亚洲第一最快AV网站,人妻无码人妻有码中文字幕,怡红院A∨人人爰人人爽,亚洲—本道 在线无码AV发

首頁 >> 新聞中心 >>  行業(yè)新聞

聯(lián)系方式丨CONTACT

聯(lián)系人:肖俊

電話:13971955500

地址:湖北省孝感市航空路222號

國家工業(yè)信息安全漏洞庫亟待抓緊建設(shè)

日期:2019-12-18 09:29:00 瀏覽:

國家工業(yè)信息安全漏洞庫亟待抓緊建設(shè)

??隨著新一代信息技術(shù)與制造業(yè)的加速融合,傳統(tǒng)網(wǎng)絡(luò)安全威脅持續(xù)向工業(yè)領(lǐng)域滲透和蔓延,安全漏洞頻發(fā),工業(yè)信息安全形勢日益嚴(yán)峻。

??我國有必要建設(shè)自己的工業(yè)信息安全漏洞庫,專門開展安全漏洞挖掘、分析和風(fēng)險防范研究,提升工業(yè)信息安全保障能力,為制造強(qiáng)國和網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略實(shí)施牢筑“防護(hù)墻”。


國家工業(yè)信息安全漏洞庫亟待抓緊建設(shè).jpg


??隨著工業(yè)互聯(lián)網(wǎng)的深入推進(jìn),傳統(tǒng)工業(yè)領(lǐng)域從封閉逐步走向開放、互聯(lián),網(wǎng)絡(luò)安全威脅直指工業(yè)生產(chǎn)一線。據(jù)國家工業(yè)信息安全發(fā)展研究中心(以下簡稱國家工信安全中心)監(jiān)測發(fā)現(xiàn),全球聯(lián)網(wǎng)工業(yè)控制系統(tǒng)及設(shè)備數(shù)量持續(xù)上升,近兩年增幅尤其明顯,使得黑客發(fā)現(xiàn)攻擊目標(biāo)的難度大大降低。同時,諸如“熔斷”“幽靈”等傳統(tǒng)IT系統(tǒng)漏洞不斷被利用攻擊現(xiàn)實(shí)工業(yè)系統(tǒng),專門針對工業(yè)控制設(shè)備及系統(tǒng)的安全漏洞時有曝出。據(jù)美ICS-CERT(美國國土安全部工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組)統(tǒng)計,工控安全漏洞數(shù)量自2012年以來持續(xù)走高,且大量高危漏洞集中于裝備制造、交通、能源、智能樓宇等重要領(lǐng)域。漏洞頻發(fā)加劇安全風(fēng)險,工業(yè)信息安全警鐘長鳴。

??2019年7月,為加速布局工業(yè)互聯(lián)網(wǎng)安全體系,提升工業(yè)互聯(lián)網(wǎng)安全保障水平,工信部、應(yīng)急管理部、國家能源局等十部門聯(lián)合印發(fā)《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》,提出了7大方面17項重點(diǎn)任務(wù)。其中,在國家工業(yè)互聯(lián)網(wǎng)技術(shù)手段建設(shè)方面,提出要建立包括安全漏洞庫在內(nèi)工業(yè)互聯(lián)網(wǎng)安全基礎(chǔ)資源庫的任務(wù)。近年來,在工信部的指導(dǎo)下,國家工信安全中心建設(shè)了工業(yè)控制系統(tǒng)信息安全應(yīng)急資源庫,開展漏洞、協(xié)議指紋、資產(chǎn)模型等應(yīng)急資源儲備,并于今年6月專門發(fā)起建立國家工業(yè)信息安全漏洞庫,組織開展面向工業(yè)行業(yè)領(lǐng)域的安全漏洞分析和處置研究工作,為落實(shí)該指導(dǎo)意見的重點(diǎn)任務(wù)奠定了良好的工作基礎(chǔ)。

??國家工業(yè)信息安全漏洞庫及機(jī)制建設(shè)將更加突出工業(yè)特性,聚焦工業(yè)專用產(chǎn)品和組件的安全漏洞、補(bǔ)丁及解決方案研究和收集,研發(fā)針對各類工業(yè)產(chǎn)品和組件的漏洞挖掘和驗證平臺,開展面向原材料工業(yè)、裝備工業(yè)、消費(fèi)品工業(yè)、電子信息制造、國防軍工、能源、交通、水利、市政、民用核設(shè)施等工業(yè)行業(yè)領(lǐng)域漏洞處置工作,提升我國工業(yè)行業(yè)漏洞風(fēng)險管理和威脅應(yīng)對整體水平。

??世界各國漏洞庫建設(shè)為我國提供有益參考

??美國領(lǐng)跑世界,擁有成立時間最早、規(guī)模******的漏洞庫以及工控安全漏洞庫。早在1999年,美國土安全部資助MITRE公司創(chuàng)立了CVE漏洞披露平臺,制定了全球認(rèn)同和采用的漏洞信息描述標(biāo)準(zhǔn),公開披露漏洞信息已達(dá)到12萬條。2005年,美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)建設(shè)了國家信息安全漏洞庫(NVD),和CVE同步披露漏洞信息,并增加了漏洞技術(shù)細(xì)節(jié)、受影響產(chǎn)品等信息,它已成為各國建設(shè)漏洞庫的范本。值得一提的,美ICS-CERT于2009年專門建設(shè)工控安全漏洞庫,至今披露工控安全漏洞信息超過2500條。此外,美國還實(shí)施漏洞懸賞項目,向民間高手支付賞金挖掘漏洞。

??歐洲、亞太地區(qū)國家緊隨美國,建設(shè)各具特點(diǎn)的本國國家漏洞庫。一是直接轉(zhuǎn)載型。歐洲計算機(jī)應(yīng)急響應(yīng)小組的漏洞披露平臺以收集和發(fā)布其他國家漏洞庫和各大廠商漏洞庫漏洞信息為主。二是深度加工型。Security-Lab漏洞信息門戶網(wǎng)站是俄羅斯較為權(quán)威的漏洞平臺,以俄語發(fā)布漏洞信息及分析報告,累計披露漏洞信息超過37000條。三是完全效仿型。日本國家漏洞庫(JVN)基本仿照美國NVD,通過日語和英語兩種語言公開披露漏洞信息,累計發(fā)布漏洞公告1700余條。

??共建共享構(gòu)建工業(yè)信息安全生態(tài)環(huán)境

??充分借鑒國內(nèi)外漏洞庫建設(shè)成熟經(jīng)驗,在工業(yè)信息安全聯(lián)盟框架下,國家工信安全中心將遵循“共建共享”原則,整合國內(nèi)從事工業(yè)信息安全相關(guān)產(chǎn)業(yè)、教育、科研、應(yīng)用的機(jī)構(gòu)、企業(yè)及個人力量,構(gòu)建工業(yè)信息安全漏洞發(fā)現(xiàn)和處置生態(tài)環(huán)境,推動建設(shè)全國性、行業(yè)性、非營利性的工業(yè)信息安全漏洞收集、分析、處置、披露的平臺,建立漏洞收集、分析、處置、披露機(jī)制,提升安全威脅應(yīng)對能力和風(fēng)險管理水平,夯實(shí)工業(yè)信息安全保障基礎(chǔ),護(hù)航兩個強(qiáng)國戰(zhàn)略實(shí)施。主要工作內(nèi)容包括:

??建設(shè)一套技術(shù)平臺。面向工業(yè)信息安全領(lǐng)域,組織和動員成員單位和漏洞研究者收集、分析、處置和發(fā)布工業(yè)軟硬件產(chǎn)品和組件的漏洞信息,共同建設(shè)國家工業(yè)信息安全漏洞數(shù)據(jù)庫,同時推動建設(shè)針對各類工業(yè)產(chǎn)品和組件的安全漏洞挖掘和驗證平臺,有效支持工業(yè)信息安全漏洞分析和驗證。

??建立一套工作機(jī)制。探索建立工業(yè)信息安全漏洞發(fā)現(xiàn)、上報、分析和處置工作機(jī)制,激勵各方積極報送工業(yè)信息安全漏洞信息,協(xié)調(diào)廠商及時發(fā)布漏洞補(bǔ)丁,向社會公眾和成員單位發(fā)布漏洞風(fēng)險預(yù)警,組織開展漏洞安全應(yīng)急處置工作,特別是高危以上級別漏洞風(fēng)險防范或大規(guī)模漏洞利用攻擊處置,提高我國工業(yè)信息安全防護(hù)整體水平。

??開展漏洞安全研究。組織開展漏洞安全技術(shù)和相關(guān)政策研究,開展漏洞相關(guān)重大問題研究,參與安全漏洞相關(guān)標(biāo)準(zhǔn)研制和驗證,發(fā)布漏洞統(tǒng)計數(shù)據(jù)和深度分析研究報告,向政府有關(guān)部門提供政策建議。推動工業(yè)信息安全漏洞研究相關(guān)產(chǎn)品的研制、開發(fā)、評審及推廣,提升我國工業(yè)信息安全保障、防范與自愈能力。

??提供安全服務(wù)。面向政府和重要部門、工業(yè)企業(yè)、工業(yè)軟硬件產(chǎn)品供應(yīng)商、工業(yè)互聯(lián)網(wǎng)服務(wù)提供商等用戶單位提供漏洞安全的技術(shù)支持、信息咨詢、培訓(xùn)、取證分析、恢復(fù)等服務(wù),幫助其提升對漏洞安全風(fēng)險防范及應(yīng)對能力。嘗試開展我國工業(yè)信息安全漏洞懸賞計劃,提升工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)攻擊應(yīng)對能力和水平。



河池市| 山东省| 大关县| 高平市| 眉山市| 墨竹工卡县| 温州市| 桃源县| 资源县| 扶绥县|