美能源部新版网络安全能力成熟度模型研究

李莹

（国家工业信息安全发展研究中心，北京 100040）

0 引言

2021年7月21日，美能源部（DOE）网络安全、能源安全与应急响应办公室（CESER）发布C2M2 2.0[1]。C2M2 2.0是DOE电力安全“百日冲刺”计划的组成部分，旨在通过对网络安全风险等级的定量评估，指导能源企业提升工业控制系统（ICS）网络安全水平，以应对日益严重的能源网络安全威胁。对C2M2 2.0进行研究，对于了解美国能源领域工控安全最新发展方向，进一步提升我国工控安全防护能力具有重要意义。

1 能源行业网络安全能力成熟度模型更新背景

近年来，针对能源领域的网络攻击日益增多、攻击手段越发复杂、造成损失不断加大。为应对这一局面，美持续完善能源ICS网络安全政策机制，强化工控安全能力建设。

1.1 能源领域网络安全威胁日益严峻

能源安全事件数量猛增。据美能源可靠性公司（NERC）的年度报告[2]显示，2020年上报给北美电力行业信息共享中心的网络安全相关事件数量达到2624件，同比增加98%。

能源行业脆弱性大幅上升。美国政府问责局（GAO）在3月的一份报告[3]中指出，由于监控技术的大面积应用，电网的配电系统面临存在重大安全隐患。安全公司Nozomi Networks报告[4]显示，2021年上半年ICSCERT报告漏洞增加了44%，其中能源行业排名前三。

能源安全事件影响恶劣。今年1月以来，荷兰能源供应商Eneco、巴西主要电力公司Eletrobras和Copel、美国最大成品油管道商Colonial Pipeline、印度电力公司等国家重要能源设施均遭受网络攻击，造成重大影响，美国东海岸燃油供应还因此一度陷入瘫痪。能源领域安全威胁的不断加剧促使美国加紧采取应对措施。

1.2 新兴技术快速发展对安全标准提出更高要求

新兴技术的快速发展对现有的安全标准的适用性产生了不同程度的影响。

威胁手段的高度复杂化提高安全防护门槛。安全公司Check Point在报告[5]中指出，攻击者正在越发频繁地发起复杂攻击，并利用组织的供应链造成大规模破坏。随着攻击手段的复杂化和攻击水平的提高，已有的安全标准也亟需同步加强。

云计算、人工智能等新技术带来新的安全问题。如人工智能技术对海量数据进行分析处理，相应的数据管理过程也需要尽快纳入安全标准中进行规范。

网络安全技术的不断发展为丰富安全标准提供参考。美国国防高级研究计划局（DARPA）近日推出名为“快速攻击检测、隔离和表征系统”（RADICS）的新电网保护工具，可以实现准确、实时的安全态势感知和通过隔离应急网络技术保障正常通信等功能，这些新技术的出现为完善安全标准、引导安全发展方向提供重要参考。

1.3 美持续完善能源行业网络安全政策标准

今年以来，美通过以下方面持续完善能源行业网络安全政策与标准。

制定计划，美DOE先后宣布800万美元的资助项目和“百日冲刺”计划，旨在加强电力行业ICS网络安全。

发布指南，美国家网络安全卓越中心（NCCoE）发布了《确保工业物联网的安全：分布式能源的网络安全》指南草案，指导能源行业加权工业物联网安全保障。

推进立法，美众议院能源和商业委员会推出《管道和液化天然气设施网络安全预备法案》《能源应急领导法案》《网络感知法案》《通过公私伙伴关系增强电网安全法案》等多项议案，推动能源行业网络安全立法进程。

指导实践，美DOE和英国国家网络安全中心（NCSC）联合发布《工业控制系统网络安全最佳实践》，指导包括能源行业在内的相关行业企业加强工控安全。C2M2 2.0是美持续完全能源行业网络安全政策标准的重要组成部分，为能源行业企业定量评估网络安全风险、提升ICS网络安全水平提供了重要工具。

2 能源行业网络安全能力成熟度模型重点内容

作为电力安全“百日冲刺”计划的一部分，C2M2 2.0的发布对改善能源行业网络安全威胁具有重要意义。C2M2 2.0共包含资产管理、威胁与漏洞管理、风险管理、身份与访问管理、态势感知、事件响应、第三方风险管理、人员管理、安全架构、安全项目管理等10个能力域，展现了一张企业网络安全能力建设蓝图，对于企业网络安全能力提升具有重

要指导作用。综合来看，C2M2 2.0对各个域均有不同程度的改动，更新主要聚焦在应对勒索软件、供应链风险等威胁，以及对云计算、人工智能等新兴技术提供保护支持等方面。本文将从以下三个重点方面介绍C2M2 2.0更新内容。

2.1 重视基础安全，筑牢系统防护基线

基础安全包含资产管理、态势感知、威胁信息和漏洞管理等基础安全防护措施，涉及安全管理的诸多关键环节。C2M2 2.0对基础安全要求进行多方面完善，确保系统防护维度的全面性。具体评价维度包括两个方面：

进一步强调资产管理的全面性。在系统梳理ICS资产信息、重点关注一旦失陷可能造成重大影响或威胁扩散的关键资产的基础上，全面统计各个维度的属性信息，尤其是据以判断资产安全状态或风险的安全信息，并实施资产变更管理，以保证资产清单实时动态更新。

强化安全态势感知要求。更全面、更具体地提出安全态势感知的相关要求，如监控范围需要覆盖整个IT和OT环境以及汇聚的信息需包含系统日志、数据流、网络基线、网络安全事件等。

2.2 强调数据管理，保障数据资产安全

C2M2 2.0将信息资产与IT、OT资产并称为企业资产，并在新增的安全架构域中，将数据管理作为与网络管理、IT与OT资产管理、软件管理同等重要的环节，并进一步将数据安全管理作为能源行业企业安全成熟度的重要内容。具体评价维度包含三个方面：

全面梳理数据资产。强调数据资产的全面管理与IT、OT资产的全面管理同等重要，管理措施包括整理数据资产清单、统计各类属性信息、进行资产变更管理等。

开展数据分类分级管理。根据信息资产目录，对数据进行分类标识和逐类分级，并根据分类分级结果对数据实施差异化安全管理。

采取防泄漏措施。在数据传输、存储等过程中实施加密等防泄漏安全措施，并在IT及OT资产退役前对数据进行彻底销毁。

2.3 关注信息共享，着眼实际应用效果

C2M2 2.0不再将信息共享作为一个单独的能力域，而是将其贯穿于评价模型的各个层面，更注重信息共享的针对性和实践效果。具体评价维度包括四个方面：

风险信息共享。将来自第三方的共享信息，用于消减自身网络风险和识别新的风险。

威胁信息共享。与威胁信息的利益相关者，如政府部门、供应商、客户、信息共享中心进行安全、实时的威胁情报交换，在收到与自身相关的威胁情报时及时处理。

漏洞信息共享。将已识别的漏洞与利益相关者共享，并进行持续性的漏洞管理。

态势信息共享。与利益相关方沟通态势感知报告要求，及时共享相关安全信息，同时收集外部情报信息，制定分析方案自动辅助安全态势研判等。

3 启示与建议

美C2M2 2.0标准为我国加强能源及其他工业领域网络安全能力建设提供了重要参考。建议我国进一步完善态势感知技术手段、推进工业数据分类分级管理、加强威胁信息共享，综合提升工业领域信息安全整体能力与水平。

3.1 推动工业企业安全态势感知平台建设

加强宣传推广，提升工业企业信息安全意识，转变企业“重效益、轻安全”的思维方式，鼓励引导工业企业建设安全态势感知平台，实时识别、分析、预警安全威胁，强化工业资产安全管理，实现工业资产的动态识别、属性智能化分析、运行状态监测等功能，并通过工业专有协议深度包解析、白名单自学习技术等，开展流量分析、网络拓扑绘制、攻击行为检测及异常状态排查，保障工业生产运行，切实提升工业企业安全监测和防护能力。

3.2 持续推进工业数据分类分级管理工作

在《工业数据分类分级指南（试行）》的基础上细化制定分类分级管理标准，指导企业有序开展工业数据分类分级工作。在前期试点工作的基础上，按照《数据安全法》要求，加快全面部署工业数据分类分级工作，指导督促各行业、各地区工业企业加强工业数据分类分级管理与安全防护，营造良好的数据管理与应用环境，为数据的充分利用、全局流通和安全共享奠定基础。

3.3 建立工业信息安全威胁情报共享机制

依托国家级工业信息安全信息报送与通报平台，建立健全政府部门、工业企业、供应商、安全企业、研究机构威胁情报共享机制，形成涵盖漏洞风险、安全威胁、安全事件、态势预判等在内的工业信息安全威胁情报共享体系，畅通各方信息共享渠道，提升整体安全防护水平。

4 结语

随着工业4.0的深入发展，全球工业制造领域发生深刻变革，数字化、智能化快速推进，工业生产效能极大提升。与此同时，智能互联所带来的安全隐患也逐渐显现。以能源行业为例，近年来，能源领域网络安全事件频发、威胁手段日益复杂、信息技术迭代加速，亟需更新现有政策标准体系，提升安全防护技术水平。

为了应对日益复杂的网络安全形势，美国针对能源领域网络安全发布了一系列政策标准，C2M2 2.0便是其中之一。C2M2 2.0在上一版本的基础上，在基础安全、数据安全和情报共享等方面进行了补充完善，为我国加强能源及其他工业领域网络安全能力建设提供了重要参考。建议我国进一步完善态势感知技术手段、推进工业数据分类分级管理、加强威胁信息共享，综合提升工业领域信息安全整体能力与水平。