發(fā)電廠(chǎng)電力信息安全綜合防護(hù)探討

一、引言

Stuxnet作為全球第一款投入使用的武器級(jí)軟件型電腦病毒，其對(duì)伊朗核工業(yè)體系的攻擊導(dǎo)致了納坦茲鈾濃縮基地以及布舍爾核電站大量電腦中毒，納坦茲鈾濃縮基地約1/5的離心機(jī)癱瘓。造成伊朗核工業(yè)體系至少2年的倒退，迫使伊朗必須花費(fèi)巨額外匯重新購(gòu)進(jìn)大批離心機(jī)，對(duì)其電力生產(chǎn)、國(guó)防建設(shè)與國(guó)防安全造成了極大影響。

近十年來(lái)我國(guó)電力系統(tǒng)信息化取得了長(zhǎng)足的進(jìn)步，各種信息設(shè)備也廣泛運(yùn)用于生產(chǎn)控制系統(tǒng)的數(shù)據(jù)采集與生產(chǎn)控制中。信息設(shè)備極大減輕了生產(chǎn)人員工作量并提高了電網(wǎng)工作效率，但是由于工業(yè)控制系統(tǒng)在最初設(shè)計(jì)時(shí)往往未考慮網(wǎng)絡(luò)安全問(wèn)題，某些關(guān)鍵基礎(chǔ)設(shè)施采取的運(yùn)營(yíng)安全措施僅僅是一個(gè)權(quán)限密碼而已，而隨著技術(shù)進(jìn)步各分離系統(tǒng)逐步互聯(lián)，網(wǎng)絡(luò)安全問(wèn)題凸顯。因此分析本次攻擊案例對(duì)提高國(guó)內(nèi)電力系統(tǒng)安全防護(hù)水平，加深信息人員與生產(chǎn)控制系統(tǒng)人員對(duì)網(wǎng)絡(luò)安防意識(shí)有重要的意義。

二、Stuxnet特點(diǎn)介紹

（一）精確打擊，殺傷范圍可控

Stuxnet作為武器級(jí)電腦病毒，為達(dá)到殺傷范圍可控的目的，它采取了“指紋”驗(yàn)證機(jī)制，感染Stuxnet病毒計(jì)算機(jī)的相關(guān)信息均被發(fā)送至美國(guó)加州的一個(gè)服務(wù)器，病毒制造者可以精確導(dǎo)引病毒攻擊特定地區(qū)的目標(biāo)，對(duì)于非攻擊范圍的工業(yè)控制系統(tǒng)不會(huì)進(jìn)行攻擊。該病毒還設(shè)有“自殺日”，Stuxnet病毒將在2012年6月24日停止散步。根據(jù)實(shí)際的情況反映，病毒雖然擴(kuò)散至全球范圍但破壞僅限伊朗，基本上達(dá)成了其設(shè)計(jì)目標(biāo)。

（二）智能攻擊，難以發(fā)現(xiàn)

Stuxnet B分為兩個(gè)攻擊模塊。第一個(gè)模塊是攻擊西門(mén)子S7-300(315)系統(tǒng)，目標(biāo)為納坦茲的濃縮鈾工廠(chǎng)。IR - 1型離心機(jī)的轉(zhuǎn)管是由高強(qiáng)度鋁合金制造，最大切線(xiàn)速度為440-450米/秒，對(duì)應(yīng)的極限頻率為1410-1432Hz，納坦茲濃縮鈾工廠(chǎng)離心機(jī)的額定頻率為1064Hz，當(dāng)轉(zhuǎn)子的頻率提高到1410Hz時(shí)，轉(zhuǎn)管可能斷裂導(dǎo)致離心機(jī)損壞。Stuxnet病毒調(diào)節(jié)編碼作用于Fararo帕亞與芬蘭公司的Vacon兩個(gè)特定制造商的變頻器，當(dāng)病毒監(jiān)測(cè)到變頻器工作在807Hz至1210Hz的頻率時(shí)才進(jìn)行操縱。首先保持1064Hz的工作頻率，在15分鐘后提高到1410Hz，在離心機(jī)運(yùn)行了27天后突然將頻率降低至2Hz。通過(guò)這種讓離心機(jī)超速轉(zhuǎn)動(dòng)然后急劇停止的方法來(lái)使軸承等機(jī)械部件快速磨損，導(dǎo)致設(shè)備需要不斷更新和維修。為達(dá)到長(zhǎng)期破壞伊朗鈾濃縮活動(dòng)，Stuxnet并未采用超過(guò)極限頻率的方式破壞離心機(jī)，以防止被提前發(fā)現(xiàn)。

第二個(gè)模塊是攻擊西門(mén)子的S7-400(417)系統(tǒng)，目標(biāo)是布什爾核電廠(chǎng)汽輪機(jī)控制。它采用了中間人攻擊（MITM）的方式，可以強(qiáng)制PLC進(jìn)行錯(cuò)誤的輸入輸出，其代碼比針對(duì)S7-315系統(tǒng)的代碼更精妙。根據(jù)研究人員分析，沒(méi)有被激活的Stuxnet代碼仍然定期更新過(guò)程映射，但是Stuxne代碼可以傳遞原來(lái)通過(guò)物理映射輸入的初始值，也可以不傳遞，這會(huì)使汽輪機(jī)的控制受到干擾，極端情況下會(huì)導(dǎo)致渦輪遭到破壞或使運(yùn)行人員做出錯(cuò)誤操作。

（三）自動(dòng)隱藏，生存力高

Stuxnet病毒的活動(dòng)非常隱蔽，代碼精妙，具備極強(qiáng)的自我保護(hù)能力。Stuxnet病毒使用U盤(pán)以及Windows零日漏洞傳播，進(jìn)入系統(tǒng)后使用Rootkit把自己隱藏起來(lái)，在潛入PLC之前能偽裝成系統(tǒng)文件，其具有掛入編程軟件把自己裝入PLC的能力，當(dāng)程序員檢查PLC的代碼時(shí)也看不見(jiàn)這個(gè)病毒。而通過(guò)向西門(mén)子工業(yè)編程軟件STEP 7中注入惡意DLL（動(dòng)態(tài)鏈接庫(kù)），實(shí)現(xiàn)了即便清除Stuxnet仍可通過(guò)啟動(dòng)STEP 7軟件再次感染目標(biāo)主機(jī)。另一方面，Stuxnet病毒發(fā)動(dòng)攻擊侵入離心機(jī)操控系統(tǒng)后，會(huì)首先記錄正常離心機(jī)的正常運(yùn)轉(zhuǎn)數(shù)據(jù)，攻擊成功后，離心機(jī)運(yùn)轉(zhuǎn)速度失控，但監(jiān)控系統(tǒng)收到的卻是Stuxnet病毒發(fā)送的“正常數(shù)據(jù)”，令運(yùn)行人員無(wú)法及時(shí)察覺(jué)，從而可最大限度達(dá)到破壞效果。

通過(guò)自動(dòng)隱藏與智能攻擊手段Stuxnet完成了其既定的設(shè)計(jì)目標(biāo)，據(jù)紐約時(shí)報(bào)報(bào)道整個(gè)病毒對(duì)伊朗核工業(yè)的襲擊長(zhǎng)達(dá)17個(gè)月。

三、Stuxnet病毒攻擊暴露的工業(yè)控制系統(tǒng)防護(hù)的共性漏洞

（一）操作系統(tǒng)及工業(yè)基礎(chǔ)設(shè)備提供商基本為美日歐壟斷

本次襲擊Stuxnet利用了微軟的零日漏洞，并使用了2個(gè)數(shù)字簽名成功實(shí)施了襲擊，在微軟提供新的補(bǔ)丁下載前，所有的暴露在互聯(lián)網(wǎng)上的電腦均有可能受到病毒威脅。是否Linux系統(tǒng)就能逃避病毒干擾呢？答案也是否定的。2010年12月14日，在OpenBSD的官方網(wǎng)站上OpenBSD的創(chuàng)始人希歐·德若特稱(chēng)OpenBSD網(wǎng)絡(luò)數(shù)據(jù)安全加密協(xié)議可能早在10年前就為美國(guó)聯(lián)邦調(diào)查局（FBI）預(yù)留了“后門(mén)”。

Stuxnet的成功襲擊與INL和西門(mén)子針對(duì)PCS7的弱點(diǎn)測(cè)試以及西門(mén)子組態(tài)軟件核心不開(kāi)放有關(guān)，工程技術(shù)人員無(wú)法在PLC程序檢查時(shí)發(fā)現(xiàn)惡意代碼。

因此開(kāi)發(fā)國(guó)產(chǎn)操作系統(tǒng)并針對(duì)性在特種行業(yè)內(nèi)使用以及提高工業(yè)基礎(chǔ)設(shè)備的國(guó)產(chǎn)化率是非常有必要的，是關(guān)系國(guó)計(jì)民生的。

（二）缺乏工業(yè)系統(tǒng)安全防護(hù)相關(guān)經(jīng)驗(yàn)

Stuxnet病毒從何時(shí)開(kāi)始對(duì)納坦茲濃縮鈾工廠(chǎng)襲擊不得而知，但是2009年7月伊朗原子能組織副主席阿里-阿克巴爾·賽義迪的辭職被懷疑與納坦茲鈾濃縮工作頻發(fā)故障無(wú)法達(dá)到IR - 1型離心機(jī)正常生產(chǎn)率有關(guān)?？梢约僭O(shè)攻擊是從2009年7月以前就已經(jīng)開(kāi)始，直到2010年白俄羅斯安全公司截獲Stuxnet病毒并公布出來(lái)為止。近一年的時(shí)間里鈾濃縮工廠(chǎng)與核電廠(chǎng)的工作人員未能從設(shè)備的頻發(fā)的缺陷中發(fā)現(xiàn)被攻擊跡象，而只是將其視為設(shè)備質(zhì)量問(wèn)題，表明了工業(yè)控制系統(tǒng)運(yùn)維人員對(duì)網(wǎng)絡(luò)安全防護(hù)知識(shí)的缺乏。

（三）工業(yè)控制系統(tǒng)信息安全防護(hù)不為企業(yè)所重視

雖然在2009年北美電力可靠性委員會(huì)NERC早就制定了關(guān)鍵基礎(chǔ)設(shè)施保護(hù)（CIP）的標(biāo)準(zhǔn)，但NERC的副總裁兼首席安全官在一封信件指出，截至到2009年4月，70%的美國(guó)發(fā)電廠(chǎng)并不認(rèn)為網(wǎng)絡(luò)安全屬于關(guān)鍵部分，幾乎30%的輸電公司也不認(rèn)為它屬于關(guān)鍵部分。這導(dǎo)致所有的分配系統(tǒng)，盡管屬于智能電網(wǎng)的核心，卻因?yàn)榉峙涞脑虮籒ERC CIPs明確排除，而不能成為關(guān)鍵部分。加州電網(wǎng)雖然是美國(guó)智能電網(wǎng)的先行者，但是包括加利福尼亞在內(nèi)，沒(méi)有公共事業(yè)委員會(huì)將網(wǎng)絡(luò)安全標(biāo)準(zhǔn)包括在內(nèi)。

對(duì)應(yīng)于國(guó)內(nèi)的計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)，很多電廠(chǎng)也未將DCS或水電廠(chǎng)計(jì)算機(jī)監(jiān)控系統(tǒng)納入定級(jí)保護(hù)范圍，即使納入對(duì)其的定級(jí)也往往不夠準(zhǔn)確。而且由于工業(yè)控制系統(tǒng)一般為內(nèi)網(wǎng)物理隔離以及工業(yè)控制系統(tǒng)的特殊性，電廠(chǎng)也很少對(duì)其進(jìn)行安全性測(cè)試。