今日頭條
官方微信
官方抖音
資訊頻道
摘要:近年來,隨著工業(yè)控制系統(tǒng)信息安全事件和漏洞數(shù)量的不斷增長(zhǎng),美國(guó)國(guó)土安全部和日本經(jīng)濟(jì)產(chǎn)業(yè)省開展了工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布工作,形成了較為完備的工作機(jī)制,有效保證了關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者獲取工業(yè)控制系統(tǒng)安全漏洞信息。我國(guó)應(yīng)借鑒美日做法并結(jié)合我國(guó)國(guó)情,建立和完善工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機(jī)制。
關(guān)鍵詞:美國(guó);日本;工業(yè)控制系統(tǒng);漏洞發(fā)布
Abstract: With the increasing in the number of vulnerabilities and incidents from industry control systems (ICS), US Department of Homeland Security (DHS) and the Ministry of Economy, Trade and Industry (METI) of Japan have implemented ICS vulnerability disclosure policies. These policies ensure that critical infrastructure owner/operator can effectively obtain ICS vulnerability and security risk information. We should use the experience of the USA and Japan for reference, establish and improve our ICS vulnerability disclosure policy and practice.
Key words: the USA; Japan; Industry control systems; Vulnerability disclosure
1 前言
2003年12月17日,美國(guó)政府頒布了第7號(hào)國(guó)土安全總統(tǒng)令(HSPD-7)《關(guān)鍵基礎(chǔ)設(shè)施標(biāo)識(shí)、優(yōu)先級(jí)和保護(hù)》,要求國(guó)土安全部(DHS)制定保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和重要資源(CIKR)的國(guó)家戰(zhàn)略計(jì)劃。認(rèn)識(shí)到控制系統(tǒng)對(duì)關(guān)鍵基礎(chǔ)設(shè)施的重要性后,國(guó)土安全部下屬的國(guó)家防護(hù)與計(jì)劃司(NPPD)啟動(dòng)了“控制系統(tǒng)安全計(jì)劃(CSSP)”,旨在通過加強(qiáng)控制系統(tǒng)的信息安全保障來減少國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)。漏洞發(fā)布是美國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全信息共享的主要方式,也是CSSP計(jì)劃的重要組成部分之一。從2006年5月信息安全研究人員Matt Franz向美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組(US-CERT)上報(bào)的第一個(gè)工業(yè)控制系統(tǒng)信息安全漏洞開始,2009年以前的所有工業(yè)控制系統(tǒng)漏洞都是由US-CERT處理和發(fā)布并錄入國(guó)家漏洞庫(kù)(NVD)。然而,面對(duì)不斷涌現(xiàn)的工業(yè)控制系統(tǒng)信息安全事件和漏洞,缺乏工業(yè)控制領(lǐng)域?qū)<液徒?jīng)驗(yàn)的US-CERT在處理相應(yīng)漏洞時(shí)顯得力不從心。2009年11月,國(guó)土安全部組織專業(yè)技術(shù)隊(duì)伍正式建立了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(ICSCERT),專門響應(yīng)、支持、分析和處理工業(yè)控制系統(tǒng)信息安全事件和漏洞。同年,國(guó)家防護(hù)與計(jì)劃司下設(shè)的網(wǎng)絡(luò)安全與通信辦公室(CS&C)成立了國(guó)家網(wǎng)絡(luò)安全與通信集成中心(NCCIC),領(lǐng)導(dǎo)并協(xié)調(diào)ICS-CERT的漏洞發(fā)布等相關(guān)工作。截止2014年8月,ICS-CERT通過官方網(wǎng)站公開發(fā)布了400多份關(guān)于工業(yè)控制系統(tǒng)信息安全漏洞的警告和通報(bào),有效保證了關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者獲取工業(yè)控制系統(tǒng)漏洞信息。
作為工業(yè)最發(fā)達(dá)的國(guó)家之一,日本也在不斷加強(qiáng)工業(yè)控制系統(tǒng)信息安全保障工作。日本經(jīng)濟(jì)產(chǎn)業(yè)省(METI)在2010年設(shè)立了網(wǎng)絡(luò)安全與經(jīng)濟(jì)研究小組,該小組的一個(gè)主要研究?jī)?nèi)容便是“確保工業(yè)控制系統(tǒng)的信息安全”。在該小組的基礎(chǔ)上,2011年METI成立了工業(yè)控制系統(tǒng)信息安全專門工作組,確保日本關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)的信息安全。2012年3月,METI與橫河、日立等8個(gè)工業(yè)控制系統(tǒng)相關(guān)企業(yè)建立了工業(yè)控制系統(tǒng)的技術(shù)研究協(xié)會(huì)——控制系統(tǒng)安全中心(CSSC),作為政府和行業(yè)共同推動(dòng)工業(yè)控制系統(tǒng)信息安全研發(fā)和支撐的重要單位,截止目前已經(jīng)建立了污水處理、化工過程控制、電力、輸氣管道等9個(gè)工業(yè)控制系統(tǒng)信息安全測(cè)試床(CSS-Based 6)。漏洞發(fā)布是日本工業(yè)控制信息安全保障工作的重要組成部分,相關(guān)工作主要由METI下屬的日本計(jì)算機(jī)應(yīng)急處理協(xié)調(diào)中心(JPCERT/CC)和信息技術(shù)促進(jìn)局(IPA)負(fù)責(zé)領(lǐng)導(dǎo)。
2 美國(guó)工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機(jī)制
美國(guó)工業(yè)控制系統(tǒng)信息安全漏洞的發(fā)布工作具有多方積極參與和相互協(xié)調(diào)配合的特點(diǎn)。圖1展示了美國(guó)工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機(jī)制。ICS-CERT負(fù)責(zé)總體協(xié)調(diào),與相關(guān)實(shí)驗(yàn)室、信息安全研究人員和廠商協(xié)作挖掘、分析和消減工業(yè)控制系統(tǒng)信息安全漏洞,配合廠商向受影響的企業(yè)客戶通報(bào)漏洞,并通過官方網(wǎng)站或安全門戶網(wǎng)站發(fā)布漏洞信息。
美國(guó)工業(yè)控制系統(tǒng)信息安全的漏洞發(fā)布包括如圖2所示的五個(gè)步驟。
2.1 漏洞收集與挖掘
ICS-CERT收集工業(yè)控制系統(tǒng)漏洞報(bào)告主要有3個(gè)途徑:(1)ICS-CERT分析挖掘的漏洞,主要來自于在響應(yīng)信息安全事件或?qū)S商產(chǎn)品進(jìn)行評(píng)估時(shí)發(fā)現(xiàn)的漏洞;(2)從公開媒體、出版物和網(wǎng)絡(luò)獲取的漏洞,主要來源于公開的安全事件或者黑客主動(dòng)發(fā)布的漏洞;(3)安全研究人員或廠商上報(bào)的漏洞,這也是最主要的漏洞報(bào)告來源。
在收到漏洞報(bào)告后,ICS-CERT將對(duì)上報(bào)的漏洞進(jìn)行初步的分析以消除冗余和誤報(bào),同時(shí)對(duì)漏洞進(jìn)行分類,并錄入需求追蹤標(biāo)簽系統(tǒng)RTTS。在漏洞分類后,ICSCERT將嘗試聯(lián)系廠商來協(xié)同開展后續(xù)工作。如果漏洞發(fā)現(xiàn)者允許,ICS-CERT會(huì)把漏洞發(fā)現(xiàn)者的姓名和聯(lián)系方式告知受影響的廠商,同時(shí)也會(huì)在對(duì)廠商產(chǎn)品信息保密的基礎(chǔ)上告知漏洞發(fā)現(xiàn)者RTTS系統(tǒng)中漏洞處理的狀態(tài)變化。如果廠商不響應(yīng)聯(lián)系或不制定有效的補(bǔ)救日程表,那么ICS-CERT可以在45天后直接發(fā)布漏洞信息。
2.2 漏洞分析
愛達(dá)荷國(guó)家實(shí)驗(yàn)室I N L ( I d a h o N a t i o n a l Laboratory)建立了高級(jí)分析實(shí)驗(yàn)室AAL(Advanced Analytical Laboratory),為ICS-CERT提供了技術(shù)分析能力。ICS-CERT與廠商配合,從檢查、驗(yàn)證和潛在風(fēng)險(xiǎn)分析等方面開展漏洞分析工作。ICS-CERT會(huì)在國(guó)家漏洞庫(kù)NVD的漏洞評(píng)分系統(tǒng)CVSS(Common Vulnerability Scoring System)對(duì)漏洞的嚴(yán)重性評(píng)分,并在必要時(shí)協(xié)同廠商在AAL實(shí)驗(yàn)室進(jìn)行研究分析。ICS-CERT會(huì)基于漏洞分析的各種因素,決定漏
洞發(fā)布的類型和時(shí)間表。這些因素主要包括:(1)漏洞是否已公開;(2)漏洞的嚴(yán)重性;(3)對(duì)關(guān)鍵基礎(chǔ)設(shè)施的潛在影響;(4)對(duì)公眾生命財(cái)產(chǎn)安全的可能威脅;(5)當(dāng)前可用的消減措施;(6)供應(yīng)商的響應(yīng)程度和提供解決方案的可能性;(7)客戶應(yīng)用解決方案的時(shí)間;(8)漏洞被利用的可能性;(9)是否需要建立標(biāo)準(zhǔn)。廠商將被告知所有的發(fā)布計(jì)劃,如果有需要,ICS-CERT也可以與廠商協(xié)商更改發(fā)布日程表。
2.3 消減措施協(xié)調(diào)
在對(duì)漏洞進(jìn)行分析后,ICS-CERT與廠商建立安全、互信的合作伙伴關(guān)系,共同致力于消減措施或補(bǔ)丁發(fā)布等解決方案。對(duì)任何安全漏洞,都確保廠商有足夠的時(shí)間來解決問題并對(duì)補(bǔ)丁進(jìn)行充分的回歸測(cè)試。對(duì)于影響多個(gè)廠商的漏洞,ICS-CERT要協(xié)調(diào)這些廠商共同響應(yīng)處理。
2.4 應(yīng)用解決方案
ICS-CERT與廠商配合,確保廠商有足夠的時(shí)間讓受影響的客戶在漏洞發(fā)布之前獲得、測(cè)試并應(yīng)用解決方案,確保漏洞的發(fā)布不影響關(guān)鍵基礎(chǔ)設(shè)施的信息安全。
2.5 漏洞發(fā)布
在與廠商協(xié)調(diào)并收集技術(shù)和風(fēng)險(xiǎn)信息后,ICSCERT會(huì)把漏洞的相關(guān)信息以警告或通報(bào)的形式發(fā)布于相關(guān)網(wǎng)站。ICS-CERT堅(jiān)持發(fā)布準(zhǔn)確、中立、客觀的信息,著重于提供技術(shù)解決方案和補(bǔ)救措施。漏洞發(fā)布的主要內(nèi)容包括:漏洞名稱、受影響的產(chǎn)品、后果、產(chǎn)品背景、漏洞特征、消減措施等。漏洞的相關(guān)信息報(bào)告主要發(fā)布在三個(gè)網(wǎng)站:(1)ICS-CERT的官方網(wǎng)站,任何人都可以訪問該網(wǎng)站以公開獲取漏洞信息;(2)ICS-CERT的信息安全門戶,該門戶位于US-CERT信息安全門戶網(wǎng)站下屬的控制系統(tǒng)中心(Control Systems Center)區(qū)域,用于與其他參與方、工業(yè)組織和資產(chǎn)所有者等共享信息。只有在DHS注冊(cè)并經(jīng)過驗(yàn)證的可信成員才允許訪問該門戶;(3)國(guó)土安全信息門戶網(wǎng)站HSIN(Homeland Security Information Network)下屬的關(guān)鍵行業(yè)(Critical Sector)欄目下,用于向行業(yè)和關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者共享信息。該門戶由DHS的首席信息官辦公室(OCIO)負(fù)責(zé)維護(hù),同樣也只有DHS的可信成員才允許訪問。2013年,ICS-CERT共發(fā)布了285份信息報(bào)告,其中103份公開發(fā)布于官方網(wǎng)站。
3 日本工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機(jī)制
日本工業(yè)控制系統(tǒng)信息安全漏洞的發(fā)布工作與美國(guó)類似,同樣具有政府機(jī)構(gòu)和廠商積極協(xié)調(diào)配合的特點(diǎn)。圖3展示了日本工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機(jī)制。國(guó)外研究人員或機(jī)構(gòu)發(fā)現(xiàn)的漏洞由JPCERT/CC負(fù)責(zé)接收,而日本本國(guó)研究人員上報(bào)的漏洞將由IPA接收,日本產(chǎn)業(yè)技術(shù)綜合研究所(AIST)通過CSSC協(xié)助IPA對(duì)上報(bào)的漏洞展開初步分析,確定漏洞屬實(shí)后IPA將漏洞報(bào)告?zhèn)鬟f給JPCERT/CC處理。JPCERT/CC聯(lián)系漏洞所屬工控廠商,協(xié)調(diào)廠商對(duì)漏洞展開進(jìn)一步驗(yàn)證、制定消減措施、協(xié)調(diào)漏洞發(fā)布日期。在遵守保密協(xié)議的情況下,JPCERT/CC和IPA共同運(yùn)營(yíng)的日本漏洞庫(kù)JVN公開發(fā)布漏洞,發(fā)布的內(nèi)容要包括消減方案、廠商處理狀態(tài)和聲明,不允許包含可利用的代碼。如果廠商掌握了漏洞所影響產(chǎn)品的所有用戶信息,并可以直接通知它們漏洞信息和消減方案,那該漏洞可以不公開披露。
與美國(guó)ICS-CERT一樣,日本建立了強(qiáng)大的信息共享機(jī)制。JPCERT/CC建立了工業(yè)控制系統(tǒng)內(nèi)部信息安全門戶——工業(yè)控制系統(tǒng)安全伙伴網(wǎng)站(Control System Security Partner's Site, ConPaS),同樣只有在JPCERT/CC注冊(cè)過的用戶才可以訪問。ConPaS提供了國(guó)內(nèi)外工業(yè)控制系統(tǒng)信息安全的最新動(dòng)態(tài)和發(fā)展趨勢(shì)、工業(yè)控制系統(tǒng)的漏洞和威脅、工業(yè)控制系統(tǒng)相關(guān)的工具和指南等。
4 啟示與建議
美國(guó)和日本的政府、廠商、研究人員、相關(guān)實(shí)驗(yàn)室和受影響的企業(yè)都積極參與工業(yè)控制系統(tǒng)信息安全漏洞處理工作。我國(guó)應(yīng)借鑒美日做法并結(jié)合國(guó)情,建立和完善工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機(jī)制,鼓勵(lì)和引導(dǎo)廠商、安全研究人員和重點(diǎn)行業(yè)運(yùn)營(yíng)單位積極上報(bào)工控漏洞,并依托高校、科研院所、企業(yè)和相關(guān)支撐單位建設(shè)工業(yè)控制系統(tǒng)信息安全測(cè)試床及實(shí)驗(yàn)室,集中優(yōu)勢(shì)力量打造骨干技術(shù)研究基地,重點(diǎn)提升漏洞挖掘、驗(yàn)證分析和解決方案制定等技術(shù)分析能力,建立國(guó)家級(jí)工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布平臺(tái),實(shí)施風(fēng)險(xiǎn)漏洞通報(bào)制度。
作者簡(jiǎn)介
李俊(1986-),江西吉安人,博士,現(xiàn)任工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所工程師,研究方向?yàn)楣I(yè)信息安全,先后主持或參與多項(xiàng)工信部、發(fā)改委和中央網(wǎng)信辦委托的工控信息安全課題。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)