工业互联网快速发展期的安全漏洞管理研究

刚占慧

（国家工业信息安全发展研究中心，北京 100040）

0 引言

工业互联网安全防护事关国家安全与经济社会发展，合理地漏洞资源管控是保障互联网健康发展、消除工业互联网安全威胁和隐患的重要基础。做好工业互联网安全风险防护及漏洞管理是和国家发展形势、发展理念同频共振的。我国从国家安全角度出发，对网络安全漏洞管理进行了顶层设计和战略布局[1]，确保安全保障和信息化建设同规划、同建设、同运行。

自2018年至今，我国相继制定与发布了《信息安全技术 网络安全漏洞管理规范》[2]GB/T 30276-2020、《信息安全技术 网络安全漏洞分类分级指南》[3]GB/T 30279-2020、《工业数据分类分级指南（试行）》等漏洞相关国家标准文件，为指导工业互联网安全漏洞管理全生命周期、安全漏洞分类分级提供了参考与依据。近期，全国人大、国务院、工业和信息化部等密集出台网络安全相关法律法规，推动实施《关键信息基础设施安全保护条例》《数据安全法》《网络产品安全漏洞管理规定》（以下简称《规定》）等制度文件，为保护关键信息基础设施安全、做好工业互联网安全漏洞防护提供了可落地、可执行、可持续的法律保障和制度规范。

为指导产业健康与良性发展，围绕“积极防御、威胁情报、态势感知、安全可视”的科学系统的安全防护体系成为必然。可以预见，未来还将会有更多关于安全漏洞管理的产业政策出台，继续保持对安全漏洞保护的力度，扎密安全漏洞防护栏，支撑我国网络安全产业创新发展。

1 工业互联网安全形式依然严峻

1.1 重点领域安全问题凸显，国家级基础设施频受影响

鉴于针对工业领域的攻击通常具有高破坏性与高回报性的潜力，且由于工业领域相关信息的高度敏感性与安全防范意识的薄弱性，使得工业领域成为攻击者的重点目标。纵观全球，2021年上半年的工业互联网安全形势略显凄凉。

国内方面，据国家工业信息安全发展研究中心监测数据，我国制造、交通、市政等多个重点行业存在安全风险，其中市政领域以23.5%的比例继续占据风险最高的领域，制造业紧随其后占17.5%。

国外方面，黑客利用远程代码执行漏洞导致奥兹马水处理设施技术流程中断；美国输油大动脉被攻击致东海岸出现“油荒”[4]；全球最大肉类加工巨头JBS食品公司遭勒索攻击被迫中断生产线等网络安全攻击事件，直接证明了对工业领域发起定向攻击已成为黑客的重点目标，尤其是针对国家级基础设施与大型企业发起的攻击。

1.2 勒索渗透活动异常活跃，供应链风险防范迫在眉睫

全球工业领域网络安全风险急剧增长，影响工业流程的勒索软件首当其冲，较2020年统计新增4个专门针对工业控制系统/运营技术的已知勒索组织[5]。据安全公司SonicWall统计，2021年上半年发现3.047亿次勒索软件攻击未遂事件，同比增长151%[6]，或将成为SonicWall公司统计中勒索攻击最猖獗的一年。

此外由于OT环境可见性的严重缺失，供应链的风险愈发严峻。7月，美国软件供应商Kaseya多家下游托管服务提供商客户的系统遭受REvil勒索软件攻击，导致Kaseya公司供应链安全生态遭破坏；9月，FBI警告称勒索团伙正在积极发起针对食品和农业部门的攻击和破坏活动，可直接影响到食品供应链。

1.3 低防护联网设备数量激增，工业企业安全问题明显

图1 全球勒索软件事件数量统计

工业互联网设备种类多、数量大，关键设备覆盖面不全，安全检测认证体系尚不成熟是我国工业互联网安全的主要问题[7]。据国家工业信息安全发展研究中心统计数据显示，低防护联网设备数量较同期有较大幅度增长，安全风险面越来越大。2021年上半年，我国各类低防护联网设备数量总计超过520万台/套，环比增长4%。其中，摄像头、车载模块、打印机等终端设备占比超过90%。可编程逻辑控制器（PLC）、数据采集与监视控制系统（SCADA）、数据传输单元（DTU）等工业控制系统数量近2.1万台/套。针对我国工业领域的网络攻击同比增幅超2倍，遭受网络攻击的工业企业同比增长57.2%[8]。91%的工业组织容易受到网络攻击，69%的外部攻击者可从工业企业窃取敏感数据，56%的攻击者可访问工业控制系统[9]，进而造成生产关闭、设备故障、工业事故等严重损害。

1.4 安全漏洞形势严峻，重大安全漏洞一触即发

工业互联网安全漏洞产品类型主要涉及工业软件、组态软件、数据采集与监控系统（SCADA）、可编程逻辑控制器（PLC）等。安全漏洞的披露已成为安全风险控制的重要环节，对降低风险和分化风险具有至关重要的作用[10]。2021年上半年，国家工业信息安全漏洞库（CICSVD）新增通用软硬件漏洞数量达731个，高危及以上漏洞占比63%，同比增长5%。主要涉及德国西门子、法国施耐德、研华科技、美国罗克韦尔、美国思科等125家国内外厂商产品。鉴于漏洞资源的特殊性，即使十年前的漏洞仍可成为攻击者的利用重点，尤其是对生产运行稳定性高的工业领域，漏洞修复无计划、补丁更新不及时、重产能弱安全的情况短期内仍将存在，一旦漏洞被公开或泄露，若未及时修复，将导致被不法分子利用从而造成信息窃取、后门植入、数据篡改等恶意操作。2021年9月，台湾摩莎公司生产的铁路设备及产品被曝受到超过50个漏洞的影响，这些漏洞是在过去十年中发现的第三方组件漏洞，其中部分系列设备已经停产，若漏洞未得到及时修补，将直接危及铁路轨道正常运转。

2 国内外重点行业领域漏洞管理现状

2.1 美国关基领域逐步形成较为全面的漏洞管理机制

为强化对关键信息基础设施的漏洞评估与修复，美国不断对漏洞挖掘、信息共享、漏洞处置等方面进行细化和延伸，专门成立了加强工业控制系统安全漏洞管理工作的工业控制系统应急响应小组，及时处置基于漏洞的各类工业信息安全攻击事件。美国国会要求加强关键基础设施领域漏洞的检查评估和漏洞修复工作，同时提供了用于漏洞识别和修复工作的资金支持，以不断提升完善防护能力。此外，美国在关键信息基础设施网络安全方面还采取“政企合作”的保护模式[11]，主要体现在信息共享、应急演练与事件处置等方面。

2.2 美、欧、俄、新等国采用众测活动保障漏洞挖掘质量

国外发达国家在工业互联网安全领域已形成较为全面的漏洞管理体系，同时为提升社会各界漏洞挖掘的积极性与漏洞资源的自主可控性，国外主要国家的政府、军事部门纷纷出台“漏洞赏金计划”，采取众测模式保障漏洞挖掘的整体质量。美军方是开展网络漏洞众测活动最早的部门，先后开展了“黑掉五角大楼”“黑掉美国陆军”“黑掉美国空军”等活动，收集并修复了大量有价值的漏洞，提高了网络防御能力。例如，2018年12月美空军在三天之内就发现并修复了120多个安全漏洞。欧盟于2019年初启动了针对14个免费开源软件审计项目FOSSA的漏洞赏金计划。俄罗斯政府于2018年1月批准了一项信息安全计划，该项计划共拨付8亿卢布资金，持续到2020年年底，任何人均可参与查找国家IT系统漏洞。新加坡政府在2021年9月推出高达15万美元的漏洞赏金计划，以保护政府的信息通信技术和智能系统。

2.3 我国工业互联网安全漏洞管理现状

我国已初步建立数据安全管理机制，在管理体系、监督管控、平台建设、管理运营等方面取得了一定成效，2021年安全漏洞管理上层设计、平台建设提速。一方面，漏洞管理上层设计初步确立。7月，由工业和信息化部、国家互联网信息办公室、公安部联合发布《规定》，为推动安全漏洞管理工作的制度化、规范化、法制化，维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行提供重要依据与规范。另一方面，工业互联网安全漏洞管理体系日臻完善。为落实《规定》有关要求，工业和信息化部网络安全威胁和漏洞信息共享平台于9月1日正式上线运行，形成了以CICSVD技术平台为代表的工业互联网安全漏洞管理体系，为实现国家级漏洞平台高效运营和管理提供基础保障。

3 我国工业互联网安全漏洞管理的问题

3.1 统一规范的漏洞管理标准有待形成

我国在漏洞管理方面已出台多份标准规范、规定指南，然而较国外发达国家数量仍相对较少[12]。各行业领域下的漏洞命名、分类分级独成体系，缺乏漏洞公开、出口管理政策，不便于整体网络安全漏洞的统一管理与共享，随着《规定》的实施与国家级平台的建设，领域漏洞的分类分级国家标准亟待出台、应用与推广。

3.2 漏洞专业库建设水平参差不齐

已建成的国家级漏洞库平台收录内容存在部分交叉，平台定位不够清晰、平台间区分度不足、界限不够明确，导致信息多次报送与审核。工业信息安全、车联网安全、移动安全等专业型漏洞库建设和推广不足，平台自身安全防护水平与抗攻击能力有待进一步测试，距离高标准还存在较大差距。

3.3 漏洞挖掘和上报积极性不到位

目前我国国家级漏洞库平台仍主要采取证书授予、书面表扬等精神奖励方式为主，鼓励各方开展信息报送工作，相较国外众测、漏洞赏金计划、定向人才培养等奖励方式而言，难以促进和吸引高价值漏洞的挖掘和上报。

4 应对措施

4.1 建立完善的网络安全漏洞管理体系

持续加强漏洞管理政策标准顶层设计，指导、监督开展漏洞全生命周期管理。紧密围绕GB/T 30276-2020、GB/T 30279-2020、《规定》等政策法规，规范漏洞收集、上报、披露、分级分类、信息共享、接口规范、应用管控等管理要求。强化漏洞评分、报告、命名、分类分级等国家标准的研究，细化行业标准制定。将访问途径、利用复杂度、影响程度等要素纳入标准制定中，支撑形成较为完善的漏洞标准体系。通过标准贯标、试点示范等方式，逐步推动相关政策要求、标准规范等在国家级、行业级、企业级漏洞库的应用推广和落地使用。

4.2 做好专业领域漏洞库建设和风险防护

按照《规定》要求，充分考虑并合理发挥各漏洞专业库的优势和特点，明确建设与服务边界，完善国家级漏洞库管理协调机制，充分整合工业互联网安全、车联网安全、关键信息基础设施安全等具备行业特色的专业领域漏洞库。强化漏洞收集、发布等过程的权威性，建立漏洞库间联动与共享机制。建立一套国家统筹和监督部门、行业保护部门、运营者多级联动的立体化协同综合防控体系，采取异地存储、分散下发、定期转移等机制，强化漏洞监测、威胁发现、资源汇聚、漏洞评估和修复，持续提升网络产品自身及外部安全效果。

4.3 强化漏洞的评估管理和合理利用

建立网络产品安全漏洞分类分级机制，开展产品漏洞分级评估试点，逐步形成系统化漏洞评估管理模式，面向不同等级和类型的安全漏洞进行针对性管理，形成安全、可用与可追溯的漏洞管理闭环。强化漏洞的安全管理和合理利用，明确对不同级别漏洞的处置原则，尤其是针对危害范围广、风险程度高的“零日”漏洞，要严格其出口管控和对外使用。深入利用工业互联网安全资源库，构建工业数据安全综合治理平台，从而实现工业数据的事前风险防范、事中主动防御、事后及时处置的综合防御效果。

4.4 深化安全态势感知平台在工业领域的应用

及时跟踪发现暴露在互联网上的低防护联网设备，提取在网络层、设备层中部署发现网络系统的运行背景及活动意图，基于大数据、人工智能和机器学习等技术开展以情报驱动的监测、分析、研判和处置，并以多角度多维度的层次化模型呈现网络安全态势，辅助企业决策者快速做出预判和干预，降低安全隐患，识别出各类网络活动及异常行为意图，从而获得网络安全态势，评估工业场景下系统运行安全情况，更好地加固网络安全。