工業(yè)網(wǎng)絡(luò )系統病毒故障對策案例

這兩種病毒產(chǎn)生于2008年，這兩種病毒能夠進(jìn)行主動(dòng)傳播。它們利用微軟操作系統的ms08-067漏洞，將自己植入未打補丁的電腦，并以局域網(wǎng)、u盤(pán)等多種方式進(jìn)行傳播。

3.2 導致本次事故之硬件防火墻缺點(diǎn)

所謂防火墻指的是一個(gè)由軟件和硬件設備組合而成、在內部網(wǎng)和外部網(wǎng)之間、專(zhuān)用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障。是一種獲取安全性方法的形象說(shuō)法，它是一種計算機硬件和軟件的結合，使internet與intranet之間建立起一個(gè)安全網(wǎng)關(guān)(security gateway)，從而保護內部網(wǎng)免受非法用戶(hù)的侵入，防火墻主要由服務(wù)訪(fǎng)問(wèn)規則、驗證工具、包過(guò)濾和應用網(wǎng)關(guān)4個(gè)部分組成。

防火墻需要通過(guò)對訪(fǎng)問(wèn)規則的定義來(lái)防止網(wǎng)絡(luò )外的攻擊，軟件需要適時(shí)更新才能滿(mǎn)足不斷升級的病毒攻擊需要。如果軟件規則未及時(shí)更新，隨著(zhù)互聯(lián)網(wǎng)病毒的不斷發(fā)展，很難檢查出來(lái)那些是有危險的數據包，在某些條件滿(mǎn)足時(shí)，病毒就會(huì )進(jìn)入到局域網(wǎng)絡(luò )中來(lái)。

3.3 病毒產(chǎn)生危害

(1) 操作站不能操作，鍵盤(pán)鼠標全部失靈，數據不刷新；出現關(guān)機倒計時(shí)對話(huà)框，不可控，直至自動(dòng)關(guān)機重起。感染病毒后一般會(huì )首先導致監控數據刷新速度變慢，然后監控出現一些異常的錯誤，最終會(huì )導致系統崩潰。所以一旦計算機感染病毒，將會(huì )直接影響到控制系統的正常運行，對現場(chǎng)的安全生產(chǎn)有極大地危害性。

(2) 控制站是從設計上就沒(méi)有采用自己設計的高效操作系統和數據總線(xiàn)，為單片機形式，是不會(huì )感染病毒的。如果有病毒發(fā)作，只要及時(shí)斷開(kāi)外部網(wǎng)絡(luò )、處理好操作站，基本不會(huì )影響生產(chǎn)。

3.4 系統中病毒的處理過(guò)程

(1) 以控制站點(diǎn)為單位，切斷所有與外部控制站、操作站聯(lián)網(wǎng)網(wǎng)線(xiàn)，安裝殺毒軟件查殺病毒。

(2) 利用internet網(wǎng)絡(luò )，收集病毒相關(guān)信息及傳播途徑，下載針對該病毒的補丁程序。下載專(zhuān)殺工具，360頑固木馬專(zhuān)殺大全，經(jīng)過(guò)最新版殺毒軟件殺毒后安裝到操作站殺毒。

(3) 利用卡巴斯基殺毒軟件，配合瑞星殺毒軟件一起查殺。

(4) 操作站單機殺毒完畢待操作系統運行正常后，格式化感染病毒盤(pán)符，重新安裝win2000系統，打好補丁程序。備份過(guò)后把瑞星殺毒軟件安裝上進(jìn)行全面殺毒一次，載入各操作站相應的組態(tài)，確認正常后做為備機。

(5) 待操作站處理達到一半以上，斷開(kāi)所有操作站的網(wǎng)線(xiàn)，同時(shí)斷開(kāi)主控卡的網(wǎng)線(xiàn)，斷開(kāi)20到30秒左右，然后把另一半剛做好的備機聯(lián)上網(wǎng)，聯(lián)網(wǎng)過(guò)程中如果出現任何問(wèn)題，如果異常立即把所有備機網(wǎng)線(xiàn)取下，恢復原來(lái)操作站網(wǎng)線(xiàn)。(由于該病毒是感染的系統文件，雖然對交換機和主控卡構不成影響，有條件的崗位最好把交換機、主控卡進(jìn)行掉電處理。)

通過(guò)這次故障的處理，重新評價(jià)該系統與外網(wǎng)連接的安全性，根據防火墻與隔離網(wǎng)關(guān)的特性，并結合pims廠(chǎng)家，制定出了詳細的改造方案；同時(shí)從管理方面與技術(shù)方面制定詳細的防范措施，最大限度的確保工控系統的運行安全。

4 結束語(yǔ)

工控系統與互聯(lián)網(wǎng)的安全對接是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統本身的安全問(wèn)題，也有物理的和邏輯的技術(shù)措施，通過(guò)一系列的管理措施及技術(shù)措施的規定與實(shí)行，做到最大限度的確保系統的安全運行。