法律法规明确提出商用密码应用要求。
电力行业网络信息安全形势日益严峻。当前复杂的国际形势下, 全球范围内电力信息系统和网络屡遭网络攻击:巴西电力公司和欧 洲能源巨头 EDP 公司等遭勒索软件攻击,印度核电站内网感染恶意 软件,乌克兰某核电厂发生重大网络安全事故,委内瑞拉电力系统 两年内遭受多次网络攻击,美国电力公司遭受 DDoS 攻击,法国费森 海姆核电站敏感数据被泄露,俄黑客组织对美国核电站实施攻击。 作为关键基础设施的重要组成部分,电力行业网络信息安全不仅关 乎企业信息和经济安全,而且可影响社会安全和国家安全。更保障 电力行业网络信息安全,具有重要的战略意义和现实意义。
电力行业新技术融合应用引入了新的安全风险。近年来,电力 行业对网络和信息技术的依赖程度越来越高,电力物理空间与网络 空间的连通、融合进一步加深,随着数字化转型下电力工业技术体 系在开放性、互联互通性上的增强,以及能源网络的结构复杂化、 边界模糊化、形态多样化,网络安全风险化显著增加。与此同时, 能源互联网广泛融合能源生产、传输、交易、消费等各环节数据, 能源电力生产中的信息获取方式、存储形态、传输渠道、处理方法 以及对网络安全保障与防护的需求均发生了显著的变化。网络安全 不再仅仅只是影响虚拟空间,而是将会通过电力信息物理耦合关系渗透到现实电力一次系统,严重影响电力一次系统的安全、稳定、 高效运行。
法律法规明确提出商用密码应用要求。面对国家安全的新形势, 我国已在多部法律法规中明确规定了密码应用的要求,包括《中华 人民共和国密码法》、《中华人民共和国网络安全法》、《中华人 民共和国数据安全法》、《关键信息基础设施安全保护条例》、《商 用密码管理条例(修订草案)》等,突出强调了关键信息基础设施 和网络安全等级保护第三级及以上信息系统的密码应用监管,并实 施商用密码应用安全性评估和安全审查制度。
主管部门和责任单位发布系列指导文件
国家能源局统筹指导体系推进。2018 年,国家能源局印发《关 于加强电力行业网络安全工作的指导意见》,明确提出加快密码基 础设施建设,包括在重要业务、重要领域实施密码保护,完善电力 行业密码支撑体系,实现电力行业密码基础设施一体化管理;健全 电力行业密码检测手段,开展密码应用安全性评估。2021 年国家能 源局印发的《电力安全生产“十四五”行动计划》,将“加快推进 密码应用基础设施建设、密码改造和商用密码应用安全性评估”作 为网络与信息安全基础能力提升攻关重点之一。
责任单位扎实推进行业密码应用。根据中办、国办 2019 年 36号文,加强金融和重要行业领域密码应用要求,国家电网编制了《国 家电网有限公司商用密码应用与建设发展规划(2018-2022 年)》, 印发《国家电网有限公司商用密码应用与建设发展工作要点》,明 确提出了建设统一密码应用服务体系的工作方向和要求。按照“合 法合规、安全高效、集中统一、长效发展”的原则,确立公司密码 “五统一”的工作思路(统一规划、统一标准、统一建设、统一运 营和统一服务)。分阶段建成技术领先、理念超前的“1+2+3”的统 一密码应用服务体系(一个中心+两种技术体制+形成三种核心能 力)”
