Skip to main content

智能电网需要秘密身份 - 原因说明

多年以来,专家指出智能电网容易受到网络攻击并存在其它漏洞。然而,缓解这种情况的工作进展缓慢,并且传统 IT 解决方案难以保护这些系统的安全。

这个看一下能源提供商便知。部署智能电网技术时,他们必须连接散落在不同的地理的现代和传统 SCADA 系统并对它们进行分区。通常情况下,每个站点都有不同的管理接口和硬件,并且各自存在特定的网络配置限制。因此,提供商发现难以实现其重要基础设施的安全保护、支持和持续发展。

他们还面临这样的问题:不同站点中的不同设备部件具有重叠的 IP 地址空间,使得配置、监控和支持更加复杂。此外,某些区域可能只能通过无线电连接,因此干扰可能造成可靠性问题。

一个潜在的解决方案是身份定义网络 (IDN)。在我们深入了解这个具体的解决方案之前,让我们来了解以下为什么传统 IT 技术无法满足安全、可扩展智能电网或其它重要部署的需求。

面向安全、可扩展智能电网的 OT 和 IT 技术

一直以来,大多数工业系统缺乏身份验证和加密等基本安全控制措施。取而代之的是,操作技术 (OT) 和信息技术 (IT) 系统相互隔离,各自使用独立的网络协议。此外,OT 系统无法像 IT 端点那样运行端点安全软件。

在智能电网部署和其它重要基础设施环境寻求融合的 OT 和 IT 的过程中,最大的难题是如何安全地连接这些系统并进行分段。常见的 IT 技术(例如,防火墙、虚拟专用网络 (VPN)、访问控制列表 (ACL)、虚拟 LAN (VLAN) 和蜂窝调制解调器)不能解决这个难题。它们并不是设计用于 OT 系统,并且部署和管理太复杂且成本高昂。安全和分段不足导致电网容易受到攻击。

此外,许多组织具有极其分散的远程站点位于极端环境中,其中的连接选项十分有限。在很多情况下,为这些远程站点购买并部署防火墙、VPN、蜂窝调制解调器或微波无线电的组合不切实际 - 一来购置成本太高,二来跨所有站点配置分段的连接需要的时间太长。

切入身份定义网络

这些难题阻碍了安全、可扩展智能电网的发展。为了去除这些障碍,IDN 提供了即时重叠网络,它们可以通过任何传输连接、掩蔽任何端点并保护它们的安全,而无需修改底层基础设施。

不需要混合使用复杂的工具和技术,IDN 使能源组织可以使用端到端加密实现掩蔽的 LAN 和 WAN 微型分段。(图 1)。它使用户能够快速连接和撤销对特定系统(如移动网络、以太网或 Wi-Fi)的远程访问。

图 1. 可从边缘到云操作的身份定义网络 (IDN) 可以隔离和掩蔽网络中的每个组件。(资料来源:Tempered Networks

通过使用标准互联网,IDN 可以消除过时的无线电传输、成本高昂的 MPLS 线路和专用 APN,同时消除 IP 寻址问题和冲突。最后,它通过集中化的点击式网络管理简化了历来都很复杂的网络。

IDN 技术最初是为 Boeing 开发的,用于保护其制造工厂内移动工具网络的安全。这些工具系统通过 ICS/SCADA 系统控制,并通过 Wi-Fi(一种容易受到攻击的媒介)通信。该公司开发了一种基于主机身份协议 (HIP) 的解决方案,这种协议是得到 IETF 认可的开放式网络安全协议。

HIP 分隔了 IP 地址的端点标识符和定位器角色,并引入了更灵活的网络和安全主机身份名称空间。这为网络带来了原生安全性和移动性,而无需更改现有的基础设施。 除了端到端加密带来的内在安全性之外,它还可以与任何基于 IP 的网络、应用或资源向后和向前兼容。

掩蔽重要基础设施安全性的优势

IDN 的掩蔽方面尤其值得注意。通过在建立 TCP 会话之前要求基于可靠机器身份的身份验证和授权,组织可以掩蔽重要的系统和端点。因此,没有可验证机器身份的不受信任的设备无法发现网络上已掩蔽的设备并与之通信。

因为授权和身份验证在建立传输和交换任何数据之前进行,所以受 HIP 服务保护的主机和机器得到有效掩蔽,未经授权的机器无法发现它。诸如 Nmap 之类的扫描工具无法发现任何侦听端口,这意味着攻击者无法开始网络杀伤链的第一步(图 2)。

图 2. 网络杀伤链第一步无法在身份定义网络上进行,因为它们使得端点对于底层网络不可见。(资料来源:Tempered Networks

因此,IDN 用户可以掩蔽重要基础设施,避免被威胁操作侦察到,从而可以防御分布式拒绝服务攻击 (distributed denial-of-service, DDoS)、中间人攻击 (man-in-the-middle, MiTM)、命令和控制、IP 伪造和其他类型的网络和传输层攻击。

这种类型的分段不同于可在专用 LAN 上实现的分段,并且可以包括物理/虚拟/云环境中的北到南和东到西数据流量。IDN 提供基于可验证机器身份而不是可伪造 IP 地址的分段。可将 HIP 服务部署在尽可能靠近资源的位置并内嵌或直接安装在主机上。该服务可以提供跨南/北和东/西方向分段。

与这种方法相对,防火墙和软件定义网络 (SDN) 通过定义基于 IP 地址、VLAN 和/或端口的访问限制来尝试防止南/北和东/西横向移动。这些解决方案定义基于临时 IP 地址范围的策略实施和分段,这使组织面临 IP 伪造和 VLAN 遍历的风险。另外,随着不断添加、移动和更改成千上万的 IP 资源,端口往往会出现配置错误或被遗忘并保持启用。这使得难以维持硬化的防火墙和 SDN 分段,规模大时尤甚。

来自许多供应商和顾问的响应是将防火墙推到网络的更深入位置,无论是作为独立的单元还是作为 SDN 解决方案的一部分。在采购、人员和复杂程度方面,这种方法的成本非常高。

在重要基础设施网络安全中集成 IDN 和 HIP

Tempered Networks 有更好的方法。其解决方案在强调易于使用以降低 IT 复杂程度的平台中使用 IDN。例如,HIPswitch* 系列是围绕敏感的网络资源建立身份定义层面的网络交换平台。它们内嵌部署,以防止从南/北和东/西通道未经授权发现受保护的系统并与之通信。

对于智能电网等边缘应用,HIPswitch 产品组合包括以太网或以太网和移动网络连接的工业级 HIPswitch 100 系列边缘网关。对于无法保护自己的机器,100 系列支持 1 对 1 或 1 对多配置,并可作为预先调配的系统由非技术人员的部署(图 3)。

图 3. HIPswitch 100 系列工业物联网边缘网关支持以太网或以太网和移动网络连接,为易受攻击的智能电网系统建立内嵌加密和分段。(资料来源:Tempered Networks

对于智能电网系统的数据中心分段,该产品系列还具有 HIPswitch 500 系列,其可用作支持 IDN 的聚合点(图 3)。500 系列支持高可用性 (HA) 和 SFP/SFP+ 扩展模块,以在重要应用中获得可扩展性和故障转移功能(图 4)。

图 4. HIPswitch 500 为物理服务器和虚拟服务器提供加密和分段,同时还具有身份定义网络 (IDN) 聚合器的双重功能。(资料来源:Tempered Networks

这些平台得到 Tempered Networks Conductor 支持,后者是一个编排引擎,用于管理所有分布式 HIP 服务的策略以及通过网络提供简单控制。

超越 OT 和 SCADA

总之,IDN 不受使用 IP 地址来识别和定义哪些系统可以相互通信的限制影响。HIP 解决了与所有其他竞争网络和安全产品冲突的两个根本缺陷:在交互数据之前无法对两个或多个端点之间的网络连接进行身份验证和授权,以及使用可伪造 IP 地址作为设备身份来定义 LAN/WAN 连接、分段和访问。

但是很明显,除了 OT 和 SCADA 网络以外,IDN 解决方案还可以支持其他网络。它们提供一致的方法,用于对从物联网到云平台的机器和设备进行微分段并保护它们的安全。因此,借助跨内部部署的数据中心、云、几乎所有客户端设备和物联网元素(如机器人、IP 摄像头或传感器)的单个基于结构的网络架构,安全可以涵盖所有环境。

作者简介

Richard Nass’ key responsibilities include setting the direction for all aspects of OpenSystems Media’s Embedded product portfolio. Previously, he was the Brand Director for UBM’s award-winning Design News property. Nass has been in the engineering OEM industry for more than 25 years. In prior stints, he led the Content Team at EE Times, and the TechOnline DesignLine network of design engineering websites. Nass holds a BSEE degree from the New Jersey Institute of Technology.

Profile Photo of Rich Nass