1　前言

2003年12月17日，美國政府頒布了第7號國土安全總統(tǒng)令（HSPD-7）《關(guān)鍵基礎(chǔ)設(shè)施標(biāo)識、優(yōu)先級和保護》，要求國土安全部（DHS）制定保護關(guān)鍵基礎(chǔ)設(shè)施和重要資源（CIKR）的國家戰(zhàn)略計劃。認識到控制系統(tǒng)對關(guān)鍵基礎(chǔ)設(shè)施的重要性后，國土安全部下屬的國家防護與計劃司（NPPD）啟動了“控制系統(tǒng)安全計劃（CSSP）”，旨在通過加強控制系統(tǒng)的信息安全保障來減少國家關(guān)鍵基礎(chǔ)設(shè)施的風(fēng)險。漏洞發(fā)布是美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全信息共享的主要方式，也是CSSP計劃的重要組成部分之一。從2006年5月信息安全研究人員Matt Franz向美國計算機應(yīng)急響應(yīng)小組（US-CERT）上報的第一個工業(yè)控制系統(tǒng)信息安全漏洞開始，2009年以前的所有工業(yè)控制系統(tǒng)漏洞都是由US-CERT處理和發(fā)布并錄入國家漏洞庫（NVD）。然而，面對不斷涌現(xiàn)的工業(yè)控制系統(tǒng)信息安全事件和漏洞，缺乏工業(yè)控制領(lǐng)域?qū)＜液徒?jīng)驗的US-CERT在處理相應(yīng)漏洞時顯得力不從心。2009年11月，國土安全部組織專業(yè)技術(shù)隊伍正式建立了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組（ICS-CERT），專門響應(yīng)、支持、分析和處理工業(yè)控制系統(tǒng)信息安全事件和漏洞。同年，國家防護與計劃司下設(shè)的網(wǎng)絡(luò)安全與通信辦公室（CS&C）成立了國家網(wǎng)絡(luò)安全與通信集成中心（NCCIC），領(lǐng)導(dǎo)并協(xié)調(diào)ICS-CERT的漏洞發(fā)布等相關(guān)工作。截止2014年8月，ICS-CERT通過官方網(wǎng)站公開發(fā)布了400多份關(guān)于工業(yè)控制系統(tǒng)信息安全漏洞的警告和通報，有效保證了關(guān)鍵基礎(chǔ)設(shè)施運營者獲取工業(yè)控制系統(tǒng)漏洞信息。

作為工業(yè)最發(fā)達的國家之一，日本也在不斷加強工業(yè)控制系統(tǒng)信息安全保障工作。日本經(jīng)濟產(chǎn)業(yè)省（METI）在2010年設(shè)立了網(wǎng)絡(luò)安全與經(jīng)濟研究小組，該小組的一個主要研究內(nèi)容便是“確保工業(yè)控制系統(tǒng)的信息安全”。在該小組的基礎(chǔ)上，2011年METI成立了工業(yè)控制系統(tǒng)信息安全專門工作組，確保日本關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)的信息安全。2012年3月，METI與橫河、日立等8個工業(yè)控制系統(tǒng)相關(guān)企業(yè)建立了工業(yè)控制系統(tǒng)的技術(shù)研究協(xié)會 ——控制系統(tǒng)安全中心（CSSC），作為政府和行業(yè)共同推動工業(yè)控制系統(tǒng)信息安全研發(fā)和支撐的重要單位，截止目前已經(jīng)建立了污水處理、化工過程控制、電力、輸氣管道等9個工業(yè)控制系統(tǒng)信息安全測試床（CSS-Based 6）。漏洞發(fā)布是日本工業(yè)控制信息安全保障工作的重要組成部分，相關(guān)工作主要由METI下屬的日本計算機應(yīng)急處理協(xié)調(diào)中心（JPCERT/CC）和信息技術(shù)促進局（IPA）負責(zé)領(lǐng)導(dǎo)。

2　美國工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機制

美國工業(yè)控制系統(tǒng)信息安全漏洞的發(fā)布工作具有多方積極參與和相互協(xié)調(diào)配合的特點。圖1展示了美國工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機制。ICS-CERT負責(zé)總體協(xié)調(diào)，與相關(guān)實驗室、信息安全研究人員和廠商協(xié)作挖掘、分析和消減工業(yè)控制系統(tǒng)信息安全漏洞，配合廠商向受影響的企業(yè)客戶通報漏洞，并通過官方網(wǎng)站或安全門戶網(wǎng)站發(fā)布漏洞信息。

圖1　美國工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機制分析

美國工業(yè)控制系統(tǒng)信息安全的漏洞發(fā)布包括如圖2所示的五個步驟。

2.1　漏洞收集與挖掘

ICS-CERT收集工業(yè)控制系統(tǒng)漏洞報告主要有3個途徑：（1）ICS-CERT分析挖掘的漏洞，主要來自于在響應(yīng)信息安全事件或?qū)S商產(chǎn)品進行評估時發(fā)現(xiàn)的漏洞；（2）從公開媒體、出版物和網(wǎng)絡(luò)獲取的漏洞，主要來源于公開的安全事件或者黑客主動發(fā)布的漏洞；

圖2　美國工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布步驟

（3）安全研究人員或廠商上報的漏洞，這也是最主要的漏洞報告來源。

在收到漏洞報告后，ICS-CERT將對上報的漏洞進行初步的分析以消除冗余和誤報，同時對漏洞進行分類，并錄入需求追蹤標(biāo)簽系統(tǒng)RTTS。在漏洞分類后，ICS-CERT將嘗試聯(lián)系廠商來協(xié)同開展后續(xù)工作。如果漏洞發(fā)現(xiàn)者允許，ICS-CERT會把漏洞發(fā)現(xiàn)者的姓名和聯(lián)系方式告知受影響的廠商，同時也會在對廠商產(chǎn)品信息保密的基礎(chǔ)上告知漏洞發(fā)現(xiàn)者RTTS系統(tǒng)中漏洞處理的狀態(tài)變化。如果廠商不響應(yīng)聯(lián)系或不制定有效的補救日程表，那么ICS-CERT可以在45天后直接發(fā)布漏洞信息。

2.2　漏洞分析

愛達荷國家實驗室INL（Idaho National Laboratory）建立了高級分析實驗室AAL（Advanced AnalyticalLaboratory），為ICS-CERT提供了技術(shù)分析能力。ICS-CERT與廠商配合，從檢查、驗證和潛在風(fēng)險分析等方面開展漏洞分析工作。ICS-CERT會在國家漏洞庫NVD的漏洞評分系統(tǒng)CVSS（Common Vulnerability Scoring System）對漏洞的嚴(yán)重性評分，并在必要時協(xié)同廠商在AAL實驗室進行研究分析。
ICS-CERT會基于漏洞分析的各種因素，決定漏洞發(fā)布的類型和時間表。這些因素主要包括：（1）漏洞是否已公開；（2）漏洞的嚴(yán)重性；（3）對關(guān)鍵基礎(chǔ)設(shè)施的潛在影響；（4）對公眾生命財產(chǎn)安全的可能威脅；（5）當(dāng)前可用的消減措施；（6）供應(yīng)商的響應(yīng)程度和提供解決方案的可能性；（7）客戶應(yīng)用解決方案的時間；（8）漏洞被利用的可能性；（9）是否需要建立標(biāo)準(zhǔn)。廠商將被告知所有的發(fā)布計劃，如果有需要，ICS-CERT也可以與廠商協(xié)商更改發(fā)布日程表。

2.3　消減措施協(xié)調(diào)

在對漏洞進行分析后，ICS-CERT與廠商建立安全、互信的合作伙伴關(guān)系，共同致力于消減措施或補丁發(fā)布等解決方案。對任何安全漏洞，都確保廠商有足夠的時間來解決問題并對補丁進行充分的回歸測試。對于影響多個廠商的漏洞，ICS-CERT要協(xié)調(diào)這些廠商共同響應(yīng)處理。

2.4　應(yīng)用解決方案

ICS-CERT與廠商配合，確保廠商有足夠的時間讓受影響的客戶在漏洞發(fā)布之前獲得、測試并應(yīng)用解決方案，確保漏洞的發(fā)布不影響關(guān)鍵基礎(chǔ)設(shè)施的信息安全。

2.5　漏洞發(fā)布

在與廠商協(xié)調(diào)并收集技術(shù)和風(fēng)險信息后，ICS-CERT會把漏洞的相關(guān)信息以警告或通報的形式發(fā)布于相關(guān)網(wǎng)站。ICS-CERT堅持發(fā)布準(zhǔn)確、中立、客觀的信息，著重于提供技術(shù)解決方案和補救措施。漏洞發(fā)布的主要內(nèi)容包括：漏洞名稱、受影響的產(chǎn)品、后果、產(chǎn)品背景、漏洞特征、消減措施等。

漏洞的相關(guān)信息報告主要發(fā)布在三個網(wǎng)站：（1）ICS-CERT的官方網(wǎng)站，任何人都可以訪問該網(wǎng)站以公開獲取漏洞信息；（2）ICS-CERT的信息安全門戶，該門戶位于US-CERT信息安全門戶網(wǎng)站下屬的控制系統(tǒng)中心（Control Systems Center）區(qū)域，用于與其他參與方、工業(yè)組織和資產(chǎn)所有者等共享信息。只有在DHS注冊并經(jīng)過驗證的可信成員才允許訪問該門戶；（3）國土安全信息門戶網(wǎng)站HSIN（HomelandSecurity Information Network）下屬的關(guān)鍵行業(yè)（Critical Sector）欄目下，用于向行業(yè)和關(guān)鍵基礎(chǔ)設(shè)施運營者共享信息。該門戶由DHS的首席信息官辦公室（OCIO）負責(zé)維護，同樣也只有DHS的可信成員才允許訪問。2013年，ICS-CERT共發(fā)布了285份信息報告，其中103份公開發(fā)布于官方網(wǎng)站。

3　日本工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機制

日本工業(yè)控制系統(tǒng)信息安全漏洞的發(fā)布工作與美國類似，同樣具有政府機構(gòu)和廠商積極協(xié)調(diào)配合的特點。圖3展示了日本工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機制。國外研究人員或機構(gòu)發(fā)現(xiàn)的漏洞由JPCERT/CC負責(zé)接收，而日本本國研究人員上報的漏洞將由IPA接收，日本產(chǎn)業(yè)技術(shù)綜合研究所（AIST）通過CSSC協(xié)助IPA對上報的漏洞展開初步分析，確定漏洞屬實后IPA將漏洞報告?zhèn)鬟f給JPCERT/CC處理。JPCERT/CC聯(lián)系漏洞所屬工控廠商，協(xié)調(diào)廠商對漏洞展開進一步驗證、制定消減措施、協(xié)調(diào)漏洞發(fā)布日期。在遵守保密協(xié)議的情況下，JPCERT/CC和IPA共同運營的日本漏洞庫JVN公開發(fā)布漏洞，發(fā)布的內(nèi)容要包括消減方案、廠商處理狀態(tài)和聲明，不允許包含可利用的代碼。如果廠商掌握了漏洞所影響產(chǎn)品的所有用戶信息，并可以直接通知它們漏洞信息和消減方案，那該漏洞可以不公開披露。

圖3　日本工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機制

與美國ICS-CERT一樣，日本建立了強大的信息共享機制。JPCERT/CC建立了工業(yè)控制系統(tǒng)內(nèi)部信息安全門戶——工業(yè)控制系統(tǒng)安全伙伴網(wǎng)站（Control System Security Partner's Site, ConPaS），同樣只有在JPCERT/CC注冊過的用戶才可以訪問。ConPaS提供了國內(nèi)外工業(yè)控制系統(tǒng)信息安全的最新動態(tài)和發(fā)展趨勢、工業(yè)控制系統(tǒng)的漏洞和威脅、工業(yè)控制系統(tǒng)相關(guān)的工具和指南等。

4　啟示與建議

美國和日本的政府、廠商、研究人員、相關(guān)實驗室和受影響的企業(yè)都積極參與工業(yè)控制系統(tǒng)信息安全漏洞處理工作。我國應(yīng)借鑒美日做法并結(jié)合國情，建立和完善工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布機制，鼓勵和引導(dǎo)廠商、安全研究人員和重點行業(yè)運營單位積極上報工控漏洞，并依托高校、科研院所、企業(yè)和相關(guān)支撐單位建設(shè)工業(yè)控制系統(tǒng)信息安全測試床及實驗室，集中優(yōu)勢力量打造骨干技術(shù)研究基地，重點提升漏洞挖掘、驗證分析和解決方案制定等技術(shù)分析能力，建立國家級工業(yè)控制系統(tǒng)信息安全漏洞發(fā)布平臺，實施風(fēng)險漏洞通報制度。

作者簡介

李俊（1986-），江西吉安人，博士，現(xiàn)任工業(yè)和信息化部電子科學(xué)技術(shù)情報研究所工程師，研究方向為工業(yè)信息安全，先后主持或參與多項工信部、發(fā)改委和中央網(wǎng)信辦委托的工控信息安全課題。

摘自《工業(yè)控制系統(tǒng)信息安全專刊（第一輯）》