能源局下發通知開展電力工控PLC設備信息安全隱患排査及漏洞整改

　　根據工信部《關于加強工業控制系統信息安全管理的通知》(工信部協[2011]451號)和電力二次系統安全防護的有關要，近日，國家能源局以國能綜安全[2013]387號文發出通知，決定對經檢驗存在信息安全風險的電力工控PLC設備開展隱患排查及漏洞整改工作，并就有關事項通知如下：

　　一、范圍

　　發電廠計算機監控系統、輔助設備控制系統等電力工控系統中所使用的PLC設備。

　　二、內容

　　(一)隱患排查

　　各有關單位要對本企業發電廠計算機監控系統、輔助設備控制系統等電力工控系統中所使用的PLC設備進行細致排査和梳理，并填寫本單位《電力工控PLC設備生產廠商及型號統計表》。

　　(二)漏洞整改

　　各有關單位要根據企業實際，結合廠站設備檢修等工作計劃，在確保發電廠安全穩定運行的前提下，積極穩妥地做好對存在信息安全漏洞的電力工控PLC設備的整改工作。

　　三、有關要求

　　(一)各有關單位要嚴格落實電力二次系統安全防護要求，確保電力二次系統安全防護體系完整可靠。按照“安全分區、網絡專用、橫向隔離、縱向認證”的安全防護策略，建立起完善的安全防護體系，防范惡意信息侵人電力生產控制大區，并利用電力工控PLC設備的固有漏洞對電力生產監控系統實施攻擊;在設備選型與配置時，應禁止選用經國家相關管理部門檢測存在信息安全漏洞的PLC設備。

　　(二)各發電企業應在2013年10月15日前將填寫完成的本單位《電力工控PLC設備生產廠商及型號統計表》報所屬電力調度機構統計匯總。各省級以上調度機構應于2013年10月25日前將調度管轄范圍內《電力工控PLC設備生產廠商及型號統計表》報所在地國家能源局派出機構，國調、南網總調直接報國家能源局電力安全監管司。

　　各派出機構應于2013年10月31日前將本省(區域)《電力工控PLC設備生產廠商及型號統計表》報國家能源局電力安全監管司。

　　(三)國家能源局電力安全監管司將根據統計匯總情況對相關設備安排檢測，對于經檢測存在信息安全漏洞的PLC設備，將及時向有關電力企業進行通報。各電力企業應根據通報情況及要求及時完成漏洞整改工作。

　　(四)對于目前經檢測存在信息安全漏洞的施耐德PLC，各有關單位應按要求開展漏洞整改工作。其中總裝機容量100萬千瓦以上的水電廠應于2013年12月30日前完成整改工作，由省級以上調度機構統一調度的其他電廠應于2014年12月30日前完成整改工作。

　　(五)各級電力調度機構要合理安排設備檢修計劃，指導、配合發電企業做好電力工控PLC設備信息安全漏洞整改工作;各有關設備廠商要積極配合電力企業做好對存在信息安全漏洞的電力工控PLC設備的整改工作。

　　(六)國家能源局各派出機構要督促、協調有關電力企業和電力調度機構做好電力工控PLC設備信息安全風險的隱患排查和漏洞整改工作，有關重大問題及時向國家能源局電力安全監管司報告。