習(xí)近平總書記提出��,沒(méi)有網(wǎng)絡(luò)安全����,就沒(méi)有國(guó)家安全�。隨著云計(jì)算、大數(shù)據(jù)��、人工智能等新一代信息技術(shù)與制造業(yè)的加速融合����,傳統(tǒng)網(wǎng)絡(luò)安全威脅持續(xù)向工業(yè)領(lǐng)域滲透和蔓延���,工業(yè)信息安全漏洞頻發(fā),工業(yè)信息安全形勢(shì)日趨嚴(yán)峻��,給我國(guó)維護(hù)網(wǎng)絡(luò)安全和國(guó)家安全帶來(lái)更大挑戰(zhàn)�。
漏洞是威脅網(wǎng)絡(luò)安全的最主要根源,同樣也是威脅工業(yè)信息安全的主要根源�����,成功襲擊伊朗核設(shè)施的“震網(wǎng)”病毒就至少利用了4個(gè)零日漏洞�����。長(zhǎng)期以來(lái)�,美國(guó)、歐洲�、日本等國(guó)家和地區(qū)高度重視安全漏洞資源儲(chǔ)備,建立了國(guó)家級(jí)安全漏洞庫(kù)���。特別是美國(guó)政府還在其工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(ICS-CERT)專門建立了工控安全漏洞庫(kù)�,構(gòu)建出一整套工控安全漏洞收集和披露機(jī)制�,以維護(hù)其國(guó)家關(guān)鍵基礎(chǔ)設(shè)施安全�����。為此����,我國(guó)有必要建設(shè)自己的工業(yè)信息安全漏洞庫(kù)�����,專門開展針對(duì)我國(guó)工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施的安全漏洞挖掘���、分析和風(fēng)險(xiǎn)防范研究�,為加快提升工業(yè)信息安全保障能力夯實(shí)基礎(chǔ)���,為制造強(qiáng)國(guó)和網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略實(shí)施牢筑“防護(hù)墻”���。
一、受工業(yè)信息安全形勢(shì)和工業(yè)互聯(lián)網(wǎng)安全政策雙重驅(qū)動(dòng)�,國(guó)家工業(yè)信息安全漏洞庫(kù)亟待抓緊建設(shè)
(一)工業(yè)信息安全漏洞頻發(fā)加劇工業(yè)信息安全風(fēng)險(xiǎn),安全形勢(shì)更加復(fù)雜嚴(yán)峻
隨著工業(yè)互聯(lián)網(wǎng)深入推進(jìn)�����,制造業(yè)向數(shù)字化���、網(wǎng)絡(luò)化�����、智能化�����、服務(wù)化方向加速發(fā)展��,在促進(jìn)工業(yè)化和信息化深度融合����、工業(yè)轉(zhuǎn)型升級(jí)的同時(shí)��,傳統(tǒng)工業(yè)領(lǐng)域從封閉逐步走向開放����、互聯(lián),網(wǎng)絡(luò)安全威脅直指工業(yè)生產(chǎn)一線��。同時(shí),傳統(tǒng)IT系統(tǒng)漏洞不斷被利用攻擊現(xiàn)實(shí)工業(yè)系統(tǒng)���,專門針對(duì)工業(yè)控制設(shè)備及系統(tǒng)的安全漏洞時(shí)有曝出��,工業(yè)信息安全風(fēng)險(xiǎn)急劇上升���,安全形勢(shì)變得更加嚴(yán)峻,呈現(xiàn)出如下三個(gè)新特點(diǎn):
一是越來(lái)越多的工業(yè)控制系統(tǒng)及設(shè)備暴露于互聯(lián)網(wǎng)���,極易被黑客探測(cè)發(fā)現(xiàn)��。據(jù)國(guó)家工業(yè)信息安全發(fā)展研究中心(以下簡(jiǎn)稱國(guó)家工信安全中心)監(jiān)測(cè)發(fā)現(xiàn)�,全球聯(lián)網(wǎng)工業(yè)控制系統(tǒng)及設(shè)備數(shù)量持續(xù)上升�����,近兩年增幅尤其明顯���,使得黑客發(fā)現(xiàn)攻擊目標(biāo)的難度大大降低���。
二是工控安全漏洞層出不窮,制造�、能源��、交通等重要領(lǐng)域首當(dāng)其沖���。據(jù)ICS-CERT統(tǒng)計(jì)���,工控安全相關(guān)漏洞數(shù)量自2012年以來(lái)持續(xù)走高�,且大量高危漏洞集中于裝備制造����、交通、能源����、智能樓宇等重要領(lǐng)域,極易被黑客利用并發(fā)起攻擊����,嚴(yán)重威脅國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全。
三是大規(guī)模��、高強(qiáng)度工業(yè)信息安全事件頻發(fā)����,工業(yè)領(lǐng)域成為網(wǎng)絡(luò)攻擊“重災(zāi)區(qū)”。自2010年“震網(wǎng)”事件爆發(fā)以來(lái),德國(guó)鋼鐵廠遭受高級(jí)可持續(xù)性威脅(APT)攻擊��、烏克蘭氯氣站遭VPNFilter惡意軟件突襲�����、委內(nèi)瑞拉全國(guó)大面積斷電等重大事件屢屢發(fā)生�,全球工業(yè)信息安全事件數(shù)量整體呈上升趨勢(shì)。2018年以來(lái)��,相繼發(fā)生“熔斷”和“幽靈”漏洞威脅工業(yè)控制系統(tǒng)�����、云服務(wù)平臺(tái)及工業(yè)互聯(lián)網(wǎng)平臺(tái)安全����,金雅拓Safenet軟件許可服務(wù)產(chǎn)品漏洞對(duì)大量工業(yè)控制系統(tǒng)造成影響,美國(guó)天然氣輸氣管道遭供應(yīng)鏈攻擊引發(fā)系統(tǒng)故障等安全事件����,工業(yè)信息安全警鐘長(zhǎng)鳴,亟需建設(shè)工業(yè)信息安全漏洞庫(kù)��,提升工業(yè)信息安全漏洞的挖掘��、分析、跟蹤和處置能力���。
(二)工業(yè)互聯(lián)網(wǎng)安全保障成為當(dāng)前工業(yè)信息安全工作前沿和重點(diǎn)���,工業(yè)信息安全漏洞庫(kù)建設(shè)是貫徹落實(shí)《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》的重要舉措
黨中央和國(guó)務(wù)院高度重視工業(yè)互聯(lián)網(wǎng)發(fā)展���,習(xí)近平總書記明確提出�����,要深入實(shí)施工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略���������!秶(guó)務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》將安全保障與網(wǎng)絡(luò)���、平臺(tái)并列成為工業(yè)互聯(lián)網(wǎng)三大體系之一����。2019年7月,為加速布局工業(yè)互聯(lián)網(wǎng)安全體系�,提升工業(yè)互聯(lián)網(wǎng)安全保障水平,應(yīng)對(duì)工業(yè)互聯(lián)網(wǎng)發(fā)展面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和挑戰(zhàn)�����,工業(yè)和信息化部�、應(yīng)急管理部、國(guó)家能源局等十部門聯(lián)合印發(fā)《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》�����。該指導(dǎo)意見提出了7個(gè)方面17項(xiàng)重點(diǎn)任務(wù)�����,其中在建設(shè)國(guó)家工業(yè)互聯(lián)網(wǎng)技術(shù)手段方面�,提出建立工業(yè)互聯(lián)網(wǎng)安全基礎(chǔ)資源庫(kù),建設(shè)工業(yè)互聯(lián)網(wǎng)安全漏洞庫(kù)的任務(wù)���。
近年來(lái)���,在工業(yè)和信息化部的指導(dǎo)下,國(guó)家工信安全中心積極推進(jìn)工業(yè)控制系統(tǒng)信息安全應(yīng)急資源庫(kù)建設(shè)�,加強(qiáng)工業(yè)信息安全應(yīng)急資源儲(chǔ)備����。2019年6月��,在工業(yè)信息安全發(fā)展產(chǎn)業(yè)聯(lián)盟框架下����,國(guó)家工信安全中心聯(lián)合國(guó)內(nèi)10家工業(yè)信息安全企業(yè)發(fā)起建立國(guó)家工業(yè)信息安全漏洞庫(kù),重點(diǎn)開展面向工業(yè)行業(yè)領(lǐng)域的安全漏洞分析和風(fēng)險(xiǎn)研究工作����,共同維護(hù)我國(guó)工業(yè)信息安全����。總的來(lái)說(shuō)�����,建設(shè)工業(yè)信息安全漏洞庫(kù)既是在落實(shí)《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》的重點(diǎn)工作任務(wù)�����,又能在一定程度上提升我國(guó)工業(yè)信息安全整體防護(hù)能力�,護(hù)航兩個(gè)強(qiáng)國(guó)戰(zhàn)略實(shí)施���。
(三)與我國(guó)其他國(guó)家級(jí)漏洞庫(kù)相比,國(guó)家工業(yè)信息安全漏洞庫(kù)及機(jī)制建設(shè)須將更加突出工業(yè)特性
國(guó)家工業(yè)信息安全漏洞庫(kù)與國(guó)家信息安全漏洞共享平臺(tái)���、國(guó)家信息安全漏洞庫(kù)兩個(gè)國(guó)家級(jí)漏洞庫(kù)相比����,它們的共同之處都是發(fā)揮橋梁紐帶作用�,匯聚專業(yè)人才、技術(shù)和資源�����,遵循“共建共享”原則�,建立漏洞收集、分析���、處置�����、披露機(jī)制�����,提升安全威脅應(yīng)對(duì)能力和風(fēng)險(xiǎn)管理水平�,維護(hù)國(guó)家網(wǎng)絡(luò)安全。它們的不同之處主要體現(xiàn)在三個(gè)方面:
一是研究領(lǐng)域不同����。國(guó)家工業(yè)信息安全漏洞庫(kù)主要面向原材料工業(yè)、裝備工業(yè)��、消費(fèi)品工業(yè)�、電子信息制造、國(guó)防軍工��、能源�、交通、水利���、市政、民用核設(shè)施等工業(yè)行業(yè)領(lǐng)域開展安全漏洞研究����;另外兩個(gè)國(guó)家級(jí)漏洞庫(kù)主要面向公共互聯(lián)網(wǎng)領(lǐng)域開展安全漏洞研究。
二是漏洞收集范圍不同��。國(guó)家工業(yè)信息安全漏洞庫(kù)收集范圍主要聚焦工業(yè)專用產(chǎn)品和組件的安全漏洞����、補(bǔ)丁及解決方案��,如工業(yè)生產(chǎn)控制設(shè)備���、工業(yè)網(wǎng)絡(luò)通信設(shè)備、工業(yè)主機(jī)設(shè)備和軟件��、工業(yè)生產(chǎn)信息系統(tǒng)���、工業(yè)網(wǎng)絡(luò)安全設(shè)備��、物聯(lián)網(wǎng)智能設(shè)備等�����;另外兩個(gè)國(guó)家級(jí)漏洞庫(kù)收集范圍主要關(guān)注通用產(chǎn)品和組件的安全漏洞�、補(bǔ)丁及解決方案�,如操作系統(tǒng)、Web組件�����、中間件、應(yīng)用軟件��、安全軟件����、數(shù)據(jù)庫(kù)、計(jì)算機(jī)����、服務(wù)器、網(wǎng)絡(luò)設(shè)備等����。
三是漏洞挖掘和復(fù)現(xiàn)難易程度不同。與通用產(chǎn)品和組件漏洞分析相比��,工業(yè)專用產(chǎn)品和組件的漏洞挖掘和復(fù)現(xiàn)環(huán)境搭建難度更大�����、成本更高����、技術(shù)要求更高��。國(guó)家工業(yè)信息安全漏洞庫(kù)在建設(shè)安全漏洞數(shù)據(jù)庫(kù)的同時(shí),會(huì)推動(dòng)建設(shè)針對(duì)各類工業(yè)產(chǎn)品和組件的安全漏洞驗(yàn)證平臺(tái)�����,有效支持工業(yè)信息安全漏洞分析���、復(fù)現(xiàn)和確認(rèn)�����。
二���、美國(guó)引領(lǐng)世界各國(guó)建設(shè)漏洞庫(kù),相關(guān)機(jī)制和規(guī)則為我國(guó)建設(shè)工業(yè)信息安全漏洞庫(kù)工作提供有益參考
(一)美國(guó)漏洞庫(kù)建設(shè)處于世界領(lǐng)先地位��,擁有成立時(shí)間最早���、規(guī)模最大的漏洞庫(kù)�����,還專門建立了工控安全漏洞庫(kù)
作為互聯(lián)網(wǎng)的創(chuàng)造者��,美國(guó)高度重視安全漏洞收集和儲(chǔ)備工作�,漏洞研究工作起步早。早在1999年���,美國(guó)國(guó)土安全部資助MITRE公司創(chuàng)立了CVE漏洞披露平臺(tái)���,該平臺(tái)制定了全球認(rèn)同和廣泛采用的漏洞信息描述標(biāo)準(zhǔn),統(tǒng)一了全球漏洞編號(hào)規(guī)則�����,僅僅是公開披露漏洞信息累計(jì)達(dá)到12萬(wàn)條左右�����。2005年��,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)開始建設(shè)國(guó)家信息安全漏洞庫(kù)(NVD)�����,整合安全企業(yè)���、安全機(jī)構(gòu)等各方資源��,旨在為美國(guó)政府提供軟硬件產(chǎn)品漏洞和補(bǔ)丁信息,同時(shí)制定了漏洞影響指標(biāo)、技術(shù)評(píng)估方法�����、漏洞修復(fù)參考等多個(gè)標(biāo)準(zhǔn)���。NVD和CVE同步披露漏洞信息�����,在CVE披露信息的基礎(chǔ)上增加了漏洞技術(shù)細(xì)節(jié)�����、受影響產(chǎn)品等信息���。NVD已成為各國(guó)建設(shè)國(guó)家級(jí)漏洞庫(kù)的范本。值得一提的�,美國(guó)ICS-CERT早在2009年就專門建設(shè)工控安全漏洞庫(kù),從2010年至今公開披露工控安全漏洞信息超過(guò)2500條���。
此外����,美國(guó)有關(guān)部門通過(guò)漏洞眾測(cè)平臺(tái)“HackerOne”實(shí)施漏洞懸賞項(xiàng)目。如美國(guó)國(guó)防部先后實(shí)施了“黑進(jìn)五角大樓”“黑進(jìn)陸軍”“黑進(jìn)空軍”項(xiàng)目�,一方面測(cè)試美國(guó)國(guó)防部應(yīng)對(duì)網(wǎng)絡(luò)攻擊能力,同時(shí)利用民間高手挖掘其漏洞并支付賞金��。
(二)歐洲�、亞太地區(qū)國(guó)家緊隨美國(guó)其后,紛紛建設(shè)本國(guó)國(guó)家級(jí)漏洞庫(kù)�����,收集和披露漏洞的機(jī)制各具特點(diǎn)
直接轉(zhuǎn)載型���。歐洲計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT-EU)漏洞披露平臺(tái)以收集其他國(guó)家漏洞庫(kù)和各大產(chǎn)商漏洞庫(kù)漏洞信息為主�����,并按照廠商產(chǎn)品類型對(duì)漏洞分類�����,本身不再對(duì)收集的漏洞信息進(jìn)行重新編碼整理�����,直接發(fā)布漏洞信息在各個(gè)漏洞庫(kù)的相關(guān)鏈接����。
深度加工型。俄羅斯SecurityLab漏洞信息門戶網(wǎng)站是俄羅斯較為權(quán)威的漏洞平臺(tái)�,以俄語(yǔ)發(fā)布漏洞信息�,包括漏洞技術(shù)分析以及應(yīng)對(duì)措施,旨在幫助其國(guó)內(nèi)用戶快速了解漏洞帶來(lái)的潛在攻擊風(fēng)險(xiǎn)并采取適當(dāng)措施���,并提供漏洞分析��、數(shù)據(jù)保護(hù)等服務(wù)��,常常會(huì)發(fā)布漏洞相關(guān)技術(shù)分析文章�、漏洞事件調(diào)查報(bào)告����。該平臺(tái)累計(jì)披露漏洞信息超過(guò)37000條。
完全效仿型���。日本國(guó)家漏洞庫(kù)(JVN)由日本國(guó)家CERT負(fù)責(zé)運(yùn)營(yíng)���,是日本最大、最權(quán)威的漏洞披露平臺(tái)���。JVN的建設(shè)基本仿照美國(guó)NVD�,通過(guò)日語(yǔ)和英語(yǔ)兩種方式公開披露漏洞信息,累計(jì)發(fā)布漏洞公告1700余條�。
三、全力打造我國(guó)工業(yè)信息安全漏洞庫(kù)����,夯實(shí)工業(yè)信息安全保障基礎(chǔ),護(hù)航兩個(gè)強(qiáng)國(guó)戰(zhàn)略實(shí)施
充分借鑒國(guó)內(nèi)外漏洞庫(kù)建設(shè)成熟經(jīng)驗(yàn)�,在工業(yè)信息安全聯(lián)盟框架下,國(guó)家工信安全中心將遵循“共建共享”原則��,整合國(guó)內(nèi)從事工業(yè)信息安全相關(guān)產(chǎn)業(yè)�����、教育�、科研、應(yīng)用的機(jī)構(gòu)�、企業(yè)及個(gè)人力量,構(gòu)建工業(yè)信息安全漏洞發(fā)現(xiàn)和處置生態(tài)環(huán)境�,推動(dòng)建設(shè)全國(guó)性、行業(yè)性����、非營(yíng)利性的工業(yè)信息安全漏洞收集�、分析�、處置、披露的平臺(tái)���,建立漏洞收集��、分析、處置��、披露機(jī)制��,提升安全威脅應(yīng)對(duì)能力和風(fēng)險(xiǎn)管理水平�����,夯實(shí)工業(yè)信息安全保障基礎(chǔ)����,護(hù)航兩個(gè)強(qiáng)國(guó)戰(zhàn)略實(shí)施。主要工作內(nèi)容包括:
(一)建設(shè)一套技術(shù)平臺(tái)
面向工業(yè)信息安全領(lǐng)域�����,組織和動(dòng)員成員單位和漏洞研究者收集����、分析��、處置和發(fā)布工業(yè)軟硬件產(chǎn)品和組件的漏洞信息��,共同建設(shè)國(guó)家工業(yè)信息安全漏洞數(shù)據(jù)庫(kù)���,同時(shí)推動(dòng)建設(shè)針對(duì)各類工業(yè)產(chǎn)品和組件的安全漏洞驗(yàn)證平臺(tái),有效支持工業(yè)信息安全漏洞分析和驗(yàn)證���。
(二)建立一套工作機(jī)制
探索建立工業(yè)信息安全漏洞發(fā)現(xiàn)�����、上報(bào)����、分析和處置工作機(jī)制�����,激勵(lì)各方積極報(bào)送工業(yè)信息安全漏洞信息�����,協(xié)調(diào)廠商及時(shí)發(fā)布漏洞補(bǔ)丁,向社會(huì)公眾和成員單位發(fā)布漏洞風(fēng)險(xiǎn)預(yù)警�,組織開展漏洞安全應(yīng)急處置工作,特別是高危以上級(jí)別漏洞風(fēng)險(xiǎn)防范或大規(guī)模漏洞利用攻擊處置�����,提高我國(guó)工業(yè)信息安全防護(hù)整體水平����。
(三)開展漏洞安全研究
組織開展漏洞安全技術(shù)和相關(guān)政策研究,開展漏洞相關(guān)重大問(wèn)題研究��,參與安全漏洞相關(guān)標(biāo)準(zhǔn)研制和驗(yàn)證���,發(fā)布漏洞統(tǒng)計(jì)數(shù)據(jù)和深度分析研究報(bào)告,向政府有關(guān)部門提供政策建議���。推動(dòng)工業(yè)信息安全漏洞研究相關(guān)產(chǎn)品的研制��、開發(fā)�����、評(píng)審及推廣�,提升我國(guó)工業(yè)信息安全保障、防范與自愈能力���。
(四)提供安全服務(wù)
面向政府和重要部門�����、工業(yè)企業(yè)����、工業(yè)軟硬件產(chǎn)品供應(yīng)商�����、工業(yè)互聯(lián)網(wǎng)服務(wù)提供商等用戶單位提供漏洞安全的技術(shù)支持����、信息咨詢、培訓(xùn)�、取證分析、恢復(fù)等服務(wù)��,幫助其提升對(duì)漏洞安全風(fēng)險(xiǎn)防范及應(yīng)對(duì)能力�����。嘗試開展我國(guó)工業(yè)信息安全漏洞懸賞計(jì)劃,提升工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)攻擊應(yīng)對(duì)能力和水平�。
400-004-1069