導語

所有數字組件的網絡安全供應鏈漏洞將繼續成為能源部門系統的高度優先問題，因為這些系統變得越來越數字化、同質化和遠程化操作。

能源部門與工業基礎（ESIB）的傳統系統和現代系統都將繼續面臨網絡供應鏈受損的風險，網絡空間中的各種惡意攻擊者將繼續發覺能源系統是一個有吸引力的目標。與整個ESIB的合作伙伴合作，確保這些及未來系統的數字供應鏈的安全，是當前持續的優先事項。

美國能源部（DOE）與整個能源行業的利益關系者合作，領導一系列正在進行的計劃，以識別、優先處理和解決能源系統中數字組件的網絡供應鏈風險。

本文重點介紹未來重點關注的領域其存在的一些問題及解決網絡供應鏈風險的一些舉措和戰略機遇。

未來重點關注的領域

1.遺留系統

能源部門的遺留系統和新系統都有很長的生命周期，在許多情況下長達幾十年。遺留系統的更換周期也較慢，許多因素導致了時間范圍的延長。例如，具備執行遺留系統升級所需技能的勞動力供應有限；安排遺留系統更換所需的交付周期（例如，大型輸配電公司的SCADA/能源管理系統套件更換）需要多年的規劃和準備才能進行實際切換；變更受到嚴格的監管治理，并且在升級的資金投資方面經常存在挑戰等。因此遺留系統即使在存在高風險網絡漏洞，許多漏洞仍將無法彌補，并在很長一段時間內依賴隔離緩解措施。

2.可再生能源、分布式能源和分布式能源管理系統

可再生能源、分布式能源和分布式能源管理系統（用于管理分布式能源的軟件平臺）正越來越多地被引入電網。這種新技術的注入預計將會加快，重點關注脫碳以應對氣候變化。

從操作技術的角度來看，這代表了網絡技術架構的一個重大變化，因為能源系統正在向一個融合了傳統集中式架構（中心輻射式）和具有數百萬個端點的新的分散式網狀架構的模型發展。

從網絡安全的角度來看，新技術架構的引入和架構間的集成改變了網絡的整體風險模型。總的來說，需要從關注傳統資產所有者的網絡安全方法發展到更加重視終端設備制造商和第三方集成商的方法。消費終端設備制造商全球數字供應鏈的網絡安全（如用于光伏等儀表后應用的逆變器）對電網未來的網絡健康至關重要。

3.遠程操作

互聯能源部門系統的遠程操作將繼續并增加。資產所有者和向他們提供數字組件的制造商多年來一直在建設連接系統和遠程系統的能力。這一趨勢在很大程度上降低持續現場系統運營商的成本。大型投資者擁有的公用事業一直在穩步增長，將并購活動中收購的實物資產的軟件和操作技術同質化，以實現多個物理位置的遠程操作。

在過去的一年中，全球疫情大大加速了遠程操作趨勢。工人安全的必要性增加了資產所有者對遠程操作技術的投資。制造商通過擴大技術創新做出回應，如提供基于云的工業控制系統以實現操作靈活性。從第三方托管的虛擬平臺上運行工業控制系統（ICS）并非不安全。然而，從云互聯網運行ICS會顯著改變其風險狀況，如果沒有安全地設計、構建、調試、運行和維護，會使更大一部分關鍵系統面臨網絡風險。

能源網絡感知計劃

2021年基礎設施投資和就業法案第40122條指示DOE與相關聯邦機構合作，制定了一項自愿計劃，以測試用于能源領域的產品和技術的網絡安全性，包括在大容量系統中使用的產品和技術，包括與工業控制系統和操作技術相關的產品。該自愿測試計劃的戰略意圖是改善能源行業系統中關鍵組件（包括數字組件）供應鏈的風險管理。

工業控制系統的網絡脆弱性測試

在過去三年中，正在開發和初步實施的彈性工業網絡測試控制系統 (CyTRICS)是DOE用于OT和ICS的網絡安全漏洞測試和數字子組件枚舉的程序。該自愿測試計劃的戰略意圖還在于為能源部門系統中關鍵組件的供應鏈風險管理提供信息。CyTRICS計劃的主要活動、發現和經驗教訓正在被納入新能源網絡感知計劃，以整合、發展和推動ESIB的優先網絡安全成果。

確保能源基礎設施執行特別工作組

2020財年國防授權法案第5726條指示DOE與相關聯邦機構、學術合作伙伴、能源部門資產所有者和運營商以及關鍵部件制造商合作，在國家實驗室建立一個為期兩年的試點計劃，以識別能源部門新的安全漏洞類別，并評估隔離和保護工業控制系統不受最關鍵的能源部門系統安全漏洞和攻擊的技術和標準。該工作組的交付成果代表了將用于改進ESIB中的網絡供應鏈風險管理的基礎研究和分析。

能源部門軟硬件材料清單概念驗證

2021年1月，CyTRICS與DHS、DOE國家實驗室、行業和學術合作伙伴合作，啟動了能源行業試點項目，以展示數字子組件的發現共享和分析，從而揭示與次級供應商相關的風險。該試點項目旨在加速解決導致網絡安全管理軟件產品妥協的根本原因，并支持執行第14028號行政命令“改善國家網絡安全”。這種持續合作努力的戰略成果展示一個更好的經驗性答案，以解決軟件供應鏈可見性和次級供應商可見性的長期挑戰。

清潔能源網絡安全加速器

DOE和國家可再生能源實驗室于2021年10月啟動了清潔能源網絡安全加速器(CECA)，為各種規模和類型的資產所有者提供具有世界一流測試設施的第三方環境，以開發和部署可再生的現代電網技術，不僅具有成本競爭力，而且通過設計展示了最高級別的安全性。在該計劃下進行的測試和分析將支持加強能源部門系統中新興技術的數字供應鏈。

持續的差距

美國能源部將繼續建立和發展這些計劃和其他計劃，以提高能源部門系統中關鍵數字組件的供應鏈安全。盡管如此，仍然存在許多阻礙整體進展的結構性差距。關鍵差距如下所述。

1.界定能源部門工業基礎（ESIB）

能源行業及其所依賴的供應鏈非常多樣化。能源部門系統的日益數字化、一體化和互聯化需要一種更全面的方法來識別網絡供應鏈風險共擔的利益相關者。采用整體方法是有效解決數字供應鏈中共享風險的基礎。國防工業基地提供了一些可利用的概念，可能有助于為能源部門制定整體方法。

2.數據和分析能力

缺乏對ESIB的全面定義并且各組成部分的格式和要求不一致，導致當前的信息和分析工具支離破碎、不一致且不完整。因此，在構建和維護彈性數字供應鏈時，了解當前和新出現的供應鏈威脅、風險、漏洞和機遇，訪問供應鏈數據和分析工具以提供決策支持非常重要。例如，可用于進行有效數字供應鏈分析的數據包括關鍵軟件的流行度和重要性、軟件材料清單和市場份額。全面和規范化的數據對于闡明、分析和確定系統性數字供應鏈風險以及跟蹤進度至關重要。

3.戰略方法

DOE目前還沒有一個覆蓋ESIB的策略，能完全解決相互依賴的數字供應鏈的安全問題，需要一種更全面的方法來有效提高彈性和數字供應鏈安全性。一個安全的數字原件供應鏈策略可以有效地確定關鍵數字元件供應鏈安全的行動，這些關鍵數字元件由ESIB的關鍵子行業和公司使用，對美國的能源安全至關重要。戰略方法將啟用關鍵的 ESIB 范圍功能，包括：定義和優先考慮關鍵的數字供應鏈；基線和定義目標；隨著電網現代化和去碳化趨勢的加速，對預期變化進行有效規劃。

4.更加一致的指導方針

對關鍵能源系統中的數字組件的供應鏈風險的分散和不一致的監督仍然是一個空白。管理ESIB共同網絡安全風險的政策凝聚力和更一致的指導方針、標準和流程可以彌補這一差距。提高ESIB范圍一致性的一個關鍵部分將包括與主要政府和ESIB利益相關方合作，利用和建立現有的標準和新興規則，如第14028號行政命令“提高國家網絡安全”中確定的準則。

戰略機遇

美國能源部將繼續根據行政和立法指示，優先考慮項目和倡議，以管理ESIB的網絡供應鏈風險。此外，還存在一個制定政策來管理未來新出現的風險的戰略機遇。新的優先事項可以優先處理以下要素。

1.保護分布式能源管理系統和終端設備

隨著電網的現代化和去碳化，越來越多的終端設備——如消費類電動車（EV）充電器——將接入電網。用于在傳統公用事業和資產所有者、第三方聚合商和消費者之間管理和聚合這些設備的軟件——分布式能源管理系統(DERMS)——在安全管理這些日益復雜的互連系統方面將變得越來越重要。因此，必須進行主動的安全投資，以確保連接設備上的固件和用于連接和管理它們的軟件系統的網絡供應鏈的完整性。開發支持能源部門的新興技術時，應注意闡明次級供應商風險的方法。

2.保護虛擬平臺

更靈活運作ICS的效率驅動趨勢將繼續下去，因此，由ESIC向能源部門提供的第三方虛擬平臺和虛擬服務的安全性將成為越來越重要的網絡供應鏈風險，需要加以管理。現代技術架構應該遵循設計安全的原則，不僅在系統本身，而且在支持它們的數字供應鏈中。

3.確保數據供應鏈的完整性

AI/ML的使用將繼續朝著人工智能的方向發展，并應用于越來越多的復雜的日常應用，包括管理電網的安全和高效運行。因此，建議我國相關組織積極投資，確保數據集、人工智能模型和人工智能培訓的商業全球供應鏈的完整性，以防止這些關鍵能力因美國對其的依賴而受到惡意損害。

參考文獻

[1] https://www.congress.gov/bill/117th-congress/house-bill/3684/text

[2] https://inLgov/cytrics/

[3] Section 40122 of the 2021 Infrastructure Investment and Jobs Act(Pub.L.117-58)

[4] https://www.energy.gov/ceser/national-defense-authorization-act-fiscal-year-2020-ndaa#:%7E:text=National%20Defense%20Authorization%20Act%20for%20Fiscal%20Year%202020%20(NDAA)%2C,owners%20and%20operators%20and%20critical

[5] https://docs.house.gov/billsthisweek/20191209/CRPT-116hrpt333.pdf

[6] https://inl.gov/sbom-poc/

[7]https://www.federalregister.gov/documents/2021/05/17/2021-10460/improving-the-nations-cybersecurity

[8] https://www.nrel.gov/innovate/cybersecurity-accelerator.html

[9] Congressional Research Service (2021). “Defense Primer: U.S. Defense Industrial Base.”

https://crsreports.congress.gov/product/pdf/IF/IF10548

[10]Congressional Research Service (2021). “Defense Primer: The National Technology and Industrial Base.”

https://crsreports.congress.gov/product/pdf/IF/IF11311

[11]https://www.dni.gov/index.php/gt2040-home/gt2040-structural-forces/technology