摘要：近年來(lái)，隨著(zhù)工業(yè)控制系統信息安全事件和漏洞數量的不斷增長(cháng)，美國國土安全部和日本經(jīng)濟產(chǎn)業(yè)省開(kāi)展了工業(yè)控制系統信息安全漏洞發(fā)布工作，形成了較為完備的工作機制，有效保證了關(guān)鍵基礎設施運營(yíng)者獲取工業(yè)控制系統安全漏洞信息。我國應借鑒美日做法并結合我國國情，建立和完善工業(yè)控制系統信息安全漏洞發(fā)布機制。

    關(guān)鍵詞：美國；日本；工業(yè)控制系統；漏洞發(fā)布

    Abstract: With the increasing in the number of vulnerabilities and incidents from industry control systems (ICS), US Department of Homeland Security (DHS) and the Ministry of Economy, Trade and Industry (METI) of Japan have implemented ICS vulnerability disclosure policies. These policies ensure that critical infrastructure owner/operator can effectively obtain ICS vulnerability and security risk information. We should use the experience of the USA and Japan for reference, establish and improve our ICS vulnerability disclosure policy and practice.

    Key words: the USA; Japan; Industry control systems; Vulnerability disclosure 

    1　前言

    2003年12月17日，美國政府頒布了第7號國土安全總統令（HSPD-7）《關(guān)鍵基礎設施標識、優(yōu)先級和保護》，要求國土安全部（DHS）制定保護關(guān)鍵基礎設施和重要資源（CIKR）的國家戰略計劃。認識到控制系統對關(guān)鍵基礎設施的重要性后，國土安全部下屬的國家防護與計劃司（NPPD）啟動(dòng)了“控制系統安全計劃（CSSP）”，旨在通過(guò)加強控制系統的信息安全保障來(lái)減少?lài)谊P(guān)鍵基礎設施的風(fēng)險。漏洞發(fā)布是美國工業(yè)控制系統網(wǎng)絡(luò )安全信息共享的主要方式，也是CSSP計劃的重要組成部分之一。從2006年5月信息安全研究人員Matt Franz向美國計算機應急響應小組（US-CERT）上報的第一個(gè)工業(yè)控制系統信息安全漏洞開(kāi)始，2009年以前的所有工業(yè)控制系統漏洞都是由US-CERT處理和發(fā)布并錄入國家漏洞庫（NVD）。然而，面對不斷涌現的工業(yè)控制系統信息安全事件和漏洞，缺乏工業(yè)控制領(lǐng)域專(zhuān)家和經(jīng)驗的US-CERT在處理相應漏洞時(shí)顯得力不從心。2009年11月，國土安全部組織專(zhuān)業(yè)技術(shù)隊伍正式建立了工業(yè)控制系統網(wǎng)絡(luò )應急響應小組（ICSCERT），專(zhuān)門(mén)響應、支持、分析和處理工業(yè)控制系統信息安全事件和漏洞。同年，國家防護與計劃司下設的網(wǎng)絡(luò )安全與通信辦公室（CS&C）成立了國家網(wǎng)絡(luò )安全與通信集成中心（NCCIC），領(lǐng)導并協(xié)調ICS-CERT的漏洞發(fā)布等相關(guān)工作。截止2014年8月，ICS-CERT通過(guò)官方網(wǎng)站公開(kāi)發(fā)布了400多份關(guān)于工業(yè)控制系統信息安全漏洞的警告和通報，有效保證了關(guān)鍵基礎設施運營(yíng)者獲取工業(yè)控制系統漏洞信息。

    作為工業(yè)最發(fā)達的國家之一，日本也在不斷加強工業(yè)控制系統信息安全保障工作。日本經(jīng)濟產(chǎn)業(yè)?。∕ETI）在2010年設立了網(wǎng)絡(luò )安全與經(jīng)濟研究小組，該小組的一個(gè)主要研究?jì)热荼闶?ldquo;確保工業(yè)控制系統的信息安全”。在該小組的基礎上，2011年METI成立了工業(yè)控制系統信息安全專(zhuān)門(mén)工作組，確保日本關(guān)鍵基礎設施控制系統的信息安全。2012年3月，METI與橫河、日立等8個(gè)工業(yè)控制系統相關(guān)企業(yè)建立了工業(yè)控制系統的技術(shù)研究協(xié)會(huì )——控制系統安全中心（CSSC），作為政府和行業(yè)共同推動(dòng)工業(yè)控制系統信息安全研發(fā)和支撐的重要單位，截止目前已經(jīng)建立了污水處理、化工過(guò)程控制、電力、輸氣管道等9個(gè)工業(yè)控制系統信息安全測試床（CSS-Based 6）。漏洞發(fā)布是日本工業(yè)控制信息安全保障工作的重要組成部分，相關(guān)工作主要由METI下屬的日本計算機應急處理協(xié)調中心（JPCERT/CC）和信息技術(shù)促進(jìn)局（IPA）負責領(lǐng)導。

    2　美國工業(yè)控制系統信息安全漏洞發(fā)布機制

    美國工業(yè)控制系統信息安全漏洞的發(fā)布工作具有多方積極參與和相互協(xié)調配合的特點(diǎn)。圖1展示了美國工業(yè)控制系統信息安全漏洞發(fā)布機制。ICS-CERT負責總體協(xié)調，與相關(guān)實(shí)驗室、信息安全研究人員和廠(chǎng)商協(xié)作挖掘、分析和消減工業(yè)控制系統信息安全漏洞，配合廠(chǎng)商向受影響的企業(yè)客戶(hù)通報漏洞，并通過(guò)官方網(wǎng)站或安全門(mén)戶(hù)網(wǎng)站發(fā)布漏洞信息。

 

    美國工業(yè)控制系統信息安全的漏洞發(fā)布包括如圖2所示的五個(gè)步驟。

 

    2.1　漏洞收集與挖掘

    ICS-CERT收集工業(yè)控制系統漏洞報告主要有3個(gè)途徑：（1）ICS-CERT分析挖掘的漏洞，主要來(lái)自于在響應信息安全事件或對廠(chǎng)商產(chǎn)品進(jìn)行評估時(shí)發(fā)現的漏洞；（2）從公開(kāi)媒體、出版物和網(wǎng)絡(luò )獲取的漏洞，主要來(lái)源于公開(kāi)的安全事件或者黑客主動(dòng)發(fā)布的漏洞；（3）安全研究人員或廠(chǎng)商上報的漏洞，這也是最主要的漏洞報告來(lái)源。

    在收到漏洞報告后，ICS-CERT將對上報的漏洞進(jìn)行初步的分析以消除冗余和誤報，同時(shí)對漏洞進(jìn)行分類(lèi)，并錄入需求追蹤標簽系統RTTS。在漏洞分類(lèi)后，ICSCERT將嘗試聯(lián)系廠(chǎng)商來(lái)協(xié)同開(kāi)展后續工作。如果漏洞發(fā)現者允許，ICS-CERT會(huì )把漏洞發(fā)現者的姓名和聯(lián)系方式告知受影響的廠(chǎng)商，同時(shí)也會(huì )在對廠(chǎng)商產(chǎn)品信息保密的基礎上告知漏洞發(fā)現者RTTS系統中漏洞處理的狀態(tài)變化。如果廠(chǎng)商不響應聯(lián)系或不制定有效的補救日程表，那么ICS-CERT可以在45天后直接發(fā)布漏洞信息。

    2.2　漏洞分析

    愛(ài)達荷國家實(shí)驗室I N L （ I d a h o N a t i o n a l Laboratory）建立了高級分析實(shí)驗室AAL（Advanced Analytical Laboratory），為ICS-CERT提供了技術(shù)分析能力。ICS-CERT與廠(chǎng)商配合，從檢查、驗證和潛在風(fēng)險分析等方面開(kāi)展漏洞分析工作。ICS-CERT會(huì )在國家漏洞庫NVD的漏洞評分系統CVSS（Common Vulnerability Scoring System）對漏洞的嚴重性評分，并在必要時(shí)協(xié)同廠(chǎng)商在A(yíng)AL實(shí)驗室進(jìn)行研究分析。ICS-CERT會(huì )基于漏洞分析的各種因素，決定漏
洞發(fā)布的類(lèi)型和時(shí)間表。這些因素主要包括：（1）漏洞是否已公開(kāi)；（2）漏洞的嚴重性；（3）對關(guān)鍵基礎設施的潛在影響；（4）對公眾生命財產(chǎn)安全的可能威脅；（5）當前可用的消減措施；（6）供應商的響應程度和提供解決方案的可能性；（7）客戶(hù)應用解決方案的時(shí)間；（8）漏洞被利用的可能性；（9）是否需要建立標準。廠(chǎng)商將被告知所有的發(fā)布計劃，如果有需要，ICS-CERT也可以與廠(chǎng)商協(xié)商更改發(fā)布日程表。

    2.3　消減措施協(xié)調

    在對漏洞進(jìn)行分析后，ICS-CERT與廠(chǎng)商建立安全、互信的合作伙伴關(guān)系，共同致力于消減措施或補丁發(fā)布等解決方案。對任何安全漏洞，都確保廠(chǎng)商有足夠的時(shí)間來(lái)解決問(wèn)題并對補丁進(jìn)行充分的回歸測試。對于影響多個(gè)廠(chǎng)商的漏洞，ICS-CERT要協(xié)調這些廠(chǎng)商共同響應處理。

    2.4　應用解決方案

    ICS-CERT與廠(chǎng)商配合，確保廠(chǎng)商有足夠的時(shí)間讓受影響的客戶(hù)在漏洞發(fā)布之前獲得、測試并應用解決方案，確保漏洞的發(fā)布不影響關(guān)鍵基礎設施的信息安全。

    2.5　漏洞發(fā)布

    在與廠(chǎng)商協(xié)調并收集技術(shù)和風(fēng)險信息后，ICSCERT會(huì )把漏洞的相關(guān)信息以警告或通報的形式發(fā)布于相關(guān)網(wǎng)站。ICS-CERT堅持發(fā)布準確、中立、客觀(guān)的信息，著(zhù)重于提供技術(shù)解決方案和補救措施。漏洞發(fā)布的主要內容包括：漏洞名稱(chēng)、受影響的產(chǎn)品、后果、產(chǎn)品背景、漏洞特征、消減措施等。漏洞的相關(guān)信息報告主要發(fā)布在三個(gè)網(wǎng)站：（1）ICS-CERT的官方網(wǎng)站，任何人都可以訪(fǎng)問(wèn)該網(wǎng)站以公開(kāi)獲取漏洞信息；（2）ICS-CERT的信息安全門(mén)戶(hù)，該門(mén)戶(hù)位于US-CERT信息安全門(mén)戶(hù)網(wǎng)站下屬的控制系統中心（Control Systems Center）區域，用于與其他參與方、工業(yè)組織和資產(chǎn)所有者等共享信息。只有在DHS注冊并經(jīng)過(guò)驗證的可信成員才允許訪(fǎng)問(wèn)該門(mén)戶(hù)；（3）國土安全信息門(mén)戶(hù)網(wǎng)站HSIN（Homeland Security Information Network）下屬的關(guān)鍵行業(yè)（Critical Sector）欄目下，用于向行業(yè)和關(guān)鍵基礎設施運營(yíng)者共享信息。該門(mén)戶(hù)由DHS的首席信息官辦公室（OCIO）負責維護，同樣也只有DHS的可信成員才允許訪(fǎng)問(wèn)。2013年，ICS-CERT共發(fā)布了285份信息報告，其中103份公開(kāi)發(fā)布于官方網(wǎng)站。

    3　日本工業(yè)控制系統信息安全漏洞發(fā)布機制

    日本工業(yè)控制系統信息安全漏洞的發(fā)布工作與美國類(lèi)似，同樣具有政府機構和廠(chǎng)商積極協(xié)調配合的特點(diǎn)。圖3展示了日本工業(yè)控制系統信息安全漏洞發(fā)布機制。國外研究人員或機構發(fā)現的漏洞由JPCERT/CC負責接收，而日本本國研究人員上報的漏洞將由IPA接收，日本產(chǎn)業(yè)技術(shù)綜合研究所（AIST）通過(guò)CSSC協(xié)助IPA對上報的漏洞展開(kāi)初步分析，確定漏洞屬實(shí)后IPA將漏洞報告傳遞給JPCERT/CC處理。JPCERT/CC聯(lián)系漏洞所屬工控廠(chǎng)商，協(xié)調廠(chǎng)商對漏洞展開(kāi)進(jìn)一步驗證、制定消減措施、協(xié)調漏洞發(fā)布日期。在遵守保密協(xié)議的情況下，JPCERT/CC和IPA共同運營(yíng)的日本漏洞庫JVN公開(kāi)發(fā)布漏洞，發(fā)布的內容要包括消減方案、廠(chǎng)商處理狀態(tài)和聲明，不允許包含可利用的代碼。如果廠(chǎng)商掌握了漏洞所影響產(chǎn)品的所有用戶(hù)信息，并可以直接通知它們漏洞信息和消減方案，那該漏洞可以不公開(kāi)披露。
 

    與美國ICS-CERT一樣，日本建立了強大的信息共享機制。JPCERT/CC建立了工業(yè)控制系統內部信息安全門(mén)戶(hù)——工業(yè)控制系統安全伙伴網(wǎng)站（Control System Security Partner's Site, ConPaS），同樣只有在JPCERT/CC注冊過(guò)的用戶(hù)才可以訪(fǎng)問(wèn)。ConPaS提供了國內外工業(yè)控制系統信息安全的最新動(dòng)態(tài)和發(fā)展趨勢、工業(yè)控制系統的漏洞和威脅、工業(yè)控制系統相關(guān)的工具和指南等。

    4　啟示與建議

    美國和日本的政府、廠(chǎng)商、研究人員、相關(guān)實(shí)驗室和受影響的企業(yè)都積極參與工業(yè)控制系統信息安全漏洞處理工作。我國應借鑒美日做法并結合國情，建立和完善工業(yè)控制系統信息安全漏洞發(fā)布機制，鼓勵和引導廠(chǎng)商、安全研究人員和重點(diǎn)行業(yè)運營(yíng)單位積極上報工控漏洞，并依托高校、科研院所、企業(yè)和相關(guān)支撐單位建設工業(yè)控制系統信息安全測試床及實(shí)驗室，集中優(yōu)勢力量打造骨干技術(shù)研究基地，重點(diǎn)提升漏洞挖掘、驗證分析和解決方案制定等技術(shù)分析能力，建立國家級工業(yè)控制系統信息安全漏洞發(fā)布平臺，實(shí)施風(fēng)險漏洞通報制度。


    作者簡(jiǎn)介

    李?。?986-），江西吉安人，博士，現任工業(yè)和信息化部電子科學(xué)技術(shù)情報研究所工程師，研究方向為工業(yè)信息安全，先后主持或參與多項工信部、發(fā)改委和中央網(wǎng)信辦委托的工控信息安全課題。