数字化与网络安全系列
随着全球能源行业数字化的进程的加速推进,对于能源数据的安全需求日益递增,作为保障民生的重要行业,能源数据安全将会是数字化建设的重中之重。交能网整合国际上能源数据安全相关研究报告,为您献上与能源数据安全、数据加密、监管架构的【网络安全】新系列。关注公众号,持续获得该系列最新推送。
研究表明,越来越多的传统IT行业的问题将延伸到能源行业。 IT系统及系统的数据安全、IT安全问题是确保能源供应安全稳定的核心支柱。 因此,在能源行业,从监管和公司战略的角度来看,数据安全问题无疑应被视为重中之重。
为了保障能源系统的IT及数据安全,以下要点不可或缺:
为能源系统引入弹性策略
乌克兰电力系统曾多次遭到IT攻击,并导致了部分网络出现故障,这表明IT系统是能源系统真正的薄弱点。很明显对于能源供应除了传统的危险源之外(例如物理破坏或自然灾害),又增加了一项非常严重的新的威胁,需要通过适当的对策和战略加以解决。 由于数字网络的发展和能源系统的日益分散,潜在的被攻击点数量也在不断增长。
根据乌克兰官方的调查结果,对乌克兰能源供应进行专业且长期攻击的犯罪者并没有任何特殊的经济背景。这表明该地区的IT攻击者一般拥有着高水平的专业能力和必要的经济能力。 因此,在网络逐渐复杂化的今天,对所有相关系统进行百分之百的保护是不可能现实的。 虽然IT安全法规的实施在很大程度上有助于保护系统的安全,但针对所有可能威胁情景的全面保护仍然是远远做不到的。
想要积极管理及应对风险,引入弹性策略不失为好的解决方式。 弹性策略包括事故处理概念和后备策略,可用于应对遭受攻击下的紧急情况(例如IT系统故障)。仍以乌克兰电网举例,当黑客攻击电网时,“经过专业训练”的工作人员根据对电网长期的了解,可以重新进行手动操作,从而能够避免长期的大规模故障,直到系统恢复。这就是能源方面的弹性策略,在不能完全防御攻击的情况下,尽可能地对攻击做出最优的应对。
后备策略:fallback strategy,如果主要计划出现问题,可以使用的替代方案
广泛应用现有标准和法律要求,提高对IT安全重要性的认识
然而弹性策略终究只是被动的策略,这种“马后炮”般的方式并不能取代对IT系统的保护。 行业专家研究与讨论表明,在能源行业中,
现有的规范和标准执行力度往往不够。因此,下文列举了一些建议,有了这些建议IT系统的保护水平可以得到有效增加:-应避免(即识别和保护)系统的各个易被攻击点和弱点,即所谓的“最薄弱的环节”。
-有关数据安全的现有规范和标准(例如ISO 31000,ISO 27019,ISO 62351,另见第3.1章)必须广泛贯彻和应用。 为此,必须引入适当的管理系统。
-在能源部门,需要将IT系统关键性以及数据安全重要性作为系统稳定性的核心支柱来进行强化。这一点尤为重要,因为IT攻击通常是针对员工日常的操作来实现的。最重要的是,公司需要采取适当的预防措施,例如通过培训课程,将IT安全意识深刻订立在公司制度之中。
检查关键基础架构的阈值
能源部门基础设施的关键性由阈值定义。 然而,在较小的设备或设备类型(例如风电设备或光伏设备)中,单个设备通常不会低于阈值,然而问题在于设备经常被以很大的数量安装。这意味着潜在的安全漏洞,例如,在单一类型设备中,简单的安全隐患会被扩大并且影响整个系统。 这同样适用于设备聚合(池化,pooling:即分布式发电聚合)系统(例如,虚拟发电厂直接上网的情况下)或常用的设备控制软件之中。
目前,与系统安全相关的监管能力是针对3GW功率损耗而设计的。通过有针对性地控制多个分散系统,可以轻松超过这个大小。因此,应首先检查(例如,由BNetzA作为负责机构)是否符合现有的极限值以及IT安全规范要求的范围。
IT安全是一个持续的过程---发展保护方法并确保适应性
由于网络技术的不断发展,对数据安全和IT安全的技术要求也在不断增高。这方面的一个例子是使用加密技术,这是用于保护数据安全和数据传输完整性及真实性的重要工具。随着处理器的计算能力的提升,绕过这些安全机制的策略也日益发展。因此,
不断持续地开发安全程序对于保护数据安全是十分必要。在未来几十年可预见的是量子计算机的发展。在量子计算机面前,当前使用的公钥加密技术(例如,在计划的智能电表基础设施)很可能不够安全。因此,有必要研究针对量子计算机的“量子安全”加密(这不仅适用于能源工业中的使用)。保护IT安全是一个持续的过程,必须在公司内长期稳定的实施。因此,必须确保例如长期投资决策,以适应IT安全技术的发展。(补丁或更新能力)。量子计算机(英语:quantum computer)是一种使用量子逻辑进行通用计算的设备。不同于传统计算机,量子计算用来存储数据的对象是量子比特,它使用量子算法来进行数据操作。
閱讀更多 交能網 的文章
