關鍵信息基礎設施保護體系建設與漏洞管理標準化研究

楊一未 孫成昊

(中國信息安全測評中心 北京 100085)

(yangyw@itsec.gov.cn)

在萬物互聯的信息時代，網絡的觸角不斷延伸，關鍵信息基礎設施安全已成為全球各國普遍關注的重點問題.2017年6月我國實施的《中華人民共和國網絡安全法》[1](簡稱《網絡安全法》)，從立法層面明確要求對可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施實施重點保護.2021年8月頒布的《關鍵信息基礎設施安全保護條例》[2]對關鍵信息基礎設施保護相關的一系列要素作了更具體的規定，進一步推進了《網絡安全法》在關鍵信息基礎設施領域的落地工作.全國信息安全標準化技術委員會正在起草的《關鍵信息基礎設施網絡安全保護基本要求(報批稿)》[3]等系列標準從不同角度對關鍵信息基礎設施保護要素特別是漏洞管理提出了更為具體的要求.自網絡安全問題誕生以來，網絡安全漏洞就是攻防雙方關注的焦點問題.及時掌握漏洞資源信息、準確評估漏洞危害、采取適當有效的措施消除或緩解漏洞產生的風險是信息安全管理工作的核心落腳點.是否有必要編寫一套在關鍵信息基礎設施漏洞管理工作中使用的標準、該標準應包括哪些內容、供哪些關鍵信息基礎設施保護相關角色使用，以促進我國關鍵信息基礎設施相關法規在漏洞管理領域的落地，并切實提升我國網絡安全防護水平等一系列問題，值得深入研究與思考.

1 國內外關鍵信息基礎設施保護體系建設研究

1.1 國外關鍵信息基礎設施保護體系發展歷史

不斷加強關鍵信息基礎設施保護力度已逐漸成為世界主要大國和信息強國的共識，關鍵信息基礎設施漏洞管理更是各國關鍵信息基礎設施保護的必要內容.通過研究國外關鍵基礎設施保護相關法律法規、政策、標準的發展歷史，發現歐美等信息安全強國在構建關鍵基礎設施保護體系過程中，基本都經歷了對關鍵基礎設施角色進行劃分、關鍵基礎設施保護體系搭建和聚焦關鍵基礎設施漏洞管理3個步驟.美國2013年第21號總統政策指令《關鍵信息基礎設施的安全和恢復能力》[4]和2017年特朗普政府《聯邦政府網絡與關鍵性基礎設施網絡安全強化》[5]提出了“關鍵基礎設施所有者”概念，開始對關鍵基礎設施角色進行劃分，并關注到關鍵信息基礎設施漏洞管理，提出關鍵信息基礎設施間的漏洞信息共享；2018年3月至9月，先后出臺的2018 DHS(United States Department of Homeland Security)《網絡事件響應小組法案》[6]《提升關鍵基礎設施網絡安全的框架(網絡安全框架1.1)》[7]《國家網絡戰略》[8]，分別從私營企業的安全專家引入、關鍵基礎設施保護的靈活性和關鍵基礎設施網絡安全工作的支柱、目標、優先行動等問題入手，思考和建立關鍵基礎設施保護體系；2020年5月美國網絡安全和基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)、能源部(Department of Energy, DOE)等共同發布的《工業控制系統網絡安全最佳實踐》[9]，重點提及了要加強漏洞分析和補丁管理，進一步聚焦關鍵基礎設施漏洞管理工作.歐盟數據治理法律體系的建構演進主要分為5個階段：1981年公約階段；1995年指令階段；2016年條例階段；2018年條例配套法律階段；2020年始數據戰略階段[10].在這個過程中歐盟各成員國和英國于2017年11月發布了《關鍵信息基礎設施領域的物聯網安全基線指南》[11]，提出了關鍵基礎設施安全基線分析框架，引入多種關鍵基礎設施角色；2018年5月，《歐盟“關鍵信息設施”網絡與信息安全(network and information security, NIS)指令》[12-13]，要求成員國建立國家網絡安全戰略、網絡安全事件應急小組、國家網絡與信息安全主管部門，確定基礎服務運營商名單，這標志著歐盟關鍵基礎設施保護體系搭建工作全面開展.成員國建立的國家網絡安全戰略中應包括關鍵基礎設施保護工作的現實依據、框架條件、基本原則、戰略目標和保障措施等內容.前面提到的《工業控制系統網絡安全最佳實踐》，英國國家網絡安全中心也參與其中，說明英國和歐盟各國也逐漸關注到關鍵基礎設施漏洞管理，逐漸進入到將關鍵基礎設施漏洞管理工作獨立出來的發展階段.

① 全國信息安全標準化技術委員會WG7信息安全管理工作組. 關鍵信息基礎設施網絡安全框架(草案)[S] (2018).

1.2 我國關鍵信息基礎設施保護體系建設現狀

回顧我國關鍵信息基礎設施保護工作，2017年6月起實施的《網絡安全法》標志著我國將關鍵信息基礎設施保護工作提升到立法高度.《網絡安全法》作為上位法規定了關鍵信息基礎設施保護的總要求，而《關鍵信息基礎設施安全保護條例》是落實關鍵信息基礎設施保護的專門規章.為了配合法律法規的落地，我國正在起草制定一系列關鍵信息基礎設施保護標準，《關鍵信息基礎設施安全控制措施(征求意見稿)》[14]對關鍵信息基礎設施保護相關角色和職責進行了明確，分為關鍵信息基礎設施運營者、關鍵信息基礎設施安全保護工作部門、關鍵信息基礎設施安全保護中的其他參與者3類，并在該標準中對關鍵信息基礎設施運營者在漏洞管理、資產管理、人員責任和培訓、漏洞監測控制等方面提出了目標要求；《關鍵信息基礎設施網絡安全框架(草案)》①給出了關鍵信息基礎設施運營者的具體定義；《關鍵信息基礎設施網絡安全保護基本要求(報批稿)》對關鍵信息基礎設施運營者在業務識別、資產識別、風險識別、變更過程、安全制度、人員管理等方面提出了目標要求；《關鍵信息基礎設施安全保障指標體系(報批稿)》[15]給出了關鍵信息基礎設施運營者的信息安全漏洞數據庫中漏洞數據量和漏洞等級的指標計算方法；《關鍵信息基礎設施安全防護能力評價方法(征求意見稿)》[16]和《關鍵信息基礎設施安全檢查評估指南(送審稿)》[17]分別從不同的管理粒度提出了關鍵信息基礎設施安全評估、評價需考慮的資產、業務、風險等要素的要求，同時給出了檢測關鍵信息基礎設施漏洞存在情況應采用的方法和技術手段.

通過對我國關鍵信息基礎設施保護體系建設情況的分析，如果關鍵信息基礎設施安全保護工作部門能夠綜合運用好現行關鍵信基礎設施保護和漏洞管理標準，形成關鍵信息基礎設施漏洞發現的良性循環，不斷完善關鍵信息基礎設施評估與共享體系，加強關鍵信息基礎設施間的漏洞保護合作與關聯.同時配合現行關鍵信基礎設施保護和漏洞管理標準，針對關鍵信息基礎設施運營者編寫一套指南類標準(該標準向關鍵信息基礎設施運營者提供關鍵信息基礎設施漏洞庫、補丁庫建設方法，涵蓋資產管理、人員管理和關鍵信息基礎設施保護其他參與者管理等內容)，將進一步健全我國關鍵信息基礎設施管理體系，深化推進《網絡安全法》和《關鍵信息基礎設施安全保護條例》的落實工作.

2 國內外漏洞管理標準及理論成果

2.1 國內外漏洞管理標準

現行的漏洞管理類標準要么從漏洞處理的某個角度定義了漏洞生命周期后，進行規范的制定，要么是以漏洞某一屬性，進行漏洞某一特性的分析.所以，根據不同漏洞生命周期和通用特性為劃分標準，漏洞管理標準可分為以下3類：

1) 漏洞生態中的漏洞生命周期標準

該類標準的漏洞生命周期大體分為漏洞發現、漏洞接收、漏洞驗證、漏洞處置、漏洞發布(披露)等幾個環節.其使用主體為產品廠商、漏洞庫建設者、安全服務人員等.顯著特點是該類標準規范了漏洞報送和披露的流程，可以促進廠商提升版本管理、補丁管理、安全管理等的規范程度，提升產業生態良性發展空間.其中代表性的漏洞管理相關標準為《ISO/IEC 30111：2019信息技術-安全技術-漏洞處理流程》[18]《ISO/IEC 29147：2018 信息技術-安全技術-漏洞披露》[19]《GB/T30276—2020信息安全技術 網絡安全漏洞管理規范》[20]等.

2) 漏洞消控工作中的漏洞生命周期標準

該類標準聚焦的是資產中的漏洞消控流程，核心工作是漏洞排查和漏洞修復.其使用主體應該是某一組織或實體，或者是關鍵信息基礎設施運營者.這類標準的代表是：以《NISTIR 8011 第4卷 安全控制評估自動化支持：軟件漏洞管理》[21-24]為代表的“NISTIR 8011系列標準”、《NIST 800-40 第2版 創建補丁和漏洞管理程序》[25]《NIST 800-40 第3版 企業補丁管理技術指南》[26]《NCSC(National Cyber Security Centre)漏洞管理》[27]等.

3) 描述漏洞通用特性的標準

該類標準包括以《ITU-TX.1520 網絡安全漏洞常見標識》[28-32]為代表的“ITU-T漏洞管理系列標準”《GB/T 28458—2020信息安全技術 網絡安全漏洞標識與描述規范》[33]《GB/T 30279—2020信息安全技術網絡安全漏洞分類分級指南》[34]等.該類標準是針對漏洞的某一特性，或組成漏洞的某一元素進行規范后形成的標準.

2.2 國內外關鍵信息基礎設施漏洞管理最新研究成果

美國先后發布的《持續診斷和緩解方案》[35]《協調漏洞披露》[36]《關鍵基礎設施安全和恢復指南》[37]《國家網絡事件相應計劃》[38]等，從關鍵基礎設施風險、關鍵基礎設施資產、關鍵基礎設施漏洞共享等不同角度，闡述了在國家層面關鍵信息基礎設施漏洞保護的目標和要求，特別強調了不同關鍵信息基礎設施之間的強關聯性導致的關鍵基礎設施漏洞共享，以及漏洞庫在關鍵基礎設施漏洞管理中的作用，對關鍵基礎設施安全保護工作部門具有很高的參考價值.歐洲網絡與信息安全局在《2018/2019漏洞狀態：漏洞生命周期中的事件分析》[39]報告肯定了漏洞庫在關鍵信息基礎設施漏洞管理中的重要作用，但同時認為所有的漏洞庫都不可能是足夠完整的，所以應搭建適合自己的漏洞庫，該報告給出的“漏洞模型”和“漏洞研究方法模型”對關鍵信息基礎設施運營者進行漏洞管理具有很高的借鑒意義.

桑迪亞國家實驗室和卡耐基梅隆大學的觀點均認為，關鍵信息基礎設施漏洞消控管理應考慮能承受的風險、可支付的成本，并制定相應的計劃，同時要對消控結果進行評估.卡耐基梅隆大學在美國國防部資助成立的研究和發展中心承擔的美國國土安全部(DHS)網絡安全評估項目(cyber security evaluation program, CSEP)中先后共開發了10個CRR(cyber resilience review)資源指南，除了《漏洞管理》[40]指南提供了建立漏洞管理流程的指導性建議外，其他指南涉及了《資產管理》[41]《控制管理》[42]《配置和變更管理》[43]《事件管理》[44]《服務連續性管理》[45]《風險管理》[46]《外部依賴關系管理》[47]《培訓和意識》[48]《態勢感知》[49]等內容.是適合美國國情的關鍵信息基礎設施漏洞保護的體系性文件，對于我國關鍵信息基礎設施漏洞消控管理標準的制定具有極為重要的參考價值.

國內外的企業及機構根據自己的市場經驗和本國國情，給出了不同的漏洞消控方法論和模型，雖然各自的階段劃分不完全相同，但基本都具有準備、制定計劃、執行操作、檢驗評估和循環改進5個步驟.

雖然各國政府主管部門、科研院所、企業及機構的漏洞消控前沿理論，對建設我國關鍵信息基礎設施漏洞消控管理標準具有重要的參考價值，但目前國內外的漏洞消控理論在定義資產屬性、處理流程、屬性規范等方面均存在較大差異，需要根據我國的基本國情重新進行梳理，編制出具有我國關鍵基礎信息基礎設施特色的領域標準.

3 關鍵信息基礎設施漏洞管理標準化建議

3.1 關鍵信息基礎設施漏洞管理與我國現行漏洞管理標準對比

關鍵信息基礎設施安全保護工作部門對關鍵信息基礎設施漏洞管理站位較高，需總體協調漏洞資源，實現不同關鍵信息基礎設施間的漏洞共享，對關鍵信息基礎設施漏洞消控工作提出總體目標要求，促進關鍵信息基礎設施漏洞管理生態良性循環.關鍵信息基礎設施運營者視角的漏洞管理最為關心的是資產上的漏洞消控問題，所以對于信息資產的管理、應用環境下漏洞危害的評估方法和漏洞消控快速處置機制是最為突出，也是關鍵信息基礎設施運營者最為關心和關注的問題.可以看出關鍵信息基礎設施運營者的漏洞消控問題是核心，也是重點.

大部分關鍵信息基礎設施運營者也是信息系統建設者，信息系統建設者視角下的安全生命周期可劃分為立項(系統規劃)、開發(系統分析、系統設計、系統實施)、運維和廢棄[50]4個階段，關鍵信息基礎設施運營者的漏洞管理工作貫穿其中.由于關鍵信息基礎設施的漏洞管理是基于漏洞消控的漏洞管理，所以首先面對的就是脆弱性資產上的漏洞消控問題.從關鍵信息基礎設施運營者視角觀察資產(或系統)的使用狀態，可分為2大類：一類是已經在使用中的資產(或系統)；另一類則是已經完成開發、等待上線的系統.對于第1類資產的漏洞管理流程，主要包括漏洞發現、脆弱性資產排查、消控方案制定、漏洞消控等階段；第2類資產的漏洞管理流程則包括漏洞發現(代碼掃描、滲透測試等手段)、漏洞修復、回歸測試等幾個階段.關鍵信息基礎設施的漏洞生命周期和現行國標漏洞生命周期的對比如圖1所示：

圖1 關鍵信息基礎設施的漏洞生命周期和現行國標漏洞生命周期的對比圖

3.2 關鍵信息基礎設施漏洞管理標準框架

關鍵信息基礎設施的漏洞消控管理往往涉及資產(探測)管理、事件型漏洞的發現與處置、通用型漏洞事件化管理、系統化的補丁收集與分發管理、防護方案的制定與驗證管理、紅藍隊的組織與管理、外部力量的使用與管理等.因此，其要素可以概括為漏洞管理、資產管理、補丁管理、人員管理和組織管理.每個要素又可分為準備、規劃、執行、監控和變更5個管理階段，覆蓋關鍵信息基礎設施2種情況下的漏洞生命周期，關鍵信息基礎設施漏洞消控管理各組成部分的相互關系，如圖2所示.

圖2 關鍵信息基礎設施漏洞消控管理各組成部分的相互關系

漏洞管理：作為消控單元具體參考的核心數據，建立全面、準確、規范的漏洞庫對整體的消控起到關鍵性的作用；另外，基于不同用戶需求建立滿足不同場景的專項漏洞庫對指導具體領域的消控也很重要；漏洞庫建立過程中涉及到的分類、數據源準確性判斷、漏洞類型劃分、漏洞危害定級等都對漏洞庫的質量提出了明確的需求.

資產管理：資產作為消控的主體單元，對資產的編排、監控、部署等信息的獲取或收錄也同樣面臨重大的挑戰；摸清家底，并對家底的相關信息部署結構以及重要性進行標識，對進行具體資產的漏洞消控有很好的參照性.

補丁管理：補丁庫作為漏洞消控的主要資源，對補丁的收錄、可用性、安全性、有效性的驗證也成為漏洞消控的重要一環；另外，補丁在具體使用過程中也應做好相關管控記錄，保證補丁的整個使用過程可視化、可監控.在此將消控方案也視為補丁管理的一部分，因為漏洞消控主要分為2個方面：一方面，通過安裝相關補丁實現對漏洞的消控，而安裝補丁與具體的業務系統相關，如果安裝補丁對業務系統沒有影響，可以達到消控的目的；如果安裝補丁會對業務系統帶來潛在風險，那么不能通過補丁完成漏洞消控的目標；另一方面，可以通過構建有效的加固方案來達到控制漏洞的目的.因此，通過建立針對相關漏洞的有效加固方案的方法同樣重要.

人員管理：漏洞消控的主體是資產，而具體操作是執行人.因此，通過2方面建立人員管理制度：1)建立合規的漏洞消控規約制度，保障按照一定的指南標準來實施漏洞消控的相關步驟；2)加強人員的網絡安全素養，強化實施人在資產安全加固和安全知識體系的建設，做到知其然知其所以然.

組織管理：針對《關鍵信息基礎設施安全控制措施(征求意見稿)》中定義的關鍵信息基礎設施保護中的其他參與者而言，主要是對安全產業內參與關鍵信息基礎設施運營者漏洞管理工作的相關合作廠商的管理.通過客觀、合理、高效的外部依賴關系管理，能夠更加有效地使用外部資源，提升關鍵信息基礎設施運營者漏洞管理效率，充分利用產業資源，形成良好產業生態.

關鍵信息基礎設施運營者視角下的漏洞全生命周期管理由一系列以漏洞消控為核心的安全管理活動組成.關鍵信息基礎設施漏洞消控管理的工作過程如表1所示:

表1 關鍵信息基礎設施漏洞管理要素、階段與過程

漏洞消控管理5要素與漏洞消控5階段交叉細分為32個工作過程，其中漏洞管理包括12個工作過程、資產管理包括7個工作過程、補丁管理包括4個工作過程、人員管理包括6個工作過程、組織管理包括3個工作過程.關鍵信息基礎設施運營者漏洞消控工作標準化工作，可通過對上述32個工作過程的剖析尋求合理的解決之道.

4 總 結

本文從對國內外關鍵信息基礎設施保護體系建設的歷史出發，總結出其發展的客觀規律，結合我國發展現狀，認為現階段正是我國處于為關鍵信息基礎設施運營者建立專門的漏洞消控相關標準的時期，該標準的出臺可促進關鍵信息基礎設施系統化開展漏洞消控管理工作.本文通過對國內外漏洞管理標準及理論研究成果進一步的研究，及關鍵信息基礎設施漏洞生命周期與現行國標漏洞生命周期的對比分析，概括總結了關鍵信息基礎設施漏洞消控管理5要素、5階段和32個工作過程，該模型可作為編制具有我國關鍵信息基礎設施特色標準的基礎，繼續深化形成具有良好適用性和可用性的國家標準.