习近平总书记提出,没有网络安全,就没有国家安全。随着云计算、大数据、人工智能等新一代信息技术与制造业的加速融合,传统网络安全威胁持续向工业领域渗透和蔓延,工业信息安全漏洞频发,工业信息安全形势日趋严峻,给我国维护网络安全和国家安全带来更大挑战。
漏洞是威胁网络安全的最主要根源,同样也是威胁工业信息安全的主要根源,成功袭击伊朗核设施的“震网”病毒就至少利用了4个零日漏洞。长期以来,美国、欧洲、日本等国家和地区高度重视安全漏洞资源储备,建立了国家级安全漏洞库。特别是美国政府还在其工业控制系统网络应急响应小组(ICS-CERT)专门建立了工控安全漏洞库,构建出一整套工控安全漏洞收集和披露机制,以维护其国家关键基础设施安全。为此,我国有必要建设自己的工业信息安全漏洞库,专门开展针对我国工业领域关键信息基础设施的安全漏洞挖掘、分析和风险防范研究,为加快提升工业信息安全保障能力夯实基础,为制造强国和网络强国战略实施牢筑“防护墙”。
一、受工业信息安全形势和工业互联网安全政策双重驱动,国家工业信息安全漏洞库亟待抓紧建设
(一)工业信息安全漏洞频发加剧工业信息安全风险,安全形势更加复杂严峻
随着工业互联网深入推进,制造业向数字化、网络化、智能化、服务化方向加速发展,在促进工业化和信息化深度融合、工业转型升级的同时,传统工业领域从封闭逐步走向开放、互联,网络安全威胁直指工业生产一线。同时,传统IT系统漏洞不断被利用攻击现实工业系统,专门针对工业控制设备及系统的安全漏洞时有曝出,工业信息安全风险急剧上升,安全形势变得更加严峻,呈现出如下三个新特点:
一是越来越多的工业控制系统及设备暴露于互联网,极易被黑客探测发现。据国家工业信息安全发展研究中心(以下简称国家工信安全中心)监测发现,全球联网工业控制系统及设备数量持续上升,近两年增幅尤其明显,使得黑客发现攻击目标的难度大大降低。
二是工控安全漏洞层出不穷,制造、能源、交通等重要领域首当其冲。据ICS-CERT统计,工控安全相关漏洞数量自2012年以来持续走高,且大量高危漏洞集中于装备制造、交通、能源、智能楼宇等重要领域,极易被黑客利用并发起攻击,严重威胁国家关键信息基础设施安全。
三是大规模、高强度工业信息安全事件频发,工业领域成为网络攻击“重灾区”。自2010年“震网”事件爆发以来,德国钢铁厂遭受高级可持续性威胁(APT)攻击、乌克兰氯气站遭VPNFilter恶意软件突袭、委内瑞拉全国大面积断电等重大事件屡屡发生,全球工业信息安全事件数量整体呈上升趋势。2018年以来,相继发生“熔断”和“幽灵”漏洞威胁工业控制系统、云服务平台及工业互联网平台安全,金雅拓Safenet软件许可服务产品漏洞对大量工业控制系统造成影响,美国天然气输气管道遭供应链攻击引发系统故障等安全事件,工业信息安全警钟长鸣,亟需建设工业信息安全漏洞库,提升工业信息安全漏洞的挖掘、分析、跟踪和处置能力。
(二)工业互联网安全保障成为当前工业信息安全工作前沿和重点,工业信息安全漏洞库建设是贯彻落实《加强工业互联网安全工作的指导意见》的重要举措
党中央和国务院高度重视工业互联网发展,习近平总书记明确提出,要深入实施工业互联网创新发展战略。《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》将安全保障与网络、平台并列成为工业互联网三大体系之一。2019年7月,为加速布局工业互联网安全体系,提升工业互联网安全保障水平,应对工业互联网发展面临的网络安全风险和挑战,工业和信息化部、应急管理部、国家能源局等十部门联合印发《加强工业互联网安全工作的指导意见》。该指导意见提出了7个方面17项重点任务,其中在建设国家工业互联网技术手段方面,提出建立工业互联网安全基础资源库,建设工业互联网安全漏洞库的任务。
近年来,在工业和信息化部的指导下,国家工信安全中心积极推进工业控制系统信息安全应急资源库建设,加强工业信息安全应急资源储备。2019年6月,在工业信息安全发展产业联盟框架下,国家工信安全中心联合国内10家工业信息安全企业发起建立国家工业信息安全漏洞库,重点开展面向工业行业领域的安全漏洞分析和风险研究工作,共同维护我国工业信息安全。总的来说,建设工业信息安全漏洞库既是在落实《加强工业互联网安全工作的指导意见》的重点工作任务,又能在一定程度上提升我国工业信息安全整体防护能力,护航两个强国战略实施。
(三)与我国其他国家级漏洞库相比,国家工业信息安全漏洞库及机制建设须将更加突出工业特性
国家工业信息安全漏洞库与国家信息安全漏洞共享平台、国家信息安全漏洞库两个国家级漏洞库相比,它们的共同之处都是发挥桥梁纽带作用,汇聚专业人才、技术和资源,遵循“共建共享”原则,建立漏洞收集、分析、处置、披露机制,提升安全威胁应对能力和风险管理水平,维护国家网络安全。它们的不同之处主要体现在三个方面:
一是研究领域不同。国家工业信息安全漏洞库主要面向原材料工业、装备工业、消费品工业、电子信息制造、国防军工、能源、交通、水利、市政、民用核设施等工业行业领域开展安全漏洞研究;另外两个国家级漏洞库主要面向公共互联网领域开展安全漏洞研究。
二是漏洞收集范围不同。国家工业信息安全漏洞库收集范围主要聚焦工业专用产品和组件的安全漏洞、补丁及解决方案,如工业生产控制设备、工业网络通信设备、工业主机设备和软件、工业生产信息系统、工业网络安全设备、物联网智能设备等;另外两个国家级漏洞库收集范围主要关注通用产品和组件的安全漏洞、补丁及解决方案,如操作系统、Web组件、中间件、应用软件、安全软件、数据库、计算机、服务器、网络设备等。
三是漏洞挖掘和复现难易程度不同。与通用产品和组件漏洞分析相比,工业专用产品和组件的漏洞挖掘和复现环境搭建难度更大、成本更高、技术要求更高。国家工业信息安全漏洞库在建设安全漏洞数据库的同时,会推动建设针对各类工业产品和组件的安全漏洞验证平台,有效支持工业信息安全漏洞分析、复现和确认。
二、美国引领世界各国建设漏洞库,相关机制和规则为我国建设工业信息安全漏洞库工作提供有益参考
(一)美国漏洞库建设处于世界领先地位,拥有成立时间最早、规模最大的漏洞库,还专门建立了工控安全漏洞库
作为互联网的创造者,美国高度重视安全漏洞收集和储备工作,漏洞研究工作起步早。早在1999年,美国国土安全部资助MITRE公司创立了CVE漏洞披露平台,该平台制定了全球认同和广泛采用的漏洞信息描述标准,统一了全球漏洞编号规则,仅仅是公开披露漏洞信息累计达到12万条左右。2005年,美国国家标准与技术研究院(NIST)开始建设国家信息安全漏洞库(NVD),整合安全企业、安全机构等各方资源,旨在为美国政府提供软硬件产品漏洞和补丁信息,同时制定了漏洞影响指标、技术评估方法、漏洞修复参考等多个标准。NVD和CVE同步披露漏洞信息,在CVE披露信息的基础上增加了漏洞技术细节、受影响产品等信息。NVD已成为各国建设国家级漏洞库的范本。值得一提的,美国ICS-CERT早在2009年就专门建设工控安全漏洞库,从2010年至今公开披露工控安全漏洞信息超过2500条。
此外,美国有关部门通过漏洞众测平台“HackerOne”实施漏洞悬赏项目。如美国国防部先后实施了“黑进五角大楼”“黑进陆军”“黑进空军”项目,一方面测试美国国防部应对网络攻击能力,同时利用民间高手挖掘其漏洞并支付赏金。
(二)欧洲、亚太地区国家紧随美国其后,纷纷建设本国国家级漏洞库,收集和披露漏洞的机制各具特点
直接转载型。欧洲计算机应急响应小组(CERT-EU)漏洞披露平台以收集其他国家漏洞库和各大产商漏洞库漏洞信息为主,并按照厂商产品类型对漏洞分类,本身不再对收集的漏洞信息进行重新编码整理,直接发布漏洞信息在各个漏洞库的相关链接。
深度加工型。俄罗斯SecurityLab漏洞信息门户网站是俄罗斯较为权威的漏洞平台,以俄语发布漏洞信息,包括漏洞技术分析以及应对措施,旨在帮助其国内用户快速了解漏洞带来的潜在攻击风险并采取适当措施,并提供漏洞分析、数据保护等服务,常常会发布漏洞相关技术分析文章、漏洞事件调查报告。该平台累计披露漏洞信息超过37000条。
完全效仿型。日本国家漏洞库(JVN)由日本国家CERT负责运营,是日本最大、最权威的漏洞披露平台。JVN的建设基本仿照美国NVD,通过日语和英语两种方式公开披露漏洞信息,累计发布漏洞公告1700余条。
三、全力打造我国工业信息安全漏洞库,夯实工业信息安全保障基础,护航两个强国战略实施
充分借鉴国内外漏洞库建设成熟经验,在工业信息安全联盟框架下,国家工信安全中心将遵循“共建共享”原则,整合国内从事工业信息安全相关产业、教育、科研、应用的机构、企业及个人力量,构建工业信息安全漏洞发现和处置生态环境,推动建设全国性、行业性、非营利性的工业信息安全漏洞收集、分析、处置、披露的平台,建立漏洞收集、分析、处置、披露机制,提升安全威胁应对能力和风险管理水平,夯实工业信息安全保障基础,护航两个强国战略实施。主要工作内容包括:
(一)建设一套技术平台
面向工业信息安全领域,组织和动员成员单位和漏洞研究者收集、分析、处置和发布工业软硬件产品和组件的漏洞信息,共同建设国家工业信息安全漏洞数据库,同时推动建设针对各类工业产品和组件的安全漏洞验证平台,有效支持工业信息安全漏洞分析和验证。
(二)建立一套工作机制
探索建立工业信息安全漏洞发现、上报、分析和处置工作机制,激励各方积极报送工业信息安全漏洞信息,协调厂商及时发布漏洞补丁,向社会公众和成员单位发布漏洞风险预警,组织开展漏洞安全应急处置工作,特别是高危以上级别漏洞风险防范或大规模漏洞利用攻击处置,提高我国工业信息安全防护整体水平。
(三)开展漏洞安全研究
组织开展漏洞安全技术和相关政策研究,开展漏洞相关重大问题研究,参与安全漏洞相关标准研制和验证,发布漏洞统计数据和深度分析研究报告,向政府有关部门提供政策建议。推动工业信息安全漏洞研究相关产品的研制、开发、评审及推广,提升我国工业信息安全保障、防范与自愈能力。
(四)提供安全服务
面向政府和重要部门、工业企业、工业软硬件产品供应商、工业互联网服务提供商等用户单位提供漏洞安全的技术支持、信息咨询、培训、取证分析、恢复等服务,帮助其提升对漏洞安全风险防范及应对能力。尝试开展我国工业信息安全漏洞悬赏计划,提升工业领域关键信息基础设施网络攻击应对能力和水平。