亚洲第一最快AV网站,人妻无码人妻有码中文字幕,怡红院A∨人人爰人人爽,亚洲—本道 在线无码AV发

國家工業(yè)信息安全漏洞庫亟待抓緊建設(shè)

??隨著新一代信息技術(shù)與制造業(yè)的加速融合，傳統(tǒng)網(wǎng)絡(luò)安全威脅持續(xù)向工業(yè)領(lǐng)域滲透和蔓延，安全漏洞頻發(fā)，工業(yè)信息安全形勢日益嚴(yán)峻。

??我國有必要建設(shè)自己的工業(yè)信息安全漏洞庫，專門開展安全漏洞挖掘、分析和風(fēng)險防范研究，提升工業(yè)信息安全保障能力，為制造強(qiáng)國和網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略實(shí)施牢筑“防護(hù)墻”。

??隨著工業(yè)互聯(lián)網(wǎng)的深入推進(jìn)，傳統(tǒng)工業(yè)領(lǐng)域從封閉逐步走向開放、互聯(lián)，網(wǎng)絡(luò)安全威脅直指工業(yè)生產(chǎn)一線。據(jù)國家工業(yè)信息安全發(fā)展研究中心（以下簡稱國家工信安全中心）監(jiān)測發(fā)現(xiàn)，全球聯(lián)網(wǎng)工業(yè)控制系統(tǒng)及設(shè)備數(shù)量持續(xù)上升，近兩年增幅尤其明顯，使得黑客發(fā)現(xiàn)攻擊目標(biāo)的難度大大降低。同時，諸如“熔斷”“幽靈”等傳統(tǒng)IT系統(tǒng)漏洞不斷被利用攻擊現(xiàn)實(shí)工業(yè)系統(tǒng)，專門針對工業(yè)控制設(shè)備及系統(tǒng)的安全漏洞時有曝出。據(jù)美ICS-CERT（美國國土安全部工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組）統(tǒng)計，工控安全漏洞數(shù)量自2012年以來持續(xù)走高，且大量高危漏洞集中于裝備制造、交通、能源、智能樓宇等重要領(lǐng)域。漏洞頻發(fā)加劇安全風(fēng)險，工業(yè)信息安全警鐘長鳴。

??2019年7月，為加速布局工業(yè)互聯(lián)網(wǎng)安全體系，提升工業(yè)互聯(lián)網(wǎng)安全保障水平，工信部、應(yīng)急管理部、國家能源局等十部門聯(lián)合印發(fā)《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》，提出了7大方面17項重點(diǎn)任務(wù)。其中，在國家工業(yè)互聯(lián)網(wǎng)技術(shù)手段建設(shè)方面，提出要建立包括安全漏洞庫在內(nèi)工業(yè)互聯(lián)網(wǎng)安全基礎(chǔ)資源庫的任務(wù)。近年來，在工信部的指導(dǎo)下，國家工信安全中心建設(shè)了工業(yè)控制系統(tǒng)信息安全應(yīng)急資源庫，開展漏洞、協(xié)議指紋、資產(chǎn)模型等應(yīng)急資源儲備，并于今年6月專門發(fā)起建立國家工業(yè)信息安全漏洞庫，組織開展面向工業(yè)行業(yè)領(lǐng)域的安全漏洞分析和處置研究工作，為落實(shí)該指導(dǎo)意見的重點(diǎn)任務(wù)奠定了良好的工作基礎(chǔ)。

??國家工業(yè)信息安全漏洞庫及機(jī)制建設(shè)將更加突出工業(yè)特性，聚焦工業(yè)專用產(chǎn)品和組件的安全漏洞、補(bǔ)丁及解決方案研究和收集，研發(fā)針對各類工業(yè)產(chǎn)品和組件的漏洞挖掘和驗證平臺，開展面向原材料工業(yè)、裝備工業(yè)、消費(fèi)品工業(yè)、電子信息制造、國防軍工、能源、交通、水利、市政、民用核設(shè)施等工業(yè)行業(yè)領(lǐng)域漏洞處置工作，提升我國工業(yè)行業(yè)漏洞風(fēng)險管理和威脅應(yīng)對整體水平。

??世界各國漏洞庫建設(shè)為我國提供有益參考

??美國領(lǐng)跑世界，擁有成立時間最早、規(guī)模******的漏洞庫以及工控安全漏洞庫。早在1999年，美國土安全部資助MITRE公司創(chuàng)立了CVE漏洞披露平臺，制定了全球認(rèn)同和采用的漏洞信息描述標(biāo)準(zhǔn)，公開披露漏洞信息已達(dá)到12萬條。2005年，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）建設(shè)了國家信息安全漏洞庫（NVD），和CVE同步披露漏洞信息，并增加了漏洞技術(shù)細(xì)節(jié)、受影響產(chǎn)品等信息，它已成為各國建設(shè)漏洞庫的范本。值得一提的，美ICS-CERT于2009年專門建設(shè)工控安全漏洞庫，至今披露工控安全漏洞信息超過2500條。此外，美國還實(shí)施漏洞懸賞項目，向民間高手支付賞金挖掘漏洞。

??歐洲、亞太地區(qū)國家緊隨美國，建設(shè)各具特點(diǎn)的本國國家漏洞庫。一是直接轉(zhuǎn)載型。歐洲計算機(jī)應(yīng)急響應(yīng)小組的漏洞披露平臺以收集和發(fā)布其他國家漏洞庫和各大廠商漏洞庫漏洞信息為主。二是深度加工型。Security－Lab漏洞信息門戶網(wǎng)站是俄羅斯較為權(quán)威的漏洞平臺，以俄語發(fā)布漏洞信息及分析報告，累計披露漏洞信息超過37000條。三是完全效仿型。日本國家漏洞庫（JVN）基本仿照美國NVD，通過日語和英語兩種語言公開披露漏洞信息，累計發(fā)布漏洞公告1700余條。

??共建共享構(gòu)建工業(yè)信息安全生態(tài)環(huán)境

??充分借鑒國內(nèi)外漏洞庫建設(shè)成熟經(jīng)驗，在工業(yè)信息安全聯(lián)盟框架下，國家工信安全中心將遵循“共建共享”原則，整合國內(nèi)從事工業(yè)信息安全相關(guān)產(chǎn)業(yè)、教育、科研、應(yīng)用的機(jī)構(gòu)、企業(yè)及個人力量，構(gòu)建工業(yè)信息安全漏洞發(fā)現(xiàn)和處置生態(tài)環(huán)境，推動建設(shè)全國性、行業(yè)性、非營利性的工業(yè)信息安全漏洞收集、分析、處置、披露的平臺，建立漏洞收集、分析、處置、披露機(jī)制，提升安全威脅應(yīng)對能力和風(fēng)險管理水平，夯實(shí)工業(yè)信息安全保障基礎(chǔ)，護(hù)航兩個強(qiáng)國戰(zhàn)略實(shí)施。主要工作內(nèi)容包括：

??建設(shè)一套技術(shù)平臺。面向工業(yè)信息安全領(lǐng)域，組織和動員成員單位和漏洞研究者收集、分析、處置和發(fā)布工業(yè)軟硬件產(chǎn)品和組件的漏洞信息，共同建設(shè)國家工業(yè)信息安全漏洞數(shù)據(jù)庫，同時推動建設(shè)針對各類工業(yè)產(chǎn)品和組件的安全漏洞挖掘和驗證平臺，有效支持工業(yè)信息安全漏洞分析和驗證。

??建立一套工作機(jī)制。探索建立工業(yè)信息安全漏洞發(fā)現(xiàn)、上報、分析和處置工作機(jī)制，激勵各方積極報送工業(yè)信息安全漏洞信息，協(xié)調(diào)廠商及時發(fā)布漏洞補(bǔ)丁，向社會公眾和成員單位發(fā)布漏洞風(fēng)險預(yù)警，組織開展漏洞安全應(yīng)急處置工作，特別是高危以上級別漏洞風(fēng)險防范或大規(guī)模漏洞利用攻擊處置，提高我國工業(yè)信息安全防護(hù)整體水平。

??開展漏洞安全研究。組織開展漏洞安全技術(shù)和相關(guān)政策研究，開展漏洞相關(guān)重大問題研究，參與安全漏洞相關(guān)標(biāo)準(zhǔn)研制和驗證，發(fā)布漏洞統(tǒng)計數(shù)據(jù)和深度分析研究報告，向政府有關(guān)部門提供政策建議。推動工業(yè)信息安全漏洞研究相關(guān)產(chǎn)品的研制、開發(fā)、評審及推廣，提升我國工業(yè)信息安全保障、防范與自愈能力。

??提供安全服務(wù)。面向政府和重要部門、工業(yè)企業(yè)、工業(yè)軟硬件產(chǎn)品供應(yīng)商、工業(yè)互聯(lián)網(wǎng)服務(wù)提供商等用戶單位提供漏洞安全的技術(shù)支持、信息咨詢、培訓(xùn)、取證分析、恢復(fù)等服務(wù)，幫助其提升對漏洞安全風(fēng)險防范及應(yīng)對能力。嘗試開展我國工業(yè)信息安全漏洞懸賞計劃，提升工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)攻擊應(yīng)對能力和水平。