188体育

图片
您当前位置:首页 > 正文
电力企业网络与信息安全驻点辽宁监管报告
发布时间:2014-05-20 来源:国家能源局

电力企业网络与信息安全驻点辽宁

监管报告

?

?

国家能源局

二○一四年四月

????为进一步加强电力企业网络与信息安全监督管理工作,提高电力企业重要信息系统(尤其是生产控制大区信息系统)抵御恶意信息攻击的能力,根据《国家能源局关于近期重点专项监管工作的通知》(国能监管〔2013〕432号)要求,国家能源局组织对辽宁省电力企业网络与信息安全工作开展了专项驻点监管。根据驻点监管情况,编制形成《电力企业网络与信息安全驻点辽宁监管报告》。

????一、 基本情况

????(一)电力企业概况

????辽宁省内共有电力企业440余家,其中电网企业主要有东北电网有限公司、辽宁省电力有限公司及其14家市级供电公司;发电企业中归属五大发电集团的火电厂有21座、水电站3座、风电场35座,共计59座(家)。

????(二)电力企业信息系统定级分布情况

????辽宁省在全国率先开展电力企业信息安全等级保护工作,截至2014年2月,各电力企业信息系统共453个,经定级备案,四级系统2个、三级系统87个,二级系统289个(约64%),一级系统20个,未定级系统55个。辽宁省信息系统定级分布情况如图1所示:

(数据来源:国家能源局东北监管局)

图1辽宁省信息系统定级分布情况

????(三)电力二次系统安全防护工作开展情况

????辽宁电力企业按照《电力二次系统安全防护规定》要求,遵循“安全分区、网络专用、横向隔离、纵向认证”的原则,对所属生产控制系统和管理信息系统进行安全分区建设、内外网隔离部署,配置横向隔离设备和纵向加密认证装置,增加网络安全防护措施及设备,电力二次系统安全防护整体水平显著提高。截至2014年2月,省内地级以上电网企业及重要厂站共加装横向隔离设备129套,220千伏以上电力调度数据网共加装纵向认证加密装置415套,电力二次系统安全防护体系基本建立。

????根据《关于开展电力工控PLC设备信息安全隐患排查及漏洞整改工作的通知》(国能综安全〔2013〕387号)要求,东北能源监管局对辽宁省内统调以上发电企业工控系统使用PLC情况进行了全面排查,共计288套(按业务系统或功能进行统计),主要用于发电厂监控系统、辅助设备控制系统等,统计情况示意图如图2所示:

(数据来源:国家能源局东北监管局)

图2 辽宁省电力工控PLC统计情况示意图

????二、 存在的问题

????(一)管理方面的主要问题

????1. 部分电力企业网络与信息安全工作多头管理,职能交叉,缺乏统一领导和沟通协调;信息安全工作人员配备不足,甚至身兼数职,不利于信息安全工作的落实。

????2. 部分电力企业对网络与信息安全的应急处置工作重视不足,应急预案针对性、可操作性不足,应急演练形式大于内容,起不到发现问题、解决问题的作用。

????3. 部分电力企业对信息安全等级保护工作重视不够,定级、备案、测评、整改等环节的各项要求落实不严,主要体现在:

????(1)定级环节报备材料填写不完整,企业信息系统的定级数量掌握不全面,存在漏定、定级不准等情况。

????(2)备案环节存在备案不积极、备案不及时、未按要求备案等情况。

????(3)信息系统的测评工作未按国家有关频次要求开展,部分信息系统测评效果不佳。

????(4)测评整改意见和建议落实不彻底或整改不全面。

????(二)技术方面的主要问题

????4. 部分发电企业与电网企业之间的信息系统边界防护有待加强。

????5. 部分企业电力二次系统安全防护设备运行维护不及时、安全配置不完整,主要体现在:

????(1)部分企业电力二次系统信息安全防护措施落实不到位,普遍存在补丁升级不及时、弱口令、审计薄弱等问题。

????(2)部分企业电力二次系统中信息系统漏洞检测、安全加固等工作开展不及时、或未定期开展。

????(3)部分企业电力二次系统安全防护应急预案存在事故预想不全面、内容不完整、相关要求缺乏可操作性等问题,缺少演练、培训和更新的相关内容。

????(4)部分企业未按要求开展电力二次系统安全防护评估工作。

????(5)部分发电企业在基础设施、机房环境等方面较为薄弱,不满足信息系统安全等级保护的基本要求。

????三、 监管意见

????(一)强化组织保障体系建设。各电力企业要梳理网络与信息安全管理涉及的部门、岗位和人员,进一步明确各相关部门,特别是牵头管理部门的权利、责任和义务,明确部门间工作协调机制,各部门要设立信息安全管理专职岗位,责任到人,强化信息安全组织保障体系。

????(二)建立健全常态化工作机制。各电力企业要深刻认识到电力信息安全与电力生产安全同等重要。要根据国家和行业监管部门有关要求,落实专项资金、制定工作计划,定期对电力二次系统开展安全评估、等级保护测评,形成常态化工作机制。对评估、测评中发现的问题,要安排资金,及时整改,消除安全隐患。

????(三)统筹做好电力工控PLC设备安全整改工作。各电力企业要按照《关于开展电力工控PLC设备信息安全隐患排查及漏洞整改工作的通知》(国能综安全〔2013〕387号)的有关要求,根据实际情况,统筹安排,采取召回、固件升级、老旧设备更新等方式分批分期开展电力工控PLC设备的整改加固工作。新建系统中要选用安全、可靠、可控的PLC等工控设备。

????(四)强化信息安全人才队伍建设。各电力企业要面向公司领导、相关部门主要负责人和企业员工,定期组织开展信息安全政策宣贯培训,提高领导层的认识,提高员工信息安全防范意识。同时要制定培训计划,派送技术人员参加行业和其它专业机构举办的信息安全培训,提高信息安全从业人员的专业技术水平。

????(五)加大科技支撑力度。各电力企业要进一步加大科技投入,针对电力行业重要信息系统(尤其是生产监控系统)的实际特点及技术发展情况,充分发挥科研院所、高等院校的科研创新能力,深入开展基于可信计算的系统安全免疫、电力工控设备信息安全漏洞的监测/检测、信息系统安全审计等内容研究,切实保证电力企业重要信息系统的安全可靠运行。