欧洲《智能电网网络安全指南》及安全认证计划解读

欧洲网络与信息安全局在智能电网方面有两份指南：一份为 2012 年发布的《智能电网安全指南》，主要分析智能电网面临的网络安全风险，以及未来智能电网的 ICT 需求及风险，共约十三类合计百条关键发现，最后向智能电网各方提出了十条建议指南。另一份为 2014 年发布的《欧洲智能电网安全认证挑战与建议》，主要讨论该领域的网络认证应如何实现，提出智能电网信任链和信任链模型，最后提出十条建议。这两份报告可为我国进行智能电网产业规划以及相关政策的拟订提供参考，为我国智能电网应用中可能出现的相关问题和应用场景设计提供有益借鉴。

智能电网安全指南报告综述

欧洲网络与信息安全局(ENISA)的智能电 网定义为在供电部门和用户可进行双向数字通信的升级电网，包括智能计量和监测系统。智能电网将包括发电、消费者在内所有用户的行为和行动相互关联，实现经济高效、可持续的电力系统，确保低损耗、高质量、保障供应和 物理安全。

智能电网不同于当今的电网，将改变传统 的能源市场与服务。智能电网除了包含大容量发电设施之外，还将智能地集成分散在输电、配电和客户领域的分布式或分散发电，分布式能源(DER)包括太阳能电池板、小型风力涡轮机、燃料电池和分布式热电联产来源，甚至还包括电动汽车。

随着由于信息和通信技术(ICT)的发展， 未来的电网将变得更加智能化，通过充分信息 交换、分布式发电、存储技术以及最终用户的积极参与，电力系统的可靠性、安全性和效率将得到提高。但由于通信网络和信息系统的脆弱性，可能被用来由于经济或政治因素关闭广大区域的电力供应，甚至发动对电厂的网络攻击。

欧洲的社会经济对通信网络和计算机应用的日益依赖，电网智能化也给社会发展带来福祉，但智能电网的基础是信息和通信技术，一旦出现网络攻击导致灾难性的后果将让人们难以承受。

智能电网的网络安全

智能电网的网络安全不易实现，通信基础设施并非唯一薄弱环节，因为还有很多未知甚至干脆不知来自何处的脆弱点。例如用于构建智能电网基础设施的软件和硬件甚至在整合前就已经被做手脚，软件在开发时就已被植入能导致突然故障的流氓代码(逻辑炸弹)，硬件像计算机芯片和操作系统也可能被植入允许远程操控的“切断开关”或隐藏的“后门”。但由于在生产过程中容忍这类风险的现象较为普遍，而且不易被发现，根除更难。还有比技术更复杂的问题，像用户信息保护这类问题。因此，制定尊重消费者隐私权，规范第三方使用用户信息、能源数据的法律和监管制度，也非常必要，关系到智能电网是否能被用户广泛接受。近几年内智能电网主要挑战依然是评估风险、保证进程、确定技术差距和组织问题。因此提高安全意识，促进安全培训和知识共享 , 应予以优先考虑。

范围

这项研究有两个重要基础。一是使用该领域最新的知识、实际经验来评估智能电网的安全现状;二是综合全部利益相关方的观点。

评估现状主要包括如下几个方面:

● 评审智能电网定义;

● 确定智能电网的高水平目标;

● 智能电网在欧洲、美国及其他地区应用的驱动因素;

● 智能电网体系结构标准化工作综述;

● 智能电网的的物理基础设施及其高水平应用与服务;

● ICT 技术在智能电网中的重要作用;

● 综述影响智能电网缺陷的真实事件及其相关发现;

● 网络安全风险、威胁和挑战;

● 欧洲当前的安全政策背景综述;

● 欧洲应对智能电网的网络安全举措;

● 评估智能电网网络安全领域中关键的标准、指南、规范性文件及措施;

欧盟及国际政策背景

在关键基础设施保护(CIP)和关键信息基础设施保护(CIIP)方面的指令和通信中，已将电网(智能电网)纳入关键基础设施保护的一 般监管框架。

2006 年 12 月的 COM(2006)786 “关键基础设施保护的欧洲计划”(CPCIP)通讯，即聚焦关键基础设施保护方案，明确必须建立欧盟统一框架来保护关键基础设施，其指导思想为全灾害因素(all hazards)，重点应对恐怖威胁。而欧盟理事会的第 2008/114 号 CIP 指令，将发电和输电(供电为主)等设施确定为欧洲关键基础设施的组成部分。

2009 年欧盟委员会通过了 COM(2009) 149 通讯，将 ICT 基础设施定为关键信息基础设施保护的支撑平台，为加强关键信息基础设施的安全和弹性制定计划 , 这个行动计划有五大立足点:准备和预防、检测和响应、缓解和恢复、 国际合作、ICT 领域的欧盟标准。2011 年发布的 COM(2011)163 通讯，以震网病毒(Stuxnet) 为例，认为在 CIIs 领域出现新威胁，智能电网将面临以破坏为目标的复杂威胁。

2011 年欧盟委员会发布了 COM(2011) 202 号通讯，题为“智能电网:从创新到应用”， 这份通讯引入该领域内的数据保护和数据隐私，分析智能电网在应用方面将面临的挑战，提出重点发展技术标准、严格数据保护，鼓励进行持续的技术和系统创新。并倡议成立高级别工作组，与国际相关组织合作，评估智能电网的网络和信息安全的状况和恢复能力。

目标受众

本报告主要面向两类人群，一类是有安全和电力行业背景的专业人员，如:

● 工程师;

● 研究人员;

● 信息安全专家;

● 安全顾问;

● 管理人员;

● 业界领袖;

由于本报告的关键发现和指引还包括政治、组织、技术、安全意识及经济等因素，为更好的理解本报告，还用非技术语言进行阐述，主要面向如下人群:

● 业界领袖;

● 政策制定者;

● 标准制定机构;

● 公共机构;

● 分析师;

● 管理人员;

● 研究者;

智能电网安全认证报告综述

智能电网来自用户的问题主要是安全和隐私，有必要让智能电网设备的供应商保证他们的产品在全生命周期内都关注这点。安全认证不仅是让用户能够接受安全和隐私设计的手段，也促成用户对整个智能电网供应链的信任。

在这份报告中 ENISA 给出他们对智能电网安全认证的见解，分析现存的多种认证方法。综合分析了欧洲的现状，探讨欧洲智能电网的安全认证实践框架，并分析其优点及面临的挑战，最终提出建议。

报告论述了欧洲智能电网的认证实践需求，基本要求为覆盖整个智能电网的供应链，要求采取 M /490 工作组提出的智能电网架构模型 (SG-AM)和智能电网的信任链做支撑。欧洲智能电网认证计划的主要差距和面临的挑战，主要是成员国各自为政及缺乏欧盟指导的可信监督机构，针对于此提出三项建议:

(1)协调欧盟智能电网安全认证实践;

(2)基于信任链实施特定智能电网应用 场景;

(3)加强监督，建议设立指导委员会，负责监管智能电网认证、定义泛欧安全需求和制定国家计划。

智能电网的网络安全认证

智能电网的网络安全认证可大大增强复杂系统的安全性，实际 ENISA 2012 年发布的智能电网安全指南报告即已提出这个建议。虽然在 2011 年的工控系统保护指南、2012 年的欧盟委员会与 ENISA 的联合工作组成果中，就已提出安全认证的基本需求，但这份报告依然花较大篇幅讨论如下问题:为何需要全欧洲统一的安全认证框架，该框架又如何创造出智能电网承载的能源信任链等。

1. 现状:ENISA 工作组总结出欧洲智能电网有较多不尽如意的地方，例如现有认证体系成本高昂、网络安全认证支离破碎缺乏 统一手段、威胁出现太快而认证周期又太长、 智能电网网络安全法规过少无法涵盖、覆盖 全部智能电网供应链的通用标准不现实、测 试环境与生产环境背离以及没有更广发的培 训等现状。

2. 市场驱动:利益方很多，诉求不同，可 参照标准各异，这方面有成功案例，失败的也 不少，因此迫切需要统一智能电网的网络安全 认证标准。

3. 利益相干方需求不同:（1）解决欧盟利益 相关者对智能电网的信任问题 ; （2）设计通用的智 能电网安全参考模型;（3）建立欧洲智能电网审 计控制最小基础工具集;（4）根据电网的重要度 不同定义安全级别的统一方法;（5）为智能电网 的部件、系统、操作安全设立统一的办法，以强化信任;（6）为促进成员国立法提供指导意见; （7）促进欧盟在智能电网安全方面的公私合作; （8）提高欧盟智能电网的安全成熟度;（9）减缓 风险并分担责任 ; （10）降低认证成本 ;(11) 强化 智 能 电网的生命周期。

4.“完美的”认证计划具备的特点:（1）能明确责任，实现智能电网供应链信任;（2）基于欧盟智能电网安全参考模型，指由 M/490 开发 的 SG-AM 模型，能被欧洲标准化组织(ESOs)和认证机构(CBs)认可;（3）采用同一基准集; （4）参照国际安全防范和风险等级，如 M/490 的 SG-IS 框架(智能电网信息系统框架);（5）支持 组件、系统和操作的框架，可定义完整的智能电网系统安全性;（6）有一致性测试、功能测试和互操作性测试，可以决定执行第一方、第二 方或第三方评估。（7）促进公私合作;（8）以框架形式执行欧盟提供指导，由成员国立法。（9）能提高欧盟智能电网安全的成熟度 ; （10）统一方法从 而降低认证成本 ;(11) 支持产品或系统生命周期 的维护计划;

范围

这份报告目的是为智能电网的安全认证提 供技术咨询、建议和有效实践，可为智能电网 认证计划提出策略、体系结构、指导方针和框 架等工作，但无法解决与实施安全认证相关的 政治和法律问题。

智能电网的数据保护同样重要，安全认证 也是行之有效的措施。虽然欧盟已有的数据保 护需求及框架较多，如 DPIA、BATs 等，但这个 报告与这些框架并不相违。

欧盟及国际政策背景

2013 年欧盟委员会发布了欧盟网络安全策 略，明确了所有利益相关者的共同责任，以及 参与者在日益依赖 ICT 的情况下能更好保护自 己。在优先事项及重点行动一节中提出为网络 安全发掘工业和技术资源，因此“重点应是建 立激励机制，进行适当的风险管理、采用恰当 的安全标准和解决方案，在欧盟和成员国间采 用自愿设计欧盟认证方案。委员会将鼓励成员 国采取一致的办法，避免因差异造成商业区位劣势。”

目标受众

本文件的主要目标受众是欧盟委员会和会 员国(MSS)管理方，希望达到的主要目标:

● 为构建智能电网的安全认证打下基础;

● 通告相关社群(IT 安全工程师、工控 系统工程师和运营商、国家信息安全部门 / 机 构等);

● 在智能电网的安全认证领域为政策制定 者和技术专家之间架设桥梁;

与本文件中的调查结果和建议有关的受 众是:

●  认证和鉴定机构;

●  监管者和政策制定者;

●  智能电网运营商;

●  标 准 化 机 构( 如 ETSI、NIST、IEC、ISO 等);

●  安全解决方案提供商;

●  智能电网产品制造商;

●  学术界、研发领域;

●  参与智能电网网络安全的各成员国公共机构;

智能电网网络安全研究的关键成果

智能电网面临的挑战

ENISA 认为智能电网面临以下挑战:

(1)智能电网的成功要素:1智能电网概 念的定义;2降低成本及失误预防;3网络安 全性;4保障用户隐私;5用户接受认知培育; 6接受和使用智能电表。

(2)智能电网缺乏标准参考架构;

(3)基于标准架构的端到端安全体系:端 到端安全存在于通讯的多个层面，从底层的电 表、设备等到应用层(应用系统、集成企业运 营系统、增值服务系统等)，因此需要清晰的 标准架构来定义。

(4)一线操作并不关注网络安全;

(5)将网络安全与隐私保护隔离;

(6)需要提倡“设计即安全”理念:要将安全融入设计;

(7)如何应对新威胁。

智能电网的基本构成

1. 智能电网的水平视点:主要基于从电厂 到终端用户的电力交付价值链;

2. 智能电网的垂直视点:部分专家认为是 剥离增值服务的电网运营及作为支撑的通讯基 础设施;还有部分专家认为含义更广，包括设备、 技术、基础设施到运营(电网管理或市场运营)， 再到服务(如需求侧管理);

3. 智能电网的双向性:两层含义，一方面 是可利用分布式发电资源，另一方面是可进行 双向通讯的 ICT 设施;

4. 智能家居和智慧工业也是智能电网的一 部分;

5. 新应用和服务 : 主要有四个领域需要关注1 ）AMI 为基础的应用 / 服务，如需求侧管理、 家庭能源管理等;2）分布式发电管理(DER 管 理);3）先进输变电自动化，如变电自动化、 存储等;4）大型发电设施。

智能电网试用与网络安全

1. 欧洲智能电网试验匮乏全球视野;

2. 网络安全在智能电网试验中居于次要 地位。

智能电网风险评估

1. 保护能源基础设施的挑战、目标及需求;

2. 由输电系统运营商和配电系统运营商主 导强制性的风险评估;

3. 需要专门的风险评估方法论:有两种意 见，一派认为并无可在智能电网使用的网络风 险评估方法，另一派认为可以参考 SGIS 欧洲工 作组、DG Connect 的高级专家组、甚至部分美 国的工作组的成果;

4. 风险评估方法论的特征:一般包含依赖 性分析、威胁及脆弱点评估，还应考虑利益相 关方的观点、假设和期待;

5. 风险评估示例 : 主要有协同和人工两种 方式，部分专家推荐英国的 IS1 方法论;

6. 当前风险评估工具的适应性:荷兰的 DSOs 认为现有工具不实用;

7. 产品安全认证中的风险评估角色:需要 包含明显风险分析的安全认证流程。

认证与国家认证机构的作用

1. 国家认证机构(NCA)的作用 , 主要有 两点:1根据预先定义的安全手册核查确保智 能电网关键部件安全;2根据企业安全治理策 略认证电网运营商的组织层面事务(流程、人 等);

2. 欧洲与各成员国的安全评定方案比较: 部分专家认为应当欧洲一致，还有部分认为各 国根据国情自行安排;

3. 设备导向的安全认证标准参考模型和倡 议:大部分认可通用标准(Common Criteria， CC)，其他依次推荐 FIPS 140 、PCI PTS、ISA99、CESG 等;

4. 智能电网的通用标准(CC):可以参照当时智能卡行业的做法，通过设立联合解释知 识库，将 CC 扩展到智能电网环境中;

5. 由标准驱动的设备导向认证的替代方 案:有人认为 CC 修改周期长，而且对厂商索价 过高，智能电网技术尚不成熟，建议参照美国 国家 SCADA 测试计划选择更敏捷的计划，进行 快速检测(白盒和代码审计)，还有部分推荐 采用 IEC/PS 62443、ISA 62443;

6. 智能电网的安全治理认证:智能电网的 安全治理认证应考虑 ISMS 在电网运营商的必要 性，最好作为行业基准。可采用 ISO 27000 系列 标准，或 ISA 99、NISTIR 7628 等;

7. 治理认证的替代方案:不应紧盯大而全 的标准，可选择各自领域的专业第三方来进行 测试。

智能电网安全初步

1. 智能电网安全的基础仍然是流程、人和 技术;

2. 信息安全管理系统(ISMSs)的极其重要;

3. 安全努力不应止步于智能电表;

4. 位于用户处的设施应当万无一失;

5. 设计即考虑隐私和安全，并采取纵向防御;

6. 运营人员和客户应当有安全培训。

智能电网网络安全挑战

1. 放弃网络安全主要源于缺乏专业技能和 预算限制;

2. 电网应具健壮性和弹性成为共识;

3. 应重视数据保护和安全的数据处理:有 两大挑战1）从个人数据可能推测个体隐私(如 特定兴趣等);2）读表数可被几个独立的服务商安全读取;

4. 制造商和运营商应当提高安全意识;

5. 技术挑战:主要有六类技术方面的问题 1）在健壮和弹性的网络中集成遗留系统仍是重 中之重;2）设备应当有标准接口，这是短期问 题;3）系统和设备的未授权接入;4）“竞争性” 部门(如增值服务等)与“非竞争性”部门(计 量或电网运营)的 ICT 基础设施相互背离;5 ）流量分析、通讯监控和应用日志的存在与否; 6）可信设备(认证能力);

6. 规范不足或者不存在:常见的有1）现规 范更重视智能电表应用，但对信息安全风险并 不涉及;2）计量基础设施中也无针对不同能源 类型(如热、气、电)的统一规范。

智能电网已有的网络安全举措

1.智能电网的 CEN/CENELEC/ETSI 协调工 作组;

2.正在施行的欧洲智能电网标准架构;

3.调查更认同 DG-Connect 特别专家组;

4.缺乏网络安全相关的举措;

5.智能电网倡议的改进空间:1)全欧盟的倡议缺乏可见度;2)欧盟内国家倡议重叠;3 )各倡议中都是同一批专家;4)言多于行;5)缺 乏统一协调;

6. 对智能电网任务组 EG2 的成果基本 满意;

7. EG2 在数据安全性、数据处理和数据保 护方面的报告意见，总体认可，但对于数据和 隐私保护过于大众化，还应和 NISTIR 7628 及IEC TC57 文件一致;

8. 智能电网网络安全和隐私倡议应当设立协调实体，这个实体应当1避免重复工作;2 在工作组之间加强沟通;3确定明确和统一的 策略;4传播工作成果;5定义标准技术术语; 6监管游说团体;

9. 培养和传播安全意识的新举措。

智能电网的网络安全度量

1. 网络安全高效度量:网络攻击下的健壮 性、弹性和可靠性等方面的度量，包括事故记 录和影响、完整事件报告、运营中健壮程度等;

2. 欧盟需求统一的标准框架;

3. 标准框架的组成建议:1标准和指南的 最小工具集;2针对产品、设备、服务以及电 网运营商的认证计划;3用公私合作(PPP)方 式设立认证机构;4强制性认证和风险评估应 替代口头调控机制;5输电系统运营商和配电 系统运营商之间应当有知识共享平台;

4. 标准和指南的最小工具集:1通用参考 体系;2风险评估方法论;3评估独立性的方 法论;4事件处置的参考策略;5产品的技术 需求;6法律实体发挥市场作用的组织要求; 7符合组织要求的产品(默认安全参考配置、 技术人员配置配置指南等)的标准要求;8安 全治理的标准要求;

5. 关于监管机制的思考:强制性的监管机 制需要保持风险评估和认证的透明度，应考虑: 1应要求更严格的系统组织;2有处罚权;3 欧盟指令 114 / 2008/EC 应将输电系统运营商和 配电系统运营商;4不涉及电网运营的机密信 息的情况下应公示结果;

6. 评估产品安全。

管理网络攻击

1. 重视网络安全事件

2. 事件处置的已有经验;

3. 输、配电系统运营商应负责事件检测;

4. 网络安全事件的技术因素:1)安全监测传感器应应分布在整个网络中，采集的数据可 以在分散或集中的方式进行处理;2)用于数据 采集和分析中央监控中心可以采用一个安全运 营中心(SOC)的架构;3)传感器也应当要有签 名软件;4)相关性情报可在整个网格或 SOC 中 分布;5)情况应能区分事件根本原因是网络引 发还是其他原因;6)监控中心也可以进行研究活动(或发行新签名或研究新威胁等)。

5. 事件管理的规范;

6. 需要建立一个实体来应对大规模的网络 安全事件，这个实体特点如下:1全球视角下 的欧洲电网的未来;2负责升级警情、最终决定; 3理解欧洲电网和其他关键基础设施的相互依 存关系;4可直接与正常的危机管理架构进行 沟通。

智能电网的安全性研究课题

1. 保护电网控制和监控系统:智能电网的 新服务或高度自动化系统更依赖基于新技术(如 同步相量测量等)的电网监控技术，同时系统 容量还应可处理大容量可信交易;

2. 架构:新架构特性主要在于如下特性， 自愈和平缓降级、跨域的标准的安全互连、与 加密相关的线程管理、可检测攻击和可跟踪的 主动监控等;

3. 端到端安全:将整个电网通盘考虑，逐个节点、逐个设备进行安全评估;

4. 信任和保障:用于度量智能电网每个域的安全控制成熟度、基于硬件的单向通信;

5. 可靠系统的安全性:考虑通用程序及接 口、克服硬件约束导致的加密功能、应用和网络过滤能力等;

6. 设计注重安全和隐私:零日漏洞管理、保证安全前提下降低系统负载等;

7. 其他课题:包括供应链保护、可用性与法律经济问题、智能电网与云等。

智能电网商业应用案例

1. 成本和收益的平衡;

2. 智能电网商业应用的关键驱动因素:除 了优化和效率，还有可靠性和灵活性;

3. 商业应用的其他驱动因素:可伸缩的电 网、统合分布式能源、整合可再生能源、支持 电动汽车、为用户创造新的商业机会和增值 服务 。

保护工业控制系统(ICS)指引

1. 建立泛欧和国家 ICS 安全战略;

2. 为 ICS 安全设立最佳实践;

3. 设计 ICS 安全计划模板;

4. 促进安全意识和培训;

5. 设置通用测试基地或开发 ICS 安全认证 框架;

6. 创建国际的工业控制系统的应急响应中 心(ICS-CERTs);

7. 利用现有研究计划推动 ICS 安全研究。

智能电网安全的十项指引

十项智能电网安全指引概要如下:

● 指引 1:欧盟和成员国主管当局应采取 措施，改进国家和欧盟层面的智能电网网络安 全监管和政策框架。

● 指引 2:欧盟与 ENISA 和成员国共同 创造和推动智能电网网络安全领域的公私合作 (Public-Private Partnership，PPP)协调措施。

● 指引 3:欧盟及 ENISA 应注重培养安全 意识并推动培训。

● 指引 4:欧盟、成员国与 ENISA 共同推 动知识传播与共享。

● 指引 5:欧盟与 ENISA、成员国及私营 部门协力基于现有标准和规范制定最低安全措 施集。

● 指引 6:欧盟与成员国主管当局应促进 制定零部件、产品和组织安全的安全认证计划。

● 指引 7:欧盟与成员国主管当局应鼓励建立测试基地和安全评估。

● 指引 8:欧盟与成员国配合 ENISA，应进一步研究和完善策略，采取协调措施防止泛 欧洲大规模的网络事件影响电网。

● 指引 9:成员国主管当局应与 CERTs 联 合行动，让 CERTs 在处理电网的网络安全问题 担任顾问角色。

● 指引 10:欧盟与成员国主管部门应与学 术界和研发部门合作，利用现有研究计划，促 进智能电网的网络安全方面的研究。

智能电网信任链模型

本报告的一个重要贡献就是构建信任链模 型，实现将现存诸多的安全认证标准和最佳实 践应用于智能电网领域，基于风险的分析有助于定义智能电网的安全级别，最终设计智能电 网认证方案。

智能电网信任链

智能电网信任链主要参照 SA/IEC-62443 标 准，用于描述各利益相关者在智能电网环境中 系统的开发、生产、集成和运营的完整的供应链。 智能电网与 ICT 相比更复杂，认证标准也就不同。 智能电网地理分布广泛，多种部件互连场景多， 除此之外还需要与家居智能网络、分布式能源、 能源交易系统进行通信。这些互连可发生在系 统的各个部分，并与具有不同信任级别的参与 者交换高、低等级的数据，信任链可用于解决 这类信任问题。

信任链主要有三个级别:

1. 智能电网运营商认证;

2. 智能电网系统集成认证;

3. 智能电网组件认证。

智能电网的信任链如下图所示:

图 1- 智能电网信任链

应用 SG-AM 信任链模型

SG-AM 框架和参考模型是一个以用例设计 为主的体系结构，采取技术中立的方式允许当 代智能电网将已实现和未来实现一并纳入的架构，并支持互操作性。这个模型在智能电网领 域可用于个人和实体相互作用，采用安全分层 方式实现纵深防御策略，分为安全组件(组件 层)、组件间的安全通讯(通讯层)、信息层、 功能层和业务层，满足智能电网不同的认证标 准的要求，从而保证智能电网安全。

模型如下图所示：

图 2- 智能电网信任链模型

十点建议

1. 在欧盟层面设立一个机构协调智能电网 安全认证活动，该机构主要职能如下:1）监管 认证、定义安全需求和国际协调;2）强化认证 结果的可信度和透明度;3）为相关方提供建议 和咨询;4）督导认证机构能及时应对新威胁;

2. 提供指南和参考模型实现信任链;

3. 使用现有标准和计划，包容国际标准使 方法更协调和统一;

4. 促进国际认证计划互认;

5. 促进与用例风险相当的认证;

6. 因应安全环境的快速变化，需要促进配置文件的灵活性;

7. 使用某国配置作为成员国间标准规范明细，以涵盖特定国家的用例及由该国支持的测 试和认证方法;

8. 由技术委员会和欧洲能源协会协同构建 欧洲的统一配置;

9. 为预评估提供由官方授权的第三方认证 和评估工具;

10. 促进这一观点:遵循和统一是提高经济 效益和降低成本的措施之一。

小结

电网是国家关键基础设施的一部分，如今 目前全球各国都在大力投资建设智能电网，智 能电网由于依赖于 ICT 技术，因此在传统电网 的安全需求外，又带来网络安全的风险和威胁， 亟需重视智能电网的网络安全。有必要分析智 能电网的安全威胁及挑战，明确智能电网的安 全需求，建立统一、有弹性的安全认证，在国 家层面形成有效监管，形成市场激励机制，制 定认证标准。

作者：朱力鹏，全球能源互联网研究院有限公司， 高级工程师。

（本文选自《信息安全与通信保密》2018年第二期）

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。