今年6月是全國第19個“安全生產(chǎn)月”。圍繞“消除事故隱患，筑牢安全防線”的主題，全國能源行業(yè)正緊鑼密鼓地開展 “安全生產(chǎn)月”活動。在統(tǒng)籌疫情防控和經(jīng)濟社會發(fā)展工作中，能源安全保障的重要性尤為突出。2020年《兩會政府工作報告》兩次提到“保障能源安全”，并強調(diào)加大“六穩(wěn)”工作力度，落實“六保”任務(wù)。

隨著電力及其能源行業(yè)的數(shù)字化轉(zhuǎn)型，能源安全的內(nèi)涵也發(fā)生了變化。能源安全不光是傳統(tǒng)概念里的充足能源供應(yīng)，也包括跟數(shù)字化轉(zhuǎn)型相關(guān)的網(wǎng)絡(luò)安全。物聯(lián)網(wǎng)正通過釋放配電系統(tǒng)的數(shù)據(jù)潛力，幫助組織提高生產(chǎn)率和盈利能力。但是，隨著設(shè)備互聯(lián)互通以及IT和OT 進一步融合，網(wǎng)絡(luò)安全風(fēng)險也隨之增加。如網(wǎng)絡(luò)攻擊導(dǎo)致停電，則會造成巨大經(jīng)濟損失，甚至可能危及生命。

如何解決IT向左、OT向右的配電物聯(lián)網(wǎng)網(wǎng)絡(luò)安全困境，制定全面的網(wǎng)絡(luò)安全管理策略？近期，施耐德電氣發(fā)布《配電物聯(lián)網(wǎng)網(wǎng)絡(luò)安全》報告，分析IT與OT在職責(zé)、經(jīng)驗以及工作重點方面的差異，介紹電氣系統(tǒng)網(wǎng)絡(luò)安全的重點以及 IEC 62443 標(biāo)準(zhǔn)所提供的應(yīng)對策略。

物聯(lián)網(wǎng)在連接越來越多的設(shè)備、系統(tǒng)、流程和建筑物的同時，也增加了網(wǎng)絡(luò)攻擊的風(fēng)險

IT向左？OT向右？

隨著物聯(lián)網(wǎng)連接設(shè)備數(shù)量增加，再加上 IT/OT 系統(tǒng)融合，IT 和 OT 團隊必須在網(wǎng)絡(luò)安全管理方面緊密合作，以確保所有攻擊面都得到保護，且雙方團隊能夠在相互協(xié)調(diào)的基礎(chǔ)上，對任何網(wǎng)絡(luò)安全漏洞或攻擊快速作出響應(yīng)。

但是，由于雙方在職責(zé)、經(jīng)驗等方面存在差異，展開協(xié)作對雙方而言可能是一項挑戰(zhàn)。

IT 和 OT 團隊在網(wǎng)絡(luò)安全方面的工作重點經(jīng)常重疊，但并非所有的關(guān)注重點都完全一致。例如，一項工業(yè)物聯(lián)網(wǎng)調(diào)查顯示：“IT 團隊最關(guān)注數(shù)據(jù)保護、防止財務(wù)損失和遵守行業(yè)法規(guī)；而 OT 團隊則強調(diào)可靠性、可用性、效率和生產(chǎn)方面的提升，組織內(nèi)部的安全性，以及設(shè)備和系統(tǒng)的保護。”

同時，IT 部門擁有網(wǎng)絡(luò)安全領(lǐng)域的專業(yè)知識，然而IT 團隊通常并不具備 OT 系統(tǒng)（如配電）方面的任何經(jīng)驗。同樣，OT團隊雖然擁有電力方面的專業(yè)知識，卻常常缺乏或沒有網(wǎng)絡(luò)安全方面的經(jīng)驗。

IT 和 OT 團隊在安全優(yōu)先級方面也存在差異：IT 團隊的工作重點通常是確保保密性、完整性和可用性，從而保障系統(tǒng)的安全性。OT 團隊主要致力于確保安全性、可靠性和保密性，從而保持運營正常進行。

IT 和 OT 團隊在職責(zé)和專業(yè)知識方面的差異

IEC 62443 標(biāo)準(zhǔn)優(yōu)化IT 和 OT 合作，應(yīng)對網(wǎng)絡(luò)安全風(fēng)險

由國際標(biāo)準(zhǔn)化協(xié)會 (ISA) 和國際電工委員會 (IEC) 聯(lián)合制定的 IEC 62443 提供了一系列標(biāo)準(zhǔn)，旨在“滿足需求，即通過設(shè)計使工業(yè)自動化控制系統(tǒng) (IACS) 具備網(wǎng)絡(luò)安全魯棒性和彈性，在盡可能廣泛的意義上應(yīng)用，涵蓋所有類型的工廠、設(shè)施和系統(tǒng)、硬件和軟件系統(tǒng)，例如 DCS、PLC、SCADA、聯(lián)網(wǎng)電子傳感及監(jiān)視和診斷系統(tǒng)。”而利用物聯(lián)網(wǎng)實現(xiàn)對配電系統(tǒng)的監(jiān)視和控制可被納入這一寬泛的范疇，因此，該標(biāo)準(zhǔn)是適用的。

IEC 62443 標(biāo)準(zhǔn)已得到許多國家和地區(qū)的認(rèn)可，并被包括施耐德電氣在內(nèi)的許多組織采用。該標(biāo)準(zhǔn)通過制定網(wǎng)絡(luò)安全的七大支柱和四個標(biāo)準(zhǔn)化安全級別，IEC 62443 標(biāo)準(zhǔn)為 IT 和 OT 團隊展開協(xié)作奠定了基礎(chǔ)，為兩個團隊之間的合作架設(shè)了“橋梁”。

IEC 62443 標(biāo)準(zhǔn)基于上述工作重點，制定了以下七項基本要求，以保護支持物聯(lián)網(wǎng)的 OT 系統(tǒng)：

      1.  訪問控制：在激活與某一組件的通信前，驗證請求訪問該組件的任何用戶的身份，從而保護該組件。
      2.  使用控制：在允許用戶執(zhí)行操作前，驗證用戶已獲得必要的授權(quán)，從而防止對組件資源進行未經(jīng)授權(quán)的操作。
      3.  數(shù)據(jù)完整性：確保組件在運營狀態(tài)和停運狀態(tài)（例如，能源生產(chǎn)和存儲期間，或維護停機期間）均能按預(yù)期運行。
      4.  數(shù)據(jù)保密性：無論是處于靜止?fàn)顟B(tài)還是在傳輸過程中，組件生成的機密或敏感信息均受到保護。
      5.  限制數(shù)據(jù)流：確保設(shè)備連接到分段網(wǎng)絡(luò)，并在分段網(wǎng)絡(luò)中定義斷開策略、單向網(wǎng)關(guān)、防火墻和隔離區(qū)，以避免不必要的數(shù)據(jù)流。
      6.  及時響應(yīng)入侵事件：在任務(wù)關(guān)鍵型或安全關(guān)鍵型場景中發(fā)現(xiàn)入侵事件時，通知有關(guān)部門，上報與此次入侵事件相關(guān)的必要證據(jù)，并采取及時的補救措施，以應(yīng)對網(wǎng)絡(luò)安全事件。
      7.  資源可用性：確保應(yīng)用程序或設(shè)備的可用性不會降低，也不會無法提供基本服務(wù)。

四個標(biāo)準(zhǔn)化安全級別：組織必須對照這七項要求，逐項定義其所需的安全級別。安全級別越高，就越能更好地抵御更為復(fù)雜的攻擊。安全級別定義了在設(shè)備層面及整個 OT（例如配電）系統(tǒng)中所嵌入的網(wǎng)絡(luò)安全功能。提高設(shè)備和系統(tǒng)的魯棒性可使其對網(wǎng)絡(luò)威脅更具抵抗力：

IEC 62443 標(biāo)準(zhǔn)所定義的四個網(wǎng)絡(luò)安全級別

對于電氣系統(tǒng)設(shè)計人員及其客戶而言，確定應(yīng)具備哪些網(wǎng)絡(luò)安全功能可能是一個復(fù)雜而繁瑣的過程。IEC 62443 允許最終用戶為設(shè)施的配電系統(tǒng)和組件指定可確保網(wǎng)絡(luò)安全合規(guī)性的目標(biāo)安全等級，從而簡化了該過程。系統(tǒng)設(shè)計師、設(shè)施所有者和管理人員應(yīng)在 IEC 62443 標(biāo)準(zhǔn)的指導(dǎo)下，實施諸多重要步驟，以確保其互連配電系統(tǒng)（包括網(wǎng)絡(luò)、控制和安全系統(tǒng)解決方案）盡可能安全。

未雨綢繆，強化電網(wǎng)系統(tǒng)的網(wǎng)絡(luò)安全防護

在中國，從國家到電力行業(yè)，電網(wǎng)系統(tǒng)的網(wǎng)絡(luò)安全防護一直是重中之重。為深入貫徹網(wǎng)絡(luò)強國戰(zhàn)略，全面落實網(wǎng)絡(luò)安全工作，國家能源局早在2018年就印發(fā)《關(guān)于加強電力行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》，從電力行業(yè)全局的角度指導(dǎo)、推進網(wǎng)絡(luò)安全工作。新基建浪潮下，兩大電網(wǎng)公司在加快數(shù)字化轉(zhuǎn)型步伐的同時，也不斷強化電網(wǎng)的網(wǎng)絡(luò)安全防護。施耐德電氣積極參與網(wǎng)絡(luò)信息安全建設(shè)，已經(jīng)成為多個聯(lián)盟的成員，其中包括工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟、中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟、和工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟等。

在全球，作為《網(wǎng)絡(luò)安全技術(shù)協(xié)議》（Cybersecurity Tech Accord）的成員企業(yè)，施耐德電氣一直與各國政府、客戶和合作伙伴密切協(xié)作，應(yīng)對網(wǎng)絡(luò)安全風(fēng)險和挑戰(zhàn)。施耐德電氣及其合作伙伴曾多次在數(shù)字化創(chuàng)新項目上攜手努力，確保網(wǎng)絡(luò)安全措施在從邊緣計算到云的每個開發(fā)階段都得到深入貫徹。在電網(wǎng)領(lǐng)域，施耐德電氣通過全面的網(wǎng)絡(luò)安全性確保客戶的業(yè)務(wù)連續(xù)性。增強從傳感器級別到應(yīng)用程序級別的網(wǎng)絡(luò)安全性，包括人員、流程和組織等。