重點(diǎn)推進(jìn)電力行業(yè)網(wǎng)絡(luò)信息安全工作
——訪國家能源局電力安全監(jiān)管司相關(guān)負(fù)責(zé)人
日前,國家能源局發(fā)布了我國電力行業(yè)網(wǎng)絡(luò)與信息安全工作開展情況。面對(duì)網(wǎng)絡(luò)與信息安全工作所面臨的風(fēng)險(xiǎn)與挑戰(zhàn),國家能源局下一步有何規(guī)劃?電力企業(yè)在今后的設(shè)備選型和工作推進(jìn)中應(yīng)該注意哪些問題?本報(bào)記者獨(dú)家專訪了國家能源局電力安全監(jiān)管司相關(guān)負(fù)責(zé)人。
記者:國家能源局下一步在網(wǎng)絡(luò)與信息安全方面有何工作安排?
能源局安監(jiān)司:針對(duì)上述問題,國家能源局重點(diǎn)從建章立制和督促落實(shí)兩方面做好相關(guān)工作。在建章立制方面,重點(diǎn)是根據(jù)電力行業(yè)網(wǎng)絡(luò)與信息安全的實(shí)際情況,健全完善相關(guān)規(guī)章制度和技術(shù)措施。在督促落實(shí)方面,我們將重點(diǎn)做好信息安全等級(jí)保護(hù)測評(píng)、電力二次系統(tǒng)安全防護(hù)評(píng)估以及相關(guān)專項(xiàng)監(jiān)管工作,促進(jìn)國家和行業(yè)網(wǎng)絡(luò)與信息安全的相關(guān)管理要求和技術(shù)措施在電力企業(yè)中得到切實(shí)落實(shí)。
記者:如何保證設(shè)備廠商提供的控制產(chǎn)品滿足電力行業(yè)的信息安全要求?是否有指定的專業(yè)測評(píng)機(jī)構(gòu)對(duì)產(chǎn)品進(jìn)行安全測評(píng)?
能源局安監(jiān)司:根據(jù)《電力二次系統(tǒng)安全防護(hù)評(píng)估規(guī)范(試行)》,有四種形式的安全評(píng)估,即型式評(píng)估、上線前評(píng)估、自評(píng)估、檢查評(píng)估,其中電力企業(yè)在設(shè)備選型及配置時(shí),應(yīng)按要求認(rèn)真開展相應(yīng)的型式評(píng)估工作,在二次系統(tǒng)及設(shè)備建設(shè)(或改造)完成后,應(yīng)按要求認(rèn)真開展上線前評(píng)估,確保所選擇的系統(tǒng)及設(shè)備滿足電力行業(yè)的信息安全要求。
對(duì)電力工控設(shè)備,應(yīng)由具有相關(guān)資質(zhì)的機(jī)構(gòu)進(jìn)行信息安全監(jiān)測,并對(duì)檢測結(jié)果負(fù)責(zé)。
記者:電力企業(yè)應(yīng)該依照什么樣的標(biāo)準(zhǔn)或者通過哪些途徑來判斷 PLC等工控設(shè)備沒有安全漏洞,能夠符合國家能源局的要求?
能源局安監(jiān)司:可以按照以下兩條標(biāo)準(zhǔn)來判斷:
禁止選用經(jīng)國家相關(guān)管理部門檢測認(rèn)定并經(jīng)國家能源局通報(bào)存在漏洞和風(fēng)險(xiǎn)的系統(tǒng)及設(shè)備。
系統(tǒng)和設(shè)備經(jīng)有資質(zhì)的機(jī)構(gòu)檢測認(rèn)定不存在信息安全漏洞和風(fēng)險(xiǎn)。
對(duì)應(yīng)用于重要信息系統(tǒng)(等保定級(jí)3級(jí)以上)的設(shè)備,宜同時(shí)滿足以上兩條標(biāo)準(zhǔn);對(duì)于應(yīng)用于一般信息系統(tǒng)(等保定級(jí)2級(jí))的設(shè)備,滿足其中一條即可;對(duì)于整改的設(shè)備,應(yīng)滿足第二條標(biāo)準(zhǔn)。
記者:目前上報(bào)的工作進(jìn)行得如何?能否介紹下安全檢測的情況?
能源局安監(jiān)司:目前,各省級(jí)以上統(tǒng)調(diào)電廠的上報(bào)、匯總以及統(tǒng)計(jì)分析工作均已完成。我們今年將對(duì)目前市場占有率較高的部分廠家各抽取一些型號(hào)的產(chǎn)品進(jìn)行檢測,相關(guān)檢測結(jié)果將向電力企業(yè)進(jìn)行通報(bào),對(duì)于存在信息安全漏洞的,有關(guān)電力企業(yè)應(yīng)及時(shí)進(jìn)行整改。
通過目前對(duì)部分PLC設(shè)備的安全監(jiān)測結(jié)果表明,如果電力工控PLC設(shè)備存在信息安全漏洞,可導(dǎo)致PLC設(shè)備的異常啟/停、程序修改、程序上載/下載,給電力系統(tǒng)的安全穩(wěn)定運(yùn)行和電力可靠供應(yīng)帶來較大的風(fēng)險(xiǎn)和隱患。
記者:對(duì)于已經(jīng)通過檢測的 PLC產(chǎn)品,電力企業(yè)在今后的設(shè)備選型和配置中是否可以放心選用?
能源局安監(jiān)司:需要說明的是,電力工控的信息安全問題并不是一個(gè)靜態(tài)的問題,隨著技術(shù)的飛速發(fā)展,新的問題和風(fēng)險(xiǎn)仍然會(huì)不斷出現(xiàn),因此,只能說對(duì)于已經(jīng)通過檢測的產(chǎn)品,在未發(fā)現(xiàn)新的信息安全漏洞之前,是可以選用的。
記者:如何推動(dòng)設(shè)備廠商參與測評(píng)?國家能源局有何規(guī)劃?
能源局安監(jiān)司:對(duì)于設(shè)備廠商的配合問題,我們重點(diǎn)還是站在行業(yè)的角度、依托于整個(gè)行業(yè)的力量來推動(dòng)這項(xiàng)工作,對(duì)于拒絕配合送檢、整改等有關(guān)工作,給電力生產(chǎn)帶來安全隱患和風(fēng)險(xiǎn)的,我們將在全行業(yè)范圍內(nèi)進(jìn)行通報(bào),并采取相應(yīng)的懲罰性措施。
對(duì)于電力工控設(shè)備信息安全漏洞的監(jiān)測、檢測及整改工作,國家能源局的工作部署總體上分為以下幾步:
一是按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的總體防護(hù)策略,嚴(yán)格落實(shí)電力企業(yè)相關(guān)生產(chǎn)監(jiān)控系統(tǒng)的邊界防護(hù),防止從外部利用電力工控PLC設(shè)備的信息安全漏洞造成發(fā)電機(jī)組運(yùn)行異常進(jìn)而對(duì)系統(tǒng)的穩(wěn)定運(yùn)行造成影響。
二是開展電力工控PLC設(shè)備的統(tǒng)計(jì),摸清PLC設(shè)備的具體使用情況。
三是根據(jù)統(tǒng)計(jì)結(jié)果,按照一定的原則分期、分批次地安排相關(guān)PLC設(shè)備送檢,對(duì)于存在信息安全漏洞的設(shè)備,將及時(shí)予以通報(bào),并要求有關(guān)電力企業(yè)在確保生產(chǎn)安全的前提下穩(wěn)妥開展漏洞整改工作。
四是積極推動(dòng)、引導(dǎo)相關(guān)檢測機(jī)構(gòu),根據(jù)技術(shù)的發(fā)展情況和電力生產(chǎn)實(shí)際,不斷提升電力工控設(shè)備信息安全漏洞的監(jiān)測和檢測能力。
記者:PLC設(shè)備信息安全漏洞的監(jiān)測、檢測及整改工作的組織管理和職責(zé)分工情況如何?
能源局安監(jiān)司:對(duì)于電力工控PLC設(shè)備信息安全漏洞的監(jiān)測、檢測以及整改工作主要涉及到國家能源局及其派出機(jī)構(gòu)、電力企業(yè)、電力調(diào)度機(jī)構(gòu)、設(shè)備生產(chǎn)廠商(包括集成商)和檢測機(jī)構(gòu),各方在工作中主要是按照各司其職、各負(fù)自責(zé)的原則,有序地推動(dòng)工作的開展,其中:
國家能源局及其派出機(jī)構(gòu)主要承擔(dān)組織協(xié)調(diào)和監(jiān)督管理的職責(zé)。
電力企業(yè)承擔(dān)PLC運(yùn)行設(shè)備整改的主體責(zé)任。
電力調(diào)度機(jī)構(gòu)重點(diǎn)做好檢修計(jì)劃的安排,指導(dǎo)、配合有關(guān)電力企業(yè)做好整改工作。
各有關(guān)設(shè)備廠商(包括系統(tǒng)集成商)首先對(duì)自己的PLC產(chǎn)品負(fù)責(zé),對(duì)具有隱患的運(yùn)行PLC設(shè)備整改工作,重點(diǎn)是配合電力企業(yè)做好相關(guān)工作,以及配合做好設(shè)備的送檢工作。
檢測機(jī)構(gòu)重點(diǎn)是做好送檢設(shè)備的檢測工作,以及配合有關(guān)電力企業(yè)做好型式評(píng)估、漏洞整改等相關(guān)工作,對(duì)出具的檢測報(bào)告負(fù)責(zé)。
[相關(guān)信息]
電力行業(yè)網(wǎng)絡(luò)與信息安全工作開展情況
新世紀(jì)以來,電力行業(yè)在深刻汲取電力信息系統(tǒng)有關(guān)網(wǎng)絡(luò)與信息安全事件的基礎(chǔ)上,在全行業(yè)范圍內(nèi)開展了網(wǎng)絡(luò)信息安全的相關(guān)工作,2004年12月起,原國家電監(jiān)會(huì)先后發(fā)布了《電力二次系統(tǒng)安全防護(hù)規(guī)定》(電監(jiān)會(huì)5號(hào)令)及相關(guān)配套文件,各電力企業(yè)按照5號(hào)令所提出的“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的總體防護(hù)策略構(gòu)建了覆蓋全行業(yè)的電力二次系統(tǒng)安全防護(hù)體系,對(duì)保障電力生產(chǎn)監(jiān)控系統(tǒng)的安全穩(wěn)定運(yùn)行起到了重要的作用;2006年起,按照國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組的授權(quán),原國家電監(jiān)會(huì)負(fù)責(zé)承擔(dān)電力行業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理職責(zé)。電力行業(yè)各單位認(rèn)真貫徹落實(shí)國家各項(xiàng)信息安全政策,經(jīng)過幾年的努力,逐步形成了較為完善的一體化管理制度和技術(shù)規(guī)范體系,建立了涵蓋等級(jí)保護(hù)、運(yùn)維保障、預(yù)警應(yīng)急、宣傳教育、安全培訓(xùn)等常態(tài)化工作機(jī)制,電力企業(yè)的信息安全水平得到極大提升。
存在的問題和風(fēng)險(xiǎn)及相關(guān)重點(diǎn)工作
在已取得的成績面前,仍然要清醒地看到目前在電力行業(yè)網(wǎng)絡(luò)信息安全工作中所面臨的風(fēng)險(xiǎn)和挑戰(zhàn)。
從安全的防護(hù)體系自身來看,還存在以下薄弱環(huán)節(jié):一是部分單位存在相關(guān)技術(shù)措施執(zhí)行不到位,有關(guān)管理規(guī)定落實(shí)不徹底的情況,成為網(wǎng)絡(luò)信息安全工作中的短板,二是部分電力工控設(shè)備存在信息安全漏洞和隱患,成為安全防護(hù)體系中的薄弱環(huán)節(jié)。三是各種新技術(shù)、新設(shè)備在電力企業(yè)中的應(yīng)用給網(wǎng)絡(luò)與信息安全工作帶來了新的安全風(fēng)險(xiǎn)和挑戰(zhàn)。
從外部環(huán)境看,近年來圍繞信息獲取、利用和控制的國際競爭日趨激烈,電力行業(yè)網(wǎng)絡(luò)與信息安全形勢日益嚴(yán)峻,主要體現(xiàn)在:一是網(wǎng)絡(luò)黑客組織的協(xié)調(diào)和攻擊能力迅速加強(qiáng)。二是APT(高級(jí)持續(xù)性威脅)網(wǎng)絡(luò)攻擊的針對(duì)性、持續(xù)性、隱蔽性空前增強(qiáng)。三是針對(duì)電力工控系統(tǒng)特點(diǎn)研發(fā)的網(wǎng)絡(luò)戰(zhàn)武器日趨增多(如“震網(wǎng)”病毒)。 |