■ 能源行业数据安全受到更多重视

　　随着能源行业数字化转型的推进，IT和OT不断融合，能源行业不再是一个封闭的空间，攻击面不断扩大，增加了自身的网络安全风险。自2023年以来，能源行业面临的网络攻击形势越来越严峻，知名勒索软件组织，如BlackCat/ALPHV、Medusa（美杜莎）、LockBit3.0等纷纷加强对能源行业高价值目标的攻击。美国能源部运营的核研究中心爱达荷国家实验室（INL）、越南国家石油天然气集团（PVN）旗下的越南石油建设股份公司（PVC）成员公司JSC(PVC-MS)、以色列核反应堆公司Neve Ne'eman、伊朗核电生产和开发公司(AEOI)等能源公司就曾遭到黑客组织的攻击，核心数据被泄露贩卖或被加密勒索。而这些案例只是能源行业遭到攻击的冰山一角。

　　能源行业面临的数据安全形势越来越严峻，各国对能源基础设施的安全问题也越来越重视。2021年5月科洛尼尔成品油管道遭受勒索攻击后，美国接连出台《改善国家网络安全行政令》和《输油管道网络安全条例》，美国国务院宣布公开悬赏1000万美元，征集可以识别或定位恶意网络行为者的信息和线索，美国国会众议员Mike Carey与Deborah Ross共同提出《能源网络安全大学领导力计划法案》，希望帮助美国能源基础设施解决日益增长的网络威胁。

　　我国相继推出《网络安全法》《数据安全法》《个人信息保护法》等法律规范数据安全。同时，加大对关键基础设施保护，推出《关键基础设施保护条例》，把能源等相关基础设施的数据安全防护提升到一个新高度。2022年11月，国家能源局印发《电力行业网络安全管理办法》和《电力行业网络安全等级保护管理办法》，对电力企业在我国境内的网络安全作出新规定，其中专门强调建立数据安全管理和个人信息保护制度，对数据分类分级，并对在分类分级基础上的数据安全作出明确规定。

　　■ 确保数据安全对能源行业意义重大

　　在能源领域，数据安全具有极其重要的意义。数据安全是实现能源安全的重要前提条件之一，切实保障能源数据安全、加强能源行业国家关键数据资源保护，是维护人民利益、社会稳定、国家安全的必由之路。

　　能源行业正朝着数字化和智能化方向发展。智能电网、智能电表、能源管理系统等都依赖大量数据的采集、传输和分析。如果这些数据被破坏、篡改或泄露，将严重影响能源系统的运行和管理。

　　一方面，能源供应链涉及多个环节，包括能源的生产、输送、储存和销售。数据安全可以保障供应链的可靠性和稳定性，防止恶意攻击或信息泄露对能源供应造成影响。

　　另一方面，能源市场的运作需要大量数据，包括价格、需求、供应和交易信息。确保这些数据的完整性和保密性对于保障市场公平和交易顺利进行至关重要。

　　同时，发电厂、输电线路、变电站等能源设备的运行和维护需要实时数据。如果这些数据受到攻击，可能导致设备故障、停运甚至出现事故。

　　此外，能源行业对环境数据的监测和分析也至关重要。确保环境数据的准确性和安全性，有助于实现可持续发展目标。

　　■ 能源领域数据安全存在四重风险

　　安全是发展的前提，推动数字化发展必须强化数据安全保障。在能源领域，数据安全是一个重要且复杂的议题。随着能源系统数字化程度的不断提高，大量敏感数据的产生和流通带来新挑战。例如，能源产量、消费模式和使用行为等信息的泄露，可能对国家安全和个人隐私造成严重威胁。

　　一是数字化转型可能带来失窃密风险。能源电力行业数字化转型升级，IT和OT融合，导致攻击面扩大。尤其是物联网技术的广泛应用，使得远程控制、监测成为可能，虽然提高了能源电力网络的整体控制管理水平，但也使得传统网络安全边界变得模糊，造成边界安全防护不足，存在失窃密风险。

　　二是供应链存在数据安全风险。能源电力行业的信息系统，使用了大量第三方组件、产品，这些组件、产品一旦缺乏足够的维护、升级，或者这些组件本身不可控而出现漏洞，就会造成信息系统被攻击、敏感数据被泄露。例如，在我国工控领域被大量使用的电力监控系统SCADA、电力厂站现地设备大量使用的西门子产品等，都曾爆出高危漏洞，一旦攻击者利用这些漏洞对能源电力行业系统进行攻击渗透，很容易获取相关敏感信息，甚至修改破坏基础设备的运转参数，导致敏感数据被破坏、泄露等，对能源基础设施安全造成巨大风险。

　　三是能源数据保护力度有待加强。能源电力行业由于其特殊性，此前长期处于半封闭状态，遭受的攻击较少，使得一直以来企业内部对数据安全的保护不足，主要表现为访问控制不严、数据未进行分类分级并在此基础上形成保护机制、数据未有效加密存储等。

　　四是安全管理制度不健全，人员安全意识淡薄。由于缺乏足够的安全意识与技术培训，许多业务人员对能源数据安全的认识不深，加之数据安全管理制度不完善，带来很多安全风险，例如，个人凭证泄露、违规操作、数据访问权限滥用等。

　　■ 全面提升能源领域数据安全

　　维护数据安全，能源企业需要在践行总体国家安全观的基础上，建立健全数据安全治理体系，全员参与提高数据安全保障能力，强化技术破局，加强数据安全全流程管理，系统性完善数据安全保护和管理制度，建立以网络安全等级保护制度为基础、数据安全与网络安全保护制度相衔接的新合规体系。

　　一要建立健全安全管理制度与安全技术规范。安全管理制度与安全技术规范的建立，是企业开展安

　　全工作的基础。通过安全管理制度，明确与安全相关的组织架构设计、岗位人员设置、岗位职责，管理流程、安全事件应急处置流程等，可提升企业安全防护能力与处置水平。安全技术规范则指明了安全防护及事件处理的技术措施实施标准与规范，例如，数据的分类分级规范、应急响应处理的技术规范等。

　　二要强化人员的数据安全意识，开展安全培训。企业安全数据泄露事件，大部分都是由相关人员缺乏安全意识或安全技术能力，违规操作造成。因此，有必要定期对相关人员进行安全意识培训。同时，针对相关人员在处理业务中涉及到的基本安全常识性技术进行培训，确保不会因为违规操作而造成数据泄露、数据破坏。

　　三要建立完善的数据安全防护体系。确保数据安全，需要构建起相应的数据安全防护体系。建议依据企业的具体需求，以满足等保合规为基础，从数据全生命周期维度，建立数据安全的分区分域体系，边界防护体系，访问控制体系，数据访问的权限体系，数据的分类分级及在此基础上的加密、脱敏等技术体系，以及监测体系、应急处置体系、容灾备份体系等。同时，还可根据需要，引入纵深防御体系、零信任体系等相关防护技术和人工智能，在检测建模、安全运营辅助中推进智能化、自动化。

　　四要强化供应链安全。能源企业要梳理自身信息化体系中第三方组件、产品的现状，对其进行资产化管理，并加强对其安全管理、漏洞管理、运维管理等，防止这些组件、产品对数据安全造成威胁。同时，对非国产化的组件、产品，加快推动国产化替代。

　　五要定期开展攻防演练。为保证能源电力行业的信息化系统安全，可定期开展攻防演练，在确保不对业务系统造成干扰的前提下，对信息化系统进行渗透测试，检验相应数据安全防护体系能力。同时，通过攻防演练，提升相关人员的安全意识、安全技术能力和响应能力。

　　（作者系中国科学院博士后、中国工业互联网研究院—新型工业网络实验室专家、云智信安安全技术有限公司CTO）