2022年6月15日,美国能源部(DOE)发布了由国会指导的国家网络信息工程战略,为加强工程培训、工具和实践提供一个框架,以建立具有弹性的清洁能源系统,旨在抵御网络威胁。该战略鼓励在工程系统设计生命周期的早期纳入网络安全技术,以减少网络风险和漏洞,包括来自外国参与者的威胁。为了实现拜登总统提出的“2050年零碳经济”目标,确保坚固可靠的清洁能源电网是关键。以下是该战略的摘要:
一、持续的网络安全挑战
运营关键能源基础设施的工业控制系统,面临着来自坚定对手日益严重和复杂的网络攻击。为了避免国家的重要能源功能受到破坏,能源系统必须设计成能够承受蓄意的网络攻击、利用和滥用。
虽然传统工程包含大量的安全和故障模式分析,但这些风险管理方法很少处理智能和有能力的对手引入的风险,其目的是使用网络手段否认、干扰或破坏关键功能。大多数网络安全解决方案都是在工程生命周期的后期才使用的,而不是在系统设计中内置的。
二、信息工程的机遇
网络信息工程(CIE)提供了在整个设备或系统生命周期中设计一些网络风险的机会,从设计的最早阶段开始,在最优时间引入低成本和有效的网络安全方法。
CIE是一种新兴的方法,将网络安全考虑纳入任何具有数字连接、监控或控制的物理系统的概念、设计、开发和运行。CIE方法使用设计决策和工程控制来减轻甚至消除网络攻击,或减少攻击发生时的后果。
虽然专业的信息技术(IT)和运营技术(OT)网络安全专家为当今的能源系统提供了强大的网络安全能力,但许多设计和操作这些能源系统的工程师和技术人员目前缺乏足够的网络安全教育和培训,从一开始就没有为网络安全设计系统,就像他们为安全设计这些系统一样。
三、国家网络信息工程战略
根据国会指示,美国能源部和安全能源基础设施执行工作组制定了一项战略,使能源部门能够领导国家将网络信息工程纳入依赖数字监测或控制的基础设施系统的设计和运行。
国家网络信息工程战略建立在五个综合支柱上(见下图),提供了一套建议,将网络信息工程作为整个能源部门的普遍做法。总之,这些方法为知识主体,多样化和扩大的劳动力,以及工程和制造能力提供了将CIE应用于今天的能源基础设施,并设计未来的能源系统,以消除或降低网络攻击的成功能力。
CIE为建立能源行业的网络安全文化提供了基础和方法,类似于行业的强大的安全文化。主导这种文化转变的将是工程师、工业控制系统技术人员、网络安全专业人员、制造商以及能源部门工业基地的所有者和运营商。国家CIE战略支柱为加速这种文化转变提供了强大的、综合的基础。CIE下一步的工作将是召集广泛的利益相关者,为战略的每个支柱制定详细的实施计划。
虽然这个国家网络信息工程战略是为能源部制定的,但它可以作为一个杠杆模型,为其他关键的基础设施部门所采用并将CIE纳入行业实践。CIE的概念和策略包括适用于关键基础设施的所有类型的工程的基本工程原则。将CIE方法嵌入到国家下一代工程师和工业控制系统技术人员的教育和认证中,将创建一个具有网络意识的劳动力队伍,可以设计和制造跨部门的弹性基础设施系统。
