2020-9-27周日 网安资讯

　　2020年9月24日，国家工业信息安全发展研究中心联合云南省工业和信息化厅在昆明组织召开2020年全国工控安全深度行（云南站）活动。活动以依托城市，辐射全国为举办思路，举办工业信息安全高峰论坛、攻防对抗赛、工业公司调研等活动。全方面展现工业控制管理系统信息安全（以下简称“工控安全”）技术探讨研究、态势感知、应急保障、产业促进等工作进展，提升行业热度，明确未来发展方向。

　　工业与信息化部信息技术发展司王建伟副司长出席本次活动，他指出，近几年，工控安全工作取得一系列进展，协同工作体系逐步建立，安全管理上的水准稳步提升，一网一库三平台建设加速，重点行业产学对接工作进展顺利。“十四五”时期工控安全形势依然严峻，下一步将着力完善工控安全政策标准体系，加快工控安全防护指南落实，推进工控安全技术保障能力建设，全面推动工控安全产业高质量发展。

　　工业信息安全高峰论坛由国家工业信息安全发展研究中心总工程师李丽主持，云南省工业和信息化厅副厅长聂里宁为本次活动发表致辞。会议邀请了国家工业信息安全发展研究中心保障技术所副所长李俊、云南昆钢电子信息科技有限公司副总经理皮坤发布主旨报告。烽台科技、启明星辰、六方云等安全企业专家进行授课。云南中烟工业有限责任公司信息中心、视联动力信息技术股份有限公司、云南昆船设计研究院有限公司、云南省信息技术发展中心等行业代表围绕“工控安全行业实践”进行交流和研讨，共议工控安全防护能力现状以及产业发展等热点话题。

　　应邀出席会议的还有云南省及其各州市工信主管部门、研究机构、重要工业公司、安全企业有关工作负责同志300余人。

　　工业信息安全攻防对抗赛由国家工业信息安全发展研究中心、云南省工业和信息化厅主办，昆明钢铁控股有限公司承办。比赛共吸引了来自工业公司、安全企业、研究机构、高等院校等24支队伍同台竞技。赛事分为工控CTF夺旗赛和工控场景夺旗赛两个部分。经过连续6小时的综合比拼，最终，来自云南迪庆有色金属有限责任公司的雪域雄鹰战队和来自云南警官学院的云曦战队获得大赛一等奖。

　　工业与信息化部信息技术发展司王建伟副司长、国家工业信息安全发展研究中心总工程师李丽、云南省工业和信息化厅副厅长聂里宁一行调研云南中烟工业有限责任公司、昆明钢铁控股有限公司，参观工业生产现场、数字展厅以及实验室环境，并进行交流座谈。

　　工业连接论坛暨第二批工业智能网关测评成果发布会顺利召开一张图读懂工业智能网关规范及测评体系

　　9月24日，国家工业信息安全发展研究中心工业连接测试实验室组织的工业连接论坛暨第二批工业智能网关测评成果发布会顺利召开。中心党委副书记吕坚出席会议，研祥科技、智能云科、航天智造等十家有突出贡献的公司代表参加本次会议。

　　会上，中心工业连接测试实验室发布了《工业网关通用技术及测评规范》三项规范及《工业网关研究报告》《工业网关第二批测评报告》等成果，业内多位专家就工业连接及工业互联网做了精彩发言，现将工业智能网关规范及测评体系及专家演讲PPT在文末进行分享，欢迎研讨交流。

　　《工业网关通用技术及测评规范》分为通用技术方面的要求、面向PLC和传感器的工业网关测评规范、面向数控系统的工业网关测评规范三部分，对前期发布的《工业网关测评技术规范1.0》做了系统性修订，从功能、性能、安全、接口等方面提出了要求，针对PLC/传感器网关和数控网关，明确了测试装置及测试体系，建立了7个维度百余项指标的测评方法，用于指导工业网关设备的设计与实现，也可用于第三方测评机构开展工业网关的测评工作。

　　会上发布了《工业网关研究报告》，通过文献研究、专家访谈、实地走访、市场调查与研究等方法对市面上33个厂家106款主流网关做出详细的调查研究，从转发通信方式等七个维度对工业互联网网关进行了分类，总结出市场占比情况，对主流参数进行了类比，并梳理出了工业网关的十五项关键指标。

　　依据测评规范，在《工业网关第二批测评报告》中，对遴选出的PLC/传感器网关、数控网关等十余款主流工业网关测评结果进行横向比拼，对工业网关产品目前存在的问题和发展的新趋势进行了深入总结。

　　发布会邀请到研祥科技、智能云科、航天智造、铁牛科技、万维物联、万腾电子等多位业内专家，各位专家围绕工业连接、工业智能网关、设备上云、工业网络站点平台有关技术、应用及发展做了主题发言，反响十分热烈！

　　日前，一年一度的大型线上攻防对抗大赛已圆满落下帷幕。但今年的演习尤其热闹，乙方安全产品频频被曝出0Day漏洞，各种真假消息满天飞，让甲方企业每天都惴惴不安，开始用看”内鬼“的眼光看待自己的安全防线Day问题，有的甲方企业甚至采用了关机、拔网线、下线安全产品等极端方式，直接让业务系统处于“裸奔”状态。

　　甲方企业平日几乎不会遇到0Day攻击，但在攻防对抗大赛期间，平日精心构筑的安全体系集中被曝出多个0Day漏洞。这真是巧合？有业内专家推测，这非常有可能是攻击方将前期早已积累好的0Day武器库，在最近一段时间内集中曝出，让防守方措手不及。但这种完全失去了攻防演练初衷的行为真的可取吗？在不知道这些漏洞是否也被其他别有用心的人或组织掌握的情况下，为啥不尽早通知相关企业和厂商做修复？在今天这种复杂的国际形势下，如果这些0Day漏洞一旦被敌对势力获取，后果将不堪设想。

　　只要有代码，就有漏洞。据公开多个方面数据显示，每1000行代码就会有4-6个漏洞，这一规律也同样适用于安全产品。因此，将“天下无洞”的使命，全交给安全产品来承担，不现实也不可能。

　　0Day漏洞本身就是个永恒的问题，它是对一种未公开漏洞的特殊称呼，本质来说还是一种漏洞，不过这种漏洞还未被公开。IT系统的0Day一直层出不穷，从操作系统、中间件、应用系统、软件以及使用的开发库、插件等都一定会出现各种0Day，可以说，0Day漏洞就是伴随着各类IT产品的出现而产生。因此，专门有部分安全产品是为避免0Day攻击而存在的。

　　但是安全产品自身也没办法避免0Day攻击，因为安全产品本质上也是一种代码开发出来的产品，哪怕是国际的一线安全厂商，比如Palo Alto Networks、Trend Micro等在2020年也持续有漏洞曝出。因此，将“安全漏洞”和其它系统缺陷问题区分对待并没有实际意义，因为任何一个缺陷在某种条件下都有几率会成为一个安全漏洞。绝对完美的产品是不存在的，任何软件和硬件工程下生产的产品都一定会出现漏洞，只是还没有被发现或还没有被利用，安全风险隐患始终存在。

　　技术本是中性，安全产品也一定存在漏洞，没有必要因为这次演习期间，被真真假假的漏洞吓到，就因噎废食，开始怀疑安全产品的价值。

　　作为用户，需要正视安全产品本身存在漏洞的现实，但更要认识到，对这些漏洞的处置，也是和常见的操作系统、数据库、网络产品的漏洞一样。面对0Day漏洞，切莫闻“洞”色变，自乱阵脚，大部分都能够最终靠合理配置、规范操作流程来规避。同时，建立良好的安全意识和运维习惯，就能做到对常见安全事件“免疫“。

　　0Day漏洞不是企业攻防常态。正如前文所说，0Day在日常安全工作中并不多见。微软曾在一份安全漏洞报告中称，所谓的0Day漏洞威胁被夸大了，由0Day漏洞引入的病毒小于1%。相反，一些社会工程攻击，如钓鱼行为，占所有恶意程序的传播总量的45%。单纯依靠0Day漏洞攻击成功事件所占比例，远低于包括弱密码、不合规配置、安全意识不够等基础工作不到位引发的安全事件。这就犹如每年因为飞机失事导致死亡的人数，远低于其他交通事故的死亡人数。

　　漏洞不可怕，可怕的是对待安全的态度。既不可幻想“天下无洞”，也不可 “因噎废食”。犹如火的出现推动了社会进步，但人们并不会因为惧怕火灾所造成的伤害，就倒退回原始时代茹毛饮血的生活。

　　既然漏洞不可避免，那么建立一个安全有效的漏洞披露和沟通机制就至关重要。目前这种集中曝出安全产品漏洞的行为，不仅将安全产业置于一种被质疑的尴尬境地，也给甲方公司能够带来了极大的安全风险，更给国家安全带来了安全风险隐患。不管是一时的炫技，还是有明确的目的性地行为，都绝不是一种负责任的态度。

　　目前，针对漏洞管理，国家层面有CNNVD、CNVD等国家漏洞库，由国家相关职能部门维护运营，负责统一采集收录安全漏洞和发布漏洞预警公告，有着较为完善的漏洞资源收集、通报以及消控机制。漏洞库收录漏洞后，会通知厂商采取漏洞修补或防范措施后再予以公开，供安全研究人员学习和借鉴，帮助厂商及时查缺补漏，推动我们国家网络安全行业良性发展。

　　不得在“官宣”前抢先向社会发布。 即不得在网络产品或服务提供商和网络运营商向社会或用户发布漏洞补救或防范措施之前发布相关漏洞信息，以免恶意攻击者利用漏洞信息给更多的组织机构造成危害。

　　不得提供乘人之危的方法、程序和工具。 即不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法、程序和工具。

　　网信办2019年11月20日发布的关于《网络安全威胁信息发布管理办法（征求意见稿）》中规定，不利用网络安全威胁信息进行炒作、牟取不正当利益或从事不正当商业竞争；发布网络安全威胁信息，应事先征求网络和信息系统运营者书面意见，并必须向主管部门报告。同时，发布网络安全威胁信息不得危害国家安全和社会公共利益，不得侵犯公民、法人和其他组织的合法权益。

　　最后，要充分认识到漏洞披露的重要性。在互联网空间博弈日趋激烈的今天，漏洞慢慢的变成了一种战略资源，必然的联系到国家互联网空间安全。不规范的漏洞披露伤害的是用户和产业，甚至危及国家安全。维护网络安全，人人有责。在法律和法规或漏洞披露策略的框架下，通过安全合理的漏洞披露渠道和机制，才可以在一定程度上促进安全社区的健康发展和安全技术的进步，推动我们国家网络安全事业的健康发展，为我国整体网络安全防线贡献应有的力量。