八大类突出问题、四方面共性问题亟待解决
《报告》指出,从专项监管督查情况看,四省(市)电力企业在互联网出口防护、设备远程维护、工控设备漏洞整改等方面较为薄弱。
《报告》重点分析梳理了电力企业在网络与信息安全防护工作方面存在的八大类突出问题:一是部分电力企业对网络与信息安全工作认识不足、重视不够,工作领导机构不健全,责任部门不明确,责任制未有效落实,存在职能交叉、多头管理、重要管理制度缺失、执行不严等问题。
二是部分电力企业安全管理工作滞后,岗位职责不清晰,岗位技能要求不明确;安全意识、教育培训工作需进一步加强;信息安全从业人员的数量、专业技能不足。
三是部分电力企业未开展信息安全等级保护工作,存在重要信息资产未标识、重要信息系统未定级、定级不准确、评估及测评工作开展不规范等问题。 四是部分发电企业生产控制大区内安全风险管控严重不足,缺乏对远程调试和运维工作有效的管控手段。
五是个别电力企业的电力监控系统安全防护仍存在隔离措施落实不到位的情况,对已在电力行业通报的电力监控系统网络故障事件不够重视,对电力监控系统存在的安全风险认识不足。
六是部分电力企业技术管理措施不到位,安全策略配置不严密,网络与信息安全防护仍存在薄弱环节。 七是部分电力企业主机操作系统、数据库、网络设备的安全配置不当,访问控制策略不严格,安全加固工作不全面;信息设备自身安全防护存在问题,或安全防护设备、系统未正常使用。
八是部分电力企业机房物理环境不符合信息系统相应等级保护要求。
此外,结合全年监管工作和中央网信办等国家信息安全主管部门组织开展的工作,《报告》还披露了行业存在的四方面共性问题。
