國(guó)家信息技術(shù)安全研究中心：周季禮 91746部隊(duì)：宋文穎

美國(guó)確保能源行業(yè)信息安全的主要舉措探析

國(guó)家信息技術(shù)安全研究中心：周季禮 91746部隊(duì)：宋文穎

美國(guó)是全球能源生產(chǎn)大國(guó)，發(fā)展形成了以石油、天然氣、煤炭、電力（含水電、核電）、可再生能源、太陽(yáng)能等為骨干的能源行業(yè)；同時(shí)，美國(guó)又是全球最大的能源消費(fèi)大國(guó)，其能源消耗占世界總能耗的四分之一。隨著信息技術(shù)的快速發(fā)展和互聯(lián)網(wǎng)等網(wǎng)絡(luò)技術(shù)的廣泛普及，美國(guó)成為全球能源行業(yè)信息化、網(wǎng)絡(luò)化程度最高的國(guó)家之一；與此同時(shí)，美國(guó)能源行業(yè)也面臨著日益復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)威脅問(wèn)題，成為了黑客攻擊的主要對(duì)象。據(jù)統(tǒng)計(jì)，美國(guó)50%的重大黑客攻擊事件都發(fā)生在能源領(lǐng)域?？梢哉f(shuō)，能源安全是美國(guó)國(guó)家安全的重要組成部分。對(duì)此，美國(guó)政府高度重視能源行業(yè)的信息安全建設(shè)，制定了一系列有效舉措，構(gòu)筑了全方位的信息安全保障體系。其中，一些較為成熟的經(jīng)驗(yàn)，值得我國(guó)能源行業(yè)借鑒。

美國(guó)能源行業(yè)的信息安全形勢(shì)

美國(guó)能源行業(yè)十分發(fā)達(dá)，信息化程度高，在傳統(tǒng)的安全系統(tǒng)之外還配備了工業(yè)控制系統(tǒng)（ICS）或監(jiān)控和數(shù)據(jù)采集（SCADA）等信息網(wǎng)絡(luò)系統(tǒng)。隨著網(wǎng)絡(luò)威脅的復(fù)雜化、全球化趨勢(shì)，美國(guó)能源行業(yè)面臨的信息安全形勢(shì)日益嚴(yán)峻，主要表現(xiàn)在如下幾個(gè)方面：

1.網(wǎng)絡(luò)攻擊日益嚴(yán)重

能源行業(yè)作為美國(guó)重要的關(guān)鍵基礎(chǔ)設(shè)施，遭遇到的特定重大網(wǎng)絡(luò)攻擊與日俱增。2001年，黑客入侵了監(jiān)管加州多數(shù)電力傳輸系統(tǒng)的獨(dú)立運(yùn)營(yíng)商。2006年8月，美國(guó)Browns Ferry核電站受到網(wǎng)絡(luò)攻擊。2008年1月，美國(guó)挫敗了4起針對(duì)電力系統(tǒng)的網(wǎng)絡(luò)攻擊。2008年7月，美國(guó)馬拉松石油公司、?？松梨诠竞涂捣乒驹獾胶诳凸?。2010年1月25日，美國(guó)能源部稱，至少有三家美國(guó)石油公司遭到過(guò)一系列身份不明的網(wǎng)絡(luò)攻擊。2011年2月10日，美國(guó)網(wǎng)絡(luò)安全公司說(shuō)，數(shù)家美國(guó)石油和天然氣跨國(guó)公司的電腦系統(tǒng)遭到了黑客襲擊。2012年，美國(guó)Chevron、Baker Hughes、ConocoPhillips和Marathon等石油公司的計(jì)算機(jī)系統(tǒng)，遭到震網(wǎng)病毒襲擊。2012年10月，美國(guó)國(guó)土安全部表示，在向其通報(bào)的惡意軟件攻擊中，有41%是能源企業(yè)(如電網(wǎng)或天然氣管線公司的系統(tǒng))。 2013年2月 19日，美國(guó)國(guó)會(huì)的調(diào)查報(bào)告稱，在對(duì)160家電力公司調(diào)查中，有十多家公司表示其電腦系統(tǒng)遭到“每天”、“不斷”或“頻繁”的網(wǎng)絡(luò)攻擊，其中一公司在一個(gè)月內(nèi)被攻擊了1萬(wàn)次。報(bào)告還顯示，過(guò)去幾年來(lái)，美國(guó)電網(wǎng)受到網(wǎng)絡(luò)攻擊導(dǎo)致癱瘓的風(fēng)險(xiǎn)明顯增加，聯(lián)邦政府已記錄了幾萬(wàn)次有報(bào)告的安全漏洞。3月7日，美國(guó)ICS-CERT指出，2012年共進(jìn)行了138起網(wǎng)絡(luò)入侵事件的響應(yīng)活動(dòng)，其中超過(guò)40%的事件發(fā)生在能源行業(yè)，約50%發(fā)生在針對(duì)內(nèi)部通信系統(tǒng)/監(jiān)控與數(shù)據(jù)采集(ICS/SCADA)系統(tǒng)的環(huán)境中。6月24日，匿名黑客組織表示，正在發(fā)動(dòng)針對(duì)美國(guó)能源企業(yè)的“OpPetrol”網(wǎng)絡(luò)攻勢(shì)，以抗議美國(guó)能源行業(yè)壟斷全球資源。7月份，信息安全服務(wù)公司Alert Logic的報(bào)告稱，從2012年4月1日到9月30日，67%的能源客戶遭遇過(guò)網(wǎng)絡(luò)攻擊，61%遭受過(guò)惡意軟件/殭尸網(wǎng)絡(luò)。8月，美國(guó)ICS-CERT安全報(bào)告指出，“近三年針對(duì)工業(yè)控制系統(tǒng)的安全事件呈明顯上升趨勢(shì)，僅2013年度，針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊報(bào)告已達(dá)到257起，”而能源行業(yè)的安全事故則超過(guò)了一半。2014年1月13日，賽門鐵克公司發(fā)布的《能源產(chǎn)業(yè)針對(duì)性攻擊分析白皮書》顯示，能源相關(guān)產(chǎn)業(yè)在全球受攻擊目標(biāo)排名中名列前五，約占全球網(wǎng)絡(luò)攻擊數(shù)量的7.6%。報(bào)告還顯示，能源企業(yè)平均每天會(huì)遭到7個(gè)來(lái)自于郵件的針對(duì)性攻擊。2月14日，美國(guó)發(fā)布的一份報(bào)告稱，2013年向ICS-CERT報(bào)告的事故中，能源領(lǐng)域占到了59%以上。5月21日，美國(guó)監(jiān)管機(jī)構(gòu)稱，因遭襲擊向其表示擔(dān)憂網(wǎng)絡(luò)安全的企業(yè)過(guò)去兩年增加了一倍多，其中石油與天然氣生產(chǎn)商增加的最多，由28家增至62家。7月2日，美國(guó)網(wǎng)絡(luò)安全公司賽門鐵克稱，俄羅斯活躍大批“能源黑客”，有系統(tǒng)地鎖定了上百家美國(guó)能源與能源投資公司，有能力發(fā)動(dòng)遠(yuǎn)程攻擊。11月24日，美國(guó)網(wǎng)絡(luò)安全公司稱，2013財(cái)年，美國(guó)電網(wǎng)共受到145次黑客攻擊；2013年4月至2014年，黑客成功闖入全美37%的能源企業(yè)。

2.惡意間諜軟件泛濫

美國(guó)信息安全公司的調(diào)查報(bào)告顯示，美國(guó)能源行業(yè)信息系統(tǒng)中的惡意軟件近幾年以指數(shù)速度增長(zhǎng)，成為能源企業(yè)的最大威脅。2003年，在對(duì)美國(guó)俄亥俄州的戴維斯-貝斯核電站維護(hù)時(shí)，維修人員私自將個(gè)人電腦接入到核電站網(wǎng)絡(luò)，將SQL Server蠕蟲病毒傳入到核電站內(nèi)部網(wǎng)絡(luò)，致使核電站的控制網(wǎng)絡(luò)全面癱瘓，系統(tǒng)停機(jī)將近5小時(shí)。2007年10月，美國(guó)能源部橡樹嶺國(guó)家實(shí)驗(yàn)室的一千多名員工收到帶有附件的電子郵件，造成感染惡意軟件的傳播，致使未經(jīng)授權(quán)的外部人員能夠非法訪問(wèn)實(shí)驗(yàn)室數(shù)據(jù)庫(kù)。2008年11月13日，美國(guó)馬拉松石油休斯敦分部的一名高管收到了攜帶惡意軟件的郵件，導(dǎo)致整個(gè)公司分部的信息系統(tǒng)感染病毒。同樣事件，也發(fā)生在?？松梨诤涂捣剖凸尽?009年4月9日，美國(guó)國(guó)家安全官員表示，網(wǎng)絡(luò)間諜侵入了美國(guó)電網(wǎng)，留下了用來(lái)破壞電力系統(tǒng)的惡意軟件。2011年，邁克菲安全公司稱，發(fā)現(xiàn)了一個(gè)名為Night Dragon的惡意間諜程序，可以從能源和石化公司竊取諸如油田投標(biāo)及SCADA運(yùn)作的敏感數(shù)據(jù)。黑客曾依靠該惡意軟件入侵了五家石油天然氣公司，并竊取了商業(yè)機(jī)密。2013年2月，美國(guó)一些石油鉆井平臺(tái)的計(jì)算機(jī)系統(tǒng)出現(xiàn)癱瘓，直接原因是石油鉆井公司雇員下載帶有惡意軟件的色情電影和盜版音樂(lè)所造成的。3月6日，美國(guó)能源部表示，黑客利用IE8瀏覽器中的0day 漏洞，對(duì)美國(guó)能源部的信息系統(tǒng)進(jìn)行了攻擊。5月4日，美國(guó)國(guó)土安全部表示，通過(guò)對(duì)一個(gè)用來(lái)備份工控系統(tǒng)配置文件的USB盤的掃描，發(fā)現(xiàn)了三種不同的惡意軟件。2014年11月24日，美國(guó)國(guó)土安全局計(jì)算機(jī)緊急響應(yīng)中心稱，俄羅斯惡意軟件BlackEnergy侵入了可以控制美國(guó)電力渦輪機(jī)的軟件系統(tǒng)；僅2013年就發(fā)現(xiàn)專門針對(duì)能源公司的50種惡意軟件。2014年威瑞森的研究認(rèn)為，2014年度能源公司受到了比其他行業(yè)更多的惡意軟件攻擊。

3.信息泄漏時(shí)有發(fā)生

2006年6月9日，美國(guó)能源部國(guó)家核安全局承認(rèn)，國(guó)家核安全局的辦公室電腦系統(tǒng)遭黑客入侵，大量資料被竊走，其中包括國(guó)家核安全局1500名雇員工的名字、出生日期、社會(huì)保險(xiǎn)號(hào)碼、工作中的安全密碼。2007年12月6日，美國(guó)能源部橡樹嶺國(guó)家實(shí)驗(yàn)室表示，黑客侵入了實(shí)驗(yàn)室一個(gè)內(nèi)部數(shù)據(jù)庫(kù)，導(dǎo)致1990年至2004間實(shí)驗(yàn)室數(shù)千名來(lái)訪者的姓名、社會(huì)安全號(hào)碼、出生日期等個(gè)人信息被竊取。2013年2月4日，美國(guó)曼迪昂特公司稱，美國(guó)能源部的網(wǎng)絡(luò)系統(tǒng)曾遭到黑客攻擊，14臺(tái)計(jì)算機(jī)服務(wù)器和20個(gè)工作站遭到了入侵，幾百個(gè)員工的私人信息遭到泄露。這些“個(gè)人身份信息”包括全名、國(guó)民身份號(hào)碼、IP地址、汽車和駕照號(hào)碼、臉部樣貌、指紋、筆跡、信用卡號(hào)碼、數(shù)碼身份、出生日期、出生地點(diǎn)和遺傳信息等。該公司引述的美國(guó)國(guó)土安全部報(bào)告稱，從2011年12月至2013年6月的網(wǎng)絡(luò)犯罪中，有23家石油管道公司遭到攻擊，被竊取的信息可能會(huì)帶來(lái)破壞性的影響。另外，還表示一個(gè)名為APT1的“高階持續(xù)性威脅”組織，竊取了美國(guó)電力系統(tǒng)的大量資料。9月5日，美國(guó)信息安全部門表示，裝有全美國(guó)8100座主要大壩敏感數(shù)據(jù)的數(shù)據(jù)庫(kù)在2013年被黑客盜取。

4.信息安全環(huán)境較差

美國(guó)能源行業(yè)的發(fā)展時(shí)間久、規(guī)模大、聯(lián)接的設(shè)備多，信息安全環(huán)境較差。一是能源行業(yè)廣泛使用的控制系統(tǒng)存在自身的安全性脆弱。1998年1月，美國(guó)東部氣候反常，造成多個(gè)輸電線因結(jié)冰而折斷，導(dǎo)致大面積斷電，導(dǎo)致31萬(wàn)人用電困難。1999年7月6日，持續(xù)3天創(chuàng)紀(jì)錄的高溫導(dǎo)致紐約市電線變形，造成19小時(shí)停電。2003年，一家名為“首份能源”的有限公司發(fā)生了一次工程制造軟件的小故障，結(jié)果導(dǎo)致5000萬(wàn)民眾在4分鐘時(shí)間內(nèi)失去電力供應(yīng)。2006年8月，美國(guó)BrownsFerry核電站，因其控制系統(tǒng)上的通信信息過(guò)載，導(dǎo)致控制水循環(huán)系統(tǒng)的驅(qū)動(dòng)器失效，直接經(jīng)濟(jì)損失數(shù)百萬(wàn)美元。2012年8月6日，美國(guó)國(guó)家科學(xué)院發(fā)布報(bào)告稱，非傳統(tǒng)自然災(zāi)害“超級(jí)太陽(yáng)風(fēng)暴”一旦出現(xiàn)，可癱瘓美國(guó)供電網(wǎng)絡(luò)，損毀美國(guó)電網(wǎng)總計(jì)大約2100個(gè)大型高壓變壓器中300個(gè)或更多，超過(guò)1.3億人受到影響，斷電帶來(lái)的損失可能高達(dá)兩萬(wàn)億美元。二是能源公司的信息系統(tǒng)老舊，存在安全隱患。美國(guó)電力系統(tǒng)幾乎都是上世紀(jì)70年代的產(chǎn)物，由于更換系統(tǒng)必須暫停供電好一段時(shí)間，以進(jìn)行更新與測(cè)試，為了避免電力中斷，能源公司就抱著“能撐就撐”的心態(tài)，只要沒(méi)有太大問(wèn)題，就傾向于一直使用舊系統(tǒng)。并且舊系統(tǒng)的安全措施不到位，安全漏洞多。三是大型能源探勘產(chǎn)業(yè)依賴大量的小型下游承包商來(lái)完成工作，小型承包商的信息安全能力弱，但由于彼此系統(tǒng)互聯(lián)互通，下游小承包商的系統(tǒng)會(huì)影響到大公司的系統(tǒng)安全能力。四是員工自帶設(shè)備上班(BYOD)風(fēng)潮帶來(lái)潛在威脅。員工喜歡使用熟悉的軟件工具工作，但這些軟件自然潛藏著不可預(yù)測(cè)的風(fēng)險(xiǎn)。2012年8月，美國(guó)一家石油公司的員工因使用自帶的設(shè)備，造成Shamoon病毒刪除了三個(gè)季度的企業(yè)數(shù)據(jù)。五是內(nèi)部人員威脅危害依然存在。2012年6月，美國(guó)一家石油天然氣公司的網(wǎng)絡(luò)工程師被判入獄4年。該安全工程師知道自己將被解雇，為了報(bào)復(fù)而把公司的網(wǎng)絡(luò)服務(wù)器重置到原始狀態(tài)，造成重大損失。

5.W indows XP停用帶來(lái)新風(fēng)險(xiǎn)

目前，美國(guó)幾乎所有的電力和天然氣等能源公司都使用Windows XP工作站，用于監(jiān)測(cè)野外公共服務(wù)設(shè)施的運(yùn)行情況，例如測(cè)試天然氣管道的壓力等。如果升級(jí)Windows XP操作系統(tǒng)，需要花費(fèi)1億美元的資金，并且要耗費(fèi)很長(zhǎng)時(shí)間。2014年4月8日，微軟已停止對(duì)Windows XP提供安全補(bǔ)丁和技術(shù)支持，黑客能夠更容易地開發(fā)出惡意軟件，利用不再打補(bǔ)丁的Windows XP造成地區(qū)性停電和其它能源企業(yè)的生產(chǎn)事故。美國(guó)信息安全專家表示，天然氣公司的管理工作站如果遭到入侵，將錯(cuò)誤地報(bào)告天然氣管道壓力低，而員工并不知情而去調(diào)高壓力就會(huì)造成爆炸事故。Windows XP已經(jīng)是過(guò)時(shí)的操作系統(tǒng)，如果不能盡快升級(jí)或繼續(xù)為其提供安全支持，將給美國(guó)能源行業(yè)的信息系統(tǒng)帶來(lái)新的安全風(fēng)險(xiǎn)。

美國(guó)確保能源行業(yè)信息安全的主要舉措

針對(duì)能源行業(yè)日益嚴(yán)峻的信息安全形勢(shì)，美國(guó)政府采取了一系列舉措全面構(gòu)筑能源領(lǐng)域的信息安全保障體系。

1.上升為國(guó)家安全戰(zhàn)略

能源是國(guó)家關(guān)鍵基礎(chǔ)設(shè)施之一，能源行業(yè)的信息安全是美國(guó)國(guó)家總體安全戰(zhàn)略的重要元素。1996年7月，美國(guó)發(fā)布第13010號(hào)行政令，這是美國(guó)第一個(gè)專門針對(duì)關(guān)鍵基礎(chǔ)設(shè)施保障的行政令，就將電力系統(tǒng)、天然氣及石油的存儲(chǔ)和運(yùn)輸系統(tǒng)定為關(guān)鍵基礎(chǔ)設(shè)施。1998年5月，出臺(tái)第63號(hào)總統(tǒng)令，指定美國(guó)能源部作為能源領(lǐng)域信息安全的主導(dǎo)機(jī)構(gòu)。2000年，發(fā)布《美國(guó)國(guó)家安全戰(zhàn)略報(bào)告》，要求保護(hù)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施免受網(wǎng)絡(luò)攻擊，明確將能源行業(yè)列在其中。2003年，美國(guó)頒布《第7號(hào)國(guó)土安全總統(tǒng)令》，要求對(duì)包括能源行業(yè)在內(nèi)的18類關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行保護(hù)。2月14日，正式頒布《美國(guó)網(wǎng)絡(luò)安全國(guó)家戰(zhàn)略》，明確將能源行業(yè)列為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施之一。2009年，發(fā)布《美國(guó)網(wǎng)絡(luò)空間政策評(píng)估報(bào)告》，要求能源部與聯(lián)邦能源監(jiān)管委員會(huì)合作，為能源方面的工業(yè)控制系統(tǒng)制定安全執(zhí)行指南和程序。同年10月，頒布《保護(hù)工業(yè)控制系統(tǒng)的戰(zhàn)略》，涵蓋能源、電力等14個(gè)行業(yè)工控系統(tǒng)的安全。2012年6月13日，頒布《21世紀(jì)電網(wǎng)政策框架》，提出要保障電網(wǎng)安全可靠及免受攻擊。10月8日，能源部頒布信息技術(shù)現(xiàn)代化戰(zhàn)略，提出加強(qiáng)美國(guó)石油、煤電、核能等基礎(chǔ)能源部門的信息安全防護(hù)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)。2013年，發(fā)布第21號(hào)行政令，再次將能源確定為16類關(guān)鍵基礎(chǔ)設(shè)施部門之一。2014年2月12日，根據(jù)2013年的13636行政令，美國(guó)白宮正式頒布了《網(wǎng)絡(luò)安全框架》，旨在加強(qiáng)能源等關(guān)鍵基礎(chǔ)設(shè)施部門的網(wǎng)絡(luò)安全。

2.實(shí)施信息安全計(jì)劃

為落實(shí)能源行業(yè)信息安全政策或戰(zhàn)略，美國(guó)政府制定了多個(gè)路線圖和計(jì)劃進(jìn)行推動(dòng)。1999年夏天，針對(duì)美國(guó)發(fā)生的停電事故，美國(guó)能源部組織了一個(gè)由各類專家組成的停電事故研究小組(POST)，提出了加強(qiáng)電網(wǎng)信息安全的12項(xiàng)建議和措施。2000年1月7日，美國(guó)發(fā)布首個(gè)包括能源在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施保障全國(guó)總體計(jì)劃——《信息系統(tǒng)保護(hù)國(guó)家計(jì)劃1.0》。2003年7月31日，能源部發(fā)布《電網(wǎng)2030》構(gòu)想，對(duì)2030年前的電網(wǎng)發(fā)展進(jìn)行規(guī)劃。2006年，發(fā)布《國(guó)家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃》，提出保護(hù)包括能源在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施的具體計(jì)劃。同年，發(fā)布《實(shí)現(xiàn)能源領(lǐng)域控制系統(tǒng)安全2006年路線圖》，提出了政府及能源企業(yè)的信息安全建設(shè)項(xiàng)目和目標(biāo)。2007年5月，出臺(tái)《能源領(lǐng)域2007計(jì)劃》，提出加強(qiáng)電力、石油及天然氣領(lǐng)域的機(jī)構(gòu)安全合作措施。2009年，修訂完善《國(guó)家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃》，授權(quán)能源部負(fù)責(zé)能源行業(yè)的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)。9月，能源部發(fā)布《智能電網(wǎng)網(wǎng)絡(luò)安全》項(xiàng)目建設(shè)草案。10月，國(guó)土安全部開始實(shí)施“關(guān)鍵信息基礎(chǔ)設(shè)施的控制系統(tǒng)安全”項(xiàng)目，涉及能源等方面。2010年，美國(guó)能源部和國(guó)土安全部聯(lián)合發(fā)布《能源領(lǐng)域關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃》，將石油、天然氣、電力等能源行業(yè)的工業(yè)控制系統(tǒng)安全確定為重點(diǎn)保護(hù)內(nèi)容。2011年3月30日，發(fā)布《能源安全未來(lái)藍(lán)圖》。9月15日，發(fā)布《實(shí)現(xiàn)能源供給系統(tǒng)網(wǎng)絡(luò)安全2011年路線圖》，提出今后10年能源網(wǎng)絡(luò)安全的戰(zhàn)略性框架。2012年1月5日，美國(guó)能源部和國(guó)土安全部聯(lián)合推出《電力系統(tǒng)網(wǎng)絡(luò)空間安全風(fēng)險(xiǎn)管理成熟度計(jì)劃》。

3.加大信息安全投資

為確保能源行業(yè)信息安全政策或計(jì)劃的有效落實(shí)，美國(guó)政府不斷加大投資力度。2003年，美國(guó)政府專門用于網(wǎng)絡(luò)安全的費(fèi)用為2.98億美元，比2002年度的0.62億美元提高了381%，其中，能源部獲得2000萬(wàn)美元。2009年，美國(guó)投入到包括能源在內(nèi)的關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)資金達(dá)8.07億美元，比2008財(cái)年增長(zhǎng)23.9% ; 2010財(cái)年又增加到9.18億美元，比2009財(cái)年增長(zhǎng)13.8%。美國(guó)從2009年開始實(shí)施智能電網(wǎng)撥款項(xiàng)目(SGIG)，截至2012年3月底，共計(jì)投資近30億美元，其中包括用于提升電網(wǎng)的網(wǎng)絡(luò)安全項(xiàng)目。2013年2月21日，美國(guó)能源部宣布投資2000萬(wàn)美元，用于發(fā)展提高國(guó)家電、油、氣等能源輸送控制系統(tǒng)網(wǎng)絡(luò)安全的工具和技術(shù)。2013年4月10日，美國(guó)能源部公布了總額為284億美元的2014財(cái)年預(yù)算申請(qǐng)，投資1.47億美元用于能源信息系統(tǒng)的網(wǎng)絡(luò)安全。2013年10月，美國(guó)能源部表示，將投資3000萬(wàn)美元用于網(wǎng)絡(luò)安全研究和技術(shù)開發(fā)。2014年3月4日，美國(guó)能源部公布2015 財(cái)年279億美元的財(cái)政預(yù)算申請(qǐng)，投資約3億美元，加強(qiáng)能源行業(yè)的網(wǎng)絡(luò)安全。2015年2月2日，美國(guó)政府提議在2016財(cái)年預(yù)算中，擬撥款140億美元用于加強(qiáng)網(wǎng)絡(luò)安全。其中，將為能源部下屬的國(guó)家核安全局劃撥1.6億美元，用于網(wǎng)絡(luò)安全。2015年3月9日，美國(guó)能源部公布2016財(cái)年300億美元的預(yù)算申請(qǐng)，提議將3.05億美元預(yù)算，用于改善能源行業(yè)的網(wǎng)絡(luò)安全。

4.出臺(tái)信息安全法規(guī)

2001年，美國(guó)通過(guò)《2001關(guān)鍵基礎(chǔ)設(shè)施信息安全法案》，對(duì)包括能源行業(yè)在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施的信息安全進(jìn)行了規(guī)范。10月，美國(guó)頒布《愛(ài)國(guó)者法案》，重新對(duì)關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行了界定，并將能源部門列入其中，提出了能源等關(guān)鍵基礎(chǔ)設(shè)施建模、仿真和分析系統(tǒng)的保護(hù)措施。2002年11月，美國(guó)頒布《國(guó)土安全法》，規(guī)范了能源等關(guān)鍵基礎(chǔ)設(shè)施保障的組織機(jī)構(gòu)、具體職能和目標(biāo)任務(wù)。2005年8月，美國(guó)通過(guò)《能源政策法2005》，提出了今后美國(guó)能源發(fā)展的總體策略和加強(qiáng)能源信息安全的具體舉措。比如，該法案增加了提升輸電網(wǎng)設(shè)施和加強(qiáng)可靠性的規(guī)定，要求能源行業(yè)共享威脅信息等。2007年12月18日，美國(guó)通過(guò)《能源獨(dú)立和安全法案（EISA）》，指定國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）制定智能電網(wǎng)等能源行業(yè)的發(fā)展框架。2011年5月12日, 美國(guó)政府向國(guó)會(huì)提交了《2011年網(wǎng)絡(luò)安全法案》，要求對(duì)包括能源行業(yè)在內(nèi)的國(guó)家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)進(jìn)行立法。此外，美國(guó)出臺(tái)的眾多網(wǎng)絡(luò)安全法規(guī)中，也都從不同角度對(duì)能源行業(yè)的信息安全進(jìn)行了規(guī)范，來(lái)確保能源行業(yè)信息系統(tǒng)的安全。

5.制定信息安全標(biāo)準(zhǔn)

在加強(qiáng)能源行業(yè)信息安全法規(guī)建設(shè)的同時(shí)，美國(guó)政府還針對(duì)各類能源行業(yè)制定了具體的標(biāo)準(zhǔn)指南，用以指導(dǎo)電力、石油、煤炭、天然氣等行業(yè)的信息安全工作。2004年4月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）頒布了《工業(yè)控制系統(tǒng)防御框架》（1.0版本），為包括能源行業(yè)在內(nèi)的工業(yè)控制系統(tǒng)防護(hù)制定了安全框架。2007年1月，美國(guó)能源部發(fā)布《21步改進(jìn)SCADA網(wǎng)絡(luò)信息安全》，提出了加強(qiáng)能源行業(yè)SCADA系統(tǒng)安全的具體步驟。2008年1月，美國(guó)聯(lián)邦能源監(jiān)管委員會(huì)頒布了《關(guān)鍵設(shè)施保護(hù)》標(biāo)準(zhǔn)，旨在確保能源行業(yè)信息系統(tǒng)安全。該標(biāo)準(zhǔn)共計(jì)8個(gè)部分，覆蓋了能源行業(yè)信息系統(tǒng)的資產(chǎn)識(shí)別、安全管理、人員管理、訪問(wèn)控制、物理安全、系統(tǒng)安全、應(yīng)急響應(yīng)與災(zāi)難恢復(fù)等。2009年5月18日，美國(guó)發(fā)布第一批16個(gè)智能電網(wǎng)行業(yè)標(biāo)準(zhǔn)。2010年9月，發(fā)布《智能電網(wǎng)網(wǎng)絡(luò)安全指南》，指導(dǎo)電力企業(yè)制定有效的網(wǎng)絡(luò)安全策略。2011年6月，正式發(fā)布《工業(yè)控制系統(tǒng)安全指南》，適用于電力、石化、交通、化工等行業(yè)的工業(yè)控制系統(tǒng)。2011年9月，美國(guó)能源部發(fā)布《電力系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理指南》。同年，還公布了《保護(hù)關(guān)鍵基礎(chǔ)設(shè)施可靠性基準(zhǔn)》，對(duì)包括能源在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施，制定了專門的保護(hù)標(biāo)準(zhǔn)。2012年2月，發(fā)布《智能電網(wǎng)互操作性標(biāo)準(zhǔn)2.0》，作為智能電網(wǎng)發(fā)展的依據(jù)及網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定的準(zhǔn)則。2013年5月，推出了《工業(yè)控制系統(tǒng)安全指南》（NIST SP 800-82）的最新修訂版。11月，發(fā)布《智能電網(wǎng)網(wǎng)絡(luò)安全指南》修訂草案。2015年1月22日，美國(guó)總統(tǒng)在國(guó)情咨文中提出了一系列提案，包括了能源部將出臺(tái)一項(xiàng)保護(hù)電力消費(fèi)者數(shù)據(jù)的自愿性質(zhì)的能源行業(yè)行為準(zhǔn)則。

此外，美國(guó)能源各行業(yè)還制定了本行業(yè)的信息安全標(biāo)準(zhǔn)或指南。如美國(guó)石油學(xué)會(huì)制定了《石油工業(yè)安全指南》、《管道SCADA安全標(biāo)準(zhǔn)》；美國(guó)天然氣協(xié)會(huì)制定了《SCADA通信加密保護(hù)規(guī)范》、《天然氣管道行業(yè)控制系統(tǒng)安全指南》；國(guó)土安全部發(fā)布了《管道安全指南》、《中小規(guī)模能源設(shè)施風(fēng)險(xiǎn)管理核查事項(xiàng)指南》、《控制系統(tǒng)安全一覽表：標(biāo)準(zhǔn)推薦指南》；美國(guó)核管理委員會(huì)制定了《核設(shè)施網(wǎng)絡(luò)安全措施》；能源部制定了《非保密受控制核信息的鑒別和保護(hù)》、《信息管理計(jì)劃》、《信息安全計(jì)劃》、《能源部科技信息管理導(dǎo)則》、《能源部科技信息管理細(xì)則》等。

6.健全信息安全機(jī)構(gòu)

為了確保能源行業(yè)信息安全措施的貫徹執(zhí)行，美國(guó)建立健全了信息安全管理機(jī)構(gòu)。其中，關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)負(fù)責(zé)制定并調(diào)整有關(guān)保護(hù)能源行業(yè)等關(guān)鍵信息基礎(chǔ)設(shè)施的政策和計(jì)劃，加強(qiáng)政府各部門間的合作與交流。美國(guó)國(guó)土安全部負(fù)責(zé)包括能源行業(yè)在內(nèi)的信息安全威脅分析與信息安全事件的應(yīng)急響應(yīng)，組織能源行業(yè)等基礎(chǔ)設(shè)施在內(nèi)的大規(guī)模信息安全演練。在國(guó)土安全部的主導(dǎo)下成立了由政府各部門代表參加的政府協(xié)調(diào)委員會(huì)和私營(yíng)代表參加的部門協(xié)調(diào)委員會(huì)，共同協(xié)調(diào)包括能源行業(yè)在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施和資源保護(hù)的問(wèn)題。商務(wù)部下屬的美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院負(fù)責(zé)工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)和智能電網(wǎng)信息安全標(biāo)準(zhǔn)的制定。

能源部作為美國(guó)聯(lián)邦政府的能源主管部門，負(fù)責(zé)制定和實(shí)施國(guó)家能源戰(zhàn)略和政策。在信息安全方面，具體負(fù)責(zé)制定能源行業(yè)的工業(yè)控制系統(tǒng)的安全標(biāo)準(zhǔn)和措施。在能源部的獨(dú)立監(jiān)管辦公室下設(shè)有計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)評(píng)估辦公室，負(fù)責(zé)保密計(jì)算機(jī)的安全、非保密計(jì)算機(jī)的安全和對(duì)能源行業(yè)網(wǎng)絡(luò)進(jìn)行檢查。能源部的六家國(guó)家級(jí)實(shí)驗(yàn)室負(fù)責(zé)對(duì)能源行業(yè)的工業(yè)控制系統(tǒng)安全開展系統(tǒng)、全面的研究。能源部的核安全局負(fù)責(zé)對(duì)核電站進(jìn)行監(jiān)管控制，制定核能安全信息標(biāo)準(zhǔn)和指南。能源部的國(guó)家能源信息中心，負(fù)責(zé)能源行業(yè)的信息發(fā)布。還以能源部為主導(dǎo)，設(shè)立了“美國(guó)電力領(lǐng)域網(wǎng)絡(luò)安全組織”和“美國(guó)電力領(lǐng)域網(wǎng)絡(luò)安全組織資源”，負(fù)責(zé)制定網(wǎng)絡(luò)安全框架、推進(jìn)信息共享和信息技術(shù)驗(yàn)證。此外，美國(guó)還設(shè)立了獨(dú)立于能源部的聯(lián)邦能源管理委員會(huì)(FERC)，負(fù)責(zé)制定聯(lián)邦政府職權(quán)范圍內(nèi)的能源監(jiān)管政策并實(shí)施監(jiān)管，并在FERC下設(shè)立北美電力可靠性協(xié)會(huì)(NERC)，負(fù)責(zé)制定電力系統(tǒng)運(yùn)行標(biāo)準(zhǔn)、監(jiān)督和推進(jìn)標(biāo)準(zhǔn)的執(zhí)行。2013年第21號(hào)總統(tǒng)令，還對(duì)國(guó)務(wù)院、司法部、內(nèi)政部、商務(wù)部、國(guó)家情報(bào)委員會(huì)、總務(wù)署、核管理委員會(huì)、聯(lián)邦通信委員、國(guó)防部等部門在能源等關(guān)鍵基礎(chǔ)設(shè)施保障方面的角色和責(zé)任進(jìn)行了詳細(xì)界定。

7.完善信息安全機(jī)制

一是建立網(wǎng)絡(luò)安全審查機(jī)制。美國(guó)建立了外國(guó)投資委員會(huì)(CFIUS)，負(fù)責(zé)對(duì)外國(guó)投資本國(guó)能源等關(guān)鍵基礎(chǔ)設(shè)施的審查工作；出臺(tái)了《外國(guó)投資與國(guó)家安全法》，將能源行業(yè)納入安全審查的范疇，規(guī)定對(duì)美國(guó)能源行業(yè)構(gòu)成安全風(fēng)險(xiǎn)的外國(guó)投資，不予批準(zhǔn)。二是建立風(fēng)險(xiǎn)管理機(jī)制。美國(guó)制定了能源行業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理制度，分為風(fēng)險(xiǎn)架構(gòu)、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)、風(fēng)險(xiǎn)監(jiān)控四個(gè)階段，對(duì)網(wǎng)絡(luò)安全各階段的風(fēng)險(xiǎn)進(jìn)行精確管控，確保能源行業(yè)信息系統(tǒng)安全。三是建立安全漏洞發(fā)布機(jī)制。2006年5月，美國(guó)正式建立包括能源行業(yè)在內(nèi)的工業(yè)控制系統(tǒng)漏洞發(fā)布機(jī)制，要求能源行業(yè)及時(shí)向美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組(US-CERT)匯報(bào)，US-CERT及時(shí)對(duì)漏洞進(jìn)行處理，向各個(gè)行業(yè)發(fā)布，并錄入國(guó)家漏洞庫(kù)(NVD)。四是建立威脅信息共享與分析機(jī)制。美國(guó)政府根據(jù)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)行政令要求，建立了公私合作的威脅信息共享與分析機(jī)制，通過(guò)信息共享等方式共同防御網(wǎng)絡(luò)安全威脅。五是建立網(wǎng)絡(luò)安全審計(jì)機(jī)制。為評(píng)估能源行業(yè)等關(guān)鍵基礎(chǔ)設(shè)施信息安全的整體狀況，美國(guó)建立了由政府問(wèn)責(zé)局實(shí)施的網(wǎng)絡(luò)安全審計(jì)制度，定期組織相關(guān)專家，根據(jù)網(wǎng)絡(luò)安全法規(guī)和標(biāo)準(zhǔn)，對(duì)能源行業(yè)的信息安全落實(shí)情況進(jìn)行審計(jì)調(diào)查，提出改進(jìn)措施。

8.研發(fā)信息安全技術(shù)

技術(shù)是保障信息安全的核心基礎(chǔ)。為此，美國(guó)政府高度重視能源行業(yè)的信息安全技術(shù)研發(fā)。2005年，美國(guó)能源部建設(shè)并完成了關(guān)鍵基礎(chǔ)設(shè)施測(cè)試靶場(chǎng)，制定了國(guó)家SCADA測(cè)試床計(jì)劃。2007年，能源部投資790萬(wàn)美元進(jìn)行能源基礎(chǔ)設(shè)施的安全設(shè)備集成技術(shù)研究。2008年，美國(guó)最早提出能源互聯(lián)網(wǎng)概念，目標(biāo)是建立安全智能的能源傳輸應(yīng)用系統(tǒng)。2010年,美國(guó)能源部為10個(gè)智能電網(wǎng)信息安全項(xiàng)目提供了3040萬(wàn)美元作為資金支持。2010年7月，美國(guó)能源部發(fā)布題為《國(guó)家安全中的科學(xué)大挑戰(zhàn)：超大規(guī)模計(jì)算的作用》的報(bào)告，提出研發(fā)確保國(guó)家能源安全的前沿技術(shù)和高性能計(jì)算。2012年1月5日，能源部啟動(dòng)電力部門網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理成熟度計(jì)劃，目標(biāo)是開發(fā)一套“成熟度模型”，使公用事業(yè)和電網(wǎng)運(yùn)營(yíng)商來(lái)衡量當(dāng)前自身能力和分析其網(wǎng)絡(luò)防御的差距。3月29日，美國(guó)啟動(dòng)“大數(shù)據(jù)研究與開發(fā)計(jì)劃”，向能源部提供2500萬(wàn)美元，用于開發(fā)新的工具來(lái)管理和可視化來(lái)自能源行業(yè)的大規(guī)模數(shù)據(jù)。4月18日, 美國(guó)能源部下屬太平洋西北國(guó)家實(shí)驗(yàn)室宣布，正在開發(fā)網(wǎng)絡(luò)活動(dòng)可視化工具，用于追蹤企業(yè)內(nèi)可疑惡意活動(dòng)的來(lái)源。2013年2月26日，能源部提出發(fā)展能源輸送控制系統(tǒng)網(wǎng)絡(luò)安全的工具和技術(shù)。2013年10月，美國(guó)能源部計(jì)劃進(jìn)行11個(gè)項(xiàng)目的研發(fā)，涉及輸電控制系統(tǒng)安全、數(shù)據(jù)信息網(wǎng)絡(luò)安全等各個(gè)方面。此外，美國(guó)國(guó)土安全部還大力發(fā)展工業(yè)控制系統(tǒng)專用密碼技術(shù)，推出了通用的SCADA密碼標(biāo)準(zhǔn)，用于能源行業(yè)之間的信息系統(tǒng)安全傳輸。

9.加強(qiáng)信息安全合作

美國(guó)能源行業(yè)大多數(shù)由私營(yíng)部門擁有或管理運(yùn)營(yíng)，為此，美國(guó)政府將加強(qiáng)與私營(yíng)部門的合作作為信息安全保障體系的最重要環(huán)節(jié)之一。1998年，美國(guó)第63號(hào)總統(tǒng)令提出，國(guó)家基礎(chǔ)設(shè)施保障中心要匯聚來(lái)自政府與私營(yíng)企業(yè)的代表，與私營(yíng)企業(yè)合作，實(shí)現(xiàn)信息共享。11月，能源部、天然氣研究所和電力研究所共同主辦了能源論壇，邀請(qǐng)了100余家電力、天然氣和石油企業(yè)和政府代表參加。2002年《網(wǎng)絡(luò)空間安全戰(zhàn)略》中明確指出，鼓勵(lì)政府與企業(yè)組建信息共享和分析中心；2002年《國(guó)土安全法》確立了能源行業(yè)等關(guān)鍵基礎(chǔ)設(shè)施信息的共享程序；2007年5月，召開能源協(xié)調(diào)協(xié)商會(huì)議，要求電力、石油及天然氣領(lǐng)域加強(qiáng)協(xié)調(diào)合作，為國(guó)家基礎(chǔ)設(shè)施保護(hù)計(jì)劃提供建議。2013年2月，發(fā)布《提升關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》行政令，明確要求采取措施推進(jìn)公私網(wǎng)絡(luò)安全信息共享；2013年第21號(hào)總統(tǒng)令更是直接將促進(jìn)政府部門之間以及與關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)者之間的有效信息交換作為信息安全三大措施之一。2014年2月，美國(guó)頒布《網(wǎng)絡(luò)安全框架》，對(duì)于能源行業(yè)等關(guān)鍵基礎(chǔ)設(shè)施安全的公私合作進(jìn)行了規(guī)范。2015年3月9日，美國(guó)總統(tǒng)奧巴馬在網(wǎng)絡(luò)安全峰會(huì)上，呼吁私營(yíng)企業(yè)加強(qiáng)與政府在網(wǎng)絡(luò)安全領(lǐng)域的合作。3月12日，美國(guó)通過(guò)《網(wǎng)絡(luò)空間安全信息共享法》，加強(qiáng)網(wǎng)絡(luò)安全漏洞的信息分享，以幫助企業(yè)以及政府更好地應(yīng)對(duì)網(wǎng)絡(luò)攻擊。

10.深化軍民融合發(fā)展

一是簽署軍民合作協(xié)議。2010年10月13日，美國(guó)國(guó)防部長(zhǎng)和國(guó)土安全部長(zhǎng)簽署軍民網(wǎng)絡(luò)安全合作協(xié)議，整合軍政兩個(gè)體系內(nèi)的網(wǎng)絡(luò)安全手段，確保能源行業(yè)等國(guó)家關(guān)鍵基礎(chǔ)設(shè)施安全。二是組建保護(hù)能源設(shè)施的網(wǎng)絡(luò)力量。2013年1月5日，美國(guó)官員表示，國(guó)家安全部正在推行 “完美公民”計(jì)劃，組建保護(hù)全國(guó)電網(wǎng)等關(guān)鍵基礎(chǔ)設(shè)施的“護(hù)電特戰(zhàn)隊(duì)”。三是建立國(guó)家網(wǎng)絡(luò)任務(wù)部隊(duì)。2013年2月27日，美國(guó)國(guó)防部決定建立“國(guó)家任務(wù)部隊(duì)”，負(fù)責(zé)保護(hù)電力網(wǎng)絡(luò)、電廠和其他關(guān)鍵基礎(chǔ)設(shè)施。四是舉辦能源企業(yè)和國(guó)防部門參與的網(wǎng)絡(luò)安全演習(xí)。美國(guó)國(guó)土安全部分別在2006年、2008年和2010年舉辦了三次網(wǎng)絡(luò)風(fēng)暴演習(xí)，旨在檢驗(yàn)美國(guó)能源、信息技術(shù)、交通運(yùn)輸、供電系統(tǒng)等關(guān)鍵基礎(chǔ)設(shè)施遭受大規(guī)模網(wǎng)絡(luò)攻擊時(shí)的協(xié)同應(yīng)對(duì)能力。

結(jié)語(yǔ)

美國(guó)作為全球最大的能源消費(fèi)國(guó)，發(fā)展形成了一個(gè)規(guī)模龐大、信息化程度高的能源行業(yè)；為了確保其能源領(lǐng)域的信息安全，美國(guó)政府構(gòu)筑了比較完善的信息安全保障體系。當(dāng)前，我國(guó)正在加快推進(jìn)信息化和工業(yè)化的深度融合，能源行業(yè)的信息化程度得到了快速提升，但由于信息基礎(chǔ)薄弱，一些核心信息技術(shù)還未達(dá)到自主可控，使得能源行業(yè)的信息安全形勢(shì)復(fù)雜嚴(yán)峻。為此，我們應(yīng)積極借鑒美國(guó)在能源行業(yè)的信息安全舉措，結(jié)合我國(guó)能源領(lǐng)域的實(shí)際，從政策、法規(guī)、投資、標(biāo)準(zhǔn)、機(jī)制、技術(shù)等方面，大力加強(qiáng)能源行業(yè)的信息安全建設(shè)，全面提升能源行業(yè)的信息化和網(wǎng)絡(luò)安全水平。