赵凯丽
(国家工业信息安全发展研究中心,北京 100040)
随着全球供应链日趋多样化和复杂化,工业控制系统面临的总体风险迭代升级,供应链安全形势日益严峻,能源行业面临的风险挑战不断加剧。美国能源部网络安全、能源安全和应急响应办公室(CESER)通过弹性工业控制系统网络测试(CyTRICS)项目,使能源部(DOE)能够科学评估能源系统组件的软件和固件,以识别和减轻供应链中的网络安全漏洞威胁,确保能源基础设施最关键部分的完整性、可靠性和安全性。
CyTRICS项目启动于2018年,并于当年完成概念验证测试。利用测试的结果,项目在2019年开发了测试操作方法草案、结果报告格式和结果存储库,2020年完成了项目流程的完整试点测试。目前,CESER已经邀请行业参与者对关键的CyTRICS过程进行反馈,包括测试操作、报告格式、深度分析和风险计算,以及协同的漏洞披露过程。此外,CESER不断完善CyTRICS项目流程,以反映行业最佳实践和不断发展的政策要求。
通过CyTRICS项目,CESER将自愿提交测试设备的制造商、供应商、公用事业公司以及国家实验室的先进、智能分析能力联合起来,以确认软件和固件的安全性。在CyTRICS下,CESER指导网络漏洞测试和组件枚举,与制造商分享调查结果以制定处置措施,并通过受影响的组件提醒行业利益相关方,以便他们能够解决部署系统中标记的问题。其中,具有高影响力、普遍性和国家安全利益的组件被优先用于测试和分析。
CESER从众多项目、子部门和机构中收集组件测试的需求,并将其包含在CyTRICS测试优先化方法论中。CyTRICS通过参与论坛等方式,确保与行业伙伴的透明度和协调性。根据2020财年国防授权法案第5726条的规定,保护能源基础设施执行任务组是能源行业制造商、资产所有者和CyTRICS设计和运营利益相关者战略和技术支持的主要机构。
一是确定优先级的方法。综合考虑操作影响、普及率和国家安全利益等关键因素,对被测试OT组件进行优先排序。二是标准化的测试过程。DOE已经开发并改进了标准化的方法用于枚举和测试漏洞固件和软件子组件。标准化确保了结果的一致性、可重复性和可比性,从而有助于在实验室和合作伙伴之间扩大测试和自动化的规模。三是标准化的报告和存储库。CyTRICS以标准的材料清单格式捕获测试结果,以快速识别嵌入的高风险组件和子组件。测试结果的中央存储库用于全面的、全行业范围的系统风险和漏洞分析。四是与供应商深度合作。CyTRICS与该领域的顶级制造商和公用事业公司合作并签署协议,在测试前建立合作框架。标准协议确定了需要执行的软件和固件测试类型,及时披露测试期间发现的漏洞,并与受影响的资产所有者、联邦机构和能源部门利益相关者协调披露漏洞信息。
近期,CyTRICS项目在合作厂商发展、重点项目推进、漏洞测试成果等方面有了新的进展。
2020年9月,全球领先的能源设备制造商和软件开发商施耐德电气宣布加入CyTRICS项目,成为第一家签署正式协议的设备制造商,并根据CyTRICS项目需求提供硬件和软件组件。全面测试计划于2021财年第二季度启动。2021年3月,美国电气设备的主要供应商施韦策加入了能源部资助的一个保护工业基础设施免受黑客攻击的研究项目。施韦策工程实验室将把产品提交给拥有顶级工业设备渗透测试员的爱达荷州国家实验室(INL)进行测试,通过加强供应商产品的安全测试,以加快提醒其他供应商修复这些缺陷。
2021年3月18日,CESER宣布了三个新的研究项目,分别是:防范全球技术漏洞项目、开发电磁和地磁干扰的解决方案,以及培养对网络安全解决方案的研究和应用型人才。这些新项目的组合将通过解决潜在的全球供应链安全漏洞,保护关键基础设施免受电磁和地磁干扰,并加强下一代网络安全人才培养,以保护美国能源系统免受日益增长的网络和物理危害。对于列在首位的防范全球技术漏洞项目,CESER正与施韦策工程实验室合作开展CyTRICS项目,利用更先进的分析技术来测试能源部门合作伙伴用于安全问题的各种工具,以更容易地识别和处置工业控制系统中的潜在漏洞,预先采取防范措施。
2021年3月16日,美国国土安全部(DHS)下属机构网络安全和基础设施安全局(CISA)发布了工业控制系统安全公告ICSA-21-075-02,描述了通用电气(GE)通用断电器(UR)系列产品的一系列漏洞。公告包含CyTRICS程序报告给GE的漏洞,其中包括一个高危漏洞(CVSS 9.8)。
美国一直是能源消耗大国,发展形成了规模庞大、信息化程度高的能源行业。为了确保其能源领域的网络安全,美国政府构筑了比较完善的网络安全保障体系。2018年5月14日,美国能源部发布了长达52页的美国《能源行业网络安全多年计划》,为CESER制定了美国能源部未来五年综合战略,以降低美国能源行业面临的网络安全风险。随着能源部宣布CyTRICS项目进入下一阶段,美国审计署(GAO)在2021年3月18日发布的《电网网络安全——能源部需要确保其计划充分解决配电系统的风险》报告中建议能源部更多地关注配电系统的网络安全风险。电网配电系统面临网络攻击的威胁日益严峻,但潜在影响程度尚不清楚。能源部的计划尚不足以解决网络攻击给电网配电系统带来的风险,包括与互联网相关的工业控制系统设备和网络消费者设备的漏洞。GAO建议能源部与国土安全部、各州和工业界协调实施国家电网网络安全战略计划,以更好应对网络攻击对电网配电系统造成的风险及潜在影响。
美国将供应链安全作为事关国家安全的重要因素,通过立法、行政命令、国会决议等多种形式加强供应链安全审查。
特朗普政府致力加强防范通信供应链安全威胁,出台一系列行政命令,加速从美国通信网络中移除不安全的设备和服务。一是发布行政令,保护信息通信技术(ICT)供应链免受来自中国和其他对手国家的威胁。2019年5月15日,美国总统特朗普正式签署《确保信息通信技术与服务供应链安全》行政令,禁止交易、使用可能对美国国家安全、外交政策和经济构成特殊威胁的外国信息技术和服务。二是推进实施安全可靠的通信网络补偿计划,保护国家通信网络。2020年3月12日,《安全和可信通信网络法》正式生效。12月27日,特朗普签署了2021年《综合拨款法》,规定美国国会向FCC拨款19亿美元,以其中18.95亿美元用于移除和替换构成国家安全风险的通信设备和服务,对合格供应商进行补偿。
自2020年12月以来,“太阳风”(SolarWinds)供应链攻击事件成为拜登政府需要面对的首要网络安全挑战。拜登政府专门制定了确保供应链安全的政策,提出美国需要采取措施应对能源、电力、半导体、关键电子技术原材料等方面的一系列供应链漏洞,并帮助美国盟友在供应链上避免严重依赖竞争对手。一是聚焦供应链安全,增强关键领域制造能力。2021年1月25日,关于强化美国制造的行政令发布,增设了美国制造总监,负责指导针对联邦政府采购代理商开展供应链审查,与盟友保持合作,共同打造具有弹性的供应链。二是颁布供应链新政,开展供应链安全审查,剑指中国。为了摆脱对中国供应链的依赖,美国正计划联手英国、日本、澳大利亚等盟友,打造“去中国化”供应链。2月24日,拜登签署“美国供应链行政令”,要求在100天内审查半导体、纯电动汽车电池、医药品、包括稀土在内的重要矿物等4类重点领域的供应链风险,开展产业供应链评估。
面对工业控制系统漏洞威胁日益严峻、供应链网络攻击风险与日俱增的形势,亟需进一步完善我国工业信息安全漏洞管理工作,推进供应链安全体系建设。
一是制定漏洞综合管控政策,明确工业信息安全漏洞的国家战略资源地位,规范漏洞报告和信息发布等行为,实现国家在漏洞利用方面的优先权和合法化,加强对漏洞的分类共享、公开披露和出口管控。二是持续优化国家工业信息安全漏洞库(CICSVD)运营机制,进一步完善工业信息安全漏洞发现、上报、分析和处置工作机制,加速整合国内工业信息安全设备制造商、供应商、科研机构、安全从业者等多方力量,推动构建工业信息安全漏洞及时发现和迅速处置的生态环境。
一是研究制造业供应链安全计划,开展制造业供应链协同性、安全性、稳定性、竞争力等综合评估,建立供应链风险预警评价指标体系和预警系统,构建有效应对供应链风险的长效机制。二是密切跟踪发达国家供应链管控相关政策,主动防范其对我国相关行业的不利影响,审视我国供应链对美国等国外市场的依赖程度,及时作出战略调整,寻求多元化的获取渠道。三是加速实现核心技术领域的自主可控,加强技术研发,保持战略定力,为维护供应链安全提供保障,助力制造强国和网络强国建设。