发展自主可控的工业控制系统观点

自乌克兰电网大面积停电事件发生以来，电力等能源行业对此高度重视，认真进行研究，国家各有关部门，包括安全、公安、能源局等部门，都有相关的专题报告，国家有关领导也有批示。这说明国家对工控系统的网络安全非常重视，从上到下，行业内外对工控网络安全的重要性已达成共识，比原来的情况好了很多。也正是因为受到重视，相应的压力也增加了，所以对其他国家发生的事件和问题，我们要认真吸取经验教训，不能犯同样的错误。国家能源局近期发布了一个92号文，专门针对乌克兰事件在行业内进行了一次大检查。检查的内容主要包括设施、结构、本体等安全以及安全应急、安全管理等方面。2014年，国家发改委（能源局）发布了电力监控系统安全防护规定，发改委14号令（也就是原电监会5号令），其核心就是16个字：网络专用，安全分区，横向隔离，纵向认证。据此，我们要做好各方面的安全防范，同时要避免一个单体安全被突破，而影响到整体的安全。所以我们要在整体架构上形成网格式的安全防护体系，做到横向隔离，纵向认证。经过十几年的努力，我国电网的调度监控系统的安全防护体系已较为完善，所以几乎不会发生像乌克兰这样从互联网途径渗透进来进行攻击破坏，造成区域性或者大面积停电的情况。而且经过不断的努力和改进，我们还在进一步降低和防范发生类似这种情况的风险。并且，我国的国情在这方面也有自己的特点，即我国电力调度属于一个集中统一的，半军事化的管理，相对于一些西方国家市场经济色彩比较浓厚的电力系统，在安全管理方面有很大的优势。我们需要坚持这种具有中国特色的调度管理方式，建设和完善具有中国特色的电力安全防护体系，这样也符合中国的国情。在多年的安全防护建设中，经过不断地开展检查，不断地完善，安全防护水平不断提高。但同时也发现了一些需要进一步加强和改进的地方： 

一、从边界安全到整体防护

横向隔离、纵向认证，重点强调的都是边界的安全防护。在此基础上需要提升到一个整体安全防护的高度，不能把边界的防护作为最后一道防线，不能认为隔离了就是安全的。电网企业在这方面比较好，特别是国家电网，设立了三道防线：第一道，互联网和工作外网之间，有一套安全防护措施。第二道，工作外网到工作内网之间也有一道隔离防线。第三道，内网管理信息系统和生产控制系统还有一道安全防护措施，近似于物理隔离的单向隔离装置，而且是自主研发的技术。这三道防线基本保障了电力监控系统网络的安全，攻击者进来需要很大的成本，很难达到最底层，并且在横向隔离的基础上，纵向我们也分级部署了纵向认证装置，形成了纵横交错的安全防护体系。但有了这三道防线之后，也容易让人产生麻痹大意思想，认为系统这样就安全了。其实还是存在很多不安全的因素，比如人员的安全管理，移动存储和无线设备的管控，违规外联等，还有很多工作需要进一步做好。 

二、加强事先安全防范

对当前的安全防护来说，事先安全防范尤为重要。现在做的工作往往是亡羊补牢，发生一个安全事件后，我们才去补漏洞，抓整改。如何在前期做好未雨绸缪往往考虑的不够。例如我们现在大量从国外购买引进各种设备和系统，但却没有一套完整的安全审查制度。这说明在前端、在源头我们确实把关不严，并且在规划、设计、基建、采购、生产等部门网络安全意识往往比较缺乏。他们的思维习惯主要是强调生产安全，强调设备的安全稳定运行，很少注意到还有网络信息安全的隐患，对网络信息安全工作不太重视。所以，我们要从规划设计这一环节开始就要充分考虑网络安全，不论是否国产，在采购设备的时候都要加强网络安全审查和检测，是否有漏洞和后门，是否有病毒木马。包括现有的存量设备，也要彻底进行清查。 

三、加强安全可控

不论是两化融合，国际交流，还是“互联网+”，与外界人员打交道越来越多，外包服务情况也越来越多，对人员的安全管控就显得尤为重要。当年发生的一个变电站事故，就是因为国外一家著名公司的工程师用自带的笔记本电脑，连入了生产控制系统，同时这台笔记本又连接了互联网，感染了Windows病毒，使得生产控制系统因病毒爆发导致多个变电站故障停电。经过几件类似事件，经贸委和电监会先后发布了30号令和5号令，不断加强电力监控系统的安全防护。同时电力系统也下定决心，集中各方力量联合攻关，自主研发了一套智能电网调度监控系统，从国家电力调度到区域、省级调度的五级调度系统，基本上实现了国产化，做到了安全可控。国家电网公司的安全可控，被国家有关主管部门作为一个成功的范例进行推广，推动了其他重要领域的安全可控进程。只要选择的方式和应用场合适用我国的国情和现状，事实证明安全可控这条路是可行的，走得通。