美國應對工控安全措施對我國能源領域工控安全的啟示

趙漢青，王鑫（中國軟件評測中心）

繼2021年5月美國科洛尼爾管道運輸公司（Colonial Pipeline）遭到黑客勒索攻擊后，另一家美國管道領域運維服務商萊因斯坦（LineStar Integrity Services）在同年6月再次遭遇了類似的網絡攻擊。萊因斯坦公司的主要業務是負責美國石油化工等能源領域大型管道公司的審計、維護等信息技術服務，同時向多家管道公司提供信息技術解決方案，尤其是工業控制系統軟件。針對此次事件，萊因斯坦公司沒有對外聲張，然而暗網上已經公布了該公司的70GB內部文件，可能導致大量與管道工業控制系統有關的網絡結構、軟件開發架構和核心設備信息遭到泄露，進而成為黑客精準“點穴”的參考“藍圖”。2020年，根據工業蜜罐捕捉的數據，我國工業控制系統被攻擊的總量位居全球第三，僅次于美國和荷蘭。石油和天然氣行業被阻止的惡意對象報告數在整個工業控制系統中的占比更是從36.3%增長到37.8%。Gartner預測，到2023年，工業控制系統攻擊造成的經濟影響將超過500億美元。

1 美國應對措施

1.1 美國能源部啟動代號為CyTRICS的彈性工業控制系統測試計劃

在2021年，彈性工業控制系統測試計劃初步具備了運營能力，并正在擴大規模。該計劃主要包括四個方面的創新：

一是確定優先級的方法。一種對被測試系統進行優先排序的方法，包含了危害影響、軟件普及率和對國家安全利益損害程度等關鍵因素。這種方法為測試優化安全性影響提供了一個戰略性的、透明的原則。

二是標準化的測試過程。美國能源部已經開發和改進了一個標準化的方法來枚舉和測試漏洞固件和軟件的子組件。標準化確保了結果的一致性、可重復性和可比性，從而有助于在實驗室和企業之間擴大測試和自動化的規模。

三是標準化的報告和存儲庫。彈性工業控制系統測試計劃以標準的材料清單格式監測測試結果，以快速識別嵌入的高風險組件和子組件。該計劃的特點是具有一個測試結果的中央存儲庫，用于全面的、全行業范圍的系統風險和漏洞分析。

四是與供應商深度合作。彈性工業控制系統測試計劃與該領域的頂級制造商和公用事業公司合作，簽署參與協議，在進行測試之前建立相互合作框架。該標準協議確定了需要執行的軟件和固件測試類型，及時披露測試期間發現的漏洞，并與受影響的資產所有者、聯邦機構和能源部門利益相關者協調披露漏洞信息。

1.2 美國能源部發布網絡安全能力成熟度模型

2021年7月24日，美國能源部（DoE）下轄的網絡安全、能源安全與應急響應辦公室發布了網絡安全能力成熟度模型（Cybersecurity Capability Maturity Model, Version 2.0），該網絡安全能力成熟度模型（C2M2）是由美國能源部（DOE）、電力分部門協調委員會（ESCC）和石油天然氣分部門協調委員會（ONG SCC）組織合作開發的，著力增強工業控制系統（ICS）的網絡安全與能力。C2M2 旨在持續評估企業的工控網絡安全能力、以有意義的方式傳達其能力級別，并告知其網絡安全投資的優先級。利用該評估來識別能力差距，確定這些差距的優先級，并制定解決這些差距的計劃，并最終實施解決差距的計劃。

2 我國能源行業工業控制系統網絡安全面臨的挑戰

近年來，我國工控安全投入持續增加，為我國工業控制系統網絡安全（以下簡稱工控安全）的發展提供了良好的產業環境。但我國能源行業工控安全仍然面臨一些挑戰。

2.1 產業互聯趨勢衍生新的安全隱患

我國工業互聯網發展迅速，已廣泛應用于石油化工、電力電網等多個領域。5G網絡的迅速發展，使得工業自動化、數字化、網絡化的進程加快，更多的設備連接到中央系統，加劇了工業控制系統安全事件的發生。2020年以來，大量工廠、企業、基礎設施供應商都遭受了不同程度的攻擊，相較于以往的工控安全形勢，工控系統行業漏洞數量呈現出連年高發的趨勢。

2.2 工控安全防護能力普遍有待加強

能源領域網絡安全防護能力薄弱，僅2020年，對我國工業控制系統進行網絡攻擊的IP數高達99 217個，遠遠超過其他國家，位居世界第一。除電力電網行業的工控安全防護能力建設發展較快外，石油、化工、煤炭、天然氣、新能源發電等行業工控安全防護能力建設剛剛起步，很多能源企業在建設中逐步轉變了意識，在設計階段開始考慮解決網絡安全問題，但工控安全防護能力依舊薄弱。

2.3 提升系統本質安全水平任重道遠

根據國內咨詢機構數據，全國5 000多個重要的工業控制系統中，95%以上的工控系統操作系統均采用國外產品。到目前為止，還有80%以上的工控系統來自國外，很多國外進口設備都是搭配系統一起引進的。80%的企業從來不對工控系統進行升級和漏洞修補，有52%的工控系統與企業的管理系統、內網甚至互聯網連接，一些存在漏洞的國外工控產品依然在國內的某些重要裝置上使用。國外的工控系統攻擊事件屢見不鮮，也就意味著國內工業企業的生產系統也很容易受攻擊。

2.4 工控安全運維應急能力普遍缺乏

從工業控制系統的分布來看，能源、電力、石化、天然氣等工業控制設備的數量約占全社會工業控制系統的60%。能源行業的工控安全對全國的工控安全尤為重要。目前我國從等級保護角度定義了待評估信息系統的安全等級，但不同行業間同級別業務信息系統的安全關聯性差，網絡安全風險在同一行業不同產業鏈環節業務信息系統上的傳導或不同行業間業務信息系統的傳導難以體現，從而無法從國家整體上把握網絡安全風險狀況和態勢，也就難以明確評估系信息安全保障重點、確定相應的網絡安全政策去向導向、人財物投入等。

3 啟示與建議

3.1 頂層推動重點領域工控安全產業協同

加快推動工業信息安全立法，制定《工業信息安全管理辦法》，以頂層為牽引，加快工控安全防護建設實施規范、工業數據分類分級指南等關鍵標準報批發布。加大工控安全防護貫標推進力度，支持搭建貫標公共服務平臺，為企業提供自對標、自診斷、自評價服務。加強工業信息安全標準供給能力，加快關鍵標準研制和驗證，逐步形成法律、政策、標準互相銜接、互為補充的政策標準體系。開展全國基本情況摸底調查，梳理產業鏈上下游關鍵技術、產品、服務發展現狀，完善工控系統軟硬件產品技術圖譜，鼓勵工業企業、工控系統廠商、安全企業開展協同攻關和集成應用，推動試點示范和行業應用。

3.2 加速提升行業工控系統本質安全水平

加速提升信息技術應用創新產業帶動產業先行先試，突破關鍵工業控制系統核心技術，縮短典型場景工藝差距，鼓勵能源行業工業企業使用自主工業控制系統。進一步完善國家在線監測網絡，加快推進態勢感知指數評價體系研究和應用，支撐精準研判與科學決策。指導有條件的地方開展態勢感知地方平臺建設，并實現與國家平臺的對接和交互共享，引導其他地方通過購買服務等方式參與國家態勢感知能力建設。加快工業企業側安全監測節點的部署，全面提升企業風險發現、防范和消減能力。加快仿真測試環境、應急資源庫等基礎設施建設，持續提升攻防對抗、實訓演練、應急處置能力。

3.3 “以測促改”全面增強系統的綜合防御能力

加快推進工控系統網絡安全測評，工業控制系統網絡安全測評既是工控安全全生命周期解決方案中不可或缺的一部分，同時也是工控安全防護方案的重要依據。根據工業網絡安全合規標準和國內外的最佳實踐，通過常態化的工業控制系統網絡安全測評，分析安全狀況和防護水平，定位工業網絡安全風險，找到與合規基準的差距，有針對性地采取安全防護措施，鼓勵重點行業企業利用新建/改建項目，開展工控系統技術攻關和適應性改造，形成一批應用效果突出的標志性產品，逐步實現從獨立模塊到完整系統的規模化應用，打造行業樣板工程，促進企業本質安全水平提升。