随着中国电网经历转型,向网络化、自动化程度更高的系统迈进,电网面临的问题越来越多网络安全问题。
政府问责局的监督人员今天表示,虽然增加使用智能电网”系统可能有许多好处,包括从越来越短的中断、提高可靠性电价的下行压力由于转移高峰需求的能力,一种改进的传输能量的能力从替代能源如风能,和一种改进的能力发现和应对潜在的攻击网格,“许多挑战仍然存在。
欲了解更多:美国出资3400万美元支持10个智能电网项目,以增强网络安全
美国政府问责局在报告中指出,确保国家电网网络安全的关键是以下6个挑战。
- 缺乏信息:消费者没有充分了解与智能电网系统相关的利益、成本和风险。具体来说,人们担心消费者不了解智能电网系统的好处、成本和风险。这种意识的缺乏可能会限制消费者愿意为安全可靠的系统付费的程度,这可能会导致监管机构不愿批准与网络安全相关的涨价。因此,在消费者更多地了解智能电网系统的利益、成本和风险之前,公用事业公司可能不会投资或批准智能电网系统的全面安全,这可能会增加攻击成功的风险。
- 缺乏专注:公用事业公司关注的是法规遵从性,而不是综合安全。现有的联邦和州监管环境在公用事业行业内形成了注重遵守网络安全要求的文化,而不是注重实现全面有效的网络安全的文化。具体来说,专家告诉GAO,公用事业公司专注于实现最低的监管要求,而不是设计一个全面的方法来保证系统安全。此外,一位专家指出,安全需求在本质上是不完整的,而一旦满足了这些需求,就认为安全问题已经得到解决的文化将使组织容易受到网络攻击。因此,如果不采取全面的安全措施,公用事业公司就会面临不必要的风险。
- 缺乏安全保护功能:智能电网系统缺乏安全功能。安全特性并不是一直嵌入到智能电网设备中。例如,我们的专家告诉我们,目前可用的某些智能电表没有设计出强大的安全架构,并且缺乏重要的安全功能,包括事件记录和取证功能,而这些功能是检测和分析攻击所必需的。此外,政府问责局指出,用于管理家用电器和其他设备用电的智能电网家庭区域网络没有足够的内建安全性,因此增加了它们受到攻击的脆弱性。没有安全设计的智能电网系统,公用事业公司将面临没有能力检测和分析攻击的风险,这将增加攻击成功的风险,公用事业公司将无法阻止它们再次发生。
- 信息共享:电力行业还没有一个有效的机制来分享关于网络安全和其他问题的信息。电力行业缺乏一个有效的机制来披露有关智能电网网络安全漏洞、事件、威胁、经验教训和行业最佳实践的信息。例如,政府问责局指出,虽然电力行业有一个信息共享中心,但它并不能完全满足这些信息需求。美国政府问责局称,有关不成功和成功的攻击等事件的信息必须能够以安全可靠的方式共享,以避免公开披露报告的组织,并惩罚积极参与纠正行动的实体。这种全行业的信息共享可以提供有关网络攻击企图的级别及其方法的重要信息,这将有助于电网运营商更好地抵御这些攻击。如果该行业追求这一目标,在设计行业主导的网络安全信息共享方法时,可以借鉴其他行业的做法和方法。如果没有用于信息共享的质量流程,实用程序将没有必要的信息来充分保护其资产免受攻击。
- 衡量成功?:电力行业没有评估网络安全的标准。电力行业还面临网络安全指标缺乏的挑战,这使得很难衡量网络安全投资在多大程度上改善了智能电网系统的安全性。GAO指出,虽然这种度量标准很难开发,但它们可以帮助比较相互竞争的解决方案的有效性,并确定将哪些解决方案组合在一起,以构成最安全的系统。此外,我们的专家说,通过帮助显示特定投资的回报,有指标将有助于公用事业公司发展网络安全的商业案例。在开发出这些指标之前,公用事业公司将无法以具有成本效益的方式进行安全投资,或无法获得必要的信息,从而无法就其网络安全投资做出明智的决策,这样的风险就会增加。
- 管理问题:当前监管环境的某些方面使得智能电网系统的网络安全难以保证。特别是,管辖权问题以及与应对不断演变的网络威胁相关的困难,是确保智能电网系统在部署时的网络安全的关键监管挑战。在管辖权方面,专家表示担心联邦和州监管机构之间的责任划分不够明确,特别是在网络安全方面。虽然司法责任历来是由一项技术是否位于输配电系统上决定的,但专家们担心,智能电网技术可能会模糊这些界限。例如,部署在传统上受州管辖的电网部分地区的智能电表等设备,总体上可能会对联邦监管机构负责的电网部分——即传输系统的可靠性——产生影响。人们还担心监管机构应对不断演变的网络安全威胁的能力。例如,一位专家质疑政府机构是否有能力适应迅速演变的威胁,而另一位专家则强调了监管机构有能力应对不断演变的网络安全问题的必要性。此外,我们的专家对未来制定法规的机构的要求过于具体表示关切,例如那些规定某一特定产品或技术的使用。因此,除非采取措施缓解这些挑战,否则法规可能无法完全有效地保护智能电网技术免受网络安全威胁。
在推特上关注迈克尔·库尼:nwwlayer8
8层外
看看其他热点的故事: