《某厂#3机组DCS病毒发作,导致操作站死机故障分析及处理.pdf》由会员分享,可在线阅读,更多相关《某厂#3机组DCS病毒发作,导致操作站死机故障分析及处理.pdf(3页珍藏版)》请在三一文库上搜索。
1、第 1 页 共 3 页 某厂#3 机组 DCS 病毒发作,导致操作站死机故障分析及处理 2009 年 3 月 17 日, 某厂3 机组 DCS 系统 MMI 人机接口站出现屏幕数据不刷新 (除 大屏显示正常外) ,网络数据通讯堵塞,无法进行操作,仅能通过大屏进行监控的情况。 电研院热工所会同电厂热工人员进行紧急处理。经过紧急查杀毒并暂时加装防火墙软件 后恢复正常。事后检查分析原因是系统存在的病毒爆发引起。 一、事件现象及处理一、事件现象及处理 2009 年 3 月 11 日 10 时 20 分,某厂3 机组 MMI 人机接口站(除了大屏,包括工 程师站和操作员站)突然全部死机,数据无法刷新,无
2、法进行操作,仅能通过大屏进行 监控。电试院热工人员协同电厂热工人员进行紧急处理。主要处理过程: 1)对操作员站关机后重新启动,前几分钟基本正常,但之后数据又无法刷新,CPU 负荷率达到 100,scvhost.exe 进程占用大量资源。 2)用 WINDOWS 清理助手扫描,发现 IRIWWL.DLL 文件含未知木马程序风险并隔离, 重启后操作员站正常,安装 symantec 防火墙。 3)至 17 时 40 分,4 台 MMI 站和历史站已恢复运行,其余也正在进行恢复。在上述 站点恢复数据刷新后,进行了操作站上的操作试验,确认了操作指令可以发出,运行正 常。恢复过程中还发现有 1 台操作员站
3、的 1 块网卡损坏,有 1 台操作员站无法启动,进 行了更换处理。 4) 安装防火墙后, 其它站无法读取历史站的历史数据, 后将历史站的 IP 设置为“信 任站点”后,并将防火墙安全等级设置为最低,可以读取历史数据。 5)更新 symantec 病毒库后进行扫描查毒,发现 w32.downadup 病毒(感染文件较 多) ,依次对各操作站分别进行杀毒操作。 6)杀毒完成后,重启主机并恢复网络(不久后 symantec 防火墙又发现新的感染文 件) 。为此进行试验,选择 1 台操作站重新杀毒后重新启动,较长时间单独运行正常; 后连接 A/B 网,不久即发现病毒。因而可以认为该 w32.downa
4、dup 蠕虫病毒在网络中迅 速传播。 通过上述故障处理措施,紧急恢复了操作员站及工程师站、历史站的正常运行,满 足了机组正常运行的要求。 二、原因分析二、原因分析 在联系了新华公司 DCS 技术服务人员至现场后,热工所人员及电厂设备部、信息技 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 第 2 页 共 3 页 术部人员一同对 3 号机组 DCS 系统故障的原因进行了分析,同时对当前故障处理的措施 进行了评估,认为: 1) 此次#3 机组 DCS 系统发生的网络通讯故障, 主要是由于上位机中存在蠕虫病毒, 在网络通讯过程中,蠕虫病毒大量发数据包,致使 C 网网络通讯量巨大
5、,而使 DCS 系统 数据通讯交换堵塞。 2)#3 机组 DCS 系统的上位机中,仅安装了 windows 操作系统的初始版,未安装任 何系统补丁(server pack) ,windows 操作系统存在安全漏洞,一旦病毒侵入,windows 操作系统未能有效进行防止,影响上位机的正常工作。大屏所连接的操作站正是由于之 前更换主机时安装了带 SP4 补丁的新操作系统,因而在此次故障中仍正常运行。目前#3 机组的上位机均安装了 windows 操作系统系统补丁(server pack 4) ,对于病毒的控制 (输入与输出)作用较强,起到了系统安全的保障作用。同时安装了新的上位机以便其 他上位机故
6、障时备用。 3)进一步分析其病毒可能的来源有两路,一路是 DCS 系统工程师站的 USB 外接储 存设备,由于外接储存设备可能存在病毒而感染上位机;一路是 DCS 系统与 SIS 系统通 讯建立初期,双方进行数据交换过程中,病毒可以由 SIS 系统向 DCS 系统侵入。 4)目前#3 机组的上位机均安装了防火墙。安装防火墙能有效隔断病毒的侵入,但 DCS 厂家对于安装防火墙存在歧义, 认为防火墙的安装, 有可能影响 DCS 系统数据交换, 特别是在机组开停机过程中,由于数据交换量大,防火墙对各类通讯数据均要作询问, 会影响机组的安全操作,DCS 厂家不支持在上位机中安装防火墙。 三、措施及建议
7、三、措施及建议 1)由于目前病毒未能深层的查杀,该机组中仍存在病毒。为全面的防止病毒的存 在,建议在停役时对#3、#4 机组及公用系统的上位机进行磁盘格式化,以便彻底查杀病 毒,重新安装 windows 操作系统及补丁(server pack 4) ,提高 windows 操作系统的安 全性。同时停用 DCS 系统的网络交换机,并对网络交换机进行停电处理后再恢复网络通 讯。 2)由于#3、#4 机组通过公用系统的连接存在网络数据的通讯,建议病毒的查杀工 作最好#3、#4 机组同时进行。若难以争取到#3、#4 机组同时停役的机会,可利用单机 停役的机会完成单台机组的病毒清理,并暂时隔断公用系统的
8、连接,等两台机组均完成 杀毒工作后再恢复。 3)在对上位机进行磁盘格式化之前,应对机组的历史数据进行备份,以便于今后 查阅机组的历史数据。 4)基于 DCS 厂家的要求,需卸载已装上位机中的防火墙程序。 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 第 3 页 共 3 页 5)在 DCS 系统(包括辅控系统)与 SIS 系统的数据交换通讯中,加装物理隔离器, 防止 DCS 系统(包括辅控系统)与 SIS 系统之间进行双向的数据传输。 6)严格执行工程师站和 SIS 系统机房管理制度,禁止使用外来移动储存设备连接 至上位机或 SIS 系统。 7)建议安排对电厂内其它的辅控网
9、络同样进行检查确认。 四四 监督意见监督意见 为了防止其他电厂机组类似异常事件的发生, 请省内其它存在同样 DCS 与 SIS 通讯 配置或使用新华 DCS 的电厂,应及时进行相应的检查核实,并制定防范措施: 1) 机组 DCS 系统与其它信息系统 (SIS/MIS) 之间的单向隔离应满足 DL/T 924-2005 火力发电厂厂级监控信息系统技术条件 、 电网和电厂计算机监控系统及调度数据网 络安全防护规定 (国家经贸委 2002)等相关规范要求,必要时增设物理隔离装置; 2)检查 DCS 系统上位机,确认操作系统补丁已安装,防止存在安全漏洞。 3)根据关于生产系统与信息系统网络隔离上的文件要求,严格执行相关管理制度, 防止由于外接设备造成病毒入侵 DCS 系统; 4)编制或完善机组 DCS 故障应急处理预案,并进行模拟演习操作,为今后机组发 生异常事件时处理提供参考依据。 PDF 文件使用 “pdfFactory Pro“ 试用版本创建