11明瑞保險經紀-新能源行業的網絡安全風險與應對策略.pdf

《11明瑞保險經紀-新能源行業的網絡安全風險與應對策略.pdf》由會員分享，可在線閱讀，更多相關《11明瑞保險經紀-新能源行業的網絡安全風險與應對策略.pdf（24頁珍藏版）》請在三個皮匠報告上搜索。

1、讓網絡安全保險變得更有價值新能源行業的網絡安全風險與應對策略contents目 錄目 錄*201|行業市場02|案例&解決方案03|我們的作用*行業市場01背景引發的問題法律法規要求標準要求政策指引 中 華 人 民 共 和 國 網 絡安 全 法 該法律規定了網絡安全的基本要求和法律責任，包括網絡基礎設施的安全保護、網絡運營者的安全義務、網絡安全事件的處置等內容。中 華 人 民 共 和 國 能 源法 該法 律規定了 能源行 業的管理要 求，包括 能源企 業的安全保 障和信息 安全的 保護，以及 能源系統 的安全 運行等內容。中 華 人 民 共 和 國 國 家安 全 法 該法律旨在維護國家安全，包

2、括網絡安全和信息安全的維護。能源企業作為關鍵基礎設施的一部分，需要履行國家安全法規定的安全保護責任。關 鍵 信 息 基 礎 設 施 安全 保 護 條 例 要求 包括確保 能源供 應設施 的安全 保護，建 立健全 的能源 信息系 統安全管 理制度，報告 和應急 處理安全 事件。能源企 業需采 取必要的 安全措 施，保 障能源 供應的連 續性、信息安 全和運 行穩定。這些要 求旨在 確保能 源企業作 為關鍵 信息基 礎設施 的安全，防止安 全事件 對能源 供應和信息 系統造成損害，提高 能源企業 的網絡 安全和 信息安 全水平。國務院2021年9月7/標準指引01三項基本原則：以關鍵業務為核心的整

3、體防控以風險管理為導向的動態防護以信息共享為基礎的協同聯防六大安全保護環節：從分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置這六方面細化了關鍵信息基礎設施的安全保護要求信息安全技術 關健信息基礎設施安全保護要求（GB/T 39204-2022）要求：信息安全技術 網絡安全等級保護基本要求（GB/T 22239-2019）要求：1.網絡安全加強網絡訪問控制、實施數據加密傳輸、建立數據備份和恢復機制、加強網絡設備防護等。對重要的網絡信息系統要進行安全評估和測試。2.數據安全數據安全保障體系，包括數據備份和恢復、加密存儲、數據傳輸加密等措施。3.信息系統安全信息系統安全體系，包括加強系統

4、訪問控制、完善安全審計機制、加強系統漏洞管理、對系統進行風險評估和測試等措施。4.應用系統安全應用系統安全體系，包括加強應用系統訪問控制、加強應用系統漏洞管理、加強應用系統數據安全等措施。對于重要的應用系統要進行安全評估和測試。5.人員安全人員安全保障體系，包括實施安全培訓、加強人員管理、加強人員身份認證等措施，確保人員安全。6.物理安全物理安全保障體系，包括加強物理訪問控制、加強設備安全防護、加強設備風險評估等措施。7.管理制度管理制度，包括制定信息安全管理制度、加強安全意識教育、制定安全事件應急預案、加強安全審計等措施，確保信息安全。 防止電力自動化系統事故19.2 防止電力監控系統網絡安

5、全事故19.3 防止電力通信網事故19.4 防止信息系統事故2023年3月國家能源局發布防止電力生產事故的二十五項重點要求（2023版）第19章 防止電力自動化系統、電力監控系統網絡安全、電力通信網及信息系統事故的重點要求 國家金融監督管理總局 聯合發布了關于促進網絡安全保險規范健康發展的意見。其中提到，面向電信和互聯網、能源、金融、醫療衛生等重點行業，圍繞網絡安全與信息技術產品服務供給側和需求側兩類主體，充分發揮網絡安全產業、網絡安全保險相關聯盟協會等作用，開展網絡安全保險可推廣的網絡安全保險服務模式，促進網絡安全保險推廣應用。*案例&解決方案02責任劃分案例&解決方案 Windtechni

6、k AG、Nordex SE、Enercon GmbH）遭網絡攻擊后，部分運營業務被迫中斷，數千臺風力渦輪機的遠程控制系統直接癱瘓，其中一家還不得不關閉了IT系統。4月中旬，專門從事風力渦輪機維護的Deutsche Windtechnik AG公司遭遇網絡攻擊，該公司表示，攻擊事件發生之后，德國約2000臺風力渦輪機的遠程控制系統癱瘓一天左右。渦輪機制造商Nordex SE表示，他們在3月31日遭受的網絡攻擊事件導致IT系統被迫關閉。曾宣布支持俄羅斯的Conti勒索軟件團伙在事后放話稱，對此次攻擊事件負責。另一家渦輪機制造商Enercon GmbH提到，他們在今年2月也同樣遭受到了網絡攻擊，攻

7、擊破壞公司共5800臺風力渦輪機的遠程控制系統。網絡攻擊不僅僅是網上的新聞或其他人的故事，隨著世界局勢的不斷變化，任何企業都有可能會面臨這些問題，若不及時防范于未然，我們都可能成為網絡攻擊和勒索軟件的犧牲品。關鍵詞：系統癱瘓、營業中斷據多家美國媒體報道，今年5月美國新能源汽車制造商特斯拉曾發生一起大規模數據泄露事件。包括員工個人信息在內的大量保密信息以及客戶投訴記錄在這次事件中被流出。德國商報當時仍披露了這次信息泄露中的部分情況。該報稱，被泄露的信息數據量多達100G，里面不僅有大量在職員工和前員工的個人信息（含姓名、住址、電話、電郵、薪資）包括特斯拉老板馬斯克自己的社保號碼也在其中，也有客戶

8、的銀行信息等個人信息，還有2400條對特斯拉車輛突然加速問題的客戶投訴，以及1500條對剎車問題的投訴等等。關鍵詞：網絡安全、隱私泄漏 絡 安 全 保 險解 決 方 案事故可能造成的后果信息安全數據泄露網絡欺詐業務中斷監管調查輿情危機建議保障范圍網絡安全和隱私責任數據損失恢復事故響應費用網絡勒索損失營業中斷損失網絡欺詐損失社會工程學犯罪損失調查&減損費用法律訴訟 SolarWinds 事件。攻擊者使用惡意軟件修改了供應商軟件的簽名版本，然后他們利用這些惡意軟件感染了 18,000 家私營企業和政府機構。一旦將其安裝在目標環境中，病毒就會通過更大的攻擊媒介傳播。軟件供應鏈攻擊日益普遍，Gartn

9、er 將其列為2022 年的第二大威脅。Gartner 預測，到 2025 年，全球 45%的組織將遭受一次或多次軟件供應鏈攻擊。新能源企業有兩個明顯特點：特點一，辦公業務軟件的安裝量占比很高，高達39.8%，和政府機構的情況基本一樣，遠超其他行業；特點二，行業軟件的使用比例相對較高，高達18.1%，僅次于金融行業，但比其他行業的占比要高得多。所以，能源行業應相對更加重點關注供應鏈安全。關鍵詞：供應鏈攻擊、網絡安全、供應鏈攻擊鏈路須提供安全可靠的網絡設備和系統，確保其符合企業的網絡安全要求和標準。供應商應確保其使用的網絡設備（包括但不限于系統、軟件及設備）沒有漏洞、后門或不安全的配置，并及時安

10、裝必要的安全補丁和更新，確保涉及企業的數據及信息存儲的安全性。提高網絡安全風險的防范意識及能力。企業供應商責任/企業供應鏈網絡安全責任&風險02供應鏈網絡安全風險1.供應商發生網絡安全事件，導致其投保的且用于服務主體企業的自身計算機系統服務中斷，致使主體企業服務中斷或數據泄露。2.供應商發生網絡安全事件后，通過計算機系統傳導至主體企業，致使主體企業發生網絡安全事件并導致服務中斷或數據泄露。 的應急相應及追溯取證等安全技術服務投保企業購買網絡安全保險可根據需要訂閱安全服務購買專業安全服務提供保前評估，保中服務，協助理賠、定損等技術支撐服務保險公司賽保保 后保 中保 前包括實時監測，通過安全監控和檢測技術，對投保企業網絡進行持續監測，及時發現并應對安全事件，減少損失和影響。意識教育，幫助員工提升網絡安全意識和網絡安全風險防范能力等包括事件調查和恢復，可以協助企業進行安全事件的調查和溯源工作，協助恢復被破壞的系統和數據，輿情控制以及提供相關的法律和技術支持。包括風險評估、識別潛在威脅和漏洞，并提供相應的建議和解決方案。通過服務可以幫助建立全面的網絡安全保護體系，降低網絡安全風險，并在安全事件發生時提供及時的支持和應對措施。 企業直觀了解企業的網絡安全狀態 You歡迎隨時交流溝通：陳正明13601219175上海明瑞保險經紀有限公司