记者:对于已经通过检测的PLC产品,电力企业在今后的设备选型和配置中是否可以放心选用?
能源局安监司:需要说明的是,电力工控的信息安全问题并不是一个静态的问题,随着技术的飞速发展,新的问题和风险仍然会不断出现,因此,只能说对于已经通过检测的产品,在未发现新的信息安全漏洞之前,是可以选用的。
记者:如何推动设备厂商参与测评?国家能源局有何规划?
能源局安监司:对于设备厂商的配合问题,我们重点还是站在行业的角度、依托于整个行业的力量来推动这项工作,对于拒绝配合送检、整改等有关工作,给电力生产带来安全隐患和风险的,我们将在全行业范围内进行通报,并采取相应的惩罚性措施。
对于电力工控设备信息安全漏洞的监测、检测及整改工作,国家能源局的工作部署总体上分为以下几步:
一是按照“安全分区、网络专用、横向隔离、纵向认证”的总体防护策略,严格落实电力企业相关生产监控系统的边界防护,防止从外部利用电力工控PLC设备的信息安全漏洞造成发电机组运行异常进而对系统的稳定运行造成影响。
二是开展电力工控PLC设备的统计,摸清PLC设备的具体使用情况。
三是根据统计结果,按照一定的原则分期、分批次地安排相关PLC设备送检,对于存在信息安全漏洞的设备,将及时予以通报,并要求有关电力企业在确保生产安全的前提下稳妥开展漏洞整改工作。
四是积极推动、引导相关检测机构,根据技术的发展情况和电力生产实际,不断提升电力工控设备信息安全漏洞的监测和检测能力。
记者:PLC设备信息安全漏洞的监测、检测及整改工作的组织管理和职责分工情况如何?
能源局安监司:对于电力工控PLC设备信息安全漏洞的监测、检测以及整改工作主要涉及到国家能源局及其派出机构、电力企业、电力调度机构、设备生产厂商(包括集成商)和检测机构,各方在工作中主要是按照各司其职、各负自责的原则,有序地推动工作的开展,其中:
国家能源局及其派出机构主要承担组织协调和监督管理的职责。