1　前言

2003年12月17日，美國政府頒布了第7號國土安全總統令（HSPD-7）《關(guān)鍵基礎設施標識、優(yōu)先級和保護》，要求國土安全部（DHS）制定保護關(guān)鍵基礎設施和重要資源（CIKR）的國家戰略計劃。認識到控制系統對關(guān)鍵基礎設施的重要性后，國土安全部下屬的國家防護與計劃司（NPPD）啟動(dòng)了“控制系統安全計劃（CSSP）”，旨在通過(guò)加強控制系統的信息安全保障來(lái)減少?lài)谊P(guān)鍵基礎設施的風(fēng)險。漏洞發(fā)布是美國工業(yè)控制系統網(wǎng)絡(luò )安全信息共享的主要方式，也是CSSP計劃的重要組成部分之一。從2006年5月信息安全研究人員Matt Franz向美國計算機應急響應小組（US-CERT）上報的第一個(gè)工業(yè)控制系統信息安全漏洞開(kāi)始，2009年以前的所有工業(yè)控制系統漏洞都是由US-CERT處理和發(fā)布并錄入國家漏洞庫（NVD）。然而，面對不斷涌現的工業(yè)控制系統信息安全事件和漏洞，缺乏工業(yè)控制領(lǐng)域專(zhuān)家和經(jīng)驗的US-CERT在處理相應漏洞時(shí)顯得力不從心。2009年11月，國土安全部組織專(zhuān)業(yè)技術(shù)隊伍正式建立了工業(yè)控制系統網(wǎng)絡(luò )應急響應小組（ICS-CERT），專(zhuān)門(mén)響應、支持、分析和處理工業(yè)控制系統信息安全事件和漏洞。同年，國家防護與計劃司下設的網(wǎng)絡(luò )安全與通信辦公室（CS&C）成立了國家網(wǎng)絡(luò )安全與通信集成中心（NCCIC），領(lǐng)導并協(xié)調ICS-CERT的漏洞發(fā)布等相關(guān)工作。截止2014年8月，ICS-CERT通過(guò)官方網(wǎng)站公開(kāi)發(fā)布了400多份關(guān)于工業(yè)控制系統信息安全漏洞的警告和通報，有效保證了關(guān)鍵基礎設施運營(yíng)者獲取工業(yè)控制系統漏洞信息。

作為工業(yè)最發(fā)達的國家之一，日本也在不斷加強工業(yè)控制系統信息安全保障工作。日本經(jīng)濟產(chǎn)業(yè)?。∕ETI）在2010年設立了網(wǎng)絡(luò )安全與經(jīng)濟研究小組，該小組的一個(gè)主要研究?jì)热荼闶恰按_保工業(yè)控制系統的信息安全”。在該小組的基礎上，2011年METI成立了工業(yè)控制系統信息安全專(zhuān)門(mén)工作組，確保日本關(guān)鍵基礎設施控制系統的信息安全。2012年3月，METI與橫河、日立等8個(gè)工業(yè)控制系統相關(guān)企業(yè)建立了工業(yè)控制系統的技術(shù)研究協(xié)會(huì ) ——控制系統安全中心（CSSC），作為政府和行業(yè)共同推動(dòng)工業(yè)控制系統信息安全研發(fā)和支撐的重要單位，截止目前已經(jīng)建立了污水處理、化工過(guò)程控制、電力、輸氣管道等9個(gè)工業(yè)控制系統信息安全測試床（CSS-Based 6）。漏洞發(fā)布是日本工業(yè)控制信息安全保障工作的重要組成部分，相關(guān)工作主要由METI下屬的日本計算機應急處理協(xié)調中心（JPCERT/CC）和信息技術(shù)促進(jìn)局（IPA）負責領(lǐng)導。

2　美國工業(yè)控制系統信息安全漏洞發(fā)布機制

美國工業(yè)控制系統信息安全漏洞的發(fā)布工作具有多方積極參與和相互協(xié)調配合的特點(diǎn)。圖1展示了美國工業(yè)控制系統信息安全漏洞發(fā)布機制。ICS-CERT負責總體協(xié)調，與相關(guān)實(shí)驗室、信息安全研究人員和廠(chǎng)商協(xié)作挖掘、分析和消減工業(yè)控制系統信息安全漏洞，配合廠(chǎng)商向受影響的企業(yè)客戶(hù)通報漏洞，并通過(guò)官方網(wǎng)站或安全門(mén)戶(hù)網(wǎng)站發(fā)布漏洞信息。

圖1　美國工業(yè)控制系統信息安全漏洞發(fā)布機制分析

美國工業(yè)控制系統信息安全的漏洞發(fā)布包括如圖2所示的五個(gè)步驟。

2.1　漏洞收集與挖掘

ICS-CERT收集工業(yè)控制系統漏洞報告主要有3個(gè)途徑：（1）ICS-CERT分析挖掘的漏洞，主要來(lái)自于在響應信息安全事件或對廠(chǎng)商產(chǎn)品進(jìn)行評估時(shí)發(fā)現的漏洞；（2）從公開(kāi)媒體、出版物和網(wǎng)絡(luò )獲取的漏洞，主要來(lái)源于公開(kāi)的安全事件或者黑客主動(dòng)發(fā)布的漏洞；

圖2　美國工業(yè)控制系統信息安全漏洞發(fā)布步驟

（3）安全研究人員或廠(chǎng)商上報的漏洞，這也是最主要的漏洞報告來(lái)源。

在收到漏洞報告后，ICS-CERT將對上報的漏洞進(jìn)行初步的分析以消除冗余和誤報，同時(shí)對漏洞進(jìn)行分類(lèi)，并錄入需求追蹤標簽系統RTTS。在漏洞分類(lèi)后，ICS-CERT將嘗試聯(lián)系廠(chǎng)商來(lái)協(xié)同開(kāi)展后續工作。如果漏洞發(fā)現者允許，ICS-CERT會(huì )把漏洞發(fā)現者的姓名和聯(lián)系方式告知受影響的廠(chǎng)商，同時(shí)也會(huì )在對廠(chǎng)商產(chǎn)品信息保密的基礎上告知漏洞發(fā)現者RTTS系統中漏洞處理的狀態(tài)變化。如果廠(chǎng)商不響應聯(lián)系或不制定有效的補救日程表，那么ICS-CERT可以在45天后直接發(fā)布漏洞信息。

2.2　漏洞分析

愛(ài)達荷國家實(shí)驗室INL（Idaho National Laboratory）建立了高級分析實(shí)驗室AAL（Advanced AnalyticalLaboratory），為ICS-CERT提供了技術(shù)分析能力。ICS-CERT與廠(chǎng)商配合，從檢查、驗證和潛在風(fēng)險分析等方面開(kāi)展漏洞分析工作。ICS-CERT會(huì )在國家漏洞庫NVD的漏洞評分系統CVSS（Common Vulnerability Scoring System）對漏洞的嚴重性評分，并在必要時(shí)協(xié)同廠(chǎng)商在A(yíng)AL實(shí)驗室進(jìn)行研究分析。
ICS-CERT會(huì )基于漏洞分析的各種因素，決定漏洞發(fā)布的類(lèi)型和時(shí)間表。這些因素主要包括：（1）漏洞是否已公開(kāi)；（2）漏洞的嚴重性；（3）對關(guān)鍵基礎設施的潛在影響；（4）對公眾生命財產(chǎn)安全的可能威脅；（5）當前可用的消減措施；（6）供應商的響應程度和提供解決方案的可能性；（7）客戶(hù)應用解決方案的時(shí)間；（8）漏洞被利用的可能性；（9）是否需要建立標準。廠(chǎng)商將被告知所有的發(fā)布計劃，如果有需要，ICS-CERT也可以與廠(chǎng)商協(xié)商更改發(fā)布日程表。

2.3　消減措施協(xié)調

在對漏洞進(jìn)行分析后，ICS-CERT與廠(chǎng)商建立安全、互信的合作伙伴關(guān)系，共同致力于消減措施或補丁發(fā)布等解決方案。對任何安全漏洞，都確保廠(chǎng)商有足夠的時(shí)間來(lái)解決問(wèn)題并對補丁進(jìn)行充分的回歸測試。對于影響多個(gè)廠(chǎng)商的漏洞，ICS-CERT要協(xié)調這些廠(chǎng)商共同響應處理。

2.4　應用解決方案

ICS-CERT與廠(chǎng)商配合，確保廠(chǎng)商有足夠的時(shí)間讓受影響的客戶(hù)在漏洞發(fā)布之前獲得、測試并應用解決方案，確保漏洞的發(fā)布不影響關(guān)鍵基礎設施的信息安全。

2.5　漏洞發(fā)布

在與廠(chǎng)商協(xié)調并收集技術(shù)和風(fēng)險信息后，ICS-CERT會(huì )把漏洞的相關(guān)信息以警告或通報的形式發(fā)布于相關(guān)網(wǎng)站。ICS-CERT堅持發(fā)布準確、中立、客觀(guān)的信息，著(zhù)重于提供技術(shù)解決方案和補救措施。漏洞發(fā)布的主要內容包括：漏洞名稱(chēng)、受影響的產(chǎn)品、后果、產(chǎn)品背景、漏洞特征、消減措施等。

漏洞的相關(guān)信息報告主要發(fā)布在三個(gè)網(wǎng)站：（1）ICS-CERT的官方網(wǎng)站，任何人都可以訪(fǎng)問(wèn)該網(wǎng)站以公開(kāi)獲取漏洞信息；（2）ICS-CERT的信息安全門(mén)戶(hù)，該門(mén)戶(hù)位于US-CERT信息安全門(mén)戶(hù)網(wǎng)站下屬的控制系統中心（Control Systems Center）區域，用于與其他參與方、工業(yè)組織和資產(chǎn)所有者等共享信息。只有在DHS注冊并經(jīng)過(guò)驗證的可信成員才允許訪(fǎng)問(wèn)該門(mén)戶(hù)；（3）國土安全信息門(mén)戶(hù)網(wǎng)站HSIN（HomelandSecurity Information Network）下屬的關(guān)鍵行業(yè)（Critical Sector）欄目下，用于向行業(yè)和關(guān)鍵基礎設施運營(yíng)者共享信息。該門(mén)戶(hù)由DHS的首席信息官辦公室（OCIO）負責維護，同樣也只有DHS的可信成員才允許訪(fǎng)問(wèn)。2013年，ICS-CERT共發(fā)布了285份信息報告，其中103份公開(kāi)發(fā)布于官方網(wǎng)站。

3　日本工業(yè)控制系統信息安全漏洞發(fā)布機制

日本工業(yè)控制系統信息安全漏洞的發(fā)布工作與美國類(lèi)似，同樣具有政府機構和廠(chǎng)商積極協(xié)調配合的特點(diǎn)。圖3展示了日本工業(yè)控制系統信息安全漏洞發(fā)布機制。國外研究人員或機構發(fā)現的漏洞由JPCERT/CC負責接收，而日本本國研究人員上報的漏洞將由IPA接收，日本產(chǎn)業(yè)技術(shù)綜合研究所（AIST）通過(guò)CSSC協(xié)助IPA對上報的漏洞展開(kāi)初步分析，確定漏洞屬實(shí)后IPA將漏洞報告傳遞給JPCERT/CC處理。JPCERT/CC聯(lián)系漏洞所屬工控廠(chǎng)商，協(xié)調廠(chǎng)商對漏洞展開(kāi)進(jìn)一步驗證、制定消減措施、協(xié)調漏洞發(fā)布日期。在遵守保密協(xié)議的情況下，JPCERT/CC和IPA共同運營(yíng)的日本漏洞庫JVN公開(kāi)發(fā)布漏洞，發(fā)布的內容要包括消減方案、廠(chǎng)商處理狀態(tài)和聲明，不允許包含可利用的代碼。如果廠(chǎng)商掌握了漏洞所影響產(chǎn)品的所有用戶(hù)信息，并可以直接通知它們漏洞信息和消減方案，那該漏洞可以不公開(kāi)披露。

圖3　日本工業(yè)控制系統信息安全漏洞發(fā)布機制

與美國ICS-CERT一樣，日本建立了強大的信息共享機制。JPCERT/CC建立了工業(yè)控制系統內部信息安全門(mén)戶(hù)——工業(yè)控制系統安全伙伴網(wǎng)站（Control System Security Partner's Site, ConPaS），同樣只有在JPCERT/CC注冊過(guò)的用戶(hù)才可以訪(fǎng)問(wèn)。ConPaS提供了國內外工業(yè)控制系統信息安全的最新動(dòng)態(tài)和發(fā)展趨勢、工業(yè)控制系統的漏洞和威脅、工業(yè)控制系統相關(guān)的工具和指南等。

4　啟示與建議

美國和日本的政府、廠(chǎng)商、研究人員、相關(guān)實(shí)驗室和受影響的企業(yè)都積極參與工業(yè)控制系統信息安全漏洞處理工作。我國應借鑒美日做法并結合國情，建立和完善工業(yè)控制系統信息安全漏洞發(fā)布機制，鼓勵和引導廠(chǎng)商、安全研究人員和重點(diǎn)行業(yè)運營(yíng)單位積極上報工控漏洞，并依托高校、科研院所、企業(yè)和相關(guān)支撐單位建設工業(yè)控制系統信息安全測試床及實(shí)驗室，集中優(yōu)勢力量打造骨干技術(shù)研究基地，重點(diǎn)提升漏洞挖掘、驗證分析和解決方案制定等技術(shù)分析能力，建立國家級工業(yè)控制系統信息安全漏洞發(fā)布平臺，實(shí)施風(fēng)險漏洞通報制度。

作者簡(jiǎn)介

李?。?986-），江西吉安人，博士，現任工業(yè)和信息化部電子科學(xué)技術(shù)情報研究所工程師，研究方向為工業(yè)信息安全，先后主持或參與多項工信部、發(fā)改委和中央網(wǎng)信辦委托的工控信息安全課題。

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第一輯）》