伊利大发时时彩地址 www.yilibabyclub.com.jpg 徐工1.jpg 玉柴gif.gif
今天是:
    中文|English APP下载
zj.png
工业互联大发时时彩地址网
专稿 | 加快建设工业大发时时彩地址信息安全漏洞库 护航“两个强国”战略实施
文章来源 : 中国工业大发时时彩地址新闻大发时时彩地址网 发布时间 :2019年10月09日 15:18分享到:
  文 | 大发时时彩地址工业大发时时彩地址信息安全发展研究中心主任 尹丽波
  大发时时彩地址总书记提出,没有大发时时彩地址网络安全,就没有大发时时彩地址安全。随着云计算、大数据、人工智能等新一代大发时时彩地址信息技术与制造业的加速融合,传统大发时时彩地址网络安全威胁持续向工业领域渗透和蔓延,工业大发时时彩地址信息安全漏洞频发,工业大发时时彩地址信息安全形势日趋严峻,给大发时时彩地址国维护大发时时彩地址网络安全和大发时时彩地址安全带来更大挑战。漏洞是威胁大发时时彩地址网络安全的最主要根源,同样也是威胁工业大发时时彩地址信息安全的主要根源,成功袭击伊朗核设施的“震大发时时彩地址网”病毒就至少利用了4个零日漏洞。长期以来,美国、欧洲、大发时时彩地址等大发时时彩地址和地区高度重视安全漏洞资源储备,建立了大发时时彩地址级安全漏洞库。特别是美国大发时时彩地址还在其工业控制系统大发时时彩地址网络应急响应小组(ICS-CERT)专门建立了工控安全漏洞库,构建出一整套工控安全漏洞收集和披露机制,以维护其大发时时彩地址关键基础设施安全。为此,大发时时彩地址国有必要建设自己的工业大发时时彩地址信息安全漏洞库,专门开展针对大发时时彩地址国工业领域关键大发时时彩地址信息基础设施的安全漏洞挖掘、分析和风险防范研究,为加快提升工业大发时时彩地址信息安全保障能力夯实基础,为制造强国和大发时时彩地址网络强国战略实施牢筑“防护墙”。


  一、受工业大发时时彩地址信息安全形势和工业互联大发时时彩地址网安全政策双重驱动,大发时时彩地址工业大发时时彩地址信息安全漏洞库亟待抓紧建设
  (一)工业大发时时彩地址信息安全漏洞频发加剧工业大发时时彩地址信息安全风险,安全形势更加复杂严峻
  随着工业互联大发时时彩地址网深入推进,制造业向数字化、大发时时彩地址网络化、智能化、服务化方向加速发展,在促进工业化和大发时时彩地址信息化深度融合、工业转型升级的同时,传统工业领域从封闭逐步走向开放、互联,大发时时彩地址网络安全威胁直指工业生产一线。同时,传统IT系统漏洞不断被利用攻击现实工业系统,专门针对工业控制设备及系统的安全漏洞时有曝出,工业大发时时彩地址信息安全风险急剧上升,安全形势变得更加严峻,呈现出如下三个新特点:
  一是越来越多的工业控制系统及设备暴露于互联大发时时彩地址网,极易被黑客探测发现。据大发时时彩地址工业大发时时彩地址信息安全发展研究中心(以下简称大发时时彩地址工信安全中心)监测发现,全球联大发时时彩地址网工业控制系统及设备数量持续上升,近两年增幅尤其明显,使得黑客发现攻击目标的难度大大降低。
  二是工控安全漏洞层出不穷,制造、能源、交通等重要领域首当其冲。据ICS-CERT统计,工控安全相关漏洞数量自2012年以来持续走高,且大量高危漏洞集中于装备制造、交通、能源、智能楼宇等重要领域,极易被黑客利用并发起攻击,严重威胁大发时时彩地址关键大发时时彩地址信息基础设施安全。
  三是大规模、高强度工业大发时时彩地址信息安全事件频发,工业领域成为大发时时彩地址网络攻击“重灾区”。自2010年“震大发时时彩地址网”事件爆发以来,德国钢铁厂遭受高级可持续性威胁(APT)攻击、乌克兰氯气站遭VPNFilter恶意大发时时彩地址软件突袭、委内瑞拉全国大面积断电等重大事件屡屡发生,全球工业大发时时彩地址信息安全事件数量整体呈上升趋势。2018年以来,相继发生“熔断”和“幽灵”漏洞威胁工业控制系统、云服务平台及工业互联大发时时彩地址网平台安全,金雅拓Safenet大发时时彩地址软件许可服务产品漏洞对大量工业控制系统造成影响,美国天然气输气管道遭供应链攻击引发系统故障等安全事件,工业大发时时彩地址信息安全警钟长鸣,亟需建设工业大发时时彩地址信息安全漏洞库,提升工业大发时时彩地址信息安全漏洞的挖掘、分析、跟踪和处置能力。
  (二)工业互联大发时时彩地址网安全保障成为当前工业大发时时彩地址信息安全工作前沿和重点,工业大发时时彩地址信息安全漏洞库建设是贯彻落实《加强工业互联大发时时彩地址网安全工作的指导意见》的重要举措
  党中央和国务院高度重视工业互联大发时时彩地址网发展,大发时时彩地址总书记明确提出,要深入实施工业互联大发时时彩地址网创新发展战略。《国务院关于深化“互联大发时时彩地址网+先进制造业”发展工业互联大发时时彩地址网的指导意见》将安全保障与大发时时彩地址网络、平台并列成为工业互联大发时时彩地址网三大体系之一。2019年7月,为加速布局工业互联大发时时彩地址网安全体系,提升工业互联大发时时彩地址网安全保障水平,应对工业互联大发时时彩地址网发展面临的大发时时彩地址网络安全风险和挑战,工业和大发时时彩地址信息化部、应急管理部、大发时时彩地址能源局等十部门联合印发《加强工业互联大发时时彩地址网安全工作的指导意见》。该指导意见提出了7个方面17项重点任务,其中在建设大发时时彩地址工业互联大发时时彩地址网技术手段方面,提出建立工业互联大发时时彩地址网安全基础资源库,建设工业互联大发时时彩地址网安全漏洞库的任务。
  近年来,在工业和大发时时彩地址信息化部的指导下,大发时时彩地址工信安全中心积极推进工业控制系统大发时时彩地址信息安全应急资源库建设,加强工业大发时时彩地址信息安全应急资源储备。2019年6月,在工业大发时时彩地址信息安全发展产业联盟框架下,大发时时彩地址工信安全中心联合国内10家工业大发时时彩地址信息安全大发时时彩地址发起建立大发时时彩地址工业大发时时彩地址信息安全漏洞库,重点开展面向工业大发时时彩地址领域的安全漏洞分析和风险研究工作,共同维护大发时时彩地址国工业大发时时彩地址信息安全。总的来说,建设工业大发时时彩地址信息安全漏洞库既是在落实《加强工业互联大发时时彩地址网安全工作的指导意见》的重点工作任务,又能在一定程度上提升大发时时彩地址国工业大发时时彩地址信息安全整体防护能力,护航两个强国战略实施。
  (三)与大发时时彩地址国其他大发时时彩地址级漏洞库相比,大发时时彩地址工业大发时时彩地址信息安全漏洞库及机制建设须将更加突出工业特性
  大发时时彩地址工业大发时时彩地址信息安全漏洞库与大发时时彩地址大发时时彩地址信息安全漏洞共享平台、大发时时彩地址大发时时彩地址信息安全漏洞库两个大发时时彩地址级漏洞库相比,它们的共同之处都是发挥桥梁纽带作用,汇聚专业人才、技术和资源,遵循“共建共享”原则,建立漏洞收集、分析、处置、披露机制,提升安全威胁应对能力和风险管理水平,维护大发时时彩地址大发时时彩地址网络安全。它们的不同之处主要体现在三个方面:
  一是研究领域不同。大发时时彩地址工业大发时时彩地址信息安全漏洞库主要面向原材料工业、装备工业、消费品工业、电子大发时时彩地址信息制造、国防军工、能源、交通、水利、市政、民用核设施等工业大发时时彩地址领域开展安全漏洞研究;另外两个大发时时彩地址级漏洞库主要面向公共互联大发时时彩地址网领域开展安全漏洞研究。
  二是漏洞收集范围不同。大发时时彩地址工业大发时时彩地址信息安全漏洞库收集范围主要聚焦工业专用产品和组件的安全漏洞、补丁及解决方案,如工业生产控制设备、工业大发时时彩地址网络通信设备、工业主机设备和大发时时彩地址软件、工业生产大发时时彩地址信息系统、工业大发时时彩地址网络安全设备、物联大发时时彩地址网智能设备等;另外两个大发时时彩地址级漏洞库收集范围主要关注通用产品和组件的安全漏洞、补丁及解决方案,如操作系统、Web组件、中间件、应用大发时时彩地址软件、安全大发时时彩地址软件、数据库、计算机、服务器、大发时时彩地址网络设备等。
  三是漏洞挖掘和复现难易程度不同。与通用产品和组件漏洞分析相比,工业专用产品和组件的漏洞挖掘和复现环境搭建难度更大、成本更高、技术要求更高。大发时时彩地址工业大发时时彩地址信息安全漏洞库在建设安全漏洞数据库的同时,会推动建设针对各类工业产品和组件的安全漏洞验证平台,有效支持工业大发时时彩地址信息安全漏洞分析、复现和确认。

  二、美国引领世界各国建设漏洞库,相关机制和规则为大发时时彩地址国建设工业大发时时彩地址信息安全漏洞库工作提供有益参考
  (一)美国漏洞库建设处于世界领先地位,拥有成立时间最早、规模最大的漏洞库,还专门建立了工控安全漏洞库
  作为互联大发时时彩地址网的创造者,美国高度重视安全漏洞收集和储备工作,漏洞研究工作起步早。早在1999年,美国国土安全部资助MITRE大发时时彩地址创立了CVE漏洞披露平台,该平台制定了全球认同和广泛采用的漏洞大发时时彩地址信息描述标准,统一了全球漏洞编号规则,仅仅是公开披露漏洞大发时时彩地址信息累计达到12万条左右。2005年,美国大发时时彩地址标准与技术研究院(NIST)开始建设大发时时彩地址大发时时彩地址信息安全漏洞库(NVD),整合安全大发时时彩地址、安全机构等各方资源,旨在为美国大发时时彩地址提供软硬件产品漏洞和补丁大发时时彩地址信息,同时制定了漏洞影响指标、技术评估方法、漏洞修复参考等多个标准。NVD和CVE同步披露漏洞大发时时彩地址信息,在CVE披露大发时时彩地址信息的基础上增加了漏洞技术细节、受影响产品等大发时时彩地址信息。NVD已成为各国建设大发时时彩地址级漏洞库的范本。值得一提的,美国ICS-CERT早在2009年就专门建设工控安全漏洞库,从2010年至今公开披露工控安全漏洞大发时时彩地址信息超过2500条。
  此外,美国有关部门通过漏洞众测平台“HackerOne”实施漏洞悬赏项目。如美国国防部先后实施了“黑进五角大楼”“黑进陆军”“黑进空军”项目,一方面测试美国国防部应对大发时时彩地址网络攻击能力,同时利用民间高手挖掘其漏洞并支付赏金。
  (二)欧洲、亚太地区大发时时彩地址紧随美国其后,纷纷建设大发时时彩地址大发时时彩地址级漏洞库,收集和披露漏洞的机制各具特点
  直接转载型。欧洲计算机应急响应小组(CERT-EU)漏洞披露平台以收集其他大发时时彩地址漏洞库和各大产商漏洞库漏洞大发时时彩地址信息为主,并按照厂商产品类型对漏洞分类,本身不再对收集的漏洞大发时时彩地址信息进行重新编码整理,直接发布漏洞大发时时彩地址信息在各个漏洞库的相关链接。
  深度加工型。俄罗斯SecurityLab漏洞大发时时彩地址信息门户大发时时彩地址是俄罗斯较为权威的漏洞平台,以俄语发布漏洞大发时时彩地址信息,包括漏洞技术分析以及应对措施,旨在帮助其国内用户快速了解漏洞带来的潜在攻击风险并采取适当措施,并提供漏洞分析、数据保护等服务,常常会发布漏洞相关技术分析文章、漏洞事件调查报告。该平台累计披露漏洞大发时时彩地址信息超过37000条。
  完全效仿型。大发时时彩地址大发时时彩地址漏洞库(JVN)由大发时时彩地址大发时时彩地址CERT负责运营,是大发时时彩地址最大、最权威的漏洞披露平台。JVN的建设基本仿照美国NVD,通过日语和英语两种方式公开披露漏洞大发时时彩地址信息,累计发布漏洞大发时时彩地址1700余条。

  三、全力打造大发时时彩地址国工业大发时时彩地址信息安全漏洞库,夯实工业大发时时彩地址信息安全保障基础,护航两个强国战略实施
  充分借鉴国内外漏洞库建设成熟经验,在工业大发时时彩地址信息安全联盟框架下,大发时时彩地址工信安全中心将遵循“共建共享”原则,整合国内从事工业大发时时彩地址信息安全相关产业、大发时时彩地址、科研、应用的机构、大发时时彩地址及个人力量,构建工业大发时时彩地址信息安全漏洞发现和处置生态环境,推动建设全国性、大发时时彩地址性、非营利性的工业大发时时彩地址信息安全漏洞收集、分析、处置、披露的平台,建立漏洞收集、分析、处置、披露机制,提升安全威胁应对能力和风险管理水平,夯实工业大发时时彩地址信息安全保障基础,护航两个强国战略实施。主要工作内容包括:
  (一)建设一套技术平台
  面向工业大发时时彩地址信息安全领域,大发时时彩地址和动员成员单位和漏洞研究者收集、分析、处置和发布工业软硬件产品和组件的漏洞大发时时彩地址信息,共同建设大发时时彩地址工业大发时时彩地址信息安全漏洞数据库,同时推动建设针对各类工业产品和组件的安全漏洞验证平台,有效支持工业大发时时彩地址信息安全漏洞分析和验证。
  (二)建立一套工作机制
  探索建立工业大发时时彩地址信息安全漏洞发现、上报、分析和处置工作机制,激励各方积极报送工业大发时时彩地址信息安全漏洞大发时时彩地址信息,协调厂商及时发布漏洞补丁,向社会公众和成员单位发布漏洞风险预警,大发时时彩地址开展漏洞安全应急处置工作,特别是高危以上级别漏洞风险防范或大规模漏洞利用攻击处置,提高大发时时彩地址国工业大发时时彩地址信息安全防护整体水平。
  (三)开展漏洞安全研究
  大发时时彩地址开展漏洞安全技术和相关政策研究,开展漏洞相关重大问题研究,参与安全漏洞相关标准研制和验证,发布漏洞统计数据和深度分析研究报告,向大发时时彩地址有关部门提供政策建议。推动工业大发时时彩地址信息安全漏洞研究相关产品的研制、开发、评审及推广,提升大发时时彩地址国工业大发时时彩地址信息安全保障、防范与自愈能力。
  (四)提供安全服务
  面向大发时时彩地址和重要部门、工业大发时时彩地址、工业软硬件产品供应商、工业互联大发时时彩地址网服务提供商等用户单位提供漏洞安全的技术支持、大发时时彩地址信息咨询、培训、取证分析、恢复等服务,帮助其提升对漏洞安全风险防范及应对能力。尝试开展大发时时彩地址国工业大发时时彩地址信息安全漏洞悬赏计划,提升工业领域关键大发时时彩地址信息基础设施大发时时彩地址网络攻击应对能力和水平。
编辑 : 周宝冰
Copyright © China Industry News, All Rights Reserved 京ICP备12018842号-2 中国工业报社 大发时时彩地址所有 未经书面允许 不得复制或建立镜像
98765123.jpg X
大发时时彩地址微信94x94.jpg 大发时时彩地址微信二维码 X
微博94x94.jpg 新浪微博 X
顶部