數字化與網絡安全系列
隨著全球能源行業數字化的進程的加速推進,對於能源數據的安全需求日益遞增,作為保障民生的重要行業,能源數據安全將會是數字化建設的重中之重。交能網整合國際上能源數據安全相關研究報告,為您獻上與能源數據安全、數據加密、監管架構的【網絡安全】新系列。關注公眾號,持續獲得該系列最新推送。
研究表明,越來越多的傳統IT行業的問題將延伸到能源行業。 IT系統及系統的數據安全、IT安全問題是確保能源供應安全穩定的核心支柱。 因此,在能源行業,從監管和公司戰略的角度來看,數據安全問題無疑應被視為重中之重。
為了保障能源系統的IT及數據安全,以下要點不可或缺:
為能源系統引入彈性策略
烏克蘭電力系統曾多次遭到IT攻擊,並導致了部分網絡出現故障,這表明IT系統是能源系統真正的薄弱點。很明顯對於能源供應除了傳統的危險源之外(例如物理破壞或自然災害),又增加了一項非常嚴重的新的威脅,需要通過適當的對策和戰略加以解決。 由於數字網絡的發展和能源系統的日益分散,潛在的被攻擊點數量也在不斷增長。
根據烏克蘭官方的調查結果,對烏克蘭能源供應進行專業且長期攻擊的犯罪者並沒有任何特殊的經濟背景。這表明該地區的IT攻擊者一般擁有著高水平的專業能力和必要的經濟能力。 因此,在網絡逐漸複雜化的今天,對所有相關係統進行百分之百的保護是不可能現實的。 雖然IT安全法規的實施在很大程度上有助於保護系統的安全,但針對所有可能威脅情景的全面保護仍然是遠遠做不到的。
想要積極管理及應對風險,引入彈性策略不失為好的解決方式。 彈性策略包括事故處理概念和後備策略,可用於應對遭受攻擊下的緊急情況(例如IT系統故障)。仍以烏克蘭電網舉例,當黑客攻擊電網時,“經過專業訓練”的工作人員根據對電網長期的瞭解,可以重新進行手動操作,從而能夠避免長期的大規模故障,直到系統恢復。這就是能源方面的彈性策略,在不能完全防禦攻擊的情況下,儘可能地對攻擊做出最優的應對。
後備策略:fallback strategy,如果主要計劃出現問題,可以使用的替代方案
廣泛應用現有標準和法律要求,提高對IT安全重要性的認識
然而彈性策略終究只是被動的策略,這種“馬後炮”般的方式並不能取代對IT系統的保護。 行業專家研究與討論表明,在能源行業中,
現有的規範和標準執行力度往往不夠。因此,下文列舉了一些建議,有了這些建議IT系統的保護水平可以得到有效增加:-應避免(即識別和保護)系統的各個易被攻擊點和弱點,即所謂的“最薄弱的環節”。
-有關數據安全的現有規範和標準(例如ISO 31000,ISO 27019,ISO 62351,另見第3.1章)必須廣泛貫徹和應用。 為此,必須引入適當的管理系統。
-在能源部門,需要將IT系統關鍵性以及數據安全重要性作為系統穩定性的核心支柱來進行強化。這一點尤為重要,因為IT攻擊通常是針對員工日常的操作來實現的。最重要的是,公司需要採取適當的預防措施,例如通過培訓課程,將IT安全意識深刻訂立在公司制度之中。
檢查關鍵基礎架構的閾值
能源部門基礎設施的關鍵性由閾值定義。 然而,在較小的設備或設備類型(例如風電設備或光伏設備)中,單個設備通常不會低於閾值,然而問題在於設備經常被以很大的數量安裝。這意味著潛在的安全漏洞,例如,在單一類型設備中,簡單的安全隱患會被擴大並且影響整個系統。 這同樣適用於設備聚合(池化,pooling:即分佈式發電聚合)系統(例如,虛擬發電廠直接上網的情況下)或常用的設備控制軟件之中。
目前,與系統安全相關的監管能力是針對3GW功率損耗而設計的。通過有針對性地控制多個分散系統,可以輕鬆超過這個大小。因此,應首先檢查(例如,由BNetzA作為負責機構)是否符合現有的極限值以及IT安全規範要求的範圍。
IT安全是一個持續的過程---發展保護方法並確保適應性
由於網絡技術的不斷髮展,對數據安全和IT安全的技術要求也在不斷增高。這方面的一個例子是使用加密技術,這是用於保護數據安全和數據傳輸完整性及真實性的重要工具。隨著處理器的計算能力的提升,繞過這些安全機制的策略也日益發展。因此,
不斷持續地開發安全程序對於保護數據安全是十分必要。在未來幾十年可預見的是量子計算機的發展。在量子計算機面前,當前使用的公鑰加密技術(例如,在計劃的智能電錶基礎設施)很可能不夠安全。因此,有必要研究針對量子計算機的“量子安全”加密(這不僅適用於能源工業中的使用)。保護IT安全是一個持續的過程,必須在公司內長期穩定的實施。因此,必須確保例如長期投資決策,以適應IT安全技術的發展。(補丁或更新能力)。量子計算機(英語:quantum computer)是一種使用量子邏輯進行通用計算的設備。不同於傳統計算機,量子計算用來存儲數據的對象是量子比特,它使用量子算法來進行數據操作。
閱讀更多 交能網 的文章
