电网容易受到日益增加的网络威胁，从而产生物理后果。随着监测和控制技术以及连接设备在工业和消费层面的进一步整合，针对电网和运营的破坏性攻击新载体也逐渐出现。

一、领域风险

1、网络安全

对于电力行业来说，网络安全是一个不断发展的安全挑战。

网络攻击对电力行业构成持续威胁，并可能造成严重的物理和经济损害。黑客可以通过勒索软件攻击，或利用虚拟专用网，并访问负责关键操作部件的控制系统，如变压器上的开关，从而扰乱运营。恶意行为者可能继续利用网络活动绕过物理安全措施。

2、物理安全

电力分行业的物理安全要求是一个复杂的挑战。例如，多样化和分散的户外分站网络容易受到一些物理攻击。擅闯者可以使用枪支、炸药和机动车辆破坏变压器和破坏现场控制系统。未经授权的人也越来越多地使用小型无人机系统，绕过传统的安全措施进行监视，破坏传输线路，并执行其他邪恶的行动。

3、供应链安全

管理组件采购的安全和质量控制是至关重要的电力分部门。当工业控制系统（ICS）、监控和数据采集（SCADA）或软件管理系统广泛分布在电力分行业时，单个受损的制造商或安全不佳的组件可能会损害公用事业系统。此外，对子行业关键组件制造商供应链的攻击可能会推迟关键运营组件的收购。

4、外围设备安全

电力分行业运营商越来越多地将工业物联网（IIoT）设备与ICS集成，以帮助监控、规范和管理运行环境。这些连接设备给企业安全带来了许多与传统ICS相同的风险。工业物联网设备的固有风险包括设计、制造、实施、配置和处置等方面的漏洞。例如，使用过时或未打补丁的软件或固件的工业物联网设备可能面临更大的风险，被用于渗透企业网络、系统和存储在云中的数据。

二、电力分行业安全的最佳做法

1、保护网络

• 识别、最小化和保护所有与ICS资产的网络连接。

• 通过禁用不必要的服务、端口和协议来保护ICS和支持系统。

• 启用安全特性并实现健壮的配置管理实践。

• 持续监控设施网络、应用程序和其他ICS和SCADA软件系统。

• 制定设施范围内的网络安全标准并实施网络安全最佳实践，如系统访问的多因素认证。

• 定期对ICS安全补丁进行检查、测试和实施。

2、安全的脆弱的基础设施

• 识别、最小化和保护所有与ICS资产的网络连接。

• 通过禁用不必要的服务、端口和协议来保护ICS和支持系统。启用安全特性并实现健壮的配置管理实践。

• 持续监控设施网络、应用程序和其他ICS和SCADA软件系统。

• 制定设施范围内的网络安全标准并实施网络安全最佳实践，如系统访问的多因素认证。

• 定期对ICS安全补丁进行检查、测试和实施。

3、正式化跨组织的安全功能

实施一种综合的安全方法，使网络安全和物理安全团队与电网运营商保持一致。交叉培训安全人员，使其能够全面了解网络物理威胁及其对电网运行的影响，并考虑实施内部威胁缓解计划。这种协作可以确保工作人员掌握知识和工具，快速识别和应对跨部门影响的事件。参见CISA的网络安全和物理安全融合指南，该指南提供了在网络安全和物理安全团队之间建立正式协作的框架。

4、更新基础设施和技术

投资改善对日常运营至关重要的基础设施和运营技术（OT）。当安装连接到信息技术（IT）网络的新的OT系统时，确保两个系统都能随时安全更新。了解OT是如何与企业网络交互和连接的。识别、逻辑隔离并考虑如何在您的环境中使用过时或孤立的设备，并确保应用了风险管理原则。

5、评估供应链

与组织内部从事供应采购和安全和合规管理的个人协调，以确保有效的供应链管理实践。建立协议来评估已经采购的硬件和软件组件，以了解哪些组件用于关键功能，以及哪些系统具有对这些系统的远程访问能力。考虑如何将信息和通信技术供应链风险管理（SCRM）和SCRM要素集成到每个组件中，以识别与ICS的可用性、完整性和保密性相关的风险和漏洞。

6、安全连接设备

清点工业物联网设备，了解它们如何通信和连接到网络，并禁用任何不必要的互联网连接、端口和设备。确保连接的设备只连接到预期的系统。将支持IIoT设备的网络与IT、OT主网络隔离。考虑采购的工业物联网设备是否支持软件更新或安全补丁。教育系统管理员网络安全和集成商/供应商在互联工业物联网环境中协作的重要性。

三、保持弹性

1、报告

遵守行业报告要求，建立内部程序，自愿向相关部门报告事件和入侵。利用可用的工具，如CISA的网络事件报告机制。及时报告可使可采取行动的情报迅速传播给行业合作伙伴和利益攸关方，从而提高全行业威胁的可见度。它为行业安全利益相关者创造了一个共同的操作场景，以促进部署探测和预防技术，最大限度地减少已识别威胁的影响。事件报告还为开发基于威胁的产品和计划提供信息，并支持信息共享工作，将公共和私营部门合作伙伴相互连接，并使用资源，以帮助识别、预防、缓解和恢复网络事件。

2、评估

遵守行业报告要求，建立内部程序，自愿向相关部门报告事件和入侵。利用可用的工具，如CISA的网络事件报告机制。及时报告可使可采取行动的情报迅速传播给行业合作伙伴和利益攸关方，从而提高全行业威胁的可见度。它为行业安全利益相关者创造了一个共同的操作场景，以促进部署探测和预防技术，最大限度地减少已识别威胁的影响。事件报告还为开发基于威胁的产品和计划提供信息，并支持信息共享工作，将公共和私营部门合作伙伴相互连接，并使用资源，以帮助识别、预防、缓解和恢复网络事件。

3、合作

定期对网络和物理组件进行详细评估，以确定依赖关系和相互依赖关系。了解当前的威胁和已知利用的漏洞。最后，确定一次成功的网络攻击或物理攻击的潜在影响。这些评估帮助涉众告知风险管理计划，以分析对关键基础设施的威胁、漏洞和后果。

4、应急计划

与执法部门以及联邦、州、地方、部落和领土合作伙伴联系，随时了解当前的威胁状况。与这些伙伴合作，了解应该采用的防御层，制定安全计划，并了解对手使用的最新战术、技术和程序。此外，与独立关键职能和资源的操作员沟通，以了解网络或物理攻击的级联影响。

四、工具

1、CISA区域顾问

CISA通过一个强大的主题专家网络与行业伙伴和利益相关者合作，包括保护安全顾问、网络安全顾问和跨机构安全委员会区域顾问。这些现场资源与全国各地的组织连接，提供全面的安全专业知识、指导和支持，包括风险评估、安全规划、培训和演习。

2、网络安全能力成熟度模型（C2M2）

C2M2帮助组织准确评估其网络安全项目的投资和改进，并加强其运营弹性。C2M2工具专注于实施和管理与IT和OT资产相关的网络安全实践，以及它们运行的环境。

3、事故报告

CISA提供了一种安全的、支持网络的机制，当勒索软件或其他网络事件发生时，该机制有助于报告相关信息，如日期、时间、组织和事件描述。这可以在发生安全事件时提供快速响应能力，并进行实时安全分析，以了解跨多个关键基础设施部门的潜在级联影响。需要向相关部门报告的事件包括钓鱼电子邮件、未经授权的系统访问企图、恶意软件以及未经授权的系统、固件或软件特征更改。

4、网络安全运营技术环境（CyOTETM）

CyOTE是美国能源部网络安全、能源安全和应急响应（CESER）办公室的投资，旨在增强电力部门对可能表明OT网络中恶意网络活动的异常行为的威胁检测。该计划旨在开发工具和能力，为电力资产所有者和运营商提供及时的警报和可采取行动的信息。

5、网络安全风险信息共享计划（CRISP）

CRISP是美国能源部和电力信息共享与分析中心之间的一个公私合作伙伴关系。CRISP与能源部门的合作伙伴合作，促进网络信息的及时双向共享，增强该部门保护关键电力基础设施的能力。

6、弹性工业控制系统（CyTRICS）网络测试

CyTRICS与各利益相关方合作，确定高优先级OT组件，进行专家网络测试，共享测试结果，并告知组件设计的改进。CyTRICS在美国能源部的四个国家实验室和战略合作伙伴中利用了一流的测试能力，这些合作伙伴包括技术开发人员、制造商、资产所有者和运营商以及跨部门合作伙伴。

内容主要整理自相关网站资料。

仅供学习参考，欢迎交流指正。

阅读英文原文

公众号内回复“DP73”

获取《SECTOR SPOTLIGHT: Cyber-Physical Security Considerations for the Electricity Sub-Sector》下载地址。