美能源部彈性工業(yè)控制系統(tǒng)網(wǎng)絡(luò)測試（CyTRICS）項目、能源行業(yè)及供應(yīng)鏈安全政策分析

趙凱麗

（國家工業(yè)信息安全發(fā)展研究中心，北京 100040）

0 引言

隨著全球供應(yīng)鏈日趨多樣化和復(fù)雜化，工業(yè)控制系統(tǒng)面臨的總體風(fēng)險迭代升級，供應(yīng)鏈安全形勢日益嚴峻，能源行業(yè)面臨的風(fēng)險挑戰(zhàn)不斷加劇。美國能源部網(wǎng)絡(luò)安全、能源安全和應(yīng)急響應(yīng)辦公室（CESER）通過彈性工業(yè)控制系統(tǒng)網(wǎng)絡(luò)測試（CyTRICS）項目，使能源部（DOE）能夠科學(xué)評估能源系統(tǒng)組件的軟件和固件，以識別和減輕供應(yīng)鏈中的網(wǎng)絡(luò)安全漏洞威脅，確保能源基礎(chǔ)設(shè)施最關(guān)鍵部分的完整性、可靠性和安全性。

1 CyTRICS項目簡介

1.1 CyTRICS項目已具備運營能力，并持續(xù)擴大規(guī)模

CyTRICS項目啟動于2018年，并于當(dāng)年完成概念驗證測試。利用測試的結(jié)果，項目在2019年開發(fā)了測試操作方法草案、結(jié)果報告格式和結(jié)果存儲庫，2020年完成了項目流程的完整試點測試。目前，CESER已經(jīng)邀請行業(yè)參與者對關(guān)鍵的CyTRICS過程進行反饋，包括測試操作、報告格式、深度分析和風(fēng)險計算，以及協(xié)同的漏洞披露過程。此外，CESER不斷完善CyTRICS項目流程，以反映行業(yè)最佳實踐和不斷發(fā)展的政策要求。

1.2 CESER通過CyTRICS項目進行漏洞測試，與多方共享信息以制定處置措施

通過CyTRICS項目，CESER將自愿提交測試設(shè)備的制造商、供應(yīng)商、公用事業(yè)公司以及國家實驗室的先進、智能分析能力聯(lián)合起來，以確認軟件和固件的安全性。在CyTRICS下，CESER指導(dǎo)網(wǎng)絡(luò)漏洞測試和組件枚舉，與制造商分享調(diào)查結(jié)果以制定處置措施，并通過受影響的組件提醒行業(yè)利益相關(guān)方，以便他們能夠解決部署系統(tǒng)中標記的問題。其中，具有高影響力、普遍性和國家安全利益的組件被優(yōu)先用于測試和分析。

1.3 CyTRICS網(wǎng)絡(luò)漏洞測試支持跨多個部門倡議的供應(yīng)鏈安全需求

CESER從眾多項目、子部門和機構(gòu)中收集組件測試的需求，并將其包含在CyTRICS測試優(yōu)先化方法論中。CyTRICS通過參與論壇等方式，確保與行業(yè)伙伴的透明度和協(xié)調(diào)性。根據(jù)2020財年國防授權(quán)法案第5726條的規(guī)定，保護能源基礎(chǔ)設(shè)施執(zhí)行任務(wù)組是能源行業(yè)制造商、資產(chǎn)所有者和CyTRICS設(shè)計和運營利益相關(guān)者戰(zhàn)略和技術(shù)支持的主要機構(gòu)。

1.4 CyTRICS項目主要在以下四個方面做出創(chuàng)新

一是確定優(yōu)先級的方法。綜合考慮操作影響、普及率和國家安全利益等關(guān)鍵因素，對被測試OT組件進行優(yōu)先排序。二是標準化的測試過程。DOE已經(jīng)開發(fā)并改進了標準化的方法用于枚舉和測試漏洞固件和軟件子組件。標準化確保了結(jié)果的一致性、可重復(fù)性和可比性，從而有助于在實驗室和合作伙伴之間擴大測試和自動化的規(guī)模。三是標準化的報告和存儲庫。CyTRICS以標準的材料清單格式捕獲測試結(jié)果，以快速識別嵌入的高風(fēng)險組件和子組件。測試結(jié)果的中央存儲庫用于全面的、全行業(yè)范圍的系統(tǒng)風(fēng)險和漏洞分析。四是與供應(yīng)商深度合作。CyTRICS與該領(lǐng)域的頂級制造商和公用事業(yè)公司合作并簽署協(xié)議，在測試前建立合作框架。標準協(xié)議確定了需要執(zhí)行的軟件和固件測試類型，及時披露測試期間發(fā)現(xiàn)的漏洞，并與受影響的資產(chǎn)所有者、聯(lián)邦機構(gòu)和能源部門利益相關(guān)者協(xié)調(diào)披露漏洞信息。

2 CyTRICS項目最新進展

近期，CyTRICS項目在合作廠商發(fā)展、重點項目推進、漏洞測試成果等方面有了新的進展。

2.1 吸引更多設(shè)備廠商加入CyTRICS項目，加強能源行業(yè)網(wǎng)絡(luò)安全和供應(yīng)鏈彈性

2020年9月，全球領(lǐng)先的能源設(shè)備制造商和軟件開發(fā)商施耐德電氣宣布加入CyTRICS項目，成為第一家簽署正式協(xié)議的設(shè)備制造商，并根據(jù)CyTRICS項目需求提供硬件和軟件組件。全面測試計劃于2021財年第二季度啟動。2021年3月，美國電氣設(shè)備的主要供應(yīng)商施韋策加入了能源部資助的一個保護工業(yè)基礎(chǔ)設(shè)施免受黑客攻擊的研究項目。施韋策工程實驗室將把產(chǎn)品提交給擁有頂級工業(yè)設(shè)備滲透測試員的愛達荷州國家實驗室（INL）進行測試，通過加強供應(yīng)商產(chǎn)品的安全測試，以加快提醒其他供應(yīng)商修復(fù)這些缺陷。

2.2 CESER宣布新的研究項目，防范全球技術(shù)漏洞成為重點之一

2021年3月18日，CESER宣布了三個新的研究項目，分別是：防范全球技術(shù)漏洞項目、開發(fā)電磁和地磁干擾的解決方案，以及培養(yǎng)對網(wǎng)絡(luò)安全解決方案的研究和應(yīng)用型人才。這些新項目的組合將通過解決潛在的全球供應(yīng)鏈安全漏洞，保護關(guān)鍵基礎(chǔ)設(shè)施免受電磁和地磁干擾，并加強下一代網(wǎng)絡(luò)安全人才培養(yǎng)，以保護美國能源系統(tǒng)免受日益增長的網(wǎng)絡(luò)和物理危害。對于列在首位的防范全球技術(shù)漏洞項目，CESER正與施韋策工程實驗室合作開展CyTRICS項目，利用更先進的分析技術(shù)來測試能源部門合作伙伴用于安全問題的各種工具，以更容易地識別和處置工業(yè)控制系統(tǒng)中的潛在漏洞，預(yù)先采取防范措施。

2.3 CyTRICS項目在漏洞報告方面初見成效

2021年3月16日，美國國土安全部（DHS）下屬機構(gòu)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）發(fā)布了工業(yè)控制系統(tǒng)安全公告ICSA-21-075-02，描述了通用電氣（GE）通用斷電器（UR）系列產(chǎn)品的一系列漏洞。公告包含CyTRICS程序報告給GE的漏洞，其中包括一個高危漏洞（CVSS 9.8）。

3 美國能源行業(yè)相關(guān)政策

美國一直是能源消耗大國，發(fā)展形成了規(guī)模龐大、信息化程度高的能源行業(yè)。為了確保其能源領(lǐng)域的網(wǎng)絡(luò)安全，美國政府構(gòu)筑了比較完善的網(wǎng)絡(luò)安全保障體系。2018年5月14日，美國能源部發(fā)布了長達52頁的美國《能源行業(yè)網(wǎng)絡(luò)安全多年計劃》，為CESER制定了美國能源部未來五年綜合戰(zhàn)略，以降低美國能源行業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險。隨著能源部宣布CyTRICS項目進入下一階段，美國審計署（GAO）在2021年3月18日發(fā)布的《電網(wǎng)網(wǎng)絡(luò)安全——能源部需要確保其計劃充分解決配電系統(tǒng)的風(fēng)險》報告中建議能源部更多地關(guān)注配電系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險。電網(wǎng)配電系統(tǒng)面臨網(wǎng)絡(luò)攻擊的威脅日益嚴峻，但潛在影響程度尚不清楚。能源部的計劃尚不足以解決網(wǎng)絡(luò)攻擊給電網(wǎng)配電系統(tǒng)帶來的風(fēng)險，包括與互聯(lián)網(wǎng)相關(guān)的工業(yè)控制系統(tǒng)設(shè)備和網(wǎng)絡(luò)消費者設(shè)備的漏洞。GAO建議能源部與國土安全部、各州和工業(yè)界協(xié)調(diào)實施國家電網(wǎng)網(wǎng)絡(luò)安全戰(zhàn)略計劃，以更好應(yīng)對網(wǎng)絡(luò)攻擊對電網(wǎng)配電系統(tǒng)造成的風(fēng)險及潛在影響。

4 美國供應(yīng)鏈安全政策

美國將供應(yīng)鏈安全作為事關(guān)國家安全的重要因素，通過立法、行政命令、國會決議等多種形式加強供應(yīng)鏈安全審查。

4.1 特朗普政府供應(yīng)鏈安全政策基本主張

特朗普政府致力加強防范通信供應(yīng)鏈安全威脅，出臺一系列行政命令，加速從美國通信網(wǎng)絡(luò)中移除不安全的設(shè)備和服務(wù)。一是發(fā)布行政令，保護信息通信技術(shù)（ICT）供應(yīng)鏈免受來自中國和其他對手國家的威脅。2019年5月15日，美國總統(tǒng)特朗普正式簽署《確保信息通信技術(shù)與服務(wù)供應(yīng)鏈安全》行政令，禁止交易、使用可能對美國國家安全、外交政策和經(jīng)濟構(gòu)成特殊威脅的外國信息技術(shù)和服務(wù)。二是推進實施安全可靠的通信網(wǎng)絡(luò)補償計劃，保護國家通信網(wǎng)絡(luò)。2020年3月12日，《安全和可信通信網(wǎng)絡(luò)法》正式生效。12月27日，特朗普簽署了2021年《綜合撥款法》，規(guī)定美國國會向FCC撥款19億美元，以其中18.95億美元用于移除和替換構(gòu)成國家安全風(fēng)險的通信設(shè)備和服務(wù)，對合格供應(yīng)商進行補償。

4.2 拜登政府供應(yīng)鏈安全政策基本主張

自2020年12月以來，“太陽風(fēng)”（SolarWinds）供應(yīng)鏈攻擊事件成為拜登政府需要面對的首要網(wǎng)絡(luò)安全挑戰(zhàn)。拜登政府專門制定了確保供應(yīng)鏈安全的政策，提出美國需要采取措施應(yīng)對能源、電力、半導(dǎo)體、關(guān)鍵電子技術(shù)原材料等方面的一系列供應(yīng)鏈漏洞，并幫助美國盟友在供應(yīng)鏈上避免嚴重依賴競爭對手。一是聚焦供應(yīng)鏈安全，增強關(guān)鍵領(lǐng)域制造能力。2021年1月25日，關(guān)于強化美國制造的行政令發(fā)布，增設(shè)了美國制造總監(jiān)，負責(zé)指導(dǎo)針對聯(lián)邦政府采購代理商開展供應(yīng)鏈審查，與盟友保持合作，共同打造具有彈性的供應(yīng)鏈。二是頒布供應(yīng)鏈新政，開展供應(yīng)鏈安全審查，劍指中國。為了擺脫對中國供應(yīng)鏈的依賴，美國正計劃聯(lián)手英國、日本、澳大利亞等盟友，打造“去中國化”供應(yīng)鏈。2月24日，拜登簽署“美國供應(yīng)鏈行政令”，要求在100天內(nèi)審查半導(dǎo)體、純電動汽車電池、醫(yī)藥品、包括稀土在內(nèi)的重要礦物等4類重點領(lǐng)域的供應(yīng)鏈風(fēng)險，開展產(chǎn)業(yè)供應(yīng)鏈評估。

5 啟示建議

面對工業(yè)控制系統(tǒng)漏洞威脅日益嚴峻、供應(yīng)鏈網(wǎng)絡(luò)攻擊風(fēng)險與日俱增的形勢，亟需進一步完善我國工業(yè)信息安全漏洞管理工作，推進供應(yīng)鏈安全體系建設(shè)。

5.1 推進工業(yè)信息安全漏洞管理工作

一是制定漏洞綜合管控政策，明確工業(yè)信息安全漏洞的國家戰(zhàn)略資源地位，規(guī)范漏洞報告和信息發(fā)布等行為，實現(xiàn)國家在漏洞利用方面的優(yōu)先權(quán)和合法化，加強對漏洞的分類共享、公開披露和出口管控。二是持續(xù)優(yōu)化國家工業(yè)信息安全漏洞庫（CICSVD）運營機制，進一步完善工業(yè)信息安全漏洞發(fā)現(xiàn)、上報、分析和處置工作機制，加速整合國內(nèi)工業(yè)信息安全設(shè)備制造商、供應(yīng)商、科研機構(gòu)、安全從業(yè)者等多方力量，推動構(gòu)建工業(yè)信息安全漏洞及時發(fā)現(xiàn)和迅速處置的生態(tài)環(huán)境。

5.2 加強供應(yīng)鏈安全體系建設(shè)

一是研究制造業(yè)供應(yīng)鏈安全計劃，開展制造業(yè)供應(yīng)鏈協(xié)同性、安全性、穩(wěn)定性、競爭力等綜合評估，建立供應(yīng)鏈風(fēng)險預(yù)警評價指標體系和預(yù)警系統(tǒng)，構(gòu)建有效應(yīng)對供應(yīng)鏈風(fēng)險的長效機制。二是密切跟蹤發(fā)達國家供應(yīng)鏈管控相關(guān)政策，主動防范其對我國相關(guān)行業(yè)的不利影響，審視我國供應(yīng)鏈對美國等國外市場的依賴程度，及時作出戰(zhàn)略調(diào)整，尋求多元化的獲取渠道。三是加速實現(xiàn)核心技術(shù)領(lǐng)域的自主可控，加強技術(shù)研發(fā)，保持戰(zhàn)略定力，為維護供應(yīng)鏈安全提供保障，助力制造強國和網(wǎng)絡(luò)強國建設(shè)。