我国电力行业网络与信息安全工作开展情况及建议
我国电力行业网络与信息安全工作开展情况及建议
随着互联网技术的快速发展,现代电力系统生产运行越来越依赖于计算机通讯及程控技术,尤其是近几年,以“智能电网”为代表的电力行业信息化建设多次出现在政府工作报告中,同时在“十二五”规划纲要中也多次被提及,电力行业的信息化建设作为国家意志的体现已经上升到国家战略的高度。
但当我们在享受信息化技术带来的高效和便捷的同时,电力行业所面临的网络与信息安全风险也与日剧增。
我国电力行业网络与信息安全工作开展情况
201*年以来,我国相继发生了“二滩电厂停机事件”、“故障录波器事件”、“逻辑炸弹事件”、“换流站病毒感染事件”等多起电力行业网络与信息安全事件,造成了不同程度的事故影响,威胁到了电力系统安全稳定运行,同时也暴露出了我国电力行业在网络安全接入方面、安全生产管理方面、人员信息安全培训等方面存在薄弱环节。
针对类似电力信息安全事件,201*年,原国家经贸委发布第30号令《电网和电厂计算机监控系统及调度数据网络安全防护规定》,对电网和电厂计算机监控系统防护提出了要求。国家电监会成立后,对电力二次系统及网络信息安全防护明确提出了“安全分区、专网专用、横向隔离、纵向认证”的总体防护策略,并制定印发了《电力行业网络与信息安全信息报送暂行办法》、《电力行业网络与信息安全应急预案》、《电力行业网络与信息安全监督管理暂行办法》等一系列管理办法,使电力行业网络与信息安全防护的理念更加系统化、具体化,增强了可操作性,电力行业网络与信息安全防护工作进入了实质性建设阶段。对比国外发达国家相对孤立、松散的电力行业信息安全防护现状,我国的电力行业信息安全防护工作在组织管理、部署实施、企业参与积极性等方面具有更为明显的优势。截至201*年底,全国电力安委会成员单位中的15家电网和发电企业90%以上的单位已按照“安全分区、专网专用、横向隔离、纵向认证”的要求完成了生产控制大区和管理信息大区的物理隔离改造,通过认证、加密、访问控制等技术手段实现了远程数据传输、控制及纵向边界的安全防护。其中电网企业较发电企业,省级以上调度单位较地级调度单位,330千伏及以上变电站较220千伏变电站信息安全防护工作开展的更快、更全、更好。通过加强电力行业信息安全防护工作有效保证了北京奥运会、上海世博会、广州亚运会等重要保电时期电力系统的安全稳定运行和可靠供电。但在取得一系列成效的同时,问题和不足也相对明显。问题:法规标准不全责任落实不明技术保障不力
(一)信息安全法规和标准体系建设不全面对新形势下信息安全保障工作的发展需要,电力行业信息安全在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设相对滞后,缺乏总体规划;二是规范和标准互通性和协调性不强,部分规范和标准的可执行性较差;三是部分规范和标准已不适应现实需要,尤其是新能源、新技术和新模式的引入,原有的信息安全防护标准无法应对某些新型信息安全的威胁;四是部分信息安全规范和标准在行业内难以得到切实落实。
201*年国家电监会启动了电力行业信息系统安全等级保护定级工作,并编制印发了《电力行业信息系统安全等级保护管理办法》和《信息系统安全等级保护定级指南》,行业信息安全法规和标准体系初步形成。但对电力行业信息系统等级保护的具体要求和规范意见,以及后续的信息系统等级测评和督促检查机制却仍未建立起来。
(二)组织体系与责任落实不明当前,电力行业中普遍存在重生产安全轻信息安全的状况,电力企业对信息安全重要性的认知程度也存在经济发展水平和所在地域上的差异。即便企业高层逐步认识到信息安全的重要性,也存在着以下问题:一是信息资源在公司的战略资产中的地位受到高层重视,但具体情况不甚清楚;二是信息安全工作缺乏明确的概念描述和参数指标;三是信息安全工作的责任与职能落实不够清晰,大部分电力企业未设立信息安全专岗。
(三)网络和数据安全防护不完善由于互联网的开放性,来自互联网上的病毒、木马、黑客攻击以及计算机威胁事件,都时刻威胁着电力行业的信息系统安全,成为制约行业平稳、安全发展的障碍。因此,维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来,电力企业采取了一系列措施,建立了相对安全的分区网络安全防护体系和冗灾备份系统,220千伏及以上主网信息安全防护体系已较为完善,基本保障了信息系统的安全运行。但细追究起来,电力行业的网络安全防护体系规划、配电网信息安全防护建设及灾备系统建设还不够完善,还存存以下几方面的问题:一是网络安全防护体系缺乏统一的规划;二是110千伏及以下配电网纵向数据传输安全性防护推进工作有待加强;三是网上营销管理系统防护能力有待继续加强;四是对数据安全重视不够,数据备份措施有待改进。(四)技术支撑及后勤保障有待加强随着近几年信息安全重要性的逐步凸显,电力行业信息安全工作逐步得到重视,行业信息安全专业技术队伍不断发展壮大。部分大型国有电力企业已经建立了专门的科技信息部门,并设立专岗、专职人员负责信息安全工作。但是,仍存在着以下几方面问题:一是随着信息系统等级保护工作的深入开展,后续系统测评工作未能及时跟进,目前社会上有资质的测评机构大都缺乏必要的电力运行基础知识;二是信息安全人才队伍依然存在着结构不合理、后续教育不足等问题,此行业的人才培养有待加强;三是信息安全队伍不稳定,人员流动性较大,甚至有的已经设立信息安全技术部门的单位出现了撤编的情况。
建议:完善法规标准开展专项检查提高防护水平
(一)进一步完善法规和标准体系首先,在法规规划上,要统筹兼顾,制定科学的信息技术规范和标准体系框架。
一是全面做好立法规划;二是建立科学的行业信息安全标准和法规体系层次。建议将行业信息安全标准和法规体系初步划分为3层:第一层是国家制定的信息安全保密法规;第二层是电监会制定的部门规章及管理规范性文件;第三层是电力行协及企业系统内部在电监会总体协调下组织制定的制度文件。其次,在法规制定上要兼顾规范和发展,重视法规的可行性。最后,在法规实施上要坚持规范和指引相结合,重视监督检查和责任落实。(二)深入开展电力行业信息安全专项检查工作1.提高对信息安全工作的重视度。通过安全委开员会宣传做好信息安全工作的重要性,提高电力企业做好信息安全工作的认识。通过培训和定期组织开展电力行业信息安全专项抽查,督促并帮助企业及时查找自身漏洞并落实整改,做好防微杜渐工作。
2.制定行业标准积极落实信息安全等级保护。
行业监管部门在推动行业信息安全等级保护工作中的作用非常关键,应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制,统一部署、组织行业的等级保护工作,为该项工作的顺利开展提供组织保证。同时,应对各单位实施信息系统安全等级保护情况进行测评,在测评环节一旦发现信息系统的不足,被测评单位应立即制定相应的整改方案并实施,监督机构负责督促其整改。
3.加强网络安全体系规划以提升网络安全防护水平。
(1)以等级保护为依据进行统筹规划。等级保护是围绕信息安全保障全过程的一项基础性的管理制度,通过将等级化的方法和安全体系规划有效结合,统筹规划电力行业网络安全体系的建设,建立一套信息安全保障体系,将是系统化地解决电力行业网络安全问题的一个非常有效的方法。
(2)加强网络访问控制提高网络防护能力。对向电力行业提供设备、技术和服务的IT公司的资质和诚信加强管理,确保其符合国家、行业技术标准,同时签订必要的保密协议。根据网络隔离要求,逐步建立生产控制区与管理区、办公区与互联网、网上营销各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分Vlan或者采用网闸设备进行隔离;对主要的网络边界和各外部进口进行渗透测试,进行系统和设备的安全加固,降低系统漏洞带来的安全风险;在网上营销管理方面,采取电子签名或数字认证等高强度认证方式,加强访问控制;针对现存恶意攻击网站的事件越来越多的情况,要采取措施加强网站保护,提高对恶意代码的防护能力,同时采用技术手段,提高网上交易客户端软件使用的安全性。(3)加强对员工的信息安全培训。除了要加强网络安全技术人员的管理能力和专业技能培训外,还要加强对全体电力职工的信息安全宣传教育,提高其信息安全保密意识,并掌握基本的信息安全防护技能,从而整体提高电力行业信息安全的管理水平和专业技术水平。4.扎实推进行业灾难备份建设。
无论是美国的“9.11”事件,还是我国201*年南方冰雪灾害和四川汶川大地震,都敲响了灾难备份的警钟。电力行业要针对自身需要,对重要系统开展灾难备份建设,制定相关的灾难应急预案,并加强应急预案的演练,确保灾难备份系统应急有效,使应急工作与日常工作有机结合。
5.加强监管技术队伍建设。
为了适应新时期电力行业信息安全监管工作需要,监管机构须进一步加大在此方面的人力物力投入,同时建立起独立的信息安全测评机构,并在各区域组建信息安全测评专家小组,专门负责各区域电力企业的信息安全测评工作。
扩展阅读:关于开展电力行业信息系统安全等级保护定级工作的通知
关于开展电力行业信息系统安全等级保护定级工作的通知
电监信息〔201*〕34号
国家电网公司,南方电网公司,华能、大唐、华电、国电、中电投集团公司,各有关电力公司:为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于印发的通知》(公通字〔201*〕43号)和《关于开展全国重要信息系统安全
等级保护定级工作的通知》(公信安〔201*〕861号)要求,提高电力行业网络和信息系统的信息安全保护能力和水平,定于201*年8月至10月在电力行业组织开展信息系统安全等级保护定级工作。现就有关事项通知如下:一、工作组织
电力行业网络与信息安全领导小组:统一协调领导电力行业信息系统安全等级保护定级工作。电力行业网络与信息安全领导小组办公室(以下简称领导小组办公室):具体负责组织开展电力行业信息系统安全等级保护定级工作,监督指导信息系统运营使用单位的定级工作。
电力行业信息系统安全等级保护定级工作专家组(以下简称专家组):对电力行业信息系统安全定级工作进行指导、咨询,对定级结果进行评审。
各有关电力公司(名单附后)等级保护责任部门(以下简称公司责任部门):负责组织开展本单位(系统)信息系统安全等级保护定级工作。
信息系统运营使用单位(以下简称运营使用单位):具体负责所运营、使用的信息系统的安全定级工作。
技术支持单位:中国电力科学研究院信息安全研究所等单位为本次信息系统安全定级工作的技术支持单位,负责提供技术支持。二、主要工作内容1、摸底调查
各公司责任部门要组织本系统的信息系统运营使用单位,开展对所属网络和信息系统的摸底调查工作,全面掌握信息网络和信息系统的数量、分布、业务类型、系统结构、应用或服务范围等基本情况。2、初步定级
各单位在摸底调查的基础上,要按照《信息安全等级保护管理办法》(以下简称《管理办法》,附件1)和《信息系统安全等级保护定级指南》(附件2)的要求,确定各定级对象。并初步确定定级对象的安全保护等级,起草定级报告(报告模板见附件3)。各公司责任部门将本单位(系统)运营使用单位的定级报告汇总后统一报送领导小组办公室。
涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。3、评审
领导小组办公室组织专家对上报的定级报告进行分类评审。评审后领导小组办公室印发《电力行业信息系统安全等级保护定级实施指南》,指导各电力公司和信息系统运营使用单位的定级工作。对于跨电力公司联网运行的信息系统,由领导小组办公室统一确定安全保护等级。
对于属同一电力公司,但跨省联网运行的信息系统,由公司责任部门统一确定安全保护等级。对于通用信息系统,由领导小组办公室提出安全保护等级建议,运营使用单位自主确定安全保护等级。
对于运营使用单位所特有的信息系统,各运营使用单位自行确定安全保护等级。
对拟确定为第四级以上信息系统的,由领导小组办公室邀请国家信息安全保护等级专家评审委员会评审。4、审批与备案
根据《管理办法》,信息系统安全等级确定为二级以上的信息系统运营使用单位到公安部网站下载《信息系统安全等级保护备案表》(见附件4)和辅助备案工具,持填写的备案表和利用辅助备案工具生成的备案电子数据,到公安机关办理备案手续,提交有关备案材料及电子数据文件。其中,第二级信息系统的备案单位只需填写备案表中的表一、表二和表三,第三级以上信息系统的备案单位还应当同时提交备案表表四所列各项内容的书面材料。
各运营使用单位要参照《电力行业信息系统安全等级保护定级实施指南》,结合本单位实际,填写备案表,由公司责任部门审定后,统一汇总报送领导小组办公室审批。
备案表经领导小组办公室审查批准后,各有关单位应根据下列要求到公安机关办理备案手续。(1)跨电力公司联网运行,且由领导小组办公室统一确定安全等级的信息系统,领导小组办公室负责统一向公安部办理备案手续。
(2)电力公司内部跨省联网运行,且由公司责任部门统一确定安全等级的信息系统,由公司责任部门负责统一向公安部办理备案手续。
(3)其它信息系统的由运营使用单位直接向当地设区的市级以上公安机关备案。
(4)跨省联网运行的信息系统,在各地运行、应用的分支系统,向当地设区的市级以上公安机关备案。
涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定,填写《涉及国家秘密的信息系统分级保护备案表》(见附件5),按照属地化管理原则,中央和国家机关单位的涉密信息系统向国家保密局备案;地方单位的涉密信息系统向所在地的市(地)级以上保密工作部门备案;中央和国家机关地方所属单位的涉密信息系统,向所在地的省级保密工作部门备案。5、备案管理
公安机关和国家保密工作部门负责受理电力行业信息系统等级保护定级备案,并进行备案管理。信息系统备案后,公安机关对信息系统的备案情况进行审核,对符合等级保护要求的,颁发信息系统安全保护等级备案证明。发现不符合《管理办法》及有关标准的,将通知备案单位予以纠正。发现定级不准的,通知运营使用单位或者领导小组办公室重新审核确定。各级保密工作部门加强对涉密信息系统定级工作的指导、监督和检查。三、进度安排
动员部署阶段,8月15日前印发通知,对定级工作进行动员部署。
摸底调查及初步定级阶段,8月31日前完成。开展信息系统基本摸底调查,初步确定定级对象的安全保护等级,起草定级报告。
评审阶段,9月24日前完成。领导小组办公室对上报的初步定级报告进行分类评审,并编制印发《电力行业信息系统安全等级保护定级实施指南》。
审批与备案阶段,10月15日前完成。各运营使用单位按照《电力行业信息系统安全等级保护定级实施指南》,填写备案表并上报领导小组办公室审核,审核批准后按要求向公安机关备案。总结阶段,10月20日前完成。各公司责任部门对本单位(系统)信息系统安全定级工作进行总结,并向领导小组办公室报送总结报告。领导小组办公室对行业信息系统安全定级工作进行总结,并报送公安部。四、工作要求
1、加强领导,落实保障
各电力公司要按照领导小组办公室的统一部署,明确等级保护责任部门,加强组织领导,及时掌握工作进展情况。信息系统运营使用单位要落实责任部门、责任人员和经费,保障定级工作顺利进行。
2、明确责任,密切配合
信息系统的运营使用单位是安全等级保护工作的责任主体,要切实落实运营使用单位的责任。电力公司对所属单位信息系统的安全等级保护工作负总责,各单位要承担起本单位(本系统)信息系统安全等级保护工作的组织管理职责。
各电力公司、各运营使用单位要按照领导小组办公室的部署,积极协调做好本系统、本单位信息系统的安全等级保护工作。3、动员部署,开展培训
各单位要按照统一部署,广泛进行宣传动员,举办形式多样的培训班、研讨班等,层层培训。领导小组办公室将根据电力行业特点,按照国家要求,会同有关专业培训单位,组织开展电力行业等级保护培训工作。4、及时总结,提出建议
各电力公司、运营使用单位要结合本单位、本系统开展定级工作的实际,认真总结经验和不足,提出改进和完善定级方法的意见和建议。各公司责任部门要及时总结定级工作经验,形成定级工作总结报告,及时报送领导小组办公室。
此次定级工作完成后,领导小组办公室将按照《管理办法》和有关技术标准,继续组织开展信息系统安全等级保护的系统建设或整改、等级测评、自查自纠等后续工作。联系方式:
电力行业网络与信息安全领导小组办公室联系人:胡红升010-58681816温红子010-58681815电子邮件:xxtb@serc.gov.cn传真:010-586818技术支持电话:010-82812516
附件:1.《信息安全等级保护管理办法》2.《信息安全等级保护定级指南》
3.《信息系统安全等级保护定级报告》模版4.《信息安全等级保护备案表》
5.《涉及国家秘密的信息系统分级保护备案表》
二○○七年八月十三日
【来源】电监会办公厅【日期】201*-08-20
【字体:大中小】【打印】【关闭】
Copyright1998-201*AllRightsReserved国家电力监管委员会版权所有
友情提示:本文中关于《我国电力行业网络与信息安全工作开展情况及建议》给出的范例仅供您参考拓展思维使用,我国电力行业网络与信息安全工作开展情况及建议:该篇文章建议您自主创作。
来源:网络整理 免责声明:本文仅限学习分享,如产生版权问题,请联系我们及时删除。
《我国电力行业网络与信息安全工作开展情况及建议》
由互联网用户整理提供,转载分享请保留原作者信息,谢谢!
http://m.bsmz.net/gongwen/706341.html