楠木軒

ISC 2020電力安全論壇:揭秘電力系統新威脅,探尋能源網際網路整體安全架構

由 司徒元基 釋出於 科技

2020年上半年,能源、電網、水利等關鍵基礎設施領域多次成為網路攻擊靶心。

2月,美國電力公司、石油公司及天然氣公司受到駭客組織Magnalliuma密碼噴射攻擊;4月,以色列全國的供水命令和控制系統遭網路攻擊;5月,委內瑞拉國家電網再遇網路攻擊,造成全國大面積停電……

頻遭威脅的背後是攻擊方式愈加隱蔽、攻擊範圍高度擴散、攻擊手段無所不用,無疑,關鍵基礎設施威脅已成為損害國家安全、政治穩定、經濟命脈、公民安全的存在,其中尤以電力行業為重。

8月5日,全球首場網路安全萬人雲峰會--第八屆網際網路安全大會ISC 2020 拉開帷幕,來自中、美、俄、韓、奧、新、以等多國頂級安全智囊聯袂登場,共同就“數字孿生時代下的新安全”主題展開激烈的思想碰撞和技術交流。當天,“新基建日”下電力安全論壇也正式上線,國家電投集團科技創新總監、中央研究院黨委書記、董事長範霽紅,工業控制系統產業聯盟理事長、國家電網公司國家電力排程控制中心原副主任辛耀中,國網思極網安科技(北京)有限公司董事長殷樹剛受邀參會,並圍繞“關於能源工業網際網路安全的思考”、“重要工業控制系統網路安全防護體系”、“保障能源網際網路網路安全”議題發表主題演講。

安全成能源網際網路建設重點 構建整體安全架構勢在必行

當前,全球工業網際網路發展呈現出關鍵技術加速突破、基礎支撐日益完善、融合應用逐漸豐富、產業生態日趨成熟的良好態勢。從概念普及、實踐生根、全面部署,我國工業網際網路進入產業格局漸定的關鍵期和規模化擴張的視窗期。

以此為發展驅動力,我國能源行業也加速網際網路轉型。國家電投集團科技創新總監、中央研究院黨委書記、董事長範霽紅談到,新基建下,能源網際網路網路形態在智慧電網或者電力網際網路的基礎上,向區域能源網際網路和智慧城市網方向拓展;其功能形態以電力系統為核心,向綜合能源管理與自由交易的方向發展,實現能源資源的最佳化配置;其技術形態是利用多種新技術、新模式來協調處理各個能量單元,實現軟硬體資源配置最優。

國家電投集團科技創新總監、中央研究院黨委書記、董事長範霽紅

“能源網際網路建設基礎是網路,核心是資料,重點是安全”,範霽紅說道。

作為關係國家安全和民生的關鍵資訊系統,能源網際網路的網路安全風險所帶來的不僅僅是資訊洩露、資訊系統無法使用等“小”問題,而是會對現實世界造成直接的、實質性的影響,如社會生產癱瘓、交通癱瘓、裝置損壞、環境汙染等。

因此,著力建設能源網際網路安全體系成為重中之重,在範霽紅看來,這一體系由頂層設計及安全架構組成,頂層設計由戰略、規劃、體系、技術、標準五大環節形成閉環,之後應用層、平臺層、網路層、裝置感知層部署不同安全產品及服務,構成一整套能源網際網路安全架構。

安全無“銀彈” 建立多維度互補工業控制系統防護

近年,隨著網路安全威脅從軟體向硬體發展,作為國家基礎設施的電網成為網路攻擊第一線。

工業控制系統產業聯盟理事長、國家電網公司國家電力排程控制中心原副主任辛耀中在會上談到,歷時近20年,電力行業建立了電力監控系統網路安全防護體系,形成了國標GB/T 36572-2018 《電力監控系統網路安全防護導則》。根據國家電網外網邊界監測統計,平均每日遭受外網惡意攻擊次數逐年上升,近幾年依次為3013、4045、6520、9000多次/日,G20峰會期間最高87680次/日,全部被阻斷。

在此基礎上,也形成了五個標委會聯合歸口的國標《重要工業控制系統網路安全防護導則》(已報批),用於建立重要工業領域的安全防護體系,與已有國家國際安全類標準和行業標準技術標準形成互補。

工業控制系統產業聯盟理事長、國家電網公司國家電力排程控制中心原副主任辛耀中

據辛耀中介紹,這套體系主要包括三個空間維度:安全防護技術、應急備用措施、全面安全管理,一個時間維度:不斷髮展完善。

其中,安全防護技術包括基礎安全、結構安全、本體安全、安全免疫四個層面:

1,基礎安全重點是物理安全,需按照國家資訊保安等級保護要求,加強建築物、機房、電源、環境、通訊等物理設施和密碼基礎設施的安全防護;

2,體系結構安全的重點原則是“安全分割槽、網路專用、橫向隔離、縱向認證”,劃分為生產控制大區和管理資訊大區,各自採用專用資料網路;

3,系統本體安全包括作業系統和硬體系,重點是監控系統無惡意軟體、作業系統無惡意後門、整機主機板無惡意晶片、主要晶片無惡意指令;

4,安全免疫重點是可信計算安全免疫。

當然,網路安全沒有“銀彈”,即使有了上述防禦手段也要假定任何系統都會被攻破,提前準備備用措施。辛耀中表示,要構建位於外部因特網、資訊外網、資訊內網、生產控制大區和核心控制區之間的四道安全防線,實現多部門多專業的協同防禦。

最後,更要有全生命週期管理,實現整體系統的終身負責。“透過上述三維層次的安全舉措相輔相成,最終建立多維度互補的工業控制系統安全防護。” 辛耀中說道。

智慧充電樁存安全隱患 亟待建設新型防禦體系

2020年4月9日,國家相關機構宣佈將繼續加大充電基礎設施建設力度,預計2020年全年完成投資約100億元,新增公共樁約20萬個、私人樁超40萬個、公共充電站4.8萬座。

國網思極網安科技(北京)有限公司董事長殷樹剛

“作為新基建的重要領域,智慧化充電樁是人類向第三次工業革命邁出的重要一步,但其背後也暗藏眾多安全風險。”國網思極網安科技(北京)有限公司董事長殷樹剛說道。

據國家網際網路應急中心2018年8月的網路安全態勢分析報告,電力行業直接暴露在網際網路上的充電樁管理系統38個,充電平臺7個;在為期1周的抽樣監測中,平均每充電樁管理系統被攻擊10次以上,部分系統存在嚴重漏洞。意味著對攻擊者來說,一次攻擊可以直接獲取利益、癱瘓服務,並進行跨網攻擊。

面對這一威脅如何搭建新型防禦體系?

殷樹剛建議建立基於區塊鏈的電動汽車充電樁網路,利用區塊鏈在不可信的網路中建立互信的能力,可實現使用者與充電樁間的直接交易,減少中心化平臺互動,確保基礎設施的服務可用性、避免龐大充電容量被對手透過主站進行惡意控制從而對電網發起能量攻擊,提高整個系統的抗APT攻擊能力。

除了電力安全論壇外,本屆ISC網際網路安全大會還特別打造多個重磅主題日,百餘個安全峰會論壇,海量精華議題,以及眾多特色環節,在安全圈層掀起了一波強勁熱潮。相信在如此持續賦能下,360未來將驅動網路安全行業的穩健成長,並助力全產業共同進步。