赵汉青，王鑫（中国软件评测中心）

继2021年5月美国科洛尼尔管道运输公司（Colonial Pipeline）遭到黑客勒索攻击后，另一家美国管道领域运维服务商莱因斯坦（LineStar Integrity Services）在同年6月再次遭遇了类似的网络攻击。莱因斯坦公司的主要业务是负责美国石油化工等能源领域大型管道公司的审计、维护等信息技术服务，同时向多家管道公司提供信息技术解决方案，尤其是工业控制系统软件。针对此次事件，莱因斯坦公司没有对外声张，然而暗网上已经公布了该公司的70GB内部文件，可能导致大量与管道工业控制系统有关的网络结构、软件开发架构和核心设备信息遭到泄露，进而成为黑客精准“点穴”的参考“蓝图”。2020年，根据工业蜜罐捕捉的数据，我国工业控制系统被攻击的总量位居全球第三，仅次于美国和荷兰。石油和天然气行业被阻止的恶意对象报告数在整个工业控制系统中的占比更是从36.3%增长到37.8%。Gartner预测，到2023年，工业控制系统攻击造成的经济影响将超过500亿美元。

1 美国应对措施

1.1 美国能源部启动代号为CyTRICS的弹性工业控制系统测试计划

在2021年，弹性工业控制系统测试计划初步具备了运营能力，并正在扩大规模。该计划主要包括四个方面的创新：

一是确定优先级的方法。一种对被测试系统进行优先排序的方法，包含了危害影响、软件普及率和对国家安全利益损害程度等关键因素。这种方法为测试优化安全性影响提供了一个战略性的、透明的原则。

二是标准化的测试过程。美国能源部已经开发和改进了一个标准化的方法来枚举和测试漏洞固件和软件的子组件。标准化确保了结果的一致性、可重复性和可比性，从而有助于在实验室和企业之间扩大测试和自动化的规模。

三是标准化的报告和存储库。弹性工业控制系统测试计划以标准的材料清单格式监测测试结果，以快速识别嵌入的高风险组件和子组件。该计划的特点是具有一个测试结果的中央存储库，用于全面的、全行业范围的系统风险和漏洞分析。

四是与供应商深度合作。弹性工业控制系统测试计划与该领域的顶级制造商和公用事业公司合作，签署参与协议，在进行测试之前建立相互合作框架。该标准协议确定了需要执行的软件和固件测试类型，及时披露测试期间发现的漏洞，并与受影响的资产所有者、联邦机构和能源部门利益相关者协调披露漏洞信息。

1.2 美国能源部发布网络安全能力成熟度模型

2021年7月24日，美国能源部（DoE）下辖的网络安全、能源安全与应急响应办公室发布了网络安全能力成熟度模型（Cybersecurity Capability Maturity Model, Version 2.0），该网络安全能力成熟度模型（C2M2）是由美国能源部（DOE）、电力分部门协调委员会（ESCC）和石油天然气分部门协调委员会（ONG SCC）组织合作开发的，着力增强工业控制系统（ICS）的网络安全与能力。C2M2 旨在持续评估企业的工控网络安全能力、以有意义的方式传达其能力级别，并告知其网络安全投资的优先级。利用该评估来识别能力差距，确定这些差距的优先级，并制定解决这些差距的计划，并最终实施解决差距的计划。

2 我国能源行业工业控制系统网络安全面临的挑战

近年来，我国工控安全投入持续增加，为我国工业控制系统网络安全（以下简称工控安全）的发展提供了良好的产业环境。但我国能源行业工控安全仍然面临一些挑战。

2.1 产业互联趋势衍生新的安全隐患

我国工业互联网发展迅速，已广泛应用于石油化工、电力电网等多个领域。5G网络的迅速发展，使得工业自动化、数字化、网络化的进程加快，更多的设备连接到中央系统，加剧了工业控制系统安全事件的发生。2020年以来，大量工厂、企业、基础设施供应商都遭受了不同程度的攻击，相较于以往的工控安全形势，工控系统行业漏洞数量呈现出连年高发的趋势。

2.2 工控安全防护能力普遍有待加强

能源领域网络安全防护能力薄弱，仅2020年，对我国工业控制系统进行网络攻击的IP数高达99 217个，远远超过其他国家，位居世界第一。除电力电网行业的工控安全防护能力建设发展较快外，石油、化工、煤炭、天然气、新能源发电等行业工控安全防护能力建设刚刚起步，很多能源企业在建设中逐步转变了意识，在设计阶段开始考虑解决网络安全问题，但工控安全防护能力依旧薄弱。

2.3 提升系统本质安全水平任重道远

根据国内咨询机构数据，全国5 000多个重要的工业控制系统中，95%以上的工控系统操作系统均采用国外产品。到目前为止，还有80%以上的工控系统来自国外，很多国外进口设备都是搭配系统一起引进的。80%的企业从来不对工控系统进行升级和漏洞修补，有52%的工控系统与企业的管理系统、内网甚至互联网连接，一些存在漏洞的国外工控产品依然在国内的某些重要装置上使用。国外的工控系统攻击事件屡见不鲜，也就意味着国内工业企业的生产系统也很容易受攻击。

2.4 工控安全运维应急能力普遍缺乏

从工业控制系统的分布来看，能源、电力、石化、天然气等工业控制设备的数量约占全社会工业控制系统的60%。能源行业的工控安全对全国的工控安全尤为重要。目前我国从等级保护角度定义了待评估信息系统的安全等级，但不同行业间同级别业务信息系统的安全关联性差，网络安全风险在同一行业不同产业链环节业务信息系统上的传导或不同行业间业务信息系统的传导难以体现，从而无法从国家整体上把握网络安全风险状况和态势，也就难以明确评估系信息安全保障重点、确定相应的网络安全政策去向导向、人财物投入等。

3 启示与建议

3.1 顶层推动重点领域工控安全产业协同

加快推动工业信息安全立法，制定《工业信息安全管理办法》，以顶层为牵引，加快工控安全防护建设实施规范、工业数据分类分级指南等关键标准报批发布。加大工控安全防护贯标推进力度，支持搭建贯标公共服务平台，为企业提供自对标、自诊断、自评价服务。加强工业信息安全标准供给能力，加快关键标准研制和验证，逐步形成法律、政策、标准互相衔接、互为补充的政策标准体系。开展全国基本情况摸底调查，梳理产业链上下游关键技术、产品、服务发展现状，完善工控系统软硬件产品技术图谱，鼓励工业企业、工控系统厂商、安全企业开展协同攻关和集成应用，推动试点示范和行业应用。

3.2 加速提升行业工控系统本质安全水平

加速提升信息技术应用创新产业带动产业先行先试，突破关键工业控制系统核心技术，缩短典型场景工艺差距，鼓励能源行业工业企业使用自主工业控制系统。进一步完善国家在线监测网络，加快推进态势感知指数评价体系研究和应用，支撑精准研判与科学决策。指导有条件的地方开展态势感知地方平台建设，并实现与国家平台的对接和交互共享，引导其他地方通过购买服务等方式参与国家态势感知能力建设。加快工业企业侧安全监测节点的部署，全面提升企业风险发现、防范和消减能力。加快仿真测试环境、应急资源库等基础设施建设，持续提升攻防对抗、实训演练、应急处置能力。

3.3 “以测促改”全面增强系统的综合防御能力

加快推进工控系统网络安全测评，工业控制系统网络安全测评既是工控安全全生命周期解决方案中不可或缺的一部分，同时也是工控安全防护方案的重要依据。根据工业网络安全合规标准和国内外的最佳实践，通过常态化的工业控制系统网络安全测评，分析安全状况和防护水平，定位工业网络安全风险，找到与合规基准的差距，有针对性地采取安全防护措施，鼓励重点行业企业利用新建/改建项目，开展工控系统技术攻关和适应性改造，形成一批应用效果突出的标志性产品，逐步实现从独立模块到完整系统的规模化应用，打造行业样板工程，促进企业本质安全水平提升。