電力行業(yè)出新令 工業(yè)信息安全迎來風口

　　隨著電力應用技術的不斷發(fā)展，電力行業(yè)發(fā)展過程中面臨不斷涌現(xiàn)的網(wǎng)絡安全、數(shù)據(jù)安全、新技術應用等重大挑戰(zhàn)；此外，為了全面承接《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》《電力法》《密碼法》《關保條例》等法律法規(guī)，經(jīng)過對《電力行業(yè)網(wǎng)絡與信息安全管理辦法》(國能安全(2014)317號)修訂并公開征求意見，2022年12月12日，國家能源局發(fā)布《電力行業(yè)網(wǎng)絡安全管理辦法》(國能發(fā)安全規(guī) [2022] 100號)(以下簡稱《管理辦法》)。

　　相較于前一版，在監(jiān)督管理職責方面，《管理辦法》擴大了監(jiān)管主體，新增了地方能源主管部門為電力行業(yè)網(wǎng)絡安全管理的主管部門；進一步細化了監(jiān)管職責，擴大了組織制定政策規(guī)定及技術范圍的范圍，擴充的內容包括網(wǎng)絡安全等級保護、關鍵信息基礎設施安全保護、電力 監(jiān)控系統(tǒng)安全防護、網(wǎng)絡安全監(jiān)測預警和信息通報、網(wǎng)絡安全事件應急處置等；新增了電力調度機構對直接調度范圍內的下一級電力調度機構、集控中心、變電站(換流站)、發(fā)電廠(站)等各類機構涉網(wǎng)部分的電力監(jiān)控系統(tǒng)安全防護的技術監(jiān)督。

　　在電力企業(yè)責任義務方面，指明了企業(yè)應按照網(wǎng)絡安全等保制度、關基保護制度、數(shù)據(jù)安全制度、網(wǎng)絡安全審查機制和電力監(jiān)控系統(tǒng)安全防護規(guī)定開展網(wǎng)絡安全保護工作，并將網(wǎng)絡安全納入安全生產(chǎn)管理體系；接入生產(chǎn)控制大區(qū)的涉網(wǎng)安全產(chǎn)品需經(jīng)電力調度機構同意；規(guī)劃設計網(wǎng)絡時需保證安全方案經(jīng)評審通過，上線前通過第三方安全測試；建立健全網(wǎng)絡安全監(jiān)測預警和信息接收與通報機制；制修訂網(wǎng)絡安全事件應急預案，每年至少開展一次應急演練；重大活動保障；建立健全全流程數(shù)據(jù)安全管理和個人信息保護制度；網(wǎng)絡安全投入不低于信息化總投入的5%；網(wǎng)絡安全工作專項總結報送行業(yè)部門。特別的，對于關鍵信息基礎設施運營者的網(wǎng)絡安全責任義務，提出了人員設置要求、專門安全管理機構要求、信息報送工作要求、網(wǎng)絡產(chǎn)品和服務采購要求、網(wǎng)絡安全態(tài)勢感知要求、關機保護工作專項總結報送要求。

　　在監(jiān)督檢查方面，明確了行業(yè)部門可針對違法違規(guī)事件的責任主體采取約談負責人乃至依法依規(guī)進行處理。

　　條例解讀

　　第六條第三款，組織認定電力行業(yè)關鍵信息基礎設施，制定關鍵信息基礎設施安全規(guī)劃……

　　電力行業(yè)關鍵信息基礎設施的認定規(guī)則，已經(jīng)在制定中。2022年，國家能源局安全監(jiān)管司已向電力行業(yè)企業(yè)對相關文件征求意見。以發(fā)電側為例，認定規(guī)則分為火電、水電、新能源、核電、向計劃單列市供電占比靠前的發(fā)電廠(站)等。

　　第六條第八款，推動網(wǎng)絡安全仿真驗證環(huán)境(靶場)建設，組織建立網(wǎng)絡安全監(jiān)督管理技術支撐體系。

　　在2022年6月12日國家能源局綜合司公開征求《電力行業(yè)網(wǎng)絡安全管理辦法(修訂征求意見稿)》后，電力行業(yè)就組織開展全國范圍內的網(wǎng)絡安全靶場、電力安全靶場調研，調研工作涉及電力相關研究院所、網(wǎng)絡安全相關公司等，并組織了沙龍會議進行討論。

　　第七條第(四)款，將并網(wǎng)電廠涉網(wǎng)部分電力監(jiān)控系統(tǒng)網(wǎng)絡安全運行狀態(tài)納入監(jiān)測。

　　在這方面，電力行業(yè)已具備一定的工作基礎。在2017年，國網(wǎng)調度陸續(xù)開展了電力監(jiān)控系統(tǒng)網(wǎng)絡安全管理平臺的建設，主要內容包括調控機構建設網(wǎng)絡安全管理平臺(I型網(wǎng)絡安全監(jiān)測裝置)、廠站部署網(wǎng)絡安全監(jiān)測裝置(II型網(wǎng)絡安全監(jiān)測裝置)、其它電力監(jiān)控系統(tǒng)網(wǎng)絡安全事件接入。

　　第十三條，電力行業(yè)關鍵信息基礎設施運營者應當優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務，并按照有關要求開展風險預判工作……

　　信創(chuàng)工作歷時多年，已有大量實踐經(jīng)驗證明特定場景下國產(chǎn)替代的實力。關鍵信息基礎設施事關國民經(jīng)濟支柱和命脈，《關鍵信息基礎設施安全保護條例》中強調“運營者應當優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務”，所以電力行業(yè)關基保護做出同樣要求。相關網(wǎng)信安全和信息基礎設施的建設，接下來將迎來快速發(fā)展期。

　　第二十條，電力企業(yè)應當建立健全本單位網(wǎng)絡安全監(jiān)測預警和信息通報機制，及時掌握本單位安全運行狀況……電力行業(yè)關鍵信息基礎設施運營者應當建立7*24小時值班值守制度，建設網(wǎng)絡安全態(tài)勢感知平臺，并與行業(yè)部門、公安機關等有關平臺對接。

　　電力行業(yè)的工控網(wǎng)絡安全態(tài)勢感知平臺，于2019年開始陸續(xù)開展工作。根據(jù)能源智慧信息平臺建設工作安排，按照委領導指示要求，決定在國資國企在線監(jiān)管系統(tǒng)中新增“國家能源安全智能化管理”主題應用。國家能源安全智能化管理主題由能源智慧信息平臺等應用系統(tǒng)提供數(shù)據(jù)支持和業(yè)務支撐，其中網(wǎng)絡安全態(tài)勢感知平臺是能源智慧信息平臺的重要組成部分，首期在電力行業(yè)中建設，做到“廠站自身感知、數(shù)據(jù)本地采集、省中心統(tǒng)一匯總、平臺集中監(jiān)測”，建成覆蓋發(fā)電類中央企業(yè)和地方國有企業(yè)的能源行業(yè)工業(yè)信息安全態(tài)勢感知平臺，實現(xiàn)工業(yè)信息安全管理從“靜態(tài)布防、邊界監(jiān)測”向“實時監(jiān)管、縱深防御”的轉變。電力行業(yè)的信息管理大區(qū)，各大企業(yè)已有相應的建設成果，如國網(wǎng)公司S6000、南網(wǎng)公司IOS等。

　　第二十五條，電力企業(yè)應當建立健全全流程數(shù)據(jù)安全管理和個人信息保護制度，按照國家和行業(yè)重要數(shù)據(jù)目錄及數(shù)據(jù)分類分級保護相關要求，確定本單位的重要數(shù)據(jù)具體目錄，對列入目錄的數(shù)據(jù)進行重點保護。

　　2022年12月13日，工業(yè)和信息化部印發(fā)了《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法(試行)》，重點解決工業(yè)和信息化領域數(shù)據(jù)安全“誰來管、管什么、怎么管”的問題。這對電力行業(yè)的數(shù)據(jù)安全建設具有重要借鑒和參考意義。

　　第二十六條，電力企業(yè)應當建立網(wǎng)絡安全資金保障制度，安排網(wǎng)絡安全專項預算，確保網(wǎng)絡安全投入不低于信息化總投入的5%。

　　這將極大地提升電力行業(yè)網(wǎng)絡安全市場容量。以國家電網(wǎng)為例，2017年-2021年，電力投資金額相對穩(wěn)定，維持在4500億元--4800億元之間；相對的，信息化的投入也逐年升高，從120億元增長至270億元。2021年國家電網(wǎng)信息化投入資金約占整體投資金額的5.5%。十四五期間，國網(wǎng)和南網(wǎng)合計投資高達2.9萬億元，若算上地區(qū)電網(wǎng)公司，全國電網(wǎng)總投資預計近3萬億元。簡單計算，十四五期間，電力行業(yè)中僅僅電網(wǎng)公司的網(wǎng)絡安全市場容量，3萬億*5.5%*5% = 82.5億元，平均每年18.5億元。擴大到整個電力行業(yè)來看，根據(jù)前瞻研究院的數(shù)據(jù)，2021年國家電網(wǎng)信息化建設投入為270億元，全電力行業(yè)信息化規(guī)模超過750億元，即電力行業(yè)信息化投入約為國家電網(wǎng)信息化投入的3倍。國家電網(wǎng)十四五規(guī)劃平均年投資5000億元，那么十四五期間，平均每年電力行業(yè)信息安全市場容量5000*5.5%*5%*3 = 41.25億元。

　　第二十九條，電力企業(yè)應當于每年11月1日前，將當年網(wǎng)絡安全工作的專項總結報行業(yè)部門……電力行業(yè)關鍵信息基礎設施運營者應當于每年11月1日前，將當年關鍵信息基礎設施安全保護工作的專項總結報行業(yè)部門……

　　專項總結報告涵蓋內容系統(tǒng)全面，對電力企業(yè)在網(wǎng)絡安全和關基保護方面的要求更為清晰，這將進一步促使電力企業(yè)加大對網(wǎng)絡安全的重視和投入。

　　安恒全棧安全護航電力行業(yè)

　　安恒信息推出的工業(yè)企業(yè)“全?！卑踩院弦?guī)安全能力中心、綜合安全服務中心和安全運營管理中心為三大支柱，形成以關鍵業(yè)務為核心的整體防控、以風險管理為導向的動態(tài)防護、以信息共享為基礎的協(xié)同聯(lián)防體系，已在能源、市政、煙草、軌道交通、智能制造等行業(yè)形成了大量的工控安全實踐案例。

　　網(wǎng)絡安全監(jiān)測預警和信息通報機制、網(wǎng)絡安全態(tài)勢感知平臺方面：安恒信息以業(yè)務資產(chǎn)為核心，以安全生產(chǎn)為目標，通過采集電力網(wǎng)絡環(huán)境下的資產(chǎn)、全流量數(shù)據(jù)和日志數(shù)據(jù)，利用安全大數(shù)據(jù)分析技術，將技術指標與安全生產(chǎn)指標相結合，實現(xiàn)業(yè)務資產(chǎn)集中管理、風險集中管控、安全趨勢預判，為應急響應提供決策分析支撐，構建電力行業(yè)智能化網(wǎng)絡安全運營管理體系。近年來，安恒信息態(tài)勢感知平臺在公安、網(wǎng)信等監(jiān)管部門斬獲頗豐。《管理辦法》中提到的與行業(yè)部門、公安機關等平臺對接方面，安恒信息具有技術和市場的雙重優(yōu)勢，可為電力行業(yè)網(wǎng)絡安全態(tài)勢感知平臺的優(yōu)質建設和高效運營提供強有力的幫助。此外，安恒信息態(tài)勢感知平臺還提供了安全情報管理功能，滿足《管理辦法》中電力企業(yè)網(wǎng)絡安全漏洞信息接收、報送需求，幫助企業(yè)符合《關保條例》、《管理辦法》等政策要求。

　　數(shù)據(jù)安全管理方面：安恒信息以“數(shù)據(jù)分類分級―數(shù)據(jù)安全防護―數(shù)據(jù)安全評估”為建設流程，打造了堅持“風險核查-數(shù)據(jù)梳理-數(shù)據(jù)保護-監(jiān)控預警”模型理念，防護覆蓋數(shù)據(jù)全生命周期的安恒數(shù)盾數(shù)據(jù)安全解決方案。

　　電力靶場方面：結合多年豐富的網(wǎng)絡安全技術積累與人才培養(yǎng)經(jīng)驗，安恒信息自主研發(fā)了明御？鑒安網(wǎng)絡空間靶場平臺系列產(chǎn)品。明御？鑒安網(wǎng)絡空間靶場可滿足各類網(wǎng)絡安全實驗室建設，用于教學培訓、網(wǎng)絡安全研究、效能評估、設備測試、安全評估、應急演練等安全需求。以明御？鑒安網(wǎng)絡空間靶場為基礎，結合電力行業(yè)特定業(yè)務場景，安恒信息可為電力靶場建設工作貢獻安恒方案、安恒力量。