当前,随着计算机和网络技术的飞速发展与广泛应用,电力企业在生产、经营和管理的各个环节均面临着日益增大的信息安全风险。相比原国家电监会于2004年发布的第5号令 《电力二次系统安全防护规定》(以下简称“5号令”),此次《规定》对于电力企业加强电力监控系统安全防护提出了哪些新的要求?对于电力企业调整和完善安全防护策略有哪些指导意义?电力企业如何在原有基础上进一步整改安全漏洞?针对上述问题,记者深入华能集团公司和浙江省能源集团公司进行了解。
加强综合防护技术管理并重
“14号令附件《发电厂监控系统安全防护方案》在原来‘安全分区、网络专用、横向隔离、纵向认证’的基础上增加了‘综合防护’的内容;同时在原来火电和水电安全防护的基础上增加了核电、风 电、光伏发电、天然气、生物质等新能源形式的监控系统安全防护要求。”华能集团郭森在接受记者采访时表示,从发电企业角度来看,新的规定改变了原来仅用隔离的方式解决电厂监控系统安全威胁问题,要求企业通过安全加固、边界防护、访问控制、安全审计、数据备份、入侵检测等手段,进行多层面的信息安全防护,也把越来越受到国家和电力企业集团重视的新能源形式纳入了安全防护规定,使《规定》更加完整。
“我们认为电力监控系统加强安全防护的重点是要抵御黑客、病毒、恶意代码等对电力监控系统的攻击和侵害,保障电力系统的安全稳定运行。除了构筑边界安全防护网,还要特别注重内部的安全防护能力。除了依靠安全技术,更要重视安全管理,两者不可偏废。”浙能集团秦刚华向记者如是说。
《规定》明确,电力监控系统安全防护是电力安全生产管理体系的有机组成部分,将电力监控系统安全防护工作、信息报送纳入日常安全生产管理体系,将电力监控系统安全防护评价纳入电力系统安全评价体系,必将进一步推动企业深入贯彻和落实强化电力监控系统安全防护工作。
中自网版权所有
积极开展试点各方配合监督
采访中,记者了解到,华能集团公司作为规定中部分内容的起草单位,一方面积极配合国家能源局选取其所属电厂进行试点,针对不同类型的设备和实际运行情况进行整改,以确保规定在发布后的可实施性和可操作性。另一方面根据规定要求,也需要及时修编电力监控系统安全防护相关管理标准,使之符合管理需要。
“电力监控系统比较复杂和庞大,安全防护的相关组织机构也比较庞大,要将政府监管部门、企业和个人整合在一起,发挥集体的力量做好电力监控系统安全防护工作。”郭森向记者表明,首先要理清政府监管部门、企业等的责任,成立符合实际的安全防护组织机构,制定行之有效的管理制度;其次要建立电力监控系统安全防护技术标准体系。安全防护问题最终还是要靠技术进步来解决,有了技术标准体系,就可以使全国范围的电力系统安全防护有所参照;再次要加强技术监督管理。安全防护真正的落脚点还是在企业,需要采用技术监督手段来发现问题、解决问题,从而不断提高企业的安全防护能力;最后要加强培训,不断提高系统内人员的技术能力。
浙能集团则通过科技项目在浙能兰溪电厂创新试点,开发应用了一套针对DCS的安全防护与监控系统。该系统建立了一套DCS输入输出数据的安全管理和审计、移动介质认证控制的安全审计系统,对DCS系统的操作行为进行监控,保障了DCS工程师站和操作员站的身份认证,确保DCS系统输入输出文件的病毒控制和隔离,从而确保生产控制大区核心设备的安全管理。该安防系统是浙能集团的管理创新亮点,得到了有关部门的认可,认为可在行业内推广应用。
据了解,近年来,浙能集团通过引入外部专业化力量,在兰溪、温州电厂试点开展生产控制大区的风险评估工作,收到了较好的效果。
“在历次的网络与信息安全的评估过程中,我们发现发电企业在账号与口令管理、安全补丁、系统服务加固等方面还有待进一步加强,我们考虑结合风险评估、等级测评来弥补这方面的不足。”秦刚华向记者介绍,浙能集团将着手建立企业电力监控系统安全防护技术标准体系,贯彻落实《规定》的技术管理要求,制定电力监控系统安全防护应急预案。
同时组织开展电力监控系统安全防护培训,一方面深入学习《规定》的各项要求,另一方面学习掌握安全防护的相关技术,提高技术能力水平。