刘志尧 曹禹 贾晨宇

国家工业信息安全发展研究中心 北京 100040

《十部门关于印发加强工业互联网安全工作的指导意见的通知》中指出意见，需强化平台和工业应用程序（APP）安全，建立健全工业APP应用前安全检测机制，强化应用过程中用户信息和数据安全保护[1]。本文分析总结了工业移动智能APP当前典型架构，及与传统移动智能应用APP主要区别及安全风险点，并总结工业移动智能APP安全检测技术体系，助力工业APP应用前安全检测机制发展。

1 工业移动智能APP

1.1 典型架构

工业移动智能APP是工业互联网平台SaaS层应用的智能移动化的典型成果，本文工业移动智能APP典型架构包括边缘层、IaaS基础设施层、工业PaaS平台层、工业SaaS应用层，如图1所示。

图1 工业移动智能APP平台架构

（1）边缘层。边缘层是工业移动智能APP平台基础，主要支持各类工业控制设备及现场信息采集设备接入，是实现传统工业设备智能化、移动化的桥梁。边缘层智能接入设备还支持协议解析，并可在一定程度上集成工业ERP系统、工业MES等主要生产控制系统；工业现场SCADA自动化系统、RTDB数据库系统、LIMS实验室管理系统等系统数据需通过平台边缘层接入工业互联网平台。

（2）IaaS基础设施层。IaaS基础设施层为工业互联网平台提供计算资源池、网络资源池、存储资源池。

（3）工业PaaS平台层。PaaS层是工业互联网平台核心层，支撑工业移动智能APP开发、调试、部署及运维。在微服务框架下，构建工业微服务组件体系，其具备模块化、可移植化、可复用化等特点，是快速构建及部署工业移动智能APP的基础。

（4）工业SaaS应用层。工业移动智能APP是工业SaaS应用层关键产品，工业移动智能APP通过调用平台工具、微服务、数据系统等，提供了工业互联网智能化、移动化的解决方案，可快速构建实施监控、生产控制、经营管理等移动APP应用。

1.2 主要特点及风险

工业移动智能APP是基于移动通信智能终端设备开发及运行，承载工业知识及经验，连通工业通信数据，实现移动智能控制的创新工业软件，在信息安全方面具备如下特点：

（1）基于嵌入式系统运行。工业移动智能APP客户端基于嵌入式系统运行，当前主流移动嵌入式系统Android、IOS及嵌入式Linux等均存在大量原生安全漏洞，可能导致权限破解、数据泄露、远程控制等问题，这些安全风险在工业领域会造成难以估量的严重后果。

（2）基于工业协议远程通讯。工业移动智能APP通过集成工业协议实现远程工业通讯，当前应用层工业协议如Modbus、S7、OPC等大多为私有协议，不具备数据加密、通讯验证、会话保护等安全机制，通过互联网通讯的工业移动智能APP极易存在通讯安全风险。

（3）基于实时工业数据控制。工业移动智能APP应用于工业监控、生产控制、经营运转等工业场景，通过现场控制设备采集的实时数据需通过工业互联网平台进行智能化处理，最终通过工业移动智能APP完成终端接口交互，并反馈给现场控制设备或生产管理系统，工业应用场景数据实时性具备较高要求，工业移动智能APP需要具备一定的防攻击、抗干扰能力。

2 工业移动智能APP信息安全检测技术

2.1 工业移动智能APP通讯协议安全检测

（1）工业私有协议逆向解析。工业私有协议逆向解析技术主要包括数据获取、格式拆分、元素提取、关联分析、特征提取、自动分类等关键技术[2]。

（2）工业协议安全检测。针对工业私有协议特点，工业协议安全检测主要利用非预期数据交互，并监控输出状态达到安全测试目的。自动化Fuzzing模糊测试技术已广泛应用于协议安全测试，经过工业协议逆向解析得到的协议特征是模糊测试基本元素，根据解析结果构造数据测试单元。

2.2 工业移动智能APP程序源文件安全检测

当前工业移动智能APP程序源文件主要存在以下安全风险：Java代码反编译风险、篡改和二次打包风险、Janus签名机制漏洞、加固壳识别风险等。针对工业移动智能APP程序源文件安全检测技术主要为通过解包、反编译等方式处理包文件，采用静态解析源码的检测方式，捕捉并定位到源文件源码中任何可能产生任意风险的内容及路径[3]。

2.3 工业移动智能APP动态调试安全检测

工业移动智能APP在运行过程中存在本地数据存储安全风险、数据通信传输安全风险及内部数据交互安全风险等，上述风险在工业APP运行过程中可能导致数据泄露、远程控制、证书绕过等安全问题。动态调试安全检测通过配置文件遍历核查、调试日志调用测试、数据库注入攻击，SSL认证分析、动态函数调用分析等方式，检测工业移动智能APP运行安全性。

3 结语

随着相关国家主管部门政策引导和产业发展，工业互联网已进入建设发展快车道。工业移动智能APP安全是保障工业互联网安全运行的关键环节，但是当前主流移动智能终端操作系统如Android、VxWorks等均为国外开发设计，近年频繁爆出多种安全漏洞及危险后门，工业移动智能APP安全检测能力仍需要不断提升，全面保障工业互联网智能移动化发展。