電力企業(yè)網(wǎng)絡信息安全現(xiàn)狀與分析

王舒

摘要：隨著網(wǎng)絡的普及和網(wǎng)絡開放性、共享性、互連程度的擴大，網(wǎng)絡與信息安全問題也越來越引起人們的重視。對于電力企業(yè)也來講，能否保障網(wǎng)絡安全以及網(wǎng)絡中信息的安全問題，直接影響到企業(yè)的發(fā)展與效益，并直接關系到電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟、優(yōu)質運行，影響著“數(shù)字電力系統(tǒng)”的實現(xiàn)進程以及國家電力信息系統(tǒng)網(wǎng)絡信息安全的實現(xiàn)，而且電力工業(yè)是國家經(jīng)濟的支柱產(chǎn)業(yè)，其安全問題直接關系到各行各業(yè)的發(fā)展和人民的生活水平。電力企業(yè)的網(wǎng)絡化信息安全還是存在很多安全隱患，需不斷探索，尋求更好的解決對策。

關鍵詞：電力企業(yè)；信息安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）06-0030-03

1 電力企業(yè)網(wǎng)絡與信息安全成效

近些年，電力行業(yè)網(wǎng)絡與信息安全工作開展扎實有效，電力監(jiān)控系統(tǒng)安全穩(wěn)定運行、信息安全等級保護工作穩(wěn)步推進，電力工控設備隱患排查和漏洞整改卓有成效，網(wǎng)絡與信息安全成效顯著，沒有發(fā)生較大以上網(wǎng)絡與信息安全事件，有力保證了電力系統(tǒng)的安全穩(wěn)定運行和可靠供應，滿足了社會經(jīng)濟發(fā)展和人民生活需要。

1.1 電力企業(yè)建立電力監(jiān)控系統(tǒng)安防體系

電力企業(yè)已基本建立了“以電力企業(yè)為主體、以調度機構為紐帶、以監(jiān)督管理為手段、以聯(lián)合防護為特征”的電力監(jiān)控系統(tǒng)安全防護和監(jiān)督管理體系，具有顯著特點和推廣價值。電力企業(yè)按照國家有關法律法規(guī)要求，將電力監(jiān)控系統(tǒng)安全納入企業(yè)安全生產(chǎn)管理體系之中，基本實現(xiàn)了省、地、縣三級電力監(jiān)控系統(tǒng)安全防護的統(tǒng)一管理及涉網(wǎng)監(jiān)控系統(tǒng)安全防護措施的落實。電力調度機構嚴把發(fā)電廠電力監(jiān)控系統(tǒng)安全防護實施方案的“審查關”，嚴把發(fā)電廠電力監(jiān)控系統(tǒng)正式投運前的“驗收關”，嚴把發(fā)電廠電力監(jiān)控系統(tǒng)安全運行的“評價關”，建立網(wǎng)廠協(xié)同工作機制，提升聯(lián)合防護水平。

1.2 不斷推進電力監(jiān)控系統(tǒng)能力建設及等級保護工作

電力企業(yè)認真貫徹國家有關法律法規(guī)，積極開展安全防護能力建設和風險評估，實現(xiàn)全過程管理，保障電力監(jiān)控系統(tǒng)的安全穩(wěn)定運行。目前基本實現(xiàn)了220千伏及以上廠站安全防護設備的全覆蓋。與此同時，電力企業(yè)積極開展電力信息系統(tǒng)等級保護定級備案、測評和整改落實工作，提升了電力信息系統(tǒng)抵御安全風險的能力。

1.3 認真開展電力工控設備及操作系統(tǒng)等漏洞整改工作

電力企業(yè)針對Windows XP系統(tǒng)停止升級服務后可能造成的信息安全隱患，積極開展評估并制定相關措施，用國產(chǎn)安全軟件對部分Windows XP操作系統(tǒng)實施安全防護，加快客戶端Windows XP操作系統(tǒng)向其他操作系統(tǒng)遷移工作。

2 電力企業(yè)網(wǎng)絡與信息安全管理問題現(xiàn)狀

隨著電力企業(yè)的迅猛發(fā)展，我國的信息化產(chǎn)業(yè)建設也取得了巨大的成果。在它迅速發(fā)展的可喜成績下，也存在也巨大的安全隱患，網(wǎng)絡信息化安全的現(xiàn)狀著實令人擔憂。目前電力系統(tǒng)企業(yè)已經(jīng)搭建起自己的網(wǎng)絡平臺，并制定出相應的安全策略，在內(nèi)部已經(jīng)開始實施。與此同時，電力企業(yè)實現(xiàn)了將系統(tǒng)與系統(tǒng)間進行整合，并與銀行以及個人用戶等實現(xiàn)了信息共享。縱然如此，還是不可否認電力系統(tǒng)內(nèi)部網(wǎng)絡信息仍存在著很多安全隱患。

2.1 未及時修訂電力監(jiān)控系統(tǒng)安全防護等管理制度

一些電力企業(yè)未能依據(jù)有關法律法規(guī)文件要求，對企業(yè)相關的信息安全管理制度、規(guī)定和系統(tǒng)防護方案進行及時更新與修訂。部分企業(yè)信息安全管理組織體系不健全，存在制度缺失、責任制未落實等問題。

2.2 電力系統(tǒng)安全防護評估工作開展不到位

部分企業(yè)對國家及行業(yè)的信息安全防護政策要求了解不夠，未建立電力監(jiān)控系統(tǒng)安全評估機制，企業(yè)自評估能力不足；在重要電力工控系統(tǒng)安全評估和等級保護定級、備案、整改等方面與行業(yè)要求有一定差距。

2.3 電力網(wǎng)絡與信息安全防護人員配置及培訓存在不足

部分企業(yè)電力網(wǎng)絡與信息安全防護人員配備不足，存在未設置專職信息安全管理員、網(wǎng)絡信息安全相關關鍵崗位技能要求不清晰、運維能力不足和過度依賴廠家的問題，宣傳培訓工作開展不力，企業(yè)員工的信息安全意識較為淡薄，培訓受眾人群單一，未將培訓工作常態(tài)化、規(guī)范化。

2.4 電力工控系統(tǒng)安全防護技術監(jiān)督工作存在不足

部分發(fā)電企業(yè)電力監(jiān)控系統(tǒng)安全防護實施方案制定后未及時報送相應調度機構審核，部分電力調度機構也未按照國家及行業(yè)的有關法律法規(guī)文件要求對所轄發(fā)電企業(yè)涉網(wǎng)部分工控系統(tǒng)安全防護工作開展全面的技術監(jiān)督。

3 電力企業(yè)網(wǎng)絡與信息安全技術問題現(xiàn)狀

3.1 電力系統(tǒng)網(wǎng)絡邊界防護措施不完善

部分電力企業(yè)技術防護措施不夠完善，安全威脅較大，生產(chǎn)控制大區(qū)邊界缺少相應的安全隔離措施，個別電力企業(yè)仍存在跨區(qū)互聯(lián)、未設置安全接入?yún)^(qū)等情況。

3.2 電力系統(tǒng)縱深防御管控不足

部分電力企業(yè)存在主機操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和網(wǎng)絡通信等設備空口令、弱口令、安全補丁更新不及時等問題，部分安全設備策略配置不合理；部分發(fā)電企業(yè)基礎防護措施不足，個別發(fā)電企業(yè)生產(chǎn)控制大區(qū)未部署入侵檢測、安全審計措施，以及防病毒、入侵檢測系統(tǒng)規(guī)則庫未及時更新，縱深防御方面較為薄弱，終端防護較薄弱。

3.3 電力工控PLC設備隱患排查不到位

個別企業(yè)未對生產(chǎn)控制系統(tǒng)在運PLC設備進行詳細梳理和隱患排查，設備使用臺賬管理工作不到位，對通報存在漏洞的PLC設備安全防護措施不足，安全風險仍然存在。

3.4 電力系統(tǒng)物理安全防護措施不到位

部分電力企業(yè)存在機房門禁設施不完善、出入登記缺失、設備標識不全、接地線不規(guī)范、線纜雜亂、易燃品堆積、消防設施配置不滿足標準等問題，在物理安全方面存在安全隱患。

4 電力行業(yè)網(wǎng)絡與信息安全工作中存在的問題特點

近些年，電力行業(yè)網(wǎng)絡與信息安全工作開展扎實有效，電力監(jiān)控系統(tǒng)安全穩(wěn)定運行、信息安全等級保護工作穩(wěn)步推進，電力工控設備隱患排查和漏洞整改卓有成效，網(wǎng)絡與信息安全專項監(jiān)管成效顯著，沒有發(fā)生較大以上網(wǎng)絡與信息安全事件，有力保證了電力系統(tǒng)的安全穩(wěn)定運行和可靠供應，滿足了社會經(jīng)濟發(fā)展和人民生活需要。

但網(wǎng)絡與信息安全工作中還存在不足，信息安全“短板效應”嚴重威脅著電力系統(tǒng)的安全穩(wěn)定；我們應該充分地認識到我們面臨的網(wǎng)絡與信息安全內(nèi)部、外部威脅，“震網(wǎng)病毒”、“斯諾登事件”、“西門子燃機事件”等信息安全警示歷歷在目；我們應該深入地認識網(wǎng)絡與信息安全工作的緊迫性，云計算（霧計算）、大數(shù)據(jù)（超大數(shù)據(jù)）等信息技術迅猛發(fā)展，未知的、新的安全問題也隨之而來，電力行業(yè)網(wǎng)絡與信息安全威脅日趨嚴重；我們更應該系統(tǒng)地認識網(wǎng)絡與信息安全的艱巨性，“沒有網(wǎng)絡安全就沒有國家安全”，網(wǎng)絡安全已經(jīng)提升到國家戰(zhàn)略高度，電力行業(yè)網(wǎng)絡與信息安全工作任重道遠。結合中央網(wǎng)信辦、公安部在信息安全等級保護工作方面的工作要求，不難總結歸納電力行業(yè)網(wǎng)絡與信息安全工作中存在的問題，呈現(xiàn)多種特點。

4.1 網(wǎng)絡與信息安全問題點多面廣

電力企業(yè)總部信息化的快速發(fā)展為基層企業(yè)更好地履行職能提供了重要支撐。目前，企業(yè)已經(jīng)建立起龐大復雜的調度數(shù)據(jù)網(wǎng)和綜合信息網(wǎng)，計算機網(wǎng)絡信息系統(tǒng)成為企業(yè)日益重要的技術支持系統(tǒng)。信息安全所面臨的風險同時滲透到電力企業(yè)生產(chǎn)和經(jīng)營的各個方面。電力企業(yè)調度數(shù)據(jù)網(wǎng)的安全運行，避免受到來自綜合信息網(wǎng)的可能的攻擊。然而，財務、營銷、客戶管理等系統(tǒng)的網(wǎng)絡信息安全還相當薄弱。隨之而來的信息安全問題也日益突顯.實際工作中我們比較重視網(wǎng)絡服務器端的安全管理，而作為信息網(wǎng)絡基本節(jié)點的客戶端，因其點多面廣，難以集中統(tǒng)一管理，暴露出的安全問題日益增多，對整個信息安全造成嚴重威脅，應當引起我們的高度重視.

4.2 網(wǎng)絡與信息安全等保防護參差不齊

通過摸底調查和現(xiàn)場專項督查，抽取電力行業(yè)20家主要電力企業(yè)所屬信息系統(tǒng)共計7403個1，等級保護定級率為97.3%，其中已開展等級保護測評的信息系統(tǒng)3238個。據(jù)不完全統(tǒng)計，電網(wǎng)公司所屬信息系統(tǒng)共計2123個，定級率為99.9%；發(fā)電集團所屬信息系統(tǒng)4363個，占比近2/3，定級率為96.2%（略低于電網(wǎng)企業(yè)）。部分四級系統(tǒng)仍不能完全滿足相關要求，北京、浙江等地區(qū)重要支撐的百萬千瓦級發(fā)電企業(yè)網(wǎng)絡與信息安全仍缺乏有效管控，針對境外勢力竊取信息的防范機制嚴重不足，存在被控的嚴重安全風險。

4.3 網(wǎng)絡與信息安全專業(yè)涉及廣泛

電力企業(yè)網(wǎng)絡與信息安全工作的組織體系和管理制度、電力監(jiān)控系統(tǒng)安全防護、信息安全等級保護及技術人才隊伍建設等5大類問題頻現(xiàn)，電網(wǎng)企業(yè)所屬調度、營銷、檢修等業(yè)務部門存在相似、相近的問題，發(fā)電企業(yè)熱工、信息、網(wǎng)絡等專業(yè)協(xié)調不足，存在一崗多責、一職多用的現(xiàn)象，信息安全管理分散，綜合防護不足。

4.4 網(wǎng)絡與信息安全問題縱深防護不一

電網(wǎng)企業(yè)部分配電自動化、計量自動化等系統(tǒng)仍存在加密認證措施不完善、主站側安全防護措施強度不足等問題，可能導致惡意篡改控制指令，引發(fā)用戶大面積停電、主站側遭受惡意信息攻擊等風險。部分偏遠地區(qū)風電、光伏等新能源發(fā)電企業(yè)安全防護機制不完善，網(wǎng)絡節(jié)點多且分散，極易形成網(wǎng)絡攻擊入口，給電力系統(tǒng)安全帶來極大安全隱患。

5 建立完善網(wǎng)絡信息安全長效機制，保證電力系統(tǒng)的安全穩(wěn)定運行

網(wǎng)絡安全和信息化是事關國家安全和國家發(fā)展、事關廣大人民群眾工作生活的重大戰(zhàn)略問題，要從國際國內(nèi)大勢出發(fā)，總體布局，統(tǒng)籌各方，創(chuàng)新發(fā)展，努力把我國建設成為網(wǎng)絡強國。要深入領會關于“沒有網(wǎng)絡安全就沒國家安全，沒有信息化就沒有現(xiàn)代化”深刻理論內(nèi)涵和實踐指導意義，深化網(wǎng)絡與信息安全責任落實，繼續(xù)推進電力工控系統(tǒng)漏洞隱患排查和整改工作，強化安全防護體系的縱深防御，扎實推進網(wǎng)絡與信息安全人才隊伍和行業(yè)測評機構能力建設。

5.1 深化網(wǎng)絡與信息安全組織管理和保障體系建設

企業(yè)應認清網(wǎng)絡與信息安全面臨的嚴峻形勢，進一步加強組織領導，認真貫徹國家有關法律法規(guī)，嚴格落實網(wǎng)絡與信息安全管理涉及的責任部門、崗位、人員及專項經(jīng)費，把網(wǎng)絡與信息安全放在與電力生產(chǎn)安全同等重要的地位，納入生產(chǎn)安全評價考核體系，確保責任落實到位。要參照國家及行業(yè)信息安全相關制度、標準，結合自身信息系統(tǒng)的特點，進一步完善健全符合自身情況的信息安全防護措施及和手段，尤其是電網(wǎng)營銷系統(tǒng)和新能源發(fā)電企業(yè)更需加強網(wǎng)絡安全防護體系建設。

5.2 提高電力企業(yè)網(wǎng)絡與信息安全防護能力

要嚴格落實國家網(wǎng)絡與信息安全法律法規(guī)，進一步強化邊界防護和生產(chǎn)控制大區(qū)縱深防御；強化網(wǎng)絡與信息安全總體規(guī)劃和整體策略設計，加強對關鍵監(jiān)控系統(tǒng)及設備的技術摸底、運行維護技術培訓，采取有針對性的隔離、審計等措施，提升工控系統(tǒng)安全防護及設備運行維護能力；尤其是在切實做好輸供電、火力發(fā)電、水力發(fā)電等系統(tǒng)安全防護工作基礎上，進一步推進核電、風電、光伏發(fā)電等新能源的綜合安全防護建設。

5.3 規(guī)范管理，推進電力系統(tǒng)安全防護和信息安全等級保護工作

電力企業(yè)，尤其是網(wǎng)絡信息安全防護存在薄弱環(huán)節(jié)的發(fā)電企業(yè)，要加強電力系統(tǒng)安全防護和信息安全等級保護工作，全面實現(xiàn)電力監(jiān)控系統(tǒng)的全覆蓋。增強整體安全防護機制與措施，防范局部防護、節(jié)點保護不足帶來的安全風險；要深入貫徹落實國家及行業(yè)等級保護規(guī)定以及定級、備案、測評、整改等具體規(guī)范要求，組織開展信息系統(tǒng)摸底調查，切實解決存在的信息系統(tǒng)未定級、定級不準及未備案等問題；按要求定期開展電力監(jiān)控系統(tǒng)安全防護評估和信息安全等級保護工作。

5.4 自主創(chuàng)新，加快實現(xiàn)電力工控系統(tǒng)及設備安全自主可控

電力企業(yè)及相關科研院所要加大科技投入，積極組織技術力量研究在運電力監(jiān)控系統(tǒng)及工控設備的技術原理，逐步實現(xiàn)自主可控產(chǎn)品替代；各發(fā)電企業(yè)在新建系統(tǒng)時應明確對關鍵軟硬件的網(wǎng)絡安全要求，要選用安全、可靠、可控的工控設備。

5.5 夯實基礎，強化信息安全人才隊伍建設

電力企業(yè)應加強網(wǎng)絡與信息安全管理和技術人員儲備，配備足夠的網(wǎng)絡與信息安全管理人員；加強規(guī)范信息系統(tǒng)工作制度，規(guī)范信息安全操作，全面提高電力企業(yè)工作人員信息安全技能和安全意識；基層電力企業(yè)、地方民營電力企業(yè)和外包服務隊伍要進一步加大信息安全從業(yè)人員的培訓力度，提高信息安全防范意識和保障信息安全的能力。

5.6 提升信息安全事件應急處置能力

電力企業(yè)要進一步完善電力工控系統(tǒng)安全專項應急預案和現(xiàn)場處置方案的編制、評審及備案等工作，加強對電力工控系統(tǒng)的安全風險辨識和預控機制建設，并定期組織開展電力工控系統(tǒng)安全事件應急演練和信息安全攻防演練，提高電力工控系統(tǒng)安全防護專項應急預案的針對性和可操作性，有效提升電力工控系統(tǒng)應急響應處置能力。

5.7 規(guī)范產(chǎn)品選型，提高電力工控系統(tǒng)安全防護安全可控能力

電力企業(yè)應結合“互聯(lián)網(wǎng)+”行動計劃和電力體制改革進展，積極組織開展電力工控安全防護新技術、新措施研究，強化電力工控系統(tǒng)縱深防御，完善電力工控終端安全防護，全面提升電力工控系統(tǒng)安全的可控能力。在設備選型及配置時，應當符合國家的有關規(guī)定，禁止選用經(jīng)國家相關管理部門檢測認定存在漏洞和風險的系統(tǒng)及設備，對于已經(jīng)投入運行的系統(tǒng)及設備，應當采取有效安全防護措施，確保系統(tǒng)及設備的安全穩(wěn)定運行。電力科研單位、設備廠商應加強技術創(chuàng)新，積極參與制定電力工控系統(tǒng)關鍵設備的信息安全規(guī)范和技術標準，重視和加強電力工控系統(tǒng)的安全設計，從根本上提高安全防護能力。