電力企業(yè)網(wǎng)絡與信息安全駐點遼寧監(jiān)管報告（全文）

2014-05-22 09:35:55 國家能源局　點擊量：評論 (0)

為進一步加強電力企業(yè)網(wǎng)絡與信息安全監(jiān)督管理工作，提高電力企業(yè)重要信息系統(tǒng)(尤其是生產控制大區(qū)信息系統(tǒng))抵御惡意信息攻擊的能力，根據(jù)《國家能源局關于近期重點專項監(jiān)管工作的通知》(國能監(jiān)管〔2013〕432號)要求，國家能源局組織對遼寧省電力企業(yè)網(wǎng)絡與信息安全工作開展了專項駐點監(jiān)管。根據(jù)駐點監(jiān)管情況，編制形成《電力企業(yè)網(wǎng)絡與信息安全駐點遼寧監(jiān)管報告》。

一、基本情況

(一)電力企業(yè)概況

遼寧省內共有電力企業(yè)440余家，其中電網(wǎng)企業(yè)主要有東北電網(wǎng)有限公司、遼寧省電力有限公司及其14家市級供電公司;發(fā)電企業(yè)中歸屬五大發(fā)電集團的火電廠有21座、水電站3座、風電場35座，共計59座(家)。

(二)電力企業(yè)信息系統(tǒng)定級分布情況

遼寧省在全國率先開展電力企業(yè)信息安全等級保護工作，截至2014年2月，各電力企業(yè)信息系統(tǒng)共453個，經(jīng)定級備案，四級系統(tǒng)2個、三級系統(tǒng)87個，二級系統(tǒng)289個(約64%)，一級系統(tǒng)20個，未定級系統(tǒng)55個。遼寧省信息系統(tǒng)定級分布情況如圖1所示：

(數(shù)據(jù)來源：國家能源局東北監(jiān)管局)

圖1遼寧省信息系統(tǒng)定級分布情況

(三)電力二次系統(tǒng)安全防護工作開展情況

遼寧電力企業(yè)按照《電力二次系統(tǒng)安全防護規(guī)定》要求，遵循“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”的原則，對所屬生產控制系統(tǒng)和管理信息系統(tǒng)進行安全分區(qū)建設、內外網(wǎng)隔離部署，配置橫向隔離設備和縱向加密認證裝置，增加網(wǎng)絡安全防護措施及設備，電力二次系統(tǒng)安全防護整體水平顯著提高。截至2014年2月，省內地級以上電網(wǎng)企業(yè)及重要廠站共加裝橫向隔離設備129套，220千伏以上電力調度數(shù)據(jù)網(wǎng)共加裝縱向認證加密裝置415套，電力二次系統(tǒng)安全防護體系基本建立。

根據(jù)《關于開展電力工控PLC設備信息安全隱患排查及漏洞整改工作的通知》(國能綜安全〔2013〕387號)要求，東北能源監(jiān)管局對遼寧省內統(tǒng)調以上發(fā)電企業(yè)工控系統(tǒng)使用PLC情況進行了全面排查，共計288套(按業(yè)務系統(tǒng)或功能進行統(tǒng)計)，主要用于發(fā)電廠監(jiān)控系統(tǒng)、輔助設備控制系統(tǒng)等,統(tǒng)計情況示意圖如圖2所示：

(數(shù)據(jù)來源：國家能源局東北監(jiān)管局)

圖2 遼寧省電力工控PLC統(tǒng)計情況示意圖

二、存在的問題

(一)管理方面的主要問題

1. 部分電力企業(yè)網(wǎng)絡與信息安全工作多頭管理，職能交叉，缺乏統(tǒng)一領導和溝通協(xié)調;信息安全工作人員配備不足，甚至身兼數(shù)職，不利于信息安全工作的落實。

2. 部分電力企業(yè)對網(wǎng)絡與信息安全的應急處置工作重視不足，應急預案針對性、可操作性不足，應急演練形式大于內容，起不到發(fā)現(xiàn)問題、解決問題的作用。

3. 部分電力企業(yè)對信息安全等級保護工作重視不夠，定級、備案、測評、整改等環(huán)節(jié)的各項要求落實不嚴，主要體現(xiàn)在：

(1)定級環(huán)節(jié)報備材料填寫不完整，企業(yè)信息系統(tǒng)的定級數(shù)量掌握不全面，存在漏定、定級不準等情況。

(2)備案環(huán)節(jié)存在備案不積極、備案不及時、未按要求備案等情況。

(3)信息系統(tǒng)的測評工作未按國家有關頻次要求開展，部分信息系統(tǒng)測評效果不佳。

(4)測評整改意見和建議落實不徹底或整改不全面。

(二)技術方面的主要問題

4. 部分發(fā)電企業(yè)與電網(wǎng)企業(yè)之間的信息系統(tǒng)邊界防護有待加強。

5. 部分企業(yè)電力二次系統(tǒng)安全防護設備運行維護不及時、安全配置不完整，主要體現(xiàn)在：

(1)部分企業(yè)電力二次系統(tǒng)信息安全防護措施落實不到位，普遍存在補丁升級不及時、弱口令、審計薄弱等問題。

(2)部分企業(yè)電力二次系統(tǒng)中信息系統(tǒng)漏洞檢測、安全加固等工作開展不及時、或未定期開展。

(3)部分企業(yè)電力二次系統(tǒng)安全防護應急預案存在事故預想不全面、內容不完整、相關要求缺乏可操作性等問題，缺少演練、培訓和更新的相關內容。

(4)部分企業(yè)未按要求開展電力二次系統(tǒng)安全防護評估工作。

(5)部分發(fā)電企業(yè)在基礎設施、機房環(huán)境等方面較為薄弱，不滿足信息系統(tǒng)安全等級保護的基本要求。

三、監(jiān)管意見

(一)強化組織保障體系建設。各電力企業(yè)要梳理網(wǎng)絡與信息安全管理涉及的部門、崗位和人員，進一步明確各相關部門，特別是牽頭管理部門的權利、責任和義務，明確部門間工作協(xié)調機制，各部門要設立信息安全管理專職崗位，責任到人，強化信息安全組織保障體系。

(二)建立健全常態(tài)化工作機制。各電力企業(yè)要深刻認識到電力信息安全與電力生產安全同等重要。要根據(jù)國家和行業(yè)監(jiān)管部門有關要求，落實專項資金、制定工作計劃，定期對電力二次系統(tǒng)開展安全評估、等級保護測評，形成常態(tài)化工作機制。對評估、測評中發(fā)現(xiàn)的問題，要安排資金，及時整改，消除安全隱患。

(三)統(tǒng)籌做好電力工控PLC設備安全整改工作。各電力企業(yè)要按照《關于開展電力工控PLC設備信息安全隱患排查及漏洞整改工作的通知》(國能綜安全〔2013〕387號)的有關要求，根據(jù)實際情況，統(tǒng)籌安排，采取召回、固件升級、老舊設備更新等方式分批分期開展電力工控PLC設備的整改加固工作。新建系統(tǒng)中要選用安全、可靠、可控的PLC等工控設備。

(四)強化信息安全人才隊伍建設。各電力企業(yè)要面向公司領導、相關部門主要負責人和企業(yè)員工，定期組織開展信息安全政策宣貫培訓，提高領導層的認識，提高員工信息安全防范意識。同時要制定培訓計劃，派送技術人員參加行業(yè)和其它專業(yè)機構舉辦的信息安全培訓，提高信息安全從業(yè)人員的專業(yè)技術水平。

(五)加大科技支撐力度。各電力企業(yè)要進一步加大科技投入，針對電力行業(yè)重要信息系統(tǒng)(尤其是生產監(jiān)控系統(tǒng))的實際特點及技術發(fā)展情況，充分發(fā)揮科研院所、高等院校的科研創(chuàng)新能力，深入開展基于可信計算的系統(tǒng)安全免疫、電力工控設備信息安全漏洞的監(jiān)測/檢測、信息系統(tǒng)安全審計等內容研究，切實保證電力企業(yè)重要信息系統(tǒng)的安全可靠運行。