政府问责局最近警告说,智能电网基础设施的快速普及可能会导致更多的网络攻击。我认为他们真正的意思是大量的破坏和破坏新的网络攻击。
让我印象深刻的是,果阿邦、国土安全部、超级病毒网(stuxnet)等机构都认为,智能电网技术给电网组合带来了一些令人费解的脆弱性。我不这么想。
智能电网技术是全新的。任何新技术都会带来潜在的弱点,这些弱点包括该技术固有的弱点以及它在现有基础设施中的实现方式。在这种情况下,现有的基础设施是由遗留的电力网络覆盖的大陆。
遗留可以是安全的,如果它不像安全筛子那样泄漏。不幸的是,我们的传统电力网络并非如此。他们的权力已经栓在SCADA实时监控和管理系统,这本身没有问题。然而,一些SCADA服务器驻留在安全性较差的网络上,这一事实确实存在严重的安全漏洞。
那么智能电网技术在哪里适用呢?很简单;SCADA也是这样做的。我的意思是,如果SCADA主机网络是硬化的,那么他们也会更安全的托管智能电网网络技术。但是智能电网专家会对我说,既然智能电网技术可以与客户自己的房子和商业场所进行交流,那么它就打开了一个新问题的潘多拉盒子。
废话。
如果智能电网技术的主机服务器与SCADA网络的其余部分和电力公司的管理网络的其余部分适当隔离和保护,那么安全漏洞的增加几率很小。正确保护这些智能电网服务器的方法多年来一直为人熟知。NERC CIP标准是专门为电力设施制定的。如果严格部署,它们将是走向智能电网网络安全的重要一步。依我拙见,一套更全面的安全控制点内COBIT还应该考虑加强电网,它是IT SOX遵从性的基础。
茫然的捍卫者
那么,实现智能电网的高可信度安全标准与当前的担忧风暴之间的差距在哪里呢?这种差距通常表现在公用事业管理部门不愿意为网络安全提供足够的资金。我和许多电力公司内部的IT安全人员谈过,他们中的大多数都知道如何解决智能电网的安全不足。不幸的是,他们的管理层似乎对这个问题感到困惑。您可能想知道,如果管理人员的安全专家没有感到困惑,为什么他们会感到困惑。我认为有两个原因:
•高管们更容易接受网络安全研究而不是实际的安全解决方案。
•在众议院,安全专家向高管们谈论技术,而不是投资回报。
解决方案?让所有搞不懂安全的主管们给我打电话,进行10分钟的澄清谈话。有一个安全的星期。Ron Lepofsky, CISSP, CISMwww.ere-security.ca