如何保護智能電網(wǎng)設(shè)備安全

世界各地的能源供應商和政府都在尋找升級其能源系統(tǒng)的方法。 這些努力的很大一部分花在智能電網(wǎng)概念上，該概念將聯(lián)網(wǎng)和自動化引入電力系統(tǒng)中。 智能電網(wǎng)使消費者和供應商可更好地監(jiān)控電力消耗。提高了可靠性和效率，降低了成本。 但是計算機化和聯(lián)網(wǎng)也產(chǎn)生了安全和攻擊隱患。

　　2009 年的一次研究對智能電網(wǎng)的威脅進行了很好詮釋，當時 IOActive 的研究人員使用聯(lián)合網(wǎng)絡(luò)攻擊遠程潛入并控制了智能電表。 他們能夠接管一臺設(shè)備，在液晶屏上顯示一條消息，并從電表到電表散布攻擊。 盡管這些研究人員沒有造成任何毀壞，但很容易想象一場類似的攻擊將家庭和企業(yè)從電網(wǎng)切斷，從而造成大范圍的破壞。 智能電網(wǎng)還有可能將信息透露給未授權(quán)用戶。 有風險的數(shù)據(jù)包括：

　　●診斷信息

　　●維護信息

　　●身份（可能包括個人信息）

　　●帳單數(shù)據(jù)

　　●系統(tǒng)狀態(tài)

　　保護電網(wǎng)運作和相關(guān)數(shù)據(jù)流是智能電網(wǎng)計劃成功的關(guān)鍵。 提高安全性的一種方式是將系統(tǒng)重要和機密部分與非重要和非機密部分分開。 本文介紹了如何使用安全 Hypervisor 和 Intel® 虛擬化技術(shù) (Intel® VT) 實現(xiàn)這一目標。

　　虛擬化、分區(qū)和安全

　　一種已經(jīng)證實可行的安全方案是通過物理方式分開構(gòu)建安全和非安全的設(shè)備和網(wǎng)絡(luò)。 對于大多數(shù)智能電網(wǎng)而言，這種方法是不實際的，既昂貴又繁冗。 一種更經(jīng)濟高效的解決方案是利用嵌入式虛擬化，在同一臺設(shè)備上運行安全和非安全軟件。

　　虛擬化使開發(fā)人員可將一個硬件平臺分區(qū)成多個虛擬機，每個上面運行自己的來賓操作系統(tǒng) (OS)。虛擬機由一個位于來賓 OS 和硬件之間的 Hypervisor（也稱為虛擬機監(jiān)視器）管理。使用一個安全的 Hypervisor，如風河 Hypervisor，虛擬機之間被嚴格地分開，這樣一個分區(qū)上出現(xiàn)的攻擊、崩潰或不良行為將不會影響到其他分區(qū)。 這種隔離使一個單獨的硬件可同時安全運行安全和非安全軟件。

　　圖 1 顯示了一個支持安全、受信任虛擬機的安全分區(qū)架構(gòu)示例。 此架構(gòu)支持在一個運行最少執(zhí)行的安全、受信任分區(qū)中進行智能電網(wǎng)控制和數(shù)據(jù)處理。 安全要求較低的實時控制和設(shè)備界面可在第二個分區(qū)的實時操作系統(tǒng) (RTOS) 上運行。 同時，圖形用戶界面 (GUI) 可在第三個分區(qū)中的通用操作系統(tǒng) (GPOS) 上運行。

　　安全逐漸成為電網(wǎng)的一個重要要求，很有必要驗證并認證智能電網(wǎng)設(shè)備的安全性。 驗證系統(tǒng)安全是一項單調(diào)、昂貴和耗時的工作，對于復雜的系統(tǒng)則更加費力。 一個安全 Hypervisor 可簡化此工作，將安全重要性高的功能劃分到受信任分區(qū)，安全重要性低的軟件分到不受信任分區(qū)。 此劃分減少了驗證工作量，因為僅受信任分區(qū)的軟件需要驗證。

　　為了讓安全分區(qū)可用于智能電網(wǎng)設(shè)備，必須有一個安全可靠的方式讓受信任組件與不受信任組件通信，還要有一個在智能電網(wǎng)設(shè)備網(wǎng)絡(luò)上安全通信的方式。

　　聯(lián)網(wǎng)，分區(qū)間通信

　　分區(qū)間通信是虛擬化系統(tǒng)的一個重要要求，因為總是需要從受信任分區(qū)到不受信任分區(qū)傳輸數(shù)據(jù)和控制。 由于安全原因，Hypervisor 會根據(jù)系統(tǒng)安全策略和系統(tǒng)配置嚴格地控制分區(qū)間允許的通信和數(shù)據(jù)訪問。 一種通信機制是安全進程間通信（安全 IPC 或 SIPC）。