發(fā)電廠(chǎng)電力信息安全綜合防護探討

一、引言

Stuxnet作為全球第一款投入使用的武器級軟件型電腦病毒，其對伊朗核工業(yè)體系的攻擊導致了納坦茲鈾濃縮基地以及布舍爾核電站大量電腦中毒，納坦茲鈾濃縮基地約1/5的離心機癱瘓。造成伊朗核工業(yè)體系至少2年的倒退，迫使伊朗必須花費巨額外匯重新購進(jìn)大批離心機，對其電力生產(chǎn)、國防建設與國防安全造成了極大影響。

近十年來(lái)我國電力系統信息化取得了長(cháng)足的進(jìn)步，各種信息設備也廣泛運用于生產(chǎn)控制系統的數據采集與生產(chǎn)控制中。信息設備極大減輕了生產(chǎn)人員工作量并提高了電網(wǎng)工作效率，但是由于工業(yè)控制系統在最初設計時(shí)往往未考慮網(wǎng)絡(luò )安全問(wèn)題，某些關(guān)鍵基礎設施采取的運營(yíng)安全措施僅僅是一個(gè)權限密碼而已，而隨著(zhù)技術(shù)進(jìn)步各分離系統逐步互聯(lián)，網(wǎng)絡(luò )安全問(wèn)題凸顯。因此分析本次攻擊案例對提高國內電力系統安全防護水平，加深信息人員與生產(chǎn)控制系統人員對網(wǎng)絡(luò )安防意識有重要的意義。

二、Stuxnet特點(diǎn)介紹

（一）精確打擊，殺傷范圍可控

Stuxnet作為武器級電腦病毒，為達到殺傷范圍可控的目的，它采取了“指紋”驗證機制，感染Stuxnet病毒計算機的相關(guān)信息均被發(fā)送至美國加州的一個(gè)服務(wù)器，病毒制造者可以精確導引病毒攻擊特定地區的目標，對于非攻擊范圍的工業(yè)控制系統不會(huì )進(jìn)行攻擊。該病毒還設有“自殺日”，Stuxnet病毒將在2012年6月24日停止散步。根據實(shí)際的情況反映，病毒雖然擴散至全球范圍但破壞僅限伊朗，基本上達成了其設計目標。

（二）智能攻擊，難以發(fā)現

Stuxnet B分為兩個(gè)攻擊模塊。第一個(gè)模塊是攻擊西門(mén)子S7-300(315)系統，目標為納坦茲的濃縮鈾工廠(chǎng)。IR - 1型離心機的轉管是由高強度鋁合金制造，最大切線(xiàn)速度為440-450米/秒，對應的極限頻率為1410-1432Hz，納坦茲濃縮鈾工廠(chǎng)離心機的額定頻率為1064Hz，當轉子的頻率提高到1410Hz時(shí)，轉管可能斷裂導致離心機損壞。Stuxnet病毒調節編碼作用于Fararo帕亞與芬蘭公司的Vacon兩個(gè)特定制造商的變頻器，當病毒監測到變頻器工作在807Hz至1210Hz的頻率時(shí)才進(jìn)行操縱。首先保持1064Hz的工作頻率，在15分鐘后提高到1410Hz，在離心機運行了27天后突然將頻率降低至2Hz。通過(guò)這種讓離心機超速轉動(dòng)然后急劇停止的方法來(lái)使軸承等機械部件快速磨損，導致設備需要不斷更新和維修。為達到長(cháng)期破壞伊朗鈾濃縮活動(dòng)，Stuxnet并未采用超過(guò)極限頻率的方式破壞離心機，以防止被提前發(fā)現。

第二個(gè)模塊是攻擊西門(mén)子的S7-400(417)系統，目標是布什爾核電廠(chǎng)汽輪機控制。它采用了中間人攻擊（MITM）的方式，可以強制PLC進(jìn)行錯誤的輸入輸出，其代碼比針對S7-315系統的代碼更精妙。根據研究人員分析，沒(méi)有被激活的Stuxnet代碼仍然定期更新過(guò)程映射，但是Stuxne代碼可以傳遞原來(lái)通過(guò)物理映射輸入的初始值，也可以不傳遞，這會(huì )使汽輪機的控制受到干擾，極端情況下會(huì )導致渦輪遭到破壞或使運行人員做出錯誤操作。

（三）自動(dòng)隱藏，生存力高

Stuxnet病毒的活動(dòng)非常隱蔽，代碼精妙，具備極強的自我保護能力。Stuxnet病毒使用U盤(pán)以及Windows零日漏洞傳播，進(jìn)入系統后使用Rootkit把自己隱藏起來(lái)，在潛入PLC之前能偽裝成系統文件，其具有掛入編程軟件把自己裝入PLC的能力，當程序員檢查PLC的代碼時(shí)也看不見(jiàn)這個(gè)病毒。而通過(guò)向西門(mén)子工業(yè)編程軟件STEP 7中注入惡意DLL（動(dòng)態(tài)鏈接庫），實(shí)現了即便清除Stuxnet仍可通過(guò)啟動(dòng)STEP 7軟件再次感染目標主機。另一方面，Stuxnet病毒發(fā)動(dòng)攻擊侵入離心機操控系統后，會(huì )首先記錄正常離心機的正常運轉數據，攻擊成功后，離心機運轉速度失控，但監控系統收到的卻是Stuxnet病毒發(fā)送的“正常數據”，令運行人員無(wú)法及時(shí)察覺(jué)，從而可最大限度達到破壞效果。

通過(guò)自動(dòng)隱藏與智能攻擊手段Stuxnet完成了其既定的設計目標，據紐約時(shí)報報道整個(gè)病毒對伊朗核工業(yè)的襲擊長(cháng)達17個(gè)月。

三、Stuxnet病毒攻擊暴露的工業(yè)控制系統防護的共性漏洞

（一）操作系統及工業(yè)基礎設備提供商基本為美日歐壟斷

本次襲擊Stuxnet利用了微軟的零日漏洞，并使用了2個(gè)數字簽名成功實(shí)施了襲擊，在微軟提供新的補丁下載前，所有的暴露在互聯(lián)網(wǎng)上的電腦均有可能受到病毒威脅。是否Linux系統就能逃避病毒干擾呢？答案也是否定的。2010年12月14日，在OpenBSD的官方網(wǎng)站上OpenBSD的創(chuàng )始人希歐·德若特稱(chēng)OpenBSD網(wǎng)絡(luò )數據安全加密協(xié)議可能早在10年前就為美國聯(lián)邦調查局（FBI）預留了“后門(mén)”。

Stuxnet的成功襲擊與INL和西門(mén)子針對PCS7的弱點(diǎn)測試以及西門(mén)子組態(tài)軟件核心不開(kāi)放有關(guān)，工程技術(shù)人員無(wú)法在PLC程序檢查時(shí)發(fā)現惡意代碼。

因此開(kāi)發(fā)國產(chǎn)操作系統并針對性在特種行業(yè)內使用以及提高工業(yè)基礎設備的國產(chǎn)化率是非常有必要的，是關(guān)系國計民生的。

（二）缺乏工業(yè)系統安全防護相關(guān)經(jīng)驗

Stuxnet病毒從何時(shí)開(kāi)始對納坦茲濃縮鈾工廠(chǎng)襲擊不得而知，但是2009年7月伊朗原子能組織副主席阿里-阿克巴爾·賽義迪的辭職被懷疑與納坦茲鈾濃縮工作頻發(fā)故障無(wú)法達到IR - 1型離心機正常生產(chǎn)率有關(guān)?？梢约僭O攻擊是從2009年7月以前就已經(jīng)開(kāi)始，直到2010年白俄羅斯安全公司截獲Stuxnet病毒并公布出來(lái)為止。近一年的時(shí)間里鈾濃縮工廠(chǎng)與核電廠(chǎng)的工作人員未能從設備的頻發(fā)的缺陷中發(fā)現被攻擊跡象，而只是將其視為設備質(zhì)量問(wèn)題，表明了工業(yè)控制系統運維人員對網(wǎng)絡(luò )安全防護知識的缺乏。

（三）工業(yè)控制系統信息安全防護不為企業(yè)所重視

雖然在2009年北美電力可靠性委員會(huì )NERC早就制定了關(guān)鍵基礎設施保護（CIP）的標準，但NERC的副總裁兼首席安全官在一封信件指出，截至到2009年4月，70%的美國發(fā)電廠(chǎng)并不認為網(wǎng)絡(luò )安全屬于關(guān)鍵部分，幾乎30%的輸電公司也不認為它屬于關(guān)鍵部分。這導致所有的分配系統，盡管屬于智能電網(wǎng)的核心，卻因為分配的原因被NERC CIPs明確排除，而不能成為關(guān)鍵部分。加州電網(wǎng)雖然是美國智能電網(wǎng)的先行者，但是包括加利福尼亞在內，沒(méi)有公共事業(yè)委員會(huì )將網(wǎng)絡(luò )安全標準包括在內。

對應于國內的計算機信息系統安全等級保護，很多電廠(chǎng)也未將DCS或水電廠(chǎng)計算機監控系統納入定級保護范圍，即使納入對其的定級也往往不夠準確。而且由于工業(yè)控制系統一般為內網(wǎng)物理隔離以及工業(yè)控制系統的特殊性，電廠(chǎng)也很少對其進(jìn)行安全性測試。