IEEE-SA News & Information

Learn more about the IEEE-SA, our process, view recent press releases, and much more.

智能电网面临安全挑战

麻省理工科技创业, December 2011

作者:IEEE中国代表处首席代表华宁

在传统的商业网络领域,不同纵向市场对网络安全的要求大同小异。但为什么在智能网络时代,对公用设备安全的要求却不同于其他商业数据中心历来所采用的安全系统要求呢?

要解决这一问题须从多方面入手。相信随着未来数十年智能电网的进一步部署,更多由安全带来的挑战将不断显现。

高风险

最大、最明显也是最重要的区别就在于设备可能爆炸,并导致人员伤亡。

在构建智能电网时,我们是在电力系统的基础上创建通信能力和信息能力。现有网络的智能化是在不断进化的。发电、输电和配电的行业控制系统应用程序与公用设备的信息技术(IT)系统相整合,构成公司和商业信息网络。作为智能电网的构建基础,这一整合对网络安全提出了更严格的要求。

公用事业设施的网络安全将直接影响到现实世界的安全和可靠。如果变电器或变电站的数据联网配置出现错误,将可能导致极其严重的后果,这些设施的工作人员和周边居民的安全将受到威胁,并且整个电网的可靠性和稳定性也可能遭到严重破坏。 这就是智能电网对网络安全的要求与其他网络存在区别的最大原因。对一般网络而言,即使出现故障也不会给安全和整个经济造成风险(医疗卫生和金融基础设施除外)。对于不断发展的智能电网来说,与电网相连的终端设备承担着关键任务,必须确保其不会对电网安全产生直接影响。

智能电网的安全性、可靠性和稳定性三者间的相互作用对整个网络而言十分重要。发电设备故障或恶劣的天气条件等不可靠条件会导致不稳定事件的发生,而所有不稳定因素都会对系统的可靠性造成破坏。一些危害安全的行为可能对发电系统的可靠性和稳定性构成威胁。有的危害行为看似常见的可靠性或稳定性问题,因而延误了发现安全危害的时机。这三者间的关系是相辅相成的,一个因素的改善也会对另外两者产生积极影响。但最终我们发现,要端对端地从整体上提升智能电网的安全性、可靠性和稳定性,最佳的解决方式是首要确保安全,就能同时确保网络的可靠和稳定。

对通路类型的适应性

智能电网不但安全风险系数更高,其安全保障的构建原理也与众不同。

过去,行业控制系统的关键信息交换都是通过专门的点对点网络基础设施进行的,其构建基础是专利通信技术,信息交换的界面也较为模糊。它与其他商业运行网络间不存在接触点,因为当时不需要信息的连通性,相对独立能够带来安全。而在如今的智能电网时代,设备的行业控制系统将与公司网络和商业信息系统相整合,利用现有的系统内容,却也同时对安全带来了更高的风险。

网络不同部分对安全度的要求是相似的,但不完全相同。

一个普通的IT系统应达到三大网络安全目标:按优先秩序,分别是数据的保密性、整合性和可得性(CIA):

  • • 保密性——网络用户是否是获得授权的数据接收方或数据来源?
  • 整合性——问题数据是否是原始数据,还是已被修改?
  • 可得性——当需要获得信息时,是否会产生获得响应遭拒绝的情况?

虽然还有很多因素需要在不同程度上加以考虑,但CIA是公司网络和商业信息网络所应优先达到的安全目标。

如果我们转变对公用事业设备的行业控制系统的审视角度,保密性风险依然存在,但整合性和可得性的重要性更大。在电网中,服务响应遭拒是最严重的安全风险,因为能否及时获得信息通常是最为重要的。

因此,在寻求智能电网的网络安全解决方案时,适应能力是关键,因为必须同时为商业网域和行业控制系统网域动态提供安全保障。当安全解决方案关注于处理商业网域的数据/应用程序,那么保密性应被视为优先要素;而如果解决方案是以处理行业控制系统为主,那么可得性和整合性就应为优先考虑的要素。这两者之间是相互影响的。对智能电网而言,解决方案必须考虑到在商业网域中特殊事件的发生(如公用设备公司的员工未按规定完成工作等)可能对行业控制系统造成的影响,以及应如何智能地应对。

智能电网的网络安全解决方案不能是单一平面的静态模式,必须做到持续地适应相互整合的不同网域中发生的各种事件。

对各类资源的适应性

智能电网领域的资源多样性也是对网络安全产生适应性需求的原因之一。

IT应用程序通常是在台式电脑、服务器、第三方数据中心或智能手机上运行。这些设备的数据处理能力是极为强大的;并且多数情况下都能获得宽带连接。有些安全解决方案对信息资源采用高等级加秘技术,目的是数据不能被解密甚至被拦截。此类安全解决方案的建立基础就是资源的可得性。

试想我们需要确保所有进行数据交换的小型信息设备的安全性。所有变压器、短路器、继电器、交换器和其他变电站设备都拥有智能电子设备(IED)进行相互交流和与变电站或控制站点联系。但这些设备的数据处理能力和所连接的网络带宽则相对较低。

公用设备无法承担对智能电网安全的“过度保障”——即在整个网络中,盲目地对所有数据和应用程序都采用同样的、最高复杂程度的安全服务措施(例如对所有大型和小型的设备统一自动装载补丁)。可以在带宽高的环境下使用的安全解决方案对于在低带宽环境下运行的低数据处理能力的设备是不适用的。同一种方案不能适用所有情况。这也就是说,智能电网的安全解决方案必须能够根据资源的可得性进行适应性调整。同样的,各IT和能源/程序工程实践间的不同也将对安全保障程序的适应性提出要求。

所有这些观点均向我们提出了制定额外智能电网标准的要求。比如,目前还没有一个获广泛应用的标准来规范适应性加密术要求。尽管智能电网不一定需要新的、特别定制的加密能力、病毒扫描软件或认证流程等,但必须制定一款合理的程序为高适应性系统提供安全要素,以能够获得端对端的多层次数据和应用程序以及合理使用能力。

结论

智能电网的安全问题不是一尘不变的,不能通过设计一套解决方案,由设备运行后就得以获得一次性解决。它就像一条在黑暗中只有路灯照明的高速公路,绵延弯曲,只有在行进的过程中问题才会逐一呈现。 美国政府出资的智能电网实证项目以及其他国家的各项活动将提供电网安全挑战的各方面重要数据,但我们仍然需要更多、范围更广的研究、模拟试验和建模系统。例如,网络安全行业正试图从目前运行的系统中更多了解有关需求响应系统的保密性问题。在目前的系统中,公用设备提供标价信息,用户的设备做到自动响应。但当前系统所无法提供的是关键可得性问题的信息:智能电网如何确保安全,保证需求响应系统不受到巨大的服务不响应攻击?安全遭到破环的现象是如何模拟成设备故障的?这类事件的发生会带来怎样的后果?

当然,这些问题还有待更深入的研究。智能电网所带来的网络安全性挑战体现出更大的风险,并在风险评估和控制方面对适应性提出了更高的要求,这些都将是全新的课题。