今日頭條
官方微信
官方抖音
資訊頻道
摘要:近年來,隨著工業控制系統信息安全事件和漏洞數量的不斷增長,美國國土安全部和日本經濟產業省開展了工業控制系統信息安全漏洞發布工作,形成了較為完備的工作機制,有效保證了關鍵基礎設施運營者獲取工業控制系統安全漏洞信息。我國應借鑒美日做法并結合我國國情,建立和完善工業控制系統信息安全漏洞發布機制。
關鍵詞:美國;日本;工業控制系統;漏洞發布
Abstract: With the increasing in the number of vulnerabilities and incidents from industry control systems (ICS), US Department of Homeland Security (DHS) and the Ministry of Economy, Trade and Industry (METI) of Japan have implemented ICS vulnerability disclosure policies. These policies ensure that critical infrastructure owner/operator can effectively obtain ICS vulnerability and security risk information. We should use the experience of the USA and Japan for reference, establish and improve our ICS vulnerability disclosure policy and practice.
Key words: the USA; Japan; Industry control systems; Vulnerability disclosure
1 前言
2003年12月17日,美國政府頒布了第7號國土安全總統令(HSPD-7)《關鍵基礎設施標識、優先級和保護》,要求國土安全部(DHS)制定保護關鍵基礎設施和重要資源(CIKR)的國家戰略計劃。認識到控制系統對關鍵基礎設施的重要性后,國土安全部下屬的國家防護與計劃司(NPPD)啟動了“控制系統安全計劃(CSSP)”,旨在通過加強控制系統的信息安全保障來減少國家關鍵基礎設施的風險。漏洞發布是美國工業控制系統網絡安全信息共享的主要方式,也是CSSP計劃的重要組成部分之一。從2006年5月信息安全研究人員Matt Franz向美國計算機應急響應小組(US-CERT)上報的第一個工業控制系統信息安全漏洞開始,2009年以前的所有工業控制系統漏洞都是由US-CERT處理和發布并錄入國家漏洞庫(NVD)。然而,面對不斷涌現的工業控制系統信息安全事件和漏洞,缺乏工業控制領域專家和經驗的US-CERT在處理相應漏洞時顯得力不從心。2009年11月,國土安全部組織專業技術隊伍正式建立了工業控制系統網絡應急響應小組(ICSCERT),專門響應、支持、分析和處理工業控制系統信息安全事件和漏洞。同年,國家防護與計劃司下設的網絡安全與通信辦公室(CS&C)成立了國家網絡安全與通信集成中心(NCCIC),領導并協調ICS-CERT的漏洞發布等相關工作。截止2014年8月,ICS-CERT通過官方網站公開發布了400多份關于工業控制系統信息安全漏洞的警告和通報,有效保證了關鍵基礎設施運營者獲取工業控制系統漏洞信息。
作為工業最發達的國家之一,日本也在不斷加強工業控制系統信息安全保障工作。日本經濟產業省(METI)在2010年設立了網絡安全與經濟研究小組,該小組的一個主要研究內容便是“確保工業控制系統的信息安全”。在該小組的基礎上,2011年METI成立了工業控制系統信息安全專門工作組,確保日本關鍵基礎設施控制系統的信息安全。2012年3月,METI與橫河、日立等8個工業控制系統相關企業建立了工業控制系統的技術研究協會——控制系統安全中心(CSSC),作為政府和行業共同推動工業控制系統信息安全研發和支撐的重要單位,截止目前已經建立了污水處理、化工過程控制、電力、輸氣管道等9個工業控制系統信息安全測試床(CSS-Based 6)。漏洞發布是日本工業控制信息安全保障工作的重要組成部分,相關工作主要由METI下屬的日本計算機應急處理協調中心(JPCERT/CC)和信息技術促進局(IPA)負責領導。
2 美國工業控制系統信息安全漏洞發布機制
美國工業控制系統信息安全漏洞的發布工作具有多方積極參與和相互協調配合的特點。圖1展示了美國工業控制系統信息安全漏洞發布機制。ICS-CERT負責總體協調,與相關實驗室、信息安全研究人員和廠商協作挖掘、分析和消減工業控制系統信息安全漏洞,配合廠商向受影響的企業客戶通報漏洞,并通過官方網站或安全門戶網站發布漏洞信息。
美國工業控制系統信息安全的漏洞發布包括如圖2所示的五個步驟。
2.1 漏洞收集與挖掘
ICS-CERT收集工業控制系統漏洞報告主要有3個途徑:(1)ICS-CERT分析挖掘的漏洞,主要來自于在響應信息安全事件或對廠商產品進行評估時發現的漏洞;(2)從公開媒體、出版物和網絡獲取的漏洞,主要來源于公開的安全事件或者黑客主動發布的漏洞;(3)安全研究人員或廠商上報的漏洞,這也是最主要的漏洞報告來源。
在收到漏洞報告后,ICS-CERT將對上報的漏洞進行初步的分析以消除冗余和誤報,同時對漏洞進行分類,并錄入需求追蹤標簽系統RTTS。在漏洞分類后,ICSCERT將嘗試聯系廠商來協同開展后續工作。如果漏洞發現者允許,ICS-CERT會把漏洞發現者的姓名和聯系方式告知受影響的廠商,同時也會在對廠商產品信息保密的基礎上告知漏洞發現者RTTS系統中漏洞處理的狀態變化。如果廠商不響應聯系或不制定有效的補救日程表,那么ICS-CERT可以在45天后直接發布漏洞信息。
2.2 漏洞分析
愛達荷國家實驗室I N L ( I d a h o N a t i o n a l Laboratory)建立了高級分析實驗室AAL(Advanced Analytical Laboratory),為ICS-CERT提供了技術分析能力。ICS-CERT與廠商配合,從檢查、驗證和潛在風險分析等方面開展漏洞分析工作。ICS-CERT會在國家漏洞庫NVD的漏洞評分系統CVSS(Common Vulnerability Scoring System)對漏洞的嚴重性評分,并在必要時協同廠商在AAL實驗室進行研究分析。ICS-CERT會基于漏洞分析的各種因素,決定漏
洞發布的類型和時間表。這些因素主要包括:(1)漏洞是否已公開;(2)漏洞的嚴重性;(3)對關鍵基礎設施的潛在影響;(4)對公眾生命財產安全的可能威脅;(5)當前可用的消減措施;(6)供應商的響應程度和提供解決方案的可能性;(7)客戶應用解決方案的時間;(8)漏洞被利用的可能性;(9)是否需要建立標準。廠商將被告知所有的發布計劃,如果有需要,ICS-CERT也可以與廠商協商更改發布日程表。
2.3 消減措施協調
在對漏洞進行分析后,ICS-CERT與廠商建立安全、互信的合作伙伴關系,共同致力于消減措施或補丁發布等解決方案。對任何安全漏洞,都確保廠商有足夠的時間來解決問題并對補丁進行充分的回歸測試。對于影響多個廠商的漏洞,ICS-CERT要協調這些廠商共同響應處理。
2.4 應用解決方案
ICS-CERT與廠商配合,確保廠商有足夠的時間讓受影響的客戶在漏洞發布之前獲得、測試并應用解決方案,確保漏洞的發布不影響關鍵基礎設施的信息安全。
2.5 漏洞發布
在與廠商協調并收集技術和風險信息后,ICSCERT會把漏洞的相關信息以警告或通報的形式發布于相關網站。ICS-CERT堅持發布準確、中立、客觀的信息,著重于提供技術解決方案和補救措施。漏洞發布的主要內容包括:漏洞名稱、受影響的產品、后果、產品背景、漏洞特征、消減措施等。漏洞的相關信息報告主要發布在三個網站:(1)ICS-CERT的官方網站,任何人都可以訪問該網站以公開獲取漏洞信息;(2)ICS-CERT的信息安全門戶,該門戶位于US-CERT信息安全門戶網站下屬的控制系統中心(Control Systems Center)區域,用于與其他參與方、工業組織和資產所有者等共享信息。只有在DHS注冊并經過驗證的可信成員才允許訪問該門戶;(3)國土安全信息門戶網站HSIN(Homeland Security Information Network)下屬的關鍵行業(Critical Sector)欄目下,用于向行業和關鍵基礎設施運營者共享信息。該門戶由DHS的首席信息官辦公室(OCIO)負責維護,同樣也只有DHS的可信成員才允許訪問。2013年,ICS-CERT共發布了285份信息報告,其中103份公開發布于官方網站。
3 日本工業控制系統信息安全漏洞發布機制
日本工業控制系統信息安全漏洞的發布工作與美國類似,同樣具有政府機構和廠商積極協調配合的特點。圖3展示了日本工業控制系統信息安全漏洞發布機制。國外研究人員或機構發現的漏洞由JPCERT/CC負責接收,而日本本國研究人員上報的漏洞將由IPA接收,日本產業技術綜合研究所(AIST)通過CSSC協助IPA對上報的漏洞展開初步分析,確定漏洞屬實后IPA將漏洞報告傳遞給JPCERT/CC處理。JPCERT/CC聯系漏洞所屬工控廠商,協調廠商對漏洞展開進一步驗證、制定消減措施、協調漏洞發布日期。在遵守保密協議的情況下,JPCERT/CC和IPA共同運營的日本漏洞庫JVN公開發布漏洞,發布的內容要包括消減方案、廠商處理狀態和聲明,不允許包含可利用的代碼。如果廠商掌握了漏洞所影響產品的所有用戶信息,并可以直接通知它們漏洞信息和消減方案,那該漏洞可以不公開披露。
與美國ICS-CERT一樣,日本建立了強大的信息共享機制。JPCERT/CC建立了工業控制系統內部信息安全門戶——工業控制系統安全伙伴網站(Control System Security Partner's Site, ConPaS),同樣只有在JPCERT/CC注冊過的用戶才可以訪問。ConPaS提供了國內外工業控制系統信息安全的最新動態和發展趨勢、工業控制系統的漏洞和威脅、工業控制系統相關的工具和指南等。
4 啟示與建議
美國和日本的政府、廠商、研究人員、相關實驗室和受影響的企業都積極參與工業控制系統信息安全漏洞處理工作。我國應借鑒美日做法并結合國情,建立和完善工業控制系統信息安全漏洞發布機制,鼓勵和引導廠商、安全研究人員和重點行業運營單位積極上報工控漏洞,并依托高校、科研院所、企業和相關支撐單位建設工業控制系統信息安全測試床及實驗室,集中優勢力量打造骨干技術研究基地,重點提升漏洞挖掘、驗證分析和解決方案制定等技術分析能力,建立國家級工業控制系統信息安全漏洞發布平臺,實施風險漏洞通報制度。
作者簡介
李俊(1986-),江西吉安人,博士,現任工業和信息化部電子科學技術情報研究所工程師,研究方向為工業信息安全,先后主持或參與多項工信部、發改委和中央網信辦委托的工控信息安全課題。
北京市公安局海淀分局備案號:11010802023656號