工控及信息安全 1 Stuxnet 攻击事件 对电厂工控系统安全防护的启示 广东惠州天然气发电有限公司，梁超、黄碧雄、陈阵 摘要：电厂工控系统具有独立的网络，对外物理隔离。因此，对网络攻击疏于防范。Stuxnet（震网）的出现，实现 了通过攻击控制系统，从而破坏工业设施，对电厂工控系统的安全具有强烈的警示、启示作用。本文结合 Stuxnet 攻击 事件，浅谈电厂工控系统安全防护。 关键词：Stuxnet；震网；超级工厂；电厂；工控系统；ICS；DCS；安全防护 1 Stuxnet 及其攻击事件 Stuxnet 是一种计算机蠕虫， 它利用 Windows 操 作系统漏洞和西门子 SIMATIC WinCC 工业控制系统 漏洞， 感染数据采集与监控系统 （SCADA， 向设备 PLC 写入恶意代码，改变设备的正常工况，从而导致设 备的物理损毁。 2009 年到 2010 年间， Stuxnet 在伊朗的 Natanz 核工厂暴发。 2010 年 11 月， 伊朗暂停了铀浓缩活动。 2010 年 11 月 29 日， 伊朗总统在新闻发布会上承认， 伊朗有“少量”离心机遭到了“安装在电子设备上 的软件”的袭击 [1]。 2011 年 11 月 12 日，伊朗伊斯兰革命卫队进行 弹道导弹（泥石-2 型） 新式弹头测试时发生爆炸， 包括 Tehrani-Moghadam 在内的数个伊朗顶尖导弹专 家丧生。外界估计爆炸原因是控制系统遭 Stuxnet 蠕虫病毒“控制” 。 [2] 2010 年，Stuxnet 在互联网传播。6 月中旬首次 被白俄罗斯安全公司 VirusBlokAda 发现，其名称是 从代码中的关键字得来。 2012 年， 《纽约时报》 报导， Stuxnet 是由美国国家安全局在以色列协助下研发， 目的在于阻止伊朗发展核武。该研发计划代号为 “Olympic Games” [3]。 2 Stuxnet 传播与攻击特点 工控系统的在安全方面的两个特点：1）与外界 物理隔离，具有天然屏障；2）设备 PLC、主机 OS 一 旦几乎不作任何加固，防护薄弱。Stuxnet 针对性地 加强了突破物理屏障的传播能力。 1) 强化 USB 设备传播能力。 工控网络与外界并 非绝对隔离，有时也需要接入外来设备（一般是电 脑、U 盘） ，用来维护、调试、更改配置，尤其在建 设期。通过移动电脑、U 盘等传播入网是最有效的方 式。Stuxnet 监控计算机中新增的 USB 设备（包括 U 盘、移动硬盘、手机、相机等所有 USB 接口设备） 。 一旦发现，立即感染。当用户使用受感染 USB 设备 时，就会触发漏洞，Stuxnet 立即执行，感染其计算 机。如此循环，不停感染。 2) 充分利用系统漏洞进行传播与攻击。 受感染 计算机联网状态下， Stuxnet 通过 Windows 漏洞实现 联网主机之间的传播。这些漏洞包括快捷方式解析 漏洞（MS10-046） 、RPC 远程执行漏洞（MS08-067） 、 打印机后台程序服务漏洞（MS10-061） 、共享文件夹 等。检测到安装了 WinCC/PCS 7 系统的主机，则 利用此工控系统漏洞展开攻击。 3) 精于伪装与反侦测。Stuxnet 伪装 RealTek 与 JMicron 两公司的数字签名，绕过安全检测。 4) 攻击“专业” 。Stuxnet 目的性很强，在传播