委内瑞拉电网事件给我国带来的思考

3月10日，据俄罗斯媒体报道，委内瑞拉总统尼古拉斯·马杜罗(Nicholas Maduro)表示，该国的电网在周六再次遭受打击，许多恢复的系统再次瘫痪，该国电力系统已成为最新一轮“网络攻击”的目标。

1.事件回顾：影响广泛，加剧国家动荡

当地时间3月7日晚，委内瑞拉发生全国范围的大规模停电，首都加拉加斯以及其他大部分地区陷入一篇漆黑，全国18个州电力供应中断，仅有5个州幸免，此次突发的电力系统崩溃没有任何预兆。停电给委内瑞拉带来了重大损失，全国交通瘫痪，地铁系统关闭，医院手术中断，所有通讯线路中断，航班无法正常起降……

经过紧急抢修后，委内瑞拉当局设法恢复了该国“许多地区”的电力供应，供电部分陆续恢复，然而该国的电网在周六再次遭受打击，许多恢复的系统再次瘫痪。

委内瑞拉总统 马杜罗：本来截至（9日）中午我们已经恢复了受影响地区将近70%的供电，但此时又一台正常运转的发电机遭到了新一轮网络攻击，这打乱了恢复供电的部署，我们之前所做的一切努力都被破坏了。

他说：“我们发现他们（美国）对电力系统进行高科技攻击。”还补充说，此外”一个运行良好的发电设备”也遭到破坏。他指责“国内渗透者从内部攻击电力公司”。

2.事件初探：网络攻击，没有硝烟的战争

由于信息披露有限，更为详细的技术分析暂时无法给出，但从公开报道的马杜罗总统言论来看，有多个关键词值得引起我们的关注：“电网再次受到攻击”、“网络攻击”、“发电机遭受攻击”、“内部攻击”等。不言而喻，这是一起非常典型的工控安全事件，发起者目标明确，整个攻击过程有组织、有计划、多渠道、持续性展开，在遭受严重损失的同时，也充分暴露出委内瑞拉的关键信息基础设施安全防护投入的不足，安全事件的应急处理手段有待加强，该事件注定成为继“乌克兰电网事件”后，又一 “网络战”的典型案例。

委内瑞拉是一个资源丰富的国家，石油、天然气探明储量位居世界前列，水力资源也极为丰富。由于近几年来国内局势的动荡，敌对势力、恐怖组织的破坏行为持续存在，在所有的破坏行为中，通过网络攻击无疑是一个更为便捷、投入产出比更高的方式，其带来的影响往往也是深远的。

3.事件反思：前车之鉴，加强国内的电力系统工控安全建设

作为现代战争的一个重要作战手段，通过网络攻击打击对手的国家基础设施，从而造成生产停止、通信中断、交通瘫痪、能源供给不足等重大损失，其破坏性远胜于常规炮火的打击，甚至可以决定战争的走势。居安思危，从这些正在发生的事件中，我们更应该引以为鉴。

从委内瑞拉遭受的此次攻击来看，整个电力系统的多个环节都遭受攻击，并且攻击的渠道也呈现多样化。就我国而言，电力系统体系庞大、系统复杂，如何做好安全防护就需要引起我们进一步的思考。

3.1、电力系统主要安全问题分析

电力系统横向来看是一个有机整体，通过参与电能分配的一次设备将整个电力系统串接在一起，电力系统按照业务来分，一般分为发、输、变、配、用、调度，发电厂发出的电能需要经过高压变电后由输电线路进行远距离输送，包含了从发电厂到供电公司配电系统的转移过程，配电通过将电力送达消费者完成电力系统的全部功能。此过程分一次、二次系统，一次系统直接参与电能的发输、分配、使用，二次系统对一次系统进行测控、保护、调节，而电力调度一定层度上保证电力系统的安全稳定运行，对外可靠供电，使电力生产有序进行采取的管理手段。

在发电领域，存在火电、水电、风电、核电等众多形态，不同发电形态的控制系统、网络结构又有所不同，从安全角度来看，也对应不同的安全问题，以水电为例（委内瑞拉水力资源丰富，发电形态以水电为主，我国的水电发电量也居于次席）进行分析：

图：典型水电站网络结构图

>>>>主要安全问题：

l  PLC等控制设备存在安全漏洞

l  通讯协议存在安全漏洞

l  上位机基本安全配置缺失，恶意代码防范手段失效

l  无网络安全态势监控手段

l  移动存储介质管控无序

在变电领域，以智能变电站展开分析，智能变电站以全站信息数字化、通信平台网络化、信息共享标准化为基本要求，依靠智能设备自动完成信息采集、测量、控制、保护、计量和监测等基本功能，并可根据需要支持电网实时自动控制、智能调节、在线分析决策、协同互动等高级功能，实现与相邻变电站、电网调度等互动。

智能变电站作为智能电网核心环节，一旦受到恶性攻击、病毒感染，将会导致局部、甚至大面积停电，造成严重经济损失等后果。

图：典型变电站自动化系统结构图

>>>> 主要安全问题：

l  继电保护、测控装置等设备存在漏洞

l  通讯协议（如：IEC-104）在安全设计上先天不足

l  远动通信距离远，存在监视盲区

l  网络抗风暴能力不足

l  第三方运维监管不到位

在配电领域，配电自动化是指以配电网一次网架和设备为基础，综合利用计算机、信息及通信等技术，并通过与相关应用系统的信息集成，实现对配电网的监测、控制和快速故障隔离，为配电管理系统提供实时数据支撑。通过快速故障处理，提高供电可靠性；通过优化运行方式，改善供电质量、提升电网运营效率和效益。

图：典型配电自动化系统结构图

>>>> 主要安全问题：

l  配电终端抗DOS能力不足

l  通讯协议（如：IEC-104）在安全设计上先天不足

l  移动存储介质管控无序

l  网络安全设备或者措施不到位

l  第三方运维监管不到位

3.2电力系统安全防护方案

对于电力系统面临的安全威胁，提供以下建议：

l  威胁建模 ，为了让方案设计师、开发者或者软件能够识别其部署存在的潜在攻击路径。

l  白名单，建立白名单机制，在电力工控系统的上位机、关键节点的服务器上部署应用白名单软件，阻止恶意代码执行和非法外联，其工控网络通过深度解析电力系统工控协议如IEC 61850\60870系列、Modbus、S7等阻止或监测工控网络非法流量。

l  代码命令签名，利用哈希加密验证来验证软件ID及准备运行的代码完整性，对关键电力系统命令实施签名。

l  蜜罐，在实际环境隔离的虚拟环境中，识别和跟踪攻击者。

l  数据加密，防止数据收到损害或内部威胁。

l  漏洞管理，通过了解电力系统中存在的漏洞位置，电力公司根据基于有效的处理风险的方法管理漏洞，避免电力系统无法处置经常性的威胁和攻击。

l  渗透测试，应聘请渗透测试专家对电力系统的关键环境进行周期性安全评定。

l  源代码审查，通过审查软件源代码寻找漏洞。

l  配置加强，建议使用加固后的系统映像来建立系统，然后在加固后的系统映像上进行渗透测试实验，漏洞挖掘等。

l  强认证，防止对资产的未授权访问。

l  日志和监控，用于识别攻击以及在安全事件发生时重构系统事件。

l  态势感知，用于对生产环境的资产、数据、流量等进行全局性监测，通过综合分析发现潜在的威胁。

从以往的电力系统安全建设经验来看，建立和发展一个信息安全方案是电力系统安全的基础，不能按照一个特定的模式来实施，应根据情况，建立一套切合实际需要的安全防御体系和方案。电力包括其他工业领域的工控安全建设是一个持久战，从点到面，从被动到主动，从安全防御到态势感知，从技术手段到安全管理，需要不断的持续优化，只有这样，才能应对瞬息万变的对峙局面，也只有这样，才能打赢未来的“网络战争”。

威努特简介

威努特是国内专注于工控安全领域的高新技术企业，以研发工控安全产品为基础，打造多行业解决方案，提供培训、咨询、评估、建设及运维等全流程安全服务。威努特提出工业网络“白环境”理念，迄今已服务电力、轨道交通、石油、石化、市政、烟草、化工及军工等行业的五百余家客户，受邀保障G20峰会和“一带一路”国际合作高峰论坛。威努特致力于为客户构建安全可靠的工业网络环境，保障国家关键信息基础设施运行安全，为中国制造2025护航，为建设网络强国添砖加瓦！