尊敬的张总，各位同仁，向大会汇报一下网络攻击与防御，等于是电网安全的一部分。这个题目不好讲，讲少了大家听着不过瘾，讲多了以后我会犯错误，希望大家理解。
    同样的问题，这是简单的三个方面跟大家汇报一下。大家看到这有一个土药是IEC的，因为在这个月初刚刚去美国参加的IEC国际电工技术委员会的一个年会，在这个会上有一个第15工作组，是安全工作组，这是他们的一个报告，我其中摘了一段过来，跟大家分享一下。他们遇到的问题跟咱们今天的问题是一样的，他们也不能说多了，说多了他们犯错误，所以就采取了一个问答的方式。有这几个问题提出来，在座的各位可以一起想一想，可以自己在心里答一答，是一个互动的，但是不打分。
    第一个问题，刚才张总说到8.14大停电是不是恐怖袭击造成的，或者网络袭击造成的？回答是NO，不是。但是这里面有两个问题，这张图咱们看到，刚才张总那有一张图，这张图是不是大停电的卫星照片？你仔细看这张图根本不是，这是一张其他的图放在这了。另外8.14事故虽然不是恐怖袭击引起的，但是事故分析报告我引了一段原话，这段原话的意思就是说，没有证据表明这一次停电事故是由于恐怖袭击和网络攻击造成的，但是我们调查发现，美国的电网系统非常脆弱，要加强防护，于是就有了今天的美国不允许带公开场合讨论电力系统的演讲。这个各国都一样，希望大家理解。
    第二个问题是有没有绝对的安全？即使有风险，我们搞安全就行了。回答是NO，有的回答是如果我在我自己的控制范围内可以。但是真实的答案是没有，而且所谓的安全，所谓的资产和设备是需要保护的。另外一个问题是什么是Assets？这个概念本身就是模糊的。不经过详细的分析不能确定，至少我们电力系统是现在国家关注的八大技术领域之一，肯定是属于这个范围的。他们做了一个曲线，这个曲线的意思是说在没有采取安全措施之前，风险是很高的。采取安全措施之后，可能是比较低的，风险低了。但是随着时间的推移，人们会放松警惕，时间越长，风险就翘尾巴了。还有一个概念提出来，是不是能做到企业范围内的安全？回答是NO，做不到。有人说在宇宙飞船上能不能做到？它是一个孤立系统，后来研究做不到。还有一个问题是什么叫企业？就像咱们现在电力企业是遍布全国，分布到千家万户，所以企业这个概念是做不到整个企业安全的。企业里面哪些地方是需要安全防护的？好多诱发电设备、电网设备等等。管理机构算不算企业？这是提出的问题。再一个安全的边界在哪儿？圈里面我保证安全了，圈外面我就不管了，这是一个概念。这个概念现在看来是错误的，这个边界是很难画的，即使画了之后圈里面是圈立宪的安全，圈外面是圈外面的安全，里面的安全更重要。还有说有没有安全袭击的例子呢？说2000年的时候，有一个水电站收到一个匿藏信号，在四年之前在IEC会上做了一个报告，于是IEC成立第15工作组，咱们中国也采取了一系列的措施。
    中国因为也是安全的原因，也只能在那个地方简单的说一说，不能简单说。中国叫电力二次系统，也就是发电、输电、变电、配电到用电，各个环节都有一系列的测控装置送到控制中心，五级控制中心统一协调。这里面自然而然的就有很大的安全问题，有三个典型事件，第一个就是二摊这个，这是2000年10月13号下午，七秒钟甩出力79万，川渝主几乎瓦解。第二个2001年10月1日，某公司生产的故障录波装置出现"时间逻辑炸弹"，全国共146套。原因说起来很简单，就是这个公司的几个技术骨干跳槽，临走之前把他产品里面放了这么一个定时器，他走了之后几个月，这个定时器发作，把原来的单位搞垮了，新的单位我也做同样的东西我就赚钱了。但是后来这几个人给抓起来了，后面怎么处理就不知道了。这是非常典型的一次管理的事件。咱们可以想一想，这个故障录波相当于飞机的黑盒子，不是自动驾驶控制系统，如果这样的东西放在我们计量保护，发电站自动化系统，想想那是什么后果。第三个事件，03年12月30日，基本上是到年底了，咱们全国最大的发电站50万直流输电，从三峡龙泉到上海政平，南边到广州的鄂城，这三个发电站同时发现大量的病毒，控制系统病毒。导致停机杀毒，耽误了好长时间。原因是，国外一个大公司，非常著名的公司，软件调试人员拿着笔记本电脑上网，从远方下载过来修改的软件，然后把这个笔记本电脑插到控制系统，把病毒导入控制系统。因为报纸上没有公布名字，所以我们也不点名，大家一想都知道。为什么只是这三个换流站，没有影响到其他的换流站，因为其他换流站有单独的设备。这几个换流站，他的控制系统都是基于微软的Windows操作系统，大量的病毒都是针对Windows，并不是Windows操作系统不用Linux和Unix系统，只是病毒太多了。去年二月份美国组织了一次网络的演习，其中请了几个网络专业的安全防护公司，有一百多家参加。其中有十个电力公司参加了这个演习，当时用假系统，不是真系统。结果攻击的结果，这十家电力公司无一幸免。从这就可以看到，为什么美国现在这么紧张。
    咱们国家他们说你们很幸运，我说我们受到这么多攻击我们幸运什么？因为我们吃了亏了，所以知道这个痛苦，有切肤之痛，所以采取了一系列的措施。国家强力机关发了两个令，这两个令是公开的，一个是30号令，当时经贸委发的，一个是现在电监会发的五号令，为同一个事发两个令，这样的事是很少见的。现在30号令，这还是在当时张总直接领导下出台的。这个防护重点怎么办？我这画了一个图，一个大院，大院因特网是全世界连在一块儿，谁也逃不了。二院是我们电力企业的信息系统。三院是调度系统，这个三院里面有几块，一个是控制中心的控制系统，自动化系统和保护系统，还有发电变电站。这三块要重点保护，这三点会导致电网事故，会导致大面积停电。其他外面的你财务和ERP可以出现故障，但是不至于停电。中国采取的主要措施，我现在能说的就是这16个字，电力系统的同志大概都清楚，也不需要其他的同志清楚。安全分区，关键要把这些应用分到一个生产控制大区，一个管理大区。网络专用，就是生产控制大区用的纵向的网络是专用的网络，必须和企业网、信息网物理上隔离。这两个大区要做一个相当于二极管似的单项隔离装置，隔离开。纵向认证，就是在局域和广域的边界上做一个认证的装置。这16字方针，应该说贯穿了五号令，三十号令是前面两条，所以五号令是在三十号令近来上进一步完成。我们已经实施了几年，在事实过程中要突出重点，抓大放小。重点就是省级以上的调度中心，20万以上的变电站。地市调，以及县调，配调，应该是越基层，变电站越，实施的难度越大，但是他影响的范围越小，可以做相当一级的简化处理。总体上要有多层次的隔离，总体的方案相当于一个例题删格状的。这个是经过国内近200位专家几年的研究写出来的。
    最后有几点建议，这个建议也是给在IECTC57会议上给他们的建议。因为有人提出来说咱们搞的很好，但是这是现行的国际标准，三套国际保准。自动化调度中心61970C这个系列，不支持这一条，怎么办？很好办，把应用分分组，所有的标准都不用动，这是最简单。第二个措施现在我们出了那么多通讯协议，TC57出了四个系列通讯协议，这个协议不展开说了。现在第15工作组重点是逐个修改这些协议，来满足安全的要求。我们给他们一个建议，不用逐个修改这些协议，给它做一个外壳Frame，这个外壳的头上可以进行加密认证的措施，把这些协议通通往容器里一装最简单，所以归纳起来就是这么两个，一个是定义安全应用的基础的导则就可以了。定义一个公用的安全Frame协议，这个就算是中国对于国际标准IEC的建议。