第一篇:2010年電力行業網絡與安全培訓總結1
2010年電力行業網絡與信息安全培訓總結
2010年9月中旬按國家電力監管委員會通知,廠部派我前往山東威海參加“2010電力行業網絡與信息安全培訓會”。來自全國電力行業的200多名網絡與信息安全管理人員、專責技術人員參加了培訓。培訓班邀請了公安部、國家電監會網絡與信息化工作領導小組、信息安全管理體系國家標準工作組、中國可信計算工作組、災備技術國家工程實驗室等機構的領導、專家和教授進行授課。授課內容涉及國家信息安全等級保護有關政策與要求、信息安全態勢與軟件安全、信息安全管理體系(ISMS)概述、信息安全等級保護保測評、WEB攻擊及防護技術與案例分析、數據容災備份、可信計算技術及其應用等方面。本次培訓不僅宣貫了電力行業等級保護與信息安全測評的相關政策,更側重業務層面的培訓。
在會務組的安排下,培訓形式以面對面的PPT講座為主,培訓內容大致如下: 培訓一開始,首先由國家電力監管委員會信息中心倪吉祥主任給我們講到,隨著科學技術的迅猛發展和信息技術的廣泛應用,我國國民經濟和社會信息化進程全面加快,信息化帶動了工業化的發展,實現了互聯互通、資源共享等等,信息系統已成為國家和社會發展新的重要戰略資源,隨著社會信息化的提高,我們的生活、生產對信息網絡的依賴程度也越來越高,因而網絡和信息系統安全問題也就愈加重要。倪主任同時也粗略的給我們講解了目前國內電力行業信息系統所面臨的安全形勢,以及當前信息工作的首要工作任務。明確了保護電力信息網絡,關系到國家安全、經濟命脈、社會穩定等諸多方面,從而漸漸引出了信息安全等級保護政策及要求,以及網絡安全相關技術等??。緊接著由國家公安部十一局郭啟全處長將國家信息安全等級保護有關政策與要求對我們進行了宣貫,課程中首先闡述了國家為什么要實施信息安全等級保護制度。由于敵對勢力從未間斷過的入侵、攻擊、破壞以及國內針對信息系統的違法犯罪的持續上升,從而導致基礎信息網絡和重要信息系統安全隱患日漸突出使我國信息安全面臨的形勢非常嚴峻。互聯網上影響我國國家安全和社會穩定的問題日益突出,網上斗爭也越來越尖銳復雜,作為非傳統安全范疇的信息安全,已成為當前最難控制、最難把握的問題,所以我們必須要高度重視信息安全,維護網絡空間的國家安全和國家利益。后面的課程里各位專家、領導還給我們講述分析了,目前我國電力行業的網絡信息安全的態勢,在一些關鍵軟硬件技術上我國目前與國外還有很大差距,我國所使用的絕大多數都是外國品牌,猶如自己家的大門請了個外人來給守護,關鍵時刻還會安全嗎?!
在后來的幾天里專家們還介紹了國家電網公司等級保護工作經驗,以及網絡技術相關的防護WEB攻擊及防護技術,由于WEB是主流的網絡應用技術所以目前有75%的攻擊都發生在WEB應用層,在專家的講述中還列舉了大量案例,其中不乏國家的政府工作網站被嚴重攻擊,這些事件讓我們觸目驚心,讓我們感覺到了網絡安全的重要性,如果有人利用國家、政府網站散布謠言、發表攻擊性言論勢必會造成國家形象被詆毀、社會穩定被動搖??。最后在姚文斌和吳秋新專家,給我們在《數據容災備份》與《可信計算技術及應用》講述中講到數據容災備份的重要性,例如:“9.11事件一年后,重返世貿大廈的企業由原先的350家減少到150家,200家企業由于重要信息系統破壞及關鍵數據丟失而永遠倒閉消失”“據互聯網數據中心(Internet Data Center,IDC)調查,在20世紀最后10年中,美國發生過災難的公司中,55%的公司當即倒閉,剩下45%中由于信息數據丟失,29%的公司在兩年內倒閉,能生存下來的僅占16%”“Gartner(著名IT咨詢服務提供商)數據表明,40%企業不能在災難發生后恢復運營,剩下60%中有33%在兩年內倒閉”等等,對于災難備份,在專家的講述中對我國的容災技術發展進行了簡介,同時還對電力系統容災提出了一些建議及思考。
經過此次培訓讓我們了解了國家信息工作政策的大方向,以及國家信息安全面臨的嚴峻形勢。通過培訓、學習我將進一步結合廠里信息網絡工作的實際不斷思考,將我廠信息安全與國家標準環環相連,并從專家的講解中逐步探索,以最大努力提升我廠信息網絡安全的防護。
第二篇:電力行業網絡與信息安全管理辦法
國家能源局關于印發
《電力行業網絡與信息安全管理辦法》的通知
國能安全〔2014〕317號
各派出機構,各有關電力企業:
為了規范電力行業網絡與信息安全的監督管理,國家能源局制定了《電力行業網絡與信息安全管理辦法》,現印發你們,請依照執行。
國家能源局
2014年7月2日
電力行業網絡與信息安全管理辦法
第一章 總 則
第一條 為加強電力行業網絡與信息安全監督管理,規范電力行業網絡與信息安全工作,根據《中華人民共和國計算機信息系統安全保護條例》及國家有關規定,制定本辦法。
第二條 電力行業網絡與信息安全工作的目標是建立健全網絡與信息安全保障體系和工作責任體系,提高網絡與信息安全防護能力,保障網絡與信息安全,促進信息化工作健康發展。
第三條 電力行業網絡與信息安全工作堅持“積極防御、綜合防范”的方針,遵循“統一領導、分級負責,統籌規劃、突出重點”的原則。
第二章 監督管理職責
—1—
第四條 國家能源局是電力行業網絡與信息安全主管部門,履行電力行業網絡與信息安全監督管理職責。國家能源局派出機構根據國家能源局的授權,負責具體實施本轄區電力企業網絡與信息安全監督管理。
第五條 國家能源局依法履行電力行業網絡與信息安全監督管理工作職責,主要內容為:
(一)組織落實國家關于基礎信息網絡和重要信息系統安全保障工作的方針、政策和重大部署,并與電力生產安全監督管理工作相銜接;
(二)組織制定電力行業網絡與信息安全的發展戰略和總體規劃;
(三)組織制定電力行業網絡與信息安全等級保護、風險評估、信息通報、應急處置、事件調查與處理、工控設備安全性檢測、專業人員管理、容災備份、安全審計、信任體系建設等方面的政策規定及技術規范,并監督實施;
(四)組織制定電力行業網絡與信息安全應急預案,督促、指導電力企業網絡與信息安全應急工作,組織或參加信息安全事件的調查與處理;
(五)組織建立電力行業網絡與信息安全工作評價與考核機制,督促電力企業落實網絡與信息安全責任、保障網絡與信息安全經費、開展網絡與信息安全工程建設等工作;
(六)組織開展電力行業網絡與信息安全信息通報、從業人員技能培訓考核等工作;
(七)組織開展電力行業網絡與信息安全的技術研發工作;
(八)電力行業網絡與信息安全監督管理的其它事項。
第三章 電力企業職責
第六條 電力企業是本單位網絡與信息安全的責任主體,負責本單位的網絡與信息安全工作。
第七條 電力企業主要負責人是本單位網絡與信息安全的第一責任人。電力企業應當建立健全網絡與信息安全管理制度體系, 成立工作領導機構,明確責任部門,設立專兼職崗位,定義崗位職責,明確人員分工和技能要求, 建立健全網絡與信息安全責任制。
第八條 電力企業應當按照電力監控系統安全防護規定及國家信息安全等級保護制度的要求,對本單位的網絡與信息系統進行安全保護。
第九條 電力企業應當選用符合國家有關規定、滿足網絡與信息安全要求的信息技術產品和服務,開展信息系統安全建設或改建工作。
第十條 電力企業規劃設計信息系統時,應明確系統的安全保護需求,設計合理的總體安全方案,制定安全實施計劃,負責信息系統安全建設工程的實施。
第十一條 電力企業應當按照國家有關規定開展電力監控系統安全防護評估和信息安全等級測評工作,未達到要求的應當及時進行整改。
第十二條 電力企業應當按照國家有關規定開展信息安全風險評估工作,建立健全信息安全風險評估的自評估和檢查評估制度,完善信息安全風險管理機制。
第十三條 電力企業應當按照網絡與信息安全通報制度的規定,建立健全本單位信息通報機制,開展信息安全通報預警工作,及時向國家能源局或其派出機構報告有關情況。
第十四條 電力企業應當按照電力行業網絡與信息安全應急預案,制定或修訂本單位網絡與信息安全應急預案,定期開展應急演練。
第十五條 電力企業發生信息安全事件后,應當及時采取有效措施降低損害程度,防止事態擴大,盡可能保護好現場,按規定做好信息上報工作。
第十六條 電力企業應當按照國家有關規定,建立健全容災備份制度,對關鍵系統和核心數據進行有效備份。
第十七條 電力企業應當建立網絡與信息安全資金保障制度,有效保障信息系統安全建設、運維、檢查、等級測評和安全評估、應急及其它的信息安全資金。
第十八條 電力企業應當加強信息安全從業人員考核和管理。從業人員應當定期接受相應的政策規范和專業技能培訓,并經培訓合格后上崗。
第四章 監督檢查
第十九條 國家能源局及其派出機構依法對電力企業網絡與信息安全
工作進行監督檢查。
第二十條 國家能源局及其派出機構進行監督檢查和事件調查時,可以采取下列措施:
(一)進入電力企業進行檢查;
(二)詢問相關單位的工作人員,要求其對有關檢查事項作出說明;
(三)查閱、復制與檢查事項有關的文件、資料,對可能被轉移、隱匿、損毀的文件、資料予以封存;
(四)對檢查中發現的問題,責令其當場改正或者限期改正。
第五章 附 則
第二十一條 本辦法由國家能源局負責解釋。
第二十二條 本辦法自發布之日起實施,有效期五年。2007年12月4日原國家電力監管委員會發布的《電力行業網絡與信息安全監督管理暫行規定》(電監信息〔2007〕50號)同時廢止。
第三篇:安全總結電力行業
為深入貫徹落實科學發展觀,進一步宣傳貫徹安全生產的方針、政策,普及安全生產法律法規和安全知識,推進安全文化建設,運行六隊以“安全環保責任落實深化年”活動為主線,面向基層、面向群眾,深入開展“安全生產月”活動,為全面實現安全生產形勢穩定,建設和諧電力,提供強有力的輿論、精神和文化支持。
一、加強領導,精心組織,廣泛宣傳發動,確保活動有計劃、按步驟開展
運行六隊及時成立了“安全生產月”活動實施小組,制定了活動方案,把“安全生產月”活動有計劃地進行部署,確保活動的順利進行。
為了加大宣傳力度,使活動深入人心,開展了以下宣傳活動:
1、充分利用運行六隊網頁,為及時宣傳報道安全生產月提供了一個平臺,使全隊廣大干部職工能方便交流活動中好的經驗和做法。
2、開展安全環保活動宣傳活動,隊部和每座變電站在6月1日的安全會組織學習一篇關于環保的主題文章;
3、隊主管領導撰寫“如何做好安全管理工作”的主題文章,并發表在東區公司網頁上。
二、加大培訓力度,進一步提高職工安全意識
1、組織全員安全知識答卷。6月上旬,組織所有人員進行統一答卷,以安全生產法律法規、安全常識、防范知識、應急救援、逃生自救技能為主,內容涉及《安全生產法》、《電力安全工作規程》、《道路交通安全法》、集團公司《安全生產禁令》等相關法律法規。
2、組織“我要安全”講故事活動。圍繞“我要安全”這一主題,真實講述發生在員工身邊的具體事例,每座變電站選出一篇優秀的小故事,共計8篇。
三、突出重點,發動全體干部職工進行雨季安全檢查,查找問題督促整改,消除安全生產隱患。
運行六隊采取自下而上、逐級檢查的方式,開展安全生產檢查活動。開展事故隱患排查,檢查重點包括責任制落實、隱患治理、雨季“八防”安全措施、應急管理、違章和事故處理等內容。變電站自查自改共查出問題16處,全部及時整改完畢。
四、切合實際開展應急預案演練,增強應急處理能力
我隊各變電站于6月17日在辛六變集中組織職工進行了雨季抗洪防災預案演練,內容包括:抗洪防災應急反應、人員組織分工、排水設施的使用、排水地點的選擇、房屋滲漏雨的臨時處理等方面,通過應急演練提高了運行六隊應急指揮能力和值班員的應急避險能力。另外各變電站充分發揮職工的積極主動性,結合各站實際特點,也開展了抗洪防災演練,為全隊安全渡過雨季奠定了基礎。
今年“安全月”活動已經接近尾聲,在公司黨委和公司的正確指導下,經過全隊全體干部職工的共同努力,取得了預期效果,達到了預期目的。同時我們要進一步認真分析存在的問題和不足,及時消除安全隱患,以鞏固“安全月”活動成果,進一步夯實安全生產基礎。
第四篇:電力行業安全培訓心得
電力行業安全培訓心得
回顧四年的大學校園生活生涯,有追求,有拼搏,有歡笑,有成功也有失敗。我孜孜不倦,不斷地挑戰自我,從而完善自我。為實現人生的價值打下了堅實的基礎。
如今告別了難忘的大學生活,我懷揣著對美好未來的憧憬來到了華能瑞金電廠。這是一家極具實力的企業,非常感激領導給我加入貴公司的機會,能與這樣一個優秀的團隊在一起工作我感到非常榮幸。
2011年7月28日這是個值得紀念的日子,這天我們終于到了公司報道。新環境新面孔,一切都給人煥然一新的感覺。時間飛逝一轉眼五天的入廠培訓結束了,五天里領導的關懷同事的熱情讓我在這個陌生的環境體會到了家的溫暖。
五天里我們系統的學習了《員工安全手冊》《電力安全作業規程》等書籍,各位領導親自授課、傳授經驗讓我們知道了安全重如泰山。力求零事故、零傷害的必要性。
安全是我們這次學習最重要的部分,這是因為電力行業是一個高危行業,電能在造福人類的同時,也潛伏著相當大的危險,如果缺乏駕馭它的知識和技能,就會發生人身傷亡事故和設備損壞事故,造成巨大的損失。“安全”是電力企業一切工作之根本,它不僅是電力企業自身發展和提高經濟效益的基礎,更關系到員工自身生命安全,關系到每個家庭的幸福生活。我們不僅要牢固掌握安全生產的知識,更要一絲不茍地應用到生產實踐中去。安全事故的發生往往是由于大意、不注意小節、閑麻煩,存在僥幸心理的情況下發生的。在日常工作生活中,我們必須嚴謹、嚴格按照規程,一步一步的做好每一件事情。時刻牢記“以人為本,安全第一,預防為主,綜合治理”的華能集團安全生產方針,全面樹立“安全就是信譽,安全就是效益,安全就是競爭力”的華能安全理念。努力做一個合格的華能新時代員工,為瑞金電廠,為華能集團,為祖國人民貢獻一份微薄的力量。
第五篇:我國電力行業網絡與信息安全工作開展情況及建議(定稿)
我國電力行業網絡與信息安全工作開展情況及建議
隨著互聯網技術的快速發展,現代電力系統生產運行越來越依賴于計算機通訊及程控技術,尤其是近幾年,以“智能電網”為代表的電力行業信息化建設多次出現在政府工作報告中,同時在“十二五”規劃綱要中也多次被提及,電力行業的信息化建設作為國家意志的體現已經上升到國家戰略的高度。
但當我們在享受信息化技術帶來的高效和便捷的同時,電力行業所面臨的網絡與信息安全風險也與日劇增。
我國電力行業網絡與信息安全工作開展情況
2000年以來,我國相繼發生了“二灘電廠停機事件”、“故障錄波器事件”、“邏輯炸彈事件”、“換流站病毒感染事件”等多起電力行業網絡與信息安全事件,造成了不同程度的事故影響,威脅到了電力系統安全穩定運行,同時也暴露出了我國電力行業在網絡安全接入方面、安全生產管理方面、人員信息安全培訓等方面存在薄弱環節。
針對類似電力信息安全事件,2002年,原國家經貿委發布第30號令《電網和電廠計算機監控系統及調度數據網絡安全防護規定》,對電網和電廠計算機監控系統防護提出了要求。國家電監會成立后,對電力二次系統及網絡信息安全防護明確提出了“安全分區、專網專用、橫向隔離、縱向認證”的總體防護策略,并制定印發了《電力行業網絡與信息安全信息報送暫行辦法》、《電力行業網絡與信息安全應急預案》、《電力行業網絡與信息安全監督管理暫行辦法》等一系列管理辦法,使電力行業網絡與信息安全防護的理念更加系統化、具體化,增強了可操作性,電力行業網絡與信息安全防護工作進入了實質性建設階段。
對比國外發達國家相對孤立、松散的電力行業信息安全防護現狀,我國的電力行業信息安全防護工作在組織管理、部署實施、企業參與積極性等方面具有更為明顯的優勢。截至2011年底,全國電力安委會成員單位中的15家電網和發電企業90%以上的單位已按照“安
全分區、專網專用、橫向隔離、縱向認證”的要求完成了生產控制大區和管理信息大區的物理隔離改造,通過認證、加密、訪問控制等技術手段實現了遠程數據傳輸、控制及縱向邊界的安全防護。其中電網企業較發電企業,省級以上調度單位較地級調度單位,330千伏及以上變電站較220千伏變電站信息安全防護工作開展的更快、更全、更好。通過加強電力行業信息安全防護工作有效保證了北京奧運會、上海世博會、廣州亞運會等重要保電時期電力系統的安全穩定運行和可靠供電。但在取得一系列成效的同時,問題和不足也相對明顯。問題:法規標準不全責任落實不明技術保障不力
(一)信息安全法規和標準體系建設不全面對新形勢下信息安全保障工作的發展需要,電力行業信息安全在政策法規和標準體系方面的問題也逐漸顯現。一是法規和標準建設相對滯后,缺乏總體規劃;二是規范和標準互通性和協調性不強,部分規范和標準的可執行性較差;三是部分規范和標準已不適應現實需要,尤其是新能源、新技術和新模式的引入,原有的信息安全防護標準無法應對某些新型信息安全的威脅;四是部分信息安全規范和標準在行業內難以得到切實落實。
2007年國家電監會啟動了電力行業信息系統安全等級保護定級工作,并編制印發了《電力行業信息系統安全等級保護管理辦法》和《信息系統安全等級保護定級指南》,行業信息安全法規和標準體系初步形成。但對電力行業信息系統等級保護的具體要求和規范意見,以及后續的信息系統等級測評和督促檢查機制卻仍未建立起來。
(二)組織體系與責任落實不明當前,電力行業中普遍存在重生產安全輕信息安全的狀況,電力企業對信息安全重要性的認知程度也存在經濟發展水平和所在地域上的差異。即便企業高層逐步認識到信息安全的重要性,也存在著以下問題:一是信息資源在公司的戰略資產中的地位受到高層重視,但具體情況不甚清楚;二是信息安全工作缺乏明確的概念描述和參數指標;三是信息安全工作的責任與職能落實不夠清晰,大部分電力企業未設立信息安全
專崗。
(三)網絡和數據安全防護不完善由于互聯網的開放性,來自互聯網上的病毒、木馬、黑客攻擊以及計算機威脅事件,都時刻威脅著電力行業的信息系統安全,成為制約行業平穩、安全發展的障礙。因此,維護網絡和數據安全成為行業信息安全保障工作的重要組成部分。近年來,電力企業采取了一系列措施,建立了相對安全的分區網絡安全防護體系和冗災備份系統,220千伏及以上主網信息安全防護體系已較為完善,基本保障了信息系統的安全運行。但細追究起來,電力行業的網絡安全防護體系規劃、配電網信息安全防護建設及災備系統建設還不夠完善,還存存以下幾方面的問題:一是網絡安全防護體系缺乏統一的規劃;二是110千伏及以下配電網縱向數據傳輸安全性防護推進工作有待加強;三是網上營銷管理系統防護能力有待繼續加強;四是對數據安全重視不夠,數據備份措施有待改進。
(四)技術支撐及后勤保障有待加強隨著近幾年信息安全重要性的逐步凸顯,電力行業信息安全工作逐步得到重視,行業信息安全專業技術隊伍不斷發展壯大。部分大型國有電力企業已經建立了專門的科技信息部門,并設立專崗、專職人員負責信息安全工作。但是,仍存在著以下幾方面問題:一是隨著信息系統等級保護工作的深入開展,后續系統測評工作未能及時跟進,目前社會上有資質的測評機構大都缺乏必要的電力運行基礎知識;二是信息安全人才隊伍依然存在著結構不合理、后續教育不足等問題,此行業的人才培養有待加強;三是信息安全隊伍不穩定,人員流動性較大,甚至有的已經設立信息安全技術部門的單位出現了撤編的情況。
建議:完善法規標準開展專項檢查提高防護水平
(一)進一步完善法規和標準體系首先,在法規規劃上,要統籌兼顧,制定科學的信息技術規范和標準體系框架。
一是全面做好立法規劃;二是建立科學的行業信息安全標準和法規體系層次。建議將行
業信息安全標準和法規體系初步劃分為3層:第一層是國家制定的信息安全保密法規;第二層是電監會制定的部門規章及管理規范性文件;第三層是電力行協及企業系統內部在電監會總體協調下組織制定的制度文件。其次,在法規制定上要兼顧規范和發展,重視法規的可行性。最后,在法規實施上要堅持規范和指引相結合,重視監督檢查和責任落實。
(二)深入開展電力行業信息安全專項檢查工作1.提高對信息安全工作的重視度。通過安全委開員會宣傳做好信息安全工作的重要性,提高電力企業做好信息安全工作的認識。通過培訓和定期組織開展電力行業信息安全專項抽查,督促并幫助企業及時查找自身漏洞并落實整改,做好防微杜漸工作。
2.制定行業標準積極落實信息安全等級保護。
行業監管部門在推動行業信息安全等級保護工作中的作用非常關鍵,應進一步明確監管部門推動行業信息安全等級保護工作的任務和工作機制,統一部署、組織行業的等級保護工作,為該項工作的順利開展提供組織保證。同時,應對各單位實施信息系統安全等級保護情況進行測評,在測評環節一旦發現信息系統的不足,被測評單位應立即制定相應的整改方案并實施,監督機構負責督促其整改。
3.加強網絡安全體系規劃以提升網絡安全防護水平。
(1)以等級保護為依據進行統籌規劃。等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度,通過將等級化的方法和安全體系規劃有效結合,統籌規劃電力行業網絡安全體系的建設,建立一套信息安全保障體系,將是系統化地解決電力行業網絡安全問題的一個非常有效的方法。
(2)加強網絡訪問控制提高網絡防護能力。對向電力行業提供設備、技術和服務的IT公司的資質和誠信加強管理,確保其符合國家、行業技術標準,同時簽訂必要的保密協議。根據網絡隔離要求,逐步建立生產控制區與管理區、辦公區與互聯網、網上營銷各子系統間
有效的網絡隔離。技術上可以對不同的業務安全區域劃分Vlan或者采用網閘設備進行隔離;對主要的網絡邊界和各外部進口進行滲透測試,進行系統和設備的安全加固,降低系統漏洞帶來的安全風險;在網上營銷管理方面,采取電子簽名或數字認證等高強度認證方式,加強訪問控制;針對現存惡意攻擊網站的事件越來越多的情況,要采取措施加強網站保護,提高對惡意代碼的防護能力,同時采用技術手段,提高網上交易客戶端軟件使用的安全性。
(3)加強對員工的信息安全培訓。除了要加強網絡安全技術人員的管理能力和專業技能培訓外,還要加強對全體電力職工的信息安全宣傳教育,提高其信息安全保密意識,并掌握基本的信息安全防護技能,從而整體提高電力行業信息安全的管理水平和專業技術水平。
4.扎實推進行業災難備份建設。
無論是美國的“9.11”事件,還是我國2008年南方冰雪災害和四川汶川大地震,都敲響了災難備份的警鐘。電力行業要針對自身需要,對重要系統開展災難備份建設,制定相關的災難應急預案,并加強應急預案的演練,確保災難備份系統應急有效,使應急工作與日常工作有機結合。
5.加強監管技術隊伍建設。
為了適應新時期電力行業信息安全監管工作需要,監管機構須進一步加大在此方面的人力物力投入,同時建立起獨立的信息安全測評機構,并在各區域組建信息安全測評專家小組,專門負責各區域電力企業的信息安全測評工作。
點擊咨詢 