為進一步加強電力企業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理工作，提高電力企業(yè)重要信息系統(tǒng)(尤其是生產(chǎn)控制大區(qū)信息系統(tǒng))抵御惡意信息攻擊的能力，根據(jù)《國家能源局關(guān)于近期重點專項監(jiān)管工作的通知》(國能監(jiān)管〔2013〕432號)要求，國家能源局組織對遼寧省電力企業(yè)網(wǎng)絡(luò)與信息安全工作開展了專項駐點監(jiān)管。根據(jù)駐點監(jiān)管情況，編制形成《電力企業(yè)網(wǎng)絡(luò)與信息安全駐點遼寧監(jiān)管報告》。

一、 基本情況

(一)電力企業(yè)概況

遼寧省內(nèi)共有電力企業(yè)440余家，其中電網(wǎng)企業(yè)主要有東北電網(wǎng)有限公司、遼寧省電力有限公司及其14家市級供電公司;發(fā)電企業(yè)中歸屬五大發(fā)電集團的火電廠有21座、水電站3座、風(fēng)電場35座，共計59座(家)。

(二)電力企業(yè)信息系統(tǒng)定級分布情況

遼寧省在全國率先開展電力企業(yè)信息安全等級保護工作，截至2014年2月，各電力企業(yè)信息系統(tǒng)共453個，經(jīng)定級備案，四級系統(tǒng)2個、三級系統(tǒng)87個，二級系統(tǒng)289個(約64%)，一級系統(tǒng)20個，未定級系統(tǒng)55個。遼寧省信息系統(tǒng)定級分布情況如圖1所示：

(數(shù)據(jù)來源：國家能源局東北監(jiān)管局)

圖1遼寧省信息系統(tǒng)定級分布情況

(三)電力二次系統(tǒng)安全防護工作開展情況

遼寧電力企業(yè)按照《電力二次系統(tǒng)安全防護規(guī)定》要求，遵循“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的原則，對所屬生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)進行安全分區(qū)建設(shè)、內(nèi)外網(wǎng)隔離部署，配置橫向隔離設(shè)備和縱向加密認證裝置，增加網(wǎng)絡(luò)安全防護措施及設(shè)備，電力二次系統(tǒng)安全防護整體水平顯著提高。截至2014年2月，省內(nèi)地級以上電網(wǎng)企業(yè)及重要廠站共加裝橫向隔離設(shè)備129套，220千伏以上電力調(diào)度數(shù)據(jù)網(wǎng)共加裝縱向認證加密裝置415套，電力二次系統(tǒng)安全防護體系基本建立。

根據(jù)《關(guān)于開展電力工控PLC設(shè)備信息安全隱患排查及漏洞整改工作的通知》(國能綜安全〔2013〕387號)要求，東北能源監(jiān)管局對遼寧省內(nèi)統(tǒng)調(diào)以上發(fā)電企業(yè)工控系統(tǒng)使用PLC情況進行了全面排查，共計288套(按業(yè)務(wù)系統(tǒng)或功能進行統(tǒng)計)，主要用于發(fā)電廠監(jiān)控系統(tǒng)、輔助設(shè)備控制系統(tǒng)等,統(tǒng)計情況示意圖如圖2所示：

(數(shù)據(jù)來源：國家能源局東北監(jiān)管局)

圖2 遼寧省電力工控PLC統(tǒng)計情況示意圖

二、 存在的問題

(一)管理方面的主要問題

1. 部分電力企業(yè)網(wǎng)絡(luò)與信息安全工作多頭管理，職能交叉，缺乏統(tǒng)一領(lǐng)導(dǎo)和溝通協(xié)調(diào);信息安全工作人員配備不足，甚至身兼數(shù)職，不利于信息安全工作的落實。

2. 部分電力企業(yè)對網(wǎng)絡(luò)與信息安全的應(yīng)急處置工作重視不足，應(yīng)急預(yù)案針對性、可操作性不足，應(yīng)急演練形式大于內(nèi)容，起不到發(fā)現(xiàn)問題、解決問題的作用。

3. 部分電力企業(yè)對信息安全等級保護工作重視不夠，定級、備案、測評、整改等環(huán)節(jié)的各項要求落實不嚴，主要體現(xiàn)在：

(1)定級環(huán)節(jié)報備材料填寫不完整，企業(yè)信息系統(tǒng)的定級數(shù)量掌握不全面，存在漏定、定級不準等情況。

(2)備案環(huán)節(jié)存在備案不積極、備案不及時、未按要求備案等情況。

(3)信息系統(tǒng)的測評工作未按國家有關(guān)頻次要求開展，部分信息系統(tǒng)測評效果不佳。

(4)測評整改意見和建議落實不徹底或整改不全面。

(二)技術(shù)方面的主要問題

4. 部分發(fā)電企業(yè)與電網(wǎng)企業(yè)之間的信息系統(tǒng)邊界防護有待加強。

5. 部分企業(yè)電力二次系統(tǒng)安全防護設(shè)備運行維護不及時、安全配置不完整，主要體現(xiàn)在：

(1)部分企業(yè)電力二次系統(tǒng)信息安全防護措施落實不到位，普遍存在補丁升級不及時、弱口令、審計薄弱等問題。

(2)部分企業(yè)電力二次系統(tǒng)中信息系統(tǒng)漏洞檢測、安全加固等工作開展不及時、或未定期開展。

(3)部分企業(yè)電力二次系統(tǒng)安全防護應(yīng)急預(yù)案存在事故預(yù)想不全面、內(nèi)容不完整、相關(guān)要求缺乏可操作性等問題，缺少演練、培訓(xùn)和更新的相關(guān)內(nèi)容。

(4)部分企業(yè)未按要求開展電力二次系統(tǒng)安全防護評估工作。

(5)部分發(fā)電企業(yè)在基礎(chǔ)設(shè)施、機房環(huán)境等方面較為薄弱，不滿足信息系統(tǒng)安全等級保護的基本要求。

三、 監(jiān)管意見

(一)強化組織保障體系建設(shè)。各電力企業(yè)要梳理網(wǎng)絡(luò)與信息安全管理涉及的部門、崗位和人員，進一步明確各相關(guān)部門，特別是牽頭管理部門的權(quán)利、責任和義務(wù)，明確部門間工作協(xié)調(diào)機制，各部門要設(shè)立信息安全管理專職崗位，責任到人，強化信息安全組織保障體系。

(二)建立健全常態(tài)化工作機制。各電力企業(yè)要深刻認識到電力信息安全與電力生產(chǎn)安全同等重要。要根據(jù)國家和行業(yè)監(jiān)管部門有關(guān)要求，落實專項資金、制定工作計劃，定期對電力二次系統(tǒng)開展安全評估、等級保護測評，形成常態(tài)化工作機制。對評估、測評中發(fā)現(xiàn)的問題，要安排資金，及時整改，消除安全隱患。

(三)統(tǒng)籌做好電力工控PLC設(shè)備安全整改工作。各電力企業(yè)要按照《關(guān)于開展電力工控PLC設(shè)備信息安全隱患排查及漏洞整改工作的通知》(國能綜安全〔2013〕387號)的有關(guān)要求，根據(jù)實際情況，統(tǒng)籌安排，采取召回、固件升級、老舊設(shè)備更新等方式分批分期開展電力工控PLC設(shè)備的整改加固工作。新建系統(tǒng)中要選用安全、可靠、可控的PLC等工控設(shè)備。

(四)強化信息安全人才隊伍建設(shè)。各電力企業(yè)要面向公司領(lǐng)導(dǎo)、相關(guān)部門主要負責人和企業(yè)員工，定期組織開展信息安全政策宣貫培訓(xùn)，提高領(lǐng)導(dǎo)層的認識，提高員工信息安全防范意識。同時要制定培訓(xùn)計劃，派送技術(shù)人員參加行業(yè)和其它專業(yè)機構(gòu)舉辦的信息安全培訓(xùn)，提高信息安全從業(yè)人員的專業(yè)技術(shù)水平。

(五)加大科技支撐力度。各電力企業(yè)要進一步加大科技投入，針對電力行業(yè)重要信息系統(tǒng)(尤其是生產(chǎn)監(jiān)控系統(tǒng))的實際特點及技術(shù)發(fā)展情況，充分發(fā)揮科研院所、高等院校的科研創(chuàng)新能力，深入開展基于可信計算的系統(tǒng)安全免疫、電力工控設(shè)備信息安全漏洞的監(jiān)測/檢測、信息系統(tǒng)安全審計等內(nèi)容研究，切實保證電力企業(yè)重要信息系統(tǒng)的安全可靠運行。