發(fā)電廠電力信息安全綜合防護(hù)探討
一、引言
本文引用地址:http://m.butianyuan.cn/article/201612/332316.htmStuxnet作為全球第一款投入使用的武器級(jí)軟件型電腦病毒,其對(duì)伊朗核工業(yè)體系的攻擊導(dǎo)致了納坦茲鈾濃縮基地以及布舍爾核電站大量電腦中毒,納坦茲鈾濃縮基地約1/5的離心機(jī)癱瘓。造成伊朗核工業(yè)體系至少2年的倒退,迫使伊朗必須花費(fèi)巨額外匯重新購(gòu)進(jìn)大批離心機(jī),對(duì)其電力生產(chǎn)、國(guó)防建設(shè)與國(guó)防安全造成了極大影響。
近十年來(lái)我國(guó)電力系統(tǒng)信息化取得了長(zhǎng)足的進(jìn)步,各種信息設(shè)備也廣泛運(yùn)用于生產(chǎn)控制系統(tǒng)的數(shù)據(jù)采集與生產(chǎn)控制中。信息設(shè)備極大減輕了生產(chǎn)人員工作量并提高了電網(wǎng)工作效率,但是由于工業(yè)控制系統(tǒng)在最初設(shè)計(jì)時(shí)往往未考慮網(wǎng)絡(luò)安全問(wèn)題,某些關(guān)鍵基礎(chǔ)設(shè)施采取的運(yùn)營(yíng)安全措施僅僅是一個(gè)權(quán)限密碼而已,而隨著技術(shù)進(jìn)步各分離系統(tǒng)逐步互聯(lián),網(wǎng)絡(luò)安全問(wèn)題凸顯。因此分析本次攻擊案例對(duì)提高國(guó)內(nèi)電力系統(tǒng)安全防護(hù)水平,加深信息人員與生產(chǎn)控制系統(tǒng)人員對(duì)網(wǎng)絡(luò)安防意識(shí)有重要的意義。
二、Stuxnet特點(diǎn)介紹
(一)精確打擊,殺傷范圍可控
Stuxnet作為武器級(jí)電腦病毒,為達(dá)到殺傷范圍可控的目的,它采取了“指紋”驗(yàn)證機(jī)制,感染Stuxnet病毒計(jì)算機(jī)的相關(guān)信息均被發(fā)送至美國(guó)加州的一個(gè)服務(wù)器,病毒制造者可以精確導(dǎo)引病毒攻擊特定地區(qū)的目標(biāo),對(duì)于非攻擊范圍的工業(yè)控制系統(tǒng)不會(huì)進(jìn)行攻擊。該病毒還設(shè)有“自殺日”,Stuxnet病毒將在2012年6月24日停止散步。根據(jù)實(shí)際的情況反映,病毒雖然擴(kuò)散至全球范圍但破壞僅限伊朗,基本上達(dá)成了其設(shè)計(jì)目標(biāo)。
(二)智能攻擊,難以發(fā)現(xiàn)
Stuxnet B分為兩個(gè)攻擊模塊。第一個(gè)模塊是攻擊西門子S7-300(315)系統(tǒng),目標(biāo)為納坦茲的濃縮鈾工廠。IR - 1型離心機(jī)的轉(zhuǎn)管是由高強(qiáng)度鋁合金制造,最大切線速度為440-450米/秒,對(duì)應(yīng)的極限頻率為1410-1432Hz,納坦茲濃縮鈾工廠離心機(jī)的額定頻率為1064Hz,當(dāng)轉(zhuǎn)子的頻率提高到1410Hz時(shí),轉(zhuǎn)管可能斷裂導(dǎo)致離心機(jī)損壞。Stuxnet病毒調(diào)節(jié)編碼作用于Fararo帕亞與芬蘭公司的Vacon兩個(gè)特定制造商的變頻器,當(dāng)病毒監(jiān)測(cè)到變頻器工作在807Hz至1210Hz的頻率時(shí)才進(jìn)行操縱。首先保持1064Hz的工作頻率,在15分鐘后提高到1410Hz,在離心機(jī)運(yùn)行了27天后突然將頻率降低至2Hz。通過(guò)這種讓離心機(jī)超速轉(zhuǎn)動(dòng)然后急劇停止的方法來(lái)使軸承等機(jī)械部件快速磨損,導(dǎo)致設(shè)備需要不斷更新和維修。為達(dá)到長(zhǎng)期破壞伊朗鈾濃縮活動(dòng),Stuxnet并未采用超過(guò)極限頻率的方式破壞離心機(jī),以防止被提前發(fā)現(xiàn)。
第二個(gè)模塊是攻擊西門子的S7-400(417)系統(tǒng),目標(biāo)是布什爾核電廠汽輪機(jī)控制。它采用了中間人攻擊(MITM)的方式,可以強(qiáng)制PLC進(jìn)行錯(cuò)誤的輸入輸出,其代碼比針對(duì)S7-315系統(tǒng)的代碼更精妙。根據(jù)研究人員分析,沒(méi)有被激活的Stuxnet代碼仍然定期更新過(guò)程映射,但是Stuxne代碼可以傳遞原來(lái)通過(guò)物理映射輸入的初始值,也可以不傳遞,這會(huì)使汽輪機(jī)的控制受到干擾,極端情況下會(huì)導(dǎo)致渦輪遭到破壞或使運(yùn)行人員做出錯(cuò)誤操作。
(三)自動(dòng)隱藏,生存力高
Stuxnet病毒的活動(dòng)非常隱蔽,代碼精妙,具備極強(qiáng)的自我保護(hù)能力。Stuxnet病毒使用U盤以及Windows零日漏洞傳播,進(jìn)入系統(tǒng)后使用Rootkit把自己隱藏起來(lái),在潛入PLC之前能偽裝成系統(tǒng)文件,其具有掛入編程軟件把自己裝入PLC的能力,當(dāng)程序員檢查PLC的代碼時(shí)也看不見這個(gè)病毒。而通過(guò)向西門子工業(yè)編程軟件STEP 7中注入惡意DLL(動(dòng)態(tài)鏈接庫(kù)),實(shí)現(xiàn)了即便清除Stuxnet仍可通過(guò)啟動(dòng)STEP 7軟件再次感染目標(biāo)主機(jī)。另一方面,Stuxnet病毒發(fā)動(dòng)攻擊侵入離心機(jī)操控系統(tǒng)后,會(huì)首先記錄正常離心機(jī)的正常運(yùn)轉(zhuǎn)數(shù)據(jù),攻擊成功后,離心機(jī)運(yùn)轉(zhuǎn)速度失控,但監(jiān)控系統(tǒng)收到的卻是Stuxnet病毒發(fā)送的“正常數(shù)據(jù)”,令運(yùn)行人員無(wú)法及時(shí)察覺(jué),從而可最大限度達(dá)到破壞效果。
通過(guò)自動(dòng)隱藏與智能攻擊手段Stuxnet完成了其既定的設(shè)計(jì)目標(biāo),據(jù)紐約時(shí)報(bào)報(bào)道整個(gè)病毒對(duì)伊朗核工業(yè)的襲擊長(zhǎng)達(dá)17個(gè)月。
三、Stuxnet病毒攻擊暴露的工業(yè)控制系統(tǒng)防護(hù)的共性漏洞
(一)操作系統(tǒng)及工業(yè)基礎(chǔ)設(shè)備提供商基本為美日歐壟斷
本次襲擊Stuxnet利用了微軟的零日漏洞,并使用了2個(gè)數(shù)字簽名成功實(shí)施了襲擊,在微軟提供新的補(bǔ)丁下載前,所有的暴露在互聯(lián)網(wǎng)上的電腦均有可能受到病毒威脅。是否Linux系統(tǒng)就能逃避病毒干擾呢?答案也是否定的。2010年12月14日,在OpenBSD的官方網(wǎng)站上OpenBSD的創(chuàng)始人希歐·德若特稱OpenBSD網(wǎng)絡(luò)數(shù)據(jù)安全加密協(xié)議可能早在10年前就為美國(guó)聯(lián)邦調(diào)查局(FBI)預(yù)留了“后門”。
Stuxnet的成功襲擊與INL和西門子針對(duì)PCS7的弱點(diǎn)測(cè)試以及西門子組態(tài)軟件核心不開放有關(guān),工程技術(shù)人員無(wú)法在PLC程序檢查時(shí)發(fā)現(xiàn)惡意代碼。
因此開發(fā)國(guó)產(chǎn)操作系統(tǒng)并針對(duì)性在特種行業(yè)內(nèi)使用以及提高工業(yè)基礎(chǔ)設(shè)備的國(guó)產(chǎn)化率是非常有必要的,是關(guān)系國(guó)計(jì)民生的。
(二)缺乏工業(yè)系統(tǒng)安全防護(hù)相關(guān)經(jīng)驗(yàn)
Stuxnet病毒從何時(shí)開始對(duì)納坦茲濃縮鈾工廠襲擊不得而知,但是2009年7月伊朗原子能組織副主席阿里-阿克巴爾·賽義迪的辭職被懷疑與納坦茲鈾濃縮工作頻發(fā)故障無(wú)法達(dá)到IR - 1型離心機(jī)正常生產(chǎn)率有關(guān)??梢约僭O(shè)攻擊是從2009年7月以前就已經(jīng)開始,直到2010年白俄羅斯安全公司截獲Stuxnet病毒并公布出來(lái)為止。近一年的時(shí)間里鈾濃縮工廠與核電廠的工作人員未能從設(shè)備的頻發(fā)的缺陷中發(fā)現(xiàn)被攻擊跡象,而只是將其視為設(shè)備質(zhì)量問(wèn)題,表明了工業(yè)控制系統(tǒng)運(yùn)維人員對(duì)網(wǎng)絡(luò)安全防護(hù)知識(shí)的缺乏。
(三)工業(yè)控制系統(tǒng)信息安全防護(hù)不為企業(yè)所重視
雖然在2009年北美電力可靠性委員會(huì)NERC早就制定了關(guān)鍵基礎(chǔ)設(shè)施保護(hù)(CIP)的標(biāo)準(zhǔn),但NERC的副總裁兼首席安全官在一封信件指出,截至到2009年4月,70%的美國(guó)發(fā)電廠并不認(rèn)為網(wǎng)絡(luò)安全屬于關(guān)鍵部分,幾乎30%的輸電公司也不認(rèn)為它屬于關(guān)鍵部分。這導(dǎo)致所有的分配系統(tǒng),盡管屬于智能電網(wǎng)的核心,卻因?yàn)榉峙涞脑虮籒ERC CIPs明確排除,而不能成為關(guān)鍵部分。加州電網(wǎng)雖然是美國(guó)智能電網(wǎng)的先行者,但是包括加利福尼亞在內(nèi),沒(méi)有公共事業(yè)委員會(huì)將網(wǎng)絡(luò)安全標(biāo)準(zhǔn)包括在內(nèi)。
對(duì)應(yīng)于國(guó)內(nèi)的計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù),很多電廠也未將DCS或水電廠計(jì)算機(jī)監(jiān)控系統(tǒng)納入定級(jí)保護(hù)范圍,即使納入對(duì)其的定級(jí)也往往不夠準(zhǔn)確。而且由于工業(yè)控制系統(tǒng)一般為內(nèi)網(wǎng)物理隔離以及工業(yè)控制系統(tǒng)的特殊性,電廠也很少對(duì)其進(jìn)行安全性測(cè)試。
評(píng)論