電力行業(yè)網(wǎng)絡(luò)與信息的安全需要完善法規(guī)并加強防護
但當(dāng)我們在享受信息化技術(shù)帶來的高效和便捷的同時,電力行業(yè)所面臨的網(wǎng)絡(luò)與信息安全風(fēng)險也與日劇增。
我國電力行業(yè)網(wǎng)絡(luò)與信息安全工作開展情況
2000年以來,我國相繼發(fā)生了“二灘電廠停機事件”、“故障錄波器事件”、“邏輯炸彈事件”、“換流站病毒感染事件”等多起電力行業(yè)網(wǎng)絡(luò)與信息安全事件,造成了不同程度的事故影響,威脅到了電力系統(tǒng)安全穩(wěn)定運行,同時也暴露出了我國電力行業(yè)在網(wǎng)絡(luò)安全接入方面、安全生產(chǎn)管理方面、人員信息安全培訓(xùn)等方面存在薄弱環(huán)節(jié)。
針對類似電力信息安全事件,2002年,原國家經(jīng)貿(mào)委發(fā)布第30號令《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護規(guī)定》,對電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)防護提出了要求。國家電監(jiān)會成立后,對電力二次系統(tǒng)及網(wǎng)絡(luò)信息安全防護明確提出了“安全分區(qū)、專網(wǎng)專用、橫向隔離、縱向認(rèn)證”的總體防護策略,并制定印發(fā)了《電力行業(yè)網(wǎng)絡(luò)與信息安全信息報送暫行辦法》、《電力行業(yè)網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案》、《電力行業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理暫行辦法》等一系列管理辦法,使電力行業(yè)網(wǎng)絡(luò)與信息安全防護的理念更加系統(tǒng)化、具體化,增強了可操作性,電力行業(yè)網(wǎng)絡(luò)與信息安全防護工作進(jìn)入了實質(zhì)性建設(shè)階段。
對比國外發(fā)達(dá)國家相對孤立、松散的電力行業(yè)信息安全防護現(xiàn)狀,我國的電力行業(yè)信息安全防護工作在組織管理、部署實施、企業(yè)參與積極性等方面具有更為明顯的優(yōu)勢。截至2011年底,全國電力安委會成員單位中的15家電網(wǎng)和發(fā)電企業(yè)90%以上的單位已按照“安全分區(qū)、專網(wǎng)專用、橫向隔離、縱向認(rèn)證”的要求完成了生產(chǎn)控制大區(qū)和管理信息大區(qū)的物理隔離改造,通過認(rèn)證、加密、訪問控制等技術(shù)手段實現(xiàn)了遠(yuǎn)程數(shù)據(jù)傳輸、控制及縱向邊界的安全防護。其中電網(wǎng)企業(yè)較發(fā)電企業(yè),省級以上調(diào)度單位較地級調(diào)度單位,330千伏及以上變電站較220千伏變電站信息安全防護工作開展的更快、更全、更好。通過加強電力行業(yè)信息安全防護工作有效保證了北京奧運會、上海世博會、廣州亞運會等重要保電時期電力系統(tǒng)的安全穩(wěn)定運行和可靠供電。但在取得一系列成效的同時,問題和不足也相對明顯。
問題:法規(guī)標(biāo)準(zhǔn)不全責(zé)任落實不明技術(shù)保障不力
(一)信息安全法規(guī)和標(biāo)準(zhǔn)體系建設(shè)不全面對新形勢下信息安全保障工作的發(fā)展需要,電力行業(yè)信息安全在政策法規(guī)和標(biāo)準(zhǔn)體系方面的問題也逐漸顯現(xiàn)。一是法規(guī)和標(biāo)準(zhǔn)建設(shè)相對滯后,缺乏總體規(guī)劃;二是規(guī)范和標(biāo)準(zhǔn)互通性和協(xié)調(diào)性不強,部分規(guī)范和標(biāo)準(zhǔn)的可執(zhí)行性較差;三是部分規(guī)范和標(biāo)準(zhǔn)已不適應(yīng)現(xiàn)實需要,尤其是新能源、新技術(shù)和新模式的引入,原有的信息安全防護標(biāo)準(zhǔn)無法應(yīng)對某些新型信息安全的威脅;四是部分信息安全規(guī) 范和標(biāo)準(zhǔn)在行業(yè)內(nèi)難以得到切實落實。
2007年國家電監(jiān)會啟動了電力行業(yè)信息系統(tǒng)安全等級保護定級工作,并編制印發(fā)了《電力行業(yè)信息系統(tǒng)安全等級保護管理辦法》和《信息系統(tǒng)安全等級保護定級指南》,行業(yè)信息安全法規(guī)和標(biāo)準(zhǔn)體系初步形成。但對電力行業(yè)信息系統(tǒng)等級保護的具體要求和規(guī)范意見,以及后續(xù)的信息系統(tǒng)等級測評和督促檢查機制卻仍未建立起來。
(二)組織體系與責(zé)任落實不明當(dāng)前,電力行業(yè)中普遍存在重生產(chǎn)安全輕信息安全的狀況,電力企業(yè)對信息安全重要性的認(rèn)知程度也存在經(jīng)濟發(fā)展水平和所在地域上的差異。即便企業(yè)高層逐步認(rèn)識到信息安全的重要性,也存在著以下問題:一是信息資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視,但具體情況不甚清楚;二是信息安全工作缺乏明確的概念描述和參數(shù)指標(biāo);三是信息安全工作的責(zé)任與職能落實不夠清晰,大部分電力企業(yè)未設(shè)立信息安全專崗。
(三)網(wǎng)絡(luò)和數(shù)據(jù)安全防護不完善由于互聯(lián)網(wǎng)的開放性,來自互聯(lián)網(wǎng)上的病毒、木馬、黑客攻擊以及計算機威脅事件,都時刻威脅著電力行業(yè)的信息系統(tǒng)安全,成為制約行業(yè)平穩(wěn)、安全發(fā)展的障礙。因此,維護網(wǎng)絡(luò)和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分。
近年來,電力企業(yè)采取了一系列措施,建立了相對安全的分區(qū)網(wǎng)絡(luò)安全防護體系和冗災(zāi)備份系統(tǒng),220千伏及以上主網(wǎng)信息安全防護體系已較為完善,基本保障了信息系統(tǒng)的安全運行。但細(xì)追究起來,電力行業(yè)的網(wǎng)絡(luò)安全防護體系規(guī)劃、配電網(wǎng)信息安全防護建設(shè)及災(zāi)備系統(tǒng)建設(shè)還不夠完善,還存存以下幾方面的問題:一是網(wǎng)絡(luò)安全防護體系缺乏統(tǒng)一的規(guī)劃;二是110千伏及以下配電網(wǎng)縱向數(shù)據(jù)傳輸安全性防護推進(jìn)工作有待加強;三是網(wǎng)上營銷管理系統(tǒng)防護能力有待繼續(xù)加強;四是對數(shù)據(jù)安全重視不夠,數(shù)據(jù)備份措施有待改進(jìn)。
(四)技術(shù)支撐及后勤保障有待加強隨著近幾年信息安全重要性的逐步凸顯,電力行業(yè)信息安全工作逐步得到重視,行業(yè)信息安全專業(yè)技術(shù)隊伍不斷發(fā)展壯大。部分大型國有電力企業(yè)已經(jīng)建立了專門的科技信息部門,并設(shè)立專崗、專職人員負(fù)責(zé)信息安全工作。但是,仍存在著以下幾方面問題:一是隨著信息系統(tǒng)等級保護工作的深入開展,后續(xù)系統(tǒng)測評工作未能及時跟進(jìn),目前社會上有資質(zhì)的測評機構(gòu)大都缺乏必要的電力運行基礎(chǔ)知識;二是信息安全人才隊伍依然存在著結(jié)構(gòu)不合理、后續(xù)教育不足等問題,此行業(yè)的人才培養(yǎng)有待加強;三是信息安全隊伍不穩(wěn)定,人員流動性較大,甚至有的已經(jīng)設(shè)立信息安全技術(shù)部門的單位出現(xiàn)了撤編的情況。
建議:完善法規(guī)標(biāo)準(zhǔn)開展專項檢查提高防護水平
(一)進(jìn)一步完善法規(guī)和標(biāo)準(zhǔn)體系首先,在法規(guī)規(guī)劃上,要統(tǒng)籌兼顧,制定科學(xué)的信息技術(shù)規(guī)范和標(biāo)準(zhǔn)體系框架。
一是全面做好立法規(guī)劃;二是建立科學(xué)的行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系層次。建議將行業(yè)信息安全標(biāo)準(zhǔn)和法規(guī)體系初步劃分為3層:第一層是國家制定的信息安全保密法規(guī);第二層是電監(jiān)會制定的部門規(guī)章及管理規(guī)范性文件;第三層是電力行協(xié)及企業(yè)系統(tǒng)內(nèi)部在電監(jiān)會總體協(xié)調(diào)下組織制定的制度文件。其次,在法規(guī)制定上要兼顧規(guī)范和發(fā)展,重視法規(guī)的可行性。最后,在法規(guī)實施上要堅持規(guī)范和指引相結(jié)合,重視監(jiān)督檢查和責(zé)任落實。
(二)深入開展電力行業(yè)信息安全專項檢查工作
1.提高對信息安全工作的重視度。
通過安全委開員會宣傳做好信息安全工作的重要性,提高電力企業(yè)做好信息安全工作的認(rèn)識。通過培訓(xùn)和定期組織開展電力行業(yè)信息安全專項抽查,督促并幫助企業(yè)及時查找自身漏洞并落實整改,做好防微杜漸工作。
2.制定行業(yè)標(biāo)準(zhǔn)積極落實信息安全等級保護。
行業(yè)監(jiān)管部門在推動行業(yè)信息安全等級保護工作中的作用非常關(guān)鍵,應(yīng)進(jìn)一步明確監(jiān)管部門推動行業(yè)信息安全等級保護工作的任務(wù)和工作機制,統(tǒng)一部署、組織行業(yè)的等級保護工作,為該項工作的順利開展提供組織保證。同時,應(yīng)對各單位實施信息系統(tǒng)安全等級保護情況進(jìn)行測評,在測評環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足,被測評單位應(yīng)立即制定相應(yīng)的整改方案并實施,監(jiān)督機構(gòu)負(fù)責(zé)督促其整改。
3.加強網(wǎng)絡(luò)安全體系規(guī)劃以提升網(wǎng)絡(luò)安全防護水平。
(1)以等級保護為依據(jù)進(jìn)行統(tǒng)籌規(guī)劃。等級保護是圍繞信息安全保障全過程的一項基礎(chǔ)性的管理制度,通過將等級化的方法和安全體系規(guī)劃有效結(jié)合,統(tǒng)籌規(guī)劃電力行業(yè)網(wǎng)絡(luò)安全體系的建設(shè),建立一套信息安全保障體系,將是系統(tǒng)化地解決電力行業(yè)網(wǎng)絡(luò)安全問題的一個非常有效的方法。
(2)加強網(wǎng)絡(luò)訪問控制提高網(wǎng)絡(luò)防護能力。對向電力行業(yè)提供設(shè)備、技術(shù)和服務(wù)的IT公司的資質(zhì)和誠信加強管理,確保其符合國家、行業(yè)技術(shù)標(biāo)準(zhǔn),同時簽訂必要的保密協(xié)議。根據(jù)網(wǎng)絡(luò)隔離要求,逐步建立生產(chǎn)控制區(qū)與管理區(qū)、辦公區(qū)與互聯(lián)網(wǎng)、網(wǎng)上營銷各子系統(tǒng)間有效的網(wǎng)絡(luò)隔離。技術(shù)上可以對不同的業(yè)務(wù)安全區(qū)域劃分Vlan或者采用網(wǎng)閘設(shè)備進(jìn)行隔離;對主要的網(wǎng)絡(luò)邊界和各外部進(jìn)口進(jìn)行滲透測試,進(jìn)行系統(tǒng)和設(shè)備的安全加固,降低系統(tǒng)漏洞帶來的安全風(fēng)險;在網(wǎng)上營銷管理方面,采取電子簽名或數(shù)字認(rèn)證等高強度認(rèn)證方式,加強訪問控制;針對現(xiàn)存惡意攻擊網(wǎng)站的事件越來越多的情況,要采取措施加強網(wǎng)站保護,提高對惡意代碼的防護能力,同時采用技術(shù)手段,提高網(wǎng)上交易客戶端軟件使用的安全性。
(3)加強對員工的信息安全培訓(xùn)。除了要加強網(wǎng)絡(luò)安全技術(shù)人員的管理能力和專業(yè)技能培訓(xùn)外,還要加強對全體電力職工的信息安全宣傳教育,提高其信息安全保密意識,并掌握基本的信息安全防護技能,從而整體提高電力行業(yè)信息安全的管理水平和專業(yè)技術(shù)水平。
4.扎實推進(jìn)行業(yè)災(zāi)難備份建設(shè)。
無論是美國的“9·11”事件,還是我國2008年南方冰雪災(zāi)害和四川汶川大地震,都敲響了災(zāi)難備份的警鐘。電力行業(yè)要針對自身需要,對重要系統(tǒng)開展災(zāi)難備份建設(shè),制定相關(guān)的災(zāi)難應(yīng)急預(yù)案,并加強應(yīng)急預(yù)案的演練,確保災(zāi)難備份系統(tǒng)應(yīng)急有效,使應(yīng)急工作與日常工作有機結(jié)合。
5.加強監(jiān)管技術(shù)隊伍建設(shè)。
為了適應(yīng)新時期電力行業(yè)信息安全監(jiān)管工作需要,監(jiān)管機構(gòu)須進(jìn)一步加大在此方面的人力物力投入,同時建立起獨立的信息安全測評機構(gòu),并在各區(qū)域組建信息安全測評專家小組,專門負(fù)責(zé)各區(qū)域電力企業(yè)的信息安全測評工作。
責(zé)任編輯:黎陽錦
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會保電進(jìn)行時丨陜西電力部署6項重點任務(wù)
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)