【秦安點評】越瞭解越恐懼、越依賴越恐懼。對於網絡攻擊的毀癱效果，用這句話形容美國的心態最爲恰當。作爲互聯網的締造者和網絡戰的始作俑者，美國打開了虛擬世界毀癱現實社會的大門。那就是2010年的“震網病毒”癱瘓了伊朗核設施的1000多臺離心機。我當時曾撰文指出，美國打開了潘多拉盒子，儘管是一個突破，但一定也將使恐怖分子心跳加速，麼過也會心生恐懼。但其後包括以網絡攻擊報復伊朗擊落其“全球鷹”無人機，在俄羅斯電網預置可大規模毀癱的惡意代碼等，說明美國網絡空間備戰一刻也沒有停止，而且到了自己都感覺恐懼的態勢，加緊防範中俄的網絡攻擊能力也就不足爲奇了。網絡攻擊是非對稱作戰，傳統弱國可能就是網攻強國，包括網絡恐怖主義在內，美國面臨的致命性威脅將急劇增加。因此，回到中國倡導的網絡空間命運共同體道路上來，從核威懾的確保相互摧毀到網絡攻擊的保障相互安全，纔是對網絡攻擊“別人的短板可能就是攻擊自己跳板”規律的最大尊重（本文爲天地和興研究院授權秦安戰略頭條號獨家原創發表，歡迎轉載，但需註明來源）。

【原編者按】美國5月1日發佈的總統行政命令13920稱，大容量電力系統（BPS）是尋求對美國政府和民衆進行惡意網絡攻擊活動的目標，電力系統設備的供應鏈安全對美國國防、外交、經濟和社會生活構成嚴重威脅，因此將禁止美國購買對國家安全造成風險的國外電力設備，要求將外國敵對國家供應商提供的關鍵電力設備從電網中移除。作爲對總統行政令的響應，美能源部7月8日發佈RFI（信息請求），公開向社會徵求意見建議，以建立一個分階段的流程，使能源部能夠按功能和對整個BPS公司的影響，優先審查BPS公司的電力設備。與此同時，北美電力可靠性委員會(NERC)了發佈一份保密的題爲“保護美國的大容量電力系統，第三供應鏈”的警示，意在收集有關使用外國BPS設備的信息。美國能源安全界對此RFI表示了積極的肯定，稱邁出了可喜的一步，同時也表達了對政出多門、不同的基礎設施框架造成困擾的擔憂。儘管能源部也繼承了美國一貫污名化中國的作法，稱中國、俄羅斯爲BPS的最大威脅對手國家，但其廣泛發動政府、民間力量清理電力供應鏈安全漏洞、風險的做法，仍然值得借鑑。

5月1日，特朗普政府發佈了一項保護美國大容量電力系統的行政命令，要求將外國敵對國家供應商提供的關鍵電力設備從電網中移除。7月8日，美國能源部(DOE)、電力辦公室(Office of Electricity)發佈了一份信息請求(RFI)，“尋求信息以瞭解能源行業目前的做法，以識別和減輕大容量電力系統(BPS)組件供應鏈上的漏洞。”

RFI是行政命令(EO)的後續，該行政命令指導能源部與其他機構協商，通過規則制定過程和法規，實現其目標。《電氣設備條例》將電氣設備定義爲在變電站、控制室和發電廠使用的物品，包括反應堆、電容器、變電站變壓器、大型發電機、穩壓器以及其他一些規定的電氣設備。

該RFI主要內容爲三部分，一是背景介紹。說明此事的背景和5月1日第13920總統行政令的主要內容。E.O.13920（85 FR 26595，2020年5月4日）宣佈外國對手對BPS的威脅構成國家緊急狀態。BPS提供的電力支持美國的國防以及至關重要的緊急服務、關鍵基礎設施、經濟和生活。二是RFI的主要內容，包括供應鏈和經濟分析兩部分。能源部就E.O.13920的前三個主要議題相關的問題公開廣泛徵集意見。三是建議徵集。能源部邀請所有感興趣的各方在2020年8月7日之前以書面形式提交對此RFI中解決的事項的評論和信息。開通了提交建議的在線平臺http://www.regulations.gov。

俄羅斯和中國明確稱爲“敵對國家威脅”

不同於行政命令,RFI明確指明中國和俄羅斯是威脅大容量電力系統的最大敵對國家，因爲他們都擁有高度發達的網絡程序和…兩個國家都對美國政府構成重大威脅,包括,但不限於軍事、外交、商業和關鍵的基礎設施。依據由國家情報總監的辦公室(ODNI)和國家反情報和安全中心(NCSC)的評估，RFI說,美國大容量電力系統是這兩個“近乎旗鼓相當的對手”的國家的攻擊目標，兩國能夠對美國關鍵基礎設施的長期目標能造成極大的傷害。

RFI進一步表示，這些對手試圖通過在技術網絡和通信系統中插入惡意軟件，在多個點上訪問關鍵的基礎設施供應鏈。爲了解決大容量電力供應鏈對國家安全的影響，能源部的RFI側重於“基於證據的網絡安全成熟度指標”和外國所有權、控制和影響(FOCI)，以限制採購和評估供應鏈控制不足的後果。

能源部尋求行業對優先事項和過程的建議

在RFI中，能源部縮小了EO對設備的關注範圍，以“建立一個分階段的流程，使能源部能夠按功能和對整個BPS公司的影響，優先審查BPS公司的電氣設備。”“能源部已將重點集中在以下幾類設備上:

高壓變壓器(包括髮電升壓變壓器)無功設備(電抗器、電容器)斷路器發電(包括向BPS公司提供的傳輸級發電和支持變電站的後備發電)能源部會向公用事業業主、營辦商及其供應商尋求許多具體、嚴格和複雜的問題的答案。這些問題涵蓋了大量的供應鏈領域，從公用事業公司和供應商是否進行企業風險評估，到分包商的治理水平，再到適用於擁有外國所有權、控制權或影響力的供應商的訪問控制政策。

NERC發佈供應鏈警告

能源部希望各利益攸關方在8月7日之前(即一個月內)回答這些問題和其他問題。公用事業公司和供應商在這麼亂短時間內回答這些問題可能會面臨挑戰，因爲NERC已經採取了行動。北美電力可靠性公司(NERC)作爲一個準政府組織，已經爲電力行業建立了強制性安全標準。昨天，也就是在能源部發布了RFI的同時，NERC發佈了一個警告，“保護美國的大容量電力系統，第三供應鏈”。

雖然警告內容是機密的，僅限於電力公司，NERC在一份聲明中告訴CSO，它發佈了這份文件“繼續收集關於使用外國BPS設備的信息”。電力公司必須在7月16日之前確認收到警告，並在8月21日之前回應警告中的建議。

能源安全行業對RFI的反應

“我認爲能源部的RFI邁出了很好的第一步，”能源安全聯盟EnergySec的創始人帕特里克·米勒告訴CSO，他現在是能源諮詢公司Archer Security的管理合夥人。“我認爲他們向業界徵求意見是件好事。”

ICS安全諮詢公司Digital Bond的創始人兼首席執行官Dale Peterson（戴爾·彼得森）對此表示贊同。他說:“能源部對行政命令做出反應，推出這個RFI計劃，這是意料之中的，也是好事。”令Peterson特別高興的是，能源部正在詢問電網中存在哪些在設計上是不安全的通信協議，例如，分佈式網絡協議3 [DNP3]、文件傳輸協議[FTP]、Telnet或Modbus。他說:“從2012年起，我就一直在鼓吹這一點。”

西部地區電力管理局(WAPA)是一家聯邦所有的電力公司，由美國能源部管理，自然支持政府試圖通過行政命令實現的目標。WAPA的首席執行官Mark Gabriel告訴CSO:“在美國最關鍵的基礎設施不斷受到威脅的今天，我們非常需要採取任何措施來保護大容量電力系統免受潛在對手的威脅。”“行政命令的精神和意圖都符合我們保護大容量電力系統的需要。”

Gabriel說:“關於大規模電力系統面臨威脅的證據和經驗越來越多。”“考慮到這些運行大容量電力系統的機構是如何面對威脅的，通常都是一陣風式的，缺乏連續性。當你想到國家安全的時候，這是一個我們都需要支持的領域。”