发电厂电力信息安全综合防护探讨

一、引言

Stuxnet作为全球第一款投入使用的武器级软件型电脑病毒，其对伊朗核工业体系的攻击导致了纳坦兹铀浓缩基地以及布舍尔核电站大量电脑中毒，纳坦兹铀浓缩基地约1/5的离心机瘫痪。造成伊朗核工业体系至少2年的倒退，迫使伊朗必须花费巨额外汇重新购进大批离心机，对其电力生产、国防建设与国防安全造成了极大影响。

近十年来我国电力系统信息化取得了长足的进步，各种信息设备也广泛运用于生产控制系统的数据采集与生产控制中。信息设备极大减轻了生产人员工作量并提高了电网工作效率，但是由于工业控制系统在最初设计时往往未考虑网络安全问题，某些关键基础设施采取的运营安全措施仅仅是一个权限密码而已，而随着技术进步各分离系统逐步互联，网络安全问题凸显。因此分析本次攻击案例对提高国内电力系统安全防护水平，加深信息人员与生产控制系统人员对网络安防意识有重要的意义。

二、Stuxnet特点介绍

（一）精确打击，杀伤范围可控

Stuxnet作为武器级电脑病毒，为达到杀伤范围可控的目的，它采取了“指纹”验证机制，感染Stuxnet病毒计算机的相关信息均被发送至美国加州的一个服务器，病毒制造者可以精确导引病毒攻击特定地区的目标，对于非攻击范围的工业控制系统不会进行攻击。该病毒还设有“自杀日”，Stuxnet病毒将在2012年6月24日停止散步。根据实际的情况反映，病毒虽然扩散至全球范围但破坏仅限伊朗，基本上达成了其设计目标。

（二）智能攻击，难以发现

Stuxnet B分为两个攻击模块。第一个模块是攻击西门子S7-300(315)系统，目标为纳坦兹的浓缩铀工厂。IR - 1型离心机的转管是由高强度铝合金制造，最大切线速度为440-450米/秒，对应的极限频率为1410-1432Hz，纳坦兹浓缩铀工厂离心机的额定频率为1064Hz，当转子的频率提高到1410Hz时，转管可能断裂导致离心机损坏。Stuxnet病毒调节编码作用于Fararo帕亚与芬兰公司的Vacon两个特定制造商的变频器，当病毒监测到变频器工作在807Hz至1210Hz的频率时才进行操纵。首先保持1064Hz的工作频率，在15分钟后提高到1410Hz，在离心机运行了27天后突然将频率降低至2Hz。通过这种让离心机超速转动然后急剧停止的方法来使轴承等机械部件快速磨损，导致设备需要不断更新和维修。为达到长期破坏伊朗铀浓缩活动，Stuxnet并未采用超过极限频率的方式破坏离心机，以防止被提前发现。

第二个模块是攻击西门子的S7-400(417)系统，目标是布什尔核电厂汽轮机控制。它采用了中间人攻击（MITM）的方式，可以强制PLC进行错误的输入输出，其代码比针对S7-315系统的代码更精妙。根据研究人员分析，没有被激活的Stuxnet代码仍然定期更新过程映射，但是Stuxne代码可以传递原来通过物理映射输入的初始值，也可以不传递，这会使汽轮机的控制受到干扰，极端情况下会导致涡轮遭到破坏或使运行人员做出错误操作。

（三）自动隐藏，生存力高

Stuxnet病毒的活动非常隐蔽，代码精妙，具备极强的自我保护能力。Stuxnet病毒使用U盘以及Windows零日漏洞传播，进入系统后使用Rootkit把自己隐藏起来，在潜入PLC之前能伪装成系统文件，其具有挂入编程软件把自己装入PLC的能力，当程序员检查PLC的代码时也看不见这个病毒。而通过向西门子工业编程软件STEP 7中注入恶意DLL（动态链接库），实现了即便清除Stuxnet仍可通过启动STEP 7软件再次感染目标主机。另一方面，Stuxnet病毒发动攻击侵入离心机操控系统后，会首先记录正常离心机的正常运转数据，攻击成功后，离心机运转速度失控，但监控系统收到的却是Stuxnet病毒发送的“正常数据”，令运行人员无法及时察觉，从而可最大限度达到破坏效果。

通过自动隐藏与智能攻击手段Stuxnet完成了其既定的设计目标，据纽约时报报道整个病毒对伊朗核工业的袭击长达17个月。

三、Stuxnet病毒攻击暴露的工业控制系统防护的共性漏洞

（一）操作系统及工业基础设备提供商基本为美日欧垄断

本次袭击Stuxnet利用了微软的零日漏洞，并使用了2个数字签名成功实施了袭击，在微软提供新的补丁下载前，所有的暴露在互联网上的电脑均有可能受到病毒威胁。是否Linux系统就能逃避病毒干扰呢？答案也是否定的。2010年12月14日，在OpenBSD的官方网站上OpenBSD的创始人希欧·德若特称OpenBSD网络数据安全加密协议可能早在10年前就为美国联邦调查局（FBI）预留了“后门”。

Stuxnet的成功袭击与INL和西门子针对PCS7的弱点测试以及西门子组态软件核心不开放有关，工程技术人员无法在PLC程序检查时发现恶意代码。

因此开发国产操作系统并针对性在特种行业内使用以及提高工业基础设备的国产化率是非常有必要的，是关系国计民生的。

（二）缺乏工业系统安全防护相关经验

Stuxnet病毒从何时开始对纳坦兹浓缩铀工厂袭击不得而知，但是2009年7月伊朗原子能组织副主席阿里-阿克巴尔·赛义迪的辞职被怀疑与纳坦兹铀浓缩工作频发故障无法达到IR - 1型离心机正常生产率有关。可以假设攻击是从2009年7月以前就已经开始，直到2010年白俄罗斯安全公司截获Stuxnet病毒并公布出来为止。近一年的时间里铀浓缩工厂与核电厂的工作人员未能从设备的频发的缺陷中发现被攻击迹象，而只是将其视为设备质量问题，表明了工业控制系统运维人员对网络安全防护知识的缺乏。

（三）工业控制系统信息安全防护不为企业所重视

虽然在2009年北美电力可靠性委员会NERC早就制定了关键基础设施保护（CIP）的标准，但NERC的副总裁兼首席安全官在一封信件指出，截至到2009年4月，70%的美国发电厂并不认为网络安全属于关键部分，几乎30%的输电公司也不认为它属于关键部分。这导致所有的分配系统，尽管属于智能电网的核心，却因为分配的原因被NERC CIPs明确排除，而不能成为关键部分。加州电网虽然是美国智能电网的先行者，但是包括加利福尼亚在内，没有公共事业委员会将网络安全标准包括在内。

对应于国内的计算机信息系统安全等级保护，很多电厂也未将DCS或水电厂计算机监控系统纳入定级保护范围，即使纳入对其的定级也往往不够准确。而且由于工业控制系统一般为内网物理隔离以及工业控制系统的特殊性，电厂也很少对其进行安全性测试。