2023年11月14日

实战记录丨记一次SCADA数据采集异常的故障排查

作者 admin

工控数据采集设备_城市市政综合监管信息系统监管数据无线采集设备_设备数据智能采集终端/

点击上方“旷恩网”订阅更多!

城市市政综合监管信息系统监管数据无线采集设备_设备数据智能采集终端_工控数据采集设备/

城市市政综合监管信息系统监管数据无线采集设备_工控数据采集设备_设备数据智能采集终端/

背景介绍

这不是虚构的故事,以下人物均使用真名。

我:匡恩研究院是西南某地区的专家。

张先生:宽根授权代理商,西南某公司技术总监,工业自动化资深专家。

17点35分,电话响了。 这是今天的第37个电话!

按下接听键:“张总,您好!按照我之前的建议,目前情况如何?”

代理张总:“王总您好,关于SCADA数据采集异常,根据您给出的排查建议,现场检查已经完成,目前怀疑是病毒引起的异常. 由于本机属于机密,请携带专业设备到现场协助诊断故障原因……”

下面就本次故障事件的现象进行说明,并对事件原因进行分析。

1个

症状

2017年1月,西南某省省会城市生活垃圾发电厂运行状态监控系统(SCADA)系统投入试运行。 在城管中心机房进行存储、分析、集中展示,为全市数字化城管提供城市管理参考和依据。 系统自上线以来一直运行正常。 4月初以来,5个电厂前端数据采集站监测数据出现间歇性故障。 出现该故障时,PLC、上位机、实时数据库、历史数据库、数据采集网关等设备服务正常工作。

2个

故障分析

根据ANSI/ISA-95.00.01企业分层模型,工控企业结构可分为五层(Level 0-4):现场设备层、现场控制层、过程监控层、运营管理层和企业管理层。 当发生故障时,过程监控层的监控、显示系统、实时数据库、通讯处理等稳定工作,能够正常监控和显示现场工作设备。 那么故障的范围可能在系统管理和监控控制的管理层面。 在这一层,与故障相关的资产包括:OPC服务器、前端数据采集站和承载数据传输的网络。

在确定可能导致故障的范围和对象后,对可疑资产进行单独排查。

网络分析

我们将安检系统接入OPC服务器,交换机网络镜像端口接入前端数据采集站,获取工控流量进行分析。 下面是访问图:

工控数据采集设备_设备数据智能采集终端_城市市政综合监管信息系统监管数据无线采集设备/

通过临时巡检系统显示的实时分析结果,我们发现工业控制网络中存在明显的异常连接。 源IP地址的20000多个不同端口与同一目标IP的51000端口建立了连接,源IP被定位和确定。 IP对应的资产为前端数据采集站。 下面是网络连接示意图。

工控数据采集设备_城市市政综合监管信息系统监管数据无线采集设备_设备数据智能采集终端/

前端数据采集站分析

为满足监管部门和企业生产管理的要求,电厂将监管所需的底层数据通过OPC上传至数据采集站,监管部门的监控系统直接从电厂数据库中提取植物数据采集站。

在数据采集站,我们检查了网络连接、异常进程、注册表、可疑账户、工控病毒等项目,发现机器上存在大量异常连接,也与所示情况一致通过网络流量分析。 追踪建立连接进程的PID值为1636,据此确定DatagatherApp.exe是导致连接异常的罪魁祸首。 该程序是某厂商的数据采集代理客户端。

设备数据智能采集终端_城市市政综合监管信息系统监管数据无线采集设备_工控数据采集设备/

SCADA数据采集异常分析

代理构建的SCADA前端数据采集站数据采集应用程序工作端口为40000-50000之间的任意范围。 但是某厂商4月份在数据采集站新安装的数据采集代理客户端运行后,会占用40000到65535的20000多个端口连接到数据接收服务器的51000端口,从而导致SCADA数据采集应用程序工作端口被占用,导致数据传输异常。

3个

故障事件总结

至此,SCADA数据挖掘异常的排查应该结束了,但是思考还远远没有结束:

监管部门通过互联网环境从电厂工控系统采集数据。 虽然不直接与PLC等现场控制层设备相连,但客观上存在诸多威胁。 这种数据访问方式会不会给工控系统带来很大的危害呢? 那风险呢?

在已经发生的工控安全事件中,类似的情况现在还有很多,比如:2015年,乌克兰电厂遭到BLACKENERGY(暗能量)攻击,造成大面积停电; 2016年1月28日,以色列供电系统遭受最大规模网络攻击; 2016年3月24日,伊朗黑客入侵纽约鲍曼大道大坝的防洪系统; 2016年8月27日,伊朗民防部门负责人Gholamreza Jalali向路透社透露,近期发生的石化公司火灾是由网络攻击等引起的。

城市市政综合监管信息系统监管数据无线采集设备_工控数据采集设备_设备数据智能采集终端/