电力行业为什么要做网络安全等级保护?
电力行业是关系到国家安全和社会稳定的基础性行业,电力行业信息化程度相对较高,是首批国家信息安全等级保护的重点行业。
01 国家法律法规的要求
1994《计算机信息系统安全保护条例》(国务院147号令 )
2017《中华人民共和国网络安全法》
2017《关键信息基础设施安全保护条例》(征求意见稿)
2020《关于贯彻等保和关保保护制度指导意见》(公网安[2020]1960号文)
02 电力行业要求
2007《关于开展电力行业信息系统安全等级保护定级工作通知》(电监信息〔2007〕34号)
2007《关于印发电力行业信息系统等级保护定级工作指导意见的通知》(电监信息[2007]44号)
2014《电力监控系统安全防护规定》(第14号令)
2014《国家能源局关于印发电力行业网络与信息安全管理办法的通知》(国能安全[2014]317号)
2014《国家能源局关于印发电力行业信息安全等级保护管理办法的通知》(国能安全[2014]318号)
2015《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全[2015]36号)
2017《国调中心关于开展并网电厂电力监控系统涉网安全防护专项治理活动的通知》(调网安[2017]64号)
2017《国调中心关于印发国家电网公司电力监控系统网络安全运行管理规定(试行)的通知》(调网安〔2017〕109号)
2017《国家发改委 国家能源局关于推进电力安全生产领域改革发展的实施意见》(发改能源规[2017]1986号)
2017《加快推进电力监控系统网络安全管理平台建设的通知》(国家电网调〔2017〕1084号)
2017 《国调中心关于印发电力监控系统网络安全监测装置技术规范(试行)的通知》(调网安[2017]135号)
2018《国家能源局关于加强电力行业网络安全工作的指导意见》(国能发安全〔2018〕72号)
2018 《国调中心关于印发<国家电网公司电力监控系统等级保护及安全评估工作规范(试行)>》等3个文件的通知》(调网安〔2018〕10号)
03 电力企业自身需求
(1)面临电力行业强监管
电力行业是我国关键信息基础设施行业,其网络安全面临着行业强监管。《国家电网公司电力监控系统等级保护及安全评估工作规范(试行)》第二条中有规定:各单位要按照“谁主管谁负责,谁运营谁负责”的原则,将电力监控系统等级保护及安全评估纳入日常安全生产管理体系,确保等级保护及安全评估工作责任层层落实、具体到人。
(2)工控系统安全防护要求高
电厂、电站的系统多数具有工控系统的特点,而工控系统的安全防护需要在基础防火墙安全检测的基础上,对应用层工控协议及数据进行多重的深度安全检测,在工控协议的“完整性”、“功能码”、“地址范围”和“工艺参数范围”进行深度解析和过滤,及时发现可疑指令和恶意数据,保障业务数据安全。
(3)电力行业信息系统种类多范围跨度广
电力行业应用到:大数据、物联网、工控、云计算等等多种不同类型的信息系统,相较于其他行业,信息系统的种类更多,跨度范围更广,需要的安全防护更加严格,等保合规挑战更大。
(4)电力行业对系统的业务连续性要求高
电力行业生产系统是保证电网安全、可靠、经济运行的重要手段,也是电网生产管理的一项重要基础工作,而保证系统的不中断,成为了极其重要的关键目标。
04 电力行业究竟哪些系统需要做等保?
根据电力行业实际,综合考虑信息系统的责任单位、业务类型和业务重要性及物理位置差异等各种因素,可将电力行业信息系统分为生产控制系统、生产管理系统、网站系统、管理信息系统、信息网络五大类。
以下为生产控制系统、生产管理系统的建议等级:
05 专业等保测评
公安部第三研究所认证的网络安全等级测评与检测评估机构,可为用户从定级、备案、差距分析(初测)、安全建设整改建议、等保测评、监督检查等全流程等保测评工作。具体内容如下图所示: