17：35分，手機來電鈴聲響起，這是今天第37個電話！

按下接聽鍵：“張總，您好！根據(jù)我之前的建議目前狀況如何？”

代理商張總：“您好，王老師，關(guān)于SCADA數(shù)據(jù)采集異常的事情，按您給的問題排查建議，已經(jīng)完成了現(xiàn)場檢查，目前懷疑是病毒導致的異常，由于該單位涉密，所以想請您帶專業(yè)設(shè)備到現(xiàn)場幫忙診斷故障原因……”

一、故障現(xiàn)象

2017年1月上線試運行的西南某省省會城市生活垃圾發(fā)電廠工況運行監(jiān)控系統(tǒng)（SCADA）系統(tǒng)，主要是采集本市5個垃圾焚燒發(fā)電廠生產(chǎn)及工況運行數(shù)據(jù)，上傳至本市數(shù)字城管中心機房存儲、分析、集中展示，為本市數(shù)字城管提供城市管理參考和依據(jù)。系統(tǒng)自上線后一直運行正常，從4月初起，5個發(fā)電廠前端數(shù)采站出現(xiàn)監(jiān)測數(shù)據(jù)時通時斷的故障情況，出現(xiàn)該故障時，PLC、上位機、實時數(shù)據(jù)庫、歷史數(shù)據(jù)庫、數(shù)采網(wǎng)關(guān)等設(shè)備服務(wù)工作正常。

二、故障排查分析

按照ANSI/ISA-95.00.01企業(yè)分層模型，工業(yè)控制企業(yè)的架構(gòu)可以分為五層（Level 0-4）：現(xiàn)場設(shè)備層、現(xiàn)場控制層、過程監(jiān)控層、經(jīng)營管理層以及企業(yè)管理層。發(fā)生故障時，過程監(jiān)控層的監(jiān)視控制、顯示系統(tǒng)、實時數(shù)據(jù)庫、通信處理等工作穩(wěn)定，能正常對現(xiàn)場工作設(shè)備的監(jiān)測及顯示。那么故障發(fā)生的范圍就可能在系統(tǒng)管理及監(jiān)視控制的經(jīng)營管理層面。在這層上，和該故障有關(guān)的資產(chǎn)包括：OPC服務(wù)器、前端數(shù)采站和承載數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)。

確定可能引起故障問題的范圍及對象后，分別對可疑資產(chǎn)進行排查。

網(wǎng)絡(luò)分析：

我們將安全臨檢系統(tǒng)接入OPC服務(wù)器及前端數(shù)采站所連接的交換機網(wǎng)絡(luò)鏡像口獲取工控流量進行分析。以下為接入示意圖：

通過臨檢系統(tǒng)展示的實時分析結(jié)果，我們發(fā)現(xiàn)該工控網(wǎng)絡(luò)中有明顯的異常連接，源IP地址的20000多個不同端口與同一個目標IP的51000端口建立了連接，對源IP進行定位，確定IP對應的資產(chǎn)為前端數(shù)采站。以下為網(wǎng)絡(luò)連接示意圖。

前端數(shù)采站分析

為滿足監(jiān)管部門及企業(yè)生產(chǎn)管理要求，發(fā)電廠把監(jiān)管所需的底層數(shù)據(jù)通過OPC上傳給數(shù)采站，監(jiān)管部門的監(jiān)控系統(tǒng)直接從發(fā)電廠數(shù)采站的數(shù)據(jù)庫中進行抽取。

在數(shù)采站我們查看了網(wǎng)絡(luò)連接、異常進程、注冊表、可疑賬戶、工控病毒等項，發(fā)現(xiàn)本機有大量異常的連接，該現(xiàn)象也與網(wǎng)絡(luò)流量分析所展示的情況一致。追蹤到建立連接的進程PID值為1636，據(jù)此定位到DatagatherApp.exe是產(chǎn)生異常連接的罪魁禍首，該程序是某廠家的數(shù)據(jù)采集代理客戶端。

導致SCADA數(shù)據(jù)采集異常分析

代理商所承建的SCADA前端數(shù)采站的數(shù)據(jù)采集應用程序工作端口為高位40000-50000間的隨機范圍，而某廠家4月份新裝在數(shù)采站的數(shù)采代理客戶端在運行后，會占用從40000~65535的2萬多個端口與其數(shù)據(jù)接收服務(wù)器51000端口建立連接，那么就導致SCADA數(shù)據(jù)采集應用程序工作端口被占用，從而發(fā)生數(shù)據(jù)傳輸異常的情況。

三、故障事件總結(jié)

到此，SCADA數(shù)采異常故障排查工作應該結(jié)束了，但思考卻遠未結(jié)束：

監(jiān)管部門通過互聯(lián)網(wǎng)環(huán)境從發(fā)電廠工控系統(tǒng)中采集數(shù)據(jù)，雖然不直接與PLC等現(xiàn)場控制層設(shè)備進行連接，但眾多威脅的客觀存在，這樣數(shù)據(jù)訪問途徑，會不會為工控系統(tǒng)帶來極大的風險呢？

已發(fā)生的工控安全事件中，很多現(xiàn)在都存在類似情況，如：2015年烏克蘭電廠遭受BLACKENERGY（黑暗力量）攻擊導致的大規(guī)模斷電事件；2016年01月28日，以色列電力供應系統(tǒng)遭受有史以來規(guī)模最大的網(wǎng)絡(luò)攻擊事件；2016年3月24日，伊朗黑客入侵紐約鮑曼水壩（Bowman Avenue Dam）防洪控制系統(tǒng)事件；2016年8月27日伊朗民防部門負責人Gholamreza Jalali向路透社透露，最近石化公司起火是網(wǎng)絡(luò)攻擊所致等等。