保护电网远离黑客

在二月的旧金山举行的世界最大型信息安全会议RSA上，网络安全委员迈克尔丹尼尔（Michael Daniel）出席并详解了总统下达的网络安全条令——其旨在帮助美国关键基础设施应对网络攻击——将如何运行。这项条令由总统奥巴马于本月初发布，将为电力公司和其他基础设施企业无偿创建安全标准，并允许其获取政府有关安全威胁的保密信息。

如何加强对关键基础设施的保护正逐渐成为政府的一大隐忧；去年秋，国防部长莱昂帕内塔（Leon Panetta）曾称美国将可能经历一场“网络珍珠港”。

然而，除此之外与会专家们关注的是与保护电网，水电站和其他关键基础设施有关的更基本的问题。针对将会有何种形式的攻击，这些攻击会有什么影响，以及如何最有效防护仍然疑问重重。

问题的很大一部分在于，基础设施设备的制造商，例如电网转换器制造商长期以来都十分倚重网络安全，这一点即便到今天也仍然未能改变。

诸如西门子和ABB这类雄霸全球电网和电网设备行业的企业，如今正致力于新产品安全的研发。但鉴于基础设施企业更换设备频率太慢，这些努力可能见效甚缓。“它们目前研发的是用于明年的设备，”Tl Safe的执行总裁马赛洛·布兰基纽称。Tl Safe是一家专注于行业控制系统安全的巴西公司，也是致力于创建国际通用的防护标准的积极分子之一。“（电力）行业的设备有20年使用寿命——我们必须想出其他的方法。”

为老旧的基础设施装配新部件不是一件容易的事。由于控制基础设施的电脑各不相同，用于保护通用电脑网络的标准化工具和技术要进行转换并不容易。大多数系统都是由三种各不相同但内部关联的部分组成的复杂组件：通用办公电脑网络；直接控制设备的控制软件；以及由专用硬件，例如转换器和阀组成的丛，在本文中所讨论也就是电网。尽管黑客首先最有可能攻击办公电脑——困扰伊朗核处理设备的超级工厂蠕虫病毒就是一例，这被认为是美国·以色列行动之一——但要真正带来重大损害，就必须和其他部分相互作用。

蒙特利尔理工学校的助教杰斯·费尔南德斯称，修补陈旧而不安全的控制软件漏洞，是大多数加强基础设施安全的工作重点。然而，保护系统的正确方法必须同时兼顾办公电脑和物理设备，以及三部分系统相互关联的方式。

“重要的是，必须认识到（攻击）对现实世界，以及对我们想要控制的事物的影响，”昨日费尔南德斯在RSA上称。他正致力于将电网运作的标准产业模型和他自己的控制系统及办公电脑集成装置模型相结合，进行模拟仿真。这包括能测试特定攻击和防护的“沙盒”。“我们正尝试用千瓦时损失，或者压力读数（设备内部），或者是否有什么爆炸了来度量攻击带来的影响。”

毁灭显然不无可能。超级工厂蠕虫病毒有效地破坏了伊朗的核处理设备，而一份泄露的视频显示了2007年爱达荷国家实验室的一个实验：一个工业汽轮机在蓄意的计算机攻击下逐渐损坏。

费尔南德斯对《麻省理工科技创业》透露，有装置能使电网更可靠，面对攻击更具恢复功能，但即便如此电网也仍然可以被攻破。这包括创建虚假的传感器读数从而引发控制系统非正常反应。

基础设施控制系统的独特性能意味着，对防护工作所做的努力都变成了要么过时，要么忽略通用电脑安全的方法。由于相对于连接开放互联网的公司内部网络来说，行业控制系统内部的通信更易于管制，更具规则性，因此要让软件知晓什么是“正常的”运行并在模式改变时发出警报是可行的。在这种情况下，采用包含已知恶意程序的黑名单来反病毒的方法毫无意义，通过“白名单”允许软件和网络通信反而有效。

然而，要找出如何有效利用这些方法本身就是一个挑战。类似于费尔南德斯的模拟仿真方法才刚刚进入开发阶段，而另一方面电力公司也不愿在正在运行的基础设施上进行实验。

这也使得决策者们难以估量一次成功的攻击将会带来何种影响，也难以寻求可行的应对措施。华盛顿智囊团，北大西洋理事会网络管理的负责人杰森希利早些时候在RSA上称，研究者们正致力于弄清一次大范围停电对经济的影响，从而大致建立起指导方针，确定在何种情况下作出军事回应才是合理的。

据希利称，多亏有了储备发电机及其他措施，即便发生一两天的停电，对GDP造成的影响也可能非常小。“一旦停电超过10天，那么大约80%的经济活动都会停止，”他说，“如果过了那个阶段，舆论将会说‘这是一次军事攻击’。”

希利说，尽管军界人士对此类攻击的可行性有种种言论，政府始终保持着谨慎态度。“多年来，许多国家都有采取攻击的能力，这可能导致人命伤亡，”但此类事件并未发生。“我认为显然，领导层们心存震慑，”他说。