电力行业网络安全管理办法

电力行业网络安全管理办法

为进一步规范工作流程、加强工作协调、提升工作效能，国家能源局对《电力行业网络与信息安全管理办法》（国能安全〔2014〕317号）、《电力行业信息安全等级保护管理办法》（国能安全〔2014〕318号）进行修订，形成了《电力行业网络安全管理办法（修订征求意见稿）》《电力行业网络安全等级保护管理办法（修订征求意见稿）》，本次修改的电力行业两个管理办法具体有哪些内容呢，一起来了解下吧。

一

新增条款解读：

《电力行业网络安全管理办法（修订征求意见稿）》与《电力行业网络与信息安全管理办法》（国能安全〔2014〕317号）相比较新增条款内容如下：

1、第一章总则中明确了本管理办法适用电力企业的范围，只要是在我国境内的电力企业均应该遵守本办法的规定。

2、第二章监督管理职责中明确了国家能源局及各省级能源主管部门具有对电力行业关键信息基础设施实施安全保护和监督管理的责任以及工作职责范围。包含网络安全等级保护、关键信息基础设施安全保护、数据安全、网络安全审查、风险评估、监测预警、信息通报、应急处置、事件调查与处理、工控设备安全性检测、专业人员管理、容灾备份、安全审计、信任体系建设等方面，更重要的是明确指出电力行业应建设网络安全仿真验证环境（靶场）系统以及应对电力监控系统开展自评估工作，同时定期向国家能源局及其派出机构、地方能源主管部门汇报技术监督工作的开展情况。

3、第三章电力企业职责明确了电力行业应明确安全管理责任人及设立专门的安全管理机构，将网络安全保护制度纳入安全生产管理体系。电力监控系统生产控制大区的接入涉网安全产品需经电力调度机构同意。电力企业在规划设计时要遵循安全技术措施“同步规划、同步建设、同步使用”的三同步原则，关键信息基础设施运营者应优先选择安全可靠的网络产品和服务，信息系统建设完成后要经过第三方网络安全服务机构的测试才可以投入使用。电力企业除了开展网络安全风险评估、等保测评外，还需进行关键信息基础设施安全检测和风险评估、商用密码应用安全性评估、网络安全审查等工作，及时了解网络产品安全漏洞，发现安全漏洞应及时验证与修补。电力企业应建设网络安全态势感知平台，对企业网络安全态势进行全天候在线监测，同时可与国家能源局、公安机关等有关平台对接。同时还应对企业数据进行分类分级，对重要数据进行重点保护。电力企业应设立网络安全专项预算，预算不能低于信息化总投入的5%。应定期对企业的网络安全工作开展情况、等保测评情况、数据安全保护情况、安全计划、下一年度工作计划等内容上报国家能源局及其派出机构、地方能源主管部门。

4、第四章监督检查中明确了国家能源局及其派出机构、地方能源主管部门应定期开展网络安全检查工作，发现网络安全风险隐患进行通报并采取防范措施，同时要严格保守监督管理职责中知悉的秘密。

二

新增条款解读：

《电力行业网络安全等级保护管理办法（修订征求意见稿）》与《电力行业信息安全等级保护管理办法》（国能安全〔2014〕318号）相比较新增条款内容如下：

1、第一章总则明确了本管理办法适用电力企业的范围，只要是在我国境内的电力企业均应该遵守本办法的规定。同时对开展网络安全等级保护的网络范围进行了定义，含电力监控系统、管理信息系统及通信网络设施。

2、第三章等级保护的实施与管理中明确了第二级及以上的网络电力企业应组织网络安全专家进行定级评审，并报送国家能源局审核。第四级及以上的网络由国家能源局统一组织国家网络安全等级保护专家进行定级评审。第二级网络每两年至少进行一次自查，第三级及以上网络每年至少进行一次自查。

电力监控系统网络安全等级保护测评工作应与电力监控系统安全防护评估、关键信息基础设施网络安全检测评估、商用密码应用性安全性评估等工作相互衔接测评。从事电力监控系统网络安全等级保护测评机构应取得国家认证机构发放的等保测评认证证书同时在等保测评与检测评估机构目录中，应对电力监控系统业务熟悉，具有相应的服务能力和经验。

等保测评机构服务能力要求:（第二级网络安全等保测评机构应具备近2年内30套以上工业控制系统等级保护测评或风险评估服务经验，第三级网络安全等保测评机构应具备近3年内50套以上电力监控系统安全防护评估服务经验，第四级及以上网络等级保护测评的机构应具备5年以上电力监控系统安全防护评估服务经验。）

3、第四章网络安全等级保护的密码管理明确了第三级及以上网络在网络规划、建设和运行阶段，按照商用密码应用安全性评估管理办法和标准规范，自行或者委托商用密码检测机构开展商用密码应用安全性评估工作。

4、第五章法律责任明确了测评机构违反国家法律法规和电力行业规范性文件要求的不良行为进行了界定。

圣博润在管理办法中能做些什么？

圣博润以政策合规、企业需求为出发点，结合电力行业网络安全支撑保障实际情况，基于等保2.0打造一个中心三重防护的纵深防御体系，同时融合P2DR模型和IATF技术框架模型理念，实现事前预防、事中响应、事后审计的可信、可控客观的安全防御体系。

圣博润针对国家能源局及其派出机构、各地方能源主管部门、电力调度机构对电力系统的检查、自评估工作可以提供电力行业专业的检查工具（工控安全评估系统），工控安全评估系统以工控设备指纹库、漏洞库为技术支撑，对PLC、DCS、RTU、SCADA、HMI等工业控制系统中的控制设备、应用或系统进行扫描、识别，检测工业控制系统存在的已知漏洞，对工控网络进行旁路审计并对异常行为实时告警。同时根据检测结果提供专业的报告定制，生成系统分析报告，并给出修复建议和预防措施，帮助企业用户弥补漏洞，消除安全隐患。

圣博润可以帮助电力企业和运营者搭建网络安全态势感知平台。圣博润网络安全态势感知平

台是一款基于大数据、机器学习等技术的企业级智能安全分析平台。

平台收集工业网络内部各个关键系统产生的业务数据，提供集中存储、快速检索、实时分析及告警、威胁响应、可视化展现和安全报告等功能。平台充分发挥大数据收集能力，实时汇聚各种设备产生的日志、威胁事件、网络流量数据，接收上级的威胁情报，完善本地安全事件库，从而构建基于大数据的工业企业安全态势感知体系。利用安全大数据的深度挖掘和机器学习智能分析等技术。

为企业安全事件及异常行为检测、安全态势感知、运维管理和应用分析提供了一个智能、高效、可灵活扩展的解决方案。

圣博润可以帮助电力企业、运营者和主管部门建设网络安全仿真验证环境（靶场），圣博润工业互联网安全靶场以云计算、虚拟化技术为基础，融合工业软硬件资源、平行仿真技术、安全攻防技术、测试验证环境等关联因素于一体，构建一个无限接近于真实网络环境的虚拟数字平台，实现竞赛运维、教学实训、攻防演练、仿真测试、考核选拔等业务功能，帮助用户基于在实战的场景下，完成工业信息安全攻防训练、测试、研究和开发工作。可为业主量身打造火电、水电、风电、光伏、核电等不同业务类型的靶场环境。