第一篇:国家能源局电力企业网络与信息安全驻点辽宁监管报告
电力企业网络与信息安全驻点辽宁监管报告
国家能源局 二○一四年四月
为进一步加强电力企业网络与信息安全监督管理工作,提高电力企业重要信息系统(尤其是生产控制大区信息系统)抵御恶意信息攻击的能力,根据《国家能源局关于近期重点专项监管工作的通知》(国能监管〔2013〕432号)要求,国家能源局组织对辽宁省电力企业网络与信息安全工作开展了专项驻点监管。根据驻点监管情况,编制形成《电力企业网络与信息安全驻点辽宁监管报告》。
一、基本情况
(一)电力企业概况
辽宁省内共有电力企业440余家,其中电网企业主要有东北电网有限公司、辽宁省电力有限公司及其14家市级供电公司;发电企业中归属五大发电集团的火电厂有21座、水电站3座、风电场35座,共计59座(家)。
(二)电力企业信息系统定级分布情况
辽宁省在全国率先开展电力企业信息安全等级保护工作,截至2014年2月,各电力企业信息系统共453个,经定级备案,四级系统2个、三级系统87个,二级系统289个(约64%),一级系统20个,未定级系统55个。辽宁省信息系统定级分布情况如图1所示:
(数据来源:国家能源局东北监管局)图1辽宁省信息系统定级分布情况
(三)电力二次系统安全防护工作开展情况
辽宁电力企业按照《电力二次系统安全防护规定》要求,遵循“安全分区、网络专用、横向隔离、纵向认证”的原则,对所属生产控制系统和管理信息系统进行安全分区建设、内外网隔离部署,配置横向隔离设备和纵向加密认证装置,增加网络安全防护措施及设备,电力二次系统安全防护整体水平显著提高。截至2014年2月,省内地级以上电网企业及重要厂站共加装横向隔离设备129套,220千伏以上电力调度数据网共加装纵向认证加密装置415套,电力二次系统安全防护体系基本建立。
根据《关于开展电力工控PLC设备信息安全隐患排查及漏洞整改工作的通知》(国能综安全〔2013〕387号)要求,东北能源监管局对辽宁省内统调以上发电企业工控系统使用PLC情况进行了全面排查,共计288套(按业务系统或功能进行统计),主要用于发电厂监控系统、辅助设备控制系统等,统计情况示意图如图2所示:
(数据来源:国家能源局东北监管局)图2 辽宁省电力工控PLC统计情况示意图
二、存在的问题
(一)管理方面的主要问题
1.部分电力企业网络与信息安全工作多头管理,职能交叉,缺乏统一领导和沟通协调;信息安全工作人员配备不足,甚至身兼数职,不利于信息安全工作的落实。
2.部分电力企业对网络与信息安全的应急处置工作重视不足,应急预案针对性、可操作性不足,应急演练形式大于内容,起不到发现问题、解决问题的作用。
3.部分电力企业对信息安全等级保护工作重视不够,定级、备案、测评、整改等环节的各项要求落实不严,主要体现在:
(1)定级环节报备材料填写不完整,企业信息系统的定级数量掌握不全面,存在漏定、定级不准等情况。
(2)备案环节存在备案不积极、备案不及时、未按要求备案等情况。
(3)信息系统的测评工作未按国家有关频次要求开展,部分信息系统测评效果不佳。
(4)测评整改意见和建议落实不彻底或整改不全面。
(二)技术方面的主要问题
4.部分发电企业与电网企业之间的信息系统边界防护有待加强。
5.部分企业电力二次系统安全防护设备运行维护不及时、安全配置不完整,主要体现在:
(1)部分企业电力二次系统信息安全防护措施落实不到位,普遍存在补丁升级不及时、弱口令、审计薄弱等问题。
(2)部分企业电力二次系统中信息系统漏洞检测、安全加固等工作开展不及时、或未定期开展。
(3)部分企业电力二次系统安全防护应急预案存在事故预想不全面、内容不完整、相关要求缺乏可操作性等问题,缺少演练、培训和更新的相关内容。(4)部分企业未按要求开展电力二次系统安全防护评估工作。
(5)部分发电企业在基础设施、机房环境等方面较为薄弱,不满足信息系统安全等级保护的基本要求。
三、监管意见
(一)强化组织保障体系建设。各电力企业要梳理网络与信息安全管理涉及的部门、岗位和人员,进一步明确各相关部门,特别是牵头管理部门的权利、责任和义务,明确部门间工作协调机制,各部门要设立信息安全管理专职岗位,责任到人,强化信息安全组织保障体系。
(二)建立健全常态化工作机制。各电力企业要深刻认识到电力信息安全与电力生产安全同等重要。要根据国家和行业监管部门有关要求,落实专项资金、制定工作计划,定期对电力二次系统开展安全评估、等级保护测评,形成常态化工作机制。对评估、测评中发现的问题,要安排资金,及时整改,消除安全隐患。
(三)统筹做好电力工控PLC设备安全整改工作。各电力企业要按照《关于开展电力工控PLC设备信息安全隐患排查及漏洞整改工作的通知》(国能综安全〔2013〕387号)的有关要求,根据实际情况,统筹安排,采取召回、固件升级、老旧设备更新等方式分批分期开展电力工控PLC设备的整改加固工作。新建系统中要选用安全、可靠、可控的PLC等工控设备。
(四)强化信息安全人才队伍建设。各电力企业要面向公司领导、相关部门主要负责人和企业员工,定期组织开展信息安全政策宣贯培训,提高领导层的认识,提高员工信息安全防范意识。同时要制定培训计划,派送技术人员参加行业和其它专业机构举办的信息安全培训,提高信息安全从业人员的专业技术水平。
(五)加大科技支撑力度。各电力企业要进一步加大科技投入,针对电力行业重要信息系统(尤其是生产监控系统)的实际特点及技术发展情况,充分发挥科研院所、高等院校的科研创新能力,深入开展基于可信计算的系统安全免疫、电力工控设备信息安全漏洞的监测/检测、信息系统安全审计等内容研究,切实保证电力企业重要信息系统的安全可靠运行。
第二篇:电力企业网络与信息安全监督管理规定暂行-国家能源局
电力行业网络与信息安全管理办法
第一章 总则
第一条 为加强电力行业网络与信息安全监督管理,规范电力行业网络与信息安全工作,根据《中华人民共和国计算机信息系统安全保护条例》及国家有关规定,制定本办法。
第二条 电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任体系,提高网络与信息安全防护能力,保障网络与信息安全,促进信息化工作健康发展。
第三条 电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针,遵循“统一领导、分级负责,统筹规划、突出重点”的原则。
第二章 监督管理职责
第四条 国家能源局是电力行业网络与信息安全主管部门,履行电力行业网络与信息安全监督管理职责。国家能源局派出机构根据国家能源局的授权,负责具体实施本辖区电力企业网络与信息安全监督管理。
第五条 国家能源局依法履行电力行业网络与信息安全监督管理工作职责,主要内容为:
体,负责本单位的网络与信息安全工作。
第七条 电力企业主要负责人是本单位网络与信息安全的第一责任人。电力企业应当建立健全网络与信息安全管理制度体系, 成立工作领导机构,明确责任部门,设立专兼职岗位,定义岗位职责,明确人员分工和技能要求, 建立健全网络与信息安全责任制。
第八条 电力企业应当按照电力监控系统安全防护规定及国家信息安全等级保护制度的要求,对本单位的网络与信息系统进行安全保护。
第九条 电力企业应当选用符合国家有关规定、满足网络与信息安全要求的信息技术产品和服务,开展信息系统安全建设或改建工作。
第十条 电力企业规划设计信息系统时,应明确系统的安全保护需求,设计合理的总体安全方案,制定安全实施计划,负责信息系统安全建设工程的实施。
第十一条 电力企业应当按照国家有关规定开展电力监控系统安全防护评估和信息安全等级测评工作,未达到要求的应当及时进行整改。
第十二条 电力企业应当按照国家有关规定开展信息安全风险评估工作,建立健全信息安全风险评估的自评估和检查评估制度,完善信息安全风险管理机制。
第十三条 电力企业应当按照网络与信息安全通报制度
(一)进入电力企业进行检查;
(二)询问相关单位的工作人员,要求其对有关检查事项作出说明;
(三)查阅、复制与检查事项有关的文件、资料,对可能被转移、隐匿、损毁的文件、资料予以封存;
(四)对检查中发现的问题,责令其当场改正或者限期改正。
第五章 附则
第二十一条 本办法由国家能源局负责解释。第二十二条 本办法自发布之日起实施,有效期五年。2007年12月4日原国家电力监管委员会发布的《电力行业网络与信息安全监督管理暂行规定》(电监信息„2007‟50号)同时废止。
第三篇:2011网络与信息安全情况报告
2011年网络与信息安全检查情况的报告
2011年,在省政府办公厅和省工信厅的指导下,我局进一步加强了网络信息安全制度建设,不断强化日常检查与防护管理,配备健全了网络信息安全设备,部署开展了信息保密与安全培训及督导工作,确保了网络与信息安全。现将我局2011年网络与信息安全自查情况报告如下:
一、网络与信息安全工作落实情况
1、重视制度建设,加强日常信息安全管理工作。为进一步加强网络与信息安全的管理工作,今年以来,我局重新修订了网络与信息安全制度,并下发各处室贯彻执行。
2、加强重点部位的设备更新。新购进了一台联想网御防火墙,两台三层交换机安装在网络机房,将服务器群组划分至统一的VLAN下,并与办公用电脑网段分开,直接将服务器接至硬件防火墙下。对门户网站服务器、邮件服务器和文件服务器重新进行布署,对全局所有接入互联网的电脑在服务器端进行IP与MAC地址绑定,并实名登记上网。在服务器端关闭了不必要的端口,定期修补系统漏洞,定期更换
口令,定期备份数据,分析系统日志。
3、加强日常的管理、检查和督导工作。除定期监测系统流量,分析病毒日志,进行安全检查外,在元旦、五
一、国庆节以及庆祝建党90周年等重要时期,还专门下发通知,加强全局网络与信息安全检查工作。
4、强化责任意识,加强信息化安全培训工作。今年以来,全局共进行了三期网络与信息安全培训,并与有关处室、单位负责信息网络安全工作人员签订了保密协议。
二、网络与信息自查问题及整改落实情况
经认真对照网络与信息安全制度,对全局网络设备进行了自查,主要发现两个问题:
1、存储介质存在混用情况。由于工作人员使用存储介质过于普遍,加之使用时相对私密,造成管理难度大。
解决方法:对涉密计算机统一贴出保密警示标志,禁用USB端口,并定期检查涉密计算机的使用日志,杜绝非法使用存储介质和交叉感染机会。
2、网络与安全信息经费少。由于办公经费紧张,导致网络与信息安全维护经费投入较少,安全设备更新慢,有些重点部位的设备配备较为简单,有些设备因长期负载趋于老化、防护能力有限。
解决方法:向财政和网络与信息安全管理部门申请专项维护经费,弥补资缺口,加快设备更新步伐。
三、网络与信息安全工作的经验与建议
1、防护设备的智能化可成倍提高工作效率。当前各单位普遍存在网络与信息化安全工作经费投入少、人员紧张的问题。为此,建议在各单位增设智能化防护设备、安全监控设备,通过设备智能分析、智能定位风险点,大大减轻手工劳动与人力投入。
2、增强工作人员的责任心是做好网络与信息安全的最可靠保障。网络与信息安全责任重大,容不得丝毫疏忽和大意。只有在工作中加强工作人员的责任感,才能做到防范于未然。
为此,我局将进一步建立健全网络与信息安全管理制度,强化人员岗位培训,完善技术措施,不断提高网络与信息安全防护能力。
省局办公室
二○一一年十月三十日
第四篇:网络与信息安全检查报告
网络与信息安全检查报告
近日柳州市教育局发出《关于开展我市教育系统网络与信息安全工作检查的通知》,我校自上而下,成立了专门的网络信息安全管理机构,组长由莫玉梅校长亲自担任,副组长由刘湘副校长和信息处主任陈远就担任,其他组员由信息技术教师担任,目的是加强对网络信息安全的领导和管理。同时加强学习宣传,认真组织学习市局网络安全检查情况通报,以及其他网络和信息安全管理规定,提高干部职工的网络安全意识;除面向教师外,还在班队会活动对学生进行宣传和学习,提高学生的安全防范意识,努力在全校形成一股安全文明上网、办公的氛围,加强校园的精神文明建设。八月初柳州市教育局及时组织了相关教师在一职校进行的关于网络安全的培训,提高了我们的管理水平。
具体措施如下:
一、规范制度、科学管理
我校的所有电脑都接入互联网。学校的电脑教室、电子备课室坚持服务于教育教学的原则,严格管理,完全用于教师和学生学习计算机网络技术和查阅与学习有关的资料。其中,电脑教室、备课室都实行登记使用,每次使用都要登记,遵循“谁使用谁负责原则”,责任到人。同时我们制定了计算机室的安全管理制度和学校网络安全使用制度及校园网站管理制度
附:计算机室安全管理制度
1、计算机教室是师生进行计算机教学的场所,要专室专用。不得堆放公私杂物,不得从事其他活动。计算机软、硬件不得挪作他用,更不得占为己有。
2、使用计算机网络,要加强指导,讲究道德规范,严禁进入“不良”网站,严禁随意下载软件。做好上网记录。
3、计算机教室由专人管理,管理人员有权对违反规章制度的人和事进行批评和提出处理意见。
4、杜绝黄色、迷信、反动软件,严禁登录黄色、迷信、反动网站,做好计算机病毒的防范工作。
5、做好安全用电,防火、防盗、防爆、防毒、防污等工作,保证人身及机器设备安全。
附:学校网络安全使用制度
(一)校计算机是实施现代化教学手段的很重要工具,任何人不能随意挪作它用,如网上聊天,更不能玩电脑游戏(包括纸牌、扫雷等)
(二)、在办公室内不允许利用电脑参与教学无关的活动。
1、不准利用上网之便浏览或上下载封建迷信、淫秽、色情、暴力、凶杀、恐怖等不健康信息。
2、不准上境外敌对势力、民族分裂势力、宗教极端势力、“法轮功”邪教和“民运”组织等网站和论坛。
3、不准在校园网电子公告栏、留言版、聊天室、QQ等交互式栏目和一些网站、网页、个人主页中张贴、传播各种有害信息。
4、不准利用电子邮件和短信息服务发送有害信息。
(三)、学校电脑不能安装与教学无关的软件,如游戏类软件等。
(四)、未经学校同意,不能擅自把校园网中的信息资源拷贝。
(五)、未经同意,不能擅自更改网络设置,以免造成网络运行故障。
(六)、未经允许不能带U盘到校内使用,不能在网上随意下载软件,不要随意打开来历不明的电子邮件,以防止电脑病毒感染。
(七)、严格遵守操作规程,不能乱拆接计算机各类端口线;爱护学校电脑及其网络设备,发现问题及时向电教组反映解决。
(八)、最后离开室场的人员应负责关闭电脑和电源总开关,关好门窗。
附:校园网站管理制度
学校网站是展示学校办学水平和办学特色的窗口,是教师展示自我风采的平台,是体现学生个性素质的天地。为了促使网站建设不断完善,资源不断充实和丰富,影响面不断扩大,也为了保证我校网站的平稳运行,加强管理和监督维护,规范网络管理人员的行为,履行工作职责,根据《计算机信息网络国际互联网安全保护
管理办法》及上级主管部门的有关规定,结合工作实际的需要,现制定本管理制度和办法。
一、网站的信息发布
(一)发布信息必须遵守国家有关法律、法规,严格执行安全保密制度,并对所提供的信息负责。
(二)网站内容应及时更新,信息发布全员参与。
1、信息管理员要及时搜集各栏目的信息,经作者和校领导同意后,及时将信息做好文字及图片的校对工作,上传网站。
2、网站建设是每位老师的义务。学校鼓励每位教师定期在网站上发表文章。
3、班主任老师要大力宣传学校网站,鼓励学生将自己的作品在学校网站发表,使学生获得成功的体验。
4、校园网站管理员要做好网页更新工作,常规信息每月更新一次,经领导审批的即时信息要及时发布。
二、网站的安全
1、网站管理员必须认真负责地管理好网站,不得将管理权限和管理员密码转交其他非管理人员(管理员密码要经常变更,设置的长度至少要六位以上),密码应定期修改。
2、信息管理员要确保网站安全建设,不发布不健康的信息,自觉维护学校网站形象。
3、网站管理员应及时上报有关网络资料情况,对有害信息及时清理。
4、网站管理员应当保证学校网站信息数据的完整性、真实性,并做好备份工作。
5、各位教师、学生应科学、正确、规范、健康地使用学校网络资源,不允许诽谤、诬陷、欺诈、教唆他人;不允许侵犯他人名誉权、肖像权、姓名权等人身权利,不得采用破坏性手段在网站上从事其它违禁活动,一经发现,将严肃处理。
6、制定网站突发事件应急预案。
四、我校定期进行网络安全的全面检查
我校网络安全领导小组每学期初将对学校微机房、领导和教师办公用机、各
多媒体教室及学校电教室的环境安全、设备安全、信息安全、管理制度落实情况等内容进行一次全面的检查,对存在的问题要及时进行纠正,消除安全隐患。
五、自查中发现的不足和整改意见
1、安全意识不够。要继续加强安全意识教育,提高做好安全工作的主动性和自觉性。
2、安全工作的水平还有待提高。对信息安全的管护还处于初级水平,提高安全工作的现代化水平,有利于我们进一步加强对计算机信息系统安全的防范和保密工作。
3.浏览恶意或不健康的网站,造成机器感染病毒不断等,往往给学校机房的正常运作带来不少麻烦。
4、部分老师与学生携带u盘进入机房插入电脑。
5、不少学生喜欢带水和食品来机房,而电子设备最怕水,食品的残渣极易引来 老鼠等害虫。
六、整改措施、整改方案或整改计划
1、学生上机固定机位,根据教师的要求进行上机操作,禁止学生携带除教科书及笔以外的东西进教室,上机过程中如有发现问题,须立刻报告任课老师或机房管理员。对故意破坏机器设备,危害机房安全者,将追究其责任。
2、学生机房使用联想硬盘保护系统以保证电脑系统的正常运行。办公电脑定时打好补丁,安全360防火墙及杀毒软件,并做好系统的备份。
3、学生机房严禁携带U盘入内,备课室教师使用U盘须杀毒后方可使用。
4、学生严禁带水入机房。
5、定期对网络设备及电脑进行检查及清洁,保证设备的安全正常使用
6、严禁学生携带u盘进入机房,教师u盘先进行杀毒后方使用。
7、工作机制有待完善。创新安全工作机制,是信息工作新形势的必然要求,这有利于提高机关网络信息工作的运行效率,有利于办公秩序的进一步规范。
第五篇:2013网络与信息安全检查情况报告
中国农业发展银行皮山县支行网络与信息
安全检查情况报告
我行网络与信息安全工作严格按照县信息化工作领导小组办公室的有关要求,对涉及到的信息安全方面进行全面自查,与上一相比信息安全工作取得新的进展。近年来我行无信息安全事故发生。
(一)信息安全主要工作情况
1、信息安全组织机构落实情况
为规范信息公开工作,落实好信息安全的相关规定,我行成立了信息安全工作领导小组,落实了管理机构,由办公室负责信息安全的日常管理工作,明确了信息安全的主管领导、分管领导和具体管理人员。
2、日常信息安全管理落实情况
根据工作实际,我行信息安全工作主要涉及上级行下发的涉密文件管理、政府信息公开工作信息管理、业务工作相关数据信息管理,根据这些实际情况,我行已从落实管理机构和人员、加强教育培训、更新设备、健全完善相关制度等方面对信息安全的人员、资产、运行和维护管理进行了落实。
(1)落实具体负责信息安全工作的人员,对涉密信息文件、材料实行专人管理;对重要办公区、办公计算机等进行严格管理,确保信息安全工作。
(2)结合工作实际,对涉密文件材料管理和计算机、移动存储设备等的维修、报废、销毁管理进行了规定。对日常信息办公软件、应用软件等的安装使用,均按照上级部门的要求和规定,严格进行操作管理。
3、信息安全防护管理落实情况
(1)涉密计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。
(2)计算机都设有开机密码,由专人保管负责。同时,涉密计算机相互共享之间设有严格的身份认证和访问控制。
(3)安装了针对移动存储设备的专业杀毒软件。
4、信息安全应急建设管理
(1)坚持和涉密计算机系统定点维修单位联系单位计算机维修事宜,并商定给予应急技术以最大程度的支持。
(2)严格文件的收发,完善了清点、修理、编号、签收制度,并要求信息管理员每天下班前进行系统备份。
(3)及时对系统和软件进行更新,对重要文件、信息资源做到及时备份,数据恢复。
5、信息技术产品和服务国产化情况
(1)计算机的保密系统和防火墙、杀毒软件等,皆为国产产品。
(2)业务系统、年报系统等皆为上级行统一指定产品系统。
6、安全教育培训情况
对我行全体计算机使用人员开展了操作培训,并讲解了网络安全的一些基础知识,全行人员有很强的信息安全和保密意识。
(二)信息安全检查发现的主要问题及整改情况
根据检查的具体要求,在自查过程中我们也发现了一些不足,一是专业技术人员较少,信息系统安全方面可投入的力量有限;二是规章制度体系初步建立,但还不完善,未能覆盖相关信息系统安全的所有方面;三是遇到计算机病毒侵袭等突发事件处理不够及时。
针对存在的问题:一是要继续加强对干部的安全意识教育,提高做好安全工作的主动性和自觉性;二是要切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查,对于导致不良后果的责任人,要严肃追究责任,从而提高人员安全防护意识;三是要以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故;四是要加大对线路、系统等的及时维护和保养,加大更新力度;五是要提高安全工作的现代化水平,便于我们进一步加强对计算机信息系统安全的防范和保密工作。
(三)对信息安全检查工作的意见和建议
1、加强信息网络安全技术人员培训,使安全技术人员及时更新信息网络安全管理知识,提高相关管理及法律法规等的认识,不断地加强信息网络安全管理和技术防范水平。
2、加大网络安全设备的投入。
。。。。。。。。。。支行
2013年9月9日
点击咨询 