电力作为信息网络技术乃至所有关键信息基础设施的基础支撑,既承载了模拟时代的工业痕迹,也面临人机回圈等大数据分析和人工智能的强势整合,其网络安全保护的重要性对国家整体不言而喻。目前我国对电力架构的基础研究和专项安全保护立法尚显不足。一方面是因工控网络与信息网络的关系错综复杂,既密切关联,亦不能等同,仅用信息网络的思路监管甚至会产生和放大负面影响;另一方面概因作为基础性立法的《网络安全法》体系博大,不同时期也有不同监管重点,比如当前围绕个人信息保护的进展如火如荼。网络运行安全与信息安全为《网络安全法》规范之两翼,不可偏废其一。
为此,公安三所网络安全法律研究中心组织研究并全文翻译了美国《电力网络安全研究与发展法案》
2017年10月25日,美国众议院几位议员提出了《电力网络安全研究与发展法案》(Grid Cybersecurity Research and Development Act)。该法案旨在促进电力网络安全的跨学科研究与发展,以增强电力部门应对网络攻击的能力。目前该法案正处于众议院审议阶段。从内容来看,法案计划纳入2014年美国《网络安全增强法》体系,属于美国网络安全法框架下“轻量级”的配套,法案内容涉及电网安全的林林总总,称得上面面俱到。此外,本法对社工等多视角分析也有新意,亦能看出美国对新近电网安全事件的反思,值得深入研判。
第一条 简称
本法案可以被援引作“电力网络安全研究与发展法”。
第二条 事实认定
国会认定如下:
(1) 整个国家,以及所有具有重要意义的基础设施部门,均依赖于稳定可靠的电力供应。
(2) 电力部门的工业控制系统是维持电力网系统稳定运转的核心。
(3) 信息安全威胁的局势瞬息万变,攻击者的能力与日俱增,为了保障安全,需要时时修正,投入和改进技术与程序。
(4)保护信息技术系统与保护工业控制系统所需的网络安全解决方案之间存在着本质且重要的不同。
(5) 联邦机构投资工业控制系统网络安全研究符合国家利益,有助于促进私营部门的投资,提升私营部门为控制系统开发网络安全工具和产品的能力。
(6) 随着连接到电网的设备日益增加,在通信、数据及控制系统建设之时即考虑网络安全的设计,相较于系统建成后对产品加以调整以满足保障网络安全的目标更为有效。
(7) 意识到人为因素可用于感知网络威胁行为,制定网络威胁应对策略,完善工业控制系统网络安全培训项目,优化人机界面和网络安全工具设计,增强电力部门员工预防对于工业控制系统的攻击侵入能力。
第三条 定义
在本法案中:
(1) 关键电力基础设施信息 - 与“联邦电力法”第215A(a)(3)节中的“关键电力基础设施信息”同义。
(2) 网络安全-“网络安全”是指一系列的预防性措施,用于保护数字设备或系统(包括用于管理电网的设备或系统)的信息不被窃取,盗用或用于执行攻击。
(3)电力部门协调委员会-“电力部门协调委员会”是指由高级行业代表组成的自主管理委员会,作为联邦政府和电力部门之间的主要联络人,并在电力部门的国家基础设施保护计划中发挥部门协调委员会的作用。
(4) 能源部门政府协调委员会-“能源部门政府协调委员会”是指由相关联邦政府机构的代表组成的委员会,为能源部门提供有效的协调,确保建立一个安全,可靠和有弹性的能源基础设施,并在能源部门的国家基础设施保护计划中发挥政府协调委员会的作用。
(5) 人为因素研究-“人为因素研究”是指对人在社会和物理环境中的行为进行研究,以及对人与物理系统,计算机硬件、软件进行一体化研究。
(6) 人机界面-“人机界面”是指向操作员提供关于过程或系统状态的信息或接受人类指令以实施动作的技术,包括诸如图形用户界面之类的可视化显示。
(7)部长 -“部长”指能源部长。
(8) 瞬态设备-“瞬态设备”是指可移动媒体,包括软盘,光盘,USB闪存驱动器,外部硬盘驱动器,移动设备以及在有限时间段内使用无线连接的其他设备。
第四条 电力行业网络安全研究、开发和示范项目
(a) 一般规定—部长与相关的联邦机构,电力部门协调委员会,州,部落,地方和地区政府,私营部门供应商和其他相关利益相关者协调,开展研究,发展和示范活动,通过提高电力网络的网络安全能力,加速网络安全技术和工具的研发,加强电力网络应对网络攻击的能力,减轻网络攻击的损害。
(b) 能源部—作为(a)款所述活动的一部分,部长应开展如下活动—
(1) 确定电力部门内部的,影响电力部门通信和控制系统的网络安全风险;
(2) 开发快速检测网络入侵者和网络事件的方法和工具,包括使用数据分析技术来验证和使用反映系统状态的多个数据流来证实系统行为。
(3) 评估新兴能源技术网络安全能力,并将网络安全特性和协议纳入新兴技术的设计,开发和部署,其中包括可再生能源技术;
(4) 开发安全的工业控制系统协议并识别现有协议中的漏洞;
(5) 在以下方面与制造商合作建立或改进安全特性和协议—
(A) 通信和网络系统以及管理流程;
(B) 工业控制和能源管理系统设备,组件,软件,固件和硬件,包括分布式控制和管理系统以及建筑管理系统;
(C) 数据存储系统,数据管理和分析流程;
(D) 发电,输电,配电和储能技术;
(E) 自动和手动控制的设备和用于监视或管理频率,电压和电流的设备;
(F) 用于同步时间的技术和当时间同步技术受到威胁时作为指引的业务应急计划;
(G) 连接到网格的终端用户元素,其中包括—
(i) 计量表,实时波形分析原件和其他传感器;
(ii) 配电自动化技术,智能逆变器和其他电网控制技术;
(iii) 分布式发电和储能技术;
(iv) 需求响应技术;
(v) 家庭和建筑能源控制系统;
(vi) 电动和插电式混合动力车辆;以及
(vii) 其他相关设备,软件,固件,硬件和分布式能源技术; 以及
(H) 电网管理系统组件的供应链;
(6) 提高通信技术和工业控制系统,包括远程资产的物理安全性;
(7) 将人为因素研究纳入动态监测,检测,保护,缓解和响应的高级工具和过程的设计和开发中;
(8) 提高相关跨学科数学和计算机模拟建模和分析方法的能力和使用;
(9) 评估和了解用于维护信息技术系统网络安全的做法对工业控制系统网络安全的潜在影响;
(10) 增加现有网络安全测试平台的访问通道和能力,以模拟网络攻击对工业控制系统设备,组件,软件和硬件的影响;并且
(11) 降低电力行业实施有效的网络安全技术和工具的成本。
(c) 国家科学基金会—国家科学基金会应当—
(1) 支持基础研究,推动工业控制系统的网络安全应用,技术和工具,包括将以下跨学科研究纳入其中—
(A) 进化系统、理论、数学和模型;
(B) 经济和金融理论,数学和模型;以及
(C) 大数据分析方法,数学,计算机编码和算法;以及
(2) 支持工业控制系统网络安全工作人员的教育和培训,包括高级技术教育计划,研究生研究计划和其他适当的计划。
(d) 国土安全部科学与技术局—国土安全部科技与技术局和能源部,私营部门的专家和必要的审批机构以及其他利益相关者,应当合作评估国防工业中使用的现有网络安全技术和工具,并且—
(1) 确定可用于满足不断发展的民用能源部门网络安全需求的技术和工具;
(2) 制定一项将人为因素研究成果纳入考量的研究战略,用以指导修改国防工业网络安全工具,供民用部门使用;
(3) 制定一项加快将改良的国防工业网络安全工具引入民用市场的战略;以及
(4) 开展国土安全部部长认为的能达成本部分目标的其他活动。
第五条 电力行业网络安全研究的技术标准和指导文件
(a) 一般规定—部长与相关联邦政府机构,电力部门协调委员会,标准发展组织,国家、部落、地方和地区政府,私营部门供应商和其他利益相关者,协调以更新研究和示范活动的指导文件,通过参与机构的努力提高电力部门的网络安全能力。 作为这些活动的一部分,部长应当—
(1) 促进利益相关者参与以下内容的更新—
(A) 实现能源交付系统网络安全的路线图(发表于2011年9月);
(B) 能源交付系统的网络安全采购语言(由能源部门控制系统工作组于2014年4月发布),包括为以下行为提供指引—
(i) 与第三方签约对工业控制系统进行漏洞测试;
(ii) 与第三方签约利用瞬态设备访问工业控制或信息技术系统;以及
(iii) 管理供应链风险;以及
(C) 电力部门网络安全能力成熟度模型(2014年2月由能源部出版),包括开发—
(i) 衡量网络安全能力变化的指标,并评估会降低安全性的意外行为变化的可能性指标;以及
(ii) 对激励机制的分析以及该机制对增加网络安全投资的影响;
(2) 建立提高法律性分析能力的自愿性指引,其中包括—
(A) 制定标准化的术语和监测程序;
(B) 确定最小数据需求;以及
(C) 利用人为因素研究开发更有效的事件记录程序;以及
(3) 与国家科学基金会,国土安全部,国家标准与技术研究院和利益相关者合作,建立一个匿名,聚合,共享网络安全工业控制系统测试平台测试结果的机制,以促进公共和私营部门的研究人员改进技术。
(b) 关键电力基础设施信息.—为执行第(a)小节而向联邦机构提供的信息应被视为关键电力基础设施信息,并受到本法第10节的保护。
(c) 标准.—部长应当与国家标准与技术研究院院长和其他适当的联邦机构合作,召集利益相关方,促进以下发展—
(1) 自愿的,基于共识的技术标准,以改善与以下内容相关的网络安全—
(A) 新兴能源技术;
(B) 分布式发电和储能技术以及其他分布式能源;
(C) 电动车;以及
(D) 连接到电网的并可能影响电压稳定性的其他技术和设备;
(2) 网络安全功能和要求建议,该建议应当能让私营部门用来为以下产品设计和建立具有互操作性的网络安全功能—
(A) 装置和部件;
(B) 软件和硬件;以及
(C) 其他连接到电网的技术;以及
(3) 测试台和测试台方法的自愿性标准,使得在整个测试台上可以对工业控制系统设备,组件,软件和硬件进行可复制的测试。
(d) 管理部门.—第(c)小节不得用于解释授权与联邦法律条款,强制性标准或相关监管要求相重复或冲突的监管行为。
第六条 提高网络安全的漏洞测试和技术协助
(a) 一般规定—部长应当—
(1) 与私营部门的电力部门资产所有者和运营商合作,利用国家实验室的研究设施和专业知识—
(A) 利用一系列方法,包括自愿的漏洞测试和红-蓝团队练习,来识别物理和网络系统中的漏洞;
(B) 开发网络安全风险评估工具,并向参与的利益相关者提供保密的分析和建议;
(C) 与利益相关者合作开发可以匿名共享和汇总结果的方法,使得电力部门,研究人员和私营部门可以优化网络安全工作,技术和工具;并且
(D) 充分发挥利用国家实验室和联邦机构的独特优势和专业知识;
(2) 与利益相关者合作—
(A) 确定评估电力行业工业控制系统网络安全问题和挑战所需的信息,研究,人员培训和分析工具;并且
(B) 促进(A)项中所确定的信息的共享与工具的开发;
(3) 与电力部门贸易组织及其研究机构合作并为其提供支持,以改善其成员和利益相关方使用的工业控制系统的网络安全;并且
(4) 与部落政府合作—
(A) 确定部落政府为加强其管辖范围内电力资产的工业控制系统网络安全所需的信息,研究和分析工具;并且
(B) 促进这些为确保电力资产与系统网络安全所需的信息的共享与工具的开发。
(b) 关键电力基础设施信息.—为执行第(a)(1)(C)款而向联邦机构提供的信息应被视为关键电力基础设施信息,并受到本法第10节的保护。
第七条 教育和职业培训研究与标准
(a) 能源部—部长应当—
(1) 利用人为因素研究和其他方法来确定电力行业工业控制系统网络安全专业人员所使用的核心技术;并且
(2) 制定评估方法和工具,以确定具有第(1)款中所提核心技术的现有人员。
(b) 国家标准与技术研究院.—国家标准与技术研究院所长应当—
(1) 开发建立自愿,创新的工业控制系统网络安全培训和再培训标准,课程,并对电力部门提出建议,尽量减少重复的网络安全合规培训计划;并且
(2) 建立维护一个用于工业控制系统网络安全教育,培训和认证计划的公共数据库。
第八条 电力行业网络安全研究的跨部门协调和战略规划
(a) 义务—能源部门政府协调委员会应当—
(1) 审查实现能源交付系统网络安全路线图的最新版本,并确定联合能源网络网络安全的研究需求,联邦机构之间以及联邦机构与其他利益相关者之间的合作机会;
(2) 确定可应用于电力行业工业控制系统网络安全挑战的跨学科研究,技术和工具;
(3) 确定可以加速新型工业控制系统网络安全技术,系统和流程的开发及商业应用的技术转让机会;并且
(4) 在实现网络安全能源传输系统路线图的基础上制定一个协调的机构间战略计划,以推进电力行业使用的工业控制系统的网络安全能力。
(b) 战略性规划—
(1) 提交—根据第(a)(4)款制定的机构间战略计划应在本法颁布之日后12个月内提交给国会。
(2) 内容—机构间战略计划应当包括以下内容—
(A) 关于现有网络安全研究工作是如何在成员机构间协调开展的,并如何补充和实现“能源传输系统路线图”目标的分析报告;
(B) 推荐有助于推进电力行业工业控制系统网络安全的,应当优先进行的研究工作;
(C) 对现有的和拟议的公私部门研究工作将如何处理第(3)款所述的主题进行说明;以及
(D) 对本领域内劳动力培训所需的支持进行说明。
(3) 考虑因素—在制定机构间战略计划时,能源部门政府协调委员会应当考虑—
(A) 进行人为因素研究的机会,以提高网络安全设备,技术,工具,过程和培训项目的设计和有效性;
(B) 其他学科对开发创新网络安全协议,设备,组件,技术和工具的贡献;
(C) 进行小企业创新研究(SBIR)和其他技术转让计划,以促进工业控制系统的私营部门发展网络安全协议,设备,组件,技术和工具的机会;
(D) 相关联邦机构为推进其他部门使用的工业控制系统网络安全所做的更广泛的应用;以及
(E) 2014年“网络安全增强法”第201(a)(1)条(15 U.S.C. 7431(a)(1))要求的联邦网络安全研究与发展战略计划中的相关活动。
(c) 成员资格—为执行本条的规定,能源部门政府协调理事会中应有来自联邦机构的,包括工业控制系统网络安全,信息技术网络安全,网络物理系统,工程,人为因素研究,人机界面 ,高性能计算,大数据和数据分析,或理事会主席认为适当的其他学科的专业代表。主席应当考虑吸收由以下机构负责人指定的员工至少各一名:
(1) 能源部中的—
(A) 电力交付和能源可靠性办公室;
(B) 科学类高级科学计算研究计划办公室
(C) 小企业创新研究/小企业技术转移计划办公室
(D)技术转换办公室;以及
(E) 部长认为适当的其他办公室。
(2) 国家科学基金会。
(3) 国土安全部科技司。
(4) 国家标准与技术研究院。
(5) 美国国家航空航天局的人类研究计划。
(6) 科学和技术政策办公室。
(7) 联邦能源管理委员会。
第九条 对国会的报告
(a) 网络攻击中常见因素的识别—
(1) 研究—部长应当与国土安全部部长,其他相关的联邦机构和能源部门的利益相关者合作,研究分析对电力部门工业控制系统的网络攻击,并确定能改善网络安全的经济有效的机会。
(2) 关键电力基础设施信息—为执行本条的规定而向联邦机构提供的事故数据应视为关键电力基础设施信息,并受本法第10条的保护。
(3) 内容—本研究应当—
(A) 总结相关联邦机构和能源部门利益相关者向部长提供的网络事件数据;
(B) 分析网络攻击中常见的流程,操作流程和其他因素;
(C) 找出人为行为在维护或损害系统安全方面可以发挥关键作用的地方;
(D) 对以下内容作出建议—
(i) 在设备设计,人机界面,技术和工具方面的改变,使其既能优化安全性又不需要调整人为操作方式;
(ii) 在程序或操作程序方面的改变,不需要调整人为操作方式;以及
(iii) 增强员工积极识别,防范和抵制网络攻击能力的培训方法;以及
(E) 对现有工程和技术设计标准和指南进行评估,并将人为因素研究成果纳入考量,同时对用于制定采购指南,包括警报,显示和布局指南的工业控制系统网络安全工具标准和指南提出建议。
(4) 咨询—在进行研究时,部长应咨询电力部门的利益相关者,人为因素研究方面的专业人士,私营部门工业控制系统供应商和其他相关方。
(5) 报告—在本法颁布之日起24个月内,部长应向众议院的科学、空间和技术委员会以及参议院的能源和自然资源委员会提交一份关于这项研究的报告,报告应当包含部长就第(3)款中所述的每一项目的调查结果。
(b) 平衡工业系统的风险,安全和现代化—
(1) 研究—部长应当与国家标准与技术研究院,其他联邦机构和电力部门的利益相关方合作,审查在运营网络中增加数据技术渗透所带来的风险。。
(2) 内容—本研究应当—
(A) 评估电力行业工业控制系统的各种设计和建筑方案的相对定性风险和收益,考虑内容涵盖—
(i) 同时使用数字控制和模拟控制设备及技术的设计;
(ii) 用于在控制系统的设备,技术和系统操作员之间传送信息和数据的不同通信技术;
(iii) 自动化和人机回圈设备与技术;
(iv) 可编程与不可编程设备和技术;以及
(v)使用不同网络安全技术产生的冗余增加量。
(B) 对可记录系统设计和体系结构风险变化情况的方法或指标作出建议;
(C) 对如何在研究,开发,示范和商业应用中解决(A)小节与(B)小节提到的问题作出建议;并且
(D) 提出能将整个系统风险降至最低的指南。
(3) 咨询—在进行研究时,部长应咨询电力部门的利益相关者,学术界和私营部门研究人员,私营部门工业控制系统供应商和其他有关方。
(4) 报告—不迟于本法颁布之日后24个月,部长应向众议院的科学,空间和技术委员会和参议院的能源和自然资源委员会提交一份关于这项研究的报告,报告应当包含部长就第(2)款中所述的每一项目的调查结果。
第十条 关键电力基础设施信息的保护
任何在执行本法期间提供或接受信息的联邦机构,应当决定是否将此信息归类为关键电力基础设施信息。关键电力基础设施信息—
(1) 不受“美国法典”第5编第552(b)(3)节的披露要求约束;并且
(2) 任何联邦,州,政治区或部落当局不得以任何联邦、州、政治区或部落的法律为依据公开披露或记录。
第十一条 拨款授权
授权部长执行本法的拨款—
(1) 2018财年65,000,000美金;
(2) 2019财年68,250,000美金;
(3) 2020财年71,662,500美金;
(4) 2021财年75,245,625美金;以及
(5) 2022财年79,007,906美金。
声明:本文来自公安三所网络安全法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
