李金明：提升數(shù)據(jù)安全 護(hù)航能源行業(yè)數(shù)字化轉(zhuǎn)型

　　能源行業(yè)數(shù)據(jù)安全受到更多重視

　　隨著能源行業(yè)數(shù)字化轉(zhuǎn)型的推進(jìn)，IT和OT不斷融合，能源行業(yè)不再是一個(gè)封閉的空間，攻擊面不斷擴(kuò)大，增加了自身的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。自2023年以來(lái)，能源行業(yè)面臨的網(wǎng)絡(luò)攻擊形勢(shì)越來(lái)越嚴(yán)峻，知名勒索軟件組織，如BlackCat/ALPHV、Medusa(美杜莎)、LockBit3.0等紛紛加強(qiáng)對(duì)能源行業(yè)高價(jià)值目標(biāo)的攻擊。美國(guó)能源部運(yùn)營(yíng)的核研究中心愛(ài)達(dá)荷國(guó)家實(shí)驗(yàn)室(INL)、越南國(guó)家石油天然氣集團(tuán)(PVN)旗下的越南石油建設(shè)股份公司(PVC)成員公司JSC(PVC-MS)、以色列核反應(yīng)堆公司Neve Ne'eman、伊朗核電生產(chǎn)和開(kāi)發(fā)公司(AEOI)等能源公司就曾遭到黑客組織的攻擊，核心數(shù)據(jù)被泄露販賣(mài)或被加密勒索。而這些案例只是能源行業(yè)遭到攻擊的冰山一角。

　　能源行業(yè)面臨的數(shù)據(jù)安全形勢(shì)越來(lái)越嚴(yán)峻，各國(guó)對(duì)能源基礎(chǔ)設(shè)施的安全問(wèn)題也越來(lái)越重視。2021年5月科洛尼爾成品油管道遭受勒索攻擊后，美國(guó)接連出臺(tái)《改善國(guó)家網(wǎng)絡(luò)安全行政令》和《輸油管道網(wǎng)絡(luò)安全條例》，美國(guó)國(guó)務(wù)院宣布公開(kāi)懸賞1000萬(wàn)美元，征集可以識(shí)別或定位惡意網(wǎng)絡(luò)行為者的信息和線索，美國(guó)國(guó)會(huì)眾議員Mike Carey與Deborah Ross共同提出《能源網(wǎng)絡(luò)安全大學(xué)領(lǐng)導(dǎo)力計(jì)劃法案》，希望幫助美國(guó)能源基礎(chǔ)設(shè)施解決日益增長(zhǎng)的網(wǎng)絡(luò)威脅。

　　我國(guó)相繼推出《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律規(guī)范數(shù)據(jù)安全。同時(shí)，加大對(duì)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)，推出《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)條例》，把能源等相關(guān)基礎(chǔ)設(shè)施的數(shù)據(jù)安全防護(hù)提升到一個(gè)新高度。2022年11月，國(guó)家能源局印發(fā)《電力行業(yè)網(wǎng)絡(luò)安全管理辦法》和《電力行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)管理辦法》，對(duì)電力企業(yè)在我國(guó)境內(nèi)的網(wǎng)絡(luò)安全作出新規(guī)定，其中專(zhuān)門(mén)強(qiáng)調(diào)建立數(shù)據(jù)安全管理和個(gè)人信息保護(hù)制度，對(duì)數(shù)據(jù)分類(lèi)分級(jí)，并對(duì)在分類(lèi)分級(jí)基礎(chǔ)上的數(shù)據(jù)安全作出明確規(guī)定。

　　確保數(shù)據(jù)安全對(duì)能源行業(yè)意義重大

　　在能源領(lǐng)域，數(shù)據(jù)安全具有極其重要的意義。數(shù)據(jù)安全是實(shí)現(xiàn)能源安全的重要前提條件之一，切實(shí)保障能源數(shù)據(jù)安全、加強(qiáng)能源行業(yè)國(guó)家關(guān)鍵數(shù)據(jù)資源保護(hù)，是維護(hù)人民利益、社會(huì)穩(wěn)定、國(guó)家安全的必由之路。

　　能源行業(yè)正朝著數(shù)字化和智能化方向發(fā)展。智能電網(wǎng)、智能電表、能源管理系統(tǒng)等都依賴(lài)大量數(shù)據(jù)的采集、傳輸和分析。如果這些數(shù)據(jù)被破壞、篡改或泄露，將嚴(yán)重影響能源系統(tǒng)的運(yùn)行和管理。

　　一方面，能源供應(yīng)鏈涉及多個(gè)環(huán)節(jié)，包括能源的生產(chǎn)、輸送、儲(chǔ)存和銷(xiāo)售。數(shù)據(jù)安全可以保障供應(yīng)鏈的可靠性和穩(wěn)定性，防止惡意攻擊或信息泄露對(duì)能源供應(yīng)造成影響。

　　另一方面，能源市場(chǎng)的運(yùn)作需要大量數(shù)據(jù)，包括價(jià)格、需求、供應(yīng)和交易信息。確保這些數(shù)據(jù)的完整性和保密性對(duì)于保障市場(chǎng)公平和交易順利進(jìn)行至關(guān)重要。

　　同時(shí)，發(fā)電廠、輸電線路、變電站等能源設(shè)備的運(yùn)行和維護(hù)需要實(shí)時(shí)數(shù)據(jù)。如果這些數(shù)據(jù)受到攻擊，可能導(dǎo)致設(shè)備故障、停運(yùn)甚至出現(xiàn)事故。

　　此外，能源行業(yè)對(duì)環(huán)境數(shù)據(jù)的監(jiān)測(cè)和分析也至關(guān)重要。確保環(huán)境數(shù)據(jù)的準(zhǔn)確性和安全性，有助于實(shí)現(xiàn)可持續(xù)發(fā)展目標(biāo)。

　　能源領(lǐng)域數(shù)據(jù)安全存在四重風(fēng)險(xiǎn)

　　安全是發(fā)展的前提，推動(dòng)數(shù)字化發(fā)展必須強(qiáng)化數(shù)據(jù)安全保障。在能源領(lǐng)域，數(shù)據(jù)安全是一個(gè)重要且復(fù)雜的議題。隨著能源系統(tǒng)數(shù)字化程度的不斷提高，大量敏感數(shù)據(jù)的產(chǎn)生和流通帶來(lái)新挑戰(zhàn)。例如，能源產(chǎn)量、消費(fèi)模式和使用行為等信息的泄露，可能對(duì)國(guó)家安全和個(gè)人隱私造成嚴(yán)重威脅。

　　一是數(shù)字化轉(zhuǎn)型可能帶來(lái)失竊密風(fēng)險(xiǎn)。能源電力行業(yè)數(shù)字化轉(zhuǎn)型升級(jí)，IT和OT融合，導(dǎo)致攻擊面擴(kuò)大。尤其是物聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用，使得遠(yuǎn)程控制、監(jiān)測(cè)成為可能，雖然提高了能源電力網(wǎng)絡(luò)的整體控制管理水平，但也使得傳統(tǒng)網(wǎng)絡(luò)安全邊界變得模糊，造成邊界安全防護(hù)不足，存在失竊密風(fēng)險(xiǎn)。

　　二是供應(yīng)鏈存在數(shù)據(jù)安全風(fēng)險(xiǎn)。能源電力行業(yè)的信息系統(tǒng)，使用了大量第三方組件、產(chǎn)品，這些組件、產(chǎn)品一旦缺乏足夠的維護(hù)、升級(jí)，或者這些組件本身不可控而出現(xiàn)漏洞，就會(huì)造成信息系統(tǒng)被攻擊、敏感數(shù)據(jù)被泄露。例如，在我國(guó)工控領(lǐng)域被大量使用的電力監(jiān)控系統(tǒng)SCADA、電力廠站現(xiàn)地設(shè)備大量使用的西門(mén)子產(chǎn)品等，都曾爆出高危漏洞，一旦攻擊者利用這些漏洞對(duì)能源電力行業(yè)系統(tǒng)進(jìn)行攻擊滲透，很容易獲取相關(guān)敏感信息，甚至修改破壞基礎(chǔ)設(shè)備的運(yùn)轉(zhuǎn)參數(shù)，導(dǎo)致敏感數(shù)據(jù)被破壞、泄露等，對(duì)能源基礎(chǔ)設(shè)施安全造成巨大風(fēng)險(xiǎn)。

　　三是能源數(shù)據(jù)保護(hù)力度有待加強(qiáng)。能源電力行業(yè)由于其特殊性，此前長(zhǎng)期處于半封閉狀態(tài)，遭受的攻擊較少，使得一直以來(lái)企業(yè)內(nèi)部對(duì)數(shù)據(jù)安全的保護(hù)不足，主要表現(xiàn)為訪問(wèn)控制不嚴(yán)、數(shù)據(jù)未進(jìn)行分類(lèi)分級(jí)并在此基礎(chǔ)上形成保護(hù)機(jī)制、數(shù)據(jù)未有效加密存儲(chǔ)等。

　　四是安全管理制度不健全，人員安全意識(shí)淡薄。由于缺乏足夠的安全意識(shí)與技術(shù)培訓(xùn)，許多業(yè)務(wù)人員對(duì)能源數(shù)據(jù)安全的認(rèn)識(shí)不深，加之?dāng)?shù)據(jù)安全管理制度不完善，帶來(lái)很多安全風(fēng)險(xiǎn)，例如，個(gè)人憑證泄露、違規(guī)操作、數(shù)據(jù)訪問(wèn)權(quán)限濫用等。

　　全面提升能源領(lǐng)域數(shù)據(jù)安全

　　維護(hù)數(shù)據(jù)安全，能源企業(yè)需要在踐行總體國(guó)家安全觀的基礎(chǔ)上，建立健全數(shù)據(jù)安全治理體系，全員參與提高數(shù)據(jù)安全保障能力，強(qiáng)化技術(shù)破局，加強(qiáng)數(shù)據(jù)安全全流程管理，系統(tǒng)性完善數(shù)據(jù)安全保護(hù)和管理制度，建立以網(wǎng)絡(luò)安全等級(jí)保護(hù)制度為基礎(chǔ)、數(shù)據(jù)安全與網(wǎng)絡(luò)安全保護(hù)制度相銜接的新合規(guī)體系。

　　一要建立健全安全管理制度與安全技術(shù)規(guī)范。安全管理制度與安全技術(shù)規(guī)范的建立，是企業(yè)開(kāi)展安

　　全工作的基礎(chǔ)。通過(guò)安全管理制度，明確與安全相關(guān)的組織架構(gòu)設(shè)計(jì)、崗位人員設(shè)置、崗位職責(zé)，管理流程、安全事件應(yīng)急處置流程等，可提升企業(yè)安全防護(hù)能力與處置水平。安全技術(shù)規(guī)范則指明了安全防護(hù)及事件處理的技術(shù)措施實(shí)施標(biāo)準(zhǔn)與規(guī)范，例如，數(shù)據(jù)的分類(lèi)分級(jí)規(guī)范、應(yīng)急響應(yīng)處理的技術(shù)規(guī)范等。

　　二要強(qiáng)化人員的數(shù)據(jù)安全意識(shí)，開(kāi)展安全培訓(xùn)。企業(yè)安全數(shù)據(jù)泄露事件，大部分都是由相關(guān)人員缺乏安全意識(shí)或安全技術(shù)能力，違規(guī)操作造成。因此，有必要定期對(duì)相關(guān)人員進(jìn)行安全意識(shí)培訓(xùn)。同時(shí)，針對(duì)相關(guān)人員在處理業(yè)務(wù)中涉及到的基本安全常識(shí)性技術(shù)進(jìn)行培訓(xùn)，確保不會(huì)因?yàn)檫`規(guī)操作而造成數(shù)據(jù)泄露、數(shù)據(jù)破壞。

　　三要建立完善的數(shù)據(jù)安全防護(hù)體系。確保數(shù)據(jù)安全，需要構(gòu)建起相應(yīng)的數(shù)據(jù)安全防護(hù)體系。建議依據(jù)企業(yè)的具體需求，以滿(mǎn)足等保合規(guī)為基礎(chǔ)，從數(shù)據(jù)全生命周期維度，建立數(shù)據(jù)安全的分區(qū)分域體系，邊界防護(hù)體系，訪問(wèn)控制體系，數(shù)據(jù)訪問(wèn)的權(quán)限體系，數(shù)據(jù)的分類(lèi)分級(jí)及在此基礎(chǔ)上的加密、脫敏等技術(shù)體系，以及監(jiān)測(cè)體系、應(yīng)急處置體系、容災(zāi)備份體系等。同時(shí)，還可根據(jù)需要，引入縱深防御體系、零信任體系等相關(guān)防護(hù)技術(shù)和人工智能，在檢測(cè)建模、安全運(yùn)營(yíng)輔助中推進(jìn)智能化、自動(dòng)化。

　　四要強(qiáng)化供應(yīng)鏈安全。能源企業(yè)要梳理自身信息化體系中第三方組件、產(chǎn)品的現(xiàn)狀，對(duì)其進(jìn)行資產(chǎn)化管理，并加強(qiáng)對(duì)其安全管理、漏洞管理、運(yùn)維管理等，防止這些組件、產(chǎn)品對(duì)數(shù)據(jù)安全造成威脅。同時(shí)，對(duì)非國(guó)產(chǎn)化的組件、產(chǎn)品，加快推動(dòng)國(guó)產(chǎn)化替代。

　　五要定期開(kāi)展攻防演練。為保證能源電力行業(yè)的信息化系統(tǒng)安全，可定期開(kāi)展攻防演練，在確保不對(duì)業(yè)務(wù)系統(tǒng)造成干擾的前提下，對(duì)信息化系統(tǒng)進(jìn)行滲透測(cè)試，檢驗(yàn)相應(yīng)數(shù)據(jù)安全防護(hù)體系能力。同時(shí)，通過(guò)攻防演練，提升相關(guān)人員的安全意識(shí)、安全技術(shù)能力和響應(yīng)能力。

　　(作者系中國(guó)科學(xué)院博士后、中國(guó)工業(yè)互聯(lián)網(wǎng)研究院—新型工業(yè)網(wǎng)絡(luò)實(shí)驗(yàn)室專(zhuān)家、云智信安安全技術(shù)有限公司CTO)