隨著電力應(yīng)用技術(shù)的不斷發(fā)展,電力行業(yè)發(fā)展過程中面臨不斷涌現(xiàn)的網(wǎng)絡(luò)安全、數(shù)據(jù)安全、新技術(shù)應(yīng)用等重大挑戰(zhàn);此外,為了全面承接《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》《電力法》《密碼法》《關(guān)保條例》等法律法規(guī),經(jīng)過對《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》(國能安全(2014)317號)修訂并公開征求意見,2022年12月12日,國家能源局發(fā)布《電力行業(yè)網(wǎng)絡(luò)安全管理辦法》(國能發(fā)安全規(guī) [2022] 100號)(以下簡稱《管理辦法》)。
相較于前一版,在監(jiān)督管理職責(zé)方面,《管理辦法》擴大了監(jiān)管主體,新增了地方能源主管部門為電力行業(yè)網(wǎng)絡(luò)安全管理的主管部門;進一步細(xì)化了監(jiān)管職責(zé),擴大了組織制定政策規(guī)定及技術(shù)范圍的范圍,擴充的內(nèi)容包括網(wǎng)絡(luò)安全等級保護、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護、電力
監(jiān)控系統(tǒng)安全防護、網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報、網(wǎng)絡(luò)安全事件應(yīng)急處置等;新增了電力調(diào)度機構(gòu)對直接調(diào)度范圍內(nèi)的下一級電力調(diào)度機構(gòu)、集控中心、變電站(換流站)、發(fā)電廠(站)等各類機構(gòu)涉網(wǎng)部分的電力監(jiān)控系統(tǒng)安全防護的技術(shù)監(jiān)督。
在電力企業(yè)責(zé)任義務(wù)方面,指明了企業(yè)應(yīng)按照網(wǎng)絡(luò)安全等保制度、關(guān)基保護制度、數(shù)據(jù)安全制度、網(wǎng)絡(luò)安全審查機制和電力監(jiān)控系統(tǒng)安全防護規(guī)定開展網(wǎng)絡(luò)安全保護工作,并將網(wǎng)絡(luò)安全納入安全生產(chǎn)管理體系;接入生產(chǎn)控制大區(qū)的涉網(wǎng)安全產(chǎn)品需經(jīng)電力調(diào)度機構(gòu)同意;規(guī)劃設(shè)計網(wǎng)絡(luò)時需保證安全方案經(jīng)評審?fù)ㄟ^,上線前通過第三方安全測試;建立健全網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息接收與通報機制;制修訂網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,每年至少開展一次應(yīng)急演練;重大活動保障;建立健全全流程數(shù)據(jù)安全管理和個人信息保護制度;網(wǎng)絡(luò)安全投入不低于信息化總投入的5%;網(wǎng)絡(luò)安全工作專項總結(jié)報送行業(yè)部門。特別的,對于關(guān)鍵信息基礎(chǔ)設(shè)施運營者的網(wǎng)絡(luò)安全責(zé)任義務(wù),提出了人員設(shè)置要求、專門安全管理機構(gòu)要求、信息報送工作要求、網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購要求、網(wǎng)絡(luò)安全態(tài)勢感知要求、關(guān)機保護工作專項總結(jié)報送要求。
在監(jiān)督檢查方面,明確了行業(yè)部門可針對違法違規(guī)事件的責(zé)任主體采取約談負(fù)責(zé)人乃至依法依規(guī)進行處理。
條例解讀
第六條第三款,組織認(rèn)定電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施,制定關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃……
電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定規(guī)則,已經(jīng)在制定中。2022年,國家能源局安全監(jiān)管司已向電力行業(yè)企業(yè)對相關(guān)文件征求意見。以發(fā)電側(cè)為例,認(rèn)定規(guī)則分為火電、水電、新能源、核電、向計劃單列市供電占比靠前的發(fā)電廠(站)等。
第六條第八款,推動網(wǎng)絡(luò)安全仿真驗證環(huán)境(靶場)建設(shè),組織建立網(wǎng)絡(luò)安全監(jiān)督管理技術(shù)支撐體系。
在2022年6月12日國家能源局綜合司公開征求《電力行業(yè)網(wǎng)絡(luò)安全管理辦法(修訂征求意見稿)》后,電力行業(yè)就組織開展全國范圍內(nèi)的網(wǎng)絡(luò)安全靶場、電力安全靶場調(diào)研,調(diào)研工作涉及電力相關(guān)研究院所、網(wǎng)絡(luò)安全相關(guān)公司等,并組織了沙龍會議進行討論。
第七條第(四)款,將并網(wǎng)電廠涉網(wǎng)部分電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全運行狀態(tài)納入監(jiān)測。
在這方面,電力行業(yè)已具備一定的工作基礎(chǔ)。在2017年,國網(wǎng)調(diào)度陸續(xù)開展了電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理平臺的建設(shè),主要內(nèi)容包括調(diào)控機構(gòu)建設(shè)網(wǎng)絡(luò)安全管理平臺(I型網(wǎng)絡(luò)安全監(jiān)測裝置)、廠站部署網(wǎng)絡(luò)安全監(jiān)測裝置(II型網(wǎng)絡(luò)安全監(jiān)測裝置)、其它電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全事件接入。
第十三條,電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)當(dāng)優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù),并按照有關(guān)要求開展風(fēng)險預(yù)判工作……
信創(chuàng)工作歷時多年,已有大量實踐經(jīng)驗證明特定場景下國產(chǎn)替代的實力。關(guān)鍵信息基礎(chǔ)設(shè)施事關(guān)國民經(jīng)濟支柱和命脈,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》中強調(diào)“運營者應(yīng)當(dāng)優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”,所以電力行業(yè)關(guān)基保護做出同樣要求。相關(guān)網(wǎng)信安全和信息基礎(chǔ)設(shè)施的建設(shè),接下來將迎來快速發(fā)展期。
第二十條,電力企業(yè)應(yīng)當(dāng)建立健全本單位網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報機制,及時掌握本單位安全運行狀況……電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)當(dāng)建立7*24小時值班值守制度,建設(shè)網(wǎng)絡(luò)安全態(tài)勢感知平臺,并與行業(yè)部門、公安機關(guān)等有關(guān)平臺對接。
電力行業(yè)的工控網(wǎng)絡(luò)安全態(tài)勢感知平臺,于2019年開始陸續(xù)開展工作。根據(jù)能源智慧信息平臺建設(shè)工作安排,按照委領(lǐng)導(dǎo)指示要求,決定在國資國企在線監(jiān)管系統(tǒng)中新增“國家能源安全智能化管理”主題應(yīng)用。國家能源安全智能化管理主題由能源智慧信息平臺等應(yīng)用系統(tǒng)提供數(shù)據(jù)支持和業(yè)務(wù)支撐,其中網(wǎng)絡(luò)安全態(tài)勢感知平臺是能源智慧信息平臺的重要組成部分,首期在電力行業(yè)中建設(shè),做到“廠站自身感知、數(shù)據(jù)本地采集、省中心統(tǒng)一匯總、平臺集中監(jiān)測”,建成覆蓋發(fā)電類中央企業(yè)和地方國有企業(yè)的能源行業(yè)工業(yè)信息安全態(tài)勢感知平臺,實現(xiàn)工業(yè)信息安全管理從“靜態(tài)布防、邊界監(jiān)測”向“實時監(jiān)管、縱深防御”的轉(zhuǎn)變。電力行業(yè)的信息管理大區(qū),各大企業(yè)已有相應(yīng)的建設(shè)成果,如國網(wǎng)公司S6000、南網(wǎng)公司IOS等。
第二十五條,電力企業(yè)應(yīng)當(dāng)建立健全全流程數(shù)據(jù)安全管理和個人信息保護制度,按照國家和行業(yè)重要數(shù)據(jù)目錄及數(shù)據(jù)分類分級保護相關(guān)要求,確定本單位的重要數(shù)據(jù)具體目錄,對列入目錄的數(shù)據(jù)進行重點保護。
2022年12月13日,工業(yè)和信息化部印發(fā)了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》,重點解決工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全“誰來管、管什么、怎么管”的問題。這對電力行業(yè)的數(shù)據(jù)安全建設(shè)具有重要借鑒和參考意義。
第二十六條,電力企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全資金保障制度,安排網(wǎng)絡(luò)安全專項預(yù)算,確保網(wǎng)絡(luò)安全投入不低于信息化總投入的5%。
這將極大地提升電力行業(yè)網(wǎng)絡(luò)安全市場容量。以國家電網(wǎng)為例,2017年-2021年,電力投資金額相對穩(wěn)定,維持在4500億元--4800億元之間;相對的,信息化的投入也逐年升高,從120億元增長至270億元。2021年國家電網(wǎng)信息化投入資金約占整體投資金額的5.5%。十四五期間,國網(wǎng)和南網(wǎng)合計投資高達2.9萬億元,若算上地區(qū)電網(wǎng)公司,全國電網(wǎng)總投資預(yù)計近3萬億元。簡單計算,十四五期間,電力行業(yè)中僅僅電網(wǎng)公司的網(wǎng)絡(luò)安全市場容量,3萬億*5.5%*5% = 82.5億元,平均每年18.5億元。擴大到整個電力行業(yè)來看,根據(jù)前瞻研究院的數(shù)據(jù),2021年國家電網(wǎng)信息化建設(shè)投入為270億元,全電力行業(yè)信息化規(guī)模超過750億元,即電力行業(yè)信息化投入約為國家電網(wǎng)信息化投入的3倍。國家電網(wǎng)十四五規(guī)劃平均年投資5000億元,那么十四五期間,平均每年電力行業(yè)信息安全市場容量5000*5.5%*5%*3 = 41.25億元。
第二十九條,電力企業(yè)應(yīng)當(dāng)于每年11月1日前,將當(dāng)年網(wǎng)絡(luò)安全工作的專項總結(jié)報行業(yè)部門……電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)當(dāng)于每年11月1日前,將當(dāng)年關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的專項總結(jié)報行業(yè)部門……
專項總結(jié)報告涵蓋內(nèi)容系統(tǒng)全面,對電力企業(yè)在網(wǎng)絡(luò)安全和關(guān)基保護方面的要求更為清晰,這將進一步促使電力企業(yè)加大對網(wǎng)絡(luò)安全的重視和投入。
安恒全棧安全護航電力行業(yè)
安恒信息推出的工業(yè)企業(yè)“全?!卑踩院弦?guī)安全能力中心、綜合安全服務(wù)中心和安全運營管理中心為三大支柱,形成以關(guān)鍵業(yè)務(wù)為核心的整體防控、以風(fēng)險管理為導(dǎo)向的動態(tài)防護、以信息共享為基礎(chǔ)的協(xié)同聯(lián)防體系,已在能源、市政、煙草、軌道交通、智能制造等行業(yè)形成了大量的工控安全實踐案例。
網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報機制、網(wǎng)絡(luò)安全態(tài)勢感知平臺方面:安恒信息以業(yè)務(wù)資產(chǎn)為核心,以安全生產(chǎn)為目標(biāo),通過采集電力網(wǎng)絡(luò)環(huán)境下的資產(chǎn)、全流量數(shù)據(jù)和日志數(shù)據(jù),利用安全大數(shù)據(jù)分析技術(shù),將技術(shù)指標(biāo)與安全生產(chǎn)指標(biāo)相結(jié)合,實現(xiàn)業(yè)務(wù)資產(chǎn)集中管理、風(fēng)險集中管控、安全趨勢預(yù)判,為應(yīng)急響應(yīng)提供決策分析支撐,構(gòu)建電力行業(yè)智能化網(wǎng)絡(luò)安全運營管理體系。近年來,安恒信息態(tài)勢感知平臺在公安、網(wǎng)信等監(jiān)管部門斬獲頗豐?!豆芾磙k法》中提到的與行業(yè)部門、公安機關(guān)等平臺對接方面,安恒信息具有技術(shù)和市場的雙重優(yōu)勢,可為電力行業(yè)網(wǎng)絡(luò)安全態(tài)勢感知平臺的優(yōu)質(zhì)建設(shè)和高效運營提供強有力的幫助。此外,安恒信息態(tài)勢感知平臺還提供了安全情報管理功能,滿足《管理辦法》中電力企業(yè)網(wǎng)絡(luò)安全漏洞信息接收、報送需求,幫助企業(yè)符合《關(guān)保條例》、《管理辦法》等政策要求。
數(shù)據(jù)安全管理方面:安恒信息以“數(shù)據(jù)分類分級―數(shù)據(jù)安全防護―數(shù)據(jù)安全評估”為建設(shè)流程,打造了堅持“風(fēng)險核查-數(shù)據(jù)梳理-數(shù)據(jù)保護-監(jiān)控預(yù)警”模型理念,防護覆蓋數(shù)據(jù)全生命周期的安恒數(shù)盾數(shù)據(jù)安全解決方案。
電力靶場方面:結(jié)合多年豐富的網(wǎng)絡(luò)安全技術(shù)積累與人才培養(yǎng)經(jīng)驗,安恒信息自主研發(fā)了明御?鑒安網(wǎng)絡(luò)空間靶場平臺系列產(chǎn)品。明御?鑒安網(wǎng)絡(luò)空間靶場可滿足各類網(wǎng)絡(luò)安全實驗室建設(shè),用于教學(xué)培訓(xùn)、網(wǎng)絡(luò)安全研究、效能評估、設(shè)備測試、安全評估、應(yīng)急演練等安全需求。以明御?鑒安網(wǎng)絡(luò)空間靶場為基礎(chǔ),結(jié)合電力行業(yè)特定業(yè)務(wù)場景,安恒信息可為電力靶場建設(shè)工作貢獻安恒方案、安恒力量。