简介随着能源系统变得越来越数字化、同质化和远程操作,所有数字组件的网络安全供应链漏洞将继续成为能源部门系统的高度优先问题。能源部门和工业基地(ESIB)的遗留系统和现代系统将继续面临网络供应链受损的风险,网络空间中各种恶意行为者将继续发现能源系统是一个有吸引力的目标。与整个ESIB的合作伙伴合作以确保这些和未来系统的数字供应链是一个持续的优先事项。美国能源部(DOE)与能源行业的利益相关者合作,正在领导一系列正在进行的举措,以识别、优先处理和解决能源系统中数字组件的网络供应链风险。本文重点阐述了未来重点领域中存在的一些问题,以及解决网络供应链风险的一些措施和战略机遇。未来关注的领域1.遗留系统能源领域的遗留系统和新系统都有很长的生命周期,在许多情况下是几十年。遗留系统的更换周期也较慢,有许多因素导致时间框架延长。例如,具有执行遗留系统升级所需技能的劳动力供应有限;安排遗留系统更换所需的提前期(例如,大型输配电公司的SCADA/能源管理系统套件更换)需要多年的规划和准备才能切实可行Toggle;变更受制于严格的监管治理,并且在升级投资等方面经常存在挑战。因此,即使存在高风险网络漏洞的遗留系统仍将无法修复,并在较长时间内依赖隔离缓解措施.2.可再生能源、分布式能源和分布式能源管理系统可再生能源、分布式能源和分布式能源管理系统(管理分布式能源的软件平台)越来越多地被引入电网。预计新技术的注入将加速,重点是脱碳以应对气候变化。从运营技术的角度来看,这代表了网络技术架构的重大变化,因为能源系统正朝着传统集中式架构(中心辐射型)和具有数百万端点的新型分散式网格架构模型开发的融合方向发展。从网络安全的角度来看,新技术架构的引入和架构之间的集成改变了网络的整体风险模型。总体而言,需要从侧重于传统资产所有者的网络安全方法演变为更加重视终端设备制造商和第三方集成商的网络安全方法。面向消费终端设备制造商的全球数字供应链的网络安全,例如用于光伏等后计量应用的逆变器,对于电网未来的网络健康至关重要。3.远程操作互联能源部门系统的远程操作将继续并增加。资产所有者和为他们提供数字组件的制造商多年来一直在构建连接和远程系统的能力。这种趋势在很大程度上降低了正在进行的现场系统运营商的成本。大型投资者拥有的公用事业一直在稳步增长,以实现并购活动中收购的实物资产的软件和操作技术同质化,以实现跨多个物理位置的远程操作。全球大流行在过去一年大大加速了远程操作趋势。对工人安全的需求增加了资产所有者对远程操作技术的投资。制造商通过扩大技术创新来应对,例如提供基于云的工业控制系统以实现操作灵活性。从第三方托管的虚拟平台运行工业控制系统(ICS)并非不安全。然而,从云互联网运行ICS会显着改变其风险状况,如果没有安全地设计、构建、调试、操作和维护,就会使大部分关键系统面临网络风险。能源网络意识计划2021年基础设施投资和就业法案第40122条指示能源部与相关联邦机构合作,制定一项自愿计划,以测试能源部门使用的产品和技术的网络安全,包括散装系统产品和中使用的技术,包括与工业控制系统和操作技术相关的技术。该自愿测试计划的战略意图是改善能源行业系统关键组件(包括数字组件)供应链中的风险管理。工业控制系统的网络漏洞测试在过去三年中,弹性工业网络测试控制系统(CyTRICS)正在开发并在过去三年中初步实施,DOE的网络安全漏洞测试和数字子组件枚举计划OT和ICS。该自愿测试计划的战略意图还在于为能源部门系统中关键组件的供应链风险管理提供信息。从CyTRICS计划中汲取的主要活动、发现和经验教训正在被纳入新能源网络意识计划,以整合、发展和推进ESIB的优先网络安全成果。FY2020NDAA第5726节指示能源部与相关联邦机构、学术合作伙伴、能源部门资产所有者和运营商以及关键部件制造商合作,建立一个为期两年的试点计划,以确定能源部门安全漏洞的新类别并评估技术隔离和保护工业控制系统免受最关键的能源部门系统安全漏洞和攻击的标准。该工作组的可交付成果代表了将用于改进ESIB网络供应链风险管理的基础研究和分析。能源行业硬件和软件材料清单概念验证2021年1月,CyTRICS与国土安全部、美国能源部国家实验室、行业和学术合作伙伴合作,启动了能源行业试点项目,以展示数字子组件的发现共享和分析以揭示问题与次级供应商相关的风险。该试点计划旨在加速解决受损网络安全管理软件产品的根本原因,并支持执行第14028号行政命令“改善国家网络安全”。这种持续协作的战略成果展示了对软件供应链可见性和次级供应商可见性的长期挑战的更好的经验答案。清洁能源网络安全加速器美国能源部和国家可再生能源实验室于2021年10月启动清洁能源网络安全加速器(CECA),为各种规模和类型的资产所有者提供具有世界一流测试设施的第三方环境,以开发和部署可再生能源现代电网技术不仅具有成本竞争力,而且通过设计展现出最高水平的安全性。根据该计划进行的测试和分析将支持加强能源部门系统中新兴技术的数字供应链。正在进行的差距美国能源部将继续建立和开发这些和其他计划,以提高能源部门系统中关键数字组件的供应链安全性。尽管如此,许多结构性差距仍然阻碍了整体进展。主要差距如下所述。1.定义能源部门工业基地(ESIB)能源行业及其所依赖的供应链非常多样化。能源部门系统日益数字化、集成和互连需要一种更全面的方法来识别在网络供应链中分担风险的利益相关者。采取整体方法对于有效解决数字供应链中的共同风险至关重要。国防工业基地提供了一些可以利用的概念,这些概念可能有助于为能源部门开发一种整体方法。2、数据和分析能力缺乏对ESIB的全面定义,各组成部分的格式和要求不一致,导致目前的信息和分析工具碎片化、不一致和不完整。因此,在构建和维护弹性数字供应链时,了解当前和新出现的供应链威胁、风险、漏洞和机遇,获取供应链数据和分析工具以提供决策支持非常重要。可用于有效数字供应链分析的数据示例包括关键软件的流行度和重要性、软件物料清单和市场份额。全面和规范化的数据对于澄清、分析和识别系统性数字供应链风险和跟踪进展至关重要。3.战略方法DOE目前没有涵盖ESIB的战略可以完全解决相互依赖的数字供应链的安全问题。需要一种更全面的方法来有效提高弹性和数字供应链安全性。安全数字组件供应链战略可以有效地识别ESIB的关键子行业和对美国能源安全至关重要的公司所使用的关键数字组件的供应链安全行动。战略方法将实现关键的ESIB范围内的能力,包括:定义关键数字供应链并确定其优先级;基线和定义目标;随着电网现代化和脱碳趋势的加速,有效规划预期变化。4.更一致的指导对关键能源系统中数字组件的供应链风险的分散和不一致的监督仍然存在差距。用于管理ESIB常见网络安全风险的政策凝聚力和更一致的指导方针、标准和流程可以弥合这一差距。提高ESIB范围一致性的一个关键部分将包括与主要政府和ESIB利益相关者合作,以利用和建立现有标准和新兴规则,例如第14028号行政命令“改善国家网络安全”中确定的指导方针。战略机遇DOE将继续根据行政和立法方向优先考虑管理ESIB网络供应链风险的项目和举措。此外,还存在制定政策以管理未来新出现风险的战略机遇。新的优先事项可以优先考虑以下要素。1.保护分布式能源管理系统和终端设备随着电网的现代化和脱碳,越来越多的终端设备——例如消费类电动汽车(EV)充电器——将连接到电网。用于在传统公用事业和资产所有者、第三方聚合商和消费者之间管理和聚合这些设备(分布式能源管理系统(DERMS))的软件对于安全管理这些日益复杂的互连系统至关重要,这一点将变得越来越重要。因此,必须进行积极的安全投资,以确保连接设备上固件的网络供应链以及用于连接和管理它们的软件系统的完整性。在开发支持能源部门的新兴技术时,应注意向次级供应商阐明风险的方式。2.安全虚拟平台,运营更灵活ICS效率驱动趋势将持续,ESIC为能源领域提供的第三方虚拟平台和虚拟服务的安全将成为日益重要的网络供应链风险,需要防范得到解决管理。现代技术架构应该以设计安全原则为指导,不仅在系统本身,而且在支持它们的数字供应链中。3.确保数据供应链的完整性AI/ML的使用将继续向人工智能发展,并应用于越来越复杂的日常应用,包括管理电网的安全高效运行。因此,建议我国相关机构积极投入,确保数据集、AI模型、AI训练的全球商业供应链的完整性,防止因美国的恶意破坏这些关键能力。对他们的依赖。参考文献[1]https://www.congress.gov/bill/117th-congress/house-bill/3684/text[2]https://inLgov/cytrics/[3]2021年基础设施投资和法案第40122条就业法(Pub.L.117-58)[4]https://img.ydisp.cn/news/20220901/3copxueer0khttps://docs.house.gov/billsthisweek/20191209/CRPT-116hrpt333.pdf[6]https://inl.gov/sbom-poc/[7]https://www.federalregister.gov/documents/2021/05/17/2021-10460/improving-the-nations-cybersecurity[8]https://www.nrel.gov/innovate/cybersecurity-accelerator.html[9]国会研究服务(2021)。“国防入门:美国国防工业基地。”https://crsreports.congress.gov/product/pdf/IF/IF10548[10]国会研究服务处(2021)。“国防入门:国家技术和工业基地。”https://crsreports.congress.gov/product/pdf/IF/IF11311[11]https://www.dni.gov/index.php/gt2040-home/gt2040-结构力/技术
