随着中国电网经历转型,向网络化、自动化程度更高的系统迈进,电网面临的问题越来越多网络安全问题。
今天在政府问责局监管机构表示,尽管越来越多的使用智能电网系统可具有许多益处,“包括从更少和更短的停机,在电价下降的压力提高的可靠性由于转移峰值需求的能力,从替代能源如风力的能力提高到发射功率,以及一种改进的能力检测和对电网的潜在攻击做出反应,”仍然存在许多挑战。
更多信息:美国背上10个$ 34M智能电网项目,大头向上网络安全
从报告中,GAO确定了以下6个挑战的关键是确保国家电网的网络安全。
- 缺乏信息:消费者没有充分了解的好处,成本,以及与智能电网系统相关的风险。具体而言,令人担忧的是消费者不知道的好处,成本,以及与智能电网系统相关的风险。这种缺乏认识可能会限制其消费者愿意支付的安全和可靠的系统,这可能导致监管部门不愿意批准与网络安全有关加息的程度。其结果是,直到消费者更多了解的好处,成本和智能电网系统的风险,实用程序可能无法投资或获得批准,全面的安全智能电网系统,这可能会增加成功攻击的风险。
- 缺乏重点:公用事业的重点是法规遵从性的,而不是全面的安全。现有的联邦和各州的监管环境创建专注于符合网络安全需求的公用事业行业内的一种文化,一种文化专注于实现全面和有效的网络安全,而不是。具体而言,专家告诉GAO公用事业集中精力实现最低监管要求,而不是设计一个全面的方法来系统的安全性。此外,一位专家指出,安全需求本质上是不完整的,并且具有看待安全问题,因为一旦这些要求得到满足将离开容易受到网络攻击的组织正在解决的一个文化。因此,如果没有一个全面的安全解决方案,公用事业任人不必要的风险。
- 缺乏安全特性:有一种缺乏安全感的功能被内置到智能电网系统。安全功能并不一致内置到智能电网设备。例如,我们的专家告诉我们,某些现有的智能电表没有被设计具有强大的安全架构,缺乏重要的安全功能,包括这是需要检测和分析攻击事件logging26和取证能力。此外,GAO指出,智能电网家庭局域网络,用于管理设备和其他设备的用电量家庭没有内置足够的安全性,从而增加攻击的脆弱性。如果没有安全设计智能电网系统,公用事业将在不必检测和分析攻击的能力,从而增加攻击取得成功和实用程序将无法防止其再次发生的风险的风险。
- 信息共享:电力行业不具有共享网络安全等问题的信息的有效机制。电力行业缺乏透露有关智能电网的网络安全漏洞,事故,威胁,总结经验教训,并在同行业最佳实践的信息的有效机制。例如,GAO指出,虽然电力行业有一个信息共享中心,它并不能完全解决这些信息的需求。根据GAO的,有关信息等事件都失败和成功的攻击必须能够在一个安全的方式进行共享,以避免公开揭露报道的组织和惩罚积极参与纠正行动的实体。整个行业的这种信息共享可以提供关于企图的网络攻击和他们的方法,这将有助于电网运营商更好地抵御他们的水平的重要信息。如果行业追求为此,可以借鉴的做法和设计产业为主导的方法以网络安全信息共享时,其他行业的途径。没有高质量的流程,信息共享,公共事业不会有充分保护他们的资产来抵御攻击者所需要的信息。
- 衡量成功的?:电力行业不具有评估网络安全指标。电力行业也受到缺乏网络安全指标的挑战,因此很难衡量其在网络安全投资,提高智能电网系统的安全程度。政府问责局指出,虽然这些指标是很难发展,他们可以帮助比较竞争解决方案的有效性并确定混合的解决方案相结合,使最安全的系统。此外,我们的专家说,有指标,将有助于公用事业通过帮助显示在一个特定的投资回报制定一个商业案例网络安全。直到指标开发的,有增加的风险,实用程序将无法在安全投资于具有成本效益的方式,或必须在其网络安全的投资做出明智的决策所需的信息。
- 监管问题:目前的监管环境的各个方面难以保证智能电网系统的网络安全。特别是,管辖权问题与应对不断演变的网络威胁相关的困难是确保智能电网系统的网络安全,因为它们部署在一个关键的监管挑战。关于管辖权,专家表示关注的是,缺乏明确有关联邦和州监管机构之间的责任分工,特别是关于网络安全的。虽然管辖责任历来由技术是否位于传输和分配系统决定的,专家们提出的智能电网技术可能会模糊这些线路的担忧。例如,部署在电网部分设备,如智能电表传统上受国家管辖可能,在总体上,对电网,联邦监管机构负责,即传输系统的可靠性的那些部分的影响。还有关于监管机构的应对能力,以不断变化的网络安全威胁的关注。例如,一位专家质疑政府机构,以适应迅速变化的威胁的能力,而另一个强调需要法规能够应对不断变化的网络安全问题。此外,我们的专家表达了机构发展,在未来的在他们的要求过于具体的规定,如指定使用某一特定产品或技术的关注。因此,除非采取措施来应对这些挑战,法规可能不会在保护智能电网技术从网络安全威胁完全有效。
在Twitter上关注迈克尔·库尼:nwwlayer8
层8额外
看看其他热门故事: