前言
为加强电力行业网络安全监督管理,规范电力行业网络安全工作,国家能源局近日印发《电力行业网络安全管理办法》和《电力行业网络安全等级保护管理办法》(以下简称“两办法”),有效期均为5年。随着这两部规范性文件的正式出台,电力企业应针对管理办法中的技术与管理要求,积极采取措施,开展电力企业网络安全保护工作。
本文立足电力企业视角,总结两办法中电力企业的责任与义务,梳理网络安全保护的工作重点,为电力企业网络安全管理工作提供思路。
工作重点
01工作目标、方针与原则
工作目标:建立健全网络安全保障体系和工作责任体系,提高网络安全防护能力,保障电力系统安全稳定运行和电力可靠供应。
工作方针:积极防御、综合防范。
工作原则:依法管理、分工负责,统筹规划、突出重点。
02建立健全网络安全管理体系
1、建立网络安全责任制
-
落实网络安全责任,将网络安全纳入安全生产管理体系。
-
健全网络安全管理、评价考核制度体系。
-
成立工作领导机构,明确责任部门,设立专职岗位,定义岗位职责,明确人员分工和技能要求。
-
建立健全网络安全风险评估的自评估和检查评估制度,完善网络安全风险管理机制。
2、保障网络安全经费
-
建立网络安全资金保障制度,安排网络安全专项预算,确保网络安全投入不低于信息化总投入的5%。
3、加强网络安全从业人员考核和管理
-
建立与网络安全工作特点相适应的人才培养机制,做好全员网络安全宣传教育,提高网络安全意识。
-
从业人员应当定期接受相应的政策规范和专业技能培训,并经培训合格后上岗。
4、工作总结与年度计划
-
电力企业应当于每年11月1日前,将当年网络安全工作的专项总结(含下一年度工作计划)报行业部门
03网络安全防护体系建设
1、安全措施“三同步”
-
电力企业规划设计网络时,应当明确安全保护需求,保证安全措施同步规划、同步建设、同步使用,设计合理的总体安全方案并经专业技术人员评审通过,制定安全实施计划,负责网络安全建设工程的实施。
2、依法合规建设防护体系
-
按照国家网络安全等级保护制度、关键信息基础设施安全保护制度、数据安全制度、网络安全审查工作机制和电力监控系统安全防护规定的要求,对本单位的网络进行安全保护。
3、网络安全监测预警和信息通报
-
建立健全本单位网络安全监测预警和信息通报机制,及时掌握本单位网络安全运行状况、安全态势,及时处置网络安全威胁与隐患,定期向行业部门报告有关情况。
04 网络安全事件应急处置
1、应急预案及演练
-
按照电力行业网络安全事件应急预案,制修订本单位网络安全事件应急预案,每年至少开展一次应急演练。
-
制修订电力监控系统专项网络安全事件应急预案并定期组织演练。
2、开展网络攻防演习
-
定期组织开展网络攻防演习,检验安全防护和应急处置能力。
3、重要时期保障
-
在国家重要活动、会议期间结合实际制定网络安全保障专项工作方案和应急预案,成立保障组织机构,明确目标任务,细化措施要求,组织预案演练,确保重要信息系统、电力监控系统安全稳定运行。
4、安全事件处置及上报
-
发生网络安全事件后,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估。
-
采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,注意保护现场,并按照规定向有关主管部门报告。
5、容灾备份建设
-
电力企业应当按照国家有关规定,建立健全容灾备份制度,对重要系统和重要数据进行有效备份。
6、数据安全管理和个人信息保护
-
建立健全全流程数据安全管理和个人信息保护制度。
-
按照国家和行业重要数据目录及数据分类分级保护相关要求,确定本单位的重要数据具体目录,对列入目录的数据进行重点保护。
7、风险隐患治理
-
网络上线前,委托网络安全服务机构开展第三方安全测试。
-
按照国家有关规定开展电力监控系统安全防护评估、网络安全等级保护测评、关键信息基础设施网络安全检测和风险评估、商用密码应用安全性评估和网络安全审查等工作,未达到要求的应当及时进行整改。
-
按照国家有关规定开展网络安全风险评估工作,发现风险隐患可能对电力行业网络安全产生较大影响的,应当向行业部门报告。
-
依据国家和行业相关标准、规程和规范开展网络安全技术监督工作,可委托网络安全服务机构协助开展。
-
建立健全网络产品安全漏洞信息接收渠道并保持畅通,发现或者获知存在安全漏洞后,应当立即评估安全漏洞的影响范围及程度,及时对安全漏洞进行验证并完成修补。
05网络安全等级保护
1、满足合规要求
-
国家要求:国家网络安全等级保护政策法规和技术标准要求
-
行业要求:电力行业的网络安全等级保护管理规范和技术标准
2、等级划分和保护
-
电力行业网络划分为五个安全保护等级,与国家标准规范对比如下:
3、等级保护的实施与管理
-
等级保护工作可分为定级、备案、测评、整改四个阶段,如下图所示:
4、测评与自查
-
测评周期:第二级网络,每两年进行一次等级保护测评;第三级及以上网络,每年进行一次等级保护测评;新建的第三级及以上网络,在通过等级保护测评后投入运行。
-
自查周期:第二级电力监控系统应当每两年至少进行一次自查;第三级及以上网络应当每年至少进行一次自查。
5、密码管理
-
电力企业采用密码进行等级保护的,应当遵照《中华人民共和国密码法》等有关法律法规和国家密码管理部门制定的网络安全等级保护密码技术标准执行。
6、监督与管理
-
电力企业应当按照网络安全等级保护管理规范和技术标准组织整改。
-
电力企业(二级及以上系统)应当每年向国家能源局或其派出机构报告网络安全等级保护工作情况。
06关键信息基础设施安全保护
1、安全管理
-
电力行业关键信息基础设施运营者的主要负责人对关键信息基础设施安全保护负总责,要明确一名领导班子成员(非公有制经济组织运营者明确一名核心经营管理团队成员)作为首席网络安全官,专职管理或分管关键信息基础设施安全保护工作。
-
为每个关键信息基础设施明确一名安全管理责任人。
-
设立专门安全管理机构,确定关键岗位及人员,并对机构负责人和关键岗位人员进行安全背景审查。
2、信息报送
-
依法依规开展关键信息基础设施信息报送工作,关键信息基础设施发生较大变化,可能影响其认定结果的,关键信息基础设施运营者发生合并、分立、解散等情况的,应当及时将相关情况报告行业部门。
3、安全监测预警
-
电力行业关键信息基础设施运营者应当建立7×24小时值班值守制度,建设网络安全态势感知平台,并与行业部门、公安机关等有关平台对接。
4、采购安全可信的网络产品和服务
-
电力行业关键信息基础设施运营者应当优先采购安全可信的网络产品和服务,并按照有关要求开展风险预判工作,评估投入使用后可能对关键信息基础设施安全、电力生产安全和国家安全的影响,形成评估报告。
-
影响或者可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
5、安全检测和风险评估
-
开展关键信息基础设施网络安全检测和风险评估。
-
配合行业部门开展的电力行业关键信息基础设施网络安全检查检测。
6、工作总结与年度计划
-
电力行业关键信息基础设施运营者应当于每年11月1日前,将当年关键信息基础设施安全保护工作的专项总结报行业部门。
07网络安全和服务采购
-
选用符合国家法律法规和有关标准规范要求且满足网络安全等级保护需求的网络产品和服务,开展网络安全建设或改建工作。
-
在设备选型及配置时,禁止选用经国家能源局通报存在漏洞和风险的系统及设备,对已经投入运行的系统及设备应及时整改并加强运行管理和安全防护。
-
接入生产控制大区的涉网安全产品需经电力调度机构同意。
-
不得委托在近3年内被行业部门通报有不良行为或被相关部门通报整改的网络安全服务机构。
-
电力监控系统需按照电力监控系统安全防护有关要求采购和使用,采购网络产品和服务,影响或可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
-
督促电力监控系统专用安全产品研发单位和供应商按照国家有关要求做好保密工作,防止关键技术泄露。严禁在互联网上销售、购买电力监控系统专用安全产品。
结语
中睿天下聚焦关键信息基础设施保护工作,积累了大量的技术研究和应用实践成果,以人为核心,以平台为支撑,以“人机共融”为理念基础,建立了“1239”安全服务及运营体系,即一套体系、两种元素、三项能力和九类服务,为关键信息基础设施运营单位数字化安全转型保驾护航。
01安全服务及运营
中睿天下为电力企业提供信息系统全生命周期安全咨询、评估及运营服务,协助电力企业在网络规划、建设、运营过程中,遵循同步规划、同步建设、同步使用的原则,规划关键信息基础设施纵深防御体系,制定并落实网络安全管理制度,建设网络安全事件应急预案并协助开展网络安全应急演练,健全网络安全防护体系,确保电力企业网络符合其安全等级保护要求,保障电力系统的安全稳定运行。
02安全产品及建设
中睿天下是以“实战对抗”为特点的能力价值型网络安全厂商。基于核心团队近20年的一线攻防实战经验,以及对能源、金融、交通、政府等行业业务的深入研究,通过攻击溯源技术构建面向实战对抗的新一代高级安全防护体系,帮助用户显著提升网络安全监测预警、分析研判、态势感知、攻击溯源以及应急处置等能力,有效应对来自外部专业组织和势力的高强度网络攻击。