刘传水，于振宁，刘晶晶，孙志刚，魏 婷，胡 涛

（渤海石油装备华油钢管有限公司，河北 青县 062658）

0前言

随着大数据、云计算、人工智能为代表的新一代信息技术蓬勃发展，现有的螺旋焊管生产模式正在加速向智能制造发展。智能制造是通过新一代信息技术、自动化技术、工业软件及现代管理思想在制造企业全领域、全流程的系统应用而产生的一种全新的生产方式，它要求在生产者与客户、生产者与供应商之间，以及企业内部设备层、控制层、管理层之间进行海量实时跨地域跨网络的数据交换与处理。

与此同时，网络空间已经成为继“陆、海、空、天”之后的第五大战略空间，是影响国家安全、社会稳定、经济发展和文化传播的关键因素。 “没有网络安全就没有国家安全”，而网络安全本质是人与人之间的对抗，以近年持续开展的实网演习为代表，网络空间攻防对抗态势不断升级，新时代的网络安全已经由过去的合规驱动逐步走向风险驱动和对抗驱动，传统的安全理念和防御手段越来越难以满足智能制造发展需要。

信息安全管理人员要适应对抗新常态，必须以攻击者的角度自下而上重新看待自身所管理的网络世界，在这个角度上所见到的不再是清晰有序的ERP、MES等信息系统或其集成，而首先是可到达的IP、IP上开放的端口以及这些端口上所运行的服务组成的集合。攻击者通过各种方法，利用硬件、软件、协议或系统安全漏洞，在网络环境中绕过现有的安全防护措施，在未授权的情况下访问或破坏系统。因此，能否快速有效的对安全漏洞进行管理，从而增加攻击者利用漏洞的难度，是在网络安全对抗中取胜的关键。

1 安全漏洞变化趋势

国家信息安全漏洞共享平台（CNVD）的统计数据显示，2019年全年公布的漏洞总数为16 107个，其中仅高危漏洞就高达4 834个，但除一线互联网公司和安全意识领先的部分组织外，绝大部分企业和政府机构都无法快速准确进行漏洞的自查。2019年全年漏洞趋势如图1所示。

图1 2019全年信息安全漏洞数量统计结果

具体到工业网络而言，美国国家通用漏洞数据库在2020年上半年公开了涉及53个厂商产品的365个工业控制系统安全漏洞，较2019年同比增长了10.3%，其中75%的漏洞被通用漏洞评分系统 （CVSS）评级为严重和高风险级别。2020年美国国家通用漏洞数据库发布漏洞的CVSS严重性评级如图2所示。

图2 美国国家通用漏洞数据库发布漏洞的CVSS严重性评级统计结果

其中台湾Moxa科技股份有限公司产品漏洞数量最多，达到了39个，紧随其后的是艾波比集团公司（ABB）、西门子股份公司（Siemens）、万可公司 （Wago）和施耐德电气 （Schneider Electric）。这365个漏洞中有70%可以通过网络远程利用进行攻击，尤其是新冠疫情期间，工作人员居家办公，通过互联网远程连接进行业务运营和运维管理，带来了更高的安全风险。同期通过本地进行漏洞利用的攻击比重从2019年上半年的13.9%上升到了2020年上半年的22.5%，网络钓鱼等社会工程学攻击成为了主要的恶意攻击方式。

更需要重视的是，在美国工业控制系统网络应急响应小组（ICS-CERT）2020年上半年发布的通报预警中，能源、关键制造、供水和废水处理等关键基础设施受到的漏洞影响最大。其中关键制造和能源行业的漏洞数量分别同比增长了87.3%和58.9%。

2 安全攻防的难点与痛点

根据国家相关法律法规、中石油集团信息安全相关要求，结合生产业务开展的实际需要，华油钢管有限公司多年来持续开展信息安全保障体系建设并且取得了不错的成绩。但受可支配的资源限制，从安全攻防的角度来看仍存在不足，主要体现在以下方面。

（1）信息资产管理的时效性问题。由于智能制造自身的特点，整个厂区内有线及无线网络全面覆盖，各类手持终端及物联网设备类型多样、数量庞大。从管理区域上来说，是从原有的配线架、信息点管理延伸到整个厂区的管理，考虑跳板攻击乃至无人机抵近WiFi中继可能性，管理区域边界甚至延伸到非本单位可控的地点。从管理对象上来说，是从原有的服务器、PC及工控机延伸到涵盖各类手持智能设备、物联网设备。从管理的颗粒度来说，是从固定资产台账管理延伸到信息资产的管理，需要管理并展现到IP、端口及协议或应用服务版本。在这些转变下，网络准入管理不能像传统方式一样一刀切，在边界不完全可控的情况下，网络安全管理人员迫切需要能够迅速发现并有效管理信息资产的技术手段。

（2）应用更新上线前的安全检测问题。根据网络安全等级保护2.0版本的相关制度，信息系统的应用安全本就是非常重要且不易实现的部分。然而智能制造不是一个具体的信息系统，而是企业ERP、MES、数字仓库等多个信息系统与网络的整体集成。任何一个信息系统状态的改变，都会对整体产生一定的影响。正因为此，在每个信息系统上线或者重要版本更新的时候，网络安全管理人员不仅应严格按照合规标准进行应用安全的检查，还应该请专业安全服务人员采用攻击者视角，以渗透测试的方式检查该系统本身及关联系统的安全性。如果缺少专业安全服务的介入，且网络安全管理人员的技术能力与精力又不足，就难以准确的评估上线信息系统的安全状态，无法掌握信息系统中存在哪些安全漏洞，以及这些漏洞在什么条件下会如何被利用，就无法排除生产应用过程中的安全隐患。

（3）安全漏洞的管理与修复问题。经由漏洞扫描工具，上线前的渗透测试等方式，可以了解现有信息系统的安全漏洞情况。但是安全漏洞的存在并不是一成不变的，几乎每天都会有新的漏洞被发现、公开，也会有漏洞被修补。对于网络安全管理人员来说，最大的困难在于如何准确地获知漏洞的变化情况，并从风险角度去评估漏洞重要性，从而及时、准确地做出响应。在我国，中国信息安全测评中心负责建设的国家级信息安全漏洞数据管理平台CNNVD可以免费提供最权威的安全漏洞预警信息，但将众多漏洞预警信息和信息资产进行结合匹配及风险评估，是一件专业且繁重的工作。同时，漏洞的修复需要信息系统的开发商、系统集成商等人员共同完成测试，确认修复效果及对相关功能的影响，才可能在生产环境中进行修复。因此，想要做好安全漏洞的管理，仅靠有限的人力难以完成每个漏洞从发现到评估风险，再根据风险程度决定是否修复，直到确认漏洞修复成功，急需技术手段与工具的有力支撑。

3 漏洞管理探索

为解决上述难点与痛点，笔者对国际与国内信息安全战略与技术发展趋势进行了对比分析。在战略层面，随着网络对抗愈演愈烈，漏洞成为彰显国家力量的战略资源，哪个国家掌握的安全漏洞更多、漏洞信息更准确、利用漏洞更巧妙，在网络战中就一定会占据更大的优势。因此网络安全发展到现在，就是在由过去的合规驱动逐步转向对抗驱动，漏洞管理由简单的扫描转向基于风险的精细管理。结合华油钢管有限公司的实际情况，早期的漏洞管理仅仅是基本的使用工具，扫描发现漏洞；随着等级保护等网络安全基本制度的推进，漏洞管理能力逐步发展到合规驱动的状态；未来将会逐步向基于风险的精细化漏洞管理演进。

就技术发展趋势而言，国际著名的信息技术研究与咨询分析机构Gartner将 “Risk-Based Vulnerability Management（基于风险的漏洞管理）”列入2020年十大安全项目。Gartner认为安全漏洞的补丁重要性是不同的，应该采用基于风险的方法来管理补丁程序，重点关注具有较高风险的系统和漏洞。Gartner提出的漏洞管理指导框架强调了资产识别、优先级评估、度量与优化等内容，形成一个全生命周期的安全漏洞闭环管理过程，管理流程如图3所示。

图3 安全漏洞管理流程图

通过学习和研究，笔者认为上述理论对于解决企业的实际需求具有重要指导作用。未来应该遵循基于风险的漏洞管理理念，开展安全漏洞管理平台的建设工作。该平台应能够分别从资产、风险评估、优先级、修复、持续改进与优化五大维度开展管理，同时能够第一时间获取漏洞情报和预警信息，并精准定位到企业内部受影响资产，解决作为信息化部门反而没有信息化工具支撑工作开展的尴尬局面。

4 网络安全管理思考

4.1 资产信息管理

建立完整且动态的资产台账是一切安全建设的基础，理想状态应基于指纹信息定期采用主被动结合的检测方式获取资产的端口、组件与版本、操作系统和设备类型等信息，从而快速准确地绘制网络资产暴露面，并通过周期性比对及人工确认的方式，构建一套完整的动态资产库。从而消除隐匿资产和老化资产带来的安全隐患，彻底解决资产管理的难题。建立完整的资产台账需要通过对端口、组件版本等信息的动态获取，实现对信息资产的全面清点、资产与业务的关联匹配以及全生命周期的动态跟踪。

资产数据具有较多的实体关系，传统的二维表模式难以实现实体关系的表达，因此资产需要更高维度表达，知识图谱能够很好地诠释资产的实体关系，能够将资产上下文数据、暴露面数据、脆弱性数据、威胁数据等内容进行关联分析，并以“图谱”形式进行展现，实现基于实体关系的多维度分析。图4所示为多维度资产信息图谱，根据图谱关系，可以从漏洞角度、端口服务、组件版本等多方面关联展示当前资产信息情况。

图4 多维度资产信息图谱

4.2 安全漏洞发现

相对于传统的基于版本特征的漏洞检测手段，基于PoC（Proof of Concept，概念验证/原理验证）的扫描方式更加精准，其准确性能够达到99%以上，并且在扫描效率上更加突出。原因在于传统漏洞检测手段会将大量的规则逐个应用检测，而基于PoC的扫描方式则是定向定点，仅需10 min即可完成数千资产的漏洞检测。基于PoC的检测方式能够极大地减少漏洞误报率，从而优化漏洞管理在人员和时间方面的投入成本。PoC扫描管理表如图5所示，可以看到当前流行的高危风险漏洞可以支持实时风险扫描，以快速准确地识别和发现安全漏洞。

图5 PoC扫描管理表

4.3 漏洞优先级评估方式

传统的漏洞优先级大多采用CVSS评分进行评估，但这样的评估方式过于片面，只关注漏洞本身的维度，却忽略了资产的重要性。所有的漏洞只有依附于实体或非实体的资产才有价值，因此必须采用基于风险的优先级评估方法从漏洞和资产两个维度去考虑问题，资产维度至少应包含设备类型、设备能力、设备作用等子项评分，而威胁维度则应包含网络曝光度、资产暴露度、资产漏洞等级等子项评分。这些评分应能够采用深度学习模式进行动态调整，随着时间的推移就能够拥有更适合自己的优先级评估方式。漏洞优先级的评估应从资产重要性评级ACR（Asset Criticality Rating）、网络曝光度评分CES（Cyber Exposure Score）、漏洞优先级评级VRP（Vulnerability Priority Rating）三方面进行。在ACR方面，资产的重要性表明资产自身的价值量，分数越高，表明价值量越高；ACR与风险成正比，即价值量越高，对应的潜在风险也会越高；在CES方面，资产所在网络的曝光情况，越是公开的网络，曝光评分越高，相应资产对应的风险越大；VRP方面，漏洞自身评级，根据CVSS、发布天数、影响范围等系数对漏洞进行评估，最终确定漏洞优先级。

4.4 漏洞自动化修复

漏洞管理中最重要的是漏洞修复，漏洞的修复时长是漏洞管理的重要考核指标之一。面对成千上万的漏洞信息，难以通过人工方式逐一修复，自动化漏洞修复应提供完善的补丁程序，实现自动化验证、自动化修复、自动化回滚等操作，将漏洞修复的风险降到最低，从而实现漏洞的批量修复。

4.5 持续改进优化

应将漏洞管理过程中的各项度量指标，通过可视化方式进行统计分析，将修复时长、修复率、扫描频率等各项指标进行可视化展现，便于管理人员进行漏洞管理过程的持续优化。漏洞资产综合分析示例如图6所示，资产通过PoC扫描验证，完成修复，最后将漏洞风险信息进行综合展示。管理人员根据业务实际情况不断进行优化改进工作。

图6 漏洞资产综合分析展示图

5 结束语

在当前网络安全漏洞层出不穷的形势下，单纯地通过传统漏洞扫描分析已经不能切实有效地解决企业所面临的的安全漏洞风险。资产的漏洞发现和修复已经是企业信息管理必不可少的工作，甚至是至关重要的内容。通过对抗新常态下焊管智能制造的一些网络安全建设思考，应当清晰地了解到漏洞管理应从资产的发现，到漏洞发现、风险评估、修复验证，到最后的持续改进优化，形成一个全生命周期的闭环管理，支撑企业构建完整的漏洞管理体系，精确定位高风险资产，快速响应，及时修复，保障业务系统安全运营。