您當(dāng)前位置:首頁(yè) > 正文
電力企業(yè)網(wǎng)絡(luò)與信息安全駐點(diǎn)遼寧監(jiān)管報(bào)告
發(fā)布時(shí)間:2014-05-20 來(lái)源:國(guó)家能源局

電力企業(yè)網(wǎng)絡(luò)與信息安全駐點(diǎn)遼寧

監(jiān)管報(bào)告

?

?

國(guó)家能源局

二○一四年四月

????為進(jìn)一步加強(qiáng)電力企業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理工作,提高電力企業(yè)重要信息系統(tǒng)(尤其是生產(chǎn)控制大區(qū)信息系統(tǒng))抵御惡意信息攻擊的能力,根據(jù)《國(guó)家能源局關(guān)于近期重點(diǎn)專(zhuān)項(xiàng)監(jiān)管工作的通知》(國(guó)能監(jiān)管〔2013〕432號(hào))要求,國(guó)家能源局組織對(duì)遼寧省電力企業(yè)網(wǎng)絡(luò)與信息安全工作開(kāi)展了專(zhuān)項(xiàng)駐點(diǎn)監(jiān)管。根據(jù)駐點(diǎn)監(jiān)管情況,編制形成《電力企業(yè)網(wǎng)絡(luò)與信息安全駐點(diǎn)遼寧監(jiān)管報(bào)告》。

????一、 基本情況

????(一)電力企業(yè)概況

????遼寧省內(nèi)共有電力企業(yè)440余家,其中電網(wǎng)企業(yè)主要有東北電網(wǎng)有限公司、遼寧省電力有限公司及其14家市級(jí)供電公司;發(fā)電企業(yè)中歸屬五大發(fā)電集團(tuán)的火電廠有21座、水電站3座、風(fēng)電場(chǎng)35座,共計(jì)59座(家)。

????(二)電力企業(yè)信息系統(tǒng)定級(jí)分布情況

????遼寧省在全國(guó)率先開(kāi)展電力企業(yè)信息安全等級(jí)保護(hù)工作,截至2014年2月,各電力企業(yè)信息系統(tǒng)共453個(gè),經(jīng)定級(jí)備案,四級(jí)系統(tǒng)2個(gè)、三級(jí)系統(tǒng)87個(gè),二級(jí)系統(tǒng)289個(gè)(約64%),一級(jí)系統(tǒng)20個(gè),未定級(jí)系統(tǒng)55個(gè)。遼寧省信息系統(tǒng)定級(jí)分布情況如圖1所示:

(數(shù)據(jù)來(lái)源:國(guó)家能源局東北監(jiān)管局)

圖1遼寧省信息系統(tǒng)定級(jí)分布情況

????(三)電力二次系統(tǒng)安全防護(hù)工作開(kāi)展情況

????遼寧電力企業(yè)按照《電力二次系統(tǒng)安全防護(hù)規(guī)定》要求,遵循“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”的原則,對(duì)所屬生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)進(jìn)行安全分區(qū)建設(shè)、內(nèi)外網(wǎng)隔離部署,配置橫向隔離設(shè)備和縱向加密認(rèn)證裝置,增加網(wǎng)絡(luò)安全防護(hù)措施及設(shè)備,電力二次系統(tǒng)安全防護(hù)整體水平顯著提高。截至2014年2月,省內(nèi)地級(jí)以上電網(wǎng)企業(yè)及重要廠站共加裝橫向隔離設(shè)備129套,220千伏以上電力調(diào)度數(shù)據(jù)網(wǎng)共加裝縱向認(rèn)證加密裝置415套,電力二次系統(tǒng)安全防護(hù)體系基本建立。

????根據(jù)《關(guān)于開(kāi)展電力工控PLC設(shè)備信息安全隱患排查及漏洞整改工作的通知》(國(guó)能綜安全〔2013〕387號(hào))要求,東北能源監(jiān)管局對(duì)遼寧省內(nèi)統(tǒng)調(diào)以上發(fā)電企業(yè)工控系統(tǒng)使用PLC情況進(jìn)行了全面排查,共計(jì)288套(按業(yè)務(wù)系統(tǒng)或功能進(jìn)行統(tǒng)計(jì)),主要用于發(fā)電廠監(jiān)控系統(tǒng)、輔助設(shè)備控制系統(tǒng)等,統(tǒng)計(jì)情況示意圖如圖2所示:

(數(shù)據(jù)來(lái)源:國(guó)家能源局東北監(jiān)管局)

圖2 遼寧省電力工控PLC統(tǒng)計(jì)情況示意圖

????二、 存在的問(wèn)題

????(一)管理方面的主要問(wèn)題

????1. 部分電力企業(yè)網(wǎng)絡(luò)與信息安全工作多頭管理,職能交叉,缺乏統(tǒng)一領(lǐng)導(dǎo)和溝通協(xié)調(diào);信息安全工作人員配備不足,甚至身兼數(shù)職,不利于信息安全工作的落實(shí)。

????2. 部分電力企業(yè)對(duì)網(wǎng)絡(luò)與信息安全的應(yīng)急處置工作重視不足,應(yīng)急預(yù)案針對(duì)性、可操作性不足,應(yīng)急演練形式大于內(nèi)容,起不到發(fā)現(xiàn)問(wèn)題、解決問(wèn)題的作用。

????3. 部分電力企業(yè)對(duì)信息安全等級(jí)保護(hù)工作重視不夠,定級(jí)、備案、測(cè)評(píng)、整改等環(huán)節(jié)的各項(xiàng)要求落實(shí)不嚴(yán),主要體現(xiàn)在:

????(1)定級(jí)環(huán)節(jié)報(bào)備材料填寫(xiě)不完整,企業(yè)信息系統(tǒng)的定級(jí)數(shù)量掌握不全面,存在漏定、定級(jí)不準(zhǔn)等情況。

????(2)備案環(huán)節(jié)存在備案不積極、備案不及時(shí)、未按要求備案等情況。

????(3)信息系統(tǒng)的測(cè)評(píng)工作未按國(guó)家有關(guān)頻次要求開(kāi)展,部分信息系統(tǒng)測(cè)評(píng)效果不佳。

????(4)測(cè)評(píng)整改意見(jiàn)和建議落實(shí)不徹底或整改不全面。

????(二)技術(shù)方面的主要問(wèn)題

????4. 部分發(fā)電企業(yè)與電網(wǎng)企業(yè)之間的信息系統(tǒng)邊界防護(hù)有待加強(qiáng)。

????5. 部分企業(yè)電力二次系統(tǒng)安全防護(hù)設(shè)備運(yùn)行維護(hù)不及時(shí)、安全配置不完整,主要體現(xiàn)在:

????(1)部分企業(yè)電力二次系統(tǒng)信息安全防護(hù)措施落實(shí)不到位,普遍存在補(bǔ)丁升級(jí)不及時(shí)、弱口令、審計(jì)薄弱等問(wèn)題。

????(2)部分企業(yè)電力二次系統(tǒng)中信息系統(tǒng)漏洞檢測(cè)、安全加固等工作開(kāi)展不及時(shí)、或未定期開(kāi)展。

????(3)部分企業(yè)電力二次系統(tǒng)安全防護(hù)應(yīng)急預(yù)案存在事故預(yù)想不全面、內(nèi)容不完整、相關(guān)要求缺乏可操作性等問(wèn)題,缺少演練、培訓(xùn)和更新的相關(guān)內(nèi)容。

????(4)部分企業(yè)未按要求開(kāi)展電力二次系統(tǒng)安全防護(hù)評(píng)估工作。

????(5)部分發(fā)電企業(yè)在基礎(chǔ)設(shè)施、機(jī)房環(huán)境等方面較為薄弱,不滿(mǎn)足信息系統(tǒng)安全等級(jí)保護(hù)的基本要求。

????三、 監(jiān)管意見(jiàn)

????(一)強(qiáng)化組織保障體系建設(shè)。各電力企業(yè)要梳理網(wǎng)絡(luò)與信息安全管理涉及的部門(mén)、崗位和人員,進(jìn)一步明確各相關(guān)部門(mén),特別是牽頭管理部門(mén)的權(quán)利、責(zé)任和義務(wù),明確部門(mén)間工作協(xié)調(diào)機(jī)制,各部門(mén)要設(shè)立信息安全管理專(zhuān)職崗位,責(zé)任到人,強(qiáng)化信息安全組織保障體系。

????(二)建立健全常態(tài)化工作機(jī)制。各電力企業(yè)要深刻認(rèn)識(shí)到電力信息安全與電力生產(chǎn)安全同等重要。要根據(jù)國(guó)家和行業(yè)監(jiān)管部門(mén)有關(guān)要求,落實(shí)專(zhuān)項(xiàng)資金、制定工作計(jì)劃,定期對(duì)電力二次系統(tǒng)開(kāi)展安全評(píng)估、等級(jí)保護(hù)測(cè)評(píng),形成常態(tài)化工作機(jī)制。對(duì)評(píng)估、測(cè)評(píng)中發(fā)現(xiàn)的問(wèn)題,要安排資金,及時(shí)整改,消除安全隱患。

????(三)統(tǒng)籌做好電力工控PLC設(shè)備安全整改工作。各電力企業(yè)要按照《關(guān)于開(kāi)展電力工控PLC設(shè)備信息安全隱患排查及漏洞整改工作的通知》(國(guó)能綜安全〔2013〕387號(hào))的有關(guān)要求,根據(jù)實(shí)際情況,統(tǒng)籌安排,采取召回、固件升級(jí)、老舊設(shè)備更新等方式分批分期開(kāi)展電力工控PLC設(shè)備的整改加固工作。新建系統(tǒng)中要選用安全、可靠、可控的PLC等工控設(shè)備。

????(四)強(qiáng)化信息安全人才隊(duì)伍建設(shè)。各電力企業(yè)要面向公司領(lǐng)導(dǎo)、相關(guān)部門(mén)主要負(fù)責(zé)人和企業(yè)員工,定期組織開(kāi)展信息安全政策宣貫培訓(xùn),提高領(lǐng)導(dǎo)層的認(rèn)識(shí),提高員工信息安全防范意識(shí)。同時(shí)要制定培訓(xùn)計(jì)劃,派送技術(shù)人員參加行業(yè)和其它專(zhuān)業(yè)機(jī)構(gòu)舉辦的信息安全培訓(xùn),提高信息安全從業(yè)人員的專(zhuān)業(yè)技術(shù)水平。

????(五)加大科技支撐力度。各電力企業(yè)要進(jìn)一步加大科技投入,針對(duì)電力行業(yè)重要信息系統(tǒng)(尤其是生產(chǎn)監(jiān)控系統(tǒng))的實(shí)際特點(diǎn)及技術(shù)發(fā)展情況,充分發(fā)揮科研院所、高等院校的科研創(chuàng)新能力,深入開(kāi)展基于可信計(jì)算的系統(tǒng)安全免疫、電力工控設(shè)備信息安全漏洞的監(jiān)測(cè)/檢測(cè)、信息系統(tǒng)安全審計(jì)等內(nèi)容研究,切實(shí)保證電力企業(yè)重要信息系統(tǒng)的安全可靠運(yùn)行。