國家互聯(lián)網(wǎng)應急中心是成立于2002年的網(wǎng)絡安全技術(shù)“國家隊”。在2013年7月，國家互聯(lián)網(wǎng)應急中心建立了國家信息安全漏洞共享平臺工業(yè)控制系統(tǒng)漏洞庫。此舉既彰顯了我國政府維護工業(yè)控制系統(tǒng)信息安全的決心，也反映出了我國工業(yè)控制系統(tǒng)信息安全問題確已迫在眉睫。為此，特將國家互聯(lián)網(wǎng)應急中心安全運行處處長王明華對工業(yè)控制系統(tǒng)信息安全問題及國家互聯(lián)網(wǎng)應急中心相關(guān)工作的介紹呈現(xiàn)于此，助廣大工業(yè)企業(yè)增進對工業(yè)控制系統(tǒng)信息安全問題和相應響應應對手段的認識。

　　工業(yè)控制系統(tǒng)信息安全關(guān)系國家戰(zhàn)略安全

　　2013年底，“棱鏡門”事件的主角斯諾登曝光了一份材料，內(nèi)容是美國在2008年研制了48種間諜工具，可以實現(xiàn)對與互聯(lián)網(wǎng)隔離的計算機的隔空打擊。具體的方法是將一個體積非常小的硬件設備嵌入到計算機中——這個設備本身具有射頻能力，不但可以嵌入到計算機的主板中，更可隱藏在鍵盤、鼠標，甚至是VGA插頭里;當攻擊者對它進行隔空掃描時，它便可以反射信號。這一情況足以對人們通常所持的，工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)隔離，因此不存在信息安全問題的想法，形成顛覆性的沖擊。

　　現(xiàn)實的情況也說明工業(yè)控制系統(tǒng)信息安全問題日趨嚴重。以工業(yè)發(fā)達的美國為例，一方面，統(tǒng)計數(shù)據(jù)顯示，美國的工業(yè)控制系統(tǒng)信息安全事件在2010至2013年間逐年遞增。而中國的工業(yè)發(fā)展水平與美國有數(shù)年的差距，因此可以斷定，中國工業(yè)控制系統(tǒng)的信息安全事件未來將越來越多、影響將越來越大。另一方面，2013年美國工業(yè)控制系統(tǒng)信息安全事件在能源、關(guān)鍵制造、供水、交通、核工業(yè)等直接關(guān)系到國計民生的重要行業(yè)都有涉及。這一點非常值得警惕——如果水廠、電廠、石化工廠、煉油廠、大壩等的工業(yè)控制系統(tǒng)因信息安全事件而癱瘓，勢必對國民經(jīng)濟產(chǎn)生致命性的影響。這也正是稱工業(yè)控制系統(tǒng)信息安全關(guān)系國家戰(zhàn)略安全的原因所在。

2010—2013年 美國工業(yè)控制系統(tǒng)信息安全事件數(shù)量統(tǒng)計

2013年 美國工業(yè)控制系統(tǒng)信息安全事件所屬行業(yè)分布比例

　　雖然工業(yè)控制系統(tǒng)的信息安全問題，比如PLC漏洞等等，看起來是非常細節(jié)性的，但是由于相關(guān)產(chǎn)品、系統(tǒng)廣泛地應用在眾多領(lǐng)域之中，其中不乏重要的基礎設施等關(guān)鍵位置，因此很容易造成巨大的危害。工業(yè)控制系統(tǒng)是互聯(lián)網(wǎng)整體運行、關(guān)鍵基礎設施安全、國家安全的基石;而我國基礎信息網(wǎng)絡與信息系統(tǒng)的安全防護非常薄弱，工業(yè)控制領(lǐng)域的許多新技術(shù)、新業(yè)務沒有經(jīng)過評估就迅速、大范圍地鋪開，因此工業(yè)控制系統(tǒng)信息安全事件很容易引發(fā)從工業(yè)領(lǐng)域到全社會的雪崩效應，甚至可能引發(fā)社會動蕩。同時，針對工業(yè)控制系統(tǒng)信息安全漏洞的高持續(xù)性的攻擊，很容易導致大量機密信息的泄露;不僅影響企業(yè)在國際上的競爭力，甚至會給國家安全帶來影響。因此對于工業(yè)控制系統(tǒng)的信息安全，需要國家防御的力量發(fā)揮作用。

　　關(guān)于工業(yè)控制系統(tǒng)信息安全的政策和法規(guī)

　　在2011年，工信部發(fā)布了第一個針對工業(yè)控制系統(tǒng)信息安全的文件，《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號)，明確了工業(yè)控制系統(tǒng)信息安全管理的組織領(lǐng)導、技術(shù)保障、規(guī)章制度等方面的要求，并在工業(yè)控制系統(tǒng)的連接、組網(wǎng)、配置、設備選擇與升級、數(shù)據(jù)、應急管理等六個方面提出了規(guī)范性的要求。此外，文件中還提到了，“全國信息安全標準化技術(shù)委員會抓緊制定工業(yè)控制系統(tǒng)關(guān)鍵設備信息技術(shù)安全規(guī)范和技術(shù)標準，明確設備安全技術(shù)要求”的內(nèi)容，為接下來法規(guī)的制定指明了方向。

　　隨后，在2012年，國務院在《關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》(國發(fā)[2012]23號)中，特別提到了要“重點對可能危及生命和公共財產(chǎn)安全的工業(yè)控制系統(tǒng)加強監(jiān)管;對重點領(lǐng)域使用的關(guān)鍵產(chǎn)品開展安全測評，實行安全風險和漏洞通報制度”。事實上國家互聯(lián)網(wǎng)應急中心目前在工業(yè)控制系統(tǒng)信息安全防護方面的工作也正是包括測評和漏洞通報這兩方面內(nèi)容。

　　此外，該文件中還明確要求加強核設施、航空航天、先進制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、交通運輸、水利樞紐、城市設施等重要領(lǐng)域工業(yè)控制系統(tǒng)的安全保障，定期開展安全檢查和風險評估。

　　同年，工信部辦公廳還發(fā)布了《關(guān)于開展工業(yè)控制系統(tǒng)信息安全風險信息發(fā)布工作的通知》(工信廳協(xié)[2012]629號)，明確了信息發(fā)布的概念和形式，并且特別針對信息發(fā)布的范圍表示希望根據(jù)漏洞信息設計的行業(yè)定點發(fā)布;還提出下一步將定期編制風險發(fā)布的通告，并定點投放到相關(guān)單位，同時致力于將漏洞信息的風險提示和解決漏洞的消控方案一并發(fā)布。之所以有這樣的表達，是因為如果信息發(fā)布不當，可能會引發(fā)嚴重的次生災害。2013年阿帕奇軟件漏洞的信息發(fā)布，同時公開了攻擊代碼，結(jié)果導致中國大量的網(wǎng)站受到攻擊。由此可見這份文件出臺的必要性。

　　在標準、規(guī)范方面，工信部正在牽頭推進制定工作。目前有五個國家標準正處在草案階段，分別是《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全管理基本要求》、《信息安全技術(shù) 工業(yè)控制系統(tǒng)分級規(guī)范》、《信息安全技術(shù) 工業(yè)控制系統(tǒng)測控終端安全要求》、《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全防護技術(shù)要求和測試評價方法》和《信息安全技術(shù) 工業(yè)控制系統(tǒng)信息安全檢查指南》。未來，這些標準的出臺將可以為像西門子這樣推出企業(yè)級工業(yè)控制系統(tǒng)信息安全解決方案的提供商，提供系統(tǒng)運行的可參照的依據(jù)。

　　國家互聯(lián)網(wǎng)應急中心相關(guān)工作

　　國家互聯(lián)網(wǎng)應急中心(CNCERT/CC)成立于2002年9月，是工業(yè)和信息化部下屬的機構(gòu)，自身定位是為“非政府、非盈利的網(wǎng)絡安全技術(shù)中心，我國網(wǎng)絡安全應急體系的核心協(xié)調(diào)機構(gòu)”。國家互聯(lián)網(wǎng)應急中心在2009年10月19日建立了國家信息安全漏洞共享平臺(China National Vulnerability Database 簡稱CNVD)，旨在建立信息系統(tǒng)安全漏洞統(tǒng)一收集驗證、預警發(fā)布及應急處置體系。目前CNVD擁有25家成員單位、300多家可協(xié)調(diào)的國內(nèi)廠商及行業(yè)單位、500余位“白帽子”的技術(shù)力量，以及西門子、力控華康等企業(yè)的鼎力支持。

　　在工業(yè)控制系統(tǒng)信息安全方面，國家互聯(lián)網(wǎng)應急中心主要的工作是運營著CNVD工業(yè)控制系統(tǒng)漏洞庫。CNVD工業(yè)控制系統(tǒng)漏洞庫是國家信息安全漏洞共享平臺漏洞庫的四個子庫之一，成立于2013年7月，能夠為工業(yè)控制系統(tǒng)提供量身定制的漏洞信息發(fā)布服務，提高重點行業(yè)客戶的安全事件預警、響應和處理能力。目前，CNVD工業(yè)控制系統(tǒng)漏洞庫已經(jīng)收錄了587條相關(guān)漏洞，其中2013年新增漏洞達135條。這些漏洞的收錄情況，反映出了當前中國工業(yè)控制系統(tǒng)信息安全的形勢。比如，CNVD從產(chǎn)生原因、引發(fā)威脅、攻擊位置、嚴重程度、影響對象五個維度，對工業(yè)控制系統(tǒng)信息安全漏洞進行研究;而從嚴重程度上來看，高危漏洞占到了全部收錄漏洞的62%。舉例而言，像拒絕服務類的漏洞如果被利用來對工業(yè)控制系統(tǒng)進行攻擊，很可能會造成PLC的癱瘓，后果可想而知。由此也可以看出工業(yè)控制系統(tǒng)信息安全漏洞監(jiān)測的重要性。

工業(yè)控制系統(tǒng)信息安全漏洞嚴重程度分類

各類工業(yè)控制系統(tǒng)信息安全漏洞占比

　　從發(fā)展態(tài)勢上來看，近三年來工業(yè)控制系統(tǒng)信息安全漏洞的發(fā)現(xiàn)數(shù)量的變化相對比較平緩;從行業(yè)橫向?qū)Ρ葋砜?，工業(yè)控制系統(tǒng)的信息安全漏洞與移動互聯(lián)網(wǎng)、電信、電子政務相比要少。這種現(xiàn)象和國內(nèi)剛剛才開始關(guān)注到工業(yè)控制系統(tǒng)信息安全問題有關(guān)?？梢源_定隨著工業(yè)領(lǐng)域兩化融合的深入，人們對工業(yè)控制系統(tǒng)信息安全問題的關(guān)注會逐漸增加，漏洞發(fā)現(xiàn)的數(shù)量也會出現(xiàn)較大的增長。

2011—2013年CNVD收錄各行業(yè)信息安全漏洞情況對比

　　CNVD漏洞通報和處置的具體流程是：CNVD開放網(wǎng)站前臺上報、vreport@郵箱報送、第三方漏洞平臺通報三種漏洞信息的接受渠道;在收到漏洞信息之后第一時間進行驗證;經(jīng)確認后與相關(guān)設備廠商協(xié)商提供補丁的時間，并將可能造成重大危害的漏洞上報主管部門;確認處置完成后，按一定的緩沖器公開漏洞描述信息。目前，CNVD工業(yè)控制系統(tǒng)漏洞庫的建設得到了西門子等工業(yè)控制系統(tǒng)及安全產(chǎn)品提供商的大力支持。國家互聯(lián)網(wǎng)應急中心與西門子簽訂了NDA(Non-Disclosure and Information Use Agreement)合作協(xié)議，針對中國范圍內(nèi)涉及西門子產(chǎn)品和解決方案的安全通告、網(wǎng)絡攻擊事件以及潛在的安全威脅和對策，建立起了信息保密、共享和協(xié)調(diào)機制，實現(xiàn)了在信息保密的合作規(guī)范下，對西門子產(chǎn)品及解決方案遭到的網(wǎng)絡安全威脅的快速預警和處置響應。在2013年5月，國家互聯(lián)網(wǎng)應急中心收到了西門子ProductCERT提供的首份安全通告信息。截至2014年3月，國家互聯(lián)網(wǎng)應急中心已經(jīng)收到西門子ProductCERT提供安全通告信息十余份。

　　除此之外，國家互聯(lián)網(wǎng)應急中心還與西門子合作展開了工業(yè)控制系統(tǒng)信息安全測試、風險檢測、漏洞掃描方面的技術(shù)研究。無論是安全通告還是技術(shù)研究，西門子的支持都對國內(nèi)潛在的工業(yè)控制系統(tǒng)信息安全隱患的預警和處置都起到了非常積極的作用，可是說是國家互聯(lián)網(wǎng)應急中心在工業(yè)控制系統(tǒng)信息安全方面的行業(yè)合作交流的典范。我們非常希望有更多的企業(yè)能夠認識到，現(xiàn)在我們使用的工業(yè)控制系統(tǒng)并不像想象中的那么安全，實際上存在很多信息安全的隱患，從每一個業(yè)主到整個工業(yè)領(lǐng)域，乃至整個國家，時刻都處在嚴峻的信息安全威脅之下;也希望更多的企業(yè)、機構(gòu)與我們共同努力，保障中國的工業(yè)控制系統(tǒng)信息安全。

（轉(zhuǎn)載）