国产一二三四-午夜av影视-亚洲Aⅴ最新在网址-视频一区二区三区你懂的-色婷色综合-日本一品道在线

國家工業信息安全漏洞庫亟待抓緊建設

??隨著新一代信息技術與制造業的加速融合，傳統網絡安全威脅持續向工業領域滲透和蔓延，安全漏洞頻發，工業信息安全形勢日益嚴峻。

??我國有必要建設自己的工業信息安全漏洞庫，專門開展安全漏洞挖掘、分析和風險防范研究，提升工業信息安全保障能力，為制造強國和網絡強國戰略實施牢筑“防護墻”。

??隨著工業互聯網的深入推進，傳統工業領域從封閉逐步走向開放、互聯，網絡安全威脅直指工業生產一線。據國家工業信息安全發展研究中心（以下簡稱國家工信安全中心）監測發現，全球聯網工業控制系統及設備數量持續上升，近兩年增幅尤其明顯，使得黑客發現攻擊目標的難度大大降低。同時，諸如“熔斷”“幽靈”等傳統IT系統漏洞不斷被利用攻擊現實工業系統，專門針對工業控制設備及系統的安全漏洞時有曝出。據美ICS-CERT（美國國土安全部工業控制系統網絡應急響應小組）統計，工控安全漏洞數量自2012年以來持續走高，且大量高危漏洞集中于裝備制造、交通、能源、智能樓宇等重要領域。漏洞頻發加劇安全風險，工業信息安全警鐘長鳴。

??2019年7月，為加速布局工業互聯網安全體系，提升工業互聯網安全保障水平，工信部、應急管理部、國家能源局等十部門聯合印發《加強工業互聯網安全工作的指導意見》，提出了7大方面17項重點任務。其中，在國家工業互聯網技術手段建設方面，提出要建立包括安全漏洞庫在內工業互聯網安全基礎資源庫的任務。近年來，在工信部的指導下，國家工信安全中心建設了工業控制系統信息安全應急資源庫，開展漏洞、協議指紋、資產模型等應急資源儲備，并于今年6月專門發起建立國家工業信息安全漏洞庫，組織開展面向工業行業領域的安全漏洞分析和處置研究工作，為落實該指導意見的重點任務奠定了良好的工作基礎。

??國家工業信息安全漏洞庫及機制建設將更加突出工業特性，聚焦工業專用產品和組件的安全漏洞、補丁及解決方案研究和收集，研發針對各類工業產品和組件的漏洞挖掘和驗證平臺，開展面向原材料工業、裝備工業、消費品工業、電子信息制造、國防軍工、能源、交通、水利、市政、民用核設施等工業行業領域漏洞處置工作，提升我國工業行業漏洞風險管理和威脅應對整體水平。

??世界各國漏洞庫建設為我國提供有益參考

??美國領跑世界，擁有成立時間最早、規模******的漏洞庫以及工控安全漏洞庫。早在1999年，美國土安全部資助MITRE公司創立了CVE漏洞披露平臺，制定了全球認同和采用的漏洞信息描述標準，公開披露漏洞信息已達到12萬條。2005年，美國國家標準與技術研究院（NIST）建設了國家信息安全漏洞庫（NVD），和CVE同步披露漏洞信息，并增加了漏洞技術細節、受影響產品等信息，它已成為各國建設漏洞庫的范本。值得一提的，美ICS-CERT于2009年專門建設工控安全漏洞庫，至今披露工控安全漏洞信息超過2500條。此外，美國還實施漏洞懸賞項目，向民間高手支付賞金挖掘漏洞。

??歐洲、亞太地區國家緊隨美國，建設各具特點的本國國家漏洞庫。一是直接轉載型。歐洲計算機應急響應小組的漏洞披露平臺以收集和發布其他國家漏洞庫和各大廠商漏洞庫漏洞信息為主。二是深度加工型。Security－Lab漏洞信息門戶網站是俄羅斯較為權威的漏洞平臺，以俄語發布漏洞信息及分析報告，累計披露漏洞信息超過37000條。三是完全效仿型。日本國家漏洞庫（JVN）基本仿照美國NVD，通過日語和英語兩種語言公開披露漏洞信息，累計發布漏洞公告1700余條。

??共建共享構建工業信息安全生態環境

??充分借鑒國內外漏洞庫建設成熟經驗，在工業信息安全聯盟框架下，國家工信安全中心將遵循“共建共享”原則，整合國內從事工業信息安全相關產業、教育、科研、應用的機構、企業及個人力量，構建工業信息安全漏洞發現和處置生態環境，推動建設全國性、行業性、非營利性的工業信息安全漏洞收集、分析、處置、披露的平臺，建立漏洞收集、分析、處置、披露機制，提升安全威脅應對能力和風險管理水平，夯實工業信息安全保障基礎，護航兩個強國戰略實施。主要工作內容包括：

??建設一套技術平臺。面向工業信息安全領域，組織和動員成員單位和漏洞研究者收集、分析、處置和發布工業軟硬件產品和組件的漏洞信息，共同建設國家工業信息安全漏洞數據庫，同時推動建設針對各類工業產品和組件的安全漏洞挖掘和驗證平臺，有效支持工業信息安全漏洞分析和驗證。

??建立一套工作機制。探索建立工業信息安全漏洞發現、上報、分析和處置工作機制，激勵各方積極報送工業信息安全漏洞信息，協調廠商及時發布漏洞補丁，向社會公眾和成員單位發布漏洞風險預警，組織開展漏洞安全應急處置工作，特別是高危以上級別漏洞風險防范或大規模漏洞利用攻擊處置，提高我國工業信息安全防護整體水平。

??開展漏洞安全研究。組織開展漏洞安全技術和相關政策研究，開展漏洞相關重大問題研究，參與安全漏洞相關標準研制和驗證，發布漏洞統計數據和深度分析研究報告，向政府有關部門提供政策建議。推動工業信息安全漏洞研究相關產品的研制、開發、評審及推廣，提升我國工業信息安全保障、防范與自愈能力。

??提供安全服務。面向政府和重要部門、工業企業、工業軟硬件產品供應商、工業互聯網服務提供商等用戶單位提供漏洞安全的技術支持、信息咨詢、培訓、取證分析、恢復等服務，幫助其提升對漏洞安全風險防范及應對能力。嘗試開展我國工業信息安全漏洞懸賞計劃，提升工業領域關鍵信息基礎設施網絡攻擊應對能力和水平。