国家工业信息安全漏洞库亟待抓紧建设

  随着新一代信息技术与制造业的加速融合，传统网络安全威胁持续向工业领域渗透和蔓延，安全漏洞频发，工业信息安全形势日益严峻。

  我国有必要建设自己的工业信息安全漏洞库，专门开展安全漏洞挖掘、分析和风险防范研究，提升工业信息安全保障能力，为制造强国和网络强国战略实施牢筑“防护墙”。

  随着工业互联网的深入推进，传统工业领域从封闭逐步走向开放、互联，网络安全威胁直指工业生产一线。据国家工业信息安全发展研究中心（以下简称国家工信安全中心）监测发现，全球联网工业控制系统及设备数量持续上升，近两年增幅尤其明显，使得黑客发现攻击目标的难度大大降低。同时，诸如“熔断”“幽灵”等传统IT系统漏洞不断被利用攻击现实工业系统，专门针对工业控制设备及系统的安全漏洞时有曝出。据美ICS-CERT（美国国土安全部工业控制系统网络应急响应小组）统计，工控安全漏洞数量自2012年以来持续走高，且大量高危漏洞集中于装备制造、交通、能源、智能楼宇等重要领域。漏洞频发加剧安全风险，工业信息安全警钟长鸣。

  2019年7月，为加速布局工业互联网安全体系，提升工业互联网安全保障水平，工信部、应急管理部、国家能源局等十部门联合印发《加强工业互联网安全工作的指导意见》，提出了7大方面17项重点任务。其中，在国家工业互联网技术手段建设方面，提出要建立包括安全漏洞库在内工业互联网安全基础资源库的任务。近年来，在工信部的指导下，国家工信安全中心建设了工业控制系统信息安全应急资源库，开展漏洞、协议指纹、资产模型等应急资源储备，并于今年6月专门发起建立国家工业信息安全漏洞库，组织开展面向工业行业领域的安全漏洞分析和处置研究工作，为落实该指导意见的重点任务奠定了良好的工作基础。

  国家工业信息安全漏洞库及机制建设将更加突出工业特性，聚焦工业专用产品和组件的安全漏洞、补丁及解决方案研究和收集，研发针对各类工业产品和组件的漏洞挖掘和验证平台，开展面向原材料工业、装备工业、消费品工业、电子信息制造、国防军工、能源、交通、水利、市政、民用核设施等工业行业领域漏洞处置工作，提升我国工业行业漏洞风险管理和威胁应对整体水平。

  世界各国漏洞库建设为我国提供有益参考

  美国领跑世界，拥有成立时间最早、规模最大的漏洞库以及工控安全漏洞库。早在1999年，美国土安全部资助MITRE公司创立了CVE漏洞披露平台，制定了全球认同和采用的漏洞信息描述标准，公开披露漏洞信息已达到12万条。2005年，美国国家标准与技术研究院（NIST）建设了国家信息安全漏洞库（NVD），和CVE同步披露漏洞信息，并增加了漏洞技术细节、受影响产品等信息，它已成为各国建设漏洞库的范本。值得一提的，美ICS-CERT于2009年专门建设工控安全漏洞库，至今披露工控安全漏洞信息超过2500条。此外，美国还实施漏洞悬赏项目，向民间高手支付赏金挖掘漏洞。

  欧洲、亚太地区国家紧随美国，建设各具特点的本国国家漏洞库。一是直接转载型。欧洲计算机应急响应小组的漏洞披露平台以收集和发布其他国家漏洞库和各大厂商漏洞库漏洞信息为主。二是深度加工型。Security－Lab漏洞信息门户网站是俄罗斯较为权威的漏洞平台，以俄语发布漏洞信息及分析报告，累计披露漏洞信息超过37000条。三是完全效仿型。日本国家漏洞库（JVN）基本仿照美国NVD，通过日语和英语两种语言公开披露漏洞信息，累计发布漏洞公告1700余条。

  共建共享构建工业信息安全生态环境

  充分借鉴国内外漏洞库建设成熟经验，在工业信息安全联盟框架下，国家工信安全中心将遵循“共建共享”原则，整合国内从事工业信息安全相关产业、教育、科研、应用的机构、企业及个人力量，构建工业信息安全漏洞发现和处置生态环境，推动建设全国性、行业性、非营利性的工业信息安全漏洞收集、分析、处置、披露的平台，建立漏洞收集、分析、处置、披露机制，提升安全威胁应对能力和风险管理水平，夯实工业信息安全保障基础，护航两个强国战略实施。主要工作内容包括：

  建设一套技术平台。面向工业信息安全领域，组织和动员成员单位和漏洞研究者收集、分析、处置和发布工业软硬件产品和组件的漏洞信息，共同建设国家工业信息安全漏洞数据库，同时推动建设针对各类工业产品和组件的安全漏洞挖掘和验证平台，有效支持工业信息安全漏洞分析和验证。

  建立一套工作机制。探索建立工业信息安全漏洞发现、上报、分析和处置工作机制，激励各方积极报送工业信息安全漏洞信息，协调厂商及时发布漏洞补丁，向社会公众和成员单位发布漏洞风险预警，组织开展漏洞安全应急处置工作，特别是高危以上级别漏洞风险防范或大规模漏洞利用攻击处置，提高我国工业信息安全防护整体水平。

  开展漏洞安全研究。组织开展漏洞安全技术和相关政策研究，开展漏洞相关重大问题研究，参与安全漏洞相关标准研制和验证，发布漏洞统计数据和深度分析研究报告，向政府有关部门提供政策建议。推动工业信息安全漏洞研究相关产品的研制、开发、评审及推广，提升我国工业信息安全保障、防范与自愈能力。

  提供安全服务。面向政府和重要部门、工业企业、工业软硬件产品供应商、工业互联网服务提供商等用户单位提供漏洞安全的技术支持、信息咨询、培训、取证分析、恢复等服务，帮助其提升对漏洞安全风险防范及应对能力。尝试开展我国工业信息安全漏洞悬赏计划，提升工业领域关键信息基础设施网络攻击应对能力和水平。