中科信安九分钟走进等保测评——能源行业篇

发布日期:2020-09-24 16:29
“九分钟走进信息安全”是中科信安开设的新专栏,旨在为广大用户提供更高效、全面、系统的信息安全与数据领域的知识。

现在,我们走进等保2.0,来看看关键信息基础设施的等保测评之路,8月28日我们了解了金融企业信息安全和等保测评,今天我们来看看能源行业的信息安全。

1能源信息规制体系和现状

目前能源行业的法律法规体系中,能源信息安全的系统性规定尚未形成。
最新公布的《能源法》征求意见稿(国家能源局2020-5-9),“能源安全”一节除第70条规定能源安全储备设施及安全保障的系统能力建设之外,第72条明确网络与信息安全,“推动建立健全能源行业网络与信息安全的法规体系和标准体系。”
同时规定了能源企业作为市场主体应当履行相应的能源网络信息安全法律法规义务和遵守行业标准。
其余针对能源信息安全的法律法规则散见于各类能源细分领域的单行规定中。

例如,2014年7月国家能源局发布的《电力行业网络与信息安全管理办法》,对电力网络调度运行和相关环节信息交换的安全操作和信息保密作出具有电力行业特点的相关规定。
其中涉及:电力行业网络与信息安全等级保护、信息报送、风险预估、设备调处、减灾预防、信用体系和标准化规范应用及套监督体系。
就石油天然气行业的信息安全监管格局来看,目前我国以油气行业几大巨头企业(中石油、中石化)牵头,通过行业合作、政企合作形成信息系统安全和报送的实体机构。
综上,我国有关能源信息安全的现状可见一斑。


2能源行业的等保历程

能源工业是人类社会和每个国家的基础和支柱,也是网络攻击的主要目标。
在等保 1.0 的时代,能源行业积极落实与推进网络安全等级保护制度,建立了相对完善的信息安全法规、标准、监管要求和操作规则,很好的保障了能源工业的安全稳定运行。
等保 2.0 国家标准是对等保 1.0 国家标准的继承与发展,二者紧密联系的同时,又有质的变化。
2019年5月,国家正式发布了“网络安全等级保护技术2.0系列国家标准”,标志着我国网络安全工作进入了等保2.0时代。
等保2.0是对等保1.0的全面提升,既增加了对云计算、大数据、物联网、移动互联新技术和新应用的网络安全要求,又特别是突出了工业控制系统网络安全的新要求,因此,对于“两化融合”深度发展下的能源网络安全工作的开展具有划时代的意义。

自1994年的《中华人民共和国计算机信息系统安全保护条例》颁布为起点,网络安全等级保护经历了从无到有的过程。
其中,以2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》为标志,我国的网络安全等级保护工作进入了“等保1.0时代”。
在过去十多年的时间里,网络安全等级保护工作的开展确保了国内关键信息通信网络和重要信息系统的安全运行。
等保2.0国家标准是对等保1.0国家标准的继承与发展,二者紧密联系的同时,又有质的变化。
作为历来积极落实与推进等级保护工作的能源行业,在已经完全适应等保1.0体系要求,以及出台了相对完善的信息安全规、标准、监管要求和操作规则的基础上,如何顺应时代新发展和等保2.0新要求,深入理解能源网络安全发展的新态势,积极推进落实等保2.0国家标准,形成更加全面与完善的能源网络安全体系,具有重要迫切的意义。

3等保 1.0 下的能源网络空间发展
国家的安全离不开能源工业的安全,而能源工业的安全离不开网络安全,尤其是随着智慧能源等能发展新形态的出现。
在等保1.0的时代,国家和能源行业主管部门积极落实与推进网络安全等级保护制度,建立了相对完善的信息安全法规、标准、监管要求和操作规则,如《电力二次系统安全防护规定》、《电力监控系统安全防护规定》、《电力监控系统安全防护总体方案》、《工业控制系统信息安全防护指南》、《工业控制系统信息安全事件应急管理工作指南》、《电力信息系统安全检查规范》、《可再生能源发电站电力监控系统网络安全防护技术规范》、《关于加强电力行业网络安全工作的指导意见》、《电力LTE无线通信网络安全防护要求》等,有力地保障了能源工业的安全、稳定和可靠运行。

4等保 2.0 下的能源网络安全方针
2015年的《国家安全法》明确要求国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。
2017年的《网络安全法》明确要求国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
因此,面对智慧能源等能源发展新形态,以及工业互联网、云计算、大数据、物联网、区块链、人工智能等新技术在能源电力的广泛应用,能源工业必须遵循等保2.0下“明确等级、增强保护、常态监督”的网络安全新要求,既严格遵循“网络专用、安全分区、横向隔离、纵向认证”的16字基本安全方针,又与时俱进,强化要求,积极发展,顺应“可管可控、精准防护、可视可信、智能防御”的16字增强安全方针。

结论
各具体能源行业门类所面临的信息风险各不相同。
对于我国能源信息安全的考虑,应充分借鉴国外关键基础设施网络安全保护相关法律,抓紧建立我国关键基础设施信息安全法律体系。
尽快建立关键基础设施风险信息共享机制。加快推动关键基础设施相关产品的国产化替代,慎重购买国外的硬件设备。

分享到:
更多文章