美国电力行业信息安全运作机制.docVIP

美国电力行业信息安全运作机制 网络威胁对电力系统的影响将是涉及国家安全、公共安全和国民经济的至关重要的问题。智能电网的出现和发展表现为电能和信息的双向或多向流动，电网的发展越来越多地与信息网络发展相交融。信息安全涉及电网全生命周期和各方利益，其复杂性以及实时性的要求，决定了电网的信息安全是一个全面持续的挑战。 美国能源部2011年发布的《实现能源传输系统信息安全路线图》，明确指出信息安全是确保电网有效运行、保障智能电网发展的关键性因素口，需要政府部门、研究机构、各利益相关方等协同努力，以保障电网的安全性。美国凭借其雄厚的信息技术基础，建立并逐步完善形成各层级多方协同的息安全运作机制，很多举措对于中国电力行业信息安全建设，具有很好的参考价值。本文介绍了美国能源传输系统信息安全路线图，同时梳理了信息安全的管理机构、研究资源提供的组织和技术保障基本状况。 一、美国电力行业信息安全的战略框架 为响应奥巴马政府关于加强国家能源基础设施安全(13636行政令，即Executive Order 13636-Improving Critical Infrastructure Cyber security)的要求美国能源部出资能源行业控制系统工作组(Energy Sector Control Systems Working Group, ESCWG)在《保护能源行业控制系统路线图》的基础上，于2011年发布了《实现能源传输系统信息安全路线图》。2011路线图为电力行业未来10年的信息安全制定了战略框架和行动计划，体现了美国加强国家电网持续安全和可靠性的承诺和努力。 路线图基于风险管理原则，明确了至2020年美国能源传输系统网络安全目标、实施策略及里程碑计划指导行业、政府、学术界为共同愿景投入并协同合作。2011路线图指出：至2020年要设计、安装、运行、维护坚韧的能源传输系统，美国的能源行业的网络安全目标已从安全防护转向系统坚韧。路线图提供了实现目标的5个策略，为行业、政府、学术界指明了发展方向和工作思路。(1)建立安全文化。(2)评估和监测风险。(3)指定和实施新的保护措施。(4)开展事件管理。(5)持续安全改进。 为及时跟踪2011路线图实施情况，能源行业控制系统工作组(ESCSWG)提供了ie Roadmap交互式平台。通过该平台共享各方的努力成果，掌握里程碑进展情况，使能源利益相关者为路线图的实现作一致努力。 二、美国电力行业信息安全管理机构 承担美国电力行业信息相关职责的主要政府机构和组织包括：国土安全部（DHS），能源部（DOE）、联邦能源管理委员会（FERC），北美电力可靠性公司（NERC）以及各州公共事业委员会（PUC）。 2.1 国土安全部 美国国土安全部是美国联邦政府指定的基础设施信息安全领导部门，负责监督保护政府网络安全，为私营企业提供专业援助。2009年DHS建立了国家信息安全和通信集成中心负责与联邦相关部门、各州、各行业以及国际社会共享网络威胁发展趋势，组织协调事件响应。 2.2 美国能源部 美国能源部不直接承担电网信息安全的管理职责，而是通过指导技术研发和协助项目开发促进私营企业发展和技术进步。能源部的电力传输和能源可靠性办公室(Office of Electricity Delivery Energy Reliability)承担加强国家能源基础设施的可靠性和坚韧性的职责，提供技术研究和发展的资金，推进风险管理策略和信息安全标准研发，促进威胁信息的及时共享为电网信息安全战略性综合方案提供支撑。 能源部2012年与美国国家标准技术研究院、北美电力可靠性公司合作编制了《电力安全风险管理过程指南》(Electricity Subsector Cybersecurity Risk Management Process)；2014年与国土安全部等共同协作编制完成了《电力行业信息安全能力成熟度模型》(Electricity Subsector cybersecurity Capability Maturity Model)，以支撑电力行业的信息安全能力评估和提升；2014年资助能源行业控制系统工作组(ESCSWG)形成了《能源传输系统网络安全采购用语指南》以加强供应链的信息安全风险管理。 在2011路线图的指导下，能源部启动了能源传输系统的信息安全项目，资助爱达荷国家实验室建立SCADA安全测试平台，发现并解决行业面临的关键安全漏洞和威胁；资助伊利诺伊大学等开展值得信赖的电网网络基础结构研究 2.3 联邦能源管理委员会 联邦能源管理委员会负责依法制定联邦政府职责范围内的能源监管政策并实施监管，是独立监管机构。2005年能源政策法案授权FERC监督包括信息安全标准在内的主干电网强制可靠性标准的实施。2007年能源独立与安全法案