下载掌阅APP,畅读海量书库
立即打开
为了有效防范工业信息安全漏洞带来的风险,国内外围绕漏洞管理政策标准体系、漏洞管理工作机制、漏洞平台与生态建设等方面,持续加强漏洞管理。
(1)国外文件
欧美国家不断加强漏洞管理顶层设计,通过制定相关政策法规文件,推动漏洞信息共享、漏洞披露的规范化,持续增强漏洞资源管控能力,重点体现在如下3个方面。
①开展关键信息基础设施安全漏洞评估。国外将漏洞识别作为脆弱性和风险评估的重要内容,尤其是美国,一贯强调采用风险管理的理念和方法,要求对政府网络和关键信息基础设施中存在的脆弱性进行持续性评估和识别。例如,在政府行业,美国发布了《国土安全部漏洞法案》《国务院漏洞法案》等文件,设立漏洞奖励计划,鼓励公私合作,共同挖掘、收集和修补政府部门关键信息基础设施存在的安全漏洞;在国防工业领域,美国在年度《国防授权法案》中均明确要求对武器系统和国防工业关键信息基础设施进行安全评估,识别存在的安全漏洞,并采取措施对漏洞进行修复。此外,美国国会的《综合拨款法案》还要求为机场、港口等关键信息基础设施的安全评估工作提供资金支持,用于漏洞识别和修复工作。
②制定严格的漏洞公开披露政策。国外对“零日”漏洞的公开披露极为重视,制定了严格的漏洞公开披露政策。2008年1月,美国首次提出建立“漏洞公平裁决程序”,以构建“零日”漏洞管控机制。2014—2016年,美国陆续发布了多个“漏洞公平裁决程序”相关文件。2017年11月,全新修订的《漏洞公平裁决政策和程序》发布,它细化了漏洞公开披露流程,公开了裁决考量因素,明确了政府的主导作用。2018年1月,美国通过《网络漏洞公开报告法案》正式明确漏洞管控的法律基础,这使漏洞管控体系得到了进一步完善。
③公私合作促进漏洞信息共享。以美国为代表的欧美国家出台了大量网络安全信息共享相关政策法规,建立了较为完备的网络安全信息共享机制,极大地促进了漏洞信息共享。此外,美国通过发布一系列操作指令,鼓励内部人员对联邦政府信息系统和关键信息基础设施进行漏洞挖掘和报告,引导他们及时解决漏洞问题。《网络安全信息共享法案》《2015年保护网络空间法案》《国家网络安全保护增强法案》等法案的出台,为公私合作开展漏洞收集、报送、共享、通报及修复等工作奠定了坚实的法律基础,有效地促进了漏洞信息共享,突出了漏洞的重要战略地位,提升了国家整体网络安全防范能力。《网络安全漏洞修复法案》要求美国国土安全部向产业界、学术界及其他机构、部门等传播和共享其安全漏洞识别与修复方案。
(2)国内文件
为贯彻落实《中华人民共和国网络安全法》(以下简称《网络安全法》),加强网络安全漏洞管理,规范网络安全漏洞报告和威胁信息发布等行为,有效应对网络安全威胁和风险,保障网络运行安全,我国在网络威胁管理方面出台了系列文件。这些文件是开展工业信息安全漏洞管理工作的基本遵循。
2019年11月20日,国家互联网信息办公室发布《网络安全威胁信息发布管理办法》(征求意见稿),对系统漏洞、网络风险等可能暴露网络脆弱性的安全威胁信息,从发布内容、发布流程、发布方法等方面对研究机构、网络安全厂商、个人研究者以及信息发布平台运营单位提出了具体要求。
2021年9月1日,工业和信息化部、国家互联网信息办公室、公安部联合印发的《网络产品安全漏洞管理规定》(以下简称《规定》)正式实施,其中明确了联合监管职责,强调有关主管部门协同配合,实现网络产品安全漏洞信息实时共享,对重大网络产品安全漏洞风险开展联合评估和处置。《规定》细化了网络产品(含硬件、软件)提供者、网络运营者以及从事网络产品安全漏洞发现、报告、修补、发布等工作的组织或个人的责任主体义务;明确了漏洞发布时间、发布细节、安全行为、程序工具、安全措施同步、安全保障、对外提供和法律规定的其他安全漏洞发布要求以及个人及组织建立的漏洞收集平台向工业和信息化部网络安全威胁和漏洞信息共享平台报送信息的管理要求。为保障网络产品、服务、系统的漏洞得到及时修补,提高网络安全防护水平,《规定》要求网络产品提供者、网络运营者及第三方及时应对漏洞问题,推动了包括工业信息安全漏洞在内的网络产品安全漏洞管理工作的制度化、规范化、法治化。
(1)国外标准
美国借助政府机构、社会组织等各方力量,持续完善、更新漏洞标准。基于相关政策标准的制定和美国国家计算机通用漏洞数据库(National Vulnerability Database,NVD)的建设,美国在漏洞管理方面已形成了完善的漏洞管理标准体系,并被全球多个国家和地区采用、借鉴。美国国家标准及技术协会(National Institute of Standards and Technology,NIST)、MITRE公司,以及事件响应与安全组织论坛(For Inspiration and Recognition of Science and Technology,FIRST)、国际标准化组织(International Standards Organization,ISO)、互联网安全中心(Center for Internet Security,CIS)等,相继推出了通用漏洞披露(Common Vulnerabilities and Exposures,CVE)、CVSS等12项标准,见表1-1。这12项标准涵盖了漏洞命名、评分、检测、管理等多个方面,其中多项标准已被国际电信联盟采纳。尤其是全球各主流漏洞库中所收录的安全漏洞都采用CVSS v2.1或CVSS v3的漏洞评分标准,依照通用缺陷枚举(Common Weakness Enumeration,CWE)标准进行漏洞成因分类,并在各自漏洞库特有编号的基础上标注CVE编号。
表1-1 美国漏洞相关标准
此外,美国还积极推动漏洞标准的广泛应用,如NIST推出安全内容自动化协议(Security Content Automation Protocol,SCAP)验证工具,用于自动测试验证厂商开发的产品是否符合SCAP的要求。基于SCAP,美国推出联邦桌面核心配置计划,为美国联邦政府所有运行Windows操作系统的计算机提供统一的安全配置方案,以增强联邦信息系统的安全能力,实现自动化安全管理,降低维护成本。
(2)国内标准
我国相继发布了《信息安全技术 网络安全漏洞标识与描述规范》(GB/T28458—2020)、《信息安全技术 网络安全漏洞管理规范》(GB/T30276—2020)、《信息安全技术 网络安全漏洞分类分级指南》(GB/T30279—2020)等国家标准,为工业信息安全漏洞全生命周期管理、漏洞分类分级等提供了指导与依据。但目前我国在漏洞评分、漏洞报告等方面还缺少国家标准。
2022年,由国家工业信息安全发展研究中心牵头制定的《工业信息安全漏洞分类分级指南》团体标准正式发布,为工业领域的软硬件产品提供者、工业信息安全漏洞收集平台在漏洞管理、技术研究等活动中的漏洞分类和分级评估提供了参考。国家或企业级工业信息安全漏洞收集平台、工业信息安全软硬件产品和工业领域软硬件产品提供者均可参考该标准进行日常漏洞管理。
在漏洞管理工作中,美国等国尤其重视关键信息基础设施领域的安全漏洞管理,通过建立信息共享工作机制,促进漏洞评估与及时修复。例如,美国工业控制系统网络应急响应小组(Industrial Control Systems-Cyber Emergency Response Team,ICS-CERT)专门负责工业控制系统安全漏洞管理工作,通过采取政企合作的模式,促进漏洞等威胁信息共享,并及时处置基于漏洞利用而引发的各类工业信息安全事件,以保护国内关键信息基础设施。
其中,在漏洞共享方面,ICS-CERT要求关键信息基础设施领域的网络安全组织与行业内的网络产品和服务提供者、科研机构、应急响应机构等共享安全漏洞信息,共同研判网络威胁态势,制定应对措施。在漏洞处置方面,ICS-CERT要求充分发挥网络产品和服务提供者熟知设备原理、通晓设备脆弱性的优势,在保护好商业秘密、维护好企业利益的前提下,鼓励网络产品和服务提供者共享漏洞处置相关信息、联合网络安全厂商共同研究漏洞处置方案等。
为提升社会各界挖掘漏洞的积极性,全球诸多政府机构、军事部门采取众测模式保障漏洞挖掘的整体质量,如美国、欧盟、新加坡等均已启动漏洞赏金计划,通过利用黑客的漏洞挖掘技术,丰富网络安全漏洞资源储备。
(1)美国
美国早在2016年就启动了多项漏洞赏金计划,数千名“白帽子”参与计划,测试美国国防部、陆军、空军等部门和军队对网络攻击的抵抗力。经过近7年的发展,美国国防部已连续启动几十次漏洞赏金计划,在漏洞挖掘方面取得了显著成效。同时,美国不断完善漏洞赏金计划,拓展信息系统漏洞挖掘范围。
(2)欧盟
欧盟长期致力于开源软件安全漏洞管理,于2017年启动了针对免费视频播放器VLC media player的漏洞赏金计划;于2018年启动了开源软件审计项目EU-FOSSA漏洞赏金计划,共赞助了14个项目。2022年1月,欧盟委员会开源计划办公室启动漏洞赏金计划,针对欧盟公共服务部门大量使用的LibreOffice、Mastodon、Odoo、CryptoPad、LeOS 5个开源项目提供漏洞挖掘奖励资金,该计划拟在漏洞赏金平台Intigriti上全年运行,奖励可高达20万欧元。
(3)新加坡
新加坡政府也高度重视漏洞赏金计划的作用。2018年,新加坡国防部悬赏查找国防部的8个重要系统的安全漏洞,计划实施期间共发现35个安全漏洞。2021年9月,新加坡政府科技局推出VRP漏洞赏金计划,该计划涵盖提供重要的数字政府服务的系统,包括Singpass和Corppass(GovTech)、会员电子服务、工作证综合系统,赏金最高可达15万美元。该计划旨在进一步加强现有的政府漏洞赏金计划和漏洞披露计划的作用。
漏洞平台建设是各国网络安全保障工作中一项极为关键的基础性和长期性工作,一般由政府部门或官方组织负责漏洞平台的建设与运营。漏洞生态建设则需要工业信息安全产业链中各方力量的共同参与。当前,工业信息安全漏洞平台与生态的建设已经成为各国政府的重点工作。
(1)ICS-CERT漏洞披露平台
美国ICS-CERT负责运营工业控制系统漏洞披露平台,协助工业控制系统供应商、工业企业等识别工控安全漏洞,制定健全的漏洞缓解策略,降低漏洞安全风险,进而改善美国的工业信息安全态势。ICS-CERT漏洞披露平台主要针对工业控制系统、智能设备、物联网等的漏洞,包含受影响设备、漏洞概述、解决方案、背景资料、其他事项 5个方面的漏洞信息。
(2)NVD漏洞管理数据平台
NVD是美国NIST计算机安全部门和信息技术实验室开发的漏洞管理数据平台,于2005年推出,旨在为美国政府提供软件的漏洞和配置信息。NVD中收录了大量工业信息安全漏洞,提供漏洞影响指标、技术评估方法、漏洞修复参考信息。NVD的漏洞披露与CVE同步,提供了对CVE中披露漏洞的持续分析,并增加了漏洞技术细节、受漏洞影响产品等信息。NVD直接与供应商、安全研究人员等合作,以提高漏洞信息质量,并使用CVSS对每个漏洞进行评估。持续的漏洞分析和评估能够帮助NVD用户了解每个漏洞的严重性,并帮助用户更好地开展漏洞处置工作。
(3)CICSVD漏洞平台
我国的国家工业信息安全发展研究中心依托工控安全应急资源库的建设资源,联合国内漏洞研究优秀技术力量共同建立了我国工业领域首个国家级的信息安全漏洞平台,即国家工业信息安全漏洞库(China national Industrial Cyber Security Vulnerability Database,CICSVD)。
CICSVD面向钢铁、有色金属、石化化工、装备工业、消费品工业、电子信息、国防军工、能源、交通、水利、市政、民用核设施等行业领域,重点关注工业硬件、工业软件等相关产品和组件的安全漏洞、补丁及解决方案的研究。通过整合安全企业、个人等多方资源,CICSVD从多渠道广泛收集工业信息安全漏洞信息,对漏洞信息进行规范化、标准化的统一审核、验证、定级、收录、处置,同时结合验证结果和处置建议,面向政府和重要信息系统部门,以及通信行业、工业、安全行业等有关单位提供通报、处置等相关服务,逐步构建标准漏洞库、补丁库等漏洞知识库体系,切实提升在工业信息安全漏洞方面的整体研究水平和风险防范能力。
工业和信息化部委托国家工业信息安全发展研究中心建设并运营 CICSVD。经过持续更新与迭代,CICSVD的技术能力持续优化,工业信息安全漏洞的共建共享范围稳步扩大,漏洞发现、上报、分析和处置的工作机制逐步深化,已收录西门子、施耐德电气、和利时、三菱、GE等全球200余家知名厂商的产品漏洞,成为我国工业领域漏洞收录最多、覆盖范围最广、最权威的国家级漏洞库之一。CICSVD注重技术积累,通过绘制行业企业漏洞画像、增强工业信息安全漏洞评估核心能力等,持续为工业信息安全漏洞预警、响应、风险排查等提供核心技术支撑。
(4)ICS-CNVD工控漏洞子库
由国家计算机网络应急技术处理协调中心运营的国家信息安全漏洞共享平台(China National Vulnerability Database,CNVD)通过号召和引导工控安全厂商、白帽子、工业企业等多方共同参与工控安全漏洞管理生态建设,上线了专门面向工业控制系统的工控漏洞子库——ICS-CNVD。截至2022年5月,ICS-CNVD累计收录了3100余个漏洞,其中高危漏洞占比超46%。ICS-CNVD对于国内工业信息安全漏洞和安全事件的发现、分析、预警,以及提升漏洞整体研究水平等提供了重要的数据支持。
工业信息安全漏洞生态建设是全面提升漏洞管理能力的重要手段。只有集合产品提供者、网络运营者及个人组织机构等全产业链上下游力量共同加强漏洞全生命周期管理,才能更好地提升工业信息安全漏洞统一管理能力。
目前,国内外纷纷通过举办与工业信息安全漏洞管理相关的培训、论坛、沙龙等活动,加强漏洞管理政策标准文件宣贯,推进工业信息安全漏洞技术研究与生态建设。例如,根据国内公开的漏洞管理相关培训及活动情况来看,CICSVD运营方已经为全国各地的网络安全机构、工业企业等搭建了交流合作平台,通过讲解相关政策标准文件、分享漏洞管理最新研究成果、共同探讨如何构建高效的漏洞库运行管理工作机制等,助力业界提升工业信息安全漏洞管理能力。
除了继续推进上述活动外,还需要围绕以下方面进一步加强漏洞生态建设。
具备政策研究能力的科研机构,需要推进安全漏洞管理标准体系建设,强化漏洞评分、报告、命名、分类分级等国家标准的研究,细化行业标准制定。
具备漏洞库运营能力的机构,则要充分发挥对漏洞平台的调动作用,以完善平台运营和管理机制为依托,以平台建设为突破口,规范工业信息安全漏洞管理工作,充分发挥网络产品提供者、网络运营者、网络安全企业、专业机构、研究人员等组织或个人的作用,共同推动漏洞及时发现、报告和有效处置,培育网络安全漏洞管理的良好生态;结合漏洞管理政策标准,明确管理要求,指导漏洞上报方、漏洞研判方、漏洞处置方根据漏洞评级,及时、有序开展漏洞跟踪、研究、修复工作,推动部署最佳防护策略。
工业领域网络产品使用者(通常为工业企业)需要落实政策法规要求,做好工业信息安全漏洞修补与处置工作。同时,可以联合产品提供者以及从事漏洞发现、收集、发布等工作的组织或个人等各类主体持续构筑漏洞生态,如通过开展漏洞验证众测活动促进漏洞发现与修补等。