杨一未 孙成昊
(中国信息安全测评中心 北京 100085)
(yangyw@itsec.gov.cn)
在万物互联的信息时代,网络的触角不断延伸,关键信息基础设施安全已成为全球各国普遍关注的重点问题.2017年6月我国实施的《中华人民共和国网络安全法》[1](简称《网络安全法》),从立法层面明确要求对可能严重危害国家安全、国计民生、公共利益的关键信息基础设施实施重点保护.2021年8月颁布的《关键信息基础设施安全保护条例》[2]对关键信息基础设施保护相关的一系列要素作了更具体的规定,进一步推进了《网络安全法》在关键信息基础设施领域的落地工作.全国信息安全标准化技术委员会正在起草的《关键信息基础设施网络安全保护基本要求(报批稿)》[3]等系列标准从不同角度对关键信息基础设施保护要素特别是漏洞管理提出了更为具体的要求.自网络安全问题诞生以来,网络安全漏洞就是攻防双方关注的焦点问题.及时掌握漏洞资源信息、准确评估漏洞危害、采取适当有效的措施消除或缓解漏洞产生的风险是信息安全管理工作的核心落脚点.是否有必要编写一套在关键信息基础设施漏洞管理工作中使用的标准、该标准应包括哪些内容、供哪些关键信息基础设施保护相关角色使用,以促进我国关键信息基础设施相关法规在漏洞管理领域的落地,并切实提升我国网络安全防护水平等一系列问题,值得深入研究与思考.
不断加强关键信息基础设施保护力度已逐渐成为世界主要大国和信息强国的共识,关键信息基础设施漏洞管理更是各国关键信息基础设施保护的必要内容.通过研究国外关键基础设施保护相关法律法规、政策、标准的发展历史,发现欧美等信息安全强国在构建关键基础设施保护体系过程中,基本都经历了对关键基础设施角色进行划分、关键基础设施保护体系搭建和聚焦关键基础设施漏洞管理3个步骤.美国2013年第21号总统政策指令《关键信息基础设施的安全和恢复能力》[4]和2017年特朗普政府《联邦政府网络与关键性基础设施网络安全强化》[5]提出了“关键基础设施所有者”概念,开始对关键基础设施角色进行划分,并关注到关键信息基础设施漏洞管理,提出关键信息基础设施间的漏洞信息共享;2018年3月至9月,先后出台的2018 DHS(United States Department of Homeland Security)《网络事件响应小组法案》[6]《提升关键基础设施网络安全的框架(网络安全框架1.1)》[7]《国家网络战略》[8],分别从私营企业的安全专家引入、关键基础设施保护的灵活性和关键基础设施网络安全工作的支柱、目标、优先行动等问题入手,思考和建立关键基础设施保护体系;2020年5月美国网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency, CISA)、能源部(Department of Energy, DOE)等共同发布的《工业控制系统网络安全最佳实践》[9],重点提及了要加强漏洞分析和补丁管理,进一步聚焦关键基础设施漏洞管理工作.欧盟数据治理法律体系的建构演进主要分为5个阶段:1981年公约阶段;1995年指令阶段;2016年条例阶段;2018年条例配套法律阶段;2020年始数据战略阶段[10].在这个过程中欧盟各成员国和英国于2017年11月发布了《关键信息基础设施领域的物联网安全基线指南》[11],提出了关键基础设施安全基线分析框架,引入多种关键基础设施角色;2018年5月,《欧盟“关键信息设施”网络与信息安全(network and information security, NIS)指令》[12-13],要求成员国建立国家网络安全战略、网络安全事件应急小组、国家网络与信息安全主管部门,确定基础服务运营商名单,这标志着欧盟关键基础设施保护体系搭建工作全面开展.成员国建立的国家网络安全战略中应包括关键基础设施保护工作的现实依据、框架条件、基本原则、战略目标和保障措施等内容.前面提到的《工业控制系统网络安全最佳实践》,英国国家网络安全中心也参与其中,说明英国和欧盟各国也逐渐关注到关键基础设施漏洞管理,逐渐进入到将关键基础设施漏洞管理工作独立出来的发展阶段.
① 全国信息安全标准化技术委员会WG7信息安全管理工作组. 关键信息基础设施网络安全框架(草案)[S] (2018).
回顾我国关键信息基础设施保护工作,2017年6月起实施的《网络安全法》标志着我国将关键信息基础设施保护工作提升到立法高度.《网络安全法》作为上位法规定了关键信息基础设施保护的总要求,而《关键信息基础设施安全保护条例》是落实关键信息基础设施保护的专门规章.为了配合法律法规的落地,我国正在起草制定一系列关键信息基础设施保护标准,《关键信息基础设施安全控制措施(征求意见稿)》[14]对关键信息基础设施保护相关角色和职责进行了明确,分为关键信息基础设施运营者、关键信息基础设施安全保护工作部门、关键信息基础设施安全保护中的其他参与者3类,并在该标准中对关键信息基础设施运营者在漏洞管理、资产管理、人员责任和培训、漏洞监测控制等方面提出了目标要求;《关键信息基础设施网络安全框架(草案)》①给出了关键信息基础设施运营者的具体定义;《关键信息基础设施网络安全保护基本要求(报批稿)》对关键信息基础设施运营者在业务识别、资产识别、风险识别、变更过程、安全制度、人员管理等方面提出了目标要求;《关键信息基础设施安全保障指标体系(报批稿)》[15]给出了关键信息基础设施运营者的信息安全漏洞数据库中漏洞数据量和漏洞等级的指标计算方法;《关键信息基础设施安全防护能力评价方法(征求意见稿)》[16]和《关键信息基础设施安全检查评估指南(送审稿)》[17]分别从不同的管理粒度提出了关键信息基础设施安全评估、评价需考虑的资产、业务、风险等要素的要求,同时给出了检测关键信息基础设施漏洞存在情况应采用的方法和技术手段.
通过对我国关键信息基础设施保护体系建设情况的分析,如果关键信息基础设施安全保护工作部门能够综合运用好现行关键信基础设施保护和漏洞管理标准,形成关键信息基础设施漏洞发现的良性循环,不断完善关键信息基础设施评估与共享体系,加强关键信息基础设施间的漏洞保护合作与关联.同时配合现行关键信基础设施保护和漏洞管理标准,针对关键信息基础设施运营者编写一套指南类标准(该标准向关键信息基础设施运营者提供关键信息基础设施漏洞库、补丁库建设方法,涵盖资产管理、人员管理和关键信息基础设施保护其他参与者管理等内容),将进一步健全我国关键信息基础设施管理体系,深化推进《网络安全法》和《关键信息基础设施安全保护条例》的落实工作.
现行的漏洞管理类标准要么从漏洞处理的某个角度定义了漏洞生命周期后,进行规范的制定,要么是以漏洞某一属性,进行漏洞某一特性的分析.所以,根据不同漏洞生命周期和通用特性为划分标准,漏洞管理标准可分为以下3类:
1) 漏洞生态中的漏洞生命周期标准
该类标准的漏洞生命周期大体分为漏洞发现、漏洞接收、漏洞验证、漏洞处置、漏洞发布(披露)等几个环节.其使用主体为产品厂商、漏洞库建设者、安全服务人员等.显著特点是该类标准规范了漏洞报送和披露的流程,可以促进厂商提升版本管理、补丁管理、安全管理等的规范程度,提升产业生态良性发展空间.其中代表性的漏洞管理相关标准为《ISO/IEC 30111:2019信息技术-安全技术-漏洞处理流程》[18]《ISO/IEC 29147:2018 信息技术-安全技术-漏洞披露》[19]《GB/T30276—2020信息安全技术 网络安全漏洞管理规范》[20]等.
2) 漏洞消控工作中的漏洞生命周期标准
该类标准聚焦的是资产中的漏洞消控流程,核心工作是漏洞排查和漏洞修复.其使用主体应该是某一组织或实体,或者是关键信息基础设施运营者.这类标准的代表是:以《NISTIR 8011 第4卷 安全控制评估自动化支持:软件漏洞管理》[21-24]为代表的“NISTIR 8011系列标准”、《NIST 800-40 第2版 创建补丁和漏洞管理程序》[25]《NIST 800-40 第3版 企业补丁管理技术指南》[26]《NCSC(National Cyber Security Centre)漏洞管理》[27]等.
3) 描述漏洞通用特性的标准
该类标准包括以《ITU-TX.1520 网络安全漏洞常见标识》[28-32]为代表的“ITU-T漏洞管理系列标准”《GB/T 28458—2020信息安全技术 网络安全漏洞标识与描述规范》[33]《GB/T 30279—2020信息安全技术网络安全漏洞分类分级指南》[34]等.该类标准是针对漏洞的某一特性,或组成漏洞的某一元素进行规范后形成的标准.
美国先后发布的《持续诊断和缓解方案》[35]《协调漏洞披露》[36]《关键基础设施安全和恢复指南》[37]《国家网络事件相应计划》[38]等,从关键基础设施风险、关键基础设施资产、关键基础设施漏洞共享等不同角度,阐述了在国家层面关键信息基础设施漏洞保护的目标和要求,特别强调了不同关键信息基础设施之间的强关联性导致的关键基础设施漏洞共享,以及漏洞库在关键基础设施漏洞管理中的作用,对关键基础设施安全保护工作部门具有很高的参考价值.欧洲网络与信息安全局在《2018/2019漏洞状态:漏洞生命周期中的事件分析》[39]报告肯定了漏洞库在关键信息基础设施漏洞管理中的重要作用,但同时认为所有的漏洞库都不可能是足够完整的,所以应搭建适合自己的漏洞库,该报告给出的“漏洞模型”和“漏洞研究方法模型”对关键信息基础设施运营者进行漏洞管理具有很高的借鉴意义.
桑迪亚国家实验室和卡耐基梅隆大学的观点均认为,关键信息基础设施漏洞消控管理应考虑能承受的风险、可支付的成本,并制定相应的计划,同时要对消控结果进行评估.卡耐基梅隆大学在美国国防部资助成立的研究和发展中心承担的美国国土安全部(DHS)网络安全评估项目(cyber security evaluation program, CSEP)中先后共开发了10个CRR(cyber resilience review)资源指南,除了《漏洞管理》[40]指南提供了建立漏洞管理流程的指导性建议外,其他指南涉及了《资产管理》[41]《控制管理》[42]《配置和变更管理》[43]《事件管理》[44]《服务连续性管理》[45]《风险管理》[46]《外部依赖关系管理》[47]《培训和意识》[48]《态势感知》[49]等内容.是适合美国国情的关键信息基础设施漏洞保护的体系性文件,对于我国关键信息基础设施漏洞消控管理标准的制定具有极为重要的参考价值.
国内外的企业及机构根据自己的市场经验和本国国情,给出了不同的漏洞消控方法论和模型,虽然各自的阶段划分不完全相同,但基本都具有准备、制定计划、执行操作、检验评估和循环改进5个步骤.
虽然各国政府主管部门、科研院所、企业及机构的漏洞消控前沿理论,对建设我国关键信息基础设施漏洞消控管理标准具有重要的参考价值,但目前国内外的漏洞消控理论在定义资产属性、处理流程、属性规范等方面均存在较大差异,需要根据我国的基本国情重新进行梳理,编制出具有我国关键基础信息基础设施特色的领域标准.
关键信息基础设施安全保护工作部门对关键信息基础设施漏洞管理站位较高,需总体协调漏洞资源,实现不同关键信息基础设施间的漏洞共享,对关键信息基础设施漏洞消控工作提出总体目标要求,促进关键信息基础设施漏洞管理生态良性循环.关键信息基础设施运营者视角的漏洞管理最为关心的是资产上的漏洞消控问题,所以对于信息资产的管理、应用环境下漏洞危害的评估方法和漏洞消控快速处置机制是最为突出,也是关键信息基础设施运营者最为关心和关注的问题.可以看出关键信息基础设施运营者的漏洞消控问题是核心,也是重点.
大部分关键信息基础设施运营者也是信息系统建设者,信息系统建设者视角下的安全生命周期可划分为立项(系统规划)、开发(系统分析、系统设计、系统实施)、运维和废弃[50]4个阶段,关键信息基础设施运营者的漏洞管理工作贯穿其中.由于关键信息基础设施的漏洞管理是基于漏洞消控的漏洞管理,所以首先面对的就是脆弱性资产上的漏洞消控问题.从关键信息基础设施运营者视角观察资产(或系统)的使用状态,可分为2大类:一类是已经在使用中的资产(或系统);另一类则是已经完成开发、等待上线的系统.对于第1类资产的漏洞管理流程,主要包括漏洞发现、脆弱性资产排查、消控方案制定、漏洞消控等阶段;第2类资产的漏洞管理流程则包括漏洞发现(代码扫描、渗透测试等手段)、漏洞修复、回归测试等几个阶段.关键信息基础设施的漏洞生命周期和现行国标漏洞生命周期的对比如图1所示:
图1 关键信息基础设施的漏洞生命周期和现行国标漏洞生命周期的对比图
关键信息基础设施的漏洞消控管理往往涉及资产(探测)管理、事件型漏洞的发现与处置、通用型漏洞事件化管理、系统化的补丁收集与分发管理、防护方案的制定与验证管理、红蓝队的组织与管理、外部力量的使用与管理等.因此,其要素可以概括为漏洞管理、资产管理、补丁管理、人员管理和组织管理.每个要素又可分为准备、规划、执行、监控和变更5个管理阶段,覆盖关键信息基础设施2种情况下的漏洞生命周期,关键信息基础设施漏洞消控管理各组成部分的相互关系,如图2所示.
图2 关键信息基础设施漏洞消控管理各组成部分的相互关系
漏洞管理:作为消控单元具体参考的核心数据,建立全面、准确、规范的漏洞库对整体的消控起到关键性的作用;另外,基于不同用户需求建立满足不同场景的专项漏洞库对指导具体领域的消控也很重要;漏洞库建立过程中涉及到的分类、数据源准确性判断、漏洞类型划分、漏洞危害定级等都对漏洞库的质量提出了明确的需求.
资产管理:资产作为消控的主体单元,对资产的编排、监控、部署等信息的获取或收录也同样面临重大的挑战;摸清家底,并对家底的相关信息部署结构以及重要性进行标识,对进行具体资产的漏洞消控有很好的参照性.
补丁管理:补丁库作为漏洞消控的主要资源,对补丁的收录、可用性、安全性、有效性的验证也成为漏洞消控的重要一环;另外,补丁在具体使用过程中也应做好相关管控记录,保证补丁的整个使用过程可视化、可监控.在此将消控方案也视为补丁管理的一部分,因为漏洞消控主要分为2个方面:一方面,通过安装相关补丁实现对漏洞的消控,而安装补丁与具体的业务系统相关,如果安装补丁对业务系统没有影响,可以达到消控的目的;如果安装补丁会对业务系统带来潜在风险,那么不能通过补丁完成漏洞消控的目标;另一方面,可以通过构建有效的加固方案来达到控制漏洞的目的.因此,通过建立针对相关漏洞的有效加固方案的方法同样重要.
人员管理:漏洞消控的主体是资产,而具体操作是执行人.因此,通过2方面建立人员管理制度:1)建立合规的漏洞消控规约制度,保障按照一定的指南标准来实施漏洞消控的相关步骤;2)加强人员的网络安全素养,强化实施人在资产安全加固和安全知识体系的建设,做到知其然知其所以然.
组织管理:针对《关键信息基础设施安全控制措施(征求意见稿)》中定义的关键信息基础设施保护中的其他参与者而言,主要是对安全产业内参与关键信息基础设施运营者漏洞管理工作的相关合作厂商的管理.通过客观、合理、高效的外部依赖关系管理,能够更加有效地使用外部资源,提升关键信息基础设施运营者漏洞管理效率,充分利用产业资源,形成良好产业生态.
关键信息基础设施运营者视角下的漏洞全生命周期管理由一系列以漏洞消控为核心的安全管理活动组成.关键信息基础设施漏洞消控管理的工作过程如表1所示:
表1 关键信息基础设施漏洞管理要素、阶段与过程
漏洞消控管理5要素与漏洞消控5阶段交叉细分为32个工作过程,其中漏洞管理包括12个工作过程、资产管理包括7个工作过程、补丁管理包括4个工作过程、人员管理包括6个工作过程、组织管理包括3个工作过程.关键信息基础设施运营者漏洞消控工作标准化工作,可通过对上述32个工作过程的剖析寻求合理的解决之道.
本文从对国内外关键信息基础设施保护体系建设的历史出发,总结出其发展的客观规律,结合我国发展现状,认为现阶段正是我国处于为关键信息基础设施运营者建立专门的漏洞消控相关标准的时期,该标准的出台可促进关键信息基础设施系统化开展漏洞消控管理工作.本文通过对国内外漏洞管理标准及理论研究成果进一步的研究,及关键信息基础设施漏洞生命周期与现行国标漏洞生命周期的对比分析,概括总结了关键信息基础设施漏洞消控管理5要素、5阶段和32个工作过程,该模型可作为编制具有我国关键信息基础设施特色标准的基础,继续深化形成具有良好适用性和可用性的国家标准.