欧洲网络与信息安全局智能电网网络安全指南及安全认证计划

欧洲网络与信息安全局在智能电网方面有两份指南：一份为 2012 年发布的《智能电网安全指南》，主要分析智能电网面临的网络安全风险， 以及未来智能电网的 ICT 需求及风险，共约十三类合计百条关键发现，最后向智能电网各方提出了十条建议指南。另一份为 2014 年发布的《欧洲智能电网安全认证挑战与建议》，主要讨论该领域的网络认证应如何实现，提出智能电网信任链和信任链模型，最后提出十条建议。这两份报告可为我国进行智能电网产业规划以及相关政策的拟订提供参考，为我国智能电网应用中可能出现的相关问题和应用场景设计提供有益借鉴。(8)产业观察 INDUSTRY OBSERVATION的COM(211)163通讯,以震网病毒( stuxnet)2智能电网安全认证报告综述为例,认为在CIl领域出现新威胁,智能电网智能电网来自用户的问题主要是安全和将面临以破坏为∏标的复杂威胁。隐私,有必要让智能电网设备的供应商保证2011年欧盟委员会发布了COM(2011)他们的产品在全生命周期内都关注这点。安202号通讯,题为“智能电网:从创新到应用全认证不仅是让用户能够接受安全和隐私设这份通讯引入该领域内的数据保护和数据隐私计的手段,也促成用户对整个智能电网供应分析智能电网在应用方面将面临的挑战,提出链的信任。重点发展技术标准、严格数据保护,鼓励进行在这份报告中 ENISA给出他们对智能电网持续的技术和系统创新。并倡议成立高级别工安仝认证的见解,分析现存的多种认证方法。作组,与国际相关组织合作,评估智能电网的综合分析了欧洲的现状,探讨欧洲智能电网的网络和信息安全的状况和恢复能力。安全认证实践框架,并分析其优点及而临的挑1.4目标受众战,最终提出建议。本报告主要面向两类人群,一类是有安全报告论述了欧洲智能电网的认证实践需求和电力行业背景的专业人员,如:基本要求为覆盖整个智能电网的供应链,要求工程师;采取M1490工作组提出的智能电网架构模型●研究人员;(SG-AM)和智能电网的信任链做支撑。欧洲●信息安全专家;智能电网认证计划的主要差距和面临的挑战●安全顾问;主费是成员国各自为政及缺乏欧盟指导的可信●管埋人员;监督机构,针对于此提出三项建议:●业界领袖;(1)协调欧盟智能电网安全认证实践山于本报告的关键发现和指引还包括政治、(2)基于信任链实施特定智能电网应用组织、技术、安全意识及经济等因素,为更好场景;的理解木报告,还用非技术语言进行阐述,主(3)加强监督,建议设立指导委员会,负要面向如下人群责监管智能电网认证、定义泛欧安仝需求和制●业界领袖;定国家计划。●政策制定者2.1智能电网的网络安全认证●标准制定机构:智能电网的网终安全认证可大大增强复杂●公共机构系统的安全性,实际ENSA2012年发布的智能分析师;电网安全指南报告即已提出这个建议。虽然在●管理人员;2011年的工控系统保护指南、2012年的欧盟委●研究者;员会与 ENISA的联合工作组成果中,就已提出1021信息安全与逼信密|FEB2018?1994-2018ChinaAcademicjOurnalElectronicPublishingHouse.Allrightsreservedhttp://www.cnki.net栏目责编:贺鑫安全认证的基木需求,但这份报告依然花较大和认证机构(CB)认可;③采用同一基准集;篇幅讨论如下问题:为何需要仝欧洲统一的安④参照国际安仝防范和风险等级,如M/490的仝认证框架,该框架乂如何创造出智能电网承SG-IS框架(智能电网信息系统框架);⑤支持载的能源信任链等。组件、系统和操作的框架,可定义完整的智能1.现状: ENISA工作组总结出欣洲智能电网系统安全性;⑥有一孜性测试、功能测试电网有较多不尽如意的地方,例如现有认证和互操作性测试,可以汏定执行第一方、第二体系成夲高昂、网络安全认证支离破碎缺乏方或第三方评佔。⑦促进公私合作;⑧以框架统一手段、威胁岀现太快而认证周期又太长、形式执行欧盟提供指导,由成员国立法。⑨能智能电网网络安全法规过少无法涵盖、覆盖提高欧盟智能电网安全的成熟度;⑩统一方法从全部智能屯网供应链的通用标准不现实、测而降低认证成木:(11)支持产品或系统生命周期试环境与牛产环境背离以及没有更广发的培的维护计划;训等现状。2.2范围2.市场驱动:利益方很多,诉求不同,可这份报告目的是为智能电网的安仝认证提参照标准各异,这方面有成功案例,失败的也供技术咨询、建议和有效实践,可为智能电网不少,因此迫切需要统一智能电网的网终安全认证计划提出策略、体系结构、指导方针和框认证标准。架等工作,但无法解决与实施安全认证相关的3.利益相干方需求不同:①解决欧盟利益政治和法律问题。相关者对智能电网的信任问题:②设计通用的智智能电网的数据保护同样重要,安全认证能电网安全参考模型;③建立欧洲智能电网市也是行之有效的措施。虽然欧盟已有的数据保计控制最小基础工具集;④根据电网的重要度护需求及框架较多,如DPIA、BATs等,但这个不同定义安仝级别的统一方法;⑤为智能电网报告与这些框架并不相违的部件、系统、操作安全设立统一的办法,以23欧盟及国际政策背景强化信任;⑥为促进成员国立法提供指导意见;2013年欧盟委员会发布了欧盟网络安全策⑦促进欧盟在智能电网安全方而的公私合作咯,明确了所有利益相关者的共同责任,以及⑧提高欧盟智能电网的安全成熟度;⑨减缓参与者在日益依赖ICT的情况下能更好保护自风险并分担责任;⑩降低认证成本:(11)强化L。在优先事项及重点行动一节中提出为网络智能电网的生命周期安全发掘工业和技术资源,因此“重点应是建4.“完美的”认证计划具备的特点:①能立激励机制,进行适当的风险管理、采用恰当明确责任,实现智能电网供应链信任;②基于的安全标准和解决方案,在欧盟和成员国间采欧盟智能电网安全参考模型,指由M490开发用自愿设计欧盟认证方案。委员会将鼓励成员的SC,-AM模型,能被欧洲标准化组织(ESOs)国采取一致的办法,避免因差异造成商业区位FB2018信息安全与通信保密103?1994-2018ChinaAcademicjOurnalElectronicPublishingHouse.Allrightsreservedhttp://www.cnki.net(8)产业观察 INDUSTRY OBSERVATION劣势。”(3)基于标准架构的端到端安全休系:端24目标受众到端安仝存在于通讯的多个层面,从底层的电木文件的主要目标受众是欧盟委员会和会表、设备等到应用层(应用系统、集成企业运员国(MSS)管理方,希望达到的主要目标:营系统、増值服务系统等),因此需要清晰的●为构建智能电网的安仝认证打下基础;标准架构来定义。●通告相关社群(Tˆ安全工程师、工控(4)一线操作并不关注网络安全;系统工程师和运营商、国家信息安全部门/机(5)将网络安全与隐私保护隔离;构等);(6)需要提倡“设计即安全”理念:要将●在智能电网的安全认证领域为政策制定安全融入设计;者和技术专家之间架设桥梁;(7)如何应对新威胁。与本文件中的调查结果和建议有关的受32智能电网的基本构成众是:1.智能电网的水平视点:主要基于从电厂●认证和鉴定机构到终端用户的电力交付价值链;●监管者和政策制定者;2.智能电网的垂直视点:部分专家认为是●智能电网运营商剥离增值服务的电网运营及作为支撑的通讯基●标准化机构(如FTSI、ⅥST、IFC、础设施;还有部分专家认为含义更广,包括设备、ISO等);技术、基础设施到运营(电网管理或市场运营),●安全解决方案提供商;再到服务(如需求侧管理)●智能电网产品制造商3.智能电网的双向性:两层含义,一方面●学术界、研发领域是可利用分布式发电资源,另一方面是可进行●参与智能电网网络安全的各成员国公共双向通讯的ICI设施;机构;4.智能家居和智慧工业也是智能电网的-部分;3智能电网网络安全研究的关键成果5.新应用和服务:主要有四个领域需要关3.1智能电网面临的挑战注①AM为基础的应用/服务,如需求侧管理、ENISA认为智能电网面临以下挑战:家庭能源管理等;②分布式发电管理(DFR管(1)智能电网的成功衷素:①智能电网概理);③先进输变电自动化,如变电自动化、念的定义;②降低成本及失误预防;③网终安存储等;④大型发电设施全性;④保障用户隐私;⑤用户接受认知培育;3.3智能电网试用与网络安全⑥接妾受和使用智能电表。1.欧洲智能电网试验匮乏全球视野;(2)智能电网缺乏标准参考架构;2.网络安全在智能电网试验中居于次要1041信息安全与逼信保密|FEB2018?1994-2018ChinaAcademicjOurnalElectronicPublishingHouse.Allrightsreservedhttp://www.cnki.net栏目责编:贺鑫地位。99、CESG等34智能电网风险评估4.智能电网的通用标准(CC):可以参照1.保护能源基础设施的挑战、目标及需求;当时智能卡行ψ的做法,通过设立联合解释知2.由输电系统运营商和配电系统运营商主识库,将CC扩展到智能电网环境中;导强制性的风险评估5.由标准驱动的设备导向认证的替代方3.需要专门的风险评估方法论:有两种意案:有人认为CC修改周期长,而且对厂商索价见,一派认为并无可在智能电网使用的网络风过高,智能电网技术尚不成熟,建议参照美国险评估方法,另一派认为可以参考SGS欧洲工国家 SCADA测试计划选择更敏捷的计划,进行作组、 DG Connect的高级专家组、甚至部分美快速检测(白盒和代码审计),还有部分推荐国的工作组的成果;采用IECS62443、ISA62443;4.风险评估方法论的特征:一般包含依赖6.智能电网的安仝治理认证:智能电网的性分析、威胁及脆弱点评估,还应考虑利益相安仝治埋认证应考虑ISMS在电网运营商的必要关方的观点、假设和期待;性,最好作为行业基准。可采用ISO27000系列5.风险评估示例:主要有协同和人工两种标准,或ISA99、 NISTIR7628等;方式,部分专家推荐英国的I1方法论;7.治理认证的替代方案:不应紧盯大而全6.当前风险评估工具的适应性:荷兰的的标准,可选择各自领域的专业第三方来进行DSOs认为现有工具不实用;测试。7.产品安全认证中的风险评估角色:需要3.6智能电网安全初步包含明显风险分析的安全认证流程。1.智能电网安全的基础仍然是流程、人和3.5认证与国家认证机构的作用技术1.国家认证机构(NCA)的作用,主要有2.信息安全管理系统( ISMSS)的极其重要;两点:①根据预先定义的安全手册核查确保智3.安全努力不应止步于智能电表;能电网关键部件安全;②根据企业安全治理策4.位于用户处的设施应当万无一失;咯认证电网运营商的组织层面事务(流程、人5.设计即考虑隐私和安仝,并采取纵向防御2.欧洲与各成员国的安仝评定方案比较6.运营人员和客户应当有安全培训。部分专家认为应当欧洲一致,还有部分认为各37智能电网网络安全挑战国根据国情自行安排;放弃网络安全主要源于缺乏专业技能和3.设备导向的安全认证标准参考模型和倡预算限制;议:大部分认可通用标准( Common criteria,2.电网应具健壮性和弹性成为共识;CC),其他依次推荐FIS140、 PCI PTS、ISA3.应重视数据保护和安全的数据处理:有信息安全与逼信保密105?1994-2018ChinaAcademicjOurnalElectronicPublishingHouse.Allrightsreservedhttp://www.cnki.net(8)产业观察 INDUSTRY OBSERVATION两大挑战①从个人数据可能推测个休隐私(如 IEC TC57文件一致特定兴趣等);②读表数可被几个独立的服务8.智能电网网络安仝和隐私倡议应当设立商安仝读取;协调实体,这个实体应当①避免重复工作;②4.制造商和运营商应当提高安全意识在工作组之间加强沟通;③确定明确和统一的5.技术挑战:主要有六类技术方而的问题策略;④传播工作成果;⑤定义标准技术术语;①在健壮和弹性的网络中集成遗留系统仍是重⑥监管游说团体;屮之重;②设备应当有标准接口,这是短期问9.培养和传播安全意识的新举措。题;③系统和设备的未授权接入;④“竟争性”3.9智能电网的网络安全度量部门(如增值服务等)与“非竞争性”部门(计网络安全高效度量:网络攻击下的健壮量或电网运营)的lT基础设施相互背离;⑤性、弹性和可靠性等方面的度量,包括事故记流量分析、通讯监控和应用日志的存在与否;录和影响、完整事件报告、运营中健壮程度等;⑥可信设备(认证能力);2.欧盟需求统一的标准框架:6.规范不足或者不有在:常见的有①现规3.标准框架的组成建议:①标准和指南的范更重视智能电表应用,但对信息安全风险并最小工具集;②针对产品、设备、服务以及电不涉及;②计量基础设施中也无针对不同能源网运营商的认计计划:③用公私合作(PPP)方类型(如热、气、电)的统一规范。式设立认证机构;④强制性认证和风险评估应3.8智能电网已有的网络安全举措替代口头调控机制;⑤输电系统运营商和配电1.智能电网的 CENCE\ELEC/ETSI协调工系统运营商之间应当有知识共享平台;作组4.标准和指南的最小工具集:①通用参考2.正在施行的欧洲智能电网标准架构;体系;②风险评佔方法论;③评佔独立性的方3.调查更认同DG- Connect特别专家组法论;④事件处置的参考策略;⑤产品的技术4.缺乏网络安全相关的举措;需求;⑥法律实体发挥市场作用的组织要求;5.智能电网倡议的改进空间:①仝欧盟的⑦符合组织要求的产品(默认安仝参考配置、倡议缺乏可见度;②欧盟内国家倡议重叠;③技术人员配詈配置指南等)的标准要求;⑧安各倡议中都是同一批专家;④言多于行;⑤缺全治理的标准要求乏统一协调;5.关于监管机制的思考:强制性的监管机6.对智能电网任务组EG2的成果基本制需要保持风险评估和认证的透明度,应考虑满意①应要求更严格的系统组织;②有处罚权;③7.EG2在数据安全性、数据处理和数据保欧盟指令114/2008/EC应将输电系统运营商和护方面的报告意见,总体认可,但对于数据和配电系统运营商;④不涉及电网运营的机密信隐私保护过于大众化,还应和 NSTIR7628及息的情况下应公示结果;106|信息安全与逼信保密|FEB2018?1994-2018ChinaAcademicjOurnalElectronicPublishingHouse.Allrightsreservedhttp://www.cnki.net栏目责编:贺鑫6.评估产品安全个节点、逐个设备进行安全评估3.10管理网络攻击4.信任和保障:用于度量智能电网每个域1.重视网络安全事件的安仝控制成熟度、基于硬件的单向通信;事件处置的已有经验5.可靠系统的安全性:考虑通用程序及接3.输、配电系统运营商应负责事件检测;口、克服硬件约束导致的加密功能、应用和网4.网络安全事件的技术因素:①安全监测络过滤能力等;传感器应应分布在整个网终中,采集的数据可6.设计注重安全和隐私:零日漏泂管理、以在分散或集中的方式进行处理;②用于数据保证安全前提下降低系统负载等;采集和分析屮央监控屮心可以采用一个安全运7.其他课题:包括供应链保护、可用性与营屮心(SOC)的架构;③传感器也应当要有签法律经济问题、智能电网与云等名软件;④相关性情报可在整个网格或SOC中3.12智能电网商业应用案例分布;⑤情况应能区分事件根木原因是网络引1.成木和收益的平衡;发还是其他原因;⑥监控中心也可以进行研究2.智能电网商业应用的关键驱动因素:除活动(或发行新签名或研究新威胁等)。了优化和效率,还有可靠性和灵活性5.事件管理的规范;3.商业应用的其他驱动因素:可伸缩的电6.需归建立一个实体来应对大规模的网终网、统合分布式能源、整合可冉生能源、支持安全事件,这个实体特点如下:①全球视角下电动汽车、为用户创造新的商业机会和增值的欧洲电网的未来;②负责升级警情、最终决定;服务。③理解歐洲电网和其他关键基础设施的相互依3.13保护工业控制系统(ICS)指引存关系;④可直接与正常的危机管理架构进行1.建立泛欧和国家ICS安全战略;沟通。2.为ICS安全设立最佳实践;3.11智能电网的安全性研究课题3.设计ICS安全计划模板1.保护电网控制和监控系统:智能电网的4.促进安全意识和培训;新服务或高度自动化系统更依赖基于新技术(如5.设置通用测试基地或丌发ICS安全认证同步相量测量等)的电网监控技术,同时系统框架;容量还应可处理大容量可信交易;6.创建国际的工业控制系统的应急响应中2.架构:新架构特性主要在于如下特性,(ICS-CERTs自愈和平缓降级、跨域的标准的安全互连、与7.利用现有研究计划推动ICS安全研究。加密相关的线程管理、可检测攻击和可跟踪的主动监控等;4智能电网安全的十项指引3.端到端安全:将整个电网通盘考虑,逐十项智能电网安全指引概要如下:FB2018信息安全与逼信保密107?1994-2018ChinaAcademicjOurnalElectronicPublishingHouse.Allrightsreservedhttp://www.cnki.net(8)产业观察 INDUSTRY OBSERVATION●指引1:欧盟和成员国主管当局应釆取于定义智能电网的安全级别,最终设计智能电措施,改进国家和欧盟层面的智能电网网络安网认证方案。仝监管和政策框架。5.1智能电网信任链●指引2:欧盟与FNSA和成员国共同智能电网信任链主要参照 SA/IEC-62443标创造和推动智能电网网络安全领域的公私合作淮,用于描述各利益相关者在智能电网环境中( Public- Private Partnership,pP)协调措施。系统的开发、生产、集成和运营的完整的供应链。●指引3:欧盟及ENSA应注重培养安全智能电网与ICT相比更复杂,认证标准也就不同意识并推动培训。智能电网地理分布广泛,多种部件互连场景多,●指引4:欧盟、成员国与ENSA共同推除此之外还需要与家居智能网络、分布式能源、动知识传播与共亨。能源交易系统进行通信。这些互连可发生在系●指引5:欧盟与ENSA、成员国及私营统的各个部分,并与具有不同信任级别的参与部门协力基于现有标准和规范制定最低安仝措者交换高、低等级的数据,信任链可用于解决施集。这类信任问题。●指引6:欧盟与成员国主管当局应促进信任链主要有三个级别制定零部件、产品和组织安全的安全认证计划。1.智能电网运营商认证;●指引7:欧盟与成员国主管当局应鼓励2.智能电网系统集成认证;建立测试基地和安全评佔。3.智能电网组件认证。●指引8:欧盟与成员国配合ENSA,应智能电网的信任链如下图所示进一步硏究和完善策略,采取协调措施防止泛能电网系统运向认证,如公用事业欧洲大规模的网络事件影响电网使用认证的系狁运营认持续认证计划●指引9:成员国主管当局应与 CERTS联合行动,让 CERTs在处理电网的网络安全问题能电网糸统集成商认证,如工程公司担任顾问角色。使用认征的部件系统开发认证系统认证●指引10:欧盟与成员国主管部门应与学能电网组件认证,烟设备供应商术界和研发部门合作,利用现有研究计划,促持续认证计划进智能电网的网络安全方面的研究。「发过积认订生产流程认证产品认证图1-智能电网信任链智能电网信任链模型52应用SG-AM信任链模型木报告的一个重要贡献就是构建信任链模SG-AM框架和参考模型是一个以用例设计型,实现将现存诸多的安个认让标准和最佳实为主的体系结构,采取技术中立的方式允许当战应用于智能电网领域,基于风险的分析有助代智能电网将已实现和未来实现一并纳入的架108|信息安全与逼信密|FEB2018?1994-2018ChinaAcademicjOurnalElectronicPublishingHouse.Allrightsreservedhttp://www.cnki.net栏目责编:贺鑫构,并支持互操作性。这个模型在智能电网领4.促进国际认证计划互认;域可用于个人和实体相作用,采用安全分层5.促进与用例风险相当的认证;方式实现纵深防御策略,分为安全组件(组件6.因应安全环境的快速变化,需要促进配层)、组件间的安全通讯(通讯层)、信息层、置文件的灵活性功能层和业务层,满足智能电网不同的认证标7.使用某国配置作为成员国间标准规范明痄的要求,从而保证智能电网安全。细,以涵盖特定国家的用例及由该国支持的测模型如下图所示试和认证方法;8.由技术委员会和欧洲能源协会协同构建欧洲的统一氈冒;十若9.为预评估提供由官方授权的第三方认证和评估工其;↓2=】品210.促进这一观点:遵循和统一是提高经济业务层效益和降低成本的措施之一。功能层7小结系统失应商电网是国家关键基础设施的一部分,如今信红组件俱应有目前全球各国都在大力投资建设智能电网,智图2智电网信任链模型。能电网由于依赖于ICT技术,因此在传统电网的安全需求外,又带来网络安全的风险和威胁,6十点建议亟需重视智能电网的网络安全。有必要分析智1.在欧盟层面设立一个机枃协调智能电网能电网的安全威胁及挑战,明确智能电网的安安全认计活动,该机构主要职能如下:①监管全需求,建立统一、有弹性的安全认证,在国认证、定义安全需求和国际协调;②强化认证家层面形成有效监管,形成市场激励机制,制结果的可信度和透明度;③为相关方提供建议定认证标准。和咨询;④督导认证机构能及时应对新威胁;2.提供指南和参考模型实现信仟链;作者简介3.使用现有标准和计划,包容国际标淮使朱力鹏,全球能源互联网研究院有限公司,方法更协调和统高级工程师。凶信息安全与逼信保密109?1994-2018ChinaAcademicjOurnalElectronicPublishingHouse.Allrightsreservedhttp://www.cnki.net