電力企業網絡與信息安全駐點遼寧

監管報告

?

?

國家能源局

二○一四年四月

????為進一步加強電力企業網絡與信息安全監督管理工作，提高電力企業重要信息系統（尤其是生產控制大區信息系統）抵御惡意信息攻擊的能力，根據《國家能源局關于近期重點專項監管工作的通知》（國能監管〔2013〕432號）要求，國家能源局組織對遼寧省電力企業網絡與信息安全工作開展了專項駐點監管。根據駐點監管情況，編制形成《電力企業網絡與信息安全駐點遼寧監管報告》。

????一、 基本情況

????（一）電力企業概況

????遼寧省內共有電力企業440余家，其中電網企業主要有東北電網有限公司、遼寧省電力有限公司及其14家市級供電公司；發電企業中歸屬五大發電集團的火電廠有21座、水電站3座、風電場35座，共計59座（家）。

????（二）電力企業信息系統定級分布情況

????遼寧省在全國率先開展電力企業信息安全等級保護工作，截至2014年2月，各電力企業信息系統共453個，經定級備案，四級系統2個、三級系統87個，二級系統289個（約64%），一級系統20個，未定級系統55個。遼寧省信息系統定級分布情況如圖1所示：

（數據來源：國家能源局東北監管局）

圖1遼寧省信息系統定級分布情況

????（三）電力二次系統安全防護工作開展情況

????遼寧電力企業按照《電力二次系統安全防護規定》要求，遵循“安全分區、網絡專用、橫向隔離、縱向認證”的原則，對所屬生產控制系統和管理信息系統進行安全分區建設、內外網隔離部署，配置橫向隔離設備和縱向加密認證裝置，增加網絡安全防護措施及設備，電力二次系統安全防護整體水平顯著提高。截至2014年2月，省內地級以上電網企業及重要廠站共加裝橫向隔離設備129套，220千伏以上電力調度數據網共加裝縱向認證加密裝置415套，電力二次系統安全防護體系基本建立。

????根據《關于開展電力工控PLC設備信息安全隱患排查及漏洞整改工作的通知》（國能綜安全〔2013〕387號）要求，東北能源監管局對遼寧省內統調以上發電企業工控系統使用PLC情況進行了全面排查，共計288套（按業務系統或功能進行統計），主要用于發電廠監控系統、輔助設備控制系統等,統計情況示意圖如圖2所示：

（數據來源：國家能源局東北監管局）

圖2 遼寧省電力工控PLC統計情況示意圖

????二、 存在的問題

????（一）管理方面的主要問題

????1. 部分電力企業網絡與信息安全工作多頭管理，職能交叉，缺乏統一領導和溝通協調；信息安全工作人員配備不足，甚至身兼數職，不利于信息安全工作的落實。

????2. 部分電力企業對網絡與信息安全的應急處置工作重視不足，應急預案針對性、可操作性不足，應急演練形式大于內容，起不到發現問題、解決問題的作用。

????3. 部分電力企業對信息安全等級保護工作重視不夠，定級、備案、測評、整改等環節的各項要求落實不嚴，主要體現在：

????（1）定級環節報備材料填寫不完整，企業信息系統的定級數量掌握不全面，存在漏定、定級不準等情況。

????（2）備案環節存在備案不積極、備案不及時、未按要求備案等情況。

????（3）信息系統的測評工作未按國家有關頻次要求開展，部分信息系統測評效果不佳。

????（4）測評整改意見和建議落實不徹底或整改不全面。

????（二）技術方面的主要問題

????4. 部分發電企業與電網企業之間的信息系統邊界防護有待加強。

????5. 部分企業電力二次系統安全防護設備運行維護不及時、安全配置不完整，主要體現在：

????（1）部分企業電力二次系統信息安全防護措施落實不到位，普遍存在補丁升級不及時、弱口令、審計薄弱等問題。

????（2）部分企業電力二次系統中信息系統漏洞檢測、安全加固等工作開展不及時、或未定期開展。

????（3）部分企業電力二次系統安全防護應急預案存在事故預想不全面、內容不完整、相關要求缺乏可操作性等問題，缺少演練、培訓和更新的相關內容。

????（4）部分企業未按要求開展電力二次系統安全防護評估工作。

????（5）部分發電企業在基礎設施、機房環境等方面較為薄弱，不滿足信息系統安全等級保護的基本要求。

????三、 監管意見

????（一）強化組織保障體系建設。各電力企業要梳理網絡與信息安全管理涉及的部門、崗位和人員，進一步明確各相關部門，特別是牽頭管理部門的權利、責任和義務，明確部門間工作協調機制，各部門要設立信息安全管理專職崗位，責任到人，強化信息安全組織保障體系。

????（二）建立健全常態化工作機制。各電力企業要深刻認識到電力信息安全與電力生產安全同等重要。要根據國家和行業監管部門有關要求，落實專項資金、制定工作計劃，定期對電力二次系統開展安全評估、等級保護測評，形成常態化工作機制。對評估、測評中發現的問題，要安排資金，及時整改，消除安全隱患。

????（三）統籌做好電力工控PLC設備安全整改工作。各電力企業要按照《關于開展電力工控PLC設備信息安全隱患排查及漏洞整改工作的通知》（國能綜安全〔2013〕387號）的有關要求，根據實際情況，統籌安排，采取召回、固件升級、老舊設備更新等方式分批分期開展電力工控PLC設備的整改加固工作。新建系統中要選用安全、可靠、可控的PLC等工控設備。

????（四）強化信息安全人才隊伍建設。各電力企業要面向公司領導、相關部門主要負責人和企業員工，定期組織開展信息安全政策宣貫培訓，提高領導層的認識，提高員工信息安全防范意識。同時要制定培訓計劃，派送技術人員參加行業和其它專業機構舉辦的信息安全培訓，提高信息安全從業人員的專業技術水平。

????（五）加大科技支撐力度。各電力企業要進一步加大科技投入，針對電力行業重要信息系統（尤其是生產監控系統）的實際特點及技術發展情況，充分發揮科研院所、高等院校的科研創新能力，深入開展基于可信計算的系統安全免疫、電力工控設備信息安全漏洞的監測/檢測、信息系統安全審計等內容研究，切實保證電力企業重要信息系統的安全可靠運行。