2015年12月23日，俄羅斯能源部表示，因烏克蘭輸往克里米亞的電力供應全面中斷，截至當?shù)貢r間22日晚間，克里米亞共有164萬人受到電力供應中斷影響。據(jù)俄能源部當天發(fā)布的公告，克里米亞全境共有約300個大型社會服務設施被中斷電力供應，其中包括150所中學、100所幼兒園、40個鍋爐房等。

2015年12月27日，烏克蘭電力公司網(wǎng)絡系統(tǒng)遭到黑客攻擊，導致烏克蘭西部地區(qū)大規(guī)模停電。據(jù)路透社報道，烏克蘭西部電力公司表示，他們服務區(qū)域的一部分，包括Ivano-Frankivsk的總部，因為工控系統(tǒng)受到干擾而停電。烏克蘭國家安全局譴責俄羅斯黑客應對此次事件負責，俄羅斯方面 則未對此置評。

 克里米亞和烏克蘭的這兩次停電事故是否有聯(lián)系，折射出目前錯綜復雜的國際形勢，在此我們不做分析，但停電事故中所暴露出的工業(yè)控制系統(tǒng)的安全問題，則足以給予我們警示。工業(yè)控制系統(tǒng)（Industrial Control Systems,ICS）是幾種類型控制系統(tǒng)的總稱，包括監(jiān)控和數(shù)據(jù)采集（SCADA）系統(tǒng)、分布式控制系統(tǒng)（DCS）和其它控制系統(tǒng)如可編程邏輯控制器（PLC）、遠程終端（RTU）、智能電子設備（IED）等，以及確保各組件通信的接口技術。工業(yè)控制系統(tǒng)普遍應用在電力、石油天然氣、自來水和污水處理、化工、交通運輸、造紙等行業(yè)，是工業(yè)基礎設施能夠正常運作的關鍵。

最初的工業(yè)控制系統(tǒng)采用專門的硬件和軟件來運行專有的控制協(xié)議，而且由于是孤立的系統(tǒng)，不太容易受到外部的攻擊。隨著信息技術的發(fā)展，通用的計算機、操作系統(tǒng)（如Windows）和網(wǎng)絡協(xié)議（TCP/IP）在工業(yè)控制系統(tǒng)中得到了廣泛應用，大大增加了網(wǎng)絡安全漏洞和事故出現(xiàn)的可能。另外，工業(yè)控制系統(tǒng)也開始與企業(yè)管理網(wǎng)絡、生產(chǎn)監(jiān)控網(wǎng)絡互聯(lián)互通，而這些網(wǎng)絡本身又具備相當?shù)拈_放性，甚至存在同互聯(lián)網(wǎng)的接口，這為信息系統(tǒng)的安全威脅向生產(chǎn)系統(tǒng)擴散提供了便利條件。可以說，傳統(tǒng)的IT系統(tǒng)所面臨的信息安全風險，在工業(yè)控制系統(tǒng)中都是存在的，而且工業(yè)控制系統(tǒng)直接同生產(chǎn)設備交互，決定了其安全性還存在自己的特點。

工業(yè)控制系統(tǒng)中存在比較多的工業(yè)控制協(xié)議如Modbus、OPC、PROFIBUS/PROFINET、DNP3、IEC 60870-5-101/104等。絕大多數(shù)工控協(xié)議在設計之初，僅關注效率、實時性和可靠性以滿足工業(yè)生產(chǎn)的需求，而忽視了安全性的需求，缺少諸如認證、授權和加密等安全機制，這使得工業(yè)控制協(xié)議更容易遭受第三者的竊聽及欺騙性攻擊。而通用IT安全產(chǎn)品，比如防火墻、IDS等，對于工業(yè)控制協(xié)議的識別和檢測時不夠的，比如對Modbus、OPC、DNP3等協(xié)議字段級別的識別和防護。在工業(yè)控制系統(tǒng)中，還需采用支持工業(yè)控制協(xié)議的專用安全產(chǎn)品來彌補通用安全技術的不足，實現(xiàn)對網(wǎng)絡邊界的完全保護。

根據(jù)網(wǎng)絡上已有的分析，黑客組織很有可能利用了臭名昭著的BlackEnergy的惡意軟件來發(fā)動攻擊。早在2007年BlackEnergy就開始在俄羅斯的地下網(wǎng)絡中流通，最初它被設計為一個能夠進行DDoS攻擊的僵尸網(wǎng)絡工具，隨著時間的推移，該惡意軟件已經(jīng)演變?yōu)榭梢灾С指鞣N插件，并且基于攻擊的意圖進行組合以提供必要的功能。在2008年格魯吉亞沖突期間，BlackEnergy曾被用來對格魯吉亞實施網(wǎng)絡攻擊。從暴露的樣本來看，此次攻擊樣本開始于一個xls文檔，通過與控制端的交互產(chǎn)生了后續(xù)的BlackEnergy，再通過BlackEnergy釋放出破壞性的KillDisk插件和SSH后門程序來破壞受感染系統(tǒng)，致使其無法恢復。烏克蘭電力系統(tǒng)不得不使用備份系統(tǒng)，大大延長了電力系統(tǒng)恢復運行的時間。

針對此類攻擊，一方面需要強化對電力專用網(wǎng)絡的隔離和監(jiān)控，BlackEnergy運轉(zhuǎn)的前提是內(nèi)網(wǎng)同CC服務器的交互，根據(jù)我國的電力系統(tǒng)二次防護規(guī)定，電力調(diào)度數(shù)據(jù)網(wǎng)應當在專用通道上使用獨立的網(wǎng)絡設備組網(wǎng)，在物理層面上實現(xiàn)與電力企業(yè)其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。如果真正實現(xiàn)了物理隔離，那么通過網(wǎng)絡途徑是無法侵入調(diào)度系統(tǒng)的。另一方面需要對調(diào)度網(wǎng)內(nèi)部的網(wǎng)絡訪問加強防護，比如對SCADA系統(tǒng)、EMS系統(tǒng)的準入控制，除了傳統(tǒng)的IT防護手段，必然還需要通過部署專業(yè)的工業(yè)控制防護產(chǎn)品來加強。

作為國內(nèi)最早推出專業(yè)工控安全產(chǎn)品和安全服務的廠商，力控華康的工業(yè)防火墻和工業(yè)網(wǎng)絡安全防護網(wǎng)關是目前比較成熟的工業(yè)控制網(wǎng)絡邊界防護產(chǎn)品，在鋼鐵冶金、石油化工、電力、市政等領域有著廣泛的應用。

力控華康HC-ISG工業(yè)防火墻是國內(nèi)首款專門應用于工業(yè)控制安全領域的自主知識產(chǎn)權的防火墻產(chǎn)品，能有效針對SCADA、DCS、PLC、RTU提供安全保護。HC-ISG支持對常見工業(yè)控制協(xié)議的識別、過濾和深度防御，可以對工業(yè)協(xié)議內(nèi)部的指令、寄存器等信息進行檢查，防止應用層協(xié)議被篡改或破壞，保證工業(yè)協(xié)議通訊的可控性和準確性。

力控華康PSL工業(yè)網(wǎng)絡安全防護網(wǎng)關是一款安全隔離產(chǎn)品，用于解決工業(yè)控制系統(tǒng)接入信息網(wǎng)絡時的安全問題。PSL安全防護網(wǎng)關采用“2+1”的安全隔離技術架構，阻斷網(wǎng)絡間直接的TCP/IP連接，通過專有協(xié)議實現(xiàn)對OPC、Modbus等工業(yè)控制協(xié)議的封裝和安全的數(shù)據(jù)傳輸。