工業(yè)信息安全與國(guó)家互聯(lián)網(wǎng)應(yīng)急中心相關(guān)工作

　　國(guó)家互聯(lián)網(wǎng)應(yīng)急中心是成立于2002年的網(wǎng)絡(luò)安全技術(shù)“國(guó)家隊(duì)”。在2013年7月，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心建立了國(guó)家信息安全漏洞共享平臺(tái)工業(yè)控制系統(tǒng)漏洞庫(kù)。此舉既彰顯了我國(guó)政府維護(hù)工業(yè)控制系統(tǒng)信息安全的決心，也反映出了我國(guó)工業(yè)控制系統(tǒng)信息安全問(wèn)題確已迫在眉睫。為此，特將國(guó)家互聯(lián)網(wǎng)應(yīng)急中心安全運(yùn)行處處長(zhǎng)王明華對(duì)工業(yè)控制系統(tǒng)信息安全問(wèn)題及國(guó)家互聯(lián)網(wǎng)應(yīng)急中心相關(guān)工作的介紹呈現(xiàn)于此，助廣大工業(yè)企業(yè)增進(jìn)對(duì)工業(yè)控制系統(tǒng)信息安全問(wèn)題和相應(yīng)響應(yīng)應(yīng)對(duì)手段的認(rèn)識(shí)。

　　工業(yè)控制系統(tǒng)信息安全關(guān)系國(guó)家戰(zhàn)略安全

　　2013年底，“棱鏡門”事件的主角斯諾登曝光了一份材料，內(nèi)容是美國(guó)在2008年研制了48種間諜工具，可以實(shí)現(xiàn)對(duì)與互聯(lián)網(wǎng)隔離的計(jì)算機(jī)的隔空打擊。具體的方法是將一個(gè)體積非常小的硬件設(shè)備嵌入到計(jì)算機(jī)中——這個(gè)設(shè)備本身具有射頻能力，不但可以嵌入到計(jì)算機(jī)的主板中，更可隱藏在鍵盤、鼠標(biāo)，甚至是VGA插頭里;當(dāng)攻擊者對(duì)它進(jìn)行隔空掃描時(shí)，它便可以反射信號(hào)。這一情況足以對(duì)人們通常所持的，工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)隔離，因此不存在信息安全問(wèn)題的想法，形成顛覆性的沖擊。

　　現(xiàn)實(shí)的情況也說(shuō)明工業(yè)控制系統(tǒng)信息安全問(wèn)題日趨嚴(yán)重。以工業(yè)發(fā)達(dá)的美國(guó)為例，一方面，統(tǒng)計(jì)數(shù)據(jù)顯示，美國(guó)的工業(yè)控制系統(tǒng)信息安全事件在2010至2013年間逐年遞增。而中國(guó)的工業(yè)發(fā)展水平與美國(guó)有數(shù)年的差距，因此可以斷定，中國(guó)工業(yè)控制系統(tǒng)的信息安全事件未來(lái)將越來(lái)越多、影響將越來(lái)越大。另一方面，2013年美國(guó)工業(yè)控制系統(tǒng)信息安全事件在能源、關(guān)鍵制造、供水、交通、核工業(yè)等直接關(guān)系到國(guó)計(jì)民生的重要行業(yè)都有涉及。這一點(diǎn)非常值得警惕——如果水廠、電廠、石化工廠、煉油廠、大壩等的工業(yè)控制系統(tǒng)因信息安全事件而癱瘓，勢(shì)必對(duì)國(guó)民經(jīng)濟(jì)產(chǎn)生致命性的影響。這也正是稱工業(yè)控制系統(tǒng)信息安全關(guān)系國(guó)家戰(zhàn)略安全的原因所在。

2010—2013年 美國(guó)工業(yè)控制系統(tǒng)信息安全事件數(shù)量統(tǒng)計(jì)

2013年 美國(guó)工業(yè)控制系統(tǒng)信息安全事件所屬行業(yè)分布比例

　　雖然工業(yè)控制系統(tǒng)的信息安全問(wèn)題，比如PLC漏洞等等，看起來(lái)是非常細(xì)節(jié)性的，但是由于相關(guān)產(chǎn)品、系統(tǒng)廣泛地應(yīng)用在眾多領(lǐng)域之中，其中不乏重要的基礎(chǔ)設(shè)施等關(guān)鍵位置，因此很容易造成巨大的危害。工業(yè)控制系統(tǒng)是互聯(lián)網(wǎng)整體運(yùn)行、關(guān)鍵基礎(chǔ)設(shè)施安全、國(guó)家安全的基石;而我國(guó)基礎(chǔ)信息網(wǎng)絡(luò)與信息系統(tǒng)的安全防護(hù)非常薄弱，工業(yè)控制領(lǐng)域的許多新技術(shù)、新業(yè)務(wù)沒有經(jīng)過(guò)評(píng)估就迅速、大范圍地鋪開，因此工業(yè)控制系統(tǒng)信息安全事件很容易引發(fā)從工業(yè)領(lǐng)域到全社會(huì)的雪崩效應(yīng)，甚至可能引發(fā)社會(huì)動(dòng)蕩。同時(shí)，針對(duì)工業(yè)控制系統(tǒng)信息安全漏洞的高持續(xù)性的攻擊，很容易導(dǎo)致大量機(jī)密信息的泄露;不僅影響企業(yè)在國(guó)際上的競(jìng)爭(zhēng)力，甚至?xí)o國(guó)家安全帶來(lái)影響。因此對(duì)于工業(yè)控制系統(tǒng)的信息安全，需要國(guó)家防御的力量發(fā)揮作用。

　　關(guān)于工業(yè)控制系統(tǒng)信息安全的政策和法規(guī)

　　在2011年，工信部發(fā)布了第一個(gè)針對(duì)工業(yè)控制系統(tǒng)信息安全的文件，《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號(hào))，明確了工業(yè)控制系統(tǒng)信息安全管理的組織領(lǐng)導(dǎo)、技術(shù)保障、規(guī)章制度等方面的要求，并在工業(yè)控制系統(tǒng)的連接、組網(wǎng)、配置、設(shè)備選擇與升級(jí)、數(shù)據(jù)、應(yīng)急管理等六個(gè)方面提出了規(guī)范性的要求。此外，文件中還提到了，“全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)抓緊制定工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備信息技術(shù)安全規(guī)范和技術(shù)標(biāo)準(zhǔn)，明確設(shè)備安全技術(shù)要求”的內(nèi)容，為接下來(lái)法規(guī)的制定指明了方向。

　　隨后，在2012年，國(guó)務(wù)院在《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》(國(guó)發(fā)[2012]23號(hào))中，特別提到了要“重點(diǎn)對(duì)可能危及生命和公共財(cái)產(chǎn)安全的工業(yè)控制系統(tǒng)加強(qiáng)監(jiān)管;對(duì)重點(diǎn)領(lǐng)域使用的關(guān)鍵產(chǎn)品開展安全測(cè)評(píng)，實(shí)行安全風(fēng)險(xiǎn)和漏洞通報(bào)制度”。事實(shí)上國(guó)家互聯(lián)網(wǎng)應(yīng)急中心目前在工業(yè)控制系統(tǒng)信息安全防護(hù)方面的工作也正是包括測(cè)評(píng)和漏洞通報(bào)這兩方面內(nèi)容。

　　此外，該文件中還明確要求加強(qiáng)核設(shè)施、航空航天、先進(jìn)制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、交通運(yùn)輸、水利樞紐、城市設(shè)施等重要領(lǐng)域工業(yè)控制系統(tǒng)的安全保障，定期開展安全檢查和風(fēng)險(xiǎn)評(píng)估。

　　同年，工信部辦公廳還發(fā)布了《關(guān)于開展工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)信息發(fā)布工作的通知》(工信廳協(xié)[2012]629號(hào))，明確了信息發(fā)布的概念和形式，并且特別針對(duì)信息發(fā)布的范圍表示希望根據(jù)漏洞信息設(shè)計(jì)的行業(yè)定點(diǎn)發(fā)布;還提出下一步將定期編制風(fēng)險(xiǎn)發(fā)布的通告，并定點(diǎn)投放到相關(guān)單位，同時(shí)致力于將漏洞信息的風(fēng)險(xiǎn)提示和解決漏洞的消控方案一并發(fā)布。之所以有這樣的表達(dá)，是因?yàn)槿绻畔l(fā)布不當(dāng)，可能會(huì)引發(fā)嚴(yán)重的次生災(zāi)害。2013年阿帕奇軟件漏洞的信息發(fā)布，同時(shí)公開了攻擊代碼，結(jié)果導(dǎo)致中國(guó)大量的網(wǎng)站受到攻擊。由此可見這份文件出臺(tái)的必要性。

　　在標(biāo)準(zhǔn)、規(guī)范方面，工信部正在牽頭推進(jìn)制定工作。目前有五個(gè)國(guó)家標(biāo)準(zhǔn)正處在草案階段，分別是《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全管理基本要求》、《信息安全技術(shù) 工業(yè)控制系統(tǒng)分級(jí)規(guī)范》、《信息安全技術(shù) 工業(yè)控制系統(tǒng)測(cè)控終端安全要求》、《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)要求和測(cè)試評(píng)價(jià)方法》和《信息安全技術(shù) 工業(yè)控制系統(tǒng)信息安全檢查指南》。未來(lái)，這些標(biāo)準(zhǔn)的出臺(tái)將可以為像西門子這樣推出企業(yè)級(jí)工業(yè)控制系統(tǒng)信息安全解決方案的提供商，提供系統(tǒng)運(yùn)行的可參照的依據(jù)。

　　國(guó)家互聯(lián)網(wǎng)應(yīng)急中心相關(guān)工作

　　國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT/CC)成立于2002年9月，是工業(yè)和信息化部下屬的機(jī)構(gòu)，自身定位是為“非政府、非盈利的網(wǎng)絡(luò)安全技術(shù)中心，我國(guó)網(wǎng)絡(luò)安全應(yīng)急體系的核心協(xié)調(diào)機(jī)構(gòu)”。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心在2009年10月19日建立了國(guó)家信息安全漏洞共享平臺(tái)(China National Vulnerability Database 簡(jiǎn)稱CNVD)，旨在建立信息系統(tǒng)安全漏洞統(tǒng)一收集驗(yàn)證、預(yù)警發(fā)布及應(yīng)急處置體系。目前CNVD擁有25家成員單位、300多家可協(xié)調(diào)的國(guó)內(nèi)廠商及行業(yè)單位、500余位“白帽子”的技術(shù)力量，以及西門子、力控華康等企業(yè)的鼎力支持。

　　在工業(yè)控制系統(tǒng)信息安全方面，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心主要的工作是運(yùn)營(yíng)著CNVD工業(yè)控制系統(tǒng)漏洞庫(kù)。CNVD工業(yè)控制系統(tǒng)漏洞庫(kù)是國(guó)家信息安全漏洞共享平臺(tái)漏洞庫(kù)的四個(gè)子庫(kù)之一，成立于2013年7月，能夠?yàn)楣I(yè)控制系統(tǒng)提供量身定制的漏洞信息發(fā)布服務(wù)，提高重點(diǎn)行業(yè)客戶的安全事件預(yù)警、響應(yīng)和處理能力。目前，CNVD工業(yè)控制系統(tǒng)漏洞庫(kù)已經(jīng)收錄了587條相關(guān)漏洞，其中2013年新增漏洞達(dá)135條。這些漏洞的收錄情況，反映出了當(dāng)前中國(guó)工業(yè)控制系統(tǒng)信息安全的形勢(shì)。比如，CNVD從產(chǎn)生原因、引發(fā)威脅、攻擊位置、嚴(yán)重程度、影響對(duì)象五個(gè)維度，對(duì)工業(yè)控制系統(tǒng)信息安全漏洞進(jìn)行研究;而從嚴(yán)重程度上來(lái)看，高危漏洞占到了全部收錄漏洞的62%。舉例而言，像拒絕服務(wù)類的漏洞如果被利用來(lái)對(duì)工業(yè)控制系統(tǒng)進(jìn)行攻擊，很可能會(huì)造成PLC的癱瘓，后果可想而知。由此也可以看出工業(yè)控制系統(tǒng)信息安全漏洞監(jiān)測(cè)的重要性。

工業(yè)控制系統(tǒng)信息安全漏洞嚴(yán)重程度分類

各類工業(yè)控制系統(tǒng)信息安全漏洞占比

　　從發(fā)展態(tài)勢(shì)上來(lái)看，近三年來(lái)工業(yè)控制系統(tǒng)信息安全漏洞的發(fā)現(xiàn)數(shù)量的變化相對(duì)比較平緩;從行業(yè)橫向?qū)Ρ葋?lái)看，工業(yè)控制系統(tǒng)的信息安全漏洞與移動(dòng)互聯(lián)網(wǎng)、電信、電子政務(wù)相比要少。這種現(xiàn)象和國(guó)內(nèi)剛剛才開始關(guān)注到工業(yè)控制系統(tǒng)信息安全問(wèn)題有關(guān)?？梢源_定隨著工業(yè)領(lǐng)域兩化融合的深入，人們對(duì)工業(yè)控制系統(tǒng)信息安全問(wèn)題的關(guān)注會(huì)逐漸增加，漏洞發(fā)現(xiàn)的數(shù)量也會(huì)出現(xiàn)較大的增長(zhǎng)。

2011—2013年CNVD收錄各行業(yè)信息安全漏洞情況對(duì)比

　　CNVD漏洞通報(bào)和處置的具體流程是：CNVD開放網(wǎng)站前臺(tái)上報(bào)、vreport@郵箱報(bào)送、第三方漏洞平臺(tái)通報(bào)三種漏洞信息的接受渠道;在收到漏洞信息之后第一時(shí)間進(jìn)行驗(yàn)證;經(jīng)確認(rèn)后與相關(guān)設(shè)備廠商協(xié)商提供補(bǔ)丁的時(shí)間，并將可能造成重大危害的漏洞上報(bào)主管部門;確認(rèn)處置完成后，按一定的緩沖器公開漏洞描述信息。目前，CNVD工業(yè)控制系統(tǒng)漏洞庫(kù)的建設(shè)得到了西門子等工業(yè)控制系統(tǒng)及安全產(chǎn)品提供商的大力支持。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心與西門子簽訂了NDA(Non-Disclosure and Information Use Agreement)合作協(xié)議，針對(duì)中國(guó)范圍內(nèi)涉及西門子產(chǎn)品和解決方案的安全通告、網(wǎng)絡(luò)攻擊事件以及潛在的安全威脅和對(duì)策，建立起了信息保密、共享和協(xié)調(diào)機(jī)制，實(shí)現(xiàn)了在信息保密的合作規(guī)范下，對(duì)西門子產(chǎn)品及解決方案遭到的網(wǎng)絡(luò)安全威脅的快速預(yù)警和處置響應(yīng)。在2013年5月，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心收到了西門子ProductCERT提供的首份安全通告信息。截至2014年3月，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心已經(jīng)收到西門子ProductCERT提供安全通告信息十余份。

　　除此之外，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心還與西門子合作展開了工業(yè)控制系統(tǒng)信息安全測(cè)試、風(fēng)險(xiǎn)檢測(cè)、漏洞掃描方面的技術(shù)研究。無(wú)論是安全通告還是技術(shù)研究，西門子的支持都對(duì)國(guó)內(nèi)潛在的工業(yè)控制系統(tǒng)信息安全隱患的預(yù)警和處置都起到了非常積極的作用，可是說(shuō)是國(guó)家互聯(lián)網(wǎng)應(yīng)急中心在工業(yè)控制系統(tǒng)信息安全方面的行業(yè)合作交流的典范。我們非常希望有更多的企業(yè)能夠認(rèn)識(shí)到，現(xiàn)在我們使用的工業(yè)控制系統(tǒng)并不像想象中的那么安全，實(shí)際上存在很多信息安全的隱患，從每一個(gè)業(yè)主到整個(gè)工業(yè)領(lǐng)域，乃至整個(gè)國(guó)家，時(shí)刻都處在嚴(yán)峻的信息安全威脅之下;也希望更多的企業(yè)、機(jī)構(gòu)與我們共同努力，保障中國(guó)的工業(yè)控制系統(tǒng)信息安全。

（轉(zhuǎn)載）