工業(yè)控制系統(tǒng)信息安全漏洞管理思考與實(shí)踐

工業(yè)控制系統(tǒng)信息安全漏洞管理思考與實(shí)踐正文目錄目錄TOC\o"1-5"\h\z正文目錄 1插圖目錄 2編者按 2前言 2.工控安全漏洞的內(nèi)涵與外延 21.工控安全漏洞是網(wǎng)絡(luò)安全漏洞的一種 2\o"CurrentDocument"工控安全漏洞分類方法多樣 3\o"CurrentDocument"工控安全漏洞特性 4\o"CurrentDocument"2.工控安全漏洞管理現(xiàn)狀 4\o"CurrentDocument"1.工控安全漏洞管理法律基礎(chǔ)不斷夯實(shí) 4\o"CurrentDocument"2.工控安全漏洞管理組織架構(gòu)完善健全 5\o"CurrentDocument"3.工控安全漏洞管理工作流程更加規(guī)范 5\o"CurrentDocument"5個工業(yè)控制系統(tǒng)中的常見漏洞 6\o"CurrentDocument"1.哪些工業(yè)控制系統(tǒng)存在漏洞? 6\o"CurrentDocument"2.緩沖區(qū)溢出 7\o"CurrentDocument"3.未經(jīng)身份驗(yàn)證的協(xié)議 7\o"CurrentDocument"5.不及時采用軟件 8\o"CurrentDocument"6.密碼政策或管理不力 8\o"CurrentDocument"4.工控網(wǎng)絡(luò)安全漏洞的分類與標(biāo)準(zhǔn)化管理 91.概述 9\o"CurrentDocument"2.工控網(wǎng)絡(luò)安全漏洞分類 9\o"CurrentDocument"3.工控網(wǎng)絡(luò)安全漏洞標(biāo)準(zhǔn)化管理 10\o"CurrentDocument"4.工控網(wǎng)絡(luò)安全檢測系統(tǒng) 11\o"CurrentDocument"5.小結(jié) 12\o"CurrentDocument"5.工控安全漏洞管理實(shí)踐 12\o"CurrentDocument"1.工控安全漏洞收錄范圍 13\o"CurrentDocument"2.工控安全漏洞全生命周期管理 13\o"CurrentDocument"2.1.漏洞研判與收錄 13\o"CurrentDocument"2.2.漏洞通報(bào)與處置 13\o"CurrentDocument"3.多方共建工控安全漏洞生態(tài) 14\o"CurrentDocument"工控安全漏洞管理的思考 14\o"CurrentDocument"6.1.建立健全漏洞管理政策標(biāo)準(zhǔn)體系 15\o"CurrentDocument"6.2.加強(qiáng)工控安全漏洞風(fēng)險(xiǎn)識別監(jiān)測 15\o"CurrentDocument"3.加快培育工控安全漏洞管理生態(tài) 15插圖目錄圖1自動化中使用的工業(yè)控制系統(tǒng)組件概述 7圖2《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范》給出了漏洞生命周期管理流程........11編者按本文圍繞工控安全漏洞的概念、分類及特點(diǎn)，立足我國產(chǎn)業(yè)發(fā)展實(shí)際，分析了法律政策環(huán)境，結(jié)合國家工業(yè)信息安全漏洞庫運(yùn)營實(shí)踐，提出加強(qiáng)工控安全漏洞管理的工作思考。刖己隨著工業(yè)領(lǐng)域數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展加速，工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)暴露面持續(xù)擴(kuò)大，工業(yè)控制系統(tǒng)信息安全(以下簡稱工控安全)漏洞成為網(wǎng)絡(luò)安全攻擊的眾矢之的，被利用風(fēng)險(xiǎn)不斷攀升，產(chǎn)業(yè)各界高度關(guān)注工控安全漏洞管理工作。本文圍繞工控安全漏洞的概念、分類及特點(diǎn)，立足我國產(chǎn)業(yè)發(fā)展實(shí)際，分析了法律政策環(huán)境，結(jié)合國家工業(yè)信息安全漏洞庫運(yùn)營實(shí)踐，提出加強(qiáng)工控安全漏洞管理的工作思考。.工控安全漏洞的內(nèi)涵與外延工控安全漏洞是網(wǎng)絡(luò)安全漏洞的一種目前國內(nèi)外針對工控安全漏洞尚無確切的定義，但關(guān)于網(wǎng)絡(luò)安全漏洞定義已有相對成熟的研究成果。如我國發(fā)布的國家標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞標(biāo)識與描述規(guī)范》(GB/T28458-2020)將網(wǎng)絡(luò)安全漏洞定義為"網(wǎng)絡(luò)產(chǎn)品和服務(wù)在需求分析、設(shè)計(jì)、實(shí)現(xiàn)、配置、測試、運(yùn)行、維護(hù)等過程中，無意或有意產(chǎn)生的、有可能被利用的缺陷或薄弱點(diǎn)”。英國國家網(wǎng)絡(luò)安全中心（NCSC）指出"漏洞是信息系統(tǒng)中的弱點(diǎn)，攻擊者可以利用該漏洞進(jìn)行成功的攻擊。它們可能通過缺陷、功能或用戶錯誤而產(chǎn)生”。美國國家標(biāo)準(zhǔn)與技術(shù)研究院（N1ST）發(fā)布的N1STIR7298《關(guān)鍵信息安全術(shù)語匯編》中，定義的漏洞是"信息系統(tǒng)、系統(tǒng)安全程序、內(nèi)部控制或?qū)嵤┲锌赡鼙煌{源利用的弱點(diǎn)"。美國N1STSP800-82《工業(yè)控制系統(tǒng)安全指南》強(qiáng)調(diào)工控安全漏洞是網(wǎng)絡(luò)安全漏洞的細(xì)分項(xiàng)，"漏洞是指信息系統(tǒng)（包括1CS）、系統(tǒng)安全程序、內(nèi)部控制或?qū)嵤┲锌赡鼙煌{源利用或觸發(fā)的弱點(diǎn)”?；趯ι鲜龆x的共性特征分析，可進(jìn)一步明確工控安全漏洞可能出現(xiàn)在ICS的全生命周期，且具有可利用性，一旦被惡意利用或?qū)?yán)重威脅,1CS安全。各國對于工控安全漏洞范圍的界定不盡相同：1）美國將組織內(nèi)部控制策略和程序脆弱性納入漏洞范疇，如缺乏安全培訓(xùn)、未制定1CS操作指南、缺少安全審計(jì)等；2）我國通常將其歸為安全管理的薄弱環(huán)節(jié)而非漏洞，僅將有關(guān)ICS的軟件、硬件、協(xié)議等的缺陷或薄弱點(diǎn)視為工控安全漏洞?？傮w來看，工控安全漏洞即工業(yè)控制系統(tǒng)（以下簡稱ICS）存在的信息安全漏洞，屬于網(wǎng)絡(luò)安全漏洞（又稱漏洞/脆弱性）的特定類型。1.2.工控安全漏洞分類方法多樣漏洞分類是漏洞研究的基礎(chǔ)。工控安全漏洞具有多方面的屬性，可從不同角度對其進(jìn)行分類：1）一是基于工控安全漏洞存在的位置進(jìn)行分類。系統(tǒng)（硬件、固件和軟件）漏洞可細(xì)分為5類：架構(gòu)和設(shè)計(jì)漏洞（如系統(tǒng)設(shè)計(jì)缺陷）、配置和維護(hù)漏洞（如系統(tǒng)配置錯誤卜物理漏洞（如設(shè)備故障）、軟件開發(fā)漏洞（如數(shù)據(jù)驗(yàn)證不當(dāng)卜通信和網(wǎng)絡(luò)漏洞（如不安全的協(xié)議、防火墻配置錯誤）。2）二是基于工控安全漏洞產(chǎn)生的原因進(jìn)行分類?？梢詣澐譃榇a問題、處理邏輯錯誤、弱口令、拒絕服務(wù)等多種類型。3）三是基于工控安全漏洞影響的產(chǎn)品進(jìn)行分類?？蓜澐譃楣I(yè)生產(chǎn)控制設(shè)備漏洞、工業(yè)網(wǎng)絡(luò)通信設(shè)備漏洞、工業(yè)控制系統(tǒng)協(xié)議漏洞、工業(yè)控制軟件系統(tǒng)漏洞、工業(yè)生產(chǎn)信息系統(tǒng)漏洞、工業(yè)網(wǎng)絡(luò)安全設(shè)備漏洞等6類。1.3.工控安全漏洞特性1）一是系統(tǒng)固有漏洞多。傳統(tǒng)1CS運(yùn)營在封閉的環(huán)境中，設(shè)計(jì)時側(cè)重功能性、可靠性而非安全性，基本不具備防范各類網(wǎng)絡(luò)攻擊的能力。在互聯(lián)互通的新應(yīng)用場景下，ICS存在大量天然的安全缺陷或漏洞，且多為可造成遠(yuǎn)程攻擊、越權(quán)執(zhí)行的高危級別。2）二是漏洞修復(fù)難度大。考慮到開機(jī)調(diào)試成本、系統(tǒng)運(yùn)行成本、系統(tǒng)穩(wěn)定性等因素，ICS通常處于長時間不間斷運(yùn)行狀態(tài)，無法高頻次開展補(bǔ)丁安裝、漏洞修補(bǔ)等工作。此外，ICS運(yùn)行的操作系統(tǒng)版本老舊，存在漏洞補(bǔ)丁兼容性差等問題，大量工控安全漏洞長期存在于工業(yè)生產(chǎn)環(huán)境中。3）三是漏洞利用危害大。目前，漏洞利用已經(jīng)成為不法分子發(fā)動網(wǎng)絡(luò)攻擊的主要方式。1CS作為關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分，一旦工控安全漏洞被惡意利用，不僅可能造成工業(yè)生產(chǎn)中斷，還可能危害國家安全、影響國計(jì)民生。工控安全漏洞管理現(xiàn)狀面對日益嚴(yán)峻的漏洞形勢，近年來我國出臺了一系列法律法規(guī)文件，明確了漏洞管理的法律基礎(chǔ)、組織架構(gòu)和工作流程。工控安全漏洞管理法律基礎(chǔ)不斷夯實(shí)《網(wǎng)絡(luò)安全法》為工控安全漏洞管理奠定了法治基礎(chǔ)?！毒W(wǎng)絡(luò)安全法》是我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律，其中第三、四、六章圍繞網(wǎng)絡(luò)產(chǎn)品的標(biāo)準(zhǔn)制定、漏洞管理、安全審查等對網(wǎng)絡(luò)產(chǎn)品提供者、運(yùn)營者等主體的法律責(zé)任進(jìn)行了描述?！蛾P(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》為針對關(guān)鍵信息基礎(chǔ)設(shè)施合規(guī)開展工控安全漏洞探測等提供了重要法治保障?！稐l例》建立了關(guān)鍵信息基礎(chǔ)設(shè)施漏洞探測、滲透性測試活動的批準(zhǔn)機(jī)制，明確未經(jīng)批準(zhǔn)或授權(quán)，任何個人和組織不得對關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施上述活動，并專門規(guī)定了相應(yīng)罰則?！毒W(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》（以下簡稱《規(guī)定》）推動了包括工控安全漏洞在內(nèi)的網(wǎng)絡(luò)產(chǎn)品安全漏洞管理工作制度化、規(guī)范化、法治化?！兑?guī)定》是《網(wǎng)絡(luò)安全法》中漏洞管理具體條款的細(xì)化落實(shí)，規(guī)范了漏洞發(fā)現(xiàn)、報(bào)告、修補(bǔ)和發(fā)布等行為，鼓勵各類主體發(fā)揮技術(shù)和機(jī)制優(yōu)勢合規(guī)地開展漏洞發(fā)現(xiàn)、收集、發(fā)布等工作，有助于提高相關(guān)主體漏洞管理水平。2.工控安全漏洞管理組織架構(gòu)完善健全《規(guī)定》細(xì)化了行業(yè)主管部門的漏洞管理職責(zé)分工，明確了網(wǎng)絡(luò)產(chǎn)品提供者、網(wǎng)絡(luò)運(yùn)營者以及從事漏洞發(fā)現(xiàn)、收集、發(fā)布等活動的組織或個人等三類責(zé)任主體安全義務(wù)，進(jìn)一步健全完善了漏洞管理組織架構(gòu)：1）行業(yè)主管部門。在漏洞監(jiān)督管理方面，國家互聯(lián)網(wǎng)信息辦公室負(fù)責(zé)網(wǎng)絡(luò)產(chǎn)品安全漏洞管理的統(tǒng)籌協(xié)調(diào)；2）工業(yè)和信息化部（以下簡稱工信部）負(fù)責(zé)網(wǎng)絡(luò)產(chǎn)品安全漏洞的綜合治理，承擔(dān)電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)產(chǎn)品安全漏洞的監(jiān)督管理；3）公安部依法打擊利用網(wǎng)絡(luò)產(chǎn)品安全漏洞實(shí)施的違法犯罪活動。4）三部委實(shí)時共享漏洞信息，共同評估和處理重大安全漏洞，同步備案的漏洞收集平臺。5）網(wǎng)絡(luò)產(chǎn)品提供者和網(wǎng)絡(luò)運(yùn)營者。在工控安全漏洞管理體系中，主要包括工控產(chǎn)品提供者、工控安全廠商和工控產(chǎn)品運(yùn)營者等，其主要職責(zé)為修復(fù)自身1CS產(chǎn)品的安全漏洞，從源頭消除漏洞風(fēng)險(xiǎn)，防范惡意利用，避免安全事件發(fā)生。6）從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集、發(fā)布等活動的組織或者個人。《規(guī)定》要求漏洞收集平臺需向工業(yè)和信息化部備案，并鼓勵發(fā)現(xiàn)安全漏洞的組織或者個人向工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺等報(bào)送信息。通過將相關(guān)組織和個人納入漏洞管理組織架構(gòu)，促進(jìn)其在合法合規(guī)的條件下發(fā)揮更大的價值。3.工控安全漏洞管理工作流程更加規(guī)范《規(guī)定》全面考慮各方主體，明確了漏洞管理不同環(huán)節(jié)的合規(guī)要求，進(jìn)一步規(guī)范了包括工控安全漏洞在內(nèi)的漏洞管理工作流程。1）漏洞發(fā)現(xiàn)方面，要求網(wǎng)絡(luò)產(chǎn)品提供者和網(wǎng)絡(luò)運(yùn)營者建立健全漏洞信息接收渠道并保持暢通，并對漏洞信息接收日志留存時間做出明確規(guī)定。2)漏洞報(bào)告方面，要求網(wǎng)絡(luò)產(chǎn)品提供者發(fā)現(xiàn)或獲知所提供的網(wǎng)絡(luò)產(chǎn)品存在漏洞后，立即采取措施并組織對漏洞進(jìn)行驗(yàn)證，評估漏洞影響，在2日內(nèi)向工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報(bào)送相關(guān)漏洞信息；對屬于其上游產(chǎn)品或者組件存在的漏洞，要求立即通知相關(guān)產(chǎn)品提供者。3)漏洞修補(bǔ)方面，要求網(wǎng)絡(luò)產(chǎn)品提供者及時修補(bǔ)漏洞，將漏洞風(fēng)險(xiǎn)及修補(bǔ)方式告知可能受影響的產(chǎn)品用戶，并提供必要的技術(shù)支持；要求網(wǎng)絡(luò)運(yùn)營者及時驗(yàn)證發(fā)現(xiàn)或獲知的漏洞并完成修補(bǔ)。4)漏洞發(fā)布方面，規(guī)定了漏洞發(fā)布時間要求、漏洞細(xì)節(jié)發(fā)布要求、利用漏洞的安全行為要求、漏洞利用程序工具發(fā)布要求、安全措施同步要求、重大活動期間漏洞發(fā)布要求、漏洞信息對外提供要求等。5個工業(yè)控制系統(tǒng)中的常見漏洞工業(yè)控制系統(tǒng)的使用涉及廣泛的關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域，包括能源，制造，運(yùn)輸，水和廢物管理。ics傳統(tǒng)上是隔離的系統(tǒng)，用于控制和管理工業(yè)資產(chǎn)，機(jī)械和系統(tǒng)。但是，隨著我們進(jìn)入第四次工業(yè)革命或工業(yè)4.0時代，這種情況正在改變?，F(xiàn)在，隨著信息技術(shù)(1T)和運(yùn)營技術(shù)(OT)融合到一個集成的網(wǎng)絡(luò)中以獲取無數(shù)的收益，1CS組件中嵌入的漏洞越來越容易受到已知和未知的網(wǎng)絡(luò)威脅的威脅。1.哪些工業(yè)控制系統(tǒng)存在漏洞？已知最容易受到攻擊的前三個工業(yè)控制系統(tǒng)組件是人機(jī)界面(HM1),電力分析儀和繼電器平臺單元等電氣設(shè)備以及監(jiān)控和數(shù)據(jù)采集系統(tǒng)(SCADA)。幾乎所有ICS組件之間都存在一些漏洞。SCAD但MB- 、 mS？AR圖1自動化中使用的工業(yè)控制系統(tǒng)組件概述以下是5個常見漏洞2.緩沖區(qū)溢出緩沖區(qū)溢出是編程錯誤，導(dǎo)致軟件代碼超出緩沖區(qū)的邊界，它們會覆蓋相鄰的存儲塊。這些類型的編程錯誤是存在輸入驗(yàn)證過程的原因，因?yàn)樗鼈兛赡軙钩绦虮罎?，?dǎo)致數(shù)據(jù)損壞或在系統(tǒng)中執(zhí)行惡意代碼。因此，必須采取正確的測試和確認(rèn)方法以及進(jìn)行任何適當(dāng)?shù)倪吔鐧z查，以確保避免緩沖區(qū)溢出或軟件故障。輸入驗(yàn)證不當(dāng)還會使諸如SCADA,HMI,PLC和DCS之類的工業(yè)控制系統(tǒng)對其他形式的網(wǎng)絡(luò)攻擊（例如SQL注入）開放，其中惡意代碼被嵌入到應(yīng)用程序中，然后傳遞給后端數(shù)據(jù)庫以產(chǎn)生一般情況下不會提供的查詢結(jié)果。3.未經(jīng)身份驗(yàn)證的協(xié)議在工業(yè)控制系統(tǒng)中，認(rèn)證協(xié)議用于在兩個實(shí)體之間傳輸認(rèn)證數(shù)據(jù)，以便對連接實(shí)體及其自身進(jìn)行認(rèn)證。身份驗(yàn)證協(xié)議是與計(jì)算機(jī)網(wǎng)絡(luò)通信的最重要的保護(hù)層。當(dāng)工業(yè)控制系統(tǒng)的協(xié)議缺乏身份驗(yàn)證時，連接到網(wǎng)絡(luò)的任何計(jì)算機(jī)或設(shè)備都可以輸入命令來更改，更改或操縱由ics控制的操作。4.弱用戶認(rèn)證如上文所述，身份驗(yàn)證是證明網(wǎng)絡(luò)或系統(tǒng)上用戶身份的過程。弱用戶身份驗(yàn)證系統(tǒng)將是一個容易被擊敗或繞過的身份驗(yàn)證過程。例如，基于知識的身份驗(yàn)證可以僅基于用戶只會知道的知識（例如密碼）來對用戶進(jìn)行身份驗(yàn)證，因此，由于密碼管理和策略未保持最新或定期更改，因此該功能非常薄弱。另一方面，基于身份的身份驗(yàn)證系統(tǒng)可以是非常強(qiáng)大的用戶身份驗(yàn)證系統(tǒng)，因?yàn)樗鼈兺ǔＴ谏锾卣髯x?。ɡ缰讣y或虹膜掃描）上工作。這些生物識別讀數(shù)比基于知識的系統(tǒng)更難模仿或繞過，而從理論上講，僅憑好猜測就可以破解。因此，企業(yè)必須認(rèn)識到其資產(chǎn)的價值，并提供強(qiáng)大的用戶身份驗(yàn)證系統(tǒng)以適應(yīng)這一需求，這一點(diǎn)至關(guān)重要。5.不及時采用軟件在考慮到工業(yè)控制系統(tǒng)的漏洞時，軟件的不及時采用可能不是人們首先想到的，但是未經(jīng)測試的軟件的不正確設(shè)置可能會導(dǎo)致控制系統(tǒng)設(shè)置中出現(xiàn)漏洞，并最終導(dǎo)致對它們的利用。如果未正確配置軟件，則來自惡意黑客。補(bǔ)丁的不正確實(shí)施還可能導(dǎo)致其他問題，并不利于工業(yè)控制系統(tǒng)的最佳運(yùn)行。在實(shí)施任何新軟件或補(bǔ)丁之前，組織可以創(chuàng)建清單，以驗(yàn)證技術(shù)是否符合法規(guī)要求，并確保任何未決的實(shí)施都準(zhǔn)備好執(zhí)行所需的級別。6.密碼政策或管理不力任何計(jì)算機(jī)，網(wǎng)絡(luò)或工業(yè)控制系統(tǒng)中最明顯的漏洞之一就是不良的密碼管理。聽起來似乎很簡單，但令人難以置信的是，仍然有許多企業(yè)和組織低估了體面的密碼管理作為保護(hù)自己免受網(wǎng)絡(luò)攻擊的一種手段的力量。盡管使用自己知道的密碼和其他在線帳戶使用密碼的便利性很誘人，但這種情況所帶來的風(fēng)險(xiǎn)永遠(yuǎn)不值得您輸入弱密碼保存幾秒鐘。有時，密碼本身可能太脆弱了，并且認(rèn)為有必要的業(yè)務(wù)可能會選擇更嚴(yán)格的身份驗(yàn)證過程，這些過程使用基于身份的系統(tǒng)讀取生物特征用戶數(shù)據(jù)來代替密碼。7.小結(jié)2010年，已知有19個工業(yè)控制系統(tǒng)漏洞，而到2015年，這一數(shù)字已上升到189個。到目前為止，我們尚不確定該數(shù)字在過去幾年中如何變化，但是，我們可以確定的是隨著攻擊者獲得對這些系統(tǒng)的更高級知識以及對更好的黑客設(shè)備的訪問權(quán)，對1CS的威脅將繼續(xù)增長。我們依靠工業(yè)控制系統(tǒng)來驅(qū)動使我們的生活變得更好的技術(shù)，只會產(chǎn)生越來越多的技術(shù)。ICS組件制造商將必須跟上并迅速發(fā)現(xiàn)漏洞并加以解決。將來我們可能還會看到更多的嵌入式安全性進(jìn)入工業(yè)控制系統(tǒng)。為了擊敗高級攻擊者的工具，將需要關(guān)鍵基礎(chǔ)架構(gòu)機(jī)構(gòu)，網(wǎng)絡(luò)安全軟件開發(fā)人員和1CS硬件OEM進(jìn)行緊密協(xié)作和持續(xù)的交叉通信。強(qiáng)大的1CS網(wǎng)絡(luò)安全系統(tǒng)介于混亂和網(wǎng)絡(luò)攻擊之間，并且由于所有關(guān)鍵基礎(chǔ)架構(gòu)都依賴1CS系統(tǒng)，因此，行業(yè)和相關(guān)政府機(jī)構(gòu)必須定期更新全面的合規(guī)性程序，以跟上不斷發(fā)展的威脅。4.工控網(wǎng)絡(luò)安全漏洞的分類與標(biāo)準(zhǔn)化管理概述工業(yè)控制系統(tǒng)由各種自動化控制組件和一系列負(fù)責(zé)實(shí)時數(shù)據(jù)采集、監(jiān)測的過程控制組件共同組成，目前被廣泛應(yīng)用于電力、冶金、水利、安防、化工、軍工以及其他與國計(jì)民生緊密相關(guān)的重要領(lǐng)域。隨著智能制造、工業(yè)一體化的不斷提高，以及物聯(lián)網(wǎng)、5G通訊等高新技術(shù)的不斷推廣，越來越多的網(wǎng)絡(luò)安全攻擊的矛頭都指向了工控系統(tǒng)，關(guān)鍵基礎(chǔ)設(shè)施被蓄意攻擊的事件層出不窮。其中，最常見的攻擊方式就是利用工控系統(tǒng)的漏洞，PLCfProgrammableLogicController,可編程邏輯控制器)、DCS(DistributedControlSystem,分布式控制系統(tǒng))、SCADA(SupervisoryControlAndDataAcquisition,數(shù)據(jù)采集與監(jiān)視控制系統(tǒng))乃至應(yīng)用軟件均被發(fā)現(xiàn)存在大量信息安全漏洞，如西門子(SIEMENS),Parallels,研華科技(Advantech)、羅克韋爾(Rockwell)、ABB及施耐德電(SchneiderElectric)等工控系統(tǒng)廠商產(chǎn)品均被發(fā)現(xiàn)包含各種信息安全漏洞。目前，超過80%的涉及國計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實(shí)現(xiàn)自動化作業(yè)。工業(yè)控制系統(tǒng)已經(jīng)成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，其安全更是關(guān)系到國家的戰(zhàn)略安全。因此，研究工控安全漏洞，對發(fā)現(xiàn)的漏洞進(jìn)行標(biāo)準(zhǔn)化管理，對于提高工控系統(tǒng)安全性，幫助企業(yè)遠(yuǎn)離威脅有著重要意義。2.工控網(wǎng)絡(luò)安全漏洞分類與傳統(tǒng)信息系統(tǒng)相比，工業(yè)控制系統(tǒng)采用了很多專有的工控設(shè)備、工控網(wǎng)絡(luò)協(xié)議、操作系統(tǒng)和應(yīng)用軟件，工業(yè)控制系統(tǒng)的安全漏洞也具有工控系統(tǒng)所獨(dú)有的特性。根據(jù)漏洞出現(xiàn)在的工控系統(tǒng)組件的不同，工控安全漏洞可劃分為：(1)工控設(shè)備漏洞(2)工控網(wǎng)絡(luò)協(xié)議漏洞(3)工控軟件系統(tǒng)漏洞(4)工控安全防護(hù)設(shè)備漏洞根據(jù)是否可能帶來直接隱患，工控安全漏洞也可劃分為：(1JSCADA系統(tǒng)軟件漏洞(2)操作系統(tǒng)安全漏洞(3)網(wǎng)絡(luò)通信協(xié)議安全漏洞(4)安全策略和管理流程漏洞3.工控網(wǎng)絡(luò)安全漏洞標(biāo)準(zhǔn)化管理目前，國外已經(jīng)形成了比較完整的工控系統(tǒng)安全管理體制、技術(shù)體系以及標(biāo)準(zhǔn)法規(guī)。二十世紀(jì)九十年代美國國家標(biāo)準(zhǔn)協(xié)會開展了操作系統(tǒng)安全研究項(xiàng)目，相關(guān)研究機(jī)構(gòu)對大型系統(tǒng)漏洞進(jìn)行收集，并根據(jù)漏洞發(fā)現(xiàn)時間、漏洞產(chǎn)生的原因和漏洞所處的位置進(jìn)行了簡單的分類。由M1TRE公司負(fù)責(zé)維護(hù)的通用漏洞歹I］表(CommonVulnerabilitiesandExposures.CVE)已經(jīng)成為全球公認(rèn)的安全漏洞索引標(biāo)準(zhǔn)，該項(xiàng)目將已暴露并引起廣泛認(rèn)同的安全漏洞進(jìn)行編號，定期對漏洞列表進(jìn)行發(fā)布，方便漏洞信息的共享。我國正處于計(jì)算機(jī)技術(shù)與工業(yè)自動化技術(shù)相互融合的重要階段，工業(yè)控制系統(tǒng)的安全問題格外重要?；诠た叵到y(tǒng)安全狀況的脆弱性以及攻擊威脅的嚴(yán)重性，我國相關(guān)部門和廣大企事業(yè)單位也正在積極地開展工控系統(tǒng)安全工作，制定出一系列體制文件，研制出了一大批工控信息安全產(chǎn)品。2009年，我國漏洞庫建設(shè)工作有了突破性進(jìn)展，先后推出了國家信息安全漏洞庫(CNNVD)國家信息安全漏洞共享平臺(CNVD)等頗具規(guī)模的漏洞庫。2019年10月國家工業(yè)信息安全漏洞庫(CICSVD)建立，由國家工業(yè)信息安全發(fā)展研究中心組織發(fā)起，國內(nèi)從事工業(yè)信息安全相關(guān)產(chǎn)業(yè)、教育、科研、應(yīng)用的機(jī)構(gòu)、企業(yè)及個人自愿參與建設(shè)的全國性、行業(yè)性、非營利性的漏洞收集、分析、處置、披露的平臺。2020年11月國家標(biāo)準(zhǔn)化管理委員會發(fā)布了《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范》，該標(biāo)準(zhǔn)給出了漏洞生命周期管理流程，如圖2

處置反饋接收反饋物證反饋漏洞消控漏洞接收

美聯(lián)廠鼻

餌格達(dá)量拿

漏洞收最姐較

處置反饋接收反饋物證反饋漏洞消控漏洞接收

美聯(lián)廠鼻

餌格達(dá)量拿

漏洞收最姐較

SiRfiSffitR

amwaam■促核查axvsfim漏洞處置

美?廠?

網(wǎng)修運(yùn)■者

?青收承蛆蟻

anfisisn

anitafltR漏洞發(fā)布

個人

x?r?

同給運(yùn)管事圖2《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范》給出了漏洞生命周期管理流程但是目前，國內(nèi)漏洞管理主要體現(xiàn)在漏洞信息發(fā)布和安全預(yù)警上，而基于漏洞庫的掃描挖掘、安全審計(jì)、風(fēng)險(xiǎn)評估、軟件安全性評測等有價值的應(yīng)用并不多，因此，開展面向工控系統(tǒng)信息安全的漏洞發(fā)現(xiàn)和分析等相關(guān)研究具有重要意義。工控網(wǎng)絡(luò)安全檢測系統(tǒng)基于CVE漏洞庫中的工控行業(yè)漏洞信息，結(jié)合已有的模糊測試和openVAS相關(guān)技術(shù)，設(shè)計(jì)研發(fā)了工控網(wǎng)絡(luò)安全檢測系統(tǒng)，系統(tǒng)主要包括了設(shè)備識別、協(xié)議識別、已知漏洞掃描、未知漏洞挖掘等模塊。以下將針對這幾個模塊的設(shè)計(jì)思路進(jìn)行簡單介紹。(1)設(shè)備識別設(shè)備識別主要是對工控網(wǎng)絡(luò)內(nèi)的設(shè)備進(jìn)行探測識別和管理，該模塊是通過深入研究和分析開源工具NMAP的掃描原理和運(yùn)行流程的基礎(chǔ)上實(shí)現(xiàn)的，通過對其掃描流程進(jìn)行優(yōu)化，最終實(shí)現(xiàn)了更貼合工控網(wǎng)絡(luò)環(huán)境下的系統(tǒng)所需功能要求，其中包括主機(jī)操作系統(tǒng)版本、IP、MAC、端口、廠商、型號等基礎(chǔ)硬件信息，此外還將提供設(shè)備的漏洞數(shù)量、通信過程中所產(chǎn)生告警的數(shù)量等信息。(2)協(xié)議識別工業(yè)控制系統(tǒng)通信協(xié)議不同于一般的網(wǎng)絡(luò)通信協(xié)議，其往往是專用、私有控制協(xié)議。協(xié)議識別模塊將充分利用木鏈星期五實(shí)驗(yàn)室的協(xié)議逆向分析能力，獲取未知協(xié)議的協(xié)議規(guī)范，包括協(xié)議語法、語義以及同步信息。通過對工控網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行協(xié)議解析，可以還原出通信設(shè)備信息和通信內(nèi)容?？梢杂糜谏a(chǎn)狀態(tài)監(jiān)控、資產(chǎn)識別、設(shè)備行為判斷、異常行為或?qū)Σ《尽⑷湎x、木馬、DDoS、掃描、SQL注入、XSS、緩沖區(qū)溢出、欺騙劫持等含有惡意代碼的攻擊行為進(jìn)行安全檢測。(3)漏洞掃描已知漏洞掃描模塊融合了開源工具openVAS的實(shí)現(xiàn)思路，首先將網(wǎng)絡(luò)掃描與主機(jī)掃描相結(jié)合，利用網(wǎng)絡(luò)掃描從外部查詢網(wǎng)絡(luò)服務(wù)端口獲取有關(guān)反饋信息，利用主機(jī)掃描從內(nèi)部收集軟件安裝與配置信息；其次將收集到信息和已公開漏洞進(jìn)行匹配比對，找到可能存在的安全隱患。(4)漏洞挖掘未知漏洞挖掘模塊應(yīng)用到的是模糊測試技術(shù)，也是目前在工業(yè)安全領(lǐng)域普遍采用的漏洞挖掘方法之一，模糊測試的實(shí)現(xiàn)方式是：通過構(gòu)造能夠使軟件或被測設(shè)備崩潰的畸形輸入來發(fā)現(xiàn)系統(tǒng)或被測設(shè)備中存在的漏洞安全問題。漏洞挖掘模塊將利用人工智能的方式，從流量的角度對未知協(xié)議進(jìn)行結(jié)構(gòu)解析和狀態(tài)解析，生成針對性模糊測試方案對測試目標(biāo)進(jìn)行模糊測試。5.小結(jié)目前，全球范圍內(nèi)已知的工控系統(tǒng)漏洞數(shù)量只有一千多種，絕大部分工控系統(tǒng)漏洞作為黑客手中的“核武器”非法存在。如何在黑客成功攻擊工業(yè)控制系統(tǒng)之前幫助工業(yè)控制系統(tǒng)應(yīng)用企業(yè)發(fā)現(xiàn)漏洞，進(jìn)而促使其完善系統(tǒng)，成為保障工業(yè)控制系統(tǒng)安全運(yùn)行、增強(qiáng)企業(yè)安全健壯性的必要手段。由于漏洞種類繁多，漏洞產(chǎn)生原理、觸發(fā)條件彼此不一致，目前還無法對安全漏洞進(jìn)行統(tǒng)一有效的挖掘。因此，加大對漏洞發(fā)現(xiàn)于分析的研究力度，對各類漏洞采取更為主動合理的處理方式。同時將人工智能技術(shù)應(yīng)用于漏洞的研究中，提高現(xiàn)有漏洞挖掘模型的準(zhǔn)確度，有效解決漏洞定位、漏報(bào)誤報(bào)等問題，實(shí)現(xiàn)智能化、自動化工控漏洞檢測和研究。5.工控安全漏洞管理實(shí)踐為落實(shí)《規(guī)定》有關(guān)要求，工信部建設(shè)了網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺。該平臺采用"1總庫+N專業(yè)庫”的運(yùn)營模式，“N專業(yè)庫”之一為工業(yè)控制產(chǎn)品安全漏洞專業(yè)庫，又稱國家工業(yè)信息安全漏洞庫（C1CSVD）,由國家工業(yè)信息安全發(fā)展研究中心負(fù)責(zé)運(yùn)營。CICSVD目前收錄了德國西門子、法國施耐德電氣、研華科技等200余家國內(nèi)外工控品牌產(chǎn)品漏洞，涉及緩沖區(qū)錯誤、輸入驗(yàn)證錯誤、權(quán)限許可和訪問控制問題等34種漏洞成因，在支撐開展漏洞處置、風(fēng)險(xiǎn)預(yù)警等方面發(fā)揮了重要作用。1.工控安全漏洞收錄范圍C1CSVD重點(diǎn)收錄鋼鐵、有色、石化化工、裝備工業(yè)、消費(fèi)品工業(yè)、電子信息、國防軍工、能源、交通、水利、市政、民用核設(shè)施等行業(yè)的工業(yè)生產(chǎn)控制設(shè)備、工業(yè)網(wǎng)絡(luò)通信設(shè)備、工業(yè)主機(jī)設(shè)備和軟件、工業(yè)生產(chǎn)信息系統(tǒng)、工業(yè)網(wǎng)絡(luò)安全設(shè)備等相關(guān)產(chǎn)品和組件的安全漏洞及其解決方案，助力相關(guān)領(lǐng)域的工控產(chǎn)品提供者和工控產(chǎn)品運(yùn)營者開展漏洞修補(bǔ)與應(yīng)急處置工作。2.工控安全漏洞全生命周期管理實(shí)施漏洞管理的關(guān)鍵是圍繞漏洞生命周期進(jìn)行全流程管理。目前C1CSVD主要從漏洞研判與收錄、漏洞通報(bào)與處置兩大階段進(jìn)行工控安全漏洞閉環(huán)管理。2.1.漏洞研判與收錄漏洞研判與收錄階段通過廣泛接收漏洞，并開展精準(zhǔn)分析研判，為工控產(chǎn)品提供者修補(bǔ)漏洞提供技術(shù)支撐。具體包括：1）在漏洞接收階段，接收漏洞概要、受影響產(chǎn)品、補(bǔ)丁等漏洞信息；2）在漏洞審核階段，去除惡意報(bào)送、重復(fù)報(bào)送等無效信息；3）在漏洞復(fù)現(xiàn)階段，核實(shí)漏洞信息的真實(shí)性；4）在漏洞研判階段，主要研判漏洞的危害等級、利用難度、受影響產(chǎn)品在國內(nèi)的分布情況、應(yīng)用行業(yè)等；5）在漏洞收錄階段，將通過研判的漏洞信息收錄入庫。2.2.漏洞通報(bào)與處置漏洞通報(bào)與處置階段通過督促工控產(chǎn)品提供者或工控產(chǎn)品運(yùn)營者及時開展漏洞修補(bǔ)與處置，有效消減漏洞風(fēng)險(xiǎn)。具體包括：1）在漏洞通報(bào)階段，依據(jù)《規(guī)定》等法律法規(guī)，向工控產(chǎn)品提供者或運(yùn)營者通報(bào)漏洞信息，督促其對未發(fā)布補(bǔ)丁或解決方案的漏洞制定合理有效的修補(bǔ)計(jì)劃；2）在修補(bǔ)計(jì)劃審核階段，審核修補(bǔ)計(jì)劃的可行性、科學(xué)性，督促工控產(chǎn)品提供者或運(yùn)營者及時調(diào)整修補(bǔ)計(jì)劃；3）在漏洞修補(bǔ)階段，督促工控產(chǎn)品提供者或運(yùn)營者根據(jù)修補(bǔ)計(jì)劃立即開展漏洞修補(bǔ)工作，并及時反饋漏洞修補(bǔ)結(jié)果。同時，CICSVD推出安全防護(hù)和應(yīng)急響應(yīng)等技術(shù)服務(wù)，支撐開展漏洞修補(bǔ)。5.3.多方共建工控安全漏洞生態(tài)工控安全漏洞管理工作離不開政府部門、漏洞庫運(yùn)營團(tuán)隊(duì)、工控產(chǎn)品提供者、工控安全廠商、工控產(chǎn)品運(yùn)營者、安全研究人員等組織和個人的共同參與。為充分凝聚工控安全產(chǎn)業(yè)界上下游力量，推動形成工控安全漏洞管理合力，有效防范漏洞風(fēng)險(xiǎn)，CICSVD著力構(gòu)建多方參與、協(xié)同共治的漏洞生態(tài)體系，目前已取得一定成效。利用支撐團(tuán)隊(duì)力量，不斷提升工控安全漏洞研究能力。為推動工控安全漏洞及時發(fā)現(xiàn)、報(bào)告和有效處置，CICSVD積極發(fā)揮橋梁紐帶作用，通過遴選支撐團(tuán)隊(duì)，引導(dǎo)工控安全廠商、工控產(chǎn)品提供者、工控產(chǎn)品運(yùn)營者、研究機(jī)構(gòu)、高校等共同參與漏洞庫建設(shè)，持續(xù)壯大漏洞挖掘、風(fēng)險(xiǎn)研判、應(yīng)急處置等技術(shù)力量。發(fā)揮團(tuán)體標(biāo)準(zhǔn)作用，促進(jìn)行業(yè)規(guī)范工控安全漏洞管理。針對當(dāng)前工控安全漏洞管理標(biāo)準(zhǔn)缺乏的問題，匯聚多方共同推進(jìn)相關(guān)標(biāo)