編譯 朱力鵬

（全球能源互聯(lián)網(wǎng)研究院有限公司，北京102209）

1 智能電網(wǎng)安全指南報(bào)告綜述

歐洲網(wǎng)絡(luò)與信息安全局（ENISA）的智能電網(wǎng)定義為在供電部門和用戶可進(jìn)行雙向數(shù)字通信的升級(jí)電網(wǎng)，包括智能計(jì)量和監(jiān)測(cè)系統(tǒng)。智能電網(wǎng)將包括發(fā)電、消費(fèi)者在內(nèi)所有用戶的行為和行動(dòng)相互關(guān)聯(lián)，實(shí)現(xiàn)經(jīng)濟(jì)高效、可持續(xù)的電力系統(tǒng)，確保低損耗、高質(zhì)量、保障供應(yīng)和物理安全。

智能電網(wǎng)不同于當(dāng)今的電網(wǎng)，將改變傳統(tǒng)的能源市場(chǎng)與服務(wù)。智能電網(wǎng)除了包含大容量發(fā)電設(shè)施之外，還將智能地集成分散在輸電、配電和客戶領(lǐng)域的分布式或分散發(fā)電，分布式能源（DER）包括太陽(yáng)能電池板、小型風(fēng)力渦輪機(jī)、燃料電池和分布式熱電聯(lián)產(chǎn)來(lái)源，甚至還包括電動(dòng)汽車。

隨著由于信息和通信技術(shù)（ICT）的發(fā)展，未來(lái)的電網(wǎng)將變得更加智能化，通過(guò)充分信息交換、分布式發(fā)電、存儲(chǔ)技術(shù)以及最終用戶的積極參與，電力系統(tǒng)的可靠性、安全性和效率將得到提高。但由于通信網(wǎng)絡(luò)和信息系統(tǒng)的脆弱性，可能被用來(lái)由于經(jīng)濟(jì)或政治因素關(guān)閉廣大區(qū)域的電力供應(yīng)，甚至發(fā)動(dòng)對(duì)電廠的網(wǎng)絡(luò)攻擊。

歐洲的社會(huì)經(jīng)濟(jì)對(duì)通信網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用的日益依賴，電網(wǎng)智能化也給社會(huì)發(fā)展帶來(lái)福祉，但智能電網(wǎng)的基礎(chǔ)是信息和通信技術(shù)，一旦出現(xiàn)網(wǎng)絡(luò)攻擊導(dǎo)致災(zāi)難性的后果將讓人們難以承受。

1.1 智能電網(wǎng)的網(wǎng)絡(luò)安全

智能電網(wǎng)的網(wǎng)絡(luò)安全不易實(shí)現(xiàn)，通信基礎(chǔ)設(shè)施并非唯一薄弱環(huán)節(jié)，因?yàn)檫€有很多未知甚至干脆不知來(lái)自何處的脆弱點(diǎn)。例如用于構(gòu)建智能電網(wǎng)基礎(chǔ)設(shè)施的軟件和硬件甚至在整合前就已經(jīng)被做手腳，軟件在開(kāi)發(fā)時(shí)就已被植入能導(dǎo)致突然故障的流氓代碼（邏輯炸彈），硬件像計(jì)算機(jī)芯片和操作系統(tǒng)也可能被植入允許遠(yuǎn)程操控的“切斷開(kāi)關(guān)”或隱藏的“后門”。但由于在生產(chǎn)過(guò)程中容忍這類風(fēng)險(xiǎn)的現(xiàn)象較為普遍，而且不易被發(fā)現(xiàn)，根除更難。還有比技術(shù)更復(fù)雜的問(wèn)題，像用戶信息保護(hù)這類問(wèn)題。因此，制定尊重消費(fèi)者隱私權(quán)，規(guī)范第三方使用用戶信息、能源數(shù)據(jù)的法律和監(jiān)管制度，也非常必要，關(guān)系到智能電網(wǎng)是否能被用戶廣泛接受。近幾年內(nèi)智能電網(wǎng)主要挑戰(zhàn)依然是評(píng)估風(fēng)險(xiǎn)、保證進(jìn)程、確定技術(shù)差距和組織問(wèn)題。因此提高安全意識(shí)，促進(jìn)安全培訓(xùn)和知識(shí)共享,應(yīng)予以優(yōu)先考慮。

1.2 范圍

這項(xiàng)研究有兩個(gè)重要基礎(chǔ)。一是使用該領(lǐng)域最新的知識(shí)、實(shí)際經(jīng)驗(yàn)來(lái)評(píng)估智能電網(wǎng)的安全現(xiàn)狀；二是綜合全部利益相關(guān)方的觀點(diǎn)。

評(píng)估現(xiàn)狀主要包括如下幾個(gè)方面：

● 評(píng)審智能電網(wǎng)定義；

● 確定智能電網(wǎng)的高水平目標(biāo)；

● 智能電網(wǎng)在歐洲、美國(guó)及其他地區(qū)應(yīng)用的驅(qū)動(dòng)因素；

● 智能電網(wǎng)體系結(jié)構(gòu)標(biāo)準(zhǔn)化工作綜述；

● 智能電網(wǎng)的的物理基礎(chǔ)設(shè)施及其高水平應(yīng)用與服務(wù)；

● ICT技術(shù)在智能電網(wǎng)中的重要作用；

● 綜述影響智能電網(wǎng)缺陷的真實(shí)事件及其相關(guān)發(fā)現(xiàn)；

● 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、威脅和挑戰(zhàn)；

● 歐洲當(dāng)前的安全政策背景綜述；

● 歐洲應(yīng)對(duì)智能電網(wǎng)的網(wǎng)絡(luò)安全舉措；

● 評(píng)估智能電網(wǎng)網(wǎng)絡(luò)安全領(lǐng)域中關(guān)鍵的標(biāo)準(zhǔn)、指南、規(guī)范性文件及措施；

1.3 歐盟及國(guó)際政策背景

在關(guān)鍵基礎(chǔ)設(shè)施保護(hù)（CIP）和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)（CIIP）方面的指令和通信中，已將電網(wǎng)（智能電網(wǎng)）納入關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的一般監(jiān)管框架。

2006年12月的COM（2006）786 “關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的歐洲計(jì)劃”（CPCIP）通訊，即聚焦關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方案，明確必須建立歐盟統(tǒng)一框架來(lái)保護(hù)關(guān)鍵基礎(chǔ)設(shè)施，其指導(dǎo)思想為全災(zāi)害因素（all hazards），重點(diǎn)應(yīng)對(duì)恐怖威脅。而歐盟理事會(huì)的第2008/114號(hào)CIP指令，將發(fā)電和輸電（供電為主）等設(shè)施確定為歐洲關(guān)鍵基礎(chǔ)設(shè)施的組成部分。

2009年歐盟委員會(huì)通過(guò)了COM（2009）149通訊，將ICT基礎(chǔ)設(shè)施定為關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的支撐平臺(tái)，為加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施的安全和彈性制定計(jì)劃,這個(gè)行動(dòng)計(jì)劃有五大立足點(diǎn)：準(zhǔn)備和預(yù)防、檢測(cè)和響應(yīng)、緩解和恢復(fù)、國(guó)際合作、ICT領(lǐng)域的歐盟標(biāo)準(zhǔn)。2011年發(fā)布的COM（2011）163通訊，以震網(wǎng)病毒（Stuxnet）為例，認(rèn)為在CIIs領(lǐng)域出現(xiàn)新威脅，智能電網(wǎng)將面臨以破壞為目標(biāo)的復(fù)雜威脅。

2011年歐盟委員會(huì)發(fā)布了COM（2011）202號(hào)通訊，題為“智能電網(wǎng)：從創(chuàng)新到應(yīng)用”，這份通訊引入該領(lǐng)域內(nèi)的數(shù)據(jù)保護(hù)和數(shù)據(jù)隱私，分析智能電網(wǎng)在應(yīng)用方面將面臨的挑戰(zhàn)，提出重點(diǎn)發(fā)展技術(shù)標(biāo)準(zhǔn)、嚴(yán)格數(shù)據(jù)保護(hù)，鼓勵(lì)進(jìn)行持續(xù)的技術(shù)和系統(tǒng)創(chuàng)新。并倡議成立高級(jí)別工作組，與國(guó)際相關(guān)組織合作，評(píng)估智能電網(wǎng)的網(wǎng)絡(luò)和信息安全的狀況和恢復(fù)能力。

1.4 目標(biāo)受眾

本報(bào)告主要面向兩類人群，一類是有安全和電力行業(yè)背景的專業(yè)人員，如：

● 工程師；

● 研究人員；

● 信息安全專家；

● 安全顧問(wèn)；

● 管理人員；

● 業(yè)界領(lǐng)袖；

由于本報(bào)告的關(guān)鍵發(fā)現(xiàn)和指引還包括政治、組織、技術(shù)、安全意識(shí)及經(jīng)濟(jì)等因素，為更好的理解本報(bào)告，還用非技術(shù)語(yǔ)言進(jìn)行闡述，主要面向如下人群：

● 業(yè)界領(lǐng)袖；

● 政策制定者；

● 標(biāo)準(zhǔn)制定機(jī)構(gòu)；

● 公共機(jī)構(gòu)；

● 分析師；

● 管理人員；

● 研究者；

2 智能電網(wǎng)安全認(rèn)證報(bào)告綜述

智能電網(wǎng)來(lái)自用戶的問(wèn)題主要是安全和隱私，有必要讓智能電網(wǎng)設(shè)備的供應(yīng)商保證他們的產(chǎn)品在全生命周期內(nèi)都關(guān)注這點(diǎn)。安全認(rèn)證不僅是讓用戶能夠接受安全和隱私設(shè)計(jì)的手段，也促成用戶對(duì)整個(gè)智能電網(wǎng)供應(yīng)鏈的信任。

在這份報(bào)告中ENISA給出他們對(duì)智能電網(wǎng)安全認(rèn)證的見(jiàn)解，分析現(xiàn)存的多種認(rèn)證方法。綜合分析了歐洲的現(xiàn)狀，探討歐洲智能電網(wǎng)的安全認(rèn)證實(shí)踐框架，并分析其優(yōu)點(diǎn)及面臨的挑戰(zhàn)，最終提出建議。

報(bào)告論述了歐洲智能電網(wǎng)的認(rèn)證實(shí)踐需求，基本要求為覆蓋整個(gè)智能電網(wǎng)的供應(yīng)鏈，要求采取M /490工作組提出的智能電網(wǎng)架構(gòu)模型（SG-AM）和智能電網(wǎng)的信任鏈做支撐。歐洲智能電網(wǎng)認(rèn)證計(jì)劃的主要差距和面臨的挑戰(zhàn)，主要是成員國(guó)各自為政及缺乏歐盟指導(dǎo)的可信監(jiān)督機(jī)構(gòu)，針對(duì)于此提出三項(xiàng)建議：

（1）協(xié)調(diào)歐盟智能電網(wǎng)安全認(rèn)證實(shí)踐；（2）基于信任鏈實(shí)施特定智能電網(wǎng)應(yīng)用場(chǎng)景；

（3）加強(qiáng)監(jiān)督，建議設(shè)立指導(dǎo)委員會(huì)，負(fù)責(zé)監(jiān)管智能電網(wǎng)認(rèn)證、定義泛歐安全需求和制定國(guó)家計(jì)劃。

2.1 智能電網(wǎng)的網(wǎng)絡(luò)安全認(rèn)證

智能電網(wǎng)的網(wǎng)絡(luò)安全認(rèn)證可大大增強(qiáng)復(fù)雜系統(tǒng)的安全性，實(shí)際ENISA 2012年發(fā)布的智能電網(wǎng)安全指南報(bào)告即已提出這個(gè)建議。雖然在2011年的工控系統(tǒng)保護(hù)指南、2012年的歐盟委員會(huì)與ENISA的聯(lián)合工作組成果中，就已提出安全認(rèn)證的基本需求，但這份報(bào)告依然花較大篇幅討論如下問(wèn)題：為何需要全歐洲統(tǒng)一的安全認(rèn)證框架，該框架又如何創(chuàng)造出智能電網(wǎng)承載的能源信任鏈等。

1.現(xiàn)狀：ENISA工作組總結(jié)出歐洲智能電網(wǎng)有較多不盡如意的地方，例如現(xiàn)有認(rèn)證體系成本高昂、網(wǎng)絡(luò)安全認(rèn)證支離破碎缺乏統(tǒng)一手段、威脅出現(xiàn)太快而認(rèn)證周期又太長(zhǎng)、智能電網(wǎng)網(wǎng)絡(luò)安全法規(guī)過(guò)少無(wú)法涵蓋、覆蓋全部智能電網(wǎng)供應(yīng)鏈的通用標(biāo)準(zhǔn)不現(xiàn)實(shí)、測(cè)試環(huán)境與生產(chǎn)環(huán)境背離以及沒(méi)有更廣發(fā)的培訓(xùn)等現(xiàn)狀。

2.市場(chǎng)驅(qū)動(dòng)：利益方很多，訴求不同，可參照標(biāo)準(zhǔn)各異，這方面有成功案例，失敗的也不少，因此迫切需要統(tǒng)一智能電網(wǎng)的網(wǎng)絡(luò)安全認(rèn)證標(biāo)準(zhǔn)。

3.利益相干方需求不同：①解決歐盟利益相關(guān)者對(duì)智能電網(wǎng)的信任問(wèn)題;②設(shè)計(jì)通用的智能電網(wǎng)安全參考模型；③建立歐洲智能電網(wǎng)審計(jì)控制最小基礎(chǔ)工具集；④根據(jù)電網(wǎng)的重要度不同定義安全級(jí)別的統(tǒng)一方法；⑤為智能電網(wǎng)的部件、系統(tǒng)、操作安全設(shè)立統(tǒng)一的辦法，以強(qiáng)化信任；⑥為促進(jìn)成員國(guó)立法提供指導(dǎo)意見(jiàn)；⑦促進(jìn)歐盟在智能電網(wǎng)安全方面的公私合作；⑧提高歐盟智能電網(wǎng)的安全成熟度；⑨減緩風(fēng)險(xiǎn)并分擔(dān)責(zé)任;⑩降低認(rèn)證成本;(11)強(qiáng)化智能電網(wǎng)的生命周期。

4.“完美的”認(rèn)證計(jì)劃具備的特點(diǎn)：①能明確責(zé)任，實(shí)現(xiàn)智能電網(wǎng)供應(yīng)鏈信任；②基于歐盟智能電網(wǎng)安全參考模型，指由M/490開(kāi)發(fā)的SG-AM模型，能被歐洲標(biāo)準(zhǔn)化組織（ESOs）和認(rèn)證機(jī)構(gòu)（CBs）認(rèn)可；③采用同一基準(zhǔn)集；④參照國(guó)際安全防范和風(fēng)險(xiǎn)等級(jí)，如M/490的SG-IS框架（智能電網(wǎng)信息系統(tǒng)框架）；⑤支持組件、系統(tǒng)和操作的框架，可定義完整的智能電網(wǎng)系統(tǒng)安全性；⑥有一致性測(cè)試、功能測(cè)試和互操作性測(cè)試，可以決定執(zhí)行第一方、第二方或第三方評(píng)估。⑦促進(jìn)公私合作；⑧以框架形式執(zhí)行歐盟提供指導(dǎo)，由成員國(guó)立法。⑨能提高歐盟智能電網(wǎng)安全的成熟度;⑩統(tǒng)一方法從而降低認(rèn)證成本;(11)支持產(chǎn)品或系統(tǒng)生命周期的維護(hù)計(jì)劃；

2.2 范圍

這份報(bào)告目的是為智能電網(wǎng)的安全認(rèn)證提供技術(shù)咨詢、建議和有效實(shí)踐，可為智能電網(wǎng)認(rèn)證計(jì)劃提出策略、體系結(jié)構(gòu)、指導(dǎo)方針和框架等工作，但無(wú)法解決與實(shí)施安全認(rèn)證相關(guān)的政治和法律問(wèn)題。

智能電網(wǎng)的數(shù)據(jù)保護(hù)同樣重要，安全認(rèn)證也是行之有效的措施。雖然歐盟已有的數(shù)據(jù)保護(hù)需求及框架較多，如DPIA、BATs等，但這個(gè)報(bào)告與這些框架并不相違。

2.3 歐盟及國(guó)際政策背景

2013年歐盟委員會(huì)發(fā)布了歐盟網(wǎng)絡(luò)安全策略，明確了所有利益相關(guān)者的共同責(zé)任，以及參與者在日益依賴ICT的情況下能更好保護(hù)自己。在優(yōu)先事項(xiàng)及重點(diǎn)行動(dòng)一節(jié)中提出為網(wǎng)絡(luò)安全發(fā)掘工業(yè)和技術(shù)資源，因此“重點(diǎn)應(yīng)是建立激勵(lì)機(jī)制，進(jìn)行適當(dāng)?shù)娘L(fēng)險(xiǎn)管理、采用恰當(dāng)?shù)陌踩珮?biāo)準(zhǔn)和解決方案，在歐盟和成員國(guó)間采用自愿設(shè)計(jì)歐盟認(rèn)證方案。委員會(huì)將鼓勵(lì)成員國(guó)采取一致的辦法，避免因差異造成商業(yè)區(qū)位劣勢(shì)?！?/p>

2.4 目標(biāo)受眾

本文件的主要目標(biāo)受眾是歐盟委員會(huì)和會(huì)員國(guó)（MSS）管理方，希望達(dá)到的主要目標(biāo)：

● 為構(gòu)建智能電網(wǎng)的安全認(rèn)證打下基礎(chǔ)；

● 通告相關(guān)社群（IT安全工程師、工控系統(tǒng)工程師和運(yùn)營(yíng)商、國(guó)家信息安全部門/機(jī)構(gòu)等）；

● 在智能電網(wǎng)的安全認(rèn)證領(lǐng)域?yàn)檎咧贫ㄕ吆图夹g(shù)專家之間架設(shè)橋梁；

與本文件中的調(diào)查結(jié)果和建議有關(guān)的受眾是：

● 認(rèn)證和鑒定機(jī)構(gòu)；

● 監(jiān)管者和政策制定者；

● 智能電網(wǎng)運(yùn)營(yíng)商；

● 標(biāo)準(zhǔn)化機(jī)構(gòu)（如 ETSI、NIST、IEC、ISO等）；

● 安全解決方案提供商；

● 智能電網(wǎng)產(chǎn)品制造商；

● 學(xué)術(shù)界、研發(fā)領(lǐng)域；

● 參與智能電網(wǎng)網(wǎng)絡(luò)安全的各成員國(guó)公共機(jī)構(gòu)；

3 智能電網(wǎng)網(wǎng)絡(luò)安全研究的關(guān)鍵成果

3.1 智能電網(wǎng)面臨的挑戰(zhàn)

ENISA認(rèn)為智能電網(wǎng)面臨以下挑戰(zhàn)：

（1）智能電網(wǎng)的成功要素：①智能電網(wǎng)概念的定義；②降低成本及失誤預(yù)防；③網(wǎng)絡(luò)安全性；④保障用戶隱私；⑤用戶接受認(rèn)知培育；⑥接受和使用智能電表。

（2）智能電網(wǎng)缺乏標(biāo)準(zhǔn)參考架構(gòu)；

（3）基于標(biāo)準(zhǔn)架構(gòu)的端到端安全體系：端到端安全存在于通訊的多個(gè)層面，從底層的電表、設(shè)備等到應(yīng)用層（應(yīng)用系統(tǒng)、集成企業(yè)運(yùn)營(yíng)系統(tǒng)、增值服務(wù)系統(tǒng)等），因此需要清晰的標(biāo)準(zhǔn)架構(gòu)來(lái)定義。

（4）一線操作并不關(guān)注網(wǎng)絡(luò)安全；（5）將網(wǎng)絡(luò)安全與隱私保護(hù)隔離；（6）需要提倡“設(shè)計(jì)即安全”理念：要將安全融入設(shè)計(jì)；

（7）如何應(yīng)對(duì)新威脅。

3.2 智能電網(wǎng)的基本構(gòu)成

1. 智能電網(wǎng)的水平視點(diǎn)：主要基于從電廠到終端用戶的電力交付價(jià)值鏈；

2. 智能電網(wǎng)的垂直視點(diǎn)：部分專家認(rèn)為是剝離增值服務(wù)的電網(wǎng)運(yùn)營(yíng)及作為支撐的通訊基礎(chǔ)設(shè)施；還有部分專家認(rèn)為含義更廣，包括設(shè)備、技術(shù)、基礎(chǔ)設(shè)施到運(yùn)營(yíng)（電網(wǎng)管理或市場(chǎng)運(yùn)營(yíng)），再到服務(wù)（如需求側(cè)管理）；

3. 智能電網(wǎng)的雙向性：兩層含義，一方面是可利用分布式發(fā)電資源，另一方面是可進(jìn)行雙向通訊的ICT設(shè)施；

4. 智能家居和智慧工業(yè)也是智能電網(wǎng)的一部分；

5. 新應(yīng)用和服務(wù):主要有四個(gè)領(lǐng)域需要關(guān)注①AMI為基礎(chǔ)的應(yīng)用/服務(wù)，如需求側(cè)管理、家庭能源管理等；②分布式發(fā)電管理（DER管理）；③先進(jìn)輸變電自動(dòng)化，如變電自動(dòng)化、存儲(chǔ)等；④大型發(fā)電設(shè)施。

3.3 智能電網(wǎng)試用與網(wǎng)絡(luò)安全

1. 歐洲智能電網(wǎng)試驗(yàn)匱乏全球視野；

2. 網(wǎng)絡(luò)安全在智能電網(wǎng)試驗(yàn)中居于次要地位。

3.4 智能電網(wǎng)風(fēng)險(xiǎn)評(píng)估

1. 保護(hù)能源基礎(chǔ)設(shè)施的挑戰(zhàn)、目標(biāo)及需求；

2. 由輸電系統(tǒng)運(yùn)營(yíng)商和配電系統(tǒng)運(yùn)營(yíng)商主導(dǎo)強(qiáng)制性的風(fēng)險(xiǎn)評(píng)估；

3. 需要專門的風(fēng)險(xiǎn)評(píng)估方法論：有兩種意見(jiàn)，一派認(rèn)為并無(wú)可在智能電網(wǎng)使用的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估方法，另一派認(rèn)為可以參考SGIS歐洲工作組、DG Connect的高級(jí)專家組、甚至部分美國(guó)的工作組的成果；

4. 風(fēng)險(xiǎn)評(píng)估方法論的特征：一般包含依賴性分析、威脅及脆弱點(diǎn)評(píng)估，還應(yīng)考慮利益相關(guān)方的觀點(diǎn)、假設(shè)和期待；

5. 風(fēng)險(xiǎn)評(píng)估示例:主要有協(xié)同和人工兩種方式，部分專家推薦英國(guó)的IS1方法論；

6. 當(dāng)前風(fēng)險(xiǎn)評(píng)估工具的適應(yīng)性：荷蘭的DSOs認(rèn)為現(xiàn)有工具不實(shí)用；

7. 產(chǎn)品安全認(rèn)證中的風(fēng)險(xiǎn)評(píng)估角色：需要包含明顯風(fēng)險(xiǎn)分析的安全認(rèn)證流程。

3.5 認(rèn)證與國(guó)家認(rèn)證機(jī)構(gòu)的作用

1. 國(guó)家認(rèn)證機(jī)構(gòu)（NCA）的作用,主要有兩點(diǎn)：①根據(jù)預(yù)先定義的安全手冊(cè)核查確保智能電網(wǎng)關(guān)鍵部件安全；②根據(jù)企業(yè)安全治理策略認(rèn)證電網(wǎng)運(yùn)營(yíng)商的組織層面事務(wù)（流程、人等）；

2. 歐洲與各成員國(guó)的安全評(píng)定方案比較：部分專家認(rèn)為應(yīng)當(dāng)歐洲一致，還有部分認(rèn)為各國(guó)根據(jù)國(guó)情自行安排；

3. 設(shè)備導(dǎo)向的安全認(rèn)證標(biāo)準(zhǔn)參考模型和倡議：大部分認(rèn)可通用標(biāo)準(zhǔn)（Common Criteria，CC），其他依次推薦FIPS 140 、PCI PTS、ISA 99、CESG等；

4. 智能電網(wǎng)的通用標(biāo)準(zhǔn)（CC）：可以參照當(dāng)時(shí)智能卡行業(yè)的做法，通過(guò)設(shè)立聯(lián)合解釋知識(shí)庫(kù)，將CC擴(kuò)展到智能電網(wǎng)環(huán)境中；

5. 由標(biāo)準(zhǔn)驅(qū)動(dòng)的設(shè)備導(dǎo)向認(rèn)證的替代方案：有人認(rèn)為CC修改周期長(zhǎng)，而且對(duì)廠商索價(jià)過(guò)高，智能電網(wǎng)技術(shù)尚不成熟，建議參照美國(guó)國(guó)家SCADA測(cè)試計(jì)劃選擇更敏捷的計(jì)劃，進(jìn)行快速檢測(cè)（白盒和代碼審計(jì)），還有部分推薦采用IEC/PS 62443、ISA 62443；

6. 智能電網(wǎng)的安全治理認(rèn)證：智能電網(wǎng)的安全治理認(rèn)證應(yīng)考慮ISMS在電網(wǎng)運(yùn)營(yíng)商的必要性，最好作為行業(yè)基準(zhǔn)?？刹捎肐SO 27000系列標(biāo)準(zhǔn)，或ISA 99、NISTIR 7628等；

7. 治理認(rèn)證的替代方案：不應(yīng)緊盯大而全的標(biāo)準(zhǔn)，可選擇各自領(lǐng)域的專業(yè)第三方來(lái)進(jìn)行測(cè)試。

3.6 智能電網(wǎng)安全初步

1. 智能電網(wǎng)安全的基礎(chǔ)仍然是流程、人和技術(shù)；

2. 信息安全管理系統(tǒng)（ISMSs）的極其重要；

3. 安全努力不應(yīng)止步于智能電表；

4. 位于用戶處的設(shè)施應(yīng)當(dāng)萬(wàn)無(wú)一失；

5. 設(shè)計(jì)即考慮隱私和安全，并采取縱向防御；

6. 運(yùn)營(yíng)人員和客戶應(yīng)當(dāng)有安全培訓(xùn)。

3.7 智能電網(wǎng)網(wǎng)絡(luò)安全挑戰(zhàn)

1. 放棄網(wǎng)絡(luò)安全主要源于缺乏專業(yè)技能和預(yù)算限制；

2. 電網(wǎng)應(yīng)具健壯性和彈性成為共識(shí)；

3. 應(yīng)重視數(shù)據(jù)保護(hù)和安全的數(shù)據(jù)處理：有兩大挑戰(zhàn)①?gòu)膫€(gè)人數(shù)據(jù)可能推測(cè)個(gè)體隱私（如特定興趣等）；②讀表數(shù)可被幾個(gè)獨(dú)立的服務(wù)商安全讀??；

4. 制造商和運(yùn)營(yíng)商應(yīng)當(dāng)提高安全意識(shí)；

5. 技術(shù)挑戰(zhàn)：主要有六類技術(shù)方面的問(wèn)題①在健壯和彈性的網(wǎng)絡(luò)中集成遺留系統(tǒng)仍是重中之重；②設(shè)備應(yīng)當(dāng)有標(biāo)準(zhǔn)接口，這是短期問(wèn)題；③系統(tǒng)和設(shè)備的未授權(quán)接入；④“競(jìng)爭(zhēng)性”部門（如增值服務(wù)等）與“非競(jìng)爭(zhēng)性”部門（計(jì)量或電網(wǎng)運(yùn)營(yíng)）的ICT基礎(chǔ)設(shè)施相互背離；⑤流量分析、通訊監(jiān)控和應(yīng)用日志的存在與否；⑥可信設(shè)備（認(rèn)證能力）；

6. 規(guī)范不足或者不存在：常見(jiàn)的有①現(xiàn)規(guī)范更重視智能電表應(yīng)用，但對(duì)信息安全風(fēng)險(xiǎn)并不涉及；②計(jì)量基礎(chǔ)設(shè)施中也無(wú)針對(duì)不同能源類型（如熱、氣、電）的統(tǒng)一規(guī)范。

3.8 智能電網(wǎng)已有的網(wǎng)絡(luò)安全舉措

1. 智能電網(wǎng)的CEN/CENELEC/ETSI協(xié)調(diào)工作組；

2. 正在施行的歐洲智能電網(wǎng)標(biāo)準(zhǔn)架構(gòu)；

3. 調(diào)查更認(rèn)同DG-Connect特別專家組；

4. 缺乏網(wǎng)絡(luò)安全相關(guān)的舉措；

5. 智能電網(wǎng)倡議的改進(jìn)空間：①全歐盟的倡議缺乏可見(jiàn)度；②歐盟內(nèi)國(guó)家倡議重疊；③各倡議中都是同一批專家；④言多于行；⑤缺乏統(tǒng)一協(xié)調(diào)；

6. 對(duì)智能電網(wǎng)任務(wù)組EG2的成果基本滿意；

7. EG2在數(shù)據(jù)安全性、數(shù)據(jù)處理和數(shù)據(jù)保護(hù)方面的報(bào)告意見(jiàn)，總體認(rèn)可，但對(duì)于數(shù)據(jù)和隱私保護(hù)過(guò)于大眾化，還應(yīng)和NISTIR 7628及IEC TC57文件一致；

8. 智能電網(wǎng)網(wǎng)絡(luò)安全和隱私倡議應(yīng)當(dāng)設(shè)立協(xié)調(diào)實(shí)體，這個(gè)實(shí)體應(yīng)當(dāng)①避免重復(fù)工作；②在工作組之間加強(qiáng)溝通；③確定明確和統(tǒng)一的策略；④傳播工作成果；⑤定義標(biāo)準(zhǔn)技術(shù)術(shù)語(yǔ)；⑥監(jiān)管游說(shuō)團(tuán)體；

9. 培養(yǎng)和傳播安全意識(shí)的新舉措。

3.9 智能電網(wǎng)的網(wǎng)絡(luò)安全度量

1. 網(wǎng)絡(luò)安全高效度量：網(wǎng)絡(luò)攻擊下的健壯性、彈性和可靠性等方面的度量，包括事故記錄和影響、完整事件報(bào)告、運(yùn)營(yíng)中健壯程度等；

2. 歐盟需求統(tǒng)一的標(biāo)準(zhǔn)框架；

3. 標(biāo)準(zhǔn)框架的組成建議：①標(biāo)準(zhǔn)和指南的最小工具集；②針對(duì)產(chǎn)品、設(shè)備、服務(wù)以及電網(wǎng)運(yùn)營(yíng)商的認(rèn)證計(jì)劃；③用公私合作（PPP）方式設(shè)立認(rèn)證機(jī)構(gòu)；④強(qiáng)制性認(rèn)證和風(fēng)險(xiǎn)評(píng)估應(yīng)替代口頭調(diào)控機(jī)制；⑤輸電系統(tǒng)運(yùn)營(yíng)商和配電系統(tǒng)運(yùn)營(yíng)商之間應(yīng)當(dāng)有知識(shí)共享平臺(tái)；

4. 標(biāo)準(zhǔn)和指南的最小工具集：①通用參考體系；②風(fēng)險(xiǎn)評(píng)估方法論；③評(píng)估獨(dú)立性的方法論；④事件處置的參考策略；⑤產(chǎn)品的技術(shù)需求；⑥法律實(shí)體發(fā)揮市場(chǎng)作用的組織要求；⑦符合組織要求的產(chǎn)品（默認(rèn)安全參考配置、技術(shù)人員配置配置指南等）的標(biāo)準(zhǔn)要求；⑧安全治理的標(biāo)準(zhǔn)要求；

5. 關(guān)于監(jiān)管機(jī)制的思考：強(qiáng)制性的監(jiān)管機(jī)制需要保持風(fēng)險(xiǎn)評(píng)估和認(rèn)證的透明度，應(yīng)考慮：①應(yīng)要求更嚴(yán)格的系統(tǒng)組織；②有處罰權(quán)；③歐盟指令114 / 2008/EC應(yīng)將輸電系統(tǒng)運(yùn)營(yíng)商和配電系統(tǒng)運(yùn)營(yíng)商；④不涉及電網(wǎng)運(yùn)營(yíng)的機(jī)密信息的情況下應(yīng)公示結(jié)果；

6. 評(píng)估產(chǎn)品安全。

3.10 管理網(wǎng)絡(luò)攻擊

1. 重視網(wǎng)絡(luò)安全事件

2. 事件處置的已有經(jīng)驗(yàn)；

3. 輸、配電系統(tǒng)運(yùn)營(yíng)商應(yīng)負(fù)責(zé)事件檢測(cè)；

4. 網(wǎng)絡(luò)安全事件的技術(shù)因素：①安全監(jiān)測(cè)傳感器應(yīng)應(yīng)分布在整個(gè)網(wǎng)絡(luò)中，采集的數(shù)據(jù)可以在分散或集中的方式進(jìn)行處理；②用于數(shù)據(jù)采集和分析中央監(jiān)控中心可以采用一個(gè)安全運(yùn)營(yíng)中心（SOC）的架構(gòu)；③傳感器也應(yīng)當(dāng)要有簽名軟件；④相關(guān)性情報(bào)可在整個(gè)網(wǎng)格或SOC中分布；⑤情況應(yīng)能區(qū)分事件根本原因是網(wǎng)絡(luò)引發(fā)還是其他原因；⑥監(jiān)控中心也可以進(jìn)行研究活動(dòng)（或發(fā)行新簽名或研究新威脅等）。

5. 事件管理的規(guī)范；

6. 需要建立一個(gè)實(shí)體來(lái)應(yīng)對(duì)大規(guī)模的網(wǎng)絡(luò)安全事件，這個(gè)實(shí)體特點(diǎn)如下：①全球視角下的歐洲電網(wǎng)的未來(lái)；②負(fù)責(zé)升級(jí)警情、最終決定；③理解歐洲電網(wǎng)和其他關(guān)鍵基礎(chǔ)設(shè)施的相互依存關(guān)系；④可直接與正常的危機(jī)管理架構(gòu)進(jìn)行溝通。

3.11 智能電網(wǎng)的安全性研究課題

1. 保護(hù)電網(wǎng)控制和監(jiān)控系統(tǒng)：智能電網(wǎng)的新服務(wù)或高度自動(dòng)化系統(tǒng)更依賴基于新技術(shù)（如同步相量測(cè)量等）的電網(wǎng)監(jiān)控技術(shù)，同時(shí)系統(tǒng)容量還應(yīng)可處理大容量可信交易；

2. 架構(gòu)：新架構(gòu)特性主要在于如下特性，自愈和平緩降級(jí)、跨域的標(biāo)準(zhǔn)的安全互連、與加密相關(guān)的線程管理、可檢測(cè)攻擊和可跟蹤的主動(dòng)監(jiān)控等；

3. 端到端安全：將整個(gè)電網(wǎng)通盤考慮，逐個(gè)節(jié)點(diǎn)、逐個(gè)設(shè)備進(jìn)行安全評(píng)估；

4. 信任和保障：用于度量智能電網(wǎng)每個(gè)域的安全控制成熟度、基于硬件的單向通信；

5. 可靠系統(tǒng)的安全性：考慮通用程序及接口、克服硬件約束導(dǎo)致的加密功能、應(yīng)用和網(wǎng)絡(luò)過(guò)濾能力等；

6. 設(shè)計(jì)注重安全和隱私：零日漏洞管理、保證安全前提下降低系統(tǒng)負(fù)載等；

7. 其他課題：包括供應(yīng)鏈保護(hù)、可用性與法律經(jīng)濟(jì)問(wèn)題、智能電網(wǎng)與云等。

3.12 智能電網(wǎng)商業(yè)應(yīng)用案例

1. 成本和收益的平衡；

2. 智能電網(wǎng)商業(yè)應(yīng)用的關(guān)鍵驅(qū)動(dòng)因素：除了優(yōu)化和效率，還有可靠性和靈活性；

3. 商業(yè)應(yīng)用的其他驅(qū)動(dòng)因素：可伸縮的電網(wǎng)、統(tǒng)合分布式能源、整合可再生能源、支持電動(dòng)汽車、為用戶創(chuàng)造新的商業(yè)機(jī)會(huì)和增值服務(wù)。

3.13 保護(hù)工業(yè)控制系統(tǒng)（ICS）指引

1. 建立泛歐和國(guó)家ICS安全戰(zhàn)略；

2. 為ICS安全設(shè)立最佳實(shí)踐；

3. 設(shè)計(jì)ICS安全計(jì)劃模板；

4. 促進(jìn)安全意識(shí)和培訓(xùn)；

5. 設(shè)置通用測(cè)試基地或開(kāi)發(fā)ICS安全認(rèn)證框架；

6. 創(chuàng)建國(guó)際的工業(yè)控制系統(tǒng)的應(yīng)急響應(yīng)中心（ICS-CERTs）；

7. 利用現(xiàn)有研究計(jì)劃推動(dòng)ICS安全研究。

4 智能電網(wǎng)安全的十項(xiàng)指引

十項(xiàng)智能電網(wǎng)安全指引概要如下：

● 指引1：歐盟和成員國(guó)主管當(dāng)局應(yīng)采取措施，改進(jìn)國(guó)家和歐盟層面的智能電網(wǎng)網(wǎng)絡(luò)安全監(jiān)管和政策框架。

● 指引2：歐盟與ENISA和成員國(guó)共同創(chuàng)造和推動(dòng)智能電網(wǎng)網(wǎng)絡(luò)安全領(lǐng)域的公私合作（Public-Private Partnership，PPP）協(xié)調(diào)措施。

● 指引3：歐盟及ENISA應(yīng)注重培養(yǎng)安全意識(shí)并推動(dòng)培訓(xùn)。

● 指引4：歐盟、成員國(guó)與ENISA共同推動(dòng)知識(shí)傳播與共享。

● 指引5：歐盟與ENISA、成員國(guó)及私營(yíng)部門協(xié)力基于現(xiàn)有標(biāo)準(zhǔn)和規(guī)范制定最低安全措施集。

● 指引6：歐盟與成員國(guó)主管當(dāng)局應(yīng)促進(jìn)制定零部件、產(chǎn)品和組織安全的安全認(rèn)證計(jì)劃。

● 指引7：歐盟與成員國(guó)主管當(dāng)局應(yīng)鼓勵(lì)建立測(cè)試基地和安全評(píng)估。

● 指引8：歐盟與成員國(guó)配合ENISA，應(yīng)進(jìn)一步研究和完善策略，采取協(xié)調(diào)措施防止泛歐洲大規(guī)模的網(wǎng)絡(luò)事件影響電網(wǎng)。

● 指引9：成員國(guó)主管當(dāng)局應(yīng)與CERTs聯(lián)合行動(dòng)，讓CERTs在處理電網(wǎng)的網(wǎng)絡(luò)安全問(wèn)題擔(dān)任顧問(wèn)角色。

● 指引10：歐盟與成員國(guó)主管部門應(yīng)與學(xué)術(shù)界和研發(fā)部門合作，利用現(xiàn)有研究計(jì)劃，促進(jìn)智能電網(wǎng)的網(wǎng)絡(luò)安全方面的研究。

5 智能電網(wǎng)信任鏈模型

本報(bào)告的一個(gè)重要貢獻(xiàn)就是構(gòu)建信任鏈模型，實(shí)現(xiàn)將現(xiàn)存諸多的安全認(rèn)證標(biāo)準(zhǔn)和最佳實(shí)踐應(yīng)用于智能電網(wǎng)領(lǐng)域，基于風(fēng)險(xiǎn)的分析有助于定義智能電網(wǎng)的安全級(jí)別，最終設(shè)計(jì)智能電網(wǎng)認(rèn)證方案。

5.1 智能電網(wǎng)信任鏈

智能電網(wǎng)信任鏈主要參照SA/IEC-62443標(biāo)準(zhǔn)，用于描述各利益相關(guān)者在智能電網(wǎng)環(huán)境中系統(tǒng)的開(kāi)發(fā)、生產(chǎn)、集成和運(yùn)營(yíng)的完整的供應(yīng)鏈。智能電網(wǎng)與ICT相比更復(fù)雜，認(rèn)證標(biāo)準(zhǔn)也就不同。智能電網(wǎng)地理分布廣泛，多種部件互連場(chǎng)景多，除此之外還需要與家居智能網(wǎng)絡(luò)、分布式能源、能源交易系統(tǒng)進(jìn)行通信。這些互連可發(fā)生在系統(tǒng)的各個(gè)部分，并與具有不同信任級(jí)別的參與者交換高、低等級(jí)的數(shù)據(jù)，信任鏈可用于解決這類信任問(wèn)題。

信任鏈主要有三個(gè)級(jí)別：

1. 智能電網(wǎng)運(yùn)營(yíng)商認(rèn)證；

2. 智能電網(wǎng)系統(tǒng)集成認(rèn)證；

3. 智能電網(wǎng)組件認(rèn)證。

智能電網(wǎng)的信任鏈如下圖所示：

圖1 -智能電網(wǎng)信任鏈

5.2 應(yīng)用SG-AM信任鏈模型

SG-AM框架和參考模型是一個(gè)以用例設(shè)計(jì)為主的體系結(jié)構(gòu)，采取技術(shù)中立的方式允許當(dāng)代智能電網(wǎng)將已實(shí)現(xiàn)和未來(lái)實(shí)現(xiàn)一并納入的架構(gòu)，并支持互操作性。這個(gè)模型在智能電網(wǎng)領(lǐng)域可用于個(gè)人和實(shí)體相互作用，采用安全分層方式實(shí)現(xiàn)縱深防御策略，分為安全組件（組件層）、組件間的安全通訊（通訊層）、信息層、功能層和業(yè)務(wù)層，滿足智能電網(wǎng)不同的認(rèn)證標(biāo)準(zhǔn)的要求，從而保證智能電網(wǎng)安全。

模型如下圖所示：

圖2 -智能電網(wǎng)信任鏈模型。

6 十點(diǎn)建議

1. 在歐盟層面設(shè)立一個(gè)機(jī)構(gòu)協(xié)調(diào)智能電網(wǎng)安全認(rèn)證活動(dòng)，該機(jī)構(gòu)主要職能如下：①監(jiān)管認(rèn)證、定義安全需求和國(guó)際協(xié)調(diào)；②強(qiáng)化認(rèn)證結(jié)果的可信度和透明度；③為相關(guān)方提供建議和咨詢；④督導(dǎo)認(rèn)證機(jī)構(gòu)能及時(shí)應(yīng)對(duì)新威脅；

2. 提供指南和參考模型實(shí)現(xiàn)信任鏈；

3. 使用現(xiàn)有標(biāo)準(zhǔn)和計(jì)劃，包容國(guó)際標(biāo)準(zhǔn)使方法更協(xié)調(diào)和統(tǒng)一；

4. 促進(jìn)國(guó)際認(rèn)證計(jì)劃互認(rèn)；

5. 促進(jìn)與用例風(fēng)險(xiǎn)相當(dāng)?shù)恼J(rèn)證；

6. 因應(yīng)安全環(huán)境的快速變化，需要促進(jìn)配置文件的靈活性；

7. 使用某國(guó)配置作為成員國(guó)間標(biāo)準(zhǔn)規(guī)范明細(xì)，以涵蓋特定國(guó)家的用例及由該國(guó)支持的測(cè)試和認(rèn)證方法；

8. 由技術(shù)委員會(huì)和歐洲能源協(xié)會(huì)協(xié)同構(gòu)建歐洲的統(tǒng)一配置；

9. 為預(yù)評(píng)估提供由官方授權(quán)的第三方認(rèn)證和評(píng)估工具；

10. 促進(jìn)這一觀點(diǎn)：遵循和統(tǒng)一是提高經(jīng)濟(jì)效益和降低成本的措施之一。

7 小結(jié)

電網(wǎng)是國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的一部分，如今目前全球各國(guó)都在大力投資建設(shè)智能電網(wǎng)，智能電網(wǎng)由于依賴于ICT技術(shù)，因此在傳統(tǒng)電網(wǎng)的安全需求外，又帶來(lái)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)和威脅，亟需重視智能電網(wǎng)的網(wǎng)絡(luò)安全。有必要分析智能電網(wǎng)的安全威脅及挑戰(zhàn)，明確智能電網(wǎng)的安全需求，建立統(tǒng)一、有彈性的安全認(rèn)證，在國(guó)家層面形成有效監(jiān)管，形成市場(chǎng)激勵(lì)機(jī)制，制定認(rèn)證標(biāo)準(zhǔn)。