10日上旬,,印度電力部和中央電力管理局(CEA)發(fā)布了電力行業(yè)網(wǎng)絡(luò)安全指導(dǎo)方針,,概述了提高電力部門網(wǎng)絡(luò)安全準(zhǔn)備水平所需采取的行動,旨在創(chuàng)建一個安全的網(wǎng)絡(luò)生態(tài)系統(tǒng),。該指南是在與利益攸關(guān)方商議并征求網(wǎng)絡(luò)安全專家機構(gòu)意見后制定的,。這些組織包括印度計算機應(yīng)急響應(yīng)小組(CERT-In)、國家關(guān)鍵信息基礎(chǔ)設(shè)施保護中心(NCIIPC),、國家大學(xué)學(xué)者協(xié)會(NSCS)和坎普爾信息技術(shù)研究所(IIT-坎普爾),。
CEA根據(jù)《2019年中央電力管理局(電網(wǎng)連接技術(shù)標(biāo)準(zhǔn))(修訂)條例》的規(guī)定,制定了指導(dǎo)方針,,所有電力部門公用事業(yè)必須遵守該規(guī)范,。這是該領(lǐng)域首次制定網(wǎng)絡(luò)安全指導(dǎo)方針,。它制定了網(wǎng)絡(luò)安全保障框架,,加強了監(jiān)管框架,并建立了安全威脅預(yù)警,、漏洞管理和應(yīng)對安全威脅的機制,。它還確保遠程操作和服務(wù)的安全。
指南出臺背景
印度電力監(jiān)管部門認(rèn)為,,任何關(guān)鍵部門的網(wǎng)絡(luò)入侵和網(wǎng)絡(luò)攻擊都帶有惡意,。在電力行業(yè),要么危及供電系統(tǒng),,要么使電網(wǎng)運行不安全,。任何這樣的攻擊入侵,可能會導(dǎo)致設(shè)備的誤操作,,設(shè)備損壞,,甚至是級聯(lián)電網(wǎng)斷電/停電。IT和OT系統(tǒng)之間的氣隙神話現(xiàn)在被粉碎了,。在任何IT和OT系統(tǒng)之間部署防火墻所造成的人工氣隙,,都可以被任何內(nèi)部人士或外部人士通過社會工程跳過。網(wǎng)絡(luò)攻擊通過初始入侵,、執(zhí)行,、持續(xù)、特權(quán)升級,、防御規(guī)避,、指揮與控制、外逃等策略和技術(shù)進行,。通過特權(quán)升級進入系統(tǒng)后,,IT網(wǎng)絡(luò)的控制和OT系統(tǒng)的操作甚至可以被任何網(wǎng)絡(luò)對手遠程接管,。通過此類入侵獲得的敏感操作數(shù)據(jù)可能有助于國家/地區(qū)支持或非支持的對手和網(wǎng)絡(luò)攻擊者設(shè)計更險惡和先進的網(wǎng)絡(luò)攻擊。
印度政府已經(jīng)成立了印度計算機緊急響應(yīng)小組(CERT-IN),,用于網(wǎng)絡(luò)安全事件的早期預(yù)警和響應(yīng),,并在國家和國際層面進行合作,共享緩解網(wǎng)絡(luò)威脅的信息,。CERT-IN定期發(fā)布有關(guān)保護計算機系統(tǒng)的建議,,并發(fā)布廣泛的安全指南。建議所有中央政府部門和州/聯(lián)邦地區(qū)政府定期通過CERT-IN專門審計人員對其整個網(wǎng)絡(luò)基礎(chǔ)設(shè)施(包括網(wǎng)站)進行網(wǎng)絡(luò)安全審計,,以識別網(wǎng)絡(luò)安全實踐中的漏洞并采取適當(dāng)?shù)募m正措施,。CERT-IN擴展支持,使責(zé)任實體能夠進行網(wǎng)絡(luò)安全模擬演習(xí),,并評估其抵御網(wǎng)絡(luò)攻擊的準(zhǔn)備工作,。負責(zé)實體必須向部門CERT和CERT-IN提交網(wǎng)絡(luò)安全控制、架構(gòu),、漏洞管理,、網(wǎng)絡(luò)安全和定期網(wǎng)絡(luò)安全演習(xí)的網(wǎng)絡(luò)審計報告。專家組應(yīng)審查這些報告,,如果合規(guī)中有任何不足之處,,應(yīng)予以標(biāo)記。CERT-IN還定期舉辦研討會和培訓(xùn),,以提高所有利益攸關(guān)方的網(wǎng)絡(luò)安全意識,。
為了確保印度電力行業(yè)的網(wǎng)絡(luò)安全,印度電力部創(chuàng)建了6個部門級CERTs,,即在熱力,、水力、輸電,、電網(wǎng)運營,、再生能源和配電機構(gòu)設(shè)置了應(yīng)急響應(yīng)組織。每個部門CERT都為打擊網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)恐怖主義準(zhǔn)備了其分部門特定的網(wǎng)絡(luò)危機管理計劃(C-CMP)模型,。每個部門CERT都分發(fā)了他們的C-CMP模型,,用于準(zhǔn)備和實施組織特定的C-CMP。
電力行業(yè)的所有責(zé)任實體,、服務(wù)提供商,、設(shè)備供應(yīng)商/生產(chǎn)商和咨詢顧問都對確保印度電力供應(yīng)系統(tǒng)的網(wǎng)絡(luò)安全負有同等責(zé)任。它們應(yīng)根據(jù)從可靠來源收到的每一威脅情報,、警告和其他輸入及時采取行動,,以持續(xù)改進其網(wǎng)絡(luò)安全態(tài)勢。
在印度當(dāng)前的情況下,雖然存在許多網(wǎng)絡(luò)安全指令和指導(dǎo)方針,,但沒有一個是專門針對電力部門的,。電力部已指示CEA制定電力行業(yè)網(wǎng)絡(luò)安全條例。CEA被指示根據(jù)《2019年中央電力管理局(電網(wǎng)連接技術(shù)標(biāo)準(zhǔn))(修正案)條例》中關(guān)于網(wǎng)絡(luò)安全的第10條規(guī)定,,制定并發(fā)布《電力行業(yè)網(wǎng)絡(luò)安全指南》,。
主要目的
發(fā)布指南的目的:
a)建立網(wǎng)絡(luò)安全意識
b)建立安全的網(wǎng)絡(luò)生態(tài)系統(tǒng);
c)建立網(wǎng)絡(luò)保障框架,,
d)加強監(jiān)管框架,;
e)創(chuàng)建安全威脅預(yù)警、漏洞管理和安全威脅響應(yīng)機制,;
f)確保遠程操作和服務(wù)的安全,;
g)加強關(guān)鍵信息基礎(chǔ)設(shè)施的保護和復(fù)原力;
h)降低網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險,;
i)鼓勵使用開放標(biāo)準(zhǔn),,
j)促進網(wǎng)絡(luò)安全研發(fā);
k)網(wǎng)絡(luò)安全領(lǐng)域人力資源開發(fā),;
l)發(fā)展有效的公私伙伴關(guān)系,;
m)信息共享與合作;
n)實施國家網(wǎng)絡(luò)安全政策,;
指南適用的系統(tǒng)范圍
該指南針對的系統(tǒng)范圍包括三部分,,系統(tǒng)運行和運行管理控制系統(tǒng),通信系統(tǒng),,和輔助的、自動化和遠程控制技術(shù),。具體指:
1,、系統(tǒng)運行和運行管理控制系統(tǒng)
a)網(wǎng)格控制和管理系統(tǒng);
b)電廠控制系統(tǒng),;
c)用于監(jiān)測和控制分布式發(fā)電和負載的中央系統(tǒng),,例如發(fā)電廠、存儲管理,、水電廠中央控制室,、光伏/風(fēng)力發(fā)電裝置;
d)故障管理和員工管理系統(tǒng),;
e)計量和測量管理系統(tǒng),;
f)數(shù)據(jù)歸檔系統(tǒng),
g)參數(shù)化,、配置和編程系統(tǒng),;
h)運行上述系統(tǒng)所需的配套系統(tǒng);
2、通信系統(tǒng)
a)路由器,、交換機和防火墻,;
b)與通信技術(shù)相關(guān)的網(wǎng)絡(luò)組件;
c)無線數(shù)字系統(tǒng),。
d)控制中心與控制中心之間的通信,,以便在ICCP上進行數(shù)據(jù)交換(IEC 61850/60850-5/TASE.2 /)。
3,、輔助的,、自動化和遠程控制技術(shù)
a)控制和自動化部件;
b)控制和現(xiàn)場設(shè)備,;
c)遠程控制裝置,,
d)可編程邏輯控制器/遠程終端單元,包括數(shù)字傳感器和執(zhí)行元件,,
e)保護裝置,,
f)安全組件,
g)數(shù)字計量裝置,;
h)同步設(shè)備,,
i)勵磁系統(tǒng),
主要條款
該指南的主要內(nèi)容共分14條,,四個附錄,。
第一條:網(wǎng)絡(luò)安全政策
第二條:(首席信息安全官)CISO的任命
第四條:識別關(guān)鍵信息基礎(chǔ)設(shè)施(CII)
第四條:電子安全邊界
第五條:網(wǎng)絡(luò)安全需求
第六條:網(wǎng)絡(luò)風(fēng)險評估與緩解計劃
第七條:遺留制度的逐步取消
第八條:網(wǎng)絡(luò)安全培訓(xùn)
第九條:網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險管理
第十條:網(wǎng)絡(luò)安全事件報告和應(yīng)對方案
第十一條:網(wǎng)絡(luò)危機管理計劃(C-CMP)
第十二條:蓄意破壞舉報率
第十三條:網(wǎng)絡(luò)資產(chǎn)的安全性與檢測
第十四條:網(wǎng)絡(luò)安全審計
指南的實施將激活網(wǎng)絡(luò)安全應(yīng)用生態(tài)
該規(guī)范適用于印度電力供應(yīng)系統(tǒng)中的所有責(zé)任實體和系統(tǒng)集成商、設(shè)備制造商,、供應(yīng)商和生產(chǎn)商,、服務(wù)提供商以及IT硬件和軟件OEM(原始設(shè)備制造商)。該指南要求從已識別的“可信來源”和“可信產(chǎn)品”進行基于信息通信技術(shù)(ICT)的采購,,在將產(chǎn)品用于供電系統(tǒng)網(wǎng)絡(luò)之前,,必須對其進行惡意軟件和硬件木馬測試。這一舉措將促進網(wǎng)絡(luò)安全的研究和開發(fā),,并為在該國的公共和私營部門建立網(wǎng)絡(luò)測試基礎(chǔ)設(shè)施打開市場,。
鑒于電力部門已經(jīng)在其核心業(yè)務(wù)中部署了新興技術(shù),網(wǎng)絡(luò)安全措施需要加強,。2021年8月,,政府批準(zhǔn)了修改后的配電部門計劃,通過使用基于人工智能(AI)的解決方案促進供應(yīng)基礎(chǔ)設(shè)施,,改善所有配電公司和部門(DISCOMs)的運營,。在人工智能的幫助下,政府旨在分析通過IT/OT設(shè)備生成的數(shù)據(jù),,如系統(tǒng)儀表,、需求預(yù)測、每日時間(ToD)費率、可再生能源(RE)集成和其他預(yù)測分析,。此外,,預(yù)付費智能電表每月準(zhǔn)備系統(tǒng)生成的能源會計報告,有助于DISCOMs在減少損失方面做出明智的決定,。該計劃下的資金還將用于開發(fā)人工智能驅(qū)動的應(yīng)用程序,。政府預(yù)計,這將促進全國配送行業(yè)的初創(chuàng)企業(yè)的發(fā)展,。