國家信息技術安全研究中心：周季禮 91746部隊：宋文穎

美國確保能源行業(yè)信息安全的主要舉措探析

國家信息技術安全研究中心：周季禮 91746部隊：宋文穎

美國是全球能源生產大國，發(fā)展形成了以石油、天然氣、煤炭、電力（含水電、核電）、可再生能源、太陽能等為骨干的能源行業(yè)；同時，美國又是全球最大的能源消費大國，其能源消耗占世界總能耗的四分之一。隨著信息技術的快速發(fā)展和互聯(lián)網等網絡技術的廣泛普及，美國成為全球能源行業(yè)信息化、網絡化程度最高的國家之一；與此同時，美國能源行業(yè)也面臨著日益復雜嚴峻的網絡威脅問題，成為了黑客攻擊的主要對象。據(jù)統(tǒng)計，美國50%的重大黑客攻擊事件都發(fā)生在能源領域?？梢哉f，能源安全是美國國家安全的重要組成部分。對此，美國政府高度重視能源行業(yè)的信息安全建設，制定了一系列有效舉措，構筑了全方位的信息安全保障體系。其中，一些較為成熟的經驗，值得我國能源行業(yè)借鑒。

美國能源行業(yè)的信息安全形勢

美國能源行業(yè)十分發(fā)達，信息化程度高，在傳統(tǒng)的安全系統(tǒng)之外還配備了工業(yè)控制系統(tǒng)（ICS）或監(jiān)控和數(shù)據(jù)采集（SCADA）等信息網絡系統(tǒng)。隨著網絡威脅的復雜化、全球化趨勢，美國能源行業(yè)面臨的信息安全形勢日益嚴峻，主要表現(xiàn)在如下幾個方面：

1.網絡攻擊日益嚴重

能源行業(yè)作為美國重要的關鍵基礎設施，遭遇到的特定重大網絡攻擊與日俱增。2001年，黑客入侵了監(jiān)管加州多數(shù)電力傳輸系統(tǒng)的獨立運營商。2006年8月，美國Browns Ferry核電站受到網絡攻擊。2008年1月，美國挫敗了4起針對電力系統(tǒng)的網絡攻擊。2008年7月，美國馬拉松石油公司、?？松梨诠竞涂捣乒驹獾胶诳凸簟?010年1月25日，美國能源部稱，至少有三家美國石油公司遭到過一系列身份不明的網絡攻擊。2011年2月10日，美國網絡安全公司說，數(shù)家美國石油和天然氣跨國公司的電腦系統(tǒng)遭到了黑客襲擊。2012年，美國Chevron、Baker Hughes、ConocoPhillips和Marathon等石油公司的計算機系統(tǒng)，遭到震網病毒襲擊。2012年10月，美國國土安全部表示，在向其通報的惡意軟件攻擊中，有41%是能源企業(yè)(如電網或天然氣管線公司的系統(tǒng))。 2013年2月 19日，美國國會的調查報告稱，在對160家電力公司調查中，有十多家公司表示其電腦系統(tǒng)遭到“每天”、“不斷”或“頻繁”的網絡攻擊，其中一公司在一個月內被攻擊了1萬次。報告還顯示，過去幾年來，美國電網受到網絡攻擊導致癱瘓的風險明顯增加，聯(lián)邦政府已記錄了幾萬次有報告的安全漏洞。3月7日，美國ICS-CERT指出，2012年共進行了138起網絡入侵事件的響應活動，其中超過40%的事件發(fā)生在能源行業(yè)，約50%發(fā)生在針對內部通信系統(tǒng)/監(jiān)控與數(shù)據(jù)采集(ICS/SCADA)系統(tǒng)的環(huán)境中。6月24日，匿名黑客組織表示，正在發(fā)動針對美國能源企業(yè)的“OpPetrol”網絡攻勢，以抗議美國能源行業(yè)壟斷全球資源。7月份，信息安全服務公司Alert Logic的報告稱，從2012年4月1日到9月30日，67%的能源客戶遭遇過網絡攻擊，61%遭受過惡意軟件/殭尸網絡。8月，美國ICS-CERT安全報告指出，“近三年針對工業(yè)控制系統(tǒng)的安全事件呈明顯上升趨勢，僅2013年度，針對關鍵基礎設施的攻擊報告已達到257起，”而能源行業(yè)的安全事故則超過了一半。2014年1月13日，賽門鐵克公司發(fā)布的《能源產業(yè)針對性攻擊分析白皮書》顯示，能源相關產業(yè)在全球受攻擊目標排名中名列前五，約占全球網絡攻擊數(shù)量的7.6%。報告還顯示，能源企業(yè)平均每天會遭到7個來自于郵件的針對性攻擊。2月14日，美國發(fā)布的一份報告稱，2013年向ICS-CERT報告的事故中，能源領域占到了59%以上。5月21日，美國監(jiān)管機構稱，因遭襲擊向其表示擔憂網絡安全的企業(yè)過去兩年增加了一倍多，其中石油與天然氣生產商增加的最多，由28家增至62家。7月2日，美國網絡安全公司賽門鐵克稱，俄羅斯活躍大批“能源黑客”，有系統(tǒng)地鎖定了上百家美國能源與能源投資公司，有能力發(fā)動遠程攻擊。11月24日，美國網絡安全公司稱，2013財年，美國電網共受到145次黑客攻擊；2013年4月至2014年，黑客成功闖入全美37%的能源企業(yè)。

2.惡意間諜軟件泛濫

美國信息安全公司的調查報告顯示，美國能源行業(yè)信息系統(tǒng)中的惡意軟件近幾年以指數(shù)速度增長，成為能源企業(yè)的最大威脅。2003年，在對美國俄亥俄州的戴維斯-貝斯核電站維護時，維修人員私自將個人電腦接入到核電站網絡，將SQL Server蠕蟲病毒傳入到核電站內部網絡，致使核電站的控制網絡全面癱瘓，系統(tǒng)停機將近5小時。2007年10月，美國能源部橡樹嶺國家實驗室的一千多名員工收到帶有附件的電子郵件，造成感染惡意軟件的傳播，致使未經授權的外部人員能夠非法訪問實驗室數(shù)據(jù)庫。2008年11月13日，美國馬拉松石油休斯敦分部的一名高管收到了攜帶惡意軟件的郵件，導致整個公司分部的信息系統(tǒng)感染病毒。同樣事件，也發(fā)生在?？松梨诤涂捣剖凸?。2009年4月9日，美國國家安全官員表示，網絡間諜侵入了美國電網，留下了用來破壞電力系統(tǒng)的惡意軟件。2011年，邁克菲安全公司稱，發(fā)現(xiàn)了一個名為Night Dragon的惡意間諜程序，可以從能源和石化公司竊取諸如油田投標及SCADA運作的敏感數(shù)據(jù)。黑客曾依靠該惡意軟件入侵了五家石油天然氣公司，并竊取了商業(yè)機密。2013年2月，美國一些石油鉆井平臺的計算機系統(tǒng)出現(xiàn)癱瘓，直接原因是石油鉆井公司雇員下載帶有惡意軟件的色情電影和盜版音樂所造成的。3月6日，美國能源部表示，黑客利用IE8瀏覽器中的0day 漏洞，對美國能源部的信息系統(tǒng)進行了攻擊。5月4日，美國國土安全部表示，通過對一個用來備份工控系統(tǒng)配置文件的USB盤的掃描，發(fā)現(xiàn)了三種不同的惡意軟件。2014年11月24日，美國國土安全局計算機緊急響應中心稱，俄羅斯惡意軟件BlackEnergy侵入了可以控制美國電力渦輪機的軟件系統(tǒng)；僅2013年就發(fā)現(xiàn)專門針對能源公司的50種惡意軟件。2014年威瑞森的研究認為，2014年度能源公司受到了比其他行業(yè)更多的惡意軟件攻擊。

3.信息泄漏時有發(fā)生

2006年6月9日，美國能源部國家核安全局承認，國家核安全局的辦公室電腦系統(tǒng)遭黑客入侵，大量資料被竊走，其中包括國家核安全局1500名雇員工的名字、出生日期、社會保險號碼、工作中的安全密碼。2007年12月6日，美國能源部橡樹嶺國家實驗室表示，黑客侵入了實驗室一個內部數(shù)據(jù)庫，導致1990年至2004間實驗室數(shù)千名來訪者的姓名、社會安全號碼、出生日期等個人信息被竊取。2013年2月4日，美國曼迪昂特公司稱，美國能源部的網絡系統(tǒng)曾遭到黑客攻擊，14臺計算機服務器和20個工作站遭到了入侵，幾百個員工的私人信息遭到泄露。這些“個人身份信息”包括全名、國民身份號碼、IP地址、汽車和駕照號碼、臉部樣貌、指紋、筆跡、信用卡號碼、數(shù)碼身份、出生日期、出生地點和遺傳信息等。該公司引述的美國國土安全部報告稱，從2011年12月至2013年6月的網絡犯罪中，有23家石油管道公司遭到攻擊，被竊取的信息可能會帶來破壞性的影響。另外，還表示一個名為APT1的“高階持續(xù)性威脅”組織，竊取了美國電力系統(tǒng)的大量資料。9月5日，美國信息安全部門表示，裝有全美國8100座主要大壩敏感數(shù)據(jù)的數(shù)據(jù)庫在2013年被黑客盜取。

4.信息安全環(huán)境較差

美國能源行業(yè)的發(fā)展時間久、規(guī)模大、聯(lián)接的設備多，信息安全環(huán)境較差。一是能源行業(yè)廣泛使用的控制系統(tǒng)存在自身的安全性脆弱。1998年1月，美國東部氣候反常，造成多個輸電線因結冰而折斷，導致大面積斷電，導致31萬人用電困難。1999年7月6日，持續(xù)3天創(chuàng)紀錄的高溫導致紐約市電線變形，造成19小時停電。2003年，一家名為“首份能源”的有限公司發(fā)生了一次工程制造軟件的小故障，結果導致5000萬民眾在4分鐘時間內失去電力供應。2006年8月，美國BrownsFerry核電站，因其控制系統(tǒng)上的通信信息過載，導致控制水循環(huán)系統(tǒng)的驅動器失效，直接經濟損失數(shù)百萬美元。2012年8月6日，美國國家科學院發(fā)布報告稱，非傳統(tǒng)自然災害“超級太陽風暴”一旦出現(xiàn)，可癱瘓美國供電網絡，損毀美國電網總計大約2100個大型高壓變壓器中300個或更多，超過1.3億人受到影響，斷電帶來的損失可能高達兩萬億美元。二是能源公司的信息系統(tǒng)老舊，存在安全隱患。美國電力系統(tǒng)幾乎都是上世紀70年代的產物，由于更換系統(tǒng)必須暫停供電好一段時間，以進行更新與測試，為了避免電力中斷，能源公司就抱著“能撐就撐”的心態(tài)，只要沒有太大問題，就傾向于一直使用舊系統(tǒng)。并且舊系統(tǒng)的安全措施不到位，安全漏洞多。三是大型能源探勘產業(yè)依賴大量的小型下游承包商來完成工作，小型承包商的信息安全能力弱，但由于彼此系統(tǒng)互聯(lián)互通，下游小承包商的系統(tǒng)會影響到大公司的系統(tǒng)安全能力。四是員工自帶設備上班(BYOD)風潮帶來潛在威脅。員工喜歡使用熟悉的軟件工具工作，但這些軟件自然潛藏著不可預測的風險。2012年8月，美國一家石油公司的員工因使用自帶的設備，造成Shamoon病毒刪除了三個季度的企業(yè)數(shù)據(jù)。五是內部人員威脅危害依然存在。2012年6月，美國一家石油天然氣公司的網絡工程師被判入獄4年。該安全工程師知道自己將被解雇，為了報復而把公司的網絡服務器重置到原始狀態(tài)，造成重大損失。

5.W indows XP停用帶來新風險

目前，美國幾乎所有的電力和天然氣等能源公司都使用Windows XP工作站，用于監(jiān)測野外公共服務設施的運行情況，例如測試天然氣管道的壓力等。如果升級Windows XP操作系統(tǒng)，需要花費1億美元的資金，并且要耗費很長時間。2014年4月8日，微軟已停止對Windows XP提供安全補丁和技術支持，黑客能夠更容易地開發(fā)出惡意軟件，利用不再打補丁的Windows XP造成地區(qū)性停電和其它能源企業(yè)的生產事故。美國信息安全專家表示，天然氣公司的管理工作站如果遭到入侵，將錯誤地報告天然氣管道壓力低，而員工并不知情而去調高壓力就會造成爆炸事故。Windows XP已經是過時的操作系統(tǒng)，如果不能盡快升級或繼續(xù)為其提供安全支持，將給美國能源行業(yè)的信息系統(tǒng)帶來新的安全風險。

美國確保能源行業(yè)信息安全的主要舉措

針對能源行業(yè)日益嚴峻的信息安全形勢，美國政府采取了一系列舉措全面構筑能源領域的信息安全保障體系。

1.上升為國家安全戰(zhàn)略

能源是國家關鍵基礎設施之一，能源行業(yè)的信息安全是美國國家總體安全戰(zhàn)略的重要元素。1996年7月，美國發(fā)布第13010號行政令，這是美國第一個專門針對關鍵基礎設施保障的行政令，就將電力系統(tǒng)、天然氣及石油的存儲和運輸系統(tǒng)定為關鍵基礎設施。1998年5月，出臺第63號總統(tǒng)令，指定美國能源部作為能源領域信息安全的主導機構。2000年，發(fā)布《美國國家安全戰(zhàn)略報告》，要求保護美國關鍵基礎設施免受網絡攻擊，明確將能源行業(yè)列在其中。2003年，美國頒布《第7號國土安全總統(tǒng)令》，要求對包括能源行業(yè)在內的18類關鍵基礎設施進行保護。2月14日，正式頒布《美國網絡安全國家戰(zhàn)略》，明確將能源行業(yè)列為國家關鍵基礎設施之一。2009年，發(fā)布《美國網絡空間政策評估報告》，要求能源部與聯(lián)邦能源監(jiān)管委員會合作，為能源方面的工業(yè)控制系統(tǒng)制定安全執(zhí)行指南和程序。同年10月，頒布《保護工業(yè)控制系統(tǒng)的戰(zhàn)略》，涵蓋能源、電力等14個行業(yè)工控系統(tǒng)的安全。2012年6月13日，頒布《21世紀電網政策框架》，提出要保障電網安全可靠及免受攻擊。10月8日，能源部頒布信息技術現(xiàn)代化戰(zhàn)略，提出加強美國石油、煤電、核能等基礎能源部門的信息安全防護和網絡基礎設施建設。2013年，發(fā)布第21號行政令，再次將能源確定為16類關鍵基礎設施部門之一。2014年2月12日，根據(jù)2013年的13636行政令，美國白宮正式頒布了《網絡安全框架》，旨在加強能源等關鍵基礎設施部門的網絡安全。

2.實施信息安全計劃

為落實能源行業(yè)信息安全政策或戰(zhàn)略，美國政府制定了多個路線圖和計劃進行推動。1999年夏天，針對美國發(fā)生的停電事故，美國能源部組織了一個由各類專家組成的停電事故研究小組(POST)，提出了加強電網信息安全的12項建議和措施。2000年1月7日，美國發(fā)布首個包括能源在內的關鍵基礎設施保障全國總體計劃——《信息系統(tǒng)保護國家計劃1.0》。2003年7月31日，能源部發(fā)布《電網2030》構想，對2030年前的電網發(fā)展進行規(guī)劃。2006年，發(fā)布《國家關鍵基礎設施保護計劃》，提出保護包括能源在內的關鍵基礎設施的具體計劃。同年，發(fā)布《實現(xiàn)能源領域控制系統(tǒng)安全2006年路線圖》，提出了政府及能源企業(yè)的信息安全建設項目和目標。2007年5月，出臺《能源領域2007計劃》，提出加強電力、石油及天然氣領域的機構安全合作措施。2009年，修訂完善《國家關鍵基礎設施保護計劃》，授權能源部負責能源行業(yè)的關鍵基礎設施保護。9月，能源部發(fā)布《智能電網網絡安全》項目建設草案。10月，國土安全部開始實施“關鍵信息基礎設施的控制系統(tǒng)安全”項目，涉及能源等方面。2010年，美國能源部和國土安全部聯(lián)合發(fā)布《能源領域關鍵基礎設施保護計劃》，將石油、天然氣、電力等能源行業(yè)的工業(yè)控制系統(tǒng)安全確定為重點保護內容。2011年3月30日，發(fā)布《能源安全未來藍圖》。9月15日，發(fā)布《實現(xiàn)能源供給系統(tǒng)網絡安全2011年路線圖》，提出今后10年能源網絡安全的戰(zhàn)略性框架。2012年1月5日，美國能源部和國土安全部聯(lián)合推出《電力系統(tǒng)網絡空間安全風險管理成熟度計劃》。

3.加大信息安全投資

為確保能源行業(yè)信息安全政策或計劃的有效落實，美國政府不斷加大投資力度。2003年，美國政府專門用于網絡安全的費用為2.98億美元，比2002年度的0.62億美元提高了381%，其中，能源部獲得2000萬美元。2009年，美國投入到包括能源在內的關鍵信息基礎設施防護資金達8.07億美元，比2008財年增長23.9% ; 2010財年又增加到9.18億美元，比2009財年增長13.8%。美國從2009年開始實施智能電網撥款項目(SGIG)，截至2012年3月底，共計投資近30億美元，其中包括用于提升電網的網絡安全項目。2013年2月21日，美國能源部宣布投資2000萬美元，用于發(fā)展提高國家電、油、氣等能源輸送控制系統(tǒng)網絡安全的工具和技術。2013年4月10日，美國能源部公布了總額為284億美元的2014財年預算申請，投資1.47億美元用于能源信息系統(tǒng)的網絡安全。2013年10月，美國能源部表示，將投資3000萬美元用于網絡安全研究和技術開發(fā)。2014年3月4日，美國能源部公布2015 財年279億美元的財政預算申請，投資約3億美元，加強能源行業(yè)的網絡安全。2015年2月2日，美國政府提議在2016財年預算中，擬撥款140億美元用于加強網絡安全。其中，將為能源部下屬的國家核安全局劃撥1.6億美元，用于網絡安全。2015年3月9日，美國能源部公布2016財年300億美元的預算申請，提議將3.05億美元預算，用于改善能源行業(yè)的網絡安全。

4.出臺信息安全法規(guī)

2001年，美國通過《2001關鍵基礎設施信息安全法案》，對包括能源行業(yè)在內的關鍵基礎設施的信息安全進行了規(guī)范。10月，美國頒布《愛國者法案》，重新對關鍵基礎設施進行了界定，并將能源部門列入其中，提出了能源等關鍵基礎設施建模、仿真和分析系統(tǒng)的保護措施。2002年11月，美國頒布《國土安全法》，規(guī)范了能源等關鍵基礎設施保障的組織機構、具體職能和目標任務。2005年8月，美國通過《能源政策法2005》，提出了今后美國能源發(fā)展的總體策略和加強能源信息安全的具體舉措。比如，該法案增加了提升輸電網設施和加強可靠性的規(guī)定，要求能源行業(yè)共享威脅信息等。2007年12月18日，美國通過《能源獨立和安全法案（EISA）》，指定國家標準與技術研究院（NIST）制定智能電網等能源行業(yè)的發(fā)展框架。2011年5月12日, 美國政府向國會提交了《2011年網絡安全法案》，要求對包括能源行業(yè)在內的國家關鍵基礎設施保護進行立法。此外，美國出臺的眾多網絡安全法規(guī)中，也都從不同角度對能源行業(yè)的信息安全進行了規(guī)范，來確保能源行業(yè)信息系統(tǒng)的安全。

5.制定信息安全標準

在加強能源行業(yè)信息安全法規(guī)建設的同時，美國政府還針對各類能源行業(yè)制定了具體的標準指南，用以指導電力、石油、煤炭、天然氣等行業(yè)的信息安全工作。2004年4月，美國國家標準與技術研究院（NIST）頒布了《工業(yè)控制系統(tǒng)防御框架》（1.0版本），為包括能源行業(yè)在內的工業(yè)控制系統(tǒng)防護制定了安全框架。2007年1月，美國能源部發(fā)布《21步改進SCADA網絡信息安全》，提出了加強能源行業(yè)SCADA系統(tǒng)安全的具體步驟。2008年1月，美國聯(lián)邦能源監(jiān)管委員會頒布了《關鍵設施保護》標準，旨在確保能源行業(yè)信息系統(tǒng)安全。該標準共計8個部分，覆蓋了能源行業(yè)信息系統(tǒng)的資產識別、安全管理、人員管理、訪問控制、物理安全、系統(tǒng)安全、應急響應與災難恢復等。2009年5月18日，美國發(fā)布第一批16個智能電網行業(yè)標準。2010年9月，發(fā)布《智能電網網絡安全指南》，指導電力企業(yè)制定有效的網絡安全策略。2011年6月，正式發(fā)布《工業(yè)控制系統(tǒng)安全指南》，適用于電力、石化、交通、化工等行業(yè)的工業(yè)控制系統(tǒng)。2011年9月，美國能源部發(fā)布《電力系統(tǒng)網絡安全風險管理指南》。同年，還公布了《保護關鍵基礎設施可靠性基準》，對包括能源在內的關鍵基礎設施，制定了專門的保護標準。2012年2月，發(fā)布《智能電網互操作性標準2.0》，作為智能電網發(fā)展的依據(jù)及網絡安全標準制定的準則。2013年5月，推出了《工業(yè)控制系統(tǒng)安全指南》（NIST SP 800-82）的最新修訂版。11月，發(fā)布《智能電網網絡安全指南》修訂草案。2015年1月22日，美國總統(tǒng)在國情咨文中提出了一系列提案，包括了能源部將出臺一項保護電力消費者數(shù)據(jù)的自愿性質的能源行業(yè)行為準則。

此外，美國能源各行業(yè)還制定了本行業(yè)的信息安全標準或指南。如美國石油學會制定了《石油工業(yè)安全指南》、《管道SCADA安全標準》；美國天然氣協(xié)會制定了《SCADA通信加密保護規(guī)范》、《天然氣管道行業(yè)控制系統(tǒng)安全指南》；國土安全部發(fā)布了《管道安全指南》、《中小規(guī)模能源設施風險管理核查事項指南》、《控制系統(tǒng)安全一覽表：標準推薦指南》；美國核管理委員會制定了《核設施網絡安全措施》；能源部制定了《非保密受控制核信息的鑒別和保護》、《信息管理計劃》、《信息安全計劃》、《能源部科技信息管理導則》、《能源部科技信息管理細則》等。

6.健全信息安全機構

為了確保能源行業(yè)信息安全措施的貫徹執(zhí)行，美國建立健全了信息安全管理機構。其中，關鍵基礎設施保護委員會負責制定并調整有關保護能源行業(yè)等關鍵信息基礎設施的政策和計劃，加強政府各部門間的合作與交流。美國國土安全部負責包括能源行業(yè)在內的信息安全威脅分析與信息安全事件的應急響應，組織能源行業(yè)等基礎設施在內的大規(guī)模信息安全演練。在國土安全部的主導下成立了由政府各部門代表參加的政府協(xié)調委員會和私營代表參加的部門協(xié)調委員會，共同協(xié)調包括能源行業(yè)在內的關鍵基礎設施和資源保護的問題。商務部下屬的美國國家標準技術研究院負責工業(yè)控制系統(tǒng)安全標準和智能電網信息安全標準的制定。

能源部作為美國聯(lián)邦政府的能源主管部門，負責制定和實施國家能源戰(zhàn)略和政策。在信息安全方面，具體負責制定能源行業(yè)的工業(yè)控制系統(tǒng)的安全標準和措施。在能源部的獨立監(jiān)管辦公室下設有計算機網絡安全保護評估辦公室，負責保密計算機的安全、非保密計算機的安全和對能源行業(yè)網絡進行檢查。能源部的六家國家級實驗室負責對能源行業(yè)的工業(yè)控制系統(tǒng)安全開展系統(tǒng)、全面的研究。能源部的核安全局負責對核電站進行監(jiān)管控制，制定核能安全信息標準和指南。能源部的國家能源信息中心，負責能源行業(yè)的信息發(fā)布。還以能源部為主導，設立了“美國電力領域網絡安全組織”和“美國電力領域網絡安全組織資源”，負責制定網絡安全框架、推進信息共享和信息技術驗證。此外，美國還設立了獨立于能源部的聯(lián)邦能源管理委員會(FERC)，負責制定聯(lián)邦政府職權范圍內的能源監(jiān)管政策并實施監(jiān)管，并在FERC下設立北美電力可靠性協(xié)會(NERC)，負責制定電力系統(tǒng)運行標準、監(jiān)督和推進標準的執(zhí)行。2013年第21號總統(tǒng)令，還對國務院、司法部、內政部、商務部、國家情報委員會、總務署、核管理委員會、聯(lián)邦通信委員、國防部等部門在能源等關鍵基礎設施保障方面的角色和責任進行了詳細界定。

7.完善信息安全機制

一是建立網絡安全審查機制。美國建立了外國投資委員會(CFIUS)，負責對外國投資本國能源等關鍵基礎設施的審查工作；出臺了《外國投資與國家安全法》，將能源行業(yè)納入安全審查的范疇，規(guī)定對美國能源行業(yè)構成安全風險的外國投資，不予批準。二是建立風險管理機制。美國制定了能源行業(yè)網絡安全風險管理制度，分為風險架構、風險評估、風險應對、風險監(jiān)控四個階段，對網絡安全各階段的風險進行精確管控，確保能源行業(yè)信息系統(tǒng)安全。三是建立安全漏洞發(fā)布機制。2006年5月，美國正式建立包括能源行業(yè)在內的工業(yè)控制系統(tǒng)漏洞發(fā)布機制，要求能源行業(yè)及時向美國計算機應急響應小組(US-CERT)匯報，US-CERT及時對漏洞進行處理，向各個行業(yè)發(fā)布，并錄入國家漏洞庫(NVD)。四是建立威脅信息共享與分析機制。美國政府根據(jù)關鍵基礎設施保護行政令要求，建立了公私合作的威脅信息共享與分析機制，通過信息共享等方式共同防御網絡安全威脅。五是建立網絡安全審計機制。為評估能源行業(yè)等關鍵基礎設施信息安全的整體狀況，美國建立了由政府問責局實施的網絡安全審計制度，定期組織相關專家，根據(jù)網絡安全法規(guī)和標準，對能源行業(yè)的信息安全落實情況進行審計調查，提出改進措施。

8.研發(fā)信息安全技術

技術是保障信息安全的核心基礎。為此，美國政府高度重視能源行業(yè)的信息安全技術研發(fā)。2005年，美國能源部建設并完成了關鍵基礎設施測試靶場，制定了國家SCADA測試床計劃。2007年，能源部投資790萬美元進行能源基礎設施的安全設備集成技術研究。2008年，美國最早提出能源互聯(lián)網概念，目標是建立安全智能的能源傳輸應用系統(tǒng)。2010年,美國能源部為10個智能電網信息安全項目提供了3040萬美元作為資金支持。2010年7月，美國能源部發(fā)布題為《國家安全中的科學大挑戰(zhàn)：超大規(guī)模計算的作用》的報告，提出研發(fā)確保國家能源安全的前沿技術和高性能計算。2012年1月5日，能源部啟動電力部門網絡安全風險管理成熟度計劃，目標是開發(fā)一套“成熟度模型”，使公用事業(yè)和電網運營商來衡量當前自身能力和分析其網絡防御的差距。3月29日，美國啟動“大數(shù)據(jù)研究與開發(fā)計劃”，向能源部提供2500萬美元，用于開發(fā)新的工具來管理和可視化來自能源行業(yè)的大規(guī)模數(shù)據(jù)。4月18日, 美國能源部下屬太平洋西北國家實驗室宣布，正在開發(fā)網絡活動可視化工具，用于追蹤企業(yè)內可疑惡意活動的來源。2013年2月26日，能源部提出發(fā)展能源輸送控制系統(tǒng)網絡安全的工具和技術。2013年10月，美國能源部計劃進行11個項目的研發(fā)，涉及輸電控制系統(tǒng)安全、數(shù)據(jù)信息網絡安全等各個方面。此外，美國國土安全部還大力發(fā)展工業(yè)控制系統(tǒng)專用密碼技術，推出了通用的SCADA密碼標準，用于能源行業(yè)之間的信息系統(tǒng)安全傳輸。

9.加強信息安全合作

美國能源行業(yè)大多數(shù)由私營部門擁有或管理運營，為此，美國政府將加強與私營部門的合作作為信息安全保障體系的最重要環(huán)節(jié)之一。1998年，美國第63號總統(tǒng)令提出，國家基礎設施保障中心要匯聚來自政府與私營企業(yè)的代表，與私營企業(yè)合作，實現(xiàn)信息共享。11月，能源部、天然氣研究所和電力研究所共同主辦了能源論壇，邀請了100余家電力、天然氣和石油企業(yè)和政府代表參加。2002年《網絡空間安全戰(zhàn)略》中明確指出，鼓勵政府與企業(yè)組建信息共享和分析中心；2002年《國土安全法》確立了能源行業(yè)等關鍵基礎設施信息的共享程序；2007年5月，召開能源協(xié)調協(xié)商會議，要求電力、石油及天然氣領域加強協(xié)調合作，為國家基礎設施保護計劃提供建議。2013年2月，發(fā)布《提升關鍵基礎設施的網絡安全》行政令，明確要求采取措施推進公私網絡安全信息共享；2013年第21號總統(tǒng)令更是直接將促進政府部門之間以及與關鍵基礎設施所有者和運營者之間的有效信息交換作為信息安全三大措施之一。2014年2月，美國頒布《網絡安全框架》，對于能源行業(yè)等關鍵基礎設施安全的公私合作進行了規(guī)范。2015年3月9日，美國總統(tǒng)奧巴馬在網絡安全峰會上，呼吁私營企業(yè)加強與政府在網絡安全領域的合作。3月12日，美國通過《網絡空間安全信息共享法》，加強網絡安全漏洞的信息分享，以幫助企業(yè)以及政府更好地應對網絡攻擊。

10.深化軍民融合發(fā)展

一是簽署軍民合作協(xié)議。2010年10月13日，美國國防部長和國土安全部長簽署軍民網絡安全合作協(xié)議，整合軍政兩個體系內的網絡安全手段，確保能源行業(yè)等國家關鍵基礎設施安全。二是組建保護能源設施的網絡力量。2013年1月5日，美國官員表示，國家安全部正在推行 “完美公民”計劃，組建保護全國電網等關鍵基礎設施的“護電特戰(zhàn)隊”。三是建立國家網絡任務部隊。2013年2月27日，美國國防部決定建立“國家任務部隊”，負責保護電力網絡、電廠和其他關鍵基礎設施。四是舉辦能源企業(yè)和國防部門參與的網絡安全演習。美國國土安全部分別在2006年、2008年和2010年舉辦了三次網絡風暴演習，旨在檢驗美國能源、信息技術、交通運輸、供電系統(tǒng)等關鍵基礎設施遭受大規(guī)模網絡攻擊時的協(xié)同應對能力。

結語

美國作為全球最大的能源消費國，發(fā)展形成了一個規(guī)模龐大、信息化程度高的能源行業(yè)；為了確保其能源領域的信息安全，美國政府構筑了比較完善的信息安全保障體系。當前，我國正在加快推進信息化和工業(yè)化的深度融合，能源行業(yè)的信息化程度得到了快速提升，但由于信息基礎薄弱，一些核心信息技術還未達到自主可控，使得能源行業(yè)的信息安全形勢復雜嚴峻。為此，我們應積極借鑒美國在能源行業(yè)的信息安全舉措，結合我國能源領域的實際，從政策、法規(guī)、投資、標準、機制、技術等方面，大力加強能源行業(yè)的信息安全建設，全面提升能源行業(yè)的信息化和網絡安全水平。