[摘要] 為了加強電力監控系統的信息安全管理,防范黑客及惡意代碼等對電力監控系統的攻擊及侵害�����,保障電力系統的安全穩定運行�����,根據《電力監管條例》、《中華人民共和國計算機信息保護條例》和國家有關規定,結合電力監控系統的實際情況,近日�,國家發展改革委最新頒布的第14號令《電力監控系統安全防護規定》(以下簡稱《規定》)正式實施���。這一國家和政府層面出臺的法規性文件����,無疑為保障電力系統的安全運行、促進電力企業在新形勢下做好電力監控系統安全防護工作上了一道安全鎖�。
為了加強電力監控系統的信息安全管理�,防范黑客及惡意代碼等對電力監控系統的攻擊及侵害���,保障電力系統的安全穩定運行����,根據《電力監管條例》、《中華人民共和國計算機信息保護條例》和國家有關規定����,結合電力監控系統的實際情況,近日�����,國家發展改革委最新頒布的第14號令《電力監控系統安全防護規定》(以下簡稱《規定》)正式實施����。這一國家和政府層面出臺的法規性文件,無疑為保障電力系統的安全運行、促進電力企業在新形勢下做好電力監控系統安全防護工作上了一道安全鎖�����。
? 嚴格做好保密工作
《規定》要求電力監控系統相關設備及系統的開發單位�、供應商應當以合同條款或者保密協議的方式保證其所提供的設備及系統符合安全標準,并在設備及系統的全生命周期內對其負責,還要禁止關鍵技術和設備的擴散�����。
作為電力企業本身也要加強技術管理來提高電網的安全性����,此外在生產控制大區與廣域網的縱向聯接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網關及相應設施。確保生產控制大區中的重要業務系統都要認證加密。對生產控制大區安全評估的所有評估資料和評估結果����,應當按國家有關要求做好保密工作�����。
建立安全防護管理制度
據了解,電力監控系統比較復雜和龐大��,安全防護的相關組織機構也比較龐大����,要將政府監管部門���、企業和個人整合在一起��,發揮集體的力量做好電力監控系統安全防護工作�。建立行之有效的監督與管理要理清政府監管部門����、企業等的責任,成立符合實際的安全防護組織機構�����,制定行之有效的管理制度�����。
《規定》指出�����,電力企業應當按照“誰主管誰負責,誰運營誰負責”的原則�,建立健全電力監控系統安全防護管理制度���,將電力監控系統安全防護工作及其信息報送納入日常安全生產管理體系����,落實分級負責的責任制。在方案實施方面,電力調度機構���、發電廠、變電站等運行單位的電力監控系統安全防護實施方案必須經本企業的上級專業管理部門和信息安全管理部門以及相應電力調度機構的審核,方案實施完成后應當由上述機構驗收。接入電力調度數據網絡的設備和應用系統���,其接入技術方案和安全防護措施必須經直接負責的電力調度機構同意��。另外電企還需建立健全電力監控系統安全的聯合防護和應急機制����,制定應急預案���。電力調度機構負責統一指揮調度范圍內的電力監控系統安全應急處�,當遭受網絡攻擊,生產控制大區的電力監控系統出現異?���;蛘吖收蠒r��,應當立即向其上級電力調度機構以及當地國家能源局派出機構報告,并聯合采取緊急防護措施��,防止事態擴大����,同時應當注意保護現場,以便進行調查取證��。另外企業應當建立健全電力監控系統安全防護評估制度�����,采取以自評估為主�����、檢查評估為輔的方式,將電力監控系統安全防護評估納入電力系統安全評價體系�����。提高電力企業的安全管理����。
此外《規定》還提出��,電力企業在設備選型及配置時��,應當禁止選用經國家相關管理部門檢測認定并經國家能源局通報存在漏洞和風險的系統及設備;對于已經投入運行的系統及設備,應當按照國家能源局及其派出機構的要求及時進行整改,同時應當加強相關系統及設備的運行管理和安全防護。
關鍵是要建立技術標準
企業的發展最終是要靠技術�����,電力企業的安全防范管理也一樣���,最終是要靠技術來解決����。為此《規定》特意指出要加強電力監控系統安全防護技術標準體系建設,發電企業�����、電網企業內部基于計算機和網絡技術的業務系統��,應當劃分為生產控制大區和管理信息大區�。在生產控制大區與管理信息大區之間必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置���。生產控制大區內部的安全區之間應當采用具有訪問控制功能的設備����、防火墻或者相當功能的設施�����,實現邏輯隔離��。安全接入區與生產控制大區中其他部分的聯接處必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置���。生產控制大區的業務系統在與其終端的縱向聯接中使用無線通信網�����、電力企業其它數據網(非電力調度數據網)或者外部公用數據網的虛擬專用網絡方式(VPN)等進行通信的,應當設立安全接入區。安全區邊界也應當采取必要的安全防護措施,禁止任何穿越生產控制大區和管理信息大區之間邊界的通用網絡服務��,保證生產控制大區中的業務系統的高安全性和高可靠性��。安全防護問題最終還是要靠技術進步來解決��,有了技術標準體系,就可以使全國范圍的電力系統安全防護有所參照;再次要加強技術監督管理���。安全防護真正的落腳點還是在企業,需要采用技術監督手段來發現問題����、解決問題���,從而不斷提高企業的安全防護能力;最后要加強培訓�,不斷提高系統內人員的技術能力����。
技術與管理并重
據了解,第14號令附件《發電廠監控系統安全防護方案》在原來“安全分區、網絡專用�、橫向隔離����、縱向認證”的基礎上增加了綜合防護的內容;同時在原來火電和水電安全防護的基礎上增加了核電���、風電�、光伏發電�、天然氣、生物質等新能源形式的監控系統安全防護要求����。從發電企業角度來看��,《規定》改變了原來僅用隔離的方式解決電廠監控系統安全威脅問題,要求企業通過安全加固���、邊界防護、訪問控制�����、安全審計��、數據備份�、入侵檢測等手段�����,進行多層面的信息安全防護�����。
此外,電力監控系統加強安全防護的重點是要抵御黑客���、病毒、惡意代碼等對電力監控系統的攻擊和侵害�����,保障電力系統的安全穩定運行�����。除了構筑邊界安全防護網�����,還要特別注重內部的安全防護能力。除了依靠安全技術�����,更要重視安全管理���,兩者不可偏廢��?���!兑幎ā访鞔_�,電力監控系統安全防護是電力安全生產管理體系的有機組成部分,將電力監控系統安全防護工作�、信息報送納入日常安全生產管理體系��,將電力監控系統安全防護評價納入電力系統安全評價體系,必將進一步推動企業深入貫徹和落實強化電力監控系統安全防護工作��。
?
