京能集团 王 淳

发电企业信息安全保障任重道远

京能集团 王 淳

当前，国家各部委都对信息安全工作高度重视，连续下发了一些信息安全工作的指导性意见和红头文件。为落实国家发改委14号令《电力监控系统安全防护规定》和国能安全〔2014〕317号文件《关于印发《电力行业网络与信息安全管理办法》的通知》，作为一个在电厂工作近20年且一直从事信息方面工作的人员，最近有幸参与了十几个发电企业的信息安全检查工作，感受到了信息安全工作的重要性和急迫性，至此，笔者就当前发电企业工业信息化安全现状做以下分析。

当前发电企业的信息安全状况

发电企业作为一个技术密集型、资金密集型的企业，自动化程度高，网络技术、信息技术利用广，新技术、引进国外技术多，怎样做好信息安全工作，还是一个很重要的问题。

1.当前，普遍存在的信息安全技术问题主要有以下方面：

1）技术核心、操作外控。大量采用国外技术，特别是燃机电厂，大部分都是国外技术，国内技术人员技术力量或人员配置不足，很多发电企业的核心技术全部掌握在国外厂家手中，很多国外生产厂商都可以通过网络远程对燃机控制系统进行参数设置及修改，甚至启停机组。

2）网络产品隐患大。一些网络交换机存在安全隐患如MARK Ⅵ控制系统采用安奈特网络交换机，根据原电监会[2012]23号文，安奈特设备存在后门口令，可对网络设备实施控制，存在安全隐患；

3）网络技术隐患大。一些网络系统存在产生网络广播风暴并扩散至其他机组的风险；

4）技术、资料不交底。一些网络交换机用户名、密码掌握在维护方手中，且未见维护记录，电厂技术人员未完全掌握相关网络设备维护技术，存在较大安全隐患；

5）安全分区落实不到位。一些生产系统如施耐德EMS未采取任何隔离措施直接与SIS系统连接，存在重大安全隐患；

6）信息安全认识不到位。生产安全人员信息安全认识不到位，默认口令、弱口令问题普遍存在；

7）横向隔离不彻底。生产控制大区和管理信息区及生产控制大区和安全界限模糊，隔离措施不完善等；

8）对供电系统认识不足。部分网络系统的供电系统存在安全隐患；

9）配套设施管理欠缺。机房配套实施不完善，如温控、湿度控制等。

2.普遍存在的管理问题包括以下方面：

1）基础资料不完善，如网络拓扑图、技术手册、维护记录等不完善；

2）一些客户端采用微软XP系统，但微软公司已停止对Windows XP系统的升级补丁服务，继续使用将存在一定安全隐患；

3）一些信息管理组织机构不清晰，信息管理体系不健全，信息管理标准制度未建立；

4）信息安全人员岗位明显配置不足；

完善信息安全保障工作的建议

信息安全无小事，特别是电力行业。轻则造成机组的停运，重则影响电网的运行，造成大面积停电，影响人民的正常生活和国家电网安全。在此，笔者对完善发电企业的信息安全工作提出如下建议。

1.国家及行业的战略参与

当前，很多发电企业发电设备的关键技术如控制系统、远程诊断系统等还掌握在国外企业手中，特别是燃气机组，仍然未达到“自主可控“的要求，很多机组完全暴露于国外技术人员的手中，信息安全无从谈起。并且信息安全的标准及规范全部掌握在这些国外制造大鳄的手里面，在他们面前，发电企业仍然处于弱势。

发电企业信息安全不单单是一个企业、一个发电集团的事，其关乎到整个国计民生、国家安全问题，因而需要国家及行业参与进来，制定发电机组信息安全引入机制，同国外机组生产厂家共同制定信息安全整体实施方案，制定相关的标准和规范。

2．引导信息安全产品国产化

随着国内网络产品技术水平的大幅提升，服务器、交换机等产品如浪潮、华为等公司现已有足够的实力代替国外产品。但不少发电企业生产技术人员仍然痴迷于国外产品，网络产品选型时经常因为产品的稳定性、速度等因素选择国外产品，不把信息安全作为一个很重要的衡量指标来考虑，因而，国家或行业部门应积极倡导、引导发电企业工业网络系统国产化。

3．提升信息安全认识

认识的提高主要是指领导层认识的提高，说道信息安全，领导层往往因为斯诺登事件的影响主要考虑的是文档的泄密、办公系统的侵入、网页的篡改等等。其实，黑客攻击、网络安全稳定才是发电企业信息安全的重中之重，很多领导认为只要不上互联网的系统就是安全的系统，其实网络隐患无处不在，如网络堵塞、蠕虫病毒等等都有可能引起发电机组的不稳定性。比较著名的例子如伊朗核电厂的“Stuxnet”蠕虫病毒事件等。

其次，一把手亲自抓信息安全工作的制度没有得到很好的落实。虽然很多发电企业信息安全的主管领导是一把手，但真正关心或重视的程度完全没有达到这个层次，很多单位最多是由一位管信息的部门副职在推进此项工作，推进信息安全工作的难度可想而知。

第三，生产一线职工信息安全认识不到位。生产一线职工往往把信息安全等同于机械设备维护，认为只要不动、少动就不会坏。认识不到一旦网络连接起来，和动不动计算机、网络设备等就关系不大了，而且往往很多病毒、蠕虫都有很长的而且是不定期的潜伏期，一旦受攻击或病毒发作，这些都是没用的。

4．没有专职信息安全人员的参与

专职信息安全人员参与不到位。发电企业工业网络、计算机的维护一般由生产人员维护，如热控专业、电气专业等等，没有专职的、懂网络的信息安全人员。发电企业的安全生产部门一般设锅炉专业、热控专业、电气专业等专业工程师，没有专职的信息安全工程师或让信息管理部门的信息安全人员兼职生产系统的信息安全工作，造成这一岗位的空缺。随着信息化工作的进一步深入，电力行业的信息安全专业工程师岗位职级必须进一步配置到位。

电力企业信息安全技术前瞻

怎样才能做好发电企业的信息安全工作呢？只有充分“利用信息技术，才能保障信息安全”，利用信息技术做好“审、监、管”三个环节。这里对电力企业信息安全技术未来的发展，做一个前瞻性分析。

1．“审”

主要从国家和行业层面，“审”的内容包括：服务器、网络系统、操作系统、应用软件、PLC等等。前瞻性信息技术工具：程序代码智能检测工具，对工业信息安全危害最大的就是蠕虫、病毒，其不定期潜伏期很难使人察觉，利用代码智能检测工具进行反编译、反跟踪查询，即对自动执行的如保护停退、重大自动操作进行反跟踪及时间节点分析，从而发现蠕虫、病毒。通过国家、行业的审核，确定型号和版本号，下发全部电力企业执行。这样才能避免伊朗核电厂类似事故的发生。

2．“监”

主要是企业层面，“监”的内容主要包括网络运行、网络入侵。前瞻性信息技术工具：辅助网络监控系统，架设在安全区内辅助网络监视。对网络运行状态、流量控制、网络内设备硬件的增减（如使用U盘）等情况进行智能监控，对不合规的设备及权限进行限制。

3．“管”

主要是企业层面，“管”的内容主要包括技术管理、技术交底。前瞻性信息技术工具：工控系统管理平台，架设在安全区内。对工业控制系统文档、信息安全管理、操作规范、技术交底进行统一管理，形成流水线式的管理平台，避免技术交底不彻底、信息安全认识不足等问题。

结语

发电企业信息安全工作任重道远，是一个系统工程。国家和行业部门是该系统工程的总设计师，从国家和行业层面制定信息安全引入机制，制定相应的标准和规范，对安全产品、安全信息具有引导、指导方向职能。发电企业公司领导层是信息安全工作的决策层，是信息安全工作的直接责任人，职责明确且需落实到位。发电企业信息安全人员是执行层，首先需有信息安全的专职人员。提高信息化认识，具备信息安全工作的基本知识，谨小慎微，才能共同把发电企业的信息安全工作做好做实。