一、引言

    Stuxnet作为全球第一款投入使用的武器级软件型电脑病毒，其对伊朗核工业体系的攻击导致了纳坦兹铀浓缩基地以及布舍尔核电站大量电脑中毒，纳坦兹铀浓缩基地约1/5的离心机瘫痪。造成伊朗核工业体系至少2年的倒退，迫使伊朗必须花费巨额外汇重新购进大批离心机，对其电力生产、国防建设与国防安全造成了极大影响。

    近十年来我国电力系统信息化取得了长足的进步，各种信息设备也广泛运用于生产控制系统的数据采集与生产控制中。信息设备极大减轻了生产人员工作量并提高了电网工作效率，但是由于工业控制系统在最初设计时往往未考虑网络安全问题，某些关键基础设施采取的运营安全措施仅仅是一个权限密码而已，而随着技术进步各分离系统逐步互联，网络安全问题凸显。因此分析本次攻击案例对提高国内电力系统安全防护水平，加深信息人员与生产控制系统人员对网络安防意识有重要的意义。

二、Stuxnet特点介绍

    （一）精确打击，杀伤范围可控

    Stuxnet作为武器级电脑病毒，为达到杀伤范围可控的目的，它采取了“指纹”验证机制，感染Stuxnet病毒计算机的相关信息均被发送至美国加州的一个服务器，病毒制造者可以精确导引病毒攻击特定地区的目标，对于非攻击范围的工业控制系统不会进行攻击。该病毒还设有“自杀日”，Stuxnet病毒将在2012年6月24日停止散步。根据实际的情况反映，病毒虽然扩散至全球范围但破坏仅限伊朗，基本上达成了其设计目标。

    （二）智能攻击，难以发现

    Stuxnet B分为两个攻击模块。第一个模块是攻击西门子S7-300(315)系统，目标为纳坦兹的浓缩铀工厂。IR - 1型离心机的转管是由高强度铝合金制造，最大切线速度为440-450米/秒，对应的极限频率为1410-1432Hz，纳坦兹浓缩铀工厂离心机的额定频率为1064Hz，当转子的频率提高到1410Hz时，转管可能断裂导致离心机损坏。Stuxnet病毒调节编码作用于Fararo帕亚与芬兰公司的Vacon两个特定制造商的变频器，当病毒监测到变频器工作在807Hz至1210Hz的频率时才进行操纵。首先保持1064Hz的工作频率，在15分钟后提高到1410Hz，在离心机运行了27天后突然将频率降低至2Hz。通过这种让离心机超速转动然后急剧停止的方法来使轴承等机械部件快速磨损，导致设备需要不断更新和维修。为达到长期破坏伊朗铀浓缩活动，Stuxnet并未采用超过极限频率的方式破坏离心机，以防止被提前发现。

    第二个模块是攻击西门子的S7-400(417)系统，目标是布什尔核电厂汽轮机控制。它采用了中间人攻击（MITM）的方式，可以强制PLC进行错误的输入输出，其代码比针对S7-315系统的代码更精妙。根据研究人员分析，没有被激活的Stuxnet代码仍然定期更新过程映射，但是Stuxne代码可以传递原来通过物理映射输入的初始值，也可以不传递，这会使汽轮机的控制受到干扰，极端情况下会导致涡轮遭到破坏或使运行人员做出错误操作。

    （三）自动隐藏，生存力高

    Stuxnet病毒的活动非常隐蔽，代码精妙，具备极强的自我保护能力。Stuxnet病毒使用U盘以及Windows零日漏洞传播，进入系统后使用Rootkit把自己隐藏起来，在潜入PLC之前能伪装成系统文件，其具有挂入编程软件把自己装入PLC的能力，当程序员检查PLC的代码时也看不见这个病毒。而通过向西门子工业编程软件STEP 7中注入恶意DLL（动态链接库），实现了即便清除Stuxnet仍可通过启动STEP 7软件再次感染目标主机。另一方面，Stuxnet病毒发动攻击侵入离心机操控系统后，会首先记录正常离心机的正常运转数据，攻击成功后，离心机运转速度失控，但监控系统收到的却是Stuxnet病毒发送的“正常数据”，令运行人员无法及时察觉，从而可最大限度达到破坏效果。

    通过自动隐藏与智能攻击手段Stuxnet完成了其既定的设计目标，据纽约时报报道整个病毒对伊朗核工业的袭击长达17个月。

三、Stuxnet病毒攻击暴露的工业控制系统防护的共性漏洞

    （一）操作系统及工业基础设备提供商基本为美日欧垄断

    本次袭击Stuxnet利用了微软的零日漏洞，并使用了2个数字签名成功实施了袭击，在微软提供新的补丁下载前，所有的暴露在互联网上的电脑均有可能受到病毒威胁。是否Linux系统就能逃避病毒干扰呢？答案也是否定的。2010年12月14日，在OpenBSD的官方网站上OpenBSD的创始人希欧·德若特称OpenBSD网络数据安全加密协议可能早在10年前就为美国联邦调查局（FBI）预留了“后门”。

    Stuxnet的成功袭击与INL和西门子针对PCS7的弱点测试以及西门子组态软件核心不开放有关，工程技术人员无法在PLC程序检查时发现恶意代码。

    因此开发国产操作系统并针对性在特种行业内使用以及提高工业基础设备的国产化率是非常有必要的，是关系国计民生的。

    （二）缺乏工业系统安全防护相关经验

    Stuxnet病毒从何时开始对纳坦兹浓缩铀工厂袭击不得而知，但是2009年7月伊朗原子能组织副主席阿里-阿克巴尔·赛义迪的辞职被怀疑与纳坦兹铀浓缩工作频发故障无法达到IR - 1型离心机正常生产率有关。可以假设攻击是从2009年7月以前就已经开始，直到2010年白俄罗斯安全公司截获Stuxnet病毒并公布出来为止。近一年的时间里铀浓缩工厂与核电厂的工作人员未能从设备的频发的缺陷中发现被攻击迹象，而只是将其视为设备质量问题，表明了工业控制系统运维人员对网络安全防护知识的缺乏。

    （三）工业控制系统信息安全防护不为企业所重视

    虽然在2009年北美电力可靠性委员会NERC早就制定了关键基础设施保护（CIP）的标准，但NERC的副总裁兼首席安全官在一封信件指出，截至到2009年4月，70%的美国发电厂并不认为网络安全属于关键部分，几乎30%的输电公司也不认为它属于关键部分。这导致所有的分配系统，尽管属于智能电网的核心，却因为分配的原因被NERC CIPs明确排除，而不能成为关键部分。加州电网虽然是美国智能电网的先行者，但是包括加利福尼亚在内，没有公共事业委员会将网络安全标准包括在内。

    对应于国内的计算机信息系统安全等级保护，很多电厂也未将DCS或水电厂计算机监控系统纳入定级保护范围，即使纳入对其的定级也往往不够准确。而且由于工业控制系统一般为内网物理隔离以及工业控制系统的特殊性，电厂也很少对其进行安全性测试。[page]

    面对此类新形势下的威胁，工业控制系统的控制中心安全水平明显偏低。
 

四、国内电力系统工业控制系统存在的安全防护问题

    （一）负责网络安全部门与生产部门工作结合问题

    大部分发电厂与电力公司的生产部门，是直接采用计算机控制系统进行操作与控制，并不需要对网络安全负责。负责公司网络安全的则是信息技术部门，而信息技术部门一般是进行IT系统维护，对生产控制系统不了解，未受到过控制系统相关培训，也没有适合工业控制系统网络的业务装备。生产部门也没有网络安全方面的人员和预算，也没未没有过处理网络安全问题方面的培训及相关经验。所以经常会发生这样的情况，生产业务部门不会解决网络安全方面的问题，而信息管理部门也未对生产部门的调试笔记本、U盘应用以及外来厂家维护人员维护终端进行监控，存在一个明显的无防御区。

    （二）网络安全意识淡薄的问题

    不少发电公司过多的从技术上考虑安全问题，如选用什么防火墙、防病毒软件等，却忽视了信息安全培训与管理工作。虽然有了网络安全设备却没有专业的维护人员或技能不熟练，缺乏对网络设备的软件升级与维护，也没有健全的网络安全管理制度。而信息安全防护则要求全员信息安全意识都必须达到一定的高度，不能出现短板，否则一旦出现工业控制系统设备违章接入互联网，可能会导致非常严重的后果。

    （三）网络安全厂商对工业控制系统安防需求不了解

    Stuxnet病毒被发现后，微软及各杀毒软件公司对其代码反编译后发现最初的版本早在2009年1月就已经出现，但当时并未被杀毒软件公司视为威胁，而且微软及杀毒软件给出的解决方法是安装新微软补丁，并将杀毒软件升级至最新版本或进行手工查杀，实际上这对于工业控制系统来说并不是合适的方法。

    首先，由于病毒使用了Rootkit技术，已对系统内核已经进行了修改，无法检查及验证是否有其他电脑病毒或木马植入，是否会对系统的稳定运行是否产生影响。因此发现控制系统被病毒感染后最好的解决方法就是擦除并重装系统。

    其次，互联网安全技术并不适用于工业控制系统。

    对控制系统进行渗透测试，可能会导致系统当机，甚至会导致系统固件被破坏，类似定期更换密码之类的简单策略也可能会导致在紧急情况下运行人员由于紧张输错密码导致不能够及时地作出有效反应的情况出现。而且防病毒软件是非常耗费资源的，美国国家标准技术研究院(NIST)曾经进行过这样的测试，结果显示，仅对一台老式控制系统进行简单的病毒库定义更新这样的操作，就有可能导致某些地方出现2到6分钟服务当机的情况。这还仅仅只是每日的病毒库更新，在试验中还出现过杀毒软件后台扫描导致CPU占用率过高，控制系统工作站当机不能进行操作的情况。

    对于工业控制系统如何采用病毒防护，需要采用什么的设备，制定怎样的标准，是值得各电力集团与设备厂商、网络安全公司联合深入探讨的课题。

    （四）信息人员在电力企业中地位待遇偏低问题

    由于信息系统在电力系统中为辅助地位，信息人员在电力企业中的地位偏低，导致工作积极性与主观能动性相对较低，人员流动也比较大，从长远来看这样的情况对提高工业控制系统的安全等级，确保安全生产是不利的。建议可将信息人员归类为生产人员，并定期培训，使其熟悉生产控制系统控制流程，增加信息人员待遇，提高信息人员的积极性，做好控制系统安全防护工作。

五、对应措施与建议

    针对Stuxnet攻击暴露出的工业控制系统安全缺陷，本人根据工作六年以来的经验提出了下列应对方法供大家参考。

    （一）病毒防护问题

    对于采用Windows系统的工作站，可安装国产杀毒软件（必须取消自动扫描与自动升级功能），拔除光驱及USB接口跳线，利用负荷低谷时段临时退出工作站，手动安装杀毒软件升级包并进行病毒查杀。病毒库升级及病毒查杀完毕后将USB接口跳线拔出以防止非授权使用。UNIX工作站也可采用UNIX版本杀毒软件进行病毒防护，注意事项同Windows工作站。服务器建议不要安装杀毒软件，安全防护方面则需要监控系统厂家对内核进行修改，只与授权设备进行专用规约通信。

    （二）强化维护终端管理

    第一，设备维护终端往往保存在班组级，由于使用人员网络安全意识参差不齐，存在着维护终端联网使用可能。因此需要强化保管人员安全意识，并在维护终端上安装网络行为规范软件，一旦发现接入互联网络，管理中心将强制该电脑关机并立即报警通知系统管理员，核实后将根据集团公司网络管理相关规定对保管人进行处罚。

    第二、严禁厂家维护人员使用厂家自带维护终端进行设备检查与维护，必须使用本厂维护终端与程序备份进行编程与设备检查，防止病毒侵入。

    （三）淘汰更换基于蓝牙与GSM通信技术工业控制设备

    基于蓝牙技术与GSM等无线通信技术现被广泛用于电力系统的数据采集与控制设备中，由于此两种技术均存在保密性差，易受干扰的缺陷，建议淘汰蓝牙/GSM传感器或控制器或进行重新开发，使用保密性较好的CDMA技术并为无线传感器通信增加安全机制。

    （四）配置专用安全U盘并加强可移动存储设备管理

    U盘体积小、容量大、便于携带、使用便利，但存在着无法限制介质使用范围，易出现在不同的安全区域混用的情况。在摆渡攻击技术出现后，已出现大量针对U盘的病毒，而且工业控制内网病毒库升级受限，工业控制系统的物理隔离网络被病毒攻击的安全风险性较高。因此，为了有效的防护移动介质上的数据可采用安全U盘技术，将U盘的使用分为写入、迁移、拷贝和删除四个阶段，进行分段防护。可大大提高U盘的数据安全性，阶段防护策略详情见表1。
 

    表1 江南信安公司安全U盘防护策略[page]

    工业控制系统的所有数据传输必须使用安全U盘进行，该U盘在部署区外未经授权的工作站上无法使用，可以有效避免不同安全区域混用。安全U盘可提供多个分区，如图1所示。除引导区外，其余分区均不为操作系统所见。其中：

    引导区：加载安全资源管理器，该区设置为只读，防止病毒或木马感染。

    保密区：该区数据进行高强度加密存储，只提供数据存放功能。对于保密区的数据，采用了专用的文件系统设计，Windows系统即使能够访问到该区，也不能识别出文件的格式。通过这种软硬件结合的设计方式，达到了防止目前流行的木马病毒的攻击，可以有效保护数据传输安全。

    日志区：采用Append-Only文件系统，对所有访问本设备的操作形成日志。

    图1 安全U盘存储区构造图

    （五）恢复传统模拟屏功能，提供设备状态对比

    由于计算机技术的进步，很多电厂取消了模拟显示屏，而伊朗Stuxnet病毒袭击案例告诉我们，使用多种监视手段是很有必要的，可以及时发现计算机监控系统中毒后病毒的伪造数据上送行为。因此建议有条件电厂恢复采用独立变送器的模拟显示屏。

    （六）开展网络安全联合检查

    由于目前电力行业内暂无工业控制系统安全防御的团队，因此建议由上级部门牵头联合公安部网络安全专业机构对电力系统内各厂站进行网络安全联合检查，查找安全防御漏洞，培养电力行业网络安全防护专业队伍，并制定类似NERC CIPs的网络安全防御标准。

六、结语

    Stuxnet对工业控制系统的成功攻击标志着计算机安全技术进入了“基础设施防御时代”。它对电力系统目前采用的生产控制系统管理与网络安全管理独立分离的管理模式提出了挑战，对此我们必须从整合资源、服从规范、强化管理三个方面狠下功夫，三管齐下，提高全员的信息安全防护意识，打造工业控制系统网络防御金盾，为电力系统安全生产保驾护航。