國家信息技術(shù)安全研究中心：周季禮 91746部隊：宋文穎

美國確保能源行業(yè)信息安全的主要舉措探析

國家信息技術(shù)安全研究中心：周季禮 91746部隊：宋文穎

美國是全球能源生產(chǎn)大國，發(fā)展形成了以石油、天然氣、煤炭、電力（含水電、核電）、可再生能源、太陽能等為骨干的能源行業(yè)；同時，美國又是全球最大的能源消費大國，其能源消耗占世界總能耗的四分之一。隨著信息技術(shù)的快速發(fā)展和互聯(lián)網(wǎng)等網(wǎng)絡(luò)技術(shù)的廣泛普及，美國成為全球能源行業(yè)信息化、網(wǎng)絡(luò)化程度最高的國家之一；與此同時，美國能源行業(yè)也面臨著日益復(fù)雜嚴峻的網(wǎng)絡(luò)威脅問題，成為了黑客攻擊的主要對象。據(jù)統(tǒng)計，美國50%的重大黑客攻擊事件都發(fā)生在能源領(lǐng)域?？梢哉f，能源安全是美國國家安全的重要組成部分。對此，美國政府高度重視能源行業(yè)的信息安全建設(shè)，制定了一系列有效舉措，構(gòu)筑了全方位的信息安全保障體系。其中，一些較為成熟的經(jīng)驗，值得我國能源行業(yè)借鑒。

美國能源行業(yè)的信息安全形勢

美國能源行業(yè)十分發(fā)達，信息化程度高，在傳統(tǒng)的安全系統(tǒng)之外還配備了工業(yè)控制系統(tǒng)（ICS）或監(jiān)控和數(shù)據(jù)采集（SCADA）等信息網(wǎng)絡(luò)系統(tǒng)。隨著網(wǎng)絡(luò)威脅的復(fù)雜化、全球化趨勢，美國能源行業(yè)面臨的信息安全形勢日益嚴峻，主要表現(xiàn)在如下幾個方面：

1.網(wǎng)絡(luò)攻擊日益嚴重

能源行業(yè)作為美國重要的關(guān)鍵基礎(chǔ)設(shè)施，遭遇到的特定重大網(wǎng)絡(luò)攻擊與日俱增。2001年，黑客入侵了監(jiān)管加州多數(shù)電力傳輸系統(tǒng)的獨立運營商。2006年8月，美國Browns Ferry核電站受到網(wǎng)絡(luò)攻擊。2008年1月，美國挫敗了4起針對電力系統(tǒng)的網(wǎng)絡(luò)攻擊。2008年7月，美國馬拉松石油公司、埃克森美孚公司和康菲公司遭到黑客攻擊。2010年1月25日，美國能源部稱，至少有三家美國石油公司遭到過一系列身份不明的網(wǎng)絡(luò)攻擊。2011年2月10日，美國網(wǎng)絡(luò)安全公司說，數(shù)家美國石油和天然氣跨國公司的電腦系統(tǒng)遭到了黑客襲擊。2012年，美國Chevron、Baker Hughes、ConocoPhillips和Marathon等石油公司的計算機系統(tǒng)，遭到震網(wǎng)病毒襲擊。2012年10月，美國國土安全部表示，在向其通報的惡意軟件攻擊中，有41%是能源企業(yè)(如電網(wǎng)或天然氣管線公司的系統(tǒng))。 2013年2月 19日，美國國會的調(diào)查報告稱，在對160家電力公司調(diào)查中，有十多家公司表示其電腦系統(tǒng)遭到“每天”、“不斷”或“頻繁”的網(wǎng)絡(luò)攻擊，其中一公司在一個月內(nèi)被攻擊了1萬次。報告還顯示，過去幾年來，美國電網(wǎng)受到網(wǎng)絡(luò)攻擊導(dǎo)致癱瘓的風(fēng)險明顯增加，聯(lián)邦政府已記錄了幾萬次有報告的安全漏洞。3月7日，美國ICS-CERT指出，2012年共進行了138起網(wǎng)絡(luò)入侵事件的響應(yīng)活動，其中超過40%的事件發(fā)生在能源行業(yè)，約50%發(fā)生在針對內(nèi)部通信系統(tǒng)/監(jiān)控與數(shù)據(jù)采集(ICS/SCADA)系統(tǒng)的環(huán)境中。6月24日，匿名黑客組織表示，正在發(fā)動針對美國能源企業(yè)的“OpPetrol”網(wǎng)絡(luò)攻勢，以抗議美國能源行業(yè)壟斷全球資源。7月份，信息安全服務(wù)公司Alert Logic的報告稱，從2012年4月1日到9月30日，67%的能源客戶遭遇過網(wǎng)絡(luò)攻擊，61%遭受過惡意軟件/殭尸網(wǎng)絡(luò)。8月，美國ICS-CERT安全報告指出，“近三年針對工業(yè)控制系統(tǒng)的安全事件呈明顯上升趨勢，僅2013年度，針對關(guān)鍵基礎(chǔ)設(shè)施的攻擊報告已達到257起，”而能源行業(yè)的安全事故則超過了一半。2014年1月13日，賽門鐵克公司發(fā)布的《能源產(chǎn)業(yè)針對性攻擊分析白皮書》顯示，能源相關(guān)產(chǎn)業(yè)在全球受攻擊目標(biāo)排名中名列前五，約占全球網(wǎng)絡(luò)攻擊數(shù)量的7.6%。報告還顯示，能源企業(yè)平均每天會遭到7個來自于郵件的針對性攻擊。2月14日，美國發(fā)布的一份報告稱，2013年向ICS-CERT報告的事故中，能源領(lǐng)域占到了59%以上。5月21日，美國監(jiān)管機構(gòu)稱，因遭襲擊向其表示擔(dān)憂網(wǎng)絡(luò)安全的企業(yè)過去兩年增加了一倍多，其中石油與天然氣生產(chǎn)商增加的最多，由28家增至62家。7月2日，美國網(wǎng)絡(luò)安全公司賽門鐵克稱，俄羅斯活躍大批“能源黑客”，有系統(tǒng)地鎖定了上百家美國能源與能源投資公司，有能力發(fā)動遠程攻擊。11月24日，美國網(wǎng)絡(luò)安全公司稱，2013財年，美國電網(wǎng)共受到145次黑客攻擊；2013年4月至2014年，黑客成功闖入全美37%的能源企業(yè)。

2.惡意間諜軟件泛濫

美國信息安全公司的調(diào)查報告顯示，美國能源行業(yè)信息系統(tǒng)中的惡意軟件近幾年以指數(shù)速度增長，成為能源企業(yè)的最大威脅。2003年，在對美國俄亥俄州的戴維斯-貝斯核電站維護時，維修人員私自將個人電腦接入到核電站網(wǎng)絡(luò)，將SQL Server蠕蟲病毒傳入到核電站內(nèi)部網(wǎng)絡(luò)，致使核電站的控制網(wǎng)絡(luò)全面癱瘓，系統(tǒng)停機將近5小時。2007年10月，美國能源部橡樹嶺國家實驗室的一千多名員工收到帶有附件的電子郵件，造成感染惡意軟件的傳播，致使未經(jīng)授權(quán)的外部人員能夠非法訪問實驗室數(shù)據(jù)庫。2008年11月13日，美國馬拉松石油休斯敦分部的一名高管收到了攜帶惡意軟件的郵件，導(dǎo)致整個公司分部的信息系統(tǒng)感染病毒。同樣事件，也發(fā)生在埃克森美孚和康菲石油公司。2009年4月9日，美國國家安全官員表示，網(wǎng)絡(luò)間諜侵入了美國電網(wǎng)，留下了用來破壞電力系統(tǒng)的惡意軟件。2011年，邁克菲安全公司稱，發(fā)現(xiàn)了一個名為Night Dragon的惡意間諜程序，可以從能源和石化公司竊取諸如油田投標(biāo)及SCADA運作的敏感數(shù)據(jù)。黑客曾依靠該惡意軟件入侵了五家石油天然氣公司，并竊取了商業(yè)機密。2013年2月，美國一些石油鉆井平臺的計算機系統(tǒng)出現(xiàn)癱瘓，直接原因是石油鉆井公司雇員下載帶有惡意軟件的色情電影和盜版音樂所造成的。3月6日，美國能源部表示，黑客利用IE8瀏覽器中的0day 漏洞，對美國能源部的信息系統(tǒng)進行了攻擊。5月4日，美國國土安全部表示，通過對一個用來備份工控系統(tǒng)配置文件的USB盤的掃描，發(fā)現(xiàn)了三種不同的惡意軟件。2014年11月24日，美國國土安全局計算機緊急響應(yīng)中心稱，俄羅斯惡意軟件BlackEnergy侵入了可以控制美國電力渦輪機的軟件系統(tǒng)；僅2013年就發(fā)現(xiàn)專門針對能源公司的50種惡意軟件。2014年威瑞森的研究認為，2014年度能源公司受到了比其他行業(yè)更多的惡意軟件攻擊。

3.信息泄漏時有發(fā)生

2006年6月9日，美國能源部國家核安全局承認，國家核安全局的辦公室電腦系統(tǒng)遭黑客入侵，大量資料被竊走，其中包括國家核安全局1500名雇員工的名字、出生日期、社會保險號碼、工作中的安全密碼。2007年12月6日，美國能源部橡樹嶺國家實驗室表示，黑客侵入了實驗室一個內(nèi)部數(shù)據(jù)庫，導(dǎo)致1990年至2004間實驗室數(shù)千名來訪者的姓名、社會安全號碼、出生日期等個人信息被竊取。2013年2月4日，美國曼迪昂特公司稱，美國能源部的網(wǎng)絡(luò)系統(tǒng)曾遭到黑客攻擊，14臺計算機服務(wù)器和20個工作站遭到了入侵，幾百個員工的私人信息遭到泄露。這些“個人身份信息”包括全名、國民身份號碼、IP地址、汽車和駕照號碼、臉部樣貌、指紋、筆跡、信用卡號碼、數(shù)碼身份、出生日期、出生地點和遺傳信息等。該公司引述的美國國土安全部報告稱，從2011年12月至2013年6月的網(wǎng)絡(luò)犯罪中，有23家石油管道公司遭到攻擊，被竊取的信息可能會帶來破壞性的影響。另外，還表示一個名為APT1的“高階持續(xù)性威脅”組織，竊取了美國電力系統(tǒng)的大量資料。9月5日，美國信息安全部門表示，裝有全美國8100座主要大壩敏感數(shù)據(jù)的數(shù)據(jù)庫在2013年被黑客盜取。

4.信息安全環(huán)境較差

美國能源行業(yè)的發(fā)展時間久、規(guī)模大、聯(lián)接的設(shè)備多，信息安全環(huán)境較差。一是能源行業(yè)廣泛使用的控制系統(tǒng)存在自身的安全性脆弱。1998年1月，美國東部氣候反常，造成多個輸電線因結(jié)冰而折斷，導(dǎo)致大面積斷電，導(dǎo)致31萬人用電困難。1999年7月6日，持續(xù)3天創(chuàng)紀錄的高溫導(dǎo)致紐約市電線變形，造成19小時停電。2003年，一家名為“首份能源”的有限公司發(fā)生了一次工程制造軟件的小故障，結(jié)果導(dǎo)致5000萬民眾在4分鐘時間內(nèi)失去電力供應(yīng)。2006年8月，美國BrownsFerry核電站，因其控制系統(tǒng)上的通信信息過載，導(dǎo)致控制水循環(huán)系統(tǒng)的驅(qū)動器失效，直接經(jīng)濟損失數(shù)百萬美元。2012年8月6日，美國國家科學(xué)院發(fā)布報告稱，非傳統(tǒng)自然災(zāi)害“超級太陽風(fēng)暴”一旦出現(xiàn)，可癱瘓美國供電網(wǎng)絡(luò)，損毀美國電網(wǎng)總計大約2100個大型高壓變壓器中300個或更多，超過1.3億人受到影響，斷電帶來的損失可能高達兩萬億美元。二是能源公司的信息系統(tǒng)老舊，存在安全隱患。美國電力系統(tǒng)幾乎都是上世紀70年代的產(chǎn)物，由于更換系統(tǒng)必須暫停供電好一段時間，以進行更新與測試，為了避免電力中斷，能源公司就抱著“能撐就撐”的心態(tài)，只要沒有太大問題，就傾向于一直使用舊系統(tǒng)。并且舊系統(tǒng)的安全措施不到位，安全漏洞多。三是大型能源探勘產(chǎn)業(yè)依賴大量的小型下游承包商來完成工作，小型承包商的信息安全能力弱，但由于彼此系統(tǒng)互聯(lián)互通，下游小承包商的系統(tǒng)會影響到大公司的系統(tǒng)安全能力。四是員工自帶設(shè)備上班(BYOD)風(fēng)潮帶來潛在威脅。員工喜歡使用熟悉的軟件工具工作，但這些軟件自然潛藏著不可預(yù)測的風(fēng)險。2012年8月，美國一家石油公司的員工因使用自帶的設(shè)備，造成Shamoon病毒刪除了三個季度的企業(yè)數(shù)據(jù)。五是內(nèi)部人員威脅危害依然存在。2012年6月，美國一家石油天然氣公司的網(wǎng)絡(luò)工程師被判入獄4年。該安全工程師知道自己將被解雇，為了報復(fù)而把公司的網(wǎng)絡(luò)服務(wù)器重置到原始狀態(tài)，造成重大損失。

5.W indows XP停用帶來新風(fēng)險

目前，美國幾乎所有的電力和天然氣等能源公司都使用Windows XP工作站，用于監(jiān)測野外公共服務(wù)設(shè)施的運行情況，例如測試天然氣管道的壓力等。如果升級Windows XP操作系統(tǒng)，需要花費1億美元的資金，并且要耗費很長時間。2014年4月8日，微軟已停止對Windows XP提供安全補丁和技術(shù)支持，黑客能夠更容易地開發(fā)出惡意軟件，利用不再打補丁的Windows XP造成地區(qū)性停電和其它能源企業(yè)的生產(chǎn)事故。美國信息安全專家表示，天然氣公司的管理工作站如果遭到入侵，將錯誤地報告天然氣管道壓力低，而員工并不知情而去調(diào)高壓力就會造成爆炸事故。Windows XP已經(jīng)是過時的操作系統(tǒng)，如果不能盡快升級或繼續(xù)為其提供安全支持，將給美國能源行業(yè)的信息系統(tǒng)帶來新的安全風(fēng)險。

美國確保能源行業(yè)信息安全的主要舉措

針對能源行業(yè)日益嚴峻的信息安全形勢，美國政府采取了一系列舉措全面構(gòu)筑能源領(lǐng)域的信息安全保障體系。

1.上升為國家安全戰(zhàn)略

能源是國家關(guān)鍵基礎(chǔ)設(shè)施之一，能源行業(yè)的信息安全是美國國家總體安全戰(zhàn)略的重要元素。1996年7月，美國發(fā)布第13010號行政令，這是美國第一個專門針對關(guān)鍵基礎(chǔ)設(shè)施保障的行政令，就將電力系統(tǒng)、天然氣及石油的存儲和運輸系統(tǒng)定為關(guān)鍵基礎(chǔ)設(shè)施。1998年5月，出臺第63號總統(tǒng)令，指定美國能源部作為能源領(lǐng)域信息安全的主導(dǎo)機構(gòu)。2000年，發(fā)布《美國國家安全戰(zhàn)略報告》，要求保護美國關(guān)鍵基礎(chǔ)設(shè)施免受網(wǎng)絡(luò)攻擊，明確將能源行業(yè)列在其中。2003年，美國頒布《第7號國土安全總統(tǒng)令》，要求對包括能源行業(yè)在內(nèi)的18類關(guān)鍵基礎(chǔ)設(shè)施進行保護。2月14日，正式頒布《美國網(wǎng)絡(luò)安全國家戰(zhàn)略》，明確將能源行業(yè)列為國家關(guān)鍵基礎(chǔ)設(shè)施之一。2009年，發(fā)布《美國網(wǎng)絡(luò)空間政策評估報告》，要求能源部與聯(lián)邦能源監(jiān)管委員會合作，為能源方面的工業(yè)控制系統(tǒng)制定安全執(zhí)行指南和程序。同年10月，頒布《保護工業(yè)控制系統(tǒng)的戰(zhàn)略》，涵蓋能源、電力等14個行業(yè)工控系統(tǒng)的安全。2012年6月13日，頒布《21世紀電網(wǎng)政策框架》，提出要保障電網(wǎng)安全可靠及免受攻擊。10月8日，能源部頒布信息技術(shù)現(xiàn)代化戰(zhàn)略，提出加強美國石油、煤電、核能等基礎(chǔ)能源部門的信息安全防護和網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)。2013年，發(fā)布第21號行政令，再次將能源確定為16類關(guān)鍵基礎(chǔ)設(shè)施部門之一。2014年2月12日，根據(jù)2013年的13636行政令，美國白宮正式頒布了《網(wǎng)絡(luò)安全框架》，旨在加強能源等關(guān)鍵基礎(chǔ)設(shè)施部門的網(wǎng)絡(luò)安全。

2.實施信息安全計劃

為落實能源行業(yè)信息安全政策或戰(zhàn)略，美國政府制定了多個路線圖和計劃進行推動。1999年夏天，針對美國發(fā)生的停電事故，美國能源部組織了一個由各類專家組成的停電事故研究小組(POST)，提出了加強電網(wǎng)信息安全的12項建議和措施。2000年1月7日，美國發(fā)布首個包括能源在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施保障全國總體計劃——《信息系統(tǒng)保護國家計劃1.0》。2003年7月31日，能源部發(fā)布《電網(wǎng)2030》構(gòu)想，對2030年前的電網(wǎng)發(fā)展進行規(guī)劃。2006年，發(fā)布《國家關(guān)鍵基礎(chǔ)設(shè)施保護計劃》，提出保護包括能源在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施的具體計劃。同年，發(fā)布《實現(xiàn)能源領(lǐng)域控制系統(tǒng)安全2006年路線圖》，提出了政府及能源企業(yè)的信息安全建設(shè)項目和目標(biāo)。2007年5月，出臺《能源領(lǐng)域2007計劃》，提出加強電力、石油及天然氣領(lǐng)域的機構(gòu)安全合作措施。2009年，修訂完善《國家關(guān)鍵基礎(chǔ)設(shè)施保護計劃》，授權(quán)能源部負責(zé)能源行業(yè)的關(guān)鍵基礎(chǔ)設(shè)施保護。9月，能源部發(fā)布《智能電網(wǎng)網(wǎng)絡(luò)安全》項目建設(shè)草案。10月，國土安全部開始實施“關(guān)鍵信息基礎(chǔ)設(shè)施的控制系統(tǒng)安全”項目，涉及能源等方面。2010年，美國能源部和國土安全部聯(lián)合發(fā)布《能源領(lǐng)域關(guān)鍵基礎(chǔ)設(shè)施保護計劃》，將石油、天然氣、電力等能源行業(yè)的工業(yè)控制系統(tǒng)安全確定為重點保護內(nèi)容。2011年3月30日，發(fā)布《能源安全未來藍圖》。9月15日，發(fā)布《實現(xiàn)能源供給系統(tǒng)網(wǎng)絡(luò)安全2011年路線圖》，提出今后10年能源網(wǎng)絡(luò)安全的戰(zhàn)略性框架。2012年1月5日，美國能源部和國土安全部聯(lián)合推出《電力系統(tǒng)網(wǎng)絡(luò)空間安全風(fēng)險管理成熟度計劃》。

3.加大信息安全投資

為確保能源行業(yè)信息安全政策或計劃的有效落實，美國政府不斷加大投資力度。2003年，美國政府專門用于網(wǎng)絡(luò)安全的費用為2.98億美元，比2002年度的0.62億美元提高了381%，其中，能源部獲得2000萬美元。2009年，美國投入到包括能源在內(nèi)的關(guān)鍵信息基礎(chǔ)設(shè)施防護資金達8.07億美元，比2008財年增長23.9% ; 2010財年又增加到9.18億美元，比2009財年增長13.8%。美國從2009年開始實施智能電網(wǎng)撥款項目(SGIG)，截至2012年3月底，共計投資近30億美元，其中包括用于提升電網(wǎng)的網(wǎng)絡(luò)安全項目。2013年2月21日，美國能源部宣布投資2000萬美元，用于發(fā)展提高國家電、油、氣等能源輸送控制系統(tǒng)網(wǎng)絡(luò)安全的工具和技術(shù)。2013年4月10日，美國能源部公布了總額為284億美元的2014財年預(yù)算申請，投資1.47億美元用于能源信息系統(tǒng)的網(wǎng)絡(luò)安全。2013年10月，美國能源部表示，將投資3000萬美元用于網(wǎng)絡(luò)安全研究和技術(shù)開發(fā)。2014年3月4日，美國能源部公布2015 財年279億美元的財政預(yù)算申請，投資約3億美元，加強能源行業(yè)的網(wǎng)絡(luò)安全。2015年2月2日，美國政府提議在2016財年預(yù)算中，擬撥款140億美元用于加強網(wǎng)絡(luò)安全。其中，將為能源部下屬的國家核安全局劃撥1.6億美元，用于網(wǎng)絡(luò)安全。2015年3月9日，美國能源部公布2016財年300億美元的預(yù)算申請，提議將3.05億美元預(yù)算，用于改善能源行業(yè)的網(wǎng)絡(luò)安全。

4.出臺信息安全法規(guī)

2001年，美國通過《2001關(guān)鍵基礎(chǔ)設(shè)施信息安全法案》，對包括能源行業(yè)在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施的信息安全進行了規(guī)范。10月，美國頒布《愛國者法案》，重新對關(guān)鍵基礎(chǔ)設(shè)施進行了界定，并將能源部門列入其中，提出了能源等關(guān)鍵基礎(chǔ)設(shè)施建模、仿真和分析系統(tǒng)的保護措施。2002年11月，美國頒布《國土安全法》，規(guī)范了能源等關(guān)鍵基礎(chǔ)設(shè)施保障的組織機構(gòu)、具體職能和目標(biāo)任務(wù)。2005年8月，美國通過《能源政策法2005》，提出了今后美國能源發(fā)展的總體策略和加強能源信息安全的具體舉措。比如，該法案增加了提升輸電網(wǎng)設(shè)施和加強可靠性的規(guī)定，要求能源行業(yè)共享威脅信息等。2007年12月18日，美國通過《能源獨立和安全法案（EISA）》，指定國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）制定智能電網(wǎng)等能源行業(yè)的發(fā)展框架。2011年5月12日, 美國政府向國會提交了《2011年網(wǎng)絡(luò)安全法案》，要求對包括能源行業(yè)在內(nèi)的國家關(guān)鍵基礎(chǔ)設(shè)施保護進行立法。此外，美國出臺的眾多網(wǎng)絡(luò)安全法規(guī)中，也都從不同角度對能源行業(yè)的信息安全進行了規(guī)范，來確保能源行業(yè)信息系統(tǒng)的安全。

5.制定信息安全標(biāo)準(zhǔn)

在加強能源行業(yè)信息安全法規(guī)建設(shè)的同時，美國政府還針對各類能源行業(yè)制定了具體的標(biāo)準(zhǔn)指南，用以指導(dǎo)電力、石油、煤炭、天然氣等行業(yè)的信息安全工作。2004年4月，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）頒布了《工業(yè)控制系統(tǒng)防御框架》（1.0版本），為包括能源行業(yè)在內(nèi)的工業(yè)控制系統(tǒng)防護制定了安全框架。2007年1月，美國能源部發(fā)布《21步改進SCADA網(wǎng)絡(luò)信息安全》，提出了加強能源行業(yè)SCADA系統(tǒng)安全的具體步驟。2008年1月，美國聯(lián)邦能源監(jiān)管委員會頒布了《關(guān)鍵設(shè)施保護》標(biāo)準(zhǔn)，旨在確保能源行業(yè)信息系統(tǒng)安全。該標(biāo)準(zhǔn)共計8個部分，覆蓋了能源行業(yè)信息系統(tǒng)的資產(chǎn)識別、安全管理、人員管理、訪問控制、物理安全、系統(tǒng)安全、應(yīng)急響應(yīng)與災(zāi)難恢復(fù)等。2009年5月18日，美國發(fā)布第一批16個智能電網(wǎng)行業(yè)標(biāo)準(zhǔn)。2010年9月，發(fā)布《智能電網(wǎng)網(wǎng)絡(luò)安全指南》，指導(dǎo)電力企業(yè)制定有效的網(wǎng)絡(luò)安全策略。2011年6月，正式發(fā)布《工業(yè)控制系統(tǒng)安全指南》，適用于電力、石化、交通、化工等行業(yè)的工業(yè)控制系統(tǒng)。2011年9月，美國能源部發(fā)布《電力系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險管理指南》。同年，還公布了《保護關(guān)鍵基礎(chǔ)設(shè)施可靠性基準(zhǔn)》，對包括能源在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施，制定了專門的保護標(biāo)準(zhǔn)。2012年2月，發(fā)布《智能電網(wǎng)互操作性標(biāo)準(zhǔn)2.0》，作為智能電網(wǎng)發(fā)展的依據(jù)及網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定的準(zhǔn)則。2013年5月，推出了《工業(yè)控制系統(tǒng)安全指南》（NIST SP 800-82）的最新修訂版。11月，發(fā)布《智能電網(wǎng)網(wǎng)絡(luò)安全指南》修訂草案。2015年1月22日，美國總統(tǒng)在國情咨文中提出了一系列提案，包括了能源部將出臺一項保護電力消費者數(shù)據(jù)的自愿性質(zhì)的能源行業(yè)行為準(zhǔn)則。

此外，美國能源各行業(yè)還制定了本行業(yè)的信息安全標(biāo)準(zhǔn)或指南。如美國石油學(xué)會制定了《石油工業(yè)安全指南》、《管道SCADA安全標(biāo)準(zhǔn)》；美國天然氣協(xié)會制定了《SCADA通信加密保護規(guī)范》、《天然氣管道行業(yè)控制系統(tǒng)安全指南》；國土安全部發(fā)布了《管道安全指南》、《中小規(guī)模能源設(shè)施風(fēng)險管理核查事項指南》、《控制系統(tǒng)安全一覽表：標(biāo)準(zhǔn)推薦指南》；美國核管理委員會制定了《核設(shè)施網(wǎng)絡(luò)安全措施》；能源部制定了《非保密受控制核信息的鑒別和保護》、《信息管理計劃》、《信息安全計劃》、《能源部科技信息管理導(dǎo)則》、《能源部科技信息管理細則》等。

6.健全信息安全機構(gòu)

為了確保能源行業(yè)信息安全措施的貫徹執(zhí)行，美國建立健全了信息安全管理機構(gòu)。其中，關(guān)鍵基礎(chǔ)設(shè)施保護委員會負責(zé)制定并調(diào)整有關(guān)保護能源行業(yè)等關(guān)鍵信息基礎(chǔ)設(shè)施的政策和計劃，加強政府各部門間的合作與交流。美國國土安全部負責(zé)包括能源行業(yè)在內(nèi)的信息安全威脅分析與信息安全事件的應(yīng)急響應(yīng)，組織能源行業(yè)等基礎(chǔ)設(shè)施在內(nèi)的大規(guī)模信息安全演練。在國土安全部的主導(dǎo)下成立了由政府各部門代表參加的政府協(xié)調(diào)委員會和私營代表參加的部門協(xié)調(diào)委員會，共同協(xié)調(diào)包括能源行業(yè)在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施和資源保護的問題。商務(wù)部下屬的美國國家標(biāo)準(zhǔn)技術(shù)研究院負責(zé)工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)和智能電網(wǎng)信息安全標(biāo)準(zhǔn)的制定。

能源部作為美國聯(lián)邦政府的能源主管部門，負責(zé)制定和實施國家能源戰(zhàn)略和政策。在信息安全方面，具體負責(zé)制定能源行業(yè)的工業(yè)控制系統(tǒng)的安全標(biāo)準(zhǔn)和措施。在能源部的獨立監(jiān)管辦公室下設(shè)有計算機網(wǎng)絡(luò)安全保護評估辦公室，負責(zé)保密計算機的安全、非保密計算機的安全和對能源行業(yè)網(wǎng)絡(luò)進行檢查。能源部的六家國家級實驗室負責(zé)對能源行業(yè)的工業(yè)控制系統(tǒng)安全開展系統(tǒng)、全面的研究。能源部的核安全局負責(zé)對核電站進行監(jiān)管控制，制定核能安全信息標(biāo)準(zhǔn)和指南。能源部的國家能源信息中心，負責(zé)能源行業(yè)的信息發(fā)布。還以能源部為主導(dǎo)，設(shè)立了“美國電力領(lǐng)域網(wǎng)絡(luò)安全組織”和“美國電力領(lǐng)域網(wǎng)絡(luò)安全組織資源”，負責(zé)制定網(wǎng)絡(luò)安全框架、推進信息共享和信息技術(shù)驗證。此外，美國還設(shè)立了獨立于能源部的聯(lián)邦能源管理委員會(FERC)，負責(zé)制定聯(lián)邦政府職權(quán)范圍內(nèi)的能源監(jiān)管政策并實施監(jiān)管，并在FERC下設(shè)立北美電力可靠性協(xié)會(NERC)，負責(zé)制定電力系統(tǒng)運行標(biāo)準(zhǔn)、監(jiān)督和推進標(biāo)準(zhǔn)的執(zhí)行。2013年第21號總統(tǒng)令，還對國務(wù)院、司法部、內(nèi)政部、商務(wù)部、國家情報委員會、總務(wù)署、核管理委員會、聯(lián)邦通信委員、國防部等部門在能源等關(guān)鍵基礎(chǔ)設(shè)施保障方面的角色和責(zé)任進行了詳細界定。

7.完善信息安全機制

一是建立網(wǎng)絡(luò)安全審查機制。美國建立了外國投資委員會(CFIUS)，負責(zé)對外國投資本國能源等關(guān)鍵基礎(chǔ)設(shè)施的審查工作；出臺了《外國投資與國家安全法》，將能源行業(yè)納入安全審查的范疇，規(guī)定對美國能源行業(yè)構(gòu)成安全風(fēng)險的外國投資，不予批準(zhǔn)。二是建立風(fēng)險管理機制。美國制定了能源行業(yè)網(wǎng)絡(luò)安全風(fēng)險管理制度，分為風(fēng)險架構(gòu)、風(fēng)險評估、風(fēng)險應(yīng)對、風(fēng)險監(jiān)控四個階段，對網(wǎng)絡(luò)安全各階段的風(fēng)險進行精確管控，確保能源行業(yè)信息系統(tǒng)安全。三是建立安全漏洞發(fā)布機制。2006年5月，美國正式建立包括能源行業(yè)在內(nèi)的工業(yè)控制系統(tǒng)漏洞發(fā)布機制，要求能源行業(yè)及時向美國計算機應(yīng)急響應(yīng)小組(US-CERT)匯報，US-CERT及時對漏洞進行處理，向各個行業(yè)發(fā)布，并錄入國家漏洞庫(NVD)。四是建立威脅信息共享與分析機制。美國政府根據(jù)關(guān)鍵基礎(chǔ)設(shè)施保護行政令要求，建立了公私合作的威脅信息共享與分析機制，通過信息共享等方式共同防御網(wǎng)絡(luò)安全威脅。五是建立網(wǎng)絡(luò)安全審計機制。為評估能源行業(yè)等關(guān)鍵基礎(chǔ)設(shè)施信息安全的整體狀況，美國建立了由政府問責(zé)局實施的網(wǎng)絡(luò)安全審計制度，定期組織相關(guān)專家，根據(jù)網(wǎng)絡(luò)安全法規(guī)和標(biāo)準(zhǔn)，對能源行業(yè)的信息安全落實情況進行審計調(diào)查，提出改進措施。

8.研發(fā)信息安全技術(shù)

技術(shù)是保障信息安全的核心基礎(chǔ)。為此，美國政府高度重視能源行業(yè)的信息安全技術(shù)研發(fā)。2005年，美國能源部建設(shè)并完成了關(guān)鍵基礎(chǔ)設(shè)施測試靶場，制定了國家SCADA測試床計劃。2007年，能源部投資790萬美元進行能源基礎(chǔ)設(shè)施的安全設(shè)備集成技術(shù)研究。2008年，美國最早提出能源互聯(lián)網(wǎng)概念，目標(biāo)是建立安全智能的能源傳輸應(yīng)用系統(tǒng)。2010年,美國能源部為10個智能電網(wǎng)信息安全項目提供了3040萬美元作為資金支持。2010年7月，美國能源部發(fā)布題為《國家安全中的科學(xué)大挑戰(zhàn)：超大規(guī)模計算的作用》的報告，提出研發(fā)確保國家能源安全的前沿技術(shù)和高性能計算。2012年1月5日，能源部啟動電力部門網(wǎng)絡(luò)安全風(fēng)險管理成熟度計劃，目標(biāo)是開發(fā)一套“成熟度模型”，使公用事業(yè)和電網(wǎng)運營商來衡量當(dāng)前自身能力和分析其網(wǎng)絡(luò)防御的差距。3月29日，美國啟動“大數(shù)據(jù)研究與開發(fā)計劃”，向能源部提供2500萬美元，用于開發(fā)新的工具來管理和可視化來自能源行業(yè)的大規(guī)模數(shù)據(jù)。4月18日, 美國能源部下屬太平洋西北國家實驗室宣布，正在開發(fā)網(wǎng)絡(luò)活動可視化工具，用于追蹤企業(yè)內(nèi)可疑惡意活動的來源。2013年2月26日，能源部提出發(fā)展能源輸送控制系統(tǒng)網(wǎng)絡(luò)安全的工具和技術(shù)。2013年10月，美國能源部計劃進行11個項目的研發(fā)，涉及輸電控制系統(tǒng)安全、數(shù)據(jù)信息網(wǎng)絡(luò)安全等各個方面。此外，美國國土安全部還大力發(fā)展工業(yè)控制系統(tǒng)專用密碼技術(shù)，推出了通用的SCADA密碼標(biāo)準(zhǔn)，用于能源行業(yè)之間的信息系統(tǒng)安全傳輸。

9.加強信息安全合作

美國能源行業(yè)大多數(shù)由私營部門擁有或管理運營，為此，美國政府將加強與私營部門的合作作為信息安全保障體系的最重要環(huán)節(jié)之一。1998年，美國第63號總統(tǒng)令提出，國家基礎(chǔ)設(shè)施保障中心要匯聚來自政府與私營企業(yè)的代表，與私營企業(yè)合作，實現(xiàn)信息共享。11月，能源部、天然氣研究所和電力研究所共同主辦了能源論壇，邀請了100余家電力、天然氣和石油企業(yè)和政府代表參加。2002年《網(wǎng)絡(luò)空間安全戰(zhàn)略》中明確指出，鼓勵政府與企業(yè)組建信息共享和分析中心；2002年《國土安全法》確立了能源行業(yè)等關(guān)鍵基礎(chǔ)設(shè)施信息的共享程序；2007年5月，召開能源協(xié)調(diào)協(xié)商會議，要求電力、石油及天然氣領(lǐng)域加強協(xié)調(diào)合作，為國家基礎(chǔ)設(shè)施保護計劃提供建議。2013年2月，發(fā)布《提升關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》行政令，明確要求采取措施推進公私網(wǎng)絡(luò)安全信息共享；2013年第21號總統(tǒng)令更是直接將促進政府部門之間以及與關(guān)鍵基礎(chǔ)設(shè)施所有者和運營者之間的有效信息交換作為信息安全三大措施之一。2014年2月，美國頒布《網(wǎng)絡(luò)安全框架》，對于能源行業(yè)等關(guān)鍵基礎(chǔ)設(shè)施安全的公私合作進行了規(guī)范。2015年3月9日，美國總統(tǒng)奧巴馬在網(wǎng)絡(luò)安全峰會上，呼吁私營企業(yè)加強與政府在網(wǎng)絡(luò)安全領(lǐng)域的合作。3月12日，美國通過《網(wǎng)絡(luò)空間安全信息共享法》，加強網(wǎng)絡(luò)安全漏洞的信息分享，以幫助企業(yè)以及政府更好地應(yīng)對網(wǎng)絡(luò)攻擊。

10.深化軍民融合發(fā)展

一是簽署軍民合作協(xié)議。2010年10月13日，美國國防部長和國土安全部長簽署軍民網(wǎng)絡(luò)安全合作協(xié)議，整合軍政兩個體系內(nèi)的網(wǎng)絡(luò)安全手段，確保能源行業(yè)等國家關(guān)鍵基礎(chǔ)設(shè)施安全。二是組建保護能源設(shè)施的網(wǎng)絡(luò)力量。2013年1月5日，美國官員表示，國家安全部正在推行 “完美公民”計劃，組建保護全國電網(wǎng)等關(guān)鍵基礎(chǔ)設(shè)施的“護電特戰(zhàn)隊”。三是建立國家網(wǎng)絡(luò)任務(wù)部隊。2013年2月27日，美國國防部決定建立“國家任務(wù)部隊”，負責(zé)保護電力網(wǎng)絡(luò)、電廠和其他關(guān)鍵基礎(chǔ)設(shè)施。四是舉辦能源企業(yè)和國防部門參與的網(wǎng)絡(luò)安全演習(xí)。美國國土安全部分別在2006年、2008年和2010年舉辦了三次網(wǎng)絡(luò)風(fēng)暴演習(xí)，旨在檢驗美國能源、信息技術(shù)、交通運輸、供電系統(tǒng)等關(guān)鍵基礎(chǔ)設(shè)施遭受大規(guī)模網(wǎng)絡(luò)攻擊時的協(xié)同應(yīng)對能力。

結(jié)語

美國作為全球最大的能源消費國，發(fā)展形成了一個規(guī)模龐大、信息化程度高的能源行業(yè)；為了確保其能源領(lǐng)域的信息安全，美國政府構(gòu)筑了比較完善的信息安全保障體系。當(dāng)前，我國正在加快推進信息化和工業(yè)化的深度融合，能源行業(yè)的信息化程度得到了快速提升，但由于信息基礎(chǔ)薄弱，一些核心信息技術(shù)還未達到自主可控，使得能源行業(yè)的信息安全形勢復(fù)雜嚴峻。為此，我們應(yīng)積極借鑒美國在能源行業(yè)的信息安全舉措，結(jié)合我國能源領(lǐng)域的實際，從政策、法規(guī)、投資、標(biāo)準(zhǔn)、機制、技術(shù)等方面，大力加強能源行業(yè)的信息安全建設(shè)，全面提升能源行業(yè)的信息化和網(wǎng)絡(luò)安全水平。