能源局下发通知开展电力工控PLC设备信息安全隐患排査及漏洞整改

　　根据工信部《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号)和电力二次系统安全防护的有关要，近日，国家能源局以国能综安全[2013]387号文发出通知，决定对经检验存在信息安全风险的电力工控PLC设备开展隐患排查及漏洞整改工作，并就有关事项通知如下：

　　一、范围

　　发电厂计算机监控系统、辅助设备控制系统等电力工控系统中所使用的PLC设备。

　　二、内容

　　(一)隐患排查

　　各有关单位要对本企业发电厂计算机监控系统、辅助设备控制系统等电力工控系统中所使用的PLC设备进行细致排査和梳理，并填写本单位《电力工控PLC设备生产厂商及型号统计表》。

　　(二)漏洞整改

　　各有关单位要根据企业实际，结合厂站设备检修等工作计划，在确保发电厂安全稳定运行的前提下，积极稳妥地做好对存在信息安全漏洞的电力工控PLC设备的整改工作。

　　三、有关要求

　　(一)各有关单位要严格落实电力二次系统安全防护要求，确保电力二次系统安全防护体系完整可靠。按照“安全分区、网络专用、横向隔离、纵向认证”的安全防护策略，建立起完善的安全防护体系，防范恶意信息侵人电力生产控制大区，并利用电力工控PLC设备的固有漏洞对电力生产监控系统实施攻击;在设备选型与配置时，应禁止选用经国家相关管理部门检测存在信息安全漏洞的PLC设备。

　　(二)各发电企业应在2013年10月15日前将填写完成的本单位《电力工控PLC设备生产厂商及型号统计表》报所属电力调度机构统计汇总。各省级以上调度机构应于2013年10月25日前将调度管辖范围内《电力工控PLC设备生产厂商及型号统计表》报所在地国家能源局派出机构，国调、南网总调直接报国家能源局电力安全监管司。

　　各派出机构应于2013年10月31日前将本省(区域)《电力工控PLC设备生产厂商及型号统计表》报国家能源局电力安全监管司。

　　(三)国家能源局电力安全监管司将根据统计汇总情况对相关设备安排检测，对于经检测存在信息安全漏洞的PLC设备，将及时向有关电力企业进行通报。各电力企业应根据通报情况及要求及时完成漏洞整改工作。

　　(四)对于目前经检测存在信息安全漏洞的施耐德PLC，各有关单位应按要求开展漏洞整改工作。其中总装机容量100万千瓦以上的水电厂应于2013年12月30日前完成整改工作，由省级以上调度机构统一调度的其他电厂应于2014年12月30日前完成整改工作。

　　(五)各级电力调度机构要合理安排设备检修计划，指导、配合发电企业做好电力工控PLC设备信息安全漏洞整改工作;各有关设备厂商要积极配合电力企业做好对存在信息安全漏洞的电力工控PLC设备的整改工作。

　　(六)国家能源局各派出机构要督促、协调有关电力企业和电力调度机构做好电力工控PLC设备信息安全风险的隐患排查和漏洞整改工作，有关重大问题及时向国家能源局电力安全监管司报告。