電企網(wǎng)絡與信息安全態(tài)勢穩(wěn)定

互聯(lián)網(wǎng)出口防護、設備遠程維護、工控設備漏洞整改等環(huán)節(jié)亟待加強

????日前，國家能源局發(fā)布的《電力企業(yè)網(wǎng)絡與信息安全專項監(jiān)管報告》（以下簡稱《報告》）顯示，電力企業(yè)網(wǎng)絡與信息安全形勢保持了持續(xù)穩(wěn)定態(tài)勢，保證了電力行業(yè)重要信息基礎設施安全、穩(wěn)定、高效運行。根據(jù)專項監(jiān)管督查情況，《報告》披露了北京、山東、浙江、廣東四省（市）電力企業(yè)在電力監(jiān)控系統(tǒng)安全防護、信息安全等級保護等方面存在的問題，并針對具體問題提出了監(jiān)管建議，進一步提升電力行業(yè)重要信息基礎設施的網(wǎng)絡安全防護能力

????網(wǎng)絡與信息安全態(tài)勢總體穩(wěn)定

????電網(wǎng)防護水平明顯優(yōu)于發(fā)電

????此次專項監(jiān)管重點督查了四省（市）38家電力企業(yè)，督查涵蓋網(wǎng)絡與信息安全組織體系建設、管理制度及標準規(guī)范落實、電力監(jiān)控系統(tǒng)總體防護策略落實等。

????從督查情況看，電力企業(yè)建立了電力監(jiān)控系統(tǒng)安防體系。例如在浙江，電力企業(yè)已基本建立了“以電力企業(yè)為主體、以調(diào)度機構為紐帶、以監(jiān)督管理為手段、以聯(lián)合防護為特征”的電力監(jiān)控系統(tǒng)安全防護和監(jiān)督管理體系。

????此外，電力企業(yè)不斷推進電力監(jiān)控系統(tǒng)安全防護能力建設及等級保護工作，認真開展電力工控設備及操作系統(tǒng)等漏洞整改工作，取得了積極效果。

????《報告》指出，電力企業(yè)認真貫徹國家發(fā)展改革委2014年第14號令，積極開展安全防護能力建設和風險評估，實現(xiàn)全過程管理，保障了電力監(jiān)控系統(tǒng)安全穩(wěn)定運行。此外，還積極開展了電力網(wǎng)絡與信息系統(tǒng)等級保護定級備案、測評和整改落實工作，提升了電力行業(yè)網(wǎng)絡與信息系統(tǒng)抵御安全風險的能力。

????2014年，電力行業(yè)網(wǎng)絡與信息安全形勢保持了持續(xù)穩(wěn)定的態(tài)勢，全年未發(fā)生較大以上網(wǎng)絡安全事件，保證了電力行業(yè)重要信息基礎設施的安全、穩(wěn)定和高效運行。

????在肯定成績的同時，《報告》披露了四省（市）電力企業(yè)網(wǎng)絡與信息安全工作組織體系和管理制度、電力監(jiān)控系統(tǒng)安全防護、信息安全等級保護等方面存在的8大類共26項問題，涉及企業(yè)12家。

????《報告》指出，從現(xiàn)場督查和聯(lián)合抽查情況來看，在電力行業(yè)網(wǎng)絡與信息安全防護工作方面，電網(wǎng)企業(yè)防護水平明顯優(yōu)于發(fā)電企業(yè)，傳統(tǒng)類型發(fā)電企業(yè)防護水平明顯優(yōu)于新能源類發(fā)電企業(yè)，電網(wǎng)生產(chǎn)系統(tǒng)防護水平明顯優(yōu)于營銷系統(tǒng)。

????八大類突出問題、四方面共性問題亟待解決

????《報告》指出，從專項監(jiān)管督查情況看，四省（市）電力企業(yè)在互聯(lián)網(wǎng)出口防護、設備遠程維護、工控設備漏洞整改等方面較為薄弱。

????《報告》重點分析梳理了電力企業(yè)在網(wǎng)絡與信息安全防護工作方面存在的八大類突出問題：

????一是部分電力企業(yè)對網(wǎng)絡與信息安全工作認識不足、重視不夠，工作領導機構不健全，責任部門不明確，責任制未有效落實，存在職能交叉、多頭管理、重要管理制度缺失、執(zhí)行不嚴等問題。

????二是部分電力企業(yè)安全管理工作滯后，崗位職責不清晰，崗位技能要求不明確；安全意識、教育培訓工作需進一步加強；信息安全從業(yè)人員的數(shù)量、專業(yè)技能不足。

????三是部分電力企業(yè)未開展信息安全等級保護工作，存在重要信息資產(chǎn)未標識、重要信息系統(tǒng)未定級、定級不準確、評估及測評工作開展不規(guī)范等問題。

????四是部分發(fā)電企業(yè)生產(chǎn)控制大區(qū)內(nèi)安全風險管控嚴重不足，缺乏對遠程調(diào)試和運維工作有效的管控手段。

????五是個別電力企業(yè)的電力監(jiān)控系統(tǒng)安全防護仍存在隔離措施落實不到位的情況，對已在電力行業(yè)通報的電力監(jiān)控系統(tǒng)網(wǎng)絡故障事件不夠重視，對電力監(jiān)控系統(tǒng)存在的安全風險認識不足。

????六是部分電力企業(yè)技術管理措施不到位，安全策略配置不嚴密，網(wǎng)絡與信息安全防護仍存在薄弱環(huán)節(jié)。

????七是部分電力企業(yè)主機操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡設備的安全配置不當，訪問控制策略不嚴格，安全加固工作不全面；信息設備自身安全防護存在問題，或安全防護設備、系統(tǒng)未正常使用。

????八是部分電力企業(yè)機房物理環(huán)境不符合信息系統(tǒng)相應等級保護要求。

????此外，結(jié)合全年監(jiān)管工作和中央網(wǎng)信辦等國家信息安全主管部門組織開展的工作，《報告》還披露了行業(yè)存在的四方面共性問題。

????加強保障體系建設

????全方位持續(xù)提高網(wǎng)絡與信息安全防護能力

????對于上述問題，專項監(jiān)管督查組在現(xiàn)場監(jiān)管過程中督辦有關企業(yè)進行整改，進一步強化了電力監(jiān)控系統(tǒng)安全防護和電力行業(yè)信息安全等級保護工作。

????在此基礎上，《報告》針對具體問題提出了監(jiān)管意見。

????《報告》強調(diào)，首先要提高認識，進一步加強組織管理和保障體系建設，要求各電力企業(yè)進一步加強組織領導，落實網(wǎng)絡與信息安全管理涉及的責任部門、崗位、人員及專項經(jīng)費，把網(wǎng)絡與信息安全放在與生產(chǎn)安全同等重要的地位，納入生產(chǎn)安全評價考核體系，確保責任落實到位。電力企業(yè)要制定符合自身情況的網(wǎng)絡與信息安全防護規(guī)范和策略，尤其是電網(wǎng)營銷系統(tǒng)和新能源發(fā)電企業(yè)更需加強網(wǎng)絡安全防護體系建設。

????此外，《報告》強調(diào)，電力企業(yè)必須狠抓落實，持續(xù)提高自身網(wǎng)絡與信息安全防護能力。各電力企業(yè)應加強網(wǎng)絡與信息安全總體規(guī)劃和整體策略設計，進一步強化邊界防護和生產(chǎn)控制大區(qū)縱深防御；加強對關鍵監(jiān)控系統(tǒng)及設備的技術摸底、運行維護技術培訓，采取有針對性的隔離、審計等措施，提升工控系統(tǒng)安全防護及設備運行維護能力；尤其是在切實做好輸供電、火力發(fā)電、水力發(fā)電等系統(tǒng)安全防護工作基礎上，進一步推進風電、光伏發(fā)電等新能源的綜合安全防護建設。

????《報告》同時建議電力企業(yè)規(guī)范管理，扎實推進電力監(jiān)控系統(tǒng)安全防護評估和信息安全等級保護工作。

????各電力企業(yè)，尤其是網(wǎng)絡信息安全防護存在薄弱環(huán)節(jié)的發(fā)電企業(yè)，要加強電力監(jiān)控系統(tǒng)安全風險評估工作，增強整體安全防護機制與措施，防范局部防護、節(jié)點保護不足帶來的安全風險；要深入貫徹落實國家及行業(yè)等級保護規(guī)定以及定級、備案、測評、整改等具體規(guī)范要求，組織開展信息系統(tǒng)摸底調(diào)查，切實解決存在的信息系統(tǒng)未定級、定級不準及未備案等問題；按要求定期開展電力監(jiān)控系統(tǒng)安全防護評估和信息安全等級保護工作。

????《報告》還建議，加快科技創(chuàng)新，逐步實現(xiàn)電力工控系統(tǒng)安全自主可控，加強信息安全教育和專業(yè)技術培訓，強化信息安全人才隊伍建設，進一步提升電力行業(yè)重要信息基礎設施網(wǎng)絡安全防護能力。