(广东大唐国际潮州发电有限公司 广东潮州 515723)
摘要:针对某电厂辅控网系统在升级改造过程中受病毒攻击导致部分系统失去监控的原因进行了分析,通过分析病毒攻击方式及受攻击电脑主机的异常情况,提出了事故预想及相关的预防处理措施,保障了火力发电厂辅控网系统安全稳定运行。
关键词:辅控网;病毒攻击;事件处理;防范措施
1 概况
某电厂辅控网系统是全厂辅助公用系统的监视和控制中心,包括化学制水、污水处理、制氢、制氯、净水站、精处理、电除尘、除灰、空压机、燃油、输煤等各子系统,包含了2台服务器、5台操作员站及1台工程师站,自2009年投入使用至今。本文针对该厂辅控网系统在升级改造过程中受病毒攻击导致部分系统失去监控异常现象,通过分析病毒攻击方式及受攻击电脑主机的异常情况,对事件的处理过程及原因进行了分析,对保障辅控网系统安全稳定运行提出了防范措施,对国内外火力发电厂辅控网系统发生异常情况的事故预想及处理方法具有良好的借鉴意义。
2 事件经过
某电厂辅网控制系统进行升级改造,两台服务器由window sever 2000系统升级成window sever 2012系统和五台操作员站由window xp系统升级成window 7系统,监控软件由ifix3.5升级成为ifix5.8,驱动和通讯协议均使用原先协议。在升级过程中,该电厂1、2号炉电除尘系统上位机、一期精处理系统就地操作员站及含煤废水就地操作员站(此四台电脑主机均为window 2000系统)均出现频繁自动重启现象,导致无法正常监控现场设备。
3 事件处理过程
.png)
图1 445端口的通讯情况
一期精处理操作员站、含煤废水操作员站及1、2电除尘上位机一样同为Windows2000系统,也存在一样的频繁自动重启的异常现象。使用一期精处理操作员站进行试验,在电脑上使用netstat -an命令和arp -a命令查找445端口数据通讯情况,发现通过使用445端口进行数据传送的IP地址中包含有部分虚拟地址及传输数据量大的地址,关闭该电脑上的445通讯端口后,一期精处理操作员站再次与辅控网进行连接,并未出现自动重启现象。
在一期精处理操作员站上使用Wireshark进行交换机镜像数据抓包分析,通过数据包分析当有以下IP地址(210.210.0.4—2号服务器、210.210.0.18—化学制水操作员站、210.210.0.22—工程师站1、210.210.0.48—老POC站5、210.210.0.180—一期电除尘导电滤槽上位机)的电脑主机通过利用445端口对一期精处理Win2000系统电脑发生大量数据包,致使电脑主机会出现频繁自动重启现象。为了证明是否只有这5个IP地址的电脑主机会对一期精处理电脑造成自动重启现象,在一期精处理电脑上策略中对这5个IP电脑的445端口逐个禁止或重新开放,经过多次试验后,最终确定只有这个5个IP电脑当通过445这个端口传输大量数据时就会导致一期精处理电脑出现自动重启。
随后分别在这五台电脑上安装专业的工控的杀毒软件进行查毒处理,查后发现病毒数达五十余种。将全部病毒压缩备份后查杀清除。同时逐一开放一期精处理操作员站接受五台电脑的445端口数据,此时发现该电脑主机没有再出现重启现象。查杀的病毒中均发现“wmassrv.dll”及“EnrollCertXaml.dll”此两个木马文件。咨询杀毒软件公司获知,“wmassrv.dll”及“EnrollCertXaml.dll”两个木马文件通过MS17-010漏洞进行传播感染,定时进行连接命令和更新模块,若其他电脑主机上没有MS17—010补丁,会容易被感染后对系统文件进行更改,从而引起电脑主机系统死机或重启现象。
经查阅网上资料,得知该木马病毒为“永恒之蓝”病毒,会不定时扫描开放着445端口共享文件的电脑主机,不需用户任何操作,自动感染电脑主机。
.png)
图2 一期精处理操作员站数据包通讯情况
.png)
图3 查杀到的病毒文件
接着对该电厂辅控网中其余电脑主机安装工控杀毒软件并进行杀毒并安装MS17-010系统补丁,也有部分电脑主机查杀出“永恒之蓝”病毒。
4 原因分析
(1)由于此次异常现象是发生在辅控网系统升级改造过程中,且是在新设备接入辅控网后才发现的,通过使用数据抓包程序及工控杀毒软件获知此次异常是由于电脑主机中携带了“wmassrv.dll”及“EnrollCertXaml.dll”两个病毒文件,通过MS17-010(永恒之蓝)漏洞进行传播,定时进行连接命令和更新模块,会对系统文件进行更改而引起系统死机或重启现象,是此次异常发生的主要原因。
(2)该电厂辅控网系统中多数电脑主机的445端口处于打开状态,445端口是一个毁誉参半的端口,它和139端口一起是IP入侵的主要通道。有了它,病毒才有了可乘之机,攻击其他电脑,致使出现死机或频繁重启的异常现象,是此次异常发生的次要原因。
(3)该厂辅控网系统仍有4台电脑主机的系统为Windows2000系统、20台电脑主机的系统为WindowsXP系统,微软公司分别于2010年7月13日和2014年4月8日终止支持发布Windows2000系统及WindowsXP系统的更新程序,Windows2000系统及WindowsXP系统也就成为许多高危电脑病毒的攻击目标,且由于多数电脑主机已持续使用多年,Windows操作系统及监控软件非官方正版,致使电脑系统运行不稳定,是此次异常发生的另一重要原因。
5 防范措施
针对此次辅控网的异常现象,提出以下几点防范措施:
(1)完善辅控网系统日常检修维护工作中接入网络的技术措施及管理措施,封闭所有工控局域网内电脑不使用的USB接口,防止病毒入侵,辅控网系统内部数据传输需使用专用的移动硬盘或者U盘,该移动硬盘或者U盘不可与外界电脑连接使用。
(2)关闭445等危险端口并及时更新、修补辅控网系统控制网络内部电脑主机操作系统缺失的漏洞补丁,提高控制网络自身的防病毒抵抗力;
(3)辅控网系统每台电脑主机上需安装长期有效的工控杀毒软件(及时更新病毒库),提高电脑主机的防病毒抵抗力;
(4)及时对使用时间长、操作系统落后、硬件设备老化的电脑主机进行升级改造,提升辅控网系统的安全系统,增强系统运行稳定性。
参考文献:
[1] 诸秉奇,王洪峰,张冬.火力发电厂辅控网络安全分析[J]- 吉林电力,2010(38).
[2] 田广霁.辅控网系统在发电厂的应用[J]-自动化系统工程专辑,2010(4).
[3] 苗松娟,杨丽君,姚文鹏,李宁,况伟.由永恒之蓝谈网络安全[J]-电脑知识与技术,2017(25).
作者简介:
邢楚源(1987—),男,助理工程师,主要从事火电厂热控设备的维护管理工作。