如何保护智能电网设备安全

世界各地的能源供应商和政府都在寻找升级其能源系统的方法。 这些努力的很大一部分花在智能电网概念上，该概念将联网和自动化引入电力系统中。 智能电网使消费者和供应商可更好地监控电力消耗。提高了可靠性和效率，降低了成本。 但是计算机化和联网也产生了安全和攻击隐患。

　　2009 年的一次研究对智能电网的威胁进行了很好诠释，当时 IOActive 的研究人员使用联合网络攻击远程潜入并控制了智能电表。 他们能够接管一台设备，在液晶屏上显示一条消息，并从电表到电表散布攻击。 尽管这些研究人员没有造成任何毁坏，但很容易想象一场类似的攻击将家庭和企业从电网切断，从而造成大范围的破坏。 智能电网还有可能将信息透露给未授权用户。 有风险的数据包括：

　　●诊断信息

　　●维护信息

　　●身份（可能包括个人信息）

　　●帐单数据

　　●系统状态

　　保护电网运作和相关数据流是智能电网计划成功的关键。 提高安全性的一种方式是将系统重要和机密部分与非重要和非机密部分分开。 本文介绍了如何使用安全 Hypervisor 和 Intel® 虚拟化技术 (Intel® VT) 实现这一目标。

　　虚拟化、分区和安全

　　一种已经证实可行的安全方案是通过物理方式分开构建安全和非安全的设备和网络。 对于大多数智能电网而言，这种方法是不实际的，既昂贵又繁冗。 一种更经济高效的解决方案是利用嵌入式虚拟化，在同一台设备上运行安全和非安全软件。

　　虚拟化使开发人员可将一个硬件平台分区成多个虚拟机，每个上面运行自己的来宾操作系统 (OS)。虚拟机由一个位于来宾 OS 和硬件之间的 Hypervisor（也称为虚拟机监视器）管理。使用一个安全的 Hypervisor，如风河 Hypervisor，虚拟机之间被严格地分开，这样一个分区上出现的攻击、崩溃或不良行为将不会影响到其他分区。 这种隔离使一个单独的硬件可同时安全运行安全和非安全软件。

　　图 1 显示了一个支持安全、受信任虚拟机的安全分区架构示例。 此架构支持在一个运行最少执行的安全、受信任分区中进行智能电网控制和数据处理。 安全要求较低的实时控制和设备界面可在第二个分区的实时操作系统 (RTOS) 上运行。 同时，图形用户界面 (GUI) 可在第三个分区中的通用操作系统 (GPOS) 上运行。

　　安全逐渐成为电网的一个重要要求，很有必要验证并认证智能电网设备的安全性。 验证系统安全是一项单调、昂贵和耗时的工作，对于复杂的系统则更加费力。 一个安全 Hypervisor 可简化此工作，将安全重要性高的功能划分到受信任分区，安全重要性低的软件分到不受信任分区。 此划分减少了验证工作量，因为仅受信任分区的软件需要验证。

　　为了让安全分区可用于智能电网设备，必须有一个安全可靠的方式让受信任组件与不受信任组件通信，还要有一个在智能电网设备网络上安全通信的方式。

　　联网，分区间通信

　　分区间通信是虚拟化系统的一个重要要求，因为总是需要从受信任分区到不受信任分区传输数据和控制。 由于安全原因，Hypervisor 会根据系统安全策略和系统配置严格地控制分区间允许的通信和数据访问。 一种通信机制是安全进程间通信（安全 IPC 或 SIPC）。