等保测评和风险评估的重要性
中国电力行业在数字化转型的浪潮中,勒索病毒、恶意代码、数据泄露等网络安全问题日益凸显。《网络安全法》的颁布实施,标志着我国对网络安全管理的全面规范,为各行业网络安全工作提供了法律依据和指导方针。在电力行业中,保障网络安全已成为维护国家能源安全和社会稳定的重要任务。《电力行业网络与信息安全管理办法》(国能安全〔2022〕100号)、《电力行业网络安全等级保护管理办法》(国能安全〔2022〕101号)的发布彰显网络安全等级保护测评和信息安全风险评估作为电力行业网络安全的重要组成部分,两项工作同步开展,其重要性不言而喻。
等保测评和风险评估的区别与联系
在网络安全工作中,等级保护工作和风险评估工作一直都是重点要求。等级保护测评作为落实网络安全等级保护工作的有效抓手,信息安全风险评估作为网络安全风险管理工作的必要手段。二者均以保护信息系统安全为目的,但各有侧重,相互补充,且不可互相替代。
标准依据和方法过程不同。等级保护测评主要依据标准和规范,如GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB∕T 25058-2019《信息安全技术 网络安全等级保护实施指南》进行测评,重点在于对系统安全防护措施的合规性检查。
信息安全风险评估则是使用风险评估模型和工具,如风险矩阵、定量和定性分析,2022《信息安全技术信息安全风险评估方法》。评估过程包括评估准备、风险识别、风险分析、风险评价等阶段,重点在于识别和分析风险,并提出相应的风险应对措施。
工作和要求不同。等级测评以相对独立的系统为目标,以合规基本要求为准,判断是否达到保护要求,及格线是70分及以上且无高危风险;风险评估以业务对象为目标,可包括多个系统,以风险管理角度出发,通过业务、资产、脆弱性、威胁等综合分析,一般及格线是无高风险。
等级保护测评和风险评估也存在着联系。它们有共同目标,等级保护测评和风险评估的共同目标是提高信息系统的安全性,保护信息资产不受威胁和攻击。两者均旨在通过不同的手段确保信息系统的安全。工作内容存在部分重叠、周期也基本保持一致。在实际实施过程中,等级保护测评和风险评估可能会有重叠的部分。例如,二者都需要进行安全现状评估,等级保护测评注重合规性和标准化,而风险评估则注重实际风险和应对策略。两者可以互补,综合应用以全面提升信息系统的安全管理水平。
总的来说,等级测评所依据的《基本要求》等标准,可以为风险评估工作提供评估实践的指标基础;风险评估可以指导等级测评中的风险分析,是风险计算的方法论。
电力行业等保测评和风险评估分析
电力行业在进行网络安全等级保护测评(等保测评)和风险评估时,呈现出明显的行业特性。这一特性主要体现在生产控制大区和管理信息大区的差异上。
在等级测评方面,由于生产控制大区和管理信息大区的功能和特点不同,其标准和要求也存在差异。生产控制大区的监控系统测评通常会结合工业扩展要求,而管理信息大区则以通用要求为主。因此,在进行等保测评时,需要根据新的等级测评要求来针对不同大区进行测评。
而在风险评估方面,生产控制大区和管理信息大区也有各自的重点和方式。生产控制大区主要以电力监控系统防护评估为主,包括自评估、检查评估、上线评估和型式评估等环节。管理信息大区主要进行常见的风险评估,关注的是信息系统在日常运行中可能面临的各种风险和威胁。
综上所述,电力行业的等保测评和风险评估工作在行业特性、标准要求和评估重点上存在明显的差异。针对不同大区的特点和需求,需要采取相应的测评和评估方法,以确保电力系统的安全稳定运行。
常见电力企业和电力监控系统评估对象详见下表:
电力行业等保和风评开展状况分析
观点一:
电力等保测评工作开展积极性明显高于风险评估。现状分析,电力行业的等保测评的周期和风险评估的周期存在差异。其主要原因有以下几点:
1、是监管部门的严格监管,电力行业的等保测评的标准划分越来越细化,行业标准也日益规范。2、新的风险评估标准GB/T 20984-2022已于2022年11月1日正式实施,但需要进一步匹配电力行业的科学适用性标准,以确保评估的有效性和规范性。
观点二:
同步规划、同步建设、同步使用的落实还存在不足。现状分析,电力监控系统上线评估较为普遍,但型式评估较少。其主要原因有以下几点:
1、上线评估可结合等级保护工作同步在开展,另外验收要求有明确规定,如DL∕T 2338-2021 《电力监控系统网络安全并网验收要求》的总体原则中提出"新建电力监控系统应在接入正式运行网络和系统前完成网络安全并网验收"。同时,在DL∕T 2192-2020《并网发电厂变电站电力监控系统安全防护验收规范》文中的"6.2验收必备条件"的D项中提到按照国家及行业要求完成系统安全评估,并出具评估报告。
2、二级系统型式评估,单位可自行组织,缺乏专业的风险评估技能。设计规划时期往往未全面考虑未来网络安全全面性,后期上线整改情况较多。
电力行业未来的展望
随着电力行业的不断发展和信息化进程的加速推进,电力监控系统面临的安全挑战也将日益增加。特别是随着大数据、物联网等新技术的广泛应用,电力监控系统的安全形势更加复杂。因此,我们需要更加重视数据安全风险评估工作。在国家层面《中华人民共和国数据安全法》中第十八条、第二十二条、第三十条,表明了国家支持和推进开展数据安全风险评估工作。明确了国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制的决心。在工业行业《工业和信息化领域数据安全管理办法(试行)》中第三十一条,工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告。
对于电力行业网络安全的总体工作建议:落实政策法律、法规、方案要求,积极开展安全防护工作。提高人员网络安全意识,加强培训。定期开展电力监控系统测评(评估)工作。关注安全隐患和薄弱环节,确保处于动态、持续安全状态。