我国须加强电力行业网络与信息安全

    信息化技术为我们的生活带来高效和便捷的同时，电力行业所面临的电力网络与信息安全风险也与日剧增。

    随着互联网技术的快速发展，现代电力系统生产运行越来越依赖于计算机通讯及程控技术，尤其是近几年，以“智能电网”为代表的电力行业信息化建设多次出现在政府工作报告中，同时在“十二五”规划纲要中也多次被提及，电力行业的信息化建设作为国家意志的体现已经上升到国家战略的高度。

    2000年以来，我国相继发生了“二滩电厂停机事件”、“故障录波器事件”、“逻辑炸弹事件”、“换流站病毒感染事件”等多起电力行业网络与信息安全事件，造成了不同程度的事故影响，威胁到了电力系统安全稳定运行，同时也暴露出了我国电力行业在网络安全接入方面、安全生产管理方面、人员信息安全培训等方面存在薄弱环节。

    针对类似电力信息安全事件，2002年，原国家经贸委发布第30号令《电网和电厂计算机监控系统及调度数据网络安全防护规定》，对电网和电厂计算机监控系统防护提出了要求。国家电监会成立后，对电力二次系统及网络信息安全防护明确提出了“安全分区、专网专用、横向隔离、纵向认证”的总体防护策略，并制定印发了《电力行业网络与信息安全信息报送暂行办法》、《电力行业网络与信息安全应急预案》、《电力行业网络与信息安全监督管理暂行办法》等一系列管理办法，使电力行业网络与信息安全防护的理念更加系统化、具体化，增强了可操作性，电力行业网络与信息安全防护工作进入了实质性建设阶段。

    对比国外发达国家相对孤立、松散的电力行业信息安全防护现状，我国的电力行业信息安全防护工作在组织管理、部署实施、企业参与积极性等方面具有更为明显的优势。截至2011年底，全国电力安委会成员单位中的15家电网和发电企业90%以上的单位已按照“安全分区、专网专用、横向隔离、纵向认证”的要求完成了生产控制大区和管理信息大区的物理隔离改造，通过认证、加密、访问控制等技术手段实现了远程数据传输、控制及纵向边界的安全防护。其中电网企业较发电企业，省级以上调度单位较地级调度单位，330千伏及以上变电站较220千伏变电站信息安全防护工作开展的更快、更全、更好。通过加强电力行业信息安全防护工作有效保证了北京奥运会、上海世博会、广州亚运会等重要保电时期电力系统的安全稳定运行和可靠供电。但在取得一系列成效的同时，问题和不足也相对明显。我们必须对此作出改变：

1.完善法规标准开展专项检查提高防护水平

    （1）进一步完善法规和标准体系首先，在法规规划上，要统筹兼顾，制定科学的信息技术规范和标准体系框架。

    一是全面做好立法规划；二是建立科学的行业信息安全标准和法规体系层次。建议将行业信息安全标准和法规体系初步划分为3层：第一层是国家制定的信息安全保密法规；第二层是电监会制定的部门规章及管理规范性文件；第三层是电力行协及企业系统内部在电监会总体协调下组织制定的制度文件。其次，在法规制定上要兼顾规范和发展，重视法规的可行性。最后，在法规实施上要坚持规范和指引相结合，重视监督检查和责任落实。

    （2）深入开展电力行业信息安全专项检查工作1.提高对信息安全工作的重视度。

    通过安全委开员会宣传做好信息安全工作的重要性，提高电力企业做好信息安全工作的认识。通过培训和定期组织开展电力行业信息安全专项抽查，督促并帮助企业及时查找自身漏洞并落实整改，做好防微杜渐工作。

2.制定行业标准积极落实信息安全等级保护。

    行业监管部门在推动行业信息安全等级保护工作中的作用非常关键，应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制，统一部署、组织行业的等级保护工作，为该项工作的顺利开展提供组织保证。同时，应对各单位实施信息系统安全等级保护情况进行测评，在测评环节一旦发现信息系统的不足，被测评单位应立即制定相应的整改方案并实施，监督机构负责督促其整改。

3.加强网络安全体系规划以提升网络安全防护水平。

    （1）以等级保护为依据进行统筹规划。等级保护是围绕信息安全保障全过程的一项基础性的管理制度，通过将等级化的方法和安全体系规划有效结合，统筹规划电力行业网络安全体系的建设，建立一套信息安全保障体系，将是系统化地解决电力行业网络安全问题的一个非常有效的方法。

    （2）加强网络访问控制提高网络防护能力。对向电力行业提供设备、技术和服务的IT公司的资质和诚信加强管理，确保其符合国家、行业技术标准，同时签订必要的保密协议。根据网络隔离要求，逐步建立生产控制区与管理区、办公区与互联网、网上营销各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分Vlan或者采用网闸设备进行隔离；对主要的网络边界和各外部进口进行渗透测试，进行系统和设备的安全加固，降低系统漏洞带来的安全风险；在网上营销管理方面，采取电子签名或数字认证等高强度认证方式，加强访问控制；针对现存恶意攻击网站的事件越来越多的情况，要采取措施加强网站保护，提高对恶意代码的防护能力，同时采用技术手段，提高网上交易客户端软件使用的安全性。

    （3）加强对员工的信息安全培训。除了要加强网络安全技术人员的管理能力和专业技能培训外，还要加强对全体电力职工的信息安全宣传教育，提高其信息安全保密意识，并掌握基本的信息安全防护技能，从而整体提高电力行业信息安全的管理水平和专业技术水平。

4.扎实推进行业灾难备份建设。

    无论是美国的“9·11”事件，还是我国2008年南方冰雪灾害和四川汶川大地震，都敲响了灾难备份的警钟。电力行业要针对自身需要，对重要系统开展灾难备份建设，制定相关的灾难应急预案，并加强应急预案的演练，确保灾难备份系统应急有效，使应急工作与日常工作有机结合。

5.加强监管技术队伍建设。

    为了适应新时期电力行业信息安全监管工作需要，监管机构须进一步加大在此方面的人力物力投入，同时建立起独立的信息安全测评机构，并在各区域组建信息安全测评专家小组，专门负责各区域电力企业的信息安全测评工作。