劉傳水，于振寧，劉晶晶，孫志剛，魏 婷，胡 濤

（渤海石油裝備華油鋼管有限公司，河北 青縣 062658）

0前言

隨著大數(shù)據(jù)、云計(jì)算、人工智能為代表的新一代信息技術(shù)蓬勃發(fā)展，現(xiàn)有的螺旋焊管生產(chǎn)模式正在加速向智能制造發(fā)展。智能制造是通過(guò)新一代信息技術(shù)、自動(dòng)化技術(shù)、工業(yè)軟件及現(xiàn)代管理思想在制造企業(yè)全領(lǐng)域、全流程的系統(tǒng)應(yīng)用而產(chǎn)生的一種全新的生產(chǎn)方式，它要求在生產(chǎn)者與客戶、生產(chǎn)者與供應(yīng)商之間，以及企業(yè)內(nèi)部設(shè)備層、控制層、管理層之間進(jìn)行海量實(shí)時(shí)跨地域跨網(wǎng)絡(luò)的數(shù)據(jù)交換與處理。

與此同時(shí)，網(wǎng)絡(luò)空間已經(jīng)成為繼“陸、海、空、天”之后的第五大戰(zhàn)略空間，是影響國(guó)家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)發(fā)展和文化傳播的關(guān)鍵因素。 “沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”，而網(wǎng)絡(luò)安全本質(zhì)是人與人之間的對(duì)抗，以近年持續(xù)開(kāi)展的實(shí)網(wǎng)演習(xí)為代表，網(wǎng)絡(luò)空間攻防對(duì)抗態(tài)勢(shì)不斷升級(jí)，新時(shí)代的網(wǎng)絡(luò)安全已經(jīng)由過(guò)去的合規(guī)驅(qū)動(dòng)逐步走向風(fēng)險(xiǎn)驅(qū)動(dòng)和對(duì)抗驅(qū)動(dòng)，傳統(tǒng)的安全理念和防御手段越來(lái)越難以滿足智能制造發(fā)展需要。

信息安全管理人員要適應(yīng)對(duì)抗新常態(tài)，必須以攻擊者的角度自下而上重新看待自身所管理的網(wǎng)絡(luò)世界，在這個(gè)角度上所見(jiàn)到的不再是清晰有序的ERP、MES等信息系統(tǒng)或其集成，而首先是可到達(dá)的IP、IP上開(kāi)放的端口以及這些端口上所運(yùn)行的服務(wù)組成的集合。攻擊者通過(guò)各種方法，利用硬件、軟件、協(xié)議或系統(tǒng)安全漏洞，在網(wǎng)絡(luò)環(huán)境中繞過(guò)現(xiàn)有的安全防護(hù)措施，在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。因此，能否快速有效的對(duì)安全漏洞進(jìn)行管理，從而增加攻擊者利用漏洞的難度，是在網(wǎng)絡(luò)安全對(duì)抗中取勝的關(guān)鍵。

1 安全漏洞變化趨勢(shì)

國(guó)家信息安全漏洞共享平臺(tái)（CNVD）的統(tǒng)計(jì)數(shù)據(jù)顯示，2019年全年公布的漏洞總數(shù)為16 107個(gè)，其中僅高危漏洞就高達(dá)4 834個(gè)，但除一線互聯(lián)網(wǎng)公司和安全意識(shí)領(lǐng)先的部分組織外，絕大部分企業(yè)和政府機(jī)構(gòu)都無(wú)法快速準(zhǔn)確進(jìn)行漏洞的自查。2019年全年漏洞趨勢(shì)如圖1所示。

圖1 2019全年信息安全漏洞數(shù)量統(tǒng)計(jì)結(jié)果

具體到工業(yè)網(wǎng)絡(luò)而言，美國(guó)國(guó)家通用漏洞數(shù)據(jù)庫(kù)在2020年上半年公開(kāi)了涉及53個(gè)廠商產(chǎn)品的365個(gè)工業(yè)控制系統(tǒng)安全漏洞，較2019年同比增長(zhǎng)了10.3%，其中75%的漏洞被通用漏洞評(píng)分系統(tǒng) （CVSS）評(píng)級(jí)為嚴(yán)重和高風(fēng)險(xiǎn)級(jí)別。2020年美國(guó)國(guó)家通用漏洞數(shù)據(jù)庫(kù)發(fā)布漏洞的CVSS嚴(yán)重性評(píng)級(jí)如圖2所示。

圖2 美國(guó)國(guó)家通用漏洞數(shù)據(jù)庫(kù)發(fā)布漏洞的CVSS嚴(yán)重性評(píng)級(jí)統(tǒng)計(jì)結(jié)果

其中臺(tái)灣Moxa科技股份有限公司產(chǎn)品漏洞數(shù)量最多，達(dá)到了39個(gè)，緊隨其后的是艾波比集團(tuán)公司（ABB）、西門(mén)子股份公司（Siemens）、萬(wàn)可公司 （Wago）和施耐德電氣 （Schneider Electric）。這365個(gè)漏洞中有70%可以通過(guò)網(wǎng)絡(luò)遠(yuǎn)程利用進(jìn)行攻擊，尤其是新冠疫情期間，工作人員居家辦公，通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程連接進(jìn)行業(yè)務(wù)運(yùn)營(yíng)和運(yùn)維管理，帶來(lái)了更高的安全風(fēng)險(xiǎn)。同期通過(guò)本地進(jìn)行漏洞利用的攻擊比重從2019年上半年的13.9%上升到了2020年上半年的22.5%，網(wǎng)絡(luò)釣魚(yú)等社會(huì)工程學(xué)攻擊成為了主要的惡意攻擊方式。

更需要重視的是，在美國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組（ICS-CERT）2020年上半年發(fā)布的通報(bào)預(yù)警中，能源、關(guān)鍵制造、供水和廢水處理等關(guān)鍵基礎(chǔ)設(shè)施受到的漏洞影響最大。其中關(guān)鍵制造和能源行業(yè)的漏洞數(shù)量分別同比增長(zhǎng)了87.3%和58.9%。

2 安全攻防的難點(diǎn)與痛點(diǎn)

根據(jù)國(guó)家相關(guān)法律法規(guī)、中石油集團(tuán)信息安全相關(guān)要求，結(jié)合生產(chǎn)業(yè)務(wù)開(kāi)展的實(shí)際需要，華油鋼管有限公司多年來(lái)持續(xù)開(kāi)展信息安全保障體系建設(shè)并且取得了不錯(cuò)的成績(jī)。但受可支配的資源限制，從安全攻防的角度來(lái)看仍存在不足，主要體現(xiàn)在以下方面。

（1）信息資產(chǎn)管理的時(shí)效性問(wèn)題。由于智能制造自身的特點(diǎn)，整個(gè)廠區(qū)內(nèi)有線及無(wú)線網(wǎng)絡(luò)全面覆蓋，各類手持終端及物聯(lián)網(wǎng)設(shè)備類型多樣、數(shù)量龐大。從管理區(qū)域上來(lái)說(shuō)，是從原有的配線架、信息點(diǎn)管理延伸到整個(gè)廠區(qū)的管理，考慮跳板攻擊乃至無(wú)人機(jī)抵近WiFi中繼可能性，管理區(qū)域邊界甚至延伸到非本單位可控的地點(diǎn)。從管理對(duì)象上來(lái)說(shuō)，是從原有的服務(wù)器、PC及工控機(jī)延伸到涵蓋各類手持智能設(shè)備、物聯(lián)網(wǎng)設(shè)備。從管理的顆粒度來(lái)說(shuō)，是從固定資產(chǎn)臺(tái)賬管理延伸到信息資產(chǎn)的管理，需要管理并展現(xiàn)到IP、端口及協(xié)議或應(yīng)用服務(wù)版本。在這些轉(zhuǎn)變下，網(wǎng)絡(luò)準(zhǔn)入管理不能像傳統(tǒng)方式一樣一刀切，在邊界不完全可控的情況下，網(wǎng)絡(luò)安全管理人員迫切需要能夠迅速發(fā)現(xiàn)并有效管理信息資產(chǎn)的技術(shù)手段。

（2）應(yīng)用更新上線前的安全檢測(cè)問(wèn)題。根據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0版本的相關(guān)制度，信息系統(tǒng)的應(yīng)用安全本就是非常重要且不易實(shí)現(xiàn)的部分。然而智能制造不是一個(gè)具體的信息系統(tǒng)，而是企業(yè)ERP、MES、數(shù)字倉(cāng)庫(kù)等多個(gè)信息系統(tǒng)與網(wǎng)絡(luò)的整體集成。任何一個(gè)信息系統(tǒng)狀態(tài)的改變，都會(huì)對(duì)整體產(chǎn)生一定的影響。正因?yàn)榇?，在每個(gè)信息系統(tǒng)上線或者重要版本更新的時(shí)候，網(wǎng)絡(luò)安全管理人員不僅應(yīng)嚴(yán)格按照合規(guī)標(biāo)準(zhǔn)進(jìn)行應(yīng)用安全的檢查，還應(yīng)該請(qǐng)專業(yè)安全服務(wù)人員采用攻擊者視角，以滲透測(cè)試的方式檢查該系統(tǒng)本身及關(guān)聯(lián)系統(tǒng)的安全性。如果缺少專業(yè)安全服務(wù)的介入，且網(wǎng)絡(luò)安全管理人員的技術(shù)能力與精力又不足，就難以準(zhǔn)確的評(píng)估上線信息系統(tǒng)的安全狀態(tài)，無(wú)法掌握信息系統(tǒng)中存在哪些安全漏洞，以及這些漏洞在什么條件下會(huì)如何被利用，就無(wú)法排除生產(chǎn)應(yīng)用過(guò)程中的安全隱患。

（3）安全漏洞的管理與修復(fù)問(wèn)題。經(jīng)由漏洞掃描工具，上線前的滲透測(cè)試等方式，可以了解現(xiàn)有信息系統(tǒng)的安全漏洞情況。但是安全漏洞的存在并不是一成不變的，幾乎每天都會(huì)有新的漏洞被發(fā)現(xiàn)、公開(kāi)，也會(huì)有漏洞被修補(bǔ)。對(duì)于網(wǎng)絡(luò)安全管理人員來(lái)說(shuō)，最大的困難在于如何準(zhǔn)確地獲知漏洞的變化情況，并從風(fēng)險(xiǎn)角度去評(píng)估漏洞重要性，從而及時(shí)、準(zhǔn)確地做出響應(yīng)。在我國(guó)，中國(guó)信息安全測(cè)評(píng)中心負(fù)責(zé)建設(shè)的國(guó)家級(jí)信息安全漏洞數(shù)據(jù)管理平臺(tái)CNNVD可以免費(fèi)提供最權(quán)威的安全漏洞預(yù)警信息，但將眾多漏洞預(yù)警信息和信息資產(chǎn)進(jìn)行結(jié)合匹配及風(fēng)險(xiǎn)評(píng)估，是一件專業(yè)且繁重的工作。同時(shí)，漏洞的修復(fù)需要信息系統(tǒng)的開(kāi)發(fā)商、系統(tǒng)集成商等人員共同完成測(cè)試，確認(rèn)修復(fù)效果及對(duì)相關(guān)功能的影響，才可能在生產(chǎn)環(huán)境中進(jìn)行修復(fù)。因此，想要做好安全漏洞的管理，僅靠有限的人力難以完成每個(gè)漏洞從發(fā)現(xiàn)到評(píng)估風(fēng)險(xiǎn)，再根據(jù)風(fēng)險(xiǎn)程度決定是否修復(fù)，直到確認(rèn)漏洞修復(fù)成功，急需技術(shù)手段與工具的有力支撐。

3 漏洞管理探索

為解決上述難點(diǎn)與痛點(diǎn)，筆者對(duì)國(guó)際與國(guó)內(nèi)信息安全戰(zhàn)略與技術(shù)發(fā)展趨勢(shì)進(jìn)行了對(duì)比分析。在戰(zhàn)略層面，隨著網(wǎng)絡(luò)對(duì)抗愈演愈烈，漏洞成為彰顯國(guó)家力量的戰(zhàn)略資源，哪個(gè)國(guó)家掌握的安全漏洞更多、漏洞信息更準(zhǔn)確、利用漏洞更巧妙，在網(wǎng)絡(luò)戰(zhàn)中就一定會(huì)占據(jù)更大的優(yōu)勢(shì)。因此網(wǎng)絡(luò)安全發(fā)展到現(xiàn)在，就是在由過(guò)去的合規(guī)驅(qū)動(dòng)逐步轉(zhuǎn)向?qū)跪?qū)動(dòng)，漏洞管理由簡(jiǎn)單的掃描轉(zhuǎn)向基于風(fēng)險(xiǎn)的精細(xì)管理。結(jié)合華油鋼管有限公司的實(shí)際情況，早期的漏洞管理僅僅是基本的使用工具，掃描發(fā)現(xiàn)漏洞；隨著等級(jí)保護(hù)等網(wǎng)絡(luò)安全基本制度的推進(jìn)，漏洞管理能力逐步發(fā)展到合規(guī)驅(qū)動(dòng)的狀態(tài)；未來(lái)將會(huì)逐步向基于風(fēng)險(xiǎn)的精細(xì)化漏洞管理演進(jìn)。

就技術(shù)發(fā)展趨勢(shì)而言，國(guó)際著名的信息技術(shù)研究與咨詢分析機(jī)構(gòu)Gartner將 “Risk-Based Vulnerability Management（基于風(fēng)險(xiǎn)的漏洞管理）”列入2020年十大安全項(xiàng)目。Gartner認(rèn)為安全漏洞的補(bǔ)丁重要性是不同的，應(yīng)該采用基于風(fēng)險(xiǎn)的方法來(lái)管理補(bǔ)丁程序，重點(diǎn)關(guān)注具有較高風(fēng)險(xiǎn)的系統(tǒng)和漏洞。Gartner提出的漏洞管理指導(dǎo)框架強(qiáng)調(diào)了資產(chǎn)識(shí)別、優(yōu)先級(jí)評(píng)估、度量與優(yōu)化等內(nèi)容，形成一個(gè)全生命周期的安全漏洞閉環(huán)管理過(guò)程，管理流程如圖3所示。

圖3 安全漏洞管理流程圖

通過(guò)學(xué)習(xí)和研究，筆者認(rèn)為上述理論對(duì)于解決企業(yè)的實(shí)際需求具有重要指導(dǎo)作用。未來(lái)應(yīng)該遵循基于風(fēng)險(xiǎn)的漏洞管理理念，開(kāi)展安全漏洞管理平臺(tái)的建設(shè)工作。該平臺(tái)應(yīng)能夠分別從資產(chǎn)、風(fēng)險(xiǎn)評(píng)估、優(yōu)先級(jí)、修復(fù)、持續(xù)改進(jìn)與優(yōu)化五大維度開(kāi)展管理，同時(shí)能夠第一時(shí)間獲取漏洞情報(bào)和預(yù)警信息，并精準(zhǔn)定位到企業(yè)內(nèi)部受影響資產(chǎn)，解決作為信息化部門(mén)反而沒(méi)有信息化工具支撐工作開(kāi)展的尷尬局面。

4 網(wǎng)絡(luò)安全管理思考

4.1 資產(chǎn)信息管理

建立完整且動(dòng)態(tài)的資產(chǎn)臺(tái)賬是一切安全建設(shè)的基礎(chǔ)，理想狀態(tài)應(yīng)基于指紋信息定期采用主被動(dòng)結(jié)合的檢測(cè)方式獲取資產(chǎn)的端口、組件與版本、操作系統(tǒng)和設(shè)備類型等信息，從而快速準(zhǔn)確地繪制網(wǎng)絡(luò)資產(chǎn)暴露面，并通過(guò)周期性比對(duì)及人工確認(rèn)的方式，構(gòu)建一套完整的動(dòng)態(tài)資產(chǎn)庫(kù)。從而消除隱匿資產(chǎn)和老化資產(chǎn)帶來(lái)的安全隱患，徹底解決資產(chǎn)管理的難題。建立完整的資產(chǎn)臺(tái)賬需要通過(guò)對(duì)端口、組件版本等信息的動(dòng)態(tài)獲取，實(shí)現(xiàn)對(duì)信息資產(chǎn)的全面清點(diǎn)、資產(chǎn)與業(yè)務(wù)的關(guān)聯(lián)匹配以及全生命周期的動(dòng)態(tài)跟蹤。

資產(chǎn)數(shù)據(jù)具有較多的實(shí)體關(guān)系，傳統(tǒng)的二維表模式難以實(shí)現(xiàn)實(shí)體關(guān)系的表達(dá)，因此資產(chǎn)需要更高維度表達(dá)，知識(shí)圖譜能夠很好地詮釋資產(chǎn)的實(shí)體關(guān)系，能夠?qū)①Y產(chǎn)上下文數(shù)據(jù)、暴露面數(shù)據(jù)、脆弱性數(shù)據(jù)、威脅數(shù)據(jù)等內(nèi)容進(jìn)行關(guān)聯(lián)分析，并以“圖譜”形式進(jìn)行展現(xiàn)，實(shí)現(xiàn)基于實(shí)體關(guān)系的多維度分析。圖4所示為多維度資產(chǎn)信息圖譜，根據(jù)圖譜關(guān)系，可以從漏洞角度、端口服務(wù)、組件版本等多方面關(guān)聯(lián)展示當(dāng)前資產(chǎn)信息情況。

圖4 多維度資產(chǎn)信息圖譜

4.2 安全漏洞發(fā)現(xiàn)

相對(duì)于傳統(tǒng)的基于版本特征的漏洞檢測(cè)手段，基于PoC（Proof of Concept，概念驗(yàn)證/原理驗(yàn)證）的掃描方式更加精準(zhǔn)，其準(zhǔn)確性能夠達(dá)到99%以上，并且在掃描效率上更加突出。原因在于傳統(tǒng)漏洞檢測(cè)手段會(huì)將大量的規(guī)則逐個(gè)應(yīng)用檢測(cè)，而基于PoC的掃描方式則是定向定點(diǎn)，僅需10 min即可完成數(shù)千資產(chǎn)的漏洞檢測(cè)。基于PoC的檢測(cè)方式能夠極大地減少漏洞誤報(bào)率，從而優(yōu)化漏洞管理在人員和時(shí)間方面的投入成本。PoC掃描管理表如圖5所示，可以看到當(dāng)前流行的高危風(fēng)險(xiǎn)漏洞可以支持實(shí)時(shí)風(fēng)險(xiǎn)掃描，以快速準(zhǔn)確地識(shí)別和發(fā)現(xiàn)安全漏洞。

圖5 PoC掃描管理表

4.3 漏洞優(yōu)先級(jí)評(píng)估方式

傳統(tǒng)的漏洞優(yōu)先級(jí)大多采用CVSS評(píng)分進(jìn)行評(píng)估，但這樣的評(píng)估方式過(guò)于片面，只關(guān)注漏洞本身的維度，卻忽略了資產(chǎn)的重要性。所有的漏洞只有依附于實(shí)體或非實(shí)體的資產(chǎn)才有價(jià)值，因此必須采用基于風(fēng)險(xiǎn)的優(yōu)先級(jí)評(píng)估方法從漏洞和資產(chǎn)兩個(gè)維度去考慮問(wèn)題，資產(chǎn)維度至少應(yīng)包含設(shè)備類型、設(shè)備能力、設(shè)備作用等子項(xiàng)評(píng)分，而威脅維度則應(yīng)包含網(wǎng)絡(luò)曝光度、資產(chǎn)暴露度、資產(chǎn)漏洞等級(jí)等子項(xiàng)評(píng)分。這些評(píng)分應(yīng)能夠采用深度學(xué)習(xí)模式進(jìn)行動(dòng)態(tài)調(diào)整，隨著時(shí)間的推移就能夠擁有更適合自己的優(yōu)先級(jí)評(píng)估方式。漏洞優(yōu)先級(jí)的評(píng)估應(yīng)從資產(chǎn)重要性評(píng)級(jí)ACR（Asset Criticality Rating）、網(wǎng)絡(luò)曝光度評(píng)分CES（Cyber Exposure Score）、漏洞優(yōu)先級(jí)評(píng)級(jí)VRP（Vulnerability Priority Rating）三方面進(jìn)行。在ACR方面，資產(chǎn)的重要性表明資產(chǎn)自身的價(jià)值量，分?jǐn)?shù)越高，表明價(jià)值量越高；ACR與風(fēng)險(xiǎn)成正比，即價(jià)值量越高，對(duì)應(yīng)的潛在風(fēng)險(xiǎn)也會(huì)越高；在CES方面，資產(chǎn)所在網(wǎng)絡(luò)的曝光情況，越是公開(kāi)的網(wǎng)絡(luò)，曝光評(píng)分越高，相應(yīng)資產(chǎn)對(duì)應(yīng)的風(fēng)險(xiǎn)越大；VRP方面，漏洞自身評(píng)級(jí)，根據(jù)CVSS、發(fā)布天數(shù)、影響范圍等系數(shù)對(duì)漏洞進(jìn)行評(píng)估，最終確定漏洞優(yōu)先級(jí)。

4.4 漏洞自動(dòng)化修復(fù)

漏洞管理中最重要的是漏洞修復(fù)，漏洞的修復(fù)時(shí)長(zhǎng)是漏洞管理的重要考核指標(biāo)之一。面對(duì)成千上萬(wàn)的漏洞信息，難以通過(guò)人工方式逐一修復(fù)，自動(dòng)化漏洞修復(fù)應(yīng)提供完善的補(bǔ)丁程序，實(shí)現(xiàn)自動(dòng)化驗(yàn)證、自動(dòng)化修復(fù)、自動(dòng)化回滾等操作，將漏洞修復(fù)的風(fēng)險(xiǎn)降到最低，從而實(shí)現(xiàn)漏洞的批量修復(fù)。

4.5 持續(xù)改進(jìn)優(yōu)化

應(yīng)將漏洞管理過(guò)程中的各項(xiàng)度量指標(biāo)，通過(guò)可視化方式進(jìn)行統(tǒng)計(jì)分析，將修復(fù)時(shí)長(zhǎng)、修復(fù)率、掃描頻率等各項(xiàng)指標(biāo)進(jìn)行可視化展現(xiàn)，便于管理人員進(jìn)行漏洞管理過(guò)程的持續(xù)優(yōu)化。漏洞資產(chǎn)綜合分析示例如圖6所示，資產(chǎn)通過(guò)PoC掃描驗(yàn)證，完成修復(fù)，最后將漏洞風(fēng)險(xiǎn)信息進(jìn)行綜合展示。管理人員根據(jù)業(yè)務(wù)實(shí)際情況不斷進(jìn)行優(yōu)化改進(jìn)工作。

圖6 漏洞資產(chǎn)綜合分析展示圖

5 結(jié)束語(yǔ)

在當(dāng)前網(wǎng)絡(luò)安全漏洞層出不窮的形勢(shì)下，單純地通過(guò)傳統(tǒng)漏洞掃描分析已經(jīng)不能切實(shí)有效地解決企業(yè)所面臨的的安全漏洞風(fēng)險(xiǎn)。資產(chǎn)的漏洞發(fā)現(xiàn)和修復(fù)已經(jīng)是企業(yè)信息管理必不可少的工作，甚至是至關(guān)重要的內(nèi)容。通過(guò)對(duì)抗新常態(tài)下焊管智能制造的一些網(wǎng)絡(luò)安全建設(shè)思考，應(yīng)當(dāng)清晰地了解到漏洞管理應(yīng)從資產(chǎn)的發(fā)現(xiàn)，到漏洞發(fā)現(xiàn)、風(fēng)險(xiǎn)評(píng)估、修復(fù)驗(yàn)證，到最后的持續(xù)改進(jìn)優(yōu)化，形成一個(gè)全生命周期的閉環(huán)管理，支撐企業(yè)構(gòu)建完整的漏洞管理體系，精確定位高風(fēng)險(xiǎn)資產(chǎn)，快速響應(yīng)，及時(shí)修復(fù)，保障業(yè)務(wù)系統(tǒng)安全運(yùn)營(yíng)。