險等，上述風險在工業APP運行過程中可能導致數據泄露、遠程控制、證書繞過等安全問題。動態調試安全檢測通過配置文件遍歷核查、調試日志調用測試、數據庫注入攻擊，SSL認證分析、動態函數調用分析等方式，檢測工業移動智能APP運行安全性。

3 結語

隨著相關國家主管部門政策引導和產業發展，工業互聯網已進入建設發展快車道。工業移動智能APP安全是保障工業互聯網安全運行的關鍵環節，但是當前主流移動智能終端操作系統如Android、VxWorks等均為國外開發設計，近年頻繁爆出多種安全漏洞及危險后門，工業移動智能APP安全檢測能力仍需要不斷提升，全面保障工業互聯網智能移動化發展。