今日頭條
官方微信
官方抖音
資訊頻道 1 前言
2003年12月17日,美國政府頒布了第7號國土安全總統(tǒng)令(HSPD-7)《關鍵基礎設施標識、優(yōu)先級和保護》,要求國土安全部(DHS)制定保護關鍵基礎設施和重要資源(CIKR)的國家戰(zhàn)略計劃。認識到控制系統(tǒng)對關鍵基礎設施的重要性后,國土安全部下屬的國家防護與計劃司(NPPD)啟動了“控制系統(tǒng)安全計劃(CSSP)”,旨在通過加強控制系統(tǒng)的信息安全保障來減少國家關鍵基礎設施的風險。漏洞發(fā)布是美國工業(yè)控制系統(tǒng)網絡安全信息共享的主要方式,也是CSSP計劃的重要組成部分之一。從2006年5月信息安全研究人員Matt Franz向美國計算機應急響應小組(US-CERT)上報的第一個工業(yè)控制系統(tǒng)信息安全漏洞開始,2009年以前的所有工業(yè)控制系統(tǒng)漏洞都是由US-CERT處理和發(fā)布并錄入國家漏洞庫(NVD)。然而,面對不斷涌現(xiàn)的工業(yè)控制系統(tǒng)信息安全事件和漏洞,缺乏工業(yè)控制領域專家和經驗的US-CERT在處理相應漏洞時顯得力不從心。2009年11月,國土安全部組織專業(yè)技術隊伍正式建立了工業(yè)控制系統(tǒng)網絡應急響應小組(ICSCERT),專門響應、支持、分析和處理工業(yè)控制系統(tǒng)信息安全事件和漏洞。同年,國家防護與計劃司下設的網絡安全與通信辦公室(CS&C)成立了國家網絡安全與通信集成中心(NCCIC),領導并協(xié)調ICS-CERT的漏洞發(fā)布等相關工作。截止2014年8月,ICS-CERT通過官方網站公開發(fā)布了400多份關于工業(yè)控制系統(tǒng)信息安全漏洞的警告和通報,有效保證了關鍵基礎設施運營者獲取工業(yè)控制系統(tǒng)漏洞信息。
作為工業(yè)最發(fā)達的國家之一,日本也在不斷加強工業(yè)控制系統(tǒng)信息安全保障工作。日本經濟產業(yè)省(METI)在2010年設立了網絡安全與經濟研究小組,該小組的一個主要研究內容便是“確保工業(yè)控制系統(tǒng)的信息安全”。在該小組的基礎上,2011年METI成立了工業(yè)控制系統(tǒng)信息安全專門工作組,確保日本關鍵基礎設施控制系統(tǒng)的信息安全。2012年3月,METI與橫河、日立等8個工業(yè)控制系統(tǒng)相關企業(yè)建立了工業(yè)控制系統(tǒng)的技術研究協(xié)會——控制系統(tǒng)安全中心(CSSC),作為政府和行業(yè)共同推動工業(yè)控制系統(tǒng)信息安全研發(fā)和支撐的重要單位,截止目前已經建立了污水處理、化工過程控制、電力、輸氣管道等9個工業(yè)控制系統(tǒng)信息安全測試床(CSS-Based 6)。漏洞發(fā)布是日本工業(yè)控制信息安全保障工作的重要組成部分,相關工作主要由METI下屬的日本計算機應急處理協(xié)調中心(JPCERT/CC)和信息技術促進局(IPA)負責領導。
2 美國工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機制
美國工業(yè)控制系統(tǒng)信息安全漏洞的發(fā)布工作具有多方積極參與和相互協(xié)調配合的特點。圖1展示了美國工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機制。ICS-CERT負責總體協(xié)調,與相關實驗室、信息安全研究人員和廠商協(xié)作挖掘、分析和消減工業(yè)控制系統(tǒng)信息安全漏洞,配合廠商向受影響的企業(yè)客戶通報漏洞,并通過官方網站或安全門戶網站發(fā)布漏洞信息。
美國工業(yè)控制系統(tǒng)信息安全的漏洞發(fā)布包括如圖2所示的五個步驟。
2.1 漏洞收集與挖掘
ICS-CERT收集工業(yè)控制系統(tǒng)漏洞報告主要有3個途徑:(1)ICS-CERT分析挖掘的漏洞,主要來自于在響應信息安全事件或對廠商產品進行評估時發(fā)現(xiàn)的漏洞;(2)從公開媒體、出版物和網絡獲取的漏洞,主要來源于公開的安全事件或者黑客主動發(fā)布的漏洞;(3)安全研究人員或廠商上報的漏洞,這也是最主要的漏洞報告來源。
在收到漏洞報告后,ICS-CERT將對上報的漏洞進行初步的分析以消除冗余和誤報,同時對漏洞進行分類,并錄入需求追蹤標簽系統(tǒng)RTTS。在漏洞分類后,ICSCERT將嘗試聯(lián)系廠商來協(xié)同開展后續(xù)工作。如果漏洞發(fā)現(xiàn)者允許,ICS-CERT會把漏洞發(fā)現(xiàn)者的姓名和聯(lián)系方式告知受影響的廠商,同時也會在對廠商產品信息保密的基礎上告知漏洞發(fā)現(xiàn)者RTTS系統(tǒng)中漏洞處理的狀態(tài)變化。如果廠商不響應聯(lián)系或不制定有效的補救日程表,那么ICS-CERT可以在45天后直接發(fā)布漏洞信息。
2.2 漏洞分析
愛達荷國家實驗室I N L ( I d a h o N a t i o n a lLaboratory)建立了高級分析實驗室AAL(AdvancedAnalytical Laboratory),為ICS-CERT提供了技術分析能力。ICS-CERT與廠商配合,從檢查、驗證和潛在風險分析等方面開展漏洞分析工作。ICS-CERT會在國家漏洞庫NVD的漏洞評分系統(tǒng)CVSS(CommonVulnerability Scoring System)對漏洞的嚴重性評分,并在必要時協(xié)同廠商在AAL實驗室進行研究分析。
ICS-CERT會基于漏洞分析的各種因素,決定漏洞發(fā)布的類型和時間表。這些因素主要包括:(1)漏洞是否已公開;(2)漏洞的嚴重性;(3)對關鍵基礎設施的潛在影響;(4)對公眾生命財產安全的可能威脅;(5)當前可用的消減措施;(6)供應商的響應程度和提供解決方案的可能性;(7)客戶應用解決方案的時間;(8)漏洞被利用的可能性;(9)是否需要建立標準。廠商將被告知所有的發(fā)布計劃,如果有需要,ICS-CERT也可以與廠商協(xié)商更改發(fā)布日程表。
2.3 消減措施協(xié)調
在對漏洞進行分析后,ICS-CERT與廠商建立安全、互信的合作伙伴關系,共同致力于消減措施或補丁發(fā)布等解決方案。對任何安全漏洞,都確保廠商有足夠的時間來解決問題并對補丁進行充分的回歸測試。對于影響多個廠商的漏洞,ICS-CERT要協(xié)調這些廠商共同響應處理。
2.4 應用解決方案
ICS-CERT與廠商配合,確保廠商有足夠的時間讓受影響的客戶在漏洞發(fā)布之前獲得、測試并應用解決方案,確保漏洞的發(fā)布不影響關鍵基礎設施的信息安全。
2.5 漏洞發(fā)布
在與廠商協(xié)調并收集技術和風險信息后,ICSCERT會把漏洞的相關信息以警告或通報的形式發(fā)布于相關網站。ICS-CERT堅持發(fā)布準確、中立、客觀的信息,著重于提供技術解決方案和補救措施。漏洞發(fā)布的主要內容包括:漏洞名稱、受影響的產品、后果、產品背景、漏洞特征、消減措施等。
漏洞的相關信息報告主要發(fā)布在三個網站:(1)ICS-CERT的官方網站,任何人都可以訪問該網站以公開獲取漏洞信息;(2)ICS-CERT的信息安全門戶,該門戶位于US-CERT信息安全門戶網站下屬的控制系統(tǒng)中心(Control Systems Center)區(qū)域,用于與其他參與方、工業(yè)組織和資產所有者等共享信息。
只有在DHS注冊并經過驗證的可信成員才允許訪問該門戶;(3)國土安全信息門戶網站HSIN(HomelandSecurity Information Network)下屬的關鍵行業(yè)(Critical Sector)欄目下,用于向行業(yè)和關鍵基礎設施運營者共享信息。該門戶由DHS的首席信息官辦公室(OCIO)負責維護,同樣也只有DHS的可信成員才允許訪問。2013年,ICS-CERT共發(fā)布了285份信息報告,其中103份公開發(fā)布于官方網站。
3 日本工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機制
日本工業(yè)控制系統(tǒng)信息安全漏洞的發(fā)布工作與美國類似,同樣具有政府機構和廠商積極協(xié)調配合的特點。
圖3展示了日本工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機制。
國外研究人員或機構發(fā)現(xiàn)的漏洞由JPCERT/CC負責接收,而日本本國研究人員上報的漏洞將由IPA接收,日本產業(yè)技術綜合研究所(AIST)通過CSSC協(xié)助IPA對上報的漏洞展開初步分析,確定漏洞屬實后IPA將漏洞報告?zhèn)鬟f給JPCERT/CC處理。JPCERT/CC聯(lián)系漏洞所屬工控廠商,協(xié)調廠商對漏洞展開進一步驗證、制定消減措施、協(xié)調漏洞發(fā)布日期。在遵守保密協(xié)議的情況下,JPCERT/CC和IPA共同運營的日本漏洞庫JVN公開發(fā)布漏洞,發(fā)布的內容要包括消減方案、廠商處理狀態(tài)和聲明,不允許包含可利用的代碼。如果廠商掌握了漏洞所影響產品的所有用戶信息,并可以直接通知它們漏洞信息和消減方案,那該漏洞可以不公開披露。
與美國ICS-CERT一樣,日本建立了強大的信息共享機制。JPCERT/CC建立了工業(yè)控制系統(tǒng)內部信息安全門戶——工業(yè)控制系統(tǒng)安全伙伴網站(ControlSystem Security Partner's Site, ConPaS),同樣只有在JPCERT/CC注冊過的用戶才可以訪問。ConPaS提供了國內外工業(yè)控制系統(tǒng)信息安全的最新動態(tài)和發(fā)展趨勢、工業(yè)控制系統(tǒng)的漏洞和威脅、工業(yè)控制系統(tǒng)相關的工具和指南等。
4 啟示與建議
美國和日本的政府、廠商、研究人員、相關實驗室和受影響的企業(yè)都積極參與工業(yè)控制系統(tǒng)信息安全漏洞處理工作。我國應借鑒美日做法并結合國情,建立和完善工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機制,鼓勵和引導廠商、安全研究人員和重點行業(yè)運營單位積極上報工控漏洞,并依托高校、科研院所、企業(yè)和相關支撐單位建設工業(yè)控制系統(tǒng)信息安全測試床及實驗室,集中優(yōu)勢力量打造骨干技術研究基地,重點提升漏洞挖掘、驗證分析和解決方案制定等技術分析能力,建立國家級工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布平臺,實施風險漏洞通報制度。
作者簡介
李俊(1986-),江西吉安人,博士,現(xiàn)任工業(yè)和信息化部電子科學技術情報研究所工程師,研究方向為工業(yè)信息安全,先后主持或參與多項工信部、發(fā)改委和中央網信辦委托的工控信息安全課題。
摘自 工業(yè)控制系統(tǒng)信息安全專刊
北京市公安局海淀分局備案號:11010802023656號