電力行業(yè)出新令 工業(yè)信息安全迎來風(fēng)口

　　隨著電力應(yīng)用技術(shù)的不斷發(fā)展，電力行業(yè)發(fā)展過程中面臨不斷涌現(xiàn)的網(wǎng)絡(luò)安全、數(shù)據(jù)安全、新技術(shù)應(yīng)用等重大挑戰(zhàn)；此外，為了全面承接《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《電力法》《密碼法》《關(guān)保條例》等法律法規(guī)，經(jīng)過對(duì)《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》(國(guó)能安全(2014)317號(hào))修訂并公開征求意見，2022年12月12日，國(guó)家能源局發(fā)布《電力行業(yè)網(wǎng)絡(luò)安全管理辦法》(國(guó)能發(fā)安全規(guī) [2022] 100號(hào))(以下簡(jiǎn)稱《管理辦法》)。

　　相較于前一版，在監(jiān)督管理職責(zé)方面，《管理辦法》擴(kuò)大了監(jiān)管主體，新增了地方能源主管部門為電力行業(yè)網(wǎng)絡(luò)安全管理的主管部門；進(jìn)一步細(xì)化了監(jiān)管職責(zé)，擴(kuò)大了組織制定政策規(guī)定及技術(shù)范圍的范圍，擴(kuò)充的內(nèi)容包括網(wǎng)絡(luò)安全等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)、電力 監(jiān)控系統(tǒng)安全防護(hù)、網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)、網(wǎng)絡(luò)安全事件應(yīng)急處置等；新增了電力調(diào)度機(jī)構(gòu)對(duì)直接調(diào)度范圍內(nèi)的下一級(jí)電力調(diào)度機(jī)構(gòu)、集控中心、變電站(換流站)、發(fā)電廠(站)等各類機(jī)構(gòu)涉網(wǎng)部分的電力監(jiān)控系統(tǒng)安全防護(hù)的技術(shù)監(jiān)督。

　　在電力企業(yè)責(zé)任義務(wù)方面，指明了企業(yè)應(yīng)按照網(wǎng)絡(luò)安全等保制度、關(guān)基保護(hù)制度、數(shù)據(jù)安全制度、網(wǎng)絡(luò)安全審查機(jī)制和電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定開展網(wǎng)絡(luò)安全保護(hù)工作，并將網(wǎng)絡(luò)安全納入安全生產(chǎn)管理體系；接入生產(chǎn)控制大區(qū)的涉網(wǎng)安全產(chǎn)品需經(jīng)電力調(diào)度機(jī)構(gòu)同意；規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)時(shí)需保證安全方案經(jīng)評(píng)審?fù)ㄟ^，上線前通過第三方安全測(cè)試；建立健全網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息接收與通報(bào)機(jī)制；制修訂網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，每年至少開展一次應(yīng)急演練；重大活動(dòng)保障；建立健全全流程數(shù)據(jù)安全管理和個(gè)人信息保護(hù)制度；網(wǎng)絡(luò)安全投入不低于信息化總投入的5%；網(wǎng)絡(luò)安全工作專項(xiàng)總結(jié)報(bào)送行業(yè)部門。特別的，對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的網(wǎng)絡(luò)安全責(zé)任義務(wù)，提出了人員設(shè)置要求、專門安全管理機(jī)構(gòu)要求、信息報(bào)送工作要求、網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購(gòu)要求、網(wǎng)絡(luò)安全態(tài)勢(shì)感知要求、關(guān)機(jī)保護(hù)工作專項(xiàng)總結(jié)報(bào)送要求。

　　在監(jiān)督檢查方面，明確了行業(yè)部門可針對(duì)違法違規(guī)事件的責(zé)任主體采取約談負(fù)責(zé)人乃至依法依規(guī)進(jìn)行處理。

　　條例解讀

　　第六條第三款，組織認(rèn)定電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施，制定關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃……

　　電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定規(guī)則，已經(jīng)在制定中。2022年，國(guó)家能源局安全監(jiān)管司已向電力行業(yè)企業(yè)對(duì)相關(guān)文件征求意見。以發(fā)電側(cè)為例，認(rèn)定規(guī)則分為火電、水電、新能源、核電、向計(jì)劃單列市供電占比靠前的發(fā)電廠(站)等。

　　第六條第八款，推動(dòng)網(wǎng)絡(luò)安全仿真驗(yàn)證環(huán)境(靶場(chǎng))建設(shè)，組織建立網(wǎng)絡(luò)安全監(jiān)督管理技術(shù)支撐體系。

　　在2022年6月12日國(guó)家能源局綜合司公開征求《電力行業(yè)網(wǎng)絡(luò)安全管理辦法(修訂征求意見稿)》后，電力行業(yè)就組織開展全國(guó)范圍內(nèi)的網(wǎng)絡(luò)安全靶場(chǎng)、電力安全靶場(chǎng)調(diào)研，調(diào)研工作涉及電力相關(guān)研究院所、網(wǎng)絡(luò)安全相關(guān)公司等，并組織了沙龍會(huì)議進(jìn)行討論。

　　第七條第(四)款，將并網(wǎng)電廠涉網(wǎng)部分電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全運(yùn)行狀態(tài)納入監(jiān)測(cè)。

　　在這方面，電力行業(yè)已具備一定的工作基礎(chǔ)。在2017年，國(guó)網(wǎng)調(diào)度陸續(xù)開展了電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理平臺(tái)的建設(shè)，主要內(nèi)容包括調(diào)控機(jī)構(gòu)建設(shè)網(wǎng)絡(luò)安全管理平臺(tái)(I型網(wǎng)絡(luò)安全監(jiān)測(cè)裝置)、廠站部署網(wǎng)絡(luò)安全監(jiān)測(cè)裝置(II型網(wǎng)絡(luò)安全監(jiān)測(cè)裝置)、其它電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全事件接入。

　　第十三條，電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，并按照有關(guān)要求開展風(fēng)險(xiǎn)預(yù)判工作……

　　信創(chuàng)工作歷時(shí)多年，已有大量實(shí)踐經(jīng)驗(yàn)證明特定場(chǎng)景下國(guó)產(chǎn)替代的實(shí)力。關(guān)鍵信息基礎(chǔ)設(shè)施事關(guān)國(guó)民經(jīng)濟(jì)支柱和命脈，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》中強(qiáng)調(diào)“運(yùn)營(yíng)者應(yīng)當(dāng)優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”，所以電力行業(yè)關(guān)基保護(hù)做出同樣要求。相關(guān)網(wǎng)信安全和信息基礎(chǔ)設(shè)施的建設(shè)，接下來將迎來快速發(fā)展期。

　　第二十條，電力企業(yè)應(yīng)當(dāng)建立健全本單位網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)機(jī)制，及時(shí)掌握本單位安全運(yùn)行狀況……電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)建立7*24小時(shí)值班值守制度，建設(shè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)，并與行業(yè)部門、公安機(jī)關(guān)等有關(guān)平臺(tái)對(duì)接。

　　電力行業(yè)的工控網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)，于2019年開始陸續(xù)開展工作。根據(jù)能源智慧信息平臺(tái)建設(shè)工作安排，按照委領(lǐng)導(dǎo)指示要求，決定在國(guó)資國(guó)企在線監(jiān)管系統(tǒng)中新增“國(guó)家能源安全智能化管理”主題應(yīng)用。國(guó)家能源安全智能化管理主題由能源智慧信息平臺(tái)等應(yīng)用系統(tǒng)提供數(shù)據(jù)支持和業(yè)務(wù)支撐，其中網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)是能源智慧信息平臺(tái)的重要組成部分，首期在電力行業(yè)中建設(shè)，做到“廠站自身感知、數(shù)據(jù)本地采集、省中心統(tǒng)一匯總、平臺(tái)集中監(jiān)測(cè)”，建成覆蓋發(fā)電類中央企業(yè)和地方國(guó)有企業(yè)的能源行業(yè)工業(yè)信息安全態(tài)勢(shì)感知平臺(tái)，實(shí)現(xiàn)工業(yè)信息安全管理從“靜態(tài)布防、邊界監(jiān)測(cè)”向“實(shí)時(shí)監(jiān)管、縱深防御”的轉(zhuǎn)變。電力行業(yè)的信息管理大區(qū)，各大企業(yè)已有相應(yīng)的建設(shè)成果，如國(guó)網(wǎng)公司S6000、南網(wǎng)公司IOS等。

　　第二十五條，電力企業(yè)應(yīng)當(dāng)建立健全全流程數(shù)據(jù)安全管理和個(gè)人信息保護(hù)制度，按照國(guó)家和行業(yè)重要數(shù)據(jù)目錄及數(shù)據(jù)分類分級(jí)保護(hù)相關(guān)要求，確定本單位的重要數(shù)據(jù)具體目錄，對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)。

　　2022年12月13日，工業(yè)和信息化部印發(fā)了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》，重點(diǎn)解決工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全“誰(shuí)來管、管什么、怎么管”的問題。這對(duì)電力行業(yè)的數(shù)據(jù)安全建設(shè)具有重要借鑒和參考意義。

　　第二十六條，電力企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全資金保障制度，安排網(wǎng)絡(luò)安全專項(xiàng)預(yù)算，確保網(wǎng)絡(luò)安全投入不低于信息化總投入的5%。

　　這將極大地提升電力行業(yè)網(wǎng)絡(luò)安全市場(chǎng)容量。以國(guó)家電網(wǎng)為例，2017年-2021年，電力投資金額相對(duì)穩(wěn)定，維持在4500億元--4800億元之間；相對(duì)的，信息化的投入也逐年升高，從120億元增長(zhǎng)至270億元。2021年國(guó)家電網(wǎng)信息化投入資金約占整體投資金額的5.5%。十四五期間，國(guó)網(wǎng)和南網(wǎng)合計(jì)投資高達(dá)2.9萬(wàn)億元，若算上地區(qū)電網(wǎng)公司，全國(guó)電網(wǎng)總投資預(yù)計(jì)近3萬(wàn)億元。簡(jiǎn)單計(jì)算，十四五期間，電力行業(yè)中僅僅電網(wǎng)公司的網(wǎng)絡(luò)安全市場(chǎng)容量，3萬(wàn)億*5.5%*5% = 82.5億元，平均每年18.5億元。擴(kuò)大到整個(gè)電力行業(yè)來看，根據(jù)前瞻研究院的數(shù)據(jù)，2021年國(guó)家電網(wǎng)信息化建設(shè)投入為270億元，全電力行業(yè)信息化規(guī)模超過750億元，即電力行業(yè)信息化投入約為國(guó)家電網(wǎng)信息化投入的3倍。國(guó)家電網(wǎng)十四五規(guī)劃平均年投資5000億元，那么十四五期間，平均每年電力行業(yè)信息安全市場(chǎng)容量5000*5.5%*5%*3 = 41.25億元。

　　第二十九條，電力企業(yè)應(yīng)當(dāng)于每年11月1日前，將當(dāng)年網(wǎng)絡(luò)安全工作的專項(xiàng)總結(jié)報(bào)行業(yè)部門……電力行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)于每年11月1日前，將當(dāng)年關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的專項(xiàng)總結(jié)報(bào)行業(yè)部門……

　　專項(xiàng)總結(jié)報(bào)告涵蓋內(nèi)容系統(tǒng)全面，對(duì)電力企業(yè)在網(wǎng)絡(luò)安全和關(guān)基保護(hù)方面的要求更為清晰，這將進(jìn)一步促使電力企業(yè)加大對(duì)網(wǎng)絡(luò)安全的重視和投入。

　　安恒全棧安全護(hù)航電力行業(yè)

　　安恒信息推出的工業(yè)企業(yè)“全?！卑踩院弦?guī)安全能力中心、綜合安全服務(wù)中心和安全運(yùn)營(yíng)管理中心為三大支柱，形成以關(guān)鍵業(yè)務(wù)為核心的整體防控、以風(fēng)險(xiǎn)管理為導(dǎo)向的動(dòng)態(tài)防護(hù)、以信息共享為基礎(chǔ)的協(xié)同聯(lián)防體系，已在能源、市政、煙草、軌道交通、智能制造等行業(yè)形成了大量的工控安全實(shí)踐案例。

　　網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)機(jī)制、網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)方面：安恒信息以業(yè)務(wù)資產(chǎn)為核心，以安全生產(chǎn)為目標(biāo)，通過采集電力網(wǎng)絡(luò)環(huán)境下的資產(chǎn)、全流量數(shù)據(jù)和日志數(shù)據(jù)，利用安全大數(shù)據(jù)分析技術(shù)，將技術(shù)指標(biāo)與安全生產(chǎn)指標(biāo)相結(jié)合，實(shí)現(xiàn)業(yè)務(wù)資產(chǎn)集中管理、風(fēng)險(xiǎn)集中管控、安全趨勢(shì)預(yù)判，為應(yīng)急響應(yīng)提供決策分析支撐，構(gòu)建電力行業(yè)智能化網(wǎng)絡(luò)安全運(yùn)營(yíng)管理體系。近年來，安恒信息態(tài)勢(shì)感知平臺(tái)在公安、網(wǎng)信等監(jiān)管部門斬獲頗豐?！豆芾磙k法》中提到的與行業(yè)部門、公安機(jī)關(guān)等平臺(tái)對(duì)接方面，安恒信息具有技術(shù)和市場(chǎng)的雙重優(yōu)勢(shì)，可為電力行業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)的優(yōu)質(zhì)建設(shè)和高效運(yùn)營(yíng)提供強(qiáng)有力的幫助。此外，安恒信息態(tài)勢(shì)感知平臺(tái)還提供了安全情報(bào)管理功能，滿足《管理辦法》中電力企業(yè)網(wǎng)絡(luò)安全漏洞信息接收、報(bào)送需求，幫助企業(yè)符合《關(guān)保條例》、《管理辦法》等政策要求。

　　數(shù)據(jù)安全管理方面：安恒信息以“數(shù)據(jù)分類分級(jí)―數(shù)據(jù)安全防護(hù)―數(shù)據(jù)安全評(píng)估”為建設(shè)流程，打造了堅(jiān)持“風(fēng)險(xiǎn)核查-數(shù)據(jù)梳理-數(shù)據(jù)保護(hù)-監(jiān)控預(yù)警”模型理念，防護(hù)覆蓋數(shù)據(jù)全生命周期的安恒數(shù)盾數(shù)據(jù)安全解決方案。

　　電力靶場(chǎng)方面：結(jié)合多年豐富的網(wǎng)絡(luò)安全技術(shù)積累與人才培養(yǎng)經(jīng)驗(yàn)，安恒信息自主研發(fā)了明御？鑒安網(wǎng)絡(luò)空間靶場(chǎng)平臺(tái)系列產(chǎn)品。明御？鑒安網(wǎng)絡(luò)空間靶場(chǎng)可滿足各類網(wǎng)絡(luò)安全實(shí)驗(yàn)室建設(shè)，用于教學(xué)培訓(xùn)、網(wǎng)絡(luò)安全研究、效能評(píng)估、設(shè)備測(cè)試、安全評(píng)估、應(yīng)急演練等安全需求。以明御？鑒安網(wǎng)絡(luò)空間靶場(chǎng)為基礎(chǔ)，結(jié)合電力行業(yè)特定業(yè)務(wù)場(chǎng)景，安恒信息可為電力靶場(chǎng)建設(shè)工作貢獻(xiàn)安恒方案、安恒力量。