能源部作为联邦政府部门,主持能源部门的网络安全活动,避免网络安全攻击对能源部门产生灾难性影响,确保能源部基础设施的网络安全和恢复能力。
为推动任务实施,能源部发布了《网络安全战略》,以有效促进整个部门网络安全的协调发展及防御。鉴于该部门的独特结构和任务,该战略从能源相关的多个角度和各种经验入手,就网络安全达成了共识,建立了问责文化。
副部长致辞
推进网络安全是能源部(DOE)当前重点考虑的核心事宜。我们将共同努力迎接这一挑战,通过各种项目和国家实验室将资产和能力结合起来。《能源部网络安全战略》重点关注本部在保护联邦系统和网络方面的关键网络安全任务,与近期公布的《能源部能源部门网络安全多年计划》相一致,是协调好整个部门关键网络运营的重要一步。
作为能源部网络委员会的主席,我有幸与本部的各位IT和网络安全政策及技术领导人会面并共事,以期在整个能源部范围内推行网络安全方法。经过努力,我们制定了《战略与实施规划》,确定了行动步骤,确保在整个能源部范围内尽可能有效地分配网络资源。如何将网络安全首要事项付诸行动以保护能源部最重要的资产,这是我们的重中之重。
为确保这一网络安全任务在全部门成功完成,我们必须做到或继续做如下几点:
- 近乎实时地共享网络威胁数据,通过使用美国情报资产加快和促进数据分析来减轻这些威胁;
- 发展通用身份服务,促进协作,提升透明度;
- 与联邦政府机构合作,确定并实施最佳实践;
- 在能源部范围内全面实施持续诊断和缓解(CDM)工具,以提供经济高效、基于风险的可扩展网络安全解决方案;
- 加强能源部的联合网络安全综合协调中心(iJC3),确保能源部上下实时发现威胁,先发制人;
- 构建系统,通过云服务将能源部中的所有人员连接起来,同时保护内部通信和敏感数据;
- 实施网络风险管理框架,确定投资优先级,以更好地应对快速演进的威胁;
- 继续识别、调查和防护来自于个人和组织的威胁;
- 打击定向网络钓鱼、拒绝服务攻击以及恶意软件植入;
- 继续利用本部国家实验室在推动创新网络安全能力发展方面所获的各项成果。
本文档所述的优先事项对于实现我们的共同网络安全任务至关重要。网络安全,人人有责。我相信,通过合作,我们可以改变并加强全部门的整体网络状况,代表美国人民完成各项重要任务。
特此批准《2018–2020年能源部网络安全战略》。
丹·布鲁耶特(Dan Brouillette)
能源部副部长
2018年6月
首席信息官致辞
美国能源部首席信息官办公室制定了《能源部网络安全战略与实施规划》,以提升能源部网络和系统的网络安全与恢复能力。该规划确定了综合战略,通过与能源部其他机构以及联邦政府的战略、计划和活动相协调,参与一系列具有广泛影响力的活动,减少能源部的网络风险,并为美国能源部门提供支持。该战略作为能源部《能源部能源部门网络安全多年计划》的补充,为能源部门提供支持。《网络安全战略》与《多年计划》的目标一致,旨在降低网络事件造成的能源中断风险,同时阐述了能源部应如何履行其法定网络安全责任并满足该部门不断发展的网络安全需求。
《能源部网络安全战略与实施规划》涉及转型变革、成果优化,同时用于建立可持续的网络安全。战略围绕以下几点构建:
- 对齐任务—确保《能源部战略规划》与《网络安全战略》直接相关;
- 与客户和利益相关者对齐—作为代理,加强与客户和利益相关者的协作,为其创造价值;
- 与流程对齐—通过分析技术和商业智能,让流程创造价值,持续提升绩效、执行和创新水平;
- 与资源管理对齐—人员战略应促进必要人才的选、育、留,满足能源部需求。
《能源部网络安全战略》要解决日益复杂的网络环境所带来的挑战。成功实施战略需要在能源部行政机构、项目机构、国家实验室、电力销售管理局、发电厂和站点之间建立透明、包容和协作的治理流程。该战略将会促进能源部IT基础设施的现代化,提供有效服务,支持智能、高效的网络安全,增强能源部的全面网络安全风险管理。我们的网络现代化项目将优化IT基础架构,增强网络安全,提升恢复能力(包括云服务的扩展用途),可按需扩容,并能提高安全意识并推广能源部的最佳实践。《能源部网络安全战略与实施规划》将提供优质的IT和网络安全,持续改善我部的网络安全状况,帮助我们从IT所有人转变为IT代理人(IT Broker),同时管好纳税人的钱。
特此发布《2018–2020年能源部网络安全战略》。
马克斯·埃弗雷特(Max Everett)
首席信息官
能源部
2018年6月
执行摘要
能源部作为联邦政府部门,主持能源部门的网络安全活动,避免网络安全攻击对能源部门产生灾难性影响,确保能源部基础设施的网络安全和恢复能力。
为推动任务实施,能源部发布了《网络安全战略》,以有效促进整个部门网络安全的协调发展及防御。鉴于该部门的独特结构和任务,该战略从能源相关的多个角度和各种经验入手,就网络安全达成了共识,建立了问责文化。
战略确定了四项交叉原则:
- “众志成城,统一作战”
- 采用风险管理方法
- 按照优先级进行规划和资源配置
- 进行全面协作
能源部将针对四个IT战略目标应用上述原则:
- IT目标1:提供优质的IT和网络安全解决方案
- IT目标2:持续改善网络安全状况
- IT目标3:从IT所有人过渡到IT代理人,更好地聚焦于客户
- IT目标4:管好纳税人的钱
针对这四个战略目标,《网络安全战略》确定了能源部在未来三年内的七个具体目标和主要相关任务和活动,以降低网络安全事件风险,同时阐述了能源部将如何履行其法定网络安全职责,满足不断变化的部门安全需求。
《网络安全战略》还就推动能源部和能源部门网络安全的近期和长期优先事项提出了必要的指导原则和战略方法。该战略与相关的框架和战略对齐,涵盖国家标准与技术研究院(NIST)的《网络安全框架》和《总统管理议程》。战略还会推动若干网络安全相关法规和行政命令的实施,包括《联邦IT采购改革法案》(FITARA)、《联邦信息安全管理法案》(FISMA)和《13800号行政命令:加强联邦网络和关键基础设施的网络安全》。
最后,该战略将为能源部的网络安全、能源安全和应急响应办公室(CESER)提供重要支持。CESER主要负责能源部门的网络安全和事件响应活动。
虽然该战略是为能源部量身定制,但能源部期待与能源行业以及全国的联邦和非联邦伙伴密切合作,共同开展这些工作。通过这一战略和相关任务,能源部将改善其安全状况,为部门的系统、信息和基础设施提供保护,使其免受网络安全威胁。
引言
网络安全对能源部各项任务的成功至关重要,这些任务包括维持国家的核威慑力、降低核扩散威胁、监管国家的能源供应以及管理17个国家实验室的科技力量。面对日益增长的复杂网络威胁,保护这些关键任务至关重要,这是佩里部长(指能源部长里克·佩里(Rick Perry))的最重要使命。
《能源部网络安全战略》(以及相关的《实施规划》(统称为《网络安全战略》))为整个部门提供了有效的网络安全协作防御思路。《网络安全战略》所遵循的原则根植于风险管理。战略将在政策中体现,并获得足够的资源在部门快速实施。同时,就每项优先目标和任务还提供了可衡量指标。副部长布鲁耶特有一句名言,“我们众志成城,统一作战”(We are one team, one fight),能源部各部门须“全力以赴”,全身心投入到整个能源部的网络安全协作中—不能有任何薄弱环节。
《网络安全战略》符合总统的《2017年国家安全战略》[1](呼吁保护联邦和能源部门的资产)要求以及2018财年预算中的国会指示[2]。
鉴于网络安全威胁范围广,规模大,形式和功能多变,考虑到该部门的运营结构(有107个下属部门分布在30多个州),《能源部网络安全项目》需要具有动态灵活性,确保能源部任务成功。因此,《网络安全战略》在制定时参考了能源部在网络安全协作、战略思维和战术运营上的成功经验,并做了适度调整,以符合具体任务要求。战略还反映了联邦政府和行业的最新创新方法和最佳实践,以及从国会、政府问责局(GAO)和能源部监察长办公室(OIG)收到的反馈意见。
能源部首席信息官(CIO)与整个能源部的网络安全从业人员和管理人员合作—利用他们的专业知识、洞察力和资源—代表部长,根据《2014年联邦信息安全现代化法案》(FISMA)、行政命令与备忘录、国家标准与技术研究院(NIST)标准和实践(如《提升关键基础设施网络安全框架》(网络安全框架))、国土安全部(DHS)的强制命令以及能源部政策(包括《205.1号能源部命令:网络安全管理项目》),牵头实施《能源部网络安全项目》。
此外,《网络安全战略》与近期发布的《能源部能源部门网络安全多年计划》对齐,以加强国家能源基础设施(包括能源部下属的电力销售管理局)的网络安全和恢复能力。
网络安全愿景
全部门齐心协力,协同合作,高效完成各项任务,为整个能源部提供最可靠的安全保障。
网络安全任务
通过合作制定并在全部门内实施网络安全政策,推动部门完成任务。这些政策与基于风险管理的最优网络安全防御措施相匹配,可实现卓越客户运营,同时平衡风险、资源限制和创新需求,具有明确、可衡量的指标,保护信息资源和系统的安全。
成功原则
-
“众志成城,统一作战”
能源部部长和副部长承认,有恶意行为者和民族国家意在阻止能源部完成任务。因此,他们明确重申,网络安全是部门的首要任务,部门领导须在整个部门的各项要务中整合网络安全政策和运营措施,不能留有任何薄弱环节。要取得成功,领导必须始终关注部门网络安全目标,该目标为部门的所有其他目标和(主要的)关键功能提供最终支持。
-
采用风险管理方法
鉴于资源有限,能源部须利用风险管理过滤器为各项网络安全要求划定优先级。网络安全威胁动态变化,再加上其具有隐蔽性,能源部在评估和修改其网络安全优先级时须同样保持灵活,采用合理的风险管理算法,此等算法须考虑到最新情报和现实世界事件,并结合能源部之前所获得的经验教训。多数情况下,基层部门是分析和理解风险的最佳部门。能源部须认识到基层部门的优势,授权这些部门处理网络安全风险。他们还须明白,鉴于网络安全威胁范围广、规模大,形式和功能多变,能源部须不断调整网络安全深度防御和广度防御战略。
-
按照优先级进行规划和资源配置
须根据优先级分配网络安全资源并确定重点工作。正如能源部、其他机构和私营部门的过往经历所示,缺乏网络安全考虑的部门规划、预算编制和执行会导致损害成倍增长,致使任务失败,失去利益相关者的信任。网络安全的计划外或紧急支出将纳入预算讨论。作为负责任的管家,能源部必须根据观察到的结果将资源分配与可衡量的指标和流程改进相关联。管理者须对未能优先考虑网络安全健康和报告运营指标负责。为各项需求划定优先级并采用基于风险管理的网络安全方法,将为应对不断增加的网络安全威胁奠定坚实的基础。这为执行《13800号行政命令:加强联邦网络和关键基础设施的网络安全》提供了支持,该行政命令要求能源部等联邦机构检查联邦当局及其能力对网络风险管理的支持情况。
-
进行全面协作
能源部具有多样性,其站点、国家实验室和发电厂分布在30多个州,任务和风险状况各有不同,需要整体网络安全方法。因此,合理的网络安全防御需要采用以客户为中心的协作方法—特别是在任务要求差别很大的情况下,即使在能源部各部门之间也是如此。考虑到角度不同,经历千差万别,整体方法对于网络安全战略的成功至关重要。要让客户积极参与,关键是征求客户意见/反馈,确定和了解客户需求。同样,网络安全措施的价值主张必须向客户明确。会有大量的协作活动围绕下述活动展开:鼓励并接受输入、识别并及时解决问题、采用基于风险管理的解决方案促进任务成功。客户若接收到充分信息,则会积极参与,并且更有可能倾情投入。国家核安全局(NNSA)以及科学、能源等部门将持续整合、协调和合作,确保能源部精诚合作,一致行动。
部门内对齐
能源部新成立的网络安全、能源安全和应急响应办公室(CESER)作为联邦政府部门主导网络安全工作,与能源部门的业主单位和运营商合作,确保网络和物理攻击不会对国家能源部门造成灾难性影响。在能源部内部,部长授权CIO负责根据《13800号行政命令:加强联邦网络和关键基础设施的网络安全》(2017年)在全部门范围内进行网络安全风险管理。《网络安全战略》一方面尊重运营边界,另一方面会着力促进CESER与OCIO之间的协作。
[1] https://www.whitehouse.gov/wp-content/uploads/2017/12/NSS-Final-12-18-2017-0905.pdf
[2] https://docs.house.gov/billsthisweek/20180319/DIV%20D%20EW%20SOM%20FY18-OMNI.OCR.pdf