扫码订阅《中国信息安全》
邮发代号 2-786
征订热线:010-82341063
编者按
国家信息安全漏洞库(CNNVD)漏洞奖励计划主要面向单位、团队、个人等社会漏洞研究和发现者。该计划以公平公正、科学择优和安全保密的原则对其发现报送的符合条件的高危通用型漏洞进行奖励,旨在鼓励和引导这些漏洞研究和发现者积极有序向国家提交高价值漏洞信息,进一步促进我国网络安全漏洞预警及风险消控工作的开展与落实。CNNVD 是中国信息安全测评中心切实履行漏洞分析和风险评估的职能之一,为我国信息安全保障提供基础服务。今年,CNNVD 对收集的通用型漏洞,经过规定的程序筛选和评审后,对送报符合条件的高危及以上漏洞的单位和个人实施奖励,鼓励他们在我国网络安全漏洞预警及风险消控工作中发挥的积极作用。为此,本刊采访了获奖个人和获奖单位代表。
整体提高我国信息安全漏洞研究水平和预警能力
雷承霖
烽台科技(北京)有限公司副总经理、灯塔实验室创始人
随着工业自动化的飞速发展,工业系统的重要性逐渐凸显出来,未来工业系统发展将越来越重视智能化、网络化、安全性和可靠性,所以,工业系统的漏洞会越来越多。工业系统漏洞的影响不同于其他领域漏洞,这类漏洞会直接导致生产安全事故风险增加、生产效率下降、质量下降、投资增加、数据泄露等严重的经济生产损失。此外,这些事件还可能导致敏感数据泄露、知识产权盗窃以及法律责任和监管风险等问题。可以说,工业漏洞问题的影响是全方位的,不仅会影响生产效率,还会造成行业发展、国家安全等方面的重大问题。工业漏洞牵涉甚广,是长期战略性防御资源。因此,国家、行业、企业需要重视工业漏洞问题,采取积极有效的措施进行防范应对。
在漏洞研究方面,烽台科技的固件分析和二进制漏洞挖掘经验丰富,主要专注在工业软硬件、工业物联网、工业装备等方向进行漏洞研究。依托公司工业靶场平台仿真和测试验证能力,合规展开漏洞风险测试验证。同时,烽台科技注重研究团队内部管理和培训,从发现、验证、报送、修复等全生命周期对漏洞进行合规管理,与国家信息安全漏洞库和网络安全主管部门紧密合作,共享信息,协调处置漏洞。
烽台科技早期在灯塔实验室博客发布了多个关于工业行业安全的研究和分析报告,目的是帮助用户和工业领域认识到安全的重要性,提升行业用户的安全意识。近些年,我们在工业控制软硬件、工业物联网、工业装备等安全研究方面实现了多个领域的零突破,还利用主被动监测与大数据分析相关技术,实现了全球工业互联网威胁情报的分析、跟踪、处理。在日常研究过程中,我们接触到了大量工业软硬件设备漏洞,也参与诸多安全风险事件的协调处置。我们发现,大量的数据采集与监视控制系统(SCADA)和工业实时数据库,甚至工业控制设备,都直接暴露在互联网上,一旦相关软硬件被发现漏洞,就极易被批量远程攻击。我们认为,必须要有国家层面的监管机构,长期关注相关漏洞威胁情报和事件威胁情报,才能有效提升行业信息安全能力,通过形成漏洞/安全事件收集、分析、处置、披露的良性机制,整体提高我国信息安全漏洞/安全事件的研究水平和预警能力。
国家信息安全漏洞库(CNNVD)为我国重要行业和关键基础设施安全保障工作提供了重要技术支撑和数据支持,在我国网络和信息安全保障工作中发挥了重要作用。所以,烽台科技积极参与配合国家信息安全漏洞库工作,持续提供高质量原创高中危漏洞,主动报送相关漏洞挖掘成果和各项任务。国家信息安全漏洞库的漏洞奖励计划在漏洞预警及风险消控工作中发挥积极作用,也是一种鼓励白帽子和安全研究人员主动寻找并报告相关漏洞的积极方式,降低了潜在高危漏洞被大规模利用的风险,帮助重要行业积极建立防御机制。未来,烽台科技还将继续发挥在漏洞挖掘与分析领域的优势,积极响应国家号召,与政府部门、行业用户、安全厂商、高校和科研机构携手,为国家网络安全贡献企业力量,为数字中国建设筑牢安全基底。
需国家级漏洞平台督导网络安全漏洞工作
田楠 肖世锋 包飞 刘岱 石育 鲁瑾慈 田悦
国网湖南省电力有限公司湘西供电分公司
网络安全是天大的事,网络安全是天下的事,网络安全是天天的事。只有每个人都了解网络安全知识,掌握网络安全防护手段,确保在工作、生活中不被网络安全事件所波及甚至伤害,国家的网络安全才能得到保障。
(本文刊登于《中国信息安全》杂志2023年第5期)
《中国安全信息》杂志倾力推荐
“企业成长计划”
点击下图 了解详情
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...