17：35分，手機(jī)來電鈴聲響起，這是今天第37個(gè)電話！

按下接聽鍵：“張總，您好！根據(jù)我之前的建議目前狀況如何？”

代理商張總：“您好，王老師，關(guān)于SCADA數(shù)據(jù)采集異常的事情，按您給的問題排查建議，已經(jīng)完成了現(xiàn)場(chǎng)檢查，目前懷疑是病毒導(dǎo)致的異常，由于該單位涉密，所以想請(qǐng)您帶專業(yè)設(shè)備到現(xiàn)場(chǎng)幫忙診斷故障原因……”

一、故障現(xiàn)象

2017年1月上線試運(yùn)行的西南某省省會(huì)城市生活垃圾發(fā)電廠工況運(yùn)行監(jiān)控系統(tǒng)（SCADA）系統(tǒng)，主要是采集本市5個(gè)垃圾焚燒發(fā)電廠生產(chǎn)及工況運(yùn)行數(shù)據(jù)，上傳至本市數(shù)字城管中心機(jī)房存儲(chǔ)、分析、集中展示，為本市數(shù)字城管提供城市管理參考和依據(jù)。系統(tǒng)自上線后一直運(yùn)行正常，從4月初起，5個(gè)發(fā)電廠前端數(shù)采站出現(xiàn)監(jiān)測(cè)數(shù)據(jù)時(shí)通時(shí)斷的故障情況，出現(xiàn)該故障時(shí)，PLC、上位機(jī)、實(shí)時(shí)數(shù)據(jù)庫、歷史數(shù)據(jù)庫、數(shù)采網(wǎng)關(guān)等設(shè)備服務(wù)工作正常。

二、故障排查分析

按照ANSI/ISA-95.00.01企業(yè)分層模型，工業(yè)控制企業(yè)的架構(gòu)可以分為五層（Level 0-4）：現(xiàn)場(chǎng)設(shè)備層、現(xiàn)場(chǎng)控制層、過程監(jiān)控層、經(jīng)營(yíng)管理層以及企業(yè)管理層。發(fā)生故障時(shí)，過程監(jiān)控層的監(jiān)視控制、顯示系統(tǒng)、實(shí)時(shí)數(shù)據(jù)庫、通信處理等工作穩(wěn)定，能正常對(duì)現(xiàn)場(chǎng)工作設(shè)備的監(jiān)測(cè)及顯示。那么故障發(fā)生的范圍就可能在系統(tǒng)管理及監(jiān)視控制的經(jīng)營(yíng)管理層面。在這層上，和該故障有關(guān)的資產(chǎn)包括：OPC服務(wù)器、前端數(shù)采站和承載數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)。

確定可能引起故障問題的范圍及對(duì)象后，分別對(duì)可疑資產(chǎn)進(jìn)行排查。

網(wǎng)絡(luò)分析：

我們將安全臨檢系統(tǒng)接入OPC服務(wù)器及前端數(shù)采站所連接的交換機(jī)網(wǎng)絡(luò)鏡像口獲取工控流量進(jìn)行分析。以下為接入示意圖：

通過臨檢系統(tǒng)展示的實(shí)時(shí)分析結(jié)果，我們發(fā)現(xiàn)該工控網(wǎng)絡(luò)中有明顯的異常連接，源IP地址的20000多個(gè)不同端口與同一個(gè)目標(biāo)IP的51000端口建立了連接，對(duì)源IP進(jìn)行定位，確定IP對(duì)應(yīng)的資產(chǎn)為前端數(shù)采站。以下為網(wǎng)絡(luò)連接示意圖。

前端數(shù)采站分析

為滿足監(jiān)管部門及企業(yè)生產(chǎn)管理要求，發(fā)電廠把監(jiān)管所需的底層數(shù)據(jù)通過OPC上傳給數(shù)采站，監(jiān)管部門的監(jiān)控系統(tǒng)直接從發(fā)電廠數(shù)采站的數(shù)據(jù)庫中進(jìn)行抽取。

在數(shù)采站我們查看了網(wǎng)絡(luò)連接、異常進(jìn)程、注冊(cè)表、可疑賬戶、工控病毒等項(xiàng)，發(fā)現(xiàn)本機(jī)有大量異常的連接，該現(xiàn)象也與網(wǎng)絡(luò)流量分析所展示的情況一致。追蹤到建立連接的進(jìn)程PID值為1636，據(jù)此定位到DatagatherApp.exe是產(chǎn)生異常連接的罪魁禍?zhǔn)祝摮绦蚴悄硰S家的數(shù)據(jù)采集代理客戶端。

導(dǎo)致SCADA數(shù)據(jù)采集異常分析

代理商所承建的SCADA前端數(shù)采站的數(shù)據(jù)采集應(yīng)用程序工作端口為高位40000-50000間的隨機(jī)范圍，而某廠家4月份新裝在數(shù)采站的數(shù)采代理客戶端在運(yùn)行后，會(huì)占用從40000~65535的2萬多個(gè)端口與其數(shù)據(jù)接收服務(wù)器51000端口建立連接，那么就導(dǎo)致SCADA數(shù)據(jù)采集應(yīng)用程序工作端口被占用，從而發(fā)生數(shù)據(jù)傳輸異常的情況。

三、故障事件總結(jié)

到此，SCADA數(shù)采異常故障排查工作應(yīng)該結(jié)束了，但思考卻遠(yuǎn)未結(jié)束：

監(jiān)管部門通過互聯(lián)網(wǎng)環(huán)境從發(fā)電廠工控系統(tǒng)中采集數(shù)據(jù)，雖然不直接與PLC等現(xiàn)場(chǎng)控制層設(shè)備進(jìn)行連接，但眾多威脅的客觀存在，這樣數(shù)據(jù)訪問途徑，會(huì)不會(huì)為工控系統(tǒng)帶來極大的風(fēng)險(xiǎn)呢？

已發(fā)生的工控安全事件中，很多現(xiàn)在都存在類似情況，如：2015年烏克蘭電廠遭受BLACKENERGY（黑暗力量）攻擊導(dǎo)致的大規(guī)模斷電事件；2016年01月28日，以色列電力供應(yīng)系統(tǒng)遭受有史以來規(guī)模最大的網(wǎng)絡(luò)攻擊事件；2016年3月24日，伊朗黑客入侵紐約鮑曼水壩（Bowman Avenue Dam）防洪控制系統(tǒng)事件；2016年8月27日伊朗民防部門負(fù)責(zé)人Gholamreza Jalali向路透社透露，最近石化公司起火是網(wǎng)絡(luò)攻擊所致等等。