10日上旬，印度電力部和中央電力管理局（CEA）發(fā)布了電力行業(yè)網(wǎng)絡安全指導方針，概述了提高電力部門網(wǎng)絡安全準備水平所需采取的行動，旨在創(chuàng)建一個安全的網(wǎng)絡生態(tài)系統(tǒng)。該指南是在與利益攸關(guān)方商議并征求網(wǎng)絡安全專家機構(gòu)意見后制定的。這些組織包括印度計算機應急響應小組（CERT-In）、國家關(guān)鍵信息基礎設施保護中心（NCIIPC）、國家大學學者協(xié)會（NSCS）和坎普爾信息技術(shù)研究所（IIT-坎普爾）。

　　CEA根據(jù)《2019年中央電力管理局（電網(wǎng)連接技術(shù)標準）（修訂）條例》的規(guī)定，制定了指導方針，所有電力部門公用事業(yè)必須遵守該規(guī)范。這是該領(lǐng)域首次制定網(wǎng)絡安全指導方針。它制定了網(wǎng)絡安全保障框架，加強了監(jiān)管框架，并建立了安全威脅預警、漏洞管理和應對安全威脅的機制。它還確保遠程操作和服務的安全。

　　指南出臺背景

　　印度電力監(jiān)管部門認為，任何關(guān)鍵部門的網(wǎng)絡入侵和網(wǎng)絡攻擊都帶有惡意。在電力行業(yè)，要么危及供電系統(tǒng)，要么使電網(wǎng)運行不安全。任何這樣的攻擊入侵，可能會導致設備的誤操作，設備損壞，甚至是級聯(lián)電網(wǎng)斷電/停電。IT和OT系統(tǒng)之間的氣隙神話現(xiàn)在被粉碎了。在任何IT和OT系統(tǒng)之間部署防火墻所造成的人工氣隙，都可以被任何內(nèi)部人士或外部人士通過社會工程跳過。網(wǎng)絡攻擊通過初始入侵、執(zhí)行、持續(xù)、特權(quán)升級、防御規(guī)避、指揮與控制、外逃等策略和技術(shù)進行。通過特權(quán)升級進入系統(tǒng)后，IT網(wǎng)絡的控制和OT系統(tǒng)的操作甚至可以被任何網(wǎng)絡對手遠程接管。通過此類入侵獲得的敏感操作數(shù)據(jù)可能有助于國家/地區(qū)支持或非支持的對手和網(wǎng)絡攻擊者設計更險惡和先進的網(wǎng)絡攻擊。

　　印度政府已經(jīng)成立了印度計算機緊急響應小組（CERT-IN），用于網(wǎng)絡安全事件的早期預警和響應，并在國家和國際層面進行合作，共享緩解網(wǎng)絡威脅的信息。CERT-IN定期發(fā)布有關(guān)保護計算機系統(tǒng)的建議，并發(fā)布廣泛的安全指南。建議所有中央政府部門和州/聯(lián)邦地區(qū)政府定期通過CERT-IN專門審計人員對其整個網(wǎng)絡基礎設施（包括網(wǎng)站）進行網(wǎng)絡安全審計，以識別網(wǎng)絡安全實踐中的漏洞并采取適當?shù)募m正措施。CERT-IN擴展支持，使責任實體能夠進行網(wǎng)絡安全模擬演習，并評估其抵御網(wǎng)絡攻擊的準備工作。負責實體必須向部門CERT和CERT-IN提交網(wǎng)絡安全控制、架構(gòu)、漏洞管理、網(wǎng)絡安全和定期網(wǎng)絡安全演習的網(wǎng)絡審計報告。專家組應審查這些報告，如果合規(guī)中有任何不足之處，應予以標記。CERT-IN還定期舉辦研討會和培訓，以提高所有利益攸關(guān)方的網(wǎng)絡安全意識。

　　為了確保印度電力行業(yè)的網(wǎng)絡安全，印度電力部創(chuàng)建了6個部門級CERTs，即在熱力、水力、輸電、電網(wǎng)運營、再生能源和配電機構(gòu)設置了應急響應組織。每個部門CERT都為打擊網(wǎng)絡攻擊和網(wǎng)絡恐怖主義準備了其分部門特定的網(wǎng)絡危機管理計劃（C-CMP）模型。每個部門CERT都分發(fā)了他們的C-CMP模型，用于準備和實施組織特定的C-CMP。

　　電力行業(yè)的所有責任實體、服務提供商、設備供應商/生產(chǎn)商和咨詢顧問都對確保印度電力供應系統(tǒng)的網(wǎng)絡安全負有同等責任。它們應根據(jù)從可靠來源收到的每一威脅情報、警告和其他輸入及時采取行動，以持續(xù)改進其網(wǎng)絡安全態(tài)勢。

　　在印度當前的情況下，雖然存在許多網(wǎng)絡安全指令和指導方針，但沒有一個是專門針對電力部門的。電力部已指示CEA制定電力行業(yè)網(wǎng)絡安全條例。CEA被指示根據(jù)《2019年中央電力管理局（電網(wǎng)連接技術(shù)標準）（修正案）條例》中關(guān)于網(wǎng)絡安全的第10條規(guī)定，制定并發(fā)布《電力行業(yè)網(wǎng)絡安全指南》。

　　主要目的

　　發(fā)布指南的目的：

　　a）建立網(wǎng)絡安全意識

　　b）建立安全的網(wǎng)絡生態(tài)系統(tǒng)；

　　c）建立網(wǎng)絡保障框架，

　　d）加強監(jiān)管框架；

　　e）創(chuàng)建安全威脅預警、漏洞管理和安全威脅響應機制；

　　f）確保遠程操作和服務的安全；

　　g）加強關(guān)鍵信息基礎設施的保護和復原力；

　　h）降低網(wǎng)絡供應鏈風險；

　　i）鼓勵使用開放標準，

　　j）促進網(wǎng)絡安全研發(fā)；

　　k）網(wǎng)絡安全領(lǐng)域人力資源開發(fā)；

　　l）發(fā)展有效的公私伙伴關(guān)系；

　　m）信息共享與合作；

　　n）實施國家網(wǎng)絡安全政策；

　　指南適用的系統(tǒng)范圍

　　該指南針對的系統(tǒng)范圍包括三部分，系統(tǒng)運行和運行管理控制系統(tǒng)，通信系統(tǒng)，和輔助的、自動化和遠程控制技術(shù)。具體指：

　　1、系統(tǒng)運行和運行管理控制系統(tǒng)

　　a）網(wǎng)格控制和管理系統(tǒng)；

　　b）電廠控制系統(tǒng)；

　　c）用于監(jiān)測和控制分布式發(fā)電和負載的中央系統(tǒng)，例如發(fā)電廠、存儲管理、水電廠中央控制室、光伏/風力發(fā)電裝置；

　　d）故障管理和員工管理系統(tǒng)；

　　e）計量和測量管理系統(tǒng)；

　　f）數(shù)據(jù)歸檔系統(tǒng)，

　　g）參數(shù)化、配置和編程系統(tǒng)；

　　h）運行上述系統(tǒng)所需的配套系統(tǒng)；

　　2、通信系統(tǒng)

　　a）路由器、交換機和防火墻；

　　b）與通信技術(shù)相關(guān)的網(wǎng)絡組件；

　　c）無線數(shù)字系統(tǒng)。

　　d）控制中心與控制中心之間的通信，以便在ICCP上進行數(shù)據(jù)交換（IEC 61850/60850-5/TASE.2 /）。

　　3、輔助的、自動化和遠程控制技術(shù)

　　a）控制和自動化部件；

　　b）控制和現(xiàn)場設備；

　　c）遠程控制裝置，

　　d）可編程邏輯控制器/遠程終端單元，包括數(shù)字傳感器和執(zhí)行元件，

　　e）保護裝置，

　　f）安全組件，

　　g）數(shù)字計量裝置；

　　h）同步設備，

　　i）勵磁系統(tǒng)，

　　主要條款

　　該指南的主要內(nèi)容共分14條，四個附錄。

　　第一條：網(wǎng)絡安全政策

　　第二條：（首席信息安全官）CISO的任命

　　第四條：識別關(guān)鍵信息基礎設施（CII）

　　第四條：電子安全邊界

　　第五條：網(wǎng)絡安全需求

　　第六條：網(wǎng)絡風險評估與緩解計劃

　　第七條：遺留制度的逐步取消

　　第八條：網(wǎng)絡安全培訓

　　第九條：網(wǎng)絡供應鏈風險管理

　　第十條：網(wǎng)絡安全事件報告和應對方案

　　第十一條：網(wǎng)絡危機管理計劃（C-CMP）

　　第十二條：蓄意破壞舉報率

　　第十三條：網(wǎng)絡資產(chǎn)的安全性與檢測

　　第十四條：網(wǎng)絡安全審計

　　指南的實施將激活網(wǎng)絡安全應用生態(tài)

　　該規(guī)范適用于印度電力供應系統(tǒng)中的所有責任實體和系統(tǒng)集成商、設備制造商、供應商和生產(chǎn)商、服務提供商以及IT硬件和軟件OEM（原始設備制造商）。該指南要求從已識別的“可信來源”和“可信產(chǎn)品”進行基于信息通信技術(shù)（ICT）的采購，在將產(chǎn)品用于供電系統(tǒng)網(wǎng)絡之前，必須對其進行惡意軟件和硬件木馬測試。這一舉措將促進網(wǎng)絡安全的研究和開發(fā)，并為在該國的公共和私營部門建立網(wǎng)絡測試基礎設施打開市場。

　　鑒于電力部門已經(jīng)在其核心業(yè)務中部署了新興技術(shù)，網(wǎng)絡安全措施需要加強。2021年8月，政府批準了修改后的配電部門計劃，通過使用基于人工智能（AI）的解決方案促進供應基礎設施，改善所有配電公司和部門（DISCOMs）的運營。在人工智能的幫助下，政府旨在分析通過IT/OT設備生成的數(shù)據(jù)，如系統(tǒng)儀表、需求預測、每日時間（ToD）費率、可再生能源（RE）集成和其他預測分析。此外，預付費智能電表每月準備系統(tǒng)生成的能源會計報告，有助于DISCOMs在減少損失方面做出明智的決定。該計劃下的資金還將用于開發(fā)人工智能驅(qū)動的應用程序。政府預計，這將促進全國配送行業(yè)的初創(chuàng)企業(yè)的發(fā)展。