日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

導語

所有數字組件的網絡安全供應鏈漏洞將繼續(xù)成為能源部門系統(tǒng)的高度優(yōu)先問題，因為這些系統(tǒng)變得越來越數字化、同質化和遠程化操作。

能源部門與工業(yè)基礎（ESIB）的傳統(tǒng)系統(tǒng)和現代系統(tǒng)都將繼續(xù)面臨網絡供應鏈受損的風險，網絡空間中的各種惡意攻擊者將繼續(xù)發(fā)覺能源系統(tǒng)是一個有吸引力的目標。與整個ESIB的合作伙伴合作，確保這些及未來系統(tǒng)的數字供應鏈的安全，是當前持續(xù)的優(yōu)先事項。

美國能源部（DOE）與整個能源行業(yè)的利益關系者合作，領導一系列正在進行的計劃，以識別、優(yōu)先處理和解決能源系統(tǒng)中數字組件的網絡供應鏈風險。

本文重點介紹未來重點關注的領域其存在的一些問題及解決網絡供應鏈風險的一些舉措和戰(zhàn)略機遇。

未來重點關注的領域

1.遺留系統(tǒng)

能源部門的遺留系統(tǒng)和新系統(tǒng)都有很長的生命周期，在許多情況下長達幾十年。遺留系統(tǒng)的更換周期也較慢，許多因素導致了時間范圍的延長。例如，具備執(zhí)行遺留系統(tǒng)升級所需技能的勞動力供應有限；安排遺留系統(tǒng)更換所需的交付周期（例如，大型輸配電公司的SCADA/能源管理系統(tǒng)套件更換）需要多年的規(guī)劃和準備才能進行實際切換；變更受到嚴格的監(jiān)管治理，并且在升級的資金投資方面經常存在挑戰(zhàn)等。因此遺留系統(tǒng)即使在存在高風險網絡漏洞，許多漏洞仍將無法彌補，并在很長一段時間內依賴隔離緩解措施。

2.可再生能源、分布式能源和分布式能源管理系統(tǒng)

可再生能源、分布式能源和分布式能源管理系統(tǒng)（用于管理分布式能源的軟件平臺）正越來越多地被引入電網。這種新技術的注入預計將會加快，重點關注脫碳以應對氣候變化。

從操作技術的角度來看，這代表了網絡技術架構的一個重大變化，因為能源系統(tǒng)正在向一個融合了傳統(tǒng)集中式架構（中心輻射式）和具有數百萬個端點的新的分散式網狀架構的模型發(fā)展。

從網絡安全的角度來看，新技術架構的引入和架構間的集成改變了網絡的整體風險模型?？偟膩碚f，需要從關注傳統(tǒng)資產所有者的網絡安全方法發(fā)展到更加重視終端設備制造商和第三方集成商的方法。消費終端設備制造商全球數字供應鏈的網絡安全（如用于光伏等儀表后應用的逆變器）對電網未來的網絡健康至關重要。

3.遠程操作

互聯能源部門系統(tǒng)的遠程操作將繼續(xù)并增加。資產所有者和向他們提供數字組件的制造商多年來一直在建設連接系統(tǒng)和遠程系統(tǒng)的能力。這一趨勢在很大程度上降低持續(xù)現場系統(tǒng)運營商的成本。大型投資者擁有的公用事業(yè)一直在穩(wěn)步增長，將并購活動中收購的實物資產的軟件和操作技術同質化，以實現多個物理位置的遠程操作。

在過去的一年中，全球疫情大大加速了遠程操作趨勢。工人安全的必要性增加了資產所有者對遠程操作技術的投資。制造商通過擴大技術創(chuàng)新做出回應，如提供基于云的工業(yè)控制系統(tǒng)以實現操作靈活性。從第三方托管的虛擬平臺上運行工業(yè)控制系統(tǒng)（ICS）并非不安全。然而，從云互聯網運行ICS會顯著改變其風險狀況，如果沒有安全地設計、構建、調試、運行和維護，會使更大一部分關鍵系統(tǒng)面臨網絡風險。

能源網絡感知計劃

2021年基礎設施投資和就業(yè)法案第40122條指示DOE與相關聯邦機構合作，制定了一項自愿計劃，以測試用于能源領域的產品和技術的網絡安全性，包括在大容量系統(tǒng)中使用的產品和技術，包括與工業(yè)控制系統(tǒng)和操作技術相關的產品。該自愿測試計劃的戰(zhàn)略意圖是改善能源行業(yè)系統(tǒng)中關鍵組件（包括數字組件）供應鏈的風險管理。

工業(yè)控制系統(tǒng)的網絡脆弱性測試

在過去三年中，正在開發(fā)和初步實施的彈性工業(yè)網絡測試控制系統(tǒng) (CyTRICS)是DOE用于OT和ICS的網絡安全漏洞測試和數字子組件枚舉的程序。該自愿測試計劃的戰(zhàn)略意圖還在于為能源部門系統(tǒng)中關鍵組件的供應鏈風險管理提供信息。CyTRICS計劃的主要活動、發(fā)現和經驗教訓正在被納入新能源網絡感知計劃，以整合、發(fā)展和推動ESIB的優(yōu)先網絡安全成果。

確保能源基礎設施執(zhí)行特別工作組

2020財年國防授權法案第5726條指示DOE與相關聯邦機構、學術合作伙伴、能源部門資產所有者和運營商以及關鍵部件制造商合作，在國家實驗室建立一個為期兩年的試點計劃，以識別能源部門新的安全漏洞類別，并評估隔離和保護工業(yè)控制系統(tǒng)不受最關鍵的能源部門系統(tǒng)安全漏洞和攻擊的技術和標準。該工作組的交付成果代表了將用于改進ESIB中的網絡供應鏈風險管理的基礎研究和分析。

能源部門軟硬件材料清單概念驗證

2021年1月，CyTRICS與DHS、DOE國家實驗室、行業(yè)和學術合作伙伴合作，啟動了能源行業(yè)試點項目，以展示數字子組件的發(fā)現共享和分析，從而揭示與次級供應商相關的風險。該試點項目旨在加速解決導致網絡安全管理軟件產品妥協的根本原因，并支持執(zhí)行第14028號行政命令“改善國家網絡安全”。這種持續(xù)合作努力的戰(zhàn)略成果展示一個更好的經驗性答案，以解決軟件供應鏈可見性和次級供應商可見性的長期挑戰(zhàn)。

清潔能源網絡安全加速器

DOE和國家可再生能源實驗室于2021年10月啟動了清潔能源網絡安全加速器(CECA)，為各種規(guī)模和類型的資產所有者提供具有世界一流測試設施的第三方環(huán)境，以開發(fā)和部署可再生的現代電網技術，不僅具有成本競爭力，而且通過設計展示了最高級別的安全性。在該計劃下進行的測試和分析將支持加強能源部門系統(tǒng)中新興技術的數字供應鏈。

持續(xù)的差距

美國能源部將繼續(xù)建立和發(fā)展這些計劃和其他計劃，以提高能源部門系統(tǒng)中關鍵數字組件的供應鏈安全。盡管如此，仍然存在許多阻礙整體進展的結構性差距。關鍵差距如下所述。

1.界定能源部門工業(yè)基礎（ESIB）

能源行業(yè)及其所依賴的供應鏈非常多樣化。能源部門系統(tǒng)的日益數字化、一體化和互聯化需要一種更全面的方法來識別網絡供應鏈風險共擔的利益相關者。采用整體方法是有效解決數字供應鏈中共享風險的基礎。國防工業(yè)基地提供了一些可利用的概念，可能有助于為能源部門制定整體方法。

2.數據和分析能力

缺乏對ESIB的全面定義并且各組成部分的格式和要求不一致，導致當前的信息和分析工具支離破碎、不一致且不完整。因此，在構建和維護彈性數字供應鏈時，了解當前和新出現的供應鏈威脅、風險、漏洞和機遇，訪問供應鏈數據和分析工具以提供決策支持非常重要。例如，可用于進行有效數字供應鏈分析的數據包括關鍵軟件的流行度和重要性、軟件材料清單和市場份額。全面和規(guī)范化的數據對于闡明、分析和確定系統(tǒng)性數字供應鏈風險以及跟蹤進度至關重要。

3.戰(zhàn)略方法

DOE目前還沒有一個覆蓋ESIB的策略，能完全解決相互依賴的數字供應鏈的安全問題，需要一種更全面的方法來有效提高彈性和數字供應鏈安全性。一個安全的數字原件供應鏈策略可以有效地確定關鍵數字元件供應鏈安全的行動，這些關鍵數字元件由ESIB的關鍵子行業(yè)和公司使用，對美國的能源安全至關重要。戰(zhàn)略方法將啟用關鍵的 ESIB 范圍功能，包括：定義和優(yōu)先考慮關鍵的數字供應鏈；基線和定義目標；隨著電網現代化和去碳化趨勢的加速，對預期變化進行有效規(guī)劃。

4.更加一致的指導方針

對關鍵能源系統(tǒng)中的數字組件的供應鏈風險的分散和不一致的監(jiān)督仍然是一個空白。管理ESIB共同網絡安全風險的政策凝聚力和更一致的指導方針、標準和流程可以彌補這一差距。提高ESIB范圍一致性的一個關鍵部分將包括與主要政府和ESIB利益相關方合作，利用和建立現有的標準和新興規(guī)則，如第14028號行政命令“提高國家網絡安全”中確定的準則。

戰(zhàn)略機遇

美國能源部將繼續(xù)根據行政和立法指示，優(yōu)先考慮項目和倡議，以管理ESIB的網絡供應鏈風險。此外，還存在一個制定政策來管理未來新出現的風險的戰(zhàn)略機遇。新的優(yōu)先事項可以優(yōu)先處理以下要素。

1.保護分布式能源管理系統(tǒng)和終端設備

隨著電網的現代化和去碳化，越來越多的終端設備——如消費類電動車（EV）充電器——將接入電網。用于在傳統(tǒng)公用事業(yè)和資產所有者、第三方聚合商和消費者之間管理和聚合這些設備的軟件——分布式能源管理系統(tǒng)(DERMS)——在安全管理這些日益復雜的互連系統(tǒng)方面將變得越來越重要。因此，必須進行主動的安全投資，以確保連接設備上的固件和用于連接和管理它們的軟件系統(tǒng)的網絡供應鏈的完整性。開發(fā)支持能源部門的新興技術時，應注意闡明次級供應商風險的方法。

2.保護虛擬平臺

更靈活運作ICS的效率驅動趨勢將繼續(xù)下去，因此，由ESIC向能源部門提供的第三方虛擬平臺和虛擬服務的安全性將成為越來越重要的網絡供應鏈風險，需要加以管理?，F代技術架構應該遵循設計安全的原則，不僅在系統(tǒng)本身，而且在支持它們的數字供應鏈中。

3.確保數據供應鏈的完整性

AI/ML的使用將繼續(xù)朝著人工智能的方向發(fā)展，并應用于越來越多的復雜的日常應用，包括管理電網的安全和高效運行。因此，建議我國相關組織積極投資，確保數據集、人工智能模型和人工智能培訓的商業(yè)全球供應鏈的完整性，以防止這些關鍵能力因美國對其的依賴而受到惡意損害。

參考文獻

[1] https://www.congress.gov/bill/117th-congress/house-bill/3684/text

[2] https://inLgov/cytrics/

[3] Section 40122 of the 2021 Infrastructure Investment and Jobs Act(Pub.L.117-58)

[4] https://www.energy.gov/ceser/national-defense-authorization-act-fiscal-year-2020-ndaa#:%7E:text=National%20Defense%20Authorization%20Act%20for%20Fiscal%20Year%202020%20(NDAA)%2C,owners%20and%20operators%20and%20critical

[5] https://docs.house.gov/billsthisweek/20191209/CRPT-116hrpt333.pdf

[6] https://inl.gov/sbom-poc/

[7]https://www.federalregister.gov/documents/2021/05/17/2021-10460/improving-the-nations-cybersecurity

[8] https://www.nrel.gov/innovate/cybersecurity-accelerator.html

[9] Congressional Research Service (2021). “Defense Primer: U.S. Defense Industrial Base.”

https://crsreports.congress.gov/product/pdf/IF/IF10548

[10]Congressional Research Service (2021). “Defense Primer: The National Technology and Industrial Base.”

https://crsreports.congress.gov/product/pdf/IF/IF11311

[11]https://www.dni.gov/index.php/gt2040-home/gt2040-structural-forces/technology

分享名稱：能源系統(tǒng)數字組件的供應鏈風險
瀏覽路徑：http://m.5511xx.com/article/djjhjjp.html