趙凱麗

（國(guó)家工業(yè)信息安全發(fā)展研究中心，北京 100040）

0 引言

隨著全球供應(yīng)鏈日趨多樣化和復(fù)雜化，工業(yè)控制系統(tǒng)面臨的總體風(fēng)險(xiǎn)迭代升級(jí)，供應(yīng)鏈安全形勢(shì)日益嚴(yán)峻，能源行業(yè)面臨的風(fēng)險(xiǎn)挑戰(zhàn)不斷加劇。美國(guó)能源部網(wǎng)絡(luò)安全、能源安全和應(yīng)急響應(yīng)辦公室（CESER）通過(guò)彈性工業(yè)控制系統(tǒng)網(wǎng)絡(luò)測(cè)試（CyTRICS）項(xiàng)目，使能源部（DOE）能夠科學(xué)評(píng)估能源系統(tǒng)組件的軟件和固件，以識(shí)別和減輕供應(yīng)鏈中的網(wǎng)絡(luò)安全漏洞威脅，確保能源基礎(chǔ)設(shè)施最關(guān)鍵部分的完整性、可靠性和安全性。

1 CyTRICS項(xiàng)目簡(jiǎn)介

1.1 CyTRICS項(xiàng)目已具備運(yùn)營(yíng)能力，并持續(xù)擴(kuò)大規(guī)模

CyTRICS項(xiàng)目啟動(dòng)于2018年，并于當(dāng)年完成概念驗(yàn)證測(cè)試。利用測(cè)試的結(jié)果，項(xiàng)目在2019年開(kāi)發(fā)了測(cè)試操作方法草案、結(jié)果報(bào)告格式和結(jié)果存儲(chǔ)庫(kù)，2020年完成了項(xiàng)目流程的完整試點(diǎn)測(cè)試。目前，CESER已經(jīng)邀請(qǐng)行業(yè)參與者對(duì)關(guān)鍵的CyTRICS過(guò)程進(jìn)行反饋，包括測(cè)試操作、報(bào)告格式、深度分析和風(fēng)險(xiǎn)計(jì)算，以及協(xié)同的漏洞披露過(guò)程。此外，CESER不斷完善CyTRICS項(xiàng)目流程，以反映行業(yè)最佳實(shí)踐和不斷發(fā)展的政策要求。

1.2 CESER通過(guò)CyTRICS項(xiàng)目進(jìn)行漏洞測(cè)試，與多方共享信息以制定處置措施

通過(guò)CyTRICS項(xiàng)目，CESER將自愿提交測(cè)試設(shè)備的制造商、供應(yīng)商、公用事業(yè)公司以及國(guó)家實(shí)驗(yàn)室的先進(jìn)、智能分析能力聯(lián)合起來(lái)，以確認(rèn)軟件和固件的安全性。在CyTRICS下，CESER指導(dǎo)網(wǎng)絡(luò)漏洞測(cè)試和組件枚舉，與制造商分享調(diào)查結(jié)果以制定處置措施，并通過(guò)受影響的組件提醒行業(yè)利益相關(guān)方，以便他們能夠解決部署系統(tǒng)中標(biāo)記的問(wèn)題。其中，具有高影響力、普遍性和國(guó)家安全利益的組件被優(yōu)先用于測(cè)試和分析。

1.3 CyTRICS網(wǎng)絡(luò)漏洞測(cè)試支持跨多個(gè)部門(mén)倡議的供應(yīng)鏈安全需求

CESER從眾多項(xiàng)目、子部門(mén)和機(jī)構(gòu)中收集組件測(cè)試的需求，并將其包含在CyTRICS測(cè)試優(yōu)先化方法論中。CyTRICS通過(guò)參與論壇等方式，確保與行業(yè)伙伴的透明度和協(xié)調(diào)性。根據(jù)2020財(cái)年國(guó)防授權(quán)法案第5726條的規(guī)定，保護(hù)能源基礎(chǔ)設(shè)施執(zhí)行任務(wù)組是能源行業(yè)制造商、資產(chǎn)所有者和CyTRICS設(shè)計(jì)和運(yùn)營(yíng)利益相關(guān)者戰(zhàn)略和技術(shù)支持的主要機(jī)構(gòu)。

1.4 CyTRICS項(xiàng)目主要在以下四個(gè)方面做出創(chuàng)新

一是確定優(yōu)先級(jí)的方法。綜合考慮操作影響、普及率和國(guó)家安全利益等關(guān)鍵因素，對(duì)被測(cè)試OT組件進(jìn)行優(yōu)先排序。二是標(biāo)準(zhǔn)化的測(cè)試過(guò)程。DOE已經(jīng)開(kāi)發(fā)并改進(jìn)了標(biāo)準(zhǔn)化的方法用于枚舉和測(cè)試漏洞固件和軟件子組件。標(biāo)準(zhǔn)化確保了結(jié)果的一致性、可重復(fù)性和可比性，從而有助于在實(shí)驗(yàn)室和合作伙伴之間擴(kuò)大測(cè)試和自動(dòng)化的規(guī)模。三是標(biāo)準(zhǔn)化的報(bào)告和存儲(chǔ)庫(kù)。CyTRICS以標(biāo)準(zhǔn)的材料清單格式捕獲測(cè)試結(jié)果，以快速識(shí)別嵌入的高風(fēng)險(xiǎn)組件和子組件。測(cè)試結(jié)果的中央存儲(chǔ)庫(kù)用于全面的、全行業(yè)范圍的系統(tǒng)風(fēng)險(xiǎn)和漏洞分析。四是與供應(yīng)商深度合作。CyTRICS與該領(lǐng)域的頂級(jí)制造商和公用事業(yè)公司合作并簽署協(xié)議，在測(cè)試前建立合作框架。標(biāo)準(zhǔn)協(xié)議確定了需要執(zhí)行的軟件和固件測(cè)試類(lèi)型，及時(shí)披露測(cè)試期間發(fā)現(xiàn)的漏洞，并與受影響的資產(chǎn)所有者、聯(lián)邦機(jī)構(gòu)和能源部門(mén)利益相關(guān)者協(xié)調(diào)披露漏洞信息。

2 CyTRICS項(xiàng)目最新進(jìn)展

近期，CyTRICS項(xiàng)目在合作廠商發(fā)展、重點(diǎn)項(xiàng)目推進(jìn)、漏洞測(cè)試成果等方面有了新的進(jìn)展。

2.1 吸引更多設(shè)備廠商加入CyTRICS項(xiàng)目，加強(qiáng)能源行業(yè)網(wǎng)絡(luò)安全和供應(yīng)鏈彈性

2020年9月，全球領(lǐng)先的能源設(shè)備制造商和軟件開(kāi)發(fā)商施耐德電氣宣布加入CyTRICS項(xiàng)目，成為第一家簽署正式協(xié)議的設(shè)備制造商，并根據(jù)CyTRICS項(xiàng)目需求提供硬件和軟件組件。全面測(cè)試計(jì)劃于2021財(cái)年第二季度啟動(dòng)。2021年3月，美國(guó)電氣設(shè)備的主要供應(yīng)商施韋策加入了能源部資助的一個(gè)保護(hù)工業(yè)基礎(chǔ)設(shè)施免受黑客攻擊的研究項(xiàng)目。施韋策工程實(shí)驗(yàn)室將把產(chǎn)品提交給擁有頂級(jí)工業(yè)設(shè)備滲透測(cè)試員的愛(ài)達(dá)荷州國(guó)家實(shí)驗(yàn)室（INL）進(jìn)行測(cè)試，通過(guò)加強(qiáng)供應(yīng)商產(chǎn)品的安全測(cè)試，以加快提醒其他供應(yīng)商修復(fù)這些缺陷。

2.2 CESER宣布新的研究項(xiàng)目，防范全球技術(shù)漏洞成為重點(diǎn)之一

2021年3月18日，CESER宣布了三個(gè)新的研究項(xiàng)目，分別是：防范全球技術(shù)漏洞項(xiàng)目、開(kāi)發(fā)電磁和地磁干擾的解決方案，以及培養(yǎng)對(duì)網(wǎng)絡(luò)安全解決方案的研究和應(yīng)用型人才。這些新項(xiàng)目的組合將通過(guò)解決潛在的全球供應(yīng)鏈安全漏洞，保護(hù)關(guān)鍵基礎(chǔ)設(shè)施免受電磁和地磁干擾，并加強(qiáng)下一代網(wǎng)絡(luò)安全人才培養(yǎng)，以保護(hù)美國(guó)能源系統(tǒng)免受日益增長(zhǎng)的網(wǎng)絡(luò)和物理危害。對(duì)于列在首位的防范全球技術(shù)漏洞項(xiàng)目，CESER正與施韋策工程實(shí)驗(yàn)室合作開(kāi)展CyTRICS項(xiàng)目，利用更先進(jìn)的分析技術(shù)來(lái)測(cè)試能源部門(mén)合作伙伴用于安全問(wèn)題的各種工具，以更容易地識(shí)別和處置工業(yè)控制系統(tǒng)中的潛在漏洞，預(yù)先采取防范措施。

2.3 CyTRICS項(xiàng)目在漏洞報(bào)告方面初見(jiàn)成效

2021年3月16日，美國(guó)國(guó)土安全部（DHS）下屬機(jī)構(gòu)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）發(fā)布了工業(yè)控制系統(tǒng)安全公告ICSA-21-075-02，描述了通用電氣（GE）通用斷電器（UR）系列產(chǎn)品的一系列漏洞。公告包含CyTRICS程序報(bào)告給GE的漏洞，其中包括一個(gè)高危漏洞（CVSS 9.8）。

3 美國(guó)能源行業(yè)相關(guān)政策

美國(guó)一直是能源消耗大國(guó)，發(fā)展形成了規(guī)模龐大、信息化程度高的能源行業(yè)。為了確保其能源領(lǐng)域的網(wǎng)絡(luò)安全，美國(guó)政府構(gòu)筑了比較完善的網(wǎng)絡(luò)安全保障體系。2018年5月14日，美國(guó)能源部發(fā)布了長(zhǎng)達(dá)52頁(yè)的美國(guó)《能源行業(yè)網(wǎng)絡(luò)安全多年計(jì)劃》，為CESER制定了美國(guó)能源部未來(lái)五年綜合戰(zhàn)略，以降低美國(guó)能源行業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。隨著能源部宣布CyTRICS項(xiàng)目進(jìn)入下一階段，美國(guó)審計(jì)署（GAO）在2021年3月18日發(fā)布的《電網(wǎng)網(wǎng)絡(luò)安全——能源部需要確保其計(jì)劃充分解決配電系統(tǒng)的風(fēng)險(xiǎn)》報(bào)告中建議能源部更多地關(guān)注配電系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。電網(wǎng)配電系統(tǒng)面臨網(wǎng)絡(luò)攻擊的威脅日益嚴(yán)峻，但潛在影響程度尚不清楚。能源部的計(jì)劃尚不足以解決網(wǎng)絡(luò)攻擊給電網(wǎng)配電系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)，包括與互聯(lián)網(wǎng)相關(guān)的工業(yè)控制系統(tǒng)設(shè)備和網(wǎng)絡(luò)消費(fèi)者設(shè)備的漏洞。GAO建議能源部與國(guó)土安全部、各州和工業(yè)界協(xié)調(diào)實(shí)施國(guó)家電網(wǎng)網(wǎng)絡(luò)安全戰(zhàn)略計(jì)劃，以更好應(yīng)對(duì)網(wǎng)絡(luò)攻擊對(duì)電網(wǎng)配電系統(tǒng)造成的風(fēng)險(xiǎn)及潛在影響。

4 美國(guó)供應(yīng)鏈安全政策

美國(guó)將供應(yīng)鏈安全作為事關(guān)國(guó)家安全的重要因素，通過(guò)立法、行政命令、國(guó)會(huì)決議等多種形式加強(qiáng)供應(yīng)鏈安全審查。

4.1 特朗普政府供應(yīng)鏈安全政策基本主張

特朗普政府致力加強(qiáng)防范通信供應(yīng)鏈安全威脅，出臺(tái)一系列行政命令，加速?gòu)拿绹?guó)通信網(wǎng)絡(luò)中移除不安全的設(shè)備和服務(wù)。一是發(fā)布行政令，保護(hù)信息通信技術(shù)（ICT）供應(yīng)鏈免受來(lái)自中國(guó)和其他對(duì)手國(guó)家的威脅。2019年5月15日，美國(guó)總統(tǒng)特朗普正式簽署《確保信息通信技術(shù)與服務(wù)供應(yīng)鏈安全》行政令，禁止交易、使用可能對(duì)美國(guó)國(guó)家安全、外交政策和經(jīng)濟(jì)構(gòu)成特殊威脅的外國(guó)信息技術(shù)和服務(wù)。二是推進(jìn)實(shí)施安全可靠的通信網(wǎng)絡(luò)補(bǔ)償計(jì)劃，保護(hù)國(guó)家通信網(wǎng)絡(luò)。2020年3月12日，《安全和可信通信網(wǎng)絡(luò)法》正式生效。12月27日，特朗普簽署了2021年《綜合撥款法》，規(guī)定美國(guó)國(guó)會(huì)向FCC撥款19億美元，以其中18.95億美元用于移除和替換構(gòu)成國(guó)家安全風(fēng)險(xiǎn)的通信設(shè)備和服務(wù)，對(duì)合格供應(yīng)商進(jìn)行補(bǔ)償。

4.2 拜登政府供應(yīng)鏈安全政策基本主張

自2020年12月以來(lái)，“太陽(yáng)風(fēng)”（SolarWinds）供應(yīng)鏈攻擊事件成為拜登政府需要面對(duì)的首要網(wǎng)絡(luò)安全挑戰(zhàn)。拜登政府專門(mén)制定了確保供應(yīng)鏈安全的政策，提出美國(guó)需要采取措施應(yīng)對(duì)能源、電力、半導(dǎo)體、關(guān)鍵電子技術(shù)原材料等方面的一系列供應(yīng)鏈漏洞，并幫助美國(guó)盟友在供應(yīng)鏈上避免嚴(yán)重依賴競(jìng)爭(zhēng)對(duì)手。一是聚焦供應(yīng)鏈安全，增強(qiáng)關(guān)鍵領(lǐng)域制造能力。2021年1月25日，關(guān)于強(qiáng)化美國(guó)制造的行政令發(fā)布，增設(shè)了美國(guó)制造總監(jiān)，負(fù)責(zé)指導(dǎo)針對(duì)聯(lián)邦政府采購(gòu)代理商開(kāi)展供應(yīng)鏈審查，與盟友保持合作，共同打造具有彈性的供應(yīng)鏈。二是頒布供應(yīng)鏈新政，開(kāi)展供應(yīng)鏈安全審查，劍指中國(guó)。為了擺脫對(duì)中國(guó)供應(yīng)鏈的依賴，美國(guó)正計(jì)劃聯(lián)手英國(guó)、日本、澳大利亞等盟友，打造“去中國(guó)化”供應(yīng)鏈。2月24日，拜登簽署“美國(guó)供應(yīng)鏈行政令”，要求在100天內(nèi)審查半導(dǎo)體、純電動(dòng)汽車(chē)電池、醫(yī)藥品、包括稀土在內(nèi)的重要礦物等4類(lèi)重點(diǎn)領(lǐng)域的供應(yīng)鏈風(fēng)險(xiǎn)，開(kāi)展產(chǎn)業(yè)供應(yīng)鏈評(píng)估。

5 啟示建議

面對(duì)工業(yè)控制系統(tǒng)漏洞威脅日益嚴(yán)峻、供應(yīng)鏈網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)與日俱增的形勢(shì)，亟需進(jìn)一步完善我國(guó)工業(yè)信息安全漏洞管理工作，推進(jìn)供應(yīng)鏈安全體系建設(shè)。

5.1 推進(jìn)工業(yè)信息安全漏洞管理工作

一是制定漏洞綜合管控政策，明確工業(yè)信息安全漏洞的國(guó)家戰(zhàn)略資源地位，規(guī)范漏洞報(bào)告和信息發(fā)布等行為，實(shí)現(xiàn)國(guó)家在漏洞利用方面的優(yōu)先權(quán)和合法化，加強(qiáng)對(duì)漏洞的分類(lèi)共享、公開(kāi)披露和出口管控。二是持續(xù)優(yōu)化國(guó)家工業(yè)信息安全漏洞庫(kù)（CICSVD）運(yùn)營(yíng)機(jī)制，進(jìn)一步完善工業(yè)信息安全漏洞發(fā)現(xiàn)、上報(bào)、分析和處置工作機(jī)制，加速整合國(guó)內(nèi)工業(yè)信息安全設(shè)備制造商、供應(yīng)商、科研機(jī)構(gòu)、安全從業(yè)者等多方力量，推動(dòng)構(gòu)建工業(yè)信息安全漏洞及時(shí)發(fā)現(xiàn)和迅速處置的生態(tài)環(huán)境。

5.2 加強(qiáng)供應(yīng)鏈安全體系建設(shè)

一是研究制造業(yè)供應(yīng)鏈安全計(jì)劃，開(kāi)展制造業(yè)供應(yīng)鏈協(xié)同性、安全性、穩(wěn)定性、競(jìng)爭(zhēng)力等綜合評(píng)估，建立供應(yīng)鏈風(fēng)險(xiǎn)預(yù)警評(píng)價(jià)指標(biāo)體系和預(yù)警系統(tǒng)，構(gòu)建有效應(yīng)對(duì)供應(yīng)鏈風(fēng)險(xiǎn)的長(zhǎng)效機(jī)制。二是密切跟蹤發(fā)達(dá)國(guó)家供應(yīng)鏈管控相關(guān)政策，主動(dòng)防范其對(duì)我國(guó)相關(guān)行業(yè)的不利影響，審視我國(guó)供應(yīng)鏈對(duì)美國(guó)等國(guó)外市場(chǎng)的依賴程度，及時(shí)作出戰(zhàn)略調(diào)整，尋求多元化的獲取渠道。三是加速實(shí)現(xiàn)核心技術(shù)領(lǐng)域的自主可控，加強(qiáng)技術(shù)研發(fā)，保持戰(zhàn)略定力，為維護(hù)供應(yīng)鏈安全提供保障，助力制造強(qiáng)國(guó)和網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)。