趙漢青，王鑫（中國(guó)軟件評(píng)測(cè)中心）

繼2021年5月美國(guó)科洛尼爾管道運(yùn)輸公司（Colonial Pipeline）遭到黑客勒索攻擊后，另一家美國(guó)管道領(lǐng)域運(yùn)維服務(wù)商萊因斯坦（LineStar Integrity Services）在同年6月再次遭遇了類似的網(wǎng)絡(luò)攻擊。萊因斯坦公司的主要業(yè)務(wù)是負(fù)責(zé)美國(guó)石油化工等能源領(lǐng)域大型管道公司的審計(jì)、維護(hù)等信息技術(shù)服務(wù)，同時(shí)向多家管道公司提供信息技術(shù)解決方案，尤其是工業(yè)控制系統(tǒng)軟件。針對(duì)此次事件，萊因斯坦公司沒(méi)有對(duì)外聲張，然而暗網(wǎng)上已經(jīng)公布了該公司的70GB內(nèi)部文件，可能導(dǎo)致大量與管道工業(yè)控制系統(tǒng)有關(guān)的網(wǎng)絡(luò)結(jié)構(gòu)、軟件開發(fā)架構(gòu)和核心設(shè)備信息遭到泄露，進(jìn)而成為黑客精準(zhǔn)“點(diǎn)穴”的參考“藍(lán)圖”。2020年，根據(jù)工業(yè)蜜罐捕捉的數(shù)據(jù)，我國(guó)工業(yè)控制系統(tǒng)被攻擊的總量位居全球第三，僅次于美國(guó)和荷蘭。石油和天然氣行業(yè)被阻止的惡意對(duì)象報(bào)告數(shù)在整個(gè)工業(yè)控制系統(tǒng)中的占比更是從36.3%增長(zhǎng)到37.8%。Gartner預(yù)測(cè)，到2023年，工業(yè)控制系統(tǒng)攻擊造成的經(jīng)濟(jì)影響將超過(guò)500億美元。

1 美國(guó)應(yīng)對(duì)措施

1.1 美國(guó)能源部啟動(dòng)代號(hào)為CyTRICS的彈性工業(yè)控制系統(tǒng)測(cè)試計(jì)劃

在2021年，彈性工業(yè)控制系統(tǒng)測(cè)試計(jì)劃初步具備了運(yùn)營(yíng)能力，并正在擴(kuò)大規(guī)模。該計(jì)劃主要包括四個(gè)方面的創(chuàng)新：

一是確定優(yōu)先級(jí)的方法。一種對(duì)被測(cè)試系統(tǒng)進(jìn)行優(yōu)先排序的方法，包含了危害影響、軟件普及率和對(duì)國(guó)家安全利益損害程度等關(guān)鍵因素。這種方法為測(cè)試優(yōu)化安全性影響提供了一個(gè)戰(zhàn)略性的、透明的原則。

二是標(biāo)準(zhǔn)化的測(cè)試過(guò)程。美國(guó)能源部已經(jīng)開發(fā)和改進(jìn)了一個(gè)標(biāo)準(zhǔn)化的方法來(lái)枚舉和測(cè)試漏洞固件和軟件的子組件。標(biāo)準(zhǔn)化確保了結(jié)果的一致性、可重復(fù)性和可比性，從而有助于在實(shí)驗(yàn)室和企業(yè)之間擴(kuò)大測(cè)試和自動(dòng)化的規(guī)模。

三是標(biāo)準(zhǔn)化的報(bào)告和存儲(chǔ)庫(kù)。彈性工業(yè)控制系統(tǒng)測(cè)試計(jì)劃以標(biāo)準(zhǔn)的材料清單格式監(jiān)測(cè)測(cè)試結(jié)果，以快速識(shí)別嵌入的高風(fēng)險(xiǎn)組件和子組件。該計(jì)劃的特點(diǎn)是具有一個(gè)測(cè)試結(jié)果的中央存儲(chǔ)庫(kù)，用于全面的、全行業(yè)范圍的系統(tǒng)風(fēng)險(xiǎn)和漏洞分析。

四是與供應(yīng)商深度合作。彈性工業(yè)控制系統(tǒng)測(cè)試計(jì)劃與該領(lǐng)域的頂級(jí)制造商和公用事業(yè)公司合作，簽署參與協(xié)議，在進(jìn)行測(cè)試之前建立相互合作框架。該標(biāo)準(zhǔn)協(xié)議確定了需要執(zhí)行的軟件和固件測(cè)試類型，及時(shí)披露測(cè)試期間發(fā)現(xiàn)的漏洞，并與受影響的資產(chǎn)所有者、聯(lián)邦機(jī)構(gòu)和能源部門利益相關(guān)者協(xié)調(diào)披露漏洞信息。

1.2 美國(guó)能源部發(fā)布網(wǎng)絡(luò)安全能力成熟度模型

2021年7月24日，美國(guó)能源部（DoE）下轄的網(wǎng)絡(luò)安全、能源安全與應(yīng)急響應(yīng)辦公室發(fā)布了網(wǎng)絡(luò)安全能力成熟度模型（Cybersecurity Capability Maturity Model, Version 2.0），該網(wǎng)絡(luò)安全能力成熟度模型（C2M2）是由美國(guó)能源部（DOE）、電力分部門協(xié)調(diào)委員會(huì)（ESCC）和石油天然氣分部門協(xié)調(diào)委員會(huì)（ONG SCC）組織合作開發(fā)的，著力增強(qiáng)工業(yè)控制系統(tǒng)（ICS）的網(wǎng)絡(luò)安全與能力。C2M2 旨在持續(xù)評(píng)估企業(yè)的工控網(wǎng)絡(luò)安全能力、以有意義的方式傳達(dá)其能力級(jí)別，并告知其網(wǎng)絡(luò)安全投資的優(yōu)先級(jí)。利用該評(píng)估來(lái)識(shí)別能力差距，確定這些差距的優(yōu)先級(jí)，并制定解決這些差距的計(jì)劃，并最終實(shí)施解決差距的計(jì)劃。

2 我國(guó)能源行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全面臨的挑戰(zhàn)

近年來(lái)，我國(guó)工控安全投入持續(xù)增加，為我國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全（以下簡(jiǎn)稱工控安全）的發(fā)展提供了良好的產(chǎn)業(yè)環(huán)境。但我國(guó)能源行業(yè)工控安全仍然面臨一些挑戰(zhàn)。

2.1 產(chǎn)業(yè)互聯(lián)趨勢(shì)衍生新的安全隱患

我國(guó)工業(yè)互聯(lián)網(wǎng)發(fā)展迅速，已廣泛應(yīng)用于石油化工、電力電網(wǎng)等多個(gè)領(lǐng)域。5G網(wǎng)絡(luò)的迅速發(fā)展，使得工業(yè)自動(dòng)化、數(shù)字化、網(wǎng)絡(luò)化的進(jìn)程加快，更多的設(shè)備連接到中央系統(tǒng)，加劇了工業(yè)控制系統(tǒng)安全事件的發(fā)生。2020年以來(lái)，大量工廠、企業(yè)、基礎(chǔ)設(shè)施供應(yīng)商都遭受了不同程度的攻擊，相較于以往的工控安全形勢(shì)，工控系統(tǒng)行業(yè)漏洞數(shù)量呈現(xiàn)出連年高發(fā)的趨勢(shì)。

2.2 工控安全防護(hù)能力普遍有待加強(qiáng)

能源領(lǐng)域網(wǎng)絡(luò)安全防護(hù)能力薄弱，僅2020年，對(duì)我國(guó)工業(yè)控制系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊的IP數(shù)高達(dá)99 217個(gè)，遠(yuǎn)遠(yuǎn)超過(guò)其他國(guó)家，位居世界第一。除電力電網(wǎng)行業(yè)的工控安全防護(hù)能力建設(shè)發(fā)展較快外，石油、化工、煤炭、天然氣、新能源發(fā)電等行業(yè)工控安全防護(hù)能力建設(shè)剛剛起步，很多能源企業(yè)在建設(shè)中逐步轉(zhuǎn)變了意識(shí)，在設(shè)計(jì)階段開始考慮解決網(wǎng)絡(luò)安全問(wèn)題，但工控安全防護(hù)能力依舊薄弱。

2.3 提升系統(tǒng)本質(zhì)安全水平任重道遠(yuǎn)

根據(jù)國(guó)內(nèi)咨詢機(jī)構(gòu)數(shù)據(jù)，全國(guó)5 000多個(gè)重要的工業(yè)控制系統(tǒng)中，95%以上的工控系統(tǒng)操作系統(tǒng)均采用國(guó)外產(chǎn)品。到目前為止，還有80%以上的工控系統(tǒng)來(lái)自國(guó)外，很多國(guó)外進(jìn)口設(shè)備都是搭配系統(tǒng)一起引進(jìn)的。80%的企業(yè)從來(lái)不對(duì)工控系統(tǒng)進(jìn)行升級(jí)和漏洞修補(bǔ)，有52%的工控系統(tǒng)與企業(yè)的管理系統(tǒng)、內(nèi)網(wǎng)甚至互聯(lián)網(wǎng)連接，一些存在漏洞的國(guó)外工控產(chǎn)品依然在國(guó)內(nèi)的某些重要裝置上使用。國(guó)外的工控系統(tǒng)攻擊事件屢見(jiàn)不鮮，也就意味著國(guó)內(nèi)工業(yè)企業(yè)的生產(chǎn)系統(tǒng)也很容易受攻擊。

2.4 工控安全運(yùn)維應(yīng)急能力普遍缺乏

從工業(yè)控制系統(tǒng)的分布來(lái)看，能源、電力、石化、天然氣等工業(yè)控制設(shè)備的數(shù)量約占全社會(huì)工業(yè)控制系統(tǒng)的60%。能源行業(yè)的工控安全對(duì)全國(guó)的工控安全尤為重要。目前我國(guó)從等級(jí)保護(hù)角度定義了待評(píng)估信息系統(tǒng)的安全等級(jí)，但不同行業(yè)間同級(jí)別業(yè)務(wù)信息系統(tǒng)的安全關(guān)聯(lián)性差，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)在同一行業(yè)不同產(chǎn)業(yè)鏈環(huán)節(jié)業(yè)務(wù)信息系統(tǒng)上的傳導(dǎo)或不同行業(yè)間業(yè)務(wù)信息系統(tǒng)的傳導(dǎo)難以體現(xiàn)，從而無(wú)法從國(guó)家整體上把握網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀況和態(tài)勢(shì)，也就難以明確評(píng)估系信息安全保障重點(diǎn)、確定相應(yīng)的網(wǎng)絡(luò)安全政策去向?qū)?、人?cái)物投入等。

3 啟示與建議

3.1 頂層推動(dòng)重點(diǎn)領(lǐng)域工控安全產(chǎn)業(yè)協(xié)同

加快推動(dòng)工業(yè)信息安全立法，制定《工業(yè)信息安全管理辦法》，以頂層為牽引，加快工控安全防護(hù)建設(shè)實(shí)施規(guī)范、工業(yè)數(shù)據(jù)分類分級(jí)指南等關(guān)鍵標(biāo)準(zhǔn)報(bào)批發(fā)布。加大工控安全防護(hù)貫標(biāo)推進(jìn)力度，支持搭建貫標(biāo)公共服務(wù)平臺(tái)，為企業(yè)提供自對(duì)標(biāo)、自診斷、自評(píng)價(jià)服務(wù)。加強(qiáng)工業(yè)信息安全標(biāo)準(zhǔn)供給能力，加快關(guān)鍵標(biāo)準(zhǔn)研制和驗(yàn)證，逐步形成法律、政策、標(biāo)準(zhǔn)互相銜接、互為補(bǔ)充的政策標(biāo)準(zhǔn)體系。開展全國(guó)基本情況摸底調(diào)查，梳理產(chǎn)業(yè)鏈上下游關(guān)鍵技術(shù)、產(chǎn)品、服務(wù)發(fā)展現(xiàn)狀，完善工控系統(tǒng)軟硬件產(chǎn)品技術(shù)圖譜，鼓勵(lì)工業(yè)企業(yè)、工控系統(tǒng)廠商、安全企業(yè)開展協(xié)同攻關(guān)和集成應(yīng)用，推動(dòng)試點(diǎn)示范和行業(yè)應(yīng)用。

3.2 加速提升行業(yè)工控系統(tǒng)本質(zhì)安全水平

加速提升信息技術(shù)應(yīng)用創(chuàng)新產(chǎn)業(yè)帶動(dòng)產(chǎn)業(yè)先行先試，突破關(guān)鍵工業(yè)控制系統(tǒng)核心技術(shù)，縮短典型場(chǎng)景工藝差距，鼓勵(lì)能源行業(yè)工業(yè)企業(yè)使用自主工業(yè)控制系統(tǒng)。進(jìn)一步完善國(guó)家在線監(jiān)測(cè)網(wǎng)絡(luò)，加快推進(jìn)態(tài)勢(shì)感知指數(shù)評(píng)價(jià)體系研究和應(yīng)用，支撐精準(zhǔn)研判與科學(xué)決策。指導(dǎo)有條件的地方開展態(tài)勢(shì)感知地方平臺(tái)建設(shè)，并實(shí)現(xiàn)與國(guó)家平臺(tái)的對(duì)接和交互共享，引導(dǎo)其他地方通過(guò)購(gòu)買服務(wù)等方式參與國(guó)家態(tài)勢(shì)感知能力建設(shè)。加快工業(yè)企業(yè)側(cè)安全監(jiān)測(cè)節(jié)點(diǎn)的部署，全面提升企業(yè)風(fēng)險(xiǎn)發(fā)現(xiàn)、防范和消減能力。加快仿真測(cè)試環(huán)境、應(yīng)急資源庫(kù)等基礎(chǔ)設(shè)施建設(shè)，持續(xù)提升攻防對(duì)抗、實(shí)訓(xùn)演練、應(yīng)急處置能力。

3.3 “以測(cè)促改”全面增強(qiáng)系統(tǒng)的綜合防御能力

加快推進(jìn)工控系統(tǒng)網(wǎng)絡(luò)安全測(cè)評(píng)，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全測(cè)評(píng)既是工控安全全生命周期解決方案中不可或缺的一部分，同時(shí)也是工控安全防護(hù)方案的重要依據(jù)。根據(jù)工業(yè)網(wǎng)絡(luò)安全合規(guī)標(biāo)準(zhǔn)和國(guó)內(nèi)外的最佳實(shí)踐，通過(guò)常態(tài)化的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全測(cè)評(píng)，分析安全狀況和防護(hù)水平，定位工業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，找到與合規(guī)基準(zhǔn)的差距，有針對(duì)性地采取安全防護(hù)措施，鼓勵(lì)重點(diǎn)行業(yè)企業(yè)利用新建/改建項(xiàng)目，開展工控系統(tǒng)技術(shù)攻關(guān)和適應(yīng)性改造，形成一批應(yīng)用效果突出的標(biāo)志性產(chǎn)品，逐步實(shí)現(xiàn)從獨(dú)立模塊到完整系統(tǒng)的規(guī)?；瘧?yīng)用，打造行業(yè)樣板工程，促進(jìn)企業(yè)本質(zhì)安全水平提升。