1、 引言

計(jì)算機(jī)網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)和通訊技術(shù)發(fā)展和結(jié)合的產(chǎn)物。計(jì)算機(jī)網(wǎng)絡(luò)管理指的是初始化并監(jiān)視一個(gè)活動的計(jì)算機(jī)網(wǎng)絡(luò)，收集網(wǎng)絡(luò)系統(tǒng)中的信息，然后作適當(dāng)?shù)靥幚恚员阍\斷問題，控制或者更好地調(diào)整網(wǎng)絡(luò)的一系列操作。計(jì)算機(jī)網(wǎng)絡(luò)管理的目的是為了提高網(wǎng)絡(luò)效率，使之發(fā)揮最大效用。網(wǎng)絡(luò)管理的基本目的是保證網(wǎng)絡(luò)可靠性、提高網(wǎng)絡(luò)運(yùn)行效率。

網(wǎng)絡(luò)管理的概念隨著現(xiàn)代網(wǎng)絡(luò)技術(shù)的發(fā)展而演變。對于網(wǎng)絡(luò)管理，目前還沒有嚴(yán)格統(tǒng)一的定義，可以將網(wǎng)絡(luò)管理定義為以提高整個(gè)網(wǎng)絡(luò)系統(tǒng)的工作效率、管理層次與維護(hù)水平為目標(biāo)，主要涉及對網(wǎng)絡(luò)系統(tǒng)的運(yùn)行及資源進(jìn)行監(jiān)測、分析、控制和規(guī)劃的行為與系統(tǒng)。

2、 工控網(wǎng)絡(luò)安全性分析

工業(yè)控制網(wǎng)絡(luò)的安全性是第一位的，一旦控制系統(tǒng)網(wǎng)絡(luò)癱瘓，輕則將可能導(dǎo)致無法進(jìn)行操作控制，為安全生產(chǎn)埋下了極大的隱患；重則可能引發(fā)一連串的事故，損失慘重；而同時(shí)由于企業(yè)發(fā)展需要，消除信息孤島、進(jìn)而達(dá)到資源共享成為必由之路。如何在保證安全的前提下與互聯(lián)網(wǎng)實(shí)施對接，可以方便中高層領(lǐng)導(dǎo)隨時(shí)隨地的了解生產(chǎn)狀況，指揮生產(chǎn)；同時(shí)控制系統(tǒng)一旦出現(xiàn)問題，如何進(jìn)行有效檢修，將損失降到最低。

2.1 工控系統(tǒng)通訊類型

控制系統(tǒng)通信網(wǎng)絡(luò)共分為三層，第一層網(wǎng)絡(luò)是信息管理網(wǎng)；第二層網(wǎng)絡(luò)是過程控制網(wǎng)，稱為scnet ⅱ；第三層網(wǎng)絡(luò)是i/o總線，稱為sbus，它基于現(xiàn)場總線技術(shù)而設(shè)計(jì)。其中第二、三層為控制網(wǎng)絡(luò)；控制網(wǎng)絡(luò)通過硬件防火墻與公司局域網(wǎng)連接，形成信息管理網(wǎng)，消除生產(chǎn)孤島，達(dá)到公司信息資源的共享。工控系統(tǒng)的結(jié)構(gòu)如圖1所示。

2.2 網(wǎng)絡(luò)事故的兩種可能原因

（1） 病毒進(jìn)入控制網(wǎng)絡(luò)：一種可能是硬件防火墻自安裝以來，一直未對其過濾規(guī)則進(jìn)行升級，導(dǎo)致過濾規(guī)則大大落后于網(wǎng)絡(luò)病毒發(fā)展速度，最終導(dǎo)致了這起事故的發(fā)生；另一種可能為人為因素帶入工控系統(tǒng)，因?yàn)檎抵行迍傔^，控制軟件組態(tài)數(shù)據(jù)改動較多，廠家、維修工均頻繁使用工程師站進(jìn)行程序修改，最終導(dǎo)致了系統(tǒng)中病毒的發(fā)生。

（2） 非法用戶入侵：不排除因網(wǎng)絡(luò)口令簡單及各站點(diǎn)組策略簡單而導(dǎo)致的個(gè)別非法用戶入侵控制網(wǎng)絡(luò)。

（3） 通過對以上兩種病毒入侵途徑的分析以及對事故現(xiàn)場各操作站點(diǎn)的了解，病毒最大可能的入侵途徑就是計(jì)算機(jī)病毒由oa系統(tǒng)利用防火墻的過濾規(guī)則漏洞而進(jìn)入控制系統(tǒng)所引發(fā)。

（4） 為進(jìn)一步了解病毒入侵的原理及其得以進(jìn)入工控系統(tǒng)所利用防火墻的規(guī)則漏洞，對病毒類型及該系統(tǒng)主要防護(hù)硬件防火墻的工作原理進(jìn)行簡述。

3、 工控網(wǎng)絡(luò)病毒案例

3.1 病毒案例簡介

圖2為pims服務(wù)器屏幕截圖，其為發(fā)現(xiàn)病毒最早站點(diǎn)。

這是利用微軟漏洞進(jìn)行傳播的蠕蟲病毒（病毒名稱為svchost.exe與servicers.exe兩個(gè)）。svchost.exe病毒運(yùn)行后復(fù)制自身到系統(tǒng)目錄，并重命名為svchost.exe，并刪除自身。修改注冊表，添加啟動項(xiàng)，以達(dá)到隨機(jī)啟動的目的。以病毒副本進(jìn)程連接網(wǎng)絡(luò)下載病毒文件kb930.vxd，并且回傳用戶信息。在注冊表中添加大量映像劫持項(xiàng)，以反制殺軟及安全程序。該病毒還嘗試感染非系統(tǒng)目錄下的exe文件，添加新的區(qū)塊，寫入病毒代碼。

services.exe是微軟windows操作系統(tǒng)的一部分。用于管理啟動和停止服務(wù)。該進(jìn)程也會處理在計(jì)算機(jī)啟動和關(guān)機(jī)時(shí)運(yùn)行的服務(wù)。這個(gè)程序?qū)δ阆到y(tǒng)的正常運(yùn)行是非常重要的。終止進(jìn)程后會重啟。正常的services.exe應(yīng)位于%systemroot%system32文件夾中，也就是在進(jìn)程里用戶名顯示為“system”，不過services也可能是w32.randex.r（儲存在%systemroot% system32目錄）和sober.p（儲存在%systemroot%connection wizardstatus目錄）木馬。該木馬允許攻擊者訪問你的計(jì)算機(jī)，竊取密碼和個(gè)人數(shù)據(jù)。該進(jìn)程的安全等級是建議立即刪除。

這兩種病毒產(chǎn)生于2008年，這兩種病毒能夠進(jìn)行主動傳播。它們利用微軟操作系統(tǒng)的ms08-067漏洞，將自己植入未打補(bǔ)丁的電腦，并以局域網(wǎng)、u盤等多種方式進(jìn)行傳播。

3.2 導(dǎo)致本次事故之硬件防火墻缺點(diǎn)

所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。是一種獲取安全性方法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使internet與intranet之間建立起一個(gè)安全網(wǎng)關(guān)（security gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成。

防火墻需要通過對訪問規(guī)則的定義來防止網(wǎng)絡(luò)外的攻擊，軟件需要適時(shí)更新才能滿足不斷升級的病毒攻擊需要。如果軟件規(guī)則未及時(shí)更新，隨著互聯(lián)網(wǎng)病毒的不斷發(fā)展，很難檢查出來那些是有危險(xiǎn)的數(shù)據(jù)包，在某些條件滿足時(shí)，病毒就會進(jìn)入到局域網(wǎng)絡(luò)中來。

3.3 病毒產(chǎn)生危害

（1） 操作站不能操作，鍵盤鼠標(biāo)全部失靈，數(shù)據(jù)不刷新；出現(xiàn)關(guān)機(jī)倒計(jì)時(shí)對話框，不可控，直至自動關(guān)機(jī)重起。感染病毒后一般會首先導(dǎo)致監(jiān)控?cái)?shù)據(jù)刷新速度變慢，然后監(jiān)控出現(xiàn)一些異常的錯(cuò)誤，最終會導(dǎo)致系統(tǒng)崩潰。所以一旦計(jì)算機(jī)感染病毒，將會直接影響到控制系統(tǒng)的正常運(yùn)行，對現(xiàn)場的安全生產(chǎn)有極大地危害性。

（2） 控制站是從設(shè)計(jì)上就沒有采用自己設(shè)計(jì)的高效操作系統(tǒng)和數(shù)據(jù)總線，為單片機(jī)形式，是不會感染病毒的。如果有病毒發(fā)作，只要及時(shí)斷開外部網(wǎng)絡(luò)、處理好操作站，基本不會影響生產(chǎn)。

3.4 系統(tǒng)中病毒的處理過程

（1） 以控制站點(diǎn)為單位，切斷所有與外部控制站、操作站聯(lián)網(wǎng)網(wǎng)線，安裝殺毒軟件查殺病毒。

（2） 利用internet網(wǎng)絡(luò)，收集病毒相關(guān)信息及傳播途徑，下載針對該病毒的補(bǔ)丁程序。下載專殺工具，360頑固木馬專殺大全，經(jīng)過最新版殺毒軟件殺毒后安裝到操作站殺毒。

（3） 利用卡巴斯基殺毒軟件，配合瑞星殺毒軟件一起查殺。

（4） 操作站單機(jī)殺毒完畢待操作系統(tǒng)運(yùn)行正常后，格式化感染病毒盤符，重新安裝win2000系統(tǒng)，打好補(bǔ)丁程序。備份過后把瑞星殺毒軟件安裝上進(jìn)行全面殺毒一次，載入各操作站相應(yīng)的組態(tài)，確認(rèn)正常后做為備機(jī)。

（5） 待操作站處理達(dá)到一半以上，斷開所有操作站的網(wǎng)線，同時(shí)斷開主控卡的網(wǎng)線，斷開20到30秒左右，然后把另一半剛做好的備機(jī)聯(lián)上網(wǎng)，聯(lián)網(wǎng)過程中如果出現(xiàn)任何問題，如果異常立即把所有備機(jī)網(wǎng)線取下，恢復(fù)原來操作站網(wǎng)線。（由于該病毒是感染的系統(tǒng)文件，雖然對交換機(jī)和主控卡構(gòu)不成影響，有條件的崗位最好把交換機(jī)、主控卡進(jìn)行掉電處理。）

通過這次故障的處理，重新評價(jià)該系統(tǒng)與外網(wǎng)連接的安全性，根據(jù)防火墻與隔離網(wǎng)關(guān)的特性，并結(jié)合pims廠家，制定出了詳細(xì)的改造方案；同時(shí)從管理方面與技術(shù)方面制定詳細(xì)的防范措施，最大限度的確保工控系統(tǒng)的運(yùn)行安全。

4、 結(jié)束語

工控系統(tǒng)與互聯(lián)網(wǎng)的安全對接是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，通過一系列的管理措施及技術(shù)措施的規(guī)定與實(shí)行，做到最大限度的確保系統(tǒng)的安全運(yùn)行。

責(zé)任編輯：gt