網(wǎng)絡(luò)安全如何塑造變電站格局

網(wǎng)絡(luò)犯罪分子在變電站內(nèi)尋找可以輕松修改、降級(jí)甚至禁用的組件和服務(wù)。當(dāng)網(wǎng)絡(luò)犯罪分子成功時(shí)，整個(gè)依賴電力的人口，包括政府機(jī)構(gòu)，軍隊(duì)和其他公用事業(yè)公司，都失去了他們的主要電力來源。

震撼世界的變電站網(wǎng)絡(luò)攻擊

2015年12月，烏克蘭地區(qū)的電網(wǎng)停運(yùn)了六個(gè)小時(shí)。根據(jù)Wired關(guān)于烏克蘭電網(wǎng)黑客的完整報(bào)告，停電是由于網(wǎng)絡(luò)攻擊造成的，該網(wǎng)絡(luò)攻擊導(dǎo)致路由電力和更改電壓的設(shè)備與主電網(wǎng)斷開連接。

盡管烏克蘭的電網(wǎng)網(wǎng)絡(luò)使用防火墻從控制中心網(wǎng)絡(luò)中正確分割，但遠(yuǎn)程工作人員仍然在沒有適當(dāng)?shù)纳矸蒡?yàn)證策略的情況下登錄SCADA網(wǎng)絡(luò)。攻擊者設(shè)法使用惡意軟件滲透網(wǎng)絡(luò)，收集情報(bào)，并最終劫持VPN憑據(jù)以訪問控制電網(wǎng)的SCADA網(wǎng)絡(luò)。

這種史無前例的網(wǎng)絡(luò)攻擊震撼了整個(gè)網(wǎng)絡(luò)安全世界。糟糕的人員網(wǎng)絡(luò)安全培訓(xùn)和缺乏強(qiáng)大的身份驗(yàn)證政策相結(jié)合，導(dǎo)致140萬人口中有一半的家庭在六小時(shí)內(nèi)沒有電。

確保變電站的網(wǎng)絡(luò)安全

烏克蘭2015年活動(dòng)引發(fā)了新的努力，以創(chuàng)建法規(guī)，方法和網(wǎng)絡(luò)安全測(cè)量，以防止像SCADA這樣的控制網(wǎng)絡(luò)與IT融合。

但如今，兩個(gè)IT和OT領(lǐng)域正在慢慢融合為一個(gè) - IIoT領(lǐng)域。IIoT設(shè)備正在使這兩個(gè)域之間的界限慢慢消失。IT專業(yè)人員在變電站設(shè)施中花費(fèi)的時(shí)間越來越多，而OT人員則開始研究他們的網(wǎng)絡(luò)和網(wǎng)絡(luò)安全措施。雖然這種融合的好處是特殊的，但這也帶來了新的具有挑戰(zhàn)性的安全漏洞。

對(duì)變電站的網(wǎng)絡(luò)攻擊通常通過IT針對(duì)遠(yuǎn)程終端單元（RTU）和智能電子系統(tǒng)（IED）等操作控制單元。

由遠(yuǎn)程終端單元（RTU）和智能電子設(shè)備（IED）控制的遠(yuǎn)程變電站。

ICS網(wǎng)絡(luò)安全平臺(tái)部署在變電站中。此單向 ICS 網(wǎng)關(guān)應(yīng)保護(hù) IT 域和 OT 域之間的通信。

中央系統(tǒng)。ICS 網(wǎng)絡(luò)安全網(wǎng)關(guān)可保護(hù)遠(yuǎn)程（分支）RTU 與中央 SCADA 主系統(tǒng)之間的廣域網(wǎng)通信。

不幸的是，SCADA中的RTU，IDE等OT控制組件不能“氣隙”，因?yàn)檫@會(huì)阻止運(yùn)營(yíng)商通過SCADA WAN進(jìn)行遠(yuǎn)程訪問，因此它們必須至少從IT域中正確分割。

如何正確分段網(wǎng)絡(luò)？

除了訪問控制、授權(quán)和身份驗(yàn)證策略以及正確的路由器和交換配置之外，正確分段的網(wǎng)絡(luò)還需要正確的防火墻規(guī)則。

借助防火墻或 IDS/IPS 系統(tǒng)等網(wǎng)絡(luò)安全平臺(tái)，可以保護(hù)變電站的網(wǎng)段和周邊免受外部威脅。但是，要部署在變電站環(huán)境中，此類電子設(shè)備必須安全且合規(guī)。

任何“IT”設(shè)備，包括網(wǎng)絡(luò)安全平臺(tái)，都應(yīng)該能夠與變電站的高壓設(shè)備一起運(yùn)行。此外，它還必須能夠與當(dāng)前的管理和監(jiān)控系統(tǒng)（如SCADA）集成。最終，它應(yīng)該保護(hù)敏感的OT設(shè)備與IT或IIoT與互聯(lián)網(wǎng)之間的通信。

使用專門構(gòu)建的加固型防火墻對(duì) IT 和 OT 域進(jìn)行分段

變電站面臨著各種環(huán)境和服務(wù)條件，這些條件對(duì)于未受管制的電氣元件來說可能是有風(fēng)險(xiǎn)的。電磁干擾 （EMI）、無線電干擾、感性負(fù)載切換、靜電放電、雷擊和高電流故障情況可能會(huì)干擾任何設(shè)備。

電子設(shè)備，特別是變電站中的電信設(shè)備，需要具有一定的電氣抗擾度標(biāo)準(zhǔn)。

通過 IEC 61850-3/IEEE 1613 認(rèn)證的變電站設(shè)備。

LEC-6041 是一款寬溫網(wǎng)絡(luò)安全設(shè)備，旨在保護(hù) IT 和 OT 域之間的通信，適用于變電站。LEC-6041 加固型 ICS 設(shè)備已通過 IEC-61850-3 和 IEEE 1613 認(rèn)證。這兩項(xiàng)認(rèn)證都允許設(shè)備與變電站上的其他設(shè)備進(jìn)行通信。IEC-61850-3標(biāo)準(zhǔn)定義了在變電站運(yùn)行的簡(jiǎn)易爆炸裝置的通信協(xié)議和網(wǎng)絡(luò)。IEC-61850 的實(shí)施要求以太網(wǎng)交換機(jī)具有與系統(tǒng)內(nèi) IED 相同的耐用性。

此外，LEC-6041 還通過了 IEEE 1613 認(rèn)證。IEEE 1613 是用于變電站中安裝的裝置的環(huán)境和測(cè)試要求的標(biāo)準(zhǔn)。LEC-6041 等堅(jiān)固耐用型設(shè)備的其他相關(guān)認(rèn)證包括 CE/FCC A 類、IEC 61850-3 和 IEEE 1613。

其他關(guān)鍵組件

使傳統(tǒng)IT設(shè)備適合在變電站條件下運(yùn)行的其他關(guān)鍵組件。

反極性保護(hù)。此組件可確保在電源極性反轉(zhuǎn)時(shí)不會(huì)損壞設(shè)備。通過反極性保護(hù)，通過切斷發(fā)射器中敏感電子電路的電源來保護(hù)器件。

磁性隔離保護(hù)。磁隔離保護(hù)也稱為磁屏蔽，它是一種保護(hù)敏感電子設(shè)備和數(shù)據(jù)存儲(chǔ)免受磁場(chǎng)影響的方法。為了減少變電站中存在的無線電波、電壓差以及靜電和電磁場(chǎng)耦合的影響，必須屏蔽電氣設(shè)備。例如，1.5 kV（千伏）磁隔離可保護(hù)網(wǎng)絡(luò)端口（以太網(wǎng)），15 kV 靜電放電 （ESD） 可保護(hù) I/O 端口（如串行或 USB）。

審核編輯：郭婷