SCADA系统息安全常见故障处理方法.docVIP

附件5 SCADA系统信息安全常见故障处理方法 1、 PLC通讯中断 - 1 - 2、 站控机中毒导致工程运行不正常或不能启动 - 3 - 3、 站控数据不更新 - 6 - 4、 第三方设备通讯故障 - 8 - 5、 RCI自动停机 - 9 - 6、 由于RCI需要轮询点数过多导致的故障 - 12 - 7、 阀室数据上传故障 - 14 - 8、 甪直站调压橇压变PT5802传输数据错误的故障处理 - 17 - 9、 压气站HIMA ERROR故障分析和处理报告 - 19 - 10、 控制网组网不正常 - 43 - 11、 Anybus Communicator与ESD系统通讯中断 - 46 - 12、 I/O模块通讯故障 - 48 - 13、 AB PLC系统Ethernet冗余网络通讯A网失败后B网不能工作 - 49 - 14、 北调无法看到ESD系统中的模拟量 - 54 - 15、 通讯服务器冗余配置失败 - 55 - 16、 配置路由器时在配置界面上出现乱码 - 60 - 17、 DDN通讯中断 - 61 - 18、 站场与北调的通讯频繁闪断 - 62 - 19、 路由器用户名、密码失败，无法登录及配置 - 62 - 20、 第三方设备与上位机通讯无法建立或通讯不正常 - 64 - 21、 机柜间到站控室的1#光纤不通 - 70 - 22、 Hirschmann交换机IP地址设置 - 72 - 23、 交换机及路由器对应端口通讯方式配置 - 78 - 24、 洛阳分输站与北京调控中心通讯中断 - 84 - 1、 PLC通讯中断 1、故障现象 站控机中有“PLC通讯中断”报警，且相应的NOE模块会显示“Fault”红灯亮。 2、故障原因 NOE以太网模块网络地址配置错误，造成PLC通信不能实现冗余，主备切换后无法实现PLC与RCI间的通讯。比如说济南站的主备两个NOE模块的IP按照IP点表上应该是5（主）和7（备），另有8这个IP是预留未使用的，如果错吧7配制成8，由于RCI识别的NOE模块IP是7而非8，就会造成主备切换时，PLC与RCI通讯不上而出现通讯故障报警,该报警将显示在站控机界面上。 3、解决方法 （1）首先确认PLC、交换机、RCI间各网线接口没有虚接或掉落的。 （2）对照IP表，试着ping PLC两个NOE以太网模块的IP地址，哪个地址ping不同，就说明哪个模块有问题。可以通过上次备份的PLC工程查找到NOE的网络设置，如图8.1.3和图8.1.4的操作步骤即可看到。可以对各NOE模块的网络进行设置，即“Internet Address”、“Subnet Mask”和“Gateway”。 （3）在笔记本上打开Concept软件，打开原先备份好的工程，可以通过网线或串口线连接PLC（如果两个NOE模块的地址实在找不到的话），按照（2）中的方法重新设置好网络后，重新下载程序到PLC的控制器中。 （4）断开笔记本电脑与PLC的链接，对PLC的备机进行热备设置。将备机CHS热备模块的钥匙开关拨到“Xfer”挡，按下程序更新按钮，然后松开按钮，会看到备机架的CHS模块显示“Standby”橙色灯亮，当该灯常亮以后则表示热备完成，这时备机架CPU模块的“Run”绿灯将变亮，主机架CHS模块的“Primary”绿灯常亮。 （5）PLC与RCI的通讯恢复以后，站控机电脑屏幕上“PLC通讯中断”报警可以确认掉。 2、 站控机中毒导致工程运行不正常或不能启动 1、故障现象 站控机工程运行不正常或不能启动。 2、故障原因 站控机外接移动存储设备而中毒，病毒影响Viewstar软件的正常使用。 3、解决办法 采用瑞星杀毒软件、病毒专杀工具（如Worm.LovGate爱情后门专杀）对站控机进行杀毒。 （1）图8.2.1为靖边站在用瑞星对站控机进行查杀后的情况，图中可见病毒名称都为Backdoor.SdBot.wgb，一种集后门、蠕虫功能于一体的，通过网络共享和操作系统漏洞进行传播的病毒。病毒会尝试通过弱密码登陆目标系统，还会在感染的电脑上打开后门接收攻击者发出的指令，然后连接特定的IRC服务器通知攻击者病毒的存在。病毒会扫描网段内的机器并猜测共享密码，占用大量网络带宽资源，容易造成局域网阻塞。它通过IRC服务器接受攻击者发出的指令，例如安装/卸载后门、下载并运行文件、结束进程、运行代理服务器、盗取流行游戏的账号、对指定的IP进行DOS（拒绝服务）攻击等。 （2）2009年12月16日，红柳站站控机工程无法启动，每次启动后提示“LSASS.EXE出错,系统将在60秒内自动关闭”，然后在指定的时间内自动重启LSASS.EXE这两个进程，则表明站控机已经中了Windang.worm、irc.ratsou.b、Webu