SCADA系统信息安全常见故障处理方法
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(8)通常经过以上工作都可以恢复站控机数据的更新,如果上工作都不起作用,则需查看网络连接上有没有虚接的或断线的,交换机是否工作正常等。确认网络连接无问题后,可对RCI进行更换或硬件升级,提高其工作性能。
4、第三方设备通讯故障
1、故障现象
在站控机上出现第三方设备通讯故障报警,如UPS通讯故障、流量计算机通讯故障、低压配电盘通讯故障、燃气发电机通讯故障等。
(d)使用瑞星注册表修复工具修复注册表;
(e)重启站控机后可再进行一次全盘杀毒。
3、站控数据不更新
1、故障Байду номын сангаас象
站场SCADA系统的站控电脑上显示的数据部分或大部分不能及时更新,数据处以橙色状态显示,如图8.2.5所示。以进出站压力或温度为例,如果这些数据不能及时更新,那么Viewstar日报表中每小时进出站压力或温度所记录的值同样也是不更新的,即固定不变。这样值班人员将不能正确判断站场的实际生产情况,形成较大的安全隐患。
(3)换上新的电源,重新固定好,并将各插头插上,整理好内部电线后盖上盖板。将串口线、网口重新接上,重新上电,观察电源灯绿灯、运行灯蓝灯是否常亮,常亮为正常。在上位机中使用指令对RCI进行切换,将更换好的RCI切换为主(为了减少对设备的损害,最好是采用软切换,但也可用硬切换,即关掉原先无故障的那台RCI,观察当前已维修的RCI是否能自动切换为主),测试设备运行是否正常。如果在上位机中的各种操作均无问题,则说明当前RCI工作正常,故障已排除。
(5)如果以上都不起作用,可以先将站控机工程停掉,然后把两台RCI分别重启,之后再重启工程,再观察数据显示是否恢复正常。
(6)如果以上都不起作用,可以将站控机工程停掉以后对站控机进行重启,主要还是为了刷新站控电脑的网络连接,然后重启工程,再观察数据显示是否恢复正常。
(7)如果以上都不起作用,可以用站控机的备份工程替换现有工程,再观察数据显示是否恢复正常。
在该对话框中将“轮询”勾选上,点击应用。通常情况下,站控数据都会进行一次刷新,原先不变的数据都会发生变化,橙色变成白色即恢复正常。如果变化不大,可再轮询几次。
(3)如果以上都不起作用,可以对两台RCI进行切换,将原先为备用的切换到主用,并可重复(1)、(2)步,看看数据显示是否恢复正常。
(4)如果以上都不起作用,可以将站控机工程停掉,然后再重启工程,再观察数据显示是否恢复正常。
附件5SCADA系统信息安全常见故障处理方法
1、PLC通讯中断
1、故障现象
站控机中有“PLC通讯中断”报警,且相应的NOE模块会显示“Fault”红灯亮。
2、故障原因
NOE以太网模块网络地址配置错误,造成PLC通信不能实现冗余,主备切换后无法实现PLC与RCI间的通讯。比如说济南站的主备两个NOE模块的IP按照IP点表上应该是172.17.62.65(主)和172.17.62.67(备),另有172.17.62.68这个IP是预留未使用的,如果错吧172.17.62.67配制成172.17.62.68,由于RCI识别的NOE模块IP是172.17.62.67而非172.17.62.68,就会造成主备切换时,PLC与RCI通讯不上而出现通讯故障报警,该报警将显示在站控机界面上。
5、RCI自动停机
1、故障现象:
RCI自动停机,蓝色运行指示灯熄灭,绿色电源指示灯闪烁(正常运行下蓝灯、绿灯都常亮),断电并重新上电启动后设备能运行,但只维持一段时间后会再次停机,有的RCI甚至不能重新启动。
2、故障原因:
RCI长期不间断运行,致使其电源(型号HP-U280EF3)内部芯片老化损坏,或电源风扇损坏,无法给RCI正常供电,致使设备自动停机。
一个简单的例子:比如某分输站的电动调压阀采用压力PID控制出站压力时,门站用气量突然减小了(如气罐车停止加气),但门站没有事先通知我分输站值班人员,而PID控制具有一定的滞后性,使得出站天然气因憋压而迅速上升。但是这时由于站控数据不能及时更新,造成值班人员未能及时发现,使得出站压力在有限的时间内能超过安全泄放阀设定压力,使得安全泄放阀放空。这本来是一个完全可以避免的情况。
(3)在笔记本上打开Concept软件,打开原先备份好的工程,可以通过网线或串口线连接PLC(如果两个NOE模块的地址实在找不到的话),按照(2)中的方法重新设置好网络后,重新下载程序到PLC的控制器中。
(4)断开笔记本电脑与PLC的链接,对PLC的备机进行热备设置。将备机CHS热备模块的钥匙开关 拨到“Xfer”挡,按下程序更新按钮,然后松开按钮,会看到备机架的CHS模块显示“Standby”橙色灯亮,当该灯常亮以后则表示热备完成,这时备机架CPU模块的“Run”绿灯将变亮,主机架CHS模块的“Primary”绿灯常亮。
2、故障原因
(1)站控机与RCI间的日期时间不一致;
(2)RCI长时间不间断工作,硬件老化,工作性能下降;
(3)RCI内部配置不高;
(4)第三方设备(如流量计算机、UPS)又不断地增加,数据采集量增大,工作负担加重;
(5)网络中有网线虚接或断开的地方。
这些使得RCI不能及时采集各种第三方设备的数据,即发生数据丢失现象,从而影响数据库中数据的准确性。
2、故障原因
(1)第三方设备停机或断电。
(2)通讯回路断路或有源1转2接口插头接触不良。
3、解决办法
(1)对于由设备停机或断电造成的通讯故障,无非是去查找设备本身停机的原因,以重新起机恢复通讯。
(2)而由通讯线路引起的通讯故障通常都集中在LSU 232_2防雷有源1转2接口上。LSU 232_2是用来将第三方设备的数据分别同时传到两台冗余的RCI通讯服务器用的:
(a)可以接收到第三方设备的数据,则将来至第三方设备的串口接至C line口,分别用笔记本电脑接A line和B line口,检测到是否可以接收到第三方设备的数据。如果接收不到,则表明LSU 232_2故障,需维修或更换。
(b)不可以接收到第三方设备的数据,则需查看来至第三方设备的数据线路是否有断路或设备本身存在故障。
(2)2009年12月16日,红柳站站控机工程无法启动,每次启动后提示“LSASS.EXE出错,系统将在60秒内自动关闭!”,然后在指定的时间内自动重启。然后维护人员在安全模式下用瑞星对站控机进行病毒查杀,杀出了大量的“packer.main007”木马。查杀结束后重启站控机和工程,Viewstar运行恢复正常。
(c)使用Free Window Registry Repair注册表清理工具清理注册表中的垃圾信息。也可手动清除,下面是手动清除的需要删除的项目:
HKEY_CLASSES_ROOT/WindowFiles
HKEY_CURRENT_USER/Software/VB and VBA Program Settings
由SYSTEM执行的lsass.exe是“无害”的系统进程,用于微软Windows系统的安全机制,本地安全和登陆策略。但是假如在站控机的任务管理器中同时看到lsass.exe和LSASS.EXE这两个进程,则表明站控机已经中了Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm病毒,或者是该病毒的变种。LSASS.EXE在任务管理器中显示为当前用户在执行,而非SYSTEM在执行,该病毒通过软盘、群发邮件和P2P文件共享进行传播。解决办法如下:
LSU 232_2的“A on”灯对应A line,“B on”对应B line,这两个灯亮则表明第三方设备到对应的1#RCI和2#RCI是接通的,“TxD”或“RxD”灯闪烁则表示目前第三方设备正在与RCI进行数据的发送或接收。通过观察这些指示灯的情况即可判断当前的第三方设备通讯情况。
通常第三方设备通讯故障都是由于“C line”处的串口插得不稳所至,因为该口串口的固定螺丝不容易固定住插头(硬件设计造成),开关机柜门时容易碰到该插头串口线,导致插头松动,从而引起通讯故障。这时只需要紧固一下该插头既可。
3、解决办法
RCI与很多第三方设备进行通讯,包括PLC、UPS、低压配电盘、流量计算机和燃气发电机等等,因为它与PLC的通信量最大,所以在此以它与PLC的通讯为例进行说明。解决数据不更新的步骤如下:
(1)在站控机上打开校时软件,对站控机进行校时,将其时钟与RCI同步。
(2)在站控机操作的系统配图界面,从中找到图标 ,点击弹出一个对话框。
(a)使用prockiller进程杀手终止LSASS.EXE进程;
(b)删除病毒文件(有的文件可能没有):
C:/Program Files/Common Files/INTEXPLORE.pif
C:/Program Files/Internet Explorer/
C:/WINDOWS/EXERT.exe
C:/WINDOWS/IO.SYS.BAK
C:/WINDOWS/LSASS.exe
C:/WINDOWS/Debug/DebugProgram.exe
C:/WINDOWS/system32/
C:/WINDOWS/system32/
C:/WINDOWS/system32/
(3)如若发现LSU 232_2的指示灯都不亮了,可以用万用表检测其电源输入端电压,看看供电是否正常。如果电压为0,则需检查电源线路情况,以恢复供电。
如果电压正常(24VDC),且无串口虚接情况,则需判断LSU 232_2是否故障。可用调试笔记本接到来至第三设备的串口,通过在电脑上运行串口调试工具,来检测是否能够接收到第三方设备的数据。
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main下面的Check_Associations项
KEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet/INTEXPLORE.pif
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下面的ToP项
(5)PLC与RCI的通讯恢复以后,站控机电脑屏幕上“PLC通讯中断”报警可以确认掉。
2、站控机中毒导致工程运行不正常或不能启动
1、故障现象
站控机工程运行不正常或不能启动。
2、故障原因
站控机外接移动存储设备而中毒,病毒影响Viewstar软件的正常使用。
3、解决办法
采用瑞星杀毒软件、病毒专杀工具(如Worm.LovGate爱情后门专杀)对站控机进行杀毒。
3、解决办法:
更换RCI电源。但如能检查出电源的损坏部件,则可对该部件进行更换,以减少成本,如淮安站就曾经有一个电源是K419 TNY2684 28021B芯片损坏(过电流或过热导致损坏)。
电源更换步骤如下:
(1)对故障的RCI下电,将后板插槽上的串口线、网线断开,取出RCI,打开设备上盖板。
(2)找到RCI的电源,将与电源相连的各插头拔下,然后松开固定螺母,将故障电源取出。
3、解决方法
(1)首先确认PLC、交换机、RCI间各网线接口没有虚接或掉落的。
(2)对照IP表,试着ping PLC两个NOE以太网模块的IP地址,哪个地址ping不同,就说明哪个模块有问题。可以通过上次备份的PLC工程查找到NOE的网络设置,如图8.1.3和图8.1.4的操作步骤即可看到。可以对各NOE模块的网络进行设置,即“Internet Address”、“Subnet Mask”和“Gateway”。
(1)图8.2.1为靖边站在用瑞星对站控机进行查杀后的情况,图中可见病毒名称都为Backdoor.SdBot.wgb,一种集后门、蠕虫功能于一体的,通过网络共享和操作系统漏洞进行传播的病毒。病毒会尝试通过弱密码登陆目标系统,还会在感染的电脑上打开后门接收攻击者发出的指令,然后连接特定的IRC服务器通知攻击者病毒的存在。病毒会扫描网段内的机器并猜测共享密码,占用大量网络带宽资源,容易造成局域网阻塞。它通过IRC服务器接受攻击者发出的指令,例如安装/卸载后门、下载并运行文件、结束进程、运行代理服务器、盗取流行游戏的账号、对指定的IP进行DOS(拒绝服务)攻击等。
4、第三方设备通讯故障
1、故障现象
在站控机上出现第三方设备通讯故障报警,如UPS通讯故障、流量计算机通讯故障、低压配电盘通讯故障、燃气发电机通讯故障等。
(d)使用瑞星注册表修复工具修复注册表;
(e)重启站控机后可再进行一次全盘杀毒。
3、站控数据不更新
1、故障Байду номын сангаас象
站场SCADA系统的站控电脑上显示的数据部分或大部分不能及时更新,数据处以橙色状态显示,如图8.2.5所示。以进出站压力或温度为例,如果这些数据不能及时更新,那么Viewstar日报表中每小时进出站压力或温度所记录的值同样也是不更新的,即固定不变。这样值班人员将不能正确判断站场的实际生产情况,形成较大的安全隐患。
(3)换上新的电源,重新固定好,并将各插头插上,整理好内部电线后盖上盖板。将串口线、网口重新接上,重新上电,观察电源灯绿灯、运行灯蓝灯是否常亮,常亮为正常。在上位机中使用指令对RCI进行切换,将更换好的RCI切换为主(为了减少对设备的损害,最好是采用软切换,但也可用硬切换,即关掉原先无故障的那台RCI,观察当前已维修的RCI是否能自动切换为主),测试设备运行是否正常。如果在上位机中的各种操作均无问题,则说明当前RCI工作正常,故障已排除。
(5)如果以上都不起作用,可以先将站控机工程停掉,然后把两台RCI分别重启,之后再重启工程,再观察数据显示是否恢复正常。
(6)如果以上都不起作用,可以将站控机工程停掉以后对站控机进行重启,主要还是为了刷新站控电脑的网络连接,然后重启工程,再观察数据显示是否恢复正常。
(7)如果以上都不起作用,可以用站控机的备份工程替换现有工程,再观察数据显示是否恢复正常。
在该对话框中将“轮询”勾选上,点击应用。通常情况下,站控数据都会进行一次刷新,原先不变的数据都会发生变化,橙色变成白色即恢复正常。如果变化不大,可再轮询几次。
(3)如果以上都不起作用,可以对两台RCI进行切换,将原先为备用的切换到主用,并可重复(1)、(2)步,看看数据显示是否恢复正常。
(4)如果以上都不起作用,可以将站控机工程停掉,然后再重启工程,再观察数据显示是否恢复正常。
附件5SCADA系统信息安全常见故障处理方法
1、PLC通讯中断
1、故障现象
站控机中有“PLC通讯中断”报警,且相应的NOE模块会显示“Fault”红灯亮。
2、故障原因
NOE以太网模块网络地址配置错误,造成PLC通信不能实现冗余,主备切换后无法实现PLC与RCI间的通讯。比如说济南站的主备两个NOE模块的IP按照IP点表上应该是172.17.62.65(主)和172.17.62.67(备),另有172.17.62.68这个IP是预留未使用的,如果错吧172.17.62.67配制成172.17.62.68,由于RCI识别的NOE模块IP是172.17.62.67而非172.17.62.68,就会造成主备切换时,PLC与RCI通讯不上而出现通讯故障报警,该报警将显示在站控机界面上。
5、RCI自动停机
1、故障现象:
RCI自动停机,蓝色运行指示灯熄灭,绿色电源指示灯闪烁(正常运行下蓝灯、绿灯都常亮),断电并重新上电启动后设备能运行,但只维持一段时间后会再次停机,有的RCI甚至不能重新启动。
2、故障原因:
RCI长期不间断运行,致使其电源(型号HP-U280EF3)内部芯片老化损坏,或电源风扇损坏,无法给RCI正常供电,致使设备自动停机。
一个简单的例子:比如某分输站的电动调压阀采用压力PID控制出站压力时,门站用气量突然减小了(如气罐车停止加气),但门站没有事先通知我分输站值班人员,而PID控制具有一定的滞后性,使得出站天然气因憋压而迅速上升。但是这时由于站控数据不能及时更新,造成值班人员未能及时发现,使得出站压力在有限的时间内能超过安全泄放阀设定压力,使得安全泄放阀放空。这本来是一个完全可以避免的情况。
(3)在笔记本上打开Concept软件,打开原先备份好的工程,可以通过网线或串口线连接PLC(如果两个NOE模块的地址实在找不到的话),按照(2)中的方法重新设置好网络后,重新下载程序到PLC的控制器中。
(4)断开笔记本电脑与PLC的链接,对PLC的备机进行热备设置。将备机CHS热备模块的钥匙开关 拨到“Xfer”挡,按下程序更新按钮,然后松开按钮,会看到备机架的CHS模块显示“Standby”橙色灯亮,当该灯常亮以后则表示热备完成,这时备机架CPU模块的“Run”绿灯将变亮,主机架CHS模块的“Primary”绿灯常亮。
2、故障原因
(1)站控机与RCI间的日期时间不一致;
(2)RCI长时间不间断工作,硬件老化,工作性能下降;
(3)RCI内部配置不高;
(4)第三方设备(如流量计算机、UPS)又不断地增加,数据采集量增大,工作负担加重;
(5)网络中有网线虚接或断开的地方。
这些使得RCI不能及时采集各种第三方设备的数据,即发生数据丢失现象,从而影响数据库中数据的准确性。
2、故障原因
(1)第三方设备停机或断电。
(2)通讯回路断路或有源1转2接口插头接触不良。
3、解决办法
(1)对于由设备停机或断电造成的通讯故障,无非是去查找设备本身停机的原因,以重新起机恢复通讯。
(2)而由通讯线路引起的通讯故障通常都集中在LSU 232_2防雷有源1转2接口上。LSU 232_2是用来将第三方设备的数据分别同时传到两台冗余的RCI通讯服务器用的:
(a)可以接收到第三方设备的数据,则将来至第三方设备的串口接至C line口,分别用笔记本电脑接A line和B line口,检测到是否可以接收到第三方设备的数据。如果接收不到,则表明LSU 232_2故障,需维修或更换。
(b)不可以接收到第三方设备的数据,则需查看来至第三方设备的数据线路是否有断路或设备本身存在故障。
(2)2009年12月16日,红柳站站控机工程无法启动,每次启动后提示“LSASS.EXE出错,系统将在60秒内自动关闭!”,然后在指定的时间内自动重启。然后维护人员在安全模式下用瑞星对站控机进行病毒查杀,杀出了大量的“packer.main007”木马。查杀结束后重启站控机和工程,Viewstar运行恢复正常。
(c)使用Free Window Registry Repair注册表清理工具清理注册表中的垃圾信息。也可手动清除,下面是手动清除的需要删除的项目:
HKEY_CLASSES_ROOT/WindowFiles
HKEY_CURRENT_USER/Software/VB and VBA Program Settings
由SYSTEM执行的lsass.exe是“无害”的系统进程,用于微软Windows系统的安全机制,本地安全和登陆策略。但是假如在站控机的任务管理器中同时看到lsass.exe和LSASS.EXE这两个进程,则表明站控机已经中了Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm病毒,或者是该病毒的变种。LSASS.EXE在任务管理器中显示为当前用户在执行,而非SYSTEM在执行,该病毒通过软盘、群发邮件和P2P文件共享进行传播。解决办法如下:
LSU 232_2的“A on”灯对应A line,“B on”对应B line,这两个灯亮则表明第三方设备到对应的1#RCI和2#RCI是接通的,“TxD”或“RxD”灯闪烁则表示目前第三方设备正在与RCI进行数据的发送或接收。通过观察这些指示灯的情况即可判断当前的第三方设备通讯情况。
通常第三方设备通讯故障都是由于“C line”处的串口插得不稳所至,因为该口串口的固定螺丝不容易固定住插头(硬件设计造成),开关机柜门时容易碰到该插头串口线,导致插头松动,从而引起通讯故障。这时只需要紧固一下该插头既可。
3、解决办法
RCI与很多第三方设备进行通讯,包括PLC、UPS、低压配电盘、流量计算机和燃气发电机等等,因为它与PLC的通信量最大,所以在此以它与PLC的通讯为例进行说明。解决数据不更新的步骤如下:
(1)在站控机上打开校时软件,对站控机进行校时,将其时钟与RCI同步。
(2)在站控机操作的系统配图界面,从中找到图标 ,点击弹出一个对话框。
(a)使用prockiller进程杀手终止LSASS.EXE进程;
(b)删除病毒文件(有的文件可能没有):
C:/Program Files/Common Files/INTEXPLORE.pif
C:/Program Files/Internet Explorer/
C:/WINDOWS/EXERT.exe
C:/WINDOWS/IO.SYS.BAK
C:/WINDOWS/LSASS.exe
C:/WINDOWS/Debug/DebugProgram.exe
C:/WINDOWS/system32/
C:/WINDOWS/system32/
C:/WINDOWS/system32/
(3)如若发现LSU 232_2的指示灯都不亮了,可以用万用表检测其电源输入端电压,看看供电是否正常。如果电压为0,则需检查电源线路情况,以恢复供电。
如果电压正常(24VDC),且无串口虚接情况,则需判断LSU 232_2是否故障。可用调试笔记本接到来至第三设备的串口,通过在电脑上运行串口调试工具,来检测是否能够接收到第三方设备的数据。
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main下面的Check_Associations项
KEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet/INTEXPLORE.pif
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下面的ToP项
(5)PLC与RCI的通讯恢复以后,站控机电脑屏幕上“PLC通讯中断”报警可以确认掉。
2、站控机中毒导致工程运行不正常或不能启动
1、故障现象
站控机工程运行不正常或不能启动。
2、故障原因
站控机外接移动存储设备而中毒,病毒影响Viewstar软件的正常使用。
3、解决办法
采用瑞星杀毒软件、病毒专杀工具(如Worm.LovGate爱情后门专杀)对站控机进行杀毒。
3、解决办法:
更换RCI电源。但如能检查出电源的损坏部件,则可对该部件进行更换,以减少成本,如淮安站就曾经有一个电源是K419 TNY2684 28021B芯片损坏(过电流或过热导致损坏)。
电源更换步骤如下:
(1)对故障的RCI下电,将后板插槽上的串口线、网线断开,取出RCI,打开设备上盖板。
(2)找到RCI的电源,将与电源相连的各插头拔下,然后松开固定螺母,将故障电源取出。
3、解决方法
(1)首先确认PLC、交换机、RCI间各网线接口没有虚接或掉落的。
(2)对照IP表,试着ping PLC两个NOE以太网模块的IP地址,哪个地址ping不同,就说明哪个模块有问题。可以通过上次备份的PLC工程查找到NOE的网络设置,如图8.1.3和图8.1.4的操作步骤即可看到。可以对各NOE模块的网络进行设置,即“Internet Address”、“Subnet Mask”和“Gateway”。
(1)图8.2.1为靖边站在用瑞星对站控机进行查杀后的情况,图中可见病毒名称都为Backdoor.SdBot.wgb,一种集后门、蠕虫功能于一体的,通过网络共享和操作系统漏洞进行传播的病毒。病毒会尝试通过弱密码登陆目标系统,还会在感染的电脑上打开后门接收攻击者发出的指令,然后连接特定的IRC服务器通知攻击者病毒的存在。病毒会扫描网段内的机器并猜测共享密码,占用大量网络带宽资源,容易造成局域网阻塞。它通过IRC服务器接受攻击者发出的指令,例如安装/卸载后门、下载并运行文件、结束进程、运行代理服务器、盗取流行游戏的账号、对指定的IP进行DOS(拒绝服务)攻击等。