网络安全和电力公用事业：量子技术作为解决方案

数字化对于电气系统、将资产连接到网络以及通过高速通信提供可见性和控制至关重要。随着智能电网和可再生能源的发展，信息技术支撑着从发电到配电的所有电力输送环节。然而，虽然自动化程度的提高和集成系统增强了数据分析和实时控制，但它们可能会使电网容易受到网络攻击。

通过利用漏洞，黑客可以阻止社区获得电力、水和卫生设施，并关闭企业、医院和交通。攻击使公用事业公司失去收入并对社区产生深远的经济影响。此外，客户数据泄露会招致巨额罚款和失去信任。

请下载最新一期九月电子书

日益增长的风险

在最近的一项调查中，超过一半的电力公司报告了最近的数据泄露或系统关闭，四分之一遭受了大规模攻击。尽管如此，只有不到一半的公用事业公司认为他们的网络安全准备程度很高。[1],[2] 大多数公用事业公司接受网络安全是一个优先事项，但有效实施它可能是一个困难的过程。[3]

虽然公用事业通信系统的各个级别都可能发生网络攻击，但无线局域网 (WAN) 尤其容易受到攻击，并且可能允许黑客在相对未被发现的情况下窃取数据流。三种主要类型的攻击会影响电气系统：

机密性：黑客危害数据安全。

完整性：攻击者操纵数据来影响命令序列并导致跳闸、功能丧失或过载。

可用性：最简单的攻击形式通过分布式拒绝服务攻击使 WAN 系统不可用。 [4]

虽然可以通过重新启动从某些网络攻击中恢复，但协同攻击可能会使组件过载并造成物理损坏。 [5]

实例探究

最近发生的一些网络攻击强化了强大的网络安全的重要性。在印度，2017 年 5 月发生了针对西孟加拉邦电力分配 (WBSEDCL) 的勒索软件攻击，而 11 月的一次攻击袭击了北阿坎德邦的 Tehri 大坝，尽管保护系统阻止了这一企图。在印度以外，2015 年在乌克兰发生的一次袭击导致 8 个变电站断开连接，导致超过 200,000 人受到影响，公用事业公司不得不手动操作变电站数周。[6]

2020 年的其他攻击包括对台湾国有能源公司 CPC Corp 的勒索软件攻击，以及试图破坏以色列供水基础设施的企图。一家日本电信公司报告称，数百名客户的数据被盗。 [7], [8], [9]

迁移到基于数据包的技术

增加的系统集成和网络连接以及电力公用事业的数字化支持将运营通信网络迁移到分组交换广域网 (WAN) 的想法。

使用时分复用 (TDM)，系统复用两个或多个数字信号，将它们分成相等长度的时隙，然后通过同一信道发送。接收器解复用这些并将它们重新组合成原始格式，从而提供针对网络攻击的伪安全

使用分组技术，尤其是通过广域网，给电力公司带来了新的挑战，因为与 TDM 网络相比，分组交换网络的网络安全要求是不同的。新技术需要在任何网络条件下保证关键任务应用的关键性能参数（例如抖动、漂移、对称和延迟），同时还要考虑变化的网络安全要求。网络安全将涵盖来自 RTU 和中继的应用程序数据，并保护 IEC61850 GOOSE 等网络协议。应用程序依赖于准确的时间信息数据，黑客可以利用这些数据关闭电网。

分组技术的网络安全

自然，电力公司希望他们的系统获得最佳安全性，以在困难的操作环境中保持高可用性和带宽。因此，非常需要确保电力公用事业基于分组的运营网络中数据传输的机密性和真实性。他们可以通过对相关信息进行加密和认证来实现这一点。 

由于目前安装在电力公用事业环境中的许多应用程序和终端设备不支持数据加密，因此需要使用其他技术来提供此类功能。其中一种措施是 IPsec 网络协议，它通过共享安全属性和拒绝未经授权的数据包来加密数据包以提供安全通信。这些协议支持相互身份验证并使用 Internet 密钥交换 (IKE) 来协商会话期间使用的加密密钥。自然，公用事业公司希望所有系统都具有高水平的网络安全，但 IPsec 通过增加数据开销来增加数据包大小。

因此，IPsec 会显着影响网络性能，而这种降级会影响对延迟高度敏感的远程保护等实时应用。由于延迟和抖动会影响数据质量，因此公司将网络安全系统分层以专注于非关键任务数据。提供基本功能的低层通信具有广泛的协议并且可以提供特别有效的保护。

目前使用的其他广域网安全技术包括 MACsec 和链路层加密，它们并不总是适用于公用事业通信系统。MACsec 缺乏关键任务网络的安全要求和灵活性，而第 1 层的链路层加密也是一种跳到跳解决方案，主要设计用于高吞吐量的数据中心连接。

一个创新的解决方案是将用于数据包处理的数据包引擎与用于加密和身份验证操作的加密引擎分开。即使通过复杂的网状网络，这也会导致类似有线的确定性加密和身份验证数据包传输。

一个反复出现的问题是，公用事业公司经常根据最新的攻击来设计网络安全，这不能防范复杂的未来攻击并损害长期保护。例如，基于加密的系统面临强大的量子计算机的威胁，量子计算机可以快速破解公钥密码术，从而使现有方法过时。随着量子安全网络的新标准在未来几年出现，电网现在必须开始准备他们的设备和系统。

密钥、数学和量子计算

密钥管理为网络加密生成密钥，分配它们，组织主机之间的交换，并在传输结束时撤销密钥。随着量子技术的发展，它将越来越多地危害公钥密码范式的安全性和强度。足够大的量子计算机的发展可以让黑客破解支撑基础设施和网络的特定公钥密码学/非对称密码学。

加密密钥是任何加密和数据保护的秘密元素，未来，基于真正随机性生成强密钥将成为关键基础设施安全的基石。

然而，量子技术也提供了解决方案，因为使用物理量子随机数生成器 (QRNG) 作为高质量密钥生成的来源，以及抗量子算法（后量子密码术），将满足长期的 Quantum-安全保护要求。

随着运营商逐渐采用基于分组的通信系统，将此应用于使用多协议标签交换 - 传输配置文件 (MPLS-TP) 的 WAN 系统将增强公用事业网络的安全性。现代公用事业通信系统与遗留系统兼容，面向未来，与物联网 (IoT) 技术集成，并且在不影响实时能力的情况下是量子安全的。

审核编辑 黄昊宇