Файл: Диссертация на соискание ученой степени кандидата технических наук Владимирский государственный университет.doc

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Диссертация

Дисциплина: Не указана

Добавлен: 11.01.2024

Просмотров: 345

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

04200911472 Дерябин Александр Вячеславович Защита информации в телекоммуникациях АСУ ТП химической промышленностиСпециальность 05.12.13. - Системы, сети и устройства телекоммуникацийДиссертация на соискание ученой степени кандидата технических наук Владимирский государственный университетНаучный руководитель: Доктор технических наук, профессор Галкин А.П.Владимир - 200 9ОГЛАВЛЕНИЕ 04200911472 Дерябин Александр Вячеславович 1Защита информации в телекоммуникациях АСУ ТП химической промышленности 11 УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И УЯЗВИМОСТИ АСУ ТП 91.1 Телекоммуникации АСУ ТП 91.1.1 Типовая структура АСУ ТП 9¡1]]]]]] 1ЕШ ШШ В11 36Il i 462 ЗАЩИТА ИНФОРМАЦИИ В АСУ ТП 63i 398А=я2/я, 1 ... ык (43Л) 543А = — ■ А ; А = — ■■ АА, =—■ А 576А = " А ^ А = " А ^ ■ ■ ■ ^ А = " А 577М1 = --М»>М2 = --М»>-'>Мп-, = —-А 579к. т, 843Акт внедрения 843 ВВЕДЕНИЕАктуальность работы связана с широким использованием телекомму­никаций в автоматизированных системах управления технологическими про­цессами (АСУ ТП) и высоким уровнем опасности искажения или потери ин­формации. Готовность организаций и предприятий, разрабатывающих и экс­плуатирующих АСУ ТП, выполнять анализ их надёжности и безопасности является обязательным условием государственной и международной серти­фикации. Однако большинство систем управления технологическими про­цессами малой и средней сложности чаще всего проектируются малыми ор­ганизациями в условиях жёстких финансовых и кадровых ограничений. И в силу этого вопросами информационной безопасности (ИБ) не занимаются вообще.Если в атомной промышленности и энергетике последствия нарушения безопасности, в том числе информационной, могут быть масштабными и ка­тастрофическими, то масштаб ущерба в АСУ ТП химической^ промышленно­сти далеко не всегда так очевиден и велик. Размер ущерба и его характер оп­ределяется, прежде всего, самим технологическим процессом. При систем­ном подходе необходимо рассматривать систему управления во взаимосвязи и взаимовлиянии не только с объектом управления (в данном случае - техно­логическим процессом), но и с источниками энергии, и с окружающей сре­дой. В химической промышленности влияние на окружающую среду должно всегда подвергаться тщательному анализу не только в аварийном, но и в нормальном режиме работы АСУ ТП. Нарушение экологии может быть вы­звано не только утечками и технологическими выбросами вредных веществ, но и, например, изменением температуры воды в водоёме при сбросе в него технологической воды, забранной из артезианской скважины для охлаждения процесса.Обеспечить ИБ АСУ ТП на достаточно высоком уровне, при постоянно растущем уровне информатизации и постоянно увеличивающемся количест­ве угроз, уже невозможно только комплексом внешних мер защиты. Автор2предлагает такой подход к обеспечению ИБ АСУ ТП, когда внешнюю за­щитную оболочку будет создавать комплексная система ИБ (включая систе­мы мониторинга и управления информационной безопасностью, интегриро­ванные с системами мониторинга и управления^ защищаемой системы), а внутренние барьеры образуют встроенные механизмы защиты программных и технических компонентов АСУ ТП. Такой подход можно назвать систем­ным.Обойти внешнюю защиту можно, внутреннюю — гораздо сложнее. По­этому автор обращает особое внимание на преимущества разработки и при­менения программных и аппаратурных средств АСУ ТП, имеющих встроен­ные механизмы защиты, которыми пользователь может управлять для созда­ния требуемой пропорции- механизмов- защиты в системе защиты информа­ции (СЗИ).Средства телекоммуникаций в АСУ ТП — это многообразие аппаратуры и программного обеспечения, которые должны иметь внутренние механизмы собственной безопасности. Поэтому от производителей технических средств и программного обеспечения АСУ ТП требуется разработка инструментов обеспечения безопасности своих продуктов.Цель диссертационной работы - обоснование методов и разработка ме­тодик и алгоритмов обеспечения информационной безопасности и оценки информационной защищённости телекоммуникаций нижнего уровня АСУ ТП в химической промышленности.Для достижения указанной цели в диссертации сформулированы, и ре­шены следующие научные и технические задачи: Исследованы типичные АСУТП в химической промышленности, ЗСАОА-системы, интеллектуальные датчики и телекоммуникации. Выявлены угрозы ИБ, уязвимости СЗИ, особенности обеспечения ИБ АСУ ТП в химической промышленности. Разработаны принципы выбора локальных сетей, БСАОА-систем, ин­теллектуальных датчиков и рекомендации по обеспечению ИБ оборудования и телекоммуникаций нижнего уровня АСУ ТП в химической промышленно­сти. Разработаны алгоритмы защиты от НСД в сетях нижнего уровня АСУ ТП. Экспериментальным исследованием доказана эффективность раз­работанных алгоритмов для повышения защищённости узлов сети. Исследована эффективность использования физической скорости пере­дачи в сетях нижнего уровня АСУ ТП при программных методах защиты. Предложен метод аппаратурно-программной имитации для исследова­ния СЗИ на базовом для исследуемой АСУ ТП программно-техническом комплексе (ПТК). Метод опробован при оценке СЗИ АСУ ТП «ПХВ-1», раз­работке и испытании рекомендаций по модернизации СЗИ. Разработана методика оценки защищённости АСУ ТП. Обоснован по­казатель качества СЗИ АСУ ТП - уменьшение общего ущерба, наносимого воздействием угроз. Разработана компьютерная программа для НСД в сеть МосИэиБ и*прове­дено экспериментальное исследование защищённости сети, датчиков и 8САОА-системы. Методы исследования. В диссертации научные исследования основа­ны на методах математического моделирования, математической статистики, экспертных оценок при широком использовании программно- математического инструментария.Основные теоретические результаты проверены в конкретных системах и с помощью моделирующих программ на компьютерах, а также в ходе ис­пытаний и эксплуатации информационных сетей АСУ ТП.Научная новизна диссертационной работы. Проведён анализ и систематизация типичных структур АСУ ТП в хи­мической промышленности, БСАОА-систем, интеллектуальных датчиков и телекоммуникаций. Выявлены угрозы ИБ, уязвимости СЗИ, особенности обеспечения ИБ АСУ ТП в химической промышленности. Предложено создавать и использовать встроенные механизмы защиты оборудования и телекоммуникаций АСУ ТП в сочетании с комплексом внешних мер защиты. На основе такого системного подхода разработана ме­тодика создания СЗИ в АСУ ТП. Разработаны алгоритмы защиты от НСД в сетях нижнего уровня АСУ ТП. Проведён анализ и обоснован выбор показателя качества и методов оценки качества СЗИ в телекоммуникациях АСУ ТП. Разработана методика оценки качества СЗИ. Проведены экспериментальные исследования разработанных методик и алгоритмов на действующих АСУ ТП. Практическое значение диссертационной работы для разработчиков АСУ ТП и для эксплуатирующих предприятий заключается в облегчении за­дач выбора программных продуктов и технических средств с учётом ИБ, оценки информационной защищённости АСУ ТП с применением норматив­ной документации. Результаты работы полезны предприятиям, производя­щим аппаратуру и программное обеспечение для АСУ ТП.Акты внедрения результатов диссертационной работы представлены в Приложении 9.Диссертация состоит из введения, четырёх глав, заключения и прило­жений.В первой главе выявлены угрозы информационной безопасности и уязвимости АСУ ТП. Проведен анализ типичных АСУ ТП в химической от­расли, ЗСАОА-систем и локальных сетей с точки зрения обеспечения безо­пасности.Во второй главе рассмотрены особенности защиты информации в АСУ ТП химической промышленности, определены требования, к телеком­муникациям на всех уровнях иерархической структуры АСУ ТП. Выработа­ны рекомендации по выбору 8САГ>А-систем, аппаратуры и телекоммуника­ций нижнего уровня АСУ ТП. Разработана методика создания систем защиты информации в АСУ ТП химической промышленности.В третьей главе исследовано влияние программных мер защиты на эффективность использования физической скорости передачи в сетях МосИэиэ и РгоАЬш, при применении их на нижнем уровне АСУ ТП. С помощью раз­работанной автором программы проведена экспериментальная проверка за­щищённости телекоммуникаций нижнего уровня АСУ ТП от НСД. Разрабо­таны алгоритмы доступа к узлам сети со стороны пульта и со стороны сети, отличающиеся оптимальным сочетанием методов защиты от НСД и обеспе­чивающие быстрое обнаружение вторжения. Сравнительное эксперимен­тальное исследование нескольких устройств показало многократное (мини­мум в 5 раз) превосходство по защищённости узлов, в которых реализован разработанный автором алгоритм доступа. Проанализированы существую­щие механизмы защиты информации в АСУ ТП производства бумвинила «ПХВ-1» и выработаны рекомендации по модернизации СЗИ. Предложено применение программно-аппаратурных имитаторов на базе контроллеров ПТК для имитации нештатных ситуаций (сбоев, отказов, НСД), а также за­щитных мероприятий. Приведены результаты моделирования на имитаторах АСУ ТП «ПХВ-1» до и после введения дополнительных мер защиты инфор­мации.В четвёртой главе исследована нормативная база российских и меж­дународных стандартов и руководств по информационной безопасности те­лекоммуникаций АСУ ТП. Обоснован показатель качества, проведён обзор методов оценки качества СЗИ АСУ ТП. Разработана методика оценки защи­щённости АСУ ТП. Разработанная методика применена для оценки СЗИ АСУ ТП «ПХВ-1».В приложениях приведены различные вспомогательные и справочные материалы, а также акты внедрения.Основные положения диссертации опубликованы в следующих статьях: Дерябин, A.B. Компоненты и технологии видеонаблюдения /A.B. Дерябин // Современные проблемы экономикии новые технологии ис­следований: сб. науч.тр., ч.2 / Филиал ВЗФЭИ в г. Владимире. - Владимир, 2006.-С.17-21. Дерябин, A.B. Эффективность использования GSM канала в системах телекоммуникации АСУ ТП / A.B. Дерябин // Экономический журнал ВлГУ. - Владимир, 2006. - № 6. - С. 12-13. Дерябин, A.B. Угрозы информационной безопасности и уязвимости АСУ ТП / A.B. Дерябин, В.М. Дерябин // Проектирование и технология элек­тронных средств. - 2007. - № 1. - С. 47-51. Дерябин, A.B. Методология создания систем защиты АСУ ТП / A.B. Дерябин // Известия института инженерной физики. - 2008. - № 4. - С. 11-14. Дерябин, A.B. Обеспечение информационной безопасности ИС / A.B. Дерябин // Проектирование и технология электронных средств. — 2008. — № 3. - С. 7-10. Дерябин, A.B. Интеллектуализация датчиков и информационная безо­пасность / A.B. Дерябин, В.М. Дерябин // Известия института инженерной физики. - 2009. -№ 2. - С. 7-12. Дерябин, A.B. Применение алгоритма нечёткого вывода и нечёткой ло­гики в защите информации / А.П. Галкин, A.B. Дерябин, Аль- Муриш Мохаммед, Е.Г. Суслова // Известия института инженерной физики. — 2009.-№2.-С. 13-15. Дерябин, A.B. Комплексная или поэлементная защита? / A.B. Дерябин, В.М. Дерябин, Тахаан Осама // Перспективные технологии в средствах пере­дачи информации - ПТСПИ-2009: материалы VIII международной научно- технической конференции. - Владимир: Изд-во ВлГУ, 2009. - С. 188. 1 УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И УЯЗВИМОСТИ АСУ ТП 1.1 Телекоммуникации АСУ ТПАвтоматизированная система управления технологическим процессом (АСУ ТП) — комплекс программных и технических средств, предназначен­ный для автоматизации управления технологическим оборудованием на предприятиях. Под АСУ ТП обычно понимается комплексное решение, обес­печивающее автоматизацию основных технологических операций на произ­водстве в целом или каком-то его участке, выпускающем относительно за­вершенный продукт.В английской литературе для обозначения АСУ ТП обычно использу­ется термины Process Control Systems или реже Automatic Control Systems (последнее определение, на взгляд автора, несколько абстрактно, так как не указывает на конкретное предназначение системы управления).Здесь важно сделать акцент на слове «автоматизированная». Под этим подразумевается, что система управления отнюдь не полностью автономна (самостоятельна), и требуется участие человека (оператора) для реализации определенных задач. Выражение «пустил и забыл» для таких систем не под­ходит. Напротив, системы автоматического управления (САУ) предназначе­ны для работы без какого-либо контроля со стороны человека и полностью автономны. Очень важно понимать эту принципиальную разницу между АСУ и САУ. 1.1.1 Типовая структура АСУ ТПВ большинстве современных автоматизированных систем управления технологическими процессами (АСУ ТП) можно выделить три уровня. На нижнем уровне располагаются аппаратные средства — датчики, исполнитель­ные механизмы, управляющие контроллеры. На среднем уровне находятся групповые контроллеры, устройства сопряжения с объектами. Верхний уро ­вень реализуется на персональных компьютерах, где с помощью специаль­ных пакетов (БСАБА систем) реализуется интерфейс с оператором- технологом, выполняющим супервизорное управление технологическим процессом.Пример трёхуровневой системы управления сложным технологическим процессом показывает Рисунок 1.1. Количество контролируемых параметров в таких системах измеряется сотнями, управляемых параметров — десятками.Сеть верхнего уровня (АСУ предприятия)Ж Рабочие станции XX Сеть среднего уровня (йеИБиэ) Групповые контроллеры Сеть среднего уровня (йеЫЬиг) гШ 1ЯГЖ т ЖЛокальные контроллеры ТПШГСеть нижнего уровня (<1еу1сеЬиз) 44Ш 4 4 Исполнительные 1лех аншмыТехнологический процессРисунок 1.1- Типовая структура трёхуровневой АСУ ТПТехнологический процесс управляется с помощью исполнительных ме­ханизмов, а информация о параметрах технологического процесса снимается с помощью датчиков. Ввод информации о параметрах, вычисление управ­ляющих воздействий и их выдача на исполнительные механизмы осуществ­ляется локальными контроллерами ЛК или групповыми контроллерами ГК.Координация управления процессом осуществляется рабочими (оператор- Датчики1 0скими) станциями PC с помощью локальной сети. Количество PC определя­ется в зависимости от сложности процесса, но их всегда больше одной, так/как применяется дублирование для повышения надежности. В свою очередь, PC объединены как между собой, так и с другими абонентами цеха (предпри­ятия), с помощью локальной сети верхнего уровня типа Ethernet. Необходимо подбирать тип локальной сети и её параметры под конкретные требования: гарантированное время доставки; скорость передачи; объём пакетов; количе­ство аппаратно реализованных функций в контроллерах сети и т.д.Устройства сопряжения с объектом (УСО) преобразуют управляющие коды, выдаваемые процессором контроллера, в сигналы управления испол­нительными механизмами (импульсные, дискретные, аналоговые), а сигналы датчиков преобразуют в коды для ввода в процессор. УСО располагаются внутри JIK или ГК. В последнее время имеется тенденция йнтеллектуализа-I iции датчиков, то есть размещение схем преобразования непосредственно в корпусе датчиков и передачи кодов в процессор по стандартному последова­тельному интерфейсу. 1.1.2 Классификация АСУ ТПВ зарубежной литературе можно встретить довольно интересную клас­сификацию АСУ ТП [1], в соответствие с которой все АСУ ТП делятся на три глобальных класса:• SCADA (Supervisory Control and Data Acquisition). На русский язык этот термин можно перевести как «система телемеханики», «система телеметрии» или «система диспетчерского управления»». На взгляд автора, последнее оп­ределение точнее всего отражает сущность и предназначение системы - кон­троль и мониторинг объектов с участием диспетчера. Тут необходимо неко­торое пояснение. Термин SCADA часто используется в более узком смысле: так называют программный пакет визуализации технологического процесса. Однако в данном разделе под словом SCADA мы будем понимать целый класс систем управления. PLC (Programmable Logic Controller). На русский язык переводится как «программируемый логический контроллер» (или сокращенно ПЛК). Тут, как и в предыдущем случае, есть двусмысленность. Под термином ПЛК час­то подразумевается аппаратный модуль для реализации алгоритмов автома­тизированного управления. Тем не менее, термин ПЛК имеет и более общее значение и часто используется для обозначения целого класса систем. DCS (Distributed Control System). По-русски: распределенная система управления (РСУ). Тут никакой путаницы нет, все однозначно. Справедливости ради надо отметить, что если в начале 90-х такая клас­сификация не вызывала споров, то сейчас многие эксперты считают ее весь­ма условной. Это связано с тем, что в последние годы внедряются гибридные системы, которые по ряду характерных признаков можно отнести как к од­ному классу, так и к другому.Автор предлагает не следовать делению АСУ ТП на SCADA, PLC и DCS, а рассматривать АСУ ТП в химической промышленности как распреде­ленные системы, в состав которых входят PLC и SCADA. 1.2 Угрозы информационной безопасности АСУ ТПРассмотрим наиболее распространенные угрозы [2], которым подвер­жены современные АСУ ТП. В отличие от других автоматизированных ин­формационных систем промышленные АСУ и АСУ ТП, особенно те, кото­рые используются для управления критической инфраструктурой государст­ва, имеют ряд особенностей, обусловленных их особым назначением, усло­виями эксплуатации, спецификой обрабатываемой в них информации и тре­бованиями, предъявляемыми к функционированию. Главной же особенно­стью этих систем является то, что с их помощью в автоматическом, либо ав­томатизированном режиме в реальном времени осуществляется управление физическими процессами и системами, от которых непосредственным обра­зом зависит наша безопасность и жизнедеятельность: электричество, связь, транспорт, финансы, системы жизнеобеспечения, атомное и химическое про­изводство и т.п. [3].Поэтому обеспечение информационной безопасности таких систем яв­ляется одной из важнейших задач разработчиков АСУ ТП.Промышленные системы прошли путь от простейших программных и аппаратных средств до современных систем, в которых используются стан­дартные компьютеры и серверы, операционные системы семейства Microsoft Windows, стандартные SCADA-системы, сетевые протоколы TCP/IP, Web- браузеры, доступ в Интернет. Множество угроз в отношении этих систем значительно расширилось благодаря такой стандартизации, а также благода­ря распространенной практике подключения промышленных систем к ло­кальным сетям предприятия и использованию в них технологий беспровод­ного доступа [4]. 1.2.1 Классификация угроз информационной безопасности АСУ ТПИметь представление о возможных угрозах, а также об уязвимых мес­тах, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности.Само понятие «угроза» в разных ситуациях зачастую трактуется по- разному. Например, для подчеркнуто открытой организации угроз конфи­денциальности может просто не существовать - вся информация считается общедоступной; однако в большинстве случаев нелегальный доступ пред­ставляется серьезной опасностью. Иными словами, угрозы, как и все в ин­формационной безопасности, зависят от интересов субъектов информацион­ных отношений, и от того, какой ущерб является для них неприемлемым.Отметим, что некоторые угрозы нельзя считать следствием каких-то ошибок или просчетов; они существуют в силу самой природы современных АСУ ТП [5]. Например, угроза отключения электричества или выхода его па­раметров за допустимые границы существует в силу зависимости аппаратно­го обеспечения АСУ ТП от качественного электропитания.Угрозы можно классифицировать по разным критериям [6]: по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую оче­редь; по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура); по способу осуществления (случайные, либо преднамеренные действия природного или техногенного характера); по расположению источника угроз (внутри, либо вне рассматриваемой АСУ ТП); по агенту угрозы (вредоносное ПО, пользователи и обслуживающий пер­сонал АСУ ТП, хакеры, террористы). В качестве основного мы будем рассматривать первый критерий (поVаспекту информационной безопасности), при необходимости привлекая ос­тальные.1.2.1.1 Наиболее распространенные угрозы доступности.Самыми частыми и самыми опасными, с точки зрения размера ущерба, являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих промышленные системы.Иногда такие ошибки и являются собственно угрозами: неправильно введенные данные или ошибка в программе, вызвавшая крах системы. Ино­гда они создают уязвимые места, которыми могут воспользоваться злоумыш­ленники - таковы обычно ошибки администрирования. По некоторым дан­ным, до 65 % потерь — следствие непреднамеренных ошибок.Остальные угрозы доступности классифицируем по компонентам АСУ ТП, на которые нацелены угрозы: отказ пользователей; внутренний отказ информационной системы; отказ поддерживающей инфраструктуры. Обычно применительно к пользователям рассматриваются следующие угрозы: нежелание работать с информационной системой (чаще всего бывает при необходимости осваивать новые возможности системы и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками); невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.); невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.). Главными источниками внутренних отказов системы являются: случайное или умышленное отступление от правил эксплуатации; выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.); ошибки при конфигурировании и администрировании системы; отказы программного и аппаратного обеспечения; разрушение данных; разрушение или повреждение аппаратуры. По отношению к поддерживающей инфраструктуре можно рассматри­вать следующие угрозы: случайное или умышленное нарушение работы систем связи (телекоммуникации), электропитания, водо- или теплоснабжения, кондиционирования; разрушение или повреждение помещений; невозможность или нежелание обслуживающего персонала или пользователей выполнять свои обязанности (беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.). Весьма опасны так называемые «обиженные» сотрудники — как ны­нешние, так и бывшие. Как правило, они стремятся нанести вред организа- ции-«обидчику», например: испортить оборудование; встроить логическую бомбу, которая со временем разрушит программы или данные; удалить данные. Опасны, разумеется, стихийные бедствия, пожары, наводнения, земле­трясения, ураганы. По статистике, на долю огня, воды и тому подобных фак­торов (среди которых самый опасный — перебой электропитания) приходится 13 % потерь, нанесенных промышленным системам.1.2.1.2 Основные угрозы целостности.На втором месте по размерам ущерба после непреднамеренных ошибок и упущений стоят кражи и подлоги. В большинстве случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режи­мом работы и мерами защиты. Это еще раз подтверждает опасность внутрен­них угроз, хотя говорят и пишут о них значительно меньше, чем о внешних.С целью нарушения статической целостности злоумышленник, как пра­вило, штатный сотрудник, может: ввести неверные данные; изменить данные. Иногда изменяются содержательные данные, иногда - служебная ин­формация.Потенциально уязвимы с точки зрения нарушения целостности не толь­ко данные, но и программы. Внедрение вредоносного ПО — пример подобно­го нарушения.Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Соответствующие дей­ствия в сетевой среде называются активным прослушиванием.Так же к угрозам целостности можно отнести потерю информации при передаче по каналам связи [7]. Частичная потеря пакетов в сетях телекомму­никации АСУ ТП может привести к получению неверных результатов, или выполнению неверных управляющих воздействий.1.2.1.3 Основные угрозы конфиденциальности.Конфиденциальную информацию в АСУ ТП можно разделить на слу­жебную и предметную. Служебная информация, такая как пароли пользова­телей, не относится к определенной предметной области, в информационной системе АСУ ТП она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно может привести к получению несанкционированного доступа ко всей информации, в том числе предметной.Многим людям приходится выступать в качестве пользователей не од­ной, а целого ряда систем (информационных сервисов). Если для доступа к таким системам используются многоразовые пароли или иная конфиденци­альная информация, то наверняка эти данные будут храниться не только в голове, но и в записной книжке или на листках бумаги, которые пользователь часто оставляет на рабочем столе, а то и попросту теряет. И дело здесь не в неорганизованности людей, а в изначальной непригодности парольной схе­мы. Невозможно помнить много разных паролей; рекомендации по их регу­лярной смене только усугубляют положение, заставляя применять неслож­ные схемы чередования или вообще стараться свести дело к двум-трем легко запоминаемым и столь же легко угадываемым паролям.Описанный класс уязвимых мест можно назвать размещением конфи­денциальных данных в среде, где им не обеспечена необходимая защита. Уг­роза же состоит в том, что кто-то случайно или специально может получить полный либо частичный доступ к системе. В этот класс попадает также пере­дача конфиденциальных данных в открытом виде (в разговоре, в письме, по сети), которая делает возможным перехват данных. Для атаки могут исполь­зоваться разные технические средства (подслушивание или прослушивание разговоров, пассивное прослушивание сети и т.п.), но идея одна - осущест­вить доступ к данным в тот момент, когда они наименее защищены.Угрозу перехвата данных следует принимать во внимание не только при начальном конфигурировании системы, но и, что очень важно, при всех изменениях. Очень опасной угрозой являются выставки, на которые многие организации отправляют оборудование из производственной сети, со всеми хранящимися на них данными. Остаются прежними пароли, при удаленном доступе они продолжают передаваться в открытом виде. Это плохо даже в пределах защищенной сети организации, а в объединенной сети выставки — это может привести к самым плачевным последствиям.Еще один пример изменения, о котором часто забывают, - это хранение данных на резервных носителях. Для защиты данных на основных носителях применяются развитые системы управления доступом; копии же нередко просто лежат в шкафах и получить доступ к ним могут многие.Перехват данных — очень серьезная угроза, и если конфиденциальность действительно является критичной, а данные передаются по многим каналам, их защита может оказаться весьма сложной и дорогостоящей. Технические средства перехвата [7, 8] хорошо проработаны, доступны, просты в эксплуа­тации, а установить их, например, на кабельную сеть может кто угодно, так что эту угрозу нужно принимать во внимание по отношению не только к внешним, но и к внутренним коммуникациям.Кражи оборудования являются угрозой не только для резервных носи­телей, но и для компьютеров, особенно портативных.К угрозам, от которых очень трудно защищаться, можно отнести зло­употребление полномочиями. На многих типах систем привилегированный пользователь, например, системный администратор, способен прочитать практически любой файл, войти в систему с учетными данными любогопользователя и т.д. Возможно также нанесение ущерба при сервисном об­служивании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных за­щитных механизмов.Таковы основные угрозы, которые наносят наибольший ущерб инфор­мационной системе АСУ ТП (Таблица 1.1) [13]. Таблица 1.1- Основные угрозы Способы на­несения ущерба Объекты воздействий Оборудование Программы Данные Персонал Раскрытие информации (конфиденциа льность) Хищениеносителейинформации,подключение клинии связи,несанкционированноеиспользование ресурсов Несанкциониро ванное копирование перехват Хищение,копирование,перехват Передача сведений о защите, разглашение, халатность Потеря целостности информации (целостность) Подключение,модификация,спец.вложения,изменениережимов работы,несанкционированноеиспользование ресурсов Внедрение «троянских коней» и «жучков» Искажение, модификация Вербовкаперсонала,«маскарад» Нарушение работоспо­собности автоматизи­рованной системы (доступность) Изменение режимов функционирован ия, вывод из строя, хищение, разрушение Искажение,удаление,подмена Искажение,удаление,навязываниеложныхданных Уход,физическоеустранение   1   2   3   4   5   6   7   8   9   ...   25

Эффективность механизмов защиты информации в значительной сте­пени зависит от реализации ряда принципов. Во-первых, механизмы защиты следует проектировать одновременно с разработкой информационно- управляющей системы, что позволяет обеспечить их бесконфликтность, своевременную интеграцию в вычислительную среду и сокращение затрат. Во-вторых, вопросы защиты следует рассматривать системно, дополняя на­ружную защиту встроенными механизмами защиты компонентов АСУ ТП. И, наконец, следует учитывать тот факт, что промышленные системы созда­ются для длительной эксплуатации без замены или модернизации. Поэтому проверка эффективности СЗИ должна быть произведена в начале промыш­ленной эксплуатации.Предлагаемый автором системный подход обеспечивает адекватную многоуровневую защиту информации, рассматриваемую как комплекс орга­низационных и технических мероприятий. Кроме того, при реализации меха­низмов защиты должны использоваться передовые, научно обоснованные технологии защиты, обеспечивающие требуемый уровень безопасности, при­емлемость для пользователей и возможность наращивания и модификации СЗИ в дальнейшем.Создание систем безопасности АСУ ТП охватывает широкий круг во­просов, в число которых входит: обеспечение целостности, обеспечение конфиденциальности и аутентичности информации; разграничение прав пользователей по доступу к ресурсам автоматизи­рованной системы; защита автоматизированной системы и ее элементов от несанкциони­рованного доступа; обеспечение живучести всех элементов системы; защита поддерживающей инфраструктуры системы. Построение защищенных систем не ограничивается выбором тех или иных аппаратных и программных средств защиты. Необходимо владеть оп­ределенными теоретическими знаниями и практическими навыками. Для это­го необходимо, во-первых, понять, что представляет собой защищенная сис­тема, какие к ней предъявляются требования, рассмотреть существующий опыт создания подобных систем и причины нарушения их безопасности и, во-вторых, определить, какие функции защиты и каким образом должны быть реализованы, и как они противодействуют угрозам и устраняют причи­ны нарушения информационной безопасности [26, 27, 28, 29].Основой или составными частями любой автоматизированной системы (в том числе и системы защиты информации АСУ ТП) являются: Нормативно-правовая и научная база; Структура и задачи автоматизированной системы; Организационные меры и методы; Программно-технические способы и средства. Далее следует выделить основные направления в общей проблеме обеспечения информационной безопасности АСУ ТП: Защита объектов автоматизированной системы; Защита процессов, процедур и программ обработки информации; Защита информации в каналах связи; Подавление побочных электромагнитных излучений; Защита поддерживающей инфраструктуры; Управление системой защиты. Разработанная автором методика (последовательность шагов) построе­ния СЗИ (Рисунок 2.8), которая в равной степени применима для всех на­правлений защиты АСУ ТП, предполагает следующую последовательность действий, основанную на системном подходе и учитывающую особенности АСУ ТП и химической промышленности [32]: Изучение нормативно-правовой и научной базы в области информа­ционной безопасности применительно к промышленным системам повышен­ной опасности. Определение информации, подлежащей защите в рабочих станциях, контроллерах, телекоммуникациях, устройствах сопряжения с объектом. Выявление полного множества потенциально возможных угроз и ка­налов утечки информации в штатном, предаварийном и аварийном режимах работы АСУ ТП. Составление реестра встроенных механизмов защиты аппаратных и программных средств АСУ ТП, не препятствующих её работе в темпе про­цесса. Проведение экспертной оценки уязвимости информации и рисков при имеющемся множестве угроз и каналов утечки. Определение требований к СЗИ с учётом использования встроенных механизмов защиты. Включение встроенных и выбор внешних средств защиты информа­ции и их характеристик. Оформление документации на СЗИ как на подсистему АСУ ТП. Внедрение и организация использования выбранных мер, способов и средств защиты. Осуществление контроля целостности и управление СЗИ в течение всего срока эксплуатации. Указанная последовательность действий должна осуществляться не­прерывно по замкнутому циклу, с проведением оперативного анализа (сила­ми разработчиков) состояния СЗИ АСУ ТП и уточнением требований к ней после каждого шага. Экспертная оценка уязвимости информации и рисков необходима как до создания СЗИ (блок 5), так и после её внедрения (блока 9). Г Изучение нормативно-правовой и научной базы 1 11 2 Определение информации, подлежащей защите -> сои 1 и 3 Выявление угроз и каналов утечки «- -* 3 1 га о 14 Составление реестра встроенных механизмов защиты 4- юи & о 1ь Проведение экспертной оценки уязвимости и рисков «- Н> и 1 г о Г Определение требований к СЗИ £ 1 1' Включение встроенных и выбор внешних средств защиты -> ИМ Г8 1 Оформление документации на СЗИ <*- -> 3 3 нСЗ 19 Внедрение выбранных мер, способов и средств защиты -> а, «С О ш| Осуществление контроля целостности и управление СЗИ «- Рисунок 2.8 - Методика построения СЗИ. Непрерывный цикл создания системы защитыинформации в АСУ ТППрименяя данную методику необходимо помнить что наибольший эф­фект достигается тогда, когда: все используемые средства, методы и мероприятия объединяются в единый, целостный механизм защиты информации; механизм защиты должен проектироваться параллельно с созданием систем обработки данных, начиная с момента выработки общего замысла по­строения системы; функционирование механизма защиты должно планироваться и обес­печиваться наряду с планированием и обеспечением основных процессов ав­томатизированной обработки информации; необходимо осуществлять постоянный контроль функционирования механизма защиты. 2.5 Выводы Рекомендовано, наряду с комплексом внешних мер защиты, которые в 8САХ)А-системах ограничиваются системой паролей и дублированием ка­налов и оборудования, применять на нижнем уровне АСУ ТП аппаратурные компоненты и программные продукты, имеющие встроенные механизмы за­щиты информации. Алгоритмы работы этих механизмов защиты необходимо исследовать, оценить и доработать. Выработаны рекомендации по выбору интеллектуальных датчиков, и локальных сетей для них. Обосновано использование универсальных 8САОА-систем, имею­щих полный набор встроенных средств защиты, которые можно задейство­вать в нужной комбинации для конкретного применения. Обоснованы особые требования к аппаратуре и телекоммуникациям АСУ ТП в химической индустрии. В дополнение к существующим междуна­родным стандартам, определяющим только базовые механизмы безопасно­сти, рекомендовано применять также специализированные стандарты и руко­водства. Разработана методика создания СЗИ в АСУ ТП. 3 ИССЛЕДОВАНИЕ ЭФФЕКТИВНОСТИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В ТЕЛЕКОММУНИКАЦИЯХ АСУ ТПОсобенности сложных АСУ ТП большой размерности привели к тому, что главной проблемой оценки их надежности и безопасности давно стали не расчеты показателей, а громоздкость и трудоемкость процессов построения необходимых математических моделей. Невозможность построения таких моделей старыми, традиционными ручными (не автоматизированными) тех­нологиями привела к тому, что в организациях и на предприятиях промыш­ленности практическое моделирование и оценка надежности и безопасности АСУ ТП давно не производится ни на стадиях проектирования, ни в процессе эксплуатации [31, 33].Однако при оценке информационной безопасности АСУ ТП, особенно на нижнем уровне, где используются сети с централизованным детерминиро­ванным доступом, можно обойтись очень простыми моделями. В силу детер­минированности в них не требуется имитировать и генерировать потоки зая­вок на захват магистрали и анализировать время ожидания обслуживания. Случайной является лишь длина кадров. Причём, если рассматривать режим настройки отдельно от режима эксплуатации, то распределение длин посы­лок с сети близко к экспоненциальному. Наиболее вероятны самые короткие посылки. Длина посылок увеличивается для многоканальных узлов. А число повторных запросов (при исключительных ответах) в основном зависит от вероятности битовых ошибок (фактически от уровня помех).Уровень безопасности телекоммуникационной системы сильно зависит от конкретной физической среды передачи. Таблица 3.1 содержит эту зави­симость в виде значений вероятности битовой ошибки для различных физи­ческих сред передачи [33]. Таблица 3.1 - Безопасность различных сред передачиВероятность ошибки передачи бита информации Среда передачи > КГ5 Радиоканал 10"4 Неэкранированный кабель 10° Экранированная витая пара 10"ь- 10'у Цифровой канал ISDN 10"у Коаксиальный кабель Ю-12 Оптический кабель 1   ...   4   5   6   7   8   9   10   11   ...   25

Таблица 3.1 приведена только для сравнительно оценки уязвимости сред передачи, без каких-либо мер защиты. 3.1 Оценка производительности телекоммуникаций в АСУ ТППрежде, чем рассматривать пригодность моделей информационных се­тей, сформулируем требования к их назначению, сфере использования, а главное — ко входным и выходным параметрам.Модели предназначаются для анализа уязвимостей и воздействия угроз на телекоммуникации в АСУ ТП, и должны показывать влияние средств и мер защиты от разного рода неблагоприятных воздействий на информацию.Модели должны отображать влияние средств и мер защиты на досто­верность и своевременность передачи и приёма информации, прежде всего на пропускную способность телекоммуникаций.Модели информационных сетей с одним ведущим проще в связи с тем, что не требуется анализировать процессы захвата магистрали, распределения вероятностей запросов, время ожидания и т.п. В сетях с одним ведущим за­просы вырабатывает головной компьютер (контроллер) по жёсткому графи­ку.Степень влияния мер защиты, особенно программных, на пропускную способность телекоммуникаций существенно зависит от распределения веро­ятностей длины сообщений. Количество дополнительных (защитных) байт и для коротких и для длинных сообщений одинаково, поэтому избыточность коротких сообщений существенно больше .Выбор модели определяется целью моделирования. В нашем случае не­обходимо анализировать влияние средств и мер защиты информации на ос­новные характеристики телекоммуникаций.Основными техническими средствами защиты являются физическая среда передачи информации: медный провод, кабель, радиоканал или опто­волокно. Таблица 3.1 показывает, что самый низкий уровень защищённости предоставляет радиоканал, а самый высокий — оптоволокно. Вероятность ошибки передачи бита информации из Таблица 3.1 служит для расчёта веро­ятности повторных запросов, т.к. однократные ошибки при передаче данных обнаруживаются на канальном уровне с помощью СЯС-кода.Основным программным способом защиты информации в телекомму­никациях является избыточное кодирование, сводящееся к добавлению кон­трольных битов, контрольных сумм, использованию служебных параметров. Поэтому для анализа влияния средств и мер защиты информации целесооб­разно рассчитывать следующие параметры сети: (3.1.1)Скорость в кабеле (максимальная скорость передачи пакетов): 8К = $мах / Уп [пакет/с],где Б мах - предельная скорость сети, бит/с; Уп - длина пакета, бит. (3.1.2)Пропускная способность сети представляет собой скорость передачи полезной информации: 8с = 8к/Уд [байт/с],где Бк - максимальная скорость передачи пакетов, пакет/с; Уд - объём полезной информации в пакете, байт.Эффективность использования физической скорости передачи сети (3.1.3)по отношению только к полезным данным: Эд = 8К х Уд / 8мах [%],где 8к - максимальная скорость передачи пакетов, пакет/с; 8мах - предельная скорость сети, бит/с; Уд - объём полезной информации в пакете, бит .Вероятностный подход позволяет легко оценить влияние случайных воздействий на приведённые выше параметры. При наличии помех или сбоев передачи данных по другим причинам, эффективность использования физи­ческой скорости передачи сети снижается за счёт генерации повторных за­просов. 3.2 Оценка мер защиты телекоммуникаций в АСУ ТППрограммные меры защиты основаны на введении избыточности коди­рования сообщений. В каждом сообщении кроме обязательной служебной информации (адрес приёмника, функция, номер и количество регистров, раз­делитель) содержится защитная информация (контрольная сумма, количество байт данных, адрес источника, и ответное сообщение - как квитанция приё­ма).Подсистема обеспечения надежности современных SCADA-систем по­зволяет диагностировать достоверность (качество) сигналов, поступающих с датчиков и резервировать их. Признаки аппаратурной и программной досто­верности должны передаваться в систему верхнего уровня (SCADA-систему) вместе с измеренным значением как один из атрибутов канала, чтобы их можно было использовать в алгоритмах диагностики и резервирования дат­чиков.Для оценки эффективности стандартной защиты при передаче коротких сообщений, характерных для сетей нижнего уровня АСУ ТП, рассмотрим наиболее распространенные в химической промышленности сети: Ethernet, Modbus, Profibus. 3.2.1 Оценка производительности сети EthernetСеть Ethernet чаще всего используется на верхнем уровне АСУ ТП для связи с АСУ предприятия и для связи рабочих станций между собой [34].Вопрос об оценке производительности сетей децентрализованного дос­тупа, использующих случайный метод доступа CSMA/CD (Carrier-Sense Multiple Access with Collision Detection - множественный доступ с контролем несущей и обнаружением коллизий), не очевиден из-за того, что существуют73несколько различных показателей. Прежде всего, следует упомянуть три свя­занные между собой показателя, характеризующие производительность сети в идеальном случае — при отсутствии коллизий и при передаче непрерывного потока пакетов, разделенных только межпакетным интервалом IPG. Очевид­но, такой режим реализуется, если один из абонентов активен и передает па­кеты с максимально возможной скоростью. Неполное использование пропу­скной способности в этом случае связано, кроме существования интервала IPG, с наличием служебных полей в пакете Ethernet.Пакет максимальной длины является наименее избыточным по относи­тельной доле служебной информации. Он содержит 12304 бит (включая ин­тервал IPG), из которых 12000 являются полезными данными.Поэтому максимальная скорость передачи пакетов (3.2.1) составит в случае сети Fast Ethernet:108 бит/с/ 12304 бит 8127,44 пакет/с.Пропускная способность равна:8127,44 пакет/с х 1500 байта - 12,2 Мбайт/с.Эффективность использования физической скорости передачи сети, в случае Fast Ethernet равной 100 Мбит/с, по отношению только к полезным данным составит:8127,44 пакет/с х 12000 бит/ 108 бит/с 98 %.Без использования системы никакой из абонентов не может захватить сеть более чем на время передачи одного пакета, однако передача данных от­дельными пакетами с долгими паузами между ними ведет к снижению ско­рости передачи для каждого абонента. Преимущество детерминированных методов состоит в возможности простой организации системы приоритетов, что полезно из-за наличия иерархии в любой АСУ ТП.3.2.2 Анализ влияния программных мер защиты в сети Modbus RTU Проведем анализ стандартных программных мер защиты информации в сети Modbus RTU, при использовании её в АСУ ТП. Сеть Modbus является централизованной, с детерминированным методом доступа. Загрузку такойсети можно рассчитать достаточно точно, если определено количество узлов и режимы их работы. Случайный характер имеет лишь время задержки отве­та ведомого, а также количество сбоев обмена.Рисунок 3.1 представляет обобщённый формат кадра: адрес приёмника (ведомого устройства) номер функции данные контрольная сумма разделитель сообщений 1 байт 1 байт до 253 байт 2 байта пауза > 3,5 байт Рисунок 3.1 - Кадр Modbus RTUПередача каждого байта данных требует дополнительно 1 стартового и 2 стоповых битов (без контроля на чётность). Дополнительные биты относят­ся к служебным, они обеспечивают синхронизацию обмена.В АСУ ТП интеллектуальные датчики подавляющую часть времени от­вечают на циклические запросы SCADA-системы о значении измеряемого параметра, а именно, на запросы «Чтение значений из нескольких регист­ров». Поскольку для SCADA-системы нужны значения измеряемого пара­метра в формате Float 4 (Float Single Format no IEEE-754), занимающем 2 ре­гистра (4 байта), конкретные циклы обмена информацией выглядят как пока­зывает Рисунок 3.2.Запрос ведущего устройства: адрес • ведомого номер функции Адрес ст. байт Адрес мл. байт Кол. регистров ст. байт Кол. регистров мл. байт CRC мл. байт CRC ст. байт 0x01 0x03 0x00 0x01 0x00 0x02 OxNN OxNN Ответ ведомого устройства: адрес ведо­мого номер функции Кол. байт Данные ст.регистра ст.байт Данные ст.регистра мл. байт Данные мл.регистра ст.байт Данные мл.регистра мл.байт CRCмл. байт CRC ст. байт 0x01 0x03 0x04 0x12 0x34 0x56 0x78 OxNN OxNN Рисунок 3.2 - Цикл обмена информацией с одноканальным узлом сети МосШиэ ЯТи Таким образом, необходимой для исполнения команды считыванияданных информацией является «адрес ведомого», «номер функции», «адрес первого регистра», «количество регистров» в запросе и собственно «данные»в ответе. Всего 10 байт. Запрос, ответ и минимальная пауза между ними со­ставляют 20,5 байт. Очевидно, что введение защиты в форме избыточности кодирования, т.е. добавления полей «контрольная сумма CRC», «количество байт данных», квитанций «адрес ведомого» и «номер функции», - приводит к снижению пропускной способности канала на 51 %:ЮОх (10 - 20,5)/20,5 = - 51,22 %. Кадр максимальной длины является наименее избыточным по относи­тельной доле служебной информации (см. Рисунок 3.1). В Modbus RTU он содержит 2084 бит (включая разделительную паузу), из которых 2016 бит яв­ляются полезными данными. Поэтому максимальная скорость передачи кадров составит в случае се­ти Modbus RTU при максимальной бодовой скорости 115,2 Кбод: (115200 бит/с)/ 2084 бит 55,28 кадр/с. Пропускная способность равна: 55,28 кадр/с х 252 байта = 13,93 Кбайт/с.Эффективность использования физической скорости передачи сети, в случае Modbus RTU равной 115,2 Кбод, по отношению только к полезным данным составит:55,28 кадр /с х 2016 бит/ 115200 бит/с 0,967 97 %. При передаче кадров минимальной длины существенно возрастает скорость в кабеле, что означает всего лишь факт передачи большого числа коротких пакетов. В то же время пропускная способность и эффективность заметно (почти в два раза) ухудшаются из-за возрастания относительной до­ли служебной информации. При типовых циклических запросах SCADA-системы о значении изме­ряемого параметра кадр содержит 164 бит (включая разделительную паузу), из которых 80 бит (10 байт) являются полезными данными. Максимальная скорость передачи кадров: (115200 бит/с)/ 164 бит « 702,44 кадр/с.Пропускная способность в данном случае будет равна: 702,44 кадр/с х 10 байт 7,02 Кбайт/с.Эффективность использования физической скорости передачи сети: 702,44 кадр /с х 80 бит/ 115200 бит/с 0,4878 = 48,78 %.3.2.2.3 Следует отметить, что избыточность будет меньше при считывании данных с многоканальных устройств ввода данных, в которых данные изме­рений расположены подряд в регистровой карте.Например, при считывании данных с 12-канального прибора цифрового контроля ПКЦ-12 (ЗАО «НЛП «Автоматика», г. Владимир), запрос, ответ и минимальная пауза между ними составляют 64,5 байт, а содержательной ин­формации 54 байт (см. Рисунок 3.3). Снижение пропускной способности ка­нала составляет около 16 %.Запрос ведущего устройства: адрес ведомого номер функции Адрес ст. байт Адрес мл. байт Количество регистров ст. байт Количество регистров мл. байт сисмл. байт сисст. байт 0x01 0x03 0x00 0x01 0x00 0x18 0х№4 ОхМчГ 1   ...   5   6   7   8   9   10   11   12   ...   25

имнгагор пуль- J | ЦМ>' |Рисунок 3.22 - Приложения имитатораБазовые графические элементы рисуются, как правило, в любом графи­ческом редакторе и заносятся в поле приложения ISaGRAF. Затем графиче­ские элементы привязываются к конкретным дискретным и аналоговым пе­ременным и таким образом становятся составной частью программы имита­тора. Для отладки системы АСУ ТП необходим комплекс имитаторов. 3.6.3 Комплексная отладка системыКомплексная отладка системы проводится после её окончательной сборки. Для организации отладки и проверки собирается имитатор объекта на базе тех же контроллеров, что используются в основной АСУ ТП. Исполь­зование базовых контроллеров-имитаторов типа IUC9000 (фирма «РЕР Modular Computers») чрезвычайно выгодно и удобно как для реализации про­граммного обеспечения задач-имитаторов объектов, так и для технологиче­ской стыковки интерфейсов контрольно-измерительных каналов (КИК). Для данных контроллеров разработано программное обеспечение, эмулирующее работу объекта.Автор предлагает использовать подобную систему отладки АСУ ТП для моделирования угроз безопасности, вмешательства в каналы связи, а также защитные мероприятия. Такая система отладки необходима для прове­дения многочисленных экспериментов и накопления статистики, что иногда невозможно реализовать в реальных условиях в разумные сроки.В процессе комплексной отладки имитируются: отказы по напряжениям питания; изменение питающего напряжения до предельно допустимых значений; отказы основных контроллеров (проверка работоспособности резерв­ной аппаратуры); поведение объекта путём подачи на модули аналогового и дискретного ввода сигналов от имитатора; имитация отказа (повреждения) основного канала связи; имитация НСД в сеть. 3.7 Сравнение результатов отладки (моделирования) до и после введения мер защиты информации в АСУ ТП «ПХВ-1»Таблица 3.7 содержит результаты экспериментальной отладки АСУ ТП «ПХВ-1» с помощью контроллеров-имитаторов и задач-имитаторов до и по­сле рекомендованных автором мер защиты. Количество проведенных экспе­риментов - 100 для каждого параметра. Таблица 3.7 - Результаты экспериментальной отладки АСУ ТП «ПХВ-1» До внедрения рекомендо­ванных мер защиты После внедрения рекомен­дованных мер защиты Количество отключений напряжения питания / Количество переключений на резервный источник 100/95 100/ 100 Количество выходов питающего напряжения за предельно допустимые значения / Количество переключений на резервный источник 100/100 100/ 100 Отказы основных контроллеров/ Переключения на резервные 100/94 100/100 Количество превышений технологических уставок / Количество обнаружений превышения 100/92 100/99 Количество превышений аварийных уставок / Количество обнаружений аварий 100/92 100/99 Количество отказов канала связи тОБШив / Количество переключений на резервный канал 100/98 -/­(резервный канал исключен) Количество ошибок в канале связи МОБВШ / Количество потерянных измерений 100/100 100/58(восстановлены с помощью косвенных измерений) Количество попыток НСД в канал РЯОРШиЭ / Количество обнаружений НСД 100/74 -/-(НСД в оптоволоконный канал практически не возможен) Количество попыток НСД в канал МСЮВШ / Количество обнаружений НСД 100/0 100/83 Для обеспечения помехозащищенности, достоверности передачи, увеличения пропускной способности канала и защиты от НСД путем физиче­ского подключения рекомендовано применение оптической линии связи с кабелем, имеющим соответствующие технические характеристики оптиче­ских преобразователей. Это позволит обойтись без резервирования провод­ного канала связи РЫОРГОиЗ и не увеличит затраты. Применение оптического РЛОРШиЭ, при дополнительных затратах на оптическое оборудование, значительно увеличивает надежность магистрали за счет развязки потенциалов удаленных узлов, защиты от вторичного прояв­ления грозовых токов и обеспечивает высокий уровень защиты от несанк­ционированного доступа (НСД).Модули оптических преобразователей имеют встроенную диагностику оптического канала, индикацию питания модуля и оптического канала. Преобразователи БС/ОС типа «ИРБИС», мощностью 25 Вт, реко­мендовано заменить на аналогичные преобразователи фирмы «ТЯАСО», имеющие более высокую надежность. Для повышения достоверности измерений рекомендовано ввести дублирующие вычисления параметров по косвенным характеристикам (на­пример, при измерении расхода жидкостей, газов применяется метод измере­ния абсолютного давления и разности давлений до и после места сужения трубопровода; вместо дифференциального датчика давления целесообразно применить два датчика абсолютного давления и вычислять разность давле­ний). ЭСАБА-система МоисЬ, применяемая на предприятии, имеет развитые математические каналы, которые позволяют вести дублирующие вычисления параметров, но данное преимущество в АСУ ТП не было реализовано разра­ботчиком. Для повышения достоверности измерений (и реализации пункта 3) рекомендовано применять интеллектуальные датчики (давления, температу­ры, уровня, расхода). 5. Для охраны производственного оборудования, защиты от НСД, по­жарной и прочей безопасности, а также для контроля деятельности персонала рекомендовано установить систему видеонаблюдения [73].Угрозы безопасности АСУ ТП «ПХВ-1» и предложенные меры защиты приведены в главе 4 (Таблица 4.3). 3.8 Выводы Исследовано влияние программных мер защиты на эффективность использования физической скорости передачи в сетях МоёЬш и РгоШэиэ, при применении их на нижнем уровне АСУ ТП. Для характерных на нижнем уровне АСУ ТП коротких сообщений не рекомендуется использовать программные методы защиты. Проведена экспериментальная проверка защищенности телекоммуникаций нижнего уровня АСУ ТП от НСД с помощью разработанной автором программы. Проведён анализ множества алгоритмов доступа к интеллектуальным сетевым устройствам нижнего уровня АСУ ТП. Разработаны алгоритмы доступа к узлам сети со стороны пульта и со стороны сети, отличающиеся оптимальным сочетанием методов защиты от НСД и обеспечивающие быстрое обнаружение вторжения. Разработанные алгоритмы реализованы в интеллектуальных датчиках ПД-1ЦМ, ИТ-1ЦМ и приборах ПКЦ-1111, ПКД-1115 (ЗАО «НПП «Автоматика», г. Владимир), применённых в АСУ ТП «ПХВ-1». Акты внедрения приведены в Приложениях. Предложено для сравнительной оценки защищённости узлов сети от НСД использовать отношение вероятностей уязвимости (преодоления барьера защиты). Экспериментально доказана эффективность разработанных алгоритмов для повышения защищённости узлов сети. Сравнительное экспериментальное исследование нескольких устройств показало многократное (минимум в 5 раз) превосходство по защищённости узлов, в которых реализован разработанный автором алгоритм доступа. Проведено экспериментальное исследование СЗИ АСУ ТП «ПХВ-1». Рекомендовано применение программно-аппаратурных имитаторов на базе контроллеров ПТК для имитации нештатных ситуаций (сбоев, отказов, НСД), а также защитных мероприятий. Выработаны рекомендации по модернизации системы защиты информации АСУ ТП «ПХВ-1». 4 ОЦЕНКА ЗАЩИЩЕННОСТИ ТЕЛЕКОММУНИКАЦИЙ АСУ ТП 4.1 Методология оценки безопасности информационных технологий по общим (открытым) критериямНа государственном уровне сформулированы критерии, которые позво­ляют компаниям и госорганам оценивать результаты своей деятельности по защите информации. С 1999 года во всем мире применяется международный стандарт в области оценки безопасности информационных технологий (ИТ) КОЛЕС 15408 [74-76]. Российский аналог, разработанный в 2002 году - ГОСТР ИСО/МЭК 15408-2002 «Информационная технология. Методы и сред­ства обеспечения безопасности. Критерии оценки безопасности информацион­ных технологий» [77-79].Данный стандарт преследует следующие цели: Унификация национальных стандартов оценки безопасности ИТ; Повышение уровня доверия к оценке безопасности ИТ; Сокращение затрат на оценку безопасности ИТ на основе взаимного при­знания сертификатов. На основе данных стандартов создаются профили защиты, которые опи­сывают требования к межсетевым экранам, АСУ, АСУ ТП, сайтам и т.п.В поддержку стандарта существует целый ряд документов. Среди них: Руководство по разработке защиты и заданий по безопасности [80]; Процедуры регистрации профилей защиты [81]; Общая методология оценки безопасности (ОМО) ИТ [82]. В ОМО описываются основные действия, которые необходимо выпол­нить оценщику при проведении оценки безопасности с использованием крите­риев и свидетельств оценки.Данную систему оценок поддерживают многие страны мира, такие как США, Канада, Великобритания, Япония, Россия и другие.Особенности выполнения количественных оценок. В настоящее время основным подходом к построению критериев оценки безопасности ИТ являет­ся использование совокупности определенным образом упорядоченных качест­венных требований к функциональным механизмам обеспечения безопасности, их эффективности и доверия к реализации.Качественные критерии применимы для оценки большей части меха­низмов обеспечения безопасности ИТ, а также оценки выполнения требований доверия к безопасности изделий ИТ. Несмотря на это, ОМО предусматривает возможность проведения, там где это применимо, количественных оценок с использованием соответствующих качественных показателей.Чтобы корректно использовать количественный показатель, он должен иметь объективную интерпретацию, однозначную зависимость от отдельных аспектов безопасности. Поэтому количественные критерии целесообразно ис­пользовать для оценки таких механизмов безопасности, как парольная защита, контрольное суммирование и т.п.Для оценки информационной безопасности АСУ ТП автором разработана методика оценки качества СЗИ, которая учитывает мировые стандарты оценки, в том числе и ОМО. В своей оценке автор руководствуется в том числе и мето­дами, приведенными в документе «Общая методология оценки безопасности информационных технологий».Нужно отметить, что в ОМО рассмотрены не все вопросы, связанные с оценкой безопасности ИТ, и это обуславливает необходимость дальнейшей разработки дополнительных руководств для всех участников оценки.Нормативная база [83-87] в области оценки безопасности ИТ постоянно совершенствуется. В России, то в настоящее время подготовлен проект РД Гос­техкомиссии России «Общая методология оценки безопасности информацион­ных технологий» [88] и проект «Типовой методики оценки профилей защиты и заданий по безопасности» [89]. 4.2 Оценка качества защищённости телекоммуникаций АСУ ТПРассмотрим методы оценки качества и выбора рационального варианта СЗИ для телекоммуникаций в АСУ ТП. 4.2.1 Обоснование показателя качества СЗИ.В общем виде модель процесса защиты информации в АСУ ТП может быть представлена так, как это показано на Рисунке 4.1. Источник Угроз\ = 1,п { Р 'I уф- ДЧ 1 уф- } n Телеком­муникации АСУ ТП к СЗИ АСУ ТП ¡ = 1,пр устр. " угр V X Рисунок 4.1 - Общая модель процесса за защиты информации в АСУ ТПЗлоумышленник с помощью некоторого источника угроз (ИУ) генерирует совокупность угроз телекоммуникациям АСУ ТП (путь она будет конечной и счетной 1=1 ..п). Каждая 1-я угроза характеризуется вероятностью появления Р{угр и ущербом Дqiyгp■, наносимым системе.СЗИ выполняет функцию полной или частичной компенсации угроз для телекоммуникаций АСУ ТП. Основной характеристикой средств защиты явля­ются вероятности устранения каждой ьй угрозы Р; угр устр'.За счет функционирования СЗИ- обеспечивается уменьшение ущерба XV, наносимого телекоммуникациям АСУ ТП воздействием угроз. Обозначим об­щий предотвращенный ущерб через ¡г-, а предотвращенный ущерб за счет лик­видации воздействия ¿-и угрозы через ш/.После введенных обозначений сформулируем в общем виде задачу синте­за средств защиты информации в телекоммуникациях АСУ ТП (как это пред­ложено в [31, 32]): Необходимо выбрать вариант реализации СЗИ, обеспечи­вающий максимум предотвращенного ущерба от воздействия угроз при допус­тимых затратах на СЗИ.Формальная постановка задачи имеет вид:Найти: Т° = arg шах F(T), Т° е Т+ (4.2.1)при ограничении: С(Т°) < Сдоп (4.2.2)Здесь Т - некоторый вектор, характеризующий вариант технической реа­лизации СЗИ; Т+,Т° - допустимое и оптимальное значение вектора Т; Сдоп — допустимые затраты на СЗИ.Для решения задачи необходимо, прежде всего, сформировать показатель качества функционирования СЗИw (Т).Предотвращенный ущерб в общем виде выражается соотношением: W = F(P- ■ Ла.угр- ?/аир-i = I п) " 1 угр-^41 '1 iySp ) (4 2 3)Предотвращенный ущерб за счет ликвидации воздействия i-й угрозы: Щ = R- • А<]/гр ■ P/cmp;i - 1.F1 'угр 'I I угр (4.2.4)При независимости угроз и аддитивности их последствий получаем: пW - V Р -А а у''р ■ Р устр¡=1 (4.2.5)Остановимся подробно на сомножителях, входящих в формулу (4.2.5). Вероятность появления i-й угрозы Pj угр. определяется статистически и со­ответствует относительной частоте ее появления:/-1 (4.2.6)где Л - частота появления i-й угрозыУщерб, наносимый i-й угрозой Aqi; может определяться в абсолютных единицах: экономических потерях, временных затратах, объеме уничтоженной или «испорченной» информации и т.д.Однако, практически сделать это весьма затруднительно, особенно на ранних этапах проектирования СЗИ [90]. Поэтому целесообразно вместо абсо­лютного ущерба использовать относительный ущерб, который представляет собой, степень опасности i-й угрозы для телекоммуникаций АСУ ТП. Степень опасности может быть определена экспертным путем в предположении, что все угрозы составляют полную группу событий [98], т.е.0¿ <1;2>,- =1Сложным вопросом является определение вероятности устранения i-й уг­розы P¡ уГрустр' при проектировании СЗИ. Сделаем допущение, что эта вероят­ность определяется тем, насколько полно учтены качественные и количествен­ные требования к СЗИ при проектировании, т.е.Р ¡угр. —■ ■ •, x¡j,..., x¡m) (4.2.7)Где x¡j — степень выполнения j-ro требования к СЗИ для устранения i-й угрозы, i=l..n; j=l..m.Пусть первые «Ь> требований будут количественными (j=l..k), остальные «ш - к» - качественными (pk+1 ..т).Степень выполнения j-ro количественного требования определяется его близостью к требуемому (оптимальному) значению. Для оценки степени вы­полнения j-ro количественного требования к СЗИ удобнее всего использоватьх, (= 1Д),0 <х, <1 его нормированное значение > w ' vКак следует из [100], для нормирования можно использовать функцию:V- _ V " vха i ¡Xij — ^ * , (4.2.8)где Ху — текущее значение ]-го требования;нл нхХу > Ху - наилучшее и наихудшее значения.С учетом формулы (4.2.8) получаем следующие расчетные соотношения: приИТV — V ' V — Vлу — ш ^лу ШШ_ Л'// ^f/mm X¡J - •^nmxtJ mili (4.2.9)ял _ их при " * = (4.2.10) Х$ 'от™»'*!/ Х„шси ' - Л „оф л „шх. при Х^ > Х^ ; < ^ < х < припри ц = Ха=< ' ^ Г ^ Г при0?г - лу - (4.2.11)Степень выполнения ^го качественного требования определяется функ­цией принадлежности к наилучшему значению ц (ху).Разложив функцию (4.2.7) в ряд Маклорена и ограничившись лишь пер­выми членами ряда, получим вероятность устранения 1-й угрозы:т ЗР У"пр (4.2.12)Р УстР _ р У"»Р /П, , V 1УгР . г Пугр -Чугр Эх„ Хи где Р устр^ угр.(О) = 0 — вероятность устранения ьй угрозы при невыполне­нии требований к СЗИ;гк "— величина, характеризующая степень влияния ]-го требова­ния на вероятность устранения 1-й угрозы (важность выполнения ]-го Требова­линия для устранения 1-й угрозы). Очевидно, что М для 1=1..п.После подстановки в (4.2.12) соответствующих значений получаем:к т■/-*+! (4.2.13)Окончательно формула (4.2.5) для оценки величины предотвращенного ущерба принимает вид :1>1   ...   11   12   13   14   15   16   17   18   ...   25

6 4 1 1/7 1/6 1/4 1Как следует из соотношения (4.3.2), необходимо решить задачу нахожде­ния собственных значений (А - X Е) • \У = 0, где \У - собственный вектор, а А, —126Определим коэффициенты важности требований, предъявляемых к СЗИ АСУ ТП «ПХВ-1», на основе метода парных сравнений (метода Саати). Шкала для оценки относительной важности требований приведена в Таблице 4.4. Таблица 4.4 - Шкала относительной важности требованийИнтенсивность относи­тельной важности Определение 1 Равная важность сравниваемых требований 3 Умеренное (слабое) превосходство одного над другим 5 Сильное (существенное) превосходство 7 Очевидное превосходство 9 Абсолютное (подавляющее) превосходство 2,4, 6,8 Промежуточные решения между двумя соседними оценками Основными при выборе СЗИ «ПХВ-1» являются следующие требования: к аппаратным средствам защиты информации; к программным средствам защиты информации; к структуре АСУ ТП; к нормативной базе, документации на АСУ ТП. Определим относительную важность 4 требований к СЗИ «ПХВ-1». В результате экспертного опроса получена следующая матрица парных сравнений :собственное значение матрицы. Эта неоднородная система имеет нетривиаль­ное решение тогда и только тогда, когда определитель матрицы (А - X Е) равен нулю. Найдем его:1 -Л 5 6 71/5 1 -Л 4 61/6 1/4 1-Я 41/7 1/6 1/4 1-ЯУравнение имеет решение: = 0А, 1 = — 0,362; Х2 = -0,140+ 1,3051; X 3 =-0,140 - 1,3051; А4 = 4,390. Следовательно, X тах = 4,390. Найдем соответствующий вектор: -4,390 5 6 7 ¿У, 1/5 1 - 4,390 4 6 со2 1/6 1/4 1-4,390 4 1/7 1/6 1/4 1-4,390 б»4 Введем условие нормировки (л)1+ш2+Шз+1л)4=1. Рассмотрим систему:- 3,390«, + 5а>2 + 6щ + 7бУ4 = 0 0,2бУ, - 3,390й>2 + 4й), + 6гу4 = 0 0,166«, + 0,25«2 - 3,390гУ3 + 4а)4 = 0 0,142«, + 0,166й>2 + 0,25й>3 -3,390й>4 =0Система (*) имеет только нулевое решение. Для нахождения собственно­го вектора АЛ^ используется замена одного из уравнений (*) условием норми­ровки. В результате решения системы получаем собственный вектор весов: = (СО,, С02, ш3, СО4), СО] = 0,619, ш2= 0,235, 0)3= 0,101, (А)4 = 0,045. = Л4 -4Я3 -6,914^-2,715 = ООтметим, что матрица парных сравнений отражает согласованные сужде­ния тогда и только тогда, когда X тах = п. Кроме того, всегда X тах > п, поэтому тах - п) дает меру несогласованности и указывает, когда суждение экспертов следует проверить. При п=4, Хтах - 4,390, мера несогласованности равна 0,390. Индекс согласованности (ИС), который отражает качество экспертных оценок, рассчитываем по формуле: Х-пИС =ИС = (4,39 — 4) / (4 — 1) = 0,13.Средние согласованности (СС) для матриц случайного порядка приведе­ны в Таблице 4.5. Таблица 4.5 - Средние согласованности для матриц случайного порядка п 1 2 оо 4 5 6 7 8 9 10 СС 0 0 0,58 0,90 1,12 1.24 1,32 1,41 1,45 1,49 Общая рассогласованность (ОС) рассчитывается следующим образом: ИСОС = —100% ССОС = (0,13 / 0,9) • 100% = 14,4%.Согласно методу Саати величина ОС должна быть не более 20%, в про­тивном случае, такие суждения экспертов следует перепроверить.В нашем случае мера несогласованности равна 0,39 что является допус­тимым при принятой шкале (Таблица 4.4), показатель ОС равен 14,4%, что не превышает допустимого порога рассогласованности.Определение весовых коэффициентов с помощью нахождения вектора XV матрицы парных сравнений является довольно трудоемкой задачей. Для реше­ния практических задач можно [94, 97] определять весовые коэффициенты пу­тем расчета среднего геометрического из соотношения: Гп _Щ =н||2оу ;/ = 1.и,11-М (4.3.3)где а^ - коэффициенты матрицы парных сравнений.Рассчитаем весовые коэффициенты методом среднего геометрического: X, х2 Х3 Х4 П*и 4л/Пху/£ X, 1 5 6 7 210 3,80 0,614 х2 0,200 1 4 6 4,8 1,48 0,239 Х3 0,166 0,250 1 4 0,166 0,64 0,103 X, 0,142 0,166 0,250 1 0,00589 0,27 0,044 1= 6,19 1,000В нашем случае получаем: 0)1 = 0,614, С02 = 0,23 9, со3= 0,103, со4= 0,044.Ошибки определения весовых коэффициентов не превышают 5%, что го­ворит о возможности применения данного метода.В соответствии с Таблицей 4.4 мы получили сильное превосходство од­ного требования над другим. Это говорит о том, что есть более важные требо­вания и мене важные. Есть явно выраженное главное требование - к аппарат­ным СЗИ, а также незначительное требование - к нормативной базе АСУ ТП.Рассчитанная относительная важность требований к СЗИ АСУ ТП «ПХВ- 1» в процентах приведена в Таблице 4.6. Таблица 4.6 - Относительная важность требований к СЗИ АСУ ТП «ПХВ-1» Требования к СЗИ АСУ ТП Относительная важность к аппаратным средствам защиты информации 61,4% к программным средствам защиты информации 23,9% к структуре АСУ ТП 10,3% к нормативной базе, документации на АСУ ТП 4,4% 4.4 Построение функции принадлежностиВ случае если экспертная оценка имеет качественное выражение, тогда оценки вариантов по критериям и коэффициенты относительной важности за­даются функциями принадлежности.Существует значительное количество методов построения по экспертным оценкам функций принадлежности нечеткого множества ц. Л(х). Выделяют две группы методов: прямые и косвенные методы [94].Прямые методы характеризуются тем, что эксперт непосредственно зада­ет правила определения значений функции принадлежности ц. Л(х), характери­зующей элемент х. Эти значения согласуются с его предпочтениями на множе­стве элементов X следующим образом:-для любых хь х2 е X, ц. Л(Х]) < ц. л(х2) тогда и только тогда, когда х2 предпочтительнее хь т.е. в большей степени характеризуется свойством А;- для любых хь Хг е X, р. Л(х1) = ц. л(х2) тогда и только тогда, когда X] и х2 безразличны относительно свойства А.Примерами прямых методов являются непосредственное задание функ­ции принадлежности таблицей, графиком или формулой. Недостатком этой группы методов является большая доля субъективизма.В косвенных методах значения функции принадлежности выбираются та­ким образом, чтобы удовлетворить заранее сформулированным условиям. Экс­пертная информация является только исходной информацией для дальнейшей обработки. Дополнительные условия могут налагаться как на вид получаемой информации, так и на процедуру обработки.Поэтому автором проанализированы косвенные методы построения функций принадлежности, из которых был отобран метод ранговых оценок. Главным преимуществом данного метода является то, что в отличие от метода парных сравнений, он не требует решения характеристического уравнения, а позволяет вычислять функции принадлежности с использованием ранговых оценок, которые достаточно легко получить при экспертном опросе. Данный метод обладает достаточной точностью вычислений и позволяет легко автома­тизировать расчеты. 4.4.1 Построение функции принадлежности на основе ранговых оценокДанный метод базируется на идее распределения степени принадлежно­сти элементов универсального множества согласно с их рангами.Будем понимать под рангом элемента х;еХ число г3(х]), которое характе­ризует значимость этого элемента в формировании свойства, которое описыва­ется нечетким термом 8. Допускаем, что выполняется правило: чем больший ранг элемента, тем больше степень принадлежности.Введем также обозначения: г3(х^ = г;; |а5(х!) = ; I = 1 ..п.Тогда правило распределения степеней принадлежности можно задать в виде соотношения: Г2 г» (4.4.1)к которому добавляется условие нормирования :ц, + ц2+... + цп=1 (4.4.2)Используя соотношение (4.4.1) легко определить степени принадлежно­сти всех элементов универсального множества через степени принадлежности опорного элемента.Если опорным элементом является X] е X с принадлежностью ц ь то: а Л А = — ■ А ; А = — ■■ АА, =—■ А г1г1(4.4.3) Для опорного элемента х2 е X с принадлежностью \х 2, получаем: А = " А ^ А = " А ^ ■ ■ ■ ^ А = " А (4.4.4)Го Го Го Для опорного элемента х„еХс принадлежностью ц п, имеем: г, г7 г, М1 = --М»>М2 = --М»>-'>Мп-, = —-Аг" г» г» (4.4.5)Учитывая условие нормировки (4.4.2) из соотношений (4.4.3) - (4.4.5) на­ходим : \ г V. > -1 у п гг> А = ч 1 А = , >з / \Г2 /Г, АА(4.4.6)Полученные формулы (4.4.6) дают возможность вычислять степени при­надлежности ц 8(х;) двумя независимыми путями: по абсолютным оценкам уровней г;; 1=1 ..п , которые определяются по 9- бальной шкале (1 — наименьший ранг, 9 - наибольший ранг). -1по относительным оценкам рангов т\/ х\ = а1} ; 1,] = 1..п, которые образуют матрицу : 1 1 и>2 ЪГ Г Г п ' п п (4.4.7)Эта матрица обладает следующими свойствами:а) она диагональная, т.е. ан=1; ¡=Т..п;б) элементы, которые симметричны относительно главной диагонали, связаны зависимостью: ау=1 / а^^;в) она транзитивна, т.е. а^. ак[, посколькуП гк _ Ъ') ОНаличие этих свойств приводит к тому, что при известных элементах од­ной строки матрицы А легко определить элементы всех других строк. Если из­вестна г-я строка, т.е. элементы а^, к; ]=1..п, то произвольный элемент щ нахо­дится так:1   ...   13   14   15   16   17   18   19   20   ...   25

аУ> = / а1т Ь --ППоскольку матрица (4.4.7) может быть интерпретирована как матрица парных сравнений рангов, то для экспертных оценок элементов этой матрицы можно использовать 9-бальную шкалу Саати: щ = г; / Эта шкала приведена ранее, в Таблице 4.4.Таким образом, с помощью полученных формул (4.4.6), экспертные зна­чения о рангах элементов или их парные сравнения преобразуются в функцию принадлежности нечеткого терма [93].Алгоритм построения функции принадлежности включает в себя сле­дующие операции: Задать лингвистическую переменную; А =Определить универсальное множество, на котором задается лингвис­тическая переменная ; Задать совокупность нечетких термов {8Ь 82, ... , 8т}, которые исполь­зуются для оценки переменной; Для каждого терма 8^ ]=1..ш сформировать матрицу (4.4.7); Используя формулы (4.4.6) вычислить элементы функций принадлеж­ности для каждого терма. Нормирование найденных функций осуществляется путем деления на наибольшие степени принадлежности.Функции принадлежности применяются при выборе рационального вари­анта СЗИ (п. 4.5.3), а также при определении важности требований к СЗИ в случае, когда экспертные оценки заданы в качественной форме. 4.5 Выбор рационального варианта СЗИ на основе экспертных оценок 4.5.1 Анализ методов выбора рационального варианта СЗИПринципиальными особенностями решения задачи выбора рационально­го варианта СЗИ, определяющими метод ее решения являются [112-114]: многокритериальное^ задачи выбора; не только количественное, но и качественное (нечеткое) описание показате­лей качества СЗИ, задаваемых в виде требований; при нечеткой постановке задачи влияние на выбор метода ее решения экс­пертной информации, определяющей предпочтение того или иного показа­теля [91-93]. Рассмотрим указанные особенности решения задачи более подробно. Общая постановка задачи многокритериальной оптимизации [97]: Пусть X — |хь...,х;,...,хп| - вектор оптимизируемых параметров некоторой системы 8. Некоторое ]-е свойство системы 8 характеризуется величиной ]-го показателя ^(Х); ] = 1„т. Тогда система в целом характеризуется вектором по­казателей О = Задача многокритериальной оптимизации сводит­ся к тому, чтобы из множества М5 вариантов системы 8 выбрать такой вариант (систему 8о), который обладает наилучшим значением вектора р. При этомпредполагается, что понятие «наилучший вектор предварительно сформу- лированно математически, т.е. выбран (обоснован) соответствующий критерий предпочтения (отношение предпочтения).Анализ литературы [106, 107] показывает, что все многочисленные мето­ды решения многокритериальных задач можно свести к трем группам методов: метод главного показателя качества; метод результирующего показателя качества (аддитивного, мультиплика­тивного, максиминного); лексикографический метод (метод последовательных уступок). Принципиальной особенностью рассматриваемой задачи выбора рацио­нального варианта СЗИ АСУ ТП является преимущественно качественный ха­рактер показателей, трактуемых как требования к СЗИ. В связи с этим рассмат­риваемые методы многокритериальной оптимизации должны формулироваться в нечеткой постановке.Как в классической, так и в нечеткой постановке выбор метода решения многокритериальной задачи определяется тем, в каком виде представлена экс­пертная информация о предпочтении показателей или их важности. Для этого приведем таблицу, которая позволяет обоснованно выбирать метод нечеткой многокритериальной оптимизации в зависимости от экспертной информации о предпочтении показателей (Таблица 4.7). Таблица 4.7 Выбор метода решения в зависимости от экспертной информацииЭкспертная информация о степени пред­почтения или важности показателей Метод решения многокритериальной задачи отсутствует максиминный метод показатели упорядочены по важности лексикографический метод определены весовые коэффициенты показателей аддитивный показатель мультипликативный показатель максиминный показатель 4.5.2 Выбор варианта СЗИ по аддитивному показателюПоскольку, в нашем случае весовые коэффициенты показателей качества СЗИ определены — используем метод аддитивного показателя для выбора оп­тимального варианта СЗИ «ПХВ-1».Метод результирующего показателя качества основан на формировании обобщенного показателя путем интуитивных оценок влияния частных показа­телей качества ..., на результирующее качество выполнения системой ее функций. Оценки такого влияния даются группой специалистов - экспертов, имеющих опыт разработки подобных систем.Наибольшее применение среди результирующих показателей качества получили аддитивный, мультипликативный и минимаксный показатели.Аддитивный показатель качества представляет собой сумму взвешенных нормированных частных показателей и имеет вид:т^ , (4.5.1)где с*3 — нормированное значение ]-го показателя;С^ - весовой коэффициент ]-го показателя, имеющий тем большую вели­чину, чем больше он влияет на качество системы. =1; > 0; ] = 1..ш.Для 5 вариантов СЗИ «ПХВ-1» в результате экспертного опроса получе­ны данные о степени выполнения каждого из 4 показателей качества.Варианты оцениваются по 4 требованиям (критериям), описанным выше (п. 4.3.1): С1 - требования к аппаратным СЗИ, С2 — требования к программным СЗИ, Сз - требования к структуре, С4 — требования к нормативной базе. С, = { 0,9/аь 0,9/а2; 0,8/а3; 0,6/а4; 0,7/а5 } С2 = { 0,8/аь 0,9/а2; 0,7/а3; 0,8/а4; 0,9/а5 } С3 = { 0,5/аь 0,7/а2; 0,8/а3; 0,9/а4; 0,8/а5 } С4 = { 0,6/а,; 0,7/а2; 0,6/а3; 0,7/а4; 0,4/а5 }Расчет аддитивного показателя качества СЗИ «ПХВ-1» по формуле (4.5.1) приведен в Таблице 4.8 . Таблица 4.8 - Расчет аддитивного показателя качества СЗИ «ПХВ-1» СЗИ, сзи2 СЗИз сзи4 сзи5 Отн. Вес. показате­ля качест­ва С, 0,9 0,9 0,8 0,6 0,7 0,614 с2 0,8 0,9 0,7 0.8 0,9 0,239 Сз 0,5 0,7 0,8 0,9 0,8 0,103 с4 0,6 0,7 0,6 0,7 0,4 0,044 Аддитив­ 0,8217 0,8706 0,7673 0,6831 0,7449 ный показа­ тель Сравнение вариантов СЗИ по аддитивному показателям» уровня качества представлено на графике (Рисунок 4.5). Рисунок 4.5 - Сравнение вариантов СЗИ по аддитивному показателяю уровня качества0,9 0,8 0,7 0.6 0,5 0,4 0,3 0,2 0,1 0 Таким образом, наилучшим является второй вариант СЗИ. По графику (Рисунок 4.5) легко определить, насколько тот или иной вариант защиты соот­ветствует обобщенным требованиям . 4.5.3 Выбор варианта СЗИ при задании требований в качественной формеЕсли оценки вариантов по критериям и коэффициенты относительнойважности задаются функциями принадлежности соответственно иVw^j)Необходимо упорядочить m вариантов СЗИ аь а2, ..., ат, оцениваемых по «п» требованиям (критериям) Сь Сг, ..., Сп. Соответствующую оценку обозна­чим Ry; i=l..m, j=l..n. Относительная важность каждого требования задается коэффициентом Wj , £Wj =1. В этом случае взвешенная оценка i-ro вариантавычисляется по формуле: и/=1 (4.5.2)Так как в данном случае Ry и Wj являются нечеткими числами, Rj опреде­ляется в соответствии с формулой (4.5.2) на основе принципа обобщения. Би­нарную операцию * (в данном случае это операция сложения или умножения) можно обобщить на случай нечетких чисел (например, X и Y), задаваемых функциями принадлежности ц.х(х) и ц.у(у) соответственно. Результат обобщен­ной операции * - нечеткое число Z, определяемое функцией принадлежности:fiz(z) = sup min(//v(.x),/iKг-**У (4.5.3)После того, как взвешенные оценки R; получены, необходимо сравнить варианты на их основе. Для этого вводится нечеткое множество I, заданное на множестве индексов вариантов {1, 2, ..., ш}. Значение соответствующей функ­ции принадлежности интерпретируется как характеристика степени того, на­сколько вариант а.\ является лучшим. Значение ji ¡(1) вычисляется по формуле:¡лт{/)= sup millДд (ry)> (4.5.4) 4.5.4 Выбор варианта СЗИ лексикографическим методомВ случае, если весовые коэффициенты показателей не определены, но упорядочены по важности — возможно использование лексикографического метода выбора [105]. Данный метод, в отличие от метода аддитивного показа­теля, позволяет только определить какой из вариантов СЗИ лучше, но не возво- ляет определить на сколько.Суть метода заключается в выделении сначала множества альтернатив с наилучшей оценкой по наиболее важному показателю. Если такая альтернатива единственная, то она считается наилучшей; если их несколько, то из их под­множества выделяются те, которые имеют лучшую оценку по второму показа­телю и т.д.Для расширения множества рассматриваемых альтернатив и улучшения качества решения по совокупности показателей может назначаться уступка, в пределах которой альтернативы считаются эквивалентными.Применение этого метода при нечетких показателях качества (требовани­ях) СЗИ сводится к следующим операциям [113]. Упорядочить требования к СЗИ по важности: Ci > С2 > ... > Cj > ... > Cn; j = l..n. С согласия ЛПР для каждого требования назначается величина допус­тимой уступки ACj; j = l..n. в пределах которой рассматриваемые варианты СЗИ считаются «практически равноценными». Для первого требования С] формируется множество «практически рав­ноценных» вариантов, удовлетворяющих условию - множество щ. t*i Если тс 1 - множество содержит ровно один вариант, то он и считается наилучшим. Если щ - множество содержит более одной альтернативы, то пе­реходим к рассмотрению всех вариантов множества tïi по требованию С2. Для второго требования С2 формируется 7Ь множество вариантов из множества к ь удовлетворяющих условию: max .Л'с, (а^) - /fc (ak) < tC-,Л-IT, Если 712 множество содержит ровно один вариант, то он и считается наилучшим; если более одного - рассматриваем эти варианты по требованию С3 и т.д. Если все требования последовательно пересмотрены и в результате по­лучаем 7Г — множество % = щ • • ... ■ 7С„, содержащее более одной альтернати­вы, то возможно применить два подхода: уменьшить величину допустимой уступки A Cj, начиная с первого по важности требования и повторить все шаги решения; представить ЛПР окончательный выбор лучшего варианта. Выбираем наиболее подходящий из 5 вариантов СЗИ «ПХВ-1» (aj) лекси­кографическим методом.Варианты оцениваются по 4 требованиям (критериям), описанным выше (п. 4.3.1): Ci - требования к аппаратным СЗИ, С2 - требования к программным СЗИ, С3 - требования к структуре, С4 - требования к нормативной базе.В результате экспертной оценки получены следующие данные, характе­ризующие степень соответствия СЗИ заданным требованиям:С, = { 0,9/аь 0,9/а2; 0,8/а3; 0,6/а4; 0,7/а5 }С2= { 0,8/а,; 0,9/а2; 0,7/а3; 0,8/а4; 0,9/а5 }С3 = { 0,5/аь 0,7/а2; 0,8/а3; 0,9/а4; 0,8/а5 }С4 = { 0,6/а,; 0,7/а2; 0,6/а3; 0,7/а4; 0,4/а5 } Требования упорядочены по важности следующим образом: С, >С2>С3 >С4 Зададимся величиной допустимой уступки: A Cj = 0,1 для всех Р; угр. Формируем множество по первому требованию. При максимальном значении Ci = 0,9 и A Ci = 0,1 в это множество входят варианты Л\ = {аь а2, а3}. Из элементов множества л\ формируем множество %2 по второму тре­бованию. При шах С2=0,91   ...   14   15   16   17   18   19   20   21   ...   25

-с 1 2 3 4 5 6 7 АСУТП установки Протокол ЛВС: Протокол: Контроллеры: 1. Использование промышленных 1. Для повышения надежности выполнено 1. ПО включает в себя систему легкого Industrial Modbus М5+ Modicon контроллеров, соответствующих резервирование контроллеров. сигнализации нарушений и включает в гидрокрекинга Л- Ethernet TSX Quantum требованиям взрывобезопасности. себя средства защиты от 24/8С на ОАО ПО: фирмы 2. Отдельная программно-аппаратная несанкционированного доступа к «Сызранский НПЗ» ПО: Реализуется Schneider 2. Применение искробезопасных система противоаварийной защиты. функциям системы. DeltaV компании средствами Electric УСО (С сайта EMERSON SCADA системы 3. Резервированные источники питания. 2. Применение резервированной сети «Инкомсистем» Process УСО: 3. Использование промышленного Ethernet www.incomsystem.ru/ Management Интерфейс: искробезопасн протокола МоёЬи5, в котором application/) (Fisher- RS-485 ые 8- данные защищены 16-битным Rosemount). канальные CRC-кoдoм. модули Оператор скне аналогового станции: ввода/вывода, IBM PC- 32-канальные совместимые модули ПК, дискретного Операционная ввода/вывода, среда Windows интерфейсный NT модуль для связи с системой ПАЗ. Монтажные шкафы: "RITALL" (Лоо Безопасность в 8САОА/НМ1-Системах Б1МАТ1С \VINCC ^¡етепз, Германия) ТЯАСЕ МОРЕ 6 (Ас^га, Россия) ОЕЫЕ31832Осошсэ,США) 1ытоисн(\Vonderware, США) СГГЕСТ (Скей, США) КРУГ- 2000 («НПФ Круп», Россия) КеаИех (Кса1Псх ТесЬпо^ез , Ирландия) Ма51ег5САО А(ЗАО«ИнСАТ»,Россия) аеагБСАОА (СоШго! Мкгс^штз , Канада) ¡Р1Х (6ЕРАЫиС,США,Япония) ЮББ (Беуеп ТесЬпо1о§1ез , Дания) ОрепБСАОА (Нсхависимыс разработчики, старт -Украина) Ведение архива событии + + + + + + + + + + + + Защита настроек паролем + + + + + + + + + + + + Разграничение прав доступа пользователей + + + + + + + + + + + + Настройка разрешенного времени для входа пользователя + + + + + + + . + + + + — Горячее резервирование + + + + + + + + + + + + Удаленнаяперезагрузкаконторллеров + + + + + + + + + + + — Синхронизациясистемноговремени + + + + + + + + + + + + Самотестирование,обнаружениеошибок + + + + + + + + + + + + Уведомление тревоге на экране + + + + + + + + + + + + Уведомление о тревоге звуковое + + + + + + + + + + + + Функциисторожевоготаймера + + + + + + + + + + + + Автоматический Старт/Перезагрузк а системы в случае ошибки + + + + + + + + + + + + Информация обошибкахкоммуникации + + + + + + + + + + + + чэ SIMATIC WINCC (Siemens, Германи) TRACE MODE 6 (Adastra, Россия) GENESIS32(Iconics,США) INTOUCH(Wonderware,США) CITECT (Citect, США) КРУГ-2000(«НПФКруг»,Россия) RealFIex (RealFlex Technologies , Ирландия) MasterSCAD А(ЗАО«ИнСАТ»,Россия) CtearSCADA (Control Microsystems , Канада) ¡FIX(GEFANUC,США,Япония) IGSS (Seven Technologies , Дания) ОрепвСАЛА (Нехависимые разработчики, старт -Украина) Автоматический контрольсвободной памяти диска + + + + + + + + + + + — Восстановление исходных настроек параметров + + + + + + + + + + + + Контроль достоверности параметров измерения + + + + + + + + + + + + Контрольдопустимостивводимойоператороминформации + + + + + + + + + + + + Блокировка определенных команд в аварийной ситуации + + + + + + + + + + + + Контекстная помощь к управлению + + + + + + + + + + + — Интуитивный графический НМ1-интерфейс + + + + + + + + + + + + O-i о SIMATIC WINCC (Siemens, Германи) TRACE MODE 6 (Adastra, Россия) GENESIS32(Iconics,США) INTOUCH(Wondcrware,США) CITECT (Citect, США) КРУГ-2000 («НПФ Круг», Россия) RealFlex (RealFlex Technolo gies,Ирланди я) MasterSCAD A(ЗАО«ИнСАТ»,Россия) ClearSCADA (Control Microsystems , Канада) ¡Р1Х (вЕFANUC,США,Япония) IGSS (Seven Technologies , Дания) OpenSCADA (Нехависимые разработчики, старт -Украина) Соответствие ПОстандартамбезопасности + + + + + + + + + + + + ISO 9001; IEC 61508; DIN V 19250; DIN V 19251; EN 60204-1; EN 954-1; ISO 9001; IEC61131-3; Сертифик ация в соответств ии стребовани ями FDA, 21 CFRI1; Сертификаци я всоответствии стребованиями FDA, 21 CFR И; Сертификаци я всоответствии стребованиями FDA, 21 CFRп; ISO 9001; Сертификаци я всоответствии стребованиями FDA, 21 CFR И; ГОСТ 24. 104-85; ГОСТ 12.2.007-0­75;ГОСТ 12.2.003-74; ГОСТ 12.3.002-75 ISO 9001; ISO 9001; ГОСТ ISO 9001; IEC 61131-3; EN 61000-6­4; EN 55022; EN 61000-6­2; EN 50082­1 150 9001;а такжеосновныемировыестандартыистандарты Евросоюз а ISO 9000; Несертифицируете я Переемственность версийпрограммного обеспечения + + + + + + + + + + + — Гарантированная техническая + + + + + + + + + + + — поддержка разработчика Гибкость. Взаимодействие с другими программными средствами с помощью технологий ОРС, ODBC, DCOM, OLE, OLEDB, ActiveX, ODBC... + + + + + + + + + + + +/- (ОС Linux) Беспроводные коммуникационны e протоколы + + + + + + + + + + + + Проводные коммуникационны е протоколы + + + + + + + + + + + + ПРИЛОЖЕНИЕ 3 Подсистема безопасности в БСАВА-системе ШТ011СНИнтегрированная БСАБА/БМ! система ШТОиСН 9.5 располагает мощной системой безопасности, способной максимально защитить работающую АСУ ТП от несанкционированного доступа и ошибок персонала.И«* А*>-келщр | Хлсикк- «1ЙММШ«* - —-I П*ЙЛ> 8 -»П I □, г |I ¡3 , | О Рвнктчмм»«»В Осг»ев 11 0{3 ^ | (3 Умпам1 1 ГяУЛА --- > ¡ЗКеигирсм«« ! □ Рвдактнх«^Iтхт О дс^/к««Экр-х« □ Умлм». ппщрррб ;Л 1Система безопасности ШТОиСН основана на системе паролей. В инструментальной системе создаются группы пользователей. Число групп не ограничивается. В каждой группе может быть произвольное количество пользователей АСУ ТП. Деление на группы условно и, в принципе, должно соответствовать количеству должностей и рабочих групп, имеющих отношение к данной АСУ.Каждый пользователь, будь то оператор, технолог, мастер, администратор или директор, обладает своим набором прав доступа к компонентам информационной системы - к экранам, элементам управления и функциям управления. При загрузке АСУ ТП или АСУП система безопасности ШТОиСН проверяет имя и пароль пользователя и предоставляет ему только те права, которыми он обладает. Если пароль введен не будет, то система безопасности не даст АСУ ТП запуститься.Если необходимо организовать автоматическую загрузку системы, то в ней должен быть прописан пользователь «по умолчанию», обладающий минимальными правами.Система безопасности ШТОТЛСН контролирует ввод пароля и при выходе пользователя из системы.Смену пользователя можно производить, не останавливая работу АСУ ТП. Если, например, 8САХ)А-система загружена с правами оператора, то для выполнения функций, технолога (входа в диалог настройки регуляторов) потребуется заново зарегистрироваться в системе под именем и паролем технолога. По окончании настройки регуляторов технолог должен выйти из системы, выбрав в качестве текущего пользователя оператор. Более того, администратор системы может удаленно поменять права пользователя, послав команду через сеть.Система безопасности ШТОиСН позволяет редактировать список пользователей в реальном времени, добавлять или удалять пользователей , не прерывая работы АСУ ТП. Доступ к АСУ ТП протоколируется системой безопасности ГЫТОиСН в отчет тревог, что позволяет при необходимости восстановить хронологию событий и действий персонала.В случае, если сервер ГМТОиСН имеет выход в интернет или интранет, может встать вопрос защиты файла проекта, содержащего коммерческую информацию. На этот случай существует возможность заказа индивидуальной линии ключей ЮТОИСН, несовместимых с обычными ключами по форматам данных проекта.Разработчик БСАВА-системы: компания «\VonderWare». Что такое SCADA-системыТермин SCADA-система используют для обозначения программно- аппаратного комплекса сбора данных (телемеханического комплекса).К основным задачам, решаемым SCADA-системами, относятся: Обмен данными в реальном времени с УСО (устройством связи с контролируемым объектом). Этим устройством может быть как промышленный контроллер, так и плата ввода/вывода. Обработка информации в реальном времени. Отображение информации на экране монитора в понятной для человека форме (HMI сокр. от англ. Human Machine Interface — человеко-машинный интерфейс). Ведение базы данных реального времени с технологической информацией. Аварийная сигнализация и управление тревожными сообщениями. Подготовка и генерирование отчетов о ходе технологического процесса. Архивирование технологической информации (сбор истории). Обеспечение связи с внешними приложениями (СУБД, электронными таблицами, текстовыми процессорами и т.д.). В системе управления предприятием такими приложениями чаще всего являются приложения, относимые к уровню MES. Иногда SCADA-системы комплектуются дополнительным ПО для программирования промышленных контроллеров. Такие SCADA-системы называются интегрированными, и к ним добавляют термин SoftLogic.Это была сухая формулировка, взятая из энциклопедии. На самом деле системы такого класса имеют четкое предназначение — они предоставляют возможность осуществлять мониторинг и диспетчерский контроль множества удаленных объектов (от 1 до 10000 пунктов контроля, иногда на расстоянии в тысячи километров друг от друга) или одного территориально распределенного объекта. Классическими примерами являются: Нефтепроводы; Газопроводы; Водопроводы; Удалённые электрораспределительные подстанции; Водозаборы; Дизель-генераторные пункты и т.д. Основная задача БСАЭА — это сбор информации о множестве удаленных объектов, поступающей с пунктов контроля, и отображение этой информации в едином диспетчерском центре. Кроме этого, 8САХ)А должна обеспечивать долгосрочное архивирование полученных данных. При этом диспетчер зачастую имеет возможность не только пассивно наблюдать за объектом, но и ограниченно им управлять, реагируя на различные ситуации.1   ...   17   18   19   20   21   22   23   24   25

Общая структура вСАБАРабота БСАОА - это непрерывный процесс сбора информации реального времени с удаленных точек (объектов) для обработки, анализа и возможного управления.Требование обработки реального времени обусловлено необходимостью оперативной доставки (выдачи) всех сообщений и данных на центральный интерфейс оператора (диспетчера). В то же время понятие реального времени отличается для различных 8САБА-систем.Все современные ЗСАЭА-системы включают три основных структурных компонента (см. рисунок ниже) : ^ j<X ?———т/ !/Í-- < WAM RTU Remete Terming] Unit Объект yn^asnonRTU Kerrote Termine»! Unit Remote Terminal Unit (RTU) удаленный терминал, подключающийся непосредственно к контролируемому объекту и осуществляющий обработку задачи (управление) в режиме реального времени. Спектр воплощений RTU широк: от примитивных датчиков, осуществляющих съем информации с объекта, до специализированных многопроцессорных отказоустойчивых вычислительных комплексов, осуществляющих обработку информации и управление в режиме жесткого реального времени. Конкретная его реализация определяется спецификой применения. Использование устройств низкоуровневой обработки информации позволяет снизить требования к пропускной способности каналов связи с центральным диспетчерским пунктом.Master Terminal Unit (MTU), Master Station (MS) диспетчерский пункт управления (главный терминал); осуществляет обработку данных и управление высокого уровня, как правило, в режиме мягкого (квази-) реального времени. Одна из основных функций - обеспечение человеко- машинного интерфейса (между человеком-оператором и системой). Взависимости от конкретной системы MTU может быть реализован в самом разнообразном виде: от одиночного компьютера с дополнительными устройствами подключения к каналам связи до больших вычислительных систем (мэйнфреймов) и/или объединенных в локальную сеть рабочих станций и серверов. Как правило, и при построении MTU используются различные методы повышения надежности и безопасности работы системы. Устройство MTU часто называют SCADA-сервером.Communication System (CS) коммуникационная система (каналы связи) между RTU и MTU. Она необходима для передачи данных с удаленных точек (RTU) на центральный интерфейс диспетчера и передачи сигналов управления обратно с MTU на RTU. В качестве коммуникационной системы можно использовать следующие каналы передачи данных: Выделенные линии - собственные или арендованные; медный кабель или оптоволокно; Частные радиосети; Аналоговые телефонные линии; Цифровые ISDN сети; Сотовые сети GSM (GPRS). С целью дублирования линий связи устройства могут подключаться к нескольким сетям, например к выделенной линии и резервному радиоканалу.Особенности SCADA как процесса управленияНиже перечисленные некоторые характерные особенности процесса управления в современных диспетчерских системах: В системах SCADA обязательно наличие человека (оператора, диспетчера); Любое неправильное воздействие может привести к отказу (потере) объекта управления или даже катастрофическим последствиям; Диспетчер несет, как правило, общую ответственность за управление системой, которая, при нормальных условиях, только изредка требует подстройки параметров для достижения оптимального функционирования; Большую часть времени диспетчер пассивно наблюдает за отображаемой информацией. Активное участие диспетчера в процессе управления происходит нечасто, обычно в случае наступления критических событий - отказов, аварийных и нештатных ситуаций и пр.; Действия оператора в критических ситуациях могут быть жестко ограничены по времени (несколькими минутами или даже секундами).Термины АСУ ТП АСУ ТП. Автоматизированная система управления технологическим процессом.ИУ. Исполнительное устройство. Звено в контуре управления, служащее для непосредственного воздействия на объект управления.ОУ. Объект управления. Звено в контуре управления. В общем смысле для АСУ ТП объектом управления является сам технологический процесс.САУ. Система автоматического управления.УУ. Управляющее устройство. Звено, в контуре управления, вырабатывающее для ОУ управляющее воздействие в соответствие с определенными алгоритмами автоматического управления. В простейшем случае - регулятор.AI (Analogue Input). Ввод аналоговых полевых сигналов.ALARM. Аварийная сигнализация.АО (Analogue Output). Вывод аналоговых полевых сигналов.ARCHIVE (Архив, История). Архив значений технологических параметров за прошедший период времени. Часто еще называется HISTORICAL ARCHIVE.AS (Automation Station). Обобщенное название любого устройства, осуществляющего автоматизированное управление.BASEPLATE. Базовая панель. Служит для установки электронных модулей в специальные слоты. Неотъемлемая часть модульной системы.CFC (Continuous Flow Chart). Непрерывная функциональная диаграмма. Язык программирования ПЛК.DCS (Distributed Control System). Распределенная система управления (РСУ).DI (Discrete Input). Ввод дискретных полевых сигналов.DISTRIBUTED IO, REMOTE IO. Распределенный (удаленный) ввод/вывод. Полевой ввод/вывод, расположенный на значительном удалении от центрального устройства управления.DO (Discrete Output). Вывод дискретных полевых сигналов.ES (Engineering Station). Инженерная станция. Станция инженерного обслуживания АСУ ТП.ЕХ (сокр. от слова Explosive). Так обозначаются взрывоопасные зоны и участки производства. Такую маркировку имеет оборудование, предназначенное для эксплуатации во взрывоопасных зонах.FACEPLATE (Фейсплейт). Дословно "Лицевая панель". Графический элемент человеко-машинного интерфейса, предназначенный для управления технологическим устройством.FBD (Functional Block Diagram). Диаграмма функциональных блоков. Один из пяти стандартизированных языков программирования ПЛК.FEEDBACK. Обратная связь. Информационная связь в контуре регулирования между датчиком, измеряющим значение регулируемой величины, и входом регулятора.FO (Fiber Optic). Оптоволокно. Физическая среда передачи данных.HMI (Human Machine Interface). Человеко-машинный интерфейс (ЧМИ). Интерфейс взаимодействия человека-оператора с АСУ ТП.IL (Instruction List). Список инструкций. Один из пяти стандартизированных языков программирования ПЛК.INDUSTRIAL ETHERNET. Семейство протоколов промышленных сетей на базе Ethernet (IEEE 802.3). К Industrial Ethernet обычно относят Profinet, EtherCAT, Ether/IP и некоторые другие.INTERFACE MODULE. Интерфейсный модуль. Электронный модуль для подключения устройства к сети.IO (Input Output). Подсистема ввода/вывода полевых сигналов. Неотъемлемая часть любой АСУ ТП.IO BUS. Цифровая шина полевого ввода/вывода. Как правило, связывает контроллер и удаленные устройства ввода/вывода.IO MODULE. Электронный модуль для подключения полевых приборов: датчиков и исполнительных механизмов. Часть подсистемы ввода/вывода.IS (Intrinsically Safe). Так обозначаются электрооборудование и электрические цепи, в которых реализована взрывозащита вида «искробезопасная электрическая цепь» (искрозащита).IS-Barrier (Intrinsically Safe Barrier). Барьер искробезопасности.IS RIO (Intrinsically Safe Remote Input/Output). Система искробезопасного удаленного ввода/вывода.LAN (Local Area Network, ЛВС). Локальная вычислительная сеть.LD (LAD, LADDER). , Лестничная диаграмма. Один из пяти стандартизированных языков программирования ПЛК.LOCAL IO (Input Output). Локальный ввод/вывод. Ввод/вывод, встроенный непосредственно в устройство управления, либо установленный- на той же базовой панели виде модульной системы.MASTER. Ведущее устройство на шине передачи данных.MES (Manufacturing Execution System). Производственная исполнительная система. Комплексное решение для управления производством на уровне завода (фабрики).MODBUS, PROFIBUS, DEVICENET, CAN, FOUNDATION FIELDBUS (FF). Промышленные стандарты передачи данных по цифровым шинам. Существуют разновидности каждого из этих стандартов.MTU (Master Terminal Unit). Главный терминал. Компонент SCADA- систем.NIC (Network Interface Card). Интерфейсная карта для подключения компьютера к сети.OLM (Optical Link Module). Преобразователь среды передачи данных «оптоволокно-медь».OPC (OLE for Process Control). Клиент-серверный протокол обмена данными между распределенными приложениями. Применяется в промышленных системах.OPERATOR PANEL (Операторская Панель). Компактная вычислительная машина со встроенным жидкокристаллическим дисплеем, предназначенная для визуализации и операторского управления технологическим процессом.OS (Operator Station). Операторская рабочая станция для управления технологическим процессом.PCS (Process Control System). Автоматизированная система управления технологическим процессом (АСУ ТП).PID (ПИД, пропорционально-интегро-дифференциальный). Разновидность непрерывного регулятора, применяемого для поддержания заданного значения регулируемой величины.PLC (Programmable Logic Controller). Программируемый логический контроллер (ПЛК). В узком смысле - аппаратное обеспечение, реализующее- автоматизированное управление технологическим процессом. В широком понимании - класс АСУ ТП.PV (Process Value). Текущее значение регулируемой величины, подаваемое на вход регулятора. Таким образом реализуется обратная связь.REDUNDANT PAIR. Резервированная пара. Пара модулей, работающих параллельно и страхующих друг друга. Метод повышения отказоустойчивости системы.RTU (Remote Terminal Unit). Удаленный терминал. Компонент SCADA-систем.SCADA (Supervisory Control and Data Acquisition). В узком смысле - пакет визуализации процесса. В широком понимании - класс АСУ ТП.SCAN CYCLE. Цикл сканирования. Время, за которое контроллер выполняет полный цикл операций.SERVER. Сервер для обслуживания множества операторских станции и других ПК.SETPOINT. Уставка, заданное значение регулируемой величины, подаваемое на вход регулятора.SFC (Sequential Function Chart). Язык последовательных функциональных схем. Один из пяти стандартизированных языков программирования ПЛК.SLAVE. Ведомое устройство на шине передачи данных.STP, RSTP (Spanning Tree Protocol, Rapid Spanning Tree Protocol). Протоколы IEEE 802.Id и 802.lw соответственно. Позволяют создавать петлевидные топологии на базе Ethernet. SPOF (Single Point of Failure). Единичная точка отказа.ST (Structured Text). Структурированный текст. Один из пяти стандартизированных языков программирования ПЛК.TERMINAL BUS. Шина передачи данных между операторскими станциями, контроллерами и серверами. Сеть верхнего уровня АСУ ТП.TREND (Тренд). График изменения параметра (параметров) технологического процесса. Различают тренд реального времени и исторический тренд.VISUAL SUPERVISOR (Графический Супервизор). Промышленный контроллер со встроенным человеко-машинным интерфейсом.Условия эксплуатацииПо устойчивости к воздействию температуры и влажности окружающего воздуха в процессе эксплуатации по ГОСТ 26.205 оборудование ПТК «ПХВ-1» должно соответствовать категориям, указанным в Таблица 3.1. Таблица 3.1. Требования к оборудованию ПТК «ПХВ-1» Г руга» ТпшС Тпкм-с ОшоешсяиюяВЛЯЖИиСТЬ,"'» 1" король нарастдо« Категория iKiMt.iiv.-i6B! по ГОСТ 26.205 (г^тата) 04 +5 О г 5 до 95 без конденсации ьлаг.1 20 Обогреваемые или охлаждаемые помешан я С4 -30 От 5 до 100 кочдепсзции 1 язи' 10 Под коышей или г ;.ц>ыты'/поглгшр-т' ЭлектроснабжениеОсновное электропитание шкафов автоматики и фронтальных контроллеров распределенных АСУ ТП осуществляется от сети переменного тока 1 категории напряжением -220В +22/-ЗЗВ, частотой 50 Гц и от ЩПТ (щит постоянного тока) напряжением постоянного тока =220В +22/-ЗЗВ (резервное питание).Для защиты от провалов входного напряжения и нарушения работоспособности питаемого электронного оборудования, основное электропитание локальных и фронтальных контроллеров дублируется от резервного источника питания постоянного тока напряжением =220 В (аккумуляторная батарея).Для управления ЭПУУ кранов к шкафам автоматики подается питание напряжением постоянного тока =220 В от щита постоянного тока (ЩПТ).Питание датчиков, подключаемых к шкафам автоматики, осуществляется от источников постоянного тока напряжением =24 В этих шкафов.Для бесперебойного питания автоматизированного рабочего места сменного инженера (основного и резервного АРМ СИ) применяется источник бесперебойного питания (ИБП) без обслуживания батарейного питания, работающий от цепей переменного тока -220В и внешней аккумуляторной батареи =220 В.Питание оперативным током вторичных цепей шкафного оборудования ПТК «ПХВ-1» осуществляется через автоматические выключатели с защитой по току.Устройства релейной защиты, автоматики и управления ответственных элементов имеют постоянно действующий контроль состояния цепей питания -220В и =220В.Источник питания (ИП) типа «W» (фирма Melcher), мощностью не менее 125 Вт и преобразователи DC/DC типа «ИРБИС», мощностью 25 Вт, применяемые в ПТК «ПХВ-1», удовлетворяют следующим основным требованиям: диапазон входных напряжений: -220В +22/-ЗЗВ; =220В +22/-ЗЗВ (универсальный вход); выходное напряжение: +5В, +12В, +24В; PI-фильтр на входе и выходе; мощность не менее 30 Вт; пульсации на выходе ИП не более 100 мВ; работа в резервном режиме; индикация питания; гальваническая развязка входа/выхода; установка выходного напряжения; возможность работы без нагрузки, защита от короткого замыкания, перенапряжения на выходе и перегрева; рабочая температура окружающей среды (25.. .60) °С . Схема электропитания шкафов автоматики ПТК «ПХВ-1» является распределенной, с резервированием. Типовая схема распределения электропитания в ПТК «ПХВ-1» представлена на Рисунок 3.1. ШКАФ А В Г О М А ТИКИ -220В 1   ...   17   18   19   20   21   22   23   24   25

/ / Чтение одного 32-х разрядного регистра устройства / / Параметры:// devNum - номер устройства на шине MODBUS// startAddr - начальный адрес регистра устройства// value - считанное из устройства значениеint ReadRegister32(unsigned char devNum, unsigned long startAddr, unsignedlong *value) {register int res; unsigned char *dataPtr; unsigned long nCount;unsigned short *ptr = (unsigned short *)GetDataPtr(); *ptr = EndianSwap(startAddr); *(ptr+l) = 0x0200;if ((res = SendDataToDevice(devNum,0x03,4))!=SUCCESSFUL) return res; if ((res = GetDataFromDevice(devNum,SdataPtr,SnCount))!=SUCCESSFUL) returnres;ptr = (unsigned short *)(dataPtr+3); if (*(dataPtr+2)!=4) return READ_ERROR; *ptr = EndianSwap(*ptr); *(ptr+l) = EndianSwap(*(ptr+1)); *value = *((unsigned long*)ptr); return res;}// Чтение одного 16-ти разрядного регистра устройства / / Параметры:// devNum - номер устройства на шине MODBUS// startAddr - начальный адрес регистра устройства// value - считанное из устройства значениеint ReadRegisterl6(unsigned char devNum, unsigned long startAddr, unsignedshort *value) {register int res; unsigned char *dataPtr; unsigned long nCount;unsigned short *ptr = (unsigned short *)GetDataPtr(); *ptr = EndianSwap(startAddr); *(ptr+1) = 0x0100;if ((res = SendDataToDevice(devNum,0x03,4))!=SUCCESSFUL) return res; if ((res = GetDataFromDevice(devNum,SdataPtr,SnCount))!=SUCCESSFUL) returnres;ptr = (unsigned short *)(dataPtr+3); if (*(dataPtr+2)!=2) return READ_ERROR; *value = EndianSwap(*ptr); return res;}/ / При записи используются все те же параметры что и при чтенииint WriteRegisters(unsigned char devNum, unsigned long startAddr, unsigned long count,unsigned short *data,unsigned long *regStart, unsigned long *nRegs){register int res;unsigned char *dataPtr = GetDataPtr(); unsigned long nCount; unsigned char byteCount;unsigned short *ptr = (unsigned short *)dataPtr;*ptr = EndianSwap(startAddr);*(ptr+l) = EndianSwap(count);byteCount = (count&OxFF) *(dataPtr+4) = byteCount;ptr = (unsigned short *) (dataPtr+5);memcpy (ptr, data, counted) ;if ((res = SendDataToDevice(devNum,0x10,5 + byteCount))!=SUCCESSFUL) return res;if ((res = GetDataFromDevice(devNum,SdataPtr,SnCount))!=SUCCESSFUL) returnres;ptr = (unsigned short *)(dataPtr+2); *regStart = EndianSwap(*ptr); "nRegs = EndianSwap(*(ptr+1)); return res;}int WriteRegisterl6(unsigned char devNum, unsigned long startAddr, unsignedshort value) {register int res;unsigned char *dataPtr = GetDataPtr(); unsigned long nCount; unsigned char byteCount;unsigned short *ptr = (unsigned short *)dataPtr;*ptr = EndianSwap(startAddr);*(ptr+1) = 0x0200;byteCount = 2;*(dataPtr+4) = byteCount;ptr = (unsigned short *)(dataPtr+5);*ptr = EndianSwap(value);if ((res = SendDataToDevice(devNum,0x10,5 + byteCount))!=SUCCESSFUL) return res;if ((res = GetDataFromDevice(devNum, SdataPtr, SnCount)) !=SUCCESSFUL) returnres;return res;}int WriteRegisters32(unsigned char devNum, unsigned long startAddr, unsigned long count,unsigned long *data,unsigned long *regStart, unsigned long *nRegs){register int res;unsigned char *dataPtr = GetDataPtr(); unsigned long nCount; unsigned char byteCount;unsigned short *ptr = (unsigned short *)dataPtr;*ptr = EndianSwap(startAddr);* (ptr+1) = EndianSwap (counted) ;byteCount = ((count<*(dataPtr+4) = byteCount;ptr = (unsigned short *)(dataPtr+5);memcpy(ptr,data, count<<2) ;if ((res = SendDataToDevice(devNum,0x10,5 + byteCount))!=SUCCESSFUL) return res;if ((res = GetDataFromDevice(devNum, SdataPtr,SnCount))!=SUCCESSFUL) returnres;ptr = (unsigned short *)(dataPtr+2); *regStart = EndianSwap(*ptr); *nRegs = EndianSwap(*(ptr+1)); return res;}int WriteRegister32(unsigned char devNum, unsigned long startAddr, unsignedlong value) {register int res;unsigned char *dataPtr = GetDataPtr(); unsigned long nCount; unsigned char byteCount;unsigned short *ptr = (unsigned short *)dataPtr;*ptr = EndianSwap(startAddr);*(ptr+1) = 0x0200;byteCount = 4;*(dataPtr+4) = byteCount;ptr = (unsigned short *)(dataPtr+5);*ptr = EndianSwap((unsigned short)(value & OxFFFF)); *(ptr+l) = EndianSwap((unsigned short)(value>>l6));if ((res = SendDataToDevice(devNum,0x10,5 + byteCount))!=SUCCESSFUL) return res;if ((res = GetDataFromDevice(devNum,SdataPtr,&nCount))!=SUCCESSFUL) retres;return res;}//********** Возвращает ответ устройства в миллисекундах ******************** //***************************************************************************long GetResponseTime(){ return _mod_responseTime;}/у***************************************************************************jу**************** Вывод сообщения об ошибке ******************************** //***************************************************************************void _mod_PrintError(int err) {printf("*** MODBUS ERROR %d ***: ",err); switch(err){ 04200911472 Дерябин Александр Вячеславович 1Защита информации в телекоммуникациях АСУ ТП химической промышленности 11 УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И УЯЗВИМОСТИ АСУ ТП 91.1 Телекоммуникации АСУ ТП 91.1.1 Типовая структура АСУ ТП 9¡1]]]]]] 1ЕШ ШШ В11 36Il i 462 ЗАЩИТА ИНФОРМАЦИИ В АСУ ТП 63i 398А=я2/я, 1 ... ык (43Л) 543А = — ■ А ; А = — ■■ АА, =—■ А 576А = " А ^ А = " А ^ ■ ■ ■ ^ А = " А 577М1 = --М»>М2 = --М»>-'>Мп-, = —-А 579к. т, 843Акт внедрения 843 printf("undefined error"); break; }ПРИЛОЖЕНИЕ S Экранный снимок программы MUDBUS MAS'Г1-К icrosoft Windows XP [Версия 5.1.2600 CO Корпорация Майкрософт, 1985-2001.C:\Docui4ents and SettingsSAnMHMHCTpaTop>cd..C:\DocUMonts and Settings)cd..С: \ )no dbus пав t e r. e xemodbusmaster uZ.lusage : mo dbus piaster [options] [long options] long options:COM port options:—con [port],[baudrate],[format 3,[flow][port] - port папе _ в XI- <9600 - by default)[baudrate] — set con port baudrat e [format] - data format In special form: [XHPHS], i.e. 8N1where [X] — number bits of data [5..81 <8 — by default>[PI - parity type: (N, E[S3 - number of stop bits [1,23 <1 - by default>[flow] — flow control: [none, soft, hard, both3 (none — by default)[flow]MODBUS options: —node—node - device number [0..2473 —function - select HODBUS function—rag — register index that must be read or write—data - data string that would transmit to register—byte - set byte numltar in message which point to a number—items - count of items to read—scan - perform a full MODBUS net scan for any devices —listen - listen COM port short options:-d - enable COM port debug mode, data type visualization:[dec,bin,hex.oct,float] -c automatic calculation CRC of the BflU data-r - read one register of the device according the following format: b - print data as BIN - print data as OCT h - print data as HEX f — print data as float c - print data as set of chars print data as DEC by default —w - write register32 write data to 32 bit register 16 - write data to 16 bit register raw - write raw data to port -e — endiari type:b - use in register operation big endians - use in register operation little endians if both parameters are set use half big endians {only2 numbers) enable ASCII mode Cnot fully supported ) print device response tine listen COM port verbos eПРИЛОЖЕНИЕ 9 АКТЫ ВНЕДРЕНИЯ«Утверждаю» Генеральный директор ООО «ПСВ-Холдинг»//7 Д. Ю. Пунин АКТ ВНЕДРЕНИЯРезультаты исследований, полученные Дерябиным A.B. при выполнении диссертационной работы, в частности:Методики и рекомендации по обеспечению информационной безопасности каналов связи в АСУТП, а также рекомендации по выбору программных и аппаратных средств для проектирования автоматизированной системы управления технологическими процессами, соответствующих стандартам и требованиям по безопасности в химической промышленности.внедрены в 2008-2009 году на нашем новом производственном предприятии в г.Электросталь, Московской области - в АСУТП комплекса по производству поливииилхлорида и бумвинила.Методики и рекомендации позволили существенно облегчить работу проектировщиков при выборе методов и средств защиты информации. Методики позволили повысить защищенность информации и телекоммуникаций в АСУТП предприятия. Выработанные методики позволили снизить количество сбоев в технологическом процессе из-за искажения или потери информации, что положительно сказалось на качестве выпускаемой продукции . СЛохиов М. В. Семенов А. А . •и АКТ ВНЕДРЕНИЯРезультаты, полученные Дерябиным A.B. при выполнении диссертационной работы, в частности: Методики защиты телекоммуникаций АСУТП верхнего и нижнего уровней; Рекомендации по обеспечению защиты проводных и беспроводных каналов связи АСУТП и SCADA-систем; внедрены на объектах проектируемых и обслуживаемых нашим предприятием в 2008 году и будут внедряться в дальнейшем. Сергеев М. А. Главный инженер: Руководитель проектной группы: Методики показали высокую эффективность и позволили существенным образом увеличить защищенность передаваемой информации и всей системы в целом . к. т, Акт внедренияРезультаты, полученные Дерябиным A.B. при выполнении диссертационной работы, в частности: Методики применения различных способов защиты информации от несанкционированного доступа в АСУТП; Рекомендации по защите телекоммуникационных и компьютерных сетей; внедрены на нашем предприятии в 2008-2009гг. Они нашли практическое применение при обмене информацией с нашими филиалами в гг. Иваново, Санкт-Петербург, Омске и т.п. Сирко С. Э.Указанные методики хороши тем, что при сравнительно небольших затратах обеспечивают высокую эффективность и не требуют специальной подготовки нашего персонала. Начальник отдела- Смушко О.Л.Начальник лаборатории (т) /* 192 1>8>9600>1   ...   17   18   19   20   21   22   23   24   25



Основное назначение супервизора питания (монитора напряжения пи­тания) - обеспечение установки в исходное состояние, перезапуска микро­процессорных или других логических систем при пониженном напряжении во время включения питания, либо после перебоев подачи питания или не­санкционированного отключения питания такой системы. Супервизор не только обнаруживает снижение напряжения питания ниже допустимого уровня Упорог , но и вырабатывает сигнал системного сброса микроконтрол­лера RST с фиксированной задержкой (порядка 50 мс для гарантии приведе­ния схем в исходное состояние) после восстановления питания.


Сторожевой таймер (Watch Dog Timer) представляет собой независи­мый встроенный генератор, не требующий никаких внешних цепей. Он рабо­тает, даже если основной тактовый генератор остановлен. Если сторожевой таймер не сбрасывать, то по истечении заданной выдержки времени (обычно от 20 мс до 2 с) он вырабатывает сигнал системного сброса микроконтролле­ра, и таким образом автоматически перезапускает программу. Микрокон­троллеры всегда работают по циклическим программам, с обычным перио­дом от 0,1 мс до 1 с, и по программе регулярно обнуляют сторожевой таймер. Поэтому выработка сторожевым таймером сигнала системного сброса явля­ется аварийной ситуацией, свидетельствующей о сбое исполнения програм­мы.V



1   2   3   4   5   6   7   8   9   ...   25

Время задержки при включении


Упоро

Упит.





- ►


«


То же время задержки



RST

Рисунок 2.5 - Принцип работы супервизора питания

Интеллектуальные датчики потребляют мало энергии, поэтому неслож­но организовать питание по информационной линии (например, удалённые датчики температуры DS1820 с однопроводным интерфейсом MicroLAN [19]) или резервное батарейное питание.

Из всего оборудования АСУ ТП интеллектуальные датчики наиболее подвержены воздействию окружающей среды, так как должны располагаться вместе с первичным преобразователем непосредственно на объекте управле­ния. На интеллектуальный датчик могут воздействовать экстремальные тем­пературы, вибрация, агрессивные газы и жидкости, взрывоопасные смеси. Поэтому должна использоваться электроника промышленного исполнения с диапазоном рабочих температур не менее (-40...+85) °С; низкое напряжение питания, желательно не более 1,8 В, для облегчения выполнения требований искробезопасности. Корпуса для интеллектуальных датчиков должны быть антивандальными, а также иметь защиту от пыли и воды (для применения во взрывоопасных зонах согласно главе 7.2 ПУЭ - не ниже IP54).

Все вышеперечисленные средства применяются де факто в новых про­мышленных интеллектуальных датчиках [18]. Например, датчики давления ПД-1ЦМ и температуры ТЦ-1М (ЗАО «НПП «Автоматика», г. Владимир)

,

датчик давления МРМ4760 (MicroSensor, Китай), dTRANS р02 (JUMO, Гер­мания), и другие.

  1. Безопасность программного обеспечения датчиков

Разработчики приборов стремятся использовать все возможности мик­ропроцессорной техники, в частности возможность модернизации программ­ного обеспечения в процессе эксплуатации. Это стало возможно с появлени­ем и широким распространением микроконтроллеров, программируемых в системе, и микроконтроллеров, способных производить запись в собствен­ную память программ. Раньше микроконтроллер можно было перепрограм­мировать, только изъяв его из системы, в специальном программаторе. В микроконтроллере отсутствовали команды записи в память программ, как говорится, по определению.

Обновление программного обеспечения микроконтроллера может про­изводиться как с помощью местного компьютера, так и через интернет. Наи­более удобным и наиболее опасным как для потребителя, так и для произво­дителя, является размещение обновлённых программ на сайте производите­ля. В этом случае достоверность и целостность программ подвержены наи­большему риску.

  1. Безопасность при обмене информацией

Проблема безопасности обмена информацией между интеллектуальны­ми датчиками и системой верхнего уровня менее проработана.

При обмене информацией между интеллектуальными датчиками и сис­темой верхнего уровня используются только физический уровень, уровень передачи данных и прикладной уровень семиуровневой модели взаимодейст­вия открытых систем (OSI).

• Физический уровень (Physical Layer) обеспечивает необходимые механические, функциональные и электрические характеристики для установления, поддержания и размыкания физического соединения.

  • Уровень передачи данных (Data Link Layer) гарантирует передачу данных между устройствами. Этот уровень управляет не только сетевым доступом, но также механизмами защиты и восстановления данных в случае ошибок при передаче.

  • Прикладной уровень (Application Layer Inferface) обеспечивает непосредственную поддержку прикладных процессов и программ конечного пользователя и управление взаимодействием этих программ с различными объектами сети передачи данных.

Все другие уровни, как правило, избыточны. Перечисленных уровней достаточно в силу ограниченной длины посылок и фиксированной топологии сети датчиков. Защита нижнего (физического) уровня, заключающаяся в про­верке чётности при передаче байта, не используется, так как имеется защита на уровне передачи данных. На уровне передачи данных контролируются функции (команды) на допустимость, длина посылки и контрольная сумма после передачи каждого кадра информации перед использованием этой ин­формации. Метод контроля корректности передаваемых данных основан на получении подтверждения (квитирования) получения сообщения. Ведущий также контролирует время до прихода ответа ведомого (тайм-аут), чтобы об­наружить отказы ведомого или соединений локальной сети. Ведомый пере­водит свои выходы в режим ожидания, если время до прихода очередного за­проса превысит допустимый тайм-аут.

В защищённых профилях (например, FailSafe-профиль Profibus) функ­ции обеспечения безопасности реализуются на программном уровне, распо­ложенном выше 7 уровня модели OSI. Контроль корректности расширен за счёт удлинения кадров, но это существенно снижает пропускную способ­ность канала. Для преимущественно коротких сообщений лучше обратить внимание на более защищённую среду передачи — экранированный кабель, коаксиальный кабель или оптоволокно.

Многие «внутренние», закрытые протоколы, например, протоколы ОВЕН, МЗТА, МЕТАКОН не получили распространения за пределами сетей

приборов соответствующих фирм-производителей (Овен, МЗТА, КонтрАвт) в частности и потому, что для упрощения и ускорения обмена не все элемен­ты защиты предоставляют.

В настоящее время в химической промышленности чаще всего исполь­зуются промышленные локальные сети Modbus RTU/ASCII и Profibus DP/PA, входящие в семейство «полевых шин» (fieldbus) и работающие по принципу доступа к единой шине: «один ведущий, а остальные узлы сети — ведомые» (централизованное управление). В некоторых других «полевых шинах»: Profibus FMS, CANopen, DeviceNet, - любой узел может быть ведущим (де­централизованное управление). Каждый принцип имеет преимущества и не­достатки. Сравним эти сети с точки зрения обеспечения информационной безопасности.

Modbus RTU/ASCII и Profibus DP на физическом уровне используют интерфейс RS-485 на скоростях до 115,2 Кбит/с и 12 Мбит/с, соответственно. Кадры посылок иллюстрируют Рисунок 2.6 и Рисунок 2.7.

адрес приёмника (ведомого устройства)
номер функции
данные
контрольная сумма
разделитель сообщений

1 байт
1 байт
до 253 байт
2 байта
пауза >3,5 байт


Рисунок 2.6 - Кадр посылки Modbus RTU



стартовый разделитель
адрес при­ёмника
адрес пере­датчика
номер функции
данные
контрольная сумма
столовый разделитель

1 байт
1 байт
1 байт
1 байт
до 244 байт
2 байта
1 байт
1   2   3   4   5   6   7   8   9   ...   25


Рисунок 2.7 - Кадр посылки Profibus




Поля «данные» - это полезная информация; «адрес», «номер функции», «разделитель сообщений» - это служебная информация; «контрольная сум­ма» - это программная защита.

Вмешаться в сеть с одним ведущим электрически возможно, достаточ­но подключиться к паре проводов локальной сети в любом месте. Но при этом явно нарушается протокол — возникает второй ведущий. Наложение сигналов запроса дополнительного ведущего на периодический запрос штат­ного ведущего приведёт к сбою процедуры обмена, и такая посылка не прой­дёт. Если запрос дополнительного ведущего и ответ пройдут в промежутке между процедурами обмена штатного ведущего, то эти посылки будут при­няты и штатным ведущим. В этом случае необходимо предусмотреть соот­ветствующую реакцию штатного ведущего на вмешательство в сеть! Так как в самом протоколе локальной сети не предусмотрено мер, кроме занесения возникшей ситуации в счётчик сбоев обмена.

Вмешаться в сеть со многими ведущим проще, так как при этом даже не нарушается протокол. Возникновение и разрешение конфликтов при за­хвате магистрали — нормальная процедура для такой сети. Поэтому уязви­мость такой сети значительно выше [20]. Конечно, есть способ борьбы с вмешательством в сеть со многими ведущими. Он заключается в фиксации числа и адресов штатных узлов в конкретной сети. Так рекомендуют делать, например, в АСУТП атомных станций [21]. Однако такое решение лишает систему гибкости и требует вмешательства квалифицированного программи­ста на уровне операционной системы.

Централизованный доступ по сравнению с децентрализованным обес­печивает больший уровень безопасности, поэтому, в частности, подавляющее большинство промышленных сетей построены по принципу централизован­ного доступа [22].

Ограничение доступа к локальной сети возлагается на 8САОА-систему, собирающую информацию с датчиков, и на операционную систему, в кото­рой функционирует БСАБА-система. Типовая 8САБА-система для этого обеспечивает:

  • Разграничение прав доступа пользователей и защиту паролями.

  • Удаленную перезагрузку ведомых узлов сети.

  • Исполнение функций сторожевого таймера.

  • Автоматическое тестирование коммуникаций, обнаружение ошибок.

  • Выдачу информации об ошибках коммуникации.

  • Восстановление исходных настроек параметров ведомых узлов и ком­муникаций.

Полный перечень защитных механизмов 8САЭА-систем приводится в Приложении 2. Из этого перечня видно, что универсальные 8САХ)А-системы имеют полный набор средств защиты, которые можно задействовать в нуж­ной комбинации для конкретного применения.

Многие «внутренние» БСАОА-системы, например, фирм КонтрАвт, ОВЕН, МЗТА не получили распространения за пределами сетей приборов соответствующих фирм-производителей из-за несовместимости с оборудова­нием и программами других фирм и неполного набора средств защиты. 2.3 Рекомендации по выбору интеллектуальных датчиков, и локальных

сетей для них

В данной главе рассмотрены проблемы обеспечения информационной безопасности на нижнем уровне АСУ ТП в связи с применением интеллекту­альных датчиков. На основании анализа продукции многих производителей можно сделать выводы, которые полезны не только проектировщикам АСУ ТП, но и разработчикам интеллектуальных датчиков.

Для защиты информации в АСУ ТП следует обращать внимание на вы­полнение следующих требований к интеллектуальным датчикам:

  • наличие функций внутренней самодиагностики датчиков, что упрощает техническое обслуживание;

  • избыточность измерений и кодирования, позволяющая обнаруживать и даже исправлять наиболее вероятные ошибки;

  • высокоскоростная и исключительно цифровая связь с использованием «полевых шин»;

  • разграничение прав доступа пользователей и наличие паролей доступа к ответственным операциям как с пульта, так и со стороны локальной сети;

  • наличие функции восстановления заводских настроек гарантирует быстрое восстановление работоспособности датчика даже при грубых ошибках пользователя;

  • наличие супервизора питания обеспечивает надёжную работу аппаратуры при сбоях питания, скачках напряжения и воздействии электромагнитных излучений обеспечит и сторожевого таймера защиту от сбоев программного обеспечения;

  • использование электроники промышленного исполнения с широким диапазоном рабочих температур, низким напряжением питания, желательно не более 1,8 В, для облегчения выполнения требований искробезопасности;

  • антивандальный корпус с защитой от пыли и воды не ниже 1Р54 для применения во взрывоопасных зонах согласно главе 7.2 ПУЭ;

  • питание по кабелю локальной сети или по информационной линии, возможно с резервным батарейным питанием;

При выборе промышленной локальной сети для АСУ ТП важен набор критериев, по которым можно сделать осмысленный выбор того или иного протокола [23]:

  • Централизованный доступ: сеть должна быть с одним «ведущим», что обеспечит больший уровень безопасности.

  • Контроль корректности передаваемых данных: проверка допустимости команд, длины посылок, контрольных сумм, квитирование сообщений и т. п.

  • Открытость: прежде всего, отсутствие лицензионной платы за использование протокола в своих разработках.

  • Информативность: насколько доступны спецификации протоколов и стандарты, на которые опираются эти протоколы.

  • Перспективность: насколько тот или иной протокол допускает возмож­ность развития и как он приспосабливается под нужды потребителей.

  • Информационная поддержка в стране: документация на русском языке, ассоциации пользователей, в которой можно получить исчерпывающие отве­ты на вопросы.

Первые два критерия, к сожалению, не присутствуют среди критериев оценки сетей, приведённых в [23].

Возможность применения Интернета для управления технологически­ми процессами пока под большим вопросом [24]. Есть, по крайней мере, две причины, которые препятствуют этому.

Во-первых, хакеры.

Во-вторых, для систем управления технологическими процессами важ­но гарантированное время доставки управляющих воздействий, а Интернет не гарантирует время доставки.

2.4 Разработка методики создания систем защиты информации в

АСУ ТП

Поскольку с каждым годом вопросы обеспечения информационной безопасности АСУ ТП приобретают всё большее значение, рассмотрим мето­дологию создания систем защиты АСУ ТП.

АСУ ТП отличается от других систем управления прежде всего тем, что осуществляет воздействие на объект в том же темпе, что и протекающие в нём технологические процессы, а технические средства АСУ ТП участвуют в выработке решений по управлению. Первая особенность требует примене­ния в АСУ ТП телекоммуникаций с гарантированным временем доставки, вторая — интеллектуализации всех компонентов от датчиков до исполнитель­ных механизмов.

В иерархической многоуровневой архитектуре современной АСУ ТП нижний уровень характеризуется большим количеством (сотни) и разнообра­зием технических средств, которые различаются также информационным, математическим и программным обеспечением.

Смотрите также файлы