日前，國家能源局發(fā)布了我國電力行業(yè)網(wǎng)絡(luò)與信息安全工作開展情況。面對網(wǎng)絡(luò)與信息安全工作所面臨的風(fēng)險與挑戰(zhàn)，國家能源局下一步有何規(guī)劃？電力企業(yè)在今后的設(shè)備選型和工作推進中應(yīng)該注意哪些問題？本報記者獨家專訪了國家能源局電力安全監(jiān)管司相關(guān)負責(zé)人。

記者：國家能源局下一步在網(wǎng)絡(luò)與信息安全方面有何工作安排？

      能源局安監(jiān)司：針對上述問題，國家能源局重點從建章立制和督促落實兩方面做好相關(guān)工作。在建章立制方面，重點是根據(jù)電力行業(yè)網(wǎng)絡(luò)與信息安全的實際情況，健全完善相關(guān)規(guī)章制度和技術(shù)措施。在督促落實方面，我們將重點做好信息安全等級保護測評、電力二次系統(tǒng)安全防護評估以及相關(guān)專項監(jiān)管工作，促進國家和行業(yè)網(wǎng)絡(luò)與信息安全的相關(guān)管理要求和技術(shù)措施在電力企業(yè)中得到切實落實。

記者：如何保證設(shè)備廠商提供的控制產(chǎn)品滿足電力行業(yè)的信息安全要求？是否有指定的專業(yè)測評機構(gòu)對產(chǎn)品進行安全測評？

      能源局安監(jiān)司：根據(jù)《電力二次系統(tǒng)安全防護評估規(guī)范（試行）》，有四種形式的安全評估，即型式評估、上線前評估、自評估、檢查評估，其中電力企業(yè)在設(shè)備選型及配置時，應(yīng)按要求認真開展相應(yīng)的型式評估工作，在二次系統(tǒng)及設(shè)備建設(shè)（或改造）完成后，應(yīng)按要求認真開展上線前評估，確保所選擇的系統(tǒng)及設(shè)備滿足電力行業(yè)的信息安全要求。

      對電力工控設(shè)備，應(yīng)由具有相關(guān)資質(zhì)的機構(gòu)進行信息安全監(jiān)測，并對檢測結(jié)果負責(zé)。

記者：電力企業(yè)應(yīng)該依照什么樣的標準或者通過哪些途徑來判斷PLC等工控設(shè)備沒有安全漏洞，能夠符合國家能源局的要求？

      能源局安監(jiān)司：可以按照以下兩條標準來判斷：

     禁止選用經(jīng)國家相關(guān)管理部門檢測認定并經(jīng)國家能源局通報存在漏洞和風(fēng)險的系統(tǒng)及設(shè)備。

    系統(tǒng)和設(shè)備經(jīng)有資質(zhì)的機構(gòu)檢測認定不存在信息安全漏洞和風(fēng)險。

    對應(yīng)用于重要信息系統(tǒng)（等保定級3級以上）的設(shè)備，宜同時滿足以上兩條標準；對于應(yīng)用于一般信息系統(tǒng)（等保定級2級）的設(shè)備，滿足其中一條即可；對于整改的設(shè)備，應(yīng)滿足第二條標準。

記者：目前上報的工作進行得如何？能否介紹下安全檢測的情況？

       能源局安監(jiān)司：目前，各省級以上統(tǒng)調(diào)電廠的上報、匯總以及統(tǒng)計分析工作均已完成。我們今年將對目前市場占有率較高的部分廠家各抽取一些型號的產(chǎn)品進行檢測，相關(guān)檢測結(jié)果將向電力企業(yè)進行通報，對于存在信息安全漏洞的，有關(guān)電力企業(yè)應(yīng)及時進行整改。

      通過目前對部分PLC設(shè)備的安全監(jiān)測結(jié)果表明，如果電力工控PLC設(shè)備存在信息安全漏洞，可導(dǎo)致PLC設(shè)備的異常啟/停、程序修改、程序上載/下載，給電力系統(tǒng)的安全穩(wěn)定運行和電力可靠供應(yīng)帶來較大的風(fēng)險和隱患。

記者：對于已經(jīng)通過檢測的PLC產(chǎn)品，電力企業(yè)在今后的設(shè)備選型和配置中是否可以放心選用？

       能源局安監(jiān)司：需要說明的是，電力工控的信息安全問題并不是一個靜態(tài)的問題，隨著技術(shù)的飛速發(fā)展，新的問題和風(fēng)險仍然會不斷出現(xiàn)，因此，只能說對于已經(jīng)通過檢測的產(chǎn)品，在未發(fā)現(xiàn)新的信息安全漏洞之前，是可以選用的。

記者：如何推動設(shè)備廠商參與測評？國家能源局有何規(guī)劃？

       能源局安監(jiān)司：對于設(shè)備廠商的配合問題，我們重點還是站在行業(yè)的角度、依托于整個行業(yè)的力量來推動這項工作，對于拒絕配合送檢、整改等有關(guān)工作，給電力生產(chǎn)帶來安全隱患和風(fēng)險的，我們將在全行業(yè)范圍內(nèi)進行通報，并采取相應(yīng)的懲罰性措施。

      對于電力工控設(shè)備信息安全漏洞的監(jiān)測、檢測及整改工作，國家能源局的工作部署總體上分為以下幾步：

       一是按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的總體防護策略，嚴格落實電力企業(yè)相關(guān)生產(chǎn)監(jiān)控系統(tǒng)的邊界防護，防止從外部利用電力工控PLC設(shè)備的信息安全漏洞造成發(fā)電機組運行異常進而對系統(tǒng)的穩(wěn)定運行造成影響。

      二是開展電力工控PLC設(shè)備的統(tǒng)計，摸清PLC設(shè)備的具體使用情況。

三