近期，美国能源部（DOE）发布了《国家网络信息工程战略》（National Cyber-Informed Engineering strategy,NCIES）。CIE是一个新兴的架构，由国家实验室发起并由能源部推进，旨在尽可能早的阶段将网络安全纳入能源系统，以保护关键能源基础设施，该架构的相关方包括能源公司、能源系统和网络安全制造商、标准机构、研究人员、能源部国家实验室以及网络安全和工程任务领域的合作伙伴。

一、执行摘要

1、持续的网络安全挑战

关键能源基础设施的工业控制系统所面临的网络攻击日益严重和复杂。为了避免关键能源基础设施遭到攻击而中断，能源系统的设计必须能够抵御网络攻击。大多数网络安全解决方案是在系统建设后建立的，而不是在能源系统设计之初就进行设计的。

2、网络信息工程（CIE）的机遇

CIE是一种新兴的方法，从系统设计开始就将安全理念引入到概念定义、设计开发和操作设计中，利用设计决策和工程控制来减轻甚至消除网络攻击，或减轻攻击发生所产生的后果。

虽然专业的信息技术（IT）和操作技术（OT）网络安全专家为确保当今能源系统的安全提供了强大的网络安全能力，但许多设计和操作这些能源系统的工程师和技术人员目前缺乏足够的网络安全教育和培训，无法从一开始就将“安全”设计到系统当中。

3、CIE的能源战略

将CIE纳入需要数字监测或控制的基础设施系统的设计和运行中，CIE战略建立在五个综合支柱之上，以便将CIE应用于能源基础设施，并设计未来的能源系统，以提高抵抗网络攻击的能力。

虽然CIE战略是为能源部门制定的，但它可以作为一个通用模型，可供其他行业关键基础设施参考使用并纳入行业实践。CIE概念和战略适用于所有类型的关键基础设施工程的基本工程原则。将CIE方法纳入国家下一代工程师和工业控制系统技术人员的教育和资格认证中，将创造一支具有网络意识的队伍，能够设计和制造有弹性的基础设施系统。

二、现状

数字技术的应用可能会在关键的操作和系统功能中带来漏洞，损害控制系统的可用性、完整性、可信度或真实性。除非在危险评估方法中明确考虑可能产生的网络安全风险问题，否则这些漏洞通常不会被发现。

系统工程师可能缺乏必要的安全知识背景、实践经验等，在开发系统的过程中不能识别、理解和减轻系统安全风险，系统工程师和支持他们的技术人员往往在系统实施生命周期的后期依赖网络安全专业人员对系统进行保护。这种方式降低了系统抵抗网络攻击的弹性，增加了网络风险。这种风险会被手段高超的网络攻击者放大并利用，从而制造破坏。

三、最终预期目标

工程师将网络安全实践纳入数字控制的能源基础设施系统的知识体系，包括系统最低要求和规格。工程师和技术人员在设计和集成能源系统时，充分评估网络攻击的潜在破坏性和危害。

只有在对风险进行了完整的评估，并且组织在被准确告知潜在的后果后接受任何剩余的风险时，才会选择控制系统并将其整合到物理系统中。业主、运营商、设计者、维护者、设备制造商和系统集成商之间进行有效和持续的沟通，以支持有关在能源基础设施中使用控制系统的风险决策。

未来的技术从研究的开始到发展的生命周期都被设计成具有网络弹性。在系统生命周期的早期进行网络风险管理，可使网络安全控制的应用更加有效和高效，并在潜在的网络破坏中实现关键功能的弹性运行。

影响能源基础设施的广泛的利益相关者都被适当地告知网络风险，并有一个网络安全的责任和机构文化。由于在系统设计阶段就已经建立了安全风险防范，工程系统在其生命周期内安全运行的成本效益更高，安全也能得到更有效地控制。

四、CIE的原则

设计和操作原则

【以事件危害为核心的设计】将CIE战略首先应用于可能导致不可接受的后果的关键功能。使用一个结构化和完整的过程来确定网络攻击可能导致严重后果的地方，并研究如何通过安全设计、实施和操作来避免这种后果。

【安全的信息架构】设计信息路径以确保数据以安全的方式流转，并使用适当的架构控制这些信息流转，限制攻击者使用系统或其信息的能力。

【设计简化】简化系统、组件或架构设计，在一开始就依据后果的严重程度不同，设计系统、组件或架构，减少攻击者滥用漏洞的机会。

【弹性的分层防御】假设出现漏洞，采用深度防御策略，减少因单一故障影响关键功能或造成连带故障的机会。这包括建立多样性、冗余和系统加固，以实现充分的防御和保护。实现在网络事件中的可预测。

【主动防御】在系统设计中采用动态元素，检测和防御网络威胁，使系统在检测到入侵者时能够继续弹性地运行，并在不影响关键操作的情况下隔离或消除威胁。

组织原则

【相互依赖性评估】整合来自各部门（如安全、质量、维护、化学）的投入，以了解数字滥用如何影响其运营，以确保工程师能够充分明确由系统相互依赖性而引起的风险。

数字资产意识。保持完整和准确的数字资产清单，使工程师能够随时跟踪硬件、固件和软件，并积极分析其中可能存在的漏洞。

【网络安全的供应链控制】利用采购合同要求，确保供应商、集成商和第三方承包商交付的产品符合设计规范，并符合网络安全的组织流程和控制。

计划中的弹性，没有假设的安全。预期任何数字组件或系统可能在其生命周期中的某个时刻被破坏，并计划在网络攻击期间和之后继续运行，以降低数字控制。尽可能地实施零信任架构。

【工程信息控制】保护敏感的工程记录包括需求、规格、设计、配置、测试等，这些记录如果被释放，可能会给攻击者提供关键信息，使系统面临更大的风险。

【网络安全文化】通过跨职能和跨学科的团队，在系统设计和实施中考虑网络相关的问题，将网络安全纳入组织文化。在整个组织内持续组织网络安全培训，赋予所有员工参与网络安全的权力。

内容主要整理自外文网站相关资料。

仅供学习参考，欢迎交流指正。

文章观点不代表本公司立场。

阅读英文原文

微信公众号内回复“DP68”

获取《DOE National CIE Strategy》下载地址。

双湃智安更懂工控安全。
网络安全专家和工控专家根据各类工业企业生产运营特点，量身定制简单、适用的工控网络安全解决方案。