随着工业领域数字化、网络化、智能化发展加速,工业控制系统风险暴露面持续扩大,工业控制系统信息安全(以下简称工控安全)漏洞成为网络安全攻击的众矢之的,被利用风险不断攀升,产业各界高度关注工控安全漏洞管理工作。本文围绕工控安全漏洞的概念、分类及特点,立足我国产业发展实际,分析了法律政策环境,结合国家工业信息安全漏洞库运营实践,提出加强工控安全漏洞管理的工作思考。

一、工控安全漏洞的内涵与外延

(一)工控安全漏洞是网络安全漏洞的一种

目前国内外针对工控安全漏洞尚无确切的定义,但关于网络安全漏洞定义已有相对成熟的研究成果。如我国发布的国家标准《信息安全技术 网络安全漏洞标识与描述规范》(GB/T 28458-2020)将网络安全漏洞定义为“网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程中,无意或有意产生的、有可能被利用的缺陷或薄弱点”。英国国家网络安全中心(NCSC)指出“漏洞是信息系统中的弱点,攻击者可以利用该漏洞进行成功的攻击。它们可能通过缺陷、功能或用户错误而产生”。美国国家标准与技术研究院(NIST)发布的 NISTIR 7298《关键信息安全术语汇编》中,定义的漏洞是“信息系统、系统安全程序、内部控制或实施中可能被威胁源利用的弱点”。美国 NIST SP 800-82《工业控制系统安全指南》强调工控安全漏洞是网络安全漏洞的细分项,“漏洞是指信息系统(包括 ICS)、系统安全程序、内部控制或实施中可能被威胁源利用或触发的弱点”。基于对上述定义的共性特征分析,可进一步明确工控安全漏洞可能出现在 ICS 的全生命周期,且具有可利用性,一旦被恶意利用或将严重威胁 ICS 安全。

各国对于工控安全漏洞范围的界定不尽相同。美国将组织内部控制策略和程序脆弱性纳入漏洞范畴,如缺乏安全培训、未制定 ICS 操作指南、缺少安全审计等;我国通常将其归为安全管理的薄弱环节而非漏洞,仅将有关 ICS 的软件、硬件、协议等的缺陷或薄弱点视为工控安全漏洞。

总体来看,工控安全漏洞即工业控制系统(以下简称 ICS)存在的信息安全漏洞,属于网络安全漏洞(又称漏洞/脆弱性)的特定类型。

(二)工控安全漏洞分类方法多样

漏洞分类是漏洞研究的基础。工控安全漏洞具有多方面的属性,可从不同角度对其进行分类。

一是基于工控安全漏洞存在的位置进行分类。系统(硬件、固件和软件)漏洞可细分为 5 类:架构和设计漏洞(如系统设计缺陷)、配置和维护漏洞(如系统配置错误)、物理漏洞(如设备故障)、软件开发漏洞(如数据验证不当)、通信和网络漏洞(如不安全的协议、防火墙配置错误)。

二是基于工控安全漏洞产生的原因进行分类。可以划分为代码问题、处理逻辑错误、弱口令、拒绝服务等多种类型。

三是基于工控安全漏洞影响的产品进行分类。可划分为工业生产控制设备漏洞、工业网络通信设备漏洞、工业控制系统协议漏洞、工业控制软件系统漏洞、工业生产信息系统漏洞、工业网络安全设备漏洞等 6 类。

(三)工控安全漏洞特性

一是系统固有漏洞多。传统 ICS 运营在封闭的环境中,设计时侧重功能性、可靠性而非安全性,基本不具备防范各类网络攻击的能力。在互联互通的新应用场景下,ICS 存在大量天然的安全缺陷或漏洞,且多为可造成远程攻击、越权执行的高危级别。

二是漏洞修复难度大。考虑到开机调试成本、系统运行成本、系统稳定性等因素,ICS 通常处于长时间不间断运行状态,无法高频次开展补丁安装、漏洞修补等工作。此外,ICS 运行的操作系统版本老旧,存在漏洞补丁兼容性差等问题,大量工控安全漏洞长期存在于工业生产环境中。

三是漏洞利用危害大。目前,漏洞利用已经成为不法分子发动网络攻击的主要方式。ICS 作为关键信息基础设施的重要组成部分,一旦工控安全漏洞被恶意利用,不仅可能造成工业生产中断,还可能危害国家安全、影响国计民生。

二、工控安全漏洞管理现状

面对日益严峻的漏洞形势,近年来我国出台了一系列法律法规文件,明确了漏洞管理的法律基础、组织架构和工作流程。

(一)工控安全漏洞管理法律基础不断夯实

《网络安全法》为工控安全漏洞管理奠定了法治基础。《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,其中第三、四、六章围绕网络产品的标准制定、漏洞管理、安全审查等对网络产品提供者、运营者等主体的法律责任进行了描述。

《关键信息基础设施安全保护条例》为针对关键信息基础设施合规开展工控安全漏洞探测等提供了重要法治保障。《条例》建立了关键信息基础设施漏洞探测、渗透性测试活动的批准机制,明确未经批准或授权,任何个人和组织不得对关键信息基础设施实施上述活动,并专门规定了相应罚则。

《网络产品安全漏洞管理规定》(以下简称《规定》)推动了包括工控安全漏洞在内的网络产品安全漏洞管理工作制度化、规范化、法治化。《规定》是《网络安全法》中漏洞管理具体条款的细化落实,规范了漏洞发现、报告、修补和发布等行为,鼓励各类主体发挥技术和机制优势合规地开展漏洞发现、收集、发布等工作,有助于提高相关主体漏洞管理水平。

(二)工控安全漏洞管理组织架构完善健全

《规定》细化了行业主管部门的漏洞管理职责分工,明确了网络产品提供者、网络运营者以及从事漏洞发现、收集、发布等活动的组织或个人等三类责任主体安全义务,进一步健全完善了漏洞管理组织架构。

行业主管部门。在漏洞监督管理方面,国家互联网信息办公室负责网络产品安全漏洞管理的统筹协调;工业和信息化部(以下简称工信部)负责网络产品安全漏洞的综合治理,承担电信和互联网行业网络产品安全漏洞的监督管理;公安部依法打击利用网络产品安全漏洞实施的违法犯罪活动。三部委实时共享漏洞信息,共同评估和处理重大安全漏洞,同步备案的漏洞收集平台。

网络产品提供者和网络运营者。在工控安全漏洞管理体系中,主要包括工控产品提供者、工控安全厂商和工控产品运营者等,其主要职责为修复自身 ICS 产品的安全漏洞,从源头消除漏洞风险,防范恶意利用,避免安全事件发生。

从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人。《规定》要求漏洞收集平台需向工业和信息化部备案,并鼓励发现安全漏洞的组织或者个人向工信部网络安全威胁和漏洞信息共享平台等报送信息。通过将相关组织和个人纳入漏洞管理组织架构,促进其在合法合规的条件下发挥更大的价值。

(三)工控安全漏洞管理工作流程更加规范

《规定》全面考虑各方主体,明确了漏洞管理不同环节的合规要求,进一步规范了包括工控安全漏洞在内的漏洞管理工作流程。

漏洞发现方面,要求网络产品提供者和网络运营者建立健全漏洞信息接收渠道并保持畅通,并对漏洞信息接收日志留存时间做出明确规定。

漏洞报告方面,要求网络产品提供者发现或获知所提供的网络产品存在漏洞后,立即采取措施并组织对漏洞进行验证,评估漏洞影响,在 2日内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息;对属于其上游产品或者组件存在的漏洞,要求立即通知相关产品提供者。

漏洞修补方面,要求网络产品提供者及时修补漏洞,将漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持;要求网络运营者及时验证发现或获知的漏洞并完成修补。

漏洞发布方面,规定了漏洞发布时间要求、漏洞细节发布要求、利用漏洞的安全行为要求、漏洞利用程序工具发布要求、安全措施同步要求、重大活动期间漏洞发布要求、漏洞信息对外提供要求等。

三、工控安全漏洞管理实践

为落实《规定》有关要求,工信部建设了网络安全威胁和漏洞信息共享平台。该平台采用“1 总库 +N 专业库”的运营模式,“N 专业库”之一为工业控制产品安全漏洞专业库,又称国家工业信息安全漏洞库(CICSVD),由国家工业信息安全发展研究中心负责运营。CICSVD 目前收录了德国西门子、法国施耐德电气、研华科技等 200 余家国内外工控品牌产品漏洞,涉及缓冲区错误、输入验证错误、权限许可和访问控制问题等 34 种漏洞成因,在支撑开展漏洞处置、风险预警等方面发挥了重要作用。

(一)工控安全漏洞收录范围

CICSVD 重点收录钢铁、有色、石化化工、装备工业、消费品工业、电子信息、国防军工、能源、交通、水利、市政、民用核设施等行业的工业生产控制设备、工业网络通信设备、工业主机设备和软件、工业生产信息系统、工业网络安全设备等相关产品和组件的安全漏洞及其解决方案,助力相关领域的工控产品提供者和工控产品运营者开展漏洞修补与应急处置工作。

(二)工控安全漏洞全生命周期管理

实施漏洞管理的关键是围绕漏洞生命周期进行全流程管理。目前 CICSVD 主要从漏洞研判与收录、漏洞通报与处置两大阶段进行工控安全漏洞闭环管理。

1. 漏洞研判与收录

漏洞研判与收录阶段通过广泛接收漏洞,并开展精准分析研判,为工控产品提供者修补漏洞提供技术支撑。具体包括:(1)在漏洞接收阶段,接收漏洞概要、受影响产品、补丁等漏洞信息;(2)在漏洞审核阶段,去除恶意报送、重复报送等无效信息;(3)在漏洞复现阶段,核实漏洞信息的真实性;(4)在漏洞研判阶段,主要研判漏洞的危害等级、利用难度、受影响产品在国内的分布情况、应用行业等;(5)在漏洞收录阶段,将通过研判的漏洞信息收录入库。

2. 漏洞通报与处置

漏洞通报与处置阶段通过督促工控产品提供者或工控产品运营者及时开展漏洞修补与处置,有效消减漏洞风险。具体包括:(1)在漏洞通报阶段,依据《规定》等法律法规,向工控产品提供者或运营者通报漏洞信息,督促其对未发布补丁或解决方案的漏洞制定合理有效的修补计划;(2)在修补计划审核阶段,审核修补计划的可行性、科学性,督促工控产品提供者或运营者及时调整修补计划;(3)在漏洞修补阶段,督促工控产品提供者或运营者根据修补计划立即开展漏洞修补工作,并及时反馈漏洞修补结果。同时,CICSVD 推出安全防护和应急响应等技术服务,支撑开展漏洞修补。

(三)多方共建工控安全漏洞生态

工控安全漏洞管理工作离不开政府部门、漏洞库运营团队、工控产品提供者、工控安全厂商、工控产品运营者、安全研究人员等组织和个人的共同参与。为充分凝聚工控安全产业界上下游力量,推动形成工控安全漏洞管理合力,有效防范漏洞风险,CICSVD 着力构建多方参与、协同共治的漏洞生态体系,目前已取得一定成效。

利用支撑团队力量,不断提升工控安全漏洞研究能力。为推动工控安全漏洞及时发现、报告和有效处置,CICSVD 积极发挥桥梁纽带作用,通过遴选支撑团队,引导工控安全厂商、工控产品提供者、工控产品运营者、研究机构、高校等共同参与漏洞库建设,持续壮大漏洞挖掘、风险研判、应急处置等技术力量。

发挥团体标准作用,促进行业规范工控安全漏洞管理。针对当前工控安全漏洞管理标准缺乏的问题,汇聚多方共同推进相关标准研制工作,着力提升漏洞管理水平。如编制形成了《工业信息安全漏洞分类分级指南(草案)》团体标准,助力行业企业精准识别漏洞类型、评估漏洞危害等级,制定合理有效的工控安全漏洞修复方案等。

建立正向激励机制,推动漏洞报送数量与质量双提升。综合运用颁发原创漏洞证书、建立支撑团队贡献积分制度、共享漏洞信息、颁发荣誉证书等精神激励、荣誉激励手段,吸引产学研用各方力量积极参与工控安全漏洞信息报送与共享工作、提高报送漏洞信息的准确性与完整性、加大高价值漏洞信息报送力度。

四、工控安全漏洞管理的思考

我国在工控安全漏洞监督管控、管理运营等方面已经取得了积极成效。但在工业数字化转型伴随着 ICS 暴露风险扩大、攻击技术加速迭代升级造成漏洞利用风险更高等趋势下,工控安全漏洞因其特殊性,漏洞管理仍面临着系列挑战。对此,建议重点围绕以下三个方面加强工控安全漏洞管理,提高关键信息基础设施风险防范能力,保障国家网络安全。

(一)建立健全漏洞管理政策标准体系

加快出台漏洞信息通报实施办法等政策文件,理顺工控安全漏洞通报机制,督促工控产品提供者及时修补漏洞并指导支持产品用户加强风险防控。持续强化标准引领作用,发挥政府、行业组织、研究机构等力量,推进工控安全漏洞分类分级、应急响应等国家标准的研究制定,指导各方根据漏洞评估结果优先级,有序推进漏洞及时修补,部署最佳防护策略,提高漏洞修复及应急处置效率。开展工控安全漏洞分类分级评估试点,加强各级漏洞管理的针对性,探索推行高危、超危漏洞限期修复,有力改善漏洞态势。

(二)加强工控安全漏洞风险识别监测

一方面,针对企业 ICS 资产繁多、普遍存在大量漏洞未修补或难以修补的现象,积极发挥工控安全态势感知平台主动防御功效,通过主动监测、被动诱捕、流量分析等手段,识别联网 ICS 资产设备,开展漏洞关联分析,实时监测漏洞利用情况,及时预警安全威胁,提升漏洞风险管理能力。另一方面,基于当前我国工控安全漏洞识别效率不高的现状,探索推动工控安全漏洞合规合理使用,支撑开展漏洞检测验证工具研发,提高已知漏洞的识别范围、识别精度及效率;支撑构建漏洞挖掘模型,结合不同 ICS 产品漏洞触发条件等,研发自动化漏洞挖掘工具,提高对各类 ICS 设备未知漏洞、后门类漏洞、鉴权绕过逻辑漏洞等的识别能力。

(三)加快培育工控安全漏洞管理生态

一方面,建立健全漏洞奖励机制,通过颁发荣誉证书、公开贡献排名、给予专项支持、推出悬赏计划、举办攻防大赛等,鼓励科研机构、行业企业、安全研究人员等开展合规的工控安全漏洞挖掘、验证、报送、修复等工作,凝聚政产学研用各方力量,共同打造工控安全漏洞管理良好生态。另一方面,积极发挥国家工业信息安全漏洞库等国家级漏洞专业库作用,持续健全漏洞库管理运营机制,搭建工控安全漏洞管理与交流平台,打通工控安全产业链上下游,促进安全研究人员、工控产品提供者、工业企业等的沟通协调,通过信息共享、交流研讨、人员培训、技术沙龙等,共同筑牢漏洞管理防线。