电力企业定期通过NERC CIP自我认证(NERC CIP是实时SCADA监控和管理技术的IT安全标准),但这并不意味着它们是安全的。
为什么?
1.因为他们的自我认证只是一个时间快照,并没有考虑IT安全策略和过程的执行情况,甚至没有考虑文档的编写情况。
2.NERC CIP标准并没有解决很多安全问题——它更多的是一个通用指南。从执行人员的角度来看,NERC CIP可能看起来非常详细,但从技术人员的角度来看,它更像是一个通用的指南。
通过阅读有关Stuxnet病毒影响数千台电脑的报告,我们知道SCADA技术很容易受到攻击——这些电脑可能不符合NERC CIP的要求,但它们显然位于伊朗一个非常关键的核基础设施中。http://homelandsecuritynewswire.com/experts-stuxnet-game-changer
震网病毒没有教给我们任何我们不知道的东西;它只是让所有关心的人考虑影响。Stuxnet以西门子SCADA系统为目标,利用Windows漏洞和窃取的证书。目前的推测是,由5到10名专家组成的团队在几个月的时间里研究和编写了震网病毒。所以读者可能会想,这种有针对性的、有技巧的攻击是否可以防御。我说是。
甚至在震网病毒出现之前,就已经有人(有理由)担心智能电网技术是否会被利用。根据几个月前7月在拉斯维加斯举行的黑帽会议的进程,配置不当的智能电网技术可能为家庭和电网的网络攻击提供漏洞。http://homelandsecuritynewswire.com/smart-grid-offers-target-rich-opportunities-hackers
德州农工大学电子与计算机工程助理教授谢乐(Le Xie)在马里兰州盖瑟斯堡举行的IEEE SmartGridComm2010会议上表示,黑客可以通过影响电力市场,使电网变得不稳定和导致停电,从而以损害电力消费者为代价获利。作为向“智能电网”迁移的一部分,随着公用事业转向开放通信标准,远程拦截通信或入侵系统将变得更加容易。http://www.technologyreview.com/energy/26472/?p1=Headlines
噢,我们该怎么办?
许多受雇于电力公司的IT安全专业人员知道并且已经知道该做什么很长一段时间了。它们不需要外部顾问指出它们所有的安全漏洞。真正的问题是,他们通常需要更大的预算和高管的关注,以执行。也许随着Stuxnet事件的发生,主管们会更加关注他们的员工要求更大的IT安全预算来解决:
*部署智能计量技术可能威胁到SCADA网络。
*如何将智能电表流量与SCADA网络隔离。
*如何确保资讯科技保安政策足够严格。
*如何确保资讯科技保安政策得到持续和统一的执行。希望Stuxnet有一个光明的一面,在下一次NERC CIP合规审计之前,电网公司的主管们不会忘记IT安全合规问题。
有一个安全的星期。问候,Ron Lepofsky CISSP,www.ere-security.ca