国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

    1　前言

    2003年12月17日，美國(guó)政府頒布了第7號(hào)國(guó)土安全總統(tǒng)令（HSPD-7）《關(guān)鍵基礎(chǔ)設(shè)施標(biāo)識(shí)、優(yōu)先級(jí)和保護(hù)》，要求國(guó)土安全部（DHS）制定保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和重要資源（CIKR）的國(guó)家戰(zhàn)略計(jì)劃。認(rèn)識(shí)到控制系統(tǒng)對(duì)關(guān)鍵基礎(chǔ)設(shè)施的重要性后，國(guó)土安全部下屬的國(guó)家防護(hù)與計(jì)劃司（NPPD）啟動(dòng)了“控制系統(tǒng)安全計(jì)劃（CSSP）”，旨在通過(guò)加強(qiáng)控制系統(tǒng)的信息安全保障來(lái)減少?lài)?guó)家關(guān)鍵基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)。漏洞發(fā)布是美國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全信息共享的主要方式，也是CSSP計(jì)劃的重要組成部分之一。從2006年5月信息安全研究人員Matt Franz向美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組（US-CERT）上報(bào)的第一個(gè)工業(yè)控制系統(tǒng)信息安全漏洞開(kāi)始，2009年以前的所有工業(yè)控制系統(tǒng)漏洞都是由US-CERT處理和發(fā)布并錄入國(guó)家漏洞庫(kù)（NVD）。然而，面對(duì)不斷涌現(xiàn)的工業(yè)控制系統(tǒng)信息安全事件和漏洞，缺乏工業(yè)控制領(lǐng)域?qū)＜液徒?jīng)驗(yàn)的US-CERT在處理相應(yīng)漏洞時(shí)顯得力不從心。2009年11月，國(guó)土安全部組織專(zhuān)業(yè)技術(shù)隊(duì)伍正式建立了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組（ICSCERT），專(zhuān)門(mén)響應(yīng)、支持、分析和處理工業(yè)控制系統(tǒng)信息安全事件和漏洞。同年，國(guó)家防護(hù)與計(jì)劃司下設(shè)的網(wǎng)絡(luò)安全與通信辦公室（CS&C）成立了國(guó)家網(wǎng)絡(luò)安全與通信集成中心（NCCIC），領(lǐng)導(dǎo)并協(xié)調(diào)ICS-CERT的漏洞發(fā)布等相關(guān)工作。截止2014年8月，ICS-CERT通過(guò)官方網(wǎng)站公開(kāi)發(fā)布了400多份關(guān)于工業(yè)控制系統(tǒng)信息安全漏洞的警告和通報(bào)，有效保證了關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者獲取工業(yè)控制系統(tǒng)漏洞信息。

    作為工業(yè)最發(fā)達(dá)的國(guó)家之一，日本也在不斷加強(qiáng)工業(yè)控制系統(tǒng)信息安全保障工作。日本經(jīng)濟(jì)產(chǎn)業(yè)?。∕ETI）在2010年設(shè)立了網(wǎng)絡(luò)安全與經(jīng)濟(jì)研究小組，該小組的一個(gè)主要研究?jī)?nèi)容便是“確保工業(yè)控制系統(tǒng)的信息安全”。在該小組的基礎(chǔ)上，2011年METI成立了工業(yè)控制系統(tǒng)信息安全專(zhuān)門(mén)工作組，確保日本關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)的信息安全。2012年3月，METI與橫河、日立等8個(gè)工業(yè)控制系統(tǒng)相關(guān)企業(yè)建立了工業(yè)控制系統(tǒng)的技術(shù)研究協(xié)會(huì)——控制系統(tǒng)安全中心（CSSC），作為政府和行業(yè)共同推動(dòng)工業(yè)控制系統(tǒng)信息安全研發(fā)和支撐的重要單位，截止目前已經(jīng)建立了污水處理、化工過(guò)程控制、電力、輸氣管道等9個(gè)工業(yè)控制系統(tǒng)信息安全測(cè)試床（CSS-Based 6）。漏洞發(fā)布是日本工業(yè)控制信息安全保障工作的重要組成部分，相關(guān)工作主要由METI下屬的日本計(jì)算機(jī)應(yīng)急處理協(xié)調(diào)中心（JPCERT/CC）和信息技術(shù)促進(jìn)局（IPA）負(fù)責(zé)領(lǐng)導(dǎo)。

    2　美國(guó)工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機(jī)制

    美國(guó)工業(yè)控制系統(tǒng)信息安全漏洞的發(fā)布工作具有多方積極參與和相互協(xié)調(diào)配合的特點(diǎn)。圖1展示了美國(guó)工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機(jī)制。ICS-CERT負(fù)責(zé)總體協(xié)調(diào)，與相關(guān)實(shí)驗(yàn)室、信息安全研究人員和廠商協(xié)作挖掘、分析和消減工業(yè)控制系統(tǒng)信息安全漏洞，配合廠商向受影響的企業(yè)客戶通報(bào)漏洞，并通過(guò)官方網(wǎng)站或安全門(mén)戶網(wǎng)站發(fā)布漏洞信息。
 

    美國(guó)工業(yè)控制系統(tǒng)信息安全的漏洞發(fā)布包括如圖2所示的五個(gè)步驟。

    2.1　漏洞收集與挖掘

    ICS-CERT收集工業(yè)控制系統(tǒng)漏洞報(bào)告主要有3個(gè)途徑：（1）ICS-CERT分析挖掘的漏洞，主要來(lái)自于在響應(yīng)信息安全事件或?qū)S商產(chǎn)品進(jìn)行評(píng)估時(shí)發(fā)現(xiàn)的漏洞；（2）從公開(kāi)媒體、出版物和網(wǎng)絡(luò)獲取的漏洞，主要來(lái)源于公開(kāi)的安全事件或者黑客主動(dòng)發(fā)布的漏洞；（3）安全研究人員或廠商上報(bào)的漏洞，這也是最主要的漏洞報(bào)告來(lái)源。

    在收到漏洞報(bào)告后，ICS-CERT將對(duì)上報(bào)的漏洞進(jìn)行初步的分析以消除冗余和誤報(bào)，同時(shí)對(duì)漏洞進(jìn)行分類(lèi)，并錄入需求追蹤標(biāo)簽系統(tǒng)RTTS。在漏洞分類(lèi)后，ICSCERT將嘗試聯(lián)系廠商來(lái)協(xié)同開(kāi)展后續(xù)工作。如果漏洞發(fā)現(xiàn)者允許，ICS-CERT會(huì)把漏洞發(fā)現(xiàn)者的姓名和聯(lián)系方式告知受影響的廠商，同時(shí)也會(huì)在對(duì)廠商產(chǎn)品信息保密的基礎(chǔ)上告知漏洞發(fā)現(xiàn)者RTTS系統(tǒng)中漏洞處理的狀態(tài)變化。如果廠商不響應(yīng)聯(lián)系或不制定有效的補(bǔ)救日程表，那么ICS-CERT可以在45天后直接發(fā)布漏洞信息。

    2.2　漏洞分析

    愛(ài)達(dá)荷國(guó)家實(shí)驗(yàn)室I N L （ I d a h o N a t i o n a lLaboratory）建立了高級(jí)分析實(shí)驗(yàn)室AAL（AdvancedAnalytical Laboratory），為ICS-CERT提供了技術(shù)分析能力。ICS-CERT與廠商配合，從檢查、驗(yàn)證和潛在風(fēng)險(xiǎn)分析等方面開(kāi)展漏洞分析工作。ICS-CERT會(huì)在國(guó)家漏洞庫(kù)NVD的漏洞評(píng)分系統(tǒng)CVSS（CommonVulnerability Scoring System）對(duì)漏洞的嚴(yán)重性評(píng)分，并在必要時(shí)協(xié)同廠商在AAL實(shí)驗(yàn)室進(jìn)行研究分析。

    ICS-CERT會(huì)基于漏洞分析的各種因素，決定漏洞發(fā)布的類(lèi)型和時(shí)間表。這些因素主要包括：（1）漏洞是否已公開(kāi)；（2）漏洞的嚴(yán)重性；（3）對(duì)關(guān)鍵基礎(chǔ)設(shè)施的潛在影響；（4）對(duì)公眾生命財(cái)產(chǎn)安全的可能威脅；（5）當(dāng)前可用的消減措施；（6）供應(yīng)商的響應(yīng)程度和提供解決方案的可能性；（7）客戶應(yīng)用解決方案的時(shí)間；（8）漏洞被利用的可能性；（9）是否需要建立標(biāo)準(zhǔn)。廠商將被告知所有的發(fā)布計(jì)劃，如果有需要，ICS-CERT也可以與廠商協(xié)商更改發(fā)布日程表。

    2.3　消減措施協(xié)調(diào)

    在對(duì)漏洞進(jìn)行分析后，ICS-CERT與廠商建立安全、互信的合作伙伴關(guān)系，共同致力于消減措施或補(bǔ)丁發(fā)布等解決方案。對(duì)任何安全漏洞，都確保廠商有足夠的時(shí)間來(lái)解決問(wèn)題并對(duì)補(bǔ)丁進(jìn)行充分的回歸測(cè)試。對(duì)于影響多個(gè)廠商的漏洞，ICS-CERT要協(xié)調(diào)這些廠商共同響應(yīng)處理。

    2.4　應(yīng)用解決方案

    ICS-CERT與廠商配合，確保廠商有足夠的時(shí)間讓受影響的客戶在漏洞發(fā)布之前獲得、測(cè)試并應(yīng)用解決方案，確保漏洞的發(fā)布不影響關(guān)鍵基礎(chǔ)設(shè)施的信息安全。

    2.5　漏洞發(fā)布

    在與廠商協(xié)調(diào)并收集技術(shù)和風(fēng)險(xiǎn)信息后，ICSCERT會(huì)把漏洞的相關(guān)信息以警告或通報(bào)的形式發(fā)布于相關(guān)網(wǎng)站。ICS-CERT堅(jiān)持發(fā)布準(zhǔn)確、中立、客觀的信息，著重于提供技術(shù)解決方案和補(bǔ)救措施。漏洞發(fā)布的主要內(nèi)容包括：漏洞名稱(chēng)、受影響的產(chǎn)品、后果、產(chǎn)品背景、漏洞特征、消減措施等。

    漏洞的相關(guān)信息報(bào)告主要發(fā)布在三個(gè)網(wǎng)站：（1）ICS-CERT的官方網(wǎng)站，任何人都可以訪問(wèn)該網(wǎng)站以公開(kāi)獲取漏洞信息；（2）ICS-CERT的信息安全門(mén)戶，該門(mén)戶位于US-CERT信息安全門(mén)戶網(wǎng)站下屬的控制系統(tǒng)中心（Control Systems Center）區(qū)域，用于與其他參與方、工業(yè)組織和資產(chǎn)所有者等共享信息。

    只有在DHS注冊(cè)并經(jīng)過(guò)驗(yàn)證的可信成員才允許訪問(wèn)該門(mén)戶；（3）國(guó)土安全信息門(mén)戶網(wǎng)站HSIN（HomelandSecurity Information Network）下屬的關(guān)鍵行業(yè)（Critical Sector）欄目下，用于向行業(yè)和關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者共享信息。該門(mén)戶由DHS的首席信息官辦公室（OCIO）負(fù)責(zé)維護(hù)，同樣也只有DHS的可信成員才允許訪問(wèn)。2013年，ICS-CERT共發(fā)布了285份信息報(bào)告，其中103份公開(kāi)發(fā)布于官方網(wǎng)站。

    3　日本工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機(jī)制

    日本工業(yè)控制系統(tǒng)信息安全漏洞的發(fā)布工作與美國(guó)類(lèi)似，同樣具有政府機(jī)構(gòu)和廠商積極協(xié)調(diào)配合的特點(diǎn)。
 

    圖3展示了日本工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機(jī)制。

    國(guó)外研究人員或機(jī)構(gòu)發(fā)現(xiàn)的漏洞由JPCERT/CC負(fù)責(zé)接收，而日本本國(guó)研究人員上報(bào)的漏洞將由IPA接收，日本產(chǎn)業(yè)技術(shù)綜合研究所（AIST）通過(guò)CSSC協(xié)助IPA對(duì)上報(bào)的漏洞展開(kāi)初步分析，確定漏洞屬實(shí)后IPA將漏洞報(bào)告?zhèn)鬟f給JPCERT/CC處理。JPCERT/CC聯(lián)系漏洞所屬工控廠商，協(xié)調(diào)廠商對(duì)漏洞展開(kāi)進(jìn)一步驗(yàn)證、制定消減措施、協(xié)調(diào)漏洞發(fā)布日期。在遵守保密協(xié)議的情況下，JPCERT/CC和IPA共同運(yùn)營(yíng)的日本漏洞庫(kù)JVN公開(kāi)發(fā)布漏洞，發(fā)布的內(nèi)容要包括消減方案、廠商處理狀態(tài)和聲明，不允許包含可利用的代碼。如果廠商掌握了漏洞所影響產(chǎn)品的所有用戶信息，并可以直接通知它們漏洞信息和消減方案，那該漏洞可以不公開(kāi)披露。

    與美國(guó)ICS-CERT一樣，日本建立了強(qiáng)大的信息共享機(jī)制。JPCERT/CC建立了工業(yè)控制系統(tǒng)內(nèi)部信息安全門(mén)戶——工業(yè)控制系統(tǒng)安全伙伴網(wǎng)站（ControlSystem Security Partner's Site, ConPaS），同樣只有在JPCERT/CC注冊(cè)過(guò)的用戶才可以訪問(wèn)。ConPaS提供了國(guó)內(nèi)外工業(yè)控制系統(tǒng)信息安全的最新動(dòng)態(tài)和發(fā)展趨勢(shì)、工業(yè)控制系統(tǒng)的漏洞和威脅、工業(yè)控制系統(tǒng)相關(guān)的工具和指南等。

    4　啟示與建議

    美國(guó)和日本的政府、廠商、研究人員、相關(guān)實(shí)驗(yàn)室和受影響的企業(yè)都積極參與工業(yè)控制系統(tǒng)信息安全漏洞處理工作。我國(guó)應(yīng)借鑒美日做法并結(jié)合國(guó)情，建立和完善工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機(jī)制，鼓勵(lì)和引導(dǎo)廠商、安全研究人員和重點(diǎn)行業(yè)運(yùn)營(yíng)單位積極上報(bào)工控漏洞，并依托高校、科研院所、企業(yè)和相關(guān)支撐單位建設(shè)工業(yè)控制系統(tǒng)信息安全測(cè)試床及實(shí)驗(yàn)室，集中優(yōu)勢(shì)力量打造骨干技術(shù)研究基地，重點(diǎn)提升漏洞挖掘、驗(yàn)證分析和解決方案制定等技術(shù)分析能力，建立國(guó)家級(jí)工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布平臺(tái)，實(shí)施風(fēng)險(xiǎn)漏洞通報(bào)制度。

    作者簡(jiǎn)介

    李?。?986-），江西吉安人，博士，現(xiàn)任工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所工程師，研究方向?yàn)楣I(yè)信息安全，先后主持或參與多項(xiàng)工信部、發(fā)改委和中央網(wǎng)信辦委托的工控信息安全課題。

    摘自 工業(yè)控制系統(tǒng)信息安全專(zhuān)刊