網(wǎng)絡(luò)安全代表著一團(tuán)烏云，遮蔽了現(xiàn)有電網(wǎng)系統(tǒng)的“智能電網(wǎng)”現(xiàn)代化，增強(qiáng)了客戶和公用事業(yè)部門監(jiān)控、控制和預(yù)測(cè)能源使用的能力。在防范潛在的破壞性停電方面，安全的企業(yè)級(jí)體系結(jié)構(gòu)的需求得到了廣泛的認(rèn)可，但是安全編碼設(shè)備所扮演的角色更容易被忽略，而且非常重要。

長(zhǎng)時(shí)間的停機(jī)可能是毀滅性的。2011年9月8日，一次持續(xù)15小時(shí)的大停電影響了500萬人，原因是一名技術(shù)人員錯(cuò)誤地關(guān)閉了一條500千伏線路。從加利福尼亞州的圣地亞哥、北部到奧蘭治縣以及東部到亞利桑那州的地區(qū)都感受到了這種影響，經(jīng)濟(jì)損失估計(jì)在9700萬美元到1.18億美元之間。

通過在流程和基礎(chǔ)設(shè)施改進(jìn)中規(guī)劃和做出明智的決策，可以在一定程度上緩解此類自然和操作故障。但是，智能電網(wǎng)的連通性將焦點(diǎn)從防御世界轉(zhuǎn)移到防御電網(wǎng)的脆弱性，從防御世界的敵對(duì)狀態(tài)轉(zhuǎn)移到防御電網(wǎng)。這不太容易解決。

智能電網(wǎng)的晴天

我們都越來越熟悉智能設(shè)備——“物聯(lián)網(wǎng)”中的“東西”。越來越有可能通過互聯(lián)網(wǎng)遠(yuǎn)程控制加熱系統(tǒng)、洗衣機(jī)甚至咖啡機(jī)。

長(zhǎng)期以來，能源公司一直使用差別電價(jià)來鼓勵(lì)消費(fèi)者在低能耗時(shí)期使用其電器。但是，一臺(tái)能夠監(jiān)測(cè)智能電網(wǎng)的洗衣機(jī)可以“決定”啟動(dòng)一個(gè)洗滌周期的最佳時(shí)間，而不是通過定時(shí)器粗略地控制。將這種“監(jiān)測(cè)智能設(shè)備”的原理外推到工業(yè)裝置上，并增加操作和能源措施，如智能電表、可再生能源、電能表和電網(wǎng)傳感器，很容易直觀地看到消費(fèi)者的潛在節(jié)約。

從能源供應(yīng)商的角度來看，這種機(jī)制提供了一種方法，可以平滑能源消耗的高峰和低谷，根據(jù)實(shí)時(shí)信息響應(yīng)需求，并快速響應(yīng)變化。

最終的結(jié)果是一個(gè)智能、綠色、高效和低成本的能源網(wǎng)，所有人都受益。(見圖1)電力研究機(jī)構(gòu)估計(jì)，智能電網(wǎng)每年可以平均節(jié)省消費(fèi)者數(shù)百美元，為美國(guó)經(jīng)濟(jì)創(chuàng)造1.8萬億美元的額外收入。

圖1：不斷發(fā)展的智能電網(wǎng)能源基礎(chǔ)設(shè)施

2015年12月23日，烏克蘭電網(wǎng)遭到攻擊，黑客成功破壞了三家配電公司的信息系統(tǒng)。攻擊者通過破壞公司網(wǎng)絡(luò)、搶占監(jiān)控與數(shù)據(jù)采集系統(tǒng)的控制、遠(yuǎn)程關(guān)閉變電站、破壞IT基礎(chǔ)設(shè)施組件和數(shù)據(jù)以及拒絕用戶有關(guān)停電的最新信息，暫時(shí)中斷了終端用戶的電力供應(yīng)。

盡管智能電網(wǎng)的好處是多方面的，但它們比這個(gè)烏克蘭的例子暴露出更多的“攻擊向量”(接入點(diǎn))，以及相應(yīng)的導(dǎo)致中斷的新方法。例如，對(duì)電力需求數(shù)據(jù)的誤導(dǎo)性操作可能導(dǎo)致電力公司不必要地調(diào)整生產(chǎn)。

縱深防御

在理解如何最好地解決智能電網(wǎng)中各種各樣的弱點(diǎn)時(shí)，借用一個(gè)類比是很有用的。在臨床實(shí)踐的世界中，James Reason教授觀察到有如此多的檢查級(jí)別，以至于對(duì)于災(zāi)難的發(fā)生，需要一系列的故障。這種“瑞士奶酪”縱深防御方法(圖2)在網(wǎng)絡(luò)安全方面也有類似的意義，確保如果侵略者越過了防御線，其他人還在等待。

圖2：“瑞士奶酪”模型。一系列不完美的防御層只有在這些缺陷重合時(shí)才會(huì)失效。

有助于智能電網(wǎng)防御的方法和技術(shù)包括安全網(wǎng)絡(luò)體系結(jié)構(gòu)、數(shù)據(jù)加密、安全中間件和域分離。監(jiān)控智能設(shè)備值得特別注意，因?yàn)樗鼈冊(cè)L問對(duì)智能電網(wǎng)運(yùn)行至關(guān)重要的數(shù)據(jù)。

物聯(lián)網(wǎng)和網(wǎng)絡(luò)安全

諸如NIST安全網(wǎng)絡(luò)、美國(guó)國(guó)家脆弱性數(shù)據(jù)庫(kù)和ICS-CERT(工業(yè)控制系統(tǒng)網(wǎng)絡(luò)響應(yīng)團(tuán)隊(duì))等舉措反映了問題的嚴(yán)重性。但是，許多可用的建議都是高級(jí)別的，引用了現(xiàn)有的漏洞，或者引用了原則，而不是細(xì)節(jié)。那么，一個(gè)軟件工程師團(tuán)隊(duì)如何開發(fā)一個(gè)安全的應(yīng)用程序呢?

在傳統(tǒng)的以安全為中心的部門，安全軟件開發(fā)的方法往往是被動(dòng)的——開發(fā)軟件，然后使用滲透、模糊和功能測(cè)試來暴露和修復(fù)任何弱點(diǎn)。

將網(wǎng)絡(luò)安全設(shè)計(jì)成監(jiān)控智能設(shè)備的更好方法可能是反映功能安全標(biāo)準(zhǔn)(如IEC 61508“電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全”)所倡導(dǎo)的開發(fā)過程。開發(fā)軟件的通用框架，在軟件開發(fā)生命周期的各個(gè)方面解決質(zhì)量、風(fēng)險(xiǎn)和軟件安全問題，應(yīng)用最佳實(shí)踐，創(chuàng)建可追溯的人為行為集合，有助于在出現(xiàn)漏洞時(shí)提供快速響應(yīng)。

安全代碼開發(fā)

通過應(yīng)用自動(dòng)化工具，可以最有效地證明符合IEC 61508的實(shí)踐。

在功能安全和網(wǎng)絡(luò)安全軟件開發(fā)方面的最佳實(shí)踐要求從一開始就定義適當(dāng)?shù)男枨?，并從它們的雙向可追溯性來確保它們完全實(shí)現(xiàn)。(圖3)

圖3：將LDRA工具套件的功能映射到IEC 61508的指南中

單元測(cè)試和動(dòng)態(tài)分析同樣適用于功能安全和網(wǎng)絡(luò)安全。在后一種情況下，重要的是確保(例如)防御機(jī)制有效，并且在應(yīng)用邊界值的情況下不存在攻擊的脆弱性。

IEC 61508還要求使用編碼標(biāo)準(zhǔn)，將指定編程語言的使用限制在安全的子集內(nèi)。在實(shí)踐中，為了功能安全而編寫的代碼通常也是安全的，因?yàn)樵诰幊陶Z言應(yīng)用程序中同樣的錯(cuò)誤經(jīng)常引起安全和安全問題。

結(jié)論

沒有一個(gè)智能電網(wǎng)是絕對(duì)無法穿透的。如果要根據(jù)所涉及的風(fēng)險(xiǎn)水平對(duì)其進(jìn)行相應(yīng)的保護(hù)，則需要多個(gè)安全級(jí)別，以便在一個(gè)級(jí)別出現(xiàn)故障時(shí)，其他級(jí)別的安全級(jí)別都處于警戒狀態(tài)。

監(jiān)控智能設(shè)備值得特別注意，因?yàn)樗鼈優(yōu)閷?duì)智能電網(wǎng)運(yùn)行至關(guān)重要的數(shù)據(jù)提供接入點(diǎn)。功能安全標(biāo)準(zhǔn)(如IEC 61508)的結(jié)構(gòu)化開發(fā)方法可以提供理想的框架，以便在安全應(yīng)用程序的開發(fā)中應(yīng)用主動(dòng)方法。

令人高興的是，安全編碼的許多最合適的質(zhì)量保證技術(shù)在功能安全領(lǐng)域得到了很好的證明。這些技術(shù)包括靜態(tài)分析以確保編碼標(biāo)準(zhǔn)的適當(dāng)應(yīng)用，動(dòng)態(tài)代碼覆蓋率分析以檢查是否有多余的“流氓代碼”，以及在整個(gè)開發(fā)過程中跟蹤需求。

這種開發(fā)過程的遺留物包括一組結(jié)構(gòu)化的人工行為，在現(xiàn)場(chǎng)發(fā)生安全漏洞時(shí)提供理想的參考。考慮到黑客和解決方案提供商之間無休止的爭(zhēng)斗動(dòng)態(tài)性，優(yōu)化泄露響應(yīng)時(shí)間不僅僅是一個(gè)好主意，它是一個(gè)潛在的救星。