抓紧建设工业信息安全漏洞库.docx

抓紧建设工业信息安全漏洞库随着工业互联网的深入推进,传统工业领域从封闭逐步走向开放、互联，网络安全 威胁直指工业生产一线据国家工业信息安全发展研究中心(以下简称国家工信 安全中心)监测发现，全球联网工业控制系统及设备数量持续上升,近两年增幅尤 其明显，使得黑客发现攻击目标的难度大大降低同时，诸如"熔断”“幽灵〃等传统 IT系统漏洞不断被利用攻击现实工业系统，专门针对工业控制设备及系统的安全 漏洞时有曝出据美ICS-CERT(美国国土安全部工业控制系统网络应急响应小组) 统计,工控安全漏洞数量自2012年以来持续走高，且大量高危漏洞集中于装备制 造、交通、能源、智能楼宇等重要领域漏洞频发加剧安全风险,工业信息安全 警钟长鸣2019年7月，为加速布局工业互联网安全体系，提升工业互联网安全保障水平，工 信部、应急管理部、国家能源局等十部门联合印发《加强工业互联网安全工作的 指导意见》,提出了 7大方面17项重点任务其中,在国家工业互联网技术手段建 设方面，提出要建立包括安全漏洞库在内工业互联网安全基础资源库的任务近 年来，在工信部的指导下，国家工信安全中心建设了工业控制系统信息安全应急资 源库，开展漏洞、协议指纹、资产模型等应急资源储备，并于今年6月专门发起建 立国家工业信息安全漏洞库，组织开展面向工业行业领域的安全漏洞分析和处置 研究工作,为落实该指导意见的重点任务奠定了良好的工作基础。

国家工业信息安全漏洞库及机制建设将更加突出工业特性,聚焦工业专用产品和 组件的安全漏洞、补丁及解决方案研究和收集，研发针对各类工业产品和组件的 漏洞挖掘和验证平台,开展面向原材料工业、装备工业、消费品工业、电子信息 制造、国防军工、能源、交通、水利、市政、民用核设施等工业行业领域漏洞处 置工作，提升我国工业行业漏洞风险管理和威胁应对整体水平世界各国漏洞库建设为我国提供有益参美国领跑世界，拥有成立时间最早、规模最大的漏洞库以及工控安全漏洞库早 在1999年，美国土安全部资助MITRE公司创立了 CVE漏洞披露平台，制定了全球 认同和采用的漏洞信息描述标准，公开披露漏洞信息已达到12万条2005年，美 国国家标准与技术研究院(NIST)建设了国家信息安全漏洞库(NVD),和CVE同步披 露漏洞信息,并增加了漏洞技术细节、受影响产品等信息，它已成为各国建设漏洞 库的范本值得一提的，美ICS-CERT于2009年专门建设工控安全漏洞库，至今披 露工控安全漏洞信息超过2500条此外，美国还实施漏洞悬赏项目，向民间高手支 付赏金挖掘漏洞欧洲、亚太地区国家紧随美国，建设各具特点的本国国家漏洞库一是直接转载 型。

欧洲计算机应急响应小组的漏洞披露平台以收集和发布其他国家漏洞库和各 大厂商漏洞库漏洞信信息为主二是深度加工型Security-Lab漏洞信息门户网 站是俄罗斯较为权威的漏洞平台,以俄语发布漏洞信息及分析报告,累计披露漏洞 信息超过37000条三是完全效仿型日本国家漏洞库(JVN)基本仿照美国NVD, 通过日语和英语两种语言公开披露漏洞信息，累计发布漏洞公告1700余条共建共享 构建工业信息安全生态环境充分借鉴国内外漏洞库建设成熟经验，在工业信息安全联盟框架下,国家工信安全 中心将遵循"共建共享〃原则，整合国内从事工业信息安全相关产业、教育、科研、 应用的机构、企业及个人力量，构建工业信息安全漏洞发现和处置生态环境，推动 建设全国性、行业性、非营利性的工业信息安全漏洞收集、分析、处置、披露的 平台,建立漏洞收集、分析、处置、披露机制,提升安全威胁应对能力和风险管理 水平,夯实工业信息安全保障基础，护航两个强国战略实施主要工作内容包括：建设一套技术平台面向工业信息安全领域,组织和动员成员单位和漏洞研究者 收集、分析、处置和发布工业软硬件产品和组件的漏洞信息，共同建设国家工业 信息安全漏洞数据库，同时推动建设针对各类工业产品和组件的安全漏洞挖掘和 验证平台,有效支持工业信息安全漏洞分析和验证。

建立一套工作机制探索建立工业信息安全漏洞发现、上报、分析和处置工作机 制,激励各方积极报送工业信息安全漏洞信息，协调厂商及时发布漏洞补丁，向社 会公众和成员单位发布漏洞风险预警，组织开展漏洞安全应急处置工作，特别是高 危以上级别漏洞风险防范或大规模漏洞利用攻击处置，提高我国工业信息安全防 护整体水平开展漏洞安全研究组织开展漏洞安全技术和相关政策研究，开展漏洞相关重大 问题研究,参与安全漏洞相关标准研制和验证，发布漏洞统计数据和深度分析研究 报告，向政府有关部门提供政策建议推动工业信息安全漏洞研究相关产品的研 制、开发、评审及推广，提升我国工业信息安全保障、防范与自愈能力提供安全服务面向政府和重要部门、工业企业、工业软硬件产品供应商、工业 互联网服务提供商等用户单位提供漏洞安全的技术支持、信息咨询、培训、取证 分析、恢复等服务，帮助其提升对漏洞安全风险防范及应对能力尝试开展我国 工业信息安全漏洞悬赏计划，提升工业领域关键信息基础设施网络攻击应对能力 和水平。