歐盟提出應對能源網絡安全挑戰(zhàn)三大戰(zhàn)略建議

 

歐盟委員會日前發(fā)布《能源領域網絡安全問題建議書》報告指出，伴隨能源系統(tǒng)和數(shù)字技術愈加深度的融合，全球能源系統(tǒng)將變得更加高效互聯(lián)智能化，將為社會提供更加經濟高效的能源服務。但伴隨能源系統(tǒng)數(shù)字化程度加深，其潛在的網絡安全危險也會增加，預警防范和應對網絡威脅將是能源數(shù)字化發(fā)展必須高度重視的優(yōu)先事項。為了應對日益嚴峻的網絡安全挑戰(zhàn)，確保歐盟能源數(shù)字化的健康發(fā)展，報告提出了應對能源網絡風險的三大戰(zhàn)略性建議，具體內容如下：

1、采取合適的網絡安全措施確保能源基礎設施安全運行

（1）歐盟各成員國應確保數(shù)字化能源系統(tǒng)所有的利益相關方，特別是能源網絡運營商和技術供應商，以及被《歐盟網絡和信息系統(tǒng)安全指令》（簡稱NISD）定義為“基礎服務運營商”的機構，都要實施相關的網絡安全措施（實時通信系統(tǒng)、實時數(shù)據(jù)處理系統(tǒng)、實時檢測、預報發(fā)布系統(tǒng)等），以確保數(shù)字能源系統(tǒng)實時安全正常運行需求。能源系統(tǒng)的某些設施需要在“實時”條件下工作，這意味著系統(tǒng)需要在幾毫秒內對網絡指令做出反應，因此需要實時的網絡管理措施，即能夠對網絡的運行狀況進行動態(tài)監(jiān)測并及時發(fā)現(xiàn)網絡安全威脅。

（2）就新安裝的能源網絡設施，能源網絡運營商應該采用最新的網絡安全標準，同時引入互補的物理安全措施，來保障網絡安全機制沒有覆蓋到的老舊能源設施的安全。能源網絡運營商的產品想要上市銷售，要確保產品滿足國際安全實時通訊要求的網絡安全標準和相應的技術指標。網絡運營商應考慮確保特定的帶寬分配，盡可能減少延遲和保障通信安全。將整個能源網絡系統(tǒng)劃分為數(shù)個邏輯區(qū)域并在每個區(qū)域內對訪問時間和權限等進行限制，以便相應的網絡安全措施能夠起到保護作用。運營商應該采用安全的通信協(xié)議和恰當?shù)臋C器對機器的通信認證機制來確保系統(tǒng)的安全實時運行需求。

2、避免級聯(lián)效應

（1）歐盟各成員國應確保數(shù)字化能源系統(tǒng)所有的利益相關方，特別是能源網絡運營商和技術供應商，以及被NISD定義為“基礎服務運營商”的機構，實施的網絡安全防御措施能夠充分考慮能源網絡某節(jié)點失效引發(fā)的級聯(lián)效應[2]。

（2）各成員國應評估發(fā)電系統(tǒng)、輸配電變電站和線路以及相關的利益相關方在網絡攻擊發(fā)生時的相互依賴性和所起到的關鍵作用。成員國還應確保能源網絡運營商與所有的利益相關方建立溝通框架，共享預警信號，并在危機管理方面開展合作。成員國之間應建立結構化的溝通渠道，以便與所有利益相關方、計算機安全事件應對團隊和相關機構及時共享信息。

（3）能源網絡運營商應確保包括物聯(lián)網設備在內的新聯(lián)網能源設備具有與其關鍵作用相適應的網絡安全水平。針對靈活性電網建立全新的設計標準和架構，根據(jù)電網各個環(huán)節(jié)的關鍵程度，為每個環(huán)節(jié)制定全面的防御措施。與其他相關運營商和技術供應商合作，通過采用適當?shù)拇胧┖头諄矸乐鼓硞€節(jié)點的網絡安全事件引起連鎖效應。設計和建設通信和控制網絡，以便將任何物理和邏輯故障的影響限制在網絡的有限部分，并確保采取充分和迅速的緩解措施。

3、網絡安全問題需要統(tǒng)籌考慮傳統(tǒng)技術和先進技術

（1）歐盟各成員國應確保數(shù)字化能源系統(tǒng)所有的利益相關方，特別是能源網絡運營商和技術供應商，以及被NISD定義為“基礎服務運營商”的機構，都要實施相關的網絡安全措施，這些措施要求全面考慮傳統(tǒng)技術（舊技術，設計使用壽命30到60年，且未考慮網絡安全問題）和先進技術（充分考慮了網絡安全挑戰(zhàn)的技術，如智能器件、傳感器等），推進能源網絡化發(fā)展。

（2）歐盟各成員國應鼓勵能源網絡運營商和技術供應商盡可能在旗下的各個產品線采用國際網絡安全標準。技術供應商應在發(fā)現(xiàn)相關網絡安全問題時，為傳統(tǒng)技術或新技術中的安全問題免費提供經過測試的解決方案。此外，消費者需要依據(jù)標準以安全方式來使用相關的能源服務。

（3）能源網絡供應商應該認真分析將傳統(tǒng)能源基礎設施和物聯(lián)網技術結合起來的潛在風險，并了解內、外部接口特性及其脆弱性。采取積極的措施應對由惡意軟件造成的大規(guī)模網絡癱瘓問題。定期對所有聯(lián)網的傳統(tǒng)能源設施進行具體的網絡安全風險分析。及時將與物聯(lián)網技術結合的傳統(tǒng)能源基礎設施的硬件和軟件更新。投標書應該充分考量網絡安全問題，即標書要詳細提供關于安全特征的信息，同時滿足現(xiàn)有的網絡安全標準，并明確表明供應商在網絡攻擊事件中的責任。