国家互联网应急中心是成立于2002年的网络安全技术“国家队”。在2013年7月,国家互联网应急中心建立了国家信息安全漏洞共享平台工业控制系统漏洞库。此举既彰显了我国政府维护工业控制系统信息安全的决心,也反映出了我国工业控制系统信息安全问题确已迫在眉睫。为此,特将国家互联网应急中心安全运行处处长王明华对工业控制系统信息安全问题及国家互联网应急中心相关工作的介绍呈现于此,助广大工业企业增进对工业控制系统信息安全问题和相应响应应对手段的认识。
工业控制系统信息安全关系国家战略安全
2013年底,“棱镜门”事件的主角斯诺登曝光了一份材料,内容是美国在2008年研制了48种间谍工具,可以实现对与互联网隔离的计算机的隔空打击。具体的方法是将一个体积非常小的硬件设备嵌入到计算机中——这个设备本身具有射频能力,不但可以嵌入到计算机的主板中,更可隐藏在键盘、鼠标,甚至是VGA插头里;当攻击者对它进行隔空扫描时,它便可以反射信号。这一情况足以对人们通常所持的,工业控制系统与互联网隔离,因此不存在信息安全问题的想法,形成颠覆性的冲击。
现实的情况也说明工业控制系统信息安全问题日趋严重。以工业发达的美国为例,一方面,统计数据显示,美国的工业控制系统信息安全事件在2010至2013年间逐年递增。而中国的工业发展水平与美国有数年的差距,因此可以断定,中国工业控制系统的信息安全事件未来将越来越多、影响将越来越大。另一方面,2013年美国工业控制系统信息安全事件在能源、关键制造、供水、交通、核工业等直接关系到国计民生的重要行业都有涉及。这一点非常值得警惕——如果水厂、电厂、石化工厂、炼油厂、大坝等的工业控制系统因信息安全事件而瘫痪,势必对国民经济产生致命性的影响。这也正是称工业控制系统信息安全关系国家战略安全的原因所在。
2010—2013年 美国工业控制系统信息安全事件数量统计
2013年 美国工业控制系统信息安全事件所属行业分布比例
虽然工业控制系统的信息安全问题,比如PLC漏洞等等,看起来是非常细节性的,但是由于相关产品、系统广泛地应用在众多领域之中,其中不乏重要的基础设施等关键位置,因此很容易造成巨大的危害。工业控制系统是互联网整体运行、关键基础设施安全、国家安全的基石;而我国基础信息网络与信息系统的安全防护非常薄弱,工业控制领域的许多新技术、新业务没有经过评估就迅速、大范围地铺开,因此工业控制系统信息安全事件很容易引发从工业领域到全社会的雪崩效应,甚至可能引发社会动荡。同时,针对工业控制系统信息安全漏洞的高持续性的攻击,很容易导致大量机密信息的泄露;不仅影响企业在国际上的竞争力,甚至会给国家安全带来影响。因此对于工业控制系统的信息安全,需要国家防御的力量发挥作用。
关于工业控制系统信息安全的政策和法规
在2011年,工信部发布了第一个针对工业控制系统信息安全的文件,《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号),明确了工业控制系统信息安全管理的组织领导、技术保障、规章制度等方面的要求,并在工业控制系统的连接、组网、配置、设备选择与升级、数据、应急管理等六个方面提出了规范性的要求。此外,文件中还提到了,“全国信息安全标准化技术委员会抓紧制定工业控制系统关键设备信息技术安全规范和技术标准,明确设备安全技术要求”的内容,为接下来法规的制定指明了方向。
随后,在2012年,国务院在《关于大力推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号)中,特别提到了要“重点对可能危及生命和公共财产安全的工业控制系统加强监管;对重点领域使用的关键产品开展安全测评,实行安全风险和漏洞通报制度”。事实上国家互联网应急中心目前在工业控制系统信息安全防护方面的工作也正是包括测评和漏洞通报这两方面内容。
此外,该文件中还明确要求加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统的安全保障,定期开展安全检查和风险评估。
同年,工信部办公厅还发布了《关于开展工业控制系统信息安全风险信息发布工作的通知》(工信厅协[2012]629号),明确了信息发布的概念和形式,并且特别针对信息发布的范围表示希望根据漏洞信息设计的行业定点发布;还提出下一步将定期编制风险发布的通告,并定点投放到相关单位,同时致力于将漏洞信息的风险提示和解决漏洞的消控方案一并发布。之所以有这样的表达,是因为如果信息发布不当,可能会引发严重的次生灾害。2013年阿帕奇软件漏洞的信息发布,同时公开了攻击代码,结果导致中国大量的网站受到攻击。由此可见这份文件出台的必要性。
在标准、规范方面,工信部正在牵头推进制定工作。目前有五个国家标准正处在草案阶段,分别是《信息安全技术 工业控制系统安全管理基本要求》、《信息安全技术 工业控制系统分级规范》、《信息安全技术 工业控制系统测控终端安全要求》、《信息安全技术 工业控制系统安全防护技术要求和测试评价方法》和《信息安全技术 工业控制系统信息安全检查指南》。未来,这些标准的出台将可以为像西门子这样推出企业级工业控制系统信息安全解决方案的提供商,提供系统运行的可参照的依据。
国家互联网应急中心相关工作
国家互联网应急中心(CNCERT/CC)成立于2002年9月,是工业和信息化部下属的机构,自身定位是为“非政府、非盈利的网络安全技术中心,我国网络安全应急体系的核心协调机构”。国家互联网应急中心在2009年10月19日建立了国家信息安全漏洞共享平台(China National Vulnerability Database 简称CNVD),旨在建立信息系统安全漏洞统一收集验证、预警发布及应急处置体系。目前CNVD拥有25家成员单位、300多家可协调的国内厂商及行业单位、500余位“白帽子”的技术力量,以及西门子、力控华康等企业的鼎力支持。
在工业控制系统信息安全方面,国家互联网应急中心主要的工作是运营着CNVD工业控制系统漏洞库。CNVD工业控制系统漏洞库是国家信息安全漏洞共享平台漏洞库的四个子库之一,成立于2013年7月,能够为工业控制系统提供量身定制的漏洞信息发布服务,提高重点行业客户的安全事件预警、响应和处理能力。目前,CNVD工业控制系统漏洞库已经收录了587条相关漏洞,其中2013年新增漏洞达135条。这些漏洞的收录情况,反映出了当前中国工业控制系统信息安全的形势。比如,CNVD从产生原因、引发威胁、攻击位置、严重程度、影响对象五个维度,对工业控制系统信息安全漏洞进行研究;而从严重程度上来看,高危漏洞占到了全部收录漏洞的62%。举例而言,像拒绝服务类的漏洞如果被利用来对工业控制系统进行攻击,很可能会造成PLC的瘫痪,后果可想而知。由此也可以看出工业控制系统信息安全漏洞监测的重要性。
工业控制系统信息安全漏洞严重程度分类
各类工业控制系统信息安全漏洞占比
从发展态势上来看,近三年来工业控制系统信息安全漏洞的发现数量的变化相对比较平缓;从行业横向对比来看,工业控制系统的信息安全漏洞与移动互联网、电信、电子政务相比要少。这种现象和国内刚刚才开始关注到工业控制系统信息安全问题有关。可以确定随着工业领域两化融合的深入,人们对工业控制系统信息安全问题的关注会逐渐增加,漏洞发现的数量也会出现较大的增长。
2011—2013年CNVD收录各行业信息安全漏洞情况对比
CNVD漏洞通报和处置的具体流程是:CNVD开放网站前台上报、vreport@邮箱报送、第三方漏洞平台通报三种漏洞信息的接受渠道;在收到漏洞信息之后第一时间进行验证;经确认后与相关设备厂商协商提供补丁的时间,并将可能造成重大危害的漏洞上报主管部门;确认处置完成后,按一定的缓冲器公开漏洞描述信息。目前,CNVD工业控制系统漏洞库的建设得到了西门子等工业控制系统及安全产品提供商的大力支持。国家互联网应急中心与西门子签订了NDA(Non-Disclosure and Information Use Agreement)合作协议,针对中国范围内涉及西门子产品和解决方案的安全通告、网络攻击事件以及潜在的安全威胁和对策,建立起了信息保密、共享和协调机制,实现了在信息保密的合作规范下,对西门子产品及解决方案遭到的网络安全威胁的快速预警和处置响应。在2013年5月,国家互联网应急中心收到了西门子ProductCERT提供的首份安全通告信息。截至2014年3月,国家互联网应急中心已经收到西门子ProductCERT提供安全通告信息十余份。
除此之外,国家互联网应急中心还与西门子合作展开了工业控制系统信息安全测试、风险检测、漏洞扫描方面的技术研究。无论是安全通告还是技术研究,西门子的支持都对国内潜在的工业控制系统信息安全隐患的预警和处置都起到了非常积极的作用,可是说是国家互联网应急中心在工业控制系统信息安全方面的行业合作交流的典范。我们非常希望有更多的企业能够认识到,现在我们使用的工业控制系统并不像想象中的那么安全,实际上存在很多信息安全的隐患,从每一个业主到整个工业领域,乃至整个国家,时刻都处在严峻的信息安全威胁之下;也希望更多的企业、机构与我们共同努力,保障中国的工业控制系统信息安全。
(转载)
