Файл: Диссертация на соискание ученой степени кандидата технических наук Владимирский государственный университет.doc
Добавлен: 11.01.2024
Просмотров: 334
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
Предприятия химической отрасли разномасштабные (малые, средние и крупные) и обладают, кроме общепромышленной специфики, взрывоопасно- стью, пожароопасностью, агрессивностью рабочей среды, воздействием на экологию и жизнедеятельность общества даже в штатном режиме работы.
Учитывая эти особенности, попытаемся определить общие и особые требования к режиму обеспечения информационной безопасности АСУ ТП [3, 25].
Основными потенциально возможными угрозами [6] физической целостности информации, т.е. стирание или модификация (искажение) информации на носителях и документах, используемых в процессе функционирования АСУ ТП, являются следующие:
-
Сбои и отключение питания. -
Прямое физическое воздействие на носители или документы. -
Законное или несанкционированное подключение к аппаратуре и линиям связи.
Защита информации в плане уязвимости первого вида заключается в основном в применении надежной, физически и энергозащищенной аппаратуры и в обеспечении ограничения доступа к ней.
Основными потенциально возможными каналами утечки информации являются следующие:
-
Прямое хищение носителей и документов, обращающихся в процессе функционирования АСУ ТП. -
Запоминание или копирование информации, находящейся на машинных и на немашинных носителях. -
Несанкционированное подключение к аппаратуре и линиям связи или незаконное использование «законной» (т. е. зарегистрированной) аппаратуры системы (чаще всего терминалов пользователей). -
Несанкционированный доступ к информации за счет специального приспособления, математического и программного обеспечения.
При наличии такого количества каналов утечки необходимы специальные средства, методы и мероприятия, предназначенные для перекрытия перечисленных каналов и предупреждения этим несанкционированного использования информации. В создании и обеспечении функционирования таких средств, методов и мероприятий и заключается защита информации в плане уязвимости второго вида.
Особое внимание нужно уделить живучести АСУ ТП. Живучесть АСУ ТП обеспечивается:
-
применением надёжной аппаратуры и проверенного ПО, -
непрерывным контролем в процессе эксплуатации, -
периодическим тестированием во время технологических остановок, -
адаптивными алгоритмами контроля и управления, -
системой обновления ПО в процессе эксплуатации, -
экранированием сигнальных цепей и источников помех, -
применением интеллектуальных датчиков и исполнительных узлов, -
бесперебойным энергообеспечением.
Рассмотрим типовую трехуровневую структуру АСУ ТП. На верхнем уровне находятся рабочие станции (компьютеры со специализированным ПО, объединённые в локальные сети), на среднем уровне — групповые контроллеры, обеспечивающие групповое управление, на нижнем — локальные контроллеры и устройства управления технологическим процессом. В Таблице 2.1, составленной автором в результате исследования ряда АСУ ТП в химической промышленности (Приложение 1, Приложение 2) представлен перечень мер по обеспечению информационной безопасности на всех уровнях типовой трехуровневой модели АСУ ТП.
Таблица 2.1 - Обеспечение безопасности АСУ ТП на всех уровнях Верхний уровень | Рабочие (операторские) станции | Горячее резервирование станций. Резервирование узлов станции (жесткий диск, контроллеры ЛВС, питание и т.д.) Защита от несанкционированного доступа к системе и данным. Защита от вредоносного программного обеспечения. Защита каналов связи ЛВС. Использование межсетевых экранов. |
Групповой (средний) уровень | Многоканальные (групповые) контроллеры | Работа с несколькими локальными сетями и защита доступа. Горячее резервирование контроллеров. Косвенный контроль каналов, датчиков, исполнительных механизмов по связанным параметрам. Обеспечение безударного перехода на резервный канал, или на ручное управление (и обратно). Применение интеллектуальных УСО. |
Нижний уровень | Локальные контроллеры | Работа в локальной сети и защита доступа. Самодиагностика (сетей, аппаратуры, программ). Генерирование тест-сигналов и анализ их воздействия. Запоминание текущего состояния при сбоях питания и плавный вход в регулирование после восстановления питания. Обеспечение безударного перехода на ручное управление (и обратно). Тестирование измерительных преобразователей (линий связи). |
Исполнительные механизмы с системой управления | Контроль пусковых режимов (защита от перегорания). Защита от длительной перегрузки (тепловой и косвенный контроль). Применение датчиков положения исполнительных механизмов. Дублирование для аварийной защиты. Автоматический возврат в безопасное состояние при исчезновении питания или управляющего сигнала. Бесперебойное питание (по крайней мере, аварийных механизмов) | |
Измерительные преобразователи | Тестирование сенсоров (линий связи) непрерывно или циклически. Сравнение результатов измерения с физически возможными. Оценка достоверности с помощью косвенных измерений по связанным параметрам. Искробезопасное питание от локальных или групповых контроллеров. Горячее резервирование. | |
Сенсоры | Надёжные, тестируемые, изолированные сенсоры. |
1 2 3 4 5 6 7 8 9 10 ... 25
Эффективность механизмов защиты информации в значительной степени зависит от реализации ряда принципов. Во-первых, механизмы защиты следует проектировать одновременно с разработкой информационно- управляющей системы, что позволяет обеспечить их бесконфликтность, своевременную интеграцию в вычислительную среду и сокращение затрат. Во-вторых, вопросы защиты следует рассматривать системно, дополняя наружную защиту встроенными механизмами защиты компонентов АСУ ТП. И, наконец, следует учитывать тот факт, что промышленные системы создаются для длительной эксплуатации без замены или модернизации. Поэтому проверка эффективности СЗИ должна быть произведена в начале промышленной эксплуатации.
Предлагаемый автором системный подход обеспечивает адекватную многоуровневую защиту информации, рассматриваемую как комплекс организационных и технических мероприятий. Кроме того, при реализации механизмов защиты должны использоваться передовые, научно обоснованные технологии защиты, обеспечивающие требуемый уровень безопасности, приемлемость для пользователей и возможность наращивания и модификации СЗИ в дальнейшем.
Создание систем безопасности АСУ ТП охватывает широкий круг вопросов, в число которых входит:
-
обеспечение целостности,
-
обеспечение конфиденциальности и аутентичности информации;
-
разграничение прав пользователей по доступу к ресурсам автоматизированной системы;
-
защита автоматизированной системы и ее элементов от несанкционированного доступа;
-
обеспечение живучести всех элементов системы;
-
защита поддерживающей инфраструктуры системы.
Построение защищенных систем не ограничивается выбором тех или иных аппаратных и программных средств защиты. Необходимо владеть определенными теоретическими знаниями и практическими навыками. Для этого необходимо, во-первых, понять, что представляет собой защищенная система, какие к ней предъявляются требования, рассмотреть существующий опыт создания подобных систем и причины нарушения их безопасности и, во-вторых, определить, какие функции защиты и каким образом должны быть реализованы, и как они противодействуют угрозам и устраняют причины нарушения информационной безопасности [26, 27, 28, 29].
Основой или составными частями любой автоматизированной системы (в том числе и системы защиты информации АСУ ТП) являются:
-
Нормативно-правовая и научная база;
-
Структура и задачи автоматизированной системы;
-
Организационные меры и методы;
-
Программно-технические способы и средства.
Далее следует выделить основные направления в общей проблеме обеспечения информационной безопасности АСУ ТП:
-
Защита объектов автоматизированной системы;
-
Защита процессов, процедур и программ обработки информации;
-
Защита информации в каналах связи;
-
Подавление побочных электромагнитных излучений;
-
Защита поддерживающей инфраструктуры;
-
Управление системой защиты.
Разработанная автором методика (последовательность шагов) построения СЗИ (Рисунок 2.8), которая в равной степени применима для всех направлений защиты АСУ ТП, предполагает следующую последовательность действий, основанную на системном подходе и учитывающую особенности АСУ ТП и химической промышленности [32]:
-
Изучение нормативно-правовой и научной базы в области информационной безопасности применительно к промышленным системам повышенной опасности.
-
Определение информации, подлежащей защите в рабочих станциях, контроллерах, телекоммуникациях, устройствах сопряжения с объектом.
-
Выявление полного множества потенциально возможных угроз и каналов утечки информации в штатном, предаварийном и аварийном режимах работы АСУ ТП.
-
Составление реестра встроенных механизмов защиты аппаратных и программных средств АСУ ТП, не препятствующих её работе в темпе процесса.
-
Проведение экспертной оценки уязвимости информации и рисков при имеющемся множестве угроз и каналов утечки.
-
Определение требований к СЗИ с учётом использования встроенных механизмов защиты.
-
Включение встроенных и выбор внешних средств защиты информации и их характеристик.
-
Оформление документации на СЗИ как на подсистему АСУ ТП.
-
Внедрение и организация использования выбранных мер, способов и средств защиты.
-
Осуществление контроля целостности и управление СЗИ в течение всего срока эксплуатации.
Указанная последовательность действий должна осуществляться непрерывно по замкнутому циклу, с проведением оперативного анализа (силами разработчиков) состояния СЗИ АСУ ТП и уточнением требований к ней после каждого шага. Экспертная оценка уязвимости информации и рисков необходима как до создания СЗИ (блок 5), так и после её внедрения (блока 9).
Г
Изучение нормативно-правовой и научной базы
1
11
2
Определение информации, подлежащей защите
->
со
и
1
и
3
Выявление угроз и каналов утечки
«-
-*
3
1
га о
14
Составление реестра встроенных механизмов защиты
4-
ю
и &
о
1ь
Проведение экспертной оценки уязвимости и рисков
«-
Н>
и
1
г о
Г
Определение требований к СЗИ
£
1
1'
Включение встроенных и выбор внешних средств защиты
->
ИМ
Г8
1
Оформление документации на СЗИ
<*-
->
3 3
н
СЗ
19
Внедрение выбранных мер, способов и средств защиты
->
а, «
С
О
ш
| Осуществление контроля целостности и управление СЗИ
«-
Рисунок 2.8 - Методика построения СЗИ. Непрерывный цикл создания системы защиты
информации в АСУ ТП
Применяя данную методику необходимо помнить что наибольший эффект достигается тогда, когда:
-
все используемые средства, методы и мероприятия объединяются в единый, целостный механизм защиты информации;
-
механизм защиты должен проектироваться параллельно с созданием систем обработки данных, начиная с момента выработки общего замысла построения системы;
-
функционирование механизма защиты должно планироваться и обеспечиваться наряду с планированием и обеспечением основных процессов автоматизированной обработки информации;
-
необходимо осуществлять постоянный контроль функционирования механизма защиты.
2.5 Выводы
-
Рекомендовано, наряду с комплексом внешних мер защиты, которые в 8САХ)А-системах ограничиваются системой паролей и дублированием каналов и оборудования, применять на нижнем уровне АСУ ТП аппаратурные компоненты и программные продукты, имеющие встроенные механизмы защиты информации. Алгоритмы работы этих механизмов защиты необходимо исследовать, оценить и доработать.
-
Выработаны рекомендации по выбору интеллектуальных датчиков, и локальных сетей для них.
-
Обосновано использование универсальных 8САОА-систем, имеющих полный набор встроенных средств защиты, которые можно задействовать в нужной комбинации для конкретного применения.
-
Обоснованы особые требования к аппаратуре и телекоммуникациям АСУ ТП в химической индустрии. В дополнение к существующим международным стандартам, определяющим только базовые механизмы безопасности, рекомендовано применять также специализированные стандарты и руководства.
-
Разработана методика создания СЗИ в АСУ ТП.
3 ИССЛЕДОВАНИЕ ЭФФЕКТИВНОСТИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В ТЕЛЕКОММУНИКАЦИЯХ АСУ ТП
Особенности сложных АСУ ТП большой размерности привели к тому, что главной проблемой оценки их надежности и безопасности давно стали не расчеты показателей, а громоздкость и трудоемкость процессов построения необходимых математических моделей. Невозможность построения таких моделей старыми, традиционными ручными (не автоматизированными) технологиями привела к тому, что в организациях и на предприятиях промышленности практическое моделирование и оценка надежности и безопасности АСУ ТП давно не производится ни на стадиях проектирования, ни в процессе эксплуатации [31, 33].
Однако при оценке информационной безопасности АСУ ТП, особенно на нижнем уровне, где используются сети с централизованным детерминированным доступом, можно обойтись очень простыми моделями. В силу детерминированности в них не требуется имитировать и генерировать потоки заявок на захват магистрали и анализировать время ожидания обслуживания. Случайной является лишь длина кадров. Причём, если рассматривать режим настройки отдельно от режима эксплуатации, то распределение длин посылок с сети близко к экспоненциальному. Наиболее вероятны самые короткие посылки. Длина посылок увеличивается для многоканальных узлов. А число повторных запросов (при исключительных ответах) в основном зависит от вероятности битовых ошибок (фактически от уровня помех).
Уровень безопасности телекоммуникационной системы сильно зависит от конкретной физической среды передачи. Таблица 3.1 содержит эту зависимость в виде значений вероятности битовой ошибки для различных физических сред передачи [33].
Таблица 3.1 - Безопасность различных сред передачи
Вероятность ошибки передачи бита информации
Среда передачи
> КГ5
Радиоканал
10"4
Неэкранированный кабель
10°
Экранированная витая пара
10"ь- 10'у
Цифровой канал ISDN
10"у
Коаксиальный кабель
Ю-12
Оптический кабель
1 ... 4 5 6 7 8 9 10 11 ... 25
обеспечение целостности,
обеспечение конфиденциальности и аутентичности информации;
разграничение прав пользователей по доступу к ресурсам автоматизированной системы;
защита автоматизированной системы и ее элементов от несанкционированного доступа;
обеспечение живучести всех элементов системы;
защита поддерживающей инфраструктуры системы.
Нормативно-правовая и научная база;
Структура и задачи автоматизированной системы;
Организационные меры и методы;
Программно-технические способы и средства.
Защита объектов автоматизированной системы;
Защита процессов, процедур и программ обработки информации;
Защита информации в каналах связи;
Подавление побочных электромагнитных излучений;
Защита поддерживающей инфраструктуры;
Управление системой защиты.
Изучение нормативно-правовой и научной базы в области информационной безопасности применительно к промышленным системам повышенной опасности.
Определение информации, подлежащей защите в рабочих станциях, контроллерах, телекоммуникациях, устройствах сопряжения с объектом.
Выявление полного множества потенциально возможных угроз и каналов утечки информации в штатном, предаварийном и аварийном режимах работы АСУ ТП.
Составление реестра встроенных механизмов защиты аппаратных и программных средств АСУ ТП, не препятствующих её работе в темпе процесса.
Проведение экспертной оценки уязвимости информации и рисков при имеющемся множестве угроз и каналов утечки.
Определение требований к СЗИ с учётом использования встроенных механизмов защиты.
Включение встроенных и выбор внешних средств защиты информации и их характеристик.
Оформление документации на СЗИ как на подсистему АСУ ТП.
Внедрение и организация использования выбранных мер, способов и средств защиты.
Осуществление контроля целостности и управление СЗИ в течение всего срока эксплуатации.
Г | Изучение нормативно-правовой и научной базы | | ||
| 1 | | 11 | |
2 | Определение информации, подлежащей защите | | -> | со и |
| 1 | | | и |
3 | Выявление угроз и каналов утечки | «- | -* | 3 |
| 1 | | | га о |
14 | Составление реестра встроенных механизмов защиты | 4- | | ю и & |
| | | | о |
1ь | Проведение экспертной оценки уязвимости и рисков | «- | Н> | и |
| 1 | | | г о |
Г | Определение требований к СЗИ | | | £ |
| 1 | | | |
1' | Включение встроенных и выбор внешних средств защиты | | -> | ИМ |
Г8 | 1 | | | |
Оформление документации на СЗИ | <*- | -> | 3 3 | |
| | | | н СЗ |
19 | Внедрение выбранных мер, способов и средств защиты | | -> | а, « С |
| | | | О |
ш | Осуществление контроля целостности и управление СЗИ | «- | | |
все используемые средства, методы и мероприятия объединяются в единый, целостный механизм защиты информации;
механизм защиты должен проектироваться параллельно с созданием систем обработки данных, начиная с момента выработки общего замысла построения системы;
функционирование механизма защиты должно планироваться и обеспечиваться наряду с планированием и обеспечением основных процессов автоматизированной обработки информации;
необходимо осуществлять постоянный контроль функционирования механизма защиты.
Рекомендовано, наряду с комплексом внешних мер защиты, которые в 8САХ)А-системах ограничиваются системой паролей и дублированием каналов и оборудования, применять на нижнем уровне АСУ ТП аппаратурные компоненты и программные продукты, имеющие встроенные механизмы защиты информации. Алгоритмы работы этих механизмов защиты необходимо исследовать, оценить и доработать.
Выработаны рекомендации по выбору интеллектуальных датчиков, и локальных сетей для них.
Обосновано использование универсальных 8САОА-систем, имеющих полный набор встроенных средств защиты, которые можно задействовать в нужной комбинации для конкретного применения.
Обоснованы особые требования к аппаратуре и телекоммуникациям АСУ ТП в химической индустрии. В дополнение к существующим международным стандартам, определяющим только базовые механизмы безопасности, рекомендовано применять также специализированные стандарты и руководства.
Разработана методика создания СЗИ в АСУ ТП.
Таблица 3.1 - Безопасность различных сред передачи Вероятность ошибки передачи бита информации | Среда передачи |
> КГ5 | Радиоканал |
10"4 | Неэкранированный кабель |
10° | Экранированная витая пара |
10"ь- 10'у | Цифровой канал ISDN |
10"у | Коаксиальный кабель |
Ю-12 | Оптический кабель |
1 ... 4 5 6 7 8 9 10 11 ... 25
Таблица 3.1 приведена только для сравнительно оценки уязвимости сред передачи, без каких-либо мер защиты.
3.1 Оценка производительности телекоммуникаций в АСУ ТП
Прежде, чем рассматривать пригодность моделей информационных сетей, сформулируем требования к их назначению, сфере использования, а главное — ко входным и выходным параметрам.
Модели предназначаются для анализа уязвимостей и воздействия угроз на телекоммуникации в АСУ ТП, и должны показывать влияние средств и мер защиты от разного рода неблагоприятных воздействий на информацию.
Модели должны отображать влияние средств и мер защиты на достоверность и своевременность передачи и приёма информации, прежде всего на пропускную способность телекоммуникаций.
Модели информационных сетей с одним ведущим проще в связи с тем, что не требуется анализировать процессы захвата магистрали, распределения вероятностей запросов, время ожидания и т.п. В сетях с одним ведущим запросы вырабатывает головной компьютер (контроллер) по жёсткому графику.
Степень влияния мер защиты, особенно программных, на пропускную способность телекоммуникаций существенно зависит от распределения вероятностей длины сообщений. Количество дополнительных (защитных) байт и для коротких и для длинных сообщений одинаково, поэтому избыточность коротких сообщений существенно больше
.
Выбор модели определяется целью моделирования. В нашем случае необходимо анализировать влияние средств и мер защиты информации на основные характеристики телекоммуникаций.
Основными техническими средствами защиты являются физическая среда передачи информации: медный провод, кабель, радиоканал или оптоволокно. Таблица 3.1 показывает, что самый низкий уровень защищённости предоставляет радиоканал, а самый высокий — оптоволокно. Вероятность ошибки передачи бита информации из Таблица 3.1 служит для расчёта вероятности повторных запросов, т.к. однократные ошибки при передаче данных обнаруживаются на канальном уровне с помощью СЯС-кода.
Основным программным способом защиты информации в телекоммуникациях является избыточное кодирование, сводящееся к добавлению контрольных битов, контрольных сумм, использованию служебных параметров. Поэтому для анализа влияния средств и мер защиты информации целесообразно рассчитывать следующие параметры сети:
(3.1.1)
Скорость в кабеле (максимальная скорость передачи пакетов):
8К = $мах / Уп [пакет/с],
где Б мах - предельная скорость сети, бит/с; Уп - длина пакета, бит.
(3.1.2)
Пропускная способность сети представляет собой скорость передачи полезной информации:
8с = 8к/Уд [байт/с],
где Бк - максимальная скорость передачи пакетов, пакет/с; Уд - объём полезной информации в пакете, байт.
Эффективность использования физической скорости передачи сети
(3.1.3)
по отношению только к полезным данным:
Эд = 8К х Уд / 8мах [%],
где 8к - максимальная скорость передачи пакетов, пакет/с; 8мах - предельная скорость сети, бит/с; Уд - объём полезной информации в пакете, бит
.
Вероятностный подход позволяет легко оценить влияние случайных воздействий на приведённые выше параметры. При наличии помех или сбоев передачи данных по другим причинам, эффективность использования физической скорости передачи сети снижается за счёт генерации повторных запросов.
3.2 Оценка мер защиты телекоммуникаций в АСУ ТП
Программные меры защиты основаны на введении избыточности кодирования сообщений. В каждом сообщении кроме обязательной служебной информации (адрес приёмника, функция, номер и количество регистров, разделитель) содержится защитная информация (контрольная сумма, количество байт данных, адрес источника, и ответное сообщение - как квитанция приёма).
Подсистема обеспечения надежности современных SCADA-систем позволяет диагностировать достоверность (качество) сигналов, поступающих с датчиков и резервировать их. Признаки аппаратурной и программной достоверности должны передаваться в систему верхнего уровня (SCADA-систему) вместе с измеренным значением как один из атрибутов канала, чтобы их можно было использовать в алгоритмах диагностики и резервирования датчиков.
Для оценки эффективности стандартной защиты при передаче коротких сообщений, характерных для сетей нижнего уровня АСУ ТП, рассмотрим наиболее распространенные в химической промышленности сети: Ethernet, Modbus, Profibus.
3.2.1 Оценка производительности сети Ethernet
Сеть Ethernet чаще всего используется на верхнем уровне АСУ ТП для связи с АСУ предприятия и для связи рабочих станций между собой [34].
Вопрос об оценке производительности сетей децентрализованного доступа, использующих случайный метод доступа CSMA/CD (Carrier-Sense Multiple Access with Collision Detection - множественный доступ с контролем несущей и обнаружением коллизий), не очевиден из-за того, что существуют
73
несколько различных показателей. Прежде всего, следует упомянуть три связанные между собой показателя, характеризующие производительность сети в идеальном случае — при отсутствии коллизий и при передаче непрерывного потока пакетов, разделенных только межпакетным интервалом IPG. Очевидно, такой режим реализуется, если один из абонентов активен и передает пакеты с максимально возможной скоростью. Неполное использование пропускной способности в этом случае связано, кроме существования интервала IPG, с наличием служебных полей в пакете Ethernet.
Пакет максимальной длины является наименее избыточным по относительной доле служебной информации. Он содержит 12304 бит (включая интервал IPG), из которых 12000 являются полезными данными.
Поэтому максимальная скорость передачи пакетов (3.2.1) составит в случае сети Fast Ethernet:
108 бит/с/ 12304 бит 8127,44 пакет/с.
Пропускная способность равна:
8127,44 пакет/с х 1500 байта - 12,2 Мбайт/с.
Эффективность использования физической скорости передачи сети, в случае Fast Ethernet равной 100 Мбит/с, по отношению только к полезным данным составит:
8127,44 пакет/с х 12000 бит/ 108 бит/с 98 %.
Без использования системы никакой из абонентов не может захватить сеть более чем на время передачи одного пакета, однако передача данных отдельными пакетами с долгими паузами между ними ведет к снижению скорости передачи для каждого абонента. Преимущество детерминированных методов состоит в возможности простой организации системы приоритетов, что полезно из-за наличия иерархии в любой АСУ ТП.
3.2.2 Анализ влияния программных мер защиты в сети Modbus RTU Проведем анализ стандартных программных мер защиты информации в сети Modbus RTU, при использовании её в АСУ ТП. Сеть Modbus является централизованной, с детерминированным методом доступа. Загрузку такой
сети можно рассчитать достаточно точно, если определено количество узлов и режимы их работы. Случайный характер имеет лишь время задержки ответа ведомого, а также количество сбоев обмена.
Рисунок 3.1 представляет обобщённый формат кадра:
адрес приёмника (ведомого устройства)
номер функции
данные
контрольная сумма
разделитель сообщений
1 байт
1 байт
до 253 байт
2 байта
пауза > 3,5 байт
Рисунок 3.1 - Кадр Modbus RTU
Передача каждого байта данных требует дополнительно 1 стартового и 2 стоповых битов (без контроля на чётность). Дополнительные биты относятся к служебным, они обеспечивают синхронизацию обмена.
В АСУ ТП интеллектуальные датчики подавляющую часть времени отвечают на циклические запросы SCADA-системы о значении измеряемого параметра, а именно, на запросы «Чтение значений из нескольких регистров». Поскольку для SCADA-системы нужны значения измеряемого параметра в формате Float 4 (Float Single Format no IEEE-754), занимающем 2 регистра (4 байта), конкретные циклы обмена информацией выглядят как показывает Рисунок 3.2.
Запрос ведущего устройства:
адрес • ведомого
номер функции
Адрес ст. байт
Адрес мл. байт
Кол. регистров ст. байт
Кол. регистров мл. байт
CRC мл. байт
CRC ст. байт
0x01
0x03
0x00
0x01
0x00
0x02
OxNN
OxNN
Ответ ведомого устройства:
адрес ведомого
номер функции
Кол. байт
Данные ст.регистра ст.байт
Данные ст.регистра мл. байт
Данные мл.регистра ст.байт
Данные мл.регистра мл.байт
CRC
мл. байт
CRC ст. байт
0x01
0x03
0x04
0x12
0x34
0x56
0x78
OxNN
OxNN
Рисунок 3.2 - Цикл обмена информацией с одноканальным узлом сети МосШиэ ЯТи Таким образом, необходимой для исполнения команды считывания
данных информацией является «адрес ведомого», «номер функции», «адрес первого регистра», «количество регистров» в запросе и собственно «данные»
в ответе. Всего 10 байт. Запрос, ответ и минимальная пауза между ними составляют 20,5 байт. Очевидно, что введение защиты в форме избыточности кодирования, т.е. добавления полей «контрольная сумма CRC», «количество байт данных», квитанций «адрес ведомого» и «номер функции», - приводит к снижению пропускной способности канала на 51 %:
ЮОх (10 - 20,5)/20,5 = - 51,22 %.
-
Кадр максимальной длины является наименее избыточным по относительной доле служебной информации (см. Рисунок 3.1). В Modbus RTU он содержит 2084 бит (включая разделительную паузу), из которых 2016 бит являются полезными данными.
Поэтому максимальная скорость передачи кадров составит в случае сети Modbus RTU при максимальной бодовой скорости 115,2 Кбод: (115200 бит/с)/ 2084 бит 55,28 кадр/с. Пропускная способность равна: 55,28 кадр/с х 252 байта = 13,93 Кбайт/с.
Эффективность использования физической скорости передачи сети, в случае Modbus RTU равной 115,2 Кбод, по отношению только к полезным данным составит:
55,28 кадр /с х 2016 бит/ 115200 бит/с 0,967 97 %.
-
При передаче кадров минимальной длины существенно возрастает скорость в кабеле, что означает всего лишь факт передачи большого числа коротких пакетов. В то же время пропускная способность и эффективность заметно (почти в два раза) ухудшаются из-за возрастания относительной доли служебной информации.
При типовых циклических запросах SCADA-системы о значении измеряемого параметра кадр содержит 164 бит (включая разделительную паузу), из которых 80 бит (10 байт) являются полезными данными. Максимальная скорость передачи кадров: (115200 бит/с)/ 164 бит « 702,44 кадр/с.
Пропускная способность в данном случае будет равна: 702,44 кадр/с х 10 байт 7,02 Кбайт/с.
Эффективность использования физической скорости передачи сети: 702,44 кадр /с х 80 бит/ 115200 бит/с 0,4878 = 48,78 %.
3.2.2.3 Следует отметить, что избыточность будет меньше при считывании данных с многоканальных устройств ввода данных, в которых данные измерений расположены подряд в регистровой карте.
Например, при считывании данных с 12-канального прибора цифрового контроля ПКЦ-12 (ЗАО «НЛП «Автоматика», г. Владимир), запрос, ответ и минимальная пауза между ними составляют 64,5 байт, а содержательной информации 54 байт (см. Рисунок 3.3). Снижение пропускной способности канала составляет около 16 %.
Запрос ведущего устройства:
адрес ведомого
номер функции
Адрес ст. байт
Адрес мл. байт
Количество регистров ст. байт
Количество регистров мл. байт
сис
мл. байт
сис
ст. байт
0x01
0x03
0x00
0x01
0x00
0x18
0х№4
ОхМчГ
1 ... 5 6 7 8 9 10 11 12 ... 25
Таблица 3.1 приведена только для сравнительно оценки уязвимости сред передачи, без каких-либо мер защиты.
3.1 Оценка производительности телекоммуникаций в АСУ ТП
Прежде, чем рассматривать пригодность моделей информационных сетей, сформулируем требования к их назначению, сфере использования, а главное — ко входным и выходным параметрам.
Модели предназначаются для анализа уязвимостей и воздействия угроз на телекоммуникации в АСУ ТП, и должны показывать влияние средств и мер защиты от разного рода неблагоприятных воздействий на информацию.
Модели должны отображать влияние средств и мер защиты на достоверность и своевременность передачи и приёма информации, прежде всего на пропускную способность телекоммуникаций.
Модели информационных сетей с одним ведущим проще в связи с тем, что не требуется анализировать процессы захвата магистрали, распределения вероятностей запросов, время ожидания и т.п. В сетях с одним ведущим запросы вырабатывает головной компьютер (контроллер) по жёсткому графику.
Степень влияния мер защиты, особенно программных, на пропускную способность телекоммуникаций существенно зависит от распределения вероятностей длины сообщений. Количество дополнительных (защитных) байт и для коротких и для длинных сообщений одинаково, поэтому избыточность коротких сообщений существенно больше
.
Выбор модели определяется целью моделирования. В нашем случае необходимо анализировать влияние средств и мер защиты информации на основные характеристики телекоммуникаций.
Основными техническими средствами защиты являются физическая среда передачи информации: медный провод, кабель, радиоканал или оптоволокно. Таблица 3.1 показывает, что самый низкий уровень защищённости предоставляет радиоканал, а самый высокий — оптоволокно. Вероятность ошибки передачи бита информации из Таблица 3.1 служит для расчёта вероятности повторных запросов, т.к. однократные ошибки при передаче данных обнаруживаются на канальном уровне с помощью СЯС-кода.
Основным программным способом защиты информации в телекоммуникациях является избыточное кодирование, сводящееся к добавлению контрольных битов, контрольных сумм, использованию служебных параметров. Поэтому для анализа влияния средств и мер защиты информации целесообразно рассчитывать следующие параметры сети:
(3.1.1)
Скорость в кабеле (максимальная скорость передачи пакетов):
8К = $мах / Уп [пакет/с],
где Б мах - предельная скорость сети, бит/с; Уп - длина пакета, бит.
(3.1.2)
Пропускная способность сети представляет собой скорость передачи полезной информации:
8с = 8к/Уд [байт/с],
где Бк - максимальная скорость передачи пакетов, пакет/с; Уд - объём полезной информации в пакете, байт.
Эффективность использования физической скорости передачи сети
(3.1.3)
по отношению только к полезным данным:
Эд = 8К х Уд / 8мах [%],
где 8к - максимальная скорость передачи пакетов, пакет/с; 8мах - предельная скорость сети, бит/с; Уд - объём полезной информации в пакете, бит
.
Вероятностный подход позволяет легко оценить влияние случайных воздействий на приведённые выше параметры. При наличии помех или сбоев передачи данных по другим причинам, эффективность использования физической скорости передачи сети снижается за счёт генерации повторных запросов.
3.2 Оценка мер защиты телекоммуникаций в АСУ ТП
Программные меры защиты основаны на введении избыточности кодирования сообщений. В каждом сообщении кроме обязательной служебной информации (адрес приёмника, функция, номер и количество регистров, разделитель) содержится защитная информация (контрольная сумма, количество байт данных, адрес источника, и ответное сообщение - как квитанция приёма).
Подсистема обеспечения надежности современных SCADA-систем позволяет диагностировать достоверность (качество) сигналов, поступающих с датчиков и резервировать их. Признаки аппаратурной и программной достоверности должны передаваться в систему верхнего уровня (SCADA-систему) вместе с измеренным значением как один из атрибутов канала, чтобы их можно было использовать в алгоритмах диагностики и резервирования датчиков.
Для оценки эффективности стандартной защиты при передаче коротких сообщений, характерных для сетей нижнего уровня АСУ ТП, рассмотрим наиболее распространенные в химической промышленности сети: Ethernet, Modbus, Profibus.
3.2.1 Оценка производительности сети Ethernet
Сеть Ethernet чаще всего используется на верхнем уровне АСУ ТП для связи с АСУ предприятия и для связи рабочих станций между собой [34].
Вопрос об оценке производительности сетей децентрализованного доступа, использующих случайный метод доступа CSMA/CD (Carrier-Sense Multiple Access with Collision Detection - множественный доступ с контролем несущей и обнаружением коллизий), не очевиден из-за того, что существуют
73
несколько различных показателей. Прежде всего, следует упомянуть три связанные между собой показателя, характеризующие производительность сети в идеальном случае — при отсутствии коллизий и при передаче непрерывного потока пакетов, разделенных только межпакетным интервалом IPG. Очевидно, такой режим реализуется, если один из абонентов активен и передает пакеты с максимально возможной скоростью. Неполное использование пропускной способности в этом случае связано, кроме существования интервала IPG, с наличием служебных полей в пакете Ethernet.
Пакет максимальной длины является наименее избыточным по относительной доле служебной информации. Он содержит 12304 бит (включая интервал IPG), из которых 12000 являются полезными данными.
Поэтому максимальная скорость передачи пакетов (3.2.1) составит в случае сети Fast Ethernet:
108 бит/с/ 12304 бит 8127,44 пакет/с.
Пропускная способность равна:
8127,44 пакет/с х 1500 байта - 12,2 Мбайт/с.
Эффективность использования физической скорости передачи сети, в случае Fast Ethernet равной 100 Мбит/с, по отношению только к полезным данным составит:
8127,44 пакет/с х 12000 бит/ 108 бит/с 98 %.
Без использования системы никакой из абонентов не может захватить сеть более чем на время передачи одного пакета, однако передача данных отдельными пакетами с долгими паузами между ними ведет к снижению скорости передачи для каждого абонента. Преимущество детерминированных методов состоит в возможности простой организации системы приоритетов, что полезно из-за наличия иерархии в любой АСУ ТП.
3.2.2 Анализ влияния программных мер защиты в сети Modbus RTU Проведем анализ стандартных программных мер защиты информации в сети Modbus RTU, при использовании её в АСУ ТП. Сеть Modbus является централизованной, с детерминированным методом доступа. Загрузку такой
сети можно рассчитать достаточно точно, если определено количество узлов и режимы их работы. Случайный характер имеет лишь время задержки ответа ведомого, а также количество сбоев обмена.
Рисунок 3.1 представляет обобщённый формат кадра:
адрес приёмника (ведомого устройства)
номер функции
данные
контрольная сумма
разделитель сообщений
1 байт
1 байт
до 253 байт
2 байта
пауза > 3,5 байт
Рисунок 3.1 - Кадр Modbus RTU
Передача каждого байта данных требует дополнительно 1 стартового и 2 стоповых битов (без контроля на чётность). Дополнительные биты относятся к служебным, они обеспечивают синхронизацию обмена.
В АСУ ТП интеллектуальные датчики подавляющую часть времени отвечают на циклические запросы SCADA-системы о значении измеряемого параметра, а именно, на запросы «Чтение значений из нескольких регистров». Поскольку для SCADA-системы нужны значения измеряемого параметра в формате Float 4 (Float Single Format no IEEE-754), занимающем 2 регистра (4 байта), конкретные циклы обмена информацией выглядят как показывает Рисунок 3.2.
Запрос ведущего устройства:
адрес • ведомого
номер функции
Адрес ст. байт
Адрес мл. байт
Кол. регистров ст. байт
Кол. регистров мл. байт
CRC мл. байт
CRC ст. байт
0x01
0x03
0x00
0x01
0x00
0x02
OxNN
OxNN
Ответ ведомого устройства:
адрес ведомого
номер функции
Кол. байт
Данные ст.регистра ст.байт
Данные ст.регистра мл. байт
Данные мл.регистра ст.байт
Данные мл.регистра мл.байт
CRC
мл. байт
CRC ст. байт
0x01
0x03
0x04
0x12
0x34
0x56
0x78
OxNN
OxNN
Рисунок 3.2 - Цикл обмена информацией с одноканальным узлом сети МосШиэ ЯТи Таким образом, необходимой для исполнения команды считывания
данных информацией является «адрес ведомого», «номер функции», «адрес первого регистра», «количество регистров» в запросе и собственно «данные»
в ответе. Всего 10 байт. Запрос, ответ и минимальная пауза между ними составляют 20,5 байт. Очевидно, что введение защиты в форме избыточности кодирования, т.е. добавления полей «контрольная сумма CRC», «количество байт данных», квитанций «адрес ведомого» и «номер функции», - приводит к снижению пропускной способности канала на 51 %:
ЮОх (10 - 20,5)/20,5 = - 51,22 %.
-
Кадр максимальной длины является наименее избыточным по относительной доле служебной информации (см. Рисунок 3.1). В Modbus RTU он содержит 2084 бит (включая разделительную паузу), из которых 2016 бит являются полезными данными.
Поэтому максимальная скорость передачи кадров составит в случае сети Modbus RTU при максимальной бодовой скорости 115,2 Кбод: (115200 бит/с)/ 2084 бит 55,28 кадр/с. Пропускная способность равна: 55,28 кадр/с х 252 байта = 13,93 Кбайт/с.
Эффективность использования физической скорости передачи сети, в случае Modbus RTU равной 115,2 Кбод, по отношению только к полезным данным составит:
55,28 кадр /с х 2016 бит/ 115200 бит/с 0,967 97 %.
-
При передаче кадров минимальной длины существенно возрастает скорость в кабеле, что означает всего лишь факт передачи большого числа коротких пакетов. В то же время пропускная способность и эффективность заметно (почти в два раза) ухудшаются из-за возрастания относительной доли служебной информации.
При типовых циклических запросах SCADA-системы о значении измеряемого параметра кадр содержит 164 бит (включая разделительную паузу), из которых 80 бит (10 байт) являются полезными данными. Максимальная скорость передачи кадров: (115200 бит/с)/ 164 бит « 702,44 кадр/с.
Пропускная способность в данном случае будет равна: 702,44 кадр/с х 10 байт 7,02 Кбайт/с.
Эффективность использования физической скорости передачи сети: 702,44 кадр /с х 80 бит/ 115200 бит/с 0,4878 = 48,78 %.
3.2.2.3 Следует отметить, что избыточность будет меньше при считывании данных с многоканальных устройств ввода данных, в которых данные измерений расположены подряд в регистровой карте.
Например, при считывании данных с 12-канального прибора цифрового контроля ПКЦ-12 (ЗАО «НЛП «Автоматика», г. Владимир), запрос, ответ и минимальная пауза между ними составляют 64,5 байт, а содержательной информации 54 байт (см. Рисунок 3.3). Снижение пропускной способности канала составляет около 16 %.
Запрос ведущего устройства:
адрес ведомого
номер функции
Адрес ст. байт
Адрес мл. байт
Количество регистров ст. байт
Количество регистров мл. байт
сис
мл. байт
сис
ст. байт
0x01
0x03
0x00
0x01
0x00
0x18
0х№4
ОхМчГ
1 ... 5 6 7 8 9 10 11 12 ... 25
Таблица 3.1 приведена только для сравнительно оценки уязвимости сред передачи, без каких-либо мер защиты.
3.1 Оценка производительности телекоммуникаций в АСУ ТП
Прежде, чем рассматривать пригодность моделей информационных сетей, сформулируем требования к их назначению, сфере использования, а главное — ко входным и выходным параметрам.
Модели предназначаются для анализа уязвимостей и воздействия угроз на телекоммуникации в АСУ ТП, и должны показывать влияние средств и мер защиты от разного рода неблагоприятных воздействий на информацию.
Модели должны отображать влияние средств и мер защиты на достоверность и своевременность передачи и приёма информации, прежде всего на пропускную способность телекоммуникаций.
Модели информационных сетей с одним ведущим проще в связи с тем, что не требуется анализировать процессы захвата магистрали, распределения вероятностей запросов, время ожидания и т.п. В сетях с одним ведущим запросы вырабатывает головной компьютер (контроллер) по жёсткому графику.
Степень влияния мер защиты, особенно программных, на пропускную способность телекоммуникаций существенно зависит от распределения вероятностей длины сообщений. Количество дополнительных (защитных) байт и для коротких и для длинных сообщений одинаково, поэтому избыточность коротких сообщений существенно больше
.
Выбор модели определяется целью моделирования. В нашем случае необходимо анализировать влияние средств и мер защиты информации на основные характеристики телекоммуникаций.
Основными техническими средствами защиты являются физическая среда передачи информации: медный провод, кабель, радиоканал или оптоволокно. Таблица 3.1 показывает, что самый низкий уровень защищённости предоставляет радиоканал, а самый высокий — оптоволокно. Вероятность ошибки передачи бита информации из Таблица 3.1 служит для расчёта вероятности повторных запросов, т.к. однократные ошибки при передаче данных обнаруживаются на канальном уровне с помощью СЯС-кода.
Основным программным способом защиты информации в телекоммуникациях является избыточное кодирование, сводящееся к добавлению контрольных битов, контрольных сумм, использованию служебных параметров. Поэтому для анализа влияния средств и мер защиты информации целесообразно рассчитывать следующие параметры сети:
(3.1.1)
Скорость в кабеле (максимальная скорость передачи пакетов):
8К = $мах / Уп [пакет/с],
где Б мах - предельная скорость сети, бит/с; Уп - длина пакета, бит.
(3.1.2)
Пропускная способность сети представляет собой скорость передачи полезной информации:
8с = 8к/Уд [байт/с],
где Бк - максимальная скорость передачи пакетов, пакет/с; Уд - объём полезной информации в пакете, байт.
Эффективность использования физической скорости передачи сети
(3.1.3)
по отношению только к полезным данным:
Эд = 8К х Уд / 8мах [%],
где 8к - максимальная скорость передачи пакетов, пакет/с; 8мах - предельная скорость сети, бит/с; Уд - объём полезной информации в пакете, бит
.
Вероятностный подход позволяет легко оценить влияние случайных воздействий на приведённые выше параметры. При наличии помех или сбоев передачи данных по другим причинам, эффективность использования физической скорости передачи сети снижается за счёт генерации повторных запросов.
3.2 Оценка мер защиты телекоммуникаций в АСУ ТП
Программные меры защиты основаны на введении избыточности кодирования сообщений. В каждом сообщении кроме обязательной служебной информации (адрес приёмника, функция, номер и количество регистров, разделитель) содержится защитная информация (контрольная сумма, количество байт данных, адрес источника, и ответное сообщение - как квитанция приёма).
Подсистема обеспечения надежности современных SCADA-систем позволяет диагностировать достоверность (качество) сигналов, поступающих с датчиков и резервировать их. Признаки аппаратурной и программной достоверности должны передаваться в систему верхнего уровня (SCADA-систему) вместе с измеренным значением как один из атрибутов канала, чтобы их можно было использовать в алгоритмах диагностики и резервирования датчиков.
Для оценки эффективности стандартной защиты при передаче коротких сообщений, характерных для сетей нижнего уровня АСУ ТП, рассмотрим наиболее распространенные в химической промышленности сети: Ethernet, Modbus, Profibus.
3.2.1 Оценка производительности сети Ethernet
Сеть Ethernet чаще всего используется на верхнем уровне АСУ ТП для связи с АСУ предприятия и для связи рабочих станций между собой [34].
Вопрос об оценке производительности сетей децентрализованного доступа, использующих случайный метод доступа CSMA/CD (Carrier-Sense Multiple Access with Collision Detection - множественный доступ с контролем несущей и обнаружением коллизий), не очевиден из-за того, что существуют
73
несколько различных показателей. Прежде всего, следует упомянуть три связанные между собой показателя, характеризующие производительность сети в идеальном случае — при отсутствии коллизий и при передаче непрерывного потока пакетов, разделенных только межпакетным интервалом IPG. Очевидно, такой режим реализуется, если один из абонентов активен и передает пакеты с максимально возможной скоростью. Неполное использование пропускной способности в этом случае связано, кроме существования интервала IPG, с наличием служебных полей в пакете Ethernet.
Пакет максимальной длины является наименее избыточным по относительной доле служебной информации. Он содержит 12304 бит (включая интервал IPG), из которых 12000 являются полезными данными.
Поэтому максимальная скорость передачи пакетов (3.2.1) составит в случае сети Fast Ethernet:
108 бит/с/ 12304 бит 8127,44 пакет/с.
Пропускная способность равна:
8127,44 пакет/с х 1500 байта - 12,2 Мбайт/с.
Эффективность использования физической скорости передачи сети, в случае Fast Ethernet равной 100 Мбит/с, по отношению только к полезным данным составит:
8127,44 пакет/с х 12000 бит/ 108 бит/с 98 %.
Без использования системы никакой из абонентов не может захватить сеть более чем на время передачи одного пакета, однако передача данных отдельными пакетами с долгими паузами между ними ведет к снижению скорости передачи для каждого абонента. Преимущество детерминированных методов состоит в возможности простой организации системы приоритетов, что полезно из-за наличия иерархии в любой АСУ ТП.
3.2.2 Анализ влияния программных мер защиты в сети Modbus RTU Проведем анализ стандартных программных мер защиты информации в сети Modbus RTU, при использовании её в АСУ ТП. Сеть Modbus является централизованной, с детерминированным методом доступа. Загрузку такой
сети можно рассчитать достаточно точно, если определено количество узлов и режимы их работы. Случайный характер имеет лишь время задержки ответа ведомого, а также количество сбоев обмена.
Рисунок 3.1 представляет обобщённый формат кадра:
адрес приёмника (ведомого устройства)
номер функции
данные
контрольная сумма
разделитель сообщений
1 байт
1 байт
до 253 байт
2 байта
пауза > 3,5 байт
Рисунок 3.1 - Кадр Modbus RTU
Передача каждого байта данных требует дополнительно 1 стартового и 2 стоповых битов (без контроля на чётность). Дополнительные биты относятся к служебным, они обеспечивают синхронизацию обмена.
В АСУ ТП интеллектуальные датчики подавляющую часть времени отвечают на циклические запросы SCADA-системы о значении измеряемого параметра, а именно, на запросы «Чтение значений из нескольких регистров». Поскольку для SCADA-системы нужны значения измеряемого параметра в формате Float 4 (Float Single Format no IEEE-754), занимающем 2 регистра (4 байта), конкретные циклы обмена информацией выглядят как показывает Рисунок 3.2.
Запрос ведущего устройства:
адрес • ведомого
номер функции
Адрес ст. байт
Адрес мл. байт
Кол. регистров ст. байт
Кол. регистров мл. байт
CRC мл. байт
CRC ст. байт
0x01
0x03
0x00
0x01
0x00
0x02
OxNN
OxNN
Ответ ведомого устройства:
адрес ведомого
номер функции
Кол. байт
Данные ст.регистра ст.байт
Данные ст.регистра мл. байт
Данные мл.регистра ст.байт
Данные мл.регистра мл.байт
CRC
мл. байт
CRC ст. байт
0x01
0x03
0x04
0x12
0x34
0x56
0x78
OxNN
OxNN
Рисунок 3.2 - Цикл обмена информацией с одноканальным узлом сети МосШиэ ЯТи Таким образом, необходимой для исполнения команды считывания
данных информацией является «адрес ведомого», «номер функции», «адрес первого регистра», «количество регистров» в запросе и собственно «данные»
в ответе. Всего 10 байт. Запрос, ответ и минимальная пауза между ними составляют 20,5 байт. Очевидно, что введение защиты в форме избыточности кодирования, т.е. добавления полей «контрольная сумма CRC», «количество байт данных», квитанций «адрес ведомого» и «номер функции», - приводит к снижению пропускной способности канала на 51 %:
ЮОх (10 - 20,5)/20,5 = - 51,22 %.
-
Кадр максимальной длины является наименее избыточным по относительной доле служебной информации (см. Рисунок 3.1). В Modbus RTU он содержит 2084 бит (включая разделительную паузу), из которых 2016 бит являются полезными данными.
Поэтому максимальная скорость передачи кадров составит в случае сети Modbus RTU при максимальной бодовой скорости 115,2 Кбод: (115200 бит/с)/ 2084 бит 55,28 кадр/с. Пропускная способность равна: 55,28 кадр/с х 252 байта = 13,93 Кбайт/с.
Эффективность использования физической скорости передачи сети, в случае Modbus RTU равной 115,2 Кбод, по отношению только к полезным данным составит:
55,28 кадр /с х 2016 бит/ 115200 бит/с 0,967 97 %.
-
При передаче кадров минимальной длины существенно возрастает скорость в кабеле, что означает всего лишь факт передачи большого числа коротких пакетов. В то же время пропускная способность и эффективность заметно (почти в два раза) ухудшаются из-за возрастания относительной доли служебной информации.
При типовых циклических запросах SCADA-системы о значении измеряемого параметра кадр содержит 164 бит (включая разделительную паузу), из которых 80 бит (10 байт) являются полезными данными. Максимальная скорость передачи кадров: (115200 бит/с)/ 164 бит « 702,44 кадр/с.
Пропускная способность в данном случае будет равна: 702,44 кадр/с х 10 байт 7,02 Кбайт/с.
Эффективность использования физической скорости передачи сети: 702,44 кадр /с х 80 бит/ 115200 бит/с 0,4878 = 48,78 %.
3.2.2.3 Следует отметить, что избыточность будет меньше при считывании данных с многоканальных устройств ввода данных, в которых данные измерений расположены подряд в регистровой карте.
Например, при считывании данных с 12-канального прибора цифрового контроля ПКЦ-12 (ЗАО «НЛП «Автоматика», г. Владимир), запрос, ответ и минимальная пауза между ними составляют 64,5 байт, а содержательной информации 54 байт (см. Рисунок 3.3). Снижение пропускной способности канала составляет около 16 %.
Запрос ведущего устройства:
адрес ведомого
номер функции
Адрес ст. байт
Адрес мл. байт
Количество регистров ст. байт
Количество регистров мл. байт
сис
мл. байт
сис
ст. байт
0x01
0x03
0x00
0x01
0x00
0x18
0х№4
ОхМчГ
1 ... 5 6 7 8 9 10 11 12 ... 25
Таблица 3.1 приведена только для сравнительно оценки уязвимости сред передачи, без каких-либо мер защиты.
3.1 Оценка производительности телекоммуникаций в АСУ ТП
Прежде, чем рассматривать пригодность моделей информационных сетей, сформулируем требования к их назначению, сфере использования, а главное — ко входным и выходным параметрам.
Модели предназначаются для анализа уязвимостей и воздействия угроз на телекоммуникации в АСУ ТП, и должны показывать влияние средств и мер защиты от разного рода неблагоприятных воздействий на информацию.
Модели должны отображать влияние средств и мер защиты на достоверность и своевременность передачи и приёма информации, прежде всего на пропускную способность телекоммуникаций.
Модели информационных сетей с одним ведущим проще в связи с тем, что не требуется анализировать процессы захвата магистрали, распределения вероятностей запросов, время ожидания и т.п. В сетях с одним ведущим запросы вырабатывает головной компьютер (контроллер) по жёсткому графику.
Степень влияния мер защиты, особенно программных, на пропускную способность телекоммуникаций существенно зависит от распределения вероятностей длины сообщений. Количество дополнительных (защитных) байт и для коротких и для длинных сообщений одинаково, поэтому избыточность коротких сообщений существенно больше
.
Выбор модели определяется целью моделирования. В нашем случае необходимо анализировать влияние средств и мер защиты информации на основные характеристики телекоммуникаций.
Основными техническими средствами защиты являются физическая среда передачи информации: медный провод, кабель, радиоканал или оптоволокно. Таблица 3.1 показывает, что самый низкий уровень защищённости предоставляет радиоканал, а самый высокий — оптоволокно. Вероятность ошибки передачи бита информации из Таблица 3.1 служит для расчёта вероятности повторных запросов, т.к. однократные ошибки при передаче данных обнаруживаются на канальном уровне с помощью СЯС-кода.
Основным программным способом защиты информации в телекоммуникациях является избыточное кодирование, сводящееся к добавлению контрольных битов, контрольных сумм, использованию служебных параметров. Поэтому для анализа влияния средств и мер защиты информации целесообразно рассчитывать следующие параметры сети:
(3.1.1)
Скорость в кабеле (максимальная скорость передачи пакетов):
8К = $мах / Уп [пакет/с],
где Б мах - предельная скорость сети, бит/с; Уп - длина пакета, бит.
(3.1.2)
Пропускная способность сети представляет собой скорость передачи полезной информации:
8с = 8к/Уд [байт/с],
где Бк - максимальная скорость передачи пакетов, пакет/с; Уд - объём полезной информации в пакете, байт.
Эффективность использования физической скорости передачи сети
(3.1.3)
по отношению только к полезным данным:
Эд = 8К х Уд / 8мах [%],
где 8к - максимальная скорость передачи пакетов, пакет/с; 8мах - предельная скорость сети, бит/с; Уд - объём полезной информации в пакете, бит
.
Вероятностный подход позволяет легко оценить влияние случайных воздействий на приведённые выше параметры. При наличии помех или сбоев передачи данных по другим причинам, эффективность использования физической скорости передачи сети снижается за счёт генерации повторных запросов.
3.2 Оценка мер защиты телекоммуникаций в АСУ ТП
Программные меры защиты основаны на введении избыточности кодирования сообщений. В каждом сообщении кроме обязательной служебной информации (адрес приёмника, функция, номер и количество регистров, разделитель) содержится защитная информация (контрольная сумма, количество байт данных, адрес источника, и ответное сообщение - как квитанция приёма).
Подсистема обеспечения надежности современных SCADA-систем позволяет диагностировать достоверность (качество) сигналов, поступающих с датчиков и резервировать их. Признаки аппаратурной и программной достоверности должны передаваться в систему верхнего уровня (SCADA-систему) вместе с измеренным значением как один из атрибутов канала, чтобы их можно было использовать в алгоритмах диагностики и резервирования датчиков.
Для оценки эффективности стандартной защиты при передаче коротких сообщений, характерных для сетей нижнего уровня АСУ ТП, рассмотрим наиболее распространенные в химической промышленности сети: Ethernet, Modbus, Profibus.
3.2.1 Оценка производительности сети Ethernet
Сеть Ethernet чаще всего используется на верхнем уровне АСУ ТП для связи с АСУ предприятия и для связи рабочих станций между собой [34].
Вопрос об оценке производительности сетей децентрализованного доступа, использующих случайный метод доступа CSMA/CD (Carrier-Sense Multiple Access with Collision Detection - множественный доступ с контролем несущей и обнаружением коллизий), не очевиден из-за того, что существуют
73
несколько различных показателей. Прежде всего, следует упомянуть три связанные между собой показателя, характеризующие производительность сети в идеальном случае — при отсутствии коллизий и при передаче непрерывного потока пакетов, разделенных только межпакетным интервалом IPG. Очевидно, такой режим реализуется, если один из абонентов активен и передает пакеты с максимально возможной скоростью. Неполное использование пропускной способности в этом случае связано, кроме существования интервала IPG, с наличием служебных полей в пакете Ethernet.
Пакет максимальной длины является наименее избыточным по относительной доле служебной информации. Он содержит 12304 бит (включая интервал IPG), из которых 12000 являются полезными данными.
Поэтому максимальная скорость передачи пакетов (3.2.1) составит в случае сети Fast Ethernet:
108 бит/с/ 12304 бит 8127,44 пакет/с.
Пропускная способность равна:
8127,44 пакет/с х 1500 байта - 12,2 Мбайт/с.
Эффективность использования физической скорости передачи сети, в случае Fast Ethernet равной 100 Мбит/с, по отношению только к полезным данным составит:
8127,44 пакет/с х 12000 бит/ 108 бит/с 98 %.
Без использования системы никакой из абонентов не может захватить сеть более чем на время передачи одного пакета, однако передача данных отдельными пакетами с долгими паузами между ними ведет к снижению скорости передачи для каждого абонента. Преимущество детерминированных методов состоит в возможности простой организации системы приоритетов, что полезно из-за наличия иерархии в любой АСУ ТП.
3.2.2 Анализ влияния программных мер защиты в сети Modbus RTU Проведем анализ стандартных программных мер защиты информации в сети Modbus RTU, при использовании её в АСУ ТП. Сеть Modbus является централизованной, с детерминированным методом доступа. Загрузку такой
сети можно рассчитать достаточно точно, если определено количество узлов и режимы их работы. Случайный характер имеет лишь время задержки ответа ведомого, а также количество сбоев обмена.
Рисунок 3.1 представляет обобщённый формат кадра:
адрес приёмника (ведомого устройства)
номер функции
данные
контрольная сумма
разделитель сообщений
1 байт
1 байт
до 253 байт
2 байта
пауза > 3,5 байт
Рисунок 3.1 - Кадр Modbus RTU
Передача каждого байта данных требует дополнительно 1 стартового и 2 стоповых битов (без контроля на чётность). Дополнительные биты относятся к служебным, они обеспечивают синхронизацию обмена.
В АСУ ТП интеллектуальные датчики подавляющую часть времени отвечают на циклические запросы SCADA-системы о значении измеряемого параметра, а именно, на запросы «Чтение значений из нескольких регистров». Поскольку для SCADA-системы нужны значения измеряемого параметра в формате Float 4 (Float Single Format no IEEE-754), занимающем 2 регистра (4 байта), конкретные циклы обмена информацией выглядят как показывает Рисунок 3.2.
Запрос ведущего устройства:
адрес • ведомого
номер функции
Адрес ст. байт
Адрес мл. байт
Кол. регистров ст. байт
Кол. регистров мл. байт
CRC мл. байт
CRC ст. байт
0x01
0x03
0x00
0x01
0x00
0x02
OxNN
OxNN
Ответ ведомого устройства:
адрес ведомого
номер функции
Кол. байт
Данные ст.регистра ст.байт
Данные ст.регистра мл. байт
Данные мл.регистра ст.байт
Данные мл.регистра мл.байт
CRC
мл. байт
CRC ст. байт
0x01
0x03
0x04
0x12
0x34
0x56
0x78
OxNN
OxNN
Рисунок 3.2 - Цикл обмена информацией с одноканальным узлом сети МосШиэ ЯТи Таким образом, необходимой для исполнения команды считывания
данных информацией является «адрес ведомого», «номер функции», «адрес первого регистра», «количество регистров» в запросе и собственно «данные»
в ответе. Всего 10 байт. Запрос, ответ и минимальная пауза между ними составляют 20,5 байт. Очевидно, что введение защиты в форме избыточности кодирования, т.е. добавления полей «контрольная сумма CRC», «количество байт данных», квитанций «адрес ведомого» и «номер функции», - приводит к снижению пропускной способности канала на 51 %:
ЮОх (10 - 20,5)/20,5 = - 51,22 %.
-
Кадр максимальной длины является наименее избыточным по относительной доле служебной информации (см. Рисунок 3.1). В Modbus RTU он содержит 2084 бит (включая разделительную паузу), из которых 2016 бит являются полезными данными.
Поэтому максимальная скорость передачи кадров составит в случае сети Modbus RTU при максимальной бодовой скорости 115,2 Кбод: (115200 бит/с)/ 2084 бит 55,28 кадр/с. Пропускная способность равна: 55,28 кадр/с х 252 байта = 13,93 Кбайт/с.
Эффективность использования физической скорости передачи сети, в случае Modbus RTU равной 115,2 Кбод, по отношению только к полезным данным составит:
55,28 кадр /с х 2016 бит/ 115200 бит/с 0,967 97 %.
-
При передаче кадров минимальной длины существенно возрастает скорость в кабеле, что означает всего лишь факт передачи большого числа коротких пакетов. В то же время пропускная способность и эффективность заметно (почти в два раза) ухудшаются из-за возрастания относительной доли служебной информации.
При типовых циклических запросах SCADA-системы о значении измеряемого параметра кадр содержит 164 бит (включая разделительную паузу), из которых 80 бит (10 байт) являются полезными данными. Максимальная скорость передачи кадров: (115200 бит/с)/ 164 бит « 702,44 кадр/с.
Пропускная способность в данном случае будет равна: 702,44 кадр/с х 10 байт 7,02 Кбайт/с.
Эффективность использования физической скорости передачи сети: 702,44 кадр /с х 80 бит/ 115200 бит/с 0,4878 = 48,78 %.
3.2.2.3 Следует отметить, что избыточность будет меньше при считывании данных с многоканальных устройств ввода данных, в которых данные измерений расположены подряд в регистровой карте.
Например, при считывании данных с 12-канального прибора цифрового контроля ПКЦ-12 (ЗАО «НЛП «Автоматика», г. Владимир), запрос, ответ и минимальная пауза между ними составляют 64,5 байт, а содержательной информации 54 байт (см. Рисунок 3.3). Снижение пропускной способности канала составляет около 16 %.
Запрос ведущего устройства:
адрес ведомого
номер функции
Адрес ст. байт
Адрес мл. байт
Количество регистров ст. байт
Количество регистров мл. байт
сис
мл. байт
сис
ст. байт
0x01
0x03
0x00
0x01
0x00
0x18
0х№4
ОхМчГ
1 ... 5 6 7 8 9 10 11 12 ... 25
.
Выбор модели определяется целью моделирования. В нашем случае необходимо анализировать влияние средств и мер защиты информации на основные характеристики телекоммуникаций.
Основными техническими средствами защиты являются физическая среда передачи информации: медный провод, кабель, радиоканал или оптоволокно. Таблица 3.1 показывает, что самый низкий уровень защищённости предоставляет радиоканал, а самый высокий — оптоволокно. Вероятность ошибки передачи бита информации из Таблица 3.1 служит для расчёта вероятности повторных запросов, т.к. однократные ошибки при передаче данных обнаруживаются на канальном уровне с помощью СЯС-кода.
Основным программным способом защиты информации в телекоммуникациях является избыточное кодирование, сводящееся к добавлению контрольных битов, контрольных сумм, использованию служебных параметров. Поэтому для анализа влияния средств и мер защиты информации целесообразно рассчитывать следующие параметры сети:
(3.1.1)
Скорость в кабеле (максимальная скорость передачи пакетов):
8К = $мах / Уп [пакет/с],
где Б мах - предельная скорость сети, бит/с; Уп - длина пакета, бит.
(3.1.2)
Пропускная способность сети представляет собой скорость передачи полезной информации:
8с = 8к/Уд [байт/с],
где Бк - максимальная скорость передачи пакетов, пакет/с; Уд - объём полезной информации в пакете, байт.
Эффективность использования физической скорости передачи сети
(3.1.3)
по отношению только к полезным данным:
Эд = 8К х Уд / 8мах [%],
где 8к - максимальная скорость передачи пакетов, пакет/с; 8мах - предельная скорость сети, бит/с; Уд - объём полезной информации в пакете, бит
.
Вероятностный подход позволяет легко оценить влияние случайных воздействий на приведённые выше параметры. При наличии помех или сбоев передачи данных по другим причинам, эффективность использования физической скорости передачи сети снижается за счёт генерации повторных запросов.
3.2 Оценка мер защиты телекоммуникаций в АСУ ТП
Программные меры защиты основаны на введении избыточности кодирования сообщений. В каждом сообщении кроме обязательной служебной информации (адрес приёмника, функция, номер и количество регистров, разделитель) содержится защитная информация (контрольная сумма, количество байт данных, адрес источника, и ответное сообщение - как квитанция приёма).
Подсистема обеспечения надежности современных SCADA-систем позволяет диагностировать достоверность (качество) сигналов, поступающих с датчиков и резервировать их. Признаки аппаратурной и программной достоверности должны передаваться в систему верхнего уровня (SCADA-систему) вместе с измеренным значением как один из атрибутов канала, чтобы их можно было использовать в алгоритмах диагностики и резервирования датчиков.
Для оценки эффективности стандартной защиты при передаче коротких сообщений, характерных для сетей нижнего уровня АСУ ТП, рассмотрим наиболее распространенные в химической промышленности сети: Ethernet, Modbus, Profibus.
3.2.1 Оценка производительности сети Ethernet
Сеть Ethernet чаще всего используется на верхнем уровне АСУ ТП для связи с АСУ предприятия и для связи рабочих станций между собой [34].
Вопрос об оценке производительности сетей децентрализованного доступа, использующих случайный метод доступа CSMA/CD (Carrier-Sense Multiple Access with Collision Detection - множественный доступ с контролем несущей и обнаружением коллизий), не очевиден из-за того, что существуют
73
несколько различных показателей. Прежде всего, следует упомянуть три связанные между собой показателя, характеризующие производительность сети в идеальном случае — при отсутствии коллизий и при передаче непрерывного потока пакетов, разделенных только межпакетным интервалом IPG. Очевидно, такой режим реализуется, если один из абонентов активен и передает пакеты с максимально возможной скоростью. Неполное использование пропускной способности в этом случае связано, кроме существования интервала IPG, с наличием служебных полей в пакете Ethernet.
Пакет максимальной длины является наименее избыточным по относительной доле служебной информации. Он содержит 12304 бит (включая интервал IPG), из которых 12000 являются полезными данными.
Поэтому максимальная скорость передачи пакетов (3.2.1) составит в случае сети Fast Ethernet:
108 бит/с/ 12304 бит 8127,44 пакет/с.
Пропускная способность равна:
8127,44 пакет/с х 1500 байта - 12,2 Мбайт/с.
Эффективность использования физической скорости передачи сети, в случае Fast Ethernet равной 100 Мбит/с, по отношению только к полезным данным составит:
8127,44 пакет/с х 12000 бит/ 108 бит/с 98 %.
Без использования системы никакой из абонентов не может захватить сеть более чем на время передачи одного пакета, однако передача данных отдельными пакетами с долгими паузами между ними ведет к снижению скорости передачи для каждого абонента. Преимущество детерминированных методов состоит в возможности простой организации системы приоритетов, что полезно из-за наличия иерархии в любой АСУ ТП.
3.2.2 Анализ влияния программных мер защиты в сети Modbus RTU Проведем анализ стандартных программных мер защиты информации в сети Modbus RTU, при использовании её в АСУ ТП. Сеть Modbus является централизованной, с детерминированным методом доступа. Загрузку такой
сети можно рассчитать достаточно точно, если определено количество узлов и режимы их работы. Случайный характер имеет лишь время задержки ответа ведомого, а также количество сбоев обмена.
Рисунок 3.1 представляет обобщённый формат кадра:
адрес приёмника (ведомого устройства) | номер функции | данные | контрольная сумма | разделитель сообщений |
1 байт | 1 байт | до 253 байт | 2 байта | пауза > 3,5 байт |
Рисунок 3.1 - Кадр Modbus RTU
Передача каждого байта данных требует дополнительно 1 стартового и 2 стоповых битов (без контроля на чётность). Дополнительные биты относятся к служебным, они обеспечивают синхронизацию обмена.
В АСУ ТП интеллектуальные датчики подавляющую часть времени отвечают на циклические запросы SCADA-системы о значении измеряемого параметра, а именно, на запросы «Чтение значений из нескольких регистров». Поскольку для SCADA-системы нужны значения измеряемого параметра в формате Float 4 (Float Single Format no IEEE-754), занимающем 2 регистра (4 байта), конкретные циклы обмена информацией выглядят как показывает Рисунок 3.2.
Запрос ведущего устройства:
адрес • ведомого | номер функции | Адрес ст. байт | Адрес мл. байт | Кол. регистров ст. байт | Кол. регистров мл. байт | CRC мл. байт | CRC ст. байт |
0x01 | 0x03 | 0x00 | 0x01 | 0x00 | 0x02 | OxNN | OxNN |
Ответ ведомого устройства:
адрес ведомого | номер функции | Кол. байт | Данные ст.регистра ст.байт | Данные ст.регистра мл. байт | Данные мл.регистра ст.байт | Данные мл.регистра мл.байт | CRC мл. байт | CRC ст. байт |
0x01 | 0x03 | 0x04 | 0x12 | 0x34 | 0x56 | 0x78 | OxNN | OxNN |
Рисунок 3.2 - Цикл обмена информацией с одноканальным узлом сети МосШиэ ЯТи Таким образом, необходимой для исполнения команды считывания
данных информацией является «адрес ведомого», «номер функции», «адрес первого регистра», «количество регистров» в запросе и собственно «данные»
в ответе. Всего 10 байт. Запрос, ответ и минимальная пауза между ними составляют 20,5 байт. Очевидно, что введение защиты в форме избыточности кодирования, т.е. добавления полей «контрольная сумма CRC», «количество байт данных», квитанций «адрес ведомого» и «номер функции», - приводит к снижению пропускной способности канала на 51 %:
ЮОх (10 - 20,5)/20,5 = - 51,22 %.
-
Кадр максимальной длины является наименее избыточным по относительной доле служебной информации (см. Рисунок 3.1). В Modbus RTU он содержит 2084 бит (включая разделительную паузу), из которых 2016 бит являются полезными данными.
Поэтому максимальная скорость передачи кадров составит в случае сети Modbus RTU при максимальной бодовой скорости 115,2 Кбод: (115200 бит/с)/ 2084 бит 55,28 кадр/с. Пропускная способность равна: 55,28 кадр/с х 252 байта = 13,93 Кбайт/с.
Эффективность использования физической скорости передачи сети, в случае Modbus RTU равной 115,2 Кбод, по отношению только к полезным данным составит:
55,28 кадр /с х 2016 бит/ 115200 бит/с 0,967 97 %.
-
При передаче кадров минимальной длины существенно возрастает скорость в кабеле, что означает всего лишь факт передачи большого числа коротких пакетов. В то же время пропускная способность и эффективность заметно (почти в два раза) ухудшаются из-за возрастания относительной доли служебной информации.
При типовых циклических запросах SCADA-системы о значении измеряемого параметра кадр содержит 164 бит (включая разделительную паузу), из которых 80 бит (10 байт) являются полезными данными. Максимальная скорость передачи кадров: (115200 бит/с)/ 164 бит « 702,44 кадр/с.
Пропускная способность в данном случае будет равна: 702,44 кадр/с х 10 байт 7,02 Кбайт/с.
Эффективность использования физической скорости передачи сети: 702,44 кадр /с х 80 бит/ 115200 бит/с 0,4878 = 48,78 %.
3.2.2.3 Следует отметить, что избыточность будет меньше при считывании данных с многоканальных устройств ввода данных, в которых данные измерений расположены подряд в регистровой карте.
Например, при считывании данных с 12-канального прибора цифрового контроля ПКЦ-12 (ЗАО «НЛП «Автоматика», г. Владимир), запрос, ответ и минимальная пауза между ними составляют 64,5 байт, а содержательной информации 54 байт (см. Рисунок 3.3). Снижение пропускной способности канала составляет около 16 %.
Запрос ведущего устройства:
адрес ведомого | номер функции | Адрес ст. байт | Адрес мл. байт | Количество регистров ст. байт | Количество регистров мл. байт | сис мл. байт | сис ст. байт |
0x01 | 0x03 | 0x00 | 0x01 | 0x00 | 0x18 | 0х№4 | ОхМчГ |
1 ... 5 6 7 8 9 10 11 12 ... 25
Ответ ведомого устройства (ПКЦ-12):
адрес | номер | Количество | Данные | сис | СБ1С |
ведомого | функции | байт | 48 байт | мл. байт | ст. байт |
0x01 | 0x03 | 0x30 | ... | 0х№4 | ОхМчГ |
Рисунок 3.3 - Цикл обмена информацией с многоканальным узлом сети МосШиэ ЯТи
3.2.3 Анализ влияния программных мер защиты в сети РгоАЬив БР
защищённого Р-профиля
Сеть РгойЬиэ (БР и РА) кроме централизованного детерминированного доступа допускает возможность децентрализованного детерминированного доступа эстафетного типа. Ведущими могут быть до 32 узлов сети (из 128). Передача прав пользования магистралью производится по принципу эстафеты. Эстафетное кольцо представляет собой организованную цепь активных узлов с определенными заранее адресами. В этой цепи маркер (право доступа
к среде) распространяется от одного ведущего к следующему в определенной последовательности увеличения адресов.
Одним из расширений стандарта РгойЬиБ является новое решение в области создания безопасных систем автоматизации на производстве (далее Б- профиль, или FailSafe-пpoфиль). Впервые Р-профиль [35] был представлен на выставке в Ганновере в 1999 году. Основная задача этого расширения РгойЬиБ заключается в создании систем автоматизации, которые в своей эксплуатации безопасны как для людей, так и для машин. Эта новая технология включает такие компоненты, обеспечивающие безопасность труда, как аварийные кнопки останова, концевые выключатели, световые барьеры и лазерные системы контроля вместе с датчиками и исполнительными механизмами. Важным преимуществом использования Б-профиля является возможность объединения в единую сеть как устройств, обеспечивающих безопасность, так и традиционных устройств, поддерживающих стандартный протокол РгоАЬив (БР