这条准则随后出现在2002年原国家经贸委30号令《电网与电厂计算机监控系统及调度数据网络安全防护规定》当中,该令最核心的原则就是强调 “生产控制大区和管理信息大区必须物理隔离,生产控制用的调度数据网络必须与管理网络、因特网物理隔离”。
2004年年底,原国家电监会5号令《电力二次系统安全防护规定》出台,该令的核心为“安全分区、网络专用、横向隔离、纵向认证”,即“16字方针”。该方针可以解释为:合理划分安全分区,扩充完善电力调度专用数据网,采取必要的安全防护技术和防护设备,剥离非生产性业务,实现电力调度数据网络与其他网络的物理隔离。当时解决了电力监控系统的“结构安全”问题。
今年9月1日,国家发改委2014年第14号令即《规定》正式施行。《规定》的出台与上一道令间隔恰好十年。
十年间,我国电力监控系统安全防护技术和理念又得到了巨大提升,这些提升全部体现在《规定》之中。
这十年期间,2007年公安部推出 《信息安全等级保护管理办法》。其中就信息安全等级保护管理工作制定了一系列国家标准。该《办法》主要面向计算机系统、通信系统等,它解决的是四个层面的问题,即应用软件没有恶意软件,操作系统没有恶意后门,计算机(主机)主板没有恶意芯片,核心芯片(CPU)不能有恶意指令。该《办法》强调的是“本体安全”,它与《电力二次系统安全防护规定》“16字方针”强调的“结构安全”形成互补。
《规定》则将上述两项成果尽收囊中。不仅如此,《规定》还提出“物理安全”的要求,比如电力监控系统机房不能停电,不能着火,不能进水,还要具备电磁屏蔽功能等等。
同时,《规定》对“管理安全”也提出相应要求,三分技术,七分管理。技术进步是无止境的,也是无法做到最好的,所以还要 靠人的管理。
然而,做到上述这一切就够了吗?显然不够。
一项更为可靠的安全内容———基于可信计算技术的系统“安全免疫”技术出现在《规定》当中。