澳大利亚能源行业网络空间安全治理机制浅析

翟振宇 金天一 徐大丰 国网国际发展有限公司 陈贵亮 国网安徽综合能源服务有限公司 张正凯 国网国际发展有限公司

近年来，随着数字经济不断升温，全球正加速迈入数字经济时代，数据价值逐步凸显。与此同时，数据安全成为社会各方关注的焦点，各国政府也高度重视网络空间安全，普遍将其视为国家安全的重要组成部分。澳大利亚政府作为其中典型代表，依托政府相关部门和社会组织制定、实施网络空间安全战略，覆盖能源行业等关键基础设施，形成了较为完善的安全治理机制。

一、澳大利亚网络空间安全治理机构

澳大利亚政府将网络空间安全视为国家安全的重要组成部分，国家大力支持网络空间安全行业发展。澳大利亚国家网络空间安全事务由其联邦政府内政部（Department of Home Aff airs）负责，该部组织制定澳大利亚国家网络空间安全政策，组织实施政府的网络空间安全战略和行动计划。

2020年8月，澳大利亚政府发布了《澳大利亚网络空间安全战略2020》[3]，称将在10年内投资16.7亿澳元，为澳大利亚营造一个更加安全的网络空间，指出政府、企业及社会应密切协作，共同为加强网络空间安全作出贡献。值得关注的是，该战略明确提出政府有责任加强对关键基础设施的防护。

二、能源行业网络空间安全治理机制

澳大利亚网络安全中心（ACSC）牵头落实澳大利亚政府的网络空间安全战略，是澳内政部在网络空间安全工作方面的重要支撑单位。ACSC总部设在澳大利亚情报局（ASD），并获得了ASD的重要支持。ACSC的致力于把澳大利亚打造成最安全的网络空间。主要工作包括：（1）7*24小时监测网络威胁，发布网络预警；（2）提供网络安全建议和信息。发生网络安全事件时，向关键基础设施运营商等客户提供建议；（3）与澳大利亚国内外企业，政府、学术界以及专家合作交流；（4）与执法机构合作，打击网络犯罪。

ACSC将关键基础设施防护作为其工作的重要组成部分，通过积极促进政府和企业合作，提升澳大利亚关键基础设施、控制系统和工控技术的网络安全水平，帮助客户识别和评估安全漏洞，制定风控措施。针对关键基础设施的具体服务内容包括：（1）IT/OT技术专家服务；（2）针对高风险环境的定制化建议；（3）应急响应；（4）威胁评估。

综上，澳大利亚通过政府主导，充分运用政府、行业、社会、学术等各界力量，将关键基础设施的网络空间安全防护作为国家安全的重要组成部分，指导、服务相关企业开展网络空间安全工作，营造了一个有机、高效的网络空间安全治理体系。

三、安全框架及数据保护政策

近期，澳大利亚联邦政府加大了对国家安全和能源行业的关注度，增强了相关政策的推进力度，意识到了能源行业为消费者提供稳定、可持续电能发挥的关键作用。为落实相关要求，AEMO与行业主要成员根据国际上的现有行业标准，共同制定了澳大利亚能源行业网络安全框架（AESCSF），旨在促进其参与者评价、强化网络安全能力，解决澳大利亚能源部门面临的日益严重的网络安全风险。框架于2018年制定，并在2019年进行多次修正以适应不断变化的网络安全威胁格局和澳大利亚能源行业面临的新挑战。

框架包括两个关键部分，一是重要性评估，二是网络安全能力和成熟度自测。重要性评估是通过评估工具（CAT）完成对每个参与者在行业内的重要程度进行评价，CAT是为电力行业特别制定，包含发电、输电、独立互联、配电、售电五个方面。网络安全能力和成熟度自测分为两个版本，分别是完整自测和精简自测。完整自测包含了框架内所有282种实例和反网络攻击模式，面对的对象是中、高重要性参与者；精简自测只有29个较为简单的问题，面对的对象是低重要性测评参与者。南澳公司还未对自身进行行业重要性评级，但是已经将该框架作为自身网络安全成熟度的参考标准。

初步分析，由于CDR规定企业不允许在消费者不知情、不同意的情况下，利用消费者信息进行数据分析、对消费者进行精准广告推广等行为，所以认为目前CDR对互联网企业的影响较大，对能源、电力行业影响较小。

建议中资企业在澳资产积极配合澳政府对消费者信息进行管控，加强对用户信息的保护，防止用户信息泄露。同时，建议中资企业做好数据保护方案，一是研究《2010年竞争与消费权法》等法律法规，制定数据安全红线要求与合规指引，保障数据业务、数据产品生命周期全过程的安全性和规范性；二是建立中心网络和数据安全制度，明确职责和安全要求；三是重点强化内部数据接触人员安全管理，防范由于人员管理不到位导致的数据泄露事件，通过安全宣传、事件教育等提升数据安全合规风险意识；四是加强流程管控，针对各数据使用场景制定数据审批流程。