工業(yè)互聯(lián)網(wǎng)快速發(fā)展期的安全漏洞管理研究

剛占慧

（國家工業(yè)信息安全發(fā)展研究中心，北京 100040）

0 引言

工業(yè)互聯(lián)網(wǎng)安全防護(hù)事關(guān)國家安全與經(jīng)濟(jì)社會發(fā)展，合理地漏洞資源管控是保障互聯(lián)網(wǎng)健康發(fā)展、消除工業(yè)互聯(lián)網(wǎng)安全威脅和隱患的重要基礎(chǔ)。做好工業(yè)互聯(lián)網(wǎng)安全風(fēng)險防護(hù)及漏洞管理是和國家發(fā)展形勢、發(fā)展理念同頻共振的。我國從國家安全角度出發(fā)，對網(wǎng)絡(luò)安全漏洞管理進(jìn)行了頂層設(shè)計和戰(zhàn)略布局[1]，確保安全保障和信息化建設(shè)同規(guī)劃、同建設(shè)、同運(yùn)行。

自2018年至今，我國相繼制定與發(fā)布了《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞管理規(guī)范》[2]GB/T 30276-2020、《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞分類分級指南》[3]GB/T 30279-2020、《工業(yè)數(shù)據(jù)分類分級指南（試行）》等漏洞相關(guān)國家標(biāo)準(zhǔn)文件，為指導(dǎo)工業(yè)互聯(lián)網(wǎng)安全漏洞管理全生命周期、安全漏洞分類分級提供了參考與依據(jù)。近期，全國人大、國務(wù)院、工業(yè)和信息化部等密集出臺網(wǎng)絡(luò)安全相關(guān)法律法規(guī)，推動實施《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》（以下簡稱《規(guī)定》）等制度文件，為保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全、做好工業(yè)互聯(lián)網(wǎng)安全漏洞防護(hù)提供了可落地、可執(zhí)行、可持續(xù)的法律保障和制度規(guī)范。

為指導(dǎo)產(chǎn)業(yè)健康與良性發(fā)展，圍繞“積極防御、威脅情報、態(tài)勢感知、安全可視”的科學(xué)系統(tǒng)的安全防護(hù)體系成為必然。可以預(yù)見，未來還將會有更多關(guān)于安全漏洞管理的產(chǎn)業(yè)政策出臺，繼續(xù)保持對安全漏洞保護(hù)的力度，扎密安全漏洞防護(hù)欄，支撐我國網(wǎng)絡(luò)安全產(chǎn)業(yè)創(chuàng)新發(fā)展。

1 工業(yè)互聯(lián)網(wǎng)安全形式依然嚴(yán)峻

1.1 重點(diǎn)領(lǐng)域安全問題凸顯，國家級基礎(chǔ)設(shè)施頻受影響

鑒于針對工業(yè)領(lǐng)域的攻擊通常具有高破壞性與高回報性的潛力，且由于工業(yè)領(lǐng)域相關(guān)信息的高度敏感性與安全防范意識的薄弱性，使得工業(yè)領(lǐng)域成為攻擊者的重點(diǎn)目標(biāo)?？v觀全球，2021年上半年的工業(yè)互聯(lián)網(wǎng)安全形勢略顯凄涼。

國內(nèi)方面，據(jù)國家工業(yè)信息安全發(fā)展研究中心監(jiān)測數(shù)據(jù)，我國制造、交通、市政等多個重點(diǎn)行業(yè)存在安全風(fēng)險，其中市政領(lǐng)域以23.5%的比例繼續(xù)占據(jù)風(fēng)險最高的領(lǐng)域，制造業(yè)緊隨其后占17.5%。

國外方面，黑客利用遠(yuǎn)程代碼執(zhí)行漏洞導(dǎo)致奧茲馬水處理設(shè)施技術(shù)流程中斷；美國輸油大動脈被攻擊致東海岸出現(xiàn)“油荒”[4]；全球最大肉類加工巨頭JBS食品公司遭勒索攻擊被迫中斷生產(chǎn)線等網(wǎng)絡(luò)安全攻擊事件，直接證明了對工業(yè)領(lǐng)域發(fā)起定向攻擊已成為黑客的重點(diǎn)目標(biāo)，尤其是針對國家級基礎(chǔ)設(shè)施與大型企業(yè)發(fā)起的攻擊。

1.2 勒索滲透活動異?；钴S，供應(yīng)鏈風(fēng)險防范迫在眉睫

全球工業(yè)領(lǐng)域網(wǎng)絡(luò)安全風(fēng)險急劇增長，影響工業(yè)流程的勒索軟件首當(dāng)其沖，較2020年統(tǒng)計新增4個專門針對工業(yè)控制系統(tǒng)/運(yùn)營技術(shù)的已知勒索組織[5]。據(jù)安全公司SonicWall統(tǒng)計，2021年上半年發(fā)現(xiàn)3.047億次勒索軟件攻擊未遂事件，同比增長151%[6]，或?qū)⒊蔀镾onicWall公司統(tǒng)計中勒索攻擊最猖獗的一年。

此外由于OT環(huán)境可見性的嚴(yán)重缺失，供應(yīng)鏈的風(fēng)險愈發(fā)嚴(yán)峻。7月，美國軟件供應(yīng)商Kaseya多家下游托管服務(wù)提供商客戶的系統(tǒng)遭受REvil勒索軟件攻擊，導(dǎo)致Kaseya公司供應(yīng)鏈安全生態(tài)遭破壞；9月，F(xiàn)BI警告稱勒索團(tuán)伙正在積極發(fā)起針對食品和農(nóng)業(yè)部門的攻擊和破壞活動，可直接影響到食品供應(yīng)鏈。

1.3 低防護(hù)聯(lián)網(wǎng)設(shè)備數(shù)量激增，工業(yè)企業(yè)安全問題明顯

圖1 全球勒索軟件事件數(shù)量統(tǒng)計

工業(yè)互聯(lián)網(wǎng)設(shè)備種類多、數(shù)量大，關(guān)鍵設(shè)備覆蓋面不全，安全檢測認(rèn)證體系尚不成熟是我國工業(yè)互聯(lián)網(wǎng)安全的主要問題[7]。據(jù)國家工業(yè)信息安全發(fā)展研究中心統(tǒng)計數(shù)據(jù)顯示，低防護(hù)聯(lián)網(wǎng)設(shè)備數(shù)量較同期有較大幅度增長，安全風(fēng)險面越來越大。2021年上半年，我國各類低防護(hù)聯(lián)網(wǎng)設(shè)備數(shù)量總計超過520萬臺/套，環(huán)比增長4%。其中，攝像頭、車載模塊、打印機(jī)等終端設(shè)備占比超過90%。可編程邏輯控制器（PLC）、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）、數(shù)據(jù)傳輸單元（DTU）等工業(yè)控制系統(tǒng)數(shù)量近2.1萬臺/套。針對我國工業(yè)領(lǐng)域的網(wǎng)絡(luò)攻擊同比增幅超2倍，遭受網(wǎng)絡(luò)攻擊的工業(yè)企業(yè)同比增長57.2%[8]。91%的工業(yè)組織容易受到網(wǎng)絡(luò)攻擊，69%的外部攻擊者可從工業(yè)企業(yè)竊取敏感數(shù)據(jù)，56%的攻擊者可訪問工業(yè)控制系統(tǒng)[9]，進(jìn)而造成生產(chǎn)關(guān)閉、設(shè)備故障、工業(yè)事故等嚴(yán)重?fù)p害。

1.4 安全漏洞形勢嚴(yán)峻，重大安全漏洞一觸即發(fā)

工業(yè)互聯(lián)網(wǎng)安全漏洞產(chǎn)品類型主要涉及工業(yè)軟件、組態(tài)軟件、數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、可編程邏輯控制器（PLC）等。安全漏洞的披露已成為安全風(fēng)險控制的重要環(huán)節(jié)，對降低風(fēng)險和分化風(fēng)險具有至關(guān)重要的作用[10]。2021年上半年，國家工業(yè)信息安全漏洞庫（CICSVD）新增通用軟硬件漏洞數(shù)量達(dá)731個，高危及以上漏洞占比63%，同比增長5%。主要涉及德國西門子、法國施耐德、研華科技、美國羅克韋爾、美國思科等125家國內(nèi)外廠商產(chǎn)品。鑒于漏洞資源的特殊性，即使十年前的漏洞仍可成為攻擊者的利用重點(diǎn)，尤其是對生產(chǎn)運(yùn)行穩(wěn)定性高的工業(yè)領(lǐng)域，漏洞修復(fù)無計劃、補(bǔ)丁更新不及時、重產(chǎn)能弱安全的情況短期內(nèi)仍將存在，一旦漏洞被公開或泄露，若未及時修復(fù)，將導(dǎo)致被不法分子利用從而造成信息竊取、后門植入、數(shù)據(jù)篡改等惡意操作。2021年9月，臺灣摩莎公司生產(chǎn)的鐵路設(shè)備及產(chǎn)品被曝受到超過50個漏洞的影響，這些漏洞是在過去十年中發(fā)現(xiàn)的第三方組件漏洞，其中部分系列設(shè)備已經(jīng)停產(chǎn)，若漏洞未得到及時修補(bǔ)，將直接危及鐵路軌道正常運(yùn)轉(zhuǎn)。

2 國內(nèi)外重點(diǎn)行業(yè)領(lǐng)域漏洞管理現(xiàn)狀

2.1 美國關(guān)基領(lǐng)域逐步形成較為全面的漏洞管理機(jī)制

為強(qiáng)化對關(guān)鍵信息基礎(chǔ)設(shè)施的漏洞評估與修復(fù)，美國不斷對漏洞挖掘、信息共享、漏洞處置等方面進(jìn)行細(xì)化和延伸，專門成立了加強(qiáng)工業(yè)控制系統(tǒng)安全漏洞管理工作的工業(yè)控制系統(tǒng)應(yīng)急響應(yīng)小組，及時處置基于漏洞的各類工業(yè)信息安全攻擊事件。美國國會要求加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域漏洞的檢查評估和漏洞修復(fù)工作，同時提供了用于漏洞識別和修復(fù)工作的資金支持，以不斷提升完善防護(hù)能力。此外，美國在關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全方面還采取“政企合作”的保護(hù)模式[11]，主要體現(xiàn)在信息共享、應(yīng)急演練與事件處置等方面。

2.2 美、歐、俄、新等國采用眾測活動保障漏洞挖掘質(zhì)量

國外發(fā)達(dá)國家在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域已形成較為全面的漏洞管理體系，同時為提升社會各界漏洞挖掘的積極性與漏洞資源的自主可控性，國外主要國家的政府、軍事部門紛紛出臺“漏洞賞金計劃”，采取眾測模式保障漏洞挖掘的整體質(zhì)量。美軍方是開展網(wǎng)絡(luò)漏洞眾測活動最早的部門，先后開展了“黑掉五角大樓”“黑掉美國陸軍”“黑掉美國空軍”等活動，收集并修復(fù)了大量有價值的漏洞，提高了網(wǎng)絡(luò)防御能力。例如，2018年12月美空軍在三天之內(nèi)就發(fā)現(xiàn)并修復(fù)了120多個安全漏洞。歐盟于2019年初啟動了針對14個免費(fèi)開源軟件審計項目FOSSA的漏洞賞金計劃。俄羅斯政府于2018年1月批準(zhǔn)了一項信息安全計劃，該項計劃共撥付8億盧布資金，持續(xù)到2020年年底，任何人均可參與查找國家IT系統(tǒng)漏洞。新加坡政府在2021年9月推出高達(dá)15萬美元的漏洞賞金計劃，以保護(hù)政府的信息通信技術(shù)和智能系統(tǒng)。

2.3 我國工業(yè)互聯(lián)網(wǎng)安全漏洞管理現(xiàn)狀

我國已初步建立數(shù)據(jù)安全管理機(jī)制，在管理體系、監(jiān)督管控、平臺建設(shè)、管理運(yùn)營等方面取得了一定成效，2021年安全漏洞管理上層設(shè)計、平臺建設(shè)提速。一方面，漏洞管理上層設(shè)計初步確立。7月，由工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合發(fā)布《規(guī)定》，為推動安全漏洞管理工作的制度化、規(guī)范化、法制化，維護(hù)國家網(wǎng)絡(luò)安全，保護(hù)網(wǎng)絡(luò)產(chǎn)品和重要網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行提供重要依據(jù)與規(guī)范。另一方面，工業(yè)互聯(lián)網(wǎng)安全漏洞管理體系日臻完善。為落實《規(guī)定》有關(guān)要求，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺于9月1日正式上線運(yùn)行，形成了以CICSVD技術(shù)平臺為代表的工業(yè)互聯(lián)網(wǎng)安全漏洞管理體系，為實現(xiàn)國家級漏洞平臺高效運(yùn)營和管理提供基礎(chǔ)保障。

3 我國工業(yè)互聯(lián)網(wǎng)安全漏洞管理的問題

3.1 統(tǒng)一規(guī)范的漏洞管理標(biāo)準(zhǔn)有待形成

我國在漏洞管理方面已出臺多份標(biāo)準(zhǔn)規(guī)范、規(guī)定指南，然而較國外發(fā)達(dá)國家數(shù)量仍相對較少[12]。各行業(yè)領(lǐng)域下的漏洞命名、分類分級獨(dú)成體系，缺乏漏洞公開、出口管理政策，不便于整體網(wǎng)絡(luò)安全漏洞的統(tǒng)一管理與共享，隨著《規(guī)定》的實施與國家級平臺的建設(shè)，領(lǐng)域漏洞的分類分級國家標(biāo)準(zhǔn)亟待出臺、應(yīng)用與推廣。

3.2 漏洞專業(yè)庫建設(shè)水平參差不齊

已建成的國家級漏洞庫平臺收錄內(nèi)容存在部分交叉，平臺定位不夠清晰、平臺間區(qū)分度不足、界限不夠明確，導(dǎo)致信息多次報送與審核。工業(yè)信息安全、車聯(lián)網(wǎng)安全、移動安全等專業(yè)型漏洞庫建設(shè)和推廣不足，平臺自身安全防護(hù)水平與抗攻擊能力有待進(jìn)一步測試，距離高標(biāo)準(zhǔn)還存在較大差距。

3.3 漏洞挖掘和上報積極性不到位

目前我國國家級漏洞庫平臺仍主要采取證書授予、書面表揚(yáng)等精神獎勵方式為主，鼓勵各方開展信息報送工作，相較國外眾測、漏洞賞金計劃、定向人才培養(yǎng)等獎勵方式而言，難以促進(jìn)和吸引高價值漏洞的挖掘和上報。

4 應(yīng)對措施

4.1 建立完善的網(wǎng)絡(luò)安全漏洞管理體系

持續(xù)加強(qiáng)漏洞管理政策標(biāo)準(zhǔn)頂層設(shè)計，指導(dǎo)、監(jiān)督開展漏洞全生命周期管理。緊密圍繞GB/T 30276-2020、GB/T 30279-2020、《規(guī)定》等政策法規(guī)，規(guī)范漏洞收集、上報、披露、分級分類、信息共享、接口規(guī)范、應(yīng)用管控等管理要求。強(qiáng)化漏洞評分、報告、命名、分類分級等國家標(biāo)準(zhǔn)的研究，細(xì)化行業(yè)標(biāo)準(zhǔn)制定。將訪問途徑、利用復(fù)雜度、影響程度等要素納入標(biāo)準(zhǔn)制定中，支撐形成較為完善的漏洞標(biāo)準(zhǔn)體系。通過標(biāo)準(zhǔn)貫標(biāo)、試點(diǎn)示范等方式，逐步推動相關(guān)政策要求、標(biāo)準(zhǔn)規(guī)范等在國家級、行業(yè)級、企業(yè)級漏洞庫的應(yīng)用推廣和落地使用。

4.2 做好專業(yè)領(lǐng)域漏洞庫建設(shè)和風(fēng)險防護(hù)

按照《規(guī)定》要求，充分考慮并合理發(fā)揮各漏洞專業(yè)庫的優(yōu)勢和特點(diǎn)，明確建設(shè)與服務(wù)邊界，完善國家級漏洞庫管理協(xié)調(diào)機(jī)制，充分整合工業(yè)互聯(lián)網(wǎng)安全、車聯(lián)網(wǎng)安全、關(guān)鍵信息基礎(chǔ)設(shè)施安全等具備行業(yè)特色的專業(yè)領(lǐng)域漏洞庫。強(qiáng)化漏洞收集、發(fā)布等過程的權(quán)威性，建立漏洞庫間聯(lián)動與共享機(jī)制。建立一套國家統(tǒng)籌和監(jiān)督部門、行業(yè)保護(hù)部門、運(yùn)營者多級聯(lián)動的立體化協(xié)同綜合防控體系，采取異地存儲、分散下發(fā)、定期轉(zhuǎn)移等機(jī)制，強(qiáng)化漏洞監(jiān)測、威脅發(fā)現(xiàn)、資源匯聚、漏洞評估和修復(fù)，持續(xù)提升網(wǎng)絡(luò)產(chǎn)品自身及外部安全效果。

4.3 強(qiáng)化漏洞的評估管理和合理利用

建立網(wǎng)絡(luò)產(chǎn)品安全漏洞分類分級機(jī)制，開展產(chǎn)品漏洞分級評估試點(diǎn)，逐步形成系統(tǒng)化漏洞評估管理模式，面向不同等級和類型的安全漏洞進(jìn)行針對性管理，形成安全、可用與可追溯的漏洞管理閉環(huán)。強(qiáng)化漏洞的安全管理和合理利用，明確對不同級別漏洞的處置原則，尤其是針對危害范圍廣、風(fēng)險程度高的“零日”漏洞，要嚴(yán)格其出口管控和對外使用。深入利用工業(yè)互聯(lián)網(wǎng)安全資源庫，構(gòu)建工業(yè)數(shù)據(jù)安全綜合治理平臺，從而實現(xiàn)工業(yè)數(shù)據(jù)的事前風(fēng)險防范、事中主動防御、事后及時處置的綜合防御效果。

4.4 深化安全態(tài)勢感知平臺在工業(yè)領(lǐng)域的應(yīng)用

及時跟蹤發(fā)現(xiàn)暴露在互聯(lián)網(wǎng)上的低防護(hù)聯(lián)網(wǎng)設(shè)備，提取在網(wǎng)絡(luò)層、設(shè)備層中部署發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行背景及活動意圖，基于大數(shù)據(jù)、人工智能和機(jī)器學(xué)習(xí)等技術(shù)開展以情報驅(qū)動的監(jiān)測、分析、研判和處置，并以多角度多維度的層次化模型呈現(xiàn)網(wǎng)絡(luò)安全態(tài)勢，輔助企業(yè)決策者快速做出預(yù)判和干預(yù)，降低安全隱患，識別出各類網(wǎng)絡(luò)活動及異常行為意圖，從而獲得網(wǎng)絡(luò)安全態(tài)勢，評估工業(yè)場景下系統(tǒng)運(yùn)行安全情況，更好地加固網(wǎng)絡(luò)安全。