2024美国能源部网络安全战略（英）

美国能源部 CybersecurityStrategy 2024年1月 公司ntents的Table TableofContents2 Message从theDeputy秘书………………………………………………………………………………………………………………………… ……………………………………………………………………………………………………………3 Message从theChief信息官员4 Message从the导演,网络安全,能源安全,and紧急情况Response5 Message从theChief信息安全官员6 ExecutiveSummary7 介绍……………………………………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………9 The威胁9 支持the能源Mission9 我们的Vision10 我们的进近10 引导原则…………………………………………………………………………………………………………………………………………… ………………………………………………………11 支柱1:理解the风险13 支柱2:缓解风险15 支柱3:启用Mission弹性…………………………………………………………………………………………………………………………… …………………………………………………………………………17 支柱4:开发the网络劳动力19 支柱5:保护Critical能源基础设施………………………………………………………………………………………………………………… ………………………………………………………………………………………21 实施情况………………………………………………………………………………………………………………………………………………… ……………………………………………………………………………………………………………23 Conclusion23 我为DeputySecre的职务 网络安全是本届政府的首要任务。2021年5月，总统拜登发布第14028号行政命令，改善国家的网络安全为网络安全现代化做出重大贡献 通过保护联邦网络，改善信息共享来防御美国政府和私营部门之间的网络数据，加强我们应对安全事件的能力。 2021年7月，总统发布了《国家安全备忘录》关键基础设施控制系统的网络安全，加强了与关键基础设施所有者和运营商合作的重要性 解决运行工业控制系统(ICS)的部门面临的网络威胁。 2023年3月，白宫发布了《国家网络安全战略》。这强调了一种集体防御的方法，在这种方法中，美国将与盟国合作， 合作伙伴推进我们的数字生态系统，提高其防御性、弹性和与美国的一致性值。 能源部（DOE）正在将网络安全挑战作为一项全企业的努力来应对，整合了我们的项目办公室和国家实验室的资产和能力。 DOE网络安全战略不仅将注意力集中在保护DOE的联邦系统和资产上，而且也保护我们国家的关键能源基础设施。网络安全不仅仅是 首席信息官办公室（OCIO）和网络安全，能源安全和紧急情况办公室响应（CESER），这对部门的日常运作和确保电力流动至关重要， 石油和天然气遍布全国数百万美国人。这一战略试图使使命和 整个部门的网络安全目标。这是如何将我们的优先事项转化为行动的关键路线图保护美国能源部和美国能源部门最宝贵的资产。网络安全是一项集体努力， 需要重要的伙伴关系和协作。成功将需要持续的资源、精力、重点、坚持和实践。 担任DOE网络和信息技术（IT）/运营技术（OT）执行主席理事会，我有幸与IT和网络安全政策和技术领导者会面和合作整个部门推进整体网络安全方法。这个策略定义了几个具体的 我们必须实现的目标，以确保我们集体网络安全努力的持续成功。 这些措施包括识别我们的网络安全风险，减轻该风险，实现任务弹性，开发网络安全劳动力，并保护我们国家的关键能源基础设施。 网络安全是能源部每个人共同的责任，我相信，我们可以一起改变 并加强DOE的企业网络安全态势和美国能源部门的态势，以实现我们的代表美国人民的多样化和重要的使命。 DavidM.Turk 能源部副部长 我为ChiefInformatioOfficer 2023年3月的国家网络安全战略概述了网络安全植根于协作和问责制。 国家战略中提到的优先事项，OCIO已经制定了这DOE网络安全战略，定义一种集成的方法来减少对部门的网络安全风险。此策略还概述了DOE如何将通过参与一系列高 识别、阻止、检测和响应威胁的影响活动我们的关键资产。 DOE有一套独特的任务，跨越关键的行政优先事项包括能源和核安全，电网现代化，促进 科学研究和发现，清理国家的环境 遗产和应对气候变化。这一系列广泛的任务，结合DOE的联邦结构，提出了独特的网络安全挑战，需要敏捷， 基于风险的方法，以提高IT和OT系统的安全性，同时实现我们的任务。 DOE网络安全战略概述了一种方法，该方法将管理转型变革并实现在解决与日益复杂的网络威胁相关的挑战的同时取得预期成果 景观。成功的实施将需要透明、包容和协作的治理跨部门要素(DE)、计划办公室、站点、工厂和 国家实验室。展望未来，我们必须对网络安全采用“集体防御”方法，而不是不仅彼此合作，而且在联邦政府、私营部门以及与盟友和 与世界各地的合作伙伴分享最佳实践并利用经验教训。 不幸的是，我们不必走远就能看到不良行为者对我们生活的影响-勒索软件对医疗保健设施、石油管道、铁路系统和其他关键基础设施的攻击；无数记录和个人信息被盗并用于犯罪目的-以及更多影响 DOE的使命以及我们的日常生活。全球网络安全事件表明这项工作确实很重要。我们的IT和OT基础架构使我们在我们必须采取措施确保其防御性和弹性。 DOE的网络安全计划必须灵活，并适应新出现的事件和要求。写这篇文章，新的攻击正在发生，新的指导和要求正在从 管理。DOE网络安全战略旨在帮助我们应对不断变化的威胁和我们今天面临并将在未来面临的脆弱性。 AnnDunkin,P.E. 首席信息官 我从可怕的ctor，Cybersecurity，EnergySecurity，和新兴研究 世界越来越相互联系和数字化，美国能源 部门也不例外。网络安全是必要的，拜登-哈里斯行政部门已经适当地优先发展和 实施网络安全战略，这将推动我们的整体 安全。美国能源部网络安全战略是一份统一的文件，定义了DOE如何在内部工作以保护我们自己的资产，信息和技术，以及我们将如何与能源部门合作 保护和保护美国的关键能源基础设施。 我们面临的威胁是巨大的，它们正在演变。复杂的网络罪犯和团体对瞄准我们的能量非常感兴趣 考虑到这一点，DOE可以发挥独特而重要的作用，通过与公用事业和公司合作，引领整个行业的网络安全进程 通过与州和地方官员合作，优先考虑我们的基础设施 公用事业的网络安全指导，并通过与国家进行研究和开发工作实验室、私营部门、学术界等。 美国能源部网络安全战略提供了确保我们多样化能源部门安全所需的愿景。到实施这一战略的五大支柱，我们将需要创新和合作，依靠新的方法 例如能源威胁分析中心，目前处于试点阶段，以增强我们检测和与行业领导者密切合作，减轻网络威胁。我们还需要继续优先考虑通过CyberForce竞赛和OTDefender等计划开发劳动力 奖学金. 从早到晚，美国人依靠通过电力线，管道和其他方式可靠的能源流动基础设施的类型。随着我们走向清洁能源经济，能源发电的未来，美国的传输、分配和使用将更加数字化、互联和复杂。这个新 连接使能源部门变得更具弹性、安全和高效，但它也引入了 网络安全挑战。这正是DOE在我们设计时领导网络安全建设的原因未来的能源部门，正如国家网络信息工程战略所概述的那样。我们与整个部门合作，将网络安全纳入下一代能源技术、电力 车辆基础设施，以及更多。 为了满足这一要求，我们需要在网络安全方法上既敏捷又坚定。实现 这一战略的原则将有助于我们实现我们的愿景，一个安全、可靠和有弹性的能源部门美国人民。 PueshM.Kumar 网络安全，能源安全和应急响应办公室（CESER） 我为ChiefInformatioNSecuityOfficer 当今快速发展的网络威胁格局呈现出前所未有的机遇和挑战。正如国家网络安全 2023年3月发布的战略，数字技术已经形成 创新和促进变革，促进美国的相互联系和繁荣。由于先进的 技术和我们面临越来越多的持续威胁。我们必须积极主动地保护和保护数字生态系统和网络空间。 管理17个国家实验室的科技强国。 能源部的网络安全是企业范围内的 责任，这对新闻部多样化的成功至关重要维持国家核威慑、减少威胁的任务 核扩散，监督国家的能源供应，以及 这种独特的广泛和多样化的任务集需要一个联合模式来监督和管理所有人整个企业的功能，包括网络安全。DOE网络安全战略旨在协调 跨这些不同任务的网络安全目标和举措，并培养强大的安全文化。 实现安全、可靠和有弹性的网络环境需要美国能源部采取基于风险的方法，通过具有成本效益的投资，以降低网络风险。符合联邦授权，包括执行 第14028号令，改善国家网络安全，以及随后的管理和预算办公室(OMB)备忘录，我们认识到需要增加政府和私人之间的透明度 部门，以及通过持续诊断和 缓解,端点检测和响应,持续系统授权,联邦信息技术收购改革法案(FITARA)实施和企业网络监控。 我们的目标是成为纳税人资金的模范管理者，并不断改进IT服务和加强部门的网络安全态势，使我们的合作伙伴能够履行部门的使命通过有效、高效和创新的管理。 保罗·塞尔比首席信息安全官 活动摘要 美国能源部网络安全战略是一个有效的，协作的，企业范围内的网络安全态势的计划 anddefense.GiventheDepartment’suniquestructureandmission,thisstrategyleversdiverseviews 以及来自DOE企业的经验，建立了共同的理解和文化 协作和问责制。OCIO和CESER与所有人合作领导了这一战略的制定 relevantDEs,ProgramOffices,Sites,Plants,andNationalLaboratories.Thisstrategywillbeusedtoharmonize 并优先考虑DOE网络安全计划，编程，预算，培训和执行活动。 越来越依赖安全技术来实现新闻部的任务是我们的指路明灯。能源的任务，包括核安全、开放科学研究、清洁能源开发和部署到环境管理和运营企业职能，需要安全、可靠和 弹性技术和网络安全解决方案，以确保其运营成功。DOE必须继续 利用其广泛的专业知识以及整个部门战略性地管理网络安全风险的能力并确保为企业和能源部门提供安全、有弹性和可防御的基础设施。 因此，我们已经确定了五个不同的战略支柱，以克服我们的一些最大的挑战，填补关键差距，并加速加强DOE的网络安全态势。在这五个战略支柱中，这 DOE网络安全战略确定了未来几年DOE将追求的具体目标和目标履行其法定的网络安全责任，并解决不断发展的部门和能源问题 部门网络安全需求。虽然支柱1-4更面向内部，但支柱5不仅承认DOE自己的关键基础设施资产，但它与美国能源部门的关系也是部门风险 管理机构及其与其他关键基础设施部门的交集。 支柱1，了解风险：通过识别来了解DOE企业的网络安全风险威胁、关键系统及其相互依赖关系和漏洞，并估计可能性 和网络安全事件的潜在影响。需要对总体风险有充分的了解 有效分配资源，确定工作的优先次序，并制定有效的缓解战略。 支柱2，降低风险：通过应用零信任网络安全原则和加强脆弱性管理。这种保护努力寻求减少组织和 无意或恶意网络活动的系统性风险，并授权领导层做出知情基于风险的决策，改善部门的整体网络安全态势。 支柱3，实现任务弹性：通过增强治理和 协作活动，使新闻部的整体生态系统更具防