數字化對于電氣系統、將資產連接到網絡以及通過高速通信提供可見性和控制至關重要。隨著智能電網和可再生能源的發(fā)展，信息技術支撐著從發(fā)電到配電的所有電力輸送環(huán)節(jié)。然而，雖然自動化程度的提高和集成系統增強了數據分析和實時控制，但它們可能會使電網容易受到網絡攻擊。

通過利用漏洞，黑客可以阻止社區(qū)獲得電力、水和衛(wèi)生設施，并關閉企業(yè)、醫(yī)院和交通。攻擊使公用事業(yè)公司失去收入并對社區(qū)產生深遠的經濟影響。此外，客戶數據泄露會招致巨額罰款和失去信任。

請下載最新一期九月電子書

日益增長的風險

在最近的一項調查中，超過一半的電力公司報告了最近的數據泄露或系統關閉，四分之一遭受了大規(guī)模攻擊。盡管如此，只有不到一半的公用事業(yè)公司認為他們的網絡安全準備程度很高。[1],[2] 大多數公用事業(yè)公司接受網絡安全是一個優(yōu)先事項，但有效實施它可能是一個困難的過程。[3]

雖然公用事業(yè)通信系統的各個級別都可能發(fā)生網絡攻擊，但無線局域網 (WAN) 尤其容易受到攻擊，并且可能允許黑客在相對未被發(fā)現的情況下竊取數據流。三種主要類型的攻擊會影響電氣系統：

機密性：黑客危害數據安全。

完整性：攻擊者操縱數據來影響命令序列并導致跳閘、功能喪失或過載。

可用性：最簡單的攻擊形式通過分布式拒絕服務攻擊使 WAN 系統不可用。 [4]

雖然可以通過重新啟動從某些網絡攻擊中恢復，但協同攻擊可能會使組件過載并造成物理損壞。 [5]

實例探究

最近發(fā)生的一些網絡攻擊強化了強大的網絡安全的重要性。在印度，2017 年 5 月發(fā)生了針對西孟加拉邦電力分配 (WBSEDCL) 的勒索軟件攻擊，而 11 月的一次攻擊襲擊了北阿坎德邦的 Tehri 大壩，盡管保護系統阻止了這一企圖。在印度以外，2015 年在烏克蘭發(fā)生的一次襲擊導致 8 個變電站斷開連接，導致超過 200,000 人受到影響，公用事業(yè)公司不得不手動操作變電站數周。[6]

2020 年的其他攻擊包括對臺灣國有能源公司 CPC Corp 的勒索軟件攻擊，以及試圖破壞以色列供水基礎設施的企圖。一家日本電信公司報告稱，數百名客戶的數據被盜。 [7], [8], [9]

遷移到基于數據包的技術

增加的系統集成和網絡連接以及電力公用事業(yè)的數字化支持將運營通信網絡遷移到分組交換廣域網 (WAN) 的想法。

使用時分復用 (TDM)，系統復用兩個或多個數字信號，將它們分成相等長度的時隙，然后通過同一信道發(fā)送。接收器解復用這些并將它們重新組合成原始格式，從而提供針對網絡攻擊的偽安全

使用分組技術，尤其是通過廣域網，給電力公司帶來了新的挑戰(zhàn)，因為與 TDM 網絡相比，分組交換網絡的網絡安全要求是不同的。新技術需要在任何網絡條件下保證關鍵任務應用的關鍵性能參數（例如抖動、漂移、對稱和延遲），同時還要考慮變化的網絡安全要求。網絡安全將涵蓋來自 RTU 和中繼的應用程序數據，并保護 IEC61850 GOOSE 等網絡協議。應用程序依賴于準確的時間信息數據，黑客可以利用這些數據關閉電網。

分組技術的網絡安全

自然，電力公司希望他們的系統獲得最佳安全性，以在困難的操作環(huán)境中保持高可用性和帶寬。因此，非常需要確保電力公用事業(yè)基于分組的運營網絡中數據傳輸的機密性和真實性。他們可以通過對相關信息進行加密和認證來實現這一點。?

由于目前安裝在電力公用事業(yè)環(huán)境中的許多應用程序和終端設備不支持數據加密，因此需要使用其他技術來提供此類功能。其中一種措施是 IPsec 網絡協議，它通過共享安全屬性和拒絕未經授權的數據包來加密數據包以提供安全通信。這些協議支持相互身份驗證并使用 Internet 密鑰交換 (IKE) 來協商會話期間使用的加密密鑰。自然，公用事業(yè)公司希望所有系統都具有高水平的網絡安全，但 IPsec 通過增加數據開銷來增加數據包大小。

因此，IPsec 會顯著影響網絡性能，而這種降級會影響對延遲高度敏感的遠程保護等實時應用。由于延遲和抖動會影響數據質量，因此公司將網絡安全系統分層以專注于非關鍵任務數據。提供基本功能的低層通信具有廣泛的協議并且可以提供特別有效的保護。

目前使用的其他廣域網安全技術包括 MACsec 和鏈路層加密，它們并不總是適用于公用事業(yè)通信系統。MACsec 缺乏關鍵任務網絡的安全要求和靈活性，而第 1 層的鏈路層加密也是一種跳到跳解決方案，主要設計用于高吞吐量的數據中心連接。

一個創(chuàng)新的解決方案是將用于數據包處理的數據包引擎與用于加密和身份驗證操作的加密引擎分開。即使通過復雜的網狀網絡，這也會導致類似有線的確定性加密和身份驗證數據包傳輸。

一個反復出現的問題是，公用事業(yè)公司經常根據最新的攻擊來設計網絡安全，這不能防范復雜的未來攻擊并損害長期保護。例如，基于加密的系統面臨強大的量子計算機的威脅，量子計算機可以快速破解公鑰密碼術，從而使現有方法過時。隨著量子安全網絡的新標準在未來幾年出現，電網現在必須開始準備他們的設備和系統。

密鑰、數學和量子計算

密鑰管理為網絡加密生成密鑰，分配它們，組織主機之間的交換，并在傳輸結束時撤銷密鑰。隨著量子技術的發(fā)展，它將越來越多地危害公鑰密碼范式的安全性和強度。足夠大的量子計算機的發(fā)展可以讓黑客破解支撐基礎設施和網絡的特定公鑰密碼學/非對稱密碼學。

加密密鑰是任何加密和數據保護的秘密元素，未來，基于真正隨機性生成強密鑰將成為關鍵基礎設施安全的基石。

然而，量子技術也提供了解決方案，因為使用物理量子隨機數生成器 (QRNG) 作為高質量密鑰生成的來源，以及抗量子算法（后量子密碼術），將滿足長期的 Quantum-安全保護要求。

隨著運營商逐漸采用基于分組的通信系統，將此應用于使用多協議標簽交換 - 傳輸配置文件 (MPLS-TP) 的 WAN 系統將增強公用事業(yè)網絡的安全性?，F代公用事業(yè)通信系統與遺留系統兼容，面向未來，與物聯網 (IoT) 技術集成，并且在不影響實時能力的情況下是量子安全的。

審核編輯 黃昊宇