电力企业网络信息安全现状与分析

王舒

摘要：随着网络的普及和网络开放性、共享性、互连程度的扩大，网络与信息安全问题也越来越引起人们的重视。对于电力企业也来讲，能否保障网络安全以及网络中信息的安全问题，直接影响到企业的发展与效益，并直接关系到电力系统的安全、稳定、经济、优质运行，影响着“数字电力系统”的实现进程以及国家电力信息系统网络信息安全的实现，而且电力工业是国家经济的支柱产业，其安全问题直接关系到各行各业的发展和人民的生活水平。电力企业的网络化信息安全还是存在很多安全隐患，需不断探索，寻求更好的解决对策。

关键词：电力企业；信息安全

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）06-0030-03

1 电力企业网络与信息安全成效

近些年，电力行业网络与信息安全工作开展扎实有效，电力监控系统安全稳定运行、信息安全等级保护工作稳步推进，电力工控设备隐患排查和漏洞整改卓有成效，网络与信息安全成效显著，没有发生较大以上网络与信息安全事件，有力保证了电力系统的安全稳定运行和可靠供应，满足了社会经济发展和人民生活需要。

1.1 电力企业建立电力监控系统安防体系

电力企业已基本建立了“以电力企业为主体、以调度机构为纽带、以监督管理为手段、以联合防护为特征”的电力监控系统安全防护和监督管理体系，具有显著特点和推广价值。电力企业按照国家有关法律法规要求，将电力监控系统安全纳入企业安全生产管理体系之中，基本实现了省、地、县三级电力监控系统安全防护的统一管理及涉网监控系统安全防护措施的落实。电力调度机构严把发电厂电力监控系统安全防护实施方案的“审查关”，严把发电厂电力监控系统正式投运前的“验收关”，严把发电厂电力监控系统安全运行的“评价关”，建立网厂协同工作机制，提升联合防护水平。

1.2 不断推进电力监控系统能力建设及等级保护工作

电力企业认真贯彻国家有关法律法规，积极开展安全防护能力建设和风险评估，实现全过程管理，保障电力监控系统的安全稳定运行。目前基本实现了220千伏及以上厂站安全防护设备的全覆盖。与此同时，电力企业积极开展电力信息系统等级保护定级备案、测评和整改落实工作，提升了电力信息系统抵御安全风险的能力。

1.3 认真开展电力工控设备及操作系统等漏洞整改工作

电力企业针对Windows XP系统停止升级服务后可能造成的信息安全隐患，积极开展评估并制定相关措施，用国产安全软件对部分Windows XP操作系统实施安全防护，加快客户端Windows XP操作系统向其他操作系统迁移工作。

2 电力企业网络与信息安全管理问题现状

随着电力企业的迅猛发展，我国的信息化产业建设也取得了巨大的成果。在它迅速发展的可喜成绩下，也存在也巨大的安全隐患，网络信息化安全的现状着实令人担忧。目前电力系统企业已经搭建起自己的网络平台，并制定出相应的安全策略，在内部已经开始实施。与此同时，电力企业实现了将系统与系统间进行整合，并与银行以及个人用户等实现了信息共享。纵然如此，还是不可否认电力系统内部网络信息仍存在着很多安全隐患。

2.1 未及时修订电力监控系统安全防护等管理制度

一些电力企业未能依据有关法律法规文件要求，对企业相关的信息安全管理制度、规定和系统防护方案进行及时更新与修订。部分企业信息安全管理组织体系不健全，存在制度缺失、责任制未落实等问题。

2.2 电力系统安全防护评估工作开展不到位

部分企业对国家及行业的信息安全防护政策要求了解不够，未建立电力监控系统安全评估机制，企业自评估能力不足；在重要电力工控系统安全评估和等级保护定级、备案、整改等方面与行业要求有一定差距。

2.3 电力网络与信息安全防护人员配置及培训存在不足

部分企业电力网络与信息安全防护人员配备不足，存在未设置专职信息安全管理员、网络信息安全相关关键岗位技能要求不清晰、运维能力不足和过度依赖厂家的问题，宣传培训工作开展不力，企业员工的信息安全意识较为淡薄，培训受众人群单一，未将培训工作常态化、规范化。

2.4 电力工控系统安全防护技术监督工作存在不足

部分发电企业电力监控系统安全防护实施方案制定后未及时报送相应调度机构审核，部分电力调度机构也未按照国家及行业的有关法律法规文件要求对所辖发电企业涉网部分工控系统安全防护工作开展全面的技术监督。

3 电力企业网络与信息安全技术问题现状

3.1 电力系统网络边界防护措施不完善

部分电力企业技术防护措施不够完善，安全威胁较大，生产控制大区边界缺少相应的安全隔离措施，个别电力企业仍存在跨区互联、未设置安全接入区等情况。

3.2 电力系统纵深防御管控不足

部分电力企业存在主机操作系统、数据库系统和网络通信等设备空口令、弱口令、安全补丁更新不及时等问题，部分安全设备策略配置不合理；部分发电企业基础防护措施不足，个别发电企业生产控制大区未部署入侵检测、安全审计措施，以及防病毒、入侵检测系统规则库未及时更新，纵深防御方面较为薄弱，终端防护较薄弱。

3.3 电力工控PLC设备隐患排查不到位

个别企业未对生产控制系统在运PLC设备进行详细梳理和隐患排查，设备使用台账管理工作不到位，对通报存在漏洞的PLC设备安全防护措施不足，安全风险仍然存在。

3.4 电力系统物理安全防护措施不到位

部分电力企业存在机房门禁设施不完善、出入登记缺失、设备标识不全、接地线不规范、线缆杂乱、易燃品堆积、消防设施配置不满足标准等问题，在物理安全方面存在安全隐患。

4 电力行业网络与信息安全工作中存在的问题特点

近些年，电力行业网络与信息安全工作开展扎实有效，电力监控系统安全稳定运行、信息安全等级保护工作稳步推进，电力工控设备隐患排查和漏洞整改卓有成效，网络与信息安全专项监管成效显著，没有发生较大以上网络与信息安全事件，有力保证了电力系统的安全稳定运行和可靠供应，满足了社会经济发展和人民生活需要。

但网络与信息安全工作中还存在不足，信息安全“短板效应”严重威胁着电力系统的安全稳定；我们应该充分地认识到我们面临的网络与信息安全内部、外部威胁，“震网病毒”、“斯诺登事件”、“西门子燃机事件”等信息安全警示历历在目；我们应该深入地认识网络与信息安全工作的紧迫性，云计算（雾计算）、大数据（超大数据）等信息技术迅猛发展，未知的、新的安全问题也随之而来，电力行业网络与信息安全威胁日趋严重；我们更应该系统地认识网络与信息安全的艰巨性，“没有网络安全就没有国家安全”，网络安全已经提升到国家战略高度，电力行业网络与信息安全工作任重道远。结合中央网信办、公安部在信息安全等级保护工作方面的工作要求，不难总结归纳电力行业网络与信息安全工作中存在的问题，呈现多种特点。

4.1 网络与信息安全问题点多面广

电力企业总部信息化的快速发展为基层企业更好地履行职能提供了重要支撑。目前，企业已经建立起庞大复杂的调度数据网和综合信息网，计算机网络信息系统成为企业日益重要的技术支持系统。信息安全所面临的风险同时渗透到电力企业生产和经营的各个方面。电力企业调度数据网的安全运行，避免受到来自综合信息网的可能的攻击。然而，财务、营销、客户管理等系统的网络信息安全还相当薄弱。随之而来的信息安全问题也日益突显.实际工作中我们比较重视网络服务器端的安全管理，而作为信息网络基本节点的客户端，因其点多面广，难以集中统一管理，暴露出的安全问题日益增多，对整个信息安全造成严重威胁，应当引起我们的高度重视.

4.2 网络与信息安全等保防护参差不齐

通过摸底调查和现场专项督查，抽取电力行业20家主要电力企业所属信息系统共计7403个1，等级保护定级率为97.3%，其中已开展等级保护测评的信息系统3238个。据不完全统计，电网公司所属信息系统共计2123个，定级率为99.9%；发电集团所属信息系统4363个，占比近2/3，定级率为96.2%（略低于电网企业）。部分四级系统仍不能完全满足相关要求，北京、浙江等地区重要支撑的百万千瓦级发电企业网络与信息安全仍缺乏有效管控，针对境外势力窃取信息的防范机制严重不足，存在被控的严重安全风险。

4.3 网络与信息安全专业涉及广泛

电力企业网络与信息安全工作的组织体系和管理制度、电力监控系统安全防护、信息安全等级保护及技术人才队伍建设等5大类问题频现，电网企业所属调度、营销、检修等业务部门存在相似、相近的问题，发电企业热工、信息、网络等专业协调不足，存在一岗多责、一职多用的现象，信息安全管理分散，综合防护不足。

4.4 网络与信息安全问题纵深防护不一

电网企业部分配电自动化、计量自动化等系统仍存在加密认证措施不完善、主站侧安全防护措施强度不足等问题，可能导致恶意篡改控制指令，引发用户大面积停电、主站侧遭受恶意信息攻击等风险。部分偏远地区风电、光伏等新能源发电企业安全防护机制不完善，网络节点多且分散，极易形成网络攻击入口，给电力系统安全带来极大安全隐患。

5 建立完善网络信息安全长效机制，保证电力系统的安全稳定运行

网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，要从国际国内大势出发，总体布局，统筹各方，创新发展，努力把我国建设成为网络强国。要深入领会关于“没有网络安全就没国家安全，没有信息化就没有现代化”深刻理论内涵和实践指导意义，深化网络与信息安全责任落实，继续推进电力工控系统漏洞隐患排查和整改工作，强化安全防护体系的纵深防御，扎实推进网络与信息安全人才队伍和行业测评机构能力建设。

5.1 深化网络与信息安全组织管理和保障体系建设

企业应认清网络与信息安全面临的严峻形势，进一步加强组织领导，认真贯彻国家有关法律法规，严格落实网络与信息安全管理涉及的责任部门、岗位、人员及专项经费，把网络与信息安全放在与电力生产安全同等重要的地位，纳入生产安全评价考核体系，确保责任落实到位。要参照国家及行业信息安全相关制度、标准，结合自身信息系统的特点，进一步完善健全符合自身情况的信息安全防护措施及和手段，尤其是电网营销系统和新能源发电企业更需加强网络安全防护体系建设。

5.2 提高电力企业网络与信息安全防护能力

要严格落实国家网络与信息安全法律法规，进一步强化边界防护和生产控制大区纵深防御；强化网络与信息安全总体规划和整体策略设计，加强对关键监控系统及设备的技术摸底、运行维护技术培训，采取有针对性的隔离、审计等措施，提升工控系统安全防护及设备运行维护能力；尤其是在切实做好输供电、火力发电、水力发电等系统安全防护工作基础上，进一步推进核电、风电、光伏发电等新能源的综合安全防护建设。

5.3 规范管理，推进电力系统安全防护和信息安全等级保护工作

电力企业，尤其是网络信息安全防护存在薄弱环节的发电企业，要加强电力系统安全防护和信息安全等级保护工作，全面实现电力监控系统的全覆盖。增强整体安全防护机制与措施，防范局部防护、节点保护不足带来的安全风险；要深入贯彻落实国家及行业等级保护规定以及定级、备案、测评、整改等具体规范要求，组织开展信息系统摸底调查，切实解决存在的信息系统未定级、定级不准及未备案等问题；按要求定期开展电力监控系统安全防护评估和信息安全等级保护工作。

5.4 自主创新，加快实现电力工控系统及设备安全自主可控

电力企业及相关科研院所要加大科技投入，积极组织技术力量研究在运电力监控系统及工控设备的技术原理，逐步实现自主可控产品替代；各发电企业在新建系统时应明确对关键软硬件的网络安全要求，要选用安全、可靠、可控的工控设备。

5.5 夯实基础，强化信息安全人才队伍建设

电力企业应加强网络与信息安全管理和技术人员储备，配备足够的网络与信息安全管理人员；加强规范信息系统工作制度，规范信息安全操作，全面提高电力企业工作人员信息安全技能和安全意识；基层电力企业、地方民营电力企业和外包服务队伍要进一步加大信息安全从业人员的培训力度，提高信息安全防范意识和保障信息安全的能力。

5.6 提升信息安全事件应急处置能力

电力企业要进一步完善电力工控系统安全专项应急预案和现场处置方案的编制、评审及备案等工作，加强对电力工控系统的安全风险辨识和预控机制建设，并定期组织开展电力工控系统安全事件应急演练和信息安全攻防演练，提高电力工控系统安全防护专项应急预案的针对性和可操作性，有效提升电力工控系统应急响应处置能力。

5.7 规范产品选型，提高电力工控系统安全防护安全可控能力

电力企业应结合“互联网+”行动计划和电力体制改革进展，积极组织开展电力工控安全防护新技术、新措施研究，强化电力工控系统纵深防御，完善电力工控终端安全防护，全面提升电力工控系统安全的可控能力。在设备选型及配置时，应当符合国家的有关规定，禁止选用经国家相关管理部门检测认定存在漏洞和风险的系统及设备，对于已经投入运行的系统及设备，应当采取有效安全防护措施，确保系统及设备的安全稳定运行。电力科研单位、设备厂商应加强技术创新，积极参与制定电力工控系统关键设备的信息安全规范和技术标准，重视和加强电力工控系统的安全设计，从根本上提高安全防护能力。