但當我們在享受信息化技術帶來的高效和便捷的同時，電力行業所面臨的網絡與信息安全風險也與日劇增。

       我國電力行業網絡與信息安全工作開展情況

       2000年以來，我國相繼發生了“二灘電廠停機事件”、“故障錄波器事件”、“邏輯炸彈事件”、“換流站病毒感染事件”等多起電力行業網絡與信息安全事件，造成了不同程度的事故影響，威脅到了電力系統安全穩定運行，同時也暴露出了我國電力行業在網絡安全接入方面、安全生產管理方面、人員信息安全培訓等方面存在薄弱環節。

       針對類似電力信息安全事件，2002年，原國家經貿委發布第30號令《電網和電廠計算機監控系統及調度數據網絡安全防護規定》，對電網和電廠計算機監控系統防護提出了要求。國家電監會成立后，對電力二次系統及網絡信息安全防護明確提出了“安全分區、專網專用、橫向隔離、縱向認證”的總體防護策略，并制定印發了《電力行業網絡與信息安全信息報送暫行辦法》、《電力行業網絡與信息安全應急預案》、《電力行業網絡與信息安全監督管理暫行辦法》等一系列管理辦法，使電力行業網絡與信息安全防護的理念更加系統化、具體化，增強了可操作性，電力行業網絡與信息安全防護工作進入了實質性建設階段。

       對比國外發達國家相對孤立、松散的電力行業信息安全防護現狀，我國的電力行業信息安全防護工作在組織管理、部署實施、企業參與積極性等方面具有更為明顯的優勢。截至2011年底，全國電力安委會成員單位中的15家電網和發電企業90%以上的單位已按照“安全分區、專網專用、橫向隔離、縱向認證”的要求完成了生產控制大區和管理信息大區的物理隔離改造，通過認證、加密、訪問控制等技術手段實現了遠程數據傳輸、控制及縱向邊界的安全防護。其中電網企業較發電企業，省級以上調度單位較地級調度單位，330千伏及以上變電站較220千伏變電站信息安全防護工作開展的更快、更全、更好。通過加強電力行業信息安全防護工作有效保證了北京奧運會、上海世博會、廣州亞運會等重要保電時期電力系統的安全穩定運行和可靠供電。但在取得一系列成效的同時，問題和不足也相對明顯。

        問題：法規標準不全責任落實不明技術保障不力

       (一)信息安全法規和標準體系建設不全面對新形勢下信息安全保障工作的發展需要，電力行業信息安全在政策法規和標準體系方面的問題也逐漸顯現。一是法規和標準建設相對滯后，缺乏總體規劃;二是規范和標準互通性和協調性不強，部分規范和標準的可執行性較差;三是部分規范和標準已不適應現實需要，尤其是新能源、新技術和新模式的引入，原有的信息安全防護標準無法應對某些新型信息安全的威脅;四是部分信息安全規 范和標準在行業內難以得到切實落實。

       2007年國家電監會啟動了電力行業信息系統安全等級保護定級工作，并編制印發了《電力行業信息系統安全等級保護管理辦法》和《信息系統安全等級保護定級指南》，行業信息安全法規和標準體系初步形成。但對電力行業信息系統等級保護的具體要求和規范意見，以及后續的信息系統等級測評和督促檢查機制卻仍未建立起來。

       (二)組織體系與責任落實不明當前，電力行業中普遍存在重生產安全輕信息安全的狀況，電力企業對信息安全重要性的認知程度也存在經濟發展水平和所在地域上的差異。即便企業高層逐步認識到信息安全的重要性，也存在著以下問題：一是信息資源在公司的戰略資產中的地位受到高層重視，但具體情況不甚清楚;二是信息安全工作缺乏明確的概念描述和參數指標;三是信息安全工作的責任與職能落實不夠清晰，大部分電力企業未設立信息安全專崗。

        (三)網絡和數據安全防護不完善由于互聯網的開放性，來自互聯網上的病毒、木馬、黑客攻擊以及計算機威脅事件，都時刻威脅著電力行業的信息系統安全，成為制約行業平穩、安全發展的障礙。因此，維護網絡和數據安全成為行業信息安全保障工作的重要組成部分。

        近年來，電力企業采取了一系列措施，建立了相對安全的分區網絡安全防護體系和冗災備份系統，220千伏及以上主網信息安全防護體系已較為完善，基本保障了信息系統的安全運行。但細追究起來，電力行業的網絡安全防護體系規劃、配電網信息安全防護建設及災備系統建設還不夠完善，還存存以下幾方面的問題：一是網絡安全防護體系缺乏統一的規劃;二是110千伏及以下配電網縱向數據傳輸安全性防護推進工作有待加強;三是網上營銷管理系統防護能力有待繼續加強;四是對數據安全重視不夠，數據備份措施有待改進。

       (四)技術支撐及后勤保障有待加強隨著近幾年信息安全重要性的逐步凸顯，電力行業信息安全工作逐步得到重視，行業信息安全專業技術隊伍不斷發展壯大。部分大型國有電力企業已經建立了專門的科技信息部門，并設立專崗、專職人員負責信息安全工作。但是，仍存在著以下幾方面問題：一是隨著信息系統等級保護工作的深入開展，后續系統測評工作未能及時跟進，目前社會上有資質的測評機構大都缺乏必要的電力運行基礎知識;二是信息安全人才隊伍依然存在著結構不合理、后續教育不足等問題，此行業的人才培養有待加強;三是信息安全隊伍不穩定，人員流動性較大，甚至有的已經設立信息安全技術部門的單位出現了撤編的情況。

       建議：完善法規標準開展專項檢查提高防護水平

       (一)進一步完善法規和標準體系首先，在法規規劃上，要統籌兼顧，制定科學的信息技術規范和標準體系框架。

       一是全面做好立法規劃;二是建立科學的行業信息安全標準和法規體系層次。建議將行業信息安全標準和法規體系初步劃分為3層：第一層是國家制定的信息安全保密法規;第二層是電監會制定的部門規章及管理規范性文件;第三層是電力行協及企業系統內部在電監會總體協調下組織制定的制度文件。其次，在法規制定上要兼顧規范和發展，重視法規的可行性。最后，在法規實施上要堅持規范和指引相結合，重視監督檢查和責任落實。

       （二)深入開展電力行業信息安全專項檢查工作1.提高對信息安全工作的重視度。

通過安全委開員會宣傳做好信息安全工作的重要性，提高電力企業做好信息安全工作的認識。通過培訓和定期組織開展電力行業信息安全專項抽查，督促并幫助企業及時查找自身漏洞并落實整改，做好防微杜漸工作。

        2.制定行業標準積極落實信息安全等級保護。

        行業監管部門在推動行業信息安全等級保護工作中的作用非常關鍵，應進一步明確監管部門推動行業信息安全等級保護工作的任務和工作機制，統一部署、組織行業的等級保護工作，為該項工作的順利開展提供組織保證。同時，應對各單位實施信息系統安全等級保護情況進行測評，在測評環節一旦發現信息系統的不足，被測評單位應立即制定相應的整改方案并實施，監督機構負責督促其整改。

        3.加強網絡安全體系規劃以提升網絡安全防護水平。

        (1)以等級保護為依據進行統籌規劃。等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度，通過將等級化的方法和安全體系規劃有效結合，統籌規劃電力行業網絡安全體系的建設，建立一套信息安全保障體系，將是系統化地解決電力行業網絡安全問題的一個非常有效的方法。

        (2)加強網絡訪問控制提高網絡防護能力。對向電力行業提供設備、技術和服務的IT公司的資質和誠信加強管理，確保其符合國家、行業技術標準，同時簽訂必要的保密協議。根據網絡隔離要求，逐步建立生產控制區與管理區、辦公區與互聯網、網上營銷各子系統間有效的網絡隔離。技術上可以對不同的業務安全區域劃分Vlan或者采用網閘設備進行隔離;對主要的網絡邊界和各外部進口進行滲透測試，進行系統和設備的安全加固，降低系統漏洞帶來的安全風險;在網上營銷管理方面，采取電子簽名或數字認證等高強度認證方式，加強訪問控制;針對現存惡意攻擊網站的事件越來越多的情況，要采取措施加強網站保護，提高對惡意代碼的防護能力，同時采用技術手段，提高網上交易客戶端軟件使用的安全性。

        (3)加強對員工的信息安全培訓。除了要加強網絡安全技術人員的管理能力和專業技能培訓外，還要加強對全體電力職工的信息安全宣傳教育，提高其信息安全保密意識，并掌握基本的信息安全防護技能，從而整體提高電力行業信息安全的管理水平和專業技術水平。

        4.扎實推進行業災難備份建設。

無論是美國的“9·11”事件，還是我國2008年南方冰雪災害和四川汶川大地震，都敲響了災難備份的警鐘。電力行業要針對自身需要，對重要系統開展災難備份建設，制定相關的災難應急預案，并加強應急預案的演練，確保災難備份系統應急有效，使應急工作與日常工作有機結合。

       5.加強監管技術隊伍建設。

       為了適應新時期電力行業信息安全監管工作需要，監管機構須進一步加大在此方面的人力物力投入，同時建立起獨立的信息安全測評機構，并在各區域組建信息安全測評專家小組，專門負責各區域電力企業的信息安全測評工作。