今日頭條
官方微信
官方抖音
資訊頻道2019年1月23日委內(nèi)瑞拉總統(tǒng)馬杜羅因美國支持反對派瓜伊多自封“臨時總統(tǒng)”宣布正式與美國斷交。委國經(jīng)濟遭到美國新一輪的制裁,IMF預測19年通貨膨脹率達到10萬倍。3月7日,委國發(fā)生迄今為止最大規(guī)模停電事件,讓這個身處危機之中的國家雪上加霜。
委內(nèi)瑞拉通訊和信息部部長羅德里格斯表示,水電站遭到網(wǎng)絡(luò)攻擊。委內(nèi)瑞拉打算向聯(lián)合國人權(quán)事務(wù)高級專員米歇爾·巴切萊特投訴。盡管事件目前仍未定性為網(wǎng)絡(luò)攻擊。但毫無疑問的是,網(wǎng)絡(luò)空間中已經(jīng)存在開展此類攻擊的現(xiàn)實基礎(chǔ),那么此類事件發(fā)生只是時間問題。
我們早已經(jīng)習慣于享受網(wǎng)絡(luò)的便利,似乎已經(jīng)成溫情脈脈的生活載體,卻忽視了“牽一網(wǎng)而動全身”的警示價值。在美軍加緊網(wǎng)絡(luò)戰(zhàn)爭準備、西方媒體廣泛討論人工智能等新技術(shù)應(yīng)用于網(wǎng)絡(luò)戰(zhàn)的同時,我們應(yīng)該拋棄幻想,直面威脅,維護安全,以強大的網(wǎng)絡(luò)國防實力支撐,共同構(gòu)建安全有序的網(wǎng)絡(luò)空間命運共同體。天地和興應(yīng)急響應(yīng)團隊通過分析委內(nèi)瑞拉大停電事件、委內(nèi)瑞拉電力控制系統(tǒng)基本現(xiàn)狀,結(jié)合多年在電力企業(yè)網(wǎng)絡(luò)信息安全防護一線的實戰(zhàn)經(jīng)驗,給出了具體的防護思路。
1 事件概況
委內(nèi)瑞拉首都加拉加斯停電后
委內(nèi)瑞拉大范圍停電事件開始于 2019年3月7日當?shù)貢r間下午4:56。停電影響了委內(nèi)瑞拉 23 個州中的21個州的醫(yī)院和診所、工業(yè)、運輸和供水服務(wù)(澎湃新聞)。3月12日,該國部分地區(qū)電力已經(jīng)恢復,但加拉加斯仍然只有部分供電,與哥倫比亞接壤的西部地區(qū)仍處于黑暗狀態(tài)。截至3月14日,停電尚未完全解決。
關(guān)于3月7日停電事故原因存在兩種不同的觀點,一是以委內(nèi)瑞拉官方為代表的觀點,認為本次事故是由于委內(nèi)瑞拉最大的古里水電站受到反對派和美國網(wǎng)絡(luò)攻擊導致機組停機所致。二是以反對派臨時總統(tǒng)胡安·瓜伊多為代表的觀點,認為本次事故是由于古里水電站送出線路廊道發(fā)生火災引起765千伏主干線路(San Geronimo B ~Malena段)跳閘,導致國家中心變電站失壓;而馬杜羅政府多年來管理不善,造成委內(nèi)瑞拉電力供應(yīng)緊張,沒有足夠的備用電力來應(yīng)對古里水電站的停運。
2 古里水電站概況
古里水電站,正式名稱為西蒙·玻利瓦爾水力發(fā)電站(西班牙語:Central Hidroeléctrica Simón Bolívar),位于委內(nèi)瑞拉玻利瓦爾州的土石壩,橫跨奧里諾科河支流卡羅尼河,壩體長7,426米,高162米,蓄水形成古里水庫(Embalse de Guri),水庫面積為4,250平方千米(1,641平方英里)。正式名稱命名自拉丁美洲革命家西蒙·玻利瓦爾。(參考Wikipedia英文)
這座水電廠是世界已建成裝機容量第四大的水電站。壩址年徑流量1536億立方米。總庫容1350億立方米,調(diào)節(jié)庫容854億立方米。水電站裝機1020萬kW。年發(fā)電量510億千瓦時,為委內(nèi)瑞拉總發(fā)電量的2/3。
第一期工程于1963年9月開工,1968年開始發(fā)電,1977完工。安裝10臺機組,總裝機容量268萬kW。
第二期工程于1978年開工,1984年開始發(fā)電,1986年10月竣工。安裝10臺61萬kW機組(最大出力73萬kW)。一期安裝的機組由于水頭提高,裝機容量增至300.5萬kW。
自2009年以來,委內(nèi)瑞拉面臨多年的停電事故,包括2013年的兩次大停電,其中一次電力故障影響了加拉加斯和17個州,持續(xù)了6個小時;以及2016 年由于惡略天氣導致的嚴重的電力和水力危機;而在2018年的一次大停電,官方聲明影響了8個州,持續(xù)了10個小時。總的來說,古里水電站運行存在很大的不穩(wěn)定性。
3 事件回顧
2019年3月7日,委內(nèi)瑞拉政府指責稱,造成本次停電的原因是委國內(nèi)最重要的古里水電站遭到反對派蓄意破壞,通信和信息部部長霍爾赫·羅德里格斯暗示美國在幕后策動攻擊委內(nèi)瑞拉的電網(wǎng)。反對派“臨時總統(tǒng)”胡安·瓜伊多表示,根據(jù)委內(nèi)瑞拉Corpoelec輸電公司內(nèi)部人員透露,當?shù)貢r間周四16:42分左右,古里水電站送出線路,路徑發(fā)生火災,導致聯(lián)絡(luò)Guri~Malena~SanGerónimoB變電站三回765千伏線路跳閘。但另一部分的說法則強調(diào),古里大壩的發(fā)電渦輪機出現(xiàn)不明原因的停擺,為了重啟系統(tǒng)委電才在周四當夜“強迫重啟機組4次”,沒想到渦輪不僅沒能復活,反倒引爆了變電站。
下圖是大停電事件發(fā)生后7天,委內(nèi)瑞拉發(fā)生的數(shù)次斷電的電力走勢圖(來源:Netblocks)
4 委國電廠控制系統(tǒng)概況
委內(nèi)瑞拉全國發(fā)電量約為117,000GWh,其中水電占64%,天然氣發(fā)電占19%,石油發(fā)電占17%(引自:國際能源署數(shù)據(jù),2015年)。水力發(fā)電集中在瓜亞納地區(qū)的卡羅尼河上,位于該國東部,共有4座水電站,分別是古里水電站、Caruachi水電站、馬卡瓜水電站、Caroní水電站。其中,最大的古里水電站,裝機容量為10,200兆瓦,位列世界第三大水電站。
由于主力電源分布在東部地區(qū),主網(wǎng)電力流呈現(xiàn)“東電西送”格局。從圖4委內(nèi)瑞拉主網(wǎng)架結(jié)構(gòu)可以看出,委內(nèi)瑞拉輸電網(wǎng)由765kV、400kV、230kV三個電壓等級構(gòu)成,古里水電站電力通過765kV、400kV向該國負荷中心送出。
2005年,委內(nèi)瑞拉最大的水力發(fā)電廠古里水電站現(xiàn)代化改造項目由其所有者在工廠進行,使古里水力發(fā)電廠的壽命延長30年。其中包括對發(fā)電機組進行全面的機械檢修,由不同的風機供應(yīng)商和機械承包商進行。委國和ABB簽訂了設(shè)計、控制系統(tǒng)供貨、安裝儀表和保護系統(tǒng)的合同。項目由包括ABB委內(nèi)瑞拉,ABB加拿大和ABB瑞士在內(nèi)的三方聯(lián)盟實施,并在2007年1月份首次交付。(參考《ABB評論》06年3月期)
4.1控制系統(tǒng)
由ABB為電廠設(shè)計的分布式控制系統(tǒng)(DCS)集成電廠已有的前三個級別分級控制系統(tǒng)。第一級包含通過Profibus網(wǎng)絡(luò)與下一個控制級通信的現(xiàn)場設(shè)備(智能變送器和遠程I/O站)。第二級具有單元控制系統(tǒng)(UCS),該系統(tǒng)基于ABB的IndustrialIT控制器AC800M。該級別支持運行生成單元的所有自動控制序列。系統(tǒng)設(shè)計中用冗余來確保其可靠性。每個UCS具有兩個基于ABB發(fā)電門戶(PGP)的冗余人機界面(HMI)。控制器,HMI和附件集成到工廠的現(xiàn)有機柜中。第三級位于每個動力室的現(xiàn)有控制室中,包括每個單元的操作員控制臺。該級別與SNC Lavalin在20世紀90年代末安裝的現(xiàn)有集中控制系統(tǒng)連接。
分布式控制系統(tǒng)(DCS)包括操作員級別的ABB發(fā)電門控制臺,過程級別的ABB AC800M控制器以及現(xiàn)場級別的ABB S800 I/O模塊以及智能變送器。
4.2控制方式
該站可以通過電站#2中現(xiàn)有的集中控制系統(tǒng)(主SCADA站),電站#1和#2中的控制室,或者在UCS上運行。提供UCS,控制室和主SCADA站之間的本地/遠程控制傳輸。
在DCS內(nèi),工廠控制在單元級別。例如,Unit 1 UCS的操作員可以訪問Unit 1圖形,I/O和控制功能。所有單位都以相同的方式運作。 DCS不執(zhí)行工廠范圍的控制。這是由現(xiàn)有的主SCADA站執(zhí)行的,該站存在于DCS之上的控制級別。現(xiàn)有的主SCADA站通過接口與DCS進行通信。
I/O模塊和智能變送器分布在整個工廠中,I/O設(shè)備位于受控制和監(jiān)控的設(shè)備附近。
4.2.1控制路徑
操作員控制可以在整個工廠的許多不同區(qū)域進行。因此,重要的是管理控制的位置并防止設(shè)備同時從兩個不同的點進行操作。
操作員控制可在Powerhouse#1內(nèi)的以下位置執(zhí)行:
控制室 - 工作臺上的工作臺和主控制板(MCS)1 - 10 UCS。 Powerhouse#1有10個UCS。個別單位可以在每個UCS控制。控制和監(jiān)視功能包括單元啟動/關(guān)閉以及單元監(jiān)視和通知。
4.16KV輔助服務(wù) - 在工廠車間PH1污水泵和排水系統(tǒng) - 在工廠車間當?shù)?40V輔助服務(wù)(僅限本地控制)工廠控制服務(wù)(僅限本地控制)溢洪道 - 通道1,2,3大壩污水泵和排水系統(tǒng)
操作員控制可在Powerhouse#2內(nèi)的以下位置執(zhí)行:
控制室 - 臺板和MIMIC面板(MIMIC)單元11 - 20個工廠車間的UCS。Powerhouse#2有10個UCS。每個UCS都可以控制各個單元。控制和監(jiān)視功能包括單元啟動/關(guān)閉以及單元監(jiān)視和通訊控制。
4.2.2 AC800M控制器
AC800M控制器構(gòu)建為帶有兩個內(nèi)置以太網(wǎng)端口的軌道安裝模塊。它們包括中央處理單元,通信模塊,電源模塊和各種附件。控制器設(shè)置為冗余配置。
4.2.3現(xiàn)場I/O - S800 I/O模塊和智能變送器
S800 I/O模塊和現(xiàn)場總線通信接口(FCI)模塊組合在一起形成I/O站或I/O群集。通過Profibus-DP1連接到控制器的I/O被認為是I/O站。通過ModuleBus連接到控制器的I/O被視為I/O群集。整個工廠安裝智能通訊工具和儀表。由于這些設(shè)備通過Profibus-PA2進行通信,因此使用Profibus-DP / PA轉(zhuǎn)換器來與控制器進行通信。
4.2.4協(xié)議和傳輸
控制器使用了許多通信協(xié)議和介質(zhì)。這些包括以下內(nèi)容:
控制網(wǎng)絡(luò)(LAN)通信:Modulebus通信Profibus DP通信Profibus PA通信,控制器通過以太網(wǎng)LAN和WAN(廣域網(wǎng))與其他控制器和HMI通信。控制網(wǎng)絡(luò)以100 Mb / s的速度運行。控制網(wǎng)絡(luò)由平行獨立環(huán)網(wǎng)構(gòu)成,如果線A中斷,則通信將沿著線B繼續(xù);如果線A和B都斷開,則環(huán)結(jié)構(gòu)將變?yōu)榭偩€結(jié)構(gòu)。
I/O網(wǎng)絡(luò)通信:I/O網(wǎng)絡(luò)將工廠的所有I/O設(shè)備連接到控制器。有三種類型的通信協(xié)議用于I/O網(wǎng)絡(luò)。這些是:ModuleBus:用于通過塑料光纜直接與本地I/O群集通信。 ModuleBus支持SOE功能;Profibus DP:用于直接與遠程I/O站通信,間接與智能傳輸器通信;Profibus PA:用于為智能電子設(shè)備(IED)供電以及從IED傳輸信息。
5 停電事件原因分析及應(yīng)對措施
5.1原因分析
綜合以上信息,導致如此大規(guī)模停電的原因仍然不能確定,但設(shè)備物理損壞可能性遠大于網(wǎng)絡(luò)攻擊。然而千里之堤潰于蟻穴,切莫忽視任何不安全因素的存在。委內(nèi)瑞拉電力基礎(chǔ)設(shè)施薄弱,設(shè)備維護不到位,技術(shù)人員水平低下,工業(yè)控制系統(tǒng)防護不足,都是影響電廠穩(wěn)定工作的巨大隱患,尤其電能關(guān)系著人們生活、生產(chǎn)、醫(yī)療等方方面面,一旦出現(xiàn)問題將會帶來不可估量的損失。
我們分析,古里水電站、變電站以及輸配電線路可能存在的安全問題有:
5.1.1水電站方面
5.1.1.1、基礎(chǔ)設(shè)施、設(shè)備老化,維護不足;
5.1.1.2、所采用的Win系統(tǒng)存在漏洞、弱密碼,加固不足;
5.1.1.3、ABB系統(tǒng)已發(fā)現(xiàn)的高危漏洞,防護不足:
CNVD-2014-02852 ABB AC800M報文緩沖區(qū)溢出漏洞
CNVD-2014-02853 ABB AC800M報文異常取值拒絕服務(wù)漏洞
ICSA-10-097-01 ABB NETCADOPS幫助系統(tǒng)漏洞
5.1.1.4、廠內(nèi)工業(yè)控制協(xié)議安全防護不足,易受攻擊;
5.1.1.5、沒有對生產(chǎn)網(wǎng)絡(luò)流量進行監(jiān)控和審計,無法及時發(fā)現(xiàn)攻擊行為;
5.1.1.6、沒有采取有力的技術(shù)和管理措施對移動U盤和光盤使用有效控制;
5.1.1.7、委內(nèi)瑞拉政府電力部門運維監(jiān)管不到位;
5.1.1.8、對安全事件的應(yīng)急處置工作重視不足,應(yīng)急預案針對性、可操作性不足。
5.1.2變電站方面:
5.2.1、各端變電站人員技術(shù)水平低下;
5.2.2、電磁防護不足;
5.1.3 輸配電方面:
5.3.1、基礎(chǔ)設(shè)施安全保障不到位,導致主線路火災發(fā)生時難以控制;
5.3.2、主線路沒有容災配置,損壞后難以重構(gòu);
5.3.3、水電站無配電措施,停機后黑啟動十分危險。
5.2網(wǎng)絡(luò)安全應(yīng)對措施
5.2.1應(yīng)急措施
若委內(nèi)瑞拉大停電事件確定是網(wǎng)絡(luò)攻擊造成的,那么其病毒攻擊能力絕不亞于Stuxnet。
在已恢復大部分供電的情況下,應(yīng)急人員需徹底檢查控制系統(tǒng)以及AC800M與I/O通訊傳輸過程的網(wǎng)絡(luò)安全隱患,操作系統(tǒng)漏洞修補和0day漏洞發(fā)現(xiàn)情況。如若發(fā)現(xiàn)病毒,應(yīng)深入分析,根除病毒及變種。以古里電廠現(xiàn)有的系統(tǒng)分級結(jié)合Power Systems保護系統(tǒng),分區(qū)域隔離并恢復系統(tǒng)和應(yīng)用防止再次感染。安裝Microsoft更新并配置部署主機安全防護系統(tǒng)以解決安全漏洞、安全基線配置問題。建立密碼訪問機制,并更換無法修復的設(shè)備。
5.2.2預防措施
通過采用一整套的工控系統(tǒng)信息安全解決方案,以建立縱深防御策略為主要思想,確保通訊網(wǎng)絡(luò)中即使某一點發(fā)生網(wǎng)絡(luò)安全事故,系統(tǒng)也能正常運行,同時,工廠操作人員能夠很迅速的找到問題并進行處理,在保證建立立體化防護的同時,使水電廠符合安全要求。
區(qū)域隔離:通過工控防火墻能夠過濾兩個區(qū)域網(wǎng)絡(luò)間的通信。這樣意味著網(wǎng)絡(luò)故障會被控制在最初發(fā)生的區(qū)域內(nèi),而不會影響到其它部分;
深度檢查:面向應(yīng)用層對特有的工業(yè)通訊協(xié)議進行內(nèi)容深度檢查,告別病毒庫升級缺陷;
通信管控:通信規(guī)則是可以通過中央管理平臺進行在線組態(tài)和測試的;
主機安全防護:安裝了主機安全防護系統(tǒng)的電腦在面對自身與外界的安全威脅有了更深的防護級別,深度執(zhí)行白名單數(shù)據(jù)庫的數(shù)據(jù)運行;
數(shù)據(jù)及日志審計:完善的安全審計平臺,對網(wǎng)絡(luò)運行日志、操作系統(tǒng)運行日志、安全設(shè)施運行日志等進行集中收集、自動分析,及時發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為;
實時報警:所有部署的防火墻都能由管理平臺統(tǒng)一進行實時監(jiān)控,任何非法的(沒有被組態(tài)允許的)訪問,都會在管理平臺產(chǎn)生實時報警信息,從而故障問題會在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決。
綜上,針對電力等基礎(chǔ)設(shè)施和工業(yè)系統(tǒng),在落實能力導向建設(shè)模式構(gòu)建動態(tài)綜合防御體系的工作中,必須以保障業(yè)務(wù)運行的連續(xù)性和可靠性要求為基本前提,這就對基礎(chǔ)結(jié)構(gòu)安全能力、縱深防御層面安全能力的規(guī)劃、建設(shè)和安全運行提出了更高的要求,對于現(xiàn)網(wǎng)系統(tǒng),針對各種等可能對業(yè)務(wù)連續(xù)性產(chǎn)生潛在影響的安全動作,需要極為慎重,綜合采用合理規(guī)劃、分區(qū)分域、收窄暴露面等方式,有效布防,并通過完備的應(yīng)急響應(yīng)預案制定、演訓式威脅評估等相關(guān)措施,最大限度避免或減少對業(yè)務(wù)系統(tǒng)可能產(chǎn)生的影響,確保系統(tǒng)業(yè)務(wù)的彈性恢復能力。
對國民經(jīng)濟關(guān)鍵領(lǐng)域的市場開放必須采取非常慎重的態(tài)度,特別是像電力系統(tǒng)這樣的“生命線”領(lǐng)域更是要慎之又慎,否則,就無異于引狼入室和埋下“定時炸彈”。
天地和興安全應(yīng)急響應(yīng)團隊
關(guān)于天地和興
北京天地和興科技有限公司成立于2007年,是國內(nèi)專業(yè)的工控安全解決方案提供商。公司產(chǎn)品及解決方案已成功應(yīng)用于電力、石油石化、鋼鐵冶金、軌道交通和智能制造等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域三百余家工業(yè)企業(yè),用戶遍布全國29個省級行政區(qū)。主機安全防護系統(tǒng)已在工業(yè)主機部署超過2000套,安全穩(wěn)定運行超過5年。
天地和興一直致力于為客戶提供全生命周期工控安全整體解決方案與產(chǎn)品服務(wù),未來將持續(xù)加大對新技術(shù)、新產(chǎn)品的研發(fā)力度,依托浙江大學“工控系統(tǒng)安全聯(lián)合研究中心”及華北電力大學“電力工業(yè)信息安全聯(lián)合實驗室”等科研機構(gòu),不斷深入對工控漏洞、人工智能安全、大數(shù)據(jù)態(tài)勢分析等方向的技術(shù)研究,保護國家關(guān)鍵信息基礎(chǔ)設(shè)施安全,助力網(wǎng)絡(luò)強國戰(zhàn)略。
北京市公安局海淀分局備案號:11010802023656號