但当我们在享受信息化技术带来的高效和便捷的同时,电力行业所面临的网络与信息安全风险也与日剧增。
我国电力行业网络与信息安全工作开展情况
2000年以来,我国相继发生了“二滩电厂停机事件”、“故障录波器事件”、“逻辑炸弹事件”、“换流站病毒感染事件”等多起电力行业网络与信息安全事件,造成了不同程度的事故影响,威胁到了电力系统安全稳定运行,同时也暴露出了我国电力行业在网络安全接入方面、安全生产管理方面、人员信息安全培训等方面存在薄弱环节。
针对类似电力信息安全事件,2002年,原国家经贸委发布第30号令《电网和电厂计算机监控系统及调度数据网络安全防护规定》,对电网和电厂计算机监控系统防护提出了要求。国家电监会成立后,对电力二次系统及网络信息安全防护明确提出了“安全分区、专网专用、横向隔离、纵向认证”的总体防护策略,并制定印发了《电力行业网络与信息安全信息报送暂行办法》、《电力行业网络与信息安全应急预案》、《电力行业网络与信息安全监督管理暂行办法》等一系列管理办法,使电力行业网络与信息安全防护的理念更加系统化、具体化,增强了可操作性,电力行业网络与信息安全防护工作进入了实质性建设阶段。
对比国外发达国家相对孤立、松散的电力行业信息安全防护现状,我国的电力行业信息安全防护工作在组织管理、部署实施、企业参与积极性等方面具有更为明显的优势。截至2011年底,全国电力安委会成员单位中的15家电网和发电企业90%以上的单位已按照“安全分区、专网专用、横向隔离、纵向认证”的要求完成了生产控制大区和管理信息大区的物理隔离改造,通过认证、加密、访问控制等技术手段实现了远程数据传输、控制及纵向边界的安全防护。其中电网企业较发电企业,省级以上调度单位较地级调度单位,330千伏及以上变电站较220千伏变电站信息安全防护工作开展的更快、更全、更好。通过加强电力行业信息安全防护工作有效保证了北京奥运会、上海世博会、广州亚运会等重要保电时期电力系统的安全稳定运行和可靠供电。但在取得一系列成效的同时,问题和不足也相对明显。
问题:法规标准不全责任落实不明技术保障不力
(一)信息安全法规和标准体系建设不全面对新形势下信息安全保障工作的发展需要,电力行业信息安全在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设相对滞后,缺乏总体规划;二是规范和标准互通性和协调性不强,部分规范和标准的可执行性较差;三是部分规范和标准已不适应现实需要,尤其是新能源、新技术和新模式的引入,原有的信息安全防护标准无法应对某些新型信息安全的威胁;四是部分信息安全规 范和标准在行业内难以得到切实落实。
2007年国家电监会启动了电力行业信息系统安全等级保护定级工作,并编制印发了《电力行业信息系统安全等级保护管理办法》和《信息系统安全等级保护定级指南》,行业信息安全法规和标准体系初步形成。但对电力行业信息系统等级保护的具体要求和规范意见,以及后续的信息系统等级测评和督促检查机制却仍未建立起来。
(二)组织体系与责任落实不明当前,电力行业中普遍存在重生产安全轻信息安全的状况,电力企业对信息安全重要性的认知程度也存在经济发展水平和所在地域上的差异。即便企业高层逐步认识到信息安全的重要性,也存在着以下问题:一是信息资源在公司的战略资产中的地位受到高层重视,但具体情况不甚清楚;二是信息安全工作缺乏明确的概念描述和参数指标;三是信息安全工作的责任与职能落实不够清晰,大部分电力企业未设立信息安全专岗。
(三)网络和数据安全防护不完善由于互联网的开放性,来自互联网上的病毒、木马、黑客攻击以及计算机威胁事件,都时刻威胁着电力行业的信息系统安全,成为制约行业平稳、安全发展的障碍。因此,维护网络和数据安全成为行业信息安全保障工作的重要组成部分。
近年来,电力企业采取了一系列措施,建立了相对安全的分区网络安全防护体系和冗灾备份系统,220千伏及以上主网信息安全防护体系已较为完善,基本保障了信息系统的安全运行。但细追究起来,电力行业的网络安全防护体系规划、配电网信息安全防护建设及灾备系统建设还不够完善,还存存以下几方面的问题:一是网络安全防护体系缺乏统一的规划;二是110千伏及以下配电网纵向数据传输安全性防护推进工作有待加强;三是网上营销管理系统防护能力有待继续加强;四是对数据安全重视不够,数据备份措施有待改进。
(四)技术支撑及后勤保障有待加强随着近几年信息安全重要性的逐步凸显,电力行业信息安全工作逐步得到重视,行业信息安全专业技术队伍不断发展壮大。部分大型国有电力企业已经建立了专门的科技信息部门,并设立专岗、专职人员负责信息安全工作。但是,仍存在着以下几方面问题:一是随着信息系统等级保护工作的深入开展,后续系统测评工作未能及时跟进,目前社会上有资质的测评机构大都缺乏必要的电力运行基础知识;二是信息安全人才队伍依然存在着结构不合理、后续教育不足等问题,此行业的人才培养有待加强;三是信息安全队伍不稳定,人员流动性较大,甚至有的已经设立信息安全技术部门的单位出现了撤编的情况。
建议:完善法规标准开展专项检查提高防护水平
(一)进一步完善法规和标准体系首先,在法规规划上,要统筹兼顾,制定科学的信息技术规范和标准体系框架。
一是全面做好立法规划;二是建立科学的行业信息安全标准和法规体系层次。建议将行业信息安全标准和法规体系初步划分为3层:第一层是国家制定的信息安全保密法规;第二层是电监会制定的部门规章及管理规范性文件;第三层是电力行协及企业系统内部在电监会总体协调下组织制定的制度文件。其次,在法规制定上要兼顾规范和发展,重视法规的可行性。最后,在法规实施上要坚持规范和指引相结合,重视监督检查和责任落实。
(二)深入开展电力行业信息安全专项检查工作1.提高对信息安全工作的重视度。
通过安全委开员会宣传做好信息安全工作的重要性,提高电力企业做好信息安全工作的认识。通过培训和定期组织开展电力行业信息安全专项抽查,督促并帮助企业及时查找自身漏洞并落实整改,做好防微杜渐工作。
2.制定行业标准积极落实信息安全等级保护。
行业监管部门在推动行业信息安全等级保护工作中的作用非常关键,应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制,统一部署、组织行业的等级保护工作,为该项工作的顺利开展提供组织保证。同时,应对各单位实施信息系统安全等级保护情况进行测评,在测评环节一旦发现信息系统的不足,被测评单位应立即制定相应的整改方案并实施,监督机构负责督促其整改。
3.加强网络安全体系规划以提升网络安全防护水平。
(1)以等级保护为依据进行统筹规划。等级保护是围绕信息安全保障全过程的一项基础性的管理制度,通过将等级化的方法和安全体系规划有效结合,统筹规划电力行业网络安全体系的建设,建立一套信息安全保障体系,将是系统化地解决电力行业网络安全问题的一个非常有效的方法。
(2)加强网络访问控制提高网络防护能力。对向电力行业提供设备、技术和服务的IT公司的资质和诚信加强管理,确保其符合国家、行业技术标准,同时签订必要的保密协议。根据网络隔离要求,逐步建立生产控制区与管理区、办公区与互联网、网上营销各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分Vlan或者采用网闸设备进行隔离;对主要的网络边界和各外部进口进行渗透测试,进行系统和设备的安全加固,降低系统漏洞带来的安全风险;在网上营销管理方面,采取电子签名或数字认证等高强度认证方式,加强访问控制;针对现存恶意攻击网站的事件越来越多的情况,要采取措施加强网站保护,提高对恶意代码的防护能力,同时采用技术手段,提高网上交易客户端软件使用的安全性。
(3)加强对员工的信息安全培训。除了要加强网络安全技术人员的管理能力和专业技能培训外,还要加强对全体电力职工的信息安全宣传教育,提高其信息安全保密意识,并掌握基本的信息安全防护技能,从而整体提高电力行业信息安全的管理水平和专业技术水平。
4.扎实推进行业灾难备份建设。
无论是美国的“9·11”事件,还是我国2008年南方冰雪灾害和四川汶川大地震,都敲响了灾难备份的警钟。电力行业要针对自身需要,对重要系统开展灾难备份建设,制定相关的灾难应急预案,并加强应急预案的演练,确保灾难备份系统应急有效,使应急工作与日常工作有机结合。
5.加强监管技术队伍建设。
为了适应新时期电力行业信息安全监管工作需要,监管机构须进一步加大在此方面的人力物力投入,同时建立起独立的信息安全测评机构,并在各区域组建信息安全测评专家小组,专门负责各区域电力企业的信息安全测评工作。