網(wǎng)絡(luò)安全行動(dòng)計(jì)劃精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)安全行動(dòng)計(jì)劃主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)安全行動(dòng)計(jì)劃范文

投資要點(diǎn)

網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略加快信息建設(shè)速度，推進(jìn)物聯(lián)網(wǎng)技術(shù)發(fā)展：綱要提出，牢牢把握信息技術(shù)變革趨勢(shì)，實(shí)施網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略，加快建設(shè)數(shù)字中國(guó)，推動(dòng)信息技術(shù)與經(jīng)濟(jì)社會(huì)發(fā)展深度融合，加快推動(dòng)信息經(jīng)濟(jì)發(fā)展壯大。要構(gòu)建泛在高效的信息網(wǎng)絡(luò)，加快構(gòu)建高速、移動(dòng)、安全、泛在的新一代信息基礎(chǔ)設(shè)施，推進(jìn)信息網(wǎng)絡(luò)技術(shù)廣泛運(yùn)用，形成萬(wàn)物互聯(lián)、人機(jī)交互、天地一體的網(wǎng)絡(luò)空間。信息化建設(shè)加速以及傳輸成本下，是打造萬(wàn)物互聯(lián)的網(wǎng)絡(luò)空間的重要基礎(chǔ)，物聯(lián)網(wǎng)技術(shù)的應(yīng)用和發(fā)展空間不亞于互聯(lián)網(wǎng)技術(shù)，看好其在醫(yī)療、物流和交通等方面的行業(yè)化應(yīng)用。

“互聯(lián)網(wǎng)+”促進(jìn)多產(chǎn)業(yè)融合發(fā)展:綱要提出，要發(fā)展現(xiàn)代互聯(lián)網(wǎng)產(chǎn)業(yè)體系，實(shí)施“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃，促進(jìn)互聯(lián)網(wǎng)深度廣泛應(yīng)用，帶動(dòng)生產(chǎn)模式和組織方式變革，形成網(wǎng)絡(luò)化、智能化、服務(wù)化、協(xié)同化的產(chǎn)業(yè)發(fā)展新形態(tài)。夯實(shí)互聯(lián)網(wǎng)應(yīng)用基礎(chǔ)，加快多領(lǐng)域互聯(lián)網(wǎng)融合發(fā)展。中國(guó)未來(lái)經(jīng)濟(jì)增速壓力加大，深層次原因是經(jīng)濟(jì)結(jié)構(gòu)不合理，產(chǎn)業(yè)經(jīng)濟(jì)落后，產(chǎn)能過(guò)剩情況嚴(yán)重。“互聯(lián)網(wǎng)+”戰(zhàn)略的實(shí)施，能促進(jìn)產(chǎn)業(yè)智能化，去除中間環(huán)節(jié)，極大提高生產(chǎn)效率，實(shí)現(xiàn)產(chǎn)業(yè)變革和提升。看好“互聯(lián)網(wǎng)+工業(yè)制造”的工業(yè)4.0和“互聯(lián)網(wǎng)+農(nóng)業(yè)“等領(lǐng)域的發(fā)展。

大數(shù)據(jù)上升至國(guó)家戰(zhàn)略，政府?dāng)?shù)據(jù)公開(kāi)加快產(chǎn)業(yè)發(fā)展：綱要提出，要實(shí)施國(guó)家大數(shù)據(jù)戰(zhàn)略，把大數(shù)據(jù)作為基礎(chǔ)性戰(zhàn)略資源，全面實(shí)施促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)，加快推動(dòng)數(shù)據(jù)資源共享開(kāi)放和開(kāi)發(fā)應(yīng)用，助力產(chǎn)業(yè)轉(zhuǎn)型升級(jí)和社會(huì)治理創(chuàng)新。加快政府?dāng)?shù)據(jù)開(kāi)放共享，促進(jìn)大數(shù)據(jù)產(chǎn)業(yè)健康發(fā)展。數(shù)據(jù)源匱乏一直是制約大數(shù)據(jù)行業(yè)應(yīng)用和發(fā)展的主要瓶頸。隨著大數(shù)據(jù)戰(zhàn)略的實(shí)施，以及政府?dāng)?shù)據(jù)的開(kāi)放，未來(lái)看好大數(shù)據(jù)行業(yè)趨勢(shì)性發(fā)展機(jī)會(huì)，特別是智慧城市，政務(wù)大數(shù)據(jù)的應(yīng)用。

網(wǎng)絡(luò)信息加速發(fā)展，網(wǎng)絡(luò)安全需求顯著提升：規(guī)劃綱要草案提出，要強(qiáng)化信息安全保障，統(tǒng)籌網(wǎng)絡(luò)安全和信息化發(fā)展，完善國(guó)家網(wǎng)絡(luò)安全保障體系，強(qiáng)化重要信息系統(tǒng)和數(shù)據(jù)資源保護(hù)，提高網(wǎng)絡(luò)治理能力，保障國(guó)家信息安全。加強(qiáng)數(shù)據(jù)資源安全保護(hù)，科學(xué)實(shí)施網(wǎng)絡(luò)空間治理，全面保障重要信息系統(tǒng)安全。信息化程度的提升，對(duì)網(wǎng)絡(luò)安全提出了更高的要，甚至關(guān)乎國(guó)家信息安全層面，網(wǎng)絡(luò)安全行業(yè)成為剛需，具備長(zhǎng)期發(fā)展?jié)摿Α?/p>

推進(jìn)軍民融合發(fā)展立法，網(wǎng)絡(luò)安全有望成為典范。我們?cè)?.22號(hào)與機(jī)械組聯(lián)合深度報(bào)告《軍民融合行業(yè)深度報(bào)告：國(guó)家戰(zhàn)略，強(qiáng)國(guó)興軍》，提出軍民融合已成為主要發(fā)達(dá)國(guó)家的國(guó)家戰(zhàn)略，并成立最高層協(xié)調(diào)組織和建立完善的協(xié)調(diào)機(jī)制，軍民融合有望上升為我國(guó)的國(guó)家戰(zhàn)略，關(guān)注國(guó)家軍民融合的規(guī)劃進(jìn)展和支持政策。根據(jù)解放軍報(bào)3.6號(hào)的最新報(bào)道，國(guó)家將建立軍民融合發(fā)展統(tǒng)一領(lǐng)導(dǎo)機(jī)制，建立健全領(lǐng)導(dǎo)決策、軍地協(xié)調(diào)、需求對(duì)接和資源共享等機(jī)制；形成全要素、多領(lǐng)域、高效益的軍民融合深度發(fā)展格局。同時(shí)，《十三五規(guī)劃綱要草案(全文)》提出推進(jìn)軍民融合發(fā)展立法，深化國(guó)防動(dòng)員領(lǐng)域改革，健全完善國(guó)防動(dòng)員體制機(jī)。制統(tǒng)一領(lǐng)導(dǎo)機(jī)制的建立，將大大加速軍民融合的發(fā)展速度。陸?？仗祀娋W(wǎng)一體化、軍工領(lǐng)域市場(chǎng)化和民品化是本輪軍改兩大反向，信息技術(shù)作為軍民融合的突破口和引領(lǐng)方向發(fā)展?jié)摿薮螅春镁W(wǎng)絡(luò)信息安全、軍事物流等領(lǐng)域的發(fā)展前景，軍民融合推薦衛(wèi)士通(首選)、飛利信、啟明星辰、海蘭信。

把握云計(jì)算、大數(shù)據(jù)、網(wǎng)絡(luò)安全三大方向的龍頭：本次綱要繼續(xù)利好我們一直看好的大數(shù)據(jù)(模式升級(jí))、云計(jì)算(技術(shù)變革)、信息安全(安全保障，必須要強(qiáng)調(diào)的是，安全已經(jīng)拓展到網(wǎng)絡(luò)空間整體的國(guó)防和安全，不僅僅是云安全這一細(xì)分領(lǐng)域可以概括，而且未來(lái)兩年來(lái)看云安全對(duì)網(wǎng)絡(luò)安全的貢獻(xiàn)還占不到主流，軍工將成為網(wǎng)安的主要驅(qū)動(dòng)力)三大方向的投資機(jī)會(huì)。

云計(jì)算方面：相對(duì)來(lái)說(shuō)彈性大于網(wǎng)絡(luò)安全，而整體業(yè)績(jī)落地兌現(xiàn)方面又好于大數(shù)據(jù)。我們建議關(guān)注：天璣科技(300245)(大數(shù)據(jù)一體機(jī)在2015年實(shí)現(xiàn)3000萬(wàn)左右銷售，超融合架構(gòu)云計(jì)算大勢(shì)所趨)、東方通(300379)(電子政務(wù)云PaaS平臺(tái)和移動(dòng)辦公平臺(tái)雙龍頭)、飛利信(300287)(牽手火網(wǎng)科技、精圖信息布局消防云百億市場(chǎng)，京津冀示范奠定標(biāo)桿，增發(fā)價(jià)格倒掛公司動(dòng)力十足)、漢得信息(300170)(云計(jì)算重構(gòu)軟件分銷渠道產(chǎn)業(yè)，SaaS分銷業(yè)務(wù)模式獨(dú)特，漢得云mart有望打造云分銷領(lǐng)域的大眾點(diǎn)評(píng))、太極股份(002368)(一體化電子政務(wù)云龍頭，增發(fā)倒掛)、華宇軟件(300271)(公檢法SaaS龍頭、切入其他電子政務(wù)領(lǐng)域)、華勝天成(600410)(業(yè)績(jī)有望迎來(lái)拐點(diǎn)，容器技術(shù)的顛覆影響利于Power云生態(tài)做大)；

第2篇：網(wǎng)絡(luò)安全行動(dòng)計(jì)劃范文

 

1美國(guó)電力行業(yè)信息安全的戰(zhàn)略框架

 

為響應(yīng)奧巴馬政府關(guān)于加強(qiáng)丨Kj家能源坫礎(chǔ)設(shè)施安全(13636行政令，即ExecutiveOrder13636-ImprovingCriticalInfrastructureCybersecurity)的要求，美國(guó)能源部出資，能源行業(yè)控制系統(tǒng)工作組(EnergySec*torControlSystemsWorkingGroup,ESCSWG)在《保護(hù)能源行業(yè)控制系統(tǒng)路線圖》(RoadmaptoSecureControlSystemsintheEnergySector)的基礎(chǔ)上，于2011年了《實(shí)現(xiàn)能源傳輸系統(tǒng)信息安全路線閣》。2011路線圖為電力行業(yè)未來(lái)丨0年的信息安全制定了戰(zhàn)略框架和行動(dòng)計(jì)劃，體現(xiàn)了美國(guó)加強(qiáng)國(guó)家電網(wǎng)持續(xù)安全和可靠性的承諾和努力路線圖基于風(fēng)險(xiǎn)管理原則，明確了至2020年美國(guó)能源傳輸系統(tǒng)網(wǎng)絡(luò)安全目標(biāo)、實(shí)施策略及里程碑計(jì)劃，指導(dǎo)行業(yè)、政府、學(xué)術(shù)界為共丨司愿景投入并協(xié)同合作。2011路線圖指出：至2020年，要設(shè)計(jì)、安裝、運(yùn)行、維護(hù)堅(jiān)韌的能源傳輸系統(tǒng)(resilientenergydeliverysystems)。美國(guó)能源彳了業(yè)的網(wǎng)絡(luò)安全目標(biāo)已從安全防護(hù)轉(zhuǎn)向系統(tǒng)堅(jiān)韌。路線圖提出了實(shí)現(xiàn)目標(biāo)的5個(gè)策略，為行業(yè)、政府、學(xué)術(shù)界指明了發(fā)展方向和工作思路。(1)建立安全文化。定期回顧和完善風(fēng)險(xiǎn)管理實(shí)踐，確保建立的安全控制有效。網(wǎng)絡(luò)安全實(shí)踐成為能源行業(yè)所有相關(guān)者的習(xí)慣,，(2)評(píng)估和監(jiān)測(cè)風(fēng)險(xiǎn)。實(shí)現(xiàn)對(duì)能源輸送系統(tǒng)的所有架構(gòu)層次、信息物理融合領(lǐng)域的連續(xù)安全狀態(tài)監(jiān)測(cè)，持續(xù)評(píng)估新的網(wǎng)絡(luò)威脅、漏洞、風(fēng)險(xiǎn)及其應(yīng)對(duì)措施。(3)制定和實(shí)施新的保施。新一代能源傳輸系統(tǒng)結(jié)構(gòu)實(shí)現(xiàn)“深度防御”，在網(wǎng)絡(luò)安全事件中能連續(xù)運(yùn)行。(4)開(kāi)展事件管理。開(kāi)展網(wǎng)絡(luò)事件的監(jiān)測(cè)、補(bǔ)救、恢復(fù)，減少對(duì)能源傳輸系統(tǒng)的影響。開(kāi)展事件后續(xù)的分析、取證以及總結(jié)，促進(jìn)能源輸送系統(tǒng)環(huán)境的改進(jìn)。(5)持續(xù)安全改進(jìn)。保持強(qiáng)大的資源保障、明確的激勵(lì)機(jī)制及利益相關(guān)者密切合作，確保持續(xù)積極主動(dòng)的能源傳輸系統(tǒng)安全提升。為及時(shí)跟蹤2011路線圖實(shí)施情況，能源行業(yè)控制系統(tǒng)工作組(ESCSWG)提供了ieRoadmap交互式平臺(tái)。通過(guò)該平臺(tái)共享各方的努力成果，掌握里程碑進(jìn)展情況，使能源利益相關(guān)者為路線圖的實(shí)現(xiàn)作一致努力。

 

2美國(guó)電力行業(yè)信息安全的管理結(jié)構(gòu)

 

承擔(dān)美國(guó)電力行業(yè)信息安全相關(guān)職責(zé)的主要政府機(jī)構(gòu)和組織包括：國(guó)土安全部(DHS)、能源部(1)0￡)、聯(lián)邦能源管理委員會(huì)(FEUC)、北美電力可靠性公司(NERC)以及各州公共事業(yè)委員會(huì)(PUC)。2.1國(guó)土安全部美國(guó)國(guó)土安全部是美國(guó)聯(lián)邦政府指定的基礎(chǔ)設(shè)施信息安全領(lǐng)導(dǎo)部I'j'負(fù)責(zé)監(jiān)督保護(hù)政府網(wǎng)絡(luò)安全，為私營(yíng)企業(yè)提供專業(yè)援助。2009年DHS建立了國(guó)家信息安全和通信集成中心(NationalCyhersecurityandCommunicationsIntegrationCenter,NCCIC),負(fù)責(zé)與聯(lián)邦相關(guān)部門(mén)、各州、各行業(yè)以及國(guó)際社會(huì)共享網(wǎng)絡(luò)威脅發(fā)展趨勢(shì)，組織協(xié)調(diào)事件響應(yīng)w。

 

2.2能源部

 

美國(guó)能源部不直接承擔(dān)電網(wǎng)信息安全的管理職責(zé)，而是通過(guò)指導(dǎo)技術(shù)研發(fā)和協(xié)助項(xiàng)目開(kāi)發(fā)促進(jìn)私營(yíng)企業(yè)發(fā)展和技術(shù)進(jìn)步能源部的電力傳輸和能源可靠性辦公室(Office(>fElectricityDelivery<&EnergyReliability)承擔(dān)加強(qiáng)國(guó)家能源基礎(chǔ)設(shè)施的可靠性和堅(jiān)韌性的職責(zé)，提供技術(shù)研究和發(fā)展的資金，推進(jìn)風(fēng)險(xiǎn)管理策略和信息安全標(biāo)準(zhǔn)研發(fā)，促進(jìn)威脅信息的及時(shí)共享，為電網(wǎng)信息安全戰(zhàn)略性綜合方案提供支撐。

 

能源部2012年與美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院、北美電力可靠性公司合作編制了《電力安全風(fēng)險(xiǎn)管理過(guò)程指南》(ElectricitySubsectorCybersecurityRiskManagementProcess)151;2014年與國(guó)土安全部等共同協(xié)作編制完成了《電力行業(yè)信息安全能力成熟度模型》(ElectricitySubsectorcybersecurityCapabilityMaturityModel(ES-C2M2)丨6丨，以支撐電力行業(yè)的信息安全能力評(píng)估和提升;2014年資助能源行業(yè)控制系統(tǒng)工作組(ESCSWG)形成了《能源傳輸系統(tǒng)網(wǎng)絡(luò)安全采購(gòu)用語(yǔ)指南》(CybersecurityProcurementlanguageforEnergyDeliverySystems)171,以加強(qiáng)供應(yīng)鏈的信息安全風(fēng)險(xiǎn)管理。

 

在201丨路線圖的指導(dǎo)下，能源部啟動(dòng)了能源傳輸系統(tǒng)的信息安全項(xiàng)目，資助愛(ài)達(dá)荷國(guó)家實(shí)驗(yàn)室建立SCADA安全測(cè)試平臺(tái)，發(fā)現(xiàn)并解決行業(yè)面臨的關(guān)鍵安全漏洞和威脅;資助伊利諾伊大學(xué)等開(kāi)展值得信賴的電網(wǎng)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)研究。

 

2.3聯(lián)邦能源管理委員會(huì)

 

聯(lián)邦能源管理委員會(huì)負(fù)責(zé)依法制定聯(lián)邦政府職責(zé)范圍內(nèi)的能源監(jiān)管政策并實(shí)施監(jiān)管，是獨(dú)立監(jiān)管機(jī)構(gòu)。2005年能源政策法案(EnergyPolicyActof2005)授權(quán)FERC監(jiān)督包括信息安全標(biāo)準(zhǔn)在內(nèi)的主干電網(wǎng)強(qiáng)制可靠性標(biāo)準(zhǔn)的實(shí)施。2007年能源獨(dú)立與安全法案(EnergyIndependenceandSecurityActof2007(EISA))賦予FERC和國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(National丨nstituteofStandardsan<丨Technology，NIST)相關(guān)責(zé)任以協(xié)調(diào)智能電網(wǎng)指導(dǎo)方針和標(biāo)準(zhǔn)的編制和落實(shí)。2011年的電網(wǎng)網(wǎng)絡(luò)安全法案(GridCyberSecurityAct)要求FKRC建立關(guān)鍵電力基礎(chǔ)設(shè)施的信息安全標(biāo)準(zhǔn)。

 

2007年FERC批準(zhǔn)由北美電力可靠性公司制定的《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)》(criticalinfrastructureprotection，CIPW標(biāo)準(zhǔn)為北美電力可靠性標(biāo)準(zhǔn)之中的強(qiáng)制標(biāo)準(zhǔn)，要求各相關(guān)企業(yè)執(zhí)行，旨在保護(hù)電網(wǎng)，預(yù)防信息系統(tǒng)攻擊事件的發(fā)生。

 

2.4北美電力可靠性公司

 

北美電力可靠性公司是非盈利的國(guó)際電力可靠性組織。NERC在FERC的監(jiān)管下，制定并強(qiáng)制執(zhí)行包括信息安全標(biāo)準(zhǔn)在內(nèi)的大電力系統(tǒng)可靠性標(biāo)準(zhǔn)，開(kāi)展可靠性監(jiān)測(cè)、分析、評(píng)估、信息共享，確保大電力系統(tǒng)的可靠性。

 

NERC了一系列的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)(CIP)標(biāo)準(zhǔn)181作為北美電力系統(tǒng)的強(qiáng)制性標(biāo)準(zhǔn);與美國(guó)能源部和NIST編制了《電力行業(yè)信息安全風(fēng)險(xiǎn)管理過(guò)程指南》，提供了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的指導(dǎo)方針。

 

歸屬NERC的電力行業(yè)協(xié)凋委員會(huì)(ESCC)是聯(lián)邦政府與電力行業(yè)的主要聯(lián)絡(luò)者，其主要使命是促進(jìn)和支持行業(yè)政策和戰(zhàn)略的協(xié)調(diào)，以提高電力行業(yè)的可靠性和堅(jiān)韌性'NERC通過(guò)其電力行業(yè)信息共享和分析中心(ES-ISAC)的態(tài)勢(shì)感知、事件管理以及協(xié)調(diào)和溝通的能力，與電力企業(yè)進(jìn)行及時(shí)、可靠和安全的信息共享和溝通。通過(guò)電網(wǎng)安全年會(huì)(GridSecCon)、簡(jiǎn)報(bào)，提供威脅應(yīng)對(duì)策略、最佳實(shí)踐的討論共享和培訓(xùn)機(jī)會(huì);組織電網(wǎng)安全演練(GridEx)檢查整個(gè)行業(yè)應(yīng)對(duì)物理和網(wǎng)絡(luò)事件的響應(yīng)能力，促2.5州公共事業(yè)委員會(huì)美國(guó)聯(lián)邦政府對(duì)地方電力公司供電系統(tǒng)的可靠性沒(méi)有直接的監(jiān)管職責(zé)。各州公共事業(yè)委員會(huì)負(fù)責(zé)監(jiān)管地方電力公司的信息安全，大多數(shù)州的PUC沒(méi)有網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的制定職責(zé)。PUC通過(guò)監(jiān)管權(quán)力，成為地方電力系統(tǒng)和配電系統(tǒng)網(wǎng)絡(luò)安全措施的重要決策者。全國(guó)公用事業(yè)監(jiān)管委員協(xié)會(huì)(NationalAssociationofRegulatoryUtilitycommissioners,NARUC)作為PUC的一■個(gè)聯(lián)盟協(xié)會(huì)，也采取措施促進(jìn)PUC的電力網(wǎng)絡(luò)安全工作，呼吁PUC密切監(jiān)控網(wǎng)絡(luò)安全威脅，定期審查各自的政策和程序，以確保與適用標(biāo)準(zhǔn)、最佳實(shí)踐的一致性%

 

3美國(guó)電力行業(yè)信息安全的硏究資源

 

參與美國(guó)電力行業(yè)信息安全研究的機(jī)構(gòu)和組織主要有商務(wù)部所屬的國(guó)家標(biāo)準(zhǔn)技術(shù)研究院及其領(lǐng)導(dǎo)下的智能電網(wǎng)網(wǎng)絡(luò)安全委員會(huì)、國(guó)土安全部所屬的能源行業(yè)控制系統(tǒng)工作組，重點(diǎn)幵展電力行業(yè)信息安全發(fā)展路線圖、框架以及標(biāo)準(zhǔn)、指南的研究。同時(shí)，能源部所屬的多個(gè)國(guó)家實(shí)驗(yàn)室提供網(wǎng)絡(luò)安全測(cè)試、網(wǎng)絡(luò)威脅分析、具體防御措施指導(dǎo)以及新技術(shù)研究等。

 

3.1國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)

 

根據(jù)2007能源獨(dú)立與安全法令，美_國(guó)家標(biāo)準(zhǔn)技術(shù)研究院負(fù)責(zé)包括信息安全協(xié)議在內(nèi)的智能電網(wǎng)協(xié)議和標(biāo)準(zhǔn)的自愿框架的研發(fā)。NISTf20102014發(fā)#了《?能電網(wǎng)互操作標(biāo)準(zhǔn)的框架和路線圖》(NISTFrameworkaridRoadmapforSmartGridInteroperabilityStandard)1.0、2.0和3.0版本，明確了智能電網(wǎng)的網(wǎng)絡(luò)安全原則以及標(biāo)準(zhǔn)等。2011年3月，NIST了信息安全標(biāo)準(zhǔn)和指導(dǎo)方針系列中的旗艦文檔《NISTSP800-39，信息安全風(fēng)險(xiǎn)管理》丨叫(NISTSpedalPublication800—39,ManagingInformationSecurityRisk)，提供了一系列有意義的信息安全改進(jìn)建議。2014年2月，根據(jù)13636行政令，了《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》第一版，以幫助組織識(shí)別、評(píng)估和管理關(guān)鍵基礎(chǔ)設(shè)施信息安全風(fēng)險(xiǎn)。

 

NIST正在開(kāi)發(fā)工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)用于檢測(cè)符合網(wǎng)絡(luò)安全保護(hù)指導(dǎo)方針和標(biāo)準(zhǔn)的_「.業(yè)控制系統(tǒng)的性能，以指導(dǎo)工業(yè)控制系統(tǒng)安全策略最佳實(shí)踐的實(shí)施。

 

3.2智能電網(wǎng)網(wǎng)絡(luò)安全委員會(huì)

 

智能電網(wǎng)網(wǎng)絡(luò)安全委員會(huì)其前身是智能電網(wǎng)互操作組網(wǎng)絡(luò)安全工作組(SGIP-CSWG)ra。SGCC一直專注于智能電網(wǎng)安全架構(gòu)、風(fēng)險(xiǎn)管理流程、安全測(cè)試和認(rèn)證等研究，致力于推進(jìn)智能電網(wǎng)網(wǎng)絡(luò)安全的發(fā)展和標(biāo)準(zhǔn)化。在NIST的領(lǐng)導(dǎo)下，SGCC編制并進(jìn)一步修訂了《智能電網(wǎng)信息安全指南》(NISTIR7628,GuidelinesforSmartGridCybersecurity),提出了智能電網(wǎng)信息安全分析框架，為組織級(jí)研究、設(shè)計(jì)、研發(fā)和實(shí)施智能電網(wǎng)技術(shù)提供了指導(dǎo)性T.具。

 

3.3國(guó)家電力行業(yè)信息安全組織(NESC0)

 

能源部組建的國(guó)家電力行業(yè)信息安全組織(NationalElectricSectorCybersecurityOrganization,NESCO)，集結(jié)了美國(guó)國(guó)內(nèi)外致力于電力行業(yè)網(wǎng)絡(luò)安全的專家、開(kāi)發(fā)商以及用戶，致力于網(wǎng)絡(luò)威脅的數(shù)據(jù)分析和取證工作⑴。美國(guó)電力科學(xué)研究院(EPRI)作為NESC0成員之一提供研究和分析資源，開(kāi)展信息安全要求、標(biāo)準(zhǔn)和結(jié)果的評(píng)估和分析。NESCO與能源部、聯(lián)邦政府其他機(jī)構(gòu)等共同合作補(bǔ)充和完善了2011路線圖的關(guān)鍵里程碑和目標(biāo)。

 

3.4能源行業(yè)控制系統(tǒng)工作組(ESCSWG)

 

隸屬國(guó)土安全部的能源行業(yè)控制系統(tǒng)工作組由能源領(lǐng)域安全專家組成，在關(guān)鍵基礎(chǔ)設(shè)施合作咨詢委員會(huì)框架下運(yùn)作。在能源部的資助下，ESCSWG編制了《實(shí)現(xiàn)能源傳輸系統(tǒng)信息安全路線圖》、《能源傳輸系統(tǒng)網(wǎng)絡(luò)安全釆購(gòu)用語(yǔ)指南》。3.5能源部所屬的國(guó)家實(shí)驗(yàn)室

 

3.5.1愛(ài)達(dá)荷國(guó)家實(shí)驗(yàn)室(INL)

 

愛(ài)達(dá)荷W家實(shí)驗(yàn)室成立于1949年，是為美國(guó)能源部在能源研究、國(guó)家防御等方面提供支撐的應(yīng)用工程實(shí)驗(yàn)室。近十年來(lái)，INL與電力行業(yè)合作，加強(qiáng)了電網(wǎng)可靠性、控制系統(tǒng)安全研究。

 

在美國(guó)能源部的資助下，INL建立了包含美國(guó)國(guó)內(nèi)和國(guó)際上多種控制系統(tǒng)的SCADA安全測(cè)試平臺(tái)以及無(wú)線測(cè)試平臺(tái)等資源，目的對(duì)SCADA進(jìn)行全面、徹底的評(píng)估，識(shí)別控制系統(tǒng)脆弱點(diǎn)，并提供脆弱點(diǎn)的消減方法113】。通過(guò)能源部的能源傳輸系統(tǒng)信息安全項(xiàng)目，INL提出了采用數(shù)據(jù)壓縮技術(shù)檢測(cè)惡意流量對(duì)SCADA實(shí)時(shí)網(wǎng)絡(luò)保護(hù)的方法hi。為支持美國(guó)國(guó)土安全部控制系統(tǒng)安全項(xiàng)目，INL開(kāi)發(fā)并實(shí)施了培訓(xùn)課程以增強(qiáng)控制系統(tǒng)專家的安全意識(shí)和防御能力。1NL的相關(guān)研究報(bào)告有《SCADA網(wǎng)絡(luò)安全評(píng)估方法》、《控制系統(tǒng)十大漏洞及其補(bǔ)救措施》、《控制系統(tǒng)網(wǎng)絡(luò)安全：深度防御戰(zhàn)略》、《控制系統(tǒng)評(píng)估中常見(jiàn)網(wǎng)絡(luò)安全漏洞》%、《能源傳輸控制系統(tǒng)漏洞分析>嚴(yán)|等。

 

3.5.2太平洋西北國(guó)家實(shí)驗(yàn)室(PNNL)

 

太平洋西北國(guó)家實(shí)驗(yàn)室是美國(guó)能源部所屬的闊家綜合性實(shí)驗(yàn)室，研究解決美國(guó)在能源、環(huán)境和國(guó)家安全等方面最緊迫的問(wèn)題。

 

PNNL提出的安全SCADA通信協(xié)議(secureserialcommunicationsprotocol,SSCP)的概念，有助于實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)設(shè)備與控制中心之間的安全通信。的相關(guān)研究報(bào)告有《工業(yè)控制和SCADA的安全數(shù)據(jù)傳輸指南》等。PNNL目前正在開(kāi)展仿生技術(shù)提高能源領(lǐng)域網(wǎng)絡(luò)安全的研究項(xiàng)。

 

3.5.3桑迪亞國(guó)家實(shí)驗(yàn)室(SNL)

 

桑迪亞國(guó)家實(shí)驗(yàn)室是能源部所屬的多學(xué)科國(guó)家實(shí)驗(yàn)室，也是聯(lián)邦政府資助的研究和發(fā)展中心。SNL的研究報(bào)告有《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)網(wǎng)絡(luò)漏洞評(píng)估指南》、《控制系統(tǒng)數(shù)據(jù)分析和保護(hù)安全框架》、《過(guò)程控制系統(tǒng)的安全指標(biāo)》I1'《高級(jí)計(jì)量基礎(chǔ)設(shè)施安全考慮》、《微電網(wǎng)網(wǎng)絡(luò)安全參考結(jié)構(gòu)》等。在能源部的資助下，SNL開(kāi)展了關(guān)于供應(yīng)鏈威脅的研究項(xiàng)目，形成的威脅模型有助于指導(dǎo)安全解決方案的選擇以及新投資的決策h(yuǎn)i。

 

4美國(guó)電力行業(yè)信息安全的運(yùn)作策略

 

4.1標(biāo)準(zhǔn)只作為網(wǎng)絡(luò)安全的基線

 

NERC的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)(CIP)作為強(qiáng)制性標(biāo)準(zhǔn)，是電力行業(yè)整體網(wǎng)絡(luò)安全策略的重要內(nèi)容。CIP標(biāo)準(zhǔn)與電網(wǎng)規(guī)劃準(zhǔn)則、系統(tǒng)有功平衡與調(diào)頻、無(wú)功平衡與調(diào)壓、安全穩(wěn)定運(yùn)行等系列標(biāo)準(zhǔn)相并列，成為北美大電網(wǎng)可靠性標(biāo)準(zhǔn)的重要組成部分。目前強(qiáng)制執(zhí)行的是CIP-002至C⑴-009共8個(gè)標(biāo)準(zhǔn)的第3版。文獻(xiàn)1丨6]提供了CIP-002至CIP-009主要內(nèi)容的描述列表。C〖P第5版近期已通過(guò)FERC批準(zhǔn)即將于2016年實(shí)施。第5版新增了CIP-010配置變更管理和漏洞評(píng)估、C1P-011信息保護(hù)2個(gè)強(qiáng)制標(biāo)準(zhǔn)。

 

目前配電系統(tǒng)沒(méi)有強(qiáng)制標(biāo)準(zhǔn)，但NIST將C1P標(biāo)準(zhǔn)融入了智能電網(wǎng)互操作框架中。智能電網(wǎng)互操作框架雖然是自愿標(biāo)準(zhǔn)，但為配電系統(tǒng)提供了信息安全措施指導(dǎo)為系統(tǒng)性的指導(dǎo)智能電網(wǎng)信息安全工作，NIST組織編制了《美國(guó)智能電網(wǎng)信息安全指南》，提出了一個(gè)普適性的智能電網(wǎng)信息安全分析框架，為智能電網(wǎng)的各相關(guān)方提供了風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)識(shí)別以及安全要求的實(shí)施方法。DOE編制的《電力行業(yè)信息安全風(fēng)險(xiǎn)管理過(guò)程指南》提供了電力行業(yè)信息安全風(fēng)險(xiǎn)管理的方法[5】。DOE與DHS合作編制的《信息安全能力成熟度模型》(ES-C2M2)i6i，通過(guò)行業(yè)實(shí)踐幫助組織評(píng)估、優(yōu)化和改善網(wǎng)絡(luò)安全功能，促進(jìn)網(wǎng)絡(luò)安全行動(dòng)和投資的有序開(kāi)展以及信息安全能力的持續(xù)提升。2014年NIST了《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》也作為電力行業(yè)網(wǎng)絡(luò)安全自愿標(biāo)準(zhǔn)。文獻(xiàn)f17]提到只有21%的公用事業(yè)采取了NERC推薦的預(yù)防震網(wǎng)措施，可見(jiàn)自愿標(biāo)準(zhǔn)的執(zhí)行率偏低強(qiáng)制執(zhí)行的CIP標(biāo)準(zhǔn)在大電力系統(tǒng)網(wǎng)絡(luò)安全方面確實(shí)發(fā)揮了基礎(chǔ)作用，然而網(wǎng)絡(luò)威脅的快速變化以及每個(gè)組織面對(duì)的風(fēng)險(xiǎn)的獨(dú)特性，強(qiáng)制性標(biāo)準(zhǔn)在某種程度上影響企業(yè)采取超過(guò)但不同于最低標(biāo)準(zhǔn)的合適的防護(hù)措施。文獻(xiàn)丨3]提出目前將強(qiáng)制性的解決方案擴(kuò)展到配電網(wǎng)不是有效的方法，聯(lián)邦政府也在考慮縮小強(qiáng)制性范圍。持續(xù)提升網(wǎng)絡(luò)安全水平不能僅僅依賴于標(biāo)準(zhǔn)的符合度，監(jiān)督管理不能保證安全。電力行業(yè)的網(wǎng)絡(luò)安全需要整體的網(wǎng)絡(luò)安全戰(zhàn)略，包括安全文化建設(shè)、共享與協(xié)作、風(fēng)險(xiǎn)管理等。無(wú)論是強(qiáng)制性的標(biāo)準(zhǔn)還是非強(qiáng)制性的標(biāo)準(zhǔn)都只是信息安全的最低要求'4.2安全文化建設(shè)成為信息安全路線圖首要策略

 

對(duì)能源傳輸系統(tǒng)安全風(fēng)險(xiǎn)的認(rèn)知缺失或識(shí)別能力的不足，缺少有效的安全策略和技術(shù)環(huán)境訓(xùn)練的人員，將阻礙能源行業(yè)的持續(xù)安全。安全文化建設(shè)已成為201丨路線圖的首要策略，以提升電力行業(yè)網(wǎng)絡(luò)安全運(yùn)作的主動(dòng)性。2011路線圖提出重點(diǎn)從最佳實(shí)踐、教育、認(rèn)證等方面加強(qiáng)信息安全文化建設(shè)，以實(shí)現(xiàn)能源傳輸系統(tǒng)的最佳實(shí)踐被廣泛使用、具備能源傳輸和網(wǎng)絡(luò)安全技能的行業(yè)人員明顯增長(zhǎng)等中長(zhǎng)期目標(biāo)'最佳實(shí)踐傳遞的目標(biāo)效果是網(wǎng)絡(luò)安全實(shí)踐成為能源行業(yè)所有相關(guān)者的習(xí)慣。相關(guān)國(guó)家實(shí)驗(yàn)室圍繞各自研究方向總結(jié)了評(píng)估方法、漏洞補(bǔ)救措施、操作指南等一系列最佳實(shí)踐。如INL根據(jù)其多年SCADA漏洞評(píng)估經(jīng)驗(yàn)，編制了《能源傳輸系統(tǒng)漏洞分析》、《SCADA網(wǎng)絡(luò)安全評(píng)估方法》等。PNNL編制的《丁業(yè)控制和SCADA系統(tǒng)的安全數(shù)據(jù)傳輸指南》，為工業(yè)控制系統(tǒng)提供了能及時(shí)發(fā)現(xiàn)并阻止人侵的數(shù)據(jù)傳輸結(jié)構(gòu)。NIST將最佳實(shí)踐融入了安全框架、指南和導(dǎo)則中，如《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》、《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全指南》等。NESCO、NERC等通過(guò)電網(wǎng)安全年會(huì)等多種方式提供了最佳實(shí)踐的交流機(jī)會(huì)。