重點推進電力行業網路資訊安全工作

——訪國家能源局電力安全監管司相關負責人

日前，國家能源局發佈了我國電力行業網路與資訊安全工作開展情況。面對網路與資訊安全工作所面臨的風險與挑戰，國家能源局下一步有何規劃？電力企業在今後的設備選型和工作推進中應該注意哪些問題？本報記者獨家專訪了國家能源局電力安全監管司相關負責人。

記者：國家能源局下一步在網路與資訊安全方面有何工作安排？

能源局安監司：針對上述問題，國家能源局重點從建章立制和督促落實兩方面做好相關工作。在建章立制方面，重點是根據電力行業網路與資訊安全的實際情況，健全完善相關規章制度和技術措施。在督促落實方面，我們將重點做好資訊安全等級保護測評、電力二次系統安全防護評估以及相關專項監管工作，促進國家和行業網路與資訊安全的相關管理要求和技術措施在電力企業中得到切實落實。

記者：如何保證設備廠商提供的控制産品滿足電力行業的資訊安全要求？是否有指定的專業測評機構對産品進行安全測評？

能源局安監司：根據《電力二次系統安全防護評估規範（試行）》，有四種形式的安全評估，即型式評估、上線前評估、自評估、檢查評估，其中電力企業在設備選型及配置時，應按要求認真開展相應的型式評估工作，在二次系統及設備建設（或改造）完成後，應按要求認真開展上線前評估，確保所選擇的系統及設備滿足電力行業的資訊安全要求。

對電力工控設備，應由具有相關資質的機構進行資訊安全監測，並對檢測結果負責。

記者：電力企業應該依照什麼樣的標準或者通過哪些途徑來判斷 PLC等工控設備沒有安全漏洞，能夠符合國家能源局的要求？

能源局安監司：可以按照以下兩條標準來判斷：

禁止選用經國家相關管理部門檢測認定並經國家能源局通報存在漏洞和風險的系統及設備。

系統和設備經有資質的機構檢測認定不存在資訊安全漏洞和風險。

對應用於重要資訊系統（等保定級3級以上）的設備，宜同時滿足以上兩條標準；對於應用於一般資訊系統（等保定級2級）的設備，滿足其中一條即可；對於整改的設備，應滿足第二條標準。

記者：目前上報的工作進行得如何？能否介紹下安全檢測的情況？

能源局安監司：目前，各省級以上統調電廠的上報、匯總以及統計分析工作均已完成。我們今年將對目前市場佔有率較高的部分廠家各抽取一些型號的産品進行檢測，相關檢測結果將向電力企業進行通報，對於存在資訊安全漏洞的，有關電力企業應及時進行整改。

通過目前對部分PLC設備的安全監測結果表明，如果電力工控PLC設備存在資訊安全漏洞，可導致PLC設備的異常啟/停、程式修改、程式上載/下載，給電力系統的安全穩定運作和電力可靠供應帶來較大的風險和隱患。

記者：對於已經通過檢測的 PLC産品，電力企業在今後的設備選型和配置中是否可以放心選用？

能源局安監司：需要説明的是，電力工控的資訊安全問題並不是一個靜態的問題，隨著技術的飛速發展，新的問題和風險仍然會不斷出現，因此，只能説對於已經通過檢測的産品，在未發現新的資訊安全漏洞之前，是可以選用的。

記者：如何推動設備廠商參與測評？國家能源局有何規劃？

能源局安監司：對於設備廠商的配合問題，我們重點還是站在行業的角度、依託于整個行業的力量來推動這項工作，對於拒絕配合送檢、整改等有關工作，給電力生産帶來安全隱患和風險的，我們將在全行業範圍內進行通報，並採取相應的懲罰性措施。

對於電力工控設備資訊安全漏洞的監測、檢測及整改工作，國家能源局的工作部署總體上分為以下幾步：

一是按照“安全分區、網路專用、橫向隔離、縱向認證”的總體防護策略，嚴格落實電力企業相關生産監控系統的邊界防護，防止從外部利用電力工控PLC設備的資訊安全漏洞造成發電機組運作異常進而對系統的穩定運作造成影響。

二是開展電力工控PLC設備的統計，摸清PLC設備的具體使用情況。

三是根據統計結果，按照一定的原則分期、分批次地安排相關PLC設備送檢，對於存在資訊安全漏洞的設備，將及時予以通報，並要求有關電力企業在確保生産安全的前提下穩妥開展漏洞整改工作。

四是積極推動、引導相關檢測機構，根據技術的發展情況和電力生産實際，不斷提升電力工控設備資訊安全漏洞的監測和檢測能力。

記者：PLC設備資訊安全漏洞的監測、檢測及整改工作的組織管理和職責分工情況如何？

能源局安監司：對於電力工控PLC設備資訊安全漏洞的監測、檢測以及整改工作主要涉及到國家能源局及其派出機構、電力企業、電力調度機構、設備生産廠商（包括整合商）和檢測機構，各方在工作中主要是按照各司其職、各負自責的原則，有序地推動工作的開展，其中：

國家能源局及其派出機構主要承擔組織協調和監督管理的職責。

電力企業承擔PLC運作設備整改的主體責任。

電力調度機構重點做好檢修計劃的安排，指導、配合有關電力企業做好整改工作。

各有關設備廠商（包括系統整合商）首先對自己的PLC産品負責，對具有隱患的運作PLC設備整改工作，重點是配合電力企業做好相關工作，以及配合做好設備的送檢工作。

檢測機構重點是做好送檢設備的檢測工作，以及配合有關電力企業做好型式評估、漏洞整改等相關工作，對出具的檢測報告負責。

[相關資訊]

電力行業網路與資訊安全工作開展情況

新世紀以來，電力行業在深刻汲取電力資訊系統有關網路與資訊安全事件的基礎上，在全行業範圍內開展了網路資訊安全的相關工作，2004年12月起，原國家電監會先後發佈了《電力二次系統安全防護規定》（電監會5號令）及相關配套文件，各電力企業按照5號令所提出的“安全分區、網路專用、橫向隔離、縱向認證”的總體防護策略構建了覆蓋全行業的電力二次系統安全防護體系，對保障電力生産監控系統的安全穩定運作起到了重要的作用；2006年起，按照國家網路與資訊安全協調小組的授權，原國家電監會負責承擔電力行業網路與資訊安全監督管理職責。電力行業各單位認真貫徹落實國家各項資訊安全政策，經過幾年的努力，逐步形成了較為完善的一體化管理制度和技術規範體系，建立了涵蓋等級保護、運維保障、預警應急、宣傳教育、安全培訓等常態化工作機制，電力企業的資訊安全水準得到極大提升。

存在的問題和風險及相關重點工作

在已取得的成績面前，仍然要清醒地看到目前在電力行業網路資訊安全工作中所面臨的風險和挑戰。

從安全的防護體系自身來看，還存在以下薄弱環節：一是部分單位存在相關技術措施執行不到位，有關管理規定落實不徹底的情況，成為網路資訊安全工作中的短板，二是部分電力工控設備存在資訊安全漏洞和隱患，成為安全防護體系中的薄弱環節。三是各種新技術、新設備在電力企業中的應用給網路與資訊安全工作帶來了新的安全風險和挑戰。

從外部環境看，近年來圍繞資訊獲取、利用和控制的國際競爭日趨激烈，電力行業網路與資訊安全形勢日益嚴峻，主要體現在：一是網路駭客組織的協調和攻擊能力迅速加強。二是APT（高級持續性威脅）網路攻擊的針對性、持續性、隱蔽性空前增強。三是針對電力工控系統特點研發的網路戰武器日趨增多（如“震網”病毒）。