澳大利亞能源行業(yè)網絡空間安全治理機制淺析

翟振宇 金天一 徐大豐 國網國際發(fā)展有限公司 陳貴亮 國網安徽綜合能源服務有限公司 張正凱 國網國際發(fā)展有限公司

近年來，隨著數字經濟不斷升溫，全球正加速邁入數字經濟時代，數據價值逐步凸顯。與此同時，數據安全成為社會各方關注的焦點，各國政府也高度重視網絡空間安全，普遍將其視為國家安全的重要組成部分。澳大利亞政府作為其中典型代表，依托政府相關部門和社會組織制定、實施網絡空間安全戰(zhàn)略，覆蓋能源行業(yè)等關鍵基礎設施，形成了較為完善的安全治理機制。

一、澳大利亞網絡空間安全治理機構

澳大利亞政府將網絡空間安全視為國家安全的重要組成部分，國家大力支持網絡空間安全行業(yè)發(fā)展。澳大利亞國家網絡空間安全事務由其聯(lián)邦政府內政部（Department of Home Aff airs）負責，該部組織制定澳大利亞國家網絡空間安全政策，組織實施政府的網絡空間安全戰(zhàn)略和行動計劃。

2020年8月，澳大利亞政府發(fā)布了《澳大利亞網絡空間安全戰(zhàn)略2020》[3]，稱將在10年內投資16.7億澳元，為澳大利亞營造一個更加安全的網絡空間，指出政府、企業(yè)及社會應密切協(xié)作，共同為加強網絡空間安全作出貢獻。值得關注的是，該戰(zhàn)略明確提出政府有責任加強對關鍵基礎設施的防護。

二、能源行業(yè)網絡空間安全治理機制

澳大利亞網絡安全中心（ACSC）牽頭落實澳大利亞政府的網絡空間安全戰(zhàn)略，是澳內政部在網絡空間安全工作方面的重要支撐單位。ACSC總部設在澳大利亞情報局（ASD），并獲得了ASD的重要支持。ACSC的致力于把澳大利亞打造成最安全的網絡空間。主要工作包括：（1）7*24小時監(jiān)測網絡威脅，發(fā)布網絡預警；（2）提供網絡安全建議和信息。發(fā)生網絡安全事件時，向關鍵基礎設施運營商等客戶提供建議；（3）與澳大利亞國內外企業(yè)，政府、學術界以及專家合作交流；（4）與執(zhí)法機構合作，打擊網絡犯罪。

ACSC將關鍵基礎設施防護作為其工作的重要組成部分，通過積極促進政府和企業(yè)合作，提升澳大利亞關鍵基礎設施、控制系統(tǒng)和工控技術的網絡安全水平，幫助客戶識別和評估安全漏洞，制定風控措施。針對關鍵基礎設施的具體服務內容包括：（1）IT/OT技術專家服務；（2）針對高風險環(huán)境的定制化建議；（3）應急響應；（4）威脅評估。

綜上，澳大利亞通過政府主導，充分運用政府、行業(yè)、社會、學術等各界力量，將關鍵基礎設施的網絡空間安全防護作為國家安全的重要組成部分，指導、服務相關企業(yè)開展網絡空間安全工作，營造了一個有機、高效的網絡空間安全治理體系。

三、安全框架及數據保護政策

近期，澳大利亞聯(lián)邦政府加大了對國家安全和能源行業(yè)的關注度，增強了相關政策的推進力度，意識到了能源行業(yè)為消費者提供穩(wěn)定、可持續(xù)電能發(fā)揮的關鍵作用。為落實相關要求，AEMO與行業(yè)主要成員根據國際上的現(xiàn)有行業(yè)標準，共同制定了澳大利亞能源行業(yè)網絡安全框架（AESCSF），旨在促進其參與者評價、強化網絡安全能力，解決澳大利亞能源部門面臨的日益嚴重的網絡安全風險?？蚣苡?018年制定，并在2019年進行多次修正以適應不斷變化的網絡安全威脅格局和澳大利亞能源行業(yè)面臨的新挑戰(zhàn)。

框架包括兩個關鍵部分，一是重要性評估，二是網絡安全能力和成熟度自測。重要性評估是通過評估工具（CAT）完成對每個參與者在行業(yè)內的重要程度進行評價，CAT是為電力行業(yè)特別制定，包含發(fā)電、輸電、獨立互聯(lián)、配電、售電五個方面。網絡安全能力和成熟度自測分為兩個版本，分別是完整自測和精簡自測。完整自測包含了框架內所有282種實例和反網絡攻擊模式，面對的對象是中、高重要性參與者；精簡自測只有29個較為簡單的問題，面對的對象是低重要性測評參與者。南澳公司還未對自身進行行業(yè)重要性評級，但是已經將該框架作為自身網絡安全成熟度的參考標準。

初步分析，由于CDR規(guī)定企業(yè)不允許在消費者不知情、不同意的情況下，利用消費者信息進行數據分析、對消費者進行精準廣告推廣等行為，所以認為目前CDR對互聯(lián)網企業(yè)的影響較大，對能源、電力行業(yè)影響較小。

建議中資企業(yè)在澳資產積極配合澳政府對消費者信息進行管控，加強對用戶信息的保護，防止用戶信息泄露。同時，建議中資企業(yè)做好數據保護方案，一是研究《2010年競爭與消費權法》等法律法規(guī)，制定數據安全紅線要求與合規(guī)指引，保障數據業(yè)務、數據產品生命周期全過程的安全性和規(guī)范性；二是建立中心網絡和數據安全制度，明確職責和安全要求；三是重點強化內部數據接觸人員安全管理，防范由于人員管理不到位導致的數據泄露事件，通過安全宣傳、事件教育等提升數據安全合規(guī)風險意識；四是加強流程管控，針對各數據使用場景制定數據審批流程。