今日頭條
官方微信
官方抖音
資訊頻道2019年1月23日委內(nèi)瑞拉總統(tǒng)馬杜羅因美國支持反對(duì)派瓜伊多自封“臨時(shí)總統(tǒng)”宣布正式與美國斷交。委國經(jīng)濟(jì)遭到美國新一輪的制裁,IMF預(yù)測(cè)19年通貨膨脹率達(dá)到10萬倍。3月7日,委國發(fā)生迄今為止最大規(guī)模停電事件,讓這個(gè)身處危機(jī)之中的國家雪上加霜。
委內(nèi)瑞拉通訊和信息部部長羅德里格斯表示,水電站遭到網(wǎng)絡(luò)攻擊。委內(nèi)瑞拉打算向聯(lián)合國人權(quán)事務(wù)高級(jí)專員米歇爾·巴切萊特投訴。盡管事件目前仍未定性為網(wǎng)絡(luò)攻擊。但毫無疑問的是,網(wǎng)絡(luò)空間中已經(jīng)存在開展此類攻擊的現(xiàn)實(shí)基礎(chǔ),那么此類事件發(fā)生只是時(shí)間問題。
我們?cè)缫呀?jīng)習(xí)慣于享受網(wǎng)絡(luò)的便利,似乎已經(jīng)成溫情脈脈的生活載體,卻忽視了“牽一網(wǎng)而動(dòng)全身”的警示價(jià)值。在美軍加緊網(wǎng)絡(luò)戰(zhàn)爭(zhēng)準(zhǔn)備、西方媒體廣泛討論人工智能等新技術(shù)應(yīng)用于網(wǎng)絡(luò)戰(zhàn)的同時(shí),我們應(yīng)該拋棄幻想,直面威脅,維護(hù)安全,以強(qiáng)大的網(wǎng)絡(luò)國防實(shí)力支撐,共同構(gòu)建安全有序的網(wǎng)絡(luò)空間命運(yùn)共同體。天地和興應(yīng)急響應(yīng)團(tuán)隊(duì)通過分析委內(nèi)瑞拉大停電事件、委內(nèi)瑞拉電力控制系統(tǒng)基本現(xiàn)狀,結(jié)合多年在電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)一線的實(shí)戰(zhàn)經(jīng)驗(yàn),給出了具體的防護(hù)思路。
1 事件概況
委內(nèi)瑞拉首都加拉加斯停電后
委內(nèi)瑞拉大范圍停電事件開始于 2019年3月7日當(dāng)?shù)貢r(shí)間下午4:56。停電影響了委內(nèi)瑞拉 23 個(gè)州中的21個(gè)州的醫(yī)院和診所、工業(yè)、運(yùn)輸和供水服務(wù)(澎湃新聞)。3月12日,該國部分地區(qū)電力已經(jīng)恢復(fù),但加拉加斯仍然只有部分供電,與哥倫比亞接壤的西部地區(qū)仍處于黑暗狀態(tài)。截至3月14日,停電尚未完全解決。
關(guān)于3月7日停電事故原因存在兩種不同的觀點(diǎn),一是以委內(nèi)瑞拉官方為代表的觀點(diǎn),認(rèn)為本次事故是由于委內(nèi)瑞拉最大的古里水電站受到反對(duì)派和美國網(wǎng)絡(luò)攻擊導(dǎo)致機(jī)組停機(jī)所致。二是以反對(duì)派臨時(shí)總統(tǒng)胡安·瓜伊多為代表的觀點(diǎn),認(rèn)為本次事故是由于古里水電站送出線路廊道發(fā)生火災(zāi)引起765千伏主干線路(San Geronimo B ~Malena段)跳閘,導(dǎo)致國家中心變電站失壓;而馬杜羅政府多年來管理不善,造成委內(nèi)瑞拉電力供應(yīng)緊張,沒有足夠的備用電力來應(yīng)對(duì)古里水電站的停運(yùn)。
2 古里水電站概況
古里水電站,正式名稱為西蒙·玻利瓦爾水力發(fā)電站(西班牙語:Central Hidroeléctrica Simón Bolívar),位于委內(nèi)瑞拉玻利瓦爾州的土石壩,橫跨奧里諾科河支流卡羅尼河,壩體長7,426米,高162米,蓄水形成古里水庫(Embalse de Guri),水庫面積為4,250平方千米(1,641平方英里)。正式名稱命名自拉丁美洲革命家西蒙·玻利瓦爾。(參考Wikipedia英文)
這座水電廠是世界已建成裝機(jī)容量第四大的水電站。壩址年徑流量1536億立方米。總庫容1350億立方米,調(diào)節(jié)庫容854億立方米。水電站裝機(jī)1020萬kW。年發(fā)電量510億千瓦時(shí),為委內(nèi)瑞拉總發(fā)電量的2/3。
第一期工程于1963年9月開工,1968年開始發(fā)電,1977完工。安裝10臺(tái)機(jī)組,總裝機(jī)容量268萬kW。
第二期工程于1978年開工,1984年開始發(fā)電,1986年10月竣工。安裝10臺(tái)61萬kW機(jī)組(最大出力73萬kW)。一期安裝的機(jī)組由于水頭提高,裝機(jī)容量增至300.5萬kW。
自2009年以來,委內(nèi)瑞拉面臨多年的停電事故,包括2013年的兩次大停電,其中一次電力故障影響了加拉加斯和17個(gè)州,持續(xù)了6個(gè)小時(shí);以及2016 年由于惡略天氣導(dǎo)致的嚴(yán)重的電力和水力危機(jī);而在2018年的一次大停電,官方聲明影響了8個(gè)州,持續(xù)了10個(gè)小時(shí)。總的來說,古里水電站運(yùn)行存在很大的不穩(wěn)定性。
3 事件回顧
2019年3月7日,委內(nèi)瑞拉政府指責(zé)稱,造成本次停電的原因是委國內(nèi)最重要的古里水電站遭到反對(duì)派蓄意破壞,通信和信息部部長霍爾赫·羅德里格斯暗示美國在幕后策動(dòng)攻擊委內(nèi)瑞拉的電網(wǎng)。反對(duì)派“臨時(shí)總統(tǒng)”胡安·瓜伊多表示,根據(jù)委內(nèi)瑞拉Corpoelec輸電公司內(nèi)部人員透露,當(dāng)?shù)貢r(shí)間周四16:42分左右,古里水電站送出線路,路徑發(fā)生火災(zāi),導(dǎo)致聯(lián)絡(luò)Guri~Malena~SanGerónimoB變電站三回765千伏線路跳閘。但另一部分的說法則強(qiáng)調(diào),古里大壩的發(fā)電渦輪機(jī)出現(xiàn)不明原因的停擺,為了重啟系統(tǒng)委電才在周四當(dāng)夜“強(qiáng)迫重啟機(jī)組4次”,沒想到渦輪不僅沒能復(fù)活,反倒引爆了變電站。
下圖是大停電事件發(fā)生后7天,委內(nèi)瑞拉發(fā)生的數(shù)次斷電的電力走勢(shì)圖(來源:Netblocks)
4 委國電廠控制系統(tǒng)概況
委內(nèi)瑞拉全國發(fā)電量約為117,000GWh,其中水電占64%,天然氣發(fā)電占19%,石油發(fā)電占17%(引自:國際能源署數(shù)據(jù),2015年)。水力發(fā)電集中在瓜亞納地區(qū)的卡羅尼河上,位于該國東部,共有4座水電站,分別是古里水電站、Caruachi水電站、馬卡瓜水電站、Caroní水電站。其中,最大的古里水電站,裝機(jī)容量為10,200兆瓦,位列世界第三大水電站。
由于主力電源分布在東部地區(qū),主網(wǎng)電力流呈現(xiàn)“東電西送”格局。從圖4委內(nèi)瑞拉主網(wǎng)架結(jié)構(gòu)可以看出,委內(nèi)瑞拉輸電網(wǎng)由765kV、400kV、230kV三個(gè)電壓等級(jí)構(gòu)成,古里水電站電力通過765kV、400kV向該國負(fù)荷中心送出。
2005年,委內(nèi)瑞拉最大的水力發(fā)電廠古里水電站現(xiàn)代化改造項(xiàng)目由其所有者在工廠進(jìn)行,使古里水力發(fā)電廠的壽命延長30年。其中包括對(duì)發(fā)電機(jī)組進(jìn)行全面的機(jī)械檢修,由不同的風(fēng)機(jī)供應(yīng)商和機(jī)械承包商進(jìn)行。委國和ABB簽訂了設(shè)計(jì)、控制系統(tǒng)供貨、安裝儀表和保護(hù)系統(tǒng)的合同。項(xiàng)目由包括ABB委內(nèi)瑞拉,ABB加拿大和ABB瑞士在內(nèi)的三方聯(lián)盟實(shí)施,并在2007年1月份首次交付。(參考《ABB評(píng)論》06年3月期)
4.1控制系統(tǒng)
由ABB為電廠設(shè)計(jì)的分布式控制系統(tǒng)(DCS)集成電廠已有的前三個(gè)級(jí)別分級(jí)控制系統(tǒng)。第一級(jí)包含通過Profibus網(wǎng)絡(luò)與下一個(gè)控制級(jí)通信的現(xiàn)場(chǎng)設(shè)備(智能變送器和遠(yuǎn)程I/O站)。第二級(jí)具有單元控制系統(tǒng)(UCS),該系統(tǒng)基于ABB的IndustrialIT控制器AC800M。該級(jí)別支持運(yùn)行生成單元的所有自動(dòng)控制序列。系統(tǒng)設(shè)計(jì)中用冗余來確保其可靠性。每個(gè)UCS具有兩個(gè)基于ABB發(fā)電門戶(PGP)的冗余人機(jī)界面(HMI)。控制器,HMI和附件集成到工廠的現(xiàn)有機(jī)柜中。第三級(jí)位于每個(gè)動(dòng)力室的現(xiàn)有控制室中,包括每個(gè)單元的操作員控制臺(tái)。該級(jí)別與SNC Lavalin在20世紀(jì)90年代末安裝的現(xiàn)有集中控制系統(tǒng)連接。
分布式控制系統(tǒng)(DCS)包括操作員級(jí)別的ABB發(fā)電門控制臺(tái),過程級(jí)別的ABB AC800M控制器以及現(xiàn)場(chǎng)級(jí)別的ABB S800 I/O模塊以及智能變送器。
4.2控制方式
該站可以通過電站#2中現(xiàn)有的集中控制系統(tǒng)(主SCADA站),電站#1和#2中的控制室,或者在UCS上運(yùn)行。提供UCS,控制室和主SCADA站之間的本地/遠(yuǎn)程控制傳輸。
在DCS內(nèi),工廠控制在單元級(jí)別。例如,Unit 1 UCS的操作員可以訪問Unit 1圖形,I/O和控制功能。所有單位都以相同的方式運(yùn)作。 DCS不執(zhí)行工廠范圍的控制。這是由現(xiàn)有的主SCADA站執(zhí)行的,該站存在于DCS之上的控制級(jí)別。現(xiàn)有的主SCADA站通過接口與DCS進(jìn)行通信。
I/O模塊和智能變送器分布在整個(gè)工廠中,I/O設(shè)備位于受控制和監(jiān)控的設(shè)備附近。
4.2.1控制路徑
操作員控制可以在整個(gè)工廠的許多不同區(qū)域進(jìn)行。因此,重要的是管理控制的位置并防止設(shè)備同時(shí)從兩個(gè)不同的點(diǎn)進(jìn)行操作。
操作員控制可在Powerhouse#1內(nèi)的以下位置執(zhí)行:
控制室 - 工作臺(tái)上的工作臺(tái)和主控制板(MCS)1 - 10 UCS。 Powerhouse#1有10個(gè)UCS。個(gè)別單位可以在每個(gè)UCS控制。控制和監(jiān)視功能包括單元啟動(dòng)/關(guān)閉以及單元監(jiān)視和通知。
4.16KV輔助服務(wù) - 在工廠車間PH1污水泵和排水系統(tǒng) - 在工廠車間當(dāng)?shù)?40V輔助服務(wù)(僅限本地控制)工廠控制服務(wù)(僅限本地控制)溢洪道 - 通道1,2,3大壩污水泵和排水系統(tǒng)
操作員控制可在Powerhouse#2內(nèi)的以下位置執(zhí)行:
控制室 - 臺(tái)板和MIMIC面板(MIMIC)單元11 - 20個(gè)工廠車間的UCS。Powerhouse#2有10個(gè)UCS。每個(gè)UCS都可以控制各個(gè)單元。控制和監(jiān)視功能包括單元啟動(dòng)/關(guān)閉以及單元監(jiān)視和通訊控制。
4.2.2 AC800M控制器
AC800M控制器構(gòu)建為帶有兩個(gè)內(nèi)置以太網(wǎng)端口的軌道安裝模塊。它們包括中央處理單元,通信模塊,電源模塊和各種附件。控制器設(shè)置為冗余配置。
4.2.3現(xiàn)場(chǎng)I/O - S800 I/O模塊和智能變送器
S800 I/O模塊和現(xiàn)場(chǎng)總線通信接口(FCI)模塊組合在一起形成I/O站或I/O群集。通過Profibus-DP1連接到控制器的I/O被認(rèn)為是I/O站。通過ModuleBus連接到控制器的I/O被視為I/O群集。整個(gè)工廠安裝智能通訊工具和儀表。由于這些設(shè)備通過Profibus-PA2進(jìn)行通信,因此使用Profibus-DP / PA轉(zhuǎn)換器來與控制器進(jìn)行通信。
4.2.4協(xié)議和傳輸
控制器使用了許多通信協(xié)議和介質(zhì)。這些包括以下內(nèi)容:
控制網(wǎng)絡(luò)(LAN)通信:Modulebus通信Profibus DP通信Profibus PA通信,控制器通過以太網(wǎng)LAN和WAN(廣域網(wǎng))與其他控制器和HMI通信。控制網(wǎng)絡(luò)以100 Mb / s的速度運(yùn)行。控制網(wǎng)絡(luò)由平行獨(dú)立環(huán)網(wǎng)構(gòu)成,如果線A中斷,則通信將沿著線B繼續(xù);如果線A和B都斷開,則環(huán)結(jié)構(gòu)將變?yōu)榭偩€結(jié)構(gòu)。
I/O網(wǎng)絡(luò)通信:I/O網(wǎng)絡(luò)將工廠的所有I/O設(shè)備連接到控制器。有三種類型的通信協(xié)議用于I/O網(wǎng)絡(luò)。這些是:ModuleBus:用于通過塑料光纜直接與本地I/O群集通信。 ModuleBus支持SOE功能;Profibus DP:用于直接與遠(yuǎn)程I/O站通信,間接與智能傳輸器通信;Profibus PA:用于為智能電子設(shè)備(IED)供電以及從IED傳輸信息。
5 停電事件原因分析及應(yīng)對(duì)措施
5.1原因分析
綜合以上信息,導(dǎo)致如此大規(guī)模停電的原因仍然不能確定,但設(shè)備物理損壞可能性遠(yuǎn)大于網(wǎng)絡(luò)攻擊。然而千里之堤潰于蟻穴,切莫忽視任何不安全因素的存在。委內(nèi)瑞拉電力基礎(chǔ)設(shè)施薄弱,設(shè)備維護(hù)不到位,技術(shù)人員水平低下,工業(yè)控制系統(tǒng)防護(hù)不足,都是影響電廠穩(wěn)定工作的巨大隱患,尤其電能關(guān)系著人們生活、生產(chǎn)、醫(yī)療等方方面面,一旦出現(xiàn)問題將會(huì)帶來不可估量的損失。
我們分析,古里水電站、變電站以及輸配電線路可能存在的安全問題有:
5.1.1水電站方面
5.1.1.1、基礎(chǔ)設(shè)施、設(shè)備老化,維護(hù)不足;
5.1.1.2、所采用的Win系統(tǒng)存在漏洞、弱密碼,加固不足;
5.1.1.3、ABB系統(tǒng)已發(fā)現(xiàn)的高危漏洞,防護(hù)不足:
CNVD-2014-02852 ABB AC800M報(bào)文緩沖區(qū)溢出漏洞
CNVD-2014-02853 ABB AC800M報(bào)文異常取值拒絕服務(wù)漏洞
ICSA-10-097-01 ABB NETCADOPS幫助系統(tǒng)漏洞
5.1.1.4、廠內(nèi)工業(yè)控制協(xié)議安全防護(hù)不足,易受攻擊;
5.1.1.5、沒有對(duì)生產(chǎn)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和審計(jì),無法及時(shí)發(fā)現(xiàn)攻擊行為;
5.1.1.6、沒有采取有力的技術(shù)和管理措施對(duì)移動(dòng)U盤和光盤使用有效控制;
5.1.1.7、委內(nèi)瑞拉政府電力部門運(yùn)維監(jiān)管不到位;
5.1.1.8、對(duì)安全事件的應(yīng)急處置工作重視不足,應(yīng)急預(yù)案針對(duì)性、可操作性不足。
5.1.2變電站方面:
5.2.1、各端變電站人員技術(shù)水平低下;
5.2.2、電磁防護(hù)不足;
5.1.3 輸配電方面:
5.3.1、基礎(chǔ)設(shè)施安全保障不到位,導(dǎo)致主線路火災(zāi)發(fā)生時(shí)難以控制;
5.3.2、主線路沒有容災(zāi)配置,損壞后難以重構(gòu);
5.3.3、水電站無配電措施,停機(jī)后黑啟動(dòng)十分危險(xiǎn)。
5.2網(wǎng)絡(luò)安全應(yīng)對(duì)措施
5.2.1應(yīng)急措施
若委內(nèi)瑞拉大停電事件確定是網(wǎng)絡(luò)攻擊造成的,那么其病毒攻擊能力絕不亞于Stuxnet。
在已恢復(fù)大部分供電的情況下,應(yīng)急人員需徹底檢查控制系統(tǒng)以及AC800M與I/O通訊傳輸過程的網(wǎng)絡(luò)安全隱患,操作系統(tǒng)漏洞修補(bǔ)和0day漏洞發(fā)現(xiàn)情況。如若發(fā)現(xiàn)病毒,應(yīng)深入分析,根除病毒及變種。以古里電廠現(xiàn)有的系統(tǒng)分級(jí)結(jié)合Power Systems保護(hù)系統(tǒng),分區(qū)域隔離并恢復(fù)系統(tǒng)和應(yīng)用防止再次感染。安裝Microsoft更新并配置部署主機(jī)安全防護(hù)系統(tǒng)以解決安全漏洞、安全基線配置問題。建立密碼訪問機(jī)制,并更換無法修復(fù)的設(shè)備。
5.2.2預(yù)防措施
通過采用一整套的工控系統(tǒng)信息安全解決方案,以建立縱深防御策略為主要思想,確保通訊網(wǎng)絡(luò)中即使某一點(diǎn)發(fā)生網(wǎng)絡(luò)安全事故,系統(tǒng)也能正常運(yùn)行,同時(shí),工廠操作人員能夠很迅速的找到問題并進(jìn)行處理,在保證建立立體化防護(hù)的同時(shí),使水電廠符合安全要求。
區(qū)域隔離:通過工控防火墻能夠過濾兩個(gè)區(qū)域網(wǎng)絡(luò)間的通信。這樣意味著網(wǎng)絡(luò)故障會(huì)被控制在最初發(fā)生的區(qū)域內(nèi),而不會(huì)影響到其它部分;
深度檢查:面向應(yīng)用層對(duì)特有的工業(yè)通訊協(xié)議進(jìn)行內(nèi)容深度檢查,告別病毒庫升級(jí)缺陷;
通信管控:通信規(guī)則是可以通過中央管理平臺(tái)進(jìn)行在線組態(tài)和測(cè)試的;
主機(jī)安全防護(hù):安裝了主機(jī)安全防護(hù)系統(tǒng)的電腦在面對(duì)自身與外界的安全威脅有了更深的防護(hù)級(jí)別,深度執(zhí)行白名單數(shù)據(jù)庫的數(shù)據(jù)運(yùn)行;
數(shù)據(jù)及日志審計(jì):完善的安全審計(jì)平臺(tái),對(duì)網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行集中收集、自動(dòng)分析,及時(shí)發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為;
實(shí)時(shí)報(bào)警:所有部署的防火墻都能由管理平臺(tái)統(tǒng)一進(jìn)行實(shí)時(shí)監(jiān)控,任何非法的(沒有被組態(tài)允許的)訪問,都會(huì)在管理平臺(tái)產(chǎn)生實(shí)時(shí)報(bào)警信息,從而故障問題會(huì)在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決。
綜上,針對(duì)電力等基礎(chǔ)設(shè)施和工業(yè)系統(tǒng),在落實(shí)能力導(dǎo)向建設(shè)模式構(gòu)建動(dòng)態(tài)綜合防御體系的工作中,必須以保障業(yè)務(wù)運(yùn)行的連續(xù)性和可靠性要求為基本前提,這就對(duì)基礎(chǔ)結(jié)構(gòu)安全能力、縱深防御層面安全能力的規(guī)劃、建設(shè)和安全運(yùn)行提出了更高的要求,對(duì)于現(xiàn)網(wǎng)系統(tǒng),針對(duì)各種等可能對(duì)業(yè)務(wù)連續(xù)性產(chǎn)生潛在影響的安全動(dòng)作,需要極為慎重,綜合采用合理規(guī)劃、分區(qū)分域、收窄暴露面等方式,有效布防,并通過完備的應(yīng)急響應(yīng)預(yù)案制定、演訓(xùn)式威脅評(píng)估等相關(guān)措施,最大限度避免或減少對(duì)業(yè)務(wù)系統(tǒng)可能產(chǎn)生的影響,確保系統(tǒng)業(yè)務(wù)的彈性恢復(fù)能力。
對(duì)國民經(jīng)濟(jì)關(guān)鍵領(lǐng)域的市場(chǎng)開放必須采取非常慎重的態(tài)度,特別是像電力系統(tǒng)這樣的“生命線”領(lǐng)域更是要慎之又慎,否則,就無異于引狼入室和埋下“定時(shí)炸彈”。
天地和興安全應(yīng)急響應(yīng)團(tuán)隊(duì)
關(guān)于天地和興
北京天地和興科技有限公司成立于2007年,是國內(nèi)專業(yè)的工控安全解決方案提供商。公司產(chǎn)品及解決方案已成功應(yīng)用于電力、石油石化、鋼鐵冶金、軌道交通和智能制造等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域三百余家工業(yè)企業(yè),用戶遍布全國29個(gè)省級(jí)行政區(qū)。主機(jī)安全防護(hù)系統(tǒng)已在工業(yè)主機(jī)部署超過2000套,安全穩(wěn)定運(yùn)行超過5年。
天地和興一直致力于為客戶提供全生命周期工控安全整體解決方案與產(chǎn)品服務(wù),未來將持續(xù)加大對(duì)新技術(shù)、新產(chǎn)品的研發(fā)力度,依托浙江大學(xué)“工控系統(tǒng)安全聯(lián)合研究中心”及華北電力大學(xué)“電力工業(yè)信息安全聯(lián)合實(shí)驗(yàn)室”等科研機(jī)構(gòu),不斷深入對(duì)工控漏洞、人工智能安全、大數(shù)據(jù)態(tài)勢(shì)分析等方向的技術(shù)研究,保護(hù)國家關(guān)鍵信息基礎(chǔ)設(shè)施安全,助力網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)