數字化與網絡安全系列
隨著全球能源行業數字化的進程的加速推進,對于能源數據的安全需求日益遞增,作爲保障民生的重要行業,能源數據安全將會是數字化建設的重中之重。交能網整合國際上能源數據安全相關研究報告,爲您獻上與能源數據安全、數據加密、監管架構的【網絡安全】新系列。關注公衆號,持續獲得該系列最新推送。
能源是我們賴以生活的基礎,同時,能源行業也掌握著國民經濟的命脈。在數字化轉型的今天,各類新型信息通信技術快速發展,能源互聯網正一步步向我們走來。在推動能源生産和消費革命的同時,能源行業正面臨網絡安全威脅的挑戰:烏克蘭電網遭遇黑客攻擊連續造成大面積斷電、印度電力公司大量客戶計費數據被竊取鎖定、黑客組織Allanite瞄准英美電力工控網絡,黑客攻擊事件層出不窮, 僅在過去一年就有68%的石油和天然氣公司遭到黑客入侵。美國國土安全部的數據表明,近年來隨著發電廠和變電站采用的智能儀表和自動控制系統增多,數字化的電網設施越來越容易受到黑客活動分子的攻擊,電力系統的網絡安全性十分堪憂,危險“迫在眉睫”。因此,全鏈接的能源互聯網需要完善的網絡安全政策體系,以實現更堅固的安全防禦。本文將爲讀者梳理一下當前國內外能源行業相關的網絡安全標准及政策體系建設的現狀。
國內
黨的十八大以來,我國確立了網絡強國,加快數字中國建設的戰略,互聯網成爲國家發展的重要驅動力。中國共産黨第十九次全國代表大會報告在提出電力行業智能化的同時,也指出網絡安全是人類面臨的許多共同挑戰之一。
2017年6月1日,《網絡安全法》正式實施,由于工業控制系統在關鍵信息基礎設施中的重要性,工控系統安全在《網絡安全法》中被提升到前所未有的重視程度。法案要求國務院有關部門建立健全網絡安全監測預警和信息通報制度,加強網絡安全信息收集、分析和情況通報工作;建立網絡安全應急工作機制,制定應急預案;規定預警信息的發布及網絡安全事件應急處置措施。爲推動我國工業控制系統網絡安全建設,一系列法律法規和規範性文件相繼出台,包括國家互聯網信息辦公室發布《關鍵基礎設施安全保護條例(送審稿)》,工信部印發《工業控制系統信息安全防護能力評估工作管理辦法》,以及工業和信息化部制定了《工業控制系統信息安全行動計劃(2018-2020年)》。
此後的2018年是網絡安全政策體系建設快速發展的一年:
2018年4月,全國信息安全標准化技術委員會正式發布《大數據安全標准化白皮書(2018版)》。白皮書重點介紹了國內外的大數據安全法規政策、標准化現狀,分析了大數據安全所面臨的風險和挑戰,給出了大數據安全標准化體系框架,規劃了大數據安全標准工作重點,提出了開展大數據安全標准化工作的建議。
2018年6月,《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》強調,2018-2020 年是我國工業互聯網建設起步階段,對未來發展影響深遠。爲貫徹落實該《指導意見》的要求,深入實施工業互聯網創新發展戰略,推動實體經濟與數字經濟深度融合,工信部印發《工業互聯網發展行動計劃(2018-2020年)》 和《工業互聯網專項工作組2018年工作計劃》。
2018年7月,工業和信息化部正式印發《工業互聯網平台建設及推廣指南》和《工業互聯網平台評價方法》的通知,通知要求制定完善工業信息安全管理等政策法規,明確安全防護要求。建設國家工業信息安全綜合保障平台,實時分析平台安全態勢。強化企業平台安全主體責任,引導平台強化安全防護意識,提升漏洞發現、安全防護和應急處置能力。
2018年9月,國家能源局印發《關于加強電力行業網絡安全工作的指導意見》。指導意見將有效地促進電力行業網絡安全責任體系,並有助于完善網絡安全監督管理體制機制,進一步提高電力監控系統安全防護水平,強化網絡安全防護體系,提高自主創新及安全可控能力,從而防範和遏制重大網絡安全事件,以保障電力系統安全穩定運行和電力可靠供應。
國外
近年來,各國在網絡安全領域的國家級投入強勢增長,在有力支撐國際戰略政策落地的同時,也爲産業發展注入強心劑。
美國
2018年年初,美國衆議院能源和商業小組委員會通過了4項法案:(1)要求美國能源部長裏克·佩裏制定計劃提高美國能源管道和液化天然氣設施的物理安全與網絡安全(“管道與液化天然氣設施網絡安全准備法案”);(2)提出將美國能源部的應急響應和網絡安全工作領導權力提至助理部長一級(“能源應急領導法案”);(3)制定計劃幫助私營公共事業公司識別並使用網絡安全功能強大的産品(“2018網絡感知法案”);(4)提出加強公私合作確保電力設施安全(通過“公私合作加強電網安全法案)。這些法案提出“采取可行的措施”,確保美國能源部能有效執行應急和安全活動,並確保美國能源供應安全可靠。
與此同時,美國相繼發布了多份網絡安全相關政策文件,進一步強化網絡安全政策指導:5月,美國能源部發布《能源行業網絡安全多年計劃》,確定了美國能源部未來五年力圖實現的目標和計劃,以及實現這些目標和計劃將采取的相應舉措,以降低網絡事件給美國能源帶來的風險。12月,美國衆議院能源和商業委員會發布《網絡安全戰略報告》,提出6個應對網絡安全事件的核心內聯概念以及解決網絡安全問題的6個重點。除此之外,美國相關部門也發布了其他指導性文件,包括:商務部國家標准與技術研究院(NIST)《提升關鍵基礎設施網絡安全的框架》、國家安全電信咨詢委員會(NSTAC)《網絡安全“登月”計劃》等。
另外,美國網絡司令部將在政府網站安全、主動防禦、實地運營、反恐和基礎設施抵禦力、身份識別管理等 5 個方向加大投入,總預算達15.13億美元;美國“2019 財年國防授權法案”將網絡安全預算大幅增加至300 億美元,將從推進技術發展、擴大采購權限、強化政企合作、支持人才培養、創建試點項目等方面提升國家網絡安全能力。
歐洲國家
2016年7月6日,歐洲議會全體會議通過首部相關法規——《歐盟網絡與信息系統安全指令》,主要內容包括:要求歐盟各成員國加強跨境管理與合作;制定本國的網絡信息安全戰略;建立事故應急機制,對能源、金融、交通和飲水、醫療等公共服務重點領域的基礎服務運營者進行梳理,強制這些企業加強其網絡信息系統的安全,增強防範風險和處理事故的能力。
2018年5月,歐盟網絡與信息系統(NIS)指令正式生效。此項面向歐盟範圍內的新法令有望提高關鍵基礎設施相關組織的 IT 安全性,同時亦將約束各搜索引擎、在線市場以及其它對現代經濟擁有關鍵性影響的組織機構。
除了歐盟層面的法規之外,歐洲幾大國也相繼發布國家戰略及系列規劃,加強頂層設計。
德國:
2016年8月,德國聯邦參議院通過一項信息安全法案,要求關鍵基礎設施機構和服務商必須執行新的信息安全規定,否則將被處以最高10萬歐元的罰款。2016年9月,德國聯邦經濟部發布了《數字化行動綱要》,制定了12項針對未來數字化發展的措施,以吸引更多風投資金並促進中型企業數字化轉型。2016年11月,德國發布一項新的網絡安全戰略計劃,以應對越來越多針對政府機構、關鍵基礎設施、企業以及公民的網絡威脅。2018年5月,德國能源與水資源經濟聯邦協會(BDEW)發布《能源系統網絡安全建議白皮書》,對能源系統的安全控制與通信提出了相關建議。此外,德國國防部長和內政部長在2018 年 9 月宣布, 將在未來五年投入 2億歐元組建網絡安全與關鍵技術創新局,機構定位類似于美國國防部高級研究計劃局(DARPA),主要致力于推動自主網絡安全技術創新。
英國:
2016年11月,英國發布《國家網絡安全戰略(2016-2021)》,確保網絡安全的重要地位,並提出,英國政府將投入19億英鎊強化網絡安全能力。2017年3月,英國正式出台《2017英國數字化戰略》,提出七大戰略任務,其中,安全的數字基礎設施是其首要任務。2018年6月,英國政府內閣辦公室發布實施網絡安全最低標准(Minimum Cyber Security Standard) ,從識別、保護、檢測、響應和恢複五個維度,提出了一套網絡安全能力建設的最低措施要求。標准的強制效力將驅動英國政府部門、非政府公共機構、承包商等相關單位加大網絡安全保障投入,提升安全防護能力。
其他國家
2018年2月,新加坡國會通過《網絡安全法案》,旨在加強保護提供基本服務的計算機系統,防範網絡攻擊。該法案提出針對關鍵信息基礎設施的監管框架,並明確了所有者確保網絡安全的職責。能源、交通、航空等基礎設施領域的關鍵網絡安全信息被點名加強合作。如果關鍵信息基礎設施所有者不履行義務,將面臨最高10萬新元的罰款,或兩年監禁,亦或二者並罰。
以色列創新局將聯合以色列經濟和工業部、國家網絡局啓動爲期三年的産業發展計劃,包括對有全球影響力的技術、有突破性研發潛力的網絡安全企業提供資金支持等,投資9000萬新謝克爾 (約 2443 萬美元)。
可以看出,全世界各國都在積極應對網絡安全問題,我國正在面臨能源互聯網發展的窗口期,加強能源互聯網數據保護、提高低于黑客攻擊的能力將是能源互聯網行業發展的一個重要課題。毋庸置疑,政策體系還需要進一步完善,而安全産品和技術措施的進步也要跟得上互聯網發展普及的步伐。
「參考資料」
[1] 中國信息通信研究院 《中國網絡安全産業白皮書(2018)》
[2] 國信安全研究院《2016-2017年度歐盟網絡空間安全綜述》
[3] 工業互聯網安全應急響應中心《2018年能源行業工業控制系統網絡安全態勢報告》
編輯:玮悅
作者:玮悅
聯系作者:[email protected]
交能網咨詢團隊提供能源電力領域專業的 數據分析 | 行業咨詢 | 中歐對接請聯系本文作者了解更多詳情
版權說明交能網訂閱號原創內容包括能源電力行業資訊焦點挖掘、新興技術分析與市場動態研究等內容,轉載需注明原作者及來源,請在後台留言或聯系小編。本文部分圖片及內容提煉、摘取或翻譯自其它參考來源,版權歸原作者所有