工業(yè)網(wǎng)絡(luò )系統病毒故障對策案例

1 引言

計算機網(wǎng)絡(luò )是計算機技術(shù)和通訊技術(shù)發(fā)展和結合的產(chǎn)物。計算機網(wǎng)絡(luò )管理指的是初始化并監視一個(gè)活動(dòng)的計算機網(wǎng)絡(luò )，收集網(wǎng)絡(luò )系統中的信息，然后作適當地處理，以便診斷問(wèn)題，控制或者更好地調整網(wǎng)絡(luò )的一系列操作。計算機網(wǎng)絡(luò )管理的目的是為了提高網(wǎng)絡(luò )效率，使之發(fā)揮最大效用。網(wǎng)絡(luò )管理的基本目的是保證網(wǎng)絡(luò )可靠性、提高網(wǎng)絡(luò )運行效率。

網(wǎng)絡(luò )管理的概念隨著(zhù)現代網(wǎng)絡(luò )技術(shù)的發(fā)展而演變。對于網(wǎng)絡(luò )管理，目前還沒(méi)有嚴格統一的定義，可以將網(wǎng)絡(luò )管理定義為以提高整個(gè)網(wǎng)絡(luò )系統的工作效率、管理層次與維護水平為目標，主要涉及對網(wǎng)絡(luò )系統的運行及資源進(jìn)行監測、分析、控制和規劃的行為與系統。

2 工控網(wǎng)絡(luò )安全性分析

工業(yè)控制網(wǎng)絡(luò )的安全性是第一位的，一旦控制系統網(wǎng)絡(luò )癱瘓，輕則將可能導致無(wú)法進(jìn)行操作控制，為安全生產(chǎn)埋下了極大的隱患；重則可能引發(fā)一連串的事故，損失慘重；而同時(shí)由于企業(yè)發(fā)展需要，消除信息孤島、進(jìn)而達到資源共享成為必由之路。如何在保證安全的前提下與互聯(lián)網(wǎng)實(shí)施對接，可以方便中高層領(lǐng)導隨時(shí)隨地的了解生產(chǎn)狀況，指揮生產(chǎn)；同時(shí)控制系統一旦出現問(wèn)題，如何進(jìn)行有效檢修，將損失降到最低。

2.1 工控系統通訊類(lèi)型

控制系統通信網(wǎng)絡(luò )共分為三層，第一層網(wǎng)絡(luò )是信息管理網(wǎng)；第二層網(wǎng)絡(luò )是過(guò)程控制網(wǎng)，稱(chēng)為scnet ⅱ；第三層網(wǎng)絡(luò )是i/o總線(xiàn)，稱(chēng)為sbus，它基于現場(chǎng)總線(xiàn)技術(shù)而設計。其中第二、三層為控制網(wǎng)絡(luò )；控制網(wǎng)絡(luò )通過(guò)硬件防火墻與公司局域網(wǎng)連接，形成信息管理網(wǎng)，消除生產(chǎn)孤島，達到公司信息資源的共享。工控系統的結構如圖1所示。

2.2 網(wǎng)絡(luò )事故的兩種可能原因

(1) 病毒進(jìn)入控制網(wǎng)絡(luò )：一種可能是硬件防火墻自安裝以來(lái)，一直未對其過(guò)濾規則進(jìn)行升級，導致過(guò)濾規則大大落后于網(wǎng)絡(luò )病毒發(fā)展速度，最終導致了這起事故的發(fā)生；另一種可能為人為因素帶入工控系統，因為正值中修剛過(guò)，控制軟件組態(tài)數據改動(dòng)較多，廠(chǎng)家、維修工均頻繁使用工程師站進(jìn)行程序修改，最終導致了系統中病毒的發(fā)生。

(2) 非法用戶(hù)入侵：不排除因網(wǎng)絡(luò )口令簡(jiǎn)單及各站點(diǎn)組策略簡(jiǎn)單而導致的個(gè)別非法用戶(hù)入侵控制網(wǎng)絡(luò )。

(3) 通過(guò)對以上兩種病毒入侵途徑的分析以及對事故現場(chǎng)各操作站點(diǎn)的了解，病毒最大可能的入侵途徑就是計算機病毒由oa系統利用防火墻的過(guò)濾規則漏洞而進(jìn)入控制系統所引發(fā)。

(4) 為進(jìn)一步了解病毒入侵的原理及其得以進(jìn)入工控系統所利用防火墻的規則漏洞，對病毒類(lèi)型及該系統主要防護硬件防火墻的工作原理進(jìn)行簡(jiǎn)述。

圖1 工控系統網(wǎng)絡(luò )結構

圖2 發(fā)現病毒最早站點(diǎn)截圖

3 工控網(wǎng)絡(luò )病毒案例

3.1 病毒案例簡(jiǎn)介

圖2為pims服務(wù)器屏幕截圖，其為發(fā)現病毒最早站點(diǎn)。

這是利用微軟漏洞進(jìn)行傳播的蠕蟲(chóng)病毒(病毒名稱(chēng)為svchost.exe與servicers.exe兩個(gè))。svchost.exe病毒運行后復制自身到系統目錄，并重命名為svchost.exe，并刪除自身。修改注冊表，添加啟動(dòng)項，以達到隨機啟動(dòng)的目的。以病毒副本進(jìn)程連接網(wǎng)絡(luò )下載病毒文件kb930.vxd，并且回傳用戶(hù)信息。在注冊表中添加大量映像劫持項，以反制殺軟及安全程序。該病毒還嘗試感染非系統目錄下的exe文件，添加新的區塊，寫(xiě)入病毒代碼。

services.exe是微軟windows操作系統的一部分。用于管理啟動(dòng)和停止服務(wù)。該進(jìn)程也會(huì )處理在計算機啟動(dòng)和關(guān)機時(shí)運行的服務(wù)。這個(gè)程序對你系統的正常運行是非常重要的。終止進(jìn)程后會(huì )重啟。正常的services.exe應位于%systemroot%system32文件夾中,也就是在進(jìn)程里用戶(hù)名顯示為“system”，不過(guò)services也可能是w32.randex.r(儲存在%systemroot% system32目錄)和sober.p(儲存在%systemroot%connection wizardstatus目錄)木馬。該木馬允許攻擊者訪(fǎng)問(wèn)你的計算機，竊取密碼和個(gè)人數據。該進(jìn)程的安全等級是建議立即刪除。