摘要：近年来，随着工业控制系统信息安全事件和漏洞数量的不断增长，美国国土安全部和日本经济产业省开展了工业控制系统信息安全漏洞发布工作，形成了较为完备的工作机制，有效保证了关键基础设施运营者获取工业控制系统安全漏洞信息。我国应借鉴美日做法并结合我国国情，建立和完善工业控制系统信息安全漏洞发布机制。

    关键词：美国；日本；工业控制系统；漏洞发布

    Abstract: With the increasing in the number of vulnerabilities and incidents from industry control systems (ICS), US Department of Homeland Security (DHS) and the Ministry of Economy, Trade and Industry (METI) of Japan have implemented ICS vulnerability disclosure policies. These policies ensure that critical infrastructure owner/operator can effectively obtain ICS vulnerability and security risk information. We should use the experience of the USA and Japan for reference, establish and improve our ICS vulnerability disclosure policy and practice.

    Key words: the USA; Japan; Industry control systems; Vulnerability disclosure 

    1　前言

    2003年12月17日，美国政府颁布了第7号国土安全总统令（HSPD-7）《关键基础设施标识、优先级和保护》，要求国土安全部（DHS）制定保护关键基础设施和重要资源（CIKR）的国家战略计划。认识到控制系统对关键基础设施的重要性后，国土安全部下属的国家防护与计划司（NPPD）启动了“控制系统安全计划（CSSP）”，旨在通过加强控制系统的信息安全保障来减少国家关键基础设施的风险。漏洞发布是美国工业控制系统网络安全信息共享的主要方式，也是CSSP计划的重要组成部分之一。从2006年5月信息安全研究人员Matt Franz向美国计算机应急响应小组（US-CERT）上报的第一个工业控制系统信息安全漏洞开始，2009年以前的所有工业控制系统漏洞都是由US-CERT处理和发布并录入国家漏洞库（NVD）。然而，面对不断涌现的工业控制系统信息安全事件和漏洞，缺乏工业控制领域专家和经验的US-CERT在处理相应漏洞时显得力不从心。2009年11月，国土安全部组织专业技术队伍正式建立了工业控制系统网络应急响应小组（ICSCERT），专门响应、支持、分析和处理工业控制系统信息安全事件和漏洞。同年，国家防护与计划司下设的网络安全与通信办公室（CS&C）成立了国家网络安全与通信集成中心（NCCIC），领导并协调ICS-CERT的漏洞发布等相关工作。截止2014年8月，ICS-CERT通过官方网站公开发布了400多份关于工业控制系统信息安全漏洞的警告和通报，有效保证了关键基础设施运营者获取工业控制系统漏洞信息。

    作为工业最发达的国家之一，日本也在不断加强工业控制系统信息安全保障工作。日本经济产业省（METI）在2010年设立了网络安全与经济研究小组，该小组的一个主要研究内容便是“确保工业控制系统的信息安全”。在该小组的基础上，2011年METI成立了工业控制系统信息安全专门工作组，确保日本关键基础设施控制系统的信息安全。2012年3月，METI与横河、日立等8个工业控制系统相关企业建立了工业控制系统的技术研究协会——控制系统安全中心（CSSC），作为政府和行业共同推动工业控制系统信息安全研发和支撑的重要单位，截止目前已经建立了污水处理、化工过程控制、电力、输气管道等9个工业控制系统信息安全测试床（CSS-Based 6）。漏洞发布是日本工业控制信息安全保障工作的重要组成部分，相关工作主要由METI下属的日本计算机应急处理协调中心（JPCERT/CC）和信息技术促进局（IPA）负责领导。

    2　美国工业控制系统信息安全漏洞发布机制

    美国工业控制系统信息安全漏洞的发布工作具有多方积极参与和相互协调配合的特点。图1展示了美国工业控制系统信息安全漏洞发布机制。ICS-CERT负责总体协调，与相关实验室、信息安全研究人员和厂商协作挖掘、分析和消减工业控制系统信息安全漏洞，配合厂商向受影响的企业客户通报漏洞，并通过官方网站或安全门户网站发布漏洞信息。

 

    美国工业控制系统信息安全的漏洞发布包括如图2所示的五个步骤。

 

    2.1　漏洞收集与挖掘

    ICS-CERT收集工业控制系统漏洞报告主要有3个途径：（1）ICS-CERT分析挖掘的漏洞，主要来自于在响应信息安全事件或对厂商产品进行评估时发现的漏洞；（2）从公开媒体、出版物和网络获取的漏洞，主要来源于公开的安全事件或者黑客主动发布的漏洞；（3）安全研究人员或厂商上报的漏洞，这也是最主要的漏洞报告来源。

    在收到漏洞报告后，ICS-CERT将对上报的漏洞进行初步的分析以消除冗余和误报，同时对漏洞进行分类，并录入需求追踪标签系统RTTS。在漏洞分类后，ICSCERT将尝试联系厂商来协同开展后续工作。如果漏洞发现者允许，ICS-CERT会把漏洞发现者的姓名和联系方式告知受影响的厂商，同时也会在对厂商产品信息保密的基础上告知漏洞发现者RTTS系统中漏洞处理的状态变化。如果厂商不响应联系或不制定有效的补救日程表，那么ICS-CERT可以在45天后直接发布漏洞信息。

    2.2　漏洞分析

    爱达荷国家实验室I N L （ I d a h o N a t i o n a l Laboratory）建立了高级分析实验室AAL（Advanced Analytical Laboratory），为ICS-CERT提供了技术分析能力。ICS-CERT与厂商配合，从检查、验证和潜在风险分析等方面开展漏洞分析工作。ICS-CERT会在国家漏洞库NVD的漏洞评分系统CVSS（Common Vulnerability Scoring System）对漏洞的严重性评分，并在必要时协同厂商在AAL实验室进行研究分析。ICS-CERT会基于漏洞分析的各种因素，决定漏
洞发布的类型和时间表。这些因素主要包括：（1）漏洞是否已公开；（2）漏洞的严重性；（3）对关键基础设施的潜在影响；（4）对公众生命财产安全的可能威胁；（5）当前可用的消减措施；（6）供应商的响应程度和提供解决方案的可能性；（7）客户应用解决方案的时间；（8）漏洞被利用的可能性；（9）是否需要建立标准。厂商将被告知所有的发布计划，如果有需要，ICS-CERT也可以与厂商协商更改发布日程表。

    2.3　消减措施协调

    在对漏洞进行分析后，ICS-CERT与厂商建立安全、互信的合作伙伴关系，共同致力于消减措施或补丁发布等解决方案。对任何安全漏洞，都确保厂商有足够的时间来解决问题并对补丁进行充分的回归测试。对于影响多个厂商的漏洞，ICS-CERT要协调这些厂商共同响应处理。

    2.4　应用解决方案

    ICS-CERT与厂商配合，确保厂商有足够的时间让受影响的客户在漏洞发布之前获得、测试并应用解决方案，确保漏洞的发布不影响关键基础设施的信息安全。

    2.5　漏洞发布

    在与厂商协调并收集技术和风险信息后，ICSCERT会把漏洞的相关信息以警告或通报的形式发布于相关网站。ICS-CERT坚持发布准确、中立、客观的信息，着重于提供技术解决方案和补救措施。漏洞发布的主要内容包括：漏洞名称、受影响的产品、后果、产品背景、漏洞特征、消减措施等。漏洞的相关信息报告主要发布在三个网站：（1）ICS-CERT的官方网站，任何人都可以访问该网站以公开获取漏洞信息；（2）ICS-CERT的信息安全门户，该门户位于US-CERT信息安全门户网站下属的控制系统中心（Control Systems Center）区域，用于与其他参与方、工业组织和资产所有者等共享信息。只有在DHS注册并经过验证的可信成员才允许访问该门户；（3）国土安全信息门户网站HSIN（Homeland Security Information Network）下属的关键行业（Critical Sector）栏目下，用于向行业和关键基础设施运营者共享信息。该门户由DHS的首席信息官办公室（OCIO）负责维护，同样也只有DHS的可信成员才允许访问。2013年，ICS-CERT共发布了285份信息报告，其中103份公开发布于官方网站。

    3　日本工业控制系统信息安全漏洞发布机制

    日本工业控制系统信息安全漏洞的发布工作与美国类似，同样具有政府机构和厂商积极协调配合的特点。图3展示了日本工业控制系统信息安全漏洞发布机制。国外研究人员或机构发现的漏洞由JPCERT/CC负责接收，而日本本国研究人员上报的漏洞将由IPA接收，日本产业技术综合研究所（AIST）通过CSSC协助IPA对上报的漏洞展开初步分析，确定漏洞属实后IPA将漏洞报告传递给JPCERT/CC处理。JPCERT/CC联系漏洞所属工控厂商，协调厂商对漏洞展开进一步验证、制定消减措施、协调漏洞发布日期。在遵守保密协议的情况下，JPCERT/CC和IPA共同运营的日本漏洞库JVN公开发布漏洞，发布的内容要包括消减方案、厂商处理状态和声明，不允许包含可利用的代码。如果厂商掌握了漏洞所影响产品的所有用户信息，并可以直接通知它们漏洞信息和消减方案，那该漏洞可以不公开披露。
 

    与美国ICS-CERT一样，日本建立了强大的信息共享机制。JPCERT/CC建立了工业控制系统内部信息安全门户——工业控制系统安全伙伴网站（Control System Security Partner's Site, ConPaS），同样只有在JPCERT/CC注册过的用户才可以访问。ConPaS提供了国内外工业控制系统信息安全的最新动态和发展趋势、工业控制系统的漏洞和威胁、工业控制系统相关的工具和指南等。

    4　启示与建议

    美国和日本的政府、厂商、研究人员、相关实验室和受影响的企业都积极参与工业控制系统信息安全漏洞处理工作。我国应借鉴美日做法并结合国情，建立和完善工业控制系统信息安全漏洞发布机制，鼓励和引导厂商、安全研究人员和重点行业运营单位积极上报工控漏洞，并依托高校、科研院所、企业和相关支撑单位建设工业控制系统信息安全测试床及实验室，集中优势力量打造骨干技术研究基地，重点提升漏洞挖掘、验证分析和解决方案制定等技术分析能力，建立国家级工业控制系统信息安全漏洞发布平台，实施风险漏洞通报制度。


    作者简介

    李俊（1986-），江西吉安人，博士，现任工业和信息化部电子科学技术情报研究所工程师，研究方向为工业信息安全，先后主持或参与多项工信部、发改委和中央网信办委托的工控信息安全课题。