焊管智能制造網絡安全建設思考

劉傳水，于振寧，劉晶晶，孫志剛，魏 婷，胡 濤

（渤海石油裝備華油鋼管有限公司，河北 青縣 062658）

0前言

隨著大數據、云計算、人工智能為代表的新一代信息技術蓬勃發展，現有的螺旋焊管生產模式正在加速向智能制造發展。智能制造是通過新一代信息技術、自動化技術、工業軟件及現代管理思想在制造企業全領域、全流程的系統應用而產生的一種全新的生產方式，它要求在生產者與客戶、生產者與供應商之間，以及企業內部設備層、控制層、管理層之間進行海量實時跨地域跨網絡的數據交換與處理。

與此同時，網絡空間已經成為繼“陸、海、空、天”之后的第五大戰略空間，是影響國家安全、社會穩定、經濟發展和文化傳播的關鍵因素。 “沒有網絡安全就沒有國家安全”，而網絡安全本質是人與人之間的對抗，以近年持續開展的實網演習為代表，網絡空間攻防對抗態勢不斷升級，新時代的網絡安全已經由過去的合規驅動逐步走向風險驅動和對抗驅動，傳統的安全理念和防御手段越來越難以滿足智能制造發展需要。

信息安全管理人員要適應對抗新常態，必須以攻擊者的角度自下而上重新看待自身所管理的網絡世界，在這個角度上所見到的不再是清晰有序的ERP、MES等信息系統或其集成，而首先是可到達的IP、IP上開放的端口以及這些端口上所運行的服務組成的集合。攻擊者通過各種方法，利用硬件、軟件、協議或系統安全漏洞，在網絡環境中繞過現有的安全防護措施，在未授權的情況下訪問或破壞系統。因此，能否快速有效的對安全漏洞進行管理，從而增加攻擊者利用漏洞的難度，是在網絡安全對抗中取勝的關鍵。

1 安全漏洞變化趨勢

國家信息安全漏洞共享平臺（CNVD）的統計數據顯示，2019年全年公布的漏洞總數為16 107個，其中僅高危漏洞就高達4 834個，但除一線互聯網公司和安全意識領先的部分組織外，絕大部分企業和政府機構都無法快速準確進行漏洞的自查。2019年全年漏洞趨勢如圖1所示。

圖1 2019全年信息安全漏洞數量統計結果

具體到工業網絡而言，美國國家通用漏洞數據庫在2020年上半年公開了涉及53個廠商產品的365個工業控制系統安全漏洞，較2019年同比增長了10.3%，其中75%的漏洞被通用漏洞評分系統 （CVSS）評級為嚴重和高風險級別。2020年美國國家通用漏洞數據庫發布漏洞的CVSS嚴重性評級如圖2所示。

圖2 美國國家通用漏洞數據庫發布漏洞的CVSS嚴重性評級統計結果

其中臺灣Moxa科技股份有限公司產品漏洞數量最多，達到了39個，緊隨其后的是艾波比集團公司（ABB）、西門子股份公司（Siemens）、萬可公司 （Wago）和施耐德電氣 （Schneider Electric）。這365個漏洞中有70%可以通過網絡遠程利用進行攻擊，尤其是新冠疫情期間，工作人員居家辦公，通過互聯網遠程連接進行業務運營和運維管理，帶來了更高的安全風險。同期通過本地進行漏洞利用的攻擊比重從2019年上半年的13.9%上升到了2020年上半年的22.5%，網絡釣魚等社會工程學攻擊成為了主要的惡意攻擊方式。

更需要重視的是，在美國工業控制系統網絡應急響應小組（ICS-CERT）2020年上半年發布的通報預警中，能源、關鍵制造、供水和廢水處理等關鍵基礎設施受到的漏洞影響最大。其中關鍵制造和能源行業的漏洞數量分別同比增長了87.3%和58.9%。

2 安全攻防的難點與痛點

根據國家相關法律法規、中石油集團信息安全相關要求，結合生產業務開展的實際需要，華油鋼管有限公司多年來持續開展信息安全保障體系建設并且取得了不錯的成績。但受可支配的資源限制，從安全攻防的角度來看仍存在不足，主要體現在以下方面。

（1）信息資產管理的時效性問題。由于智能制造自身的特點，整個廠區內有線及無線網絡全面覆蓋，各類手持終端及物聯網設備類型多樣、數量龐大。從管理區域上來說，是從原有的配線架、信息點管理延伸到整個廠區的管理，考慮跳板攻擊乃至無人機抵近WiFi中繼可能性，管理區域邊界甚至延伸到非本單位可控的地點。從管理對象上來說，是從原有的服務器、PC及工控機延伸到涵蓋各類手持智能設備、物聯網設備。從管理的顆粒度來說，是從固定資產臺賬管理延伸到信息資產的管理，需要管理并展現到IP、端口及協議或應用服務版本。在這些轉變下，網絡準入管理不能像傳統方式一樣一刀切，在邊界不完全可控的情況下，網絡安全管理人員迫切需要能夠迅速發現并有效管理信息資產的技術手段。

（2）應用更新上線前的安全檢測問題。根據網絡安全等級保護2.0版本的相關制度，信息系統的應用安全本就是非常重要且不易實現的部分。然而智能制造不是一個具體的信息系統，而是企業ERP、MES、數字倉庫等多個信息系統與網絡的整體集成。任何一個信息系統狀態的改變，都會對整體產生一定的影響。正因為此，在每個信息系統上線或者重要版本更新的時候，網絡安全管理人員不僅應嚴格按照合規標準進行應用安全的檢查，還應該請專業安全服務人員采用攻擊者視角，以滲透測試的方式檢查該系統本身及關聯系統的安全性。如果缺少專業安全服務的介入，且網絡安全管理人員的技術能力與精力又不足，就難以準確的評估上線信息系統的安全狀態，無法掌握信息系統中存在哪些安全漏洞，以及這些漏洞在什么條件下會如何被利用，就無法排除生產應用過程中的安全隱患。

（3）安全漏洞的管理與修復問題。經由漏洞掃描工具，上線前的滲透測試等方式，可以了解現有信息系統的安全漏洞情況。但是安全漏洞的存在并不是一成不變的，幾乎每天都會有新的漏洞被發現、公開，也會有漏洞被修補。對于網絡安全管理人員來說，最大的困難在于如何準確地獲知漏洞的變化情況，并從風險角度去評估漏洞重要性，從而及時、準確地做出響應。在我國，中國信息安全測評中心負責建設的國家級信息安全漏洞數據管理平臺CNNVD可以免費提供最權威的安全漏洞預警信息，但將眾多漏洞預警信息和信息資產進行結合匹配及風險評估，是一件專業且繁重的工作。同時，漏洞的修復需要信息系統的開發商、系統集成商等人員共同完成測試，確認修復效果及對相關功能的影響，才可能在生產環境中進行修復。因此，想要做好安全漏洞的管理，僅靠有限的人力難以完成每個漏洞從發現到評估風險，再根據風險程度決定是否修復，直到確認漏洞修復成功，急需技術手段與工具的有力支撐。

3 漏洞管理探索

為解決上述難點與痛點，筆者對國際與國內信息安全戰略與技術發展趨勢進行了對比分析。在戰略層面，隨著網絡對抗愈演愈烈，漏洞成為彰顯國家力量的戰略資源，哪個國家掌握的安全漏洞更多、漏洞信息更準確、利用漏洞更巧妙，在網絡戰中就一定會占據更大的優勢。因此網絡安全發展到現在，就是在由過去的合規驅動逐步轉向對抗驅動，漏洞管理由簡單的掃描轉向基于風險的精細管理。結合華油鋼管有限公司的實際情況，早期的漏洞管理僅僅是基本的使用工具，掃描發現漏洞；隨著等級保護等網絡安全基本制度的推進，漏洞管理能力逐步發展到合規驅動的狀態；未來將會逐步向基于風險的精細化漏洞管理演進。

就技術發展趨勢而言，國際著名的信息技術研究與咨詢分析機構Gartner將 “Risk-Based Vulnerability Management（基于風險的漏洞管理）”列入2020年十大安全項目。Gartner認為安全漏洞的補丁重要性是不同的，應該采用基于風險的方法來管理補丁程序，重點關注具有較高風險的系統和漏洞。Gartner提出的漏洞管理指導框架強調了資產識別、優先級評估、度量與優化等內容，形成一個全生命周期的安全漏洞閉環管理過程，管理流程如圖3所示。

圖3 安全漏洞管理流程圖

通過學習和研究，筆者認為上述理論對于解決企業的實際需求具有重要指導作用。未來應該遵循基于風險的漏洞管理理念，開展安全漏洞管理平臺的建設工作。該平臺應能夠分別從資產、風險評估、優先級、修復、持續改進與優化五大維度開展管理，同時能夠第一時間獲取漏洞情報和預警信息，并精準定位到企業內部受影響資產，解決作為信息化部門反而沒有信息化工具支撐工作開展的尷尬局面。

4 網絡安全管理思考

4.1 資產信息管理

建立完整且動態的資產臺賬是一切安全建設的基礎，理想狀態應基于指紋信息定期采用主被動結合的檢測方式獲取資產的端口、組件與版本、操作系統和設備類型等信息，從而快速準確地繪制網絡資產暴露面，并通過周期性比對及人工確認的方式，構建一套完整的動態資產庫。從而消除隱匿資產和老化資產帶來的安全隱患，徹底解決資產管理的難題。建立完整的資產臺賬需要通過對端口、組件版本等信息的動態獲取，實現對信息資產的全面清點、資產與業務的關聯匹配以及全生命周期的動態跟蹤。

資產數據具有較多的實體關系，傳統的二維表模式難以實現實體關系的表達，因此資產需要更高維度表達，知識圖譜能夠很好地詮釋資產的實體關系，能夠將資產上下文數據、暴露面數據、脆弱性數據、威脅數據等內容進行關聯分析，并以“圖譜”形式進行展現，實現基于實體關系的多維度分析。圖4所示為多維度資產信息圖譜，根據圖譜關系，可以從漏洞角度、端口服務、組件版本等多方面關聯展示當前資產信息情況。

圖4 多維度資產信息圖譜

4.2 安全漏洞發現

相對于傳統的基于版本特征的漏洞檢測手段，基于PoC（Proof of Concept，概念驗證/原理驗證）的掃描方式更加精準，其準確性能夠達到99%以上，并且在掃描效率上更加突出。原因在于傳統漏洞檢測手段會將大量的規則逐個應用檢測，而基于PoC的掃描方式則是定向定點，僅需10 min即可完成數千資產的漏洞檢測。基于PoC的檢測方式能夠極大地減少漏洞誤報率，從而優化漏洞管理在人員和時間方面的投入成本。PoC掃描管理表如圖5所示，可以看到當前流行的高危風險漏洞可以支持實時風險掃描，以快速準確地識別和發現安全漏洞。

圖5 PoC掃描管理表

4.3 漏洞優先級評估方式

傳統的漏洞優先級大多采用CVSS評分進行評估，但這樣的評估方式過于片面，只關注漏洞本身的維度，卻忽略了資產的重要性。所有的漏洞只有依附于實體或非實體的資產才有價值，因此必須采用基于風險的優先級評估方法從漏洞和資產兩個維度去考慮問題，資產維度至少應包含設備類型、設備能力、設備作用等子項評分，而威脅維度則應包含網絡曝光度、資產暴露度、資產漏洞等級等子項評分。這些評分應能夠采用深度學習模式進行動態調整，隨著時間的推移就能夠擁有更適合自己的優先級評估方式。漏洞優先級的評估應從資產重要性評級ACR（Asset Criticality Rating）、網絡曝光度評分CES（Cyber Exposure Score）、漏洞優先級評級VRP（Vulnerability Priority Rating）三方面進行。在ACR方面，資產的重要性表明資產自身的價值量，分數越高，表明價值量越高；ACR與風險成正比，即價值量越高，對應的潛在風險也會越高；在CES方面，資產所在網絡的曝光情況，越是公開的網絡，曝光評分越高，相應資產對應的風險越大；VRP方面，漏洞自身評級，根據CVSS、發布天數、影響范圍等系數對漏洞進行評估，最終確定漏洞優先級。

4.4 漏洞自動化修復

漏洞管理中最重要的是漏洞修復，漏洞的修復時長是漏洞管理的重要考核指標之一。面對成千上萬的漏洞信息，難以通過人工方式逐一修復，自動化漏洞修復應提供完善的補丁程序，實現自動化驗證、自動化修復、自動化回滾等操作，將漏洞修復的風險降到最低，從而實現漏洞的批量修復。

4.5 持續改進優化

應將漏洞管理過程中的各項度量指標，通過可視化方式進行統計分析，將修復時長、修復率、掃描頻率等各項指標進行可視化展現，便于管理人員進行漏洞管理過程的持續優化。漏洞資產綜合分析示例如圖6所示，資產通過PoC掃描驗證，完成修復，最后將漏洞風險信息進行綜合展示。管理人員根據業務實際情況不斷進行優化改進工作。

圖6 漏洞資產綜合分析展示圖

5 結束語

在當前網絡安全漏洞層出不窮的形勢下，單純地通過傳統漏洞掃描分析已經不能切實有效地解決企業所面臨的的安全漏洞風險。資產的漏洞發現和修復已經是企業信息管理必不可少的工作，甚至是至關重要的內容。通過對抗新常態下焊管智能制造的一些網絡安全建設思考，應當清晰地了解到漏洞管理應從資產的發現，到漏洞發現、風險評估、修復驗證，到最后的持續改進優化，形成一個全生命周期的閉環管理，支撐企業構建完整的漏洞管理體系，精確定位高風險資產，快速響應，及時修復，保障業務系統安全運營。