[摘要] 為了加強(qiáng)電力監(jiān)控系統(tǒng)的信息安全管理,防范黑客及惡意代碼等對(duì)電力監(jiān)控系統(tǒng)的攻擊及侵害,保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行,根據(jù)《電力監(jiān)管條例》、《中華人民共和國計(jì)算機(jī)信息保護(hù)條例》和國家有關(guān)規(guī)定,結(jié)合電力監(jiān)控系統(tǒng)的實(shí)際情況,近日,國家發(fā)展改革委最新頒布的第14號(hào)令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》(以下簡稱《規(guī)定》)正式實(shí)施。這一國家和政府層面出臺(tái)的法規(guī)性文件,無疑為保障電力系統(tǒng)的安全運(yùn)行、促進(jìn)電力企業(yè)在新形勢下做好電力監(jiān)控系統(tǒng)安全防護(hù)工作上了一道安全鎖。
為了加強(qiáng)電力監(jiān)控系統(tǒng)的信息安全管理,防范黑客及惡意代碼等對(duì)電力監(jiān)控系統(tǒng)的攻擊及侵害,保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行,根據(jù)《電力監(jiān)管條例》、《中華人民共和國計(jì)算機(jī)信息保護(hù)條例》和國家有關(guān)規(guī)定,結(jié)合電力監(jiān)控系統(tǒng)的實(shí)際情況,近日,國家發(fā)展改革委最新頒布的第14號(hào)令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》(以下簡稱《規(guī)定》)正式實(shí)施。這一國家和政府層面出臺(tái)的法規(guī)性文件,無疑為保障電力系統(tǒng)的安全運(yùn)行、促進(jìn)電力企業(yè)在新形勢下做好電力監(jiān)控系統(tǒng)安全防護(hù)工作上了一道安全鎖。
? 嚴(yán)格做好保密工作
《規(guī)定》要求電力監(jiān)控系統(tǒng)相關(guān)設(shè)備及系統(tǒng)的開發(fā)單位、供應(yīng)商應(yīng)當(dāng)以合同條款或者保密協(xié)議的方式保證其所提供的設(shè)備及系統(tǒng)符合安全標(biāo)準(zhǔn),并在設(shè)備及系統(tǒng)的全生命周期內(nèi)對(duì)其負(fù)責(zé),還要禁止關(guān)鍵技術(shù)和設(shè)備的擴(kuò)散。
作為電力企業(yè)本身也要加強(qiáng)技術(shù)管理來提高電網(wǎng)的安全性,此外在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向聯(lián)接處應(yīng)當(dāng)設(shè)置經(jīng)過國家指定部門檢測認(rèn)證的電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施。確保生產(chǎn)控制大區(qū)中的重要業(yè)務(wù)系統(tǒng)都要認(rèn)證加密。對(duì)生產(chǎn)控制大區(qū)安全評(píng)估的所有評(píng)估資料和評(píng)估結(jié)果,應(yīng)當(dāng)按國家有關(guān)要求做好保密工作。
建立安全防護(hù)管理制度
據(jù)了解,電力監(jiān)控系統(tǒng)比較復(fù)雜和龐大,安全防護(hù)的相關(guān)組織機(jī)構(gòu)也比較龐大,要將政府監(jiān)管部門、企業(yè)和個(gè)人整合在一起,發(fā)揮集體的力量做好電力監(jiān)控系統(tǒng)安全防護(hù)工作。建立行之有效的監(jiān)督與管理要理清政府監(jiān)管部門、企業(yè)等的責(zé)任,成立符合實(shí)際的安全防護(hù)組織機(jī)構(gòu),制定行之有效的管理制度。
《規(guī)定》指出,電力企業(yè)應(yīng)當(dāng)按照“誰主管誰負(fù)責(zé),誰運(yùn)營誰負(fù)責(zé)”的原則,建立健全電力監(jiān)控系統(tǒng)安全防護(hù)管理制度,將電力監(jiān)控系統(tǒng)安全防護(hù)工作及其信息報(bào)送納入日常安全生產(chǎn)管理體系,落實(shí)分級(jí)負(fù)責(zé)的責(zé)任制。在方案實(shí)施方面,電力調(diào)度機(jī)構(gòu)、發(fā)電廠、變電站等運(yùn)行單位的電力監(jiān)控系統(tǒng)安全防護(hù)實(shí)施方案必須經(jīng)本企業(yè)的上級(jí)專業(yè)管理部門和信息安全管理部門以及相應(yīng)電力調(diào)度機(jī)構(gòu)的審核,方案實(shí)施完成后應(yīng)當(dāng)由上述機(jī)構(gòu)驗(yàn)收。接入電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的設(shè)備和應(yīng)用系統(tǒng),其接入技術(shù)方案和安全防護(hù)措施必須經(jīng)直接負(fù)責(zé)的電力調(diào)度機(jī)構(gòu)同意。另外電企還需建立健全電力監(jiān)控系統(tǒng)安全的聯(lián)合防護(hù)和應(yīng)急機(jī)制,制定應(yīng)急預(yù)案。電力調(diào)度機(jī)構(gòu)負(fù)責(zé)統(tǒng)一指揮調(diào)度范圍內(nèi)的電力監(jiān)控系統(tǒng)安全應(yīng)急處,當(dāng)遭受網(wǎng)絡(luò)攻擊,生產(chǎn)控制大區(qū)的電力監(jiān)控系統(tǒng)出現(xiàn)異?;蛘吖收蠒r(shí),應(yīng)當(dāng)立即向其上級(jí)電力調(diào)度機(jī)構(gòu)以及當(dāng)?shù)貒夷茉淳峙沙鰴C(jī)構(gòu)報(bào)告,并聯(lián)合采取緊急防護(hù)措施,防止事態(tài)擴(kuò)大,同時(shí)應(yīng)當(dāng)注意保護(hù)現(xiàn)場,以便進(jìn)行調(diào)查取證。另外企業(yè)應(yīng)當(dāng)建立健全電力監(jiān)控系統(tǒng)安全防護(hù)評(píng)估制度,采取以自評(píng)估為主、檢查評(píng)估為輔的方式,將電力監(jiān)控系統(tǒng)安全防護(hù)評(píng)估納入電力系統(tǒng)安全評(píng)價(jià)體系。提高電力企業(yè)的安全管理。
此外《規(guī)定》還提出,電力企業(yè)在設(shè)備選型及配置時(shí),應(yīng)當(dāng)禁止選用經(jīng)國家相關(guān)管理部門檢測認(rèn)定并經(jīng)國家能源局通報(bào)存在漏洞和風(fēng)險(xiǎn)的系統(tǒng)及設(shè)備;對(duì)于已經(jīng)投入運(yùn)行的系統(tǒng)及設(shè)備,應(yīng)當(dāng)按照國家能源局及其派出機(jī)構(gòu)的要求及時(shí)進(jìn)行整改,同時(shí)應(yīng)當(dāng)加強(qiáng)相關(guān)系統(tǒng)及設(shè)備的運(yùn)行管理和安全防護(hù)。
關(guān)鍵是要建立技術(shù)標(biāo)準(zhǔn)
企業(yè)的發(fā)展最終是要靠技術(shù),電力企業(yè)的安全防范管理也一樣,最終是要靠技術(shù)來解決。為此《規(guī)定》特意指出要加強(qiáng)電力監(jiān)控系統(tǒng)安全防護(hù)技術(shù)標(biāo)準(zhǔn)體系建設(shè),發(fā)電企業(yè)、電網(wǎng)企業(yè)內(nèi)部基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng),應(yīng)當(dāng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應(yīng)當(dāng)采用具有訪問控制功能的設(shè)備、防火墻或者相當(dāng)功能的設(shè)施,實(shí)現(xiàn)邏輯隔離。安全接入?yún)^(qū)與生產(chǎn)控制大區(qū)中其他部分的聯(lián)接處必須設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置。生產(chǎn)控制大區(qū)的業(yè)務(wù)系統(tǒng)在與其終端的縱向聯(lián)接中使用無線通信網(wǎng)、電力企業(yè)其它數(shù)據(jù)網(wǎng)(非電力調(diào)度數(shù)據(jù)網(wǎng))或者外部公用數(shù)據(jù)網(wǎng)的虛擬專用網(wǎng)絡(luò)方式(VPN)等進(jìn)行通信的,應(yīng)當(dāng)設(shè)立安全接入?yún)^(qū)。安全區(qū)邊界也應(yīng)當(dāng)采取必要的安全防護(hù)措施,禁止任何穿越生產(chǎn)控制大區(qū)和管理信息大區(qū)之間邊界的通用網(wǎng)絡(luò)服務(wù),保證生產(chǎn)控制大區(qū)中的業(yè)務(wù)系統(tǒng)的高安全性和高可靠性。安全防護(hù)問題最終還是要靠技術(shù)進(jìn)步來解決,有了技術(shù)標(biāo)準(zhǔn)體系,就可以使全國范圍的電力系統(tǒng)安全防護(hù)有所參照;再次要加強(qiáng)技術(shù)監(jiān)督管理。安全防護(hù)真正的落腳點(diǎn)還是在企業(yè),需要采用技術(shù)監(jiān)督手段來發(fā)現(xiàn)問題、解決問題,從而不斷提高企業(yè)的安全防護(hù)能力;最后要加強(qiáng)培訓(xùn),不斷提高系統(tǒng)內(nèi)人員的技術(shù)能力。
技術(shù)與管理并重
據(jù)了解,第14號(hào)令附件《發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)方案》在原來“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的基礎(chǔ)上增加了綜合防護(hù)的內(nèi)容;同時(shí)在原來火電和水電安全防護(hù)的基礎(chǔ)上增加了核電、風(fēng)電、光伏發(fā)電、天然氣、生物質(zhì)等新能源形式的監(jiān)控系統(tǒng)安全防護(hù)要求。從發(fā)電企業(yè)角度來看,《規(guī)定》改變了原來僅用隔離的方式解決電廠監(jiān)控系統(tǒng)安全威脅問題,要求企業(yè)通過安全加固、邊界防護(hù)、訪問控制、安全審計(jì)、數(shù)據(jù)備份、入侵檢測等手段,進(jìn)行多層面的信息安全防護(hù)。
此外,電力監(jiān)控系統(tǒng)加強(qiáng)安全防護(hù)的重點(diǎn)是要抵御黑客、病毒、惡意代碼等對(duì)電力監(jiān)控系統(tǒng)的攻擊和侵害,保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行。除了構(gòu)筑邊界安全防護(hù)網(wǎng),還要特別注重內(nèi)部的安全防護(hù)能力。除了依靠安全技術(shù),更要重視安全管理,兩者不可偏廢。《規(guī)定》明確,電力監(jiān)控系統(tǒng)安全防護(hù)是電力安全生產(chǎn)管理體系的有機(jī)組成部分,將電力監(jiān)控系統(tǒng)安全防護(hù)工作、信息報(bào)送納入日常安全生產(chǎn)管理體系,將電力監(jiān)控系統(tǒng)安全防護(hù)評(píng)價(jià)納入電力系統(tǒng)安全評(píng)價(jià)體系,必將進(jìn)一步推動(dòng)企業(yè)深入貫徹和落實(shí)強(qiáng)化電力監(jiān)控系統(tǒng)安全防護(hù)工作。
?