特朗普颁发电力设备禁令，专家建议直接开源

“我，美国总统特朗普，最近发现某些外国对手正在加紧利用美国大功率电力系统（BPS）中的漏洞开展攻击，而这些大功率电力系统是国防、关键基础设施、经济、民生等领域重要的支持设备。”

这是近期特朗普签署的一项行政命令，旨在通过阻止从“外国对手”进口电力设备来保护美国电网免受网络攻击。推测这项命令的背后，针对的是俄罗斯、伊朗，甚至中国。

简单来说，这项禁令还是离不开美国之前鼓吹的国家安全、供应链安全，甚至借此引发对华为的制裁。而现在这一项“供应链禁令”又涵盖了什么内容？

随着禁令而来的是一个与美国国家安全有关的联邦能源基础设施采购政策特别工作组的成立，这个小组有权设立和发布认定特定设备和供应商的标准，识别使用中存在安全风险的设备。其中，特朗普明确授权的是：

一、导致大功率电力系统电气设备的购置、转让、进口或安装到美国电网上的交易，如果是由外国人设计、开发、制造或简单地供货，一律禁止； 二、必须在可行的情况下尽快识别、隔离、监控或更换已经使用的上述设备。

对于美国电网的网络攻击，特朗普的担忧和发布的禁令并非空穴来风。根据一份新发布的工控系统报告，目前至少有三个黑客组织团队能够感染或者破坏全美的电网。而针对电力系统和公共基础设施的网络犯罪数量也在增加。

新的电力设备交易禁令给行业和电力公司带来了许多的不确定性，具体的行政命令法规尚未出台，能源部将150天（即10月1日之前）之内发布。

然而，即使如此，电力设备禁令就可以完全防范电网攻击了吗？似乎也不尽然，关键问题在于，绝大多数的电力设备是在美国国外建造的，LF Energy CEO Shuli Goodman也曾表示，美国电网十分依赖进口。所以，保护电网就止步于特朗普的这项禁令了？

非也。

LF Energy CEO Shuli Goodman进一步提出，尽管无法一夜之间将美国变成制造业强国，但是使用开源这种方法可以让国外电气设备更安全。LF Energy是一项开放源代码的电力系统计划。它的工作是为所有电气公司构建和维护开源商品软件。

电力设备风险并不完全是硬件的问题，应该更加关注的是攻击面和风险点的所在，比如嵌入系统的固件问题。每个组件不管是存储芯片、面板、处理芯片等都有会在国外生产的。

因此，如果对于设备中的硬件和软件使用开源似乎是一个不错的办法。在未来，无论是民族国家还是大型能源公司，恶意攻击者都可以访问和攻击OEM的黑盒，而想要检验电网唯一的方法就是使用开源，在一个开放的社区中，具有开放的治理和完全的透明度。

更具针对性和长期性的解决方案是对整个堆栈进行开源。从本质上讲，这意味着电网中的黑盒无论处于高中压还是低压都属于违法行为。而且，因为连接到电网的任何设备都可以成为一个安全漏洞，我们需要创造一条完全透明的道路。所以，我们需要认识到任何带有嵌入式专有软件（无法访问或查看的技术）的硬件才算是电网的真正威胁。

在开源的情况下，硬件设备是否是敌国生产反而是无关紧要了。尽管当前美国、俄罗斯和中国之间处在一种紧张的关系中，但是限制供应商的黑盒技术才更有意义。如果一个恶意攻击者想利用漏洞，那么无论电压水平如何，所有黑盒都会威胁电网。

有些人认为，或许可以通过强制要求在美国电网上使用隔离技术来保护电网。尽管《安全能源基础设施法案》（SEIA）进行过试验，但这种方法不太可能成为长期的问题解决方案。

考虑到美国公司不会在短期内建造新的高端电网设备，因此开源确实是保护电网的一种途径。

参考来源：

保护电网最好的办法是开源 关于确保美国大功率电力系统安全的行政命令 特朗普对外国电力设备的禁令引发新的不确定性

*本文作者：Sandra1432，转载请注明来自FreeBuf.COM