浅议发电企业信息安全等级保护

浅议发电企业信息安全等级保护

文/大唐黑龙江电力技术开发有限公司  吕鑫

近年来，各发电企业通过信息化手段在电力生产、企业管理、客户服务等方面均取得较大的进步，使我国发电企业信息化应用水平迅速提高。但是,在我们享受信息化技术带来的高效和便捷的同时，发电企业所面临的网络与信息安全风险也与日剧增。发电行业的信息安全问题，作为国家意志的体现已经上升到国家战略的高度，关乎国家安危。

发电行业信息安全等级保护现状

2000年以来，我国相继发生了“二滩电厂停机事件”、“故障录波器事件”、“逻辑炸弹事件”、“换流站病毒感染事件”等多起发电行业网络与信息安全事件，造成了不同程度的事故影响，威胁到电力系统安全稳定运行，同时也暴露出我国发电行业在网络安全接入、安全生产管理、人员信息安全培训等方面存在薄弱环节。

国家电监会成立后，对电力二次系统及网络信息安全防护明确提出了“安全分区、专网专用、横向隔离、纵向认证”的总体防护策略，并制定印发了《电力行业网络与信息安全信息报送暂行办法》、《电力行业网络与信息安全应急预案》、《电力行业网络与信息安全监督管理暂行办法》等一系列管理办法，使电力行业网络与信息安全防护的理念更加系统化、具体化。截至2011年底，全国电力安委会成员单位中的15家电网和发电企业90%以上的单位已按照“安全分区、专网专用、横向隔离、纵向认证”的要求完成了生产控制大区和管理信息大区的物理隔离改造，通过认证、加密、访问控制等技术手段实现了远程数据传输、控制及纵向边界的安全防护工作。

建立健全组织体系，责任得到落实

截止目前，除了国家信息安全等级保护协调小组办公室外，我国31个省、自治区、直辖市中，除天津、黑龙江、河南、重庆、陕西外，有26个行政区成立了省级的信息安全等级保护协调小组办公室，22个省、自治区、直辖市建立了信息安全等级保护联络员制度。部分大型国有电力企业已经建立了专门的科技信息部门，并设立专岗、专职人员负责信息安全工作。在二级公司以红头文件形式发布由公司总经理、分管领导、分管部门、信息管理人员组成的信息化工作领导小组，全面负责信息化各项工作，由信息化工作办公室负责具体网络安全的各项工作，以确保规范网络安全建设。

法律法规建立，制度完善

从2004年开始，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室及电监会先后颁布了10项有关信息安全的政策文件，国家对电力行业信息安全的重视程度，已逐步成为国家的一项基本制度。

策略明确，防护体系基本建立

电力行业已经形成了较为完整的信息安全防护体系，以电监会《电力行业网络与信息安全监督管理暂行规定》（电监信息[2007]50号）、《电力系统二次防护规定》（电监会5号令）为基础，形成了具有电力行业特点的、适合电力行业实际情况的安全防护体系。

等保制度建设稳步推进

为组织开展信息安全等级保护工作，国家相关部委（主要是公安部牵头组织，会同国家保密局、国家密码管理局、原国务院信息办和发改委等部门）相继出台了一系列文件，对具体工作提出了指导意见和规范，这些文件初步构成了信息安全等级保护政策体系。

为推动信息安全等级保护工作，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制定了信息安全等级保护工作需要的一系列标准，汇集成信息安全等级保护标准汇编，为开展等级保护工作提供了标准指导。

2009年，公安部发布《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号），文件中提到重点行业信息系统主管部门可以按照《信息系统安全等级保护基本要求》等国家标准，结合行业特点，确定《信息系统安全等级保护基本要求》的具体指标，据此，国家《电力行业信息系统安全等级保护基本要求》产生。电力行业等级保护要求高于国家要求，而且和行业现有安全防护工作相衔接。除此之外，根据电力行业实际特点，电力行业等级保护要求总体上将信息系统分为管理信息和生产控制两大类，对国家《信息系统安全等级保护基本要求》进行了必要调整，具体由通用要求、管理信息系统类基本要求和生产控制信息系统类基本要求三部分组成。

发电企业信息安全等级保护存在的问题

组织体系与责任落实不明

当前，电力行业中普遍存在重生产安全、轻信息安全的状况，存在的主要问题：一是信息资源在公司战略资产中的地位受到高层重视，但具体情况不甚清楚；二是信息安全工作缺乏明确的概念描述和参数指标；三是信息安全工作的责任与职能落实不够清晰，大部分发电企业未设立信息安全专岗，而且信息人员数量不足，技术水平相对薄弱。

对等级保护工作的重视程度不够

近年来，信息安全等级保护主管部门高度重视等级保护工作，制定相关政策和标准，举办等级测评师培训等，但信息系统主管部门以及全社会对信息安全等级保护在信息安全保障体系中的基础性地位认识还不到位；工作方式简单，手段缺乏，甚至出现以其他工作代替信息安全等级保护工作的消极倾向；一些企业存在不愿投资、不愿受监管的思想，为节省人力、物力、财力将本该定为三级的重要信息系统定为二级，这些都影响信息安全等级保护制度的全面落实。

网络和数据安全防护不完善

由于互联网的开放性，来自互联网上的病毒、木马、黑客攻击以及计算机威胁事件，时刻威胁着发电行业的信息系统安全，成为制约行业平稳、安全发展的障碍。因此，维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来，发电企业采取了一系列措施，建立了相对安全的分区网络安全防护体系和冗余灾备份系统，但细追究起来，发电行业的网络安全防护体系规划、信息安全防护建设及灾备系统建设还不够完善，对数据安全重视不够，数据备份措施有待改进。

发电企业信息安全等级保护建设体系

建立和完善安全策略

信息安全策略是最高管理层对信息安全的期望和承诺的表达，位于整个信息安全体系的顶层，也是安全管理体系的最高指导方针，明确了信息安全工作总体目标，对技术和管理各方面的安全工作具有普遍的指导作用。对于大多数发电企业来说都是集团化的管理模式，各集团公司信息部门应根据自己企业实际情况，聘请专业信息咨询公司开展全集团的信息安全规划，为下属发电企业信息安全工作确定统一的安全策略，指导发电企业科学开展信息安全等级保护工作。

建立和完善安全管理体系

为满足信息安全基本要求，应建立和完善安全管理体系，包括：完善安全制度体系、完善安全组织、规范人员管理、规范系统建设管理。各企业要强化标准化建设工作，信息专业人员要将标准化工作融入信息安全管理体系中，认真借鉴ISO质量认证体系、国资委信息晋级相关管理办法等，结合各企业信息工作实际情况，制定适合公司实际、服务于生产经营重心的完善的信息安全管理体系。

安全运维体系

为满足信息安全要求，发电企业应建立和完善安全运维体系，包括：环境管理、资产管理、介质管理、设备管理、网络与系统安全管理、系统安全管理、备份与恢复、恶意代码防范、变更管理、信息安全事件管理等，并借鉴ITSS标准，将各项管理工作细化，从而保证信息系统生命周期最长时段的信息安全工作。

安全技术体系

发电企业在信息安全等级保护中应根据等保测评整改方案的安全技术保障要求，从网络、主机和应用安全落实到产品功能或物理形态上，提出能够实现的产品或组件及其具体规范，并将产品功能特征整理成文档，使得在信息安全产品采购和安全控制开发阶段具有依据，内容包括：网络边界护御、安全通信网络、主机与应用防护体系、检测响应体系、冗余与备份、信息安全管理中心。

信息安全等级保护作为贯穿信息系统整个生命周期的信息安全保障措施，发电行业应通过不断完善实施保障机制，以适应满足新形势下的信息安全需求。