提升数据安全护航能源行业数字化转型

  [中国石油新闻中心2024-05-31]
  ■能源行业数据安全受到更多重视
  随着能源行业数字化转型的推进，IT和OT不断融合，能源行业不再是一个封闭的空间，攻击面不断扩大，增加了自身的网络安全风险。自2023年以来，能源行业面临的网络攻击形势越来越严峻，知名勒索软件组织，如BlackCat/ALPHV、Medusa（美杜莎）、LockBit3.0等纷纷加强对能源行业高价值目标的攻击。美国能源部运营的核研究中心爱达荷国家实验室（INL）、越南国家石油天然气集团（PVN）旗下的越南石油建设股份公司（PVC）成员公司JSC(PVC-MS)、以色列核反应堆公司NeveNe'eman、伊朗核电生产和开发公司(AEOI)等能源公司就曾遭到黑客组织的攻击，核心数据被泄露贩卖或被加密勒索。而这些案例只是能源行业遭到攻击的冰山一角。
  能源行业面临的数据安全形势越来越严峻，各国对能源基础设施的安全问题也越来越重视。2021年5月科洛尼尔成品油管道遭受勒索攻击后，美国接连出台《改善国家网络安全行政令》和《输油管道网络安全条例》，美国国务院宣布公开悬赏1000万美元，征集可以识别或定位恶意网络行为者的信息和线索，美国国会众议员MikeCarey与DeborahRoss共同提出《能源网络安全大学领导力计划法案》，希望帮助美国能源基础设施解决日益增长的网络威胁。
  我国相继推出《网络安全法》《数据安全法》《个人信息保护法》等法律规范数据安全。同时，加大对关键基础设施保护，推出《关键基础设施保护条例》，把能源等相关基础设施的数据安全防护提升到一个新高度。2022年11月，国家能源局印发《电力行业网络安全管理办法》和《电力行业网络安全等级保护管理办法》，对电力企业在我国境内的网络安全作出新规定，其中专门强调建立数据安全管理和个人信息保护制度，对数据分类分级，并对在分类分级基础上的数据安全作出明确规定。
  ■确保数据安全对能源行业意义重大
  在能源领域，数据安全具有极其重要的意义。数据安全是实现能源安全的重要前提条件之一，切实保障能源数据安全、加强能源行业国家关键数据资源保护，是维护人民利益、社会稳定、国家安全的必由之路。
  能源行业正朝着数字化和智能化方向发展。智能电网、智能电表、能源管理系统等都依赖大量数据的采集、传输和分析。如果这些数据被破坏、篡改或泄露，将严重影响能源系统的运行和管理。
  一方面，能源供应链涉及多个环节，包括能源的生产、输送、储存和销售。数据安全可以保障供应链的可靠性和稳定性，防止恶意攻击或信息泄露对能源供应造成影响。
  另一方面，能源市场的运作需要大量数据，包括价格、需求、供应和交易信息。确保这些数据的完整性和保密性对于保障市场公平和交易顺利进行至关重要。
  同时，发电厂、输电线路、变电站等能源设备的运行和维护需要实时数据。如果这些数据受到攻击，可能导致设备故障、停运甚至出现事故。
  此外，能源行业对环境数据的监测和分析也至关重要。确保环境数据的准确性和安全性，有助于实现可持续发展目标。
  ■能源领域数据安全存在四重风险
  安全是发展的前提，推动数字化发展必须强化数据安全保障。在能源领域，数据安全是一个重要且复杂的议题。随着能源系统数字化程度的不断提高，大量敏感数据的产生和流通带来新挑战。例如，能源产量、消费模式和使用行为等信息的泄露，可能对国家安全和个人隐私造成严重威胁。
  一是数字化转型可能带来失窃密风险。能源电力行业数字化转型升级，IT和OT融合，导致攻击面扩大。尤其是物联网技术的广泛应用，使得远程控制、监测成为可能，虽然提高了能源电力网络的整体控制管理水平，但也使得传统网络安全边界变得模糊，造成边界安全防护不足，存在失窃密风险。
  二是供应链存在数据安全风险。能源电力行业的信息系统，使用了大量第三方组件、产品，这些组件、产品一旦缺乏足够的维护、升级，或者这些组件本身不可控而出现漏洞，就会造成信息系统被攻击、敏感数据被泄露。例如，在我国工控领域被大量使用的电力监控系统SCADA、电力厂站现地设备大量使用的西门子产品等，都曾爆出高危漏洞，一旦攻击者利用这些漏洞对能源电力行业系统进行攻击渗透，很容易获取相关敏感信息，甚至修改破坏基础设备的运转参数，导致敏感数据被破坏、泄露等，对能源基础设施安全造成巨大风险。
  三是能源数据保护力度有待加强。能源电力行业由于其特殊性，此前长期处于半封闭状态，遭受的攻击较少，使得一直以来企业内部对数据安全的保护不足，主要表现为访问控制不严、数据未进行分类分级并在此基础上形成保护机制、数据未有效加密存储等。
  四是安全管理制度不健全，人员安全意识淡薄。由于缺乏足够的安全意识与技术培训，许多业务人员对能源数据安全的认识不深，加之数据安全管理制度不完善，带来很多安全风险，例如，个人凭证泄露、违规操作、数据访问权限滥用等。