習近平總書記提出,沒有網絡安全�,就沒有國家安全�。隨著云計算�、大數據�、人工智能等新一代信息技術與制造業(yè)的加速融合,傳統(tǒng)網絡安全威脅持續(xù)向工業(yè)領域滲透和蔓延�,工業(yè)信息安全漏洞頻發(fā),工業(yè)信息安全形勢日趨嚴峻�,給我國維護網絡安全和國家安全帶來更大挑戰(zhàn)。
漏洞是威脅網絡安全的最主要根源�,同樣也是威脅工業(yè)信息安全的主要根源,成功襲擊伊朗核設施的“震網”病毒就至少利用了4個零日漏洞�。長期以來,美國�、歐洲、日本等國家和地區(qū)高度重視安全漏洞資源儲備�,建立了國家級安全漏洞庫�。特別是美國政府還在其工業(yè)控制系統(tǒng)網絡應急響應小組(ICS-CERT)專門建立了工控安全漏洞庫,構建出一整套工控安全漏洞收集和披露機制�,以維護其國家關鍵基礎設施安全。為此�,我國有必要建設自己的工業(yè)信息安全漏洞庫,專門開展針對我國工業(yè)領域關鍵信息基礎設施的安全漏洞挖掘�、分析和風險防范研究,為加快提升工業(yè)信息安全保障能力夯實基礎�,為制造強國和網絡強國戰(zhàn)略實施牢筑“防護墻”。
一�、受工業(yè)信息安全形勢和工業(yè)互聯(lián)網安全政策雙重驅動�,國家工業(yè)信息安全漏洞庫亟待抓緊建設
(一)工業(yè)信息安全漏洞頻發(fā)加劇工業(yè)信息安全風險�,安全形勢更加復雜嚴峻
隨著工業(yè)互聯(lián)網深入推進,制造業(yè)向數字化�、網絡化、智能化�、服務化方向加速發(fā)展,在促進工業(yè)化和信息化深度融合�、工業(yè)轉型升級的同時,傳統(tǒng)工業(yè)領域從封閉逐步走向開放�、互聯(lián),網絡安全威脅直指工業(yè)生產一線�。同時,傳統(tǒng)IT系統(tǒng)漏洞不斷被利用攻擊現實工業(yè)系統(tǒng)�,專門針對工業(yè)控制設備及系統(tǒng)的安全漏洞時有曝出,工業(yè)信息安全風險急劇上升�,安全形勢變得更加嚴峻,呈現出如下三個新特點:
一是越來越多的工業(yè)控制系統(tǒng)及設備暴露于互聯(lián)網�,極易被黑客探測發(fā)現。據國家工業(yè)信息安全發(fā)展研究中心(以下簡稱國家工信安全中心)監(jiān)測發(fā)現�,全球聯(lián)網工業(yè)控制系統(tǒng)及設備數量持續(xù)上升,近兩年增幅尤其明顯�,使得黑客發(fā)現攻擊目標的難度大大降低。
二是工控安全漏洞層出不窮�,制造、能源�、交通等重要領域首當其沖�。據ICS-CERT統(tǒng)計�,工控安全相關漏洞數量自2012年以來持續(xù)走高,且大量高危漏洞集中于裝備制造�、交通、能源�、智能樓宇等重要領域,極易被黑客利用并發(fā)起攻擊�,嚴重威脅國家關鍵信息基礎設施安全。
三是大規(guī)模�、高強度工業(yè)信息安全事件頻發(fā),工業(yè)領域成為網絡攻擊“重災區(qū)”�。自2010年“震網”事件爆發(fā)以來,德國鋼鐵廠遭受高級可持續(xù)性威脅(APT)攻擊�、烏克蘭氯氣站遭VPNFilter惡意軟件突襲、委內瑞拉全國大面積斷電等重大事件屢屢發(fā)生�,全球工業(yè)信息安全事件數量整體呈上升趨勢。2018年以來�,相繼發(fā)生“熔斷”和“幽靈”漏洞威脅工業(yè)控制系統(tǒng)�、云服務平臺及工業(yè)互聯(lián)網平臺安全,金雅拓Safenet軟件許可服務產品漏洞對大量工業(yè)控制系統(tǒng)造成影響�,美國天然氣輸氣管道遭供應鏈攻擊引發(fā)系統(tǒng)故障等安全事件,工業(yè)信息安全警鐘長鳴�,亟需建設工業(yè)信息安全漏洞庫,提升工業(yè)信息安全漏洞的挖掘�、分析�、跟蹤和處置能力�。
(二)工業(yè)互聯(lián)網安全保障成為當前工業(yè)信息安全工作前沿和重點,工業(yè)信息安全漏洞庫建設是貫徹落實《加強工業(yè)互聯(lián)網安全工作的指導意見》的重要舉措
黨中央和國務院高度重視工業(yè)互聯(lián)網發(fā)展�,習近平總書記明確提出,要深入實施工業(yè)互聯(lián)網創(chuàng)新發(fā)展戰(zhàn)略�。《國務院關于深化“互聯(lián)網+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網的指導意見》將安全保障與網絡�、平臺并列成為工業(yè)互聯(lián)網三大體系之一。2019年7月�,為加速布局工業(yè)互聯(lián)網安全體系,提升工業(yè)互聯(lián)網安全保障水平�,應對工業(yè)互聯(lián)網發(fā)展面臨的網絡安全風險和挑戰(zhàn),工業(yè)和信息化部�、應急管理部、國家能源局等十部門聯(lián)合印發(fā)《加強工業(yè)互聯(lián)網安全工作的指導意見》�。該指導意見提出了7個方面17項重點任務,其中在建設國家工業(yè)互聯(lián)網技術手段方面�,提出建立工業(yè)互聯(lián)網安全基礎資源庫,建設工業(yè)互聯(lián)網安全漏洞庫的任務�。
近年來,在工業(yè)和信息化部的指導下�,國家工信安全中心積極推進工業(yè)控制系統(tǒng)信息安全應急資源庫建設,加強工業(yè)信息安全應急資源儲備�。2019年6月,在工業(yè)信息安全發(fā)展產業(yè)聯(lián)盟框架下,國家工信安全中心聯(lián)合國內10家工業(yè)信息安全企業(yè)發(fā)起建立國家工業(yè)信息安全漏洞庫�,重點開展面向工業(yè)行業(yè)領域的安全漏洞分析和風險研究工作,共同維護我國工業(yè)信息安全�。總的來說�,建設工業(yè)信息安全漏洞庫既是在落實《加強工業(yè)互聯(lián)網安全工作的指導意見》的重點工作任務,又能在一定程度上提升我國工業(yè)信息安全整體防護能力�,護航兩個強國戰(zhàn)略實施。
(三)與我國其他國家級漏洞庫相比�,國家工業(yè)信息安全漏洞庫及機制建設須將更加突出工業(yè)特性
國家工業(yè)信息安全漏洞庫與國家信息安全漏洞共享平臺、國家信息安全漏洞庫兩個國家級漏洞庫相比�,它們的共同之處都是發(fā)揮橋梁紐帶作用,匯聚專業(yè)人才�、技術和資源,遵循“共建共享”原則�,建立漏洞收集、分析�、處置、披露機制�,提升安全威脅應對能力和風險管理水平,維護國家網絡安全�。它們的不同之處主要體現在三個方面:
一是研究領域不同。國家工業(yè)信息安全漏洞庫主要面向原材料工業(yè)�、裝備工業(yè)�、消費品工業(yè)、電子信息制造、國防軍工�、能源、交通�、水利、市政�、民用核設施等工業(yè)行業(yè)領域開展安全漏洞研究;另外兩個國家級漏洞庫主要面向公共互聯(lián)網領域開展安全漏洞研究�。
二是漏洞收集范圍不同。國家工業(yè)信息安全漏洞庫收集范圍主要聚焦工業(yè)專用產品和組件的安全漏洞�、補丁及解決方案,如工業(yè)生產控制設備�、工業(yè)網絡通信設備、工業(yè)主機設備和軟件�、工業(yè)生產信息系統(tǒng)、工業(yè)網絡安全設備�、物聯(lián)網智能設備等;另外兩個國家級漏洞庫收集范圍主要關注通用產品和組件的安全漏洞�、補丁及解決方案,如操作系統(tǒng)�、Web組件、中間件�、應用軟件、安全軟件�、數據庫、計算機�、服務器、網絡設備等。
三是漏洞挖掘和復現難易程度不同�。與通用產品和組件漏洞分析相比,工業(yè)專用產品和組件的漏洞挖掘和復現環(huán)境搭建難度更大�、成本更高、技術要求更高�。國家工業(yè)信息安全漏洞庫在建設安全漏洞數據庫的同時,會推動建設針對各類工業(yè)產品和組件的安全漏洞驗證平臺�,有效支持工業(yè)信息安全漏洞分析、復現和確認�。
二、美國引領世界各國建設漏洞庫�,相關機制和規(guī)則為我國建設工業(yè)信息安全漏洞庫工作提供有益參考
(一)美國漏洞庫建設處于世界領先地位,擁有成立時間最早�、規(guī)模最大的漏洞庫,還專門建立了工控安全漏洞庫
作為互聯(lián)網的創(chuàng)造者�,美國高度重視安全漏洞收集和儲備工作,漏洞研究工作起步早�。早在1999年,美國國土安全部資助MITRE公司創(chuàng)立了CVE漏洞披露平臺�,該平臺制定了全球認同和廣泛采用的漏洞信息描述標準,統(tǒng)一了全球漏洞編號規(guī)則�,僅僅是公開披露漏洞信息累計達到12萬條左右。2005年�,美國國家標準與技術研究院(NIST)開始建設國家信息安全漏洞庫(NVD),整合安全企業(yè)�、安全機構等各方資源�,旨在為美國政府提供軟硬件產品漏洞和補丁信息�,同時制定了漏洞影響指標�、技術評估方法、漏洞修復參考等多個標準�。NVD和CVE同步披露漏洞信息,在CVE披露信息的基礎上增加了漏洞技術細節(jié)�、受影響產品等信息。NVD已成為各國建設國家級漏洞庫的范本�。值得一提的,美國ICS-CERT早在2009年就專門建設工控安全漏洞庫�,從2010年至今公開披露工控安全漏洞信息超過2500條。
此外�,美國有關部門通過漏洞眾測平臺“HackerOne”實施漏洞懸賞項目。如美國國防部先后實施了“黑進五角大樓”“黑進陸軍”“黑進空軍”項目�,一方面測試美國國防部應對網絡攻擊能力,同時利用民間高手挖掘其漏洞并支付賞金�。
(二)歐洲、亞太地區(qū)國家緊隨美國其后�,紛紛建設本國國家級漏洞庫,收集和披露漏洞的機制各具特點
直接轉載型�。歐洲計算機應急響應小組(CERT-EU)漏洞披露平臺以收集其他國家漏洞庫和各大產商漏洞庫漏洞信息為主,并按照廠商產品類型對漏洞分類�,本身不再對收集的漏洞信息進行重新編碼整理,直接發(fā)布漏洞信息在各個漏洞庫的相關鏈接�。
深度加工型�。俄羅斯SecurityLab漏洞信息門戶網站是俄羅斯較為權威的漏洞平臺�,以俄語發(fā)布漏洞信息,包括漏洞技術分析以及應對措施�,旨在幫助其國內用戶快速了解漏洞帶來的潛在攻擊風險并采取適當措施,并提供漏洞分析�、數據保護等服務,常常會發(fā)布漏洞相關技術分析文章�、漏洞事件調查報告。該平臺累計披露漏洞信息超過37000條�。
完全效仿型。日本國家漏洞庫(JVN)由日本國家CERT負責運營�,是日本最大、最權威的漏洞披露平臺�。JVN的建設基本仿照美國NVD,通過日語和英語兩種方式公開披露漏洞信息�,累計發(fā)布漏洞公告1700余條。
三�、全力打造我國工業(yè)信息安全漏洞庫,夯實工業(yè)信息安全保障基礎�,護航兩個強國戰(zhàn)略實施
充分借鑒國內外漏洞庫建設成熟經驗,在工業(yè)信息安全聯(lián)盟框架下�,國家工信安全中心將遵循“共建共享”原則,整合國內從事工業(yè)信息安全相關產業(yè)�、教育、科研�、應用的機構�、企業(yè)及個人力量�,構建工業(yè)信息安全漏洞發(fā)現和處置生態(tài)環(huán)境,推動建設全國性�、行業(yè)性、非營利性的工業(yè)信息安全漏洞收集�、分析�、處置、披露的平臺�,建立漏洞收集、分析�、處置、披露機制�,提升安全威脅應對能力和風險管理水平,夯實工業(yè)信息安全保障基礎�,護航兩個強國戰(zhàn)略實施。主要工作內容包括:
(一)建設一套技術平臺
面向工業(yè)信息安全領域�,組織和動員成員單位和漏洞研究者收集、分析�、處置和發(fā)布工業(yè)軟硬件產品和組件的漏洞信息,共同建設國家工業(yè)信息安全漏洞數據庫�,同時推動建設針對各類工業(yè)產品和組件的安全漏洞驗證平臺,有效支持工業(yè)信息安全漏洞分析和驗證�。
(二)建立一套工作機制
探索建立工業(yè)信息安全漏洞發(fā)現、上報�、分析和處置工作機制�,激勵各方積極報送工業(yè)信息安全漏洞信息�,協(xié)調廠商及時發(fā)布漏洞補丁,向社會公眾和成員單位發(fā)布漏洞風險預警�,組織開展漏洞安全應急處置工作,特別是高危以上級別漏洞風險防范或大規(guī)模漏洞利用攻擊處置�,提高我國工業(yè)信息安全防護整體水平。
(三)開展漏洞安全研究
組織開展漏洞安全技術和相關政策研究�,開展漏洞相關重大問題研究,參與安全漏洞相關標準研制和驗證�,發(fā)布漏洞統(tǒng)計數據和深度分析研究報告,向政府有關部門提供政策建議�。推動工業(yè)信息安全漏洞研究相關產品的研制、開發(fā)�、評審及推廣,提升我國工業(yè)信息安全保障�、防范與自愈能力。
(四)提供安全服務
面向政府和重要部門�、工業(yè)企業(yè)、工業(yè)軟硬件產品供應商�、工業(yè)互聯(lián)網服務提供商等用戶單位提供漏洞安全的技術支持、信息咨詢�、培訓、取證分析�、恢復等服務,幫助其提升對漏洞安全風險防范及應對能力。嘗試開展我國工業(yè)信息安全漏洞懸賞計劃�,提升工業(yè)領域關鍵信息基礎設施網絡攻擊應對能力和水平。
400-004-1069