日前，國(guó)家能源局發(fā)布了我國(guó)電力行業(yè)網(wǎng)絡(luò)與信息安全工作開展情況。面對(duì)網(wǎng)絡(luò)與信息安全工作所面臨的風(fēng)險(xiǎn)與挑戰(zhàn)，國(guó)家能源局下一步有何規(guī)劃？電力企業(yè)在今后的設(shè)備選型和工作推進(jìn)中應(yīng)該注意哪些問(wèn)題？本報(bào)記者獨(dú)家專訪了國(guó)家能源局電力安全監(jiān)管司相關(guān)負(fù)責(zé)人。

記者：國(guó)家能源局下一步在網(wǎng)絡(luò)與信息安全方面有何工作安排？

      能源局安監(jiān)司：針對(duì)上述問(wèn)題，國(guó)家能源局重點(diǎn)從建章立制和督促落實(shí)兩方面做好相關(guān)工作。在建章立制方面，重點(diǎn)是根據(jù)電力行業(yè)網(wǎng)絡(luò)與信息安全的實(shí)際情況，健全完善相關(guān)規(guī)章制度和技術(shù)措施。在督促落實(shí)方面，我們將重點(diǎn)做好信息安全等級(jí)保護(hù)測(cè)評(píng)、電力二次系統(tǒng)安全防護(hù)評(píng)估以及相關(guān)專項(xiàng)監(jiān)管工作，促進(jìn)國(guó)家和行業(yè)網(wǎng)絡(luò)與信息安全的相關(guān)管理要求和技術(shù)措施在電力企業(yè)中得到切實(shí)落實(shí)。

記者：如何保證設(shè)備廠商提供的控制產(chǎn)品滿足電力行業(yè)的信息安全要求？是否有指定的專業(yè)測(cè)評(píng)機(jī)構(gòu)對(duì)產(chǎn)品進(jìn)行安全測(cè)評(píng)？

      能源局安監(jiān)司：根據(jù)《電力二次系統(tǒng)安全防護(hù)評(píng)估規(guī)范（試行）》，有四種形式的安全評(píng)估，即型式評(píng)估、上線前評(píng)估、自評(píng)估、檢查評(píng)估，其中電力企業(yè)在設(shè)備選型及配置時(shí)，應(yīng)按要求認(rèn)真開展相應(yīng)的型式評(píng)估工作，在二次系統(tǒng)及設(shè)備建設(shè)（或改造）完成后，應(yīng)按要求認(rèn)真開展上線前評(píng)估，確保所選擇的系統(tǒng)及設(shè)備滿足電力行業(yè)的信息安全要求。

      對(duì)電力工控設(shè)備，應(yīng)由具有相關(guān)資質(zhì)的機(jī)構(gòu)進(jìn)行信息安全監(jiān)測(cè)，并對(duì)檢測(cè)結(jié)果負(fù)責(zé)。

記者：電力企業(yè)應(yīng)該依照什么樣的標(biāo)準(zhǔn)或者通過(guò)哪些途徑來(lái)判斷PLC等工控設(shè)備沒有安全漏洞，能夠符合國(guó)家能源局的要求？

      能源局安監(jiān)司：可以按照以下兩條標(biāo)準(zhǔn)來(lái)判斷：

     禁止選用經(jīng)國(guó)家相關(guān)管理部門檢測(cè)認(rèn)定并經(jīng)國(guó)家能源局通報(bào)存在漏洞和風(fēng)險(xiǎn)的系統(tǒng)及設(shè)備。

    系統(tǒng)和設(shè)備經(jīng)有資質(zhì)的機(jī)構(gòu)檢測(cè)認(rèn)定不存在信息安全漏洞和風(fēng)險(xiǎn)。

    對(duì)應(yīng)用于重要信息系統(tǒng)（等保定級(jí)3級(jí)以上）的設(shè)備，宜同時(shí)滿足以上兩條標(biāo)準(zhǔn)；對(duì)于應(yīng)用于一般信息系統(tǒng)（等保定級(jí)2級(jí)）的設(shè)備，滿足其中一條即可；對(duì)于整改的設(shè)備，應(yīng)滿足第二條標(biāo)準(zhǔn)。

記者：目前上報(bào)的工作進(jìn)行得如何？能否介紹下安全檢測(cè)的情況？

       能源局安監(jiān)司：目前，各省級(jí)以上統(tǒng)調(diào)電廠的上報(bào)、匯總以及統(tǒng)計(jì)分析工作均已完成。我們今年將對(duì)目前市場(chǎng)占有率較高的部分廠家各抽取一些型號(hào)的產(chǎn)品進(jìn)行檢測(cè)，相關(guān)檢測(cè)結(jié)果將向電力企業(yè)進(jìn)行通報(bào)，對(duì)于存在信息安全漏洞的，有關(guān)電力企業(yè)應(yīng)及時(shí)進(jìn)行整改。

      通過(guò)目前對(duì)部分PLC設(shè)備的安全監(jiān)測(cè)結(jié)果表明，如果電力工控PLC設(shè)備存在信息安全漏洞，可導(dǎo)致PLC設(shè)備的異常啟/停、程序修改、程序上載/下載，給電力系統(tǒng)的安全穩(wěn)定運(yùn)行和電力可靠供應(yīng)帶來(lái)較大的風(fēng)險(xiǎn)和隱患。

記者：對(duì)于已經(jīng)通過(guò)檢測(cè)的PLC產(chǎn)品，電力企業(yè)在今后的設(shè)備選型和配置中是否可以放心選用？

       能源局安監(jiān)司：需要說(shuō)明的是，電力工控的信息安全問(wèn)題并不是一個(gè)靜態(tài)的問(wèn)題，隨著技術(shù)的飛速發(fā)展，新的問(wèn)題和風(fēng)險(xiǎn)仍然會(huì)不斷出現(xiàn)，因此，只能說(shuō)對(duì)于已經(jīng)通過(guò)檢測(cè)的產(chǎn)品，在未發(fā)現(xiàn)新的信息安全漏洞之前，是可以選用的。

記者：如何推動(dòng)設(shè)備廠商參與測(cè)評(píng)？國(guó)家能源局有何規(guī)劃？

       能源局安監(jiān)司：對(duì)于設(shè)備廠商的配合問(wèn)題，我們重點(diǎn)還是站在行業(yè)的角度、依托于整個(gè)行業(yè)的力量來(lái)推動(dòng)這項(xiàng)工作，對(duì)于拒絕配合送檢、整改等有關(guān)工作，給電力生產(chǎn)帶來(lái)安全隱患和風(fēng)險(xiǎn)的，我們將在全行業(yè)范圍內(nèi)進(jìn)行通報(bào)，并采取相應(yīng)的懲罰性措施。

      對(duì)于電力工控設(shè)備信息安全漏洞的監(jiān)測(cè)、檢測(cè)及整改工作，國(guó)家能源局的工作部署總體上分為以下幾步：

       一是按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的總體防護(hù)策略，嚴(yán)格落實(shí)電力企業(yè)相關(guān)生產(chǎn)監(jiān)控系統(tǒng)的邊界防護(hù)，防止從外部利用電力工控PLC設(shè)備的信息安全漏洞造成發(fā)電機(jī)組運(yùn)行異常進(jìn)而對(duì)系統(tǒng)的穩(wěn)定運(yùn)行造成影響。

      二是開展電力工控PLC設(shè)備的統(tǒng)計(jì)，摸清PLC設(shè)備的具體使用情況。

三