能源行业人员网络安全意识解决方案

 

  • 背景

能源行业涉及面较广,包括煤炭、石油和电力工业三大部门,而电力又是占据能源行业的重要位置,电力产业在信息安全方面走在其他领域之前,但电力企业在网络信息安全方面仍然存在较多问题。电力企业网络信息安全与一般企业网络信息同样具备多方面的安全风险,主要表现在以下几方面:

(1)来自互联网的风险

几乎所有电力企业网络都以各种方式与互联网连接,企业用户可以直接访问互联网的资源,这给企业职工带来很大方便;同样任何能上互联网的用户也可以访问企业网络的资源,这对宣传企业、扩大企业的影响和知名度很有好处。但是,在带来方便的同时,也带来安全风险。

(2)来自企业内部的风险

对于电力企业网络来说,来自内部的风险是非常主要的安全风险。内部人员(特别是网络管理人员)对网络结构、应用系统都非常熟悉,不经意之间泄露的重要信息,都将可能成为导致系统受攻击的最致命的安全威胁。

(3)病毒的侵害

计算机病毒对计算机网络的影响是灾难性的。电子邮件系统的广泛使用,使计算机病毒的扩散速度大大加快,网络成了病毒传播的最好途径,电力企业网络同样难以幸免。因此,计算机病毒成为企业网络最严重的安全风险之一。

(4)管理人员素质风险

许多电力企业网络都存在重建设、重技术、轻管理的倾向。实践证明,安全管理制度不完善、人员素质不高是网络风险的重要来源之一。比如,网络管理员配备不当、企业员工安全意识不强、用户口令设置不合理等,都会给信息安全带来严重威胁。

(5)系统的安全风险

系统的安全风险主要指操作系统、数据库系统和各种应用系统所存在的安全风险。目前不少企业网络使用的操作系统仍然是以Windows系列操作系统为主。不管使用哪一种操作系统都存在大量已知和未知的漏洞,这些漏洞可以导致入侵者获得管理员的权限,可以被用来实施拒绝服务攻击。

 

  • 方案

国家能源局发布的《电力企业网络与信息安全专项监管报告》(以下简称《报告》)针对具体问题提出了监管意见。

《报告》强调,首先要提高认识,进一步加强组织管理和保障体系建设,要求各电力企业进一步加强组织领导,落实网络与信息安全管理涉及的责任部门、岗位、人员及专项经费,把网络与信息安全放在与生产安全同等重要的地位,纳入生产安全评价考核体系,确保责任落实到位。电力企业要制定符合自身情况的网络与信息安全防护规范和策略,尤其是电网营销系统和新能源发电企业更需加强网络安全防护体系建设。

此外,《报告》强调,电力企业必须狠抓落实,持续提高自身网络与信息安全防护能力。各电力企业应加强网络与信息安全总体规划和整体策略设计,进一步强化边界防护和生产控制大区纵深防御;加强对关键监控系统及设备的技术摸底、运行维护技术培训,采取有针对性的隔离、审计等措施,提升工控系统安全防护及设备运行维护能力;尤其是在切实做好输供电、火力发电、水力发电等系统安全防护工作基础上,进一步推进风电、光伏发电等新能源的综合安全防护建设。

《报告》同时建议电力企业规范管理,扎实推进电力监控系统安全防护评估和信息安全等级保护工作。

各电力企业,尤其是网络信息安全防护存在薄弱环节的发电企业,要加强电力监控系统安全风险评估工作,增强整体安全防护机制与措施,防范局部防护、节点保护不足带来的安全风险;要深入贯彻落实国家及行业等级保护规定以及定级、备案、测评、整改等具体规范要求,组织开展信息系统摸底调查,切实解决存在的信息系统未定级、定级不准及未备案等问题;按要求定期开展电力监控系统安全防护评估和信息安全等级保护工作。

《报告》还建议,加快科技创新,逐步实现电力工控系统安全自主可控,加强信息安全教育和专业技术培训,强化信息安全人才队伍建设,进一步提升电力行业重要信息基础设施网络安全防护能力。

北京红山瑞达科技有限公司是国内首家专注于提升人员网络安全意识的技术公司,公司以“提升全民网络安全意识,服务国家网络安全战略”为己任,致力于通过威胁模拟、实战手段和自适应的学习方式来提升人员安全意识。公司提供网络安全文化宣传、网络安全意识在线教育、防网络钓鱼模拟训练、社工威胁演示演练、网络安全意识测评等系统和服务,从知识、行为、责任三个层次致力于人员网络安全意识的宣传、教育、训练和测评。提高人员网络安全意识和威胁识别能力,有效防御APT和社工威胁,构建网络安全的人员防火墙。

 

  • 价值

(1)提高自身网络与信息安全防护能力

(2)强化信息安全人才队伍建设,进一步提升电力行业重要信息基础设施网络安全防护能力