重點推進電力行業網絡信息安全工作

——訪國家能源局電力安全監管司相關負責人

日前，國家能源局發布了我國電力行業網絡與信息安全工作開展情況。面對網絡與信息安全工作所面臨的風險與挑戰，國家能源局下一步有何規劃?電力企業在今后的設備選型和工作推進中應該注意哪些問題?本報記者獨家專訪了國家能源局電力安全監管司相關負責人。

記者：國家能源局下一步在網絡與信息安全方面有何工作安排?

能源局安監司：針對上述問題，國家能源局重點從建章立制和督促落實兩方面做好相關工作。在建章立制方面，重點是根據電力行業網絡與信息安全的實際情況，健全完善相關規章制度和技術措施。在督促落實方面，我們將重點做好信息安全等級保護測評、電力二次系統安全防護評估以及相關專項監管工作，促進國家和行業網絡與信息安全的相關管理要求和技術措施在電力企業中得到切實落實。

記者：如何保證設備廠商提供的控制產品滿足電力行業的信息安全要求?是否有指定的專業測評機構對產品進行安全測評?

能源局安監司：根據《電力二次系統安全防護評估規范(試行)》，有四種形式的安全評估，即型式評估、上線前評估、自評估、檢查評估，其中電力企業在設備選型及配置時，應按要求認真開展相應的型式評估工作，在二次系統及設備建設(或改造)完成后，應按要求認真開展上線前評估，確保所選擇的系統及設備滿足電力行業的信息安全要求。

對電力工控設備，應由具有相關資質的機構進行信息安全監測，并對檢測結果負責。

記者：電力企業應該依照什么樣的標準或者通過哪些途徑來判斷PLC等工控設備沒有安全漏洞，能夠符合國家能源局的要求?

能源局安監司：可以按照以下兩條標準來判斷：

禁止選用經國家相關管理部門檢測認定并經國家能源局通報存在漏洞和風險的系統及設備。

系統和設備經有資質的機構檢測認定不存在信息安全漏洞和風險。

對應用于重要信息系統(等保定級3級以上)的設備，宜同時滿足以上兩條標準;對于應用于一般信息系統(等保定級2級)的設備，滿足其中一條即可;對于整改的設備，應滿足第二條標準。

記者：目前上報的工作進行得如何?能否介紹下安全檢測的情況?

能源局安監司：目前，各省級以上統調電廠的上報、匯總以及統計分析工作均已完成。我們今年將對目前市場占有率較高的部分廠家各抽取一些型號的產品進行檢測，相關檢測結果將向電力企業進行通報，對于存在信息安全漏洞的，有關電力企業應及時進行整改。

通過目前對部分PLC設備的安全監測結果表明，如果電力工控PLC設備存在信息安全漏洞，可導致PLC設備的異常啟/停、程序修改、程序上載/下載，給電力系統的安全穩定運行和電力可靠供應帶來較大的風險和隱患。

記者：對于已經通過檢測的PLC產品，電力企業在今后的設備選型和配置中是否可以放心選用?

能源局安監司：需要說明的是，電力工控的信息安全問題并不是一個靜態的問題，隨著技術的飛速發展，新的問題和風險仍然會不斷出現，因此，只能說對于已經通過檢測的產品，在未發現新的信息安全漏洞之前，是可以選用的。

記者：如何推動設備廠商參與測評?國家能源局有何規劃?

能源局安監司：對于設備廠商的配合問題，我們重點還是站在行業的角度、依托于整個行業的力量來推動這項工作，對于拒絕配合送檢、整改等有關工作，給電力生產帶來安全隱患和風險的，我們將在全行業范圍內進行通報，并采取相應的懲罰性措施。

對于電力工控設備信息安全漏洞的監測、檢測及整改工作，國家能源局的工作部署總體上分為以下幾步：

一是按照“安全分區、網絡專用、橫向隔離、縱向認證”的總體防護策略，嚴格落實電力企業相關生產監控系統的邊界防護，防止從外部利用電力工控PLC設備的信息安全漏洞造成發電機組運行異常進而對系統的穩定運行造成影響。

二是開展電力工控PLC設備的統計，摸清PLC設備的具體使用情況。

三是根據統計結果，按照一定的原則分期、分批次地安排相關PLC設備送檢，對于存在信息安全漏洞的設備，將及時予以通報，并要求有關電力企業在確保生產安全的前提下穩妥開展漏洞整改工作。

四是積極推動、引導相關檢測機構，根據技術的發展情況和電力生產實際，不斷提升電力工控設備信息安全漏洞的監測和檢測能力。

能源局安監司：對于電力工控PLC設備信息安全漏洞的監測、檢測以及整改工作主要涉及到國家能源局及其派出機構、電力企業、電力調度機構、設備生產廠商(包括集成商)和檢測機構，各方在工作中主要是按照各司其職、各負自責的原則，有序地推動工作的開展，其中：

國家能源局及其派出機構主要承擔組織協調和監督管理的職責。

電力企業承擔PLC運行設備整改的主體責任。

電力調度機構重點做好檢修計劃的安排，指導、配合有關電力企業做好整改工作。

各有關設備廠商(包括系統集成商)首先對自己的PLC產品負責，對具有隱患的運行PLC設備整改工作，重點是配合電力企業做好相關工作，以及配合做好設備的送檢工作。

檢測機構重點是做好送檢設備的檢測工作，以及配合有關電力企業做好型式評估、漏洞整改等相關工作，對出具的檢測報告負責。

[相關信息]

電力行業網絡與信息安全工作開展情況

新世紀以來，電力行業在深刻汲取電力信息系統有關網絡與信息安全事件的基礎上，在全行業范圍內開展了網絡信息安全的相關工作，2004年12月起，原國家電監會先后發布了《電力二次系統安全防護規定》(電監會5號令)及相關配套文件，各電力企業按照5號令所提出的“安全分區、網絡專用、橫向隔離、縱向認證”的總體防護策略構建了覆蓋全行業的電力二次系統安全防護體系，對保障電力生產監控系統的安全穩定運行起到了重要的作用;2006年起，按照國家網絡與信息安全協調小組的授權，原國家電監會負責承擔電力行業網絡與信息安全監督管理職責。電力行業各單位認真貫徹落實國家各項信息安全政策，經過幾年的努力，逐步形成了較為完善的一體化管理制度和技術規范體系，建立了涵蓋等級保護、運維保障、預警應急、宣傳教育、安全培訓等常態化工作機制，電力企業的信息安全水平得到極大提升。

存在的問題和風險及相關重點工作

在已取得的成績面前，仍然要清醒地看到目前在電力行業網絡信息安全工作中所面臨的風險和挑戰。

從安全的防護體系自身來看，還存在以下薄弱環節：一是部分單位存在相關技術措施執行不到位，有關管理規定落實不徹底的情況，成為網絡信息安全工作中的短板，二是部分電力工控設備存在信息安全漏洞和隱患，成為安全防護體系中的薄弱環節。三是各種新技術、新設備在電力企業中的應用給網絡與信息安全工作帶來了新的安全風險和挑戰。

從外部環境看，近年來圍繞信息獲取、利用和控制的國際競爭日趨激烈，電力行業網絡與信息安全形勢日益嚴峻，主要體現在：一是網絡黑客組織的協調和攻擊能力迅速加強。二是APT(高級持續性威脅)網絡攻擊的針對性、持續性、隱蔽性空前增強。三是針對電力工控系統特點研發的網絡戰武器日趨增多(如“震網”病毒)。