能源行業(yè)數據安全受到更多重視
隨著(zhù)能源行業(yè)數字化轉型的推進(jìn),IT和OT不斷融合,能源行業(yè)不再是一個(gè)封閉的空間,攻擊面不斷擴大,增加了自身的網(wǎng)絡(luò )安全風(fēng)險。自2023年以來(lái),能源行業(yè)面臨的網(wǎng)絡(luò )攻擊形勢越來(lái)越嚴峻,知名勒索軟件組織,如BlackCat/ALPHV、Medusa(美杜莎)、LockBit3.0等紛紛加強對能源行業(yè)高價(jià)值目標的攻擊。美國能源部運營(yíng)的核研究中心愛(ài)達荷國家實(shí)驗室(INL)、越南國家石油天然氣集團(PVN)旗下的越南石油建設股份公司(PVC)成員公司JSC(PVC-MS)、以色列核反應堆公司Neve Ne'eman、伊朗核電生產(chǎn)和開(kāi)發(fā)公司(AEOI)等能源公司就曾遭到黑客組織的攻擊,核心數據被泄露販賣(mài)或被加密勒索。而這些案例只是能源行業(yè)遭到攻擊的冰山一角。
能源行業(yè)面臨的數據安全形勢越來(lái)越嚴峻,各國對能源基礎設施的安全問(wèn)題也越來(lái)越重視。2021年5月科洛尼爾成品油管道遭受勒索攻擊后,美國接連出臺《改善國家網(wǎng)絡(luò )安全行政令》和《輸油管道網(wǎng)絡(luò )安全條例》,美國國務(wù)院宣布公開(kāi)懸賞1000萬(wàn)美元,征集可以識別或定位惡意網(wǎng)絡(luò )行為者的信息和線(xiàn)索,美國國會(huì )眾議員Mike Carey與Deborah Ross共同提出《能源網(wǎng)絡(luò )安全大學(xué)領(lǐng)導力計劃法案》,希望幫助美國能源基礎設施解決日益增長(cháng)的網(wǎng)絡(luò )威脅。
我國相繼推出《網(wǎng)絡(luò )安全法》《數據安全法》《個(gè)人信息保護法》等法律規范數據安全。同時(shí),加大對關(guān)鍵基礎設施保護,推出《關(guān)鍵基礎設施保護條例》,把能源等相關(guān)基礎設施的數據安全防護提升到一個(gè)新高度。2022年11月,國家能源局印發(fā)《電力行業(yè)網(wǎng)絡(luò )安全管理辦法》和《電力行業(yè)網(wǎng)絡(luò )安全等級保護管理辦法》,對電力企業(yè)在我國境內的網(wǎng)絡(luò )安全作出新規定,其中專(zhuān)門(mén)強調建立數據安全管理和個(gè)人信息保護制度,對數據分類(lèi)分級,并對在分類(lèi)分級基礎上的數據安全作出明確規定。
確保數據安全對能源行業(yè)意義重大
在能源領(lǐng)域,數據安全具有極其重要的意義。數據安全是實(shí)現能源安全的重要前提條件之一,切實(shí)保障能源數據安全、加強能源行業(yè)國家關(guān)鍵數據資源保護,是維護人民利益、社會(huì )穩定、國家安全的必由之路。
能源行業(yè)正朝著(zhù)數字化和智能化方向發(fā)展。智能電網(wǎng)、智能電表、能源管理系統等都依賴(lài)大量數據的采集、傳輸和分析。如果這些數據被破壞、篡改或泄露,將嚴重影響能源系統的運行和管理。
一方面,能源供應鏈涉及多個(gè)環(huán)節,包括能源的生產(chǎn)、輸送、儲存和銷(xiāo)售。數據安全可以保障供應鏈的可靠性和穩定性,防止惡意攻擊或信息泄露對能源供應造成影響。
另一方面,能源市場(chǎng)的運作需要大量數據,包括價(jià)格、需求、供應和交易信息。確保這些數據的完整性和保密性對于保障市場(chǎng)公平和交易順利進(jìn)行至關(guān)重要。
同時(shí),發(fā)電廠(chǎng)、輸電線(xiàn)路、變電站等能源設備的運行和維護需要實(shí)時(shí)數據。如果這些數據受到攻擊,可能導致設備故障、停運甚至出現事故。
此外,能源行業(yè)對環(huán)境數據的監測和分析也至關(guān)重要。確保環(huán)境數據的準確性和安全性,有助于實(shí)現可持續發(fā)展目標。
能源領(lǐng)域數據安全存在四重風(fēng)險
安全是發(fā)展的前提,推動(dòng)數字化發(fā)展必須強化數據安全保障。在能源領(lǐng)域,數據安全是一個(gè)重要且復雜的議題。隨著(zhù)能源系統數字化程度的不斷提高,大量敏感數據的產(chǎn)生和流通帶來(lái)新挑戰。例如,能源產(chǎn)量、消費模式和使用行為等信息的泄露,可能對國家安全和個(gè)人隱私造成嚴重威脅。
一是數字化轉型可能帶來(lái)失竊密風(fēng)險。能源電力行業(yè)數字化轉型升級,IT和OT融合,導致攻擊面擴大。尤其是物聯(lián)網(wǎng)技術(shù)的廣泛應用,使得遠程控制、監測成為可能,雖然提高了能源電力網(wǎng)絡(luò )的整體控制管理水平,但也使得傳統網(wǎng)絡(luò )安全邊界變得模糊,造成邊界安全防護不足,存在失竊密風(fēng)險。
二是供應鏈存在數據安全風(fēng)險。能源電力行業(yè)的信息系統,使用了大量第三方組件、產(chǎn)品,這些組件、產(chǎn)品一旦缺乏足夠的維護、升級,或者這些組件本身不可控而出現漏洞,就會(huì )造成信息系統被攻擊、敏感數據被泄露。例如,在我國工控領(lǐng)域被大量使用的電力監控系統SCADA、電力廠(chǎng)站現地設備大量使用的西門(mén)子產(chǎn)品等,都曾爆出高危漏洞,一旦攻擊者利用這些漏洞對能源電力行業(yè)系統進(jìn)行攻擊滲透,很容易獲取相關(guān)敏感信息,甚至修改破壞基礎設備的運轉參數,導致敏感數據被破壞、泄露等,對能源基礎設施安全造成巨大風(fēng)險。
三是能源數據保護力度有待加強。能源電力行業(yè)由于其特殊性,此前長(cháng)期處于半封閉狀態(tài),遭受的攻擊較少,使得一直以來(lái)企業(yè)內部對數據安全的保護不足,主要表現為訪(fǎng)問(wèn)控制不嚴、數據未進(jìn)行分類(lèi)分級并在此基礎上形成保護機制、數據未有效加密存儲等。
四是安全管理制度不健全,人員安全意識淡薄。由于缺乏足夠的安全意識與技術(shù)培訓,許多業(yè)務(wù)人員對能源數據安全的認識不深,加之數據安全管理制度不完善,帶來(lái)很多安全風(fēng)險,例如,個(gè)人憑證泄露、違規操作、數據訪(fǎng)問(wèn)權限濫用等。
全面提升能源領(lǐng)域數據安全
維護數據安全,能源企業(yè)需要在踐行總體國家安全觀(guān)的基礎上,建立健全數據安全治理體系,全員參與提高數據安全保障能力,強化技術(shù)破局,加強數據安全全流程管理,系統性完善數據安全保護和管理制度,建立以網(wǎng)絡(luò )安全等級保護制度為基礎、數據安全與網(wǎng)絡(luò )安全保護制度相銜接的新合規體系。
一要建立健全安全管理制度與安全技術(shù)規范。安全管理制度與安全技術(shù)規范的建立,是企業(yè)開(kāi)展安
全工作的基礎。通過(guò)安全管理制度,明確與安全相關(guān)的組織架構設計、崗位人員設置、崗位職責,管理流程、安全事件應急處置流程等,可提升企業(yè)安全防護能力與處置水平。安全技術(shù)規范則指明了安全防護及事件處理的技術(shù)措施實(shí)施標準與規范,例如,數據的分類(lèi)分級規范、應急響應處理的技術(shù)規范等。
二要強化人員的數據安全意識,開(kāi)展安全培訓。企業(yè)安全數據泄露事件,大部分都是由相關(guān)人員缺乏安全意識或安全技術(shù)能力,違規操作造成。因此,有必要定期對相關(guān)人員進(jìn)行安全意識培訓。同時(shí),針對相關(guān)人員在處理業(yè)務(wù)中涉及到的基本安全常識性技術(shù)進(jìn)行培訓,確保不會(huì )因為違規操作而造成數據泄露、數據破壞。
三要建立完善的數據安全防護體系。確保數據安全,需要構建起相應的數據安全防護體系。建議依據企業(yè)的具體需求,以滿(mǎn)足等保合規為基礎,從數據全生命周期維度,建立數據安全的分區分域體系,邊界防護體系,訪(fǎng)問(wèn)控制體系,數據訪(fǎng)問(wèn)的權限體系,數據的分類(lèi)分級及在此基礎上的加密、脫敏等技術(shù)體系,以及監測體系、應急處置體系、容災備份體系等。同時(shí),還可根據需要,引入縱深防御體系、零信任體系等相關(guān)防護技術(shù)和人工智能,在檢測建模、安全運營(yíng)輔助中推進(jìn)智能化、自動(dòng)化。
四要強化供應鏈安全。能源企業(yè)要梳理自身信息化體系中第三方組件、產(chǎn)品的現狀,對其進(jìn)行資產(chǎn)化管理,并加強對其安全管理、漏洞管理、運維管理等,防止這些組件、產(chǎn)品對數據安全造成威脅。同時(shí),對非國產(chǎn)化的組件、產(chǎn)品,加快推動(dòng)國產(chǎn)化替代。
五要定期開(kāi)展攻防演練。為保證能源電力行業(yè)的信息化系統安全,可定期開(kāi)展攻防演練,在確保不對業(yè)務(wù)系統造成干擾的前提下,對信息化系統進(jìn)行滲透測試,檢驗相應數據安全防護體系能力。同時(shí),通過(guò)攻防演練,提升相關(guān)人員的安全意識、安全技術(shù)能力和響應能力。
(作者系中國科學(xué)院博士后、中國工業(yè)互聯(lián)網(wǎng)研究院—新型工業(yè)網(wǎng)絡(luò )實(shí)驗室專(zhuān)家、云智信安安全技術(shù)有限公司CTO)
評論