您好!今天是:2025年-4月30日-星期三
工業控制系統信息安全漏洞管理思考與實踐
點擊:2414 作者:郭嫻 楊安 朱麗娜 來源:安全內參微信號 發布時間:2022-08-17 10:27:33
隨著工業領域數字化、網絡化、智能化發展加速,工業控制系統風險暴露面持續擴大,工業控制系統信息安全(以下簡稱工控安全)漏洞成為網絡安全攻擊的眾矢之的,被利用風險不斷攀升,產業各界高度關注工控安全漏洞管理工作。本文圍繞工控安全漏洞的概念、分類及特點,立足我國產業發展實際,分析了法律政策環境,結合國家工業信息安全漏洞庫運營實踐,提出加強工控安全漏洞管理的工作思考。
一、工控安全漏洞的內涵與外延
(一)工控安全漏洞是網絡安全漏洞的一種
目前國內外針對工控安全漏洞尚無確切的定義,但關于網絡安全漏洞定義已有相對成熟的研究成果。如我國發布的國家標準《信息安全技術 網絡安全漏洞標識與描述規范》(GB/T 28458-2020)將網絡安全漏洞定義為“網絡產品和服務在需求分析、設計、實現、配置、測試、運行、維護等過程中,無意或有意產生的、有可能被利用的缺陷或薄弱點”。英國國家網絡安全中心(NCSC)指出“漏洞是信息系統中的弱點,攻擊者可以利用該漏洞進行成功的攻擊。它們可能通過缺陷、功能或用戶錯誤而產生”。美國國家標準與技術研究院(NIST)發布的 NISTIR 7298《關鍵信息安全術語匯編》中,定義的漏洞是“信息系統、系統安全程序、內部控制或實施中可能被威脅源利用的弱點”。美國 NIST SP 800-82《工業控制系統安全指南》強調工控安全漏洞是網絡安全漏洞的細分項,“漏洞是指信息系統(包括 ICS)、系統安全程序、內部控制或實施中可能被威脅源利用或觸發的弱點”。基于對上述定義的共性特征分析,可進一步明確工控安全漏洞可能出現在 ICS 的全生命周期,且具有可利用性,一旦被惡意利用或將嚴重威脅 ICS 安全。
各國對于工控安全漏洞范圍的界定不盡相同。美國將組織內部控制策略和程序脆弱性納入漏洞范疇,如缺乏安全培訓、未制定 ICS 操作指南、缺少安全審計等;我國通常將其歸為安全管理的薄弱環節而非漏洞,僅將有關 ICS 的軟件、硬件、協議等的缺陷或薄弱點視為工控安全漏洞。
總體來看,工控安全漏洞即工業控制系統(以下簡稱 ICS)存在的信息安全漏洞,屬于網絡安全漏洞(又稱漏洞/脆弱性)的特定類型。
(二)工控安全漏洞分類方法多樣
漏洞分類是漏洞研究的基礎。工控安全漏洞具有多方面的屬性,可從不同角度對其進行分類。
一是基于工控安全漏洞存在的位置進行分類。系統(硬件、固件和軟件)漏洞可細分為 5 類:架構和設計漏洞(如系統設計缺陷)、配置和維護漏洞(如系統配置錯誤)、物理漏洞(如設備故障)、軟件開發漏洞(如數據驗證不當)、通信和網絡漏洞(如不安全的協議、防火墻配置錯誤)。
二是基于工控安全漏洞產生的原因進行分類。可以劃分為代碼問題、處理邏輯錯誤、弱口令、拒絕服務等多種類型。
三是基于工控安全漏洞影響的產品進行分類。可劃分為工業生產控制設備漏洞、工業網絡通信設備漏洞、工業控制系統協議漏洞、工業控制軟件系統漏洞、工業生產信息系統漏洞、工業網絡安全設備漏洞等 6 類。
(三)工控安全漏洞特性
一是系統固有漏洞多。傳統 ICS 運營在封閉的環境中,設計時側重功能性、可靠性而非安全性,基本不具備防范各類網絡攻擊的能力。在互聯互通的新應用場景下,ICS 存在大量天然的安全缺陷或漏洞,且多為可造成遠程攻擊、越權執行的高危級別。
二是漏洞修復難度大。考慮到開機調試成本、系統運行成本、系統穩定性等因素,ICS 通常處于長時間不間斷運行狀態,無法高頻次開展補丁安裝、漏洞修補等工作。此外,ICS運行的操作系統版本老舊,存在漏洞補丁兼容性差等問題,大量工控安全漏洞長期存在于工業生產環境中。
三是漏洞利用危害大。目前,漏洞利用已經成為不法分子發動網絡攻擊的主要方式。ICS 作為關鍵信息基礎設施的重要組成部分,一旦工控安全漏洞被惡意利用,不僅可能造成工業生產中斷,還可能危害國家安全、影響國計民生。
二、工控安全漏洞管理現狀
面對日益嚴峻的漏洞形勢,近年來我國出臺了一系列法律法規文件,明確了漏洞管理的法律基礎、組織架構和工作流程。
(一)工控安全漏洞管理法律基礎不斷夯實
《網絡安全法》為工控安全漏洞管理奠定了法治基礎。《網絡安全法》是我國第一部全面規范網絡空間安全管理方面問題的基礎性法律,其中第三、四、六章圍繞網絡產品的標準制定、漏洞管理、安全審查等對網絡產品提供者、運營者等主體的法律責任進行了描述。
《關鍵信息基礎設施安全保護條例》為針對關鍵信息基礎設施合規開展工控安全漏洞探測等提供了重要法治保障。《條例》建立了關鍵信息基礎設施漏洞探測、滲透性測試活動的批準機制,明確未經批準或授權,任何個人和組織不得對關鍵信息基礎設施實施上述活動,并專門規定了相應罰則。
《網絡產品安全漏洞管理規定》(以下簡稱《規定》)推動了包括工控安全漏洞在內的網絡產品安全漏洞管理工作制度化、規范化、法治化。《規定》是《網絡安全法》中漏洞管理具體條款的細化落實,規范了漏洞發現、報告、修補和發布等行為,鼓勵各類主體發揮技術和機制優勢合規地開展漏洞發現、收集、發布等工作,有助于提高相關主體漏洞管理水平。
(二)工控安全漏洞管理組織架構完善健全
《規定》細化了行業主管部門的漏洞管理職責分工,明確了網絡產品提供者、網絡運營者以及從事漏洞發現、收集、發布等活動的組織或個人等三類責任主體安全義務,進一步健全完善了漏洞管理組織架構。
行業主管部門。在漏洞監督管理方面,國家互聯網信息辦公室負責網絡產品安全漏洞管理的統籌協調;工業和信息化部(以下簡稱工信部)負責網絡產品安全漏洞的綜合治理,承擔電信和互聯網行業網絡產品安全漏洞的監督管理;公安部依法打擊利用網絡產品安全漏洞實施的違法犯罪活動。三部委實時共享漏洞信息,共同評估和處理重大安全漏洞,同步備案的漏洞收集平臺。
網絡產品提供者和網絡運營者。在工控安全漏洞管理體系中,主要包括工控產品提供者、工控安全廠商和工控產品運營者等,其主要職責為修復自身 ICS 產品的安全漏洞,從源頭消除漏洞風險,防范惡意利用,避免安全事件發生。
從事網絡產品安全漏洞發現、收集、發布等活動的組織或者個人。《規定》要求漏洞收集平臺需向工業和信息化部備案,并鼓勵發現安全漏洞的組織或者個人向工信部網絡安全威脅和漏洞信息共享平臺等報送信息。通過將相關組織和個人納入漏洞管理組織架構,促進其在合法合規的條件下發揮更大的價值。
(三)工控安全漏洞管理工作流程更加規范
《規定》全面考慮各方主體,明確了漏洞管理不同環節的合規要求,進一步規范了包括工控安全漏洞在內的漏洞管理工作流程。
漏洞發現方面,要求網絡產品提供者和網絡運營者建立健全漏洞信息接收渠道并保持暢通,并對漏洞信息接收日志留存時間做出明確規定。
漏洞報告方面,要求網絡產品提供者發現或獲知所提供的網絡產品存在漏洞后,立即采取措施并組織對漏洞進行驗證,評估漏洞影響,在 2日內向工信部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息;對屬于其上游產品或者組件存在的漏洞,要求立即通知相關產品提供者。
漏洞修補方面,要求網絡產品提供者及時修補漏洞,將漏洞風險及修補方式告知可能受影響的產品用戶,并提供必要的技術支持;要求網絡運營者及時驗證發現或獲知的漏洞并完成修補。
漏洞發布方面,規定了漏洞發布時間要求、漏洞細節發布要求、利用漏洞的安全行為要求、漏洞利用程序工具發布要求、安全措施同步要求、重大活動期間漏洞發布要求、漏洞信息對外提供要求等。
三、工控安全漏洞管理實踐
為落實《規定》有關要求,工信部建設了網絡安全威脅和漏洞信息共享平臺。該平臺采用“1 總庫 +N 專業庫”的運營模式,“N 專業庫”之一為工業控制產品安全漏洞專業庫,又稱國家工業信息安全漏洞庫(CICSVD),由國家工業信息安全發展研究中心負責運營。CICSVD 目前收錄了德國西門子、法國施耐德電氣、研華科技等 200 余家國內外工控品牌產品漏洞,涉及緩沖區錯誤、輸入驗證錯誤、權限許可和訪問控制問題等 34 種漏洞成因,在支撐開展漏洞處置、風險預警等方面發揮了重要作用。
(一)工控安全漏洞收錄范圍
CICSVD 重點收錄鋼鐵、有色、石化化工、裝備工業、消費品工業、電子信息、國防軍工、能源、交通、水利、市政、民用核設施等行業的工業生產控制設備、工業網絡通信設備、工業主機設備和軟件、工業生產信息系統、工業網絡安全設備等相關產品和組件的安全漏洞及其解決方案,助力相關領域的工控產品提供者和工控產品運營者開展漏洞修補與應急處置工作。
(二)工控安全漏洞全生命周期管理
實施漏洞管理的關鍵是圍繞漏洞生命周期進行全流程管理。目前 CICSVD 主要從漏洞研判與收錄、漏洞通報與處置兩大階段進行工控安全漏洞閉環管理。
1. 漏洞研判與收錄
漏洞研判與收錄階段通過廣泛接收漏洞,并開展精準分析研判,為工控產品提供者修補漏洞提供技術支撐。具體包括:(1)在漏洞接收階段,接收漏洞概要、受影響產品、補丁等漏洞信息;(2)在漏洞審核階段,去除惡意報送、重復報送等無效信息;(3)在漏洞復現階段,核實漏洞信息的真實性;(4)在漏洞研判階段,主要研判漏洞的危害等級、利用難度、受影響產品在國內的分布情況、應用行業等;(5)在漏洞收錄階段,將通過研判的漏洞信息收錄入庫。
2. 漏洞通報與處置
漏洞通報與處置階段通過督促工控產品提供者或工控產品運營者及時開展漏洞修補與處置,有效消減漏洞風險。具體包括:(1)在漏洞通報階段,依據《規定》等法律法規,向工控產品提供者或運營者通報漏洞信息,督促其對未發布補丁或解決方案的漏洞制定合理有效的修補計劃;(2)在修補計劃審核階段,審核修補計劃的可行性、科學性,督促工控產品提供者或運營者及時調整修補計劃;(3)在漏洞修補階段,督促工控產品提供者或運營者根據修補計劃立即開展漏洞修補工作,并及時反饋漏洞修補結果。同時,CICSVD推出安全防護和應急響應等技術服務,支撐開展漏洞修補。
(三)多方共建工控安全漏洞生態
工控安全漏洞管理工作離不開政府部門、漏洞庫運營團隊、工控產品提供者、工控安全廠商、工控產品運營者、安全研究人員等組織和個人的共同參與。為充分凝聚工控安全產業界上下游力量,推動形成工控安全漏洞管理合力,有效防范漏洞風險,CICSVD 著力構建多方參與、協同共治的漏洞生態體系,目前已取得一定成效。
利用支撐團隊力量,不斷提升工控安全漏洞研究能力。為推動工控安全漏洞及時發現、報告和有效處置,CICSVD 積極發揮橋梁紐帶作用,通過遴選支撐團隊,引導工控安全廠商、工控產品提供者、工控產品運營者、研究機構、高校等共同參與漏洞庫建設,持續壯大漏洞挖掘、風險研判、應急處置等技術力量。
發揮團體標準作用,促進行業規范工控安全漏洞管理。針對當前工控安全漏洞管理標準缺乏的問題,匯聚多方共同推進相關標準研制工作,著力提升漏洞管理水平。如編制形成了《工業信息安全漏洞分類分級指南(草案)》團體標準,助力行業企業精準識別漏洞類型、評估漏洞危害等級,制定合理有效的工控安全漏洞修復方案等。
建立正向激勵機制,推動漏洞報送數量與質量雙提升。綜合運用頒發原創漏洞證書、建立支撐團隊貢獻積分制度、共享漏洞信息、頒發榮譽證書等精神激勵、榮譽激勵手段,吸引產學研用各方力量積極參與工控安全漏洞信息報送與共享工作、提高報送漏洞信息的準確性與完整性、加大高價值漏洞信息報送力度。
四、工控安全漏洞管理的思考
我國在工控安全漏洞監督管控、管理運營等方面已經取得了積極成效。但在工業數字化轉型伴隨著 ICS 暴露風險擴大、攻擊技術加速迭代升級造成漏洞利用風險更高等趨勢下,工控安全漏洞因其特殊性,漏洞管理仍面臨著系列挑戰。對此,建議重點圍繞以下三個方面加強工控安全漏洞管理,提高關鍵信息基礎設施風險防范能力,保障國家網絡安全。
(一)建立健全漏洞管理政策標準體系
加快出臺漏洞信息通報實施辦法等政策文件,理順工控安全漏洞通報機制,督促工控產品提供者及時修補漏洞并指導支持產品用戶加強風險防控。持續強化標準引領作用,發揮政府、行業組織、研究機構等力量,推進工控安全漏洞分類分級、應急響應等國家標準的研究制定,指導各方根據漏洞評估結果優先級,有序推進漏洞及時修補,部署最佳防護策略,提高漏洞修復及應急處置效率。開展工控安全漏洞分類分級評估試點,加強各級漏洞管理的針對性,探索推行高危、超危漏洞限期修復,有力改善漏洞態勢。
(二)加強工控安全漏洞風險識別監測
一方面,針對企業 ICS 資產繁多、普遍存在大量漏洞未修補或難以修補的現象,積極發揮工控安全態勢感知平臺主動防御功效,通過主動監測、被動誘捕、流量分析等手段,識別聯網 ICS 資產設備,開展漏洞關聯分析,實時監測漏洞利用情況,及時預警安全威脅,提升漏洞風險管理能力。另一方面,基于當前我國工控安全漏洞識別效率不高的現狀,探索推動工控安全漏洞合規合理使用,支撐開展漏洞檢測驗證工具研發,提高已知漏洞的識別范圍、識別精度及效率;支撐構建漏洞挖掘模型,結合不同 ICS 產品漏洞觸發條件等,研發自動化漏洞挖掘工具,提高對各類 ICS 設備未知漏洞、后門類漏洞、鑒權繞過邏輯漏洞等的識別能力。
(三)加快培育工控安全漏洞管理生態
一方面,建立健全漏洞獎勵機制,通過頒發榮譽證書、公開貢獻排名、給予專項支持、推出懸賞計劃、舉辦攻防大賽等,鼓勵科研機構、行業企業、安全研究人員等開展合規的工控安全漏洞挖掘、驗證、報送、修復等工作,凝聚政產學研用各方力量,共同打造工控安全漏洞管理良好生態。另一方面,積極發揮國家工業信息安全漏洞庫等國家級漏洞專業庫作用,持續健全漏洞庫管理運營機制,搭建工控安全漏洞管理與交流平臺,打通工控安全產業鏈上下游,促進安全研究人員、工控產品提供者、工業企業等的溝通協調,通過信息共享、交流研討、人員培訓、技術沙龍等,共同筑牢漏洞管理防線。(本文刊登于《中國信息安全》雜志2022年第6期)
文│國家工業信息安全發展研究中心監測應急所 郭嫻 楊安 朱麗娜;轉自安全內參微信號
責任編輯:向太陽
特別申明:
1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學習參考;
2、本站屬于非營利性網站,如涉及版權和名譽問題,請及時與本站聯系,我們將及時做相應處理;
3、歡迎各位網友光臨閱覽,文明上網,依法守規,IP可查。
作者 相關信息
內容 相關信息
? 昆侖專題 ?
? 高端精神 ?
? 新征程 新任務 新前景 ?
? 習近平治國理政 理論與實踐 ?
? 我為中國夢獻一策 ?
? 國資國企改革 ?
? 雄安新區建設 ?
? 黨要管黨 從嚴治黨 ?
熱點排行
建言點贊
圖片新聞
