工业控制系统信息安全漏洞管理思考与实践

工业控制系统信息安全漏洞管理思考与实践正文目录目录TOC\o"1-5"\h\z正文目录 1插图目录 2编者按 2前言 2.工控安全漏洞的内涵与外延 21.工控安全漏洞是网络安全漏洞的一种 2\o"CurrentDocument"工控安全漏洞分类方法多样 3\o"CurrentDocument"工控安全漏洞特性 4\o"CurrentDocument"2.工控安全漏洞管理现状 4\o"CurrentDocument"1.工控安全漏洞管理法律基础不断夯实 4\o"CurrentDocument"2.工控安全漏洞管理组织架构完善健全 5\o"CurrentDocument"3.工控安全漏洞管理工作流程更加规范 5\o"CurrentDocument"5个工业控制系统中的常见漏洞 6\o"CurrentDocument"1.哪些工业控制系统存在漏洞? 6\o"CurrentDocument"2.缓冲区溢出 7\o"CurrentDocument"3.未经身份验证的协议 7\o"CurrentDocument"5.不及时采用软件 8\o"CurrentDocument"6.密码政策或管理不力 8\o"CurrentDocument"4.工控网络安全漏洞的分类与标准化管理 91.概述 9\o"CurrentDocument"2.工控网络安全漏洞分类 9\o"CurrentDocument"3.工控网络安全漏洞标准化管理 10\o"CurrentDocument"4.工控网络安全检测系统 11\o"CurrentDocument"5.小结 12\o"CurrentDocument"5.工控安全漏洞管理实践 12\o"CurrentDocument"1.工控安全漏洞收录范围 13\o"CurrentDocument"2.工控安全漏洞全生命周期管理 13\o"CurrentDocument"2.1.漏洞研判与收录 13\o"CurrentDocument"2.2.漏洞通报与处置 13\o"CurrentDocument"3.多方共建工控安全漏洞生态 14\o"CurrentDocument"工控安全漏洞管理的思考 14\o"CurrentDocument"6.1.建立健全漏洞管理政策标准体系 15\o"CurrentDocument"6.2.加强工控安全漏洞风险识别监测 15\o"CurrentDocument"3.加快培育工控安全漏洞管理生态 15插图目录图1自动化中使用的工业控制系统组件概述 7图2《信息安全技术网络安全漏洞管理规范》给出了漏洞生命周期管理流程........11编者按本文围绕工控安全漏洞的概念、分类及特点，立足我国产业发展实际，分析了法律政策环境，结合国家工业信息安全漏洞库运营实践，提出加强工控安全漏洞管理的工作思考。刖己随着工业领域数字化、网络化、智能化发展加速，工业控制系统风险暴露面持续扩大，工业控制系统信息安全(以下简称工控安全)漏洞成为网络安全攻击的众矢之的，被利用风险不断攀升，产业各界高度关注工控安全漏洞管理工作。本文围绕工控安全漏洞的概念、分类及特点，立足我国产业发展实际，分析了法律政策环境，结合国家工业信息安全漏洞库运营实践，提出加强工控安全漏洞管理的工作思考。.工控安全漏洞的内涵与外延工控安全漏洞是网络安全漏洞的一种目前国内外针对工控安全漏洞尚无确切的定义，但关于网络安全漏洞定义已有相对成熟的研究成果。如我国发布的国家标准《信息安全技术网络安全漏洞标识与描述规范》(GB/T28458-2020)将网络安全漏洞定义为"网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程中，无意或有意产生的、有可能被利用的缺陷或薄弱点”。英国国家网络安全中心（NCSC）指出"漏洞是信息系统中的弱点，攻击者可以利用该漏洞进行成功的攻击。它们可能通过缺陷、功能或用户错误而产生”。美国国家标准与技术研究院（N1ST）发布的N1STIR7298《关键信息安全术语汇编》中，定义的漏洞是"信息系统、系统安全程序、内部控制或实施中可能被威胁源利用的弱点"。美国N1STSP800-82《工业控制系统安全指南》强调工控安全漏洞是网络安全漏洞的细分项，"漏洞是指信息系统（包括1CS）、系统安全程序、内部控制或实施中可能被威胁源利用或触发的弱点”。基于对上述定义的共性特征分析，可进一步明确工控安全漏洞可能出现在ICS的全生命周期，且具有可利用性，一旦被恶意利用或将严重威胁,1CS安全。各国对于工控安全漏洞范围的界定不尽相同：1）美国将组织内部控制策略和程序脆弱性纳入漏洞范畴，如缺乏安全培训、未制定1CS操作指南、缺少安全审计等；2）我国通常将其归为安全管理的薄弱环节而非漏洞，仅将有关ICS的软件、硬件、协议等的缺陷或薄弱点视为工控安全漏洞。总体来看，工控安全漏洞即工业控制系统（以下简称ICS）存在的信息安全漏洞，属于网络安全漏洞（又称漏洞/脆弱性）的特定类型。1.2.工控安全漏洞分类方法多样漏洞分类是漏洞研究的基础。工控安全漏洞具有多方面的属性，可从不同角度对其进行分类：1）一是基于工控安全漏洞存在的位置进行分类。系统（硬件、固件和软件）漏洞可细分为5类：架构和设计漏洞（如系统设计缺陷）、配置和维护漏洞（如系统配置错误卜物理漏洞（如设备故障）、软件开发漏洞（如数据验证不当卜通信和网络漏洞（如不安全的协议、防火墙配置错误）。2）二是基于工控安全漏洞产生的原因进行分类。可以划分为代码问题、处理逻辑错误、弱口令、拒绝服务等多种类型。3）三是基于工控安全漏洞影响的产品进行分类。可划分为工业生产控制设备漏洞、工业网络通信设备漏洞、工业控制系统协议漏洞、工业控制软件系统漏洞、工业生产信息系统漏洞、工业网络安全设备漏洞等6类。1.3.工控安全漏洞特性1）一是系统固有漏洞多。传统1CS运营在封闭的环境中，设计时侧重功能性、可靠性而非安全性，基本不具备防范各类网络攻击的能力。在互联互通的新应用场景下，ICS存在大量天然的安全缺陷或漏洞，且多为可造成远程攻击、越权执行的高危级别。2）二是漏洞修复难度大。考虑到开机调试成本、系统运行成本、系统稳定性等因素，ICS通常处于长时间不间断运行状态，无法高频次开展补丁安装、漏洞修补等工作。此外，ICS运行的操作系统版本老旧，存在漏洞补丁兼容性差等问题，大量工控安全漏洞长期存在于工业生产环境中。3）三是漏洞利用危害大。目前，漏洞利用已经成为不法分子发动网络攻击的主要方式。1CS作为关键信息基础设施的重要组成部分，一旦工控安全漏洞被恶意利用，不仅可能造成工业生产中断，还可能危害国家安全、影响国计民生。工控安全漏洞管理现状面对日益严峻的漏洞形势，近年来我国出台了一系列法律法规文件，明确了漏洞管理的法律基础、组织架构和工作流程。工控安全漏洞管理法律基础不断夯实《网络安全法》为工控安全漏洞管理奠定了法治基础。《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律，其中第三、四、六章围绕网络产品的标准制定、漏洞管理、安全审查等对网络产品提供者、运营者等主体的法律责任进行了描述。《关键信息基础设施安全保护条例》为针对关键信息基础设施合规开展工控安全漏洞探测等提供了重要法治保障。《条例》建立了关键信息基础设施漏洞探测、渗透性测试活动的批准机制，明确未经批准或授权，任何个人和组织不得对关键信息基础设施实施上述活动，并专门规定了相应罚则。《网络产品安全漏洞管理规定》（以下简称《规定》）推动了包括工控安全漏洞在内的网络产品安全漏洞管理工作制度化、规范化、法治化。《规定》是《网络安全法》中漏洞管理具体条款的细化落实，规范了漏洞发现、报告、修补和发布等行为，鼓励各类主体发挥技术和机制优势合规地开展漏洞发现、收集、发布等工作，有助于提高相关主体漏洞管理水平。2.工控安全漏洞管理组织架构完善健全《规定》细化了行业主管部门的漏洞管理职责分工，明确了网络产品提供者、网络运营者以及从事漏洞发现、收集、发布等活动的组织或个人等三类责任主体安全义务，进一步健全完善了漏洞管理组织架构：1）行业主管部门。在漏洞监督管理方面，国家互联网信息办公室负责网络产品安全漏洞管理的统筹协调；2）工业和信息化部（以下简称工信部）负责网络产品安全漏洞的综合治理，承担电信和互联网行业网络产品安全漏洞的监督管理；3）公安部依法打击利用网络产品安全漏洞实施的违法犯罪活动。4）三部委实时共享漏洞信息，共同评估和处理重大安全漏洞，同步备案的漏洞收集平台。5）网络产品提供者和网络运营者。在工控安全漏洞管理体系中，主要包括工控产品提供者、工控安全厂商和工控产品运营者等，其主要职责为修复自身1CS产品的安全漏洞，从源头消除漏洞风险，防范恶意利用，避免安全事件发生。6）从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人。《规定》要求漏洞收集平台需向工业和信息化部备案，并鼓励发现安全漏洞的组织或者个人向工信部网络安全威胁和漏洞信息共享平台等报送信息。通过将相关组织和个人纳入漏洞管理组织架构，促进其在合法合规的条件下发挥更大的价值。3.工控安全漏洞管理工作流程更加规范《规定》全面考虑各方主体，明确了漏洞管理不同环节的合规要求，进一步规范了包括工控安全漏洞在内的漏洞管理工作流程。1）漏洞发现方面，要求网络产品提供者和网络运营者建立健全漏洞信息接收渠道并保持畅通，并对漏洞信息接收日志留存时间做出明确规定。2)漏洞报告方面，要求网络产品提供者发现或获知所提供的网络产品存在漏洞后，立即采取措施并组织对漏洞进行验证，评估漏洞影响，在2日内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息；对属于其上游产品或者组件存在的漏洞，要求立即通知相关产品提供者。3)漏洞修补方面，要求网络产品提供者及时修补漏洞，将漏洞风险及修补方式告知可能受影响的产品用户，并提供必要的技术支持；要求网络运营者及时验证发现或获知的漏洞并完成修补。4)漏洞发布方面，规定了漏洞发布时间要求、漏洞细节发布要求、利用漏洞的安全行为要求、漏洞利用程序工具发布要求、安全措施同步要求、重大活动期间漏洞发布要求、漏洞信息对外提供要求等。5个工业控制系统中的常见漏洞工业控制系统的使用涉及广泛的关键基础设施领域，包括能源，制造，运输，水和废物管理。ics传统上是隔离的系统，用于控制和管理工业资产，机械和系统。但是，随着我们进入第四次工业革命或工业4.0时代，这种情况正在改变。现在，随着信息技术(1T)和运营技术(OT)融合到一个集成的网络中以获取无数的收益，1CS组件中嵌入的漏洞越来越容易受到已知和未知的网络威胁的威胁。1.哪些工业控制系统存在漏洞？已知最容易受到攻击的前三个工业控制系统组件是人机界面(HM1),电力分析仪和继电器平台单元等电气设备以及监控和数据采集系统(SCADA)。几乎所有ICS组件之间都存在一些漏洞。SCAD但MB- 、 mS？AR图1自动化中使用的工业控制系统组件概述以下是5个常见漏洞2.缓冲区溢出缓冲区溢出是编程错误，导致软件代码超出缓冲区的边界，它们会覆盖相邻的存储块。这些类型的编程错误是存在输入验证过程的原因，因为它们可能会使程序崩溃，导致数据损坏或在系统中执行恶意代码。因此，必须采取正确的测试和确认方法以及进行任何适当的边界检查，以确保避免缓冲区溢出或软件故障。输入验证不当还会使诸如SCADA,HMI,PLC和DCS之类的工业控制系统对其他形式的网络攻击（例如SQL注入）开放，其中恶意代码被嵌入到应用程序中，然后传递给后端数据库以产生一般情况下不会提供的查询结果。3.未经身份验证的协议在工业控制系统中，认证协议用于在两个实体之间传输认证数据，以便对连接实体及其自身进行认证。身份验证协议是与计算机网络通信的最重要的保护层。当工业控制系统的协议缺乏身份验证时，连接到网络的任何计算机或设备都可以输入命令来更改，更改或操纵由ics控制的操作。4.弱用户认证如上文所述，身份验证是证明网络或系统上用户身份的过程。弱用户身份验证系统将是一个容易被击败或绕过的身份验证过程。例如，基于知识的身份验证可以仅基于用户只会知道的知识（例如密码）来对用户进行身份验证，因此，由于密码管理和策略未保持最新或定期更改，因此该功能非常薄弱。另一方面，基于身份的身份验证系统可以是非常强大的用户身份验证系统，因为它们通常在生物特征读取（例如指纹或虹膜扫描）上工作。这些生物识别读数比基于知识的系统更难模仿或绕过，而从理论上讲，仅凭好猜测就可以破解。因此，企业必须认识到其资产的价值，并提供强大的用户身份验证系统以适应这一需求，这一点至关重要。5.不及时采用软件在考虑到工业控制系统的漏洞时，软件的不及时采用可能不是人们首先想到的，但是未经测试的软件的不正确设置可能会导致控制系统设置中出现漏洞，并最终导致对它们的利用。如果未正确配置软件，则来自恶意黑客。补丁的不正确实施还可能导致其他问题，并不利于工业控制系统的最佳运行。在实施任何新软件或补丁之前，组织可以创建清单，以验证技术是否符合法规要求，并确保任何未决的实施都准备好执行所需的级别。6.密码政策或管理不力任何计算机，网络或工业控制系统中最明显的漏洞之一就是不良的密码管理。听起来似乎很简单，但令人难以置信的是，仍然有许多企业和组织低估了体面的密码管理作为保护自己免受网络攻击的一种手段的力量。尽管使用自己知道的密码和其他在线帐户使用密码的便利性很诱人，但这种情况所带来的风险永远不值得您输入弱密码保存几秒钟。有时，密码本身可能太脆弱了，并且认为有必要的业务可能会选择更严格的身份验证过程，这些过程使用基于身份的系统读取生物特征用户数据来代替密码。7.小结2010年，已知有19个工业控制系统漏洞，而到2015年，这一数字已上升到189个。到目前为止，我们尚不确定该数字在过去几年中如何变化，但是，我们可以确定的是随着攻击者获得对这些系统的更高级知识以及对更好的黑客设备的访问权，对1CS的威胁将继续增长。我们依靠工业控制系统来驱动使我们的生活变得更好的技术，只会产生越来越多的技术。ICS组件制造商将必须跟上并迅速发现漏洞并加以解决。将来我们可能还会看到更多的嵌入式安全性进入工业控制系统。为了击败高级攻击者的工具，将需要关键基础架构机构，网络安全软件开发人员和1CS硬件OEM进行紧密协作和持续的交叉通信。强大的1CS网络安全系统介于混乱和网络攻击之间，并且由于所有关键基础架构都依赖1CS系统，因此，行业和相关政府机构必须定期更新全面的合规性程序，以跟上不断发展的威胁。4.工控网络安全漏洞的分类与标准化管理概述工业控制系统由各种自动化控制组件和一系列负责实时数据采集、监测的过程控制组件共同组成，目前被广泛应用于电力、冶金、水利、安防、化工、军工以及其他与国计民生紧密相关的重要领域。随着智能制造、工业一体化的不断提高，以及物联网、5G通讯等高新技术的不断推广，越来越多的网络安全攻击的矛头都指向了工控系统，关键基础设施被蓄意攻击的事件层出不穷。其中，最常见的攻击方式就是利用工控系统的漏洞，PLCfProgrammableLogicController,可编程逻辑控制器)、DCS(DistributedControlSystem,分布式控制系统)、SCADA(SupervisoryControlAndDataAcquisition,数据采集与监视控制系统)乃至应用软件均被发现存在大量信息安全漏洞，如西门子(SIEMENS),Parallels,研华科技(Advantech)、罗克韦尔(Rockwell)、ABB及施耐德电(SchneiderElectric)等工控系统厂商产品均被发现包含各种信息安全漏洞。目前，超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业。工业控制系统已经成为国家关键基础设施的重要组成部分，其安全更是关系到国家的战略安全。因此，研究工控安全漏洞，对发现的漏洞进行标准化管理，对于提高工控系统安全性，帮助企业远离威胁有着重要意义。2.工控网络安全漏洞分类与传统信息系统相比，工业控制系统采用了很多专有的工控设备、工控网络协议、操作系统和应用软件，工业控制系统的安全漏洞也具有工控系统所独有的特性。根据漏洞出现在的工控系统组件的不同，工控安全漏洞可划分为：(1)工控设备漏洞(2)工控网络协议漏洞(3)工控软件系统漏洞(4)工控安全防护设备漏洞根据是否可能带来直接隐患，工控安全漏洞也可划分为：(1JSCADA系统软件漏洞(2)操作系统安全漏洞(3)网络通信协议安全漏洞(4)安全策略和管理流程漏洞3.工控网络安全漏洞标准化管理目前，国外已经形成了比较完整的工控系统安全管理体制、技术体系以及标准法规。二十世纪九十年代美国国家标准协会开展了操作系统安全研究项目，相关研究机构对大型系统漏洞进行收集，并根据漏洞发现时间、漏洞产生的原因和漏洞所处的位置进行了简单的分类。由M1TRE公司负责维护的通用漏洞歹I］表(CommonVulnerabilitiesandExposures.CVE)已经成为全球公认的安全漏洞索引标准，该项目将已暴露并引起广泛认同的安全漏洞进行编号，定期对漏洞列表进行发布，方便漏洞信息的共享。我国正处于计算机技术与工业自动化技术相互融合的重要阶段，工业控制系统的安全问题格外重要。基于工控系统安全状况的脆弱性以及攻击威胁的严重性，我国相关部门和广大企事业单位也正在积极地开展工控系统安全工作，制定出一系列体制文件，研制出了一大批工控信息安全产品。2009年，我国漏洞库建设工作有了突破性进展，先后推出了国家信息安全漏洞库(CNNVD)国家信息安全漏洞共享平台(CNVD)等颇具规模的漏洞库。2019年10月国家工业信息安全漏洞库(CICSVD)建立，由国家工业信息安全发展研究中心组织发起，国内从事工业信息安全相关产业、教育、科研、应用的机构、企业及个人自愿参与建设的全国性、行业性、非营利性的漏洞收集、分析、处置、披露的平台。2020年11月国家标准化管理委员会发布了《信息安全技术网络安全漏洞管理规范》，该标准给出了漏洞生命周期管理流程，如图2

处置反馈接收反馈物证反馈漏洞消控漏洞接收

美联厂鼻

饵格达量拿

漏洞收最姐较

处置反馈接收反馈物证反馈漏洞消控漏洞接收

美联厂鼻

饵格达量拿

漏洞收最姐较

SiRfiSffitR

amwaam■促核查axvsfim漏洞处置

美・厂・

网修运■者

・青收承蛆蚁

anfisisn

anitafltR漏洞发布

个人

x«r«

同给运管事图2《信息安全技术网络安全漏洞管理规范》给出了漏洞生命周期管理流程但是目前，国内漏洞管理主要体现在漏洞信息发布和安全预警上，而基于漏洞库的扫描挖掘、安全审计、风险评估、软件安全性评测等有价值的应用并不多，因此，开展面向工控系统信息安全的漏洞发现和分析等相关研究具有重要意义。工控网络安全检测系统基于CVE漏洞库中的工控行业漏洞信息，结合已有的模糊测试和openVAS相关技术，设计研发了工控网络安全检测系统，系统主要包括了设备识别、协议识别、已知漏洞扫描、未知漏洞挖掘等模块。以下将针对这几个模块的设计思路进行简单介绍。(1)设备识别设备识别主要是对工控网络内的设备进行探测识别和管理，该模块是通过深入研究和分析开源工具NMAP的扫描原理和运行流程的基础上实现的，通过对其扫描流程进行优化，最终实现了更贴合工控网络环境下的系统所需功能要求，其中包括主机操作系统版本、IP、MAC、端口、厂商、型号等基础硬件信息，此外还将提供设备的漏洞数量、通信过程中所产生告警的数量等信息。(2)协议识别工业控制系统通信协议不同于一般的网络通信协议，其往往是专用、私有控制协议。协议识别模块将充分利用木链星期五实验室的协议逆向分析能力，获取未知协议的协议规范，包括协议语法、语义以及同步信息。通过对工控网络通信数据包进行协议解析，可以还原出通信设备信息和通信内容。可以用于生产状态监控、资产识别、设备行为判断、异常行为或对病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等含有恶意代码的攻击行为进行安全检测。(3)漏洞扫描已知漏洞扫描模块融合了开源工具openVAS的实现思路，首先将网络扫描与主机扫描相结合，利用网络扫描从外部查询网络服务端口获取有关反馈信息，利用主机扫描从内部收集软件安装与配置信息；其次将收集到信息和已公开漏洞进行匹配比对，找到可能存在的安全隐患。(4)漏洞挖掘未知漏洞挖掘模块应用到的是模糊测试技术，也是目前在工业安全领域普遍采用的漏洞挖掘方法之一，模糊测试的实现方式是：通过构造能够使软件或被测设备崩溃的畸形输入来发现系统或被测设备中存在的漏洞安全问题。漏洞挖掘模块将利用人工智能的方式，从流量的角度对未知协议进行结构解析和状态解析，生成针对性模糊测试方案对测试目标进行模糊测试。5.小结目前，全球范围内已知的工控系统漏洞数量只有一千多种，绝大部分工控系统漏洞作为黑客手中的“核武器”非法存在。如何在黑客成功攻击工业控制系统之前帮助工业控制系统应用企业发现漏洞，进而促使其完善系统，成为保障工业控制系统安全运行、增强企业安全健壮性的必要手段。由于漏洞种类繁多，漏洞产生原理、触发条件彼此不一致，目前还无法对安全漏洞进行统一有效的挖掘。因此，加大对漏洞发现于分析的研究力度，对各类漏洞采取更为主动合理的处理方式。同时将人工智能技术应用于漏洞的研究中，提高现有漏洞挖掘模型的准确度，有效解决漏洞定位、漏报误报等问题，实现智能化、自动化工控漏洞检测和研究。5.工控安全漏洞管理实践为落实《规定》有关要求，工信部建设了网络安全威胁和漏洞信息共享平台。该平台采用"1总库+N专业库”的运营模式，“N专业库”之一为工业控制产品安全漏洞专业库，又称国家工业信息安全漏洞库（C1CSVD）,由国家工业信息安全发展研究中心负责运营。CICSVD目前收录了德国西门子、法国施耐德电气、研华科技等200余家国内外工控品牌产品漏洞，涉及缓冲区错误、输入验证错误、权限许可和访问控制问题等34种漏洞成因，在支撑开展漏洞处置、风险预警等方面发挥了重要作用。1.工控安全漏洞收录范围C1CSVD重点收录钢铁、有色、石化化工、装备工业、消费品工业、电子信息、国防军工、能源、交通、水利、市政、民用核设施等行业的工业生产控制设备、工业网络通信设备、工业主机设备和软件、工业生产信息系统、工业网络安全设备等相关产品和组件的安全漏洞及其解决方案，助力相关领域的工控产品提供者和工控产品运营者开展漏洞修补与应急处置工作。2.工控安全漏洞全生命周期管理实施漏洞管理的关键是围绕漏洞生命周期进行全流程管理。目前C1CSVD主要从漏洞研判与收录、漏洞通报与处置两大阶段进行工控安全漏洞闭环管理。2.1.漏洞研判与收录漏洞研判与收录阶段通过广泛接收漏洞，并开展精准分析研判，为工控产品提供者修补漏洞提供技术支撑。具体包括：1）在漏洞接收阶段，接收漏洞概要、受影响产品、补丁等漏洞信息；2）在漏洞审核阶段，去除恶意报送、重复报送等无效信息；3）在漏洞复现阶段，核实漏洞信息的真实性；4）在漏洞研判阶段，主要研判漏洞的危害等级、利用难度、受影响产品在国内的分布情况、应用行业等；5）在漏洞收录阶段，将通过研判的漏洞信息收录入库。2.2.漏洞通报与处置漏洞通报与处置阶段通过督促工控产品提供者或工控产品运营者及时开展漏洞修补与处置，有效消减漏洞风险。具体包括：1）在漏洞通报阶段，依据《规定》等法律法规，向工控产品提供者或运营者通报漏洞信息，督促其对未发布补丁或解决方案的漏洞制定合理有效的修补计划；2）在修补计划审核阶段，审核修补计划的可行性、科学性，督促工控产品提供者或运营者及时调整修补计划；3）在漏洞修补阶段，督促工控产品提供者或运营者根据修补计划立即开展漏洞修补工作，并及时反馈漏洞修补结果。同时，CICSVD推出安全防护和应急响应等技术服务，支撑开展漏洞修补。5.3.多方共建工控安全漏洞生态工控安全漏洞管理工作离不开政府部门、漏洞库运营团队、工控产品提供者、工控安全厂商、工控产品运营者、安全研究人员等组织和个人的共同参与。为充分凝聚工控安全产业界上下游力量，推动形成工控安全漏洞管理合力，有效防范漏洞风险，CICSVD着力构建多方参与、协同共治的漏洞生态体系，目前已取得一定成效。利用支撑团队力量，不断提升工控安全漏洞研究能力。为推动工控安全漏洞及时发现、报告和有效处置，CICSVD积极发挥桥梁纽带作用，通过遴选支撑团队，引导工控安全厂商、工控产品提供者、工控产品运营者、研究机构、高校等共同参与漏洞库建设，持续壮大漏洞挖掘、风险研判、应急处置等技术力量。发挥团体标准作用，促进行业规范工控安全漏洞管理。针对当前工控安全漏洞管理标准缺乏的问题，汇聚多方共同推进相关标