自控系统SCADA信息安全常见故障处理方法

SCADA系统信息安全常见故障处理方法

1、 PLC通讯中断 ................................................. - 2 -

2、站控机中毒导致工程运行不正常或不能启动 ....................... - 3 -

3、站控数据不更新............................................... - 6 -

4、第三方设备通讯故障........................................... - 8 -

5、 RCI自动停机 ................................................ - 10 -

6、由于RCI需要轮询点数过多导致的故障 .......................... - 12 -

7、阀室数据上传故障............................................ - 14 -

8、甪直站调压橇压变PT5802传输数据错误的故障处理 ............... - 17 -

9、压气站HIMA ERROR故障分析和处理报告 ......................... - 19 -

10、控制网组网不正常........................................... - 43 -

11、 ANYBUS COMMUNICATOR与ESD系统通讯中断...................... - 46 -

12、 I/O模块通讯故障............................................ - 48 -

13、 AB PLC系统ETHERNET冗余网络通讯A网失败后B网不能工作...... - 49 -

14、北调无法看到ESD系统中的模拟量 ............................. - 54 -

15、通讯服务器冗余配置失败..................................... - 55 -

16、配置路由器时在配置界面上出现乱码 ........................... - 60 -

17、 DDN通讯中断 ............................................... - 61 -

18、站场与北调的通讯频繁闪断................................... - 62 -

19、路由器用户名、密码失败，无法登录及配置 ..................... - 62 -

20、第三方设备与上位机通讯无法建立或通讯不正常 ................. - 64 -

21、机柜间到站控室的1#光纤不通................................. - 70 -

22、 HIRSCHMANN交换机IP地址设置................................ - 72 -

23、交换机及路由器对应端口通讯方式配置 ......................... - 78 -

24、洛阳分输站与北京调控中心通讯中断 ........................... - 84 -

1、PLC通讯中断

1、故障现象

站控机中有“PLC通讯中断”报警，且相应的NOE模块会显示“Fault”红灯亮。

2、故障原因

NOE以太网模块网络地址配置错误，造成PLC通信不能实现冗余，主备切换后无法实现PLC与RCI间的通讯。比如说济南站的主备两个NOE模块的IP按照IP点表上应该是172.17.62.65（主）和172.17.62.67（备），另有172.17.62.68这个IP 是预留未使用的，如果错吧172.17.62.67配制成172.17.62.68，由于RCI识别的NOE 模块IP是172.17.62.67而非172.17.62.68，就会造成主备切换时，PLC与RCI通讯不上而出现通讯故障报警,该报警将显示在站控机界面上。

3、解决方法

（1）首先确认PLC、交换机、RCI间各网线接口没有虚接或掉落的。

（2）对照IP表，试着ping PLC两个NOE以太网模块的IP地址，哪个地址ping 不同，就说明哪个模块有问题。可以通过上次备份的PLC工程查找到NOE的网络设置，如图8.1.3和图8.1.4的操作步骤即可看到。可以对各NOE模块的网络进行设置，即“Internet Address”、“Subnet Mask”和“Gateway”。

（3）在笔记本上打开Concept软件，打开原先备份好的工程，可以通过网线或串口线连接PLC（如果两个NOE模块的地址实在找不到的话），按照（2）中的方法重新设置好网络后，重新下载程序到PLC的控制器中。

（4）断开笔记本电脑与PLC的链接，对PLC的备机进行热备设置。将备机

CHS热备模块的钥匙开关拨到“Xfer”挡，按下程序更新按钮，然后

松开按钮，会看到备机架的CHS模块显示“Standby”橙色灯亮，当该灯常亮以后

则表示热备完成，这时备机架CPU模块的“Run”绿灯将变亮，主机架CHS模块

的“Primary”绿灯常亮。

（5）PLC与RCI的通讯恢复以后，站控机电脑屏幕上“PLC通讯中断”报警

可以确认掉。

2、站控机中毒导致工程运行不正常或不能启动

1、故障现象

站控机工程运行不正常或不能启动。

2、故障原因

站控机外接移动存储设备而中毒，病毒影响Viewstar软件的正常使用。

3、解决办法

采用瑞星杀毒软件、病毒专杀工具（如Worm.LovGate爱情后门专杀）对站控机进行杀毒。

（1）图8.2.1为靖边站在用瑞星对站控机进行查杀后的情况，图中可见病毒名称都为Backdoor.SdBot.wgb，一种集后门、蠕虫功能于一体的，通过网络共享和操作系统漏洞进行传播的病毒。病毒会尝试通过弱密码登陆目标系统，还会在感染的电脑上打开后门接收攻击者发出的指令，然后连接特定的IRC服务器通知攻击者病毒的存在。病毒会扫描网段内的机器并猜测共享密码，占用大量网络带宽资源，容易造成局域网阻塞。它通过IRC服务器接受攻击者发出的指令，例如安装/卸载后门、下载并运行文件、结束进程、运行代理服务器、盗取流行游戏的账号、对指定的IP 进行DOS（拒绝服务）攻击等。

（2）2009年12月16日，红柳站站控机工程无法启动，每次启动后提示“LSASS.EXE出错,系统将在60秒内自动关闭！”，然后在指定的时间内自动重启。然后维护人员在安全模式下用瑞星对站控机进行病毒查杀，杀出了大量的“packer.main007”木马。查杀结束后重启站控机和工程，Viewstar运行恢复正常。