工业网络系统病毒故障对策案例

1 引言

计算机网络是计算机技术和通讯技术发展和结合的产物。计算机网络管理指的是初始化并监视一个活动的计算机网络，收集网络系统中的信息，然后作适当地处理，以便诊断问题，控制或者更好地调整网络的一系列操作。计算机网络管理的目的是为了提高网络效率，使之发挥最大效用。网络管理的基本目的是保证网络可靠性、提高网络运行效率。

网络管理的概念随着现代网络技术的发展而演变。对于网络管理，目前还没有严格统一的定义，可以将网络管理定义为以提高整个网络系统的工作效率、管理层次与维护水平为目标，主要涉及对网络系统的运行及资源进行监测、分析、控制和规划的行为与系统。

2 工控网络安全性分析

工业控制网络的安全性是第一位的，一旦控制系统网络瘫痪，轻则将可能导致无法进行操作控制，为安全生产埋下了极大的隐患；重则可能引发一连串的事故，损失惨重；而同时由于企业发展需要，消除信息孤岛、进而达到资源共享成为必由之路。如何在保证安全的前提下与互联网实施对接，可以方便中高层领导随时随地的了解生产状况，指挥生产；同时控制系统一旦出现问题，如何进行有效检修，将损失降到最低。

2.1 工控系统通讯类型

控制系统通信网络共分为三层，第一层网络是信息管理网；第二层网络是过程控制网，称为scnet ⅱ；第三层网络是i/o总线，称为sbus，它基于现场总线技术而设计。其中第二、三层为控制网络；控制网络通过硬件防火墙与公司局域网连接，形成信息管理网，消除生产孤岛，达到公司信息资源的共享。工控系统的结构如图1所示。

2.2 网络事故的两种可能原因

(1) 病毒进入控制网络：一种可能是硬件防火墙自安装以来，一直未对其过滤规则进行升级，导致过滤规则大大落后于网络病毒发展速度，最终导致了这起事故的发生；另一种可能为人为因素带入工控系统，因为正值中修刚过，控制软件组态数据改动较多，厂家、维修工均频繁使用工程师站进行程序修改，最终导致了系统中病毒的发生。

(2) 非法用户入侵：不排除因网络口令简单及各站点组策略简单而导致的个别非法用户入侵控制网络。

(3) 通过对以上两种病毒入侵途径的分析以及对事故现场各操作站点的了解，病毒最大可能的入侵途径就是计算机病毒由oa系统利用防火墙的过滤规则漏洞而进入控制系统所引发。

(4) 为进一步了解病毒入侵的原理及其得以进入工控系统所利用防火墙的规则漏洞，对病毒类型及该系统主要防护硬件防火墙的工作原理进行简述。

图1 工控系统网络结构

图2 发现病毒最早站点截图

3 工控网络病毒案例

3.1 病毒案例简介

图2为pims服务器屏幕截图，其为发现病毒最早站点。

这是利用微软漏洞进行传播的蠕虫病毒(病毒名称为svchost.exe与servicers.exe两个)。svchost.exe病毒运行后复制自身到系统目录，并重命名为svchost.exe，并删除自身。修改注册表，添加启动项，以达到随机启动的目的。以病毒副本进程连接网络下载病毒文件kb930.vxd，并且回传用户信息。在注册表中添加大量映像劫持项，以反制杀软及安全程序。该病毒还尝试感染非系统目录下的exe文件，添加新的区块，写入病毒代码。

services.exe是微软windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。终止进程后会重启。正常的services.exe应位于%systemroot%system32文件夹中,也就是在进程里用户名显示为“system”，不过services也可能是w32.randex.r(储存在%systemroot% system32目录)和sober.p(储存在%systemroot%connection wizardstatus目录)木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。