網絡攻擊如何影響物理世界 - -委內瑞拉大停電對於電力系統防禦的思考

一、典型電力網絡安全事件回顧

2003年1月，美國俄亥俄州Davis-Besse核電站和其它電力設備受到SQL Slammer蠕蟲病毒攻擊，網絡數據傳輸量劇增，致使該核電站計算機處理速度變緩、安全參數顯示系統和過程控制計算機連續數小時沒法工做。

2006年8月，美國阿拉巴馬州的Browns Ferry核電站3號機組受到網絡攻擊，反應堆再循環泵和冷凝除礦控制器工做失靈，致使3號機組被迫關閉。

2010年6月，計算機安全研究員發現一種名爲Stuxnet震網病毒專門攻擊西門子S7可編程邏輯控制器。該蠕蟲病毒可能由美國和以色列的網絡戰部隊發明，目標是伊朗的納坦茲鈾濃縮工廠。該病毒能夠經過修改控制流程來改變鈾濃縮離心機轉子的轉速。數據顯示Stuxnet摧毀了大約1000臺離心機，使伊朗核電站延遲發電半年以上，核戰略受到嚴重影響。

2015年12月，烏克蘭電力系統遭受Black Energy 惡意代碼攻擊，至少有三個電力區域受到影響，致使國內大面積停電。本次事件攻擊者入侵了電力監控管理系統，致使7個110KV的變電站和23個35KV的變電站出現故障，最終使80000用戶斷電。

二、委內瑞拉大停電事件

2019年3月7日，委內瑞拉發生大規模停電事件。當地時間7日下午5時左右，包括首都加拉加斯在內的委內瑞拉全國發生大規模停電。多數地區的供水和通訊網絡受到影響。

據統計，委內瑞拉超過全國一半地區徹底停電且持續超過6天。這次停電是委內瑞拉自2012年以來持續時間最長、影響地區最廣的停電時間。委內瑞拉新聞部長羅德里格斯透露：「這次停電的緣由是委最重要的古裏水電站遭到反對派蓄意破壞」。

根據調查顯示，本次停電事件是因爲委南部玻利瓦爾州的一座主要水電站發生故障致使，事件發生後委內瑞拉政府積極善後，但因爲不明網絡攻擊的緣由，使以前本來已恢復完成近70%的電力系統再次癱瘓。

三、委內瑞拉停電事件分析

  這次委內瑞拉大停電事件引起的緣由主要有如下三點：

l  國家社會動盪，內部不穩定因素較多，隨時會引起相似如縱火爆炸等方面的物理破壞。

l  相關電力系統的基礎設施和發電輸電設備出現老化，電力設施國產化程度較低，網絡防禦能力較弱。

l  國家外部一些威脅，如一些國家使用網絡武器對整個電力系統的網絡進行干擾破壞。因爲自身安全防禦能力不到位，很容易對整個網絡系統形成一些嚴重的損失。

這次委內瑞拉停電事件的發生並不是偶然，「震網病毒事件」、「烏克蘭停電事件」無不透露着網絡攻擊對於工業網絡安全的嚴重威脅。

針對工業網絡安全的重要地位，國家發改委、工信部等監管部門分別下發了《電力監控系統安全防禦規定》、《工業控制系統信息安全防禦指南》等規章制度，同時隨着《網絡安全法》、《等級保護2.0》等法律法規的發佈實施，電力系統工業網絡安全建設已刻不容緩。

四、我國電力系統網絡安全現狀

 當前，我國電力系統網絡安全防控能力相對薄弱，難以有效應對國家級、有組織的高強度網絡攻擊。習總書記在2016年4月19日網絡安全和信息化工做座談會上指出，「要樹立正確的網絡安全觀，加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態勢，加強網絡安全防護能力和威懾能力。」

目前國內電力系統分爲發電與供電兩大部分，包含發電、變電、輸電、配電以及用電等過程，電力系統的網絡分佈由傳統的大型、封閉式網絡向超大型、互連型網絡轉變。電力系統做爲國家關鍵信息基礎設施其網絡安全「牽一髮而動全身」，結合目前電力企業的系統特色及發展情況，電力企業工業控制系統主要存在如下安全風險。

l  沒有對其內部生產控制系統及網絡進行分區、分層，當發生網絡安全事件時沒法將惡意軟件、黑客攻擊、非法操做等行爲控制在特定區域內，易發生全局性網絡安全風險。

l  沒有對其內部不一樣安全級控制系統進行邏輯隔離和訪問控制，致使不一樣安全級控制系統直連互通，易使生產數據、惡意軟件、非法訪問等在不一樣安全級系統間自由傳播。

l  沒有對其內部重要控制設備進行安全防禦，致使重要控制器處於無防禦、無審計狀態。因爲電力系統存在大量中止維護的操做系統如windows XP、windows 2003等，使各工程師站、操做站、上位機系統面臨巨大威脅，惡意軟件或黑客能夠此爲跳板和攻擊源，同時因爲工控協議明文傳輸、缺少認證等自身脆弱性，從而使重要控制設備極易遭受惡意軟件、非法操做和黑客攻擊。

l  生產網操做站、工程師站等缺少必要的主機安全防禦措施，易使病毒、木馬等惡意程序以此爲入口對工控網絡構成威脅。

l  缺少必要的運維審計措施，第三方運維人員可直接將設備接入網絡，沒法對其操做行爲以及設備安全性進行監測審計。

l  內部控制系統及網絡缺少安全監測與審計措施，沒法從流量、工控協議、生產業務層面對生產數據進行監測和審計，沒法及時發現非法訪問、非法操做、惡意攻擊等行爲。

l  內部缺少統一的安全管理平臺，造成一個個「安全孤島」，致使安全設備各自爲政，沒法對安全產品、安全事件進行統一管理和關聯分析，沒法發現控制網絡的深層安全問題。

2019年1月17日，國家電網在2019年工做兩會議中提出建設「三型兩網」世界一流能源互聯網企業戰略目標，「三型」即樞紐型企業、平臺型企業、共享型企業，「兩網」指「堅強智能電網」和「泛在電力物聯網」。隨着泛在電力物聯網的加速推動，電力終端以及電力系統面臨的威脅面將不斷擴大，網絡安全建設已成爲網絡運營與使用單位的重要組成部分。

五、英賽克電力行業網絡安全解決方案

根據電力企業當前網絡安全風險，結合電力行業發展趨勢，參考《等級保護》、《電力監控系統安全防禦規定》、《工業控制系統信息安全防禦指南》等規範標準，可從如下維度進行工控網絡安全建設：

l  邊界隔離（控制區和非控制區之間）

部署具有隔離保護功能的安全設備實現網絡分層分區，邊界訪問控制，阻斷惡意軟件、非法訪問的傳播途徑。

l  區域隔離（生產控制大區內部）

採起邏輯隔離措施實現基於區域和功能的網絡劃分及隔離，對工業專有協議進行深度解析，阻止區域間的越權訪問，病毒、蠕蟲擴散和入侵，將危險源控制在有限範圍內。

l  系統間隔離

採起安全隔離措施，使控制大區內機組監控系統之間、監控系統與控制系統之間、同一機組的不一樣監控系統之間、監控系統與輸變電控制系統之間進行邏輯隔離。

l  重要設備隔離

採起安全隔離措施，對PLC等工控設備或系統進行重點防禦，對重要設備工控協議、數據的完整性、功能碼、地址範圍和工藝參數範圍進行深度解析，發現異常指令、告警可疑操做、隔離威脅數據，同時阻止操做員或工程師有意無心的非法操做。

l  主機安全防禦

採用白名單技術，對工業主機軟件運行以及系統配置進行安全加固，阻止非法軟件的滋生與傳播。

l  運維安全審計

在工業控制網絡核心交換機部署運維審計系統，對本地及第三方運維行爲進行安全審計，防止病毒、木馬以及惡意攻擊經過運維過程帶入工業網絡，對工業業務產生影響。

l  工控網絡監測與審計

採用工控網絡監測與審計設備，對當前工控網絡的流量、協議、業務進行安全監測與審計，綜合利用工控網絡監測與審計設備的流量審計、協議審計、業務審計以及安全設計分析與追蹤功能，實現工控網絡從流量、協議、事件到業務的安全可視、異常行爲監測，及時發現各類違規行爲和病毒、黑客的攻擊行爲。

l  統一安全管理

集中管理安全設備，如工業防火牆、監測審計平臺等，實現工控網絡的拓撲管理、安全配置及安全策略管理、設備狀態監控、告警日誌等。

具體解決方案防禦拓撲圖以下（以水電站爲例）：

 

六、英賽克解決方案價值收益

（1）   提升發電企業生產穩定性

經過工控網絡安全體系建設，可有效下降電力生產網絡中存在的安全風險，提升電力生產的連續性和穩定性，保障電力企業的安全生產。

（2）   提升發電企業生產控制網絡信息化水平

經過水電企業工控安全體系的建設，可以有效的提升電力企業網絡安全認識，切實提高信息化管理水平和管理效率，使管理人員的決策更加及時、準確，使信息流通結構更加合理，加強綜合競爭力。

（3）   提高發電企業抵禦網絡安全風險能力

經過工控安全體系的建設，加強生產控制網絡行爲的合規性識別能力，避免各類可能出現的由網絡安全引發的突發事件，避免或減小發電企業生產控制網絡安全威脅。

（4）   提升發電企業安全生產水平，爲企業經營效益作貢獻

經過工控安全體系的建設，規範電力企業生產控制網絡中的資產和行爲，能夠事前防護由病毒、入侵、異常接入、程序邏輯等致使的安全生產事故，杜絕重大災難性事件，爲企業安全生產作貢獻，產生良好的經濟效益。

（5）   提供可借鑑的電力生產控制網絡安全方案與實施流程

經過工控安全體系的建設，總結出一套固化的水電企業生產控制網絡安全方案與實施流程，爲其它電力生產控制系統安全改造提供依據。