印度電力部和中央電力管理局(CEA)發布了電力行業網絡安全指導方針
10日上旬,印度電力部和中央電力管理局(CEA)發布了電力行業網絡安全指導方針,概述了提高電力部門網絡安全準備水平所需采取的行動,旨在創建一個安全的網絡生態系統。該指南是在與利益攸關方商議并征求網絡安全專家機構意見后制定的。這些組織包括印度計算機應急響應小組(CERT-In)、國家關鍵信息基礎設施保護中心(NCIIPC)、國家大學學者協會(NSCS)和坎普爾信息技術研究所(IIT-坎普爾)。
CEA根據《2019年中央電力管理局(電網連接技術標準)(修訂)條例》的規定,制定了指導方針,所有電力部門公用事業必須遵守該規范。這是該領域首次制定網絡安全指導方針。它制定了網絡安全保障框架,加強了監管框架,并建立了安全威脅預警、漏洞管理和應對安全威脅的機制。它還確保遠程操作和服務的安全。
指南出臺背景
印度電力監管部門認為,任何關鍵部門的網絡入侵和網絡攻擊都帶有惡意。在電力行業,要么危及供電系統,要么使電網運行不安全。任何這樣的攻擊入侵,可能會導致設備的誤操作,設備損壞,甚至是級聯電網斷電/停電。IT和OT系統之間的氣隙神話現在被粉碎了。在任何IT和OT系統之間部署防火墻所造成的人工氣隙,都可以被任何內部人士或外部人士通過社會工程跳過。網絡攻擊通過初始入侵、執行、持續、特權升級、防御規避、指揮與控制、外逃等策略和技術進行。通過特權升級進入系統后,IT網絡的控制和OT系統的操作甚至可以被任何網絡對手遠程接管。通過此類入侵獲得的敏感操作數據可能有助于國家/地區支持或非支持的對手和網絡攻擊者設計更險惡和先進的網絡攻擊。
印度政府已經成立了印度計算機緊急響應小組(CERT-IN),用于網絡安全事件的早期預警和響應,并在國家和國際層面進行合作,共享緩解網絡威脅的信息。CERT-IN定期發布有關保護計算機系統的建議,并發布廣泛的安全指南。建議所有中央政府部門和州/聯邦地區政府定期通過CERT-IN專門審計人員對其整個網絡基礎設施(包括網站)進行網絡安全審計,以識別網絡安全實踐中的漏洞并采取適當的糾正措施。CERT-IN擴展支持,使責任實體能夠進行網絡安全模擬演習,并評估其抵御網絡攻擊的準備工作。負責實體必須向部門CERT和CERT-IN提交網絡安全控制、架構、漏洞管理、網絡安全和定期網絡安全演習的網絡審計報告。專家組應審查這些報告,如果合規中有任何不足之處,應予以標記。CERT-IN還定期舉辦研討會和培訓,以提高所有利益攸關方的網絡安全意識。
為了確保印度電力行業的網絡安全,印度電力部創建了6個部門級CERTs,即在熱力、水力、輸電、電網運營、再生能源和配電機構設置了應急響應組織。每個部門CERT都為打擊網絡攻擊和網絡恐怖主義準備了其分部門特定的網絡危機管理計劃(C-CMP)模型。每個部門CERT都分發了他們的C-CMP模型,用于準備和實施組織特定的C-CMP。
電力行業的所有責任實體、服務提供商、設備供應商/生產商和咨詢顧問都對確保印度電力供應系統的網絡安全負有同等責任。它們應根據從可靠來源收到的每一威脅情報、警告和其他輸入及時采取行動,以持續改進其網絡安全態勢。
在印度當前的情況下,雖然存在許多網絡安全指令和指導方針,但沒有一個是專門針對電力部門的。電力部已指示CEA制定電力行業網絡安全條例。CEA被指示根據《2019年中央電力管理局(電網連接技術標準)(修正案)條例》中關于網絡安全的第10條規定,制定并發布《電力行業網絡安全指南》。
主要目的
發布指南的目的:
a)建立網絡安全意識
b)建立安全的網絡生態系統;
c)建立網絡保障框架,
d)加強監管框架;
e)創建安全威脅預警、漏洞管理和安全威脅響應機制;
f)確保遠程操作和服務的安全;
g)加強關鍵信息基礎設施的保護和復原力;
h)降低網絡供應鏈風險;
i)鼓勵使用開放標準,
j)促進網絡安全研發;
k)網絡安全領域人力資源開發;
l)發展有效的公私伙伴關系;
m)信息共享與合作;
n)實施國家網絡安全政策;
指南適用的系統范圍
該指南針對的系統范圍包括三部分,系統運行和運行管理控制系統,通信系統,和輔助的、自動化和遠程控制技術。具體指:
1、系統運行和運行管理控制系統
a)網格控制和管理系統;
b)電廠控制系統;
c)用于監測和控制分布式發電和負載的中央系統,例如發電廠、存儲管理、水電廠中央控制室、光伏/風力發電裝置;
d)故障管理和員工管理系統;
e)計量和測量管理系統;
f)數據歸檔系統,
g)參數化、配置和編程系統;
h)運行上述系統所需的配套系統;
2、通信系統
a)路由器、交換機和防火墻;
b)與通信技術相關的網絡組件;
c)無線數字系統。
d)控制中心與控制中心之間的通信,以便在ICCP上進行數據交換(IEC 61850/60850-5/TASE.2 /)。
3、輔助的、自動化和遠程控制技術
a)控制和自動化部件;
b)控制和現場設備;
c)遠程控制裝置,
d)可編程邏輯控制器/遠程終端單元,包括數字傳感器和執行元件,
e)保護裝置,
f)安全組件,
g)數字計量裝置;
h)同步設備,
i)勵磁系統,
主要條款
該指南的主要內容共分14條,四個附錄。
第一條:網絡安全政策
第二條:(首席信息安全官)CISO的任命
第四條:識別關鍵信息基礎設施(CII)
第四條:電子安全邊界
第五條:網絡安全需求
第六條:網絡風險評估與緩解計劃
第七條:遺留制度的逐步取消
第八條:網絡安全培訓
第九條:網絡供應鏈風險管理
第十條:網絡安全事件報告和應對方案
第十一條:網絡危機管理計劃(C-CMP)
第十二條:蓄意破壞舉報率
第十三條:網絡資產的安全性與檢測
第十四條:網絡安全審計
指南的實施將激活網絡安全應用生態
該規范適用于印度電力供應系統中的所有責任實體和系統集成商、設備制造商、供應商和生產商、服務提供商以及IT硬件和軟件OEM(原始設備制造商)。該指南要求從已識別的“可信來源”和“可信產品”進行基于信息通信技術(ICT)的采購,在將產品用于供電系統網絡之前,必須對其進行惡意軟件和硬件木馬測試。這一舉措將促進網絡安全的研究和開發,并為在該國的公共和私營部門建立網絡測試基礎設施打開市場。
鑒于電力部門已經在其核心業務中部署了新興技術,網絡安全措施需要加強。2021年8月,政府批準了修改后的配電部門計劃,通過使用基于人工智能(AI)的解決方案促進供應基礎設施,改善所有配電公司和部門(DISCOMs)的運營。在人工智能的幫助下,政府旨在分析通過IT/OT設備生成的數據,如系統儀表、需求預測、每日時間(ToD)費率、可再生能源(RE)集成和其他預測分析。此外,預付費智能電表每月準備系統生成的能源會計報告,有助于DISCOMs在減少損失方面做出明智的決定。該計劃下的資金還將用于開發人工智能驅動的應用程序。政府預計,這將促進全國配送行業的初創企業的發展。
參考資源:
1.https://www.moneycontrol.com/news/india/govt-releases-guidelines-for-cybersecurity-in-power-sector-7557091.html
2.https://opengovasia.com/indian-government-releases-cybersecurity-guidelines-for-power-sector/
