重點推進電力行業(yè)網(wǎng)絡信息安全工作
——訪國家能源局電力安全監(jiān)管司相關負責人
記者:國家能源局下一步在網(wǎng)絡與信息安全方面有何工作安排?
能源局安監(jiān)司:針對上述問題,國家能源局重點從建章立制和督促落實兩方面做好相關工作。在建章立制方面,重點是根據(jù)電力行業(yè)網(wǎng)絡與信息安全的實際情況,健全完善相關規(guī)章制度和技術措施。在督促落實方面,我們將重點做好信息安全等級保護測評、電力二次系統(tǒng)安全防護評估以及相關專項監(jiān)管工作,促進國家和行業(yè)網(wǎng)絡與信息安全的相關管理要求和技術措施在電力企業(yè)中得到切實落實。
記者:如何保證設備廠商提供的控制產(chǎn)品滿足電力行業(yè)的信息安全要求?是否有指定的專業(yè)測評機構對產(chǎn)品進行安全測評?
能源局安監(jiān)司:根據(jù)《電力二次系統(tǒng)安全防護評估規(guī)范(試行)》,有四種形式的安全評估,即型式評估、上線前評估、自評估、檢查評估,其中電力企業(yè)在設備選型及配置時,應按要求認真開展相應的型式評估工作,在二次系統(tǒng)及設備建設(或改造)完成后,應按要求認真開展上線前評估,確保所選擇的系統(tǒng)及設備滿足電力行業(yè)的信息安全要求。
對電力工控設備,應由具有相關資質的機構進行信息安全監(jiān)測,并對檢測結果負責。
記者:電力企業(yè)應該依照什么樣的標準或者通過哪些途徑來判斷PLC等工控設備沒有安全漏洞,能夠符合國家能源局的要求?
能源局安監(jiān)司:可以按照以下兩條標準來判斷:
禁止選用經(jīng)國家相關管理部門檢測認定并經(jīng)國家能源局通報存在漏洞和風險的系統(tǒng)及設備。
系統(tǒng)和設備經(jīng)有資質的機構檢測認定不存在信息安全漏洞和風險。
對應用于重要信息系統(tǒng)(等保定級3級以上)的設備,宜同時滿足以上兩條標準;對于應用于一般信息系統(tǒng)(等保定級2級)的設備,滿足其中一條即可;對于整改的設備,應滿足第二條標準。
記者:目前上報的工作進行得如何?能否介紹下安全檢測的情況?
能源局安監(jiān)司:目前,各省級以上統(tǒng)調電廠的上報、匯總以及統(tǒng)計分析工作均已完成。我們今年將對目前市場占有率較高的部分廠家各抽取一些型號的產(chǎn)品進行檢測,相關檢測結果將向電力企業(yè)進行通報,對于存在信息安全漏洞的,有關電力企業(yè)應及時進行整改。
通過目前對部分PLC設備的安全監(jiān)測結果表明,如果電力工控PLC設備存在信息安全漏洞,可導致PLC設備的異常啟/停、程序修改、程序上載/下載,給電力系統(tǒng)的安全穩(wěn)定運行和電力可靠供應帶來較大的風險和隱患。
記者:對于已經(jīng)通過檢測的PLC產(chǎn)品,電力企業(yè)在今后的設備選型和配置中是否可以放心選用?
能源局安監(jiān)司:需要說明的是,電力工控的信息安全問題并不是一個靜態(tài)的問題,隨著技術的飛速發(fā)展,新的問題和風險仍然會不斷出現(xiàn),因此,只能說對于已經(jīng)通過檢測的產(chǎn)品,在未發(fā)現(xiàn)新的信息安全漏洞之前,是可以選用的。
記者:如何推動設備廠商參與測評?國家能源局有何規(guī)劃?
能源局安監(jiān)司:對于設備廠商的配合問題,我們重點還是站在行業(yè)的角度、依托于整個行業(yè)的力量來推動這項工作,對于拒絕配合送檢、整改等有關工作,給電力生產(chǎn)帶來安全隱患和風險的,我們將在全行業(yè)范圍內(nèi)進行通報,并采取相應的懲罰性措施。
對于電力工控設備信息安全漏洞的監(jiān)測、檢測及整改工作,國家能源局的工作部署總體上分為以下幾步:
一是按照“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”的總體防護策略,嚴格落實電力企業(yè)相關生產(chǎn)監(jiān)控系統(tǒng)的邊界防護,防止從外部利用電力工控PLC設備的信息安全漏洞造成發(fā)電機組運行異常進而對系統(tǒng)的穩(wěn)定運行造成影響。
二是開展電力工控PLC設備的統(tǒng)計,摸清PLC設備的具體使用情況。
三是根據(jù)統(tǒng)計結果,按照一定的原則分期、分批次地安排相關PLC設備送檢,對于存在信息安全漏洞的設備,將及時予以通報,并要求有關電力企業(yè)在確保生產(chǎn)安全的前提下穩(wěn)妥開展漏洞整改工作。
四是積極推動、引導相關檢測機構,根據(jù)技術的發(fā)展情況和電力生產(chǎn)實際,不斷提升電力工控設備信息安全漏洞的監(jiān)測和檢測能力。
記者:PLC設備信息安全漏洞的監(jiān)測、檢測及整改工作的組織管理和職責分工情況如何?
能源局安監(jiān)司:對于電力工控PLC設備信息安全漏洞的監(jiān)測、檢測以及整改工作主要涉及到國家能源局及其派出機構、電力企業(yè)、電力調度機構、設備生產(chǎn)廠商(包括集成商)和檢測機構,各方在工作中主要是按照各司其職、各負自責的原則,有序地推動工作的開展,其中:
國家能源局及其派出機構主要承擔組織協(xié)調和監(jiān)督管理的職責。
電力企業(yè)承擔PLC運行設備整改的主體責任。
電力調度機構重點做好檢修計劃的安排,指導、配合有關電力企業(yè)做好整改工作。
各有關設備廠商(包括系統(tǒng)集成商)首先對自己的PLC產(chǎn)品負責,對具有隱患的運行PLC設備整改工作,重點是配合電力企業(yè)做好相關工作,以及配合做好設備的送檢工作。
檢測機構重點是做好送檢設備的檢測工作,以及配合有關電力企業(yè)做好型式評估、漏洞整改等相關工作,對出具的檢測報告負責。
[相關信息]
電力行業(yè)網(wǎng)絡與信息安全工作開展情況
新世紀以來,電力行業(yè)在深刻汲取電力信息系統(tǒng)有關網(wǎng)絡與信息安全事件的基礎上,在全行業(yè)范圍內(nèi)開展了網(wǎng)絡信息安全的相關工作,2004年12月起,原國家電監(jiān)會先后發(fā)布了《電力二次系統(tǒng)安全防護規(guī)定》(電監(jiān)會5號令)及相關配套文件,各電力企業(yè)按照5號令所提出的“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”的總體防護策略構建了覆蓋全行業(yè)的電力二次系統(tǒng)安全防護體系,對保障電力生產(chǎn)監(jiān)控系統(tǒng)的安全穩(wěn)定運行起到了重要的作用;2006年起,按照國家網(wǎng)絡與信息安全協(xié)調小組的授權,原國家電監(jiān)會負責承擔電力行業(yè)網(wǎng)絡與信息安全監(jiān)督管理職責。電力行業(yè)各單位認真貫徹落實國家各項信息安全政策,經(jīng)過幾年的努力,逐步形成了較為完善的一體化管理制度和技術規(guī)范體系,建立了涵蓋等級保護、運維保障、預警應急、宣傳教育、安全培訓等常態(tài)化工作機制,電力企業(yè)的信息安全水平得到極大提升。
存在的問題和風險及相關重點工作
在已取得的成績面前,仍然要清醒地看到目前在電力行業(yè)網(wǎng)絡信息安全工作中所面臨的風險和挑戰(zhàn)。
從安全的防護體系自身來看,還存在以下薄弱環(huán)節(jié):一是部分單位存在相關技術措施執(zhí)行不到位,有關管理規(guī)定落實不徹底的情況,成為網(wǎng)絡信息安全工作中的短板,二是部分電力工控設備存在信息安全漏洞和隱患,成為安全防護體系中的薄弱環(huán)節(jié)。三是各種新技術、新設備在電力企業(yè)中的應用給網(wǎng)絡與信息安全工作帶來了新的安全風險和挑戰(zhàn)。
從外部環(huán)境看,近年來圍繞信息獲取、利用和控制的國際競爭日趨激烈,電力行業(yè)網(wǎng)絡與信息安全形勢日益嚴峻,主要體現(xiàn)在:一是網(wǎng)絡黑客組織的協(xié)調和攻擊能力迅速加強。二是APT(高級持續(xù)性威脅)網(wǎng)絡攻擊的針對性、持續(xù)性、隱蔽性空前增強。三是針對電力工控系統(tǒng)特點研發(fā)的網(wǎng)絡戰(zhàn)武器日趨增多(如“震網(wǎng)”病毒)。