美能源部彈性工業控制系統網絡測試（CyTRICS）項目、能源行業及供應鏈安全政策分析

趙凱麗

（國家工業信息安全發展研究中心，北京 100040）

0 引言

隨著全球供應鏈日趨多樣化和復雜化，工業控制系統面臨的總體風險迭代升級，供應鏈安全形勢日益嚴峻，能源行業面臨的風險挑戰不斷加劇。美國能源部網絡安全、能源安全和應急響應辦公室（CESER）通過彈性工業控制系統網絡測試（CyTRICS）項目，使能源部（DOE）能夠科學評估能源系統組件的軟件和固件，以識別和減輕供應鏈中的網絡安全漏洞威脅，確保能源基礎設施最關鍵部分的完整性、可靠性和安全性。

1 CyTRICS項目簡介

1.1 CyTRICS項目已具備運營能力，并持續擴大規模

CyTRICS項目啟動于2018年，并于當年完成概念驗證測試。利用測試的結果，項目在2019年開發了測試操作方法草案、結果報告格式和結果存儲庫，2020年完成了項目流程的完整試點測試。目前，CESER已經邀請行業參與者對關鍵的CyTRICS過程進行反饋，包括測試操作、報告格式、深度分析和風險計算，以及協同的漏洞披露過程。此外，CESER不斷完善CyTRICS項目流程，以反映行業最佳實踐和不斷發展的政策要求。

1.2 CESER通過CyTRICS項目進行漏洞測試，與多方共享信息以制定處置措施

通過CyTRICS項目，CESER將自愿提交測試設備的制造商、供應商、公用事業公司以及國家實驗室的先進、智能分析能力聯合起來，以確認軟件和固件的安全性。在CyTRICS下，CESER指導網絡漏洞測試和組件枚舉，與制造商分享調查結果以制定處置措施，并通過受影響的組件提醒行業利益相關方，以便他們能夠解決部署系統中標記的問題。其中，具有高影響力、普遍性和國家安全利益的組件被優先用于測試和分析。

1.3 CyTRICS網絡漏洞測試支持跨多個部門倡議的供應鏈安全需求

CESER從眾多項目、子部門和機構中收集組件測試的需求，并將其包含在CyTRICS測試優先化方法論中。CyTRICS通過參與論壇等方式，確保與行業伙伴的透明度和協調性。根據2020財年國防授權法案第5726條的規定，保護能源基礎設施執行任務組是能源行業制造商、資產所有者和CyTRICS設計和運營利益相關者戰略和技術支持的主要機構。

1.4 CyTRICS項目主要在以下四個方面做出創新

一是確定優先級的方法。綜合考慮操作影響、普及率和國家安全利益等關鍵因素，對被測試OT組件進行優先排序。二是標準化的測試過程。DOE已經開發并改進了標準化的方法用于枚舉和測試漏洞固件和軟件子組件。標準化確保了結果的一致性、可重復性和可比性，從而有助于在實驗室和合作伙伴之間擴大測試和自動化的規模。三是標準化的報告和存儲庫。CyTRICS以標準的材料清單格式捕獲測試結果，以快速識別嵌入的高風險組件和子組件。測試結果的中央存儲庫用于全面的、全行業范圍的系統風險和漏洞分析。四是與供應商深度合作。CyTRICS與該領域的頂級制造商和公用事業公司合作并簽署協議，在測試前建立合作框架。標準協議確定了需要執行的軟件和固件測試類型，及時披露測試期間發現的漏洞，并與受影響的資產所有者、聯邦機構和能源部門利益相關者協調披露漏洞信息。

2 CyTRICS項目最新進展

近期，CyTRICS項目在合作廠商發展、重點項目推進、漏洞測試成果等方面有了新的進展。

2.1 吸引更多設備廠商加入CyTRICS項目，加強能源行業網絡安全和供應鏈彈性

2020年9月，全球領先的能源設備制造商和軟件開發商施耐德電氣宣布加入CyTRICS項目，成為第一家簽署正式協議的設備制造商，并根據CyTRICS項目需求提供硬件和軟件組件。全面測試計劃于2021財年第二季度啟動。2021年3月，美國電氣設備的主要供應商施韋策加入了能源部資助的一個保護工業基礎設施免受黑客攻擊的研究項目。施韋策工程實驗室將把產品提交給擁有頂級工業設備滲透測試員的愛達荷州國家實驗室（INL）進行測試，通過加強供應商產品的安全測試，以加快提醒其他供應商修復這些缺陷。

2.2 CESER宣布新的研究項目，防范全球技術漏洞成為重點之一

2021年3月18日，CESER宣布了三個新的研究項目，分別是：防范全球技術漏洞項目、開發電磁和地磁干擾的解決方案，以及培養對網絡安全解決方案的研究和應用型人才。這些新項目的組合將通過解決潛在的全球供應鏈安全漏洞，保護關鍵基礎設施免受電磁和地磁干擾，并加強下一代網絡安全人才培養，以保護美國能源系統免受日益增長的網絡和物理危害。對于列在首位的防范全球技術漏洞項目，CESER正與施韋策工程實驗室合作開展CyTRICS項目，利用更先進的分析技術來測試能源部門合作伙伴用于安全問題的各種工具，以更容易地識別和處置工業控制系統中的潛在漏洞，預先采取防范措施。

2.3 CyTRICS項目在漏洞報告方面初見成效

2021年3月16日，美國國土安全部（DHS）下屬機構網絡安全和基礎設施安全局（CISA）發布了工業控制系統安全公告ICSA-21-075-02，描述了通用電氣（GE）通用斷電器（UR）系列產品的一系列漏洞。公告包含CyTRICS程序報告給GE的漏洞，其中包括一個高危漏洞（CVSS 9.8）。

3 美國能源行業相關政策

美國一直是能源消耗大國，發展形成了規模龐大、信息化程度高的能源行業。為了確保其能源領域的網絡安全，美國政府構筑了比較完善的網絡安全保障體系。2018年5月14日，美國能源部發布了長達52頁的美國《能源行業網絡安全多年計劃》，為CESER制定了美國能源部未來五年綜合戰略，以降低美國能源行業面臨的網絡安全風險。隨著能源部宣布CyTRICS項目進入下一階段，美國審計署（GAO）在2021年3月18日發布的《電網網絡安全——能源部需要確保其計劃充分解決配電系統的風險》報告中建議能源部更多地關注配電系統的網絡安全風險。電網配電系統面臨網絡攻擊的威脅日益嚴峻，但潛在影響程度尚不清楚。能源部的計劃尚不足以解決網絡攻擊給電網配電系統帶來的風險，包括與互聯網相關的工業控制系統設備和網絡消費者設備的漏洞。GAO建議能源部與國土安全部、各州和工業界協調實施國家電網網絡安全戰略計劃，以更好應對網絡攻擊對電網配電系統造成的風險及潛在影響。

4 美國供應鏈安全政策

美國將供應鏈安全作為事關國家安全的重要因素，通過立法、行政命令、國會決議等多種形式加強供應鏈安全審查。

4.1 特朗普政府供應鏈安全政策基本主張

特朗普政府致力加強防范通信供應鏈安全威脅，出臺一系列行政命令，加速從美國通信網絡中移除不安全的設備和服務。一是發布行政令，保護信息通信技術（ICT）供應鏈免受來自中國和其他對手國家的威脅。2019年5月15日，美國總統特朗普正式簽署《確保信息通信技術與服務供應鏈安全》行政令，禁止交易、使用可能對美國國家安全、外交政策和經濟構成特殊威脅的外國信息技術和服務。二是推進實施安全可靠的通信網絡補償計劃，保護國家通信網絡。2020年3月12日，《安全和可信通信網絡法》正式生效。12月27日，特朗普簽署了2021年《綜合撥款法》，規定美國國會向FCC撥款19億美元，以其中18.95億美元用于移除和替換構成國家安全風險的通信設備和服務，對合格供應商進行補償。

4.2 拜登政府供應鏈安全政策基本主張

自2020年12月以來，“太陽風”（SolarWinds）供應鏈攻擊事件成為拜登政府需要面對的首要網絡安全挑戰。拜登政府專門制定了確保供應鏈安全的政策，提出美國需要采取措施應對能源、電力、半導體、關鍵電子技術原材料等方面的一系列供應鏈漏洞，并幫助美國盟友在供應鏈上避免嚴重依賴競爭對手。一是聚焦供應鏈安全，增強關鍵領域制造能力。2021年1月25日，關于強化美國制造的行政令發布，增設了美國制造總監，負責指導針對聯邦政府采購代理商開展供應鏈審查，與盟友保持合作，共同打造具有彈性的供應鏈。二是頒布供應鏈新政，開展供應鏈安全審查，劍指中國。為了擺脫對中國供應鏈的依賴，美國正計劃聯手英國、日本、澳大利亞等盟友，打造“去中國化”供應鏈。2月24日，拜登簽署“美國供應鏈行政令”，要求在100天內審查半導體、純電動汽車電池、醫藥品、包括稀土在內的重要礦物等4類重點領域的供應鏈風險，開展產業供應鏈評估。

5 啟示建議

面對工業控制系統漏洞威脅日益嚴峻、供應鏈網絡攻擊風險與日俱增的形勢，亟需進一步完善我國工業信息安全漏洞管理工作，推進供應鏈安全體系建設。

5.1 推進工業信息安全漏洞管理工作

一是制定漏洞綜合管控政策，明確工業信息安全漏洞的國家戰略資源地位，規范漏洞報告和信息發布等行為，實現國家在漏洞利用方面的優先權和合法化，加強對漏洞的分類共享、公開披露和出口管控。二是持續優化國家工業信息安全漏洞庫（CICSVD）運營機制，進一步完善工業信息安全漏洞發現、上報、分析和處置工作機制，加速整合國內工業信息安全設備制造商、供應商、科研機構、安全從業者等多方力量，推動構建工業信息安全漏洞及時發現和迅速處置的生態環境。

5.2 加強供應鏈安全體系建設

一是研究制造業供應鏈安全計劃，開展制造業供應鏈協同性、安全性、穩定性、競爭力等綜合評估，建立供應鏈風險預警評價指標體系和預警系統，構建有效應對供應鏈風險的長效機制。二是密切跟蹤發達國家供應鏈管控相關政策，主動防范其對我國相關行業的不利影響，審視我國供應鏈對美國等國外市場的依賴程度，及時作出戰略調整，尋求多元化的獲取渠道。三是加速實現核心技術領域的自主可控，加強技術研發，保持戰略定力，為維護供應鏈安全提供保障，助力制造強國和網絡強國建設。