4月29日,從國家能源局獲悉,日前,國家能源局發布的《電力企業網絡與信息安全專項監管報告》。報告顯示,電力企業網絡與信息安全形勢保持了持續穩定態勢,保證了電力行業重要信息基礎設施安全、穩定、高效運行。
另外,報告指出,從專項監管督查情況看,此次重點督查的北京、山東、浙江、廣東四省(市)電力企業在電力監控系統安全防護、信息安全等級保護等方面存在的問題。
《報告》還建議,加快科技創新,逐步實現電力工控系統安全自主可控,加強信息安全教育和專業技術培訓,強化信息安全人才隊伍建設,進一步提升電力行業重要信息基礎設施網絡安全防護能力。
以下為能源局原文:
電企網絡與信息安全態勢穩定
互聯網+出口防護、設備遠程維護、工控設備漏洞整改等環節亟待加強
日前,國家能源局發布的《電力企業網絡與信息安全專項監管報告》(以下簡稱《報告》)顯示,電力企業網絡與信息安全形勢保持了持續穩定態勢,保證了電力行業重要信息基礎設施安全、穩定、高效運行。根據專項監管督查情況,《報告》披露了北京、山東、浙江、廣東四省(市)電力企業在電力監控系統安全防護、信息安全等級保護等方面存在的問題,并針對具體問題提出了監管建議,進一步提升電力行業重要信息基礎設施的網絡安全防護能力
網絡與信息安全態勢總體穩定
電網防護水平明顯優于發電
此次專項監管重點督查了四省(市)38家電力企業,督查涵蓋網絡與信息安全組織體系建設、管理制度及標準規范落實、電力監控系統總體防護策略落實等。
從督查情況看,電力企業建立了電力監控系統安防體系。例如在浙江,電力企業已基本建立了“以電力企業為主體、以調度機構為紐帶、以監督管理為手段、以聯合防護為特征”的電力監控系統安全防護和監督管理體系。
此外,電力企業不斷推進電力監控系統安全防護能力建設及等級保護工作,認真開展電力工控設備及操作系統等漏洞整改工作,取得了積極效果。
《報告》指出,電力企業認真貫徹國家發展改革委2014年第14號令,積極開展安全防護能力建設和風險評估,實現全過程管理,保障了電力監控系統安全穩定運行。此外,還積極開展了電力網絡與信息系統等級保護定級備案、測評和整改落實工作,提升了電力行業網絡與信息系統抵御安全風險的能力。
2014年,電力行業網絡與信息安全形勢保持了持續穩定的態勢,全年未發生較大以上網絡安全事件,保證了電力行業重要信息基礎設施的安全、穩定和高效運行。
在肯定成績的同時,《報告》披露了四省(市)電力企業網絡與信息安全工作組織體系和管理制度、電力監控系統安全防護、信息安全等級保護等方面存在的8大類共26項問題,涉及企業12家。
《報告》指出,從現場督查和聯合抽查情況來看,在電力行業網絡與信息安全防護工作方面,電網企業防護水平明顯優于發電企業,傳統類型發電企業防護水平明顯優于新能源類發電企業,電網生產系統防護水平明顯優于營銷系統。
八大類突出問題、四方面共性問題亟待解決
《報告》指出,從專項監管督查情況看,四省(市)電力企業在互聯網出口防護、設備遠程維護、工控設備漏洞整改等方面較為薄弱。
《報告》重點分析梳理了電力企業在網絡與信息安全防護工作方面存在的八大類突出問題:
一是部分電力企業對網絡與信息安全工作認識不足、重視不夠,工作領導機構不健全,責任部門不明確,責任制未有效落實,存在職能交叉、多頭管理、重要管理制度缺失、執行不嚴等問題。
二是部分電力企業安全管理工作滯后,崗位職責不清晰,崗位技能要求不明確;安全意識、教育培訓工作需進一步加強;信息安全從業人員的數量、專業技能不足。
三是部分電力企業未開展信息安全等級保護工作,存在重要信息資產未標識、重要信息系統未定級、定級不準確、評估及測評工作開展不規范等問題。
四是部分發電企業生產控制大區內安全風險管控嚴重不足,缺乏對遠程調試和運維工作有效的管控手段。
五是個別電力企業的電力監控系統安全防護仍存在隔離措施落實不到位的情況,對已在電力行業通報的電力監控系統網絡故障事件不夠重視,對電力監控系統存在的安全風險認識不足。
六是部分電力企業技術管理措施不到位,安全策略配置不嚴密,網絡與信息安全防護仍存在薄弱環節。
七是部分電力企業主機操作系統、數據庫、網絡設備的安全配置不當,訪問控制策略不嚴格,安全加固工作不全面;信息設備自身安全防護存在問題,或安全防護設備、系統未正常使用。
八是部分電力企業機房物理環境不符合信息系統相應等級保護要求。
此外,結合全年監管工作和中央網信辦等國家信息安全主管部門組織開展的工作,《報告》還披露了行業存在的四方面共性問題。
加強保障體系建設
全方位持續提高網絡與信息安全防護能力
對于上述問題,專項監管督查組在現場監管過程中督辦有關企業進行整改,進一步強化了電力監控系統安全防護和電力行業信息安全等級保護工作。
在此基礎上,《報告》針對具體問題提出了監管意見。
《報告》強調,首先要提高認識,進一步加強組織管理和保障體系建設,要求各電力企業進一步加強組織領導,落實網絡與信息安全管理涉及的責任部門、崗位、人員及專項經費,把網絡與信息安全放在與生產安全同等重要的地位,納入生產安全評價考核體系,確保責任落實到位。電力企業要制定符合自身情況的網絡與信息安全防護規范和策略,尤其是電網營銷系統和新能源發電企業更需加強網絡安全防護體系建設。
此外,《報告》強調,電力企業必須狠抓落實,持續提高自身網絡與信息安全防護能力。各電力企業應加強網絡與信息安全總體規劃和整體策略設計,進一步強化邊界防護和生產控制大區縱深防御;加強對關鍵監控系統及設備的技術摸底、運行維護技術培訓,采取有針對性的隔離、審計等措施,提升工控系統安全防護及設備運行維護能力;尤其是在切實做好輸供電、火力發電、水力發電等系統安全防護工作基礎上,進一步推進風電、光伏發電等新能源的綜合安全防護建設。
《報告》同時建議電力企業規范管理,扎實推進電力監控系統安全防護評估和信息安全等級保護工作。
各電力企業,尤其是網絡信息安全防護存在薄弱環節的發電企業,要加強電力監控系統安全風險評估工作,增強整體安全防護機制與措施,防范局部防護、節點保護不足帶來的安全風險;要深入貫徹落實國家及行業等級保護規定以及定級、備案、測評、整改等具體規范要求,組織開展信息系統摸底調查,切實解決存在的信息系統未定級、定級不準及未備案等問題;按要求定期開展電力監控系統安全防護評估和信息安全等級保護工作。
《報告》還建議,加快科技創新,逐步實現電力工控系統安全自主可控,加強信息安全教育和專業技術培訓,強化信息安全人才隊伍建設,進一步提升電力行業重要信息基礎設施網絡安全防護能力。