美能源部新版網絡安全能力成熟度模型研究

李瑩

（國家工業信息安全發展研究中心，北京 100040）

0 引言

2021年7月21日，美能源部（DOE）網絡安全、能源安全與應急響應辦公室（CESER）發布C2M2 2.0[1]。C2M2 2.0是DOE電力安全“百日沖刺”計劃的組成部分，旨在通過對網絡安全風險等級的定量評估，指導能源企業提升工業控制系統（ICS）網絡安全水平，以應對日益嚴重的能源網絡安全威脅。對C2M2 2.0進行研究，對于了解美國能源領域工控安全最新發展方向，進一步提升我國工控安全防護能力具有重要意義。

1 能源行業網絡安全能力成熟度模型更新背景

近年來，針對能源領域的網絡攻擊日益增多、攻擊手段越發復雜、造成損失不斷加大。為應對這一局面，美持續完善能源ICS網絡安全政策機制，強化工控安全能力建設。

1.1 能源領域網絡安全威脅日益嚴峻

能源安全事件數量猛增。據美能源可靠性公司（NERC）的年度報告[2]顯示，2020年上報給北美電力行業信息共享中心的網絡安全相關事件數量達到2624件，同比增加98%。

能源行業脆弱性大幅上升。美國政府問責局（GAO）在3月的一份報告[3]中指出，由于監控技術的大面積應用，電網的配電系統面臨存在重大安全隱患。安全公司Nozomi Networks報告[4]顯示，2021年上半年ICSCERT報告漏洞增加了44%，其中能源行業排名前三。

能源安全事件影響惡劣。今年1月以來，荷蘭能源供應商Eneco、巴西主要電力公司Eletrobras和Copel、美國最大成品油管道商Colonial Pipeline、印度電力公司等國家重要能源設施均遭受網絡攻擊，造成重大影響，美國東海岸燃油供應還因此一度陷入癱瘓。能源領域安全威脅的不斷加劇促使美國加緊采取應對措施。

1.2 新興技術快速發展對安全標準提出更高要求

新興技術的快速發展對現有的安全標準的適用性產生了不同程度的影響。

威脅手段的高度復雜化提高安全防護門檻。安全公司Check Point在報告[5]中指出，攻擊者正在越發頻繁地發起復雜攻擊，并利用組織的供應鏈造成大規模破壞。隨著攻擊手段的復雜化和攻擊水平的提高，已有的安全標準也亟需同步加強。

云計算、人工智能等新技術帶來新的安全問題。如人工智能技術對海量數據進行分析處理，相應的數據管理過程也需要盡快納入安全標準中進行規范。

網絡安全技術的不斷發展為豐富安全標準提供參考。美國國防高級研究計劃局（DARPA）近日推出名為“快速攻擊檢測、隔離和表征系統”（RADICS）的新電網保護工具，可以實現準確、實時的安全態勢感知和通過隔離應急網絡技術保障正常通信等功能，這些新技術的出現為完善安全標準、引導安全發展方向提供重要參考。

1.3 美持續完善能源行業網絡安全政策標準

今年以來，美通過以下方面持續完善能源行業網絡安全政策與標準。

制定計劃，美DOE先后宣布800萬美元的資助項目和“百日沖刺”計劃，旨在加強電力行業ICS網絡安全。

發布指南，美國家網絡安全卓越中心（NCCoE）發布了《確保工業物聯網的安全：分布式能源的網絡安全》指南草案，指導能源行業加權工業物聯網安全保障。

推進立法，美眾議院能源和商業委員會推出《管道和液化天然氣設施網絡安全預備法案》《能源應急領導法案》《網絡感知法案》《通過公私伙伴關系增強電網安全法案》等多項議案，推動能源行業網絡安全立法進程。

指導實踐，美DOE和英國國家網絡安全中心（NCSC）聯合發布《工業控制系統網絡安全最佳實踐》，指導包括能源行業在內的相關行業企業加強工控安全。C2M2 2.0是美持續完全能源行業網絡安全政策標準的重要組成部分，為能源行業企業定量評估網絡安全風險、提升ICS網絡安全水平提供了重要工具。

2 能源行業網絡安全能力成熟度模型重點內容

作為電力安全“百日沖刺”計劃的一部分，C2M2 2.0的發布對改善能源行業網絡安全威脅具有重要意義。C2M2 2.0共包含資產管理、威脅與漏洞管理、風險管理、身份與訪問管理、態勢感知、事件響應、第三方風險管理、人員管理、安全架構、安全項目管理等10個能力域，展現了一張企業網絡安全能力建設藍圖，對于企業網絡安全能力提升具有重

要指導作用。綜合來看，C2M2 2.0對各個域均有不同程度的改動，更新主要聚焦在應對勒索軟件、供應鏈風險等威脅，以及對云計算、人工智能等新興技術提供保護支持等方面。本文將從以下三個重點方面介紹C2M2 2.0更新內容。

2.1 重視基礎安全，筑牢系統防護基線

基礎安全包含資產管理、態勢感知、威脅信息和漏洞管理等基礎安全防護措施，涉及安全管理的諸多關鍵環節。C2M2 2.0對基礎安全要求進行多方面完善，確保系統防護維度的全面性。具體評價維度包括兩個方面：

進一步強調資產管理的全面性。在系統梳理ICS資產信息、重點關注一旦失陷可能造成重大影響或威脅擴散的關鍵資產的基礎上，全面統計各個維度的屬性信息，尤其是據以判斷資產安全狀態或風險的安全信息，并實施資產變更管理，以保證資產清單實時動態更新。

強化安全態勢感知要求。更全面、更具體地提出安全態勢感知的相關要求，如監控范圍需要覆蓋整個IT和OT環境以及匯聚的信息需包含系統日志、數據流、網絡基線、網絡安全事件等。

2.2 強調數據管理，保障數據資產安全

C2M2 2.0將信息資產與IT、OT資產并稱為企業資產，并在新增的安全架構域中，將數據管理作為與網絡管理、IT與OT資產管理、軟件管理同等重要的環節，并進一步將數據安全管理作為能源行業企業安全成熟度的重要內容。具體評價維度包含三個方面：

全面梳理數據資產。強調數據資產的全面管理與IT、OT資產的全面管理同等重要，管理措施包括整理數據資產清單、統計各類屬性信息、進行資產變更管理等。

開展數據分類分級管理。根據信息資產目錄，對數據進行分類標識和逐類分級，并根據分類分級結果對數據實施差異化安全管理。

采取防泄漏措施。在數據傳輸、存儲等過程中實施加密等防泄漏安全措施，并在IT及OT資產退役前對數據進行徹底銷毀。

2.3 關注信息共享，著眼實際應用效果

C2M2 2.0不再將信息共享作為一個單獨的能力域，而是將其貫穿于評價模型的各個層面，更注重信息共享的針對性和實踐效果。具體評價維度包括四個方面：

風險信息共享。將來自第三方的共享信息，用于消減自身網絡風險和識別新的風險。

威脅信息共享。與威脅信息的利益相關者，如政府部門、供應商、客戶、信息共享中心進行安全、實時的威脅情報交換，在收到與自身相關的威脅情報時及時處理。

漏洞信息共享。將已識別的漏洞與利益相關者共享，并進行持續性的漏洞管理。

態勢信息共享。與利益相關方溝通態勢感知報告要求，及時共享相關安全信息，同時收集外部情報信息，制定分析方案自動輔助安全態勢研判等。

3 啟示與建議

美C2M2 2.0標準為我國加強能源及其他工業領域網絡安全能力建設提供了重要參考。建議我國進一步完善態勢感知技術手段、推進工業數據分類分級管理、加強威脅信息共享，綜合提升工業領域信息安全整體能力與水平。

3.1 推動工業企業安全態勢感知平臺建設

加強宣傳推廣，提升工業企業信息安全意識，轉變企業“重效益、輕安全”的思維方式，鼓勵引導工業企業建設安全態勢感知平臺，實時識別、分析、預警安全威脅，強化工業資產安全管理，實現工業資產的動態識別、屬性智能化分析、運行狀態監測等功能，并通過工業專有協議深度包解析、白名單自學習技術等，開展流量分析、網絡拓撲繪制、攻擊行為檢測及異常狀態排查，保障工業生產運行，切實提升工業企業安全監測和防護能力。

3.2 持續推進工業數據分類分級管理工作

在《工業數據分類分級指南（試行）》的基礎上細化制定分類分級管理標準，指導企業有序開展工業數據分類分級工作。在前期試點工作的基礎上，按照《數據安全法》要求，加快全面部署工業數據分類分級工作，指導督促各行業、各地區工業企業加強工業數據分類分級管理與安全防護，營造良好的數據管理與應用環境，為數據的充分利用、全局流通和安全共享奠定基礎。

3.3 建立工業信息安全威脅情報共享機制

依托國家級工業信息安全信息報送與通報平臺，建立健全政府部門、工業企業、供應商、安全企業、研究機構威脅情報共享機制，形成涵蓋漏洞風險、安全威脅、安全事件、態勢預判等在內的工業信息安全威脅情報共享體系，暢通各方信息共享渠道，提升整體安全防護水平。

4 結語

隨著工業4.0的深入發展，全球工業制造領域發生深刻變革，數字化、智能化快速推進，工業生產效能極大提升。與此同時，智能互聯所帶來的安全隱患也逐漸顯現。以能源行業為例，近年來，能源領域網絡安全事件頻發、威脅手段日益復雜、信息技術迭代加速，亟需更新現有政策標準體系，提升安全防護技術水平。

為了應對日益復雜的網絡安全形勢，美國針對能源領域網絡安全發布了一系列政策標準，C2M2 2.0便是其中之一。C2M2 2.0在上一版本的基礎上，在基礎安全、數據安全和情報共享等方面進行了補充完善，為我國加強能源及其他工業領域網絡安全能力建設提供了重要參考。建議我國進一步完善態勢感知技術手段、推進工業數據分類分級管理、加強威脅信息共享，綜合提升工業領域信息安全整體能力與水平。