今年6月是全國(guó)第19個(gè)“安全生產(chǎn)月”。圍繞“消除事故隱患，筑牢安全防線”的主題，全國(guó)能源行業(yè)正緊鑼密鼓地開展 “安全生產(chǎn)月”活動(dòng)。在統(tǒng)籌疫情防控和經(jīng)濟(jì)社會(huì)發(fā)展工作中，能源安全保障的重要性尤為突出。2020年《兩會(huì)政府工作報(bào)告》兩次提到“保障能源安全”，并強(qiáng)調(diào)加大“六穩(wěn)”工作力度，落實(shí)“六保”任務(wù)。

隨著電力及其能源行業(yè)的數(shù)字化轉(zhuǎn)型，能源安全的內(nèi)涵也發(fā)生了變化。能源安全不光是傳統(tǒng)概念里的充足能源供應(yīng)，也包括跟數(shù)字化轉(zhuǎn)型相關(guān)的網(wǎng)絡(luò)安全。物聯(lián)網(wǎng)正通過釋放配電系統(tǒng)的數(shù)據(jù)潛力，幫助組織提高生產(chǎn)率和盈利能力。但是，隨著設(shè)備互聯(lián)互通以及IT和OT 進(jìn)一步融合，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也隨之增加。如網(wǎng)絡(luò)攻擊導(dǎo)致停電，則會(huì)造成巨大經(jīng)濟(jì)損失，甚至可能危及生命。

如何解決IT向左、OT向右的配電物聯(lián)網(wǎng)網(wǎng)絡(luò)安全困境，制定全面的網(wǎng)絡(luò)安全管理策略？近期，施耐德電氣發(fā)布《配電物聯(lián)網(wǎng)網(wǎng)絡(luò)安全》報(bào)告，分析IT與OT在職責(zé)、經(jīng)驗(yàn)以及工作重點(diǎn)方面的差異，介紹電氣系統(tǒng)網(wǎng)絡(luò)安全的重點(diǎn)以及 IEC 62443 標(biāo)準(zhǔn)所提供的應(yīng)對(duì)策略。

物聯(lián)網(wǎng)在連接越來越多的設(shè)備、系統(tǒng)、流程和建筑物的同時(shí)，也增加了網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)

IT向左？OT向右？

隨著物聯(lián)網(wǎng)連接設(shè)備數(shù)量增加，再加上 IT/OT 系統(tǒng)融合，IT 和 OT 團(tuán)隊(duì)必須在網(wǎng)絡(luò)安全管理方面緊密合作，以確保所有攻擊面都得到保護(hù)，且雙方團(tuán)隊(duì)能夠在相互協(xié)調(diào)的基礎(chǔ)上，對(duì)任何網(wǎng)絡(luò)安全漏洞或攻擊快速作出響應(yīng)。

但是，由于雙方在職責(zé)、經(jīng)驗(yàn)等方面存在差異，展開協(xié)作對(duì)雙方而言可能是一項(xiàng)挑戰(zhàn)。

IT 和 OT 團(tuán)隊(duì)在網(wǎng)絡(luò)安全方面的工作重點(diǎn)經(jīng)常重疊，但并非所有的關(guān)注重點(diǎn)都完全一致。例如，一項(xiàng)工業(yè)物聯(lián)網(wǎng)調(diào)查顯示：“IT 團(tuán)隊(duì)最關(guān)注數(shù)據(jù)保護(hù)、防止財(cái)務(wù)損失和遵守行業(yè)法規(guī)；而 OT 團(tuán)隊(duì)則強(qiáng)調(diào)可靠性、可用性、效率和生產(chǎn)方面的提升，組織內(nèi)部的安全性，以及設(shè)備和系統(tǒng)的保護(hù)。”

同時(shí)，IT 部門擁有網(wǎng)絡(luò)安全領(lǐng)域的專業(yè)知識(shí)，然而IT 團(tuán)隊(duì)通常并不具備 OT 系統(tǒng)（如配電）方面的任何經(jīng)驗(yàn)。同樣，OT團(tuán)隊(duì)雖然擁有電力方面的專業(yè)知識(shí)，卻常常缺乏或沒有網(wǎng)絡(luò)安全方面的經(jīng)驗(yàn)。

IT 和 OT 團(tuán)隊(duì)在安全優(yōu)先級(jí)方面也存在差異：IT 團(tuán)隊(duì)的工作重點(diǎn)通常是確保保密性、完整性和可用性，從而保障系統(tǒng)的安全性。OT 團(tuán)隊(duì)主要致力于確保安全性、可靠性和保密性，從而保持運(yùn)營(yíng)正常進(jìn)行。

IT 和 OT 團(tuán)隊(duì)在職責(zé)和專業(yè)知識(shí)方面的差異

IEC 62443 標(biāo)準(zhǔn)優(yōu)化IT 和 OT 合作，應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

由國(guó)際標(biāo)準(zhǔn)化協(xié)會(huì) (ISA) 和國(guó)際電工委員會(huì) (IEC) 聯(lián)合制定的 IEC 62443 提供了一系列標(biāo)準(zhǔn)，旨在“滿足需求，即通過設(shè)計(jì)使工業(yè)自動(dòng)化控制系統(tǒng) (IACS) 具備網(wǎng)絡(luò)安全魯棒性和彈性，在盡可能廣泛的意義上應(yīng)用，涵蓋所有類型的工廠、設(shè)施和系統(tǒng)、硬件和軟件系統(tǒng)，例如 DCS、PLC、SCADA、聯(lián)網(wǎng)電子傳感及監(jiān)視和診斷系統(tǒng)。”而利用物聯(lián)網(wǎng)實(shí)現(xiàn)對(duì)配電系統(tǒng)的監(jiān)視和控制可被納入這一寬泛的范疇，因此，該標(biāo)準(zhǔn)是適用的。

IEC 62443 標(biāo)準(zhǔn)已得到許多國(guó)家和地區(qū)的認(rèn)可，并被包括施耐德電氣在內(nèi)的許多組織采用。該標(biāo)準(zhǔn)通過制定網(wǎng)絡(luò)安全的七大支柱和四個(gè)標(biāo)準(zhǔn)化安全級(jí)別，IEC 62443 標(biāo)準(zhǔn)為 IT 和 OT 團(tuán)隊(duì)展開協(xié)作奠定了基礎(chǔ)，為兩個(gè)團(tuán)隊(duì)之間的合作架設(shè)了“橋梁”。

IEC 62443 標(biāo)準(zhǔn)基于上述工作重點(diǎn)，制定了以下七項(xiàng)基本要求，以保護(hù)支持物聯(lián)網(wǎng)的 OT 系統(tǒng)：

      1.  訪問控制：在激活與某一組件的通信前，驗(yàn)證請(qǐng)求訪問該組件的任何用戶的身份，從而保護(hù)該組件。
      2.  使用控制：在允許用戶執(zhí)行操作前，驗(yàn)證用戶已獲得必要的授權(quán)，從而防止對(duì)組件資源進(jìn)行未經(jīng)授權(quán)的操作。
      3.  數(shù)據(jù)完整性：確保組件在運(yùn)營(yíng)狀態(tài)和停運(yùn)狀態(tài)（例如，能源生產(chǎn)和存儲(chǔ)期間，或維護(hù)停機(jī)期間）均能按預(yù)期運(yùn)行。
      4.  數(shù)據(jù)保密性：無論是處于靜止?fàn)顟B(tài)還是在傳輸過程中，組件生成的機(jī)密或敏感信息均受到保護(hù)。
      5.  限制數(shù)據(jù)流：確保設(shè)備連接到分段網(wǎng)絡(luò)，并在分段網(wǎng)絡(luò)中定義斷開策略、單向網(wǎng)關(guān)、防火墻和隔離區(qū)，以避免不必要的數(shù)據(jù)流。
      6.  及時(shí)響應(yīng)入侵事件：在任務(wù)關(guān)鍵型或安全關(guān)鍵型場(chǎng)景中發(fā)現(xiàn)入侵事件時(shí)，通知有關(guān)部門，上報(bào)與此次入侵事件相關(guān)的必要證據(jù)，并采取及時(shí)的補(bǔ)救措施，以應(yīng)對(duì)網(wǎng)絡(luò)安全事件。
      7.  資源可用性：確保應(yīng)用程序或設(shè)備的可用性不會(huì)降低，也不會(huì)無法提供基本服務(wù)。

四個(gè)標(biāo)準(zhǔn)化安全級(jí)別：組織必須對(duì)照這七項(xiàng)要求，逐項(xiàng)定義其所需的安全級(jí)別。安全級(jí)別越高，就越能更好地抵御更為復(fù)雜的攻擊。安全級(jí)別定義了在設(shè)備層面及整個(gè) OT（例如配電）系統(tǒng)中所嵌入的網(wǎng)絡(luò)安全功能。提高設(shè)備和系統(tǒng)的魯棒性可使其對(duì)網(wǎng)絡(luò)威脅更具抵抗力：

IEC 62443 標(biāo)準(zhǔn)所定義的四個(gè)網(wǎng)絡(luò)安全級(jí)別

對(duì)于電氣系統(tǒng)設(shè)計(jì)人員及其客戶而言，確定應(yīng)具備哪些網(wǎng)絡(luò)安全功能可能是一個(gè)復(fù)雜而繁瑣的過程。IEC 62443 允許最終用戶為設(shè)施的配電系統(tǒng)和組件指定可確保網(wǎng)絡(luò)安全合規(guī)性的目標(biāo)安全等級(jí)，從而簡(jiǎn)化了該過程。系統(tǒng)設(shè)計(jì)師、設(shè)施所有者和管理人員應(yīng)在 IEC 62443 標(biāo)準(zhǔn)的指導(dǎo)下，實(shí)施諸多重要步驟，以確保其互連配電系統(tǒng)（包括網(wǎng)絡(luò)、控制和安全系統(tǒng)解決方案）盡可能安全。

未雨綢繆，強(qiáng)化電網(wǎng)系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)

在中國(guó)，從國(guó)家到電力行業(yè)，電網(wǎng)系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)一直是重中之重。為深入貫徹網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略，全面落實(shí)網(wǎng)絡(luò)安全工作，國(guó)家能源局早在2018年就印發(fā)《關(guān)于加強(qiáng)電力行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》，從電力行業(yè)全局的角度指導(dǎo)、推進(jìn)網(wǎng)絡(luò)安全工作。新基建浪潮下，兩大電網(wǎng)公司在加快數(shù)字化轉(zhuǎn)型步伐的同時(shí)，也不斷強(qiáng)化電網(wǎng)的網(wǎng)絡(luò)安全防護(hù)。施耐德電氣積極參與網(wǎng)絡(luò)信息安全建設(shè)，已經(jīng)成為多個(gè)聯(lián)盟的成員，其中包括工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟、中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟、和工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟等。

在全球，作為《網(wǎng)絡(luò)安全技術(shù)協(xié)議》（Cybersecurity Tech Accord）的成員企業(yè)，施耐德電氣一直與各國(guó)政府、客戶和合作伙伴密切協(xié)作，應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和挑戰(zhàn)。施耐德電氣及其合作伙伴曾多次在數(shù)字化創(chuàng)新項(xiàng)目上攜手努力，確保網(wǎng)絡(luò)安全措施在從邊緣計(jì)算到云的每個(gè)開發(fā)階段都得到深入貫徹。在電網(wǎng)領(lǐng)域，施耐德電氣通過全面的網(wǎng)絡(luò)安全性確?？蛻舻臉I(yè)務(wù)連續(xù)性。增強(qiáng)從傳感器級(jí)別到應(yīng)用程序級(jí)別的網(wǎng)絡(luò)安全性，包括人員、流程和組織等。