国家能源局重点推进电力行业网络信息安全工作
日前,国家能源局发布了我国电力行业网络与信息安全工作开展情况。面对网络与信息安全工作所面临的风险与挑战,国家能源局下一步有何规划?电力企业在今后的设备选型和工作推进中应该注意哪些问题?本报记者独家专访了国家能源局电力安全监管司相关负责人。
记者:国家能源局下一步在网络与信息安全方面有何工作安排?
能源局安监司:针对上述问题,国家能源局重点从建章立制和督促落实两方面做好相关工作。在建章立制方面,重点是根据电力行业网络与信息安全的实际情况,健全完善相关规章制度和技术措施。在督促落实方面,我们将重点做好信息安全等级保护测评、电力二次系统安全防护评估以及相关专项监管工作,促进国家和行业网络与信息安全的相关管理要求和技术措施在电力企业中得到切实落实。
记者:如何保证设备厂商提供的控制产品满足电力行业的信息安全要求?是否有指定的专业测评机构对产品进行安全测评?
能源局安监司:根据《电力二次系统安全防护评估规范(试行)》,有四种形式的安全评估,即型式评估、上线前评估、自评估、检查评估,其中电力企业在设备选型及配置时,应按要求认真开展相应的型式评估工作,在二次系统及设备建设(或改造)完成后,应按要求认真开展上线前评估,确保所选择的系统及设备满足电力行业的信息安全要求。
对电力工控设备,应由具有相关资质的机构进行信息安全监测,并对检测结果负责。
记者:电力企业应该依照什么样的标准或者通过哪些途径来判断PLC等工控设备没有安全漏洞,能够符合国家能源局的要求?
能源局安监司:可以按照以下两条标准来判断:
禁止选用经国家相关管理部门检测认定并经国家能源局通报存在漏洞和风险的系统及设备。
系统和设备经有资质的机构检测认定不存在信息安全漏洞和风险。
对应用于重要信息系统(等保定级3级以上)的设备,宜同时满足以上两条标准;对于应用于一般信息系统(等保定级2级)的设备,满足其中一条即可;对于整改的设备,应满足第二条标准。
记者:目前上报的工作进行得如何?能否介绍下安全检测的情况?
能源局安监司:目前,各省级以上统调电厂的上报、汇总以及统计分析工作均已完成。我们今年将对目前市场占有率较高的部分厂家各抽取一些型号的产品进行检测,相关检测结果将向电力企业进行通报,对于存在信息安全漏洞的,有关电力企业应及时进行整改。
通过目前对部分PLC设备的安全监测结果表明,如果电力工控PLC设备存在信息安全漏洞,可导致PLC设备的异常启/停、程序修改、程序上载/下载,给电力系统的安全稳定运行和电力可靠供应带来较大的风险和隐患。
记者:对于已经通过检测的PLC产品,电力企业在今后的设备选型和配置中是否可以放心选用?
能源局安监司:需要说明的是,电力工控的信息安全问题并不是一个静态的问题,随着技术的飞速发展,新的问题和风险仍然会不断出现,因此,只能说对于已经通过检测的产品,在未发现新的信息安全漏洞之前,是可以选用的。
记者:如何推动设备厂商参与测评?国家能源局有何规划?
能源局安监司:对于设备厂商的配合问题,我们重点还是站在行业的角度、依托于整个行业的力量来推动这项工作,对于拒绝配合送检、整改等有关工作,给电力生产带来安全隐患和风险的,我们将在全行业范围内进行通报,并采取相应的惩罚性措施。
对于电力工控设备信息安全漏洞的监测、检测及整改工作,国家能源局的工作部署总体上分为以下几步:
一是按照“安全分区、网络专用、横向隔离、纵向认证”的总体防护策略,严格落实电力企业相关生产监控系统的边界防护,防止从外部利用电力工控PLC设备的信息安全漏洞造成发电机组运行异常进而对系统的稳定运行造成影响。
二是开展电力工控PLC设备的统计,摸清PLC设备的具体使用情况。
三