2019年8月,美國政府問責署(GAO: Government Accountability Office)發布《關鍵基礎設施保護:采取措施應對電網面臨的重大網絡安全風險》(《CRITICAL INFRASTRUCTURE PROTECTION:Actions Needed to Address Significant Cybersecurity Risks Facing the Electric Grid》)報告。
該報告對美國電網面臨的網絡安全風險和挑戰進行了分析,描述了聯邦機構應對電網網絡安全風險所采取的措施,同時指出,能源部應對電網網絡安全風險和挑戰的戰略并不充分,能源監管委員會批準的標準也并未能完全解決電網面臨的網絡安全威脅,最后對政府相關部門提出了建議。
1 報告主要內容與觀點
電網的主要功能包括電能的生產與存儲、傳輸及配送。美國大多數電網是由私營企業擁用和運營的,東部電網、西部電網和德克薩斯電力可靠性委員會所運營的三個大型電網共同構成了美國電網,它們彼此獨立運行,相互之間的電力互動能力有限。
電網通常被認為具有彈性,能快速應對各類電網故障。面對颶風等大規模災害,電網運維人員可通過事先采取措施,對關鍵設備設施進行保護,制定恢復計劃并部署人員,實現災后快速恢復電力供應。
但網絡攻擊往往具有突發性,電網運維人員無法事先準備預案,應對這類攻擊比應對特定區域的災難事故難度更大。
為加強關鍵基礎設施(包括電網)安全防護,美國制定了系列重要的基礎設施保護原則和關鍵計劃,包括《總統21號政策指令》《國家基礎設施保護計劃》《13636號行政命令》《13800號行政命令》《網絡安全戰略》等。
同時通過頒布電網網絡安全法規,明確了FERC(聯邦能源監管委員會)是州際電力傳輸的聯邦監管機構,負責審查和批準標準以確保大功率電力系統的可靠運行。
NERC(北美電力可靠性公司)是美國政府指定的電力可靠性組織,負責進行可靠性評估并執行強制性標準,以確保大功率電力系統的可靠性。FERC監督NERC,批準了11項電力關鍵基礎設施保護的網絡安全標準,目前已強制執行其中10項。
同時明確網絡事件報告也是美國聯邦和非聯邦監管工作的重要組成部分,法律要求電網所有者和運營商在滿足某些標準時向能源部報告大型電力系統事件。
除闡述上述電網基礎設施保護的背景、舉措外,該報告重點論述四個方面內容(觀點):
(一) 美國電網面臨巨大網絡安全風險和挑戰
一是國家、犯罪集團、恐怖分子等網絡威脅參與者越來越有能力攻擊電網。
《2019年美國情報界全球威脅評估報告》指出,國家、犯罪集團、恐怖分子是發動針對美國電網等關鍵基礎設施網絡攻擊的最大威脅來源。此外,黑客以及內部人員等也對電網網絡安全構成顯著威脅。這些行為體越來越善于針對電網工業控制系統進行網絡攻擊,與此同時,利用電網工業控制系統漏洞的工具越來越容易獲取,對電網發起網絡攻擊的門檻正逐步降低。
二是隨著工業控制系統和物聯網設備連接邊界的擴張,美國電網變得更容易受到網絡攻擊。對電網網絡攻擊主要有以下三個途徑,
首先是通過工業控制系統。
電網工業控制系統中集成了大量使用傳統IT網絡協議的廉價且通用的設備,為網絡攻擊提供大量侵入點,尤其是很多工業控制系統設備具備遠程接入能力,且越來越多的工業控制系統被接入到公司商業網絡中。
其次是通過連入電網的消費類物聯網設備。
2018年大學研究人員模擬了操縱智能家用設備對電網進行攻擊的可行性及影響,其發現攻擊者可以利用物聯網設備組成僵尸網絡,并操縱電網用電需求,最終可達到使電網癱瘓的目的。
最后是通過全球定位系統。
電網依賴于全球定位系統授時,以監測和控制發電、輸電和配電。根據美國能源部的信息,全球定位系統信號容易被惡意攻擊者利用。
三是美國還未發生因網絡攻擊造成電網停電的案例,但對工業控制系統進行網絡攻擊導致停電、甚至物理損壞的可能性是真實存在。
美國暫未發生網絡安全事故影響到電網可靠性的案例,但在其他國家已有發生。例如,2015年12月,惡意行為者對烏克蘭三家配電商進行了網絡攻擊,造成約225,000名用戶斷電。雖然GAO沒有找到證據表明網絡攻擊對電網造成了物理損壞,但是針對其他行業的工業控制系統的網絡攻擊是有可能造成損壞的。
此外,聯邦機構針對電網工業控制系統網絡攻擊的潛在影響進行了三項評估,盡管相關評估具有一定的局限性,無法確定網絡攻擊可能導致的停電規模,但都一致認可網絡攻擊是會對電網造成破壞。
四是美國在應對電網網絡安全風險方面面臨嚴峻挑戰。
主要體現在網絡安全人才不足、缺乏信息共享機制、防護資源投入不足、依賴其它易受網絡攻擊的關鍵基礎設施、網絡安全標準和指南實施不確定性等重大挑戰。
(二)美國采取多項措施應對電網網絡安全風險
一是能源部、國土安全局及其它聯邦機構采取措施應對基礎設施網絡安全風險,旨在應對電網網絡安全風險。
這些措施與美國國家標準技術研究所的網絡安全框架相一致,主要包括以下三個方面:
1)保護系統以降低網絡安全風險和漏洞威脅。美國通過提供旨在防止網絡安全入侵的功能和網絡安全實踐的培訓與指導等保護措施,協助電網公司及運營商實施減輕網絡安全風險。
2)識別網絡安全威脅和漏洞并檢測潛在的網絡安全事件。美國通過提供威脅和漏洞信息,執行風險評估,進行取證分析以及幫助電力公司識別網絡安全風險并檢測事件。
3)對網絡安全事件進行應急響應與恢復。美國已經制定了政策和計劃來確定聯邦機構各自的職責,以響應電網網絡安全事件并恢復正常運行。
二是聯邦能源監管委員會出臺監管措施來解決網絡安全問題。
聯邦能源監管委員會主要監管舉措涵蓋以下四個方面:
批準適用于大規模電力系統的強制性網絡安全標準。
以民事處罰手段來強化監管。
對電力可靠性委員會的運作情況進行稽查。
對電網機構遵守強制性網絡安全標準的情況進行稽查。
(三)政府相關部門現有應對措施的不足
盡管美國采取了多項措施應對電網網絡安全風險,但仍然存在諸多不足,美國政府問責署通過調查,主要提出了2個方面的不足。
一是能源部還未制定解決電網網絡安全風險與挑戰的戰略。
國家網絡戰略和國土安全部網絡安全戰略等文檔中已經列出了應對網絡威脅的更廣義的聯邦戰略,這些戰略已經詳細刻畫了國家戰略應該具備的關鍵特征。
能源部聲稱其用于解決電網面臨的網絡安全風險與挑戰的計劃與評估文件與更廣義的網絡安全框架符合,并且允許能源部在達成其目標時具備靈活性。
但其并未針對電網所面臨的特有的安全威脅與挑戰,也并未包括所有國家戰略的關鍵特征。
因此,能源部應當提供一份旨在解決電網面臨的特定的網絡安全風險與挑戰的戰略,其指導性才能夠滿足決策者為解決風險與挑戰配置資源的需求。
二是聯邦能源監管委員會批準的標準也并未能完全解決電網網絡安全問題。
聯邦能源管理委員會批準的網絡安全標準并未完全涵蓋美國國家標準技術研究所網絡安全框架中的五個功能及其對應的分類。
準確說來,標準只涵蓋其中兩項功能的大部分分類,另外三項功能的分類只涉及一部分。
此外,聯邦能源管理委員會并未評估針對地理上分散的多個目標進行的協同網絡攻擊風險應對標準與所有網絡安全標準的符合度。
(四)對政府部門的建議
圍繞上述分析,美國政府問責署提出了三項建議:一項針對能源部,兩項針對聯邦能源監管委員會。
美國政府問責署向能源部提出建議:制定旨在實施聯邦電網網絡安全戰略的計劃,并確保該計劃解決國家戰略的關鍵問題,包括全面評估電網網絡安全風險等。
美國政府問責署向聯邦能源監管委員會提出了以下兩項建議:
一是考慮對其已批準的網絡安全標準進行更改,以更全面地補充美國國家標準技術研究所網絡安全框架。
二是評估針對地理分布目標進行協同網絡攻擊的潛在風險,并根據評估結果確定是否需要更改閾值,以強制遵守全部網絡安全標準的要求。
2 分析與啟示
關鍵信息基礎設施安全穩定運行直接關系國家安全、經濟安全、社會穩定、公眾健康和安全。
今年3月,委內瑞拉發生大規模停電事件,初步分析很可能由于網絡攻擊導致,這是繼“伊朗核設施震網病毒攻擊”、“烏克蘭電網攻擊”后,主權國家關鍵信息基礎設施遭受嚴重破壞的又一標志性事件,引起國際各方關注。
從此次及過往類似事件我們可以看到,通過網絡攻擊敵對國家關鍵信息基礎設施已經成為國家間對抗的優先選擇,也是網絡空間攻擊破壞的重要途徑。關鍵信息基礎設施安全保護工作成為世界各國網絡安全防御關注的重點。
根據對美國保護關鍵信息基礎設施情況的跟蹤研究發現,其在政策支持、標準制定、技術研究等方面均對關鍵信息基礎設施網絡安全發展有著日益顯著的支持。
《關鍵基礎設施保護:采取措施應對電網面臨的巨大網絡安全風險》報告對電網面臨的網絡安全風險及應對措施進行了分析,該報告的觀點說明了即使是在美國已經高度重視關鍵信息基礎設施安全保護的情況下,現有防護成效還遠遠不如預期。
在我國,2016年11月頒布的《網絡安全法》第一次正式明確了關鍵信息基礎設施的概念。《國家網絡空間安全戰略》將關鍵信息基礎設施保護提升到國家網絡安全戰略高度。
《關鍵信息基礎設施安全保護條例(征求意見稿)》進一步提出了更細致、全面的要求,確立了我國關鍵信息基礎設施的具體保護框架,加速推進了關鍵信息基礎設施保護標準化工作。
中央網信辦組織開展全國范圍關鍵信息基礎設施網絡安全調查檢查工作,公安部在每年的網絡安全執法行動檢查中,對關鍵信息基礎設施保護工作也開展了相關調查和檢查。
《關鍵基礎設施保護:采取措施應對電網面臨的巨大網絡安全風險》報告對推進我國關鍵信息基礎設施安全保護工作有借鑒意義,主要可以總結歸納為以下四個方面。
(一)政府需從政策規劃、法律法規等方面提供切實保障,強化頂層戰略謀劃。
美國高度重視關鍵信息基礎設施安全保護問題,通過國家頂層法規政策,從宏觀層面強調關鍵基礎設施信息安全的重要性,在第7號國土安全總統令、第21號總統令、國土安全國家戰略等多項總統令與國家戰略中提及關鍵基礎設施,并強調其信息安全的重要性。
此外,相繼出臺《關鍵基礎設施信息保護法》《國家基礎設施保護預案》《國家網絡安全和關鍵基礎設施保護法案》《國家關鍵基礎設施信息安全框架規范》《關鍵基礎設施威脅信息共享規范》等法規文件,以加大對關鍵信息基礎設施的保護力度。關鍵基礎設施安全保護的戰略思路和法律政策,從一開始就與國家安全相銜接。
隨著我國網絡強國戰略的深化和實施,關鍵信息基礎設施在國民經濟和社會發展中的基礎性、重要性、保障性、戰略性地位也日益突出,針對關鍵信息基礎設施安全,我國急需加快出臺國家關鍵信息基礎設施安全保護相關法規文件,用于指導關鍵信息基礎設施安全保護工作的開展實施。
目前,國家《網絡安全法》首次以立法形式明確提出要保護關鍵信息基礎設施的平穩運行,并對其認定、管理、建設做了全面要求。《關鍵信息基礎設施安全保護條例》尚處于征求意見階段。
關鍵信息基礎設施安全保護工作部門針對本領域本行業的相關戰略規劃以及具體舉措還需加快制定。
(二)制定完善關鍵信息基礎設施安全保護標準規范,強化標準引領作用。
標準規范是加強關鍵信息基礎設施安全保護的一項重要舉措。美國2013年發布了《關鍵基礎設施網絡安全框架》,從識別、保護、檢測、響應、恢復五個維度以及資產管理、人員評估、安全意識培訓、連續監測、響應恢復等方面加強網絡安全風險管理。
2017年5月又發布了《聯邦機構實施網絡安全框架指南》,從整合安全風險、管理安全需求、調整采購流程、評估網絡安全、管理安全計劃、了解安全風險、報告安全風險以及通知剪裁流程等八個方面指導聯邦政府機構實施網絡安全框架。
盡管美國在標準規范方面已經開展了大量工作,但GAO發布的報告中仍強調了現有標準尚不能滿足行業關鍵信息基礎設施安全防護的需要。
我國《網絡安全法》和《關鍵信息基礎設施安全保護條例(征求意見稿)》都明確規定要求運營者按照國家標準的強制性要求履行響應安全保護義務,但目前我國尚未建立關鍵信息基礎設施安全保護標準規范體系。
應當結合國際國內現有網絡安全標準,制定和完善關鍵信息基礎設施安全保護標準規范,進一步明確和細化關鍵信息基礎設施范疇以及運營者的職責義務,指導運營者強化防護能力建設,促進運營者加強網絡安全風險管理。
(三)構建全面的關鍵信息基礎設施安全保障體系,筑牢網絡安全防線。
關鍵信息基礎設施是國家網絡防御的核心,建立有韌性的網絡防御體系是世界各國的戰略目標。針對關鍵信息基礎設施安全保護,美國主要在以下四個方面實施了具體舉措。
一是開發和部署先進性的技術。2011年美國《聯邦網絡空間安全研發戰略規劃》,提出重點發展具有“改變游戲規則”潛力的革命性技術,并確定了四個研發主題。
二是部署動態風險評估系統。美國在聯邦機構部署“愛因斯坦2”和“愛因斯坦3”,并在各網絡運行中心啟用并支持共享的風險感知和協作。
三是加強公私合作和安全威脅信息共享。美國將共享網絡安全威脅信息和共同處理危機事件作為關鍵信息基礎設施合作的主要內容。
四是規劃和執行對網絡安全事件的協調反應。通過定期的實戰演練,增強安全事件發生后的響應和恢復能力。
由于網絡空間瞬息萬變、攻防技術不斷升級等多種主客觀原因,我國關鍵信息基礎設施尚未形成具有整體協同能力的防御體系。
“對手是否來過不清楚”、“威脅在哪不知道”的情況在關鍵信息基礎設施防護中普遍存在,對新型威脅不敏感甚至難以有效及時發現,對網絡安全的整體性、動態性、開放性、相對性和共同性認識嚴重不足,傳統防御體系“感而不知、掩耳盜鈴”的現實狀況,已經成為我國關鍵信息基礎設施防護的重大瓶頸。
因此,我國急需建立全面的關鍵信息基礎設施網絡安全防護體系。
一是加強網絡安全技術自主創新。
強化漏洞挖掘、風險研判、威脅分析等技術手段建設,加強新技術應用網絡安全防護相關技術研究,著力提升網絡安全技術保障能力。
二是建立網絡安全態勢感知與監測預警體系。
大力推進軍民融合,協同攻關,突破核心關鍵技術,推動相關平臺建設,全面提高網絡安全防御的主動性。
三是構建網絡安全威脅情報知識共享體系。
構建網絡安全風險信息共享機制,建設中立、共享、信任的威脅情報交換平臺,實現網絡安全風險信息、消減方案、安全態勢的及時共享與通報。
四是建立應急響應協同機制。
組織開展跨區域、跨行業的攻防演練、應急演練、資源協同、指揮聯動,提升關鍵信息基礎設施對抗國家級網絡攻擊的應急響應處置能力。
(四)加強網絡安全隊伍建設與人才培養,提升網絡安全意識和防護技能。
美國歷年主要的網絡安全戰略文件,無一例外均囊括“提升網絡安全意識、加強網絡安全教育”的內容。
美國2010年4月啟動“國家網絡安全教育計劃”(NICE),其初衷是統籌協調政、產、學、研各利益相關方,全盤布局、加強協調,實現網絡安全人才工作的有序推進。
該計劃由美國商務部國家標準與技術研究院(NIST)牽頭,國土安全部(DHS)、國防部(DOD)、教育部(DoED)等十余個部委共同參與、各司其職,其中,DHS和DOD主責的職業發展工作推出了《網絡安全職業和研究國家倡議》(NICCS),匯聚大量職業培訓資源為美國聯邦政府及關鍵基礎設施網絡安全人才能力提升提供支持。
盡管美國已高度重視人才培養,但GAO報告中仍強調在關鍵信息基礎設施安全保護領域仍存在網絡安全人才不足的情況。
我國急需加強人才發展統籌規劃和分類指導,組織實施人才培養計劃,加大專業技術人才和管理人才的培養力度,完善從專家團隊、骨干核心團隊到專業技術人才等各層次的人才培養體系。
一是要進一步提升國家對網絡安全人才及人才工作的戰略重視程度,通過各類行政和立法手段為網絡安全人才隊伍建設提供實施保障,各級政府、關鍵信息基礎設施運營者,應加快推進網絡安全崗位人員規模和能力的測評工作,制定并落實專門的網絡安全人才隊伍建設方案。
二是要充分認識網絡安全崗位分類規范及能力標準的基礎性作用,加快推進網絡安全人才評價指標體系的研究和編制工作,積極實現對網絡安全人才的分類施策,并將其作為教育、培訓、評價和管理的重要依據。
三是要重點關注網絡安全從業人員群體,完善職業培訓體系,持續提升網絡安全從業人員隊伍整體能力。
四是加大關鍵信息基礎設施安全保護宣傳力度,開展網絡安全宣傳周活動,普及網絡安全基本知識和技能。
報告解讀作者簡介:
1.馬曉旭,中電科網絡空間安全研究院戰略與總體所,國防科技工業網絡安全創新中心,博士,高級工程師,主要研究方向為網絡安全。
2.張玲,中電科網絡空間安全研究院戰略與總體所副所長,國防科技工業網絡安全創新中心,碩士,高級工程師,主要研究方向為網絡安全戰略研究。
報告譯者:中電科網絡空間安全研究院牛長喜,朱治丞,羅仙
來源: 信息安全與通信保密雜志社