不管你喜欢与否,电力行业很容易受到各种网络威胁的影响,这些网络威胁会对控制系统造成严重破坏。管理部门、工程部门与IT部门有责任采取一系列综合方案加以遏制,包括针对威胁的预防、检测与消除。这里给出两个似曾相识的威胁场景:网络攻击场景1使用“战争拨号器”(war dialers)——一种连续拨打电话号码来查找调制解调器的简单个人电脑程序,黑客可发现与电力控制系统可编程断路器连接的调制解调器,破解控制访问断路器的密码,改变控制系统设置,从而造成当地电力事故与设备损坏。比如黑客将某些断路器设置值从500 A降至200 A,使这些线路停止工作并将电力转移到邻近的线路。同时,将邻近线路设定值从500 A升高至900 A,防止断路器对那些线路断开和超负荷。这会导致变压器与其他关键设备严重破坏,造成长时间的断电维修。网络攻击场景2一座为大都市供电的电厂,已成功地将控制系统与电厂企业网络隔离,安装了最先进的防火墙,采用了入侵检测与防护技术。一位无辜的工程师从当地一所大学下载了继续教育研修班课程资料,无意间把病毒传染给控制系统。就在上午高峰期来临之前,操作者的显示屏一片空白,系统开始崩溃。虽然以上场景是虚构的,但他们代表了全世界的网络安全专家正面临着的各种真实威胁。网络安全同样已成为21世纪商业发展不可或缺的一部分,如同上世纪传统的建筑安全一样。虽然电力工程师一直采取各种措施最大化其业务运营的安全性,但日益猖獗的全球恐怖主义与黑客活动使维护网络安全的任务变得更为紧迫和令人关注。许多电厂对他们的网络隔离效果及安全性都深信不疑。但是如果不进行随时的内部审计与入侵检测,所谓的安全有可能只是海市蜃楼。此外,业务与生产网络之间日益增加的开放信息共享需求,愈发凸显出交易与数据安全的重要性。对发电企业来说,网络攻击后果会造成大范围的影响,网络安全方面的要求更是迫在眉睫。美国审计总署一份名为《关键设施防护,强化控制系统安全的挑战与成就》的报告,列举了以下可能破坏控制系统的行为:通过延迟或阻塞信息流经控制系统网络来中断操作,从而使控制系统操作者无法使用网络未经授权,改变可编程逻辑控制器(PLC)、远程终端设备(RTU)或分布式控制系统(DCS)控制器的程序指令,改变报警阀值或对控制设备发布未经授权的指令。这有可能导致设备损坏、过早关机或控制设备失效。为了掩饰未经授权的改动或使系统操作员执行不当操作,给系统操作员发送虚假信息修改控制系统软件,造成不可预知的后果,干扰安全系统的运行 。从历史观点来说,控制系统供应商通过由电子电气工程师协会(IEEE)与美国仪器学会(ISA)等行业标准组织制定的指导方针与指标范围,重点满足客户的技术规格要求,以此来应对这些威胁。事实上,在专用设备与应用程序中设计了许多这样的规程,除了最高超的网络攻击者外,这已超出了绝大部分攻击者的能力。然而,过程控制网络设备越来越精良,以用于发电、配电信息的收集,以及与使用标准通讯协议(如以太网或 IP)的商业网络来共享这些信息。这些公开协议也用于调度、营销、公司总部与电厂控制室等之间的通讯。当这样的共享使企业资产管理更具策略性时,就必须提高安全性要求。开放性如今,工业自动化系统(其中许多使用与通用IT系统相同的计算与联网技术)与生俱来的开放性与互操作性,要求工程师密切关注网络与网络安全性问题。否则,这可能会潜在地造成人身伤害或生命安全、破坏环境、公司责任、吊销公司经营许可证、生产损失、设备损坏以及服务质量下降的影响。这样的威胁可能源自各个方面,既有外部也有内部,从恐怖分子、不满的员工到环保组织、普通罪犯。更为糟糕的是,渗透IT与电厂系统所需的技术知识、技能与工具,正变得越来越容易获取。图1表明,随着网络威胁机率的上升,发动攻击所必需的复杂程度却越来越低,使入侵者更易于实施网络攻击。许多公司正准备应对最为不利的情况。比如,从大型发电商积极参与工业标准组织(包括能源部、联邦能源管理委员会及北美电力可靠性委员会)的行为表明,他们已经开始更加关注网络安全性。
