详情
本书围绕工业信息安全应急实践基础、应急管理技术、实训平台三个方面,重点聚焦工业信息安全漏洞管理、工业控制系统等级保护测评、工业企业数据管理能力评估、工业数据分类分级管理与防护、工业领域风险的典型应对措施等应急实践基础,以及工业信息安全检测、威胁识别、编排/自动化与响应、应急处置、加固等应急管理技术,详细阐述了如何兼顾安全管理建设与技术手段建设,做好工业信息安全应急管理与防护,并选取了典型的实训平台,分析如何开展仿真实战实训。
书名:工业信息安全应急管理技术与实践
ISBN:978-7-115-62920-3
本书由人民邮电出版社发行数字版。版权所有,侵权必究。
您购买的人民邮电出版社电子书仅供您个人使用,未经授权,不得以任何方式复制和传播本书内容。
我们愿意相信读者具有这样的良知和觉悟,与我们共同保护知识产权。
如果购买者有侵权行为,我们可能对该用户实施包括但不限于关闭该帐号等维权措施,并可能追究法律责任。
主 编 汪礼俊
副 主 编 郭 娴 师艳平 李 欣
责任编辑 杨 凌
人民邮电出版社出版发行 北京市丰台区成寿寺路11号
邮编 100164 电子邮件 315@ptpress.com.cn
网址 http://www.ptpress.com.cn
读者服务热线:(010)81055410
反盗版热线:(010)81055315
本书围绕工业信息安全应急实践基础、应急管理技术、实训平台三个方面,重点聚焦工业信息安全漏洞管理、工业控制系统等级保护测评、工业企业数据管理能力评估、工业数据分类分级管理与防护、工业领域风险的典型应对措施等应急实践基础,以及工业信息安全检测、威胁识别、编排/自动化与响应、应急处置、加固等应急管理技术,详细阐述了如何兼顾安全管理建设与技术手段建设,做好工业信息安全应急管理与防护,并选取了典型的实训平台,分析如何开展仿真实战实训。
本书可为网络安全、工业信息安全领域的从业人员、待就业人员及相关研究人员提供实用的工业信息安全应急管理实践蓝本,对于读者掌握关键应急技术、提升实战实操技能、应对常见风险事件等具有很高的参考价值。
主 编:汪礼俊
副 主 编:郭 娴 师艳平 李 欣
编 委:黄海波 朱丽娜 龙 飞 高清河 孙立立
杨佳宁 陈柯宇 张慧敏 黄 丹 刚占慧
何胜军 金 岩 赵凯丽 曹 锋 杨 杰
张晓帆 刘佳丽 鞠 远 樊佳讯 李 莹
陈大宇 曲思奇 蒋金桥 李思婵
当今世界,国际环境日趋复杂,陆、海、空、天、网络空间五位一体,全球安全局势日益严峻,网络安全的重要性越来越凸显。
俄乌冲突中,网络战不断升级,石油化工、电力等重点行业的工业控制系统成为攻击的靶心,漏洞利用、勒索软件攻击、数据擦除等攻击手段层出不穷,这充分体现出网络空间已经成为国家博弈、地区冲突的先行战场。
网络空间的竞争,归根结底是人才竞争。网络空间战略地位高、辐射范围广、技术特性强、形势变化快,该领域对人才的需求极为紧迫。工业信息安全作为网络安全的重要组成部分,是实施制造强国和网络强国战略的重要保障。工业领域因运营成本高、数据价值大、社会影响面广、防护水平低,已经成为“脚本小子”、有组织黑客等的首选攻击目标。应急管理人员承担防范并化解重大安全风险、及时应对并处置各类灾害事故的重要职责,但当前我国工业信息安全应急管理人才的储备情况与需求相比仍然差距巨大。为提高工业信息安全应急管理数字技能教育培训水平,向国家、社会、企业输送更多优质的工业信息安全应急管理人才,国家工业信息安全发展研究中心于2021年3月开办了工业信息安全应急管理工程师培训班,持续提供聚焦关键技能、内容与时俱进、让学员“听得懂、学得会、用得上”的培训课程。为助力更多人才持续深化理论和实践学习,编者精选了培训班的教学内容,组织编写了工业信息安全应急管理教程。本教程作为系统讲解工业信息安全应急管理的综合性教程,兼顾科普性、理论性和技术性,采取由浅入深、层层递进、覆盖全面的编排方式,对工业信息安全的概念、定义与发展态势,工业信息安全应急管理的基本理论与架构等进行了系统介绍。
工业信息安全应急管理教程共包括两册。
● 第一册:《工业信息安全应急管理理论与架构》。
● 第二册:《工业信息安全应急管理技术与实践》。
本书是第二册—《工业信息安全应急管理技术与实践》,旨在为读者掌握工业信息安全关键应急技术、提升实战实操技能、应对常见风险事件等提供实践蓝本。本书共分为三篇:第一篇“应急实践基础”聚焦工业信息安全漏洞管理、工业控制系统等级保护测评、工业企业数据管理能力评估、工业数据分类分级管理与防护、工业领域风险的典型应对措施等,指导开展应急管理建设;第二篇“应急管理技术”围绕工业信息安全检测、威胁识别、编排/自动化与响应、应急处置、加固等应急管理技术,指导应急管理技术手段建设与应用;第三篇“实训平台”选取了3类典型的实训平台,分析如何开展仿真实战实训。
工业信息安全应急管理理念与实践技术具有很强的军民通用性。基于工业信息安全应急管理教程开展教育培训,既能有效提高待就业人员和就业人员的安全防御、应急响应等技能,培育适应工业领域数字化转型的工业信息安全应急管理高技能人才;还能为我国的“网络国防”提供战备力量,协助抵御外敌攻击。立足新时代需要,加快培育锻炼大量实战型、应用型、复合型工业信息安全应急管理人才意义重大,能够提供坚强的人才支撑,保护军事、工业控制系统安全,形成军事和民用工业基础设施网络安全的联防、联保、联管、联控,全面筑牢国家关键信息基础设施的安全防线。
我们坚信,通过工业信息安全应急管理教程的学习,广大读者既能成为合格的网络安全应急管理从业人员,也能成为时刻准备为国效力的“网络民兵”。
编者
2024年4月
党的二十大把握国内外发展大势,在党和国家事业发展布局中突出国家安全,以及教育、科技、人才支撑等工作,作出了推进国家安全体系和能力现代化、强化现代化建设人才支撑的重大战略部署,指出人才是第一资源,强调深入实施人才强国战略,不断塑造发展新动能新优势,为国家安全能力建设与人才培养工作指明了前进方向,提供了根本遵循。网络安全是国家安全的重要组成部分。2016年4月,习近平总书记在网络安全和信息化工作座谈会上曾深刻指出,网络空间的竞争,归根结底是人才竞争。网络安全人才是网络安全建设的核心资源,人才的数量和质量直接关系网络安全建设水平的高低与安全保障能力的强弱。建设网络强国需要一支高素质的网络安全人才队伍。
当今世界正经历百年未有之大变局,单边主义、保护主义、霸权主义、强权政治威胁上升,新一轮科技革命和产业变革加速演进,多重不稳定性、不确定性因素在虚拟的网络空间泛化叠加、错综交织,网络空间成为大国战略竞争的重要领域。我们既面临难得的历史机遇,也面临严峻复杂的国际形势和接踵而至的巨大风险挑战。工业领域涵盖大量关乎国计民生的关键信息基础设施,已成为网络空间博弈的主战场。随着数字化转型的提速,越来越多的工业控制网络与互联网连接,工业信息安全漏洞风险愈发突出,工业领域勒索病毒攻击、数据擦除攻击、供应链攻击等新型攻击手段持续迭代,攻击行为呈现隐蔽性强、潜伏期长、检测难度大、传播面广、危害性大等特征,全球范围内针对制造、能源、交通、国防工业等领域的网络攻击活动肆虐。应急管理担负着保护人民群众生命财产安全和维护社会稳定的重要使命。工业信息安全应急管理是从源头上防范化解重大安全风险、及时应对处置安全事件的重要手段,能够真正将问题解决在萌芽之时、成灾之前。加强工业信息安全应急管理人才培养,推动应急管理从事后补救向规范化、科学化的事前预防转型,已成为新形势下维护国家网络安全的迫切需要。
要想谋发展,必先聚人才。党的十八大以来,在习近平总书记关于网络强国、制造强国的重要思想和关于网络安全人才工作重要指示精神的指引下,我国的网络安全人才培养取得了积极进展。然而,我国的网络安全人才,尤其是工业信息安全人才还存在缺口数量大、实战技能不强、与市场需求脱节、难以适应建立大安全大应急框架的战略要求等问题。面对复杂多变的国际环境与日益严峻的安全形势,工业领域的网络安全人才尤其是高技能人才成为关键变量。进入新发展阶段,需明确人才工作新使命,加快培育工业信息安全应急管理人才,依托大量本领过硬的应急管理人才,科学预警下好风险防范先手棋,有效处置练就风险应对真功夫,主动出击打好风险化解主动仗。
本书以总体国家安全观为指引,结合国家工业信息安全研究中心长期支撑国家、服务行业开展工业信息安全漏洞管理、数据安全管理与防护、等级保护测评、安全监测与应急处置等的业务经验,以及举办工业信息安全应急管理工程师培训的工作积累,立足工业信息安全应急管理技术与实践视角,全方位阐述工业信息安全应急实践基础,深层次讲解应急管理技术,多角度分析如何开展仿真实战实训,有助于培养符合建立大安全大应急框架要求的专业人才,夯实工业信息安全应急管理人才支撑,对于保障我国赢得网络空间国际竞争主动权意义重大。
中国工程院院士 朱坤
工业信息安全漏洞管理是工业信息安全事件预防与应急保障的重要内容。《信息安全技术 网络安全应急能力评估准则》(GB/T 43269—2023)将漏洞管理能力作为应急能力的关键项。本章将介绍工业信息安全漏洞的基本概念、常见的漏洞分类方法,并结合工业信息安全漏洞态势,重点介绍国内外漏洞管理实践方法。通过对本章内容的学习,读者能够掌握漏洞管理的基本方法、理解漏洞管理相关政策标准要求、了解国内外漏洞库等,为进一步开展漏洞研究奠定基础。
第一节 工业信息安全漏洞概述当前,漏洞已经成为网络空间安全领域的国家战略资源。网络安全漏洞是开发恶意软件检测与防范工具、开展主动反制的基础,开展漏洞研究、加强漏洞管理有助于提升整体网络安全防护能力。
我国发布的国家标准《信息安全技术 网络安全漏洞标识与描述规范》(GB/T 28458—2020)将网络安全漏洞定义为“网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程中,无意或有意产生的、有可能被利用的缺陷或薄弱点”。工业信息安全漏洞作为网络安全漏洞的细分项,可被攻击者用于破坏工业生产安全和社会稳定。因此,加强工业信息安全漏洞管理是保护关键信息基础设施的重要内容。
漏洞分类是漏洞研究的基础,《信息安全技术 网络安全漏洞分类分级指南》(GB/T 30279—2020)基于漏洞产生或触发的技术原因将漏洞划分为代码问题、配置错误、环境问题与其他四大类;在分级方面,主要从被利用性、影响程度、环境因素3个方面,将漏洞划分为超危、高危、中危、低危4个级别。通用漏洞评分系统(Common Vulnerability Scoring System,CVSS)作为被广泛应用于漏洞管理领域的行业公开标准,对漏洞类别进行了更加细致的划分。CVSS主要包含基准类、时间类和环境类 3 类评估指标,其中时间类、环境类评估指标需结合实际情况进行调整,基准类评估指标包括可利用性、影响性和范围3个指标集。
工业信息安全漏洞也可从相似的维度进行划分,通常按照漏洞的技术成因(被利用的方式)、漏洞的利用方法(攻击向量)、漏洞造成的直接影响、漏洞影响的指标、漏洞影响的产品等进行分类。漏洞造成的直接影响取决于攻击者所获取的权限、受害者所属行业性质等多方面因素,这里不进行详细的描述,仅介绍按照其他4个维度进行划分的方法。
《信息安全技术 网络安全漏洞分类分级指南》(GB/T 30279—2020)中关于网络安全漏洞的分类共包括四大类26个小类。在工业信息安全领域,同样可按照技术成因将漏洞分为四大类26个小类,下面重点介绍该领域中5类常见的漏洞产生原因。
(1)内存破坏
内存破坏漏洞主要是某种非预期的内存越界访问,可能导致命令执行、拒绝服务或信息泄露,如堆栈缓冲区溢出、内存越界访问、释放后重用等都可归为此类漏洞。
(2)逻辑错误
逻辑错误漏洞主要是程序在进行安全检查的过程中存在逻辑缺陷而导致设计的安全机制被绕过,从而实现访问控制等。
(3)输入验证
输入验证漏洞主要是由于程序未对用户输入进行充分的检查和过滤就将其用于后续操作。大多数的结构查询语言(Structure Query Language,SQL)注入、目录遍历或针对公共网关接口(Common Gateway Interface,CGI)类漏洞都可归为此类漏洞。
(4)配置错误
配置错误漏洞主要是由于系统或应用运维过程中使用了默认不安全的配置参数、策略等,大多涉及访问验证方面,如人机交互界面、工业交换机的登录界面弱口令未修改等都可归为此类漏洞。
(5)设计错误
设计错误漏洞的范围较为广泛,它在整个信息系统全生命周期中都可能存在,主要是由于在设计阶段对安全机制考虑不足而引入的安全漏洞。
基于攻击向量的漏洞分类是指按照攻击者发起网络攻击的攻击机器与目标靶机的物理位置进行分类,主要包括以下4类。
(1)本地接入
脆弱组件未与网络协议栈绑定,攻击者需利用读/写/执行功能进行攻击。例如,攻击者通过本地(如键盘、控制台)或远程[如SSH(Secure Shell,安全外壳)]访问目标系统来利用漏洞;攻击者依赖与他人的交互来执行利用漏洞所需的操作(如使用社会工程学方法欺骗合法用户打开恶意文档)。
(2)远程利用
脆弱组件与网络协议栈绑定,对脆弱组件可能的攻击源涵盖整个互联网。此类漏洞通常被称为“可远程利用”,攻击者可通过一个或多个网络跳跃(例如,跨越一个或多个路由器)进行协议层面的攻击。
(3)相邻网络
脆弱组件与网络协议栈绑定,但攻击只受限于逻辑上相邻的拓扑进行协议层面的攻击。因此,攻击者必须位于相同的物理网络或逻辑网络中,或者其他有限的管理域中。
(4)实际接入
攻击者需物理接触或操纵脆弱组件,物理交互可能是短暂的,也可能是持久的。此类攻击的一个示例是冷启动攻击,攻击者通过物理访问目标系统获得对磁盘加密密钥的访问权。
根据信息系统的机密性、完整性和可用性3个要素,可按照漏洞攻击的目标不同将漏洞分为信息获取、接管控制和服务中断3种类型。CVSS采用基本属性(Base)、时间(Temporal)和环境(Environmental)3个指标集描述软件漏洞的特征和严重性。其中,Base代表长期存在的、本质的、基本的脆弱性;Temporal代表随时间改变但不随用户环境改变的脆弱性;Environmental代表与用户环境直接相关的脆弱性。基于影响指标的漏洞分类主要使用标识漏洞成功利用后对受影响组件所造成影响的Base指标集。
(1)机密性
该指标用于描述漏洞成功利用对组件管理的信息资源造成的机密性影响。机密性是指仅向授权用户给予限制信息的访问和披露权限,防止未授权用户的访问。受影响组件的损失最大时,该指标取值最大。
(2)完整性
该指标用于衡量成功利用漏洞对完整性的影响程度。完整性包括信息的可靠性和准确性。
(3)可用性
可用性是指信息资源的可访问性,该指标用于衡量成功利用漏洞对受影响组件可访问性的影响程度。其中,消耗网络带宽、处理器周期或磁盘空间的攻击都会损害受影响组件的可用性。可用性影响的是组件本身,而非组件使用的数据,例如网络服务(Web、数据库、电子邮件等)的可访问性受影响。
工业信息安全漏洞影响的产品(或组件)可细分为8类:工业生产控制设备、工业网络通信设备、工业主机设备和软件、工业生产信息系统、工业网络安全设备、物联网智能设备、智能楼宇自动化系统、其他通用产品和组件。
(1)工业生产控制设备
包含分布式控制系统(Distributed Control System,DCS)、可编程逻辑控制 器(Programmable Logic Controller,PLC)、可编程自动化控制器、远程终端单元等。
(2)工业网络通信设备
包含工业用交换机、路由器、网关、无线接入点等。
(3)工业主机设备和软件
包含监控与数据采集(Supervisory Control And Data Acquisition,SCADA)系统、操作员面板、工业主机、工业数据库等。
(4)工业生产信息系统
包含制造执行系统(Manufacturing Execution System,MES)、企业资源规划(Enterprise Resource Planning,ERP)系统、产品生命周期管理(Product Lifecycle Management,PLM)系统、工业App等。
(5)工业网络安全设备
包含工业防火墙、工业网闸、工业主机安全防护设备等。
(6)物联网智能设备
包含安防监控设备、智能穿戴设备、智能医疗设备等。
(7)智能楼宇自动化系统
包含数字控制器、给排水监控系统、消防监控系统、综合安保系统等。
(8)其他通用产品和组件
包含服务器、通信设备、驱动程序、应用软件等。
第二节 工业信息安全漏洞态势分析工业信息安全漏洞呈现以下发展态势。
关键信息基础设施领域普遍依赖工业控制系统(Industrial Control System,ICS)来实现自动化作业,一旦工业控制系统安全漏洞被利用,可能直接影响国计民生。因此,工业信息安全漏洞相比传统网络安全漏洞具有更高的价值,吸引了大量安全研究人员及黑客组织的关注。同时,随着漏洞研究技术的发展,大量工业信息安全漏洞被发现、披露,近年来漏洞数量增速迅猛。
网络安全供应商Skybox Security公司发布的《2022年漏洞和威胁趋势报告》显示,2021年新增公开漏洞高达20 175个,且伴随“零日”漏洞数量的快速增加,新漏洞利用数量猛增24%。工控安全厂商Claroty在2021年发布的《工业控制系统风险及漏洞报告》显示,2021年全年共披露1439个工业控制系统安全漏洞,较2020年激增53%,其中34%的漏洞影响物联网、医疗物联网和信息技术(Information Technology,IT)资产。
工业领域正加速数字化转型,实现行业再造、体验重塑,以往良好实践的安全技术手段已不能满足新时期的工业信息安全需求。从公开披露的工控安全漏洞情况来看,低门槛、高风险隐患广泛存在于各类工业控制系统中,漏洞成功利用的风险极高。此外,部分企业安全意识薄弱,在系统设计、配置、运营、管理等方面也存在脆弱性,这进一步导致工业领域因漏洞被利用而造成的安全漏洞事件频频发生。例如,SolarWinds网管软件遭黑客入侵、Apache Log4j漏洞事件、Colonial Pipeline遭勒索攻击等安全事件均与安全漏洞相关。
Claroty的报告还指出,87%的工控安全漏洞属于低门槛漏洞,70%的漏洞不需要特殊权限即可被成功利用,64%的漏洞无须用户交互操作即可被利用发起攻击。在已停产的工业控制产品中,48%的漏洞影响基本控制设备,如果被成功利用,其中59%的漏洞会导致代码执行或拒绝服务以及设备崩溃。安全公司NTT Application Security发布的《应用安全现状》报告指出,高严重性漏洞的平均修复时间从2021年年初的194天暴涨到了2021年6月底的246天,总体修复率从50%降至38%。鉴于利用漏洞发起网络攻击的事件愈加频发,识别和修补最有可能被利用发起攻击的漏洞是非常重要的。
第三节 工业信息安全漏洞管理实践为了有效防范工业信息安全漏洞带来的风险,国内外围绕漏洞管理政策标准体系、漏洞管理工作机制、漏洞平台与生态建设等方面,持续加强漏洞管理。
(1)国外文件
欧美国家不断加强漏洞管理顶层设计,通过制定相关政策法规文件,推动漏洞信息共享、漏洞披露的规范化,持续增强漏洞资源管控能力,重点体现在如下3个方面。
① 开展关键信息基础设施安全漏洞评估。国外将漏洞识别作为脆弱性和风险评估的重要内容,尤其是美国,一贯强调采用风险管理的理念和方法,要求对政府网络和关键信息基础设施中存在的脆弱性进行持续性评估和识别。例如,在政府行业,美国发布了《国土安全部漏洞法案》《国务院漏洞法案》等文件,设立漏洞奖励计划,鼓励公私合作,共同挖掘、收集和修补政府部门关键信息基础设施存在的安全漏洞;在国防工业领域,美国在年度《国防授权法案》中均明确要求对武器系统和国防工业关键信息基础设施进行安全评估,识别存在的安全漏洞,并采取措施对漏洞进行修复。此外,美国国会的《综合拨款法案》还要求为机场、港口等关键信息基础设施的安全评估工作提供资金支持,用于漏洞识别和修复工作。
② 制定严格的漏洞公开披露政策。国外对“零日”漏洞的公开披露极为重视,制定了严格的漏洞公开披露政策。2008年1月,美国首次提出建立“漏洞公平裁决程序”,以构建“零日”漏洞管控机制。2014—2016年,美国陆续发布了多个“漏洞公平裁决程序”相关文件。2017年11月,全新修订的《漏洞公平裁决政策和程序》发布,它细化了漏洞公开披露流程,公开了裁决考量因素,明确了政府的主导作用。2018年1月,美国通过《网络漏洞公开报告法案》正式明确漏洞管控的法律基础,这使漏洞管控体系得到了进一步完善。
③ 公私合作促进漏洞信息共享。以美国为代表的欧美国家出台了大量网络安全信息共享相关政策法规,建立了较为完备的网络安全信息共享机制,极大地促进了漏洞信息共享。此外,美国通过发布一系列操作指令,鼓励内部人员对联邦政府信息系统和关键信息基础设施进行漏洞挖掘和报告,引导他们及时解决漏洞问题。《网络安全信息共享法案》《2015年保护网络空间法案》《国家网络安全保护增强法案》等法案的出台,为公私合作开展漏洞收集、报送、共享、通报及修复等工作奠定了坚实的法律基础,有效地促进了漏洞信息共享,突出了漏洞的重要战略地位,提升了国家整体网络安全防范能力。《网络安全漏洞修复法案》要求美国国土安全部向产业界、学术界及其他机构、部门等传播和共享其安全漏洞识别与修复方案。
(2)国内文件
为贯彻落实《中华人民共和国网络安全法》(以下简称《网络安全法》),加强网络安全漏洞管理,规范网络安全漏洞报告和威胁信息发布等行为,有效应对网络安全威胁和风险,保障网络运行安全,我国在网络威胁管理方面出台了系列文件。这些文件是开展工业信息安全漏洞管理工作的基本遵循。
2019年11月20日,国家互联网信息办公室发布《网络安全威胁信息发布管理办法》(征求意见稿),对系统漏洞、网络风险等可能暴露网络脆弱性的安全威胁信息,从发布内容、发布流程、发布方法等方面对研究机构、网络安全厂商、个人研究者以及信息发布平台运营单位提出了具体要求。
2021年9月1日,工业和信息化部、国家互联网信息办公室、公安部联合印发的《网络产品安全漏洞管理规定》(以下简称《规定》)正式实施,其中明确了联合监管职责,强调有关主管部门协同配合,实现网络产品安全漏洞信息实时共享,对重大网络产品安全漏洞风险开展联合评估和处置。《规定》细化了网络产品(含硬件、软件)提供者、网络运营者以及从事网络产品安全漏洞发现、报告、修补、发布等工作的组织或个人的责任主体义务;明确了漏洞发布时间、发布细节、安全行为、程序工具、安全措施同步、安全保障、对外提供和法律规定的其他安全漏洞发布要求以及个人及组织建立的漏洞收集平台向工业和信息化部网络安全威胁和漏洞信息共享平台报送信息的管理要求。为保障网络产品、服务、系统的漏洞得到及时修补,提高网络安全防护水平,《规定》要求网络产品提供者、网络运营者及第三方及时应对漏洞问题,推动了包括工业信息安全漏洞在内的网络产品安全漏洞管理工作的制度化、规范化、法治化。
(1)国外标准
美国借助政府机构、社会组织等各方力量,持续完善、更新漏洞标准。基于相关政策标准的制定和美国国家计算机通用漏洞数据库(National Vulnerability Database,NVD)的建设,美国在漏洞管理方面已形成了完善的漏洞管理标准体系,并被全球多个国家和地区采用、借鉴。美国国家标准及技术协会(National Institute of Standards and Technology,NIST)、MITRE公司,以及事件响应与安全组织论坛(For Inspiration and Recognition of Science and Technology,FIRST)、国际标准化组织(International Standards Organization,ISO)、互联网安全中心(Center for Internet Security,CIS)等,相继推出了通用漏洞披露(Common Vulnerabilities and Exposures,CVE)、CVSS等12项标准,见表1-1。这12项标准涵盖了漏洞命名、评分、检测、管理等多个方面,其中多项标准已被国际电信联盟采纳。尤其是全球各主流漏洞库中所收录的安全漏洞都采用CVSS v2.1或CVSS v3的漏洞评分标准,依照通用缺陷枚举(Common Weakness Enumeration,CWE)标准进行漏洞成因分类,并在各自漏洞库特有编号的基础上标注CVE编号。
表1-1 美国漏洞相关标准
| 序号 |
标准名称 |
英文缩写 |
标准制定者 |
详细内容 |
|---|---|---|---|---|
| 1 |
通用漏洞披露 |
CVE |
MITRE |
漏洞通用命名标准 |
| 2 |
通用平台枚举 |
CPE |
MITRE/NIST |
对应用程序、操作系统、硬件设备等进行描述和标识的标准 |
| 3 |
通用缺陷枚举 |
CWE |
MITRE |
软件缺陷的枚举清单与分类规范 |
| 4 |
通用漏洞评分系统 |
CVSS |
FIRST |
评估漏洞严重程度的度量标准 |
| 5 |
通用缺陷评分系统 |
CWSS |
MITRE |
软件缺陷评价框架 |
| 6 |
通用配置枚举 |
CCE |
MITRE/NIST |
为安全相关系统配置提供通用标识 |
| 7 |
开放漏洞评估语言 |
OVAL |
MITRE/CIS |
对计算机系统的安全状态进行评估和报告的国际标准化语言 |
| 8 |
可扩展配置清单描述格式 |
XCCDF |
NIST |
编写安全检查清单、基准和相关类型文档的规范语言 |
| 9 |
开放式清单交互语言 |
OCIL |
NIST |
对由不同数据源收集的数据进行检查的语言 |
| 10 |
资产报告格式 |
ARF |
NIST |
资产信息传输格式 |
| 11 |
软件标识 |
SWID |
ISO |
软件标识和相关元数据的格式 |
| 12 |
安全自动化数据信任模型 |
TMSAD |
NIST |
公共信任模型中使用数字签名的规范 |
此外,美国还积极推动漏洞标准的广泛应用,如NIST推出安全内容自动化协议(Security Content Automation Protocol,SCAP)验证工具,用于自动测试验证厂商开发的产品是否符合SCAP的要求。基于SCAP,美国推出联邦桌面核心配置计划,为美国联邦政府所有运行Windows操作系统的计算机提供统一的安全配置方案,以增强联邦信息系统的安全能力,实现自动化安全管理,降低维护成本。
(2)国内标准
我国相继发布了《信息安全技术 网络安全漏洞标识与描述规范》(GB/T 28458—2020)、《信息安全技术 网络安全漏洞管理规范》(GB/T 30276—2020)、《信息安全技术 网络安全漏洞分类分级指南》(GB/T 30279—2020)等国家标准,为工业信息安全漏洞全生命周期管理、漏洞分类分级等提供了指导与依据。但目前我国在漏洞评分、漏洞报告等方面还缺少国家标准。
2022年,由国家工业信息安全发展研究中心牵头制定的《工业信息安全漏洞分类分级指南》团体标准正式发布,为工业领域的软硬件产品提供者、工业信息安全漏洞收集平台在漏洞管理、技术研究等活动中的漏洞分类和分级评估提供了参考。国家或企业级工业信息安全漏洞收集平台、工业信息安全软硬件产品和工业领域软硬件产品提供者均可参考该标准进行日常漏洞管理。
在漏洞管理工作中,美国等国尤其重视关键信息基础设施领域的安全漏洞管理,通过建立信息共享工作机制,促进漏洞评估与及时修复。例如,美国工业控制系统网络应急响应小组(Industrial Control Systems-Cyber Emergency Response Team,ICS-CERT)专门负责工业控制系统安全漏洞管理工作,通过采取政企合作的模式,促进漏洞等威胁信息共享,并及时处置基于漏洞利用而引发的各类工业信息安全事件,以保护国内关键信息基础设施。
其中,在漏洞共享方面,ICS-CERT要求关键信息基础设施领域的网络安全组织与行业内的网络产品和服务提供者、科研机构、应急响应机构等共享安全漏洞信息,共同研判网络威胁态势,制定应对措施。在漏洞处置方面,ICS-CERT要求充分发挥网络产品和服务提供者熟知设备原理、通晓设备脆弱性的优势,在保护好商业秘密、维护好企业利益的前提下,鼓励网络产品和服务提供者共享漏洞处置相关信息、联合网络安全厂商共同研究漏洞处置方案等。
为提升社会各界挖掘漏洞的积极性,全球诸多政府机构、军事部门采取众测模式保障漏洞挖掘的整体质量,如美国、欧盟、新加坡等均已启动漏洞赏金计划,通过利用黑客的漏洞挖掘技术,丰富网络安全漏洞资源储备。
(1)美国
美国早在2016年就启动了多项漏洞赏金计划,数千名“白帽子”参与计划,测试美国国防部、陆军、空军等部门和军队对网络攻击的抵抗力。经过近7年的发展,美国国防部已连续启动几十次漏洞赏金计划,在漏洞挖掘方面取得了显著成效。同时,美国不断完善漏洞赏金计划,拓展信息系统漏洞挖掘范围。
(2)欧盟
欧盟长期致力于开源软件安全漏洞管理,于2017年启动了针对免费视频播放器VLC media player的漏洞赏金计划;于2018年启动了开源软件审计项目EU-FOSSA漏洞赏金计划,共赞助了14个项目。2022年1月,欧盟委员会开源计划办公室启动漏洞赏金计划,针对欧盟公共服务部门大量使用的LibreOffice、Mastodon、Odoo、CryptoPad、LeOS 5个开源项目提供漏洞挖掘奖励资金,该计划拟在漏洞赏金平台Intigriti上全年运行,奖励可高达20万欧元。
(3)新加坡
新加坡政府也高度重视漏洞赏金计划的作用。2018年,新加坡国防部悬赏查找国防部的8个重要系统的安全漏洞,计划实施期间共发现35个安全漏洞。2021年9月,新加坡政府科技局推出VRP漏洞赏金计划,该计划涵盖提供重要的数字政府服务的系统,包括Singpass和Corppass(GovTech)、会员电子服务、工作证综合系统,赏金最高可达15万美元。该计划旨在进一步加强现有的政府漏洞赏金计划和漏洞披露计划的作用。
漏洞平台建设是各国网络安全保障工作中一项极为关键的基础性和长期性工作,一般由政府部门或官方组织负责漏洞平台的建设与运营。漏洞生态建设则需要工业信息安全产业链中各方力量的共同参与。当前,工业信息安全漏洞平台与生态的建设已经成为各国政府的重点工作。
(1)ICS-CERT漏洞披露平台
美国ICS-CERT负责运营工业控制系统漏洞披露平台,协助工业控制系统供应商、工业企业等识别工控安全漏洞,制定健全的漏洞缓解策略,降低漏洞安全风险,进而改善美国的工业信息安全态势。ICS-CERT漏洞披露平台主要针对工业控制系统、智能设备、物联网等的漏洞,包含受影响设备、漏洞概述、解决方案、背景资料、其他事项 5个方面的漏洞信息。
(2)NVD漏洞管理数据平台
NVD是美国NIST计算机安全部门和信息技术实验室开发的漏洞管理数据平台,于2005年推出,旨在为美国政府提供软件的漏洞和配置信息。NVD中收录了大量工业信息安全漏洞,提供漏洞影响指标、技术评估方法、漏洞修复参考信息。NVD的漏洞披露与CVE同步,提供了对CVE中披露漏洞的持续分析,并增加了漏洞技术细节、受漏洞影响产品等信息。NVD直接与供应商、安全研究人员等合作,以提高漏洞信息质量,并使用CVSS对每个漏洞进行评估。持续的漏洞分析和评估能够帮助NVD用户了解每个漏洞的严重性,并帮助用户更好地开展漏洞处置工作。
(3)CICSVD漏洞平台
我国的国家工业信息安全发展研究中心依托工控安全应急资源库的建设资源,联合国内漏洞研究优秀技术力量共同建立了我国工业领域首个国家级的信息安全漏洞平台,即国家工业信息安全漏洞库(China national Industrial Cyber Security Vulnerability Database,CICSVD)。
CICSVD面向钢铁、有色金属、石化化工、装备工业、消费品工业、电子信息、国防军工、能源、交通、水利、市政、民用核设施等行业领域,重点关注工业硬件、工业软件等相关产品和组件的安全漏洞、补丁及解决方案的研究。通过整合安全企业、个人等多方资源,CICSVD从多渠道广泛收集工业信息安全漏洞信息,对漏洞信息进行规范化、标准化的统一审核、验证、定级、收录、处置,同时结合验证结果和处置建议,面向政府和重要信息系统部门,以及通信行业、工业、安全行业等有关单位提供通报、处置等相关服务,逐步构建标准漏洞库、补丁库等漏洞知识库体系,切实提升在工业信息安全漏洞方面的整体研究水平和风险防范能力。
工业和信息化部委托国家工业信息安全发展研究中心建设并运营 CICSVD。经过持续更新与迭代,CICSVD的技术能力持续优化,工业信息安全漏洞的共建共享范围稳步扩大,漏洞发现、上报、分析和处置的工作机制逐步深化,已收录西门子、施耐德电气、和利时、三菱、GE等全球200余家知名厂商的产品漏洞,成为我国工业领域漏洞收录最多、覆盖范围最广、最权威的国家级漏洞库之一。CICSVD注重技术积累,通过绘制行业企业漏洞画像、增强工业信息安全漏洞评估核心能力等,持续为工业信息安全漏洞预警、响应、风险排查等提供核心技术支撑。
(4)ICS-CNVD工控漏洞子库
由国家计算机网络应急技术处理协调中心运营的国家信息安全漏洞共享平台(China National Vulnerability Database,CNVD)通过号召和引导工控安全厂商、白帽子、工业企业等多方共同参与工控安全漏洞管理生态建设,上线了专门面向工业控制系统的工控漏洞子库——ICS-CNVD。截至2022年5月,ICS-CNVD累计收录了3100余个漏洞,其中高危漏洞占比超46%。ICS-CNVD对于国内工业信息安全漏洞和安全事件的发现、分析、预警,以及提升漏洞整体研究水平等提供了重要的数据支持。
工业信息安全漏洞生态建设是全面提升漏洞管理能力的重要手段。只有集合产品提供者、网络运营者及个人组织机构等全产业链上下游力量共同加强漏洞全生命周期管理,才能更好地提升工业信息安全漏洞统一管理能力。
目前,国内外纷纷通过举办与工业信息安全漏洞管理相关的培训、论坛、沙龙等活动,加强漏洞管理政策标准文件宣贯,推进工业信息安全漏洞技术研究与生态建设。例如,根据国内公开的漏洞管理相关培训及活动情况来看,CICSVD运营方已经为全国各地的网络安全机构、工业企业等搭建了交流合作平台,通过讲解相关政策标准文件、分享漏洞管理最新研究成果、共同探讨如何构建高效的漏洞库运行管理工作机制等,助力业界提升工业信息安全漏洞管理能力。
除了继续推进上述活动外,还需要围绕以下方面进一步加强漏洞生态建设。
具备政策研究能力的科研机构,需要推进安全漏洞管理标准体系建设,强化漏洞评分、报告、命名、分类分级等国家标准的研究,细化行业标准制定。
具备漏洞库运营能力的机构,则要充分发挥对漏洞平台的调动作用,以完善平台运营和管理机制为依托,以平台建设为突破口,规范工业信息安全漏洞管理工作,充分发挥网络产品提供者、网络运营者、网络安全企业、专业机构、研究人员等组织或个人的作用,共同推动漏洞及时发现、报告和有效处置,培育网络安全漏洞管理的良好生态;结合漏洞管理政策标准,明确管理要求,指导漏洞上报方、漏洞研判方、漏洞处置方根据漏洞评级,及时、有序开展漏洞跟踪、研究、修复工作,推动部署最佳防护策略。
工业领域网络产品使用者(通常为工业企业)需要落实政策法规要求,做好工业信息安全漏洞修补与处置工作。同时,可以联合产品提供者以及从事漏洞发现、收集、发布等工作的组织或个人等各类主体持续构筑漏洞生态,如通过开展漏洞验证众测活动促进漏洞发现与修补等。
