工控系统与互联网的病毒案例与应用方法

1、 引言

计算机网络是计算机技术和通讯技术发展和结合的产物。计算机网络管理指的是初始化并监视一个活动的计算机网络，收集网络系统中的信息，然后作适当地处理，以便诊断问题，控制或者更好地调整网络的一系列操作。计算机网络管理的目的是为了提高网络效率，使之发挥最大效用。网络管理的基本目的是保证网络可靠性、提高网络运行效率。

网络管理的概念随着现代网络技术的发展而演变。对于网络管理，目前还没有严格统一的定义，可以将网络管理定义为以提高整个网络系统的工作效率、管理层次与维护水平为目标，主要涉及对网络系统的运行及资源进行监测、分析、控制和规划的行为与系统。

2、 工控网络安全性分析

工业控制网络的安全性是第一位的，一旦控制系统网络瘫痪，轻则将可能导致无法进行操作控制，为安全生产埋下了极大的隐患；重则可能引发一连串的事故，损失惨重；而同时由于企业发展需要，消除信息孤岛、进而达到资源共享成为必由之路。如何在保证安全的前提下与互联网实施对接，可以方便中高层领导随时随地的了解生产状况，指挥生产；同时控制系统一旦出现问题，如何进行有效检修，将损失降到最低。

2.1 工控系统通讯类型

控制系统通信网络共分为三层，第一层网络是信息管理网；第二层网络是过程控制网，称为scnet ⅱ；第三层网络是i/o总线，称为sbus，它基于现场总线技术而设计。其中第二、三层为控制网络；控制网络通过硬件防火墙与公司局域网连接，形成信息管理网，消除生产孤岛，达到公司信息资源的共享。工控系统的结构如图1所示。

2.2 网络事故的两种可能原因

（1） 病毒进入控制网络：一种可能是硬件防火墙自安装以来，一直未对其过滤规则进行升级，导致过滤规则大大落后于网络病毒发展速度，最终导致了这起事故的发生；另一种可能为人为因素带入工控系统，因为正值中修刚过，控制软件组态数据改动较多，厂家、维修工均频繁使用工程师站进行程序修改，最终导致了系统中病毒的发生。

（2） 非法用户入侵：不排除因网络口令简单及各站点组策略简单而导致的个别非法用户入侵控制网络。

（3） 通过对以上两种病毒入侵途径的分析以及对事故现场各操作站点的了解，病毒最大可能的入侵途径就是计算机病毒由oa系统利用防火墙的过滤规则漏洞而进入控制系统所引发。

（4） 为进一步了解病毒入侵的原理及其得以进入工控系统所利用防火墙的规则漏洞，对病毒类型及该系统主要防护硬件防火墙的工作原理进行简述。

3、 工控网络病毒案例

3.1 病毒案例简介

图2为pims服务器屏幕截图，其为发现病毒最早站点。

这是利用微软漏洞进行传播的蠕虫病毒（病毒名称为svchost.exe与servicers.exe两个）。svchost.exe病毒运行后复制自身到系统目录，并重命名为svchost.exe，并删除自身。修改注册表，添加启动项，以达到随机启动的目的。以病毒副本进程连接网络下载病毒文件kb930.vxd，并且回传用户信息。在注册表中添加大量映像劫持项，以反制杀软及安全程序。该病毒还尝试感染非系统目录下的exe文件，添加新的区块，写入病毒代码。

services.exe是微软windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。终止进程后会重启。正常的services.exe应位于%systemroot%system32文件夹中，也就是在进程里用户名显示为“system”，不过services也可能是w32.randex.r（储存在%systemroot% system32目录）和sober.p（储存在%systemroot%connection wizardstatus目录）木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

这两种病毒产生于2008年，这两种病毒能够进行主动传播。它们利用微软操作系统的ms08-067漏洞，将自己植入未打补丁的电脑，并以局域网、u盘等多种方式进行传播。

3.2 导致本次事故之硬件防火墙缺点

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使internet与intranet之间建立起一个安全网关（security gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

防火墙需要通过对访问规则的定义来防止网络外的攻击，软件需要适时更新才能满足不断升级的病毒攻击需要。如果软件规则未及时更新，随着互联网病毒的不断发展，很难检查出来那些是有危险的数据包，在某些条件满足时，病毒就会进入到局域网络中来。

3.3 病毒产生危害

（1） 操作站不能操作，键盘鼠标全部失灵，数据不刷新；出现关机倒计时对话框，不可控，直至自动关机重起。感染病毒后一般会首先导致监控数据刷新速度变慢，然后监控出现一些异常的错误，最终会导致系统崩溃。所以一旦计算机感染病毒，将会直接影响到控制系统的正常运行，对现场的安全生产有极大地危害性。

（2） 控制站是从设计上就没有采用自己设计的高效操作系统和数据总线，为单片机形式，是不会感染病毒的。如果有病毒发作，只要及时断开外部网络、处理好操作站，基本不会影响生产。

3.4 系统中病毒的处理过程

（1） 以控制站点为单位，切断所有与外部控制站、操作站联网网线，安装杀毒软件查杀病毒。

（2） 利用internet网络，收集病毒相关信息及传播途径，下载针对该病毒的补丁程序。下载专杀工具，360顽固木马专杀大全，经过最新版杀毒软件杀毒后安装到操作站杀毒。

（3） 利用卡巴斯基杀毒软件，配合瑞星杀毒软件一起查杀。

（4） 操作站单机杀毒完毕待操作系统运行正常后，格式化感染病毒盘符，重新安装win2000系统，打好补丁程序。备份过后把瑞星杀毒软件安装上进行全面杀毒一次，载入各操作站相应的组态，确认正常后做为备机。

（5） 待操作站处理达到一半以上，断开所有操作站的网线，同时断开主控卡的网线，断开20到30秒左右，然后把另一半刚做好的备机联上网，联网过程中如果出现任何问题，如果异常立即把所有备机网线取下，恢复原来操作站网线。（由于该病毒是感染的系统文件，虽然对交换机和主控卡构不成影响，有条件的岗位最好把交换机、主控卡进行掉电处理。）

通过这次故障的处理，重新评价该系统与外网连接的安全性，根据防火墙与隔离网关的特性，并结合pims厂家，制定出了详细的改造方案；同时从管理方面与技术方面制定详细的防范措施，最大限度的确保工控系统的运行安全。

4、 结束语

工控系统与互联网的安全对接是一个综合性的课题，涉及技术、管理、使用等许多方面，既包括信息系统本身的安全问题，也有物理的和逻辑的技术措施，通过一系列的管理措施及技术措施的规定与实行，做到最大限度的确保系统的安全运行。

责任编辑：gt