發(fā)電廠電力信息安全綜合防護探討

一、引言

Stuxnet作為全球第一款投入使用的武器級軟件型電腦病毒，其對伊朗核工業(yè)體系的攻擊導致了納坦茲鈾濃縮基地以及布舍爾核電站大量電腦中毒，納坦茲鈾濃縮基地約1/5的離心機癱瘓。造成伊朗核工業(yè)體系至少2年的倒退，迫使伊朗必須花費巨額外匯重新購進大批離心機，對其電力生產(chǎn)、國防建設(shè)與國防安全造成了極大影響。

近十年來我國電力系統(tǒng)信息化取得了長足的進步，各種信息設(shè)備也廣泛運用于生產(chǎn)控制系統(tǒng)的數(shù)據(jù)采集與生產(chǎn)控制中。信息設(shè)備極大減輕了生產(chǎn)人員工作量并提高了電網(wǎng)工作效率，但是由于工業(yè)控制系統(tǒng)在最初設(shè)計時往往未考慮網(wǎng)絡安全問題，某些關(guān)鍵基礎(chǔ)設(shè)施采取的運營安全措施僅僅是一個權(quán)限密碼而已，而隨著技術(shù)進步各分離系統(tǒng)逐步互聯(lián)，網(wǎng)絡安全問題凸顯。因此分析本次攻擊案例對提高國內(nèi)電力系統(tǒng)安全防護水平，加深信息人員與生產(chǎn)控制系統(tǒng)人員對網(wǎng)絡安防意識有重要的意義。

二、Stuxnet特點介紹

（一）精確打擊，殺傷范圍可控

Stuxnet作為武器級電腦病毒，為達到殺傷范圍可控的目的，它采取了“指紋”驗證機制，感染Stuxnet病毒計算機的相關(guān)信息均被發(fā)送至美國加州的一個服務器，病毒制造者可以精確導引病毒攻擊特定地區(qū)的目標，對于非攻擊范圍的工業(yè)控制系統(tǒng)不會進行攻擊。該病毒還設(shè)有“自殺日”，Stuxnet病毒將在2012年6月24日停止散步。根據(jù)實際的情況反映，病毒雖然擴散至全球范圍但破壞僅限伊朗，基本上達成了其設(shè)計目標。

（二）智能攻擊，難以發(fā)現(xiàn)

Stuxnet B分為兩個攻擊模塊。第一個模塊是攻擊西門子S7-300(315)系統(tǒng)，目標為納坦茲的濃縮鈾工廠。IR - 1型離心機的轉(zhuǎn)管是由高強度鋁合金制造，最大切線速度為440-450米/秒，對應的極限頻率為1410-1432Hz，納坦茲濃縮鈾工廠離心機的額定頻率為1064Hz，當轉(zhuǎn)子的頻率提高到1410Hz時，轉(zhuǎn)管可能斷裂導致離心機損壞。Stuxnet病毒調(diào)節(jié)編碼作用于Fararo帕亞與芬蘭公司的Vacon兩個特定制造商的變頻器，當病毒監(jiān)測到變頻器工作在807Hz至1210Hz的頻率時才進行操縱。首先保持1064Hz的工作頻率，在15分鐘后提高到1410Hz，在離心機運行了27天后突然將頻率降低至2Hz。通過這種讓離心機超速轉(zhuǎn)動然后急劇停止的方法來使軸承等機械部件快速磨損，導致設(shè)備需要不斷更新和維修。為達到長期破壞伊朗鈾濃縮活動，Stuxnet并未采用超過極限頻率的方式破壞離心機，以防止被提前發(fā)現(xiàn)。

第二個模塊是攻擊西門子的S7-400(417)系統(tǒng)，目標是布什爾核電廠汽輪機控制。它采用了中間人攻擊（MITM）的方式，可以強制PLC進行錯誤的輸入輸出，其代碼比針對S7-315系統(tǒng)的代碼更精妙。根據(jù)研究人員分析，沒有被激活的Stuxnet代碼仍然定期更新過程映射，但是Stuxne代碼可以傳遞原來通過物理映射輸入的初始值，也可以不傳遞，這會使汽輪機的控制受到干擾，極端情況下會導致渦輪遭到破壞或使運行人員做出錯誤操作。

（三）自動隱藏，生存力高

Stuxnet病毒的活動非常隱蔽，代碼精妙，具備極強的自我保護能力。Stuxnet病毒使用U盤以及Windows零日漏洞傳播，進入系統(tǒng)后使用Rootkit把自己隱藏起來，在潛入PLC之前能偽裝成系統(tǒng)文件，其具有掛入編程軟件把自己裝入PLC的能力，當程序員檢查PLC的代碼時也看不見這個病毒。而通過向西門子工業(yè)編程軟件STEP 7中注入惡意DLL（動態(tài)鏈接庫），實現(xiàn)了即便清除Stuxnet仍可通過啟動STEP 7軟件再次感染目標主機。另一方面，Stuxnet病毒發(fā)動攻擊侵入離心機操控系統(tǒng)后，會首先記錄正常離心機的正常運轉(zhuǎn)數(shù)據(jù)，攻擊成功后，離心機運轉(zhuǎn)速度失控，但監(jiān)控系統(tǒng)收到的卻是Stuxnet病毒發(fā)送的“正常數(shù)據(jù)”，令運行人員無法及時察覺，從而可最大限度達到破壞效果。

通過自動隱藏與智能攻擊手段Stuxnet完成了其既定的設(shè)計目標，據(jù)紐約時報報道整個病毒對伊朗核工業(yè)的襲擊長達17個月。

三、Stuxnet病毒攻擊暴露的工業(yè)控制系統(tǒng)防護的共性漏洞

（一）操作系統(tǒng)及工業(yè)基礎(chǔ)設(shè)備提供商基本為美日歐壟斷

本次襲擊Stuxnet利用了微軟的零日漏洞，并使用了2個數(shù)字簽名成功實施了襲擊，在微軟提供新的補丁下載前，所有的暴露在互聯(lián)網(wǎng)上的電腦均有可能受到病毒威脅。是否Linux系統(tǒng)就能逃避病毒干擾呢？答案也是否定的。2010年12月14日，在OpenBSD的官方網(wǎng)站上OpenBSD的創(chuàng)始人希歐·德若特稱OpenBSD網(wǎng)絡數(shù)據(jù)安全加密協(xié)議可能早在10年前就為美國聯(lián)邦調(diào)查局（FBI）預留了“后門”。

Stuxnet的成功襲擊與INL和西門子針對PCS7的弱點測試以及西門子組態(tài)軟件核心不開放有關(guān)，工程技術(shù)人員無法在PLC程序檢查時發(fā)現(xiàn)惡意代碼。

因此開發(fā)國產(chǎn)操作系統(tǒng)并針對性在特種行業(yè)內(nèi)使用以及提高工業(yè)基礎(chǔ)設(shè)備的國產(chǎn)化率是非常有必要的，是關(guān)系國計民生的。

（二）缺乏工業(yè)系統(tǒng)安全防護相關(guān)經(jīng)驗

Stuxnet病毒從何時開始對納坦茲濃縮鈾工廠襲擊不得而知，但是2009年7月伊朗原子能組織副主席阿里-阿克巴爾·賽義迪的辭職被懷疑與納坦茲鈾濃縮工作頻發(fā)故障無法達到IR - 1型離心機正常生產(chǎn)率有關(guān)?？梢约僭O(shè)攻擊是從2009年7月以前就已經(jīng)開始，直到2010年白俄羅斯安全公司截獲Stuxnet病毒并公布出來為止。近一年的時間里鈾濃縮工廠與核電廠的工作人員未能從設(shè)備的頻發(fā)的缺陷中發(fā)現(xiàn)被攻擊跡象，而只是將其視為設(shè)備質(zhì)量問題，表明了工業(yè)控制系統(tǒng)運維人員對網(wǎng)絡安全防護知識的缺乏。

（三）工業(yè)控制系統(tǒng)信息安全防護不為企業(yè)所重視

雖然在2009年北美電力可靠性委員會NERC早就制定了關(guān)鍵基礎(chǔ)設(shè)施保護（CIP）的標準，但NERC的副總裁兼首席安全官在一封信件指出，截至到2009年4月，70%的美國發(fā)電廠并不認為網(wǎng)絡安全屬于關(guān)鍵部分，幾乎30%的輸電公司也不認為它屬于關(guān)鍵部分。這導致所有的分配系統(tǒng)，盡管屬于智能電網(wǎng)的核心，卻因為分配的原因被NERC CIPs明確排除，而不能成為關(guān)鍵部分。加州電網(wǎng)雖然是美國智能電網(wǎng)的先行者，但是包括加利福尼亞在內(nèi)，沒有公共事業(yè)委員會將網(wǎng)絡安全標準包括在內(nèi)。

對應于國內(nèi)的計算機信息系統(tǒng)安全等級保護，很多電廠也未將DCS或水電廠計算機監(jiān)控系統(tǒng)納入定級保護范圍，即使納入對其的定級也往往不夠準確。而且由于工業(yè)控制系統(tǒng)一般為內(nèi)網(wǎng)物理隔離以及工業(yè)控制系統(tǒng)的特殊性，電廠也很少對其進行安全性測試。