【专家博客】SCADA安全：新的漏洞披露框架向前迈进了一步

       这是verizonbusiness.com上Think Forward博客的一段摘录。

       7月23日，工业控制系统联合工作组（ICSJWG）发布了一份关于披露工业控制系统漏洞的框架的新文件，这一举措可能有助于关键基础设施资产拥有者。

常见工业控制系统漏洞框架

       美国国土安全部控制系统安全项目成立的工业控制系统联合工作组（ICSJWG），发布了文件——常见工业控制系统漏洞框架。制定该文件的目的是为供应商和系统集成商提供基于共识的指导，来帮助他们创建ICS漏洞披露策略。这份新文件向行业提供了在发现漏洞后，如何把这些缺陷透漏给供应商和用户以便进行补救的一个可遵循的依据。

       工业控制系统联合工作组指出，新文件是“一个动态文件，为了反映资产拥有者和IT团体的期望，该文件会持续发展。”

       该文件是一个很好的起点。关键部分包括：
       • Software Vulnerabilities (Types and Associated Remediation)
       •软件漏洞（类型和相关修复）
       •披露类型（私人，公用，第三方）
       •漏洞披露政策内容
       •附录–术语/名词解释
       •附录–样例披露政策概述
       •附录–参考文献

继发现Stuxnet后，影响电网等关键基础设施的ICS漏洞的披露在2011年开始大幅上升。工业控制系统联合工作组发布的新框架能极大地改善漏洞披露的方式，使用户能更容易地评估威胁并采取相应的措施。

ICS/SCADA供应商–开始使用该框架吧！

       就像工业控制系统联合工作组发布的框架中指出的那样，该文件是“一个动态文件，为了反映资产拥有者和IT团体的期望，该文件会持续发展。”

       如果你使用了ICS/SCADA系统，尤其是如果你意识到了系统存在漏洞但却不知道该如何处理，我强烈建议你查看该框架并将其作为指导文件。

       其次，如果贵公司开发和/或测试ICS/SCADA软件，强烈建议你开始实施该框架，并创建你自己的处理ICS漏洞及最终披露的内部政策和规程。

        您对于供应商如何处理漏洞有什么看法？如果你是资产所有者，使用新框架的供应商能满足您对信息和缓解措施的需求吗？