信息安全防护课程论文(修改).docxVIP

“震网”事件分析报告 许 添 提 要：全球范围内，网络攻击威胁正日益向国家层面渗透。2010年6月，白俄罗斯的一家安全公司在为伊朗客户检查系统时，发现一种新型蠕虫病毒。根据病毒代码中出现的特征字，该病毒被命名为“震网（Stuxnet）”。该病毒将深埋与地下伊朗核设施中的离心机爆炸破坏殆尽，使得核原料急剧减产，甚至导致核泄漏。“震网”病毒事件证明，即使是完全物理隔离的系统也有可能被病毒入侵。这为我国的网络安全防御敲响了警钟，需要引起我们的高度警惕。 一、“震网”事件经过 2006年，伊朗宣布重启核计划的消息一出，震惊了美国与以色列。然而，以色列提出的武力打击伊朗核设施的计划遭盟友美国的强烈抵制，美国并不愿意军事介入伊朗的核设施；另一方面，伊朗的核计划本身对美国在中东的利益亦构成重大威胁。于是提出了一个借助电脑病毒的力量来破坏伊朗的核设施的代号为“奥林匹克运动会”绝密计划。然而伊朗核设施并不连接外网，并有严密的物理隔离，通过互联网植入病毒的方法就变得不可能。为此，只能通过人为手段将震网病毒植入伊朗核设施的控制系统之中。在这一方面由于情报解密不多，具体操作细节尚未可知。 震网病毒入侵计算机并被激活后所做的第一件事，是判断计算机的处理器是32位还是64位，如果是64位则放弃；然后仔细跟踪自身在计算机上占用的处理器资源情况，只有在确定震网所占用资源不会拖慢计算机运行速度时才会释放病毒，以确保不被发现；感染电脑后，震网开始搜索并把结果汇报给指挥控制服务器；再检测计算机有没有安装特定的两种软件Step7和WinCC（西门子公司的专有软件。它们都是与西门子公司生产的PLC配套的工业控制系统的一部分，用于配置变频器的软硬件参数）。通过这样的层层限定，不会导致任何一个配置稍有偏差的工业控制系统被感染，只会把它们作为传播的载体和攻击的跳板，直到找到最终的攻击目标——地下核设施中的6组大型机组，每组164台。 震网病毒开始实施攻击后的第一个步骤，是为期13天的侦察。因为伊朗核设施特有的IR-1铀浓缩离心机的正常运行频点是1064Hz，而离心机注满铀所要的时间是13天。所以在观察结束后，震网会把变频器的频率提升到1410Hz运行15分钟，再降低到正常运行频率1064 Hz运行26天；之后，震网会把频率降到2 Hz的水平上持续50分钟，然后再恢复到1064 Hz运行26天；再依次进行攻击循环。病毒先让变频器转得飞快，再让它迅速减速。急速的频率变化让变频器无法承受，导致障碍率上升至800%。第二个步骤，是入侵视频监控系统，控制视频中显示的画面。原本当离心机发生故障后，程序会向主控系统报错，同时警报响起，提醒控制中心工程师来排查问题。但在病毒控制伊朗核设施的系统主动权后，通过修改程序指令，阻止了报错机制的正常运行。即便离心机发生了损坏报错指令也不会正常传达，致使伊朗核设施的工作人员听到机器异常的声响，但主控系统屏幕显示器却显示一切正常。最终导致位于伊朗纳坦兹的约8000台离心机中有1000台在两年内被换掉。俄罗斯常驻北约代表罗戈津称，病毒给伊朗布什尔核电站造成严重影响，导致放射性物质泄漏，危害不亚于切尔诺贝利核电站事故。 二、“震网”病毒分析 震网病毒通过人为携带，进入了伊朗核设施系统；通过复制、隐藏、潜伏、伪装、验证、激活到休眠的流程实施进攻；通过伪装RealTek 与JMicron两大公司的数字签名，从而顺利绕过安全产品的检测；通过篡改监控摄像头的控制程序，使画面静止；利用WinCC的软件漏洞，控制离心机的转速，导致其损毁。伊朗核设施的工作人员要么选择相信主控系统的正确性，要么就关停伊朗核设施并逐一排查离心机的故障。最后，直至伊朗核设施的离心机大面积损毁，整个核设施已经无法正常运转之时，伊朗的核工业部门才不得不停止核工厂的运转，进行大规模的故障排查。然而，伊朗在开始排查核设施之后，竟一直未能发现核设施内工业控制系统出现的问题。直到2010年6月，国际网络安全公司“赛门铁克”发布“震网”病毒报告，伊朗才恍然大悟。 目前在电力、钢铁、化工等大型重化工业企业中，工业以太网、DCS（集散控制系统）、现场总线等技术早已渗透到控制系统的方方面面。工业控制网络所用工控PC，几乎全部是基于Windows-Intel平台，工业以太网与民用以太网在技术上并无本质差异，现场总线技术更是将单片机/嵌入式系统应用到了每一个控制仪表上。工业控制网络除了可能遭到与攻击民用/商用网络手段相同的攻击，例如通过局域网传播的恶意代码之外，还可能遭到针对现场总线的专门攻击。 针对民用/商用计算机和网络的攻击，目前多以获取经济利益为主要目标，但针对工业控制网络和现场总线的攻击，可能破坏企业重要装置和设备的正常测控，由此引起的后果可能是灾难性的。以化工行业为例，针对工业控制网络的攻击可能破坏反