增强电力系统的网络弹性

增强电力系统的网络弹性 电力安全 2021 国际能源署IEA 全面审查能源问题，包括石油、天然气和煤炭供需、可再生能源技术、电力市场、能源效率、能源获取、需求侧管理等等。通过其工作，IEA 倡导将提高其能源可靠性、可负担性和可持续性的政策。30个成员国，8个协会国家及以上。请注意，本出版物受到限制其使用和分发的特定限制。条款和条件可在 www.iea.org/t&c/ 上在线获取本出版物和此处包含的任何地图均不影响任何领土的地位或主权、国际边界和边界的划定以及任何领土、城市或地区的名称。资料来源：国际能源署。版权所有。国际能源署网站：www.iea.org国际能源署成员国：澳大利亚 奥地利 比利时 加拿大捷克共和国丹麦爱沙尼亚芬兰 法国 德国 希腊 匈牙利 爱尔兰 意大利 日本 韩国卢森堡 墨西哥 荷兰 新西兰 挪威 波兰 葡萄牙斯洛伐克共和国 西班牙瑞典 瑞士 土耳其英国 美国欧盟委员会也参与了 IEA 的工作IEA 协会国家：巴西 中国 印度 印度尼西亚 摩洛哥 新加坡南非 泰国 电力安全增强电力系统的网络弹性抽象的磷年龄|页1抽象的电力是所有现代经济不可分割的一部分，支持一系列关键服务，包括医疗保健、互联网和交通。因此，安全的电力供应至关重要。数字化正在迅速改变电力系统，为企业和消费者带来许多好处。与此同时，连接性和自动化程度的提高可能会增加网络安全风险和网络攻击威胁。成功的网络攻击可能会导致电力系统中的设备和流程失去控制，进而导致物理损坏和广泛的服务中断。本报告使用现实世界的例子，为政策制定者、电力公司和其他利益相关者提供有关政策和行动如何增强电力系统的网络弹性的指导。国际能源署。版权所有。 电力安全增强电力系统的网络弹性致谢磷年龄|页2致谢本报告由能源市场与安全局和国际能源署 (IEA) 战略倡议办公室的专家编写。本报告的作者是 Edwin Haesen、 Enrique Gutierrez、 George Kamiya、 Grecia Sofía Rodríguez 和 Jason Elliott。能源市场和安全总监 Keisuke Sadamori 提供了专家指导和建议。IEA 同事提供了宝贵的意见、评论和反馈，包括：Dave Turk、Laszlo Varro、Paolo Frankl、Laura Cozzi、 Peter Fraser、 Aad van Bohemen、 Brent Wanner、 Nicole Thomas、 Edith Bayer、Jihyun Selena Lee 和 Clémence Lizé。 Anna Kalista 提供了必要的支持。作者还要感谢 Justin French-Brooks 对本报告的专家编辑。感谢通信和数字办公室 (CDO) 帮助制作报告和网站材料，特别感谢 CDO 负责人 Jad Mouawad 和 Jon Custer、Astrid Dumond、Tanya Dyhin、Christopher Gully、Julie Puech、Jethro Mullen 和特蕾丝·沃尔什。2020 年 1 月 28 日，在巴黎举行了一场关于电力安全的高级别研讨会。与会者为本次分析提供了宝贵的见解和反馈。更多详情请访问：www.iea.org/events/iea-electricity-security-workshop。作者要感谢许多提供宝贵意见的外部专家，他们对分析发表评论并审阅了报告的初稿。它们包括：Laurent Bernat（经济合作与发展组织）； Stuart Madnick（麻省理工学院）；蒂姆·沃森（华威大学）； Stefano Bracco（欧盟能源监管机构合作署）； Anjos Nijk（欧洲网络安全网络）； Avi Gopstein（美国国家标准与技术研究院 [NIST]）；路易丝·安德森（世界经济论坛）； Rosa Kariger 和 Francisco Laverón (Iberdrola)； Jochen Kreusel (ABB)；马丁·克努森（Ørsted）； Guido Gluschke（勃兰登堡应用科学大学）； Christophe Blassiau（施耐德电气）； Hannele Holttinen（ IEA 风能技术合作计划任务 25）； Masato Yamada 和 Tusitha Abeyasekera (MHI Vestas)；斯蒂芬伍德豪斯（AFRY）； Scott Pinkerton（阿贡国家实验室）； Martha Symko-Davies（国家可再生能源实验室）； Russ Conklin、Fowad Muneer 和 Carolyn Gay（美国能源部）。欢迎对本报告提出意见和问题，并应发送至 EMS-RISE@iea.org。国际能源署。版权所有。 电力安全增强电力系统的网络弹性执行摘要磷年龄|执行摘要数字化为电力系统和清洁能源转型提供了许多好处。与此同时，互联能源和设备的快速增长正在扩大潜在的网络攻击面，而整个系统的连接性和自动化程度的提高正在增加网络安全风险。网络攻击对电力系统的威胁是巨大的，而且还在不断增长。威胁行为者在实施攻击方面变得越来越老练。成功的网络攻击可能会引发对设备和流程的失控，进而导致物理损坏和广泛的服务中断。虽然不可能完全预防网络攻击，但电力系统可以变得更具网络弹性– 承受、适应事件和攻击并迅速从事件和攻击中恢复，同时保持关键基础设施运营的连续性。政策制定者、监管机构、公用事业和设备供应商在确保整个电力价值链的网络弹性方面发挥着关键作用。政策制定者对于增强电力系统的网络弹性至关重要，首先要提高认识并与利益相关者合作，不断识别、管理和沟通新出现的漏洞和风险。政策制定者也非常适合促进伙伴关系和行业合作，制定信息交流计划并支持电力行业内外的研究计划。生态系统范围内的协作有助于提高对每个利益相关者对生态系统构成风险的理解，反之亦然。信息共享可以增强所有电力部门利益相关者的整个系统的网络弹性。应鼓励利益相关者分享有关脆弱性和实际事件的信息，对实施的政策保持透明，并在国家和国际层面分享信息和最佳实践。大量现有的风险管理工具、安全框架、技术措施和自我评估方法可供使用。政策制定者和行业需要应用与其背景相关的内容，并将复原力视为一个持续的过程，而不是一次性的里程碑。政策制定者和行业都应该致力于一种基于持续合作对话的方法。国际能源署。版权所有。 电力安全增强电力系统的网络弹性执行摘要世界各国政府可以通过一系列政策和监管方法来增强网络弹性，从高度规范的方法到面向框架的、基于性能的方法。更具规范性的方法具有允许更简化合规监控的优势，但它们可能面临与不断变化的网络风险保持同步的挑战。较少规定性、基于框架的方法允许跨辖区采用不同的方法和实施速度，但它们提出了有关如何建立连贯且稳健的跨国网络安全方法并产生切实有效影响的问题。在考虑风险的全球性质的同时，应根据国情制定实施战略。网络弹性政策需要不断审查和调整。电力部门的进一步去中心化和数字化——尤其是在配电层面（智能电表、连接的消费设备）——将风险敞口转移到电网边缘。有效的政策需要超越大宗公用事业，并考虑包括供应链在内的整个电力链。供应链安全是一个国际问题。为了证明基于现有国际标准的安全准备、认证或其他类似机制，需要在认为合适的情况下在全球层面制度化和互操作。建议措施许多国家和公司正在制定和实施政策和战略，以增强其电力系统的网络弹性。虽然不同的情况需要量身定制的方法，但几个总体行动领域可以作为实现未来更合适的电力安全框架的基础。它们是：将责任和激励制度化；识别风险；管理和降低风险；监测进展；应对中断并从中断中恢复。制度化政策制定者需要为其管辖范围内的相关组织设定适当的责任和激励措施。政策制定者：指定负责机构设定目标、指导措施并评估其实施。磷年龄|国际能源署。版权所有。 电力安全增强电力系统的网络弹性执行摘要政策制定者和监管者：在负责机构（电力部门内外）之间实施协调机制，以避免不同监管层级之间的冲突。政策制定者和监管机构：激励或强制受监管和不受监管的实体实施网络安全保障措施。措施应旨在改善结果，而不是仅仅依赖于可能成为一个框选练习的基于合规的流程。执行水平需要与组织对更广泛的系统可靠性的重要性有关。需要考虑积极的激励措施来促进透明度、合作和协调。政策制定者、监管机构和行业：提高整个行业对网络弹性需求的认识水平，包括电力相关机构和当局。识别风险政策制定者需要确保关键电力基础设施的运营商识别、评估和沟通关键风险。政策制定者和监管机构：确保指定组织定期进行系统级风险分析，以识别关键威胁情景和系统漏洞。公用事业和运营商：根据风险级别（可能性和影响）识别和分类资产、系统和接口，并根据系统风险级别分配安全措施。政策制定者和行业：促进公私网络风险信息共享。管理和降低风险政策制定者和行业必须合作，以提高整个电力系统价值链的准备程度。政策制定者和行业：提供有关网络弹性最佳实践的可访问工具和指南。公用事业：实施适当的风险管理策略，从信息技术 (IT) 和运营技术 (OT) 的角度识别系统的能力和风险。建立明确的风险管理策略可以帮助优先考虑工作领域和投资决策，以实现利益最大化。政策制定者、标准机构、行业和研究人员：开发设施以测试和验证网络安全措施和控制的有效实施。政策制定者和标准机构：通过仔细分析重要性、执行选项和市场影响来考虑产品和服务的认证。政策制定者和行业：开展网络安全能力建设，以确保技能和资源适当发展。这涉及实现买入和磷年龄|国际能源署。版权所有。 电力安全增强电力系统的网络弹性执行摘要对整个组织的基本了解。应考虑对关键人员进行强制性培训和认证。监控进度政策制定者需要确保有适当的机制和工具来评估和监控风险和准备情况，并随着时间的推移跟踪进展情况。这对于单个公用事业的运营层面以及需要了解战略目标是否得到满足的政策制定者和监管机构来说都很重要。政策制定者和监管者：开发或提供机制和工具来持续监测准备情况。政策制定者和监管者：建立机制来监测和构建关于新兴威胁的知识。在这个领域，与情报界的伙伴关系和沟通至关重要。政策制定者、情报界和行业：开发和支持主动威胁搜寻和网络威胁情报机制，以防止或限制高端攻击造成的损害。设备供应商和公用事业公司：对供应链进行主动监控以检测漏洞。政策制定者和行业：制定共享事件报告和其他信息的机制。响应和恢复弹性必须超越预防事件，包括有效应对攻击。政策制定者需要加强电力部门利益相关者的响应和恢复机制。公用事业：实施强大的响应和恢复程序，帮助在发生网络攻击时维持运营，明确分配给所有主要利益相关者的责任。政策制定者和公用事业部门：执行定期响应练习，汲取经验教训并调整实践。政策制定者、监管机构和行业：促进信息记录和共享，以促进对实际事件的分析。磷年龄|国际能源署。版权所有。 电力安全增强电力系统的网络弹性介绍介绍数字化和去中心化正在改变电力系统中网络风险的性质电力系统——尤其是网络运营——正变得越来越数字化，为电力消费者、公用事业和整个系统带来许多好处（IEA，2017 年）。然而，连接设备和分布式能源资源的增长正在扩大电力系统的潜在网络攻击面，从而增加网络风险。由于连接性和自动化程度的提高、向云计算的转变以及用开放协议标准取代特定行业的 IT，这些网络风险的性质也在发生变化。电力系统与所有其他关键基础设施和服务相互连接。因此，对电力系统的网络攻击是对现代社会各个方面的严重威胁。电力价值链中的政策制定者、监管机构、系统运营商和行业都在增强系统的网络弹性方面发挥着重要作用。这是决策者应对重大且不断增长的威胁的指南以下页面为能源政策制定者和其他利益相关者提供了关于提高电力系统网络弹性的实用指南。本报告使用现实世界的例子，旨在解决以下问题：当今电力系统面临的最大网络安全风险是什么？他们是如何进化的？电力公司和其他主要利益相关者可以制定和实施哪些战略和行动来识别和管理网络风险并从攻击中恢