美国NIST发布《电力行业态势感知指南》概要

电力能源行业与社会生产生活息息相关，成为当前网络攻防的重灾区，已经发生的一系列攻击事件，充分说明了其网络安全的重要性。世界各国都在研究强化电力等信息基础设施的网络安全措施。2019年8月，美国国家标准与技术研究所（NIST）国家网络安全卓越中心（NCCoE）出版“电力行业态势感知”指南（以下简称指南）。国家网络安全卓越中心（NCCoE）是美国国家标准与技术研究院（NIST）下属机构，是行业组织、政府机构和学术机构的协作中心，各机构通过此平台共同努力应对企业面临的最紧迫的网络安全挑战。现将指南摘要编译如下，以供参考。

一、基本概念

指南所涉及的“态势感知”是指对某种环境的理解以及对由于各种因素而可能发生的变化进行预测的能力。网络安全工作是电力行业所要承担的重要任务之一，需要对物理、运营和信息技术（IT）分别进行监控。根据能源行业利益相关方的说法，许多电力行业目前正在评估一种更全面的态势感知方法，这种方法通过增加实时或接近实时的网络安全监控，加强运营的恢复能力。美国国家标准与技术研究所（NIST）下属的国家网络安全卓越中心（NCCoE）建立了一个实验室环境，探索了一些示范性解决方案。能源行业公司可以借鉴这些解决方案，提醒其员工注意针对电网的潜在或实际网络攻击。

指南中所涉及的态势感知平台的安全特征，是标准组织发布的指南和最佳实践中所规定的安全特征，包括《NIST网络安全框架》和北美电力可靠性公司（NERC）发布的《关键基础设施保护（CIP）（第5版）》标准。NIST网络安全实践指南演示了组织如何使用可以与组织的现有基础架构集成的市场产品。这些产品的组合提供了公用事业网络系统内所有传感器数据的融合视图，包括IT、运营、网络和物理访问控制系统，这些系统通常都单独运转。该指南“操作方法”部分是一系列的示范性解决方案，演示了如何在实践过程中基于风险管理和标准要求使用网络安全技术。指南将有助于电力行业提高态势感知效率，加快对事件的监控、识别和响应，同时为该部门及其纳税人和客户节省研究和概念证明成本。

二、主要挑战

美国将能源和医疗、金融、交通、水利以及通信行业等作为关键基础设施的一部分，这些行业都已报告了重大的网络安全事件。作为能源部门不可或缺的组成部分，工业控制系统（ICS）越来越容易受到网络安全威胁的影响（包括有意和无意）。2015年12月，能源行业意识到联合攻击对电力行业的IT和工业控制系统的潜在影响，乌克兰电网遭袭击就是其中一个例子。此次事件造成电力中断，约有22.5万人受到影响。攻击者随后用电话呼叫堵塞了公司的客户服务中心，通过引起内部信息传达不畅，延缓对停电事件的响应时间。

NCCoE的能源行业利益相关方表示，某些电力行业采用的是物理、运营和IT系统各自单独监控的模式，这种做法效率低下，并且会对事件的响应时间产生负面影响。不过，许多从市场购买的产品能够用于监控企业网络的各类安全事件，但考虑到特定的工业控制系统基础结构要求，这些产品的效果可能有限。针对工业控制系统网络安全细微差异量身定制的融合性网络监控解决方案，可以减少电力行业的监控盲点，全面感知整个企业业务系统和工业控制系统运营环境的态势情况。

三、解决方案

NCCoE为电力行业开发了态势感知平台，用以加强其现有的和分散的物理、运营和IT态势感知能力。NCCoE利用商业和开源产品收集和汇聚的物理、运营和IT系统监控信息，经过对这些信息的分析和汇总，向每个分系统的监控部门提供相关警报，提高安全分析人员的态势感知能力。与依赖孤立数据的响应相比，聚合数据有助于提高对安全事件的更有力、高效和及时的响应。

1.NCCoE寻求提供以下功能的现有技术：

（1）安全信息和事件管理（SIEM）或日志分析软件；

（2）ICS设备（例如，远程终端设备、可编程逻辑控制器和继电器）以及相关的软件和通信设备（例如，无线电和加密器）

（3）“bump-in-the-wire”设备，通过加密的通信和日志记录功能来增强操作技术；

（4）用于收集、分析、可视化和存储操作控制数据（例如，日志管理系统、中断管理系统、配电管理系统、人机界面）软件；

（5）确保从远程设施收集数据完整性和准确性的产品。

2.指南能带来哪些好处

尽管NCCoE利用一系列商业产品应对这些挑战，但本指南并不是认定这些产品，也不保证其符合任何监管要求。您所在组织的信息安全专家应确定，哪些产品最适合与您现有工具和IT系统基础架构相集成。您的组织可以采用此解决方案，也可以采用整体上遵循这些准则的解决方案，还可以在本指南的指导下，开始定制和实施解决方案的某个部分。NCCoE发布的《电力行业态势感知》实践指南主要发挥以下作用：

1．提高检测与网络相关的安全漏洞或异常行为的能力，实现早期发现并减少对能源交付的影响，从而降低总体业务风险，帮助加强网络恢复能力，提升网络可靠性；

2.提高对攻击或异常系统行为进行调查的可能性，一旦攻击获得成功，可以为风险管理和缓解提供信息；

3.改善问责制和可追溯性，从而产生经验教训的用例；

4.通过自动生成和收集不同的操作日志数据，简化合规操作。

声明：本文来自网络空间安全军民融合创新中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。