2019年1月23日委內瑞拉總統馬杜羅因美國支持反對派瓜伊多自封“臨時(shí)總統”宣布正式與美國斷交。委國經(jīng)濟遭到美國新一輪的制裁，IMF預測19年通貨膨脹率達到10萬(wàn)倍。3月7日，委國發(fā)生迄今為止最大規模停電事件，讓這個(gè)身處危機之中的國家雪上加霜。

委內瑞拉通訊和信息部部長(cháng)羅德里格斯表示，水電站遭到網(wǎng)絡(luò )攻擊。委內瑞拉打算向聯(lián)合國人權事務(wù)高級專(zhuān)員米歇爾·巴切萊特投訴。盡管事件目前仍未定性為網(wǎng)絡(luò )攻擊。但毫無(wú)疑問(wèn)的是，網(wǎng)絡(luò )空間中已經(jīng)存在開(kāi)展此類(lèi)攻擊的現實(shí)基礎，那么此類(lèi)事件發(fā)生只是時(shí)間問(wèn)題。

我們早已經(jīng)習慣于享受網(wǎng)絡(luò )的便利，似乎已經(jīng)成溫情脈脈的生活載體，卻忽視了“牽一網(wǎng)而動(dòng)全身”的警示價(jià)值。在美軍加緊網(wǎng)絡(luò )戰爭準備、西方媒體廣泛討論人工智能等新技術(shù)應用于網(wǎng)絡(luò )戰的同時(shí)，我們應該拋棄幻想，直面威脅，維護安全，以強大的網(wǎng)絡(luò )國防實(shí)力支撐，共同構建安全有序的網(wǎng)絡(luò )空間命運共同體。天地和興應急響應團隊通過(guò)分析委內瑞拉大停電事件、委內瑞拉電力控制系統基本現狀，結合多年在電力企業(yè)網(wǎng)絡(luò )信息安全防護一線(xiàn)的實(shí)戰經(jīng)驗，給出了具體的防護思路。

1 事件概況

委內瑞拉首都加拉加斯停電后

委內瑞拉大范圍停電事件開(kāi)始于 2019年3月7日當地時(shí)間下午4:56。停電影響了委內瑞拉 23 個(gè)州中的21個(gè)州的醫院和診所、工業(yè)、運輸和供水服務(wù)（澎湃新聞）。3月12日，該國部分地區電力已經(jīng)恢復，但加拉加斯仍然只有部分供電，與哥倫比亞接壤的西部地區仍處于黑暗狀態(tài)。截至3月14日，停電尚未完全解決。

關(guān)于3月7日停電事故原因存在兩種不同的觀(guān)點(diǎn)，一是以委內瑞拉官方為代表的觀(guān)點(diǎn)，認為本次事故是由于委內瑞拉最大的古里水電站受到反對派和美國網(wǎng)絡(luò )攻擊導致機組停機所致。二是以反對派臨時(shí)總統胡安·瓜伊多為代表的觀(guān)點(diǎn)，認為本次事故是由于古里水電站送出線(xiàn)路廊道發(fā)生火災引起765千伏主干線(xiàn)路(San Geronimo B ~Malena段)跳閘，導致國家中心變電站失壓；而馬杜羅政府多年來(lái)管理不善，造成委內瑞拉電力供應緊張，沒(méi)有足夠的備用電力來(lái)應對古里水電站的停運。

2 古里水電站概況

古里水電站，正式名稱(chēng)為西蒙·玻利瓦爾水力發(fā)電站（西班牙語(yǔ)：Central Hidroeléctrica Simón Bolívar），位于委內瑞拉玻利瓦爾州的土石壩，橫跨奧里諾科河支流卡羅尼河，壩體長(cháng)7,426米，高162米，蓄水形成古里水庫（Embalse de Guri），水庫面積為4,250平方千米（1,641平方英里）。正式名稱(chēng)命名自拉丁美洲革命家西蒙·玻利瓦爾。（參考Wikipedia英文）

這座水電廠(chǎng)是世界已建成裝機容量第四大的水電站。壩址年徑流量1536億立方米?？値烊?350億立方米，調節庫容854億立方米。水電站裝機1020萬(wàn)kW。年發(fā)電量510億千瓦時(shí)，為委內瑞拉總發(fā)電量的2/3。

第一期工程于1963年9月開(kāi)工，1968年開(kāi)始發(fā)電，1977完工。安裝10臺機組，總裝機容量268萬(wàn)kW。

第二期工程于1978年開(kāi)工，1984年開(kāi)始發(fā)電，1986年10月竣工。安裝10臺61萬(wàn)kW機組（最大出力73萬(wàn)kW）。一期安裝的機組由于水頭提高，裝機容量增至300.5萬(wàn)kW。

自2009年以來(lái)，委內瑞拉面臨多年的停電事故，包括2013年的兩次大停電，其中一次電力故障影響了加拉加斯和17個(gè)州，持續了6個(gè)小時(shí)；以及2016 年由于惡略天氣導致的嚴重的電力和水力危機；而在2018年的一次大停電，官方聲明影響了8個(gè)州，持續了10個(gè)小時(shí)?？偟膩?lái)說(shuō)，古里水電站運行存在很大的不穩定性。

3 事件回顧

2019年3月7日，委內瑞拉政府指責稱(chēng)，造成本次停電的原因是委國內最重要的古里水電站遭到反對派蓄意破壞，通信和信息部部長(cháng)霍爾赫·羅德里格斯暗示美國在幕后策動(dòng)攻擊委內瑞拉的電網(wǎng)。反對派“臨時(shí)總統”胡安·瓜伊多表示，根據委內瑞拉Corpoelec輸電公司內部人員透露，當地時(shí)間周四16：42分左右，古里水電站送出線(xiàn)路，路徑發(fā)生火災，導致聯(lián)絡(luò )Guri~Malena~SanGerónimoB變電站三回765千伏線(xiàn)路跳閘。但另一部分的說(shuō)法則強調，古里大壩的發(fā)電渦輪機出現不明原因的停擺，為了重啟系統委電才在周四當夜“強迫重啟機組4次”，沒(méi)想到渦輪不僅沒(méi)能復活，反倒引爆了變電站。

下圖是大停電事件發(fā)生后7天，委內瑞拉發(fā)生的數次斷電的電力走勢圖（來(lái)源：Netblocks）

4 委國電廠(chǎng)控制系統概況

委內瑞拉全國發(fā)電量約為117,000GWh，其中水電占64％，天然氣發(fā)電占19％，石油發(fā)電占17％（引自：國際能源署數據，2015年）。水力發(fā)電集中在瓜亞納地區的卡羅尼河上，位于該國東部，共有4座水電站，分別是古里水電站、Caruachi水電站、馬卡瓜水電站、Caroní水電站。其中，最大的古里水電站，裝機容量為10,200兆瓦，位列世界第三大水電站。

由于主力電源分布在東部地區，主網(wǎng)電力流呈現“東電西送”格局。從圖4委內瑞拉主網(wǎng)架結構可以看出，委內瑞拉輸電網(wǎng)由765kV、400kV、230kV三個(gè)電壓等級構成，古里水電站電力通過(guò)765kV、400kV向該國負荷中心送出。

2005年，委內瑞拉最大的水力發(fā)電廠(chǎng)古里水電站現代化改造項目由其所有者在工廠(chǎng)進(jìn)行，使古里水力發(fā)電廠(chǎng)的壽命延長(cháng)30年。其中包括對發(fā)電機組進(jìn)行全面的機械檢修，由不同的風(fēng)機供應商和機械承包商進(jìn)行。委國和ABB簽訂了設計、控制系統供貨、安裝儀表和保護系統的合同。項目由包括ABB委內瑞拉，ABB加拿大和ABB瑞士在內的三方聯(lián)盟實(shí)施，并在2007年1月份首次交付。（參考《ABB評論》06年3月期）

4.1控制系統

由ABB為電廠(chǎng)設計的分布式控制系統（DCS）集成電廠(chǎng)已有的前三個(gè)級別分級控制系統。第一級包含通過(guò)Profibus網(wǎng)絡(luò )與下一個(gè)控制級通信的現場(chǎng)設備（智能變送器和遠程I/O站）。第二級具有單元控制系統（UCS），該系統基于A(yíng)BB的IndustrialIT控制器AC800M。該級別支持運行生成單元的所有自動(dòng)控制序列。系統設計中用冗余來(lái)確保其可靠性。每個(gè)UCS具有兩個(gè)基于A(yíng)BB發(fā)電門(mén)戶(hù)（PGP）的冗余人機界面（HMI）?？刂破?，HMI和附件集成到工廠(chǎng)的現有機柜中。第三級位于每個(gè)動(dòng)力室的現有控制室中，包括每個(gè)單元的操作員控制臺。該級別與SNC Lavalin在20世紀90年代末安裝的現有集中控制系統連接。

分布式控制系統(DCS)包括操作員級別的ABB發(fā)電門(mén)控制臺，過(guò)程級別的ABB AC800M控制器以及現場(chǎng)級別的ABB S800 I/O模塊以及智能變送器。

4.2控制方式

該站可以通過(guò)電站＃2中現有的集中控制系統（主SCADA站），電站＃1和＃2中的控制室，或者在UCS上運行。提供UCS，控制室和主SCADA站之間的本地/遠程控制傳輸。

在DCS內，工廠(chǎng)控制在單元級別。例如，Unit 1 UCS的操作員可以訪(fǎng)問(wèn)Unit 1圖形，I/O和控制功能。所有單位都以相同的方式運作。 DCS不執行工廠(chǎng)范圍的控制。這是由現有的主SCADA站執行的，該站存在于DCS之上的控制級別?，F有的主SCADA站通過(guò)接口與DCS進(jìn)行通信。

I/O模塊和智能變送器分布在整個(gè)工廠(chǎng)中，I/O設備位于受控制和監控的設備附近。

4.2.1控制路徑

操作員控制可以在整個(gè)工廠(chǎng)的許多不同區域進(jìn)行。因此，重要的是管理控制的位置并防止設備同時(shí)從兩個(gè)不同的點(diǎn)進(jìn)行操作。

操作員控制可在Powerhouse＃1內的以下位置執行：

控制室 - 工作臺上的工作臺和主控制板（MCS）1 - 10 UCS。 Powerhouse＃1有10個(gè)UCS。個(gè)別單位可以在每個(gè)UCS控制?？刂坪捅O視功能包括單元啟動(dòng)/關(guān)閉以及單元監視和通知。

4.16KV輔助服務(wù) - 在工廠(chǎng)車(chē)間PH1污水泵和排水系統 - 在工廠(chǎng)車(chē)間當地440V輔助服務(wù)（僅限本地控制）工廠(chǎng)控制服務(wù)（僅限本地控制）溢洪道 - 通道1,2,3大壩污水泵和排水系統

操作員控制可在Powerhouse＃2內的以下位置執行：

控制室 - 臺板和MIMIC面板（MIMIC）單元11 - 20個(gè)工廠(chǎng)車(chē)間的UCS。Powerhouse＃2有10個(gè)UCS。每個(gè)UCS都可以控制各個(gè)單元?？刂坪捅O視功能包括單元啟動(dòng)/關(guān)閉以及單元監視和通訊控制。

4.2.2 AC800M控制器

AC800M控制器構建為帶有兩個(gè)內置以太網(wǎng)端口的軌道安裝模塊。它們包括中央處理單元，通信模塊，電源模塊和各種附件?？刂破髟O置為冗余配置。

4.2.3現場(chǎng)I/O - S800 I/O模塊和智能變送器

S800 I/O模塊和現場(chǎng)總線(xiàn)通信接口（FCI）模塊組合在一起形成I/O站或I/O群集。通過(guò)Profibus-DP1連接到控制器的I/O被認為是I/O站。通過(guò)ModuleBus連接到控制器的I/O被視為I/O群集。整個(gè)工廠(chǎng)安裝智能通訊工具和儀表。由于這些設備通過(guò)Profibus-PA2進(jìn)行通信，因此使用Profibus-DP / PA轉換器來(lái)與控制器進(jìn)行通信。

4.2.4協(xié)議和傳輸

控制器使用了許多通信協(xié)議和介質(zhì)。這些包括以下內容：

控制網(wǎng)絡(luò )（LAN）通信：Modulebus通信Profibus DP通信Profibus PA通信，控制器通過(guò)以太網(wǎng)LAN和WAN（廣域網(wǎng)）與其他控制器和HMI通信?？刂凭W(wǎng)絡(luò )以100 Mb / s的速度運行?？刂凭W(wǎng)絡(luò )由平行獨立環(huán)網(wǎng)構成，如果線(xiàn)A中斷，則通信將沿著(zhù)線(xiàn)B繼續；如果線(xiàn)A和B都斷開(kāi)，則環(huán)結構將變?yōu)榭偩€(xiàn)結構。

I/O網(wǎng)絡(luò )通信：I/O網(wǎng)絡(luò )將工廠(chǎng)的所有I/O設備連接到控制器。有三種類(lèi)型的通信協(xié)議用于I/O網(wǎng)絡(luò )。這些是：ModuleBus：用于通過(guò)塑料光纜直接與本地I/O群集通信。 ModuleBus支持SOE功能；Profibus DP：用于直接與遠程I/O站通信，間接與智能傳輸器通信；Profibus PA：用于為智能電子設備（IED）供電以及從IED傳輸信息。

5 停電事件原因分析及應對措施

5.1原因分析

綜合以上信息，導致如此大規模停電的原因仍然不能確定，但設備物理?yè)p壞可能性遠大于網(wǎng)絡(luò )攻擊。然而千里之堤潰于蟻穴，切莫忽視任何不安全因素的存在。委內瑞拉電力基礎設施薄弱，設備維護不到位，技術(shù)人員水平低下，工業(yè)控制系統防護不足，都是影響電廠(chǎng)穩定工作的巨大隱患，尤其電能關(guān)系著(zhù)人們生活、生產(chǎn)、醫療等方方面面，一旦出現問(wèn)題將會(huì )帶來(lái)不可估量的損失。

我們分析，古里水電站、變電站以及輸配電線(xiàn)路可能存在的安全問(wèn)題有：

5.1.1水電站方面

5.1.1.1、基礎設施、設備老化，維護不足；

5.1.1.2、所采用的Win系統存在漏洞、弱密碼，加固不足； 

5.1.1.3、ABB系統已發(fā)現的高危漏洞，防護不足：

CNVD-2014-02852 ABB AC800M報文緩沖區溢出漏洞

CNVD-2014-02853 ABB AC800M報文異常取值拒絕服務(wù)漏洞

ICSA-10-097-01 ABB NETCADOPS幫助系統漏洞

5.1.1.4、廠(chǎng)內工業(yè)控制協(xié)議安全防護不足，易受攻擊；

5.1.1.5、沒(méi)有對生產(chǎn)網(wǎng)絡(luò )流量進(jìn)行監控和審計，無(wú)法及時(shí)發(fā)現攻擊行為；

5.1.1.6、沒(méi)有采取有力的技術(shù)和管理措施對移動(dòng)U盤(pán)和光盤(pán)使用有效控制；

5.1.1.7、委內瑞拉政府電力部門(mén)運維監管不到位；

5.1.1.8、對安全事件的應急處置工作重視不足，應急預案針對性、可操作性不足。

5.1.2變電站方面：

5.2.1、各端變電站人員技術(shù)水平低下；

5.2.2、電磁防護不足；

5.1.3 輸配電方面：

5.3.1、基礎設施安全保障不到位，導致主線(xiàn)路火災發(fā)生時(shí)難以控制；

5.3.2、主線(xiàn)路沒(méi)有容災配置，損壞后難以重構；

5.3.3、水電站無(wú)配電措施，停機后黑啟動(dòng)十分危險。

5.2網(wǎng)絡(luò )安全應對措施

5.2.1應急措施

若委內瑞拉大停電事件確定是網(wǎng)絡(luò )攻擊造成的，那么其病毒攻擊能力絕不亞于Stuxnet。

在已恢復大部分供電的情況下，應急人員需徹底檢查控制系統以及AC800M與I/O通訊傳輸過(guò)程的網(wǎng)絡(luò )安全隱患，操作系統漏洞修補和0day漏洞發(fā)現情況。如若發(fā)現病毒，應深入分析，根除病毒及變種。以古里電廠(chǎng)現有的系統分級結合Power Systems保護系統，分區域隔離并恢復系統和應用防止再次感染。安裝Microsoft更新并配置部署主機安全防護系統以解決安全漏洞、安全基線(xiàn)配置問(wèn)題。建立密碼訪(fǎng)問(wèn)機制，并更換無(wú)法修復的設備。

5.2.2預防措施

通過(guò)采用一整套的工控系統信息安全解決方案，以建立縱深防御策略為主要思想，確保通訊網(wǎng)絡(luò )中即使某一點(diǎn)發(fā)生網(wǎng)絡(luò )安全事故，系統也能正常運行，同時(shí)，工廠(chǎng)操作人員能夠很迅速的找到問(wèn)題并進(jìn)行處理，在保證建立立體化防護的同時(shí)，使水電廠(chǎng)符合安全要求。

區域隔離：通過(guò)工控防火墻能夠過(guò)濾兩個(gè)區域網(wǎng)絡(luò )間的通信。這樣意味著(zhù)網(wǎng)絡(luò )故障會(huì )被控制在最初發(fā)生的區域內，而不會(huì )影響到其它部分；

深度檢查：面向應用層對特有的工業(yè)通訊協(xié)議進(jìn)行內容深度檢查，告別病毒庫升級缺陷；

通信管控：通信規則是可以通過(guò)中央管理平臺進(jìn)行在線(xiàn)組態(tài)和測試的；

主機安全防護：安裝了主機安全防護系統的電腦在面對自身與外界的安全威脅有了更深的防護級別，深度執行白名單數據庫的數據運行；

數據及日志審計：完善的安全審計平臺，對網(wǎng)絡(luò )運行日志、操作系統運行日志、安全設施運行日志等進(jìn)行集中收集、自動(dòng)分析，及時(shí)發(fā)現各種違規行為以及病毒和黑客的攻擊行為；

實(shí)時(shí)報警：所有部署的防火墻都能由管理平臺統一進(jìn)行實(shí)時(shí)監控，任何非法的（沒(méi)有被組態(tài)允許的）訪(fǎng)問(wèn)，都會(huì )在管理平臺產(chǎn)生實(shí)時(shí)報警信息，從而故障問(wèn)題會(huì )在原始發(fā)生區域被迅速的發(fā)現和解決。

綜上，針對電力等基礎設施和工業(yè)系統，在落實(shí)能力導向建設模式構建動(dòng)態(tài)綜合防御體系的工作中，必須以保障業(yè)務(wù)運行的連續性和可靠性要求為基本前提，這就對基礎結構安全能力、縱深防御層面安全能力的規劃、建設和安全運行提出了更高的要求，對于現網(wǎng)系統，針對各種等可能對業(yè)務(wù)連續性產(chǎn)生潛在影響的安全動(dòng)作，需要極為慎重，綜合采用合理規劃、分區分域、收窄暴露面等方式，有效布防，并通過(guò)完備的應急響應預案制定、演訓式威脅評估等相關(guān)措施，最大限度避免或減少對業(yè)務(wù)系統可能產(chǎn)生的影響，確保系統業(yè)務(wù)的彈性恢復能力。

對國民經(jīng)濟關(guān)鍵領(lǐng)域的市場(chǎng)開(kāi)放必須采取非常慎重的態(tài)度，特別是像電力系統這樣的“生命線(xiàn)”領(lǐng)域更是要慎之又慎，否則，就無(wú)異于引狼入室和埋下“定時(shí)炸彈”。

天地和興安全應急響應團隊

關(guān)于天地和興

北京天地和興科技有限公司成立于2007年，是國內專(zhuān)業(yè)的工控安全解決方案提供商。公司產(chǎn)品及解決方案已成功應用于電力、石油石化、鋼鐵冶金、軌道交通和智能制造等關(guān)鍵基礎設施領(lǐng)域三百余家工業(yè)企業(yè)，用戶(hù)遍布全國29個(gè)省級行政區。主機安全防護系統已在工業(yè)主機部署超過(guò)2000套，安全穩定運行超過(guò)5年。

天地和興一直致力于為客戶(hù)提供全生命周期工控安全整體解決方案與產(chǎn)品服務(wù)，未來(lái)將持續加大對新技術(shù)、新產(chǎn)品的研發(fā)力度，依托浙江大學(xué)“工控系統安全聯(lián)合研究中心”及華北電力大學(xué)“電力工業(yè)信息安全聯(lián)合實(shí)驗室”等科研機構，不斷深入對工控漏洞、人工智能安全、大數據態(tài)勢分析等方向的技術(shù)研究，保護國家關(guān)鍵信息基礎設施安全，助力網(wǎng)絡(luò )強國戰略。