北极星智能电网在线讯:日前,国家能源局发布了我国电力行业网络与信息安全工作开展情况。面对网络与信息安全工作所面临的风险与挑战,国家能源局下一步有何规划?电力企业在今后的设备选型和工作推进中应该注意哪些问题?本报记者独家专访了国家能源局电力安全监管司相关负责人。
记者:国家能源局下一步在网络与信息安全方面有何工作安排?
能源局安监司:针对上述问题,国家能源局重点从建章立制和督促落实两方面做好相关工作。在建章立制方面,重点是根据电力行业网络与信息安全的实际情况,健全完善相关规章制度和技术措施。在督促落实方面,我们将重点做好信息安全等级保护测评、电力二次系统安全防护评估以及相关专项监管工作,促进国家和行业网络与信息安全的相关管理要求和技术措施在电力企业中得到切实落实。
记者:如何保证设备厂商提供的控制产品满足电力行业的信息安全要求?是否有指定的专业测评机构对产品进行安全测评?
能源局安监司:根据《电力二次系统安全防护评估规范(试行)》,有四种形式的安全评估,即型式评估、上线前评估、自评估、检查评估,其中电力企业在设备选型及配置时,应按要求认真开展相应的型式评估工作,在二次系统及设备建设(或改造)完成后,应按要求认真开展上线前评估,确保所选择的系统及设备满足电力行业的信息安全要求。
对电力工控设备,应由具有相关资质的机构进行信息安全监测,并对检测结果负责。
记者:电力企业应该依照什么样的标准或者通过哪些途径来判断PLC等工控设备没有安全漏洞,能够符合国家能源局的要求?
能源局安监司:可以按照以下两条标准来判断:
禁止选用经国家相关管理部门检测认定并经国家能源局通报存在漏洞和风险的系统及设备。
系统和设备经有资质的机构检测认定不存在信息安全漏洞和风险。
对应用于重要信息系统(等保定级3级以上)的设备,宜同时满足以上两条标准;对于应用于一般信息系统(等保定级2级)的设备,满足其中一条即可;对于整改的设备,应满足第二条标准。
记者:目前上报的工作进行得如何?能否介绍下安全检测的情况?
能源局安监司:目前,各省级以上统调电厂的上报、汇总以及统计分析工作均已完成。我们今年将对目前市场占有率较高的部分厂家各抽取一些型号的产品进行检测,相关检测结果将向电力企业进行通报,对于存在信息安全漏洞的,有关电力企业应及时进行整改。
通过目前对部分PLC设备的安全监测结果表明,如果电力工控PLC设备存在信息安全漏洞,可导致PLC设备的异常启/停、程序修改、程序上载/下载,给电力系统的安全稳定运行和电力可靠供应带来较大的风险和隐患。
