中国国家电网公司拥有菲律宾国家电网公司NGCP的40%股份,NGCP是运行菲律宾电网的私有财团。图片来源:STAR/米格尔·德·古兹曼(MiguldGuzman)最近有关菲律宾国家电网NGCP电网易受到网络攻击的传言甚嚣尘上。其中,中国国家电网公司作为NGCP的最大股东,可能通过技术手段渗透并控制“菲律宾国家输电基础设施”的言论在菲律宾国内或其他准备采用中国技术的东南亚国家内部或许还颇有市场。(参考本文正文之下所附的报道)很明显,这不仅仅是技术讨论,也有深层次的国际关系变化。和平崛起的中国、产品技术服务逐渐向海外发展的过程中,这些来自利益集团的质疑和反对都是正常的,也是海外发展必须经历的阵痛。01回归技术本身,那么菲律宾国家电网的网络安全现状到底如何?是否真的会重演在乌克兰或伊朗核设施发生的那样致命的网络安全漏洞呢?NGCP作为输电运营商,其电网基础设施包括输电和变电资产,菲律宾全国多座高压变电站(kV及以上)分布在三个区域、七座主要岛屿。在中国国家电网参股之前,NGCP只有三个区域调度系统(SCADA),缺少国家级的统一协调控制系统。中国国家电网公司参与管理后,针对菲律宾电力基础设施薄弱的现状,投入大量资金改造现有变电站,并建立了统一的国家调度系统,将上述区域、岛屿的监视和控制统一起来,极大地提高了NGCP的运维管理水平。电网基础设施是每个主权国家的关键基础设施,市场化改革在引进外国投资的同时也引进了先进的技术和管理经验。中国国家电网将中国在关键基础设施防护上的先进经验传授给菲律宾合作伙伴,其中包括物理防护和网络安全防护。举例来说,过去我们都知道菲律宾是一个容易受到台风和热带风暴影响的国家,其电网基础设施首要防护的目标是预防洪水、雷电和风暴带来的影响。中国国家电网在完成股权交割后,派出的技术专家团队却发现大多数变电站的火灾防护存在严重隐患、变电站入侵防护也存在不小的问题。通过整改,基本消除了此类威胁。在网络安全方面,过去的三个区域调度系统属于第一代SCADA系统,采用物理隔离,没有加密和网络安全防护措施(参考所附报道,关于加利福尼亚远程维护内容)。国家电网公司在NGCP新建的统一调度系统则使用了第三代调度系统技术,采用严密的网络安全措施,做到了所有数据不出菲律宾、不出调度中心。其主要措施是增强型网络安全加固措施,包括:信息系统安全分区与隔离,调度生产区采用严格的网络管理系统(包括:MAC地址绑定、入侵检测、异常行为检测等),所有操作系统和商用软件都进行持续的信息安全评估和安全补丁。生产区与OA系统使用隔离加密措施,生产区与OA之间的DMZ只能进行授权浏览,不允许进行远方操作。调度中心与变电站之间使用隔离防护装置,同时使用了增强型的规约过滤器,所有非法数据或篡改数据直接会被抛弃。02既然如此,是否还存在安全漏洞呢?首先,世界上没有%安全的网络,现有的操作系统、商业软件都可能暗含着网络风险,会逐渐暴露,需要及时对系统进行升级维护。其次,根据全球电力公用事业的经验,很多系统都是从内部攻破的,如无意的泄漏行为(员工信息安全意识,使用不明来源的软件等等)以及非常严重的员工恶意行为(我们称为“AngryEmploy”)。但在电网实际操作中,一般需要两人以上的授权,才可能进行远方操作,因此对电网员工,特别是能接触到调度管理的关键岗位,应该了解员工的思想动态,防止类似“马航”事件的发生。第三,最大的网络安全威胁可能来自变电站端。过去菲律宾的电网自动化设备主要来自欧美供应商。欧美设备在远程维护管理上往往都有非常灵活的设计,以保证实现远程维护,减少人工成本。这些系统一般来说都有相应的认证和授权机制(AuthnticationAuthorizaiton),但在实际应用中,往往电力工程师对这些网络技术缺乏必要的了解,因而被简化或忽略(bypass)。例如,变电站网关作为变电站网络门户,一般使用Radius进行认证和授权,但实际可能仅使用简单密码。另外,调度SCADA和变电站之间的通信虽然是专用通信网(如下报道的OPGW,专用光纤网络),但调度与变电站间的数据并没有加密传输机制。应该考虑在变电站与调度系统之间使用标准传输层安全协议TLS,防止可能的中间人攻击(Middl-man-attack,尽管攻击专网的可能性很小,但并不排除)。这项工作对于调度系统软件来说是非常容易实现的,重点在于需要底层变电站的网关支持,很多新的基于物联网的配网调度系统已经采纳了这种开源的安全加密标准。第四,变电站内部的网络安全。由于数字变电站的普及,变电站内设备更多地使用基于IEC的通信。智能电子设备的采样、相互闭锁以及与变电站网关之间都将使用数字通信。但IEC对网络安全的设计直到最近才成为行业重点
转载请注明:http://www.feilvbina.com/fbzz/4658.html
当前位置: 菲律宾 > 菲律宾政治 > 菲律宾国家电网的网络安全管理是否存在漏洞
