智能电网有多坚强:SCADA能否担此重任?

  另一个越来越大的风险是,由于调度自动化系统中SCADA正逐渐成为一个开放的系统,与调度自动化系统中SCADA运作有关的资料随处可得。一部分是因为自动化产品市场竞争日益激烈,调度自动化系统中SCADA和远方控制终端(RTU)之间的通信标准和协议在出版的技术手册中毫不费力即可找到,其中包括控制中心之间的通信标准,警告信号的处理,控制命令的发出,以及数据的轮询方式等等一系列重要技术标准。而且,调度自动化系统中SCADA的生产厂家常常出于方便用户的考虑出版其产品的设计和维护手册,发售工具软件包以便于用户在调度自动化系统中SCADA环境下进行二次开发,这一切都使调度自动化系统中SCADA日益成为一个“透明运作”的系统,使其脆弱点暴露无遗。

  最后,由于供电企业常常希望整个公司能够充分利用调度自动化系统中SCADA提供的数据和信息,由此造成调度自动化系统中SCADA倾向于向“开放式的标准系统”发展。这样的结果导致了调度自动化系统中SCADA的安全性依赖于企业网络的安全性。虽然要从专用的串行通信线路上入侵远方终端(RTU)是很困难的,但是通过企业内部网络“渗透”到调度自动化系统中SCADA的控制台并且“偷窥”系统正在执行的操作并不困难。一旦攻击者成功穿透到调度自动化系统中SCADA操作员的工作站上,并且通过“偷窥”迅速学会操作命令,则他就可以易如反掌地对一个复杂系统发起攻击。

  影响调度自动化系统中SCADA网络安全的一些普遍问题

  如前所述,企业网络和调度自动化系统中SCADA网络常常互相联系,这样调度自动化系统中SCADA的安全等级就只能受制于企业网络的安全等级。而来自电力市场化的压力使得电力企业网络往往要具有向社会开放的访问入口,这样企业网的安全风险迅速增加。接下来的部分简要提出了一些存在于“SCADA+企业网架构”中影响调度自动化系统中SCADA安全的常见问题:

  (1)过多的公共信息

  很多有关供电企业内部信息网的资料可以轻易地通过日常公共查询而获得。这些信息有可能被用于对网络的恶意攻击。例如,这些脆弱之处可能是:

  公共网页上常常为网络入侵者提供了一些有用的数据,例如公司结构,员工姓名,电子邮件地址,甚至是企业信息网的系统名;

  域名服务器(DNS)允许“区域传送”功能(zonetransfers)并提供IP地址,服务器名称以及电子邮件地址;

  (2)不安全的网络架构

  网络架构的设计是相当关键的一环,而其中最重要的是对互联网,企业信息网和调度自动化系统中SCADA网进行适当的分段隔离。网络架构设计欠妥会致使来自互联网的入侵风险增加,从而最终危害调度自动化系统中SCADA网络。下面是一些常见的网架设计缺陷所在:

  作为企业网功能的一部分,在配置FTP(文件传输协议),企业网页和电子邮件服务器时,常常不经意地提供了访问企业内部网的入口。这是不必要的;

  企业内部网与一些商业联系伙伴(如银行,ISP等机构)之间的数据连接没有采用防火墙,入侵检测系统(IDS)以及虚拟网(VPN)等等机制进行防御;

  企业信息网提供了一些不必要的MODEM拨号接入,这是很不安全的,而且这些MODEM拨号访问常常是作为远程维护功能而设,并没有严格按照一般拨号接入的规定进行管理,留下毫无防范的入口;

  防火墙和其他网络访问控制机制没有在内部网段之间发挥作用,使得在不同的网络分段之间没有完全隔离;

  调度自动化系统中SCADA服务器的操作系统如WINDOWSNT,2000或XP等存在已知的安全漏洞而没有打上最新的补丁程序,缺省的NT帐号和管理员帐号没有删除或改名。即使是运行于UNIX或LINUX平台上也存在同样的问题;

  (3)缺乏实时有效的监控

  造成缺乏实时有效的监控的原因之一是,由于来自网络安全防御设备的数据量极大,使得要区分出哪些是有关于供电企业信息安全防御的几乎是不可能的,这造成要对供电企业网络进行有效的实时监控非常困难;

  即使企业网络安装了入侵检测系统,网络安全保安也只能识别以个别方式进行的攻击,而对有组织的,形式随时间变化的攻击则无能为力。这也造成了防御的困难;

声明: 本文由入驻OFweek维科号的作者撰写,观点仅代表作者本人,不代表OFweek立场。如有侵权或其他问题,请联系举报。
侵权投诉

下载OFweek,一手掌握高科技全行业资讯

还不是OFweek会员,马上注册
打开app,查看更多精彩资讯 >
  • 长按识别二维码
  • 进入OFweek阅读全文
长按图片进行保存