《关键基础设施保护：采取措施应对电网面临的重大网络安全风险》解读 (附全文翻译下载)

　　GAO这份报告对美国电网面临的网络安全风险和挑战进行了分析，描述了联邦机构应对电网网络安全风险所采取的措施，同时指出相关部门的不足，最后对政府相关部门提出了建议。

　　2019年8月，美国政府问责署(GAO: Government Accountability Office)发布《关键基础设施保护：采取措施应对电网面临的重大网络安全风险》(《CRITICAL INFRASTRUCTURE PROTECTION：Actions Needed to Address Significant Cybersecurity Risks Facing the Electric Grid》)报告。

　　该报告对美国电网面临的网络安全风险和挑战进行了分析，描述了联邦机构应对电网网络安全风险所采取的措施，同时指出，能源部应对电网网络安全风险和挑战的战略并不充分，能源监管委员会批准的标准也并未能完全解决电网面临的网络安全威胁，最后对政府相关部门提出了建议。

　　1 报告主要内容与观点

　　电网的主要功能包括电能的生产与存储、传输及配送。美国大多数电网是由私营企业拥用和运营的，东部电网、西部电网和德克萨斯电力可靠性委员会所运营的三个大型电网共同构成了美国电网，它们彼此独立运行，相互之间的电力互动能力有限。

　　电网通常被认为具有弹性，能快速应对各类电网故障。面对飓风等大规模灾害，电网运维人员可通过事先采取措施，对关键设备设施进行保护，制定恢复计划并部署人员，实现灾后快速恢复电力供应。

　　但网络攻击往往具有突发性，电网运维人员无法事先准备预案，应对这类攻击比应对特定区域的灾难事故难度更大。

　　为加强关键基础设施(包括电网)安全防护，美国制定了系列重要的基础设施保护原则和关键计划，包括《总统21号政策指令》《国家基础设施保护计划》《13636号行政命令》《13800号行政命令》《网络安全战略》等。

　　同时通过颁布电网网络安全法规，明确了FERC(联邦能源监管委员会)是州际电力传输的联邦监管机构，负责审查和批准标准以确保大功率电力系统的可靠运行。

　　NERC(北美电力可靠性公司)是美国政府指定的电力可靠性组织，负责进行可靠性评估并执行强制性标准，以确保大功率电力系统的可靠性。FERC监督NERC，批准了11项电力关键基础设施保护的网络安全标准，目前已强制执行其中10项。

　　同时明确网络事件报告也是美国联邦和非联邦监管工作的重要组成部分，法律要求电网所有者和运营商在满足某些标准时向能源部报告大型电力系统事件。

　　除阐述上述电网基础设施保护的背景、举措外，该报告重点论述四个方面内容(观点)：

　　(一) 美国电网面临巨大网络安全风险和挑战

　　一是国家、犯罪集团、恐怖分子等网络威胁参与者越来越有能力攻击电网。

　　《2019年美国情报界全球威胁评估报告》指出，国家、犯罪集团、恐怖分子是发动针对美国电网等关键基础设施网络攻击的最大威胁来源。此外，黑客以及内部人员等也对电网网络安全构成显著威胁。这些行为体越来越善于针对电网工业控制系统进行网络攻击，与此同时，利用电网工业控制系统漏洞的工具越来越容易获取，对电网发起网络攻击的门槛正逐步降低。

　　二是随着工业控制系统和物联网设备连接边界的扩张，美国电网变得更容易受到网络攻击。对电网网络攻击主要有以下三个途径，

　　首先是通过工业控制系统。

　　电网工业控制系统中集成了大量使用传统IT网络协议的廉价且通用的设备，为网络攻击提供大量侵入点，尤其是很多工业控制系统设备具备远程接入能力，且越来越多的工业控制系统被接入到公司商业网络中。

　　其次是通过连入电网的消费类物联网设备。

　　2018年大学研究人员模拟了操纵智能家用设备对电网进行攻击的可行性及影响，其发现攻击者可以利用物联网设备组成僵尸网络，并操纵电网用电需求，最终可达到使电网瘫痪的目的。

　　最后是通过全球定位系统。

　　电网依赖于全球定位系统授时，以监测和控制发电、输电和配电。根据美国能源部的信息，全球定位系统信号容易被恶意攻击者利用。

　　三是美国还未发生因网络攻击造成电网停电的案例，但对工业控制系统进行网络攻击导致停电、甚至物理损坏的可能性是真实存在。

　　美国暂未发生网络安全事故影响到电网可靠性的案例，但在其他国家已有发生。例如，2015年12月，恶意行为者对乌克兰三家配电商进行了网络攻击，造成约225,000名用户断电。虽然GAO没有找到证据表明网络攻击对电网造成了物理损坏，但是针对其他行业的工业控制系统的网络攻击是有可能造成损坏的。

　　此外，联邦机构针对电网工业控制系统网络攻击的潜在影响进行了三项评估，尽管相关评估具有一定的局限性，无法确定网络攻击可能导致的停电规模，但都一致认可网络攻击是会对电网造成破坏。

　　四是美国在应对电网网络安全风险方面面临严峻挑战。

　　主要体现在网络安全人才不足、缺乏信息共享机制、防护资源投入不足、依赖其它易受网络攻击的关键基础设施、网络安全标准和指南实施不确定性等重大挑战。

　　(二)美国采取多项措施应对电网网络安全风险

　　一是能源部、国土安全局及其它联邦机构采取措施应对基础设施网络安全风险，旨在应对电网网络安全风险。

　　这些措施与美国国家标准技术研究所的网络安全框架相一致，主要包括以下三个方面：

　　1)保护系统以降低网络安全风险和漏洞威胁。美国通过提供旨在防止网络安全入侵的功能和网络安全实践的培训与指导等保护措施，协助电网公司及运营商实施减轻网络安全风险。

　　2)识别网络安全威胁和漏洞并检测潜在的网络安全事件。美国通过提供威胁和漏洞信息，执行风险评估，进行取证分析以及帮助电力公司识别网络安全风险并检测事件。

　　3)对网络安全事件进行应急响应与恢复。美国已经制定了政策和计划来确定联邦机构各自的职责，以响应电网网络安全事件并恢复正常运行。

　　二是联邦能源监管委员会出台监管措施来解决网络安全问题。

　　联邦能源监管委员会主要监管举措涵盖以下四个方面：

　　批准适用于大规模电力系统的强制性网络安全标准。

　　以民事处罚手段来强化监管。

　　对电力可靠性委员会的运作情况进行稽查。

　　对电网机构遵守强制性网络安全标准的情况进行稽查。

　　(三)政府相关部门现有应对措施的不足

　　尽管美国采取了多项措施应对电网网络安全风险，但仍然存在诸多不足，美国政府问责署通过调查，主要提出了2个方面的不足。

　　一是能源部还未制定解决电网网络安全风险与挑战的战略。

　　国家网络战略和国土安全部网络安全战略等文档中已经列出了应对网络威胁的更广义的联邦战略，这些战略已经详细刻画了国家战略应该具备的关键特征。

　　能源部声称其用于解决电网面临的网络安全风险与挑战的计划与评估文件与更广义的网络安全框架符合，并且允许能源部在达成其目标时具备灵活性。

　　但其并未针对电网所面临的特有的安全威胁与挑战，也并未包括所有国家战略的关键特征。

　　因此，能源部应当提供一份旨在解决电网面临的特定的网络安全风险与挑战的战略，其指导性才能够满足决策者为解决风险与挑战配置资源的需求。

　　二是联邦能源监管委员会批准的标准也并未能完全解决电网网络安全问题。

　　联邦能源管理委员会批准的网络安全标准并未完全涵盖美国国家标准技术研究所网络安全框架中的五个功能及其对应的分类。

　　准确说来，标准只涵盖其中两项功能的大部分分类，另外三项功能的分类只涉及一部分。

　　此外，联邦能源管理委员会并未评估针对地理上分散的多个目标进行的协同网络攻击风险应对标准与所有网络安全标准的符合度。

　　(四)对政府部门的建议

　　围绕上述分析，美国政府问责署提出了三项建议：一项针对能源部，两项针对联邦能源监管委员会。

　　l 美国政府问责署向能源部提出建议：制定旨在实施联邦电网网络安全战略的计划，并确保该计划解决国家战略的关键问题，包括全面评估电网网络安全风险等。

　　l 美国政府问责署向联邦能源监管委员会提出了以下两项建议：

　　一是考虑对其已批准的网络安全标准进行更改，以更全面地补充美国国家标准技术研究所网络安全框架。

　　二是评估针对地理分布目标进行协同网络攻击的潜在风险，并根据评估结果确定是否需要更改阈值，以强制遵守全部网络安全标准的要求。

　　2 分析与启示

　　关键信息基础设施安全稳定运行直接关系国家安全、经济安全、社会稳定、公众健康和安全。

　　今年3月，委内瑞拉发生大规模停电事件，初步分析很可能由于网络攻击导致，这是继“伊朗核设施震网病毒攻击”、“乌克兰电网攻击”后，主权国家关键信息基础设施遭受严重破坏的又一标志性事件，引起国际各方关注。

　　从此次及过往类似事件我们可以看到，通过网络攻击敌对国家关键信息基础设施已经成为国家间对抗的优先选择，也是网络空间攻击破坏的重要途径。关键信息基础设施安全保护工作成为世界各国网络安全防御关注的重点。

　　根据对美国保护关键信息基础设施情况的跟踪研究发现，其在政策支持、标准制定、技术研究等方面均对关键信息基础设施网络安全发展有着日益显著的支持。

　　《关键基础设施保护：采取措施应对电网面临的巨大网络安全风险》报告对电网面临的网络安全风险及应对措施进行了分析，该报告的观点说明了即使是在美国已经高度重视关键信息基础设施安全保护的情况下，现有防护成效还远远不如预期。

　　在我国，2016年11月颁布的《网络安全法》第一次正式明确了关键信息基础设施的概念。《国家网络空间安全战略》将关键信息基础设施保护提升到国家网络安全战略高度。

　　《关键信息基础设施安全保护条例(征求意见稿)》进一步提出了更细致、全面的要求，确立了我国关键信息基础设施的具体保护框架，加速推进了关键信息基础设施保护标准化工作。

　　中央网信办组织开展全国范围关键信息基础设施网络安全调查检查工作，公安部在每年的网络安全执法行动检查中，对关键信息基础设施保护工作也开展了相关调查和检查。

　　《关键基础设施保护：采取措施应对电网面临的巨大网络安全风险》报告对推进我国关键信息基础设施安全保护工作有借鉴意义，主要可以总结归纳为以下四个方面。

　　(一)政府需从政策规划、法律法规等方面提供切实保障，强化顶层战略谋划。

　　美国高度重视关键信息基础设施安全保护问题，通过国家顶层法规政策，从宏观层面强调关键基础设施信息安全的重要性，在第7号国土安全总统令、第21号总统令、国土安全国家战略等多项总统令与国家战略中提及关键基础设施，并强调其信息安全的重要性。

　　此外，相继出台《关键基础设施信息保护法》《国家基础设施保护预案》《国家网络安全和关键基础设施保护法案》《国家关键基础设施信息安全框架规范》《关键基础设施威胁信息共享规范》等法规文件，以加大对关键信息基础设施的保护力度。关键基础设施安全保护的战略思路和法律政策，从一开始就与国家安全相衔接。

　　随着我国网络强国战略的深化和实施，关键信息基础设施在国民经济和社会发展中的基础性、重要性、保障性、战略性地位也日益突出，针对关键信息基础设施安全，我国急需加快出台国家关键信息基础设施安全保护相关法规文件，用于指导关键信息基础设施安全保护工作的开展实施。

　　目前，国家《网络安全法》首次以立法形式明确提出要保护关键信息基础设施的平稳运行，并对其认定、管理、建设做了全面要求。《关键信息基础设施安全保护条例》尚处于征求意见阶段。

　　关键信息基础设施安全保护工作部门针对本领域本行业的相关战略规划以及具体举措还需加快制定。

　　(二)制定完善关键信息基础设施安全保护标准规范，强化标准引领作用。

　　标准规范是加强关键信息基础设施安全保护的一项重要举措。美国2013年发布了《关键基础设施网络安全框架》，从识别、保护、检测、响应、恢复五个维度以及资产管理、人员评估、安全意识培训、连续监测、响应恢复等方面加强网络安全风险管理。

　　2017年5月又发布了《联邦机构实施网络安全框架指南》，从整合安全风险、管理安全需求、调整采购流程、评估网络安全、管理安全计划、了解安全风险、报告安全风险以及通知剪裁流程等八个方面指导联邦政府机构实施网络安全框架。

　　尽管美国在标准规范方面已经开展了大量工作，但GAO发布的报告中仍强调了现有标准尚不能满足行业关键信息基础设施安全防护的需要。

　　我国《网络安全法》和《关键信息基础设施安全保护条例(征求意见稿)》都明确规定要求运营者按照国家标准的强制性要求履行响应安全保护义务，但目前我国尚未建立关键信息基础设施安全保护标准规范体系。

　　应当结合国际国内现有网络安全标准，制定和完善关键信息基础设施安全保护标准规范，进一步明确和细化关键信息基础设施范畴以及运营者的职责义务，指导运营者强化防护能力建设，促进运营者加强网络安全风险管理。

　　(三)构建全面的关键信息基础设施安全保障体系，筑牢网络安全防线。

　　关键信息基础设施是国家网络防御的核心，建立有韧性的网络防御体系是世界各国的战略目标。针对关键信息基础设施安全保护，美国主要在以下四个方面实施了具体举措。

　　一是开发和部署先进性的技术。2011年美国《联邦网络空间安全研发战略规划》，提出重点发展具有“改变游戏规则”潜力的革命性技术，并确定了四个研发主题。

　　二是部署动态风险评估系统。美国在联邦机构部署“爱因斯坦2”和“爱因斯坦3”，并在各网络运行中心启用并支持共享的风险感知和协作。

　　三是加强公私合作和安全威胁信息共享。美国将共享网络安全威胁信息和共同处理危机事件作为关键信息基础设施合作的主要内容。

　　四是规划和执行对网络安全事件的协调反应。通过定期的实战演练，增强安全事件发生后的响应和恢复能力。

　　由于网络空间瞬息万变、攻防技术不断升级等多种主客观原因，我国关键信息基础设施尚未形成具有整体协同能力的防御体系。

　　“对手是否来过不清楚”、“威胁在哪不知道”的情况在关键信息基础设施防护中普遍存在，对新型威胁不敏感甚至难以有效及时发现，对网络安全的整体性、动态性、开放性、相对性和共同性认识严重不足，传统防御体系“感而不知、掩耳盗铃”的现实状况，已经成为我国关键信息基础设施防护的重大瓶颈。

　　因此，我国急需建立全面的关键信息基础设施网络安全防护体系。

　　一是加强网络安全技术自主创新。

　　强化漏洞挖掘、风险研判、威胁分析等技术手段建设，加强新技术应用网络安全防护相关技术研究，着力提升网络安全技术保障能力。

　　二是建立网络安全态势感知与监测预警体系。

　　大力推进军民融合，协同攻关，突破核心关键技术，推动相关平台建设，全面提高网络安全防御的主动性。

　　三是构建网络安全威胁情报知识共享体系。

　　构建网络安全风险信息共享机制，建设中立、共享、信任的威胁情报交换平台，实现网络安全风险信息、消减方案、安全态势的及时共享与通报。

　　四是建立应急响应协同机制。

　　组织开展跨区域、跨行业的攻防演练、应急演练、资源协同、指挥联动，提升关键信息基础设施对抗国家级网络攻击的应急响应处置能力。

　　(四)加强网络安全队伍建设与人才培养，提升网络安全意识和防护技能。

　　美国历年主要的网络安全战略文件，无一例外均囊括“提升网络安全意识、加强网络安全教育”的内容。

　　美国2010年4月启动“国家网络安全教育计划”(NICE)，其初衷是统筹协调政、产、学、研各利益相关方，全盘布局、加强协调，实现网络安全人才工作的有序推进。

　　该计划由美国商务部国家标准与技术研究院(NIST)牵头，国土安全部(DHS)、国防部(DOD)、教育部(DoED)等十余个部委共同参与、各司其职，其中，DHS和DOD主责的职业发展工作推出了《网络安全职业和研究国家倡议》(NICCS)，汇聚大量职业培训资源为美国联邦政府及关键基础设施网络安全人才能力提升提供支持。

　　尽管美国已高度重视人才培养，但GAO报告中仍强调在关键信息基础设施安全保护领域仍存在网络安全人才不足的情况。

　　我国急需加强人才发展统筹规划和分类指导，组织实施人才培养计划，加大专业技术人才和管理人才的培养力度，完善从专家团队、骨干核心团队到专业技术人才等各层次的人才培养体系。

　　一是要进一步提升国家对网络安全人才及人才工作的战略重视程度，通过各类行政和立法手段为网络安全人才队伍建设提供实施保障，各级政府、关键信息基础设施运营者，应加快推进网络安全岗位人员规模和能力的测评工作，制定并落实专门的网络安全人才队伍建设方案。

　　二是要充分认识网络安全岗位分类规范及能力标准的基础性作用，加快推进网络安全人才评价指标体系的研究和编制工作，积极实现对网络安全人才的分类施策，并将其作为教育、培训、评价和管理的重要依据。

　　三是要重点关注网络安全从业人员群体，完善职业培训体系，持续提升网络安全从业人员队伍整体能力。

　　四是加大关键信息基础设施安全保护宣传力度，开展网络安全宣传周活动，普及网络安全基本知识和技能。

　　报告解读作者简介：

　　马晓旭，中电科网络空间安全研究院战略与总体所，国防科技工业网络安全创新中心，博士，高级工程师，主要研究方向为网络安全。

　　张玲，中电科网络空间安全研究院战略与总体所副所长，国防科技工业网络安全创新中心，硕士，高级工程师，主要研究方向为网络安全战略研究。

　　报告译者：中电科网络空间安全研究院牛长喜，朱治丞，罗仙

　　声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表万方安全立场，转载目的在于传递更多信息。如有侵权，请联系删除。