浅谈能源信息安全与风险控制

管晓薇2020-06-06 21:39

【摘要】能源信息安全与风险控制是国家能源安全战略的应有之义。能源信息安全包括信息获取、信息收集以及信息应用等各环节的安全性。为此,需要从能源行业属性及环节特征进行综合施策,实现信息科技进步成果与能源市场化发展的深度对接。

一、能源信息规制体系和现状

目前能源行业的法律法规体系中,能源信息安全的系统性规定尚未形成。最新公布的《能源法》征求意见稿(国家能源局2020-5-9),“能源安全”一节除第70条规定能源安全储备设施及安全保障的系统能力建设之外,第72条明确网络与信息安全,“推动建立健全能源行业网络与信息安全的法规体系和标准体系。”同时规定了能源企业作为市场主体应当履行相应的能源网络信息安全法律法规义务和遵守行业标准。其余针对能源信息安全的法律法规则散见于各类能源细分领域的单行规定中。例如,2014年7月国家能源局发布的《电力行业网络与信息安全管理办法》,对电力网络调度运行和相关环节信息交换的安全操作和信息保密作出具有电力行业特点的相关规定。其中涉及:电力行业网络与信息安全等级保护、信息报送、风险预估、设备调处、减灾预防、信用体系和标准化规范应用及套监督体系。就石油天然气行业的信息安全监管格局来看,目前我国以油气行业几大巨头企业(中石油、中石化)牵头,通过行业合作、政企合作形成信息系统安全和报送的实体机构。例如,“重庆能源大数据中心”的成立及运转就具有典型性。该中心是国家发展改革委、重庆市政府推动建设的全国性专业化能源大数据平台,由重庆石油天然气交易中心牵头组建,于2019年3月25日注册成立。大数据中心已开发建设了国家发展改革委的“全国天然气输配成本价格信息报送分析系统”、重庆石油天然气交易 中心的“电子交易结算平台”,开发推出了面向全行业的“能源快讯”等资讯产品。综上,我国有关能源信息安全的现状可见一斑。

二、能源信息特征及风险点

能源种类分布格局与一国能源战略对能源信息安全和风险防控具有决定意义。通常而言,能源大部分都不在市场交易,国家层面的传统能源数据可以从特定的调查中获得。这些调查可能有传统能源的范畴,也可能仅是部分能源类型的综合调查。如果要获取评估传统能源消费的水平和模式的数据,就需要进行全国或区域层面的大规模的广泛调查。传统能源供给模式决定传统能源信息采集只可能是使用者自身收集,并受限于地域、地理、天气等其他使用条件。人类文明早期,传统能源消耗的测度都使用非标准单位,描述度量传统能源如“背负荷”(以背扛运的货物量)。能源信息数据的采集最终还需要终端设备进行记录,并根据消耗燃料能量测度以实现不同总值的记录,与此同时,能源消费者无法实现燃料消费记录的保存。

用于能源规划和基本运作的信息安全常常需满足几个特征:信息供给安全性、信息可靠性、信息资源可得性。全球能源数据采集情况和信息维护状况而言,一些国家的信息比较好,亚洲尼泊尔、泰国、菲律宾对传统能源统计可靠时序。20世界90年代后期,IEA开始在传统能源数据的收集和报告中扮演重要角色,而且已经开始统计所有非OECD国家的数据。

按照能源行业具体细分,能源信息风险大致情况如下:

就电力行业而言,电厂网络信息获取问题在于大部分电厂暂未做双网隔离,例如由企业办公网络通过集团公司接入互联网或者从电厂本地直接接入互联网,因此办公网络信息安全就存在较大的风险。电网安全信息安全问题在于电网的相关信息化设备或系统繁多,管理复杂,在安全设备在策略配置完成后,可能很长一段时间都无法被获取数据或者查看,系统有没有被攻击以及现网信息的安全状态都是未知的,难以即使预警,问题处定位较难。

而石油天然气行业来看,石油销售公司的业务系统主要运行在内网中,且有各种安全保护措施,外网规模较小,即便如此,类似于勒索病毒的大规模爆发对各加油站的支付信息进行攻击,影响业务,即便财务损失较小但舆论影响较大。石油行业上游环节中,油田网络庞大且复杂,虽然部分油田已经做了多网分离,但仍有部分网络是逻辑连接,生产网和办公网信息存在较大的安全隐患。有限的管理水平和人员技术能力导致现有的网络安全状态不可见,系统是否已经被攻击、数据是否已经泄密均未知。

由此可知,各具体能源行业门类所面临的信息风险各不相同。

三、能源信息风控对策

技术设计层面,能源信息体系必须坚持客观模块考量。模块关注一个问题,所有模块结果联系起来找出一个可接受的结果。需要每个模块的结果“传递信息”而且很难或者常常不可能很快得到结果,应当信息模块体系设计过程中,数字化嵌入相关信息,使系统能够理解能源消费行为,计算和预测能源信息增长潜力。能源信息体系设计坚持强路径依赖,提升影响能源转换的可能性和并加强消费者对外部变化的响应。

制度完善方面,应当对能源信息安全进行高位阶的统一性立法。将能源行业各领域的信息安全保障和信息整合规划进行统筹。积极预防为主,综合统筹引领制度设计。这方面,美国石油天然气行业ICS(突然事件应对系统)对我国能源信息安全防控与预警工作具有一定的借鉴作用。

信息数据获取与维护应坚持平台化、专业化。例如上文提及的重庆能源大数据中心,此类数据平台实体机构,能够实现能源数据的信息安全保障、信息运维持续稳健保障以及行业规范化示范效应。能够最大程度地整合国家政务信息工程中的全国性跨部门数据资源,及相关行业交易中心交易结算数据和会员企业数据等资源,打造具有行业特色和竞争力的能源大数据资源库。这类数据中心能够开展国内外能源领域大数据的采集、整理、分析和应用,以及大数据技术开发等业务,在合法合规、稳健标准有序的前提下促进数字经济和实体经济深度融合,实现政府监管与市场运行在能源信息领域的基本目标,更好地服务能源体制改革和现代能源市场建设。

(作者:管晓薇 )