如何保障智能電網(wǎng)的安全性及應對潛在的威脅

對智能電網(wǎng)來(lái)說(shuō)，因為電網(wǎng)基礎設施受到攻擊的幾率越來(lái)越高，各個(gè)國家穩定的電力供應都處在受到惡意攻擊危險之中，從而使得安全問(wèn)題的重要性日益增加。對此，IT安全性尤為重要;很多方案支持端到端的通信數據加密，如：數據集中器、監控器和數據采集器系統(SCADA)。對IT加密措施的關(guān)注是毋庸置疑的，因為需要確保“空中”傳輸數據的安全性。但是，即使采用強大的端到端加密也無(wú)法保護整個(gè)智能電網(wǎng)的安全：因為嵌入式設備本身易受攻擊。

加密等于安全?

雖然加密工具對于隱私保護和傳輸數據、命令的認證非常有效，但必須注意到這僅是解決方案的一部分。加密的作用在于防止被保護數據在傳輸或存儲過(guò)程中被解密或偽造。有些人認為復雜的RF或電力載波通信依賴(lài)調頻即可完全保證數據的安全性，其實(shí)此類(lèi)保護很容易被攻破。假設攻擊者可以任意控制遠程電表拉合閘繼電器，那么電力公司將需要投入大量資源忙于處理故障。電力公司不但因此遭受經(jīng)濟損失，而且會(huì )帶來(lái)很大麻煩，對于那些必須使用空調的場(chǎng)所造成生存威脅。

那么，如何避免此類(lèi)事故的發(fā)生呢?如果通信雙方都通過(guò)密鑰對通信線(xiàn)路上的數據進(jìn)行加密、解密、簽名或驗證，從嵌入式傳感器到控制系統的數據加密非常關(guān)鍵，用于加密的密鑰保護也更加重要。一旦密鑰被竊取，整個(gè)網(wǎng)絡(luò )也就不再安全。智能電網(wǎng)的嵌入式終端需要一套更完備的安全方案，可以借鑒金融終端的安全技術(shù)，著(zhù)重于密鑰保護，采用芯片級硬件和防攻擊多重保護措施。

電力供應的保護重點(diǎn)不能只放在智能電網(wǎng)的有效數據和命令驗證。蠕蟲(chóng)病毒制造者了解攻擊嵌入式基礎設備的有效手段，即不容易被發(fā)現又對系統造成嚴重破壞。著(zhù)名的“零日攻擊”利用檫除或修改系統程序的方式，對系統造成的破壞非常隱蔽。因此我們不但要關(guān)注設備的安裝，而且要關(guān)注任何一個(gè)容易遭受攻擊的編程環(huán)節(如生產(chǎn)過(guò)程)。

還有什么漏洞?

實(shí)現安全可靠的設計并非易事，需要花費大量的時(shí)間和對安全保護技術(shù)的深入了解。那么，這些投入值得嗎?讓我們先來(lái)分析一個(gè)掛網(wǎng)的智能電表，例如，安裝在我們自己家里、沒(méi)有保護措施的電表，外人很容易打開(kāi)這樣的電表。如果電表采用的是通用MCU來(lái)處理通信和應用功能，則很可能存在一個(gè)編程端口，攻擊者可以對他重新編程或讀取內部信息。在有足夠資源和時(shí)間的前提下，一些人可以編寫(xiě)出一個(gè)類(lèi)似功能的程序，但在程序中植入獲取密鑰數據或篡改賬單的病毒。

即使掛網(wǎng)的電表都具備一定的保護措施，可在一定程度上防止篡改。我們仍然能夠發(fā)現一些容易遭受攻擊的環(huán)節——生產(chǎn)環(huán)節，所謂的“社交工程”為攻擊者侵入IP和生產(chǎn)流程提供了機會(huì )?；ㄙM數千美金，攻擊者就有可能獲取程序，通過(guò)逆向工程修改后，將“新程序”植入產(chǎn)品。另外，攻擊者也可以將你的程序出售給競爭對手，造成巨大損失。

如何保證設備生命周期的安全性?

嚴格的產(chǎn)品生產(chǎn)流程應該考慮從設計到生產(chǎn)每個(gè)環(huán)節的安全性，以及應對篡改的策略。保障生命周期的安全性，需考慮以下幾點(diǎn)：

⒈確保拿到的芯片產(chǎn)自原廠(chǎng)，通過(guò)正規渠道采購來(lái)降低風(fēng)險，當然，也要考慮加密技術(shù)。Maxim銷(xiāo)售的安全處理器和智能電網(wǎng)產(chǎn)品可以加入用戶(hù)密鑰或證書(shū)，以防他人解鎖和編程IC。

⒉保護您的IP。在工廠(chǎng)生產(chǎn)環(huán)節提供簽名、程序加密，協(xié)調從系統處理器的安全裝載，到芯片軟件解密和授權認證的每個(gè)環(huán)節。此類(lèi)加密可以防止程序被克隆或破解。

⒊只運行您規定的程序。安全的程序裝載采用數字簽名的方式來(lái)驗證代碼的有效性，防止裝載或運行未經(jīng)授權的代碼。

⒋可靠通信。對新的配置、固件更新和指令進(jìn)行加密和簽名，以驗證數據來(lái)源的可靠性。

⒌現場(chǎng)保護密鑰。不要將密鑰存于它處，如外部EEPROM。如果系統使用獨立的安全處理器和應用處理器，應將密鑰保存在安全處理器內，不要向外發(fā)送。以免攻擊者從線(xiàn)路板的通信數據中竊取密鑰。

⒍公司內部的密鑰保護。工程師可以使用開(kāi)發(fā)密鑰來(lái)開(kāi)發(fā)產(chǎn)品的安全功能，產(chǎn)品級密鑰則要經(jīng)過(guò)多人簽名授權。通?？梢允褂靡粋€(gè)更高級別的安全模塊完成授權。

⒎不放過(guò)每個(gè)微小漏洞。如果系統攻擊者僅從一塊電表竊取到重要信息，并投入大量的時(shí)間和資金研究這些信息，希望據此攻擊整個(gè)系統。經(jīng)驗老道的攻擊者可能打開(kāi)IC封裝，從MCU的存儲器中尋找重要信息。因此，使用唯一密鑰或非對稱(chēng)加密(如：橢圓曲線(xiàn)數字簽名)很有必要。

圖1. 產(chǎn)品生命周期內的安全性需要考慮從開(kāi)發(fā)到生產(chǎn)的每個(gè)細節。

當前電網(wǎng)的安全保護措施為攻擊者留出了很大的空間。為了讓嵌入式設備在整個(gè)生命周期內確保安全，我們還需加強整個(gè)智能電網(wǎng)的安全設計，讓哪些攻擊者望而卻步。