电企网络与信息安全态势稳定
互联网出口防护、设备远程维护、工控设备漏洞整改等环节亟待加强
日前,国家能源局发布的《电力企业网络与信息安全专项监管报告》(以下简称《报告》)显示,电力企业网络与信息安全形势保持了持续稳定态势,保证了电力行业重要信息基础设施安全、稳定、高效运行。根据专项监管督查情况,《报告》披露了北京、山东、浙江、广东四省(市)电力企业在电力监控系统安全防护、信息安全等级保护等方面存在的问题,并针对具体问题提出了监管建议,进一步提升电力行业重要信息基础设施的网络安全防护能力
网络与信息安全态势总体稳定
电网防护水平明显优于发电
此次专项监管重点督查了四省(市)38家电力企业,督查涵盖网络与信息安全组织体系建设、管理制度及标准规范落实、电力监控系统总体防护策略落实等。
从督查情况看,电力企业建立了电力监控系统安防体系。例如在浙江,电力企业已基本建立了“以电力企业为主体、以调度机构为纽带、以监督管理为手段、以联合防护为特征”的电力监控系统安全防护和监督管理体系。
此外,电力企业不断推进电力监控系统安全防护能力建设及等级保护工作,认真开展电力工控设备及操作系统等漏洞整改工作,取得了积极效果。
《报告》指出,电力企业认真贯彻国家发展改革委2014年第14号令,积极开展安全防护能力建设和风险评估,实现全过程管理,保障了电力监控系统安全稳定运行。此外,还积极开展了电力网络与信息系统等级保护定级备案、测评和整改落实工作,提升了电力行业网络与信息系统抵御安全风险的能力。
2014年,电力行业网络与信息安全形势保持了持续稳定的态势,全年未发生较大以上网络安全事件,保证了电力行业重要信息基础设施的安全、稳定和高效运行。
在肯定成绩的同时,《报告》披露了四省(市)电力企业网络与信息安全工作组织体系和管理制度、电力监控系统安全防护、信息安全等级保护等方面存在的8大类共26项问题,涉及企业12家。
《报告》指出,从现场督查和联合抽查情况来看,在电力行业网络与信息安全防护工作方面,电网企业防护水平明显优于发电企业,传统类型发电企业防护水平明显优于新能源类发电企业,电网生产系统防护水平明显优于营销系统。
八大类突出问题、四方面共性问题亟待解决
《报告》指出,从专项监管督查情况看,四省(市)电力企业在互联网出口防护、设备远程维护、工控设备漏洞整改等方面较为薄弱。
《报告》重点分析梳理了电力企业在网络与信息安全防护工作方面存在的八大类突出问题:
一是部分电力企业对网络与信息安全工作认识不足、重视不够,工作领导机构不健全,责任部门不明确,责任制未有效落实,存在职能交叉、多头管理、重要管理制度缺失、执行不严等问题。
二是部分电力企业安全管理工作滞后,岗位职责不清晰,岗位技能要求不明确;安全意识、教育培训工作需进一步加强;信息安全从业人员的数量、专业技能不足。
三是部分电力企业未开展信息安全等级保护工作,存在重要信息资产未标识、重要信息系统未定级、定级不准确、评估及测评工作开展不规范等问题。
四是部分发电企业生产控制大区内安全风险管控严重不足,缺乏对远程调试和运维工作有效的管控手段。
五是个别电力企业的电力监控系统安全防护仍存在隔离措施落实不到位的情况,对已在电力行业通报的电力监控系统网络故障事件不够重视,对电力监控系统存在的安全风险认识不足。
六是部分电力企业技术管理措施不到位,安全策略配置不严密,网络与信息安全防护仍存在薄弱环节。
七是部分电力企业主机操作系统、数据库、网络设备的安全配置不当,访问控制策略不严格,安全加固工作不全面;信息设备自身安全防护存在问题,或安全防护设备、系统未正常使用。
八是部分电力企业机房物理环境不符合信息系统相应等级保护要求。
此外,结合全年监管工作和中央网信办等国家信息安全主管部门组织开展的工作,《报告》还披露了行业存在的四方面共性问题。
加强保障体系建设
全方位持续提高网络与信息安全防护能力
对于上述问题,专项监管督查组在现场监管过程中督办有关企业进行整改,进一步强化了电力监控系统安全防护和电力行业信息安全等级保护工作。
在此基础上,《报告》针对具体问题提出了监管意见。
《报告》强调,首先要提高认识,进一步加强组织管理和保障体系建设,要求各电力企业进一步加强组织领导,落实网络与信息安全管理涉及的责任部门、岗位、人员及专项经费,把网络与信息安全放在与生产安全同等重要的地位,纳入生产安全评价考核体系,确保责任落实到位。电力企业要制定符合自身情况的网络与信息安全防护规范和策略,尤其是电网营销系统和新能源发电企业更需加强网络安全防护体系建设。
此外,《报告》强调,电力企业必须狠抓落实,持续提高自身网络与信息安全防护能力。各电力企业应加强网络与信息安全总体规划和整体策略设计,进一步强化边界防护和生产控制大区纵深防御;加强对关键监控系统及设备的技术摸底、运行维护技术培训,采取有针对性的隔离、审计等措施,提升工控系统安全防护及设备运行维护能力;尤其是在切实做好输供电、火力发电、水力发电等系统安全防护工作基础上,进一步推进风电、光伏发电等新能源的综合安全防护建设。
《报告》同时建议电力企业规范管理,扎实推进电力监控系统安全防护评估和信息安全等级保护工作。
各电力企业,尤其是网络信息安全防护存在薄弱环节的发电企业,要加强电力监控系统安全风险评估工作,增强整体安全防护机制与措施,防范局部防护、节点保护不足带来的安全风险;要深入贯彻落实国家及行业等级保护规定以及定级、备案、测评、整改等具体规范要求,组织开展信息系统摸底调查,切实解决存在的信息系统未定级、定级不准及未备案等问题;按要求定期开展电力监控系统安全防护评估和信息安全等级保护工作。
《报告》还建议,加快科技创新,逐步实现电力工控系统安全自主可控,加强信息安全教育和专业技术培训,强化信息安全人才队伍建设,进一步提升电力行业重要信息基础设施网络安全防护能力。