電企網(wǎng)絡(luò)與信息安全態(tài)勢穩(wěn)定
互聯(lián)網(wǎng)出口防護(hù)、設(shè)備遠(yuǎn)程維護(hù)、工控設(shè)備漏洞整改等環(huán)節(jié)亟待加強(qiáng)
日前,國家能源局發(fā)布的《電力企業(yè)網(wǎng)絡(luò)與信息安全專項(xiàng)監(jiān)管報(bào)告》(以下簡稱《報(bào)告》)顯示,電力企業(yè)網(wǎng)絡(luò)與信息安全形勢保持了持續(xù)穩(wěn)定態(tài)勢,保證了電力行業(yè)重要信息基礎(chǔ)設(shè)施安全、穩(wěn)定、高效運(yùn)行。根據(jù)專項(xiàng)監(jiān)管督查情況,《報(bào)告》披露了北京、山東、浙江、廣東四省(市)電力企業(yè)在電力監(jiān)控系統(tǒng)安全防護(hù)、信息安全等級保護(hù)等方面存在的問題,并針對具體問題提出了監(jiān)管建議,進(jìn)一步提升電力行業(yè)重要信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù)能力
網(wǎng)絡(luò)與信息安全態(tài)勢總體穩(wěn)定
電網(wǎng)防護(hù)水平明顯優(yōu)于發(fā)電
此次專項(xiàng)監(jiān)管重點(diǎn)督查了四省(市)38家電力企業(yè),督查涵蓋網(wǎng)絡(luò)與信息安全組織體系建設(shè)、管理制度及標(biāo)準(zhǔn)規(guī)范落實(shí)、電力監(jiān)控系統(tǒng)總體防護(hù)策略落實(shí)等。
從督查情況看,電力企業(yè)建立了電力監(jiān)控系統(tǒng)安防體系。例如在浙江,電力企業(yè)已基本建立了“以電力企業(yè)為主體、以調(diào)度機(jī)構(gòu)為紐帶、以監(jiān)督管理為手段、以聯(lián)合防護(hù)為特征”的電力監(jiān)控系統(tǒng)安全防護(hù)和監(jiān)督管理體系。
此外,電力企業(yè)不斷推進(jìn)電力監(jiān)控系統(tǒng)安全防護(hù)能力建設(shè)及等級保護(hù)工作,認(rèn)真開展電力工控設(shè)備及操作系統(tǒng)等漏洞整改工作,取得了積極效果。
《報(bào)告》指出,電力企業(yè)認(rèn)真貫徹國家發(fā)展改革委2014年第14號令,積極開展安全防護(hù)能力建設(shè)和風(fēng)險(xiǎn)評估,實(shí)現(xiàn)全過程管理,保障了電力監(jiān)控系統(tǒng)安全穩(wěn)定運(yùn)行。此外,還積極開展了電力網(wǎng)絡(luò)與信息系統(tǒng)等級保護(hù)定級備案、測評和整改落實(shí)工作,提升了電力行業(yè)網(wǎng)絡(luò)與信息系統(tǒng)抵御安全風(fēng)險(xiǎn)的能力。
2014年,電力行業(yè)網(wǎng)絡(luò)與信息安全形勢保持了持續(xù)穩(wěn)定的態(tài)勢,全年未發(fā)生較大以上網(wǎng)絡(luò)安全事件,保證了電力行業(yè)重要信息基礎(chǔ)設(shè)施的安全、穩(wěn)定和高效運(yùn)行。
在肯定成績的同時(shí),《報(bào)告》披露了四省(市)電力企業(yè)網(wǎng)絡(luò)與信息安全工作組織體系和管理制度、電力監(jiān)控系統(tǒng)安全防護(hù)、信息安全等級保護(hù)等方面存在的8大類共26項(xiàng)問題,涉及企業(yè)12家。
《報(bào)告》指出,從現(xiàn)場督查和聯(lián)合抽查情況來看,在電力行業(yè)網(wǎng)絡(luò)與信息安全防護(hù)工作方面,電網(wǎng)企業(yè)防護(hù)水平明顯優(yōu)于發(fā)電企業(yè),傳統(tǒng)類型發(fā)電企業(yè)防護(hù)水平明顯優(yōu)于新能源類發(fā)電企業(yè),電網(wǎng)生產(chǎn)系統(tǒng)防護(hù)水平明顯優(yōu)于營銷系統(tǒng)。
八大類突出問題、四方面共性問題亟待解決
《報(bào)告》指出,從專項(xiàng)監(jiān)管督查情況看,四省(市)電力企業(yè)在互聯(lián)網(wǎng)出口防護(hù)、設(shè)備遠(yuǎn)程維護(hù)、工控設(shè)備漏洞整改等方面較為薄弱。
《報(bào)告》重點(diǎn)分析梳理了電力企業(yè)在網(wǎng)絡(luò)與信息安全防護(hù)工作方面存在的八大類突出問題:
一是部分電力企業(yè)對網(wǎng)絡(luò)與信息安全工作認(rèn)識不足、重視不夠,工作領(lǐng)導(dǎo)機(jī)構(gòu)不健全,責(zé)任部門不明確,責(zé)任制未有效落實(shí),存在職能交叉、多頭管理、重要管理制度缺失、執(zhí)行不嚴(yán)等問題。
二是部分電力企業(yè)安全管理工作滯后,崗位職責(zé)不清晰,崗位技能要求不明確;安全意識、教育培訓(xùn)工作需進(jìn)一步加強(qiáng);信息安全從業(yè)人員的數(shù)量、專業(yè)技能不足。
三是部分電力企業(yè)未開展信息安全等級保護(hù)工作,存在重要信息資產(chǎn)未標(biāo)識、重要信息系統(tǒng)未定級、定級不準(zhǔn)確、評估及測評工作開展不規(guī)范等問題。
四是部分發(fā)電企業(yè)生產(chǎn)控制大區(qū)內(nèi)安全風(fēng)險(xiǎn)管控嚴(yán)重不足,缺乏對遠(yuǎn)程調(diào)試和運(yùn)維工作有效的管控手段。
五是個別電力企業(yè)的電力監(jiān)控系統(tǒng)安全防護(hù)仍存在隔離措施落實(shí)不到位的情況,對已在電力行業(yè)通報(bào)的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)故障事件不夠重視,對電力監(jiān)控系統(tǒng)存在的安全風(fēng)險(xiǎn)認(rèn)識不足。
六是部分電力企業(yè)技術(shù)管理措施不到位,安全策略配置不嚴(yán)密,網(wǎng)絡(luò)與信息安全防護(hù)仍存在薄弱環(huán)節(jié)。
七是部分電力企業(yè)主機(jī)操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備的安全配置不當(dāng),訪問控制策略不嚴(yán)格,安全加固工作不全面;信息設(shè)備自身安全防護(hù)存在問題,或安全防護(hù)設(shè)備、系統(tǒng)未正常使用。
八是部分電力企業(yè)機(jī)房物理環(huán)境不符合信息系統(tǒng)相應(yīng)等級保護(hù)要求。
此外,結(jié)合全年監(jiān)管工作和中央網(wǎng)信辦等國家信息安全主管部門組織開展的工作,《報(bào)告》還披露了行業(yè)存在的四方面共性問題。
加強(qiáng)保障體系建設(shè)
全方位持續(xù)提高網(wǎng)絡(luò)與信息安全防護(hù)能力
對于上述問題,專項(xiàng)監(jiān)管督查組在現(xiàn)場監(jiān)管過程中督辦有關(guān)企業(yè)進(jìn)行整改,進(jìn)一步強(qiáng)化了電力監(jiān)控系統(tǒng)安全防護(hù)和電力行業(yè)信息安全等級保護(hù)工作。
在此基礎(chǔ)上,《報(bào)告》針對具體問題提出了監(jiān)管意見。
《報(bào)告》強(qiáng)調(diào),首先要提高認(rèn)識,進(jìn)一步加強(qiáng)組織管理和保障體系建設(shè),要求各電力企業(yè)進(jìn)一步加強(qiáng)組織領(lǐng)導(dǎo),落實(shí)網(wǎng)絡(luò)與信息安全管理涉及的責(zé)任部門、崗位、人員及專項(xiàng)經(jīng)費(fèi),把網(wǎng)絡(luò)與信息安全放在與生產(chǎn)安全同等重要的地位,納入生產(chǎn)安全評價(jià)考核體系,確保責(zé)任落實(shí)到位。電力企業(yè)要制定符合自身情況的網(wǎng)絡(luò)與信息安全防護(hù)規(guī)范和策略,尤其是電網(wǎng)營銷系統(tǒng)和新能源發(fā)電企業(yè)更需加強(qiáng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)。
此外,《報(bào)告》強(qiáng)調(diào),電力企業(yè)必須狠抓落實(shí),持續(xù)提高自身網(wǎng)絡(luò)與信息安全防護(hù)能力。各電力企業(yè)應(yīng)加強(qiáng)網(wǎng)絡(luò)與信息安全總體規(guī)劃和整體策略設(shè)計(jì),進(jìn)一步強(qiáng)化邊界防護(hù)和生產(chǎn)控制大區(qū)縱深防御;加強(qiáng)對關(guān)鍵監(jiān)控系統(tǒng)及設(shè)備的技術(shù)摸底、運(yùn)行維護(hù)技術(shù)培訓(xùn),采取有針對性的隔離、審計(jì)等措施,提升工控系統(tǒng)安全防護(hù)及設(shè)備運(yùn)行維護(hù)能力;尤其是在切實(shí)做好輸供電、火力發(fā)電、水力發(fā)電等系統(tǒng)安全防護(hù)工作基礎(chǔ)上,進(jìn)一步推進(jìn)風(fēng)電、光伏發(fā)電等新能源的綜合安全防護(hù)建設(shè)。
《報(bào)告》同時(shí)建議電力企業(yè)規(guī)范管理,扎實(shí)推進(jìn)電力監(jiān)控系統(tǒng)安全防護(hù)評估和信息安全等級保護(hù)工作。
各電力企業(yè),尤其是網(wǎng)絡(luò)信息安全防護(hù)存在薄弱環(huán)節(jié)的發(fā)電企業(yè),要加強(qiáng)電力監(jiān)控系統(tǒng)安全風(fēng)險(xiǎn)評估工作,增強(qiáng)整體安全防護(hù)機(jī)制與措施,防范局部防護(hù)、節(jié)點(diǎn)保護(hù)不足帶來的安全風(fēng)險(xiǎn);要深入貫徹落實(shí)國家及行業(yè)等級保護(hù)規(guī)定以及定級、備案、測評、整改等具體規(guī)范要求,組織開展信息系統(tǒng)摸底調(diào)查,切實(shí)解決存在的信息系統(tǒng)未定級、定級不準(zhǔn)及未備案等問題;按要求定期開展電力監(jiān)控系統(tǒng)安全防護(hù)評估和信息安全等級保護(hù)工作。
《報(bào)告》還建議,加快科技創(chuàng)新,逐步實(shí)現(xiàn)電力工控系統(tǒng)安全自主可控,加強(qiáng)信息安全教育和專業(yè)技術(shù)培訓(xùn),強(qiáng)化信息安全人才隊(duì)伍建設(shè),進(jìn)一步提升電力行業(yè)重要信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)能力。
互聯(lián)網(wǎng)出口防護(hù)、設(shè)備遠(yuǎn)程維護(hù)、工控設(shè)備漏洞整改等環(huán)節(jié)亟待加強(qiáng)
日前,國家能源局發(fā)布的《電力企業(yè)網(wǎng)絡(luò)與信息安全專項(xiàng)監(jiān)管報(bào)告》(以下簡稱《報(bào)告》)顯示,電力企業(yè)網(wǎng)絡(luò)與信息安全形勢保持了持續(xù)穩(wěn)定態(tài)勢,保證了電力行業(yè)重要信息基礎(chǔ)設(shè)施安全、穩(wěn)定、高效運(yùn)行。根據(jù)專項(xiàng)監(jiān)管督查情況,《報(bào)告》披露了北京、山東、浙江、廣東四省(市)電力企業(yè)在電力監(jiān)控系統(tǒng)安全防護(hù)、信息安全等級保護(hù)等方面存在的問題,并針對具體問題提出了監(jiān)管建議,進(jìn)一步提升電力行業(yè)重要信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù)能力
網(wǎng)絡(luò)與信息安全態(tài)勢總體穩(wěn)定
電網(wǎng)防護(hù)水平明顯優(yōu)于發(fā)電
此次專項(xiàng)監(jiān)管重點(diǎn)督查了四省(市)38家電力企業(yè),督查涵蓋網(wǎng)絡(luò)與信息安全組織體系建設(shè)、管理制度及標(biāo)準(zhǔn)規(guī)范落實(shí)、電力監(jiān)控系統(tǒng)總體防護(hù)策略落實(shí)等。
從督查情況看,電力企業(yè)建立了電力監(jiān)控系統(tǒng)安防體系。例如在浙江,電力企業(yè)已基本建立了“以電力企業(yè)為主體、以調(diào)度機(jī)構(gòu)為紐帶、以監(jiān)督管理為手段、以聯(lián)合防護(hù)為特征”的電力監(jiān)控系統(tǒng)安全防護(hù)和監(jiān)督管理體系。
此外,電力企業(yè)不斷推進(jìn)電力監(jiān)控系統(tǒng)安全防護(hù)能力建設(shè)及等級保護(hù)工作,認(rèn)真開展電力工控設(shè)備及操作系統(tǒng)等漏洞整改工作,取得了積極效果。
《報(bào)告》指出,電力企業(yè)認(rèn)真貫徹國家發(fā)展改革委2014年第14號令,積極開展安全防護(hù)能力建設(shè)和風(fēng)險(xiǎn)評估,實(shí)現(xiàn)全過程管理,保障了電力監(jiān)控系統(tǒng)安全穩(wěn)定運(yùn)行。此外,還積極開展了電力網(wǎng)絡(luò)與信息系統(tǒng)等級保護(hù)定級備案、測評和整改落實(shí)工作,提升了電力行業(yè)網(wǎng)絡(luò)與信息系統(tǒng)抵御安全風(fēng)險(xiǎn)的能力。
2014年,電力行業(yè)網(wǎng)絡(luò)與信息安全形勢保持了持續(xù)穩(wěn)定的態(tài)勢,全年未發(fā)生較大以上網(wǎng)絡(luò)安全事件,保證了電力行業(yè)重要信息基礎(chǔ)設(shè)施的安全、穩(wěn)定和高效運(yùn)行。
在肯定成績的同時(shí),《報(bào)告》披露了四省(市)電力企業(yè)網(wǎng)絡(luò)與信息安全工作組織體系和管理制度、電力監(jiān)控系統(tǒng)安全防護(hù)、信息安全等級保護(hù)等方面存在的8大類共26項(xiàng)問題,涉及企業(yè)12家。
《報(bào)告》指出,從現(xiàn)場督查和聯(lián)合抽查情況來看,在電力行業(yè)網(wǎng)絡(luò)與信息安全防護(hù)工作方面,電網(wǎng)企業(yè)防護(hù)水平明顯優(yōu)于發(fā)電企業(yè),傳統(tǒng)類型發(fā)電企業(yè)防護(hù)水平明顯優(yōu)于新能源類發(fā)電企業(yè),電網(wǎng)生產(chǎn)系統(tǒng)防護(hù)水平明顯優(yōu)于營銷系統(tǒng)。
八大類突出問題、四方面共性問題亟待解決
《報(bào)告》指出,從專項(xiàng)監(jiān)管督查情況看,四省(市)電力企業(yè)在互聯(lián)網(wǎng)出口防護(hù)、設(shè)備遠(yuǎn)程維護(hù)、工控設(shè)備漏洞整改等方面較為薄弱。
《報(bào)告》重點(diǎn)分析梳理了電力企業(yè)在網(wǎng)絡(luò)與信息安全防護(hù)工作方面存在的八大類突出問題:
一是部分電力企業(yè)對網(wǎng)絡(luò)與信息安全工作認(rèn)識不足、重視不夠,工作領(lǐng)導(dǎo)機(jī)構(gòu)不健全,責(zé)任部門不明確,責(zé)任制未有效落實(shí),存在職能交叉、多頭管理、重要管理制度缺失、執(zhí)行不嚴(yán)等問題。
二是部分電力企業(yè)安全管理工作滯后,崗位職責(zé)不清晰,崗位技能要求不明確;安全意識、教育培訓(xùn)工作需進(jìn)一步加強(qiáng);信息安全從業(yè)人員的數(shù)量、專業(yè)技能不足。
三是部分電力企業(yè)未開展信息安全等級保護(hù)工作,存在重要信息資產(chǎn)未標(biāo)識、重要信息系統(tǒng)未定級、定級不準(zhǔn)確、評估及測評工作開展不規(guī)范等問題。
四是部分發(fā)電企業(yè)生產(chǎn)控制大區(qū)內(nèi)安全風(fēng)險(xiǎn)管控嚴(yán)重不足,缺乏對遠(yuǎn)程調(diào)試和運(yùn)維工作有效的管控手段。
五是個別電力企業(yè)的電力監(jiān)控系統(tǒng)安全防護(hù)仍存在隔離措施落實(shí)不到位的情況,對已在電力行業(yè)通報(bào)的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)故障事件不夠重視,對電力監(jiān)控系統(tǒng)存在的安全風(fēng)險(xiǎn)認(rèn)識不足。
六是部分電力企業(yè)技術(shù)管理措施不到位,安全策略配置不嚴(yán)密,網(wǎng)絡(luò)與信息安全防護(hù)仍存在薄弱環(huán)節(jié)。
七是部分電力企業(yè)主機(jī)操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備的安全配置不當(dāng),訪問控制策略不嚴(yán)格,安全加固工作不全面;信息設(shè)備自身安全防護(hù)存在問題,或安全防護(hù)設(shè)備、系統(tǒng)未正常使用。
八是部分電力企業(yè)機(jī)房物理環(huán)境不符合信息系統(tǒng)相應(yīng)等級保護(hù)要求。
此外,結(jié)合全年監(jiān)管工作和中央網(wǎng)信辦等國家信息安全主管部門組織開展的工作,《報(bào)告》還披露了行業(yè)存在的四方面共性問題。
加強(qiáng)保障體系建設(shè)
全方位持續(xù)提高網(wǎng)絡(luò)與信息安全防護(hù)能力
對于上述問題,專項(xiàng)監(jiān)管督查組在現(xiàn)場監(jiān)管過程中督辦有關(guān)企業(yè)進(jìn)行整改,進(jìn)一步強(qiáng)化了電力監(jiān)控系統(tǒng)安全防護(hù)和電力行業(yè)信息安全等級保護(hù)工作。
在此基礎(chǔ)上,《報(bào)告》針對具體問題提出了監(jiān)管意見。
《報(bào)告》強(qiáng)調(diào),首先要提高認(rèn)識,進(jìn)一步加強(qiáng)組織管理和保障體系建設(shè),要求各電力企業(yè)進(jìn)一步加強(qiáng)組織領(lǐng)導(dǎo),落實(shí)網(wǎng)絡(luò)與信息安全管理涉及的責(zé)任部門、崗位、人員及專項(xiàng)經(jīng)費(fèi),把網(wǎng)絡(luò)與信息安全放在與生產(chǎn)安全同等重要的地位,納入生產(chǎn)安全評價(jià)考核體系,確保責(zé)任落實(shí)到位。電力企業(yè)要制定符合自身情況的網(wǎng)絡(luò)與信息安全防護(hù)規(guī)范和策略,尤其是電網(wǎng)營銷系統(tǒng)和新能源發(fā)電企業(yè)更需加強(qiáng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)。
此外,《報(bào)告》強(qiáng)調(diào),電力企業(yè)必須狠抓落實(shí),持續(xù)提高自身網(wǎng)絡(luò)與信息安全防護(hù)能力。各電力企業(yè)應(yīng)加強(qiáng)網(wǎng)絡(luò)與信息安全總體規(guī)劃和整體策略設(shè)計(jì),進(jìn)一步強(qiáng)化邊界防護(hù)和生產(chǎn)控制大區(qū)縱深防御;加強(qiáng)對關(guān)鍵監(jiān)控系統(tǒng)及設(shè)備的技術(shù)摸底、運(yùn)行維護(hù)技術(shù)培訓(xùn),采取有針對性的隔離、審計(jì)等措施,提升工控系統(tǒng)安全防護(hù)及設(shè)備運(yùn)行維護(hù)能力;尤其是在切實(shí)做好輸供電、火力發(fā)電、水力發(fā)電等系統(tǒng)安全防護(hù)工作基礎(chǔ)上,進(jìn)一步推進(jìn)風(fēng)電、光伏發(fā)電等新能源的綜合安全防護(hù)建設(shè)。
《報(bào)告》同時(shí)建議電力企業(yè)規(guī)范管理,扎實(shí)推進(jìn)電力監(jiān)控系統(tǒng)安全防護(hù)評估和信息安全等級保護(hù)工作。
各電力企業(yè),尤其是網(wǎng)絡(luò)信息安全防護(hù)存在薄弱環(huán)節(jié)的發(fā)電企業(yè),要加強(qiáng)電力監(jiān)控系統(tǒng)安全風(fēng)險(xiǎn)評估工作,增強(qiáng)整體安全防護(hù)機(jī)制與措施,防范局部防護(hù)、節(jié)點(diǎn)保護(hù)不足帶來的安全風(fēng)險(xiǎn);要深入貫徹落實(shí)國家及行業(yè)等級保護(hù)規(guī)定以及定級、備案、測評、整改等具體規(guī)范要求,組織開展信息系統(tǒng)摸底調(diào)查,切實(shí)解決存在的信息系統(tǒng)未定級、定級不準(zhǔn)及未備案等問題;按要求定期開展電力監(jiān)控系統(tǒng)安全防護(hù)評估和信息安全等級保護(hù)工作。
《報(bào)告》還建議,加快科技創(chuàng)新,逐步實(shí)現(xiàn)電力工控系統(tǒng)安全自主可控,加強(qiáng)信息安全教育和專業(yè)技術(shù)培訓(xùn),強(qiáng)化信息安全人才隊(duì)伍建設(shè),進(jìn)一步提升電力行業(yè)重要信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)能力。