安恒观察：电力行业出新令，工业信息安全迎来风口

随着电力应用技术的不断发展，电力行业发展过程中面临不断涌现的网络安全、数据安全、新技术应用等重大挑战;此外，为了全面承接《网络安全法》《数据安全法》《个人信息保护法》《电力法》《密码法》《关保条例》等法律法规，经过对《电力行业网络与信息安全管理办法》(国能安全(2014)317号)修订并公开征求意见，2022年12月12日，国家能源局发布《电力行业网络安全管理办法》(国能发安全规 [2022] 100号)(以下简称《管理办法》)。

相较于前一版，在监督管理职责方面，《管理办法》扩大了监管主体，新增了地方能源主管部门为电力行业网络安全管理的主管部门;进一步细化了监管职责，扩大了组织制定政策规定及技术范围的范围，扩充的内容包括网络安全等级保护、关键信息基础设施安全保护、电力监控系统安全防护、网络安全监测预警和信息通报、网络安全事件应急处置等;新增了电力调度机构对直接调度范围内的下一级电力调度机构、集控中心、变电站(换流站)、发电厂(站)等各类机构涉网部分的电力监控系统安全防护的技术监督。

在电力企业责任义务方面，指明了企业应按照网络安全等保制度、关基保护制度、数据安全制度、网络安全审查机制和电力监控系统安全防护规定开展网络安全保护工作，并将网络安全纳入安全生产管理体系;接入生产控制大区的涉网安全产品需经电力调度机构同意;规划设计网络时需保证安全方案经评审通过，上线前通过第三方安全测试;建立健全网络安全监测预警和信息接收与通报机制;制修订网络安全事件应急预案，每年至少开展一次应急演练;重大活动保障;建立健全全流程数据安全管理和个人信息保护制度;网络安全投入不低于信息化总投入的5%;网络安全工作专项总结报送行业部门。特别的，对于关键信息基础设施运营者的网络安全责任义务，提出了人员设置要求、专门安全管理机构要求、信息报送工作要求、网络产品和服务采购要求、网络安全态势感知要求、关机保护工作专项总结报送要求。

在监督检查方面，明确了行业部门可针对违法违规事件的责任主体采取约谈负责人乃至依法依规进行处理。

条 例 解 读

第六条第三款，组织认定电力行业关键信息基础设施，制定关键信息基础设施安全规划……

电力行业关键信息基础设施的认定规则，已经在制定中。2022年，国家能源局安全监管司已向电力行业企业对相关文件征求意见。以发电侧为例，认定规则分为火电、水电、新能源、向计划单列市提供电力的发电厂(站)4种。

第六条第八款，推动网络安全仿真验证环境(靶场)建设，组织建立网络安全监督管理技术支撑体系。

在2022年6月14日国家能源局综合司公开征求《电力行业网络安全管理办法(修订征求意见稿)》后，电力行业就组织开展全国范围内的网络安全靶场、电力安全靶场调研，调研工作涉及电力相关研究院所、网络安全相关公司等，并组织了沙龙会议进行讨论。

第七条第四款，将并网电厂涉网部分电力监控系统网络安全运行状态纳入监测。

在这方面，电力行业已具备一定的工作基础。在2017年，国网调度陆续开展了电力监控系统网络安全管理平台的建设，主要内容包括调控机构建设网络安全管理平台(I型网络安全监测装置)、厂站部署网络安全监测装置(II型网络安全监测装置)、其它电力监控系统网络安全事件接入。

第十三条，电力行业关键信息基础设施运营者应当优先采购安全可信的网络产品和服务，并按照有关要求开展风险预判工作……

2022年9月28日国资委下发的79号文，关于网信安全和基础设施的信创要求严格，2023年信创替代要求到达30%、2025年信创替代要求到达50%、2027年底前完成100%信创替代工作。

第十九条，电力企业应当建立健全网络产品安全漏洞信息接收渠道并保持畅通，发现或者获知存在安全漏洞后……

目前电力行业还未形成行业统一的安全情报信息报送和接收机制，接下来这方面将会是重点。

第二十条，电力企业应当建立健全本单位网络安全监测预警和信息通报机制，及时掌握本单位安全运行状况……电力行业关键信息基础设施运营者应当建立7*24小时值班值守制度，建设网络安全态势感知平台，并与行业部门、公安机关等有关平台对接。

电力行业的工控网络安全态势感知平台，于2019年开始陆续开展工作。根据能源智慧信息平台建设工作安排，按照委领导指示要求，决定在国资国企在线监管系统中新增“国家能源安全智能化管理”主题应用。国家能源安全智能化管理主题由能源智慧信息平台等应用系统提供数据支持和业务支撑，其中网络安全态势感知平台是能源智慧信息平台的重要组成部分，首期在电力行业中建设，做到“厂站自身感知、数据本地采集、省中心统一汇总、平台集中监测”，建成覆盖发电类中央企业和地方国有企业的能源行业工业信息安全态势感知平台，实现工业信息安全管理从“静态布防、边界监测”向“实时监管、纵深防御”的转变。电力行业的信息管理大区，各大企业已有相应的建设成果，如国网公司S6000、南网公司IOS等。

第二十五条，电力企业应当建立健全全流程数据安全管理和个人信息保护制度，按照国家和行业重要数据目录及数据分类分级保护相关要求，确定本单位的重要数据具体目录，对列入目录的数据进行重点保护。

2022年12月13日，工业和信息化部印发了《工业和信息化领域数据安全管理办法(试行)》，重点解决工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题。这对电力行业的数据安全建设具有重要借鉴和参考意义。

第二十六条，电力企业应当建立网络安全资金保障制度，安排网络安全专项预算，确保网络安全投入不低于信息化总投入的5%。

这将极大地提升电力行业网络安全市场容量。以国家电网为例，2017年-2021年，电力投资金额相对稳定，维持在4500亿元--4800亿元之间;相对的，信息化的投入也逐年升高，从120亿元增长至270亿元。2021年国家电网信息化投入资金约占整体投资金额的5.5%。十四五期间，国网和南网合计投资高达2.9万亿元，若算上地区电网公司，全国电网总投资预计近3万亿元。简单计算，十四五期间，电力行业中仅仅电网公司的网络安全市场容量，3万亿*5.5%*5% = 82.5亿元，平均每年18.5亿元。扩大到整个电力行业来看，根据前瞻研究院的数据，2021年国家电网信息化建设投入为270亿元，全电力行业信息化规模超过750亿元，即电力行业信息化投入约为国家电网信息化投入的3倍。国家电网十四五规划平均年投资5000亿元，那么十四五期间，平均每年电力行业信息安全市场容量5000*5.5%*5%*3 = 41.25亿元。

第二十九条，电力企业应当于每年11月1日前，将当年网络安全工作的专项总结报行业部门……电力行业关键信息基础设施运营者应当与每年11月1日前，将当年关键信息基础设施安全保护工作的专项总结报行业部门……

专项总结报告涵盖内容系统全面，对电力企业在网络安全和关基保护方面的要求更为清晰，这将进一步促使电力企业加大对网络安全的重视和投入。

安恒全栈安全护航电力行业

安恒信息推出的工业企业“全栈”安全以合规安全能力中心、综合安全服务中心和安全运营管理中心为三大支柱，形成以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防体系，已在能源、市政、烟草、轨道交通、智能制造等行业形成了大量的工控安全实践案例。

工业企业“全栈”安全示意图

1. 网络安全监测预警和信息通报机制、网络安全态势感知平台方面：安恒信息以业务资产为核心，以安全生产为目标，通过采集电力网络环境下的资产、全流量数据和日志数据，利用安全大数据分析技术，将技术指标与安全生产指标相结合，实现业务资产集中管理、风险集中管控、安全趋势预判，为应急响应提供决策分析支撑，构建电力行业智能化网络安全运营管理体系。近年来，安恒信息态势感知平台为交通、能源、水利等国家关键信息基础设施保驾护航，有效落实网络安全监测预警与信息通报。

《管理办法》中提到的与行业部门、公安机关等平台对接方面，安恒信息具有技术和市场的双重优势，可为电力行业网络安全态势感知平台的优质建设和高效运营提供强有力的帮助。此外，安恒信息态势感知平台还提供了安全情报管理功能，满足《管理办法》中电力企业网络安全漏洞信息接收、报送需求，帮助企业符合《关保条例》《管理办法》等政策要求。

2.数据安全管理方面：安恒信息以“数据分类分级—数据安全防护—数据安全评估”为建设流程，打造了坚持“风险核查-数据梳理-数据保护-监控预警”模型理念，防护覆盖数据全生命周期的安恒数盾数据安全解决方案。

3.电力靶场方面：结合多年丰富的网络安全技术积累与人才培养经验，安恒信息自主研发了明御?鉴安网络空间靶场平台系列产品。明御?鉴安网络空间靶场可满足各类网络安全实验室建设，用于教学培训、网络安全研究、效能评估、设备测试、安全评估、应急演练等安全需求。以明御?鉴安网络空间靶场为基础，结合电力行业特定业务场景，安恒信息可为电力靶场建设工作贡献安恒方案、安恒力量。