印度政府发布电力行业网络安全指南
2021-10-26
来源:网空闲话
10日上旬,印度电力部和中央电力管理局(CEA)发布了电力行业网络安全指导方针,概述了提高电力部门网络安全准备水平所需采取的行动,旨在创建一个安全的网络生态系统。该指南是在与利益攸关方商议并征求网络安全专家机构意见后制定的。这些组织包括印度计算机应急响应小组(CERT-In)、国家关键信息基础设施保护中心(NCIIPC)、国家大学学者协会(NSCS)和坎普尔信息技术研究所(IIT-坎普尔)。
CEA根据《2019年中央电力管理局(电网连接技术标准)(修订)条例》的规定,制定了指导方针,所有电力部门公用事业必须遵守该规范。这是该领域首次制定网络安全指导方针。它制定了网络安全保障框架,加强了监管框架,并建立了安全威胁预警、漏洞管理和应对安全威胁的机制。它还确保远程操作和服务的安全。
指南出台背景
印度电力监管部门认为,任何关键部门的网络入侵和网络攻击都带有恶意。在电力行业,要么危及供电系统,要么使电网运行不安全。任何这样的攻击入侵,可能会导致设备的误操作,设备损坏,甚至是级联电网断电/停电。IT和OT系统之间的气隙神话现在被粉碎了。在任何IT和OT系统之间部署防火墙所造成的人工气隙,都可以被任何内部人士或外部人士通过社会工程跳过。网络攻击通过初始入侵、执行、持续、特权升级、防御规避、指挥与控制、外逃等策略和技术进行。通过特权升级进入系统后,IT网络的控制和OT系统的操作甚至可以被任何网络对手远程接管。通过此类入侵获得的敏感操作数据可能有助于国家/地区支持或非支持的对手和网络攻击者设计更险恶和先进的网络攻击。
印度政府已经成立了印度计算机紧急响应小组(CERT-IN),用于网络安全事件的早期预警和响应,并在国家和国际层面进行合作,共享缓解网络威胁的信息。CERT-IN定期发布有关保护计算机系统的建议,并发布广泛的安全指南。建议所有中央政府部门和州/联邦地区政府定期通过CERT-IN专门审计人员对其整个网络基础设施(包括网站)进行网络安全审计,以识别网络安全实践中的漏洞并采取适当的纠正措施。CERT-IN扩展支持,使责任实体能够进行网络安全模拟演习,并评估其抵御网络攻击的准备工作。负责实体必须向部门CERT和CERT-IN提交网络安全控制、架构、漏洞管理、网络安全和定期网络安全演习的网络审计报告。专家组应审查这些报告,如果合规中有任何不足之处,应予以标记。CERT-IN还定期举办研讨会和培训,以提高所有利益攸关方的网络安全意识。
为了确保印度电力行业的网络安全,印度电力部创建了6个部门级CERTs,即在热力、水力、输电、电网运营、再生能源和配电机构设置了应急响应组织。每个部门CERT都为打击网络攻击和网络恐怖主义准备了其分部门特定的网络危机管理计划(C-CMP)模型。每个部门CERT都分发了他们的C-CMP模型,用于准备和实施组织特定的C-CMP。
电力行业的所有责任实体、服务提供商、设备供应商/生产商和咨询顾问都对确保印度电力供应系统的网络安全负有同等责任。它们应根据从可靠来源收到的每一威胁情报、警告和其他输入及时采取行动,以持续改进其网络安全态势。
在印度当前的情况下,虽然存在许多网络安全指令和指导方针,但没有一个是专门针对电力部门的。电力部已指示CEA制定电力行业网络安全条例。CEA被指示根据《2019年中央电力管理局(电网连接技术标准)(修正案)条例》中关于网络安全的第10条规定,制定并发布《电力行业网络安全指南》。
主要目的
发布指南的目的:
a)建立网络安全意识
b)建立安全的网络生态系统;
c)建立网络保障框架,
d)加强监管框架;
e)创建安全威胁预警、漏洞管理和安全威胁响应机制;
f)确保远程操作和服务的安全;
g)加强关键信息基础设施的保护和复原力;
h)降低网络供应链风险;
i)鼓励使用开放标准,
j)促进网络安全研发;
k)网络安全领域人力资源开发;
l)发展有效的公私伙伴关系;
m)信息共享与合作;
n)实施国家网络安全政策;
指南适用的系统范围
该指南针对的系统范围包括三部分,系统运行和运行管理控制系统,通信系统,和辅助的、自动化和远程控制技术。具体指:
1、系统运行和运行管理控制系统
a)网格控制和管理系统;
b)电厂控制系统;
c)用于监测和控制分布式发电和负载的中央系统,例如发电厂、存储管理、水电厂中央控制室、光伏/风力发电装置;
d)故障管理和员工管理系统;
e)计量和测量管理系统;
f)数据归档系统,
g)参数化、配置和编程系统;
h)运行上述系统所需的配套系统;
2、通信系统
a)路由器、交换机和防火墙;
b)与通信技术相关的网络组件;
c)无线数字系统。
d)控制中心与控制中心之间的通信,以便在ICCP上进行数据交换(IEC 61850/60850-5/TASE.2 /)。
3、辅助的、自动化和远程控制技术
a)控制和自动化部件;
b)控制和现场设备;
c)远程控制装置,
d)可编程逻辑控制器/远程终端单元,包括数字传感器和执行元件,
e)保护装置,
f)安全组件,
g)数字计量装置;
h)同步设备,
i)励磁系统,
主要条款
该指南的主要内容共分14条,四个附录。
第一条:网络安全政策
第二条:(首席信息安全官)CISO的任命
第四条:识别关键信息基础设施(CII)
第四条:电子安全边界
第五条:网络安全需求
第六条:网络风险评估与缓解计划
第七条:遗留制度的逐步取消
第八条:网络安全培训
第九条:网络供应链风险管理
第十条:网络安全事件报告和应对方案
第十一条:网络危机管理计划(C-CMP)
第十二条:蓄意破坏举报率
第十三条:网络资产的安全性与检测
第十四条:网络安全审计
指南的实施将激活网络安全应用生态
该规范适用于印度电力供应系统中的所有责任实体和系统集成商、设备制造商、供应商和生产商、服务提供商以及IT硬件和软件OEM(原始设备制造商)。该指南要求从已识别的“可信来源”和“可信产品”进行基于信息通信技术(ICT)的采购,在将产品用于供电系统网络之前,必须对其进行恶意软件和硬件木马测试。这一举措将促进网络安全的研究和开发,并为在该国的公共和私营部门建立网络测试基础设施打开市场。
鉴于电力部门已经在其核心业务中部署了新兴技术,网络安全措施需要加强。2021年8月,政府批准了修改后的配电部门计划,通过使用基于人工智能(AI)的解决方案促进供应基础设施,改善所有配电公司和部门(DISCOMs)的运营。在人工智能的帮助下,政府旨在分析通过IT/OT设备生成的数据,如系统仪表、需求预测、每日时间(ToD)费率、可再生能源(RE)集成和其他预测分析。此外,预付费智能电表每月准备系统生成的能源会计报告,有助于DISCOMs在减少损失方面做出明智的决定。该计划下的资金还将用于开发人工智能驱动的应用程序。政府预计,这将促进全国配送行业的初创企业的发展。