重点推进电力行业网络信息安全工作
——访国家能源局电力安全监管司相关负责人
日前,国家能源局发布了我国电力行业网络与信息安全工作开展情况。面对网络与信息安全工作所面临的风险与挑战,国家能源局下一步有何规划?电力企业在今后的设备选型和工作推进中应该注意哪些问题?本报记者独家专访了国家能源局电力安全监管司相关负责人。
记者:国家能源局下一步在网络与信息安全方面有何工作安排?
能源局安监司:针对上述问题,国家能源局重点从建章立制和督促落实两方面做好相关工作。在建章立制方面,重点是根据电力行业网络与信息安全的实际情况,健全完善相关规章制度和技术措施。在督促落实方面,我们将重点做好信息安全等级保护测评、电力二次系统安全防护评估以及相关专项监管工作,促进国家和行业网络与信息安全的相关管理要求和技术措施在电力企业中得到切实落实。
记者:如何保证设备厂商提供的控制产品满足电力行业的信息安全要求?是否有指定的专业测评机构对产品进行安全测评?
能源局安监司:根据《电力二次系统安全防护评估规范(试行)》,有四种形式的安全评估,即型式评估、上线前评估、自评估、检查评估,其中电力企业在设备选型及配置时,应按要求认真开展相应的型式评估工作,在二次系统及设备建设(或改造)完成后,应按要求认真开展上线前评估,确保所选择的系统及设备满足电力行业的信息安全要求。
对电力工控设备,应由具有相关资质的机构进行信息安全监测,并对检测结果负责。
记者:电力企业应该依照什么样的标准或者通过哪些途径来判断PLC等工控设备没有安全漏洞,能够符合国家能源局的要求?
能源局安监司:可以按照以下两条标准来判断:
禁止选用经国家相关管理部门检测认定并经国家能源局通报存在漏洞和风险的系统及设备。
系统和设备经有资质的机构检测认定不存在信息安全漏洞和风险。
对应用于重要信息系统(等保定级3级以上)的设备,宜同时满足以上两条标准;对于应用于一般信息系统(等保定级2级)的设备,满足其中一条即可;对于整改的设备,应满足第二条标准。
记者:目前上报的工作进行得如何?能否介绍下安全检测的情况?
能源局安监司:目前,各省级以上统调电厂的上报、汇总以及统计分析工作均已完成。我们今年将对目前市场占有率较高的部分厂家各抽取一些型号的产品进行检测,相关检测结果将向电力企业进行通报,对于存在信息安全漏洞的,有关电力企业应及时进行整改。
通过目前对部分PLC设备的安全监测结果表明,如果电力工控PLC设备存在信息安全漏洞,可导致PLC设备的异常启/停、程序修改、程序上载/下载,给电力系统的安全稳定运行和电力可靠供应带来较大的风险和隐患。
记者:对于已经通过检测的PLC产品,电力企业在今后的设备选型和配置中是否可以放心选用?
能源局安监司:需要说明的是,电力工控的信息安全问题并不是一个静态的问题,随着技术的飞速发展,新的问题和风险仍然会不断出现,因此,只能说对于已经通过检测的产品,在未发现新的信息安全漏洞之前,是可以选用的。
记者:如何推动设备厂商参与测评?国家能源局有何规划?
能源局安监司:对于设备厂商的配合问题,我们重点还是站在行业的角度、依托于整个行业的力量来推动这项工作,对于拒绝配合送检、整改等有关工作,给电力生产带来安全隐患和风险的,我们将在全行业范围内进行通报,并采取相应的惩罚性措施。
对于电力工控设备信息安全漏洞的监测、检测及整改工作,国家能源局的工作部署总体上分为以下几步:
一是按照“安全分区、网络专用、横向隔离、纵向认证”的总体防护策略,严格落实电力企业相关生产监控系统的边界防护,防止从外部利用电力工控PLC设备的信息安全漏洞造成发电机组运行异常进而对系统的稳定运行造成影响。
二是开展电力工控PLC设备的统计,摸清PLC设备的具体使用情况。
三是根据统计结果,按照一定的原则分期、分批次地安排相关PLC设备送检,对于存在信息安全漏洞的设备,将及时予以通报,并要求有关电力企业在确保生产安全的前提下稳妥开展漏洞整改工作。
四是积极推动、引导相关检测机构,根据技术的发展情况和电力生产实际,不断提升电力工控设备信息安全漏洞的监测和检测能力。
能源局安监司:对于电力工控PLC设备信息安全漏洞的监测、检测以及整改工作主要涉及到国家能源局及其派出机构、电力企业、电力调度机构、设备生产厂商(包括集成商)和检测机构,各方在工作中主要是按照各司其职、各负自责的原则,有序地推动工作的开展,其中:
国家能源局及其派出机构主要承担组织协调和监督管理的职责。
电力企业承担PLC运行设备整改的主体责任。
电力调度机构重点做好检修计划的安排,指导、配合有关电力企业做好整改工作。
各有关设备厂商(包括系统集成商)首先对自己的PLC产品负责,对具有隐患的运行PLC设备整改工作,重点是配合电力企业做好相关工作,以及配合做好设备的送检工作。
检测机构重点是做好送检设备的检测工作,以及配合有关电力企业做好型式评估、漏洞整改等相关工作,对出具的检测报告负责。
[相关信息]
电力行业网络与信息安全工作开展情况
新世纪以来,电力行业在深刻汲取电力信息系统有关网络与信息安全事件的基础上,在全行业范围内开展了网络信息安全的相关工作,2004年12月起,原国家电监会先后发布了《电力二次系统安全防护规定》(电监会5号令)及相关配套文件,各电力企业按照5号令所提出的“安全分区、网络专用、横向隔离、纵向认证”的总体防护策略构建了覆盖全行业的电力二次系统安全防护体系,对保障电力生产监控系统的安全稳定运行起到了重要的作用;2006年起,按照国家网络与信息安全协调小组的授权,原国家电监会负责承担电力行业网络与信息安全监督管理职责。电力行业各单位认真贯彻落实国家各项信息安全政策,经过几年的努力,逐步形成了较为完善的一体化管理制度和技术规范体系,建立了涵盖等级保护、运维保障、预警应急、宣传教育、安全培训等常态化工作机制,电力企业的信息安全水平得到极大提升。
存在的问题和风险及相关重点工作
在已取得的成绩面前,仍然要清醒地看到目前在电力行业网络信息安全工作中所面临的风险和挑战。
从安全的防护体系自身来看,还存在以下薄弱环节:一是部分单位存在相关技术措施执行不到位,有关管理规定落实不彻底的情况,成为网络信息安全工作中的短板,二是部分电力工控设备存在信息安全漏洞和隐患,成为安全防护体系中的薄弱环节。三是各种新技术、新设备在电力企业中的应用给网络与信息安全工作带来了新的安全风险和挑战。
从外部环境看,近年来围绕信息获取、利用和控制的国际竞争日趋激烈,电力行业网络与信息安全形势日益严峻,主要体现在:一是网络黑客组织的协调和攻击能力迅速加强。二是APT(高级持续性威胁)网络攻击的针对性、持续性、隐蔽性空前增强。三是针对电力工控系统特点研发的网络战武器日趋增多(如“震网”病毒)。