国家能源局印发《电力行业网络安全管理办法》

12月12日，国家能源局印发《电力行业网络安全管理办法》，为加强电力行业网络安全监督管理，规范电力行业网络安全工作。办法明确，电力企业是本单位网络安全的责任主体，负责本单位的网络安全工作。电力企业主要负责人是本单位网络安全的第一责任人。电力企业应当建立健全网络安全管理、评价考核制度体系，成立工作领导机构，明确责任部门，设立专职岗位，定义岗位职责，明确人员分工和技能要求，建立健全网络安全责任制。

（来源：国家能源局）

微软发布《IT和OT的融合：关键基础设施的网络风险正在上升》

12月14日，Microsoft发布了《IT和OT的融合：关键基础设施的网络风险正在上升》报告，提供了关于融合IT、物联网（IoT）和运营技术（OT）系统给关键基础设施带来的更广泛风险的新见解。数据显示，在过去几年许多组织采用的融合和互连的推动下，这些环境和网络中的攻击者数量激增。报告称，攻击者会破坏联网设备以获得对敏感关键基础设施网络的访问权限。

（来源：g.yam）

NERC发布安全集成战略

12月13日，北美电力可靠性公司（NERC）发布了安全集成战略，旨在将网络和物理安全集成到电网规划、设计和运营中。该战略侧重于风险识别和验证、确定优先级以及开发可能的缓解措施，进一步概述了电力可靠性组织（ERO）的优先事项，以通过与电力部门利益相关者的合作来加强安全集成。NERC安全集成战略的原则可以映射到NERC风险框架，该框架指导ERO确定风险的优先级，并为ERO政策、程序和过程的应用提供指导，以告知资源分配和项目优先级，以减轻这些风险。

12月10日， InfraGard的80000多名成员的联系信息数据库在Breached论坛上被公开出售。InfraGard是美国联邦调查局（FBI）运行的一个项目，旨在与私营部门建立网络和物理威胁信息共享合作关系。FBI表示正在积极调查此事，目前无法提供任何额外信息。

（来源：krebsonsecurity）