《中国信息安全》| 美国工控安全漏洞管理政策研究与思考

精华观点软件安全开发·漏洞治理

在新形势下，应进一步推动漏洞管理体系的完善和落地，调动多方力量推动漏洞协同共治，持续提升重点领域和重要供应链的风险防范能力，为推进新型工业化保驾护航。

以下为正文

当前，我国工业领域数字化、网络化、智能化加速融合发展，取得了显著成效，但与此同时，网络风险也不断向工业领域渗透蔓延。近年来，工控安全漏洞数量快速增长，工业企业因漏洞利用而遭受攻击的风险不断攀升，新型攻击威胁如勒索软件等持续加剧。因此，强化工控安全漏洞管理，提升工业领域网络安全防护水平已成为各国竞相关注的重要议题。

一、工控安全漏洞现状

工业控制系统广泛应用于我国关键制造、能源电力、国防科工等重要行业领域的生产、管理等环节，相关漏洞一旦遭利用，可能对网络安全、数据安全、生产安全乃至国家安全造成巨大影响。近年来，随着新一代信息技术的不断发展，工业控制系统内部风险和外部威胁呈不断上升态势，亟需引起主管部门和相关企业的高度重视。

（一）工业控制产品隐患突出，安全风险居高不下

漏洞数量方面，据罗克韦尔工控安全公司（Verve Industrial）《2023 年 ICS 漏洞咨询报告》显示，近年来，美国网络安全和基础设施安全局（CISA）发布的工控安全漏洞数量持续增长，从 2020 至 2023 年，CISA 共发布工控安全漏洞数量超过 4800 个，其中 2023 年漏洞数量涨幅超过 39%，平均漏洞威胁评分增长 0.4%；可利用性方面，据安全公司德格拉斯（Dragos）《2023 年 OT 网络安全回顾》报告显示，约 23% 工控安全漏洞的漏洞验证代码（PoC）在互联网上公开，易被攻击者利用实施网络攻击；漏洞修复方面，虽然大部分工控安全漏洞在公开时已附有补丁或缓解措施，但仍有部分工业企业未及时处置，甚至在应用产品、部署网络时进一步引入弱口令、权限配置不当等风险。据安全公司腾耐保（Tenable）2023 年发布的《OT 和 ICS 环境中的网络威胁态势》报告显示，70% 的受访工业企业未定期开展漏洞自查，更有 10% 的企业从未开展漏洞评估，存在极大安全隐患。

（二）工控安全攻击事件频发，漏洞成为重要入口

2022 年 7 月，一款名为 Sality 的恶意软件曝光，该软件利用可编程逻辑控制器（PLC）漏洞，破解了欧姆龙、西门子、ABB 等多个知名品牌 PLC 口令，并将其控制为僵尸网络节点，对设备所在企业实施勒索。2023 年 7 月，日本公司康泰克（Contec）制造的太阳能监控产品 SolarView Compact 遭攻击者利用，全球数百家能源组织机构的约 3 万个发电站受到影响。当前，随着国际局势的风云变幻，地缘冲突引起的针对关键基础设施的网络攻击也不断增多。2023 年 12 月，攻击者 CyberAv3ngers 利用 Unitronics 系列 PLC 漏洞，对美国、以色列等多个水务系统发起攻击，导致水泵关闭、水位监测器失灵等严重后果。2024 年 4 月，乌克兰黑客组织黑杰克（Blackjack）使用工业控制系统恶意软件“Fuxnet”攻击俄罗斯机场、地铁系统和天然气管道等基础设施，破坏上万个传感器，产生恶劣影响。

二、美国工控安全漏洞管理政策机制分析

为降低关键基础设施工业控制系统网络安全漏洞风险，美国较早开展工控安全漏洞管理，并从平台标准、政策机制、技术创新等方面不断强化漏洞发现、收集、分析、共享、通报、修复等措施，形成较为成熟的工控安全漏洞管理体系，为各国开展工控安全漏洞管理提供经验借鉴。

（一）建设统一漏洞平台，促进漏洞交流共享

一是整合漏洞资源，建立国家级漏洞平台。1999 年，美国国土安全部（DHS）资助非营利组织麦特（MITRE）公司建立通用漏洞披露（CVE）平台，为各类信息安全漏洞确定统一标识（CVE-ID）和标准化的描述，成为漏洞沟通的“通用语言”。为进一步扩大在漏洞管理领域的影响力和掌控力，2005 年，DHS 委托美国国家标准与技术研究院（NIST）在 CVE 基础上建立了国家漏洞库（NVD），进一步丰富漏洞危害评分、修复信息等内容，目前已公开漏洞超过 20 万条。除了通用漏洞库，美国前工业控制系统应急响应小组（ICS-CERT）还建立了工业控制系统安全漏洞库，提供针对制造、能源、交通等领域关键信息基础设施的工控安全漏洞分析与预警服务。

二是制定漏洞标准，建立漏洞交流统一语言。NIST 联合事件响应与安全团队论坛（FIRST）、MITRE 等制定了一套漏洞管理标准体系——安全内容自动化协议（SCAP），包括通用漏洞评分系统（CVSS）、通用配置枚举（CCE）、通用缺陷枚举（CWE）等多项标准，并基于该体系开展漏洞自动化检测等工作。2019 年，CISA与卡内基梅隆大学软件工程研究所（SEI）合作，创建利益相关者特定漏洞分类（SSVC）系统，从漏洞利用状态、受影响产品覆盖情况、公共利益影响等五方面评估漏洞风险，以解决 CVSS 评分体系仅考虑漏洞自身技术影响的问题。2024 年 5 月，CISA 发布“Vulnrichment”漏洞信息富化项目，为原本使用 SSVC 描述的漏洞增加 CVE 评价信息，吸收两种描述体系优势，进一步提升漏洞管理效率。

（二）完善漏洞披露政策，促进漏洞风险发现

一是畅通漏洞报告渠道，促进漏洞协调披露。美国管理和预算办公室（OMB）2020 年发布的《提升漏洞发现、管理和修复》备忘录（M-20-32），明确各联邦部门需建立漏洞披露政策（VDP），并由 CISA 负责统筹协调。对此，CISA 发布约束性操作指令《制定和公开漏洞披露政策》（BOD20-01），要求各联邦机构必须在六个月内发布漏洞披露政策，内容涵盖漏洞披露范围、允许的测试形态、漏洞报告渠道、设定回应时间等。2021 年，CISA 建立 VDP 平台，鼓励“白帽子”对联邦政府网络和关键基础设施开展网络安全漏洞挖掘和上报。截至 2024 年 3 月，VDP 平台已收到 5 万余份漏洞报告。

二是举办众测竞赛活动，鼓励漏洞挖掘发现。众测方面，2018 年，美国参议院通过《国土安全部漏洞法案》，要求 DHS 设立“漏洞赏金试点计划”，通过漏洞众测形式和“白帽子”力量，识别 DHS 网络中的潜在漏洞。2021 年，美国国防部网络犯罪中心（DC3）与国防反情报和安全局合作创建了为期 12 个月的“国防工业基础-漏洞披露计划”（DIB-VDP）试点项目，发现并修复了 400 多个活跃漏洞，消减了国防工业基础网络和数据安全威胁。竞赛方面，2023 年，美国国防高级研究计划局（DARPA）牵头发起为期两年、赏金 2000 万美元的“人工智能网络挑战赛”（AIxCC），汇聚业界力量开发新一代人工智能网络安全解决方案，识别和修复关键基础设施领域重要软件的漏洞。

（三）缩紧通报处置要求，加快漏洞治理进程

一是聚焦重点领域，强化漏洞通报处置。根据 2021 年修订的《国土安全法》，CISA 在发现联网的关键基础设施，及操作技术（OT）系统、ICS、分布式控制系统（DCS）、PLC 等设备或系统存在漏洞时，可与司法部（DOJ）协调后，向相关系统设备的服务提供商发送行政传票，以获取系统设备运营者的联系方式，并进一步通知其有关安全漏洞与缓解措施。

二是明确关键漏洞，提升应急响应效率。根据 2017 年《加强联邦网络和关键基础设施的网络安全》行政令，CISA 于 2020 年发布《联网系统漏洞修复要求》（BOD 19-02），规定美国联邦民事行政机构须在 15 天内修补发现的“严重”等级漏洞，30 天内修补“高危”等级漏洞。2021 年，CISA 发布《降低已知被利用漏洞的重大风险》（BOD 22-01），强制要求联邦机构在规定时限内修复已知被利用的关键漏洞。《2024-2026 财年网络安全战略计划》提出进一步缩短关键基础设施和政府网络已知漏洞的修复时间。

（四）支持漏洞技术研发，提升安全服务能力

一是利用新技术开发工具，降低漏洞利用风险。DARPA 发起硬件和固件系统安全集成（SSITH）计划，以开发安全硬件架构与设计工具，实现从源头上发现硬件漏洞。2021 年 9 月，DARPA 启动并长期推进“强化开发工具链防御紧急执行引擎”（HARDEN）项目，探索使用形式验证、人工智能等新方法开发安全软件工具，以实现预测、隔离、缓解软件突发行为，限制攻击者利用漏洞的能力。

二是持续推进实验室建设，提升基础研究能力。CISA 负责运营位于爱达荷国家实验室（INL）的工业控制系统高级分析实验室，实验室对最新漏洞和新型恶意软件进行分析研究，持续开展 ICS 产品漏洞和补丁验证工作。2023 年，美国能源部拨款 3900 万美元，支持 9 个国家实验室研究促进分布式能源（DER）系统网络安全，其中包括开发基于仿真技术的 DER 系统分析框架，以更好地识别并缓解能源系统设计中的网络漏洞。

三是研发产品赋能产业，强化安全防护效能。已知漏洞检测方面，CISA 于 2022 年发布涵盖近百项免费安全工具和服务产品的清单，其中涉及数 10 项漏洞检测工具。此外，CISA 负责集成工具提供威胁狩猎服务，包括漏洞扫描、远程渗透测试、网页应用扫描等，可自动扫描联网系统，识别和评估已知漏洞。2023 年以来，CISA 已陆续面向水利、医疗保健等行业量身定制涵盖漏洞扫描的免费工具包。未知漏洞识别方面，美国于 2021 年明确要求联邦政府机构部署端点检测和响应（EDR）系统，实现及时感知系统中特定用户的异常行为，提高针对未知漏洞和事件的监测能力，构建主动防御体系。

（五）加强资源情报管控，巩固技术垄断地位

一是加强零日漏洞管控。2008 年，美国首次提出建立“漏洞公平裁决程序”（VEP），以明确判定特定零日漏洞是否披露的多部门协调流程。此后美国陆续发布相关文件，强化零日漏洞管控。2017 年，为应对美国政府藏有大量未公开漏洞传言，提高 VEP 章程的权威性和透明性，美国公开发布新版《漏洞公平裁决政策和程序》，详细规定漏洞裁决程序，首次公开裁决考量因素，即国家防御、情报执法、商业风险、国际关系等，为谋求合法获取零日漏洞、便利执法与情报活动奠定基础。2018 年，美国众议院通过《网络漏洞披露报告法案》，要求 DHS 对漏洞进行国家安全评估，再决定漏洞披露或利用方式。

二是限制漏洞产品出口。2013 年，美国在其主导的《瓦森纳协定》中，将漏洞纳入网络武器出口管控清单。随后，为落实该协定，美国商务部工业与安全局（BIS）将漏洞及漏洞检测产品纳入《出口管制条例》管控范围。2021 年 10 月，美国通过新规《信息安全控制：网络安全项目》，进一步禁止出口攻击性网络工具。2022 年，BIS 通过修订《出口管制条例》，发布“网络安全物项”出口限制策略，以“国家安全”和“反恐”为出发点，加强对漏洞披露的出口限制。

三、推进我国工控安全漏洞治理的思考

当前，我国已制定发布《网络安全法》《网络产品安全漏洞管理规定》（以下简称《规定》）《工业控制系统网络安全防护指南》等多项法律政策文件，建成工业和信息化部网络安全威胁和漏洞信息共享平台——工业控制产品安全漏洞专业库，即国家工业信息安全漏洞库（CICSVD），初步建立了覆盖漏洞接收、报送、收集、发布等环节的漏洞管理体系，相关工作取得积极成效。在新形势下，应进一步推动漏洞管理体系的完善和落地，调动多方力量推动漏洞协同共治，持续提升重点领域和重要供应链的风险防范能力，为推进新型工业化保驾护航。

（一）建立漏洞治理体系，推动法规政策落地见效

为加强漏洞治理，美国除了制定《网络漏洞披露报告法案》《国土安全部漏洞法案》《改善国家网络安全行政令》等多个顶层文件外，还通过发布备忘录、操作指令，开展试点、比赛、技术研发等多种形式推动政策落实。我国开展工控安全漏洞治理，不仅可以借鉴美国的相关经验，更要因地制宜，探索形成符合中国特色的漏洞治理体系。在国家层面，应统筹推动工控安全漏洞治理工作，细化和完善相关政策标准，进一步增强管理工作的规范性和可操作性，可以在重点省市、重点企业先行开展治理试点，推动形成漏洞管理工作闭环，形成一批优秀案例在全国范围内推广。在地方层面，应积极打通漏洞管理落地实施的“最后一公里”，结合本地发展实际，进一步细化漏洞自查、上报、修复、处置、检测等相关要求。通过培训、宣贯等方式，持续提升企业对漏洞风险的防范意识。

（二）完善漏洞通报机制，实现全流程管理闭环

为提升漏洞治理效能，开展常态化漏洞通报，并对部分重要工业控制系统严格规定了修复时限，可在一定程度上解决重要系统设备“带病运行”的问题。我国应健全和完善现有漏洞通报机制，进一步细化通报接收渠道、响应流程等规定，并增加对重要供应链企业和重要工业控制系统落实漏洞修复措施和时限的要求。通过建立“国家—地方—企业”的快速漏洞通报体系，提高工作效率，实现工业控制产品供给侧、需求侧漏洞管理闭环。

（三）组织漏洞众测活动，合力挖掘修复潜在隐患

漏洞众测作为一种多方参与的漏洞检测活动，已成为各国政府及关键信息基础设施运营者提升自身网络安全水平的有效手段。CICSVD 等专业漏洞管理平台应积极发挥产业引领作用，聚焦能源、制造、石化等行业典型场景，定期开展工业控制产品安全漏洞众测活动，汇集一批安全企业、高校、研究机构等高水平安全技术人员，共同挖掘修复潜在漏洞隐患，提升产品漏洞发现和修复效率。同时，鼓励工业控制产品的龙头企业发挥引领作用，积极参与漏洞众测活动，有效提升产品的安全性和品牌竞争力。

（四）推动技术创新攻关，赋能企业安全能力提升

当前，大数据、人工智能等新一代信息技术快速演进，对漏洞技术的发展具有巨大的推动作用。应把握发展机遇，加快科技突破。一方面，以政府资金为引导，带动市场投入，支持工控安全漏洞特征智能化提取、智能模糊测试、漏洞验证环境自动化搭建等创新技术攻关，提高在野漏洞精准识别、未知漏洞高效挖掘和漏洞复现验证等技术水平。另一方面，应积极进行产业赋能，推动漏洞数据的合法合规使用，支撑服务行业企业提升工控安全漏洞管理水平。

（本文刊登于《中国信息安全》杂志2024年第5期）