美国确保能源行业信息安全的主要举措探析
2015-08-07国家信息技术安全研究中心周季礼91746部队宋文颖
国家信息技术安全研究中心:周季礼 91746部队:宋文颖
美国确保能源行业信息安全的主要举措探析
国家信息技术安全研究中心:周季礼 91746部队:宋文颖
美国是全球能源生产大国,发展形成了以石油、天然气、煤炭、电力(含水电、核电)、可再生能源、太阳能等为骨干的能源行业;同时,美国又是全球最大的能源消费大国,其能源消耗占世界总能耗的四分之一。随着信息技术的快速发展和互联网等网络技术的广泛普及,美国成为全球能源行业信息化、网络化程度最高的国家之一;与此同时,美国能源行业也面临着日益复杂严峻的网络威胁问题,成为了黑客攻击的主要对象。据统计,美国50%的重大黑客攻击事件都发生在能源领域。可以说,能源安全是美国国家安全的重要组成部分。对此,美国政府高度重视能源行业的信息安全建设,制定了一系列有效举措,构筑了全方位的信息安全保障体系。其中,一些较为成熟的经验,值得我国能源行业借鉴。
美国能源行业的信息安全形势
美国能源行业十分发达,信息化程度高,在传统的安全系统之外还配备了工业控制系统(ICS)或监控和数据采集(SCADA)等信息网络系统。随着网络威胁的复杂化、全球化趋势,美国能源行业面临的信息安全形势日益严峻,主要表现在如下几个方面:
1.网络攻击日益严重
能源行业作为美国重要的关键基础设施,遭遇到的特定重大网络攻击与日俱增。2001年,黑客入侵了监管加州多数电力传输系统的独立运营商。2006年8月,美国Browns Ferry核电站受到网络攻击。2008年1月,美国挫败了4起针对电力系统的网络攻击。2008年7月,美国马拉松石油公司、埃克森美孚公司和康菲公司遭到黑客攻击。2010年1月25日,美国能源部称,至少有三家美国石油公司遭到过一系列身份不明的网络攻击。2011年2月10日,美国网络安全公司说,数家美国石油和天然气跨国公司的电脑系统遭到了黑客袭击。2012年,美国Chevron、Baker Hughes、ConocoPhillips和Marathon等石油公司的计算机系统,遭到震网病毒袭击。2012年10月,美国国土安全部表示,在向其通报的恶意软件攻击中,有41%是能源企业(如电网或天然气管线公司的系统)。 2013年2月 19日,美国国会的调查报告称,在对160家电力公司调查中,有十多家公司表示其电脑系统遭到“每天”、“不断”或“频繁”的网络攻击,其中一公司在一个月内被攻击了1万次。报告还显示,过去几年来,美国电网受到网络攻击导致瘫痪的风险明显增加,联邦政府已记录了几万次有报告的安全漏洞。3月7日,美国ICS-CERT指出,2012年共进行了138起网络入侵事件的响应活动,其中超过40%的事件发生在能源行业,约50%发生在针对内部通信系统/监控与数据采集(ICS/SCADA)系统的环境中。6月24日,匿名黑客组织表示,正在发动针对美国能源企业的“OpPetrol”网络攻势,以抗议美国能源行业垄断全球资源。7月份,信息安全服务公司Alert Logic的报告称,从2012年4月1日到9月30日,67%的能源客户遭遇过网络攻击,61%遭受过恶意软件/殭尸网络。8月,美国ICS-CERT安全报告指出,“近三年针对工业控制系统的安全事件呈明显上升趋势,仅2013年度,针对关键基础设施的攻击报告已达到257起,”而能源行业的安全事故则超过了一半。2014年1月13日,赛门铁克公司发布的《能源产业针对性攻击分析白皮书》显示,能源相关产业在全球受攻击目标排名中名列前五,约占全球网络攻击数量的7.6%。报告还显示,能源企业平均每天会遭到7个来自于邮件的针对性攻击。2月14日,美国发布的一份报告称,2013年向ICS-CERT报告的事故中,能源领域占到了59%以上。5月21日,美国监管机构称,因遭袭击向其表示担忧网络安全的企业过去两年增加了一倍多,其中石油与天然气生产商增加的最多,由28家增至62家。7月2日,美国网络安全公司赛门铁克称,俄罗斯活跃大批“能源黑客”,有系统地锁定了上百家美国能源与能源投资公司,有能力发动远程攻击。11月24日,美国网络安全公司称,2013财年,美国电网共受到145次黑客攻击;2013年4月至2014年,黑客成功闯入全美37%的能源企业。
2.恶意间谍软件泛滥
美国信息安全公司的调查报告显示,美国能源行业信息系统中的恶意软件近几年以指数速度增长,成为能源企业的最大威胁。2003年,在对美国俄亥俄州的戴维斯-贝斯核电站维护时,维修人员私自将个人电脑接入到核电站网络,将SQL Server蠕虫病毒传入到核电站内部网络,致使核电站的控制网络全面瘫痪,系统停机将近5小时。2007年10月,美国能源部橡树岭国家实验室的一千多名员工收到带有附件的电子邮件,造成感染恶意软件的传播,致使未经授权的外部人员能够非法访问实验室数据库。2008年11月13日,美国马拉松石油休斯敦分部的一名高管收到了携带恶意软件的邮件,导致整个公司分部的信息系统感染病毒。同样事件,也发生在埃克森美孚和康菲石油公司。2009年4月9日,美国国家安全官员表示,网络间谍侵入了美国电网,留下了用来破坏电力系统的恶意软件。2011年,迈克菲安全公司称,发现了一个名为Night Dragon的恶意间谍程序,可以从能源和石化公司窃取诸如油田投标及SCADA运作的敏感数据。黑客曾依靠该恶意软件入侵了五家石油天然气公司,并窃取了商业机密。2013年2月,美国一些石油钻井平台的计算机系统出现瘫痪,直接原因是石油钻井公司雇员下载带有恶意软件的色情电影和盗版音乐所造成的。3月6日,美国能源部表示,黑客利用IE8浏览器中的0day 漏洞,对美国能源部的信息系统进行了攻击。5月4日,美国国土安全部表示,通过对一个用来备份工控系统配置文件的USB盘的扫描,发现了三种不同的恶意软件。2014年11月24日,美国国土安全局计算机紧急响应中心称,俄罗斯恶意软件BlackEnergy侵入了可以控制美国电力涡轮机的软件系统;仅2013年就发现专门针对能源公司的50种恶意软件。2014年威瑞森的研究认为,2014年度能源公司受到了比其他行业更多的恶意软件攻击。
3.信息泄漏时有发生
2006年6月9日,美国能源部国家核安全局承认,国家核安全局的办公室电脑系统遭黑客入侵,大量资料被窃走,其中包括国家核安全局1500名雇员工的名字、出生日期、社会保险号码、工作中的安全密码。2007年12月6日,美国能源部橡树岭国家实验室表示,黑客侵入了实验室一个内部数据库,导致1990年至2004间实验室数千名来访者的姓名、社会安全号码、出生日期等个人信息被窃取。2013年2月4日,美国曼迪昂特公司称,美国能源部的网络系统曾遭到黑客攻击,14台计算机服务器和20个工作站遭到了入侵,几百个员工的私人信息遭到泄露。这些“个人身份信息”包括全名、国民身份号码、IP地址、汽车和驾照号码、脸部样貌、指纹、笔迹、信用卡号码、数码身份、出生日期、出生地点和遗传信息等。该公司引述的美国国土安全部报告称,从2011年12月至2013年6月的网络犯罪中,有23家石油管道公司遭到攻击,被窃取的信息可能会带来破坏性的影响。另外,还表示一个名为APT1的“高阶持续性威胁”组织,窃取了美国电力系统的大量资料。9月5日,美国信息安全部门表示,装有全美国8100座主要大坝敏感数据的数据库在2013年被黑客盗取。
4.信息安全环境较差
美国能源行业的发展时间久、规模大、联接的设备多,信息安全环境较差。一是能源行业广泛使用的控制系统存在自身的安全性脆弱。1998年1月,美国东部气候反常,造成多个输电线因结冰而折断,导致大面积断电,导致31万人用电困难。1999年7月6日,持续3天创纪录的高温导致纽约市电线变形,造成19小时停电。2003年,一家名为“首份能源”的有限公司发生了一次工程制造软件的小故障,结果导致5000万民众在4分钟时间内失去电力供应。2006年8月,美国BrownsFerry核电站,因其控制系统上的通信信息过载,导致控制水循环系统的驱动器失效,直接经济损失数百万美元。2012年8月6日,美国国家科学院发布报告称,非传统自然灾害“超级太阳风暴”一旦出现,可瘫痪美国供电网络,损毁美国电网总计大约2100个大型高压变压器中300个或更多,超过1.3亿人受到影响,断电带来的损失可能高达两万亿美元。二是能源公司的信息系统老旧,存在安全隐患。美国电力系统几乎都是上世纪70年代的产物,由于更换系统必须暂停供电好一段时间,以进行更新与测试,为了避免电力中断,能源公司就抱着“能撑就撑”的心态,只要没有太大问题,就倾向于一直使用旧系统。并且旧系统的安全措施不到位,安全漏洞多。三是大型能源探勘产业依赖大量的小型下游承包商来完成工作,小型承包商的信息安全能力弱,但由于彼此系统互联互通,下游小承包商的系统会影响到大公司的系统安全能力。四是员工自带设备上班(BYOD)风潮带来潜在威胁。员工喜欢使用熟悉的软件工具工作,但这些软件自然潜藏着不可预测的风险。2012年8月,美国一家石油公司的员工因使用自带的设备,造成Shamoon病毒删除了三个季度的企业数据。五是内部人员威胁危害依然存在。2012年6月,美国一家石油天然气公司的网络工程师被判入狱4年。该安全工程师知道自己将被解雇,为了报复而把公司的网络服务器重置到原始状态,造成重大损失。
5.W indows XP停用带来新风险
目前,美国几乎所有的电力和天然气等能源公司都使用Windows XP工作站,用于监测野外公共服务设施的运行情况,例如测试天然气管道的压力等。如果升级Windows XP操作系统,需要花费1亿美元的资金,并且要耗费很长时间。2014年4月8日,微软已停止对Windows XP提供安全补丁和技术支持,黑客能够更容易地开发出恶意软件,利用不再打补丁的Windows XP造成地区性停电和其它能源企业的生产事故。美国信息安全专家表示,天然气公司的管理工作站如果遭到入侵,将错误地报告天然气管道压力低,而员工并不知情而去调高压力就会造成爆炸事故。Windows XP已经是过时的操作系统,如果不能尽快升级或继续为其提供安全支持,将给美国能源行业的信息系统带来新的安全风险。
美国确保能源行业信息安全的主要举措
针对能源行业日益严峻的信息安全形势,美国政府采取了一系列举措全面构筑能源领域的信息安全保障体系。
1.上升为国家安全战略
能源是国家关键基础设施之一,能源行业的信息安全是美国国家总体安全战略的重要元素。1996年7月,美国发布第13010号行政令,这是美国第一个专门针对关键基础设施保障的行政令,就将电力系统、天然气及石油的存储和运输系统定为关键基础设施。1998年5月,出台第63号总统令,指定美国能源部作为能源领域信息安全的主导机构。2000年,发布《美国国家安全战略报告》,要求保护美国关键基础设施免受网络攻击,明确将能源行业列在其中。2003年,美国颁布《第7号国土安全总统令》,要求对包括能源行业在内的18类关键基础设施进行保护。2月14日,正式颁布《美国网络安全国家战略》,明确将能源行业列为国家关键基础设施之一。2009年,发布《美国网络空间政策评估报告》,要求能源部与联邦能源监管委员会合作,为能源方面的工业控制系统制定安全执行指南和程序。同年10月,颁布《保护工业控制系统的战略》,涵盖能源、电力等14个行业工控系统的安全。2012年6月13日,颁布《21世纪电网政策框架》,提出要保障电网安全可靠及免受攻击。10月8日,能源部颁布信息技术现代化战略,提出加强美国石油、煤电、核能等基础能源部门的信息安全防护和网络基础设施建设。2013年,发布第21号行政令,再次将能源确定为16类关键基础设施部门之一。2014年2月12日,根据2013年的13636行政令,美国白宫正式颁布了《网络安全框架》,旨在加强能源等关键基础设施部门的网络安全。
2.实施信息安全计划
为落实能源行业信息安全政策或战略,美国政府制定了多个路线图和计划进行推动。1999年夏天,针对美国发生的停电事故,美国能源部组织了一个由各类专家组成的停电事故研究小组(POST),提出了加强电网信息安全的12项建议和措施。2000年1月7日,美国发布首个包括能源在内的关键基础设施保障全国总体计划——《信息系统保护国家计划1.0》。2003年7月31日,能源部发布《电网2030》构想,对2030年前的电网发展进行规划。2006年,发布《国家关键基础设施保护计划》,提出保护包括能源在内的关键基础设施的具体计划。同年,发布《实现能源领域控制系统安全2006年路线图》,提出了政府及能源企业的信息安全建设项目和目标。2007年5月,出台《能源领域2007计划》,提出加强电力、石油及天然气领域的机构安全合作措施。2009年,修订完善《国家关键基础设施保护计划》,授权能源部负责能源行业的关键基础设施保护。9月,能源部发布《智能电网网络安全》项目建设草案。10月,国土安全部开始实施“关键信息基础设施的控制系统安全”项目,涉及能源等方面。2010年,美国能源部和国土安全部联合发布《能源领域关键基础设施保护计划》,将石油、天然气、电力等能源行业的工业控制系统安全确定为重点保护内容。2011年3月30日,发布《能源安全未来蓝图》。9月15日,发布《实现能源供给系统网络安全2011年路线图》,提出今后10年能源网络安全的战略性框架。2012年1月5日,美国能源部和国土安全部联合推出《电力系统网络空间安全风险管理成熟度计划》。
3.加大信息安全投资
为确保能源行业信息安全政策或计划的有效落实,美国政府不断加大投资力度。2003年,美国政府专门用于网络安全的费用为2.98亿美元,比2002年度的0.62亿美元提高了381%,其中,能源部获得2000万美元。2009年,美国投入到包括能源在内的关键信息基础设施防护资金达8.07亿美元,比2008财年增长23.9% ; 2010财年又增加到9.18亿美元,比2009财年增长13.8%。美国从2009年开始实施智能电网拨款项目(SGIG),截至2012年3月底,共计投资近30亿美元,其中包括用于提升电网的网络安全项目。2013年2月21日,美国能源部宣布投资2000万美元,用于发展提高国家电、油、气等能源输送控制系统网络安全的工具和技术。2013年4月10日,美国能源部公布了总额为284亿美元的2014财年预算申请,投资1.47亿美元用于能源信息系统的网络安全。2013年10月,美国能源部表示,将投资3000万美元用于网络安全研究和技术开发。2014年3月4日,美国能源部公布2015 财年279亿美元的财政预算申请,投资约3亿美元,加强能源行业的网络安全。2015年2月2日,美国政府提议在2016财年预算中,拟拨款140亿美元用于加强网络安全。其中,将为能源部下属的国家核安全局划拨1.6亿美元,用于网络安全。2015年3月9日,美国能源部公布2016财年300亿美元的预算申请,提议将3.05亿美元预算,用于改善能源行业的网络安全。
4.出台信息安全法规
2001年,美国通过《2001关键基础设施信息安全法案》,对包括能源行业在内的关键基础设施的信息安全进行了规范。10月,美国颁布《爱国者法案》,重新对关键基础设施进行了界定,并将能源部门列入其中,提出了能源等关键基础设施建模、仿真和分析系统的保护措施。2002年11月,美国颁布《国土安全法》,规范了能源等关键基础设施保障的组织机构、具体职能和目标任务。2005年8月,美国通过《能源政策法2005》,提出了今后美国能源发展的总体策略和加强能源信息安全的具体举措。比如,该法案增加了提升输电网设施和加强可靠性的规定,要求能源行业共享威胁信息等。2007年12月18日,美国通过《能源独立和安全法案(EISA)》,指定国家标准与技术研究院(NIST)制定智能电网等能源行业的发展框架。2011年5月12日, 美国政府向国会提交了《2011年网络安全法案》,要求对包括能源行业在内的国家关键基础设施保护进行立法。此外,美国出台的众多网络安全法规中,也都从不同角度对能源行业的信息安全进行了规范,来确保能源行业信息系统的安全。
5.制定信息安全标准
在加强能源行业信息安全法规建设的同时,美国政府还针对各类能源行业制定了具体的标准指南,用以指导电力、石油、煤炭、天然气等行业的信息安全工作。2004年4月,美国国家标准与技术研究院(NIST)颁布了《工业控制系统防御框架》(1.0版本),为包括能源行业在内的工业控制系统防护制定了安全框架。2007年1月,美国能源部发布《21步改进SCADA网络信息安全》,提出了加强能源行业SCADA系统安全的具体步骤。2008年1月,美国联邦能源监管委员会颁布了《关键设施保护》标准,旨在确保能源行业信息系统安全。该标准共计8个部分,覆盖了能源行业信息系统的资产识别、安全管理、人员管理、访问控制、物理安全、系统安全、应急响应与灾难恢复等。2009年5月18日,美国发布第一批16个智能电网行业标准。2010年9月,发布《智能电网网络安全指南》,指导电力企业制定有效的网络安全策略。2011年6月,正式发布《工业控制系统安全指南》,适用于电力、石化、交通、化工等行业的工业控制系统。2011年9月,美国能源部发布《电力系统网络安全风险管理指南》。同年,还公布了《保护关键基础设施可靠性基准》,对包括能源在内的关键基础设施,制定了专门的保护标准。2012年2月,发布《智能电网互操作性标准2.0》,作为智能电网发展的依据及网络安全标准制定的准则。2013年5月,推出了《工业控制系统安全指南》(NIST SP 800-82)的最新修订版。11月,发布《智能电网网络安全指南》修订草案。2015年1月22日,美国总统在国情咨文中提出了一系列提案,包括了能源部将出台一项保护电力消费者数据的自愿性质的能源行业行为准则。
此外,美国能源各行业还制定了本行业的信息安全标准或指南。如美国石油学会制定了《石油工业安全指南》、《管道SCADA安全标准》;美国天然气协会制定了《SCADA通信加密保护规范》、《天然气管道行业控制系统安全指南》;国土安全部发布了《管道安全指南》、《中小规模能源设施风险管理核查事项指南》、《控制系统安全一览表:标准推荐指南》;美国核管理委员会制定了《核设施网络安全措施》;能源部制定了《非保密受控制核信息的鉴别和保护》、《信息管理计划》、《信息安全计划》、《能源部科技信息管理导则》、《能源部科技信息管理细则》等。
6.健全信息安全机构
为了确保能源行业信息安全措施的贯彻执行,美国建立健全了信息安全管理机构。其中,关键基础设施保护委员会负责制定并调整有关保护能源行业等关键信息基础设施的政策和计划,加强政府各部门间的合作与交流。美国国土安全部负责包括能源行业在内的信息安全威胁分析与信息安全事件的应急响应,组织能源行业等基础设施在内的大规模信息安全演练。在国土安全部的主导下成立了由政府各部门代表参加的政府协调委员会和私营代表参加的部门协调委员会,共同协调包括能源行业在内的关键基础设施和资源保护的问题。商务部下属的美国国家标准技术研究院负责工业控制系统安全标准和智能电网信息安全标准的制定。
能源部作为美国联邦政府的能源主管部门,负责制定和实施国家能源战略和政策。在信息安全方面,具体负责制定能源行业的工业控制系统的安全标准和措施。在能源部的独立监管办公室下设有计算机网络安全保护评估办公室,负责保密计算机的安全、非保密计算机的安全和对能源行业网络进行检查。能源部的六家国家级实验室负责对能源行业的工业控制系统安全开展系统、全面的研究。能源部的核安全局负责对核电站进行监管控制,制定核能安全信息标准和指南。能源部的国家能源信息中心,负责能源行业的信息发布。还以能源部为主导,设立了“美国电力领域网络安全组织”和“美国电力领域网络安全组织资源”,负责制定网络安全框架、推进信息共享和信息技术验证。此外,美国还设立了独立于能源部的联邦能源管理委员会(FERC),负责制定联邦政府职权范围内的能源监管政策并实施监管,并在FERC下设立北美电力可靠性协会(NERC),负责制定电力系统运行标准、监督和推进标准的执行。2013年第21号总统令,还对国务院、司法部、内政部、商务部、国家情报委员会、总务署、核管理委员会、联邦通信委员、国防部等部门在能源等关键基础设施保障方面的角色和责任进行了详细界定。
7.完善信息安全机制
一是建立网络安全审查机制。美国建立了外国投资委员会(CFIUS),负责对外国投资本国能源等关键基础设施的审查工作;出台了《外国投资与国家安全法》,将能源行业纳入安全审查的范畴,规定对美国能源行业构成安全风险的外国投资,不予批准。二是建立风险管理机制。美国制定了能源行业网络安全风险管理制度,分为风险架构、风险评估、风险应对、风险监控四个阶段,对网络安全各阶段的风险进行精确管控,确保能源行业信息系统安全。三是建立安全漏洞发布机制。2006年5月,美国正式建立包括能源行业在内的工业控制系统漏洞发布机制,要求能源行业及时向美国计算机应急响应小组(US-CERT)汇报,US-CERT及时对漏洞进行处理,向各个行业发布,并录入国家漏洞库(NVD)。四是建立威胁信息共享与分析机制。美国政府根据关键基础设施保护行政令要求,建立了公私合作的威胁信息共享与分析机制,通过信息共享等方式共同防御网络安全威胁。五是建立网络安全审计机制。为评估能源行业等关键基础设施信息安全的整体状况,美国建立了由政府问责局实施的网络安全审计制度,定期组织相关专家,根据网络安全法规和标准,对能源行业的信息安全落实情况进行审计调查,提出改进措施。
8.研发信息安全技术
技术是保障信息安全的核心基础。为此,美国政府高度重视能源行业的信息安全技术研发。2005年,美国能源部建设并完成了关键基础设施测试靶场,制定了国家SCADA测试床计划。2007年,能源部投资790万美元进行能源基础设施的安全设备集成技术研究。2008年,美国最早提出能源互联网概念,目标是建立安全智能的能源传输应用系统。2010年,美国能源部为10个智能电网信息安全项目提供了3040万美元作为资金支持。2010年7月,美国能源部发布题为《国家安全中的科学大挑战:超大规模计算的作用》的报告,提出研发确保国家能源安全的前沿技术和高性能计算。2012年1月5日,能源部启动电力部门网络安全风险管理成熟度计划,目标是开发一套“成熟度模型”,使公用事业和电网运营商来衡量当前自身能力和分析其网络防御的差距。3月29日,美国启动“大数据研究与开发计划”,向能源部提供2500万美元,用于开发新的工具来管理和可视化来自能源行业的大规模数据。4月18日, 美国能源部下属太平洋西北国家实验室宣布,正在开发网络活动可视化工具,用于追踪企业内可疑恶意活动的来源。2013年2月26日,能源部提出发展能源输送控制系统网络安全的工具和技术。2013年10月,美国能源部计划进行11个项目的研发,涉及输电控制系统安全、数据信息网络安全等各个方面。此外,美国国土安全部还大力发展工业控制系统专用密码技术,推出了通用的SCADA密码标准,用于能源行业之间的信息系统安全传输。
9.加强信息安全合作
美国能源行业大多数由私营部门拥有或管理运营,为此,美国政府将加强与私营部门的合作作为信息安全保障体系的最重要环节之一。1998年,美国第63号总统令提出,国家基础设施保障中心要汇聚来自政府与私营企业的代表,与私营企业合作,实现信息共享。11月,能源部、天然气研究所和电力研究所共同主办了能源论坛,邀请了100余家电力、天然气和石油企业和政府代表参加。2002年《网络空间安全战略》中明确指出,鼓励政府与企业组建信息共享和分析中心;2002年《国土安全法》确立了能源行业等关键基础设施信息的共享程序;2007年5月,召开能源协调协商会议,要求电力、石油及天然气领域加强协调合作,为国家基础设施保护计划提供建议。2013年2月,发布《提升关键基础设施的网络安全》行政令,明确要求采取措施推进公私网络安全信息共享;2013年第21号总统令更是直接将促进政府部门之间以及与关键基础设施所有者和运营者之间的有效信息交换作为信息安全三大措施之一。2014年2月,美国颁布《网络安全框架》,对于能源行业等关键基础设施安全的公私合作进行了规范。2015年3月9日,美国总统奥巴马在网络安全峰会上,呼吁私营企业加强与政府在网络安全领域的合作。3月12日,美国通过《网络空间安全信息共享法》,加强网络安全漏洞的信息分享,以帮助企业以及政府更好地应对网络攻击。
10.深化军民融合发展
一是签署军民合作协议。2010年10月13日,美国国防部长和国土安全部长签署军民网络安全合作协议,整合军政两个体系内的网络安全手段,确保能源行业等国家关键基础设施安全。二是组建保护能源设施的网络力量。2013年1月5日,美国官员表示,国家安全部正在推行 “完美公民”计划,组建保护全国电网等关键基础设施的“护电特战队”。三是建立国家网络任务部队。2013年2月27日,美国国防部决定建立“国家任务部队”,负责保护电力网络、电厂和其他关键基础设施。四是举办能源企业和国防部门参与的网络安全演习。美国国土安全部分别在2006年、2008年和2010年举办了三次网络风暴演习,旨在检验美国能源、信息技术、交通运输、供电系统等关键基础设施遭受大规模网络攻击时的协同应对能力。
结语
美国作为全球最大的能源消费国,发展形成了一个规模庞大、信息化程度高的能源行业;为了确保其能源领域的信息安全,美国政府构筑了比较完善的信息安全保障体系。当前,我国正在加快推进信息化和工业化的深度融合,能源行业的信息化程度得到了快速提升,但由于信息基础薄弱,一些核心信息技术还未达到自主可控,使得能源行业的信息安全形势复杂严峻。为此,我们应积极借鉴美国在能源行业的信息安全举措,结合我国能源领域的实际,从政策、法规、投资、标准、机制、技术等方面,大力加强能源行业的信息安全建设,全面提升能源行业的信息化和网络安全水平。