世界各地的电网正在发生迅速而破坏性的变化。在许多国家和地区,正在采取措施,将小型可再生能源发电并入配电网,以满足当地电力需求,同时减少对大型集中发电设施和长距离输电的依赖。
这种整合需要新技术,接入和智能响应 - 所有这些都增加了网络安全风险。电力科学研究院(EPRI)通过协作和自主研发,正在研究风险并探究解决方案。接入方法、安全标准、设备认证、传输过程中的数据保护、风险的基本建模和测试方法可以帮助电力公司打造一个网络安全的综合电网。
跨网络的安全性
传统上,电力公司承担了保护电网免受网络攻击的责任。根据北美电力可靠性公司(NERC)关键基础设施保护(CIP)标准,大型电力系统的强制性网络安全标准适用于各个NERC实体 - 不同类别的电力公用事业单位,如发电业主和运营商,输电业主和运营商,配网运营商和投资机构。
这种职责分解的背后是源于大多数电力系统资产由国有和联邦政府严格监管的公用事业所拥有,以及其传统的运营模式。对电力系统资产的所有权使公用事业能够完全控制与之相关的资产和网络安全设施。由于电力公司通过运营资产产生收入,并对其进行全面控制,这些公司对资产的安全负责是合理的。
然而,随着分布式能源(DER)的引入,电力行业正在迅速发生变化。当住宅太阳能光伏(PV)发挥作用时,通信渠道可能有不同的形式。假设太阳能光伏和智能逆变器由房主所拥有,第三方聚合者管理附近的多个PV单元。同时假设所有光伏设备都连接到电力公司管理的配电网。聚合器使智能逆变器能够通过读取当前设置并更改它们来监视和控制光伏发电的运行。
住宅分布式能源集合体系还与公用事业系统运营商的分布式能源管理系统(DERMS)连接。根据电网情况,公用事业系统运营商可以向集中管理方发送定价信息或控制信号,集中管理方将采取行动以达到其协议的规定并使收益最大化。
在这种情况下,如果其中一中智能逆变器发现缺陷或严重漏洞,谁应该负责补救?很可能只有特定逆变器的制造商可以通过更新固件来修复漏洞。制造商是否有责任只提供固件更新?或者,制造商有责任找到一种方法将新固件交付给部署在现场的所有设备?如果是这样,制造商是否需要与房主和集中监控运营商签订设备更新协议?
假设这个漏洞需要一个非常关键的更新,故障可能会导致网络攻击者利用逆变器进行破坏性的操作,而多台逆变器的积聚就可能会影响配电网的整体可靠性。配电运营公司是否需要关注由私人企业或房主拥有或管理的设备的安全更新?或者,监管者是否有责任为所有类型的活跃市场参与者提供和执行网络安全指南?
回答这些问题并不容易。而且,这只是关于漏洞管理和修补的一个安全问题。还有很多其他的安全问题,从数据隐私到防恶意软件和系统安全监控。这个行业需要网络安全指导方针,任何指导方针都需要适应多方方网络的新模式,每个参与者必须分担一定的责任来确保共同资源的网络安全。
分布式能源有多方参与、管理的网络
使用互联网和公共云的分布式能源管理凸显了配电网络的网络安全风险
设备认证
认证是识别和验证个人或系统身份的过程。尽管有许多技术可以安全地完成这项工作,但设备认证似乎是分布式能源集成中的主要挑战之一。这种挑战与分布式能源设备的经济性和成熟度相关,而不是技术本身的可用性。换句话说,技术解决方案是可用的,但是它们可能对于市场来说太复杂或太昂贵。
当系统管理员提供启用通信的设备时,使用一种机制来识别连接到网络的设备。根据接入方法,管理员可以采用:在中央注册表中注册设备的唯一代码,或者安装生成用于认证的合法密钥的软件,或者安装包含唯一且不可改变标识属性的硬件模块,等多种方法。
当由不同方所拥有和供应的两个设备需要相互通信时,认证过程变得更加复杂。理想情况下,一个设备可以区分一个合法的对等设备和不合法的对等设备,而不需要共同的注册表或先前共享的密钥。这种情况通常发生在互联网上。当互联网浏览器连接到网络服务器时,浏览器需要确保连接到真实网站的方法。
传输层安全协议(TLS)使用公钥加密措施,是实现此认证的最常用机制。在这个方案中,双方都信任由证书颁发机构颁发的数字证书。当两台设备都具有来自可信认证中心的有效数字证书时,他们可以相互认证并开始通信。
分布式能源系统使用认证中心颁发的数字证书存在一些挑战。第一个挑战与证书管理有关。来自不同制造商的多个嵌入式设备的证书的注册,更新和撤销对于管理分布式能源设备的技术人员或电工来说可能过于麻烦。尽管企业信息技术环境中可以使用证书管理工具,但是它们可能不适用于分布式能源等工业嵌入式设备。缺乏常见的操作系统和有限的系统资源也为开发分布式能源或其他工业物联网设备的有效证书管理工具带来了挑战。
公钥基础设施的另一个挑战与成本有关。最初的购买,更新和管理开销可能会给分布式能源制造商或管理实体带来经济负担,这可能会阻碍或放慢认证机构颁发的数字证书和TLS的采用。
非对称加密方式:公钥认证可以使用认证中心颁发的数字证书
数据传输保护
除了设备认证之外,TLS的另一个重要功能是支持数据加密和完整性检查。使用在交换的数字证书,两个认证方可以使用商定的密码算法创建安全会话。分布式能源系统的加密通信与设备认证类似,其经济性和易用性都受到影响。
嵌入式设备的有限系统资源是采用TLS的主要困难之一,因为在TLS中使用的密码技术需要大量的数据操作,特别是在初始握手期间。TLS采用的常见障碍是复杂性和相关成本的增加。
一些人质疑需要对分布式能源进行数据加密,声称数据完整性是否可以保证,数据的简单暴露不会影响运行。需要考虑两个因素来解决这一问题:数据完整性和加密之间的关系以及妥协的可能性。
与智能电表数据不同,客户隐私对分布式能源数据的关注不如设备的网络物理安全性。由于分布式能源的设置可以远程改变,因此分布式能源面临网络物理风险,如果设置发生错误,可能会导致设备故障。因此,攻击者可以通过窃听和分析通信足够多的时间,仔细研究攻击方法。将操作数据简单的一次性暴露给未授权方可能无关紧要,但是长时间的数据暴露可能会给攻击者计划实施网络攻击带来很多机会。加密一般通过使数据难以解析来提供对数据完整性的主动保护。
妥协的可能性与信号暴露给未授权方的程度正相关。如果一台设备通过一个拥有强大的网络安全和物理安全控制的私有网络进行连接,折中的可能性比设备通过互联网连接的情况要低。由于很多分布式能源管理系统都是基于云端服务管理的,所以在互联网上,强大的加密是一个基本的要求。
配电网运营中对通信和情报的需求日益增加,给网络安全带来了新的挑战
基于云的服务
许多习惯了NERC CIP要求的电力公司网络安全从业者对配电网操作中使用的基于云的服务的普及感到惊讶。先进的计量基础设施组件,电表数据管理系统和DERMS是北美地区配电公司商用的基于云的解决方案的几个案例。
在过去的十年中,云服务已经稳步取代了信息技术基础设施。但是,在电网运行中使用基于云的技术使得安全从业人员感到不安,因为易受攻击的物理网络系统可能会影响到公众的安全。
如果简单地定义所有基于云的服务都不安全的,是不准确的。但是它们会给电网运营带来新的、未知的风险,因为它们是通过互联网提供的 - 暴露于公众,攻击可能来自任何角落。因此,应该对风险进行适当的评估,电力公司应制定缓解策略,将风险控制在可接受的水平。
不确定的影响
为什么网络安全很重要?电网的可靠性和安全性风险真的很大吗?风险可以被消除在就地=吗?
随着电网的发展,答案可能会发生变化。分布式电源对整个电网运行的影响是许多专家积极研究的课题。在获得这些信息之前,很难预测网络攻击会对网络的可靠性造成的影响。常识告诉我们分布式能源的渗透率越高,风险就越高。而且,集中的分布式能源部署在系统容量相对较小的配网中可能对系统产生更大的影响,并且继而导致电网的稳定问题。
随着政府对能源效率的部署,加快发展可再生能源,效用方面的利益相关者应该注意到:同样需要加快网络安全影响研究来管理风险。
分布式能源的网络安全是光伏资源控制和运营的挑战之一
重视是关键
上述分布式能源网络安全挑战并非全部。大体意识到这些风险是缓解风险的第一步。以下列表的一些行业研究领域,可以进行进一步的研究:
-
多方网络风险模型,包括松散的多方参与的电力市场
-
协作安全管理框架,使弱关联的多方能够协同工作以保护公共资源
-
电力公司,分布式能源设备制造商,分布式能源集成商和分布式能源管理方的网络集成安全准则
-
嵌入式系统的轻量级加密方案
-
简单证书或密码密钥管理方案
-
网络物理系统(CPS)云安全指南以及网络物理系统中基于云服务的指南
网络影响研究和网络攻击情景模拟,电气工程师,通信专家和网络安全专业人员之间的协作研究。
EPRI正在通过与公用事业,工业,政府实体和美国能源部以及国家实验室的合作研究,在许多领域开展工作。EPRI最新的研究和发展项目,用于分布式能源集成的信息通信技术和安全架构,从电力公司的角度,解决了与分布式能源集成有关的一些最紧迫的网络安全问题。
作者简介:
Candace Suh-Lee 是电力研究院电力输送和使用领域的网络安全高级技术负责人。Suh-Lee拥有拉斯维加斯内华达大学计算机科学硕士学位和多伦多大学计算机科学学士学位。她在能源领域拥有超过15年的信息和技术安全经验,拥有实践操作技术/信息技术技能。她目前专注于EPRI,包括安全指标,安全数据分析,电力传输系统的安全架构以及电力部门的场景分析。
Galen Rasche 是电力研究院电力传输和利用部门的高级项目经理,负责管理网络安全计划。该计划在保护措施,威胁管理和信息保证等领域开展应用研究。Rasche获得伊利诺伊大学厄巴纳 - 香槟分校硕士学位,以及肯塔基大学工商管理硕士学位和电子工程学士学位。在加入EPRI之前,Rasche领导了西南研究院的嵌入式和应用安全部门,在那里他担任过多个智能电网安全项目的项目经理。
网友评论