劉傳水，于振寧，劉晶晶，孫志剛，魏 婷，胡 濤

（渤海石油裝備華油鋼管有限公司，河北 青縣 062658）

0前言

隨著大數(shù)據(jù)、云計算、人工智能為代表的新一代信息技術(shù)蓬勃發(fā)展，現(xiàn)有的螺旋焊管生產(chǎn)模式正在加速向智能制造發(fā)展。智能制造是通過新一代信息技術(shù)、自動化技術(shù)、工業(yè)軟件及現(xiàn)代管理思想在制造企業(yè)全領(lǐng)域、全流程的系統(tǒng)應(yīng)用而產(chǎn)生的一種全新的生產(chǎn)方式，它要求在生產(chǎn)者與客戶、生產(chǎn)者與供應(yīng)商之間，以及企業(yè)內(nèi)部設(shè)備層、控制層、管理層之間進行海量實時跨地域跨網(wǎng)絡(luò)的數(shù)據(jù)交換與處理。

與此同時，網(wǎng)絡(luò)空間已經(jīng)成為繼“陸、海、空、天”之后的第五大戰(zhàn)略空間，是影響國家安全、社會穩(wěn)定、經(jīng)濟發(fā)展和文化傳播的關(guān)鍵因素。 “沒有網(wǎng)絡(luò)安全就沒有國家安全”，而網(wǎng)絡(luò)安全本質(zhì)是人與人之間的對抗，以近年持續(xù)開展的實網(wǎng)演習(xí)為代表，網(wǎng)絡(luò)空間攻防對抗態(tài)勢不斷升級，新時代的網(wǎng)絡(luò)安全已經(jīng)由過去的合規(guī)驅(qū)動逐步走向風(fēng)險驅(qū)動和對抗驅(qū)動，傳統(tǒng)的安全理念和防御手段越來越難以滿足智能制造發(fā)展需要。

信息安全管理人員要適應(yīng)對抗新常態(tài)，必須以攻擊者的角度自下而上重新看待自身所管理的網(wǎng)絡(luò)世界，在這個角度上所見到的不再是清晰有序的ERP、MES等信息系統(tǒng)或其集成，而首先是可到達的IP、IP上開放的端口以及這些端口上所運行的服務(wù)組成的集合。攻擊者通過各種方法，利用硬件、軟件、協(xié)議或系統(tǒng)安全漏洞，在網(wǎng)絡(luò)環(huán)境中繞過現(xiàn)有的安全防護措施，在未授權(quán)的情況下訪問或破壞系統(tǒng)。因此，能否快速有效的對安全漏洞進行管理，從而增加攻擊者利用漏洞的難度，是在網(wǎng)絡(luò)安全對抗中取勝的關(guān)鍵。

1 安全漏洞變化趨勢

國家信息安全漏洞共享平臺（CNVD）的統(tǒng)計數(shù)據(jù)顯示，2019年全年公布的漏洞總數(shù)為16 107個，其中僅高危漏洞就高達4 834個，但除一線互聯(lián)網(wǎng)公司和安全意識領(lǐng)先的部分組織外，絕大部分企業(yè)和政府機構(gòu)都無法快速準(zhǔn)確進行漏洞的自查。2019年全年漏洞趨勢如圖1所示。

圖1 2019全年信息安全漏洞數(shù)量統(tǒng)計結(jié)果

具體到工業(yè)網(wǎng)絡(luò)而言，美國國家通用漏洞數(shù)據(jù)庫在2020年上半年公開了涉及53個廠商產(chǎn)品的365個工業(yè)控制系統(tǒng)安全漏洞，較2019年同比增長了10.3%，其中75%的漏洞被通用漏洞評分系統(tǒng) （CVSS）評級為嚴(yán)重和高風(fēng)險級別。2020年美國國家通用漏洞數(shù)據(jù)庫發(fā)布漏洞的CVSS嚴(yán)重性評級如圖2所示。

圖2 美國國家通用漏洞數(shù)據(jù)庫發(fā)布漏洞的CVSS嚴(yán)重性評級統(tǒng)計結(jié)果

其中臺灣Moxa科技股份有限公司產(chǎn)品漏洞數(shù)量最多，達到了39個，緊隨其后的是艾波比集團公司（ABB）、西門子股份公司（Siemens）、萬可公司 （Wago）和施耐德電氣 （Schneider Electric）。這365個漏洞中有70%可以通過網(wǎng)絡(luò)遠程利用進行攻擊，尤其是新冠疫情期間，工作人員居家辦公，通過互聯(lián)網(wǎng)遠程連接進行業(yè)務(wù)運營和運維管理，帶來了更高的安全風(fēng)險。同期通過本地進行漏洞利用的攻擊比重從2019年上半年的13.9%上升到了2020年上半年的22.5%，網(wǎng)絡(luò)釣魚等社會工程學(xué)攻擊成為了主要的惡意攻擊方式。

更需要重視的是，在美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組（ICS-CERT）2020年上半年發(fā)布的通報預(yù)警中，能源、關(guān)鍵制造、供水和廢水處理等關(guān)鍵基礎(chǔ)設(shè)施受到的漏洞影響最大。其中關(guān)鍵制造和能源行業(yè)的漏洞數(shù)量分別同比增長了87.3%和58.9%。

2 安全攻防的難點與痛點

根據(jù)國家相關(guān)法律法規(guī)、中石油集團信息安全相關(guān)要求，結(jié)合生產(chǎn)業(yè)務(wù)開展的實際需要，華油鋼管有限公司多年來持續(xù)開展信息安全保障體系建設(shè)并且取得了不錯的成績。但受可支配的資源限制，從安全攻防的角度來看仍存在不足，主要體現(xiàn)在以下方面。

（1）信息資產(chǎn)管理的時效性問題。由于智能制造自身的特點，整個廠區(qū)內(nèi)有線及無線網(wǎng)絡(luò)全面覆蓋，各類手持終端及物聯(lián)網(wǎng)設(shè)備類型多樣、數(shù)量龐大。從管理區(qū)域上來說，是從原有的配線架、信息點管理延伸到整個廠區(qū)的管理，考慮跳板攻擊乃至無人機抵近WiFi中繼可能性，管理區(qū)域邊界甚至延伸到非本單位可控的地點。從管理對象上來說，是從原有的服務(wù)器、PC及工控機延伸到涵蓋各類手持智能設(shè)備、物聯(lián)網(wǎng)設(shè)備。從管理的顆粒度來說，是從固定資產(chǎn)臺賬管理延伸到信息資產(chǎn)的管理，需要管理并展現(xiàn)到IP、端口及協(xié)議或應(yīng)用服務(wù)版本。在這些轉(zhuǎn)變下，網(wǎng)絡(luò)準(zhǔn)入管理不能像傳統(tǒng)方式一樣一刀切，在邊界不完全可控的情況下，網(wǎng)絡(luò)安全管理人員迫切需要能夠迅速發(fā)現(xiàn)并有效管理信息資產(chǎn)的技術(shù)手段。

（2）應(yīng)用更新上線前的安全檢測問題。根據(jù)網(wǎng)絡(luò)安全等級保護2.0版本的相關(guān)制度，信息系統(tǒng)的應(yīng)用安全本就是非常重要且不易實現(xiàn)的部分。然而智能制造不是一個具體的信息系統(tǒng)，而是企業(yè)ERP、MES、數(shù)字倉庫等多個信息系統(tǒng)與網(wǎng)絡(luò)的整體集成。任何一個信息系統(tǒng)狀態(tài)的改變，都會對整體產(chǎn)生一定的影響。正因為此，在每個信息系統(tǒng)上線或者重要版本更新的時候，網(wǎng)絡(luò)安全管理人員不僅應(yīng)嚴(yán)格按照合規(guī)標(biāo)準(zhǔn)進行應(yīng)用安全的檢查，還應(yīng)該請專業(yè)安全服務(wù)人員采用攻擊者視角，以滲透測試的方式檢查該系統(tǒng)本身及關(guān)聯(lián)系統(tǒng)的安全性。如果缺少專業(yè)安全服務(wù)的介入，且網(wǎng)絡(luò)安全管理人員的技術(shù)能力與精力又不足，就難以準(zhǔn)確的評估上線信息系統(tǒng)的安全狀態(tài)，無法掌握信息系統(tǒng)中存在哪些安全漏洞，以及這些漏洞在什么條件下會如何被利用，就無法排除生產(chǎn)應(yīng)用過程中的安全隱患。

（3）安全漏洞的管理與修復(fù)問題。經(jīng)由漏洞掃描工具，上線前的滲透測試等方式，可以了解現(xiàn)有信息系統(tǒng)的安全漏洞情況。但是安全漏洞的存在并不是一成不變的，幾乎每天都會有新的漏洞被發(fā)現(xiàn)、公開，也會有漏洞被修補。對于網(wǎng)絡(luò)安全管理人員來說，最大的困難在于如何準(zhǔn)確地獲知漏洞的變化情況，并從風(fēng)險角度去評估漏洞重要性，從而及時、準(zhǔn)確地做出響應(yīng)。在我國，中國信息安全測評中心負責(zé)建設(shè)的國家級信息安全漏洞數(shù)據(jù)管理平臺CNNVD可以免費提供最權(quán)威的安全漏洞預(yù)警信息，但將眾多漏洞預(yù)警信息和信息資產(chǎn)進行結(jié)合匹配及風(fēng)險評估，是一件專業(yè)且繁重的工作。同時，漏洞的修復(fù)需要信息系統(tǒng)的開發(fā)商、系統(tǒng)集成商等人員共同完成測試，確認修復(fù)效果及對相關(guān)功能的影響，才可能在生產(chǎn)環(huán)境中進行修復(fù)。因此，想要做好安全漏洞的管理，僅靠有限的人力難以完成每個漏洞從發(fā)現(xiàn)到評估風(fēng)險，再根據(jù)風(fēng)險程度決定是否修復(fù)，直到確認漏洞修復(fù)成功，急需技術(shù)手段與工具的有力支撐。

3 漏洞管理探索

為解決上述難點與痛點，筆者對國際與國內(nèi)信息安全戰(zhàn)略與技術(shù)發(fā)展趨勢進行了對比分析。在戰(zhàn)略層面，隨著網(wǎng)絡(luò)對抗愈演愈烈，漏洞成為彰顯國家力量的戰(zhàn)略資源，哪個國家掌握的安全漏洞更多、漏洞信息更準(zhǔn)確、利用漏洞更巧妙，在網(wǎng)絡(luò)戰(zhàn)中就一定會占據(jù)更大的優(yōu)勢。因此網(wǎng)絡(luò)安全發(fā)展到現(xiàn)在，就是在由過去的合規(guī)驅(qū)動逐步轉(zhuǎn)向?qū)跪?qū)動，漏洞管理由簡單的掃描轉(zhuǎn)向基于風(fēng)險的精細管理。結(jié)合華油鋼管有限公司的實際情況，早期的漏洞管理僅僅是基本的使用工具，掃描發(fā)現(xiàn)漏洞；隨著等級保護等網(wǎng)絡(luò)安全基本制度的推進，漏洞管理能力逐步發(fā)展到合規(guī)驅(qū)動的狀態(tài)；未來將會逐步向基于風(fēng)險的精細化漏洞管理演進。

就技術(shù)發(fā)展趨勢而言，國際著名的信息技術(shù)研究與咨詢分析機構(gòu)Gartner將 “Risk-Based Vulnerability Management（基于風(fēng)險的漏洞管理）”列入2020年十大安全項目。Gartner認為安全漏洞的補丁重要性是不同的，應(yīng)該采用基于風(fēng)險的方法來管理補丁程序，重點關(guān)注具有較高風(fēng)險的系統(tǒng)和漏洞。Gartner提出的漏洞管理指導(dǎo)框架強調(diào)了資產(chǎn)識別、優(yōu)先級評估、度量與優(yōu)化等內(nèi)容，形成一個全生命周期的安全漏洞閉環(huán)管理過程，管理流程如圖3所示。

圖3 安全漏洞管理流程圖

通過學(xué)習(xí)和研究，筆者認為上述理論對于解決企業(yè)的實際需求具有重要指導(dǎo)作用。未來應(yīng)該遵循基于風(fēng)險的漏洞管理理念，開展安全漏洞管理平臺的建設(shè)工作。該平臺應(yīng)能夠分別從資產(chǎn)、風(fēng)險評估、優(yōu)先級、修復(fù)、持續(xù)改進與優(yōu)化五大維度開展管理，同時能夠第一時間獲取漏洞情報和預(yù)警信息，并精準(zhǔn)定位到企業(yè)內(nèi)部受影響資產(chǎn)，解決作為信息化部門反而沒有信息化工具支撐工作開展的尷尬局面。

4 網(wǎng)絡(luò)安全管理思考

4.1 資產(chǎn)信息管理

建立完整且動態(tài)的資產(chǎn)臺賬是一切安全建設(shè)的基礎(chǔ)，理想狀態(tài)應(yīng)基于指紋信息定期采用主被動結(jié)合的檢測方式獲取資產(chǎn)的端口、組件與版本、操作系統(tǒng)和設(shè)備類型等信息，從而快速準(zhǔn)確地繪制網(wǎng)絡(luò)資產(chǎn)暴露面，并通過周期性比對及人工確認的方式，構(gòu)建一套完整的動態(tài)資產(chǎn)庫。從而消除隱匿資產(chǎn)和老化資產(chǎn)帶來的安全隱患，徹底解決資產(chǎn)管理的難題。建立完整的資產(chǎn)臺賬需要通過對端口、組件版本等信息的動態(tài)獲取，實現(xiàn)對信息資產(chǎn)的全面清點、資產(chǎn)與業(yè)務(wù)的關(guān)聯(lián)匹配以及全生命周期的動態(tài)跟蹤。

資產(chǎn)數(shù)據(jù)具有較多的實體關(guān)系，傳統(tǒng)的二維表模式難以實現(xiàn)實體關(guān)系的表達，因此資產(chǎn)需要更高維度表達，知識圖譜能夠很好地詮釋資產(chǎn)的實體關(guān)系，能夠?qū)①Y產(chǎn)上下文數(shù)據(jù)、暴露面數(shù)據(jù)、脆弱性數(shù)據(jù)、威脅數(shù)據(jù)等內(nèi)容進行關(guān)聯(lián)分析，并以“圖譜”形式進行展現(xiàn)，實現(xiàn)基于實體關(guān)系的多維度分析。圖4所示為多維度資產(chǎn)信息圖譜，根據(jù)圖譜關(guān)系，可以從漏洞角度、端口服務(wù)、組件版本等多方面關(guān)聯(lián)展示當(dāng)前資產(chǎn)信息情況。

圖4 多維度資產(chǎn)信息圖譜

4.2 安全漏洞發(fā)現(xiàn)

相對于傳統(tǒng)的基于版本特征的漏洞檢測手段，基于PoC（Proof of Concept，概念驗證/原理驗證）的掃描方式更加精準(zhǔn)，其準(zhǔn)確性能夠達到99%以上，并且在掃描效率上更加突出。原因在于傳統(tǒng)漏洞檢測手段會將大量的規(guī)則逐個應(yīng)用檢測，而基于PoC的掃描方式則是定向定點，僅需10 min即可完成數(shù)千資產(chǎn)的漏洞檢測?；赑oC的檢測方式能夠極大地減少漏洞誤報率，從而優(yōu)化漏洞管理在人員和時間方面的投入成本。PoC掃描管理表如圖5所示，可以看到當(dāng)前流行的高危風(fēng)險漏洞可以支持實時風(fēng)險掃描，以快速準(zhǔn)確地識別和發(fā)現(xiàn)安全漏洞。

圖5 PoC掃描管理表

4.3 漏洞優(yōu)先級評估方式

傳統(tǒng)的漏洞優(yōu)先級大多采用CVSS評分進行評估，但這樣的評估方式過于片面，只關(guān)注漏洞本身的維度，卻忽略了資產(chǎn)的重要性。所有的漏洞只有依附于實體或非實體的資產(chǎn)才有價值，因此必須采用基于風(fēng)險的優(yōu)先級評估方法從漏洞和資產(chǎn)兩個維度去考慮問題，資產(chǎn)維度至少應(yīng)包含設(shè)備類型、設(shè)備能力、設(shè)備作用等子項評分，而威脅維度則應(yīng)包含網(wǎng)絡(luò)曝光度、資產(chǎn)暴露度、資產(chǎn)漏洞等級等子項評分。這些評分應(yīng)能夠采用深度學(xué)習(xí)模式進行動態(tài)調(diào)整，隨著時間的推移就能夠擁有更適合自己的優(yōu)先級評估方式。漏洞優(yōu)先級的評估應(yīng)從資產(chǎn)重要性評級ACR（Asset Criticality Rating）、網(wǎng)絡(luò)曝光度評分CES（Cyber Exposure Score）、漏洞優(yōu)先級評級VRP（Vulnerability Priority Rating）三方面進行。在ACR方面，資產(chǎn)的重要性表明資產(chǎn)自身的價值量，分?jǐn)?shù)越高，表明價值量越高；ACR與風(fēng)險成正比，即價值量越高，對應(yīng)的潛在風(fēng)險也會越高；在CES方面，資產(chǎn)所在網(wǎng)絡(luò)的曝光情況，越是公開的網(wǎng)絡(luò)，曝光評分越高，相應(yīng)資產(chǎn)對應(yīng)的風(fēng)險越大；VRP方面，漏洞自身評級，根據(jù)CVSS、發(fā)布天數(shù)、影響范圍等系數(shù)對漏洞進行評估，最終確定漏洞優(yōu)先級。

4.4 漏洞自動化修復(fù)

漏洞管理中最重要的是漏洞修復(fù)，漏洞的修復(fù)時長是漏洞管理的重要考核指標(biāo)之一。面對成千上萬的漏洞信息，難以通過人工方式逐一修復(fù)，自動化漏洞修復(fù)應(yīng)提供完善的補丁程序，實現(xiàn)自動化驗證、自動化修復(fù)、自動化回滾等操作，將漏洞修復(fù)的風(fēng)險降到最低，從而實現(xiàn)漏洞的批量修復(fù)。

4.5 持續(xù)改進優(yōu)化

應(yīng)將漏洞管理過程中的各項度量指標(biāo)，通過可視化方式進行統(tǒng)計分析，將修復(fù)時長、修復(fù)率、掃描頻率等各項指標(biāo)進行可視化展現(xiàn)，便于管理人員進行漏洞管理過程的持續(xù)優(yōu)化。漏洞資產(chǎn)綜合分析示例如圖6所示，資產(chǎn)通過PoC掃描驗證，完成修復(fù)，最后將漏洞風(fēng)險信息進行綜合展示。管理人員根據(jù)業(yè)務(wù)實際情況不斷進行優(yōu)化改進工作。

圖6 漏洞資產(chǎn)綜合分析展示圖

5 結(jié)束語

在當(dāng)前網(wǎng)絡(luò)安全漏洞層出不窮的形勢下，單純地通過傳統(tǒng)漏洞掃描分析已經(jīng)不能切實有效地解決企業(yè)所面臨的的安全漏洞風(fēng)險。資產(chǎn)的漏洞發(fā)現(xiàn)和修復(fù)已經(jīng)是企業(yè)信息管理必不可少的工作，甚至是至關(guān)重要的內(nèi)容。通過對抗新常態(tài)下焊管智能制造的一些網(wǎng)絡(luò)安全建設(shè)思考，應(yīng)當(dāng)清晰地了解到漏洞管理應(yīng)從資產(chǎn)的發(fā)現(xiàn)，到漏洞發(fā)現(xiàn)、風(fēng)險評估、修復(fù)驗證，到最后的持續(xù)改進優(yōu)化，形成一個全生命周期的閉環(huán)管理，支撐企業(yè)構(gòu)建完整的漏洞管理體系，精確定位高風(fēng)險資產(chǎn)，快速響應(yīng)，及時修復(fù)，保障業(yè)務(wù)系統(tǒng)安全運營。