委内瑞拉大规模停电事件的初步分析与思考启示

在针对关键基础设施的攻击中，电力系统极易被当作首选目标，除了电力对现代社会运行起到关键支撑作用，被攻击可能引起连锁反映外。电力系统高度复杂，暴露面多也是一个原因。电站、输变电设备、线路层面均可能遭到物理、电磁和网空层面的攻击。而电力系统的空间特点则决定了，只有电厂和关键变电站能获得相对封闭的物理空间保障。大量无人变电站和线路均处在自然开放空间之中。而从电力系统的机理来看，局部的攻击很容易造成大面积影响。从委内瑞拉相关事件中，可以判断出发生了多次电网解列，电网解列的可能原因是关键节点注入功率不足，导致电网潮流异常或者过载，引发保护，局部停电到电网解列，最终就会引发大面积停电事件。

02

美方有主导或参与的动机与可能性，但尚无技术层面的实证

威胁是能力和意图的乘积。从能力上看，美方具有全球最强的体系化网络攻击能力。在复杂的组织机构、庞大的人员规模和充沛的预算保障下，美方建设了一系列大型的信号情报获取和作业的工程系统、研发了制式化装备体系，建立支撑网空情报活动和攻击活动的框架，将情报获取、进攻作业、积极防御等网空能力整合成整体国家能力。可参见安天此前系列的相关分析[14-18]。

从意图上看，美国一直背后支持委反对派反对马杜罗政府，此前还曾威胁直接军事干预。美国此前有利用“震网”攻击主权国家关键基础设施的先例。美方在攻击电力系统方面有长期的准备，早在2007年，美国爱达荷国家实验室就是实施了一项非机密的政府内部实验——即“极光漏洞”试验，针对一台225万瓦功率的柴油发电机，通过计算机程序以异常的方式反复高速关闭和重启此发电机，在短短的三分钟时间内，发电机被彻底摧毁，部分组件因为压力的反复变动导致炸裂，部分碎片被崩裂到80英尺之外。上述资料于2014年7月3日，被美国国土安全部根据信息公开法公布。根据《Division Cyber Operations》[19]等文献，美方已经将政治、军事、经济、社会、基础设施等宽频目标，纳入到目标打击规划工具的目标列表中，其中基础设施目标中就包括电力系统。美军目标打击规划工具（PMESII Crosswalk）考虑事项和可攻击侧面如图8所示。

从行为模式的角度来看，瓜伊多所声称如他上台执政就能马上恢复电力，而美方恰恰将“重建”作为网络武器参与的作战阶段之一，美国陆军参谋长前高级顾问Maren Leed曾在《Offensive Cyber Capabilities at the Operation Level》[20]一文中指出，“网络武器具有无与伦比的多功能性，它们可用于从参与到高端作战的所有军事行动。因为它们的影响是可逆的，所以非常适合于作战的所有阶段，包括环境塑造、高烈度对抗 以及目标重建”。

03

委内瑞拉部分电力设施陈旧，在社会动荡背景下故障频发，亦不能排除自身发生故障所致

乔治华盛顿大学网络与国土安全中心高级研究员Kalev Leetaru认为[21]，“由于电网经年累月管理不善，停电在委内瑞拉已是司空见惯，不需要美国国家安全局的帮助”，“该国电网自己就可以引起下一次停电事件。大多数国家，包括美国，都对其老化和日益超载的公共基础设施感到担忧。因设备故障或输电线路过载而停工的发电厂更可能被归咎于投资不足，而非外国网络攻击。引起大规模山火的电力线故障很可能是预防维护工作不力导致，而非蓄意的外国破坏。”

2013年1月至6月期间，委内瑞拉国家电力系统发生了10,647次失败事故；2013年9月3日，19个州和加拉加斯经历了由于输电线路故障导致的4小时停电，该国70%的面积停电；2018年8月31日，苏利亚州首府马拉开波的一个变电站发生爆炸，导致城市大片区域停电；2018年10月16日，卡拉沃沃州La Arenosa发电站发生爆炸事故，导致本国西南部电力供应中断，12个州出现电力短缺，至少1000万名用户可能受到停电的影响。当然也不能排除这些事件的背后同样可能存在人为因素的影响。

04

网络空间安全、关键基础设施安全需要相应的基础支撑条件

如果将“震网事件”和“乌克兰电网遭遇攻击停电事件”与委内瑞拉停电事件对比，前两起事件都是在被攻击设施拥有国社会基本稳定、主权与安全有基本自我保障的能力下所发生的，在基础设施的物理安全有一定的保障基础上，攻击方往往会优先选择采用网空攻击这种相对更隐蔽、具有穿透性手段进行攻击。以在达成攻击效果的同时，限定影响后果，同时其成本也比物理域军事打击更低廉。而物理手段和网络手段叠加往往能达成更大的攻击效果。在委内瑞拉社会动荡的背景下，内部破坏、里应外合等各种可能性都急剧增加，物理、电磁、网空多个领域风险相互叠加，而被削弱的社会应急能力、和基础设施运维水平，又增加了恢复难度和成本。国家的主权与安全是关键基础设施安全的基本屏障，社会治理能力是关键基础设施安全的前提基础。当前委内瑞拉政府虽然能维持政府的基本运行，但在巨大的外部颠覆、干预压力以及内部反对派的干扰下，主权与安全遭到严峻挑战，治理能力就已经高度削弱。在这种情况下，如果遭遇入侵攻击，很大可能是带有网络空间和实体空间的复合性因素，而非单纯的网络攻击问题。而多起事件间，既有可能是强关联组合打击，也可能是弱关联的多源并发。

此次委内瑞拉政府多次发声中，包括 “电力系统已成为美国最新一轮网络攻击”、“国内渗透者从内部攻击了电力公司”、“抓获纵火破坏电力系统嫌疑人”等，同时网络上也出现了西部变电站发生爆炸的相关信息，如果这些都属实，这就是一个里应外合、多域交织的结果，是国家政权受到挑战的情况下集中爆发出的基础设施安全问题。而也正是由于政权管控能力下降，导致攻击事件发生后，政府没有足够资源和能力有效应对，进而接连受到的攻击令损失进一步扩大化。

几点启示

启示一：必须从总体国家安全观来统领关键基础设施安全防护工作。关键基础设施是各种威胁行为体所觊觎的目标，而其攻击往往是跨域组合的。因此不能简单的将基础设施防御视为技术对抗，而要视为综合对抗。

在常规防护中，要将物理安全、人员安全因素与技术安全因素都充分考虑在内，对可能发生的紧急情况，制定更为全面的预案。目前国内在网络空间安全领域，存在缺少总体国家安全视角，不以结果/后果角度分析威胁，而以攻击的“技术含量”高低看待威胁的倾向，认为“非技术层面的攻击，就不是事儿，不是‘高技术含量’的攻击，都不是大事儿”。但网络空间安全和关键基础设施安全都具有非对称性的特点，决定了攻击中是组合拳打击薄弱点的特点。并非只采用技术手段或高技术手段。威胁行为体在攻击中并不关心“技术含量”，而更多考虑目标价值、攻击成功率、攻击成本、攻击隐蔽性等“作战指标”。一些针对关键目标的简单技术或人为操作在与其相适应的时间点爆发，一样可以造成重大损害。

启示二：能力导向建设模式，提升关键信息基础设施安全防护能力。

当前，我国面临着复杂严峻的内外部形势，在众多的风险挑战中，“网络安全防控能力薄弱，难以有效应对国家级、有组织的高强度网络攻击”是一项突出的风险。防控能力建设及以国家大型工程为主干，也以各政企机构建设管理的每一个重要信息系统和信息基础设施的安全为基石。基石不稳，则大厦难安。重要信息系统和关键信息基础设施处于“低水平防护”，甚至“无效防护”的状态中，是国家安全与稳定的严重隐患，影响到国家的战略主动性。

目前政企网络安全防护中规划能力不够、预算保障不足、问责机制没有落地等问题十分明显，在安全规划建设工作中往往是在满足一般性合规要求的基础上，再简单堆砌部分产品应对各类单点威胁，未形成动态综合的网络安全防御体系，缺少实战化安全运行机制保障。面对既有安全环节单点失效、面临新的威胁类型，疲于应付，顾此失彼。对隐蔽性更强的高级网空威胁行为体的持续性威胁，缺少足够的发现和防御能力。在预算保障上，受经济下行压力影响，安全投入纷纷削减或延迟。

但越是在面临复杂严峻挑战下，越应优先建设安全支撑能力，建议主管部门通过系统规划指引、保障预算投入、加强问责落实，全面提升政府、央企网络安全防护水平。

政企机构、关键信息基础设施建设运维方，面对复杂的敌情，需要将“敌已在内，敌将在内”作为驱动防御的前提设定，并根据自身网络与信息系统的国家安全、社会安全和业务安全属性，客观判断必须能够有效对抗哪些层级的网络空间威胁行为体，并据此深入分析安全需求，建立安全规划，保障预算投入。

采用叠加演进能力导向的网络安全建设模式指引规划设计，科学合理地分阶段扎实开展网络安全建设实施工作，实现从基础结构安全、纵深防御、态势感知与积极防御到威胁情报的网络安全能力[22]，构建动态综合的网络安全防御体系。

针对电力等基础设施和工业系统，在落实能力导向建设模式构建动态综合防御体系的工作中，必须以保障业务运行的连续性和可靠性要求为基本前提，这就对基础结构安全能力、纵深防御层面安全能力的规划、建设和安全运行提出了更高的要求，对于现网系统，针对各种等可能对业务连续性产生潜在影响的安全动作，需要极为慎重，综合采用合理规划、分区分域、收窄暴露面等方式，有效布防，并通过完备的应急响应预案制定、演训式威胁评估等相关措施，最大限度避免或减少对业务系统可能产生的影响，确保系统业务的弹性恢复能力。