一个人在线观看的免费视频-一个人免费视频观看在线www-一个人免费看的视频www-一个人免费看www视频-欧美jizz-欧美jav

習(xí)近平總書記提出，沒有網(wǎng)絡(luò)安全，就沒有國家安全。隨著云計(jì)算、大數(shù)據(jù)、人工智能等新一代信息技術(shù)與制造業(yè)的加速融合，傳統(tǒng)網(wǎng)絡(luò)安全威脅持續(xù)向工業(yè)領(lǐng)域滲透和蔓延，工業(yè)信息安全漏洞頻發(fā)，工業(yè)信息安全形勢(shì)日趨嚴(yán)峻，給我國維護(hù)網(wǎng)絡(luò)安全和國家安全帶來更大挑戰(zhàn)。

漏洞是威脅網(wǎng)絡(luò)安全的最主要根源，同樣也是威脅工業(yè)信息安全的主要根源，成功襲擊伊朗核設(shè)施的“震網(wǎng)”病毒就至少利用了4個(gè)零日漏洞。長(zhǎng)期以來，美國、歐洲、日本等國家和地區(qū)高度重視安全漏洞資源儲(chǔ)備，建立了國家級(jí)安全漏洞庫。特別是美國政府還在其工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組（ICS-CERT）專門建立了工控安全漏洞庫，構(gòu)建出一整套工控安全漏洞收集和披露機(jī)制，以維護(hù)其國家關(guān)鍵基礎(chǔ)設(shè)施安全。為此，我國有必要建設(shè)自己的工業(yè)信息安全漏洞庫，專門開展針對(duì)我國工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施的安全漏洞挖掘、分析和風(fēng)險(xiǎn)防范研究，為加快提升工業(yè)信息安全保障能力夯實(shí)基礎(chǔ)，為制造強(qiáng)國和網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略實(shí)施牢筑“防護(hù)墻”。

一、受工業(yè)信息安全形勢(shì)和工業(yè)互聯(lián)網(wǎng)安全政策雙重驅(qū)動(dòng)，國家工業(yè)信息安全漏洞庫亟待抓緊建設(shè)

（一）工業(yè)信息安全漏洞頻發(fā)加劇工業(yè)信息安全風(fēng)險(xiǎn)，安全形勢(shì)更加復(fù)雜嚴(yán)峻

隨著工業(yè)互聯(lián)網(wǎng)深入推進(jìn)，制造業(yè)向數(shù)字化、網(wǎng)絡(luò)化、智能化、服務(wù)化方向加速發(fā)展，在促進(jìn)工業(yè)化和信息化深度融合、工業(yè)轉(zhuǎn)型升級(jí)的同時(shí)，傳統(tǒng)工業(yè)領(lǐng)域從封閉逐步走向開放、互聯(lián)，網(wǎng)絡(luò)安全威脅直指工業(yè)生產(chǎn)一線。同時(shí)，傳統(tǒng)IT系統(tǒng)漏洞不斷被利用攻擊現(xiàn)實(shí)工業(yè)系統(tǒng)，專門針對(duì)工業(yè)控制設(shè)備及系統(tǒng)的安全漏洞時(shí)有曝出，工業(yè)信息安全風(fēng)險(xiǎn)急劇上升，安全形勢(shì)變得更加嚴(yán)峻，呈現(xiàn)出如下三個(gè)新特點(diǎn)：

一是越來越多的工業(yè)控制系統(tǒng)及設(shè)備暴露于互聯(lián)網(wǎng)，極易被黑客探測(cè)發(fā)現(xiàn)。據(jù)國家工業(yè)信息安全發(fā)展研究中心（以下簡(jiǎn)稱國家工信安全中心）監(jiān)測(cè)發(fā)現(xiàn)，全球聯(lián)網(wǎng)工業(yè)控制系統(tǒng)及設(shè)備數(shù)量持續(xù)上升，近兩年增幅尤其明顯，使得黑客發(fā)現(xiàn)攻擊目標(biāo)的難度大大降低。

二是工控安全漏洞層出不窮，制造、能源、交通等重要領(lǐng)域首當(dāng)其沖。據(jù)ICS-CERT統(tǒng)計(jì)，工控安全相關(guān)漏洞數(shù)量自2012年以來持續(xù)走高，且大量高危漏洞集中于裝備制造、交通、能源、智能樓宇等重要領(lǐng)域，極易被黑客利用并發(fā)起攻擊，嚴(yán)重威脅國家關(guān)鍵信息基礎(chǔ)設(shè)施安全。

三是大規(guī)模、高強(qiáng)度工業(yè)信息安全事件頻發(fā)，工業(yè)領(lǐng)域成為網(wǎng)絡(luò)攻擊“重災(zāi)區(qū)”。自2010年“震網(wǎng)”事件爆發(fā)以來，德國鋼鐵廠遭受高級(jí)可持續(xù)性威脅（APT）攻擊、烏克蘭氯氣站遭VPNFilter惡意軟件突襲、委內(nèi)瑞拉全國大面積斷電等重大事件屢屢發(fā)生，全球工業(yè)信息安全事件數(shù)量整體呈上升趨勢(shì)。2018年以來，相繼發(fā)生“熔斷”和“幽靈”漏洞威脅工業(yè)控制系統(tǒng)、云服務(wù)平臺(tái)及工業(yè)互聯(lián)網(wǎng)平臺(tái)安全，金雅拓Safenet軟件許可服務(wù)產(chǎn)品漏洞對(duì)大量工業(yè)控制系統(tǒng)造成影響，美國天然氣輸氣管道遭供應(yīng)鏈攻擊引發(fā)系統(tǒng)故障等安全事件，工業(yè)信息安全警鐘長(zhǎng)鳴，亟需建設(shè)工業(yè)信息安全漏洞庫，提升工業(yè)信息安全漏洞的挖掘、分析、跟蹤和處置能力。

（二）工業(yè)互聯(lián)網(wǎng)安全保障成為當(dāng)前工業(yè)信息安全工作前沿和重點(diǎn)，工業(yè)信息安全漏洞庫建設(shè)是貫徹落實(shí)《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》的重要舉措

黨中央和國務(wù)院高度重視工業(yè)互聯(lián)網(wǎng)發(fā)展，習(xí)近平總書記明確提出，要深入實(shí)施工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略。《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》將安全保障與網(wǎng)絡(luò)、平臺(tái)并列成為工業(yè)互聯(lián)網(wǎng)三大體系之一。2019年7月，為加速布局工業(yè)互聯(lián)網(wǎng)安全體系，提升工業(yè)互聯(lián)網(wǎng)安全保障水平，應(yīng)對(duì)工業(yè)互聯(lián)網(wǎng)發(fā)展面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和挑戰(zhàn)，工業(yè)和信息化部、應(yīng)急管理部、國家能源局等十部門聯(lián)合印發(fā)《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》。該指導(dǎo)意見提出了7個(gè)方面17項(xiàng)重點(diǎn)任務(wù)，其中在建設(shè)國家工業(yè)互聯(lián)網(wǎng)技術(shù)手段方面，提出建立工業(yè)互聯(lián)網(wǎng)安全基礎(chǔ)資源庫，建設(shè)工業(yè)互聯(lián)網(wǎng)安全漏洞庫的任務(wù)。

近年來，在工業(yè)和信息化部的指導(dǎo)下，國家工信安全中心積極推進(jìn)工業(yè)控制系統(tǒng)信息安全應(yīng)急資源庫建設(shè)，加強(qiáng)工業(yè)信息安全應(yīng)急資源儲(chǔ)備。2019年6月，在工業(yè)信息安全發(fā)展產(chǎn)業(yè)聯(lián)盟框架下，國家工信安全中心聯(lián)合國內(nèi)10家工業(yè)信息安全企業(yè)發(fā)起建立國家工業(yè)信息安全漏洞庫，重點(diǎn)開展面向工業(yè)行業(yè)領(lǐng)域的安全漏洞分析和風(fēng)險(xiǎn)研究工作，共同維護(hù)我國工業(yè)信息安全。總的來說，建設(shè)工業(yè)信息安全漏洞庫既是在落實(shí)《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》的重點(diǎn)工作任務(wù)，又能在一定程度上提升我國工業(yè)信息安全整體防護(hù)能力，護(hù)航兩個(gè)強(qiáng)國戰(zhàn)略實(shí)施。

（三）與我國其他國家級(jí)漏洞庫相比，國家工業(yè)信息安全漏洞庫及機(jī)制建設(shè)須將更加突出工業(yè)特性

國家工業(yè)信息安全漏洞庫與國家信息安全漏洞共享平臺(tái)、國家信息安全漏洞庫兩個(gè)國家級(jí)漏洞庫相比，它們的共同之處都是發(fā)揮橋梁紐帶作用，匯聚專業(yè)人才、技術(shù)和資源，遵循“共建共享”原則，建立漏洞收集、分析、處置、披露機(jī)制，提升安全威脅應(yīng)對(duì)能力和風(fēng)險(xiǎn)管理水平，維護(hù)國家網(wǎng)絡(luò)安全。它們的不同之處主要體現(xiàn)在三個(gè)方面：

一是研究領(lǐng)域不同。國家工業(yè)信息安全漏洞庫主要面向原材料工業(yè)、裝備工業(yè)、消費(fèi)品工業(yè)、電子信息制造、國防軍工、能源、交通、水利、市政、民用核設(shè)施等工業(yè)行業(yè)領(lǐng)域開展安全漏洞研究；另外兩個(gè)國家級(jí)漏洞庫主要面向公共互聯(lián)網(wǎng)領(lǐng)域開展安全漏洞研究。

二是漏洞收集范圍不同。國家工業(yè)信息安全漏洞庫收集范圍主要聚焦工業(yè)專用產(chǎn)品和組件的安全漏洞、補(bǔ)丁及解決方案，如工業(yè)生產(chǎn)控制設(shè)備、工業(yè)網(wǎng)絡(luò)通信設(shè)備、工業(yè)主機(jī)設(shè)備和軟件、工業(yè)生產(chǎn)信息系統(tǒng)、工業(yè)網(wǎng)絡(luò)安全設(shè)備、物聯(lián)網(wǎng)智能設(shè)備等；另外兩個(gè)國家級(jí)漏洞庫收集范圍主要關(guān)注通用產(chǎn)品和組件的安全漏洞、補(bǔ)丁及解決方案，如操作系統(tǒng)、Web組件、中間件、應(yīng)用軟件、安全軟件、數(shù)據(jù)庫、計(jì)算機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等。

三是漏洞挖掘和復(fù)現(xiàn)難易程度不同。與通用產(chǎn)品和組件漏洞分析相比，工業(yè)專用產(chǎn)品和組件的漏洞挖掘和復(fù)現(xiàn)環(huán)境搭建難度更大、成本更高、技術(shù)要求更高。國家工業(yè)信息安全漏洞庫在建設(shè)安全漏洞數(shù)據(jù)庫的同時(shí)，會(huì)推動(dòng)建設(shè)針對(duì)各類工業(yè)產(chǎn)品和組件的安全漏洞驗(yàn)證平臺(tái)，有效支持工業(yè)信息安全漏洞分析、復(fù)現(xiàn)和確認(rèn)。

二、美國引領(lǐng)世界各國建設(shè)漏洞庫，相關(guān)機(jī)制和規(guī)則為我國建設(shè)工業(yè)信息安全漏洞庫工作提供有益參考

（一）美國漏洞庫建設(shè)處于世界領(lǐng)先地位，擁有成立時(shí)間最早、規(guī)模最大的漏洞庫，還專門建立了工控安全漏洞庫

作為互聯(lián)網(wǎng)的創(chuàng)造者，美國高度重視安全漏洞收集和儲(chǔ)備工作，漏洞研究工作起步早。早在1999年，美國國土安全部資助MITRE公司創(chuàng)立了CVE漏洞披露平臺(tái)，該平臺(tái)制定了全球認(rèn)同和廣泛采用的漏洞信息描述標(biāo)準(zhǔn)，統(tǒng)一了全球漏洞編號(hào)規(guī)則，僅僅是公開披露漏洞信息累計(jì)達(dá)到12萬條左右。2005年，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）開始建設(shè)國家信息安全漏洞庫（NVD），整合安全企業(yè)、安全機(jī)構(gòu)等各方資源，旨在為美國政府提供軟硬件產(chǎn)品漏洞和補(bǔ)丁信息，同時(shí)制定了漏洞影響指標(biāo)、技術(shù)評(píng)估方法、漏洞修復(fù)參考等多個(gè)標(biāo)準(zhǔn)。NVD和CVE同步披露漏洞信息，在CVE披露信息的基礎(chǔ)上增加了漏洞技術(shù)細(xì)節(jié)、受影響產(chǎn)品等信息。NVD已成為各國建設(shè)國家級(jí)漏洞庫的范本。值得一提的，美國ICS-CERT早在2009年就專門建設(shè)工控安全漏洞庫，從2010年至今公開披露工控安全漏洞信息超過2500條。

此外，美國有關(guān)部門通過漏洞眾測(cè)平臺(tái)“HackerOne”實(shí)施漏洞懸賞項(xiàng)目。如美國國防部先后實(shí)施了“黑進(jìn)五角大樓”“黑進(jìn)陸軍”“黑進(jìn)空軍”項(xiàng)目，一方面測(cè)試美國國防部應(yīng)對(duì)網(wǎng)絡(luò)攻擊能力，同時(shí)利用民間高手挖掘其漏洞并支付賞金。

（二）歐洲、亞太地區(qū)國家緊隨美國其后，紛紛建設(shè)本國國家級(jí)漏洞庫，收集和披露漏洞的機(jī)制各具特點(diǎn)

直接轉(zhuǎn)載型。歐洲計(jì)算機(jī)應(yīng)急響應(yīng)小組（CERT-EU）漏洞披露平臺(tái)以收集其他國家漏洞庫和各大產(chǎn)商漏洞庫漏洞信息為主，并按照廠商產(chǎn)品類型對(duì)漏洞分類，本身不再對(duì)收集的漏洞信息進(jìn)行重新編碼整理，直接發(fā)布漏洞信息在各個(gè)漏洞庫的相關(guān)鏈接。

深度加工型。俄羅斯SecurityLab漏洞信息門戶網(wǎng)站是俄羅斯較為權(quán)威的漏洞平臺(tái)，以俄語發(fā)布漏洞信息，包括漏洞技術(shù)分析以及應(yīng)對(duì)措施，旨在幫助其國內(nèi)用戶快速了解漏洞帶來的潛在攻擊風(fēng)險(xiǎn)并采取適當(dāng)措施，并提供漏洞分析、數(shù)據(jù)保護(hù)等服務(wù)，常常會(huì)發(fā)布漏洞相關(guān)技術(shù)分析文章、漏洞事件調(diào)查報(bào)告。該平臺(tái)累計(jì)披露漏洞信息超過37000條。

完全效仿型。日本國家漏洞庫（JVN）由日本國家CERT負(fù)責(zé)運(yùn)營，是日本最大、最權(quán)威的漏洞披露平臺(tái)。JVN的建設(shè)基本仿照美國NVD，通過日語和英語兩種方式公開披露漏洞信息，累計(jì)發(fā)布漏洞公告1700余條。

三、全力打造我國工業(yè)信息安全漏洞庫，夯實(shí)工業(yè)信息安全保障基礎(chǔ)，護(hù)航兩個(gè)強(qiáng)國戰(zhàn)略實(shí)施

充分借鑒國內(nèi)外漏洞庫建設(shè)成熟經(jīng)驗(yàn)，在工業(yè)信息安全聯(lián)盟框架下，國家工信安全中心將遵循“共建共享”原則，整合國內(nèi)從事工業(yè)信息安全相關(guān)產(chǎn)業(yè)、教育、科研、應(yīng)用的機(jī)構(gòu)、企業(yè)及個(gè)人力量，構(gòu)建工業(yè)信息安全漏洞發(fā)現(xiàn)和處置生態(tài)環(huán)境，推動(dòng)建設(shè)全國性、行業(yè)性、非營利性的工業(yè)信息安全漏洞收集、分析、處置、披露的平臺(tái)，建立漏洞收集、分析、處置、披露機(jī)制，提升安全威脅應(yīng)對(duì)能力和風(fēng)險(xiǎn)管理水平，夯實(shí)工業(yè)信息安全保障基礎(chǔ)，護(hù)航兩個(gè)強(qiáng)國戰(zhàn)略實(shí)施。主要工作內(nèi)容包括：

（一）建設(shè)一套技術(shù)平臺(tái)

面向工業(yè)信息安全領(lǐng)域，組織和動(dòng)員成員單位和漏洞研究者收集、分析、處置和發(fā)布工業(yè)軟硬件產(chǎn)品和組件的漏洞信息，共同建設(shè)國家工業(yè)信息安全漏洞數(shù)據(jù)庫，同時(shí)推動(dòng)建設(shè)針對(duì)各類工業(yè)產(chǎn)品和組件的安全漏洞驗(yàn)證平臺(tái)，有效支持工業(yè)信息安全漏洞分析和驗(yàn)證。

（二）建立一套工作機(jī)制

探索建立工業(yè)信息安全漏洞發(fā)現(xiàn)、上報(bào)、分析和處置工作機(jī)制，激勵(lì)各方積極報(bào)送工業(yè)信息安全漏洞信息，協(xié)調(diào)廠商及時(shí)發(fā)布漏洞補(bǔ)丁，向社會(huì)公眾和成員單位發(fā)布漏洞風(fēng)險(xiǎn)預(yù)警，組織開展漏洞安全應(yīng)急處置工作，特別是高危以上級(jí)別漏洞風(fēng)險(xiǎn)防范或大規(guī)模漏洞利用攻擊處置，提高我國工業(yè)信息安全防護(hù)整體水平。

（三）開展漏洞安全研究

組織開展漏洞安全技術(shù)和相關(guān)政策研究，開展漏洞相關(guān)重大問題研究，參與安全漏洞相關(guān)標(biāo)準(zhǔn)研制和驗(yàn)證，發(fā)布漏洞統(tǒng)計(jì)數(shù)據(jù)和深度分析研究報(bào)告，向政府有關(guān)部門提供政策建議。推動(dòng)工業(yè)信息安全漏洞研究相關(guān)產(chǎn)品的研制、開發(fā)、評(píng)審及推廣，提升我國工業(yè)信息安全保障、防范與自愈能力。

（四）提供安全服務(wù)

面向政府和重要部門、工業(yè)企業(yè)、工業(yè)軟硬件產(chǎn)品供應(yīng)商、工業(yè)互聯(lián)網(wǎng)服務(wù)提供商等用戶單位提供漏洞安全的技術(shù)支持、信息咨詢、培訓(xùn)、取證分析、恢復(fù)等服務(wù)，幫助其提升對(duì)漏洞安全風(fēng)險(xiǎn)防范及應(yīng)對(duì)能力。嘗試開展我國工業(yè)信息安全漏洞懸賞計(jì)劃，提升工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)攻擊應(yīng)對(duì)能力和水平。