美能源部新版網(wǎng)絡(luò)安全能力成熟度模型研究

李瑩

（國家工業(yè)信息安全發(fā)展研究中心，北京 100040）

0 引言

2021年7月21日，美能源部（DOE）網(wǎng)絡(luò)安全、能源安全與應(yīng)急響應(yīng)辦公室（CESER）發(fā)布C2M2 2.0[1]。C2M2 2.0是DOE電力安全“百日沖刺”計劃的組成部分，旨在通過對網(wǎng)絡(luò)安全風險等級的定量評估，指導(dǎo)能源企業(yè)提升工業(yè)控制系統(tǒng)（ICS）網(wǎng)絡(luò)安全水平，以應(yīng)對日益嚴重的能源網(wǎng)絡(luò)安全威脅。對C2M2 2.0進行研究，對于了解美國能源領(lǐng)域工控安全最新發(fā)展方向，進一步提升我國工控安全防護能力具有重要意義。

1 能源行業(yè)網(wǎng)絡(luò)安全能力成熟度模型更新背景

近年來，針對能源領(lǐng)域的網(wǎng)絡(luò)攻擊日益增多、攻擊手段越發(fā)復(fù)雜、造成損失不斷加大。為應(yīng)對這一局面，美持續(xù)完善能源ICS網(wǎng)絡(luò)安全政策機制，強化工控安全能力建設(shè)。

1.1 能源領(lǐng)域網(wǎng)絡(luò)安全威脅日益嚴峻

能源安全事件數(shù)量猛增。據(jù)美能源可靠性公司（NERC）的年度報告[2]顯示，2020年上報給北美電力行業(yè)信息共享中心的網(wǎng)絡(luò)安全相關(guān)事件數(shù)量達到2624件，同比增加98%。

能源行業(yè)脆弱性大幅上升。美國政府問責局（GAO）在3月的一份報告[3]中指出，由于監(jiān)控技術(shù)的大面積應(yīng)用，電網(wǎng)的配電系統(tǒng)面臨存在重大安全隱患。安全公司Nozomi Networks報告[4]顯示，2021年上半年ICSCERT報告漏洞增加了44%，其中能源行業(yè)排名前三。

能源安全事件影響惡劣。今年1月以來，荷蘭能源供應(yīng)商Eneco、巴西主要電力公司Eletrobras和Copel、美國最大成品油管道商Colonial Pipeline、印度電力公司等國家重要能源設(shè)施均遭受網(wǎng)絡(luò)攻擊，造成重大影響，美國東海岸燃油供應(yīng)還因此一度陷入癱瘓。能源領(lǐng)域安全威脅的不斷加劇促使美國加緊采取應(yīng)對措施。

1.2 新興技術(shù)快速發(fā)展對安全標準提出更高要求

新興技術(shù)的快速發(fā)展對現(xiàn)有的安全標準的適用性產(chǎn)生了不同程度的影響。

威脅手段的高度復(fù)雜化提高安全防護門檻。安全公司Check Point在報告[5]中指出，攻擊者正在越發(fā)頻繁地發(fā)起復(fù)雜攻擊，并利用組織的供應(yīng)鏈造成大規(guī)模破壞。隨著攻擊手段的復(fù)雜化和攻擊水平的提高，已有的安全標準也亟需同步加強。

云計算、人工智能等新技術(shù)帶來新的安全問題。如人工智能技術(shù)對海量數(shù)據(jù)進行分析處理，相應(yīng)的數(shù)據(jù)管理過程也需要盡快納入安全標準中進行規(guī)范。

網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展為豐富安全標準提供參考。美國國防高級研究計劃局（DARPA）近日推出名為“快速攻擊檢測、隔離和表征系統(tǒng)”（RADICS）的新電網(wǎng)保護工具，可以實現(xiàn)準確、實時的安全態(tài)勢感知和通過隔離應(yīng)急網(wǎng)絡(luò)技術(shù)保障正常通信等功能，這些新技術(shù)的出現(xiàn)為完善安全標準、引導(dǎo)安全發(fā)展方向提供重要參考。

1.3 美持續(xù)完善能源行業(yè)網(wǎng)絡(luò)安全政策標準

今年以來，美通過以下方面持續(xù)完善能源行業(yè)網(wǎng)絡(luò)安全政策與標準。

制定計劃，美DOE先后宣布800萬美元的資助項目和“百日沖刺”計劃，旨在加強電力行業(yè)ICS網(wǎng)絡(luò)安全。

發(fā)布指南，美國家網(wǎng)絡(luò)安全卓越中心（NCCoE）發(fā)布了《確保工業(yè)物聯(lián)網(wǎng)的安全：分布式能源的網(wǎng)絡(luò)安全》指南草案，指導(dǎo)能源行業(yè)加權(quán)工業(yè)物聯(lián)網(wǎng)安全保障。

推進立法，美眾議院能源和商業(yè)委員會推出《管道和液化天然氣設(shè)施網(wǎng)絡(luò)安全預(yù)備法案》《能源應(yīng)急領(lǐng)導(dǎo)法案》《網(wǎng)絡(luò)感知法案》《通過公私伙伴關(guān)系增強電網(wǎng)安全法案》等多項議案，推動能源行業(yè)網(wǎng)絡(luò)安全立法進程。

指導(dǎo)實踐，美DOE和英國國家網(wǎng)絡(luò)安全中心（NCSC）聯(lián)合發(fā)布《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全最佳實踐》，指導(dǎo)包括能源行業(yè)在內(nèi)的相關(guān)行業(yè)企業(yè)加強工控安全。C2M2 2.0是美持續(xù)完全能源行業(yè)網(wǎng)絡(luò)安全政策標準的重要組成部分，為能源行業(yè)企業(yè)定量評估網(wǎng)絡(luò)安全風險、提升ICS網(wǎng)絡(luò)安全水平提供了重要工具。

2 能源行業(yè)網(wǎng)絡(luò)安全能力成熟度模型重點內(nèi)容

作為電力安全“百日沖刺”計劃的一部分，C2M2 2.0的發(fā)布對改善能源行業(yè)網(wǎng)絡(luò)安全威脅具有重要意義。C2M2 2.0共包含資產(chǎn)管理、威脅與漏洞管理、風險管理、身份與訪問管理、態(tài)勢感知、事件響應(yīng)、第三方風險管理、人員管理、安全架構(gòu)、安全項目管理等10個能力域，展現(xiàn)了一張企業(yè)網(wǎng)絡(luò)安全能力建設(shè)藍圖，對于企業(yè)網(wǎng)絡(luò)安全能力提升具有重

要指導(dǎo)作用。綜合來看，C2M2 2.0對各個域均有不同程度的改動，更新主要聚焦在應(yīng)對勒索軟件、供應(yīng)鏈風險等威脅，以及對云計算、人工智能等新興技術(shù)提供保護支持等方面。本文將從以下三個重點方面介紹C2M2 2.0更新內(nèi)容。

2.1 重視基礎(chǔ)安全，筑牢系統(tǒng)防護基線

基礎(chǔ)安全包含資產(chǎn)管理、態(tài)勢感知、威脅信息和漏洞管理等基礎(chǔ)安全防護措施，涉及安全管理的諸多關(guān)鍵環(huán)節(jié)。C2M2 2.0對基礎(chǔ)安全要求進行多方面完善，確保系統(tǒng)防護維度的全面性。具體評價維度包括兩個方面：

進一步強調(diào)資產(chǎn)管理的全面性。在系統(tǒng)梳理ICS資產(chǎn)信息、重點關(guān)注一旦失陷可能造成重大影響或威脅擴散的關(guān)鍵資產(chǎn)的基礎(chǔ)上，全面統(tǒng)計各個維度的屬性信息，尤其是據(jù)以判斷資產(chǎn)安全狀態(tài)或風險的安全信息，并實施資產(chǎn)變更管理，以保證資產(chǎn)清單實時動態(tài)更新。

強化安全態(tài)勢感知要求。更全面、更具體地提出安全態(tài)勢感知的相關(guān)要求，如監(jiān)控范圍需要覆蓋整個IT和OT環(huán)境以及匯聚的信息需包含系統(tǒng)日志、數(shù)據(jù)流、網(wǎng)絡(luò)基線、網(wǎng)絡(luò)安全事件等。

2.2 強調(diào)數(shù)據(jù)管理，保障數(shù)據(jù)資產(chǎn)安全

C2M2 2.0將信息資產(chǎn)與IT、OT資產(chǎn)并稱為企業(yè)資產(chǎn)，并在新增的安全架構(gòu)域中，將數(shù)據(jù)管理作為與網(wǎng)絡(luò)管理、IT與OT資產(chǎn)管理、軟件管理同等重要的環(huán)節(jié)，并進一步將數(shù)據(jù)安全管理作為能源行業(yè)企業(yè)安全成熟度的重要內(nèi)容。具體評價維度包含三個方面：

全面梳理數(shù)據(jù)資產(chǎn)。強調(diào)數(shù)據(jù)資產(chǎn)的全面管理與IT、OT資產(chǎn)的全面管理同等重要，管理措施包括整理數(shù)據(jù)資產(chǎn)清單、統(tǒng)計各類屬性信息、進行資產(chǎn)變更管理等。

開展數(shù)據(jù)分類分級管理。根據(jù)信息資產(chǎn)目錄，對數(shù)據(jù)進行分類標識和逐類分級，并根據(jù)分類分級結(jié)果對數(shù)據(jù)實施差異化安全管理。

采取防泄漏措施。在數(shù)據(jù)傳輸、存儲等過程中實施加密等防泄漏安全措施，并在IT及OT資產(chǎn)退役前對數(shù)據(jù)進行徹底銷毀。

2.3 關(guān)注信息共享，著眼實際應(yīng)用效果

C2M2 2.0不再將信息共享作為一個單獨的能力域，而是將其貫穿于評價模型的各個層面，更注重信息共享的針對性和實踐效果。具體評價維度包括四個方面：

風險信息共享。將來自第三方的共享信息，用于消減自身網(wǎng)絡(luò)風險和識別新的風險。

威脅信息共享。與威脅信息的利益相關(guān)者，如政府部門、供應(yīng)商、客戶、信息共享中心進行安全、實時的威脅情報交換，在收到與自身相關(guān)的威脅情報時及時處理。

漏洞信息共享。將已識別的漏洞與利益相關(guān)者共享，并進行持續(xù)性的漏洞管理。

態(tài)勢信息共享。與利益相關(guān)方溝通態(tài)勢感知報告要求，及時共享相關(guān)安全信息，同時收集外部情報信息，制定分析方案自動輔助安全態(tài)勢研判等。

3 啟示與建議

美C2M2 2.0標準為我國加強能源及其他工業(yè)領(lǐng)域網(wǎng)絡(luò)安全能力建設(shè)提供了重要參考。建議我國進一步完善態(tài)勢感知技術(shù)手段、推進工業(yè)數(shù)據(jù)分類分級管理、加強威脅信息共享，綜合提升工業(yè)領(lǐng)域信息安全整體能力與水平。

3.1 推動工業(yè)企業(yè)安全態(tài)勢感知平臺建設(shè)

加強宣傳推廣，提升工業(yè)企業(yè)信息安全意識，轉(zhuǎn)變企業(yè)“重效益、輕安全”的思維方式，鼓勵引導(dǎo)工業(yè)企業(yè)建設(shè)安全態(tài)勢感知平臺，實時識別、分析、預(yù)警安全威脅，強化工業(yè)資產(chǎn)安全管理，實現(xiàn)工業(yè)資產(chǎn)的動態(tài)識別、屬性智能化分析、運行狀態(tài)監(jiān)測等功能，并通過工業(yè)專有協(xié)議深度包解析、白名單自學習技術(shù)等，開展流量分析、網(wǎng)絡(luò)拓撲繪制、攻擊行為檢測及異常狀態(tài)排查，保障工業(yè)生產(chǎn)運行，切實提升工業(yè)企業(yè)安全監(jiān)測和防護能力。

3.2 持續(xù)推進工業(yè)數(shù)據(jù)分類分級管理工作

在《工業(yè)數(shù)據(jù)分類分級指南（試行）》的基礎(chǔ)上細化制定分類分級管理標準，指導(dǎo)企業(yè)有序開展工業(yè)數(shù)據(jù)分類分級工作。在前期試點工作的基礎(chǔ)上，按照《數(shù)據(jù)安全法》要求，加快全面部署工業(yè)數(shù)據(jù)分類分級工作，指導(dǎo)督促各行業(yè)、各地區(qū)工業(yè)企業(yè)加強工業(yè)數(shù)據(jù)分類分級管理與安全防護，營造良好的數(shù)據(jù)管理與應(yīng)用環(huán)境，為數(shù)據(jù)的充分利用、全局流通和安全共享奠定基礎(chǔ)。

3.3 建立工業(yè)信息安全威脅情報共享機制

依托國家級工業(yè)信息安全信息報送與通報平臺，建立健全政府部門、工業(yè)企業(yè)、供應(yīng)商、安全企業(yè)、研究機構(gòu)威脅情報共享機制，形成涵蓋漏洞風險、安全威脅、安全事件、態(tài)勢預(yù)判等在內(nèi)的工業(yè)信息安全威脅情報共享體系，暢通各方信息共享渠道，提升整體安全防護水平。

4 結(jié)語

隨著工業(yè)4.0的深入發(fā)展，全球工業(yè)制造領(lǐng)域發(fā)生深刻變革，數(shù)字化、智能化快速推進，工業(yè)生產(chǎn)效能極大提升。與此同時，智能互聯(lián)所帶來的安全隱患也逐漸顯現(xiàn)。以能源行業(yè)為例，近年來，能源領(lǐng)域網(wǎng)絡(luò)安全事件頻發(fā)、威脅手段日益復(fù)雜、信息技術(shù)迭代加速，亟需更新現(xiàn)有政策標準體系，提升安全防護技術(shù)水平。

為了應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全形勢，美國針對能源領(lǐng)域網(wǎng)絡(luò)安全發(fā)布了一系列政策標準，C2M2 2.0便是其中之一。C2M2 2.0在上一版本的基礎(chǔ)上，在基礎(chǔ)安全、數(shù)據(jù)安全和情報共享等方面進行了補充完善，為我國加強能源及其他工業(yè)領(lǐng)域網(wǎng)絡(luò)安全能力建設(shè)提供了重要參考。建議我國進一步完善態(tài)勢感知技術(shù)手段、推進工業(yè)數(shù)據(jù)分類分級管理、加強威脅信息共享，綜合提升工業(yè)領(lǐng)域信息安全整體能力與水平。