网络安全如何塑造变电站格局

　　网络犯罪分子在变电站内寻找可以轻松修改、降级甚至禁用的组件和服务。当网络犯罪分子成功时，整个依赖电力的人口，包括政府机构，军队和其他公用事业公司，都失去了他们的主要电力来源。

　　震撼世界的变电站网络攻击

　　2015年12月，乌克兰地区的电网停运了六个小时。根据Wired关于乌克兰电网黑客的完整报告，停电是由于网络攻击造成的，该网络攻击导致路由电力和更改电压的设备与主电网断开连接。

　　尽管乌克兰的电网网络使用防火墙从控制中心网络中正确分割，但远程工作人员仍然在没有适当的身份验证策略的情况下登录SCADA网络。攻击者设法使用恶意软件渗透网络，收集情报，并最终劫持VPN凭据以访问控制电网的SCADA网络。

　　这种史无前例的网络攻击震撼了整个网络安全世界。糟糕的人员网络安全培训和缺乏强大的身份验证政策相结合，导致140万人口中有一半的家庭在六小时内没有电。

　　确保变电站的网络安全

　　乌克兰2015年活动引发了新的努力，以创建法规，方法和网络安全测量，以防止像SCADA这样的控制网络与IT融合。

　　但如今，两个IT和OT领域正在慢慢融合为一个 - IIoT领域。IIoT设备正在使这两个域之间的界限慢慢消失。IT专业人员在变电站设施中花费的时间越来越多，而OT人员则开始研究他们的网络和网络安全措施。虽然这种融合的好处是特殊的，但这也带来了新的具有挑战性的安全漏洞。

　　对变电站的网络攻击通常通过IT针对远程终端单元（RTU）和智能电子系统（IED）等操作控制单元。

　　由远程终端单元（RTU）和智能电子设备（IED）控制的远程变电站。

　　ICS网络安全平台部署在变电站中。此单向 ICS 网关应保护 IT 域和 OT 域之间的通信。

　　中央系统。ICS 网络安全网关可保护远程（分支）RTU 与中央 SCADA 主系统之间的广域网通信。

　　不幸的是，SCADA中的RTU，IDE等OT控制组件不能“气隙”，因为这会阻止运营商通过SCADA WAN进行远程访问，因此它们必须至少从IT域中正确分割。

　　如何正确分段网络？

　　除了访问控制、授权和身份验证策略以及正确的路由器和交换配置之外，正确分段的网络还需要正确的防火墙规则。

　　借助防火墙或 IDS/IPS 系统等网络安全平台，可以保护变电站的网段和周边免受外部威胁。但是，要部署在变电站环境中，此类电子设备必须安全且合规。

　　任何“IT”设备，包括网络安全平台，都应该能够与变电站的高压设备一起运行。此外，它还必须能够与当前的管理和监控系统（如SCADA）集成。最终，它应该保护敏感的OT设备与IT或IIoT与互联网之间的通信。

　　使用专门构建的加固型防火墙对 IT 和 OT 域进行分段

　　变电站面临着各种环境和服务条件，这些条件对于未受管制的电气元件来说可能是有风险的。电磁干扰 （EMI）、无线电干扰、感性负载切换、静电放电、雷击和高电流故障情况可能会干扰任何设备。

　　电子设备，特别是变电站中的电信设备，需要具有一定的电气抗扰度标准。

　　通过 IEC 61850-3/IEEE 1613 认证的变电站设备。

　　LEC-6041 是一款宽温网络安全设备，旨在保护 IT 和 OT 域之间的通信，适用于变电站。LEC-6041 加固型 ICS 设备已通过 IEC-61850-3 和 IEEE 1613 认证。这两项认证都允许设备与变电站上的其他设备进行通信。IEC-61850-3标准定义了在变电站运行的简易爆炸装置的通信协议和网络。IEC-61850 的实施要求以太网交换机具有与系统内 IED 相同的耐用性。

　　此外，LEC-6041 还通过了 IEEE 1613 认证。IEEE 1613 是用于变电站中安装的装置的环境和测试要求的标准。LEC-6041 等坚固耐用型设备的其他相关认证包括 CE/FCC A 类、IEC 61850-3 和 IEEE 1613。

　　其他关键组件

　　使传统IT设备适合在变电站条件下运行的其他关键组件。

　　反极性保护。此组件可确保在电源极性反转时不会损坏设备。通过反极性保护，通过切断发射器中敏感电子电路的电源来保护器件。

　　磁性隔离保护。磁隔离保护也称为磁屏蔽，它是一种保护敏感电子设备和数据存储免受磁场影响的方法。为了减少变电站中存在的无线电波、电压差以及静电和电磁场耦合的影响，必须屏蔽电气设备。例如，1.5 kV（千伏）磁隔离可保护网络端口（以太网），15 kV 静电放电 （ESD） 可保护 I/O 端口（如串行或 USB）。

　　审核编辑：郭婷