X

数字化与网络安全 | 国内外网络安全政策体系建设对比

数字化与网络安全系列

随着全球能源行业数字化的进程的加速推进,对于能源数据的安全需求日益递增,作为保障民生的重要行业,能源数据安全将会是数字化建设的重中之重。交能网整合国际上能源数据安全相关研究报告,为您献上与能源数据安全、数据加密、监管架构的【网络安全】新系列。关注公众号,持续获得该系列最新推送。

能源是我们赖以生活的基础,同时,能源行业也掌握着国民经济的命脉。在数字化转型的今天,各类新型信息通信技术快速发展,能源互联网正一步步向我们走来。在推动能源生产和消费革命的同时,能源行业正面临网络安全威胁的挑战:乌克兰电网遭遇黑客攻击连续造成大面积断电、印度电力公司大量客户计费数据被窃取锁定、黑客组织Allanite瞄准英美电力工控网络,黑客攻击事件层出不穷, 仅在过去一年就有68%的石油和天然气公司遭到黑客入侵。美国国土安全部的数据表明,近年来随着发电厂和变电站采用的智能仪表和自动控制系统增多,数字化的电网设施越来越容易受到黑客活动分子的攻击,电力系统的网络安全性十分堪忧,危险“迫在眉睫”。因此,全链接的能源互联网需要完善的网络安全政策体系,以实现更坚固的安全防御。本文将为读者梳理一下当前国内外能源行业相关的网络安全标准及政策体系建设的现状。

国内

党的十八大以来,我国确立了网络强国,加快数字中国建设的战略,互联网成为国家发展的重要驱动力。中国共产党第十九次全国代表大会报告在提出电力行业智能化的同时,也指出网络安全是人类面临的许多共同挑战之一。

2017年6月1日,《网络安全法》正式实施,由于工业控制系统在关键信息基础设施中的重要性,工控系统安全在《网络安全法》中被提升到前所未有的重视程度。法案要求国务院有关部门建立健全网络安全监测预警和信息通报制度,加强网络安全信息收集、分析和情况通报工作;建立网络安全应急工作机制,制定应急预案;规定预警信息的发布及网络安全事件应急处置措施。为推动我国工业控制系统网络安全建设,一系列法律法规和规范性文件相继出台,包括国家互联网信息办公室发布《关键基础设施安全保护条例(送审稿)》,工信部印发《工业控制系统信息安全防护能力评估工作管理办法》,以及工业和信息化部制定了《工业控制系统信息安全行动计划(2018-2020年)》。

此后的2018年是网络安全政策体系建设快速发展的一年:

2018年4月,全国信息安全标准化技术委员会正式发布《大数据安全标准化白皮书(2018版)》。白皮书重点介绍了国内外的大数据安全法规政策、标准化现状,分析了大数据安全所面临的风险和挑战,给出了大数据安全标准化体系框架,规划了大数据安全标准工作重点,提出了开展大数据安全标准化工作的建议。

2018年6月,《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》强调,2018-2020 年是我国工业互联网建设起步阶段,对未来发展影响深远。为贯彻落实该《指导意见》的要求,深入实施工业互联网创新发展战略,推动实体经济与数字经济深度融合,工信部印发《工业互联网发展行动计划(2018-2020年)》 和《工业互联网专项工作组2018年工作计划》。

2018年7月,工业和信息化部正式印发《工业互联网平台建设及推广指南》和《工业互联网平台评价方法》的通知,通知要求制定完善工业信息安全管理等政策法规,明确安全防护要求。建设国家工业信息安全综合保障平台,实时分析平台安全态势。强化企业平台安全主体责任,引导平台强化安全防护意识,提升漏洞发现、安全防护和应急处置能力。

2018年9月,国家能源局印发《关于加强电力行业网络安全工作的指导意见》。指导意见将有效地促进电力行业网络安全责任体系,并有助于完善网络安全监督管理体制机制,进一步提高电力监控系统安全防护水平,强化网络安全防护体系,提高自主创新及安全可控能力,从而防范和遏制重大网络安全事件,以保障电力系统安全稳定运行和电力可靠供应。

国外

近年来,各国在网络安全领域的国家级投入强势增长,在有力支撑国际战略政策落地的同时,也为产业发展注入强心剂。

美国

2018年年初,美国众议院能源和商业小组委员会通过了4项法案:(1)要求美国能源部长里克·佩里制定计划提高美国能源管道和液化天然气设施的物理安全与网络安全(“管道与液化天然气设施网络安全准备法案”);(2)提出将美国能源部的应急响应和网络安全工作领导权力提至助理部长一级(“能源应急领导法案”);(3)制定计划帮助私营公共事业公司识别并使用网络安全功能强大的产品(“2018网络感知法案”);(4)提出加强公私合作确保电力设施安全(通过“公私合作加强电网安全法案)。这些法案提出“采取可行的措施”,确保美国能源部能有效执行应急和安全活动,并确保美国能源供应安全可靠。

与此同时,美国相继发布了多份网络安全相关政策文件,进一步强化网络安全政策指导:5月,美国能源部发布《能源行业网络安全多年计划》,确定了美国能源部未来五年力图实现的目标和计划,以及实现这些目标和计划将采取的相应举措,以降低网络事件给美国能源带来的风险。12月,美国众议院能源和商业委员会发布《网络安全战略报告》,提出6个应对网络安全事件的核心内联概念以及解决网络安全问题的6个重点。除此之外,美国相关部门也发布了其他指导性文件,包括:商务部国家标准与技术研究院(NIST)《提升关键基础设施网络安全的框架》、国家安全电信咨询委员会(NSTAC)《网络安全“登月”计划》等。

另外,美国网络司令部将在政府网站安全、主动防御、实地运营、反恐和基础设施抵御力、身份识别管理等 5 个方向加大投入,总预算达15.13亿美元;美国“2019 财年国防授权法案”将网络安全预算大幅增加至300 亿美元,将从推进技术发展、扩大采购权限、强化政企合作、支持人才培养、创建试点项目等方面提升国家网络安全能力。

欧洲国家

2016年7月6日,欧洲议会全体会议通过首部相关法规——《欧盟网络与信息系统安全指令》,主要内容包括:要求欧盟各成员国加强跨境管理与合作;制定本国的网络信息安全战略;建立事故应急机制,对能源、金融、交通和饮水、医疗等公共服务重点领域的基础服务运营者进行梳理,强制这些企业加强其网络信息系统的安全,增强防范风险和处理事故的能力。

2018年5月,欧盟网络与信息系统(NIS)指令正式生效。此项面向欧盟范围内的新法令有望提高关键基础设施相关组织的 IT 安全性,同时亦将约束各搜索引擎、在线市场以及其它对现代经济拥有关键性影响的组织机构。

除了欧盟层面的法规之外,欧洲几大国也相继发布国家战略及系列规划,加强顶层设计。

德国:

2016年8月,德国联邦参议院通过一项信息安全法案,要求关键基础设施机构和服务商必须执行新的信息安全规定,否则将被处以最高10万欧元的罚款。2016年9月,德国联邦经济部发布了《数字化行动纲要》,制定了12项针对未来数字化发展的措施,以吸引更多风投资金并促进中型企业数字化转型。2016年11月,德国发布一项新的网络安全战略计划,以应对越来越多针对政府机构、关键基础设施、企业以及公民的网络威胁。2018年5月,德国能源与水资源经济联邦协会(BDEW)发布《能源系统网络安全建议白皮书》,对能源系统的安全控制与通信提出了相关建议。此外,德国国防部长和内政部长在2018 年 9 月宣布, 将在未来五年投入 2亿欧元组建网络安全与关键技术创新局,机构定位类似于美国国防部高级研究计划局(DARPA),主要致力于推动自主网络安全技术创新。

英国:

2016年11月,英国发布《国家网络安全战略(2016-2021)》,确保网络安全的重要地位,并提出,英国政府将投入19亿英镑强化网络安全能力。2017年3月,英国正式出台《2017英国数字化战略》,提出七大战略任务,其中,安全的数字基础设施是其首要任务。2018年6月,英国政府内阁办公室发布实施网络安全最低标准(Minimum Cyber Security Standard) ,从识别、保护、检测、响应和恢复五个维度,提出了一套网络安全能力建设的最低措施要求。标准的强制效力将驱动英国政府部门、非政府公共机构、承包商等相关单位加大网络安全保障投入,提升安全防护能力。

其他国家

2018年2月,新加坡国会通过《网络安全法案》,旨在加强保护提供基本服务的计算机系统,防范网络攻击。该法案提出针对关键信息基础设施的监管框架,并明确了所有者确保网络安全的职责。能源、交通、航空等基础设施领域的关键网络安全信息被点名加强合作。如果关键信息基础设施所有者不履行义务,将面临最高10万新元的罚款,或两年监禁,亦或二者并罚。

以色列创新局将联合以色列经济和工业部、国家网络局启动为期三年的产业发展计划,包括对有全球影响力的技术、有突破性研发潜力的网络安全企业提供资金支持等,投资9000万新谢克尔 (约 2443 万美元)。

可以看出,全世界各国都在积极应对网络安全问题,我国正在面临能源互联网发展的窗口期,加强能源互联网数据保护、提高低于黑客攻击的能力将是能源互联网行业发展的一个重要课题。毋庸置疑,政策体系还需要进一步完善,而安全产品和技术措施的进步也要跟得上互联网发展普及的步伐。

「参考资料」

[1] 中国信息通信研究院 《中国网络安全产业白皮书(2018)》

[2] 国信安全研究院《2016-2017年度欧盟网络空间安全综述》

[3] 工业互联网安全应急响应中心《2018年能源行业工业控制系统网络安全态势报告》

编辑:玮悦

作者:玮悦

联系作者:weiyue.rong@jiaonengwang.com

交能网咨询团队提供能源电力领域专业的 数据分析 | 行业咨询 | 中欧对接请联系本文作者了解更多详情

版权说明交能网订阅号原创内容包括能源电力行业资讯焦点挖掘新兴技术分析市场动态研究等内容,转载需注明原作者及来源,请在后台留言或联系小编。本文部分图片及内容提炼、摘取或翻译自其它参考来源,版权归原作者所有