美国能源部今天表示将花费2000万美元开发先进的网络安全工具以保护美国脆弱的能源供应。
根据该程序开发的DOE技术应具有可互操作性,可扩展性,具有成本效益的高级工具,该工具不妨碍临界能量传递功能,这些功能是创新的,可以通过开源可以轻松地商业化或可通过开源提供。
[更多:2012年最奇怪,最古老,最酷的SCI /技术故事]
的能源供应系统的安全性其中包括监控和数据采集(SCADA)和其他类型的工业控制系统一直是热门话题,特别是自从2010年Stuxnet恶意软件浮出水面以来。Stuxnet恶意软件专门针对SCADA系统,并被成功地用于破坏伊朗纳坦兹核电站的铀浓缩离心机。
DOE表示,它希望在六个关键领域集中研究和开发这些新工具,包括:
能量传递控制系统软件和更新:开发所需的技术,以正式验证更新或补丁将完全按照预期执行,不会发生意外,更新不会损害能源输送系统的完整性、真实性和可用性。解决方案必须容纳第三方组件和遗留组件;可扩展,以便更新可以安全地部署到多个设备;为需要更新的设备提供一种手段,使其能够将这种状态传达给能源部门的最终用户,并且不能妨碍关键的能源传递功能。该技术和技术必须在最终用户现场进行演示,以验证明确的行业接受程度。
入侵响应:演示对能源输送系统中持续的网络入侵的根本原因、程度和后果进行全面分析所需的技术或技术。综合分析通常要求对所有网络资产进行评估,以确定是否存在可能的泄露,并在此过程中将网络资产下线。然而,能源输送控制系统由复杂的网络架构组成,可能包含数百个专门的网络组件,并可能扩展到广泛的地理区域。随着移动和云计算、插电式混合动力汽车、相量测量单位和数百万智能电表等能源行业技术的引入,这一图景正变得越来越复杂。此外,可靠和安全的能源输送要求能源输送控制系统部件始终可用,以维持关键功能。该技术或技术必须是可扩展的,以适应各种大小和配置的能源交付系统架构,必须不妨碍关键的能源交付功能,并必须在终端用户现场进行演示,以验证明确的行业接受性。
发现问题:开发技术或技术,以检测是否存在插入供应链上游的不希望的活动,这些活动可能会危及能源输送系统组件的完整性。研究可以考虑一个或多个硬件、固件或软件,包括第三方。这些技术和技术将由供应商在组件开发期间使用,并可能包括在能源资产终端用户安装期间持续检测的能力。该技术和技术必须在最终用户现场进行演示,以验证明确的行业接受程度。
安全远程访问:构建技术以提供安全的远程访问功能,例如但不限于加密密钥管理产品。安全远程访问现场设备是必要的,以执行及时的维护,检索数据和更新固件。传统的现场设备通常只有有限的带宽和计算资源,它们与配备了更先进的通信和计算能力的现代设备(如智能电表)处于相同的体系结构中。该技术必须可扩展到不同规模和配置的能源输送系统架构;在能源部门的各种通信媒体和协议之间进行互操作,包括传统和现代设备;适应传统设备带宽和计算限制;不妨碍关键的能量传递功能。
响应威胁:开发技术,在适当的情况下,检测和响应旨在通过利用预期和允许的电网组件运行来逃避检测的对抗性网络活动。例如,恶意操纵能源部门通信可能使用预期的协议,并请求接收方本地电网设备执行的操作,但该操作在大容量电网的更大操作上下文中可能是不希望的。这项技术不应妨碍关键的能量传递功能。
提供创新:的2011年实现能源输送系统路线图网络安全提供了一个战略框架,指导能源部门网络安全解决方案的研究和开发。能源行业的网络安全形势是动态的。新技术正在迅速部署,遗留技术正在以以前没有预想到的方式使用,引入了新的安全考虑因素。这个项目需要一个提案,确定并提出一个技术解决方案来解决一个研究差距,如果解决了这个差距,就可以增强路线图目标的覆盖范围。
该路线图还详细说明了美国能源部在确保国家能源供应方面所面临的无数挑战。从报告:
- §对能源输送系统安全风险的知识、培训、理解和评价有限,限制了能源部门的安全行动。在失败模式和漏洞方面,对决策成本和系统弹性也有不完全的理解。目前的风险评估能力不足以确定每个成本决策对系统失效模式和漏洞弹性的影响。
- §虽然标准有助于将整个能源行业的安全提高到基线水平,但有些标准仍不明确或过于宽泛,或可能促使公用事业使用较不先进的安全措施来满足要求。此外,快速变化的风险环境意味着,今天遵守标准可能明天就不够了。
- §提高安全性是要付出代价的,而要向能源组织展示直接的利益是困难的。如果没有灾难性的网络事件或强有力的商业案例发生,公共和私人合作伙伴将继续在合作努力上投入有限的时间和/或资源。
- §网络入侵工具越来越复杂,能源传输系统越来越复杂,一旦发生事故,资产所有者和运营商就很难识别。自动入侵检测系统和应用程序的使用有可能带来严重的操作问题。
- 行政人员,公众,甚至公共事业内部的组织仍然缺乏对能源输送系统的脆弱性和事件的潜在后果的充分了解。威胁和事件信息的有限交流阻碍了该行业收集所需的证据,以建立一个令人信服的商业案例,以增加能源输送系统安全方面的私人投资。可靠、可操作和及时的信息对于确保能源部门能够在对手利用它们之前充分缓解能源输送系统的脆弱性也至关重要。
- §相信,安全标准合规足以用于能量交付系统的网络安全措施抑制了采用额外的安全措施
- §安全编码实践不是统一执行的
- §不完全理解决策成本和系统恢复能力,包括失效模式和漏洞
- §修补/修复能源输送系统的漏洞可能会产生新的网络风险。
在Twitter上关注Michael Cooney:nwwlayer8和脸谱网
查看这些其他热门故事:
网络犯罪戒指偷了200米,发明了7,000件假身份证,剥夺了数千张信用卡
美国希望亚马逊,苹果,黑莓,谷歌和微软掌握移动安全,隐私问题
美国国家航空航天局:2月15日,小行星飞过地球,比许多卫星离地球更近