日前，國家能源局發布了我國電力行業網絡與信息安全工作開展情況。面對網絡與信息安全工作所面臨的風險與挑戰，國家能源局下一步有何規劃？電力企業在今后的設備選型和工作推進中應該注意哪些問題？本報記者獨家專訪了國家能源局電力安全監管司相關負責人。
　　記者：國家能源局下一步在網絡與信息安全方面有何工作安排？
　　能源局安監司：針對上述問題，國家能源局重點從建章立制和督促落實兩方面做好相關工作。在建章立制方面，重點是根據電力行業網絡與信息安全的實際情況，健全完善相關規章制度和技術措施。在督促落實方面，我們將重點做好信息安全等級保護測評、電力二次系統安全防護評估以及相關專項監管工作，促進國家和行業網絡與信息安全的相關管理要求和技術措施在電力企業中得到切實落實。
　　記者：如何保證設備廠商提供的控制產品滿足電力行業的信息安全要求？是否有指定的專業測評機構對產品進行安全測評？
　　能源局安監司：根據《電力二次系統安全防護評估規范（試行）》，有四種形式的安全評估，即型式評估、上線前評估、自評估、檢查評估，其中電力企業在設備選型及配置時，應按要求認真開展相應的型式評估工作，在二次系統及設備建設（或改造）完成后，應按要求認真開展上線前評估，確保所選擇的系統及設備滿足電力行業的信息安全要求。
　　對電力工控設備，應由具有相關資質的機構進行信息安全監測，并對檢測結果負責。
　　記者：電力企業應該依照什么樣的標準或者通過哪些途徑來判斷PLC等工控設備沒有安全漏洞，能夠符合國家能源局的要求？
　　能源局安監司：可以按照以下兩條標準來判斷：
　　禁止選用經國家相關管理部門檢測認定并經國家能源局通報存在漏洞和風險的系統及設備。
　　系統和設備經有資質的機構檢測認定不存在信息安全漏洞和風險。
　　對應用于重要信息系統（等保定級3級以上）的設備，宜同時滿足以上兩條標準；對于應用于一般信息系統（等保定級2級）的設備，滿足其中一條即可；對于整改的設備，應滿足第二條標準。
　　記者：目前上報的工作進行得如何？能否介紹下安全檢測的情況？
　　能源局安監司：目前，各省級以上統調電廠的上報、匯總以及統計分析工作均已完成。我們今年將對目前市場占有率較高的部分廠家各抽取一些型號的產品進行檢測，相關檢測結果將向電力企業進行通報，對于存在信息安全漏洞的，有關電力企業應及時進行整改。
　　通過目前對部分PLC設備的安全監測結果表明，如果電力工控PLC設備存在信息安全漏洞，可導致PLC設備的異常啟/停、程序修改、程序上載/下載，給電力系統的安全穩定運行和電力可靠供應帶來較大的風險和隱患。
　　記者：對于已經通過檢測的PLC產品，電力企業在今后的設備選型和配置中是否可以放心選用？
　　能源局安監司：需要說明的是，電力工控的信息安全問題并不是一個靜態的問題，隨著技術的飛速發展，新的問題和風險仍然會不斷出現，因此，只能說對于已經通過檢測的產品，在未發現新的信息安全漏洞之前，是可以選用的。
　　記者：如何推動設備廠商參與測評？國家能源局有何規劃？
　　能源局安監司：對于設備廠商的配合問題，我們重點還是站在行業的角度、依托于整個行業的力量來推動這項工作，對于拒絕配合送檢、整改等有關工作，給電力生產帶來安全隱患和風險的，我們將在全行業范圍內進行通報，并采取相應的懲罰性措施。
　　對于電力工控設備信息安全漏洞的監測、檢測及整改工作，國家能源局的工作部署總體上分為以下幾步：
　　一是按照“安全分區、網絡專用、橫向隔離、縱向認證”的總體防護策略，嚴格落實電力企業相關生產監控系統的邊界防護，防止從外部利用電力工控PLC設備的信息安全漏洞造成發電機組運行異常進而對系統的穩定運行造成影響。
　　二是開展電力工控PLC設備的統計，摸清PLC設備的具體使用情況。
　　三是根據統計結果，按照一定的原則分期、分批次地安排相關PLC設備送檢，對于存在信息安全漏洞的設備，將及時予以通報，并要求有關電力企業在確保生產安全的前提下穩妥開展漏洞整改工作。
　　四是積極推動、引導相關檢測機構，根據技術的發展情況和電力生產實際，不斷提升電力工控設備信息安全漏洞的監測和檢測能力。
　　記者：PLC設備信息安全漏洞的監測、檢測及整改工作的組織管理和職責分工情況如何？
　　能源局安監司：對于電力工控PLC設備信息安全漏洞的監測、檢測以及整改工作主要涉及到國家能源局及其派出機構、電力企業、電力調度機構、設備生產廠商（包括集成商）和檢測機構，各方在工作中主要是按照各司其職、各負自責的原則，有序地推動工作的開展，其中：
　　國家能源局及其派出機構主要承擔組織協調和監督管理的職責。
　　電力企業承擔PLC運行設備整改的主體責任。
　　電力調度機構重點做好檢修計劃的安排，指導、配合有關電力企業做好整改工作。
　　各有關設備廠商（包括系統集成商）首先對自己的PLC產品負責，對具有隱患的運行PLC設備整改工作，重點是配合電力企業做好相關工作，以及配合做好設備的送檢工作。
　　檢測機構重點是做好送檢設備的檢測工作，以及配合有關電力企業做好型式評估、漏洞整改等相關工作，對出具的檢測報告負責。