一、导言
Stuxnet作为全球第一款投入运用的兵器级软件型电脑病毒,其对伊朗核工业体系的进犯导致了纳坦兹铀浓缩基地以及布舍尔核电站许多电脑中毒,纳坦兹铀浓缩基地约1/5的离心机瘫痪。形成伊朗核工业体系至少2年的后退,迫使伊朗有必要花费巨额外汇从头购进大批离心机,对其电力出产、国防建设与国防安全形成了极大影响。
近十年来我国电力体系信息化取得了长足的前进,各种信息设备也广泛运用于出产控制体系的数据收集与出产控制中。信息设备极大减轻了出产人员作业量并进步了电网作业效率,可是因为工业控制体系在开端规划时往往未考虑网络安全问题,某些要害基础设施采纳的运营安全措施仅仅是一个权限暗码罢了,而跟着技术前进各别离体系逐渐互联,网络安全问题凸显。因而剖析本次进犯事例对进步国内电力体系安全防护水平,加深信息人员与出产控制体系人员对网络安防认识有重要的含义。
二、Stuxnet特色介绍
(一)精确冲击,杀伤规模可控
Stuxnet作为兵器级电脑病毒,为到达杀伤规模可控的意图,它采纳了“指纹”验证机制,感染Stuxnet病毒计算机的相关信息均被发送至美国加州的一个服务器,病毒制作者能够精确扶引病毒进犯特定区域的方针,关于非进犯规模的工业控制体系不会进行进犯。该病毒还设有“自杀日”,Stuxnet病毒将在2012年6月24日中止漫步。依据实践的情况反映,病毒虽然分散至全球规模但损坏仅限伊朗,根本上达成了其规划方针。
(二)智能进犯,难以发现
Stuxnet B分为两个进犯模块。第一个模块是进犯西门子S7-300(315)体系,方针为纳坦兹的浓缩铀工厂。IR – 1型离心机的转管是由高强度铝合金制作,最大切线速度为440-450米/秒,对应的极限频率为1410-1432Hz,纳坦兹浓缩铀工厂离心机的额外频率为1064Hz,当转子的频率进步到1410Hz时,转管或许开裂导致离心机损坏。Stuxnet病毒调理编码作用于Fararo帕亚与芬兰公司的Vacon两个特定制作商的变频器,当病毒监测到变频器作业在807Hz至1210Hz的频率时才进行操作。首要坚持1064Hz的作业频率,在15分钟后进步到1410Hz,在离心机作业了27天后忽然将频率下降至2Hz。经过这种让离心机超速滚动然后急剧中止的办法来使轴承等机械部件快速磨损,导致设备需求不断更新和修理。为到达长时间损坏伊朗铀浓缩活动,Stuxnet并未选用超越极限频率的方法损坏离心机,以避免被提早发现。
第二个模块是进犯西门子的S7-400(417)体系,方针是布什尔核电厂汽轮机控制。它选用了中间人进犯(MITM)的方法,能够强制PLC进行过错的输入输出,其代码比针对S7-315体系的代码更精妙。依据研究人员剖析,没有被激活的Stuxnet代码依然定时更新过程映射,可是Stuxne代码能够传递本来经过物理映射输入的初始值,也能够不传递,这会使汽轮机的控制遭到搅扰,极点情况下会导致涡轮遭到损坏或使作业人员做出过错操作。
(三)自动躲藏,生存力高
Stuxnet病毒的活动十分荫蔽,代码精妙,具有极强的自我维护才能。Stuxnet病毒运用U盘以及Windows零日缝隙传达,进入体系后运用Rootkit把自己躲藏起来,在潜入PLC之前能伪装成体系文件,其具有挂入编程软件把自己装入PLC的才能,当程序员查看PLC的代码时也看不见这个病毒。而经过向西门子工业编程软件STEP 7中注入歹意DLL(动态链接库),完成了即便铲除Stuxnet仍可经过发起STEP 7软件再次感染方针主机。另一方面,Stuxnet病毒发起进犯侵入离心机控制体系后,会首要记载正常离心机的正常作业数据,进犯成功后,离心机作业速度失控,但监控体系收到的却是Stuxnet病毒发送的“正常数据”,令作业人员无法及时发觉,然后可最大极限到达损坏作用。
经过自动躲藏与智能进犯手法Stuxnet完成了其既定的规划方针,据纽约时报报导整个病毒对伊朗核工业的突击长达17个月。
三、Stuxnet病毒进犯露出的工业控制体系防护的共性缝隙
(一)操作体系及工业基础设备供给商根本为美日欧独占
本次突击Stuxnet利用了微软的零日缝隙,并运用了2个数字签名成功施行了突击,在微软供给新的补丁下载前,一切的露出在互联网上的电脑均有或许遭到病毒要挟。是否Linux体系就能躲避病毒搅扰呢?答案也是否定的。2010年12月14日,在OpenBSD的官方网站上OpenBSD的创始人希欧·德若特称OpenBSD网络数据安全加密协议或许早在10年前就为美国联邦调查局(FBI)预留了“后门”。
Stuxnet的成功突击与INL和西门子针对PCS7的缺点测验以及西门子组态软件中心不开放有关,工程技术人员无法在PLC程序查看时发现歹意代码。
因而开发国产操作体系并针对性在特种行业内运用以及进步工业基础设备的国产化率是十分有必要的,是联系国计民生的。
(二)缺少工业体系安全防护相关经历
Stuxnet病毒从何时开端对纳坦兹浓缩铀工厂突击不得而知,可是2009年7月伊朗原子能安排副主席阿里-阿克巴尔·赛义迪的辞去职务被置疑与纳坦兹铀浓缩作业频发毛病无法到达IR – 1型离心机正常出产率有关。能够假定进犯是从2009年7月曾经就现已开端,直到2010年白俄罗斯安全公司截获Stuxnet病毒并公布出来停止。近一年的时间里铀浓缩工厂与核电厂的作业人员未能从设备的频发的缺点中发现被进犯痕迹,而仅仅将其视为设备质量问题,表明晰工业控制体系运维人员对网络安全防护常识的缺少。
(三)工业控制体系信息安全防护不为企业所注重
虽然在2009年北美电力可靠性委员会NERC早就拟定了要害基础设施维护(CIP)的规范,但NERC的副总裁兼首席安全官在一封函件指出,到到2009年4月,70%的美国发电厂并不认为网络安全归于要害部分,简直30%的输电公司也不认为它归于要害部分。这导致一切的分配体系,虽然归于智能电网的中心,却因为分配的原因被NERC CIPs清晰扫除,而不能成为要害部分。加州电网虽然是美国智能电网的先行者,可是包含加利福尼亚在内,没有公共事业委员会将网络安全规范包含在内。
对应于国内的计算机信息体系安全等级维护,许多电厂也未将DCS或水电厂计算机监控体系归入定级维护规模,即便归入对其的定级也往往不行精确。并且因为工业控制体系一般为内网物理阻隔以及工业控制体系的特殊性,电厂也很少对其进行安全性测验。
