（三）漏洞平台与生态建设_工业信息安全应急管理技术与实践-QQ阅读男生武侠网

上QQ阅读APP看书，第一时间看更新

（三）漏洞平台与生态建设

漏洞平台建设是各国网络安全保障工作中一项极为关键的基础性和长期性工作，一般由政府部门或官方组织负责漏洞平台的建设与运营。漏洞生态建设则需要工业信息安全产业链中各方力量的共同参与。当前，工业信息安全漏洞平台与生态的建设已经成为各国政府的重点工作。

1．漏洞平台建设

（1）ICS-CERT漏洞披露平台

美国ICS-CERT负责运营工业控制系统漏洞披露平台，协助工业控制系统供应商、工业企业等识别工控安全漏洞，制定健全的漏洞缓解策略，降低漏洞安全风险，进而改善美国的工业信息安全态势。ICS-CERT漏洞披露平台主要针对工业控制系统、智能设备、物联网等的漏洞，包含受影响设备、漏洞概述、解决方案、背景资料、其他事项5个方面的漏洞信息。

（2）NVD漏洞管理数据平台

NVD是美国NIST计算机安全部门和信息技术实验室开发的漏洞管理数据平台，于2005年推出，旨在为美国政府提供软件的漏洞和配置信息。NVD中收录了大量工业信息安全漏洞，提供漏洞影响指标、技术评估方法、漏洞修复参考信息。NVD的漏洞披露与CVE同步，提供了对CVE中披露漏洞的持续分析，并增加了漏洞技术细节、受漏洞影响产品等信息。NVD直接与供应商、安全研究人员等合作，以提高漏洞信息质量，并使用CVSS对每个漏洞进行评估。持续的漏洞分析和评估能够帮助NVD用户了解每个漏洞的严重性，并帮助用户更好地开展漏洞处置工作。

（3）CICSVD漏洞平台

我国的国家工业信息安全发展研究中心依托工控安全应急资源库的建设资源，联合国内漏洞研究优秀技术力量共同建立了我国工业领域首个国家级的信息安全漏洞平台，即国家工业信息安全漏洞库（China national Industrial Cyber Security Vulnerability Database，CICSVD）。

CICSVD面向钢铁、有色金属、石化化工、装备工业、消费品工业、电子信息、国防军工、能源、交通、水利、市政、民用核设施等行业领域，重点关注工业硬件、工业软件等相关产品和组件的安全漏洞、补丁及解决方案的研究。通过整合安全企业、个人等多方资源，CICSVD从多渠道广泛收集工业信息安全漏洞信息，对漏洞信息进行规范化、标准化的统一审核、验证、定级、收录、处置，同时结合验证结果和处置建议，面向政府和重要信息系统部门，以及通信行业、工业、安全行业等有关单位提供通报、处置等相关服务，逐步构建标准漏洞库、补丁库等漏洞知识库体系，切实提升在工业信息安全漏洞方面的整体研究水平和风险防范能力。

工业和信息化部委托国家工业信息安全发展研究中心建设并运营CICSVD。经过持续更新与迭代，CICSVD的技术能力持续优化，工业信息安全漏洞的共建共享范围稳步扩大，漏洞发现、上报、分析和处置的工作机制逐步深化，已收录西门子、施耐德电气、和利时、三菱、GE等全球200余家知名厂商的产品漏洞，成为我国工业领域漏洞收录最多、覆盖范围最广、最权威的国家级漏洞库之一。CICSVD注重技术积累，通过绘制行业企业漏洞画像、增强工业信息安全漏洞评估核心能力等，持续为工业信息安全漏洞预警、响应、风险排查等提供核心技术支撑。

（4）ICS-CNVD工控漏洞子库

由国家计算机网络应急技术处理协调中心运营的国家信息安全漏洞共享平台（China National Vulnerability Database，CNVD）通过号召和引导工控安全厂商、白帽子、工业企业等多方共同参与工控安全漏洞管理生态建设，上线了专门面向工业控制系统的工控漏洞子库——ICS-CNVD。截至2022年5月，ICS-CNVD累计收录了3100余个漏洞，其中高危漏洞占比超46%。ICS-CNVD对于国内工业信息安全漏洞和安全事件的发现、分析、预警，以及提升漏洞整体研究水平等提供了重要的数据支持。

2．漏洞生态建设

工业信息安全漏洞生态建设是全面提升漏洞管理能力的重要手段。只有集合产品提供者、网络运营者及个人组织机构等全产业链上下游力量共同加强漏洞全生命周期管理，才能更好地提升工业信息安全漏洞统一管理能力。

目前，国内外纷纷通过举办与工业信息安全漏洞管理相关的培训、论坛、沙龙等活动，加强漏洞管理政策标准文件宣贯，推进工业信息安全漏洞技术研究与生态建设。例如，根据国内公开的漏洞管理相关培训及活动情况来看，CICSVD运营方已经为全国各地的网络安全机构、工业企业等搭建了交流合作平台，通过讲解相关政策标准文件、分享漏洞管理最新研究成果、共同探讨如何构建高效的漏洞库运行管理工作机制等，助力业界提升工业信息安全漏洞管理能力。

除了继续推进上述活动外，还需要围绕以下方面进一步加强漏洞生态建设。

具备政策研究能力的科研机构，需要推进安全漏洞管理标准体系建设，强化漏洞评分、报告、命名、分类分级等国家标准的研究，细化行业标准制定。

具备漏洞库运营能力的机构，则要充分发挥对漏洞平台的调动作用，以完善平台运营和管理机制为依托，以平台建设为突破口，规范工业信息安全漏洞管理工作，充分发挥网络产品提供者、网络运营者、网络安全企业、专业机构、研究人员等组织或个人的作用，共同推动漏洞及时发现、报告和有效处置，培育网络安全漏洞管理的良好生态；结合漏洞管理政策标准，明确管理要求，指导漏洞上报方、漏洞研判方、漏洞处置方根据漏洞评级，及时、有序开展漏洞跟踪、研究、修复工作，推动部署最佳防护策略。

工业领域网络产品使用者（通常为工业企业）需要落实政策法规要求，做好工业信息安全漏洞修补与处置工作。同时，可以联合产品提供者以及从事漏洞发现、收集、发布等工作的组织或个人等各类主体持续构筑漏洞生态，如通过开展漏洞验证众测活动促进漏洞发现与修补等。