4月29日，從國家能源局獲悉，日前，國家能源局發佈的《電力企業網路與資訊安全專項監管報告》。報告顯示，電力企業網路與資訊安全形勢保持了持續穩定態勢，保證了電力行業重要資訊基礎設施安全、穩定、高效運作。

　　另外，報告指出，從專項監管督查情況看，此次重點督查的北京、山東、浙江、廣東四省(市)電力企業在電力監控系統安全防護、資訊安全等級保護等方面存在的問題。

　　《報告》還建議，加快科技創新，逐步實現電力工控系統安全自主可控，加強資訊安全教育和專業技術培訓，強化資訊安全人才隊伍建設，進一步提升電力行業重要資訊基礎設施網路安全防護能力。

　　以下為能源局原文：

　　電企網路與資訊安全態勢穩定

　　網際網路+出口防護、設備遠端維護、工控設備漏洞整改等環節亟待加強

　　日前，國家能源局發佈的《電力企業網路與資訊安全專項監管報告》(以下簡稱《報告》)顯示，電力企業網路與資訊安全形勢保持了持續穩定態勢，保證了電力行業重要資訊基礎設施安全、穩定、高效運作。根據專項監管督查情況，《報告》披露了北京、山東、浙江、廣東四省(市)電力企業在電力監控系統安全防護、資訊安全等級保護等方面存在的問題，並針對具體問題提出了監管建議，進一步提升電力行業重要資訊基礎設施的網路安全防護能力

　　網路與資訊安全態勢總體穩定

　　電網防護水準明顯優於發電

　　此次專項監管重點督查了四省(市)38家電力企業，督查涵蓋網路與資訊安全組織體系建設、管理制度及標準規範落實、電力監控系統總體防護策略落實等。

　　從督查情況看，電力企業建立了電力監控系統安防體系。例如在浙江，電力企業已基本建立了“以電力企業為主體、以調度機構為紐帶、以監督管理為手段、以聯合防護為特徵”的電力監控系統安全防護和監督管理體系。

　　此外，電力企業不斷推進電力監控系統安全防護能力建設及等級保護工作，認真開展電力工控設備及作業系統等漏洞整改工作，取得了積極效果。

　　《報告》指出，電力企業認真貫徹國家發展改革委2014年第14號令，積極開展安全防護能力建設和風險評估，實現全過程管理，保障了電力監控系統安全穩定運作。此外，還積極開展了電力網路與資訊系統等級保護定級備案、測評和整改落實工作，提升了電力行業網路與資訊系統抵禦安全風險的能力。

　　2014年，電力行業網路與資訊安全形勢保持了持續穩定的態勢，全年未發生較大以上網路安全事件，保證了電力行業重要資訊基礎設施的安全、穩定和高效運作。

　　在肯定成績的同時，《報告》披露了四省(市)電力企業網路與資訊安全工作組織體系和管理制度、電力監控系統安全防護、資訊安全等級保護等方面存在的8大類共26項問題，涉及企業12家。

　　《報告》指出，從現場督查和聯合抽查情況來看，在電力行業網路與資訊安全防護工作方面，電網企業防護水準明顯優於發電企業，傳統類型發電企業防護水準明顯優於新能源類發電企業，電網生産系統防護水準明顯優於行銷系統。

　　八大類突出問題、四方面共性問題亟待解決

　　《報告》指出，從專項監管督查情況看，四省(市)電力企業在網際網路出口防護、設備遠端維護、工控設備漏洞整改等方面較為薄弱。

　　《報告》重點分析梳理了電力企業在網路與資訊安全防護工作方面存在的八大類突出問題：

　　一是部分電力企業對網路與資訊安全工作認識不足、重視不夠，工作領導機構不健全，責任部門不明確，責任制未有效落實，存在職能交叉、多頭管理、重要管理制度缺失、執行不嚴等問題。

　　二是部分電力企業安全管理工作滯後，崗位職責不清晰，崗位技能要求不明確；安全意識、教育培訓工作需進一步加強；資訊安全從業人員的數量、專業技能不足。

　　三是部分電力企業未開展資訊安全等級保護工作，存在重要資訊資産未標識、重要資訊系統未定級、定級不準確、評估及測評工作開展不規範等問題。

　　四是部分發電企業生産控制大區內安全風險管控嚴重不足，缺乏對遠端調試和運維工作有效的管控手段。

　　五是個別電力企業的電力監控系統安全防護仍存在隔離措施落實不到位的情況，對已在電力行業通報的電力監控系統網路故障事件不夠重視，對電力監控系統存在的安全風險認識不足。

　　六是部分電力企業技術管理措施不到位，安全策略配置不嚴密，網路與資訊安全防護仍存在薄弱環節。

　　七是部分電力企業主機作業系統、數據庫、網路設備的安全配置不當，訪問控制策略不嚴格，安全加固工作不全面；資訊設備自身安全防護存在問題，或安全防護設備、系統未正常使用。

　　八是部分電力企業機房物理環境不符合資訊系統相應等級保護要求。

　　此外，結合全年監管工作和中央網信辦等國家資訊安全主管部門組織開展的工作，《報告》還披露了行業存在的四方面共性問題。

　　加強保障體系建設

　　全方位持續提高網路與資訊安全防護能力

　　對於上述問題，專項監管督查組在現場監管過程中督辦有關企業進行整改，進一步強化了電力監控系統安全防護和電力行業資訊安全等級保護工作。

　　在此基礎上，《報告》針對具體問題提出了監管意見。

　　《報告》強調，首先要提高認識，進一步加強組織管理和保障體系建設，要求各電力企業進一步加強組織領導，落實網路與資訊安全管理涉及的責任部門、崗位、人員及專項經費，把網路與資訊安全放在與生産安全同等重要的地位，納入生産安全評價考核體系，確保責任落實到位。電力企業要制定符合自身情況的網路與資訊安全防護規範和策略，尤其是電網行銷系統和新能源發電企業更需加強網路安全防護體系建設。

　　此外，《報告》強調，電力企業必須狠抓落實，持續提高自身網路與資訊安全防護能力。各電力企業應加強網路與資訊安全總體規劃和整體策略設計，進一步強化邊界防護和生産控制大區縱深防禦；加強對關鍵監控系統及設備的技術摸底、運作維護技術培訓，採取有針對性的隔離、審計等措施，提升工控系統安全防護及設備運作維護能力；尤其是在切實做好輸供電、火力發電、水力發電等系統安全防護工作基礎上，進一步推進風電、光伏發電等新能源的綜合安全防護建設。

　　《報告》同時建議電力企業規範管理，紮實推進電力監控系統安全防護評估和資訊安全等級保護工作。

　　各電力企業，尤其是網路資訊安全防護存在薄弱環節的發電企業，要加強電力監控系統安全風險評估工作，增強整體安全防護機制與措施，防範局部防護、節點保護不足帶來的安全風險；要深入貫徹落實國家及行業等級保護規定以及定級、備案、測評、整改等具體規範要求，組織開展資訊系統摸底調查，切實解決存在的資訊系統未定級、定級不準及未備案等問題；按要求定期開展電力監控系統安全防護評估和資訊安全等級保護工作。

　　《報告》還建議，加快科技創新，逐步實現電力工控系統安全自主可控，加強資訊安全教育和專業技術培訓，強化資訊安全人才隊伍建設，進一步提升電力行業重要資訊基礎設施網路安全防護能力。