连日来,俄乌冲突牵动着全球目光。在这场现代冲突中,除了现实战场,两国间的网络冲突也需引起人们的重视。今年以来,俄罗斯和乌克兰均遭到多起网络攻击,目标主要集中在政务、金融、电信等基础设施范围,进而对政府和多个行业产生了严重影响。这个“没有硝烟的战场”给我国能源领域敲起了警钟。在当今的互联网时代,能源网络安全的重要性更加凸显。
对此,绿盟科技首席合规咨询专家、高级安全顾问张睿接受了本刊专访,发表了专业视角的看法。
(张=张睿,能=能源高质量发展)
能:乌克兰的网络安全建设在全球处于什么水平?
张:近几年,因为国际上多重因素的制衡,乌克兰互联网技术及相关技术创新能力早已无法与世界发达国家比肩。网络安全行业拥有很强的互联网产业属性,且交叉研究领域众多,所以无论从安全技术研究水平,还是网络安全保障能力,乌克兰的网络安全建设都无法与世界先进国家相抗衡。叠加其财政赤字安全预算有限以及工业系统供应链极度依赖海外,从研发资金以及系统自主可控性上也无法得到保障。需要强调的是,能源行业的网络安全建设乃至一个国家的综合网络安全实力,需要持续充足的资金和人才投入,需要有系统、有组织、有战略,进而才能实现产业化、规模化、高水平发展。
能:网络攻击在现代冲突中起到哪些关键作用?保障网络安全对于维护国家稳定有哪些意义?
张:我们可以从两方面理解:一是从攻守双方角度考虑。网络攻击既能发挥出攻击效用,实现虚拟网络空间与实体物理空间的联合作战与共同打击,又能发挥事前威慑、信息获取、信息分析等相关辅助作用,发挥其攻击隐秘、目标明确、效果直接的特性,影响双方的战略部署与决策。二是从国际民众角度考虑。追求世界和平不仅是当今时代的追求,更是各国人民的永恒诉求。所以网络攻击发动方尝试引导舆论,占领舆论优势,给对方制造国际压力、借此获取国际人道主义帮助意义重大。
所以基于网络攻击的两个角度,保障和维护网络安全对于维护国家稳定意义重大,而且需要多方发力。首先,我们需要加强各关键领域网络安全建设,尤其是涉及能源、交通、电信直接关系国家稳定、人民生活的重点领域,提升网络安全检测、防护、响应综合能力水平,构建网络安全常态化应急防护保障体系。其次,鼓励和发展科技创新,提升国家创新能力与国防工业实力,努力发展经济,推动国家综合实力的稳步增长。最后,加强国际合作,发挥大国担当,引导构建和谐公平的网络生态环境,维护世界和平。
能:俄乌网络攻击由来已久,比如2016年乌克兰电力公司网络系统曾遭俄罗斯特工攻击,导致发生停电事故。这件事对乌克兰乃至全球各国的能源网络有何影响?
张:2016年乌克兰电力公司网络遭受攻击,事后并未有相关组织对外发表声明对相关事件负责,但其舆论影响范围非常广泛。该事件正式让世界各国认识到工业控制系统安全对于国家安全的重要性,认识到能源安全不只需要保障能源供应,还需保障能源网络系统,同时,也认识到国家间对抗不只是经济、外交、军事的对抗,更包括第五空间——网络空间对抗。可以说,没有网络安全,就没有国家安全。
能:在俄乌冲突中,如果乌克兰的能源网络遭受攻击,会给乌克兰带来哪些严重后果?
张:能源网络遭受攻击,相应后果可以从两大维度考虑:
一是对于能源信息网来说,乌克兰被攻击后,相关信息网络依据破坏类型,首先为保密性遭受破坏,能源系统关键数据、涉密信息被窃取,一方面被窃核心工艺参数会使乌克兰蒙受经济损失,另一方面攻击方围绕获取的数据可以用于下一步精准打击;其次为能源信息系统的完整性遭受破坏,通过植入木马、后门,传播病毒、蠕虫等方式,污染破坏原始网络环境,同步实现远程操控能源信息系统目的;最后为能源信息系统可用性遭受破坏,通过修改生产参数、启停关键设备,达成能源停产,并进一步酿成生产事故。
二是对于能源供应网来说,网络打击造成油气采掘、发电上游停产、产能不足,直接影响能源供给,导致断电、断油、断气;中下游输配、分销系统遭受破坏,能源供应受阻,同样导致断电、断油、断气。此外,围绕油气易燃易爆、核能放射、电力过载燃烧等危险属性,针对油气储运、炼化、核能发电机构定向攻击可能酿成大规模生产事故,并危及乌克兰国民生命健康。能源是各工业行业持续运行的基础,能源断供也将直接导致相关制造业停产,除乌克兰人民生活诸如通讯、取暖等基础需求无法得到保障,军工装备制造的停产也将进一步削弱乌克兰武器供应能力,使其更加依赖他国武器输入。
能:这次的俄乌网络事件给我国的能源网络安全建设带来了哪些启示?
张:此次事件再次强化了能源安全之于国家安全的重要性,尤其能源行业拥有众多关键信息基础设施。随着我国能源行业数字化、智能化改造的稳步推进,能源网络安全保障更加直接关乎社会经济秩序与民生福祉。
透过俄乌网络事件,一方面,我们可以审视我国能源网络安全建设水平与防护重点,明确网络安全责任主体和未来建设发展路径;另一方面,立足能源行业总体安全,从能源业务可用性、完整性、保密性考虑,我们还需以更全面的视角关注能源供应链安全。以油气行业为例,需要分别考虑上游采掘、中游炼化及油服、下游分销的网络安全能力与成熟度,通过广阔的安全视角明确能源安全、生产安全、网络安全、国家安全之间的关系与工作重点。此外,完善能源风险应急管控体系、强化重要能源设施、实现能源网络安全更是我国“十四五”规划中的重要组成部分。所以,对外面对复杂多变的国际局势,对内我国稳步推进“十四五”建设任务,在数字经济、数字政府、智慧城市不断建设发展的需求背景下,构建能源安全体系是保障经济有序发展的基础,更是实现国家安全目标的一大根本要素。而围绕国家安全战略下的能源网络安全综合建设,不仅仅只对能源领域拥有指导意义,对于其它工业领域及关键基础设施领域的安全设计与建设同样很具有参考价值。
【责任编辑:刘澄谚 】
