10日上旬，印度電力部和中央電力管理局（CEA）發(fā)布了電力行業(yè)網(wǎng)絡(luò)安全指導(dǎo)方針，概述了提高電力部門網(wǎng)絡(luò)安全準(zhǔn)備水平所需采取的行動(dòng)，旨在創(chuàng)建一個(gè)安全的網(wǎng)絡(luò)生態(tài)系統(tǒng)。該指南是在與利益攸關(guān)方商議并征求網(wǎng)絡(luò)安全專家機(jī)構(gòu)意見(jiàn)后制定的。這些組織包括印度計(jì)算機(jī)應(yīng)急響應(yīng)小組（CERT-In）、國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中心（NCIIPC）、國(guó)家大學(xué)學(xué)者協(xié)會(huì)（NSCS）和坎普爾信息技術(shù)研究所（IIT-坎普爾）。

　　CEA根據(jù)《2019年中央電力管理局（電網(wǎng)連接技術(shù)標(biāo)準(zhǔn)）（修訂）條例》的規(guī)定，制定了指導(dǎo)方針，所有電力部門公用事業(yè)必須遵守該規(guī)范。這是該領(lǐng)域首次制定網(wǎng)絡(luò)安全指導(dǎo)方針。它制定了網(wǎng)絡(luò)安全保障框架，加強(qiáng)了監(jiān)管框架，并建立了安全威脅預(yù)警、漏洞管理和應(yīng)對(duì)安全威脅的機(jī)制。它還確保遠(yuǎn)程操作和服務(wù)的安全。

　　指南出臺(tái)背景

　　印度電力監(jiān)管部門認(rèn)為，任何關(guān)鍵部門的網(wǎng)絡(luò)入侵和網(wǎng)絡(luò)攻擊都帶有惡意。在電力行業(yè)，要么危及供電系統(tǒng)，要么使電網(wǎng)運(yùn)行不安全。任何這樣的攻擊入侵，可能會(huì)導(dǎo)致設(shè)備的誤操作，設(shè)備損壞，甚至是級(jí)聯(lián)電網(wǎng)斷電/停電。IT和OT系統(tǒng)之間的氣隙神話現(xiàn)在被粉碎了。在任何IT和OT系統(tǒng)之間部署防火墻所造成的人工氣隙，都可以被任何內(nèi)部人士或外部人士通過(guò)社會(huì)工程跳過(guò)。網(wǎng)絡(luò)攻擊通過(guò)初始入侵、執(zhí)行、持續(xù)、特權(quán)升級(jí)、防御規(guī)避、指揮與控制、外逃等策略和技術(shù)進(jìn)行。通過(guò)特權(quán)升級(jí)進(jìn)入系統(tǒng)后，IT網(wǎng)絡(luò)的控制和OT系統(tǒng)的操作甚至可以被任何網(wǎng)絡(luò)對(duì)手遠(yuǎn)程接管。通過(guò)此類入侵獲得的敏感操作數(shù)據(jù)可能有助于國(guó)家/地區(qū)支持或非支持的對(duì)手和網(wǎng)絡(luò)攻擊者設(shè)計(jì)更險(xiǎn)惡和先進(jìn)的網(wǎng)絡(luò)攻擊。

　　印度政府已經(jīng)成立了印度計(jì)算機(jī)緊急響應(yīng)小組（CERT-IN），用于網(wǎng)絡(luò)安全事件的早期預(yù)警和響應(yīng)，并在國(guó)家和國(guó)際層面進(jìn)行合作，共享緩解網(wǎng)絡(luò)威脅的信息。CERT-IN定期發(fā)布有關(guān)保護(hù)計(jì)算機(jī)系統(tǒng)的建議，并發(fā)布廣泛的安全指南。建議所有中央政府部門和州/聯(lián)邦地區(qū)政府定期通過(guò)CERT-IN專門審計(jì)人員對(duì)其整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施（包括網(wǎng)站）進(jìn)行網(wǎng)絡(luò)安全審計(jì)，以識(shí)別網(wǎng)絡(luò)安全實(shí)踐中的漏洞并采取適當(dāng)?shù)募m正措施。CERT-IN擴(kuò)展支持，使責(zé)任實(shí)體能夠進(jìn)行網(wǎng)絡(luò)安全模擬演習(xí)，并評(píng)估其抵御網(wǎng)絡(luò)攻擊的準(zhǔn)備工作。負(fù)責(zé)實(shí)體必須向部門CERT和CERT-IN提交網(wǎng)絡(luò)安全控制、架構(gòu)、漏洞管理、網(wǎng)絡(luò)安全和定期網(wǎng)絡(luò)安全演習(xí)的網(wǎng)絡(luò)審計(jì)報(bào)告。專家組應(yīng)審查這些報(bào)告，如果合規(guī)中有任何不足之處，應(yīng)予以標(biāo)記。CERT-IN還定期舉辦研討會(huì)和培訓(xùn)，以提高所有利益攸關(guān)方的網(wǎng)絡(luò)安全意識(shí)。

　　為了確保印度電力行業(yè)的網(wǎng)絡(luò)安全，印度電力部創(chuàng)建了6個(gè)部門級(jí)CERTs，即在熱力、水力、輸電、電網(wǎng)運(yùn)營(yíng)、再生能源和配電機(jī)構(gòu)設(shè)置了應(yīng)急響應(yīng)組織。每個(gè)部門CERT都為打擊網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)恐怖主義準(zhǔn)備了其分部門特定的網(wǎng)絡(luò)危機(jī)管理計(jì)劃（C-CMP）模型。每個(gè)部門CERT都分發(fā)了他們的C-CMP模型，用于準(zhǔn)備和實(shí)施組織特定的C-CMP。

　　電力行業(yè)的所有責(zé)任實(shí)體、服務(wù)提供商、設(shè)備供應(yīng)商/生產(chǎn)商和咨詢顧問(wèn)都對(duì)確保印度電力供應(yīng)系統(tǒng)的網(wǎng)絡(luò)安全負(fù)有同等責(zé)任。它們應(yīng)根據(jù)從可靠來(lái)源收到的每一威脅情報(bào)、警告和其他輸入及時(shí)采取行動(dòng)，以持續(xù)改進(jìn)其網(wǎng)絡(luò)安全態(tài)勢(shì)。

　　在印度當(dāng)前的情況下，雖然存在許多網(wǎng)絡(luò)安全指令和指導(dǎo)方針，但沒(méi)有一個(gè)是專門針對(duì)電力部門的。電力部已指示CEA制定電力行業(yè)網(wǎng)絡(luò)安全條例。CEA被指示根據(jù)《2019年中央電力管理局（電網(wǎng)連接技術(shù)標(biāo)準(zhǔn)）（修正案）條例》中關(guān)于網(wǎng)絡(luò)安全的第10條規(guī)定，制定并發(fā)布《電力行業(yè)網(wǎng)絡(luò)安全指南》。

　　主要目的

　　發(fā)布指南的目的：

　　a）建立網(wǎng)絡(luò)安全意識(shí)

　　b）建立安全的網(wǎng)絡(luò)生態(tài)系統(tǒng)；

　　c）建立網(wǎng)絡(luò)保障框架，

　　d）加強(qiáng)監(jiān)管框架；

　　e）創(chuàng)建安全威脅預(yù)警、漏洞管理和安全威脅響應(yīng)機(jī)制；

　　f）確保遠(yuǎn)程操作和服務(wù)的安全；

　　g）加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)和復(fù)原力；

　　h）降低網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)；

　　i）鼓勵(lì)使用開(kāi)放標(biāo)準(zhǔn)，

　　j）促進(jìn)網(wǎng)絡(luò)安全研發(fā)；

　　k）網(wǎng)絡(luò)安全領(lǐng)域人力資源開(kāi)發(fā)；

　　l）發(fā)展有效的公私伙伴關(guān)系；

　　m）信息共享與合作；

　　n）實(shí)施國(guó)家網(wǎng)絡(luò)安全政策；

　　指南適用的系統(tǒng)范圍

　　該指南針對(duì)的系統(tǒng)范圍包括三部分，系統(tǒng)運(yùn)行和運(yùn)行管理控制系統(tǒng)，通信系統(tǒng)，和輔助的、自動(dòng)化和遠(yuǎn)程控制技術(shù)。具體指：

　　1、系統(tǒng)運(yùn)行和運(yùn)行管理控制系統(tǒng)

　　a）網(wǎng)格控制和管理系統(tǒng)；

　　b）電廠控制系統(tǒng)；

　　c）用于監(jiān)測(cè)和控制分布式發(fā)電和負(fù)載的中央系統(tǒng)，例如發(fā)電廠、存儲(chǔ)管理、水電廠中央控制室、光伏/風(fēng)力發(fā)電裝置；

　　d）故障管理和員工管理系統(tǒng)；

　　e）計(jì)量和測(cè)量管理系統(tǒng)；

　　f）數(shù)據(jù)歸檔系統(tǒng)，

　　g）參數(shù)化、配置和編程系統(tǒng)；

　　h）運(yùn)行上述系統(tǒng)所需的配套系統(tǒng)；

　　2、通信系統(tǒng)

　　a）路由器、交換機(jī)和防火墻；

　　b）與通信技術(shù)相關(guān)的網(wǎng)絡(luò)組件；

　　c）無(wú)線數(shù)字系統(tǒng)。

　　d）控制中心與控制中心之間的通信，以便在ICCP上進(jìn)行數(shù)據(jù)交換（IEC 61850/60850-5/TASE.2 /）。

　　3、輔助的、自動(dòng)化和遠(yuǎn)程控制技術(shù)

　　a）控制和自動(dòng)化部件；

　　b）控制和現(xiàn)場(chǎng)設(shè)備；

　　c）遠(yuǎn)程控制裝置，

　　d）可編程邏輯控制器/遠(yuǎn)程終端單元，包括數(shù)字傳感器和執(zhí)行元件，

　　e）保護(hù)裝置，

　　f）安全組件，

　　g）數(shù)字計(jì)量裝置；

　　h）同步設(shè)備，

　　i）勵(lì)磁系統(tǒng)，

　　主要條款

　　該指南的主要內(nèi)容共分14條，四個(gè)附錄。

　　第一條：網(wǎng)絡(luò)安全政策

　　第二條：（首席信息安全官）CISO的任命

　　第四條：識(shí)別關(guān)鍵信息基礎(chǔ)設(shè)施（CII）

　　第四條：電子安全邊界

　　第五條：網(wǎng)絡(luò)安全需求

　　第六條：網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估與緩解計(jì)劃

　　第七條：遺留制度的逐步取消

　　第八條：網(wǎng)絡(luò)安全培訓(xùn)

　　第九條：網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理

　　第十條：網(wǎng)絡(luò)安全事件報(bào)告和應(yīng)對(duì)方案

　　第十一條：網(wǎng)絡(luò)危機(jī)管理計(jì)劃（C-CMP）

　　第十二條：蓄意破壞舉報(bào)率

　　第十三條：網(wǎng)絡(luò)資產(chǎn)的安全性與檢測(cè)

　　第十四條：網(wǎng)絡(luò)安全審計(jì)

　　指南的實(shí)施將激活網(wǎng)絡(luò)安全應(yīng)用生態(tài)

　　該規(guī)范適用于印度電力供應(yīng)系統(tǒng)中的所有責(zé)任實(shí)體和系統(tǒng)集成商、設(shè)備制造商、供應(yīng)商和生產(chǎn)商、服務(wù)提供商以及IT硬件和軟件OEM（原始設(shè)備制造商）。該指南要求從已識(shí)別的“可信來(lái)源”和“可信產(chǎn)品”進(jìn)行基于信息通信技術(shù)（ICT）的采購(gòu)，在將產(chǎn)品用于供電系統(tǒng)網(wǎng)絡(luò)之前，必須對(duì)其進(jìn)行惡意軟件和硬件木馬測(cè)試。這一舉措將促進(jìn)網(wǎng)絡(luò)安全的研究和開(kāi)發(fā)，并為在該國(guó)的公共和私營(yíng)部門建立網(wǎng)絡(luò)測(cè)試基礎(chǔ)設(shè)施打開(kāi)市場(chǎng)。

　　鑒于電力部門已經(jīng)在其核心業(yè)務(wù)中部署了新興技術(shù)，網(wǎng)絡(luò)安全措施需要加強(qiáng)。2021年8月，政府批準(zhǔn)了修改后的配電部門計(jì)劃，通過(guò)使用基于人工智能（AI）的解決方案促進(jìn)供應(yīng)基礎(chǔ)設(shè)施，改善所有配電公司和部門（DISCOMs）的運(yùn)營(yíng)。在人工智能的幫助下，政府旨在分析通過(guò)IT/OT設(shè)備生成的數(shù)據(jù)，如系統(tǒng)儀表、需求預(yù)測(cè)、每日時(shí)間（ToD）費(fèi)率、可再生能源（RE）集成和其他預(yù)測(cè)分析。此外，預(yù)付費(fèi)智能電表每月準(zhǔn)備系統(tǒng)生成的能源會(huì)計(jì)報(bào)告，有助于DISCOMs在減少損失方面做出明智的決定。該計(jì)劃下的資金還將用于開(kāi)發(fā)人工智能驅(qū)動(dòng)的應(yīng)用程序。政府預(yù)計(jì)，這將促進(jìn)全國(guó)配送行業(yè)的初創(chuàng)企業(yè)的發(fā)展。