发电厂电力信息安全综合防护探讨

一、引言

Stuxnet作为全球第一款投入使用的武器级软件型电脑病毒，其对伊朗核工业体系的攻击导致了纳坦兹铀浓缩基地以及布舍尔核电站大量电脑中毒，纳坦兹铀浓缩基地约1/5的离心机瘫痪。造成伊朗核工业体系至少2年的倒退，迫使伊朗必须花费巨额外汇重新购进大批离心机，对其电力生产、国防建设与国防安全造成了极大影响。

近十年来我国电力系统信息化取得了长足的进步，各种信息设备也广泛运用于生产控制系统的数据采集与生产控制中。信息设备极大减轻了生产人员工作量并提高了电网工作效率，但是由于工业控制系统在最初设计时往往未考虑网络安全问题，某些关键基础设施采取的运营安全措施仅仅是一个权限密码而已，而随着技术进步各分离系统逐步互联，网络安全问题凸显。因此分析本次攻击案例对提高国内电力系统安全防护水平，加深信息人员与生产控制系统人员对网络安防意识有重要的意义。

二、Stuxnet特点介绍

（一）精确打击，杀伤范围可控

Stuxnet作为武器级电脑病毒，为达到杀伤范围可控的目的，它采取了“指纹”验证机制，感染Stuxnet病毒计算机的相关信息均被发送至美国加州的一个服务器，病毒制造者可以精确导引病毒攻击特定地区的目标，对于非攻击范围的工业控制系统不会进行攻击。该病毒还设有“自杀日”，Stuxnet病毒将在2012年6月24日停止散步。根据实际的情况反映，病毒虽然扩散至全球范围但破坏仅限伊朗，基本上达成了其设计目标。

（二）智能攻击，难以发现

Stuxnet B分为两个攻击模块。第一个模块是攻击西门子S7-300(315)系统，目标为纳坦兹的浓缩铀工厂。IR - 1型离心机的转管是由高强度铝合金制造，最大切线速度为440-450米/秒，对应的极限频率为1410-1432Hz，纳坦兹浓缩铀工厂离心机的额定频率为1064Hz，当转子的频率提高到1410Hz时，转管可能断裂导致离心机损坏。Stuxnet病毒调节编码作用于Fararo帕亚与芬兰公司的Vacon两个特定制造商的变频器，当病毒监测到变频器工作在807Hz至1210Hz的频率时才进行操纵。首先保持1064Hz的工作频率，在15分钟后提高到1410Hz，在离心机运行了27天后突然将频率降低至2Hz。通过这种让离心机超速转动然后急剧停止的方法来使轴承等机械部件快速磨损，导致设备需要不断更新和维修。为达到长期破坏伊朗铀浓缩活动，Stuxnet并未采用超过极限频率的方式破坏离心机，以防止被提前发现。

第二个模块是攻击西门子的S7-400(417)系统，目标是布什尔核电厂汽轮机控制。它采用了中间人攻击（MITM）的方式，可以强制PLC进行错误的输入输出，其代码比针对S7-315系统的代码更精妙。根据研究人员分析，没有被激活的Stuxnet代码仍然定期更新过程映射，但是Stuxne代码可以传递原来通过物理映射输入的初始值，也可以不传递，这会使汽轮机的控制受到干扰，极端情况下会导致涡轮遭到破坏或使运行人员做出错误操作。

（三）自动隐藏，生存力高

Stuxnet病毒的活动非常隐蔽，代码精妙，具备极强的自我保护能力。Stuxnet病毒使用U盘以及Windows零日漏洞传播，进入系统后使用Rootkit把自己隐藏起来，在潜入PLC之前能伪装成系统文件，其具有挂入编程软件把自己装入PLC的能力，当程序员检查PLC的代码时也看不见这个病毒。而通过向西门子工业编程软件STEP 7中注入恶意DLL（动态链接库），实现了即便清除Stuxnet仍可通过启动STEP 7软件再次感染目标主机。另一方面，Stuxnet病毒发动攻击侵入离心机操控系统后，会首先记录正常离心机的正常运转数据，攻击成功后，离心机运转速度失控，但监控系统收到的却是Stuxnet病毒发送的“正常数据”，令运行人员无法及时察觉，从而可最大限度达到破坏效果。

通过自动隐藏与智能攻击手段Stuxnet完成了其既定的设计目标，据纽约时报报道整个病毒对伊朗核工业的袭击长达17个月。

三、Stuxnet病毒攻击暴露的工业控制系统防护的共性漏洞

（一）操作系统及工业基础设备提供商基本为美日欧垄断

本次袭击Stuxnet利用了微软的零日漏洞，并使用了2个数字签名成功实施了袭击，在微软提供新的补丁下载前，所有的暴露在互联网上的电脑均有可能受到病毒威胁。是否Linux系统就能逃避病毒干扰呢？答案也是否定的。2010年12月14日，在OpenBSD的官方网站上OpenBSD的创始人希欧·德若特称OpenBSD网络数据安全加密协议可能早在10年前就为美国联邦调查局（FBI）预留了“后门”。

Stuxnet的成功袭击与INL和西门子针对PCS7的弱点测试以及西门子组态软件核心不开放有关，工程技术人员无