電力企業(yè)網(wǎng)絡(luò)與信息安全駐點(diǎn)遼寧

監(jiān)管報(bào)告

?

?

國家能源局

二○一四年四月

????為進(jìn)一步加強(qiáng)電力企業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理工作，提高電力企業(yè)重要信息系統(tǒng)（尤其是生產(chǎn)控制大區(qū)信息系統(tǒng)）抵御惡意信息攻擊的能力，根據(jù)《國家能源局關(guān)于近期重點(diǎn)專項(xiàng)監(jiān)管工作的通知》（國能監(jiān)管〔2013〕432號）要求，國家能源局組織對遼寧省電力企業(yè)網(wǎng)絡(luò)與信息安全工作開展了專項(xiàng)駐點(diǎn)監(jiān)管。根據(jù)駐點(diǎn)監(jiān)管情況，編制形成《電力企業(yè)網(wǎng)絡(luò)與信息安全駐點(diǎn)遼寧監(jiān)管報(bào)告》。

????一、 基本情況

????（一）電力企業(yè)概況

????遼寧省內(nèi)共有電力企業(yè)440余家，其中電網(wǎng)企業(yè)主要有東北電網(wǎng)有限公司、遼寧省電力有限公司及其14家市級供電公司；發(fā)電企業(yè)中歸屬五大發(fā)電集團(tuán)的火電廠有21座、水電站3座、風(fēng)電場35座，共計(jì)59座（家）。

????（二）電力企業(yè)信息系統(tǒng)定級分布情況

????遼寧省在全國率先開展電力企業(yè)信息安全等級保護(hù)工作，截至2014年2月，各電力企業(yè)信息系統(tǒng)共453個，經(jīng)定級備案，四級系統(tǒng)2個、三級系統(tǒng)87個，二級系統(tǒng)289個（約64%），一級系統(tǒng)20個，未定級系統(tǒng)55個。遼寧省信息系統(tǒng)定級分布情況如圖1所示：

（數(shù)據(jù)來源：國家能源局東北監(jiān)管局）

圖1遼寧省信息系統(tǒng)定級分布情況

????（三）電力二次系統(tǒng)安全防護(hù)工作開展情況

????遼寧電力企業(yè)按照《電力二次系統(tǒng)安全防護(hù)規(guī)定》要求，遵循“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的原則，對所屬生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)進(jìn)行安全分區(qū)建設(shè)、內(nèi)外網(wǎng)隔離部署，配置橫向隔離設(shè)備和縱向加密認(rèn)證裝置，增加網(wǎng)絡(luò)安全防護(hù)措施及設(shè)備，電力二次系統(tǒng)安全防護(hù)整體水平顯著提高。截至2014年2月，省內(nèi)地級以上電網(wǎng)企業(yè)及重要廠站共加裝橫向隔離設(shè)備129套，220千伏以上電力調(diào)度數(shù)據(jù)網(wǎng)共加裝縱向認(rèn)證加密裝置415套，電力二次系統(tǒng)安全防護(hù)體系基本建立。

????根據(jù)《關(guān)于開展電力工控PLC設(shè)備信息安全隱患排查及漏洞整改工作的通知》（國能綜安全〔2013〕387號）要求，東北能源監(jiān)管局對遼寧省內(nèi)統(tǒng)調(diào)以上發(fā)電企業(yè)工控系統(tǒng)使用PLC情況進(jìn)行了全面排查，共計(jì)288套（按業(yè)務(wù)系統(tǒng)或功能進(jìn)行統(tǒng)計(jì)），主要用于發(fā)電廠監(jiān)控系統(tǒng)、輔助設(shè)備控制系統(tǒng)等,統(tǒng)計(jì)情況示意圖如圖2所示：

（數(shù)據(jù)來源：國家能源局東北監(jiān)管局）

圖2 遼寧省電力工控PLC統(tǒng)計(jì)情況示意圖

????二、 存在的問題

????（一）管理方面的主要問題

????1. 部分電力企業(yè)網(wǎng)絡(luò)與信息安全工作多頭管理，職能交叉，缺乏統(tǒng)一領(lǐng)導(dǎo)和溝通協(xié)調(diào)；信息安全工作人員配備不足，甚至身兼數(shù)職，不利于信息安全工作的落實(shí)。

????2. 部分電力企業(yè)對網(wǎng)絡(luò)與信息安全的應(yīng)急處置工作重視不足，應(yīng)急預(yù)案針對性、可操作性不足，應(yīng)急演練形式大于內(nèi)容，起不到發(fā)現(xiàn)問題、解決問題的作用。

????3. 部分電力企業(yè)對信息安全等級保護(hù)工作重視不夠，定級、備案、測評、整改等環(huán)節(jié)的各項(xiàng)要求落實(shí)不嚴(yán)，主要體現(xiàn)在：

????（1）定級環(huán)節(jié)報(bào)備材料填寫不完整，企業(yè)信息系統(tǒng)的定級數(shù)量掌握不全面，存在漏定、定級不準(zhǔn)等情況。

????（2）備案環(huán)節(jié)存在備案不積極、備案不及時、未按要求備案等情況。

????（3）信息系統(tǒng)的測評工作未按國家有關(guān)頻次要求開展，部分信息系統(tǒng)測評效果不佳。

????（4）測評整改意見和建議落實(shí)不徹底或整改不全面。

????（二）技術(shù)方面的主要問題

????4. 部分發(fā)電企業(yè)與電網(wǎng)企業(yè)之間的信息系統(tǒng)邊界防護(hù)有待加強(qiáng)。

????5. 部分企業(yè)電力二次系統(tǒng)安全防護(hù)設(shè)備運(yùn)行維護(hù)不及時、安全配置不完整，主要體現(xiàn)在：

????（1）部分企業(yè)電力二次系統(tǒng)信息安全防護(hù)措施落實(shí)不到位，普遍存在補(bǔ)丁升級不及時、弱口令、審計(jì)薄弱等問題。

????（2）部分企業(yè)電力二次系統(tǒng)中信息系統(tǒng)漏洞檢測、安全加固等工作開展不及時、或未定期開展。

????（3）部分企業(yè)電力二次系統(tǒng)安全防護(hù)應(yīng)急預(yù)案存在事故預(yù)想不全面、內(nèi)容不完整、相關(guān)要求缺乏可操作性等問題，缺少演練、培訓(xùn)和更新的相關(guān)內(nèi)容。

????（4）部分企業(yè)未按要求開展電力二次系統(tǒng)安全防護(hù)評估工作。

????（5）部分發(fā)電企業(yè)在基礎(chǔ)設(shè)施、機(jī)房環(huán)境等方面較為薄弱，不滿足信息系統(tǒng)安全等級保護(hù)的基本要求。

????三、 監(jiān)管意見

????（一）強(qiáng)化組織保障體系建設(shè)。各電力企業(yè)要梳理網(wǎng)絡(luò)與信息安全管理涉及的部門、崗位和人員，進(jìn)一步明確各相關(guān)部門，特別是牽頭管理部門的權(quán)利、責(zé)任和義務(wù)，明確部門間工作協(xié)調(diào)機(jī)制，各部門要設(shè)立信息安全管理專職崗位，責(zé)任到人，強(qiáng)化信息安全組織保障體系。

????（二）建立健全常態(tài)化工作機(jī)制。各電力企業(yè)要深刻認(rèn)識到電力信息安全與電力生產(chǎn)安全同等重要。要根據(jù)國家和行業(yè)監(jiān)管部門有關(guān)要求，落實(shí)專項(xiàng)資金、制定工作計(jì)劃，定期對電力二次系統(tǒng)開展安全評估、等級保護(hù)測評，形成常態(tài)化工作機(jī)制。對評估、測評中發(fā)現(xiàn)的問題，要安排資金，及時整改，消除安全隱患。

????（三）統(tǒng)籌做好電力工控PLC設(shè)備安全整改工作。各電力企業(yè)要按照《關(guān)于開展電力工控PLC設(shè)備信息安全隱患排查及漏洞整改工作的通知》（國能綜安全〔2013〕387號）的有關(guān)要求，根據(jù)實(shí)際情況，統(tǒng)籌安排，采取召回、固件升級、老舊設(shè)備更新等方式分批分期開展電力工控PLC設(shè)備的整改加固工作。新建系統(tǒng)中要選用安全、可靠、可控的PLC等工控設(shè)備。

????（四）強(qiáng)化信息安全人才隊(duì)伍建設(shè)。各電力企業(yè)要面向公司領(lǐng)導(dǎo)、相關(guān)部門主要負(fù)責(zé)人和企業(yè)員工，定期組織開展信息安全政策宣貫培訓(xùn)，提高領(lǐng)導(dǎo)層的認(rèn)識，提高員工信息安全防范意識。同時要制定培訓(xùn)計(jì)劃，派送技術(shù)人員參加行業(yè)和其它專業(yè)機(jī)構(gòu)舉辦的信息安全培訓(xùn)，提高信息安全從業(yè)人員的專業(yè)技術(shù)水平。

????（五）加大科技支撐力度。各電力企業(yè)要進(jìn)一步加大科技投入，針對電力行業(yè)重要信息系統(tǒng)（尤其是生產(chǎn)監(jiān)控系統(tǒng)）的實(shí)際特點(diǎn)及技術(shù)發(fā)展情況，充分發(fā)揮科研院所、高等院校的科研創(chuàng)新能力，深入開展基于可信計(jì)算的系統(tǒng)安全免疫、電力工控設(shè)備信息安全漏洞的監(jiān)測/檢測、信息系統(tǒng)安全審計(jì)等內(nèi)容研究，切實(shí)保證電力企業(yè)重要信息系統(tǒng)的安全可靠運(yùn)行。