欧洲网络与信息安全局智能电网网络安全指南及安全认证计划

编译 朱力鹏

（全球能源互联网研究院有限公司，北京102209）

1 智能电网安全指南报告综述

欧洲网络与信息安全局（ENISA）的智能电网定义为在供电部门和用户可进行双向数字通信的升级电网，包括智能计量和监测系统。智能电网将包括发电、消费者在内所有用户的行为和行动相互关联，实现经济高效、可持续的电力系统，确保低损耗、高质量、保障供应和物理安全。

智能电网不同于当今的电网，将改变传统的能源市场与服务。智能电网除了包含大容量发电设施之外，还将智能地集成分散在输电、配电和客户领域的分布式或分散发电，分布式能源（DER）包括太阳能电池板、小型风力涡轮机、燃料电池和分布式热电联产来源，甚至还包括电动汽车。

随着由于信息和通信技术（ICT）的发展，未来的电网将变得更加智能化，通过充分信息交换、分布式发电、存储技术以及最终用户的积极参与，电力系统的可靠性、安全性和效率将得到提高。但由于通信网络和信息系统的脆弱性，可能被用来由于经济或政治因素关闭广大区域的电力供应，甚至发动对电厂的网络攻击。

欧洲的社会经济对通信网络和计算机应用的日益依赖，电网智能化也给社会发展带来福祉，但智能电网的基础是信息和通信技术，一旦出现网络攻击导致灾难性的后果将让人们难以承受。

1.1 智能电网的网络安全

智能电网的网络安全不易实现，通信基础设施并非唯一薄弱环节，因为还有很多未知甚至干脆不知来自何处的脆弱点。例如用于构建智能电网基础设施的软件和硬件甚至在整合前就已经被做手脚，软件在开发时就已被植入能导致突然故障的流氓代码（逻辑炸弹），硬件像计算机芯片和操作系统也可能被植入允许远程操控的“切断开关”或隐藏的“后门”。但由于在生产过程中容忍这类风险的现象较为普遍，而且不易被发现，根除更难。还有比技术更复杂的问题，像用户信息保护这类问题。因此，制定尊重消费者隐私权，规范第三方使用用户信息、能源数据的法律和监管制度，也非常必要，关系到智能电网是否能被用户广泛接受。近几年内智能电网主要挑战依然是评估风险、保证进程、确定技术差距和组织问题。因此提高安全意识，促进安全培训和知识共享,应予以优先考虑。

1.2 范围

这项研究有两个重要基础。一是使用该领域最新的知识、实际经验来评估智能电网的安全现状；二是综合全部利益相关方的观点。

评估现状主要包括如下几个方面：

● 评审智能电网定义；

● 确定智能电网的高水平目标；

● 智能电网在欧洲、美国及其他地区应用的驱动因素；

● 智能电网体系结构标准化工作综述；

● 智能电网的的物理基础设施及其高水平应用与服务；

● ICT技术在智能电网中的重要作用；

● 综述影响智能电网缺陷的真实事件及其相关发现；

● 网络安全风险、威胁和挑战；

● 欧洲当前的安全政策背景综述；

● 欧洲应对智能电网的网络安全举措；

● 评估智能电网网络安全领域中关键的标准、指南、规范性文件及措施；

1.3 欧盟及国际政策背景

在关键基础设施保护（CIP）和关键信息基础设施保护（CIIP）方面的指令和通信中，已将电网（智能电网）纳入关键基础设施保护的一般监管框架。

2006年12月的COM（2006）786 “关键基础设施保护的欧洲计划”（CPCIP）通讯，即聚焦关键基础设施保护方案，明确必须建立欧盟统一框架来保护关键基础设施，其指导思想为全灾害因素（all hazards），重点应对恐怖威胁。而欧盟理事会的第2008/114号CIP指令，将发电和输电（供电为主）等设施确定为欧洲关键基础设施的组成部分。

2009年欧盟委员会通过了COM（2009）149通讯，将ICT基础设施定为关键信息基础设施保护的支撑平台，为加强关键信息基础设施的安全和弹性制定计划,这个行动计划有五大立足点：准备和预防、检测和响应、缓解和恢复、国际合作、ICT领域的欧盟标准。2011年发布的COM（2011）163通讯，以震网病毒（Stuxnet）为例，认为在CIIs领域出现新威胁，智能电网将面临以破坏为目标的复杂威胁。

2011年欧盟委员会发布了COM（2011）202号通讯，题为“智能电网：从创新到应用”，这份通讯引入该领域内的数据保护和数据隐私，分析智能电网在应用方面将面临的挑战，提出重点发展技术标准、严格数据保护，鼓励进行持续的技术和系统创新。并倡议成立高级别工作组，与国际相关组织合作，评估智能电网的网络和信息安全的状况和恢复能力。

1.4 目标受众

本报告主要面向两类人群，一类是有安全和电力行业背景的专业人员，如：

● 工程师；

● 研究人员；

● 信息安全专家；

● 安全顾问；

● 管理人员；

● 业界领袖；

由于本报告的关键发现和指引还包括政治、组织、技术、安全意识及经济等因素，为更好的理解本报告，还用非技术语言进行阐述，主要面向如下人群：

● 业界领袖；

● 政策制定者；

● 标准制定机构；

● 公共机构；

● 分析师；

● 管理人员；

● 研究者；

2 智能电网安全认证报告综述

智能电网来自用户的问题主要是安全和隐私，有必要让智能电网设备的供应商保证他们的产品在全生命周期内都关注这点。安全认证不仅是让用户能够接受安全和隐私设计的手段，也促成用户对整个智能电网供应链的信任。

在这份报告中ENISA给出他们对智能电网安全认证的见解，分析现存的多种认证方法。综合分析了欧洲的现状，探讨欧洲智能电网的安全认证实践框架，并分析其优点及面临的挑战，最终提出建议。

报告论述了欧洲智能电网的认证实践需求，基本要求为覆盖整个智能电网的供应链，要求采取M /490工作组提出的智能电网架构模型（SG-AM）和智能电网的信任链做支撑。欧洲智能电网认证计划的主要差距和面临的挑战，主要是成员国各自为政及缺乏欧盟指导的可信监督机构，针对于此提出三项建议：

（1）协调欧盟智能电网安全认证实践；（2）基于信任链实施特定智能电网应用场景；

（3）加强监督，建议设立指导委员会，负责监管智能电网认证、定义泛欧安全需求和制定国家计划。

2.1 智能电网的网络安全认证

智能电网的网络安全认证可大大增强复杂系统的安全性，实际ENISA 2012年发布的智能电网安全指南报告即已提出这个建议。虽然在2011年的工控系统保护指南、2012年的欧盟委员会与ENISA的联合工作组成果中，就已提出安全认证的基本需求，但这份报告依然花较大篇幅讨论如下问题：为何需要全欧洲统一的安全认证框架，该框架又如何创造出智能电网承载的能源信任链等。

1.现状：ENISA工作组总结出欧洲智能电网有较多不尽如意的地方，例如现有认证体系成本高昂、网络安全认证支离破碎缺乏统一手段、威胁出现太快而认证周期又太长、智能电网网络安全法规过少无法涵盖、覆盖全部智能电网供应链的通用标准不现实、测试环境与生产环境背离以及没有更广发的培训等现状。

2.市场驱动：利益方很多，诉求不同，可参照标准各异，这方面有成功案例，失败的也不少，因此迫切需要统一智能电网的网络安全认证标准。

3.利益相干方需求不同：①解决欧盟利益相关者对智能电网的信任问题;②设计通用的智能电网安全参考模型；③建立欧洲智能电网审计控制最小基础工具集；④根据电网的重要度不同定义安全级别的统一方法；⑤为智能电网的部件、系统、操作安全设立统一的办法，以强化信任；⑥为促进成员国立法提供指导意见；⑦促进欧盟在智能电网安全方面的公私合作；⑧提高欧盟智能电网的安全成熟度；⑨减缓风险并分担责任;⑩降低认证成本;(11)强化智能电网的生命周期。

4.“完美的”认证计划具备的特点：①能明确责任，实现智能电网供应链信任；②基于欧盟智能电网安全参考模型，指由M/490开发的SG-AM模型，能被欧洲标准化组织（ESOs）和认证机构（CBs）认可；③采用同一基准集；④参照国际安全防范和风险等级，如M/490的SG-IS框架（智能电网信息系统框架）；⑤支持组件、系统和操作的框架，可定义完整的智能电网系统安全性；⑥有一致性测试、功能测试和互操作性测试，可以决定执行第一方、第二方或第三方评估。⑦促进公私合作；⑧以框架形式执行欧盟提供指导，由成员国立法。⑨能提高欧盟智能电网安全的成熟度;⑩统一方法从而降低认证成本;(11)支持产品或系统生命周期的维护计划；

2.2 范围

这份报告目的是为智能电网的安全认证提供技术咨询、建议和有效实践，可为智能电网认证计划提出策略、体系结构、指导方针和框架等工作，但无法解决与实施安全认证相关的政治和法律问题。

智能电网的数据保护同样重要，安全认证也是行之有效的措施。虽然欧盟已有的数据保护需求及框架较多，如DPIA、BATs等，但这个报告与这些框架并不相违。

2.3 欧盟及国际政策背景

2013年欧盟委员会发布了欧盟网络安全策略，明确了所有利益相关者的共同责任，以及参与者在日益依赖ICT的情况下能更好保护自己。在优先事项及重点行动一节中提出为网络安全发掘工业和技术资源，因此“重点应是建立激励机制，进行适当的风险管理、采用恰当的安全标准和解决方案，在欧盟和成员国间采用自愿设计欧盟认证方案。委员会将鼓励成员国采取一致的办法，避免因差异造成商业区位劣势。”

2.4 目标受众

本文件的主要目标受众是欧盟委员会和会员国（MSS）管理方，希望达到的主要目标：

● 为构建智能电网的安全认证打下基础；

● 通告相关社群（IT安全工程师、工控系统工程师和运营商、国家信息安全部门/机构等）；

● 在智能电网的安全认证领域为政策制定者和技术专家之间架设桥梁；

与本文件中的调查结果和建议有关的受众是：

● 认证和鉴定机构；

● 监管者和政策制定者；

● 智能电网运营商；

● 标准化机构（如 ETSI、NIST、IEC、ISO等）；

● 安全解决方案提供商；

● 智能电网产品制造商；

● 学术界、研发领域；

● 参与智能电网网络安全的各成员国公共机构；

3 智能电网网络安全研究的关键成果

3.1 智能电网面临的挑战

ENISA认为智能电网面临以下挑战：

（1）智能电网的成功要素：①智能电网概念的定义；②降低成本及失误预防；③网络安全性；④保障用户隐私；⑤用户接受认知培育；⑥接受和使用智能电表。

（2）智能电网缺乏标准参考架构；

（3）基于标准架构的端到端安全体系：端到端安全存在于通讯的多个层面，从底层的电表、设备等到应用层（应用系统、集成企业运营系统、增值服务系统等），因此需要清晰的标准架构来定义。

（4）一线操作并不关注网络安全；（5）将网络安全与隐私保护隔离；（6）需要提倡“设计即安全”理念：要将安全融入设计；

（7）如何应对新威胁。

3.2 智能电网的基本构成

1. 智能电网的水平视点：主要基于从电厂到终端用户的电力交付价值链；

2. 智能电网的垂直视点：部分专家认为是剥离增值服务的电网运营及作为支撑的通讯基础设施；还有部分专家认为含义更广，包括设备、技术、基础设施到运营（电网管理或市场运营），再到服务（如需求侧管理）；

3. 智能电网的双向性：两层含义，一方面是可利用分布式发电资源，另一方面是可进行双向通讯的ICT设施；

4. 智能家居和智慧工业也是智能电网的一部分；

5. 新应用和服务:主要有四个领域需要关注①AMI为基础的应用/服务，如需求侧管理、家庭能源管理等；②分布式发电管理（DER管理）；③先进输变电自动化，如变电自动化、存储等；④大型发电设施。

3.3 智能电网试用与网络安全

1. 欧洲智能电网试验匮乏全球视野；

2. 网络安全在智能电网试验中居于次要地位。

3.4 智能电网风险评估

1. 保护能源基础设施的挑战、目标及需求；

2. 由输电系统运营商和配电系统运营商主导强制性的风险评估；

3. 需要专门的风险评估方法论：有两种意见，一派认为并无可在智能电网使用的网络风险评估方法，另一派认为可以参考SGIS欧洲工作组、DG Connect的高级专家组、甚至部分美国的工作组的成果；

4. 风险评估方法论的特征：一般包含依赖性分析、威胁及脆弱点评估，还应考虑利益相关方的观点、假设和期待；

5. 风险评估示例:主要有协同和人工两种方式，部分专家推荐英国的IS1方法论；

6. 当前风险评估工具的适应性：荷兰的DSOs认为现有工具不实用；

7. 产品安全认证中的风险评估角色：需要包含明显风险分析的安全认证流程。

3.5 认证与国家认证机构的作用

1. 国家认证机构（NCA）的作用,主要有两点：①根据预先定义的安全手册核查确保智能电网关键部件安全；②根据企业安全治理策略认证电网运营商的组织层面事务（流程、人等）；

2. 欧洲与各成员国的安全评定方案比较：部分专家认为应当欧洲一致，还有部分认为各国根据国情自行安排；

3. 设备导向的安全认证标准参考模型和倡议：大部分认可通用标准（Common Criteria，CC），其他依次推荐FIPS 140 、PCI PTS、ISA 99、CESG等；

4. 智能电网的通用标准（CC）：可以参照当时智能卡行业的做法，通过设立联合解释知识库，将CC扩展到智能电网环境中；

5. 由标准驱动的设备导向认证的替代方案：有人认为CC修改周期长，而且对厂商索价过高，智能电网技术尚不成熟，建议参照美国国家SCADA测试计划选择更敏捷的计划，进行快速检测（白盒和代码审计），还有部分推荐采用IEC/PS 62443、ISA 62443；

6. 智能电网的安全治理认证：智能电网的安全治理认证应考虑ISMS在电网运营商的必要性，最好作为行业基准。可采用ISO 27000系列标准，或ISA 99、NISTIR 7628等；

7. 治理认证的替代方案：不应紧盯大而全的标准，可选择各自领域的专业第三方来进行测试。

3.6 智能电网安全初步

1. 智能电网安全的基础仍然是流程、人和技术；

2. 信息安全管理系统（ISMSs）的极其重要；

3. 安全努力不应止步于智能电表；

4. 位于用户处的设施应当万无一失；

5. 设计即考虑隐私和安全，并采取纵向防御；

6. 运营人员和客户应当有安全培训。

3.7 智能电网网络安全挑战

1. 放弃网络安全主要源于缺乏专业技能和预算限制；

2. 电网应具健壮性和弹性成为共识；

3. 应重视数据保护和安全的数据处理：有两大挑战①从个人数据可能推测个体隐私（如特定兴趣等）；②读表数可被几个独立的服务商安全读取；

4. 制造商和运营商应当提高安全意识；

5. 技术挑战：主要有六类技术方面的问题①在健壮和弹性的网络中集成遗留系统仍是重中之重；②设备应当有标准接口，这是短期问题；③系统和设备的未授权接入；④“竞争性”部门（如增值服务等）与“非竞争性”部门（计量或电网运营）的ICT基础设施相互背离；⑤流量分析、通讯监控和应用日志的存在与否；⑥可信设备（认证能力）；

6. 规范不足或者不存在：常见的有①现规范更重视智能电表应用，但对信息安全风险并不涉及；②计量基础设施中也无针对不同能源类型（如热、气、电）的统一规范。

3.8 智能电网已有的网络安全举措

1. 智能电网的CEN/CENELEC/ETSI协调工作组；

2. 正在施行的欧洲智能电网标准架构；

3. 调查更认同DG-Connect特别专家组；

4. 缺乏网络安全相关的举措；

5. 智能电网倡议的改进空间：①全欧盟的倡议缺乏可见度；②欧盟内国家倡议重叠；③各倡议中都是同一批专家；④言多于行；⑤缺乏统一协调；

6. 对智能电网任务组EG2的成果基本满意；

7. EG2在数据安全性、数据处理和数据保护方面的报告意见，总体认可，但对于数据和隐私保护过于大众化，还应和NISTIR 7628及IEC TC57文件一致；

8. 智能电网网络安全和隐私倡议应当设立协调实体，这个实体应当①避免重复工作；②在工作组之间加强沟通；③确定明确和统一的策略；④传播工作成果；⑤定义标准技术术语；⑥监管游说团体；

9. 培养和传播安全意识的新举措。

3.9 智能电网的网络安全度量

1. 网络安全高效度量：网络攻击下的健壮性、弹性和可靠性等方面的度量，包括事故记录和影响、完整事件报告、运营中健壮程度等；

2. 欧盟需求统一的标准框架；

3. 标准框架的组成建议：①标准和指南的最小工具集；②针对产品、设备、服务以及电网运营商的认证计划；③用公私合作（PPP）方式设立认证机构；④强制性认证和风险评估应替代口头调控机制；⑤输电系统运营商和配电系统运营商之间应当有知识共享平台；

4. 标准和指南的最小工具集：①通用参考体系；②风险评估方法论；③评估独立性的方法论；④事件处置的参考策略；⑤产品的技术需求；⑥法律实体发挥市场作用的组织要求；⑦符合组织要求的产品（默认安全参考配置、技术人员配置配置指南等）的标准要求；⑧安全治理的标准要求；

5. 关于监管机制的思考：强制性的监管机制需要保持风险评估和认证的透明度，应考虑：①应要求更严格的系统组织；②有处罚权；③欧盟指令114 / 2008/EC应将输电系统运营商和配电系统运营商；④不涉及电网运营的机密信息的情况下应公示结果；

6. 评估产品安全。

3.10 管理网络攻击

1. 重视网络安全事件

2. 事件处置的已有经验；

3. 输、配电系统运营商应负责事件检测；

4. 网络安全事件的技术因素：①安全监测传感器应应分布在整个网络中，采集的数据可以在分散或集中的方式进行处理；②用于数据采集和分析中央监控中心可以采用一个安全运营中心（SOC）的架构；③传感器也应当要有签名软件；④相关性情报可在整个网格或SOC中分布；⑤情况应能区分事件根本原因是网络引发还是其他原因；⑥监控中心也可以进行研究活动（或发行新签名或研究新威胁等）。

5. 事件管理的规范；

6. 需要建立一个实体来应对大规模的网络安全事件，这个实体特点如下：①全球视角下的欧洲电网的未来；②负责升级警情、最终决定；③理解欧洲电网和其他关键基础设施的相互依存关系；④可直接与正常的危机管理架构进行沟通。

3.11 智能电网的安全性研究课题

1. 保护电网控制和监控系统：智能电网的新服务或高度自动化系统更依赖基于新技术（如同步相量测量等）的电网监控技术，同时系统容量还应可处理大容量可信交易；

2. 架构：新架构特性主要在于如下特性，自愈和平缓降级、跨域的标准的安全互连、与加密相关的线程管理、可检测攻击和可跟踪的主动监控等；

3. 端到端安全：将整个电网通盘考虑，逐个节点、逐个设备进行安全评估；

4. 信任和保障：用于度量智能电网每个域的安全控制成熟度、基于硬件的单向通信；

5. 可靠系统的安全性：考虑通用程序及接口、克服硬件约束导致的加密功能、应用和网络过滤能力等；

6. 设计注重安全和隐私：零日漏洞管理、保证安全前提下降低系统负载等；

7. 其他课题：包括供应链保护、可用性与法律经济问题、智能电网与云等。

3.12 智能电网商业应用案例

1. 成本和收益的平衡；

2. 智能电网商业应用的关键驱动因素：除了优化和效率，还有可靠性和灵活性；

3. 商业应用的其他驱动因素：可伸缩的电网、统合分布式能源、整合可再生能源、支持电动汽车、为用户创造新的商业机会和增值服务。

3.13 保护工业控制系统（ICS）指引

1. 建立泛欧和国家ICS安全战略；

2. 为ICS安全设立最佳实践；

3. 设计ICS安全计划模板；

4. 促进安全意识和培训；

5. 设置通用测试基地或开发ICS安全认证框架；

6. 创建国际的工业控制系统的应急响应中心（ICS-CERTs）；

7. 利用现有研究计划推动ICS安全研究。

4 智能电网安全的十项指引

十项智能电网安全指引概要如下：

● 指引1：欧盟和成员国主管当局应采取措施，改进国家和欧盟层面的智能电网网络安全监管和政策框架。

● 指引2：欧盟与ENISA和成员国共同创造和推动智能电网网络安全领域的公私合作（Public-Private Partnership，PPP）协调措施。

● 指引3：欧盟及ENISA应注重培养安全意识并推动培训。

● 指引4：欧盟、成员国与ENISA共同推动知识传播与共享。

● 指引5：欧盟与ENISA、成员国及私营部门协力基于现有标准和规范制定最低安全措施集。

● 指引6：欧盟与成员国主管当局应促进制定零部件、产品和组织安全的安全认证计划。

● 指引7：欧盟与成员国主管当局应鼓励建立测试基地和安全评估。

● 指引8：欧盟与成员国配合ENISA，应进一步研究和完善策略，采取协调措施防止泛欧洲大规模的网络事件影响电网。

● 指引9：成员国主管当局应与CERTs联合行动，让CERTs在处理电网的网络安全问题担任顾问角色。

● 指引10：欧盟与成员国主管部门应与学术界和研发部门合作，利用现有研究计划，促进智能电网的网络安全方面的研究。

5 智能电网信任链模型

本报告的一个重要贡献就是构建信任链模型，实现将现存诸多的安全认证标准和最佳实践应用于智能电网领域，基于风险的分析有助于定义智能电网的安全级别，最终设计智能电网认证方案。

5.1 智能电网信任链

智能电网信任链主要参照SA/IEC-62443标准，用于描述各利益相关者在智能电网环境中系统的开发、生产、集成和运营的完整的供应链。智能电网与ICT相比更复杂，认证标准也就不同。智能电网地理分布广泛，多种部件互连场景多，除此之外还需要与家居智能网络、分布式能源、能源交易系统进行通信。这些互连可发生在系统的各个部分，并与具有不同信任级别的参与者交换高、低等级的数据，信任链可用于解决这类信任问题。

信任链主要有三个级别：

1. 智能电网运营商认证；

2. 智能电网系统集成认证；

3. 智能电网组件认证。

智能电网的信任链如下图所示：

图1 -智能电网信任链

5.2 应用SG-AM信任链模型

SG-AM框架和参考模型是一个以用例设计为主的体系结构，采取技术中立的方式允许当代智能电网将已实现和未来实现一并纳入的架构，并支持互操作性。这个模型在智能电网领域可用于个人和实体相互作用，采用安全分层方式实现纵深防御策略，分为安全组件（组件层）、组件间的安全通讯（通讯层）、信息层、功能层和业务层，满足智能电网不同的认证标准的要求，从而保证智能电网安全。

模型如下图所示：

图2 -智能电网信任链模型。

6 十点建议

1. 在欧盟层面设立一个机构协调智能电网安全认证活动，该机构主要职能如下：①监管认证、定义安全需求和国际协调；②强化认证结果的可信度和透明度；③为相关方提供建议和咨询；④督导认证机构能及时应对新威胁；

2. 提供指南和参考模型实现信任链；

3. 使用现有标准和计划，包容国际标准使方法更协调和统一；

4. 促进国际认证计划互认；

5. 促进与用例风险相当的认证；

6. 因应安全环境的快速变化，需要促进配置文件的灵活性；

7. 使用某国配置作为成员国间标准规范明细，以涵盖特定国家的用例及由该国支持的测试和认证方法；

8. 由技术委员会和欧洲能源协会协同构建欧洲的统一配置；

9. 为预评估提供由官方授权的第三方认证和评估工具；

10. 促进这一观点：遵循和统一是提高经济效益和降低成本的措施之一。

7 小结

电网是国家关键基础设施的一部分，如今目前全球各国都在大力投资建设智能电网，智能电网由于依赖于ICT技术，因此在传统电网的安全需求外，又带来网络安全的风险和威胁，亟需重视智能电网的网络安全。有必要分析智能电网的安全威胁及挑战，明确智能电网的安全需求，建立统一、有弹性的安全认证，在国家层面形成有效监管，形成市场激励机制，制定认证标准。