從委內瑞拉大停電事件看電力系統安全防護

更多全球網路安全資訊盡在E安全官網www.easyaq.com

2019年1月23日委內瑞拉總統馬杜羅因美國支持反對派瓜伊多自封「臨時總統」宣布正式與美國斷交。委國經濟遭到美國新一輪的制裁，IMF預測19年通貨膨脹率達到10萬倍。3月7日，委國發生迄今為止最大規模停電事件，讓這個身處危機之中的國家雪上加霜。

委內瑞拉通訊和信息部部長羅德里格斯表示，水電站遭到網路攻擊。委內瑞拉打算向聯合國人權事務高級專員米歇爾·巴切萊特投訴。儘管事件目前仍未定性為網路攻擊。但毫無疑問的是，網路空間中已經存在開展此類攻擊的現實基礎，那麼此類事件發生只是時間問題。

我們早已經習慣於享受網路的便利，似乎已經成溫情脈脈的生活載體，卻忽視了「牽一網而動全身」的警示價值。在美軍加緊網路戰爭準備、西方媒體廣泛討論人工智慧等新技術應用於網路戰的同時，我們應該拋棄幻想，直面威脅，維護安全，以強大的網路國防實力支撐，共同構建安全有序的網路空間命運共同體。研究人員通過分析委內瑞拉大停電事件、委內瑞拉電力控制系統基本現狀，結合多年在電力企業網路信息安全防護一線的實戰經驗，給出了具體的防護思路。

1 事件概況

委內瑞拉首都加拉加斯停電後

委內瑞拉大範圍停電事件開始於 2019年3月7日當地時間下午4:56。停電影響了委內瑞拉 23 個州中的21個州的醫院和診所、工業、運輸和供水服務（澎湃新聞）。3月12日，該國部分地區電力已經恢復，但加拉加斯仍然只有部分供電，與哥倫比亞接壤的西部地區仍處於黑暗狀態。截至3月14日，停電尚未完全解決。

關於3月7日停電事故原因存在兩種不同的觀點，一是以委內瑞拉官方為代表的觀點，認為本次事故是由於委內瑞拉最大的古里水電站受到反對派和美國網路攻擊導致機組停機所致。二是以反對派臨時總統胡安·瓜伊多為代表的觀點，認為本次事故是由於古里水電站送出線路廊道發生火災引起765千伏主幹線路(San Geronimo B ~Malena段)跳閘，導致國家中心變電站失壓；而馬杜羅政府多年來管理不善，造成委內瑞拉電力供應緊張，沒有足夠的備用電力來應對古里水電站的停運。

2 古里水電站概況

古里水電站，正式名稱為西蒙·玻利瓦爾水力發電站（西班牙語：Central Hidroeléctrica Simón Bolívar），位於委內瑞拉玻利瓦爾州的土石壩，橫跨奧里諾科河支流卡羅尼河，壩體長7,426米，高162米，蓄水形成古里水庫（Embalse de Guri），水庫面積為4,250平方千米（1,641平方英里）。正式名稱命名自拉丁美洲革命家西蒙·玻利瓦爾。（參考Wikipedia英文）

這座水電廠是世界已建成裝機容量第四大的水電站。壩址年徑流量1536億立方米。總庫容1350億立方米，調節庫容854億立方米。水電站裝機1020萬kW。年發電量510億千瓦時，為委內瑞拉總發電量的2/3。

第一期工程於1963年9月開工，1968年開始發電，1977完工。安裝10台機組，總裝機容量268萬kW。

第二期工程於1978年開工，1984年開始發電，1986年10月竣工。安裝10台61萬kW機組（最大出力73萬kW）。一期安裝的機組由於水頭提高，裝機容量增至300.5萬kW。

自2009年以來，委內瑞拉麵臨多年的停電事故，包括2013年的兩次大停電，其中一次電力故障影響了加拉加斯和17個州，持續了6個小時；以及2016 年由於惡略天氣導致的嚴重的電力和水力危機；而在2018年的一次大停電，官方聲明影響了8個州，持續了10個小時。總的來說，古里水電站運行存在很大的不穩定性。

3 事件回顧

2019年3月7日，委內瑞拉政府指責稱，造成本次停電的原因是委國內最重要的古里水電站遭到反對派蓄意破壞，通信和信息部部長霍爾赫·羅德里格斯暗示美國在幕後策動攻擊委內瑞拉的電網。反對派「臨時總統」胡安·瓜伊多表示，根據委內瑞拉Corpoelec輸電公司內部人員透露，當地時間周四16：42分左右，古里水電站送出線路，路徑發生火災，導致聯絡Guri~Malena~SanGerónimoB變電站三回765千伏線路跳閘。但另一部分的說法則強調，古里大壩的發電渦輪機出現不明原因的停擺，為了重啟系統委電才在周四當夜「強迫重啟機組4次」，沒想到渦輪不僅沒能復活，反倒引爆了變電站。

下圖是大停電事件發生後7天，委內瑞拉發生的數次斷電的電力走勢圖（來源：Netblocks）

4 委國電廠控制系統概況

委內瑞拉全國發電量約為117,000GWh，其中水電佔64％，天然氣發電佔19％，石油發電佔17％（引自：國際能源署數據，2015年）。水力發電集中在瓜亞納地區的卡羅尼河上，位於該國東部，共有4座水電站，分別是古里水電站、Caruachi水電站、馬卡瓜水電站、Caroní水電站。其中，最大的古里水電站，裝機容量為10,200兆瓦，位列世界第三大水電站。

由於主力電源分布在東部地區，主網電力流呈現「東電西送」格局。從圖4委內瑞拉主網架結構可以看出，委內瑞拉輸電網由765kV、400kV、230kV三個電壓等級構成，古里水電站電力通過765kV、400kV向該國負荷中心送出。

2005年，委內瑞拉最大的水力發電廠古里水電站現代化改造項目由其所有者在工廠進行，使古里水力發電廠的壽命延長30年。其中包括對發電機組進行全面的機械檢修，由不同的風機供應商和機械承包商進行。委國和ABB簽訂了設計、控制系統供貨、安裝儀錶和保護系統的合同。項目由包括ABB委內瑞拉，ABB加拿大和ABB瑞士在內的三方聯盟實施，並在2007年1月份首次交付。（參考《ABB評論》06年3月期）

由ABB為電廠設計的分散式控制系統（DCS）集成電廠已有的前三個級別分級控制系統。第一級包含通過Profibus網路與下一個控制級通信的現場設備（智能變送器和遠程I/O站）。第二級具有單元控制系統（UCS），該系統基於ABB的IndustrialIT控制器AC800M。該級別支持運行生成單元的所有自動控制序列。系統設計中用冗餘來確保其可靠性。每個UCS具有兩個基於ABB發電門戶（PGP）的冗餘人機界面（HMI）。控制器，HMI和附件集成到工廠的現有機櫃中。第三級位於每個動力室的現有控制室中，包括每個單元的操作員控制台。該級別與SNC Lavalin在20世紀90年代末安裝的現有集中控制系統連接。

分散式控制系統(DCS)包括操作員級別的ABB發電門控制台，過程級別的ABB AC800M控制器以及現場級別的ABB S800 I/O模塊以及智能變送器。

該站可以通過電站＃2中現有的集中控制系統（主SCADA站），電站＃1和＃2中的控制室，或者在UCS上運行。提供UCS，控制室和主SCADA站之間的本地/遠程控制傳輸。

在DCS內，工廠控制在單元級別。例如，Unit 1 UCS的操作員可以訪問Unit 1圖形，I/O和控制功能。所有單位都以相同的方式運作。 DCS不執行工廠範圍的控制。這是由現有的主SCADA站執行的，該站存在於DCS之上的控制級別。現有的主SCADA站通過介面與DCS進行通信。

I/O模塊和智能變送器分布在整個工廠中，I/O設備位於受控制和監控的設備附近。

操作員控制可以在整個工廠的許多不同區域進行。因此，重要的是管理控制的位置並防止設備同時從兩個不同的點進行操作。

操作員控制可在Powerhouse＃1內的以下位置執行：

控制室 - 工作台上的工作台和主控制板（MCS）1 - 10 UCS。 Powerhouse＃1有10個UCS。個別單位可以在每個UCS控制。控制和監視功能包括單元啟動/關閉以及單元監視和通知。

4.16KV輔助服務 - 在工廠車間PH1污水泵和排水系統 - 在工廠車間當地440V輔助服務（僅限本地控制）工廠控制服務（僅限本地控制）溢洪道 - 通道1,2,3大壩污水泵和排水系統

操作員控制可在Powerhouse＃2內的以下位置執行：

控制室 - 台板和MIMIC面板（MIMIC）單元11 - 20個工廠車間的UCS。Powerhouse＃2有10個UCS。每個UCS都可以控制各個單元。控制和監視功能包括單元啟動/關閉以及單元監視和通訊控制。

AC800M控制器構建為帶有兩個內置乙太網埠的軌道安裝模塊。它們包括中央處理單元，通信模塊，電源模塊和各種附件。控制器設置為冗餘配置。

S800 I/O模塊和現場匯流排通信介面（FCI）模塊組合在一起形成I/O站或I/O群集。通過Profibus-DP1連接到控制器的I/O被認為是I/O站。通過ModuleBus連接到控制器的I/O被視為I/O群集。整個工廠安裝智能通訊工具和儀錶。由於這些設備通過Profibus-PA2進行通信，因此使用Profibus-DP / PA轉換器來與控制器進行通信。

控制器使用了許多通信協議和介質。這些包括以下內容：

控制網路（LAN）通信：Modulebus通信ProfibusDP通信Profibus PA通信，控制器通過乙太網LAN和WAN（廣域網）與其他控制器和HMI通信。控制網路以100 Mb / s的速度運行。控制網路由平行獨立環網構成，如果線A中斷，則通信將沿著線B繼續；如果線A和B都斷開，則環結構將變為匯流排結構。

I/O網路通信：I/O網路將工廠的所有I/O設備連接到控制器。有三種類型的通信協議用於I/O網路。這些是：ModuleBus：用於通過塑料光纜直接與本地I/O群集通信。 ModuleBus支持SOE功能；Profibus DP：用於直接與遠程I/O站通信，間接與智能傳輸器通信；Profibus PA：用於為智能電子設備（IED）供電以及從IED傳輸信息。

5 停電事件原因分析及應對措施

5.1原因分析

綜合以上信息，導致如此大規模停電的原因仍然不能確定，但設備物理損壞可能性遠大於網路攻擊。然而千里之堤潰於蟻穴，切莫忽視任何不安全因素的存在。委內瑞拉電力基礎設施薄弱，設備維護不到位，技術人員水平低下，工業控制系統防護不足，都是影響電廠穩定工作的巨大隱患，尤其電能關係著人們生活、生產、醫療等方方面面，一旦出現問題將會帶來不可估量的損失。

我們分析，古里水電站、變電站以及輸配電線路可能存在的安全問題有：

5.1.1.1、基礎設施、設備老化，維護不足；

5.1.1.2、所採用的Win系統存在漏洞、弱密碼，加固不足；

5.1.1.3、ABB系統已發現的高危漏洞，防護不足：

CNVD-2014-02852 ABB AC800M報文緩衝區溢出漏洞

CNVD-2014-02853 ABB AC800M報文異常取值拒絕服務漏洞

ICSA-10-097-01 ABB NETCADOPS幫助系統漏洞

5.1.1.4、廠內工業控制協議安全防護不足，易受攻擊；

5.1.1.5、沒有對生產網路流量進行監控和審計，無法及時發現攻擊行為；

5.1.1.6、沒有採取有力的技術和管理措施對移動U盤和光碟使用有效控制；

5.1.1.7、委內瑞拉政府電力部門運維監管不到位；

5.1.1.8、對安全事件的應急處置工作重視不足，應急預案針對性、可操作性不足。

5.2.1、各端變電站人員技術水平低下；

5.2.2、電磁防護不足；

5.3.1、基礎設施安全保障不到位，導致主線路火災發生時難以控制；

5.3.2、主線路沒有容災配置，損壞後難以重構；

5.3.3、水電站無配電措施，停機後黑啟動十分危險。

若委內瑞拉大停電事件確定是網路攻擊造成的，那麼其病毒攻擊能力絕不亞於Stuxnet。

在已恢復大部分供電的情況下，應急人員需徹底檢查控制系統以及AC800M與I/O通訊傳輸過程的網路安全隱患，操作系統漏洞修補和0day漏洞發現情況。如若發現病毒，應深入分析，根除病毒及變種。以古里電廠現有的系統分級結合Power Systems保護系統，分區域隔離並恢復系統和應用防止再次感染。安裝Microsoft更新並配置部署主機安全防護系統以解決安全漏洞、安全基線配置問題。建立密碼訪問機制，並更換無法修復的設備。

5.2.2預防措施

通過採用一整套的工控系統信息安全解決方案，以建立縱深防禦策略為主要思想，確保通訊網路中即使某一點發生網路安全事故，系統也能正常運行，同時，工廠操作人員能夠很迅速的找到問題並進行處理，在保證建立立體化防護的同時，使水電廠符合安全要求。

區域隔離：通過工控防火牆能夠過濾兩個區域網路間的通信。這樣意味著網路故障會被控制在最初發生的區域內，而不會影響到其它部分；

深度檢查：面嚮應用層對特有的工業通訊協議進行內容深度檢查，告別病毒庫升級缺陷；

通信管控：通信規則是可以通過中央管理平台進行在線組態和測試的；

主機安全防護：安裝了主機安全防護系統的電腦在面對自身與外界的安全威脅有了更深的防護級別，深度執行白名單資料庫的數據運行；

數據及日誌審計：完善的安全審計平台，對網路運行日誌、操作系統運行日誌、安全設施運行日誌等進行集中收集、自動分析，及時發現各種違規行為以及病毒和黑客的攻擊行為；

實時報警：所有部署的防火牆都能由管理平台統一進行實時監控，任何非法的（沒有被組態允許的）訪問，都會在管理平台產生實時報警信息，從而故障問題會在原始發生區域被迅速的發現和解決。

綜上，針對電力等基礎設施和工業系統，在落實能力導向建設模式構建動態綜合防禦體系的工作中，必須以保障業務運行的連續性和可靠性要求為基本前提，這就對基礎結構安全能力、縱深防禦層面安全能力的規劃、建設和安全運行提出了更高的要求，對於現網系統，針對各種等可能對業務連續性產生潛在影響的安全動作，需要極為慎重，綜合採用合理規劃、分區分域、收窄暴露面等方式，有效布防，並通過完備的應急響應預案制定、演訓式威脅評估等相關措施，最大限度避免或減少對業務系統可能產生的影響，確保系統業務的彈性恢復能力。

對國民經濟關鍵領域的市場開放必須採取非常慎重的態度，特別是像電力系統這樣的「生命線」領域更是要慎之又慎，否則，就無異於引狼入室和埋下「定時炸彈」。

註：本文由天地和興安全應急響應團隊供稿,轉載請註明原文地址

https://www.easyaq.com

推薦閱讀：

• 全球最大的鋁生產商遭網路攻擊，脆弱的全球供應鏈受關注

• 勒索病毒GANDCRAB V5.2預警

• 聯合國報告顯示，朝鮮利用銀行網路攻擊逃避金融制裁

• NSA和UTSA合作應對網路安全挑戰

• 注意！Mirai又有新變種，企業物聯網設備或成新目標

• 美國大量醫療記錄和處方遭泄露

▼點擊「閱讀原文」 查看更多精彩內容

喜歡記得打賞小E哦！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！