【秦安点评】越了解越恐惧、越依赖越恐惧。对于网络攻击的毁瘫效果，用这句话形容美国的心态最为恰当。作为互联网的缔造者和网络战的始作俑者，美国打开了虚拟世界毁瘫现实社会的大门。那就是2010年的“震网病毒”瘫痪了伊朗核设施的1000多台离心机。我当时曾撰文指出，美国打开了潘多拉盒子，尽管是一个突破，但一定也将使恐怖分子心跳加速，么过也会心生恐惧。但其后包括以网络攻击报复伊朗击落其“全球鹰”无人机，在俄罗斯电网预置可大规模毁瘫的恶意代码等，说明美国网络空间备战一刻也没有停止，而且到了自己都感觉恐惧的态势，加紧防范中俄的网络攻击能力也就不足为奇了。网络攻击是非对称作战，传统弱国可能就是网攻强国，包括网络恐怖主义在内，美国面临的致命性威胁将急剧增加。因此，回到中国倡导的网络空间命运共同体道路上来，从核威慑的确保相互摧毁到网络攻击的保障相互安全，才是对网络攻击“别人的短板可能就是攻击自己跳板”规律的最大尊重（本文为天地和兴研究院授权秦安战略头条号独家原创发表，欢迎转载，但需注明来源）。

【原编者按】美国5月1日发布的总统行政命令13920称，大容量电力系统（BPS）是寻求对美国政府和民众进行恶意网络攻击活动的目标，电力系统设备的供应链安全对美国国防、外交、经济和社会生活构成严重威胁，因此将禁止美国购买对国家安全造成风险的国外电力设备，要求将外国敌对国家供应商提供的关键电力设备从电网中移除。作为对总统行政令的响应，美能源部7月8日发布RFI（信息请求），公开向社会征求意见建议，以建立一个分阶段的流程，使能源部能够按功能和对整个BPS公司的影响，优先审查BPS公司的电力设备。与此同时，北美电力可靠性委员会(NERC)了发布一份保密的题为“保护美国的大容量电力系统，第三供应链”的警示，意在收集有关使用外国BPS设备的信息。美国能源安全界对此RFI表示了积极的肯定，称迈出了可喜的一步，同时也表达了对政出多门、不同的基础设施框架造成困扰的担忧。尽管能源部也继承了美国一贯污名化中国的作法，称中国、俄罗斯为BPS的最大威胁对手国家，但其广泛发动政府、民间力量清理电力供应链安全漏洞、风险的做法，仍然值得借鉴。

5月1日，特朗普政府发布了一项保护美国大容量电力系统的行政命令，要求将外国敌对国家供应商提供的关键电力设备从电网中移除。7月8日，美国能源部(DOE)、电力办公室(Office of Electricity)发布了一份信息请求(RFI)，“寻求信息以了解能源行业目前的做法，以识别和减轻大容量电力系统(BPS)组件供应链上的漏洞。”

RFI是行政命令(EO)的后续，该行政命令指导能源部与其他机构协商，通过规则制定过程和法规，实现其目标。《电气设备条例》将电气设备定义为在变电站、控制室和发电厂使用的物品，包括反应堆、电容器、变电站变压器、大型发电机、稳压器以及其他一些规定的电气设备。

该RFI主要内容为三部分，一是背景介绍。说明此事的背景和5月1日第13920总统行政令的主要内容。E.O.13920（85 FR 26595，2020年5月4日）宣布外国对手对BPS的威胁构成国家紧急状态。BPS提供的电力支持美国的国防以及至关重要的紧急服务、关键基础设施、经济和生活。二是RFI的主要内容，包括供应链和经济分析两部分。能源部就E.O.13920的前三个主要议题相关的问题公开广泛征集意见。三是建议征集。能源部邀请所有感兴趣的各方在2020年8月7日之前以书面形式提交对此RFI中解决的事项的评论和信息。开通了提交建议的在线平台http://www.regulations.gov。

俄罗斯和中国明确称为“敌对国家威胁”

不同于行政命令,RFI明确指明中国和俄罗斯是威胁大容量电力系统的最大敌对国家，因为他们都拥有高度发达的网络程序和…两个国家都对美国政府构成重大威胁,包括,但不限于军事、外交、商业和关键的基础设施。依据由国家情报总监的办公室(ODNI)和国家反情报和安全中心(NCSC)的评估，RFI说,美国大容量电力系统是这两个“近乎旗鼓相当的对手”的国家的攻击目标，两国能够对美国关键基础设施的长期目标能造成极大的伤害。

RFI进一步表示，这些对手试图通过在技术网络和通信系统中插入恶意软件，在多个点上访问关键的基础设施供应链。为了解决大容量电力供应链对国家安全的影响，能源部的RFI侧重于“基于证据的网络安全成熟度指标”和外国所有权、控制和影响(FOCI)，以限制采购和评估供应链控制不足的后果。

能源部寻求行业对优先事项和过程的建议

在RFI中，能源部缩小了EO对设备的关注范围，以“建立一个分阶段的流程，使能源部能够按功能和对整个BPS公司的影响，优先审查BPS公司的电气设备。”“能源部已将重点集中在以下几类设备上:

高压变压器(包括发电升压变压器)无功设备(电抗器、电容器)断路器发电(包括向BPS公司提供的传输级发电和支持变电站的后备发电)能源部会向公用事业业主、营办商及其供应商寻求许多具体、严格和复杂的问题的答案。这些问题涵盖了大量的供应链领域，从公用事业公司和供应商是否进行企业风险评估，到分包商的治理水平，再到适用于拥有外国所有权、控制权或影响力的供应商的访问控制政策。

NERC发布供应链警告

能源部希望各利益攸关方在8月7日之前(即一个月内)回答这些问题和其他问题。公用事业公司和供应商在这么乱短时间内回答这些问题可能会面临挑战，因为NERC已经采取了行动。北美电力可靠性公司(NERC)作为一个准政府组织，已经为电力行业建立了强制性安全标准。昨天，也就是在能源部发布了RFI的同时，NERC发布了一个警告，“保护美国的大容量电力系统，第三供应链”。

虽然警告内容是机密的，仅限于电力公司，NERC在一份声明中告诉CSO，它发布了这份文件“继续收集关于使用外国BPS设备的信息”。电力公司必须在7月16日之前确认收到警告，并在8月21日之前回应警告中的建议。

能源安全行业对RFI的反应

“我认为能源部的RFI迈出了很好的第一步，”能源安全联盟EnergySec的创始人帕特里克·米勒告诉CSO，他现在是能源咨询公司Archer Security的管理合伙人。“我认为他们向业界征求意见是件好事。”

ICS安全咨询公司Digital Bond的创始人兼首席执行官Dale Peterson（戴尔·彼得森）对此表示赞同。他说:“能源部对行政命令做出反应，推出这个RFI计划，这是意料之中的，也是好事。”令Peterson特别高兴的是，能源部正在询问电网中存在哪些在设计上是不安全的通信协议，例如，分布式网络协议3 [DNP3]、文件传输协议[FTP]、Telnet或Modbus。他说:“从2012年起，我就一直在鼓吹这一点。”

西部地区电力管理局(WAPA)是一家联邦所有的电力公司，由美国能源部管理，自然支持政府试图通过行政命令实现的目标。WAPA的首席执行官Mark Gabriel告诉CSO:“在美国最关键的基础设施不断受到威胁的今天，我们非常需要采取任何措施来保护大容量电力系统免受潜在对手的威胁。”“行政命令的精神和意图都符合我们保护大容量电力系统的需要。”

Gabriel说:“关于大规模电力系统面临威胁的证据和经验越来越多。”“考虑到这些运行大容量电力系统的机构是如何面对威胁的，通常都是一阵风式的，缺乏连续性。当你想到国家安全的时候，这是一个我们都需要支持的领域。”