美國能源部發布“五年計劃”保護網絡安全

? ? 5月23日訊 ?自特朗普2018年5月8日宣布退出伊核協議后，美國聯邦政府官員及行業專家擔心伊朗會對美國的基礎設施發起攻擊。當地時間5月14日,美國能源部發布了長達52頁的美國《能源行業網絡安全多年計劃》，為美國能源部網絡安全、能源安全和應急響應辦公室（CESER）勾畫了一個“綜合戰略”，確定了美國能源部未來五年力圖實現的目標和計劃，以及實現這些目標和計劃將采取的相應舉措，以降低網絡事件給美國能源帶來的風險。 ? ? ? 計劃主要內容 ? ? ? 《能源行業網絡安全多年計劃》概述網絡風險管理實踐的顛覆性變革，美國能源部履行網絡安全責任的舉措，以解決能源所有者和運營商不斷變化的安全需求等問題，力圖在應對網絡威脅方面占據先決優勢；強調了網絡威脅的頻率、規模和復雜程度不斷上升，發動網絡攻擊也變得更加容易。國家黑客、網絡犯罪分子和恐怖分子不斷探測能源系統，企圖利用網絡漏洞感染、破壞或摧毀能源系統。 ? ? ? 另據《紐約時報》報道稱，美國國防部的網絡戰部門正密切關注伊朗的網絡流量。 ? ? ? 一、關注優先級 ? ? ? 《能源行業網絡安全多年計劃》側重于關注美國能源部各部門協調確定的高優先級舉措，并支持美國聯邦政府和能源行業的戰略和計劃，以此降低美國能源行業的網絡安全風險。這份計劃將為美國能源部下新設立的網絡安全、能源安全及應急響應辦公室（CESER）提供重要的基礎。 ? ? ? 計劃概述了美國能源部一項顛覆性戰略——著眼于美國能源行業最高優先級的需求，CESER 將集中聯邦機構的舉措保護電網，防范網絡攻擊。 ? ? ? 計劃指出，美國聯邦政府必須幫助降低那些可能引發大規?；蚰茉粗袛嗟木W絡安全風險，并詳細闡述了美國能源部降低網絡風險應采取的舉措和行動。 ? ? ? 該計劃重點強調美國能源行業、聯邦政府機構和非政府合作伙伴之間應緊密加強合作。 ? ? ? 二、網絡安全綜合戰略：兩個方面+三大目標 ? ? ? 美國能源部在計劃中表示，由于資源有限，即使最佳的防御措施也可能遠遠趕不上網絡威脅嚴峻形勢的變化。為了取得優勢，美國有必要在網絡風險管理實踐方面進行顛覆性的變革。為此，美國能源部在這份計劃中提出了降低網絡風險的綜合戰略，主要涉及兩個方面的任務： ? ? ? 通過與合作伙伴合作，加強美國當今的能源輸送系統安全，以解決日益嚴峻的威脅并持續改進安全狀況。 ? ? ? 推出顛覆性解決方案，從而在未來開發出具備安全性、彈性和自我防御功能的能源系統。 ? ? ?這項綜合網絡戰略設定了三個目標： ? ? ? ? 加強美國能源行業的網絡安全防范工作，通過信息共享和態勢感知加強當前能源輸送系統的安全性。 ? ? ? 協調網絡事件響應和恢復工作。 ? ? ? 加速顛覆性解決方案的研發與示范（RD&D）工作，以創建更安全、更具彈性的能源系統。 ? ? ? 雖然這份計劃概述了美國能源部降低網絡風險的主要目標及實現目標的框架性實施步驟，但部分專家表示，這份計劃缺乏具體細節。 ? ? ? 清潔能源技術優化與戰略政策公司 Stella Group 的總裁斯科特·斯克拉表示，與其它機構合作并尋求推出顛覆性系統的方法是明智之舉，但他認為關于如何優先考慮關鍵漏洞進而形成應對攻擊的戰略，能源部還缺乏明確的闡述。 ? ? ? 網絡安全”綜合戰略 ? ” ? ? ? ? ? ? ? 該計劃指出，電力公司、公共事業公司、石油和天然氣公司等已集成先進的數字技術來實現物理功能的自動化與控制管理，從而提高效率并適應快速變化的多能源發電，但這也擴大了網絡攻擊面，并為網絡威脅創造了新機會。 ? ? ? 一、綜合戰略注重行業研究 ? ? ? 美國能源部表示，為了實現網絡安全總體和具體目標，能源部正在開展幾十個針對性的活動和研發與示范（RD&D）項目，例如網絡安全風險信息共享計劃（簡稱 CRISP）。 ? ? ? 網絡安全風險信息共享計劃（CRISP） ? ? ? CRISP 旨在讓能源行業的所有者和運營商自愿近乎實時地共享網絡威脅數據，借助情報分析這些數據，并接收機器對機器威脅警報和緩解措施。CRISP 由美國電力信息共享和分析中心（E-ISAC）管理，但最終應由私營部門掌握并運作。CRISP 目前由26個公共事業公司組成，占美國電力客戶的75%。 ? ? ? 美國能源部希望2021財年有100家公共事業公司使用 CRISP，并使 CRISP 的使用成本下降50%。參與者將通過美國能源部電力輸送和能源可靠性辦公室（簡稱 OE）的網絡分析工具和技術（CATT）項目推進該計劃的分析功能。 ? ? ? 美國能源部表示，目前已有26個公共事業公司參與了 CRISP 計劃。美國能源部希望擴大這項計劃的參與度。參與該計劃的公司基本上都在網絡邊界，也就是公司防火墻外安裝了信息共享設備（ISD）。ISD 以加密的形式收集數據，并將其發送至 CRISP 分析中心。該中心負責分析接收的數據，使用政府提供的信息，并向參與公司返回針對潛在惡意活動的警報和緩解措施。這些警報可直接引入公司的入侵檢測或防御系統。 ? ? ? 運營技術（OT）能力 ? ? ? 美國能源部希望到2019年開發出 OT 傳感器設備，用于監控特定的 OT/工業控制系統（ICS）數據流。到2020年，在美國能源行業大范圍實現 OT 傳感器和 CRISP 集成。 ? ? ? 互助 ? ? ? 美國能源部電力輸送和能源可靠性辦公室（OE）正在與美國能源部的國家實驗室合作開發專業的網絡資源和能力，部署在網絡事件發生期間，以幫助能源公司識別并響應網絡攻擊。美國能源部目前必須提供網絡技術專業知識和幫助，以支持美國的能源行業響應網絡事件，并恢復或確保關鍵功能正常運作。 ? ? ? 二、運用技術應對網絡風險 ? ? ? 該計劃還概括了幫助美國能源行業防范、檢測和緩解網絡事件的技術途徑： ? ? ? 注重預防 ? ? ? 美國能源部表示，位于美國圣地亞哥的初創企業 Qubitekk 正致力于將技術商業化，以加速采用量子計算、加密技術和應用程序。這家公司正在牽頭一項研究合作計劃，希望使用量子密鑰分發（QKD）減少網絡攻擊面。QKD 可安全交換密鑰，以防止關鍵能源行業的數遭遇入侵，并實時檢測竊聽企圖。 ? ? ? 與此同時，美國愛荷華州立大學也在領頭開發算法，以連續并自主評估并減少美國能源輸送系統（EDS）體系結構的網絡攻擊面，包括變電站、控制中心和數據采集與監控系統（SCADA）網絡。 ? ? ? 檢測并識別網絡事件? ? ? ? 美國國家鄉村電力合作協會（簡稱 NRECA）正在牽頭一項研究，以開發出快速識別效用控制通信異常的技術。這些異常最終可能會成為網絡攻擊的標志，并幫助其它公共事業公司加速緩解攻擊。 ? ? ? 美國 Schweitzer 工程實驗室（簡稱 SEL）也正在帶頭開展一項研究，以檢測并欺騙通常用于同步相量數據的精確同步 GPS 定時信號。此舉可為電網運營提供前所未有的可見性。SEL 的研究還包括開發可能的緩解解決方案，例如轉向替代精確時間源。美國德克薩斯州 A&M 大學也在開發算法，以檢測針對整個電網架構精確同步定時信號的入侵企圖。 ? ? ? 自動防御高壓直流輸電系統? ? ? ? 瑞士技術公司 ABB 正在牽頭開展一個研究項目，以使高壓直流輸電系統能夠檢測并自動拒絕可能破壞電網穩定性的指令。這項研究通過電網的物理特性，預測電網如何響應接收到的命令，即拒絕可能會危及電網穩定性的命令，同時及時執行合法的命令。該項目建立在 OE 先前啟動的一個 RD&D 項目之上，美國能源部表示已在傳輸級交流輸電系統中證明了這項功能。 ? ? ? 模型風險評估 ? ? ? 于此同時，美國能源輸送網絡彈性聯盟（簡稱 CREDC）將正式模擬風險評估和網絡多樣性，以評估 EDS 遭遇 0Day 攻擊的彈性。風險評估模型可根據潛在影響對攻擊分類，并選擇具有彈性的緩解方法。 ? ? ? 三、行業牽頭護安全 ? ? ?私營行業也在加大力度保護電網系統，由行業主導開展的 OE 項目包括： ? ? ?電網邊緣（Grid Edge）設備? ? ? ? 英特爾公司正在帶頭開展一項研究，旨在保護電網邊緣設備與云之間的網絡互動。未來的架構可能會不斷將云計算用于大數據分析，以處理越來越多電網邊緣設備的數數據流，因此這項研究尤為重要。 ? ? ? 動態負載管理? ? ? ? 美國聯合技術研究中心正在主導開發一項研究，旨在借助與建筑能源提供商互動的建筑管理系統識別可能影響電網的網絡事件，并切換到功能可能有限，但更加安全的平臺，從而降低攻擊影響。 ? ? ? 保護連接的微電網系統? ? ? ? ABB 正在開發網絡物理控制和保護架構，用于安全集成多微電網系統，從而確保在網絡攻擊事件發生期間性能穩定。未來的電網架構可能會依賴微電網和微電網系統，以提高電網的穩定性，從而在有利于電網運行的情況下創建電島。 ? ? ? 四、仍需解決的短板 ? ? ? 該計劃強調，美國政府、國家實驗室、大學、設備廠商和能源運營商之間已在顯著加強合作，然而，美國7所國家實驗室經過評估后強調指出，美國能源行業因缺乏意識導致其對網絡安全新工具和技術進步的接納受限。 ? ? ? 美國能源部特別提到由美國聯邦政府資助的資源和工具，例如網絡安全能力成熟度模型（C2M2）。C2M2 借助一系列行業最佳實踐專門幫助組織機構評估、確定優先級并提升網絡安全能力。此類資源和工具有價值可言，但尚未在美國電網行業被廣泛采用。比較而言，美國的石油和天然氣行業幾乎普遍實施了最佳實踐。 ? ? ? 美國國土安全部（DHS）的工業控制系統網絡應急響應小組（簡稱ICS-CERT）、行業特定的信息共享和分析中心（簡稱 ISAC）、美國電力研究院（簡稱 EPRI）和 CRISP 在美國電力行業的信息共享水平得到明顯改善，尤其在烏克蘭電網2015年遭遇網絡攻擊后共享的可行信息。然而，上述7所國家實驗室的評估報告指出，企業很少自愿報告事件信息，且吸取的經驗教訓呈“碎片化”。 ? ? ? 于此同時，盡管美國電力行業按照北美電力可靠性公司的關鍵基礎設施保護標準、美國能源部和 E-ISAC 的要求較好地遵循了事件報告責任，但當前的流程主要由合規性驅動，而非過程改進。報告機制之間的協調性可能是有價值的。 ? ? ? 此外，大多數電力系統的參與者明顯未意識到，最初以公私合作伙伴關系初衷設立的組織機構如今已成為單獨的實體。比如，很少有行業成員了解或參與了美國國家電力行業網絡安全組織資源聯盟（簡稱 NESCOR）。NESCOR 是匯集美國國內及國際專家、開發人員和用戶的獨立實體，主要職能在于確定并測試電力行業的新技術、架構和應用程序的安全性。 ? ? ? 五、美國能源行業的主要網絡安全需求 ? ? ? 1、勞動力培訓和教育? ? ? ? 雖然美國有幾個學術實體已開始提供新的課程，但美國能源行業仍存在很大的網絡安全人才缺口。 ? ? ? 2、代碼開發安全與軟件質量保證 ? ? ? 可在新產品行進行安全編碼實踐，但成本高昂、與老舊產品存在沖突、缺乏需求仍是關鍵障礙。美國能源部表示，克服這一挑戰需要大力開展意識和勞動力培訓工作，但供應鏈風險仍是一個關鍵問題。 ? ? ? 3、實時監控安全狀態并評估風險 ? ? ? 盡管用于監控的工具和產品增多，但實時監控 OT 系統仍是一個挑戰，沒有工具能實時評估新風險。 ? ? ? 4、安全的串行和可路由通信，以及安全無線通信 ? ? ? 某些 IT/OT 公司正在開發新的安全協議，并在 OT 系統上測試新方法。但是，在整個系統上實現這些協議和方法存在許多挑戰。諸如 SDN 之類的新興技術尚未產生重大影響。 ? ? ? 5、在網絡攻擊期間自行配置 EDS 網絡架構并繼續運作 ? ? ? 自行配置和自我防御架構在很大程度上仍需額外投入 RD&D。美國能源部表示，將繼續支持 RD&D，以開發使運行網絡路徑繞過干擾的技術，以及開發識別受攻擊電網系統設備并調整余下未受影響的設備，從而降低損失。 ? ? ? 6、實時取證的能力 ? ? ? 美國能源部指出，對于網絡攻擊事件的分析來說，OT 取證在很大程度上仍是黑盒子活動。取證與共享數據之間仍存在巨大的技術差距。此外，雖然新技術可自動識別網絡事件，但仍需大量 RD&D 來設計系統，以自動響應或重新配置。 ? ? ? 7、成熟的信息共享平臺 ? ? ? 美國能源部表示，用戶發現很難跟上數據和警報的步伐，需要機器對機器的信息共享來加速響應速度。需要借助更好的方式，讓 IT/OT 專家跟上信息步伐。

未經允許，不得轉載本站任何文章：