剛占慧

（國家工業(yè)信息安全發(fā)展研究中心，北京 100040）

0 引言

工業(yè)互聯網安全防護事關國家安全與經濟社會發(fā)展，合理地漏洞資源管控是保障互聯網健康發(fā)展、消除工業(yè)互聯網安全威脅和隱患的重要基礎。做好工業(yè)互聯網安全風險防護及漏洞管理是和國家發(fā)展形勢、發(fā)展理念同頻共振的。我國從國家安全角度出發(fā)，對網絡安全漏洞管理進行了頂層設計和戰(zhàn)略布局[1]，確保安全保障和信息化建設同規(guī)劃、同建設、同運行。

自2018年至今，我國相繼制定與發(fā)布了《信息安全技術 網絡安全漏洞管理規(guī)范》[2]GB/T 30276-2020、《信息安全技術 網絡安全漏洞分類分級指南》[3]GB/T 30279-2020、《工業(yè)數據分類分級指南（試行）》等漏洞相關國家標準文件，為指導工業(yè)互聯網安全漏洞管理全生命周期、安全漏洞分類分級提供了參考與依據。近期，全國人大、國務院、工業(yè)和信息化部等密集出臺網絡安全相關法律法規(guī)，推動實施《關鍵信息基礎設施安全保護條例》《數據安全法》《網絡產品安全漏洞管理規(guī)定》（以下簡稱《規(guī)定》）等制度文件，為保護關鍵信息基礎設施安全、做好工業(yè)互聯網安全漏洞防護提供了可落地、可執(zhí)行、可持續(xù)的法律保障和制度規(guī)范。

為指導產業(yè)健康與良性發(fā)展，圍繞“積極防御、威脅情報、態(tài)勢感知、安全可視”的科學系統(tǒng)的安全防護體系成為必然。可以預見，未來還將會有更多關于安全漏洞管理的產業(yè)政策出臺，繼續(xù)保持對安全漏洞保護的力度，扎密安全漏洞防護欄，支撐我國網絡安全產業(yè)創(chuàng)新發(fā)展。

1 工業(yè)互聯網安全形式依然嚴峻

1.1 重點領域安全問題凸顯，國家級基礎設施頻受影響

鑒于針對工業(yè)領域的攻擊通常具有高破壞性與高回報性的潛力，且由于工業(yè)領域相關信息的高度敏感性與安全防范意識的薄弱性，使得工業(yè)領域成為攻擊者的重點目標?？v觀全球，2021年上半年的工業(yè)互聯網安全形勢略顯凄涼。

國內方面，據國家工業(yè)信息安全發(fā)展研究中心監(jiān)測數據，我國制造、交通、市政等多個重點行業(yè)存在安全風險，其中市政領域以23.5%的比例繼續(xù)占據風險最高的領域，制造業(yè)緊隨其后占17.5%。

國外方面，黑客利用遠程代碼執(zhí)行漏洞導致奧茲馬水處理設施技術流程中斷；美國輸油大動脈被攻擊致東海岸出現“油荒”[4]；全球最大肉類加工巨頭JBS食品公司遭勒索攻擊被迫中斷生產線等網絡安全攻擊事件，直接證明了對工業(yè)領域發(fā)起定向攻擊已成為黑客的重點目標，尤其是針對國家級基礎設施與大型企業(yè)發(fā)起的攻擊。

1.2 勒索滲透活動異?；钴S，供應鏈風險防范迫在眉睫

全球工業(yè)領域網絡安全風險急劇增長，影響工業(yè)流程的勒索軟件首當其沖，較2020年統(tǒng)計新增4個專門針對工業(yè)控制系統(tǒng)/運營技術的已知勒索組織[5]。據安全公司SonicWall統(tǒng)計，2021年上半年發(fā)現3.047億次勒索軟件攻擊未遂事件，同比增長151%[6]，或將成為SonicWall公司統(tǒng)計中勒索攻擊最猖獗的一年。

此外由于OT環(huán)境可見性的嚴重缺失，供應鏈的風險愈發(fā)嚴峻。7月，美國軟件供應商Kaseya多家下游托管服務提供商客戶的系統(tǒng)遭受REvil勒索軟件攻擊，導致Kaseya公司供應鏈安全生態(tài)遭破壞；9月，FBI警告稱勒索團伙正在積極發(fā)起針對食品和農業(yè)部門的攻擊和破壞活動，可直接影響到食品供應鏈。

1.3 低防護聯網設備數量激增，工業(yè)企業(yè)安全問題明顯

圖1 全球勒索軟件事件數量統(tǒng)計

工業(yè)互聯網設備種類多、數量大，關鍵設備覆蓋面不全，安全檢測認證體系尚不成熟是我國工業(yè)互聯網安全的主要問題[7]。據國家工業(yè)信息安全發(fā)展研究中心統(tǒng)計數據顯示，低防護聯網設備數量較同期有較大幅度增長，安全風險面越來越大。2021年上半年，我國各類低防護聯網設備數量總計超過520萬臺/套，環(huán)比增長4%。其中，攝像頭、車載模塊、打印機等終端設備占比超過90%。可編程邏輯控制器（PLC）、數據采集與監(jiān)視控制系統(tǒng)（SCADA）、數據傳輸單元（DTU）等工業(yè)控制系統(tǒng)數量近2.1萬臺/套。針對我國工業(yè)領域的網絡攻擊同比增幅超2倍，遭受網絡攻擊的工業(yè)企業(yè)同比增長57.2%[8]。91%的工業(yè)組織容易受到網絡攻擊，69%的外部攻擊者可從工業(yè)企業(yè)竊取敏感數據，56%的攻擊者可訪問工業(yè)控制系統(tǒng)[9]，進而造成生產關閉、設備故障、工業(yè)事故等嚴重損害。

1.4 安全漏洞形勢嚴峻，重大安全漏洞一觸即發(fā)

工業(yè)互聯網安全漏洞產品類型主要涉及工業(yè)軟件、組態(tài)軟件、數據采集與監(jiān)控系統(tǒng)（SCADA）、可編程邏輯控制器（PLC）等。安全漏洞的披露已成為安全風險控制的重要環(huán)節(jié)，對降低風險和分化風險具有至關重要的作用[10]。2021年上半年，國家工業(yè)信息安全漏洞庫（CICSVD）新增通用軟硬件漏洞數量達731個，高危及以上漏洞占比63%，同比增長5%。主要涉及德國西門子、法國施耐德、研華科技、美國羅克韋爾、美國思科等125家國內外廠商產品。鑒于漏洞資源的特殊性，即使十年前的漏洞仍可成為攻擊者的利用重點，尤其是對生產運行穩(wěn)定性高的工業(yè)領域，漏洞修復無計劃、補丁更新不及時、重產能弱安全的情況短期內仍將存在，一旦漏洞被公開或泄露，若未及時修復，將導致被不法分子利用從而造成信息竊取、后門植入、數據篡改等惡意操作。2021年9月，臺灣摩莎公司生產的鐵路設備及產品被曝受到超過50個漏洞的影響，這些漏洞是在過去十年中發(fā)現的第三方組件漏洞，其中部分系列設備已經停產，若漏洞未得到及時修補，將直接危及鐵路軌道正常運轉。

2 國內外重點行業(yè)領域漏洞管理現狀

2.1 美國關基領域逐步形成較為全面的漏洞管理機制

為強化對關鍵信息基礎設施的漏洞評估與修復，美國不斷對漏洞挖掘、信息共享、漏洞處置等方面進行細化和延伸，專門成立了加強工業(yè)控制系統(tǒng)安全漏洞管理工作的工業(yè)控制系統(tǒng)應急響應小組，及時處置基于漏洞的各類工業(yè)信息安全攻擊事件。美國國會要求加強關鍵基礎設施領域漏洞的檢查評估和漏洞修復工作，同時提供了用于漏洞識別和修復工作的資金支持，以不斷提升完善防護能力。此外，美國在關鍵信息基礎設施網絡安全方面還采取“政企合作”的保護模式[11]，主要體現在信息共享、應急演練與事件處置等方面。

2.2 美、歐、俄、新等國采用眾測活動保障漏洞挖掘質量

國外發(fā)達國家在工業(yè)互聯網安全領域已形成較為全面的漏洞管理體系，同時為提升社會各界漏洞挖掘的積極性與漏洞資源的自主可控性，國外主要國家的政府、軍事部門紛紛出臺“漏洞賞金計劃”，采取眾測模式保障漏洞挖掘的整體質量。美軍方是開展網絡漏洞眾測活動最早的部門，先后開展了“黑掉五角大樓”“黑掉美國陸軍”“黑掉美國空軍”等活動，收集并修復了大量有價值的漏洞，提高了網絡防御能力。例如，2018年12月美空軍在三天之內就發(fā)現并修復了120多個安全漏洞。歐盟于2019年初啟動了針對14個免費開源軟件審計項目FOSSA的漏洞賞金計劃。俄羅斯政府于2018年1月批準了一項信息安全計劃，該項計劃共撥付8億盧布資金，持續(xù)到2020年年底，任何人均可參與查找國家IT系統(tǒng)漏洞。新加坡政府在2021年9月推出高達15萬美元的漏洞賞金計劃，以保護政府的信息通信技術和智能系統(tǒng)。

2.3 我國工業(yè)互聯網安全漏洞管理現狀

我國已初步建立數據安全管理機制，在管理體系、監(jiān)督管控、平臺建設、管理運營等方面取得了一定成效，2021年安全漏洞管理上層設計、平臺建設提速。一方面，漏洞管理上層設計初步確立。7月，由工業(yè)和信息化部、國家互聯網信息辦公室、公安部聯合發(fā)布《規(guī)定》，為推動安全漏洞管理工作的制度化、規(guī)范化、法制化，維護國家網絡安全，保護網絡產品和重要網絡系統(tǒng)的安全穩(wěn)定運行提供重要依據與規(guī)范。另一方面，工業(yè)互聯網安全漏洞管理體系日臻完善。為落實《規(guī)定》有關要求，工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺于9月1日正式上線運行，形成了以CICSVD技術平臺為代表的工業(yè)互聯網安全漏洞管理體系，為實現國家級漏洞平臺高效運營和管理提供基礎保障。

3 我國工業(yè)互聯網安全漏洞管理的問題

3.1 統(tǒng)一規(guī)范的漏洞管理標準有待形成

我國在漏洞管理方面已出臺多份標準規(guī)范、規(guī)定指南，然而較國外發(fā)達國家數量仍相對較少[12]。各行業(yè)領域下的漏洞命名、分類分級獨成體系，缺乏漏洞公開、出口管理政策，不便于整體網絡安全漏洞的統(tǒng)一管理與共享，隨著《規(guī)定》的實施與國家級平臺的建設，領域漏洞的分類分級國家標準亟待出臺、應用與推廣。

3.2 漏洞專業(yè)庫建設水平參差不齊

已建成的國家級漏洞庫平臺收錄內容存在部分交叉，平臺定位不夠清晰、平臺間區(qū)分度不足、界限不夠明確，導致信息多次報送與審核。工業(yè)信息安全、車聯網安全、移動安全等專業(yè)型漏洞庫建設和推廣不足，平臺自身安全防護水平與抗攻擊能力有待進一步測試，距離高標準還存在較大差距。

3.3 漏洞挖掘和上報積極性不到位

目前我國國家級漏洞庫平臺仍主要采取證書授予、書面表揚等精神獎勵方式為主，鼓勵各方開展信息報送工作，相較國外眾測、漏洞賞金計劃、定向人才培養(yǎng)等獎勵方式而言，難以促進和吸引高價值漏洞的挖掘和上報。

4 應對措施

4.1 建立完善的網絡安全漏洞管理體系

持續(xù)加強漏洞管理政策標準頂層設計，指導、監(jiān)督開展漏洞全生命周期管理。緊密圍繞GB/T 30276-2020、GB/T 30279-2020、《規(guī)定》等政策法規(guī)，規(guī)范漏洞收集、上報、披露、分級分類、信息共享、接口規(guī)范、應用管控等管理要求。強化漏洞評分、報告、命名、分類分級等國家標準的研究，細化行業(yè)標準制定。將訪問途徑、利用復雜度、影響程度等要素納入標準制定中，支撐形成較為完善的漏洞標準體系。通過標準貫標、試點示范等方式，逐步推動相關政策要求、標準規(guī)范等在國家級、行業(yè)級、企業(yè)級漏洞庫的應用推廣和落地使用。

4.2 做好專業(yè)領域漏洞庫建設和風險防護

按照《規(guī)定》要求，充分考慮并合理發(fā)揮各漏洞專業(yè)庫的優(yōu)勢和特點，明確建設與服務邊界，完善國家級漏洞庫管理協調機制，充分整合工業(yè)互聯網安全、車聯網安全、關鍵信息基礎設施安全等具備行業(yè)特色的專業(yè)領域漏洞庫。強化漏洞收集、發(fā)布等過程的權威性，建立漏洞庫間聯動與共享機制。建立一套國家統(tǒng)籌和監(jiān)督部門、行業(yè)保護部門、運營者多級聯動的立體化協同綜合防控體系，采取異地存儲、分散下發(fā)、定期轉移等機制，強化漏洞監(jiān)測、威脅發(fā)現、資源匯聚、漏洞評估和修復，持續(xù)提升網絡產品自身及外部安全效果。

4.3 強化漏洞的評估管理和合理利用

建立網絡產品安全漏洞分類分級機制，開展產品漏洞分級評估試點，逐步形成系統(tǒng)化漏洞評估管理模式，面向不同等級和類型的安全漏洞進行針對性管理，形成安全、可用與可追溯的漏洞管理閉環(huán)。強化漏洞的安全管理和合理利用，明確對不同級別漏洞的處置原則，尤其是針對危害范圍廣、風險程度高的“零日”漏洞，要嚴格其出口管控和對外使用。深入利用工業(yè)互聯網安全資源庫，構建工業(yè)數據安全綜合治理平臺，從而實現工業(yè)數據的事前風險防范、事中主動防御、事后及時處置的綜合防御效果。

4.4 深化安全態(tài)勢感知平臺在工業(yè)領域的應用

及時跟蹤發(fā)現暴露在互聯網上的低防護聯網設備，提取在網絡層、設備層中部署發(fā)現網絡系統(tǒng)的運行背景及活動意圖，基于大數據、人工智能和機器學習等技術開展以情報驅動的監(jiān)測、分析、研判和處置，并以多角度多維度的層次化模型呈現網絡安全態(tài)勢，輔助企業(yè)決策者快速做出預判和干預，降低安全隱患，識別出各類網絡活動及異常行為意圖，從而獲得網絡安全態(tài)勢，評估工業(yè)場景下系統(tǒng)運行安全情況，更好地加固網絡安全。