《工业互联网安全》课件——项目5 工业互联网应用安全配置.pptx

工业互联网安全IndustrialInternetSecurity主讲教师：

项目01工业互联网设备安全配置项目02工业互联网网络安全配置工业互联网数据安全配置项目04项目03工业互联网控制系统安全配置项目05工业互联网应用安全配置项目06工业互联网安全风险评估项目07工业互联网安全应用处置

工业互联网应用安全配置05项目

通过以下三个任务的实施，掌握工业互联网应用安全的测试与安全分析方法。项目情境本项目主要介绍工业互联网应用安全的相关知识，帮助同学们对工业互联网应用安全有系统的了解和认识。工业互联网应用固件程序测试工业互联网应用组态变成工业互联网应用漏洞利用010203

了解工业应用软件安全性的内涵；了解工业应用软件的功能安全与失效原理；了解vxworks固件分析过程；了解工业应用软件的信息安全脆弱性；了解工业应用软件的信息攻击防范；了解工业服务架构的安全设计与安全保障；了解工业微服务架构的容错机制及其应用。知识目标具备对固件安全漏洞分析的能力具备IDA工具的使用能力；理解phpMyAdmin文件包含漏洞利用的思想；具备利用和防范文件上传漏洞的能力；具备在EasyBuilderPro中绘制HMI界面的能力；具备在EasyBuilderPro中编译下载HMI界面的能力；具备在TIAPortal中进行PLC配置和编程的能力。技能目标掌握如何制定和实施有效的应用安全策略，包括访问控制、数据保护和用户管理等，以确保工业互联网应用的安全。具备良好的信息素养，包括信息检索、信息分析和信息处理等方面的能力，以便能够快速获取和利用相关信息资源来保障应用安全。素质目标学习目标

学习导图

工业互联网安全测评与应急职业技能等级标准工业互联网应用安全配置工作任务职业技能要求等级知识点技能点掌握工业互联网应用安全的测试与安全分析方法①能够固件程序漏洞进行分析；②能够对文件包含漏洞进行处理；③能防范文件上传漏洞；④能利用相应的工具实现组态编程；⑤能具备良好的沟通表达及团队合作能力。初级中级①了解工业应用软件安全性的内涵；②了解工业应用软件的功能安全与失效原理；③了解vxworks固件分析过程；④了解工业应用软件的信息安全脆弱性；⑤了解工业应用软件的信息攻击防范；⑥了解工业服务架构的安全设计与安全保障；⑦了解工业微服务架构的容错机制及其应用。①具备对固件安全漏洞分析的能力；②具备IDA工具的使用能力；③理解phpMyAdmin文件包含漏洞利用的思想；④具备利用和防范文件上传漏洞的能力；⑤具备在EasyBuilderPro中绘制HMI界面的能力；⑥具备在EasyBuilderPro中编译下载HMI界面的能力；⑦具备在TIAPortal中进行PLC配置和编程的能力。与职业技能等级标准内容对应关系

任务1工业互联网应用固件程序测试

无论是工业互联网的内网还是外网，固件都是控制嵌入式设备的核心。通过固件，操作系统才能按照标准的程序实现特定机器的运行动作。因此，必须要了解工业互联网应用固件程序测试的方法以及固件程序漏洞的分析。任务描述本任务讲解以太网模块固件程序分析测试的方法，还介绍了工业应用软件安全性的内涵和功能安全等相关知识。

工业应用软件安全性的内涵1工业互联网的安全分为物理安全、功能安全与信息安全。工业应用软件的安全性则主要由功能安全与信息安全两部分来组成。也就是说，我们认为工业应用软件的安全性有两层含义，一是基于自然属性的功能安全，二是与信息数据相关的信息安全，二者既有紧密联系，又有明显区别。功能安全提供的是在环境异常、外部攻击和系统出错等情况下有效防止系统出现灾难性后果的能力，而信息安全则主要提供有效防范漏洞利用或攻击等安全威胁的能力。知识导入

工业应用软件的功能安全2工业应用软件功能安全是指软件中任一随机故障、系统故障或共因失效均不会引起安全系统的故障，进而导致人员伤亡、环境破坏或财产损失等危害发生，即软件安全功能无论在何种工况下均应被正确实施。功能安全取决于软件对输入的正确处理，而这又需要其满足特定的安全完整性等级要求。知识导入

知识导入工业应用软件的失效原理3导致工业应用软件不安全的主要因素为软件错误、缺陷、故障和失效。失效是软件不安全的最终表现形式，失效机理就是对软件失效产生过程的揭示。（1）工业应用软件错误工业应用软件错误是软件开发中，由人为有意或无意不正确或遗漏行为造成的软件运行失效的因素，即人为导致软件架构或其具体实现与期望不符，是造成安全性破坏的初始原因。

知识导入工业应用软件的失效原理3（2）工业应用软件缺陷工业应用软件缺陷是软件文档、数据、程序当中存在的不希望出现或不可接受的偏差，会在软件运行的某一特定场景下被激活，转化为软件故障。缺陷与漏洞并不等同，前者是