習近平總書記提出,沒有網絡安全,就沒有國家安全。隨著云計算、大數據、人工智能等新一代信息技術與制造業的加速融合,傳統網絡安全威脅持續向工業領域滲透和蔓延,工業信息安全漏洞頻發,工業信息安全形勢日趨嚴峻,給我國維護網絡安全和國家安全帶來更大挑戰。
漏洞是威脅網絡安全的最主要根源,同樣也是威脅工業信息安全的主要根源,成功襲擊伊朗核設施的“震網”病毒就至少利用了4個零日漏洞。長期以來,美國、歐洲、日本等國家和地區高度重視安全漏洞資源儲備,建立了國家級安全漏洞庫。特別是美國政府還在其工業控制系統網絡應急響應小組(ICS-CERT)專門建立了工控安全漏洞庫,構建出一整套工控安全漏洞收集和披露機制,以維護其國家關鍵基礎設施安全。為此,我國有必要建設自己的工業信息安全漏洞庫,專門開展針對我國工業領域關鍵信息基礎設施的安全漏洞挖掘、分析和風險防范研究,為加快提升工業信息安全保障能力夯實基礎,為制造強國和網絡強國戰略實施牢筑“防護墻”。
一、受工業信息安全形勢和工業互聯網安全政策雙重驅動,國家工業信息安全漏洞庫亟待抓緊建設
(一)工業信息安全漏洞頻發加劇工業信息安全風險,安全形勢更加復雜嚴峻
隨著工業互聯網深入推進,制造業向數字化、網絡化、智能化、服務化方向加速發展,在促進工業化和信息化深度融合、工業轉型升級的同時,傳統工業領域從封閉逐步走向開放、互聯,網絡安全威脅直指工業生產一線。同時,傳統IT系統漏洞不斷被利用攻擊現實工業系統,專門針對工業控制設備及系統的安全漏洞時有曝出,工業信息安全風險急劇上升,安全形勢變得更加嚴峻,呈現出如下三個新特點:
一是越來越多的工業控制系統及設備暴露于互聯網,極易被黑客探測發現。據國家工業信息安全發展研究中心(以下簡稱國家工信安全中心)監測發現,全球聯網工業控制系統及設備數量持續上升,近兩年增幅尤其明顯,使得黑客發現攻擊目標的難度大大降低。
二是工控安全漏洞層出不窮,制造、能源、交通等重要領域首當其沖。據ICS-CERT統計,工控安全相關漏洞數量自2012年以來持續走高,且大量高危漏洞集中于裝備制造、交通、能源、智能樓宇等重要領域,極易被黑客利用并發起攻擊,嚴重威脅國家關鍵信息基礎設施安全。
三是大規模、高強度工業信息安全事件頻發,工業領域成為網絡攻擊“重災區”。自2010年“震網”事件爆發以來,德國鋼鐵廠遭受高級可持續性威脅(APT)攻擊、烏克蘭氯氣站遭VPNFilter惡意軟件突襲、委內瑞拉全國大面積斷電等重大事件屢屢發生,全球工業信息安全事件數量整體呈上升趨勢。2018年以來,相繼發生“熔斷”和“幽靈”漏洞威脅工業控制系統、云服務平臺及工業互聯網平臺安全,金雅拓Safenet軟件許可服務產品漏洞對大量工業控制系統造成影響,美國天然氣輸氣管道遭供應鏈攻擊引發系統故障等安全事件,工業信息安全警鐘長鳴,亟需建設工業信息安全漏洞庫,提升工業信息安全漏洞的挖掘、分析、跟蹤和處置能力。
(二)工業互聯網安全保障成為當前工業信息安全工作前沿和重點,工業信息安全漏洞庫建設是貫徹落實《加強工業互聯網安全工作的指導意見》的重要舉措
黨中央和國務院高度重視工業互聯網發展,習近平總書記明確提出,要深入實施工業互聯網創新發展戰略。《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》將安全保障與網絡、平臺并列成為工業互聯網三大體系之一。2019年7月,為加速布局工業互聯網安全體系,提升工業互聯網安全保障水平,應對工業互聯網發展面臨的網絡安全風險和挑戰,工業和信息化部、應急管理部、國家能源局等十部門聯合印發《加強工業互聯網安全工作的指導意見》。該指導意見提出了7個方面17項重點任務,其中在建設國家工業互聯網技術手段方面,提出建立工業互聯網安全基礎資源庫,建設工業互聯網安全漏洞庫的任務。
近年來,在工業和信息化部的指導下,國家工信安全中心積極推進工業控制系統信息安全應急資源庫建設,加強工業信息安全應急資源儲備。2019年6月,在工業信息安全發展產業聯盟框架下,國家工信安全中心聯合國內10家工業信息安全企業發起建立國家工業信息安全漏洞庫,重點開展面向工業行業領域的安全漏洞分析和風險研究工作,共同維護我國工業信息安全。總的來說,建設工業信息安全漏洞庫既是在落實《加強工業互聯網安全工作的指導意見》的重點工作任務,又能在一定程度上提升我國工業信息安全整體防護能力,護航兩個強國戰略實施。
(三)與我國其他國家級漏洞庫相比,國家工業信息安全漏洞庫及機制建設須將更加突出工業特性
國家工業信息安全漏洞庫與國家信息安全漏洞共享平臺、國家信息安全漏洞庫兩個國家級漏洞庫相比,它們的共同之處都是發揮橋梁紐帶作用,匯聚專業人才、技術和資源,遵循“共建共享”原則,建立漏洞收集、分析、處置、披露機制,提升安全威脅應對能力和風險管理水平,維護國家網絡安全。它們的不同之處主要體現在三個方面:
一是研究領域不同。國家工業信息安全漏洞庫主要面向原材料工業、裝備工業、消費品工業、電子信息制造、國防軍工、能源、交通、水利、市政、民用核設施等工業行業領域開展安全漏洞研究;另外兩個國家級漏洞庫主要面向公共互聯網領域開展安全漏洞研究。
二是漏洞收集范圍不同。國家工業信息安全漏洞庫收集范圍主要聚焦工業專用產品和組件的安全漏洞、補丁及解決方案,如工業生產控制設備、工業網絡通信設備、工業主機設備和軟件、工業生產信息系統、工業網絡安全設備、物聯網智能設備等;另外兩個國家級漏洞庫收集范圍主要關注通用產品和組件的安全漏洞、補丁及解決方案,如操作系統、Web組件、中間件、應用軟件、安全軟件、數據庫、計算機、服務器、網絡設備等。
三是漏洞挖掘和復現難易程度不同。與通用產品和組件漏洞分析相比,工業專用產品和組件的漏洞挖掘和復現環境搭建難度更大、成本更高、技術要求更高。國家工業信息安全漏洞庫在建設安全漏洞數據庫的同時,會推動建設針對各類工業產品和組件的安全漏洞驗證平臺,有效支持工業信息安全漏洞分析、復現和確認。
二、美國引領世界各國建設漏洞庫,相關機制和規則為我國建設工業信息安全漏洞庫工作提供有益參考
(一)美國漏洞庫建設處于世界領先地位,擁有成立時間最早、規模最大的漏洞庫,還專門建立了工控安全漏洞庫
作為互聯網的創造者,美國高度重視安全漏洞收集和儲備工作,漏洞研究工作起步早。早在1999年,美國國土安全部資助MITRE公司創立了CVE漏洞披露平臺,該平臺制定了全球認同和廣泛采用的漏洞信息描述標準,統一了全球漏洞編號規則,僅僅是公開披露漏洞信息累計達到12萬條左右。2005年,美國國家標準與技術研究院(NIST)開始建設國家信息安全漏洞庫(NVD),整合安全企業、安全機構等各方資源,旨在為美國政府提供軟硬件產品漏洞和補丁信息,同時制定了漏洞影響指標、技術評估方法、漏洞修復參考等多個標準。NVD和CVE同步披露漏洞信息,在CVE披露信息的基礎上增加了漏洞技術細節、受影響產品等信息。NVD已成為各國建設國家級漏洞庫的范本。值得一提的,美國ICS-CERT早在2009年就專門建設工控安全漏洞庫,從2010年至今公開披露工控安全漏洞信息超過2500條。
此外,美國有關部門通過漏洞眾測平臺“HackerOne”實施漏洞懸賞項目。如美國國防部先后實施了“黑進五角大樓”“黑進陸軍”“黑進空軍”項目,一方面測試美國國防部應對網絡攻擊能力,同時利用民間高手挖掘其漏洞并支付賞金。
(二)歐洲、亞太地區國家緊隨美國其后,紛紛建設本國國家級漏洞庫,收集和披露漏洞的機制各具特點
直接轉載型。歐洲計算機應急響應小組(CERT-EU)漏洞披露平臺以收集其他國家漏洞庫和各大產商漏洞庫漏洞信息為主,并按照廠商產品類型對漏洞分類,本身不再對收集的漏洞信息進行重新編碼整理,直接發布漏洞信息在各個漏洞庫的相關鏈接。
深度加工型。俄羅斯SecurityLab漏洞信息門戶網站是俄羅斯較為權威的漏洞平臺,以俄語發布漏洞信息,包括漏洞技術分析以及應對措施,旨在幫助其國內用戶快速了解漏洞帶來的潛在攻擊風險并采取適當措施,并提供漏洞分析、數據保護等服務,常常會發布漏洞相關技術分析文章、漏洞事件調查報告。該平臺累計披露漏洞信息超過37000條。
完全效仿型。日本國家漏洞庫(JVN)由日本國家CERT負責運營,是日本最大、最權威的漏洞披露平臺。JVN的建設基本仿照美國NVD,通過日語和英語兩種方式公開披露漏洞信息,累計發布漏洞公告1700余條。
三、全力打造我國工業信息安全漏洞庫,夯實工業信息安全保障基礎,護航兩個強國戰略實施
充分借鑒國內外漏洞庫建設成熟經驗,在工業信息安全聯盟框架下,國家工信安全中心將遵循“共建共享”原則,整合國內從事工業信息安全相關產業、教育、科研、應用的機構、企業及個人力量,構建工業信息安全漏洞發現和處置生態環境,推動建設全國性、行業性、非營利性的工業信息安全漏洞收集、分析、處置、披露的平臺,建立漏洞收集、分析、處置、披露機制,提升安全威脅應對能力和風險管理水平,夯實工業信息安全保障基礎,護航兩個強國戰略實施。主要工作內容包括:
(一)建設一套技術平臺
面向工業信息安全領域,組織和動員成員單位和漏洞研究者收集、分析、處置和發布工業軟硬件產品和組件的漏洞信息,共同建設國家工業信息安全漏洞數據庫,同時推動建設針對各類工業產品和組件的安全漏洞驗證平臺,有效支持工業信息安全漏洞分析和驗證。
(二)建立一套工作機制
探索建立工業信息安全漏洞發現、上報、分析和處置工作機制,激勵各方積極報送工業信息安全漏洞信息,協調廠商及時發布漏洞補丁,向社會公眾和成員單位發布漏洞風險預警,組織開展漏洞安全應急處置工作,特別是高危以上級別漏洞風險防范或大規模漏洞利用攻擊處置,提高我國工業信息安全防護整體水平。
(三)開展漏洞安全研究
組織開展漏洞安全技術和相關政策研究,開展漏洞相關重大問題研究,參與安全漏洞相關標準研制和驗證,發布漏洞統計數據和深度分析研究報告,向政府有關部門提供政策建議。推動工業信息安全漏洞研究相關產品的研制、開發、評審及推廣,提升我國工業信息安全保障、防范與自愈能力。
(四)提供安全服務
面向政府和重要部門、工業企業、工業軟硬件產品供應商、工業互聯網服務提供商等用戶單位提供漏洞安全的技術支持、信息咨詢、培訓、取證分析、恢復等服務,幫助其提升對漏洞安全風險防范及應對能力。嘗試開展我國工業信息安全漏洞懸賞計劃,提升工業領域關鍵信息基礎設施網絡攻擊應對能力和水平。
400-004-1069