1、 引言

計算機網絡是計算機技術和通訊技術發展和結合的產物。計算機網絡管理指的是初始化并監視一個活動的計算機網絡，收集網絡系統中的信息，然后作適當地處理，以便診斷問題，控制或者更好地調整網絡的一系列操作。計算機網絡管理的目的是為了提高網絡效率，使之發揮最大效用。網絡管理的基本目的是保證網絡可靠性、提高網絡運行效率。

網絡管理的概念隨著現代網絡技術的發展而演變。對于網絡管理，目前還沒有嚴格統一的定義，可以將網絡管理定義為以提高整個網絡系統的工作效率、管理層次與維護水平為目標，主要涉及對網絡系統的運行及資源進行監測、分析、控制和規劃的行為與系統。

2、 工控網絡安全性分析

工業控制網絡的安全性是第一位的，一旦控制系統網絡癱瘓，輕則將可能導致無法進行操作控制，為安全生產埋下了極大的隱患；重則可能引發一連串的事故，損失慘重；而同時由于企業發展需要，消除信息孤島、進而達到資源共享成為必由之路。如何在保證安全的前提下與互聯網實施對接，可以方便中高層領導隨時隨地的了解生產狀況，指揮生產；同時控制系統一旦出現問題，如何進行有效檢修，將損失降到最低。

2.1 工控系統通訊類型

控制系統通信網絡共分為三層，第一層網絡是信息管理網；第二層網絡是過程控制網，稱為scnet ⅱ；第三層網絡是i/o總線，稱為sbus，它基于現場總線技術而設計。其中第二、三層為控制網絡；控制網絡通過硬件防火墻與公司局域網連接，形成信息管理網，消除生產孤島，達到公司信息資源的共享。工控系統的結構如圖1所示。

2.2 網絡事故的兩種可能原因

（1） 病毒進入控制網絡：一種可能是硬件防火墻自安裝以來，一直未對其過濾規則進行升級，導致過濾規則大大落后于網絡病毒發展速度，最終導致了這起事故的發生；另一種可能為人為因素帶入工控系統，因為正值中修剛過，控制軟件組態數據改動較多，廠家、維修工均頻繁使用工程師站進行程序修改，最終導致了系統中病毒的發生。

（2） 非法用戶入侵：不排除因網絡口令簡單及各站點組策略簡單而導致的個別非法用戶入侵控制網絡。

（3） 通過對以上兩種病毒入侵途徑的分析以及對事故現場各操作站點的了解，病毒最大可能的入侵途徑就是計算機病毒由oa系統利用防火墻的過濾規則漏洞而進入控制系統所引發。

（4） 為進一步了解病毒入侵的原理及其得以進入工控系統所利用防火墻的規則漏洞，對病毒類型及該系統主要防護硬件防火墻的工作原理進行簡述。

3、 工控網絡病毒案例

3.1 病毒案例簡介

圖2為pims服務器屏幕截圖，其為發現病毒最早站點。

這是利用微軟漏洞進行傳播的蠕蟲病毒（病毒名稱為svchost.exe與servicers.exe兩個）。svchost.exe病毒運行后復制自身到系統目錄，并重命名為svchost.exe，并刪除自身。修改注冊表，添加啟動項，以達到隨機啟動的目的。以病毒副本進程連接網絡下載病毒文件kb930.vxd，并且回傳用戶信息。在注冊表中添加大量映像劫持項，以反制殺軟及安全程序。該病毒還嘗試感染非系統目錄下的exe文件，添加新的區塊，寫入病毒代碼。

services.exe是微軟windows操作系統的一部分。用于管理啟動和停止服務。該進程也會處理在計算機啟動和關機時運行的服務。這個程序對你系統的正常運行是非常重要的。終止進程后會重啟。正常的services.exe應位于%systemroot%system32文件夾中，也就是在進程里用戶名顯示為“system”，不過services也可能是w32.randex.r（儲存在%systemroot% system32目錄）和sober.p（儲存在%systemroot%connection wizardstatus目錄）木馬。該木馬允許攻擊者訪問你的計算機，竊取密碼和個人數據。該進程的安全等級是建議立即刪除。

這兩種病毒產生于2008年，這兩種病毒能夠進行主動傳播。它們利用微軟操作系統的ms08-067漏洞，將自己植入未打補丁的電腦，并以局域網、u盤等多種方式進行傳播。

3.2 導致本次事故之硬件防火墻缺點

所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使internet與intranet之間建立起一個安全網關（security gateway），從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。

防火墻需要通過對訪問規則的定義來防止網絡外的攻擊，軟件需要適時更新才能滿足不斷升級的病毒攻擊需要。如果軟件規則未及時更新，隨著互聯網病毒的不斷發展，很難檢查出來那些是有危險的數據包，在某些條件滿足時，病毒就會進入到局域網絡中來。

3.3 病毒產生危害

（1） 操作站不能操作，鍵盤鼠標全部失靈，數據不刷新；出現關機倒計時對話框，不可控，直至自動關機重起。感染病毒后一般會首先導致監控數據刷新速度變慢，然后監控出現一些異常的錯誤，最終會導致系統崩潰。所以一旦計算機感染病毒，將會直接影響到控制系統的正常運行，對現場的安全生產有極大地危害性。

（2） 控制站是從設計上就沒有采用自己設計的高效操作系統和數據總線，為單片機形式，是不會感染病毒的。如果有病毒發作，只要及時斷開外部網絡、處理好操作站，基本不會影響生產。

3.4 系統中病毒的處理過程

（1） 以控制站點為單位，切斷所有與外部控制站、操作站聯網網線，安裝殺毒軟件查殺病毒。

（2） 利用internet網絡，收集病毒相關信息及傳播途徑，下載針對該病毒的補丁程序。下載專殺工具，360頑固木馬專殺大全，經過最新版殺毒軟件殺毒后安裝到操作站殺毒。

（3） 利用卡巴斯基殺毒軟件，配合瑞星殺毒軟件一起查殺。

（4） 操作站單機殺毒完畢待操作系統運行正常后，格式化感染病毒盤符，重新安裝win2000系統，打好補丁程序。備份過后把瑞星殺毒軟件安裝上進行全面殺毒一次，載入各操作站相應的組態，確認正常后做為備機。

（5） 待操作站處理達到一半以上，斷開所有操作站的網線，同時斷開主控卡的網線，斷開20到30秒左右，然后把另一半剛做好的備機聯上網，聯網過程中如果出現任何問題，如果異常立即把所有備機網線取下，恢復原來操作站網線。（由于該病毒是感染的系統文件，雖然對交換機和主控卡構不成影響，有條件的崗位最好把交換機、主控卡進行掉電處理。）

通過這次故障的處理，重新評價該系統與外網連接的安全性，根據防火墻與隔離網關的特性，并結合pims廠家，制定出了詳細的改造方案；同時從管理方面與技術方面制定詳細的防范措施，最大限度的確保工控系統的運行安全。

4、 結束語

工控系統與互聯網的安全對接是一個綜合性的課題，涉及技術、管理、使用等許多方面，既包括信息系統本身的安全問題，也有物理的和邏輯的技術措施，通過一系列的管理措施及技術措施的規定與實行，做到最大限度的確保系統的安全運行。

責任編輯：gt