能源安全新战线：网络攻击猛于自然灾害

2017-10-24 11:00:12 财经杂志　点击量：评论 (0)

2015年12月23日，黑客入侵了乌克兰东部3家配电公司的办公以及数据采集和监控系统（SCADA），致使7个110kV和23个25kV变电站失联，导致8万用户、约22 5万人停电1小时到6小时。这是全球第一例众人所知的针对一个国家

应对新威胁，美国走在前列

作为世界头号网络强国，美国长期将网络安全作为能源安全的重大威胁之一，采取了大量措施予以应对。按照第21号总统令，美国国土安全部牵头负责16个关键基础设施部门的网络安全，而美国能源部则是能源行业具体负责部门。

广泛的数据收集和完善的信息共享机制（包括政府与企业以及企业之间）是应对网络安全威胁的前提。为此，美国能源部制定了《运行技术环境下的网络安全》，用于应对运行网络的数据收集问题，包括确定应监测哪些内容、如何收集和处理数据、如何在保护安全的前提下共享敏感数据等，旨在开发可重复的、标准的程序，用于能源行业实时威胁数据的共享和分析。

美国能源部还和工业界共同资助了《网络安全风险信息共享计划》，通过与有关方面的合作，加快机密和非机密威胁信息的双向共享，发展态势感知工具来增强风险辨别、分类和合作保护的能力。

在风险管控方面，美国能源部充分认识到：网络安全风险管控是总体风险管理的一部分，而且网络安全风险不可能被消除，只能在信息充分的前提下，通过合理的决策程序来管理和控制。

2012年，美国能源部和美国国家标准与技术研究所（NIST）等即编制了《电力网络安全风险管理程序导则》，旨在通过促进资源的有效分配，提高运行效率，来提高处置和应对网络安全风险的能力。

2014年至2015年，美国能源部还制定了《网络安全能力成熟度模型》（能源、电力和油气，共三部分）和《能源部门网络安全框架实施导则》，用于发现和评估网络安全措施的有效性，帮助企业更好地评估自身的网络安全能力，并指导改善网络安全水平。

正所谓“道高一尺，魔高一丈”，面对日新月异的信息技术和网络安全威胁，只有不断提高网络安全技术水平才是根本解决之道。2006年起，美国能源部就和有关能源企业合作，先后制定了《能源输送系统网络安全研发计划》和《实现能源输送系统网络安全路线图》等工作方案，列出了短期、中期和长期研究计划，用于指导网络安全技术的研究、开发和应用。2016年，美国能源部用于改善能源行业网络安全的预算达3.05亿美元。

完善的风险管控措施，并不能完全避免网络安全事故的发生，而一旦发生网络安全事故或受到网络攻击，及时、有效的应急措施和事后恢复能力至关重要。为此，美国能源部制定了《网络安全事故（事件）协调程序》，并定期进行更新和检验。一旦发生网络事故，将根据这些事先明确的步骤和程序开展响应处置。

除美国外，欧盟、北约等重要国际组织和英国、法国等国家也都围绕能源网络安全开展了大量的工作，如欧盟在2015年正式成立了能源网络安全行动小组，并发布了《欧盟能源网络安全策略》。

随着能源行业进入数字时代，网络安全问题的出现让现代能源安全问题有了新的内涵。网络安全威胁的隐蔽性、破坏性、非对称性等都大大地超出了传统能源安全威胁的范畴。传统的能源安全问题应对方式，在面对网络安全问题时，效果也充满未知。网络安全威胁的特点决定了任何企业或部门都难以独自面对，需要政府、企业、科研机构和个人等各方的共同努力。

今年6月1日正式实施的《网络安全法》标志着中国网络安全进入了一个全新的阶段，其明确提出对能源等关键信息基础设施要实行重点保护。面对复杂的能源网络安全形势，能源行业需要认真思考：如何正确认识网络安全风险，如何有效应对网络安全威胁，如何在动态的环境中维护国家能源安全