Файл: Диссертация на соискание ученой степени кандидата технических наук Владимирский государственный университет.doc

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Диссертация

Дисциплина: Не указана

Добавлен: 11.01.2024

Просмотров: 343

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

04200911472 Дерябин Александр Вячеславович Защита информации в телекоммуникациях АСУ ТП химической промышленностиСпециальность 05.12.13. - Системы, сети и устройства телекоммуникацийДиссертация на соискание ученой степени кандидата технических наук Владимирский государственный университетНаучный руководитель: Доктор технических наук, профессор Галкин А.П.Владимир - 200 9ОГЛАВЛЕНИЕ 04200911472 Дерябин Александр Вячеславович 1Защита информации в телекоммуникациях АСУ ТП химической промышленности 11 УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И УЯЗВИМОСТИ АСУ ТП 91.1 Телекоммуникации АСУ ТП 91.1.1 Типовая структура АСУ ТП 9¡1]]]]]] 1ЕШ ШШ В11 36Il i 462 ЗАЩИТА ИНФОРМАЦИИ В АСУ ТП 63i 398А=я2/я, 1 ... ык (43Л) 543А = — ■ А ; А = — ■■ АА, =—■ А 576А = " А ^ А = " А ^ ■ ■ ■ ^ А = " А 577М1 = --М»>М2 = --М»>-'>Мп-, = —-А 579к. т, 843Акт внедрения 843 ВВЕДЕНИЕАктуальность работы связана с широким использованием телекомму­никаций в автоматизированных системах управления технологическими про­цессами (АСУ ТП) и высоким уровнем опасности искажения или потери ин­формации. Готовность организаций и предприятий, разрабатывающих и экс­плуатирующих АСУ ТП, выполнять анализ их надёжности и безопасности является обязательным условием государственной и международной серти­фикации. Однако большинство систем управления технологическими про­цессами малой и средней сложности чаще всего проектируются малыми ор­ганизациями в условиях жёстких финансовых и кадровых ограничений. И в силу этого вопросами информационной безопасности (ИБ) не занимаются вообще.Если в атомной промышленности и энергетике последствия нарушения безопасности, в том числе информационной, могут быть масштабными и ка­тастрофическими, то масштаб ущерба в АСУ ТП химической^ промышленно­сти далеко не всегда так очевиден и велик. Размер ущерба и его характер оп­ределяется, прежде всего, самим технологическим процессом. При систем­ном подходе необходимо рассматривать систему управления во взаимосвязи и взаимовлиянии не только с объектом управления (в данном случае - техно­логическим процессом), но и с источниками энергии, и с окружающей сре­дой. В химической промышленности влияние на окружающую среду должно всегда подвергаться тщательному анализу не только в аварийном, но и в нормальном режиме работы АСУ ТП. Нарушение экологии может быть вы­звано не только утечками и технологическими выбросами вредных веществ, но и, например, изменением температуры воды в водоёме при сбросе в него технологической воды, забранной из артезианской скважины для охлаждения процесса.Обеспечить ИБ АСУ ТП на достаточно высоком уровне, при постоянно растущем уровне информатизации и постоянно увеличивающемся количест­ве угроз, уже невозможно только комплексом внешних мер защиты. Автор2предлагает такой подход к обеспечению ИБ АСУ ТП, когда внешнюю за­щитную оболочку будет создавать комплексная система ИБ (включая систе­мы мониторинга и управления информационной безопасностью, интегриро­ванные с системами мониторинга и управления^ защищаемой системы), а внутренние барьеры образуют встроенные механизмы защиты программных и технических компонентов АСУ ТП. Такой подход можно назвать систем­ным.Обойти внешнюю защиту можно, внутреннюю — гораздо сложнее. По­этому автор обращает особое внимание на преимущества разработки и при­менения программных и аппаратурных средств АСУ ТП, имеющих встроен­ные механизмы защиты, которыми пользователь может управлять для созда­ния требуемой пропорции- механизмов- защиты в системе защиты информа­ции (СЗИ).Средства телекоммуникаций в АСУ ТП — это многообразие аппаратуры и программного обеспечения, которые должны иметь внутренние механизмы собственной безопасности. Поэтому от производителей технических средств и программного обеспечения АСУ ТП требуется разработка инструментов обеспечения безопасности своих продуктов.Цель диссертационной работы - обоснование методов и разработка ме­тодик и алгоритмов обеспечения информационной безопасности и оценки информационной защищённости телекоммуникаций нижнего уровня АСУ ТП в химической промышленности.Для достижения указанной цели в диссертации сформулированы, и ре­шены следующие научные и технические задачи: Исследованы типичные АСУТП в химической промышленности, ЗСАОА-системы, интеллектуальные датчики и телекоммуникации. Выявлены угрозы ИБ, уязвимости СЗИ, особенности обеспечения ИБ АСУ ТП в химической промышленности. Разработаны принципы выбора локальных сетей, БСАОА-систем, ин­теллектуальных датчиков и рекомендации по обеспечению ИБ оборудования и телекоммуникаций нижнего уровня АСУ ТП в химической промышленно­сти. Разработаны алгоритмы защиты от НСД в сетях нижнего уровня АСУ ТП. Экспериментальным исследованием доказана эффективность раз­работанных алгоритмов для повышения защищённости узлов сети. Исследована эффективность использования физической скорости пере­дачи в сетях нижнего уровня АСУ ТП при программных методах защиты. Предложен метод аппаратурно-программной имитации для исследова­ния СЗИ на базовом для исследуемой АСУ ТП программно-техническом комплексе (ПТК). Метод опробован при оценке СЗИ АСУ ТП «ПХВ-1», раз­работке и испытании рекомендаций по модернизации СЗИ. Разработана методика оценки защищённости АСУ ТП. Обоснован по­казатель качества СЗИ АСУ ТП - уменьшение общего ущерба, наносимого воздействием угроз. Разработана компьютерная программа для НСД в сеть МосИэиБ и*прове­дено экспериментальное исследование защищённости сети, датчиков и 8САОА-системы. Методы исследования. В диссертации научные исследования основа­ны на методах математического моделирования, математической статистики, экспертных оценок при широком использовании программно- математического инструментария.Основные теоретические результаты проверены в конкретных системах и с помощью моделирующих программ на компьютерах, а также в ходе ис­пытаний и эксплуатации информационных сетей АСУ ТП.Научная новизна диссертационной работы. Проведён анализ и систематизация типичных структур АСУ ТП в хи­мической промышленности, БСАОА-систем, интеллектуальных датчиков и телекоммуникаций. Выявлены угрозы ИБ, уязвимости СЗИ, особенности обеспечения ИБ АСУ ТП в химической промышленности. Предложено создавать и использовать встроенные механизмы защиты оборудования и телекоммуникаций АСУ ТП в сочетании с комплексом внешних мер защиты. На основе такого системного подхода разработана ме­тодика создания СЗИ в АСУ ТП. Разработаны алгоритмы защиты от НСД в сетях нижнего уровня АСУ ТП. Проведён анализ и обоснован выбор показателя качества и методов оценки качества СЗИ в телекоммуникациях АСУ ТП. Разработана методика оценки качества СЗИ. Проведены экспериментальные исследования разработанных методик и алгоритмов на действующих АСУ ТП. Практическое значение диссертационной работы для разработчиков АСУ ТП и для эксплуатирующих предприятий заключается в облегчении за­дач выбора программных продуктов и технических средств с учётом ИБ, оценки информационной защищённости АСУ ТП с применением норматив­ной документации. Результаты работы полезны предприятиям, производя­щим аппаратуру и программное обеспечение для АСУ ТП.Акты внедрения результатов диссертационной работы представлены в Приложении 9.Диссертация состоит из введения, четырёх глав, заключения и прило­жений.В первой главе выявлены угрозы информационной безопасности и уязвимости АСУ ТП. Проведен анализ типичных АСУ ТП в химической от­расли, ЗСАОА-систем и локальных сетей с точки зрения обеспечения безо­пасности.Во второй главе рассмотрены особенности защиты информации в АСУ ТП химической промышленности, определены требования, к телеком­муникациям на всех уровнях иерархической структуры АСУ ТП. Выработа­ны рекомендации по выбору 8САГ>А-систем, аппаратуры и телекоммуника­ций нижнего уровня АСУ ТП. Разработана методика создания систем защиты информации в АСУ ТП химической промышленности.В третьей главе исследовано влияние программных мер защиты на эффективность использования физической скорости передачи в сетях МосИэиэ и РгоАЬш, при применении их на нижнем уровне АСУ ТП. С помощью раз­работанной автором программы проведена экспериментальная проверка за­щищённости телекоммуникаций нижнего уровня АСУ ТП от НСД. Разрабо­таны алгоритмы доступа к узлам сети со стороны пульта и со стороны сети, отличающиеся оптимальным сочетанием методов защиты от НСД и обеспе­чивающие быстрое обнаружение вторжения. Сравнительное эксперимен­тальное исследование нескольких устройств показало многократное (мини­мум в 5 раз) превосходство по защищённости узлов, в которых реализован разработанный автором алгоритм доступа. Проанализированы существую­щие механизмы защиты информации в АСУ ТП производства бумвинила «ПХВ-1» и выработаны рекомендации по модернизации СЗИ. Предложено применение программно-аппаратурных имитаторов на базе контроллеров ПТК для имитации нештатных ситуаций (сбоев, отказов, НСД), а также за­щитных мероприятий. Приведены результаты моделирования на имитаторах АСУ ТП «ПХВ-1» до и после введения дополнительных мер защиты инфор­мации.В четвёртой главе исследована нормативная база российских и меж­дународных стандартов и руководств по информационной безопасности те­лекоммуникаций АСУ ТП. Обоснован показатель качества, проведён обзор методов оценки качества СЗИ АСУ ТП. Разработана методика оценки защи­щённости АСУ ТП. Разработанная методика применена для оценки СЗИ АСУ ТП «ПХВ-1».В приложениях приведены различные вспомогательные и справочные материалы, а также акты внедрения.Основные положения диссертации опубликованы в следующих статьях: Дерябин, A.B. Компоненты и технологии видеонаблюдения /A.B. Дерябин // Современные проблемы экономикии новые технологии ис­следований: сб. науч.тр., ч.2 / Филиал ВЗФЭИ в г. Владимире. - Владимир, 2006.-С.17-21. Дерябин, A.B. Эффективность использования GSM канала в системах телекоммуникации АСУ ТП / A.B. Дерябин // Экономический журнал ВлГУ. - Владимир, 2006. - № 6. - С. 12-13. Дерябин, A.B. Угрозы информационной безопасности и уязвимости АСУ ТП / A.B. Дерябин, В.М. Дерябин // Проектирование и технология элек­тронных средств. - 2007. - № 1. - С. 47-51. Дерябин, A.B. Методология создания систем защиты АСУ ТП / A.B. Дерябин // Известия института инженерной физики. - 2008. - № 4. - С. 11-14. Дерябин, A.B. Обеспечение информационной безопасности ИС / A.B. Дерябин // Проектирование и технология электронных средств. — 2008. — № 3. - С. 7-10. Дерябин, A.B. Интеллектуализация датчиков и информационная безо­пасность / A.B. Дерябин, В.М. Дерябин // Известия института инженерной физики. - 2009. -№ 2. - С. 7-12. Дерябин, A.B. Применение алгоритма нечёткого вывода и нечёткой ло­гики в защите информации / А.П. Галкин, A.B. Дерябин, Аль- Муриш Мохаммед, Е.Г. Суслова // Известия института инженерной физики. — 2009.-№2.-С. 13-15. Дерябин, A.B. Комплексная или поэлементная защита? / A.B. Дерябин, В.М. Дерябин, Тахаан Осама // Перспективные технологии в средствах пере­дачи информации - ПТСПИ-2009: материалы VIII международной научно- технической конференции. - Владимир: Изд-во ВлГУ, 2009. - С. 188. 1 УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И УЯЗВИМОСТИ АСУ ТП 1.1 Телекоммуникации АСУ ТПАвтоматизированная система управления технологическим процессом (АСУ ТП) — комплекс программных и технических средств, предназначен­ный для автоматизации управления технологическим оборудованием на предприятиях. Под АСУ ТП обычно понимается комплексное решение, обес­печивающее автоматизацию основных технологических операций на произ­водстве в целом или каком-то его участке, выпускающем относительно за­вершенный продукт.В английской литературе для обозначения АСУ ТП обычно использу­ется термины Process Control Systems или реже Automatic Control Systems (последнее определение, на взгляд автора, несколько абстрактно, так как не указывает на конкретное предназначение системы управления).Здесь важно сделать акцент на слове «автоматизированная». Под этим подразумевается, что система управления отнюдь не полностью автономна (самостоятельна), и требуется участие человека (оператора) для реализации определенных задач. Выражение «пустил и забыл» для таких систем не под­ходит. Напротив, системы автоматического управления (САУ) предназначе­ны для работы без какого-либо контроля со стороны человека и полностью автономны. Очень важно понимать эту принципиальную разницу между АСУ и САУ. 1.1.1 Типовая структура АСУ ТПВ большинстве современных автоматизированных систем управления технологическими процессами (АСУ ТП) можно выделить три уровня. На нижнем уровне располагаются аппаратные средства — датчики, исполнитель­ные механизмы, управляющие контроллеры. На среднем уровне находятся групповые контроллеры, устройства сопряжения с объектами. Верхний уро ­вень реализуется на персональных компьютерах, где с помощью специаль­ных пакетов (БСАБА систем) реализуется интерфейс с оператором- технологом, выполняющим супервизорное управление технологическим процессом.Пример трёхуровневой системы управления сложным технологическим процессом показывает Рисунок 1.1. Количество контролируемых параметров в таких системах измеряется сотнями, управляемых параметров — десятками.Сеть верхнего уровня (АСУ предприятия)Ж Рабочие станции XX Сеть среднего уровня (йеИБиэ) Групповые контроллеры Сеть среднего уровня (йеЫЬиг) гШ 1ЯГЖ т ЖЛокальные контроллеры ТПШГСеть нижнего уровня (<1еу1сеЬиз) 44Ш 4 4 Исполнительные 1лех аншмыТехнологический процессРисунок 1.1- Типовая структура трёхуровневой АСУ ТПТехнологический процесс управляется с помощью исполнительных ме­ханизмов, а информация о параметрах технологического процесса снимается с помощью датчиков. Ввод информации о параметрах, вычисление управ­ляющих воздействий и их выдача на исполнительные механизмы осуществ­ляется локальными контроллерами ЛК или групповыми контроллерами ГК.Координация управления процессом осуществляется рабочими (оператор- Датчики1 0скими) станциями PC с помощью локальной сети. Количество PC определя­ется в зависимости от сложности процесса, но их всегда больше одной, так/как применяется дублирование для повышения надежности. В свою очередь, PC объединены как между собой, так и с другими абонентами цеха (предпри­ятия), с помощью локальной сети верхнего уровня типа Ethernet. Необходимо подбирать тип локальной сети и её параметры под конкретные требования: гарантированное время доставки; скорость передачи; объём пакетов; количе­ство аппаратно реализованных функций в контроллерах сети и т.д.Устройства сопряжения с объектом (УСО) преобразуют управляющие коды, выдаваемые процессором контроллера, в сигналы управления испол­нительными механизмами (импульсные, дискретные, аналоговые), а сигналы датчиков преобразуют в коды для ввода в процессор. УСО располагаются внутри JIK или ГК. В последнее время имеется тенденция йнтеллектуализа-I iции датчиков, то есть размещение схем преобразования непосредственно в корпусе датчиков и передачи кодов в процессор по стандартному последова­тельному интерфейсу. 1.1.2 Классификация АСУ ТПВ зарубежной литературе можно встретить довольно интересную клас­сификацию АСУ ТП [1], в соответствие с которой все АСУ ТП делятся на три глобальных класса:• SCADA (Supervisory Control and Data Acquisition). На русский язык этот термин можно перевести как «система телемеханики», «система телеметрии» или «система диспетчерского управления»». На взгляд автора, последнее оп­ределение точнее всего отражает сущность и предназначение системы - кон­троль и мониторинг объектов с участием диспетчера. Тут необходимо неко­торое пояснение. Термин SCADA часто используется в более узком смысле: так называют программный пакет визуализации технологического процесса. Однако в данном разделе под словом SCADA мы будем понимать целый класс систем управления. PLC (Programmable Logic Controller). На русский язык переводится как «программируемый логический контроллер» (или сокращенно ПЛК). Тут, как и в предыдущем случае, есть двусмысленность. Под термином ПЛК час­то подразумевается аппаратный модуль для реализации алгоритмов автома­тизированного управления. Тем не менее, термин ПЛК имеет и более общее значение и часто используется для обозначения целого класса систем. DCS (Distributed Control System). По-русски: распределенная система управления (РСУ). Тут никакой путаницы нет, все однозначно. Справедливости ради надо отметить, что если в начале 90-х такая клас­сификация не вызывала споров, то сейчас многие эксперты считают ее весь­ма условной. Это связано с тем, что в последние годы внедряются гибридные системы, которые по ряду характерных признаков можно отнести как к од­ному классу, так и к другому.Автор предлагает не следовать делению АСУ ТП на SCADA, PLC и DCS, а рассматривать АСУ ТП в химической промышленности как распреде­ленные системы, в состав которых входят PLC и SCADA. 1.2 Угрозы информационной безопасности АСУ ТПРассмотрим наиболее распространенные угрозы [2], которым подвер­жены современные АСУ ТП. В отличие от других автоматизированных ин­формационных систем промышленные АСУ и АСУ ТП, особенно те, кото­рые используются для управления критической инфраструктурой государст­ва, имеют ряд особенностей, обусловленных их особым назначением, усло­виями эксплуатации, спецификой обрабатываемой в них информации и тре­бованиями, предъявляемыми к функционированию. Главной же особенно­стью этих систем является то, что с их помощью в автоматическом, либо ав­томатизированном режиме в реальном времени осуществляется управление физическими процессами и системами, от которых непосредственным обра­зом зависит наша безопасность и жизнедеятельность: электричество, связь, транспорт, финансы, системы жизнеобеспечения, атомное и химическое про­изводство и т.п. [3].Поэтому обеспечение информационной безопасности таких систем яв­ляется одной из важнейших задач разработчиков АСУ ТП.Промышленные системы прошли путь от простейших программных и аппаратных средств до современных систем, в которых используются стан­дартные компьютеры и серверы, операционные системы семейства Microsoft Windows, стандартные SCADA-системы, сетевые протоколы TCP/IP, Web- браузеры, доступ в Интернет. Множество угроз в отношении этих систем значительно расширилось благодаря такой стандартизации, а также благода­ря распространенной практике подключения промышленных систем к ло­кальным сетям предприятия и использованию в них технологий беспровод­ного доступа [4]. 1.2.1 Классификация угроз информационной безопасности АСУ ТПИметь представление о возможных угрозах, а также об уязвимых мес­тах, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности.Само понятие «угроза» в разных ситуациях зачастую трактуется по- разному. Например, для подчеркнуто открытой организации угроз конфи­денциальности может просто не существовать - вся информация считается общедоступной; однако в большинстве случаев нелегальный доступ пред­ставляется серьезной опасностью. Иными словами, угрозы, как и все в ин­формационной безопасности, зависят от интересов субъектов информацион­ных отношений, и от того, какой ущерб является для них неприемлемым.Отметим, что некоторые угрозы нельзя считать следствием каких-то ошибок или просчетов; они существуют в силу самой природы современных АСУ ТП [5]. Например, угроза отключения электричества или выхода его па­раметров за допустимые границы существует в силу зависимости аппаратно­го обеспечения АСУ ТП от качественного электропитания.Угрозы можно классифицировать по разным критериям [6]: по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую оче­редь; по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура); по способу осуществления (случайные, либо преднамеренные действия природного или техногенного характера); по расположению источника угроз (внутри, либо вне рассматриваемой АСУ ТП); по агенту угрозы (вредоносное ПО, пользователи и обслуживающий пер­сонал АСУ ТП, хакеры, террористы). В качестве основного мы будем рассматривать первый критерий (поVаспекту информационной безопасности), при необходимости привлекая ос­тальные.1.2.1.1 Наиболее распространенные угрозы доступности.Самыми частыми и самыми опасными, с точки зрения размера ущерба, являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих промышленные системы.Иногда такие ошибки и являются собственно угрозами: неправильно введенные данные или ошибка в программе, вызвавшая крах системы. Ино­гда они создают уязвимые места, которыми могут воспользоваться злоумыш­ленники - таковы обычно ошибки администрирования. По некоторым дан­ным, до 65 % потерь — следствие непреднамеренных ошибок.Остальные угрозы доступности классифицируем по компонентам АСУ ТП, на которые нацелены угрозы: отказ пользователей; внутренний отказ информационной системы; отказ поддерживающей инфраструктуры. Обычно применительно к пользователям рассматриваются следующие угрозы: нежелание работать с информационной системой (чаще всего бывает при необходимости осваивать новые возможности системы и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками); невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.); невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.). Главными источниками внутренних отказов системы являются: случайное или умышленное отступление от правил эксплуатации; выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.); ошибки при конфигурировании и администрировании системы; отказы программного и аппаратного обеспечения; разрушение данных; разрушение или повреждение аппаратуры. По отношению к поддерживающей инфраструктуре можно рассматри­вать следующие угрозы: случайное или умышленное нарушение работы систем связи (телекоммуникации), электропитания, водо- или теплоснабжения, кондиционирования; разрушение или повреждение помещений; невозможность или нежелание обслуживающего персонала или пользователей выполнять свои обязанности (беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.). Весьма опасны так называемые «обиженные» сотрудники — как ны­нешние, так и бывшие. Как правило, они стремятся нанести вред организа- ции-«обидчику», например: испортить оборудование; встроить логическую бомбу, которая со временем разрушит программы или данные; удалить данные. Опасны, разумеется, стихийные бедствия, пожары, наводнения, земле­трясения, ураганы. По статистике, на долю огня, воды и тому подобных фак­торов (среди которых самый опасный — перебой электропитания) приходится 13 % потерь, нанесенных промышленным системам.1.2.1.2 Основные угрозы целостности.На втором месте по размерам ущерба после непреднамеренных ошибок и упущений стоят кражи и подлоги. В большинстве случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режи­мом работы и мерами защиты. Это еще раз подтверждает опасность внутрен­них угроз, хотя говорят и пишут о них значительно меньше, чем о внешних.С целью нарушения статической целостности злоумышленник, как пра­вило, штатный сотрудник, может: ввести неверные данные; изменить данные. Иногда изменяются содержательные данные, иногда - служебная ин­формация.Потенциально уязвимы с точки зрения нарушения целостности не толь­ко данные, но и программы. Внедрение вредоносного ПО — пример подобно­го нарушения.Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Соответствующие дей­ствия в сетевой среде называются активным прослушиванием.Так же к угрозам целостности можно отнести потерю информации при передаче по каналам связи [7]. Частичная потеря пакетов в сетях телекомму­никации АСУ ТП может привести к получению неверных результатов, или выполнению неверных управляющих воздействий.1.2.1.3 Основные угрозы конфиденциальности.Конфиденциальную информацию в АСУ ТП можно разделить на слу­жебную и предметную. Служебная информация, такая как пароли пользова­телей, не относится к определенной предметной области, в информационной системе АСУ ТП она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно может привести к получению несанкционированного доступа ко всей информации, в том числе предметной.Многим людям приходится выступать в качестве пользователей не од­ной, а целого ряда систем (информационных сервисов). Если для доступа к таким системам используются многоразовые пароли или иная конфиденци­альная информация, то наверняка эти данные будут храниться не только в голове, но и в записной книжке или на листках бумаги, которые пользователь часто оставляет на рабочем столе, а то и попросту теряет. И дело здесь не в неорганизованности людей, а в изначальной непригодности парольной схе­мы. Невозможно помнить много разных паролей; рекомендации по их регу­лярной смене только усугубляют положение, заставляя применять неслож­ные схемы чередования или вообще стараться свести дело к двум-трем легко запоминаемым и столь же легко угадываемым паролям.Описанный класс уязвимых мест можно назвать размещением конфи­денциальных данных в среде, где им не обеспечена необходимая защита. Уг­роза же состоит в том, что кто-то случайно или специально может получить полный либо частичный доступ к системе. В этот класс попадает также пере­дача конфиденциальных данных в открытом виде (в разговоре, в письме, по сети), которая делает возможным перехват данных. Для атаки могут исполь­зоваться разные технические средства (подслушивание или прослушивание разговоров, пассивное прослушивание сети и т.п.), но идея одна - осущест­вить доступ к данным в тот момент, когда они наименее защищены.Угрозу перехвата данных следует принимать во внимание не только при начальном конфигурировании системы, но и, что очень важно, при всех изменениях. Очень опасной угрозой являются выставки, на которые многие организации отправляют оборудование из производственной сети, со всеми хранящимися на них данными. Остаются прежними пароли, при удаленном доступе они продолжают передаваться в открытом виде. Это плохо даже в пределах защищенной сети организации, а в объединенной сети выставки — это может привести к самым плачевным последствиям.Еще один пример изменения, о котором часто забывают, - это хранение данных на резервных носителях. Для защиты данных на основных носителях применяются развитые системы управления доступом; копии же нередко просто лежат в шкафах и получить доступ к ним могут многие.Перехват данных — очень серьезная угроза, и если конфиденциальность действительно является критичной, а данные передаются по многим каналам, их защита может оказаться весьма сложной и дорогостоящей. Технические средства перехвата [7, 8] хорошо проработаны, доступны, просты в эксплуа­тации, а установить их, например, на кабельную сеть может кто угодно, так что эту угрозу нужно принимать во внимание по отношению не только к внешним, но и к внутренним коммуникациям.Кражи оборудования являются угрозой не только для резервных носи­телей, но и для компьютеров, особенно портативных.К угрозам, от которых очень трудно защищаться, можно отнести зло­употребление полномочиями. На многих типах систем привилегированный пользователь, например, системный администратор, способен прочитать практически любой файл, войти в систему с учетными данными любогопользователя и т.д. Возможно также нанесение ущерба при сервисном об­служивании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных за­щитных механизмов.Таковы основные угрозы, которые наносят наибольший ущерб инфор­мационной системе АСУ ТП (Таблица 1.1) [13]. Таблица 1.1- Основные угрозы Способы на­несения ущерба Объекты воздействий Оборудование Программы Данные Персонал Раскрытие информации (конфиденциа льность) Хищениеносителейинформации,подключение клинии связи,несанкционированноеиспользование ресурсов Несанкциониро ванное копирование перехват Хищение,копирование,перехват Передача сведений о защите, разглашение, халатность Потеря целостности информации (целостность) Подключение,модификация,спец.вложения,изменениережимов работы,несанкционированноеиспользование ресурсов Внедрение «троянских коней» и «жучков» Искажение, модификация Вербовкаперсонала,«маскарад» Нарушение работоспо­собности автоматизи­рованной системы (доступность) Изменение режимов функционирован ия, вывод из строя, хищение, разрушение Искажение,удаление,подмена Искажение,удаление,навязываниеложныхданных Уход,физическоеустранение   1   2   3   4   5   6   7   8   9   ...   25

Эффективность механизмов защиты информации в значительной сте­пени зависит от реализации ряда принципов. Во-первых, механизмы защиты следует проектировать одновременно с разработкой информационно- управляющей системы, что позволяет обеспечить их бесконфликтность, своевременную интеграцию в вычислительную среду и сокращение затрат. Во-вторых, вопросы защиты следует рассматривать системно, дополняя на­ружную защиту встроенными механизмами защиты компонентов АСУ ТП. И, наконец, следует учитывать тот факт, что промышленные системы созда­ются для длительной эксплуатации без замены или модернизации. Поэтому проверка эффективности СЗИ должна быть произведена в начале промыш­ленной эксплуатации.Предлагаемый автором системный подход обеспечивает адекватную многоуровневую защиту информации, рассматриваемую как комплекс орга­низационных и технических мероприятий. Кроме того, при реализации меха­низмов защиты должны использоваться передовые, научно обоснованные технологии защиты, обеспечивающие требуемый уровень безопасности, при­емлемость для пользователей и возможность наращивания и модификации СЗИ в дальнейшем.Создание систем безопасности АСУ ТП охватывает широкий круг во­просов, в число которых входит: обеспечение целостности, обеспечение конфиденциальности и аутентичности информации; разграничение прав пользователей по доступу к ресурсам автоматизи­рованной системы; защита автоматизированной системы и ее элементов от несанкциони­рованного доступа; обеспечение живучести всех элементов системы; защита поддерживающей инфраструктуры системы. Построение защищенных систем не ограничивается выбором тех или иных аппаратных и программных средств защиты. Необходимо владеть оп­ределенными теоретическими знаниями и практическими навыками. Для это­го необходимо, во-первых, понять, что представляет собой защищенная сис­тема, какие к ней предъявляются требования, рассмотреть существующий опыт создания подобных систем и причины нарушения их безопасности и, во-вторых, определить, какие функции защиты и каким образом должны быть реализованы, и как они противодействуют угрозам и устраняют причи­ны нарушения информационной безопасности [26, 27, 28, 29].Основой или составными частями любой автоматизированной системы (в том числе и системы защиты информации АСУ ТП) являются: Нормативно-правовая и научная база; Структура и задачи автоматизированной системы; Организационные меры и методы; Программно-технические способы и средства. Далее следует выделить основные направления в общей проблеме обеспечения информационной безопасности АСУ ТП: Защита объектов автоматизированной системы; Защита процессов, процедур и программ обработки информации; Защита информации в каналах связи; Подавление побочных электромагнитных излучений; Защита поддерживающей инфраструктуры; Управление системой защиты. Разработанная автором методика (последовательность шагов) построе­ния СЗИ (Рисунок 2.8), которая в равной степени применима для всех на­правлений защиты АСУ ТП, предполагает следующую последовательность действий, основанную на системном подходе и учитывающую особенности АСУ ТП и химической промышленности [32]: Изучение нормативно-правовой и научной базы в области информа­ционной безопасности применительно к промышленным системам повышен­ной опасности. Определение информации, подлежащей защите в рабочих станциях, контроллерах, телекоммуникациях, устройствах сопряжения с объектом. Выявление полного множества потенциально возможных угроз и ка­налов утечки информации в штатном, предаварийном и аварийном режимах работы АСУ ТП. Составление реестра встроенных механизмов защиты аппаратных и программных средств АСУ ТП, не препятствующих её работе в темпе про­цесса. Проведение экспертной оценки уязвимости информации и рисков при имеющемся множестве угроз и каналов утечки. Определение требований к СЗИ с учётом использования встроенных механизмов защиты. Включение встроенных и выбор внешних средств защиты информа­ции и их характеристик. Оформление документации на СЗИ как на подсистему АСУ ТП. Внедрение и организация использования выбранных мер, способов и средств защиты. Осуществление контроля целостности и управление СЗИ в течение всего срока эксплуатации. Указанная последовательность действий должна осуществляться не­прерывно по замкнутому циклу, с проведением оперативного анализа (сила­ми разработчиков) состояния СЗИ АСУ ТП и уточнением требований к ней после каждого шага. Экспертная оценка уязвимости информации и рисков необходима как до создания СЗИ (блок 5), так и после её внедрения (блока 9). Г Изучение нормативно-правовой и научной базы 1 11 2 Определение информации, подлежащей защите -> сои 1 и 3 Выявление угроз и каналов утечки «- -* 3 1 га о 14 Составление реестра встроенных механизмов защиты 4- юи & о 1ь Проведение экспертной оценки уязвимости и рисков «- Н> и 1 г о Г Определение требований к СЗИ £ 1 1' Включение встроенных и выбор внешних средств защиты -> ИМ Г8 1 Оформление документации на СЗИ <*- -> 3 3 нСЗ 19 Внедрение выбранных мер, способов и средств защиты -> а, «С О ш| Осуществление контроля целостности и управление СЗИ «- Рисунок 2.8 - Методика построения СЗИ. Непрерывный цикл создания системы защитыинформации в АСУ ТППрименяя данную методику необходимо помнить что наибольший эф­фект достигается тогда, когда: все используемые средства, методы и мероприятия объединяются в единый, целостный механизм защиты информации; механизм защиты должен проектироваться параллельно с созданием систем обработки данных, начиная с момента выработки общего замысла по­строения системы; функционирование механизма защиты должно планироваться и обес­печиваться наряду с планированием и обеспечением основных процессов ав­томатизированной обработки информации; необходимо осуществлять постоянный контроль функционирования механизма защиты. 2.5 Выводы Рекомендовано, наряду с комплексом внешних мер защиты, которые в 8САХ)А-системах ограничиваются системой паролей и дублированием ка­налов и оборудования, применять на нижнем уровне АСУ ТП аппаратурные компоненты и программные продукты, имеющие встроенные механизмы за­щиты информации. Алгоритмы работы этих механизмов защиты необходимо исследовать, оценить и доработать. Выработаны рекомендации по выбору интеллектуальных датчиков, и локальных сетей для них. Обосновано использование универсальных 8САОА-систем, имею­щих полный набор встроенных средств защиты, которые можно задейство­вать в нужной комбинации для конкретного применения. Обоснованы особые требования к аппаратуре и телекоммуникациям АСУ ТП в химической индустрии. В дополнение к существующим междуна­родным стандартам, определяющим только базовые механизмы безопасно­сти, рекомендовано применять также специализированные стандарты и руко­водства. Разработана методика создания СЗИ в АСУ ТП. 3 ИССЛЕДОВАНИЕ ЭФФЕКТИВНОСТИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В ТЕЛЕКОММУНИКАЦИЯХ АСУ ТПОсобенности сложных АСУ ТП большой размерности привели к тому, что главной проблемой оценки их надежности и безопасности давно стали не расчеты показателей, а громоздкость и трудоемкость процессов построения необходимых математических моделей. Невозможность построения таких моделей старыми, традиционными ручными (не автоматизированными) тех­нологиями привела к тому, что в организациях и на предприятиях промыш­ленности практическое моделирование и оценка надежности и безопасности АСУ ТП давно не производится ни на стадиях проектирования, ни в процессе эксплуатации [31, 33].Однако при оценке информационной безопасности АСУ ТП, особенно на нижнем уровне, где используются сети с централизованным детерминиро­ванным доступом, можно обойтись очень простыми моделями. В силу детер­минированности в них не требуется имитировать и генерировать потоки зая­вок на захват магистрали и анализировать время ожидания обслуживания. Случайной является лишь длина кадров. Причём, если рассматривать режим настройки отдельно от режима эксплуатации, то распределение длин посы­лок с сети близко к экспоненциальному. Наиболее вероятны самые короткие посылки. Длина посылок увеличивается для многоканальных узлов. А число повторных запросов (при исключительных ответах) в основном зависит от вероятности битовых ошибок (фактически от уровня помех).Уровень безопасности телекоммуникационной системы сильно зависит от конкретной физической среды передачи. Таблица 3.1 содержит эту зави­симость в виде значений вероятности битовой ошибки для различных физи­ческих сред передачи [33]. Таблица 3.1 - Безопасность различных сред передачиВероятность ошибки передачи бита информации Среда передачи > КГ5 Радиоканал 10"4 Неэкранированный кабель 10° Экранированная витая пара 10"ь- 10'у Цифровой канал ISDN 10"у Коаксиальный кабель Ю-12 Оптический кабель 1   ...   4   5   6   7   8   9   10   11   ...   25

Таблица 3.1 приведена только для сравнительно оценки уязвимости сред передачи, без каких-либо мер защиты. 3.1 Оценка производительности телекоммуникаций в АСУ ТППрежде, чем рассматривать пригодность моделей информационных се­тей, сформулируем требования к их назначению, сфере использования, а главное — ко входным и выходным параметрам.Модели предназначаются для анализа уязвимостей и воздействия угроз на телекоммуникации в АСУ ТП, и должны показывать влияние средств и мер защиты от разного рода неблагоприятных воздействий на информацию.Модели должны отображать влияние средств и мер защиты на досто­верность и своевременность передачи и приёма информации, прежде всего на пропускную способность телекоммуникаций.Модели информационных сетей с одним ведущим проще в связи с тем, что не требуется анализировать процессы захвата магистрали, распределения вероятностей запросов, время ожидания и т.п. В сетях с одним ведущим за­просы вырабатывает головной компьютер (контроллер) по жёсткому графи­ку.Степень влияния мер защиты, особенно программных, на пропускную способность телекоммуникаций существенно зависит от распределения веро­ятностей длины сообщений. Количество дополнительных (защитных) байт и для коротких и для длинных сообщений одинаково, поэтому избыточность коротких сообщений существенно больше .Выбор модели определяется целью моделирования. В нашем случае не­обходимо анализировать влияние средств и мер защиты информации на ос­новные характеристики телекоммуникаций.Основными техническими средствами защиты являются физическая среда передачи информации: медный провод, кабель, радиоканал или опто­волокно. Таблица 3.1 показывает, что самый низкий уровень защищённости предоставляет радиоканал, а самый высокий — оптоволокно. Вероятность ошибки передачи бита информации из Таблица 3.1 служит для расчёта веро­ятности повторных запросов, т.к. однократные ошибки при передаче данных обнаруживаются на канальном уровне с помощью СЯС-кода.Основным программным способом защиты информации в телекомму­никациях является избыточное кодирование, сводящееся к добавлению кон­трольных битов, контрольных сумм, использованию служебных параметров. Поэтому для анализа влияния средств и мер защиты информации целесооб­разно рассчитывать следующие параметры сети: (3.1.1)Скорость в кабеле (максимальная скорость передачи пакетов): 8К = $мах / Уп [пакет/с],где Б мах - предельная скорость сети, бит/с; Уп - длина пакета, бит. (3.1.2)Пропускная способность сети представляет собой скорость передачи полезной информации: 8с = 8к/Уд [байт/с],где Бк - максимальная скорость передачи пакетов, пакет/с; Уд - объём полезной информации в пакете, байт.Эффективность использования физической скорости передачи сети (3.1.3)по отношению только к полезным данным: Эд = 8К х Уд / 8мах [%],где 8к - максимальная скорость передачи пакетов, пакет/с; 8мах - предельная скорость сети, бит/с; Уд - объём полезной информации в пакете, бит .Вероятностный подход позволяет легко оценить влияние случайных воздействий на приведённые выше параметры. При наличии помех или сбоев передачи данных по другим причинам, эффективность использования физи­ческой скорости передачи сети снижается за счёт генерации повторных за­просов. 3.2 Оценка мер защиты телекоммуникаций в АСУ ТППрограммные меры защиты основаны на введении избыточности коди­рования сообщений. В каждом сообщении кроме обязательной служебной информации (адрес приёмника, функция, номер и количество регистров, раз­делитель) содержится защитная информация (контрольная сумма, количество байт данных, адрес источника, и ответное сообщение - как квитанция приё­ма).Подсистема обеспечения надежности современных SCADA-систем по­зволяет диагностировать достоверность (качество) сигналов, поступающих с датчиков и резервировать их. Признаки аппаратурной и программной досто­верности должны передаваться в систему верхнего уровня (SCADA-систему) вместе с измеренным значением как один из атрибутов канала, чтобы их можно было использовать в алгоритмах диагностики и резервирования дат­чиков.Для оценки эффективности стандартной защиты при передаче коротких сообщений, характерных для сетей нижнего уровня АСУ ТП, рассмотрим наиболее распространенные в химической промышленности сети: Ethernet, Modbus, Profibus. 3.2.1 Оценка производительности сети EthernetСеть Ethernet чаще всего используется на верхнем уровне АСУ ТП для связи с АСУ предприятия и для связи рабочих станций между собой [34].Вопрос об оценке производительности сетей децентрализованного дос­тупа, использующих случайный метод доступа CSMA/CD (Carrier-Sense Multiple Access with Collision Detection - множественный доступ с контролем несущей и обнаружением коллизий), не очевиден из-за того, что существуют73несколько различных показателей. Прежде всего, следует упомянуть три свя­занные между собой показателя, характеризующие производительность сети в идеальном случае — при отсутствии коллизий и при передаче непрерывного потока пакетов, разделенных только межпакетным интервалом IPG. Очевид­но, такой режим реализуется, если один из абонентов активен и передает па­кеты с максимально возможной скоростью. Неполное использование пропу­скной способности в этом случае связано, кроме существования интервала IPG, с наличием служебных полей в пакете Ethernet.Пакет максимальной длины является наименее избыточным по относи­тельной доле служебной информации. Он содержит 12304 бит (включая ин­тервал IPG), из которых 12000 являются полезными данными.Поэтому максимальная скорость передачи пакетов (3.2.1) составит в случае сети Fast Ethernet:108 бит/с/ 12304 бит 8127,44 пакет/с.Пропускная способность равна:8127,44 пакет/с х 1500 байта - 12,2 Мбайт/с.Эффективность использования физической скорости передачи сети, в случае Fast Ethernet равной 100 Мбит/с, по отношению только к полезным данным составит:8127,44 пакет/с х 12000 бит/ 108 бит/с 98 %.Без использования системы никакой из абонентов не может захватить сеть более чем на время передачи одного пакета, однако передача данных от­дельными пакетами с долгими паузами между ними ведет к снижению ско­рости передачи для каждого абонента. Преимущество детерминированных методов состоит в возможности простой организации системы приоритетов, что полезно из-за наличия иерархии в любой АСУ ТП.3.2.2 Анализ влияния программных мер защиты в сети Modbus RTU Проведем анализ стандартных программных мер защиты информации в сети Modbus RTU, при использовании её в АСУ ТП. Сеть Modbus является централизованной, с детерминированным методом доступа. Загрузку такойсети можно рассчитать достаточно точно, если определено количество узлов и режимы их работы. Случайный характер имеет лишь время задержки отве­та ведомого, а также количество сбоев обмена.Рисунок 3.1 представляет обобщённый формат кадра: адрес приёмника (ведомого устройства) номер функции данные контрольная сумма разделитель сообщений 1 байт 1 байт до 253 байт 2 байта пауза > 3,5 байт Рисунок 3.1 - Кадр Modbus RTUПередача каждого байта данных требует дополнительно 1 стартового и 2 стоповых битов (без контроля на чётность). Дополнительные биты относят­ся к служебным, они обеспечивают синхронизацию обмена.В АСУ ТП интеллектуальные датчики подавляющую часть времени от­вечают на циклические запросы SCADA-системы о значении измеряемого параметра, а именно, на запросы «Чтение значений из нескольких регист­ров». Поскольку для SCADA-системы нужны значения измеряемого пара­метра в формате Float 4 (Float Single Format no IEEE-754), занимающем 2 ре­гистра (4 байта), конкретные циклы обмена информацией выглядят как пока­зывает Рисунок 3.2.Запрос ведущего устройства: адрес • ведомого номер функции Адрес ст. байт Адрес мл. байт Кол. регистров ст. байт Кол. регистров мл. байт CRC мл. байт CRC ст. байт 0x01 0x03 0x00 0x01 0x00 0x02 OxNN OxNN Ответ ведомого устройства: адрес ведо­мого номер функции Кол. байт Данные ст.регистра ст.байт Данные ст.регистра мл. байт Данные мл.регистра ст.байт Данные мл.регистра мл.байт CRCмл. байт CRC ст. байт 0x01 0x03 0x04 0x12 0x34 0x56 0x78 OxNN OxNN Рисунок 3.2 - Цикл обмена информацией с одноканальным узлом сети МосШиэ ЯТи Таким образом, необходимой для исполнения команды считыванияданных информацией является «адрес ведомого», «номер функции», «адрес первого регистра», «количество регистров» в запросе и собственно «данные»в ответе. Всего 10 байт. Запрос, ответ и минимальная пауза между ними со­ставляют 20,5 байт. Очевидно, что введение защиты в форме избыточности кодирования, т.е. добавления полей «контрольная сумма CRC», «количество байт данных», квитанций «адрес ведомого» и «номер функции», - приводит к снижению пропускной способности канала на 51 %:ЮОх (10 - 20,5)/20,5 = - 51,22 %. Кадр максимальной длины является наименее избыточным по относи­тельной доле служебной информации (см. Рисунок 3.1). В Modbus RTU он содержит 2084 бит (включая разделительную паузу), из которых 2016 бит яв­ляются полезными данными. Поэтому максимальная скорость передачи кадров составит в случае се­ти Modbus RTU при максимальной бодовой скорости 115,2 Кбод: (115200 бит/с)/ 2084 бит 55,28 кадр/с. Пропускная способность равна: 55,28 кадр/с х 252 байта = 13,93 Кбайт/с.Эффективность использования физической скорости передачи сети, в случае Modbus RTU равной 115,2 Кбод, по отношению только к полезным данным составит:55,28 кадр /с х 2016 бит/ 115200 бит/с 0,967 97 %. При передаче кадров минимальной длины существенно возрастает скорость в кабеле, что означает всего лишь факт передачи большого числа коротких пакетов. В то же время пропускная способность и эффективность заметно (почти в два раза) ухудшаются из-за возрастания относительной до­ли служебной информации. При типовых циклических запросах SCADA-системы о значении изме­ряемого параметра кадр содержит 164 бит (включая разделительную паузу), из которых 80 бит (10 байт) являются полезными данными. Максимальная скорость передачи кадров: (115200 бит/с)/ 164 бит « 702,44 кадр/с.Пропускная способность в данном случае будет равна: 702,44 кадр/с х 10 байт 7,02 Кбайт/с.Эффективность использования физической скорости передачи сети: 702,44 кадр /с х 80 бит/ 115200 бит/с 0,4878 = 48,78 %.3.2.2.3 Следует отметить, что избыточность будет меньше при считывании данных с многоканальных устройств ввода данных, в которых данные изме­рений расположены подряд в регистровой карте.Например, при считывании данных с 12-канального прибора цифрового контроля ПКЦ-12 (ЗАО «НЛП «Автоматика», г. Владимир), запрос, ответ и минимальная пауза между ними составляют 64,5 байт, а содержательной ин­формации 54 байт (см. Рисунок 3.3). Снижение пропускной способности ка­нала составляет около 16 %.Запрос ведущего устройства: адрес ведомого номер функции Адрес ст. байт Адрес мл. байт Количество регистров ст. байт Количество регистров мл. байт сисмл. байт сисст. байт 0x01 0x03 0x00 0x01 0x00 0x18 0х№4 ОхМчГ 1   ...   5   6   7   8   9   10   11   12   ...   25

имнгагор пуль- J | ЦМ>' |Рисунок 3.22 - Приложения имитатораБазовые графические элементы рисуются, как правило, в любом графи­ческом редакторе и заносятся в поле приложения ISaGRAF. Затем графиче­ские элементы привязываются к конкретным дискретным и аналоговым пе­ременным и таким образом становятся составной частью программы имита­тора. Для отладки системы АСУ ТП необходим комплекс имитаторов. 3.6.3 Комплексная отладка системыКомплексная отладка системы проводится после её окончательной сборки. Для организации отладки и проверки собирается имитатор объекта на базе тех же контроллеров, что используются в основной АСУ ТП. Исполь­зование базовых контроллеров-имитаторов типа IUC9000 (фирма «РЕР Modular Computers») чрезвычайно выгодно и удобно как для реализации про­граммного обеспечения задач-имитаторов объектов, так и для технологиче­ской стыковки интерфейсов контрольно-измерительных каналов (КИК). Для данных контроллеров разработано программное обеспечение, эмулирующее работу объекта.Автор предлагает использовать подобную систему отладки АСУ ТП для моделирования угроз безопасности, вмешательства в каналы связи, а также защитные мероприятия. Такая система отладки необходима для прове­дения многочисленных экспериментов и накопления статистики, что иногда невозможно реализовать в реальных условиях в разумные сроки.В процессе комплексной отладки имитируются: отказы по напряжениям питания; изменение питающего напряжения до предельно допустимых значений; отказы основных контроллеров (проверка работоспособности резерв­ной аппаратуры); поведение объекта путём подачи на модули аналогового и дискретного ввода сигналов от имитатора; имитация отказа (повреждения) основного канала связи; имитация НСД в сеть. 3.7 Сравнение результатов отладки (моделирования) до и после введения мер защиты информации в АСУ ТП «ПХВ-1»Таблица 3.7 содержит результаты экспериментальной отладки АСУ ТП «ПХВ-1» с помощью контроллеров-имитаторов и задач-имитаторов до и по­сле рекомендованных автором мер защиты. Количество проведенных экспе­риментов - 100 для каждого параметра. Таблица 3.7 - Результаты экспериментальной отладки АСУ ТП «ПХВ-1» До внедрения рекомендо­ванных мер защиты После внедрения рекомен­дованных мер защиты Количество отключений напряжения питания / Количество переключений на резервный источник 100/95 100/ 100 Количество выходов питающего напряжения за предельно допустимые значения / Количество переключений на резервный источник 100/100 100/ 100 Отказы основных контроллеров/ Переключения на резервные 100/94 100/100 Количество превышений технологических уставок / Количество обнаружений превышения 100/92 100/99 Количество превышений аварийных уставок / Количество обнаружений аварий 100/92 100/99 Количество отказов канала связи тОБШив / Количество переключений на резервный канал 100/98 -/­(резервный канал исключен) Количество ошибок в канале связи МОБВШ / Количество потерянных измерений 100/100 100/58(восстановлены с помощью косвенных измерений) Количество попыток НСД в канал РЯОРШиЭ / Количество обнаружений НСД 100/74 -/-(НСД в оптоволоконный канал практически не возможен) Количество попыток НСД в канал МСЮВШ / Количество обнаружений НСД 100/0 100/83 Для обеспечения помехозащищенности, достоверности передачи, увеличения пропускной способности канала и защиты от НСД путем физиче­ского подключения рекомендовано применение оптической линии связи с кабелем, имеющим соответствующие технические характеристики оптиче­ских преобразователей. Это позволит обойтись без резервирования провод­ного канала связи РЫОРГОиЗ и не увеличит затраты. Применение оптического РЛОРШиЭ, при дополнительных затратах на оптическое оборудование, значительно увеличивает надежность магистрали за счет развязки потенциалов удаленных узлов, защиты от вторичного прояв­ления грозовых токов и обеспечивает высокий уровень защиты от несанк­ционированного доступа (НСД).Модули оптических преобразователей имеют встроенную диагностику оптического канала, индикацию питания модуля и оптического канала. Преобразователи БС/ОС типа «ИРБИС», мощностью 25 Вт, реко­мендовано заменить на аналогичные преобразователи фирмы «ТЯАСО», имеющие более высокую надежность. Для повышения достоверности измерений рекомендовано ввести дублирующие вычисления параметров по косвенным характеристикам (на­пример, при измерении расхода жидкостей, газов применяется метод измере­ния абсолютного давления и разности давлений до и после места сужения трубопровода; вместо дифференциального датчика давления целесообразно применить два датчика абсолютного давления и вычислять разность давле­ний). ЭСАБА-система МоисЬ, применяемая на предприятии, имеет развитые математические каналы, которые позволяют вести дублирующие вычисления параметров, но данное преимущество в АСУ ТП не было реализовано разра­ботчиком. Для повышения достоверности измерений (и реализации пункта 3) рекомендовано применять интеллектуальные датчики (давления, температу­ры, уровня, расхода). 5. Для охраны производственного оборудования, защиты от НСД, по­жарной и прочей безопасности, а также для контроля деятельности персонала рекомендовано установить систему видеонаблюдения [73].Угрозы безопасности АСУ ТП «ПХВ-1» и предложенные меры защиты приведены в главе 4 (Таблица 4.3). 3.8 Выводы Исследовано влияние программных мер защиты на эффективность использования физической скорости передачи в сетях МоёЬш и РгоШэиэ, при применении их на нижнем уровне АСУ ТП. Для характерных на нижнем уровне АСУ ТП коротких сообщений не рекомендуется использовать программные методы защиты. Проведена экспериментальная проверка защищенности телекоммуникаций нижнего уровня АСУ ТП от НСД с помощью разработанной автором программы. Проведён анализ множества алгоритмов доступа к интеллектуальным сетевым устройствам нижнего уровня АСУ ТП. Разработаны алгоритмы доступа к узлам сети со стороны пульта и со стороны сети, отличающиеся оптимальным сочетанием методов защиты от НСД и обеспечивающие быстрое обнаружение вторжения. Разработанные алгоритмы реализованы в интеллектуальных датчиках ПД-1ЦМ, ИТ-1ЦМ и приборах ПКЦ-1111, ПКД-1115 (ЗАО «НПП «Автоматика», г. Владимир), применённых в АСУ ТП «ПХВ-1». Акты внедрения приведены в Приложениях. Предложено для сравнительной оценки защищённости узлов сети от НСД использовать отношение вероятностей уязвимости (преодоления барьера защиты). Экспериментально доказана эффективность разработанных алгоритмов для повышения защищённости узлов сети. Сравнительное экспериментальное исследование нескольких устройств показало многократное (минимум в 5 раз) превосходство по защищённости узлов, в которых реализован разработанный автором алгоритм доступа. Проведено экспериментальное исследование СЗИ АСУ ТП «ПХВ-1». Рекомендовано применение программно-аппаратурных имитаторов на базе контроллеров ПТК для имитации нештатных ситуаций (сбоев, отказов, НСД), а также защитных мероприятий. Выработаны рекомендации по модернизации системы защиты информации АСУ ТП «ПХВ-1». 4 ОЦЕНКА ЗАЩИЩЕННОСТИ ТЕЛЕКОММУНИКАЦИЙ АСУ ТП 4.1 Методология оценки безопасности информационных технологий по общим (открытым) критериямНа государственном уровне сформулированы критерии, которые позво­ляют компаниям и госорганам оценивать результаты своей деятельности по защите информации. С 1999 года во всем мире применяется международный стандарт в области оценки безопасности информационных технологий (ИТ) КОЛЕС 15408 [74-76]. Российский аналог, разработанный в 2002 году - ГОСТР ИСО/МЭК 15408-2002 «Информационная технология. Методы и сред­ства обеспечения безопасности. Критерии оценки безопасности информацион­ных технологий» [77-79].Данный стандарт преследует следующие цели: Унификация национальных стандартов оценки безопасности ИТ; Повышение уровня доверия к оценке безопасности ИТ; Сокращение затрат на оценку безопасности ИТ на основе взаимного при­знания сертификатов. На основе данных стандартов создаются профили защиты, которые опи­сывают требования к межсетевым экранам, АСУ, АСУ ТП, сайтам и т.п.В поддержку стандарта существует целый ряд документов. Среди них: Руководство по разработке защиты и заданий по безопасности [80]; Процедуры регистрации профилей защиты [81]; Общая методология оценки безопасности (ОМО) ИТ [82]. В ОМО описываются основные действия, которые необходимо выпол­нить оценщику при проведении оценки безопасности с использованием крите­риев и свидетельств оценки.Данную систему оценок поддерживают многие страны мира, такие как США, Канада, Великобритания, Япония, Россия и другие.Особенности выполнения количественных оценок. В настоящее время основным подходом к построению критериев оценки безопасности ИТ являет­ся использование совокупности определенным образом упорядоченных качест­венных требований к функциональным механизмам обеспечения безопасности, их эффективности и доверия к реализации.Качественные критерии применимы для оценки большей части меха­низмов обеспечения безопасности ИТ, а также оценки выполнения требований доверия к безопасности изделий ИТ. Несмотря на это, ОМО предусматривает возможность проведения, там где это применимо, количественных оценок с использованием соответствующих качественных показателей.Чтобы корректно использовать количественный показатель, он должен иметь объективную интерпретацию, однозначную зависимость от отдельных аспектов безопасности. Поэтому количественные критерии целесообразно ис­пользовать для оценки таких механизмов безопасности, как парольная защита, контрольное суммирование и т.п.Для оценки информационной безопасности АСУ ТП автором разработана методика оценки качества СЗИ, которая учитывает мировые стандарты оценки, в том числе и ОМО. В своей оценке автор руководствуется в том числе и мето­дами, приведенными в документе «Общая методология оценки безопасности информационных технологий».Нужно отметить, что в ОМО рассмотрены не все вопросы, связанные с оценкой безопасности ИТ, и это обуславливает необходимость дальнейшей разработки дополнительных руководств для всех участников оценки.Нормативная база [83-87] в области оценки безопасности ИТ постоянно совершенствуется. В России, то в настоящее время подготовлен проект РД Гос­техкомиссии России «Общая методология оценки безопасности информацион­ных технологий» [88] и проект «Типовой методики оценки профилей защиты и заданий по безопасности» [89]. 4.2 Оценка качества защищённости телекоммуникаций АСУ ТПРассмотрим методы оценки качества и выбора рационального варианта СЗИ для телекоммуникаций в АСУ ТП. 4.2.1 Обоснование показателя качества СЗИ.В общем виде модель процесса защиты информации в АСУ ТП может быть представлена так, как это показано на Рисунке 4.1. Источник Угроз\ = 1,п { Р 'I уф- ДЧ 1 уф- } n Телеком­муникации АСУ ТП к СЗИ АСУ ТП ¡ = 1,пр устр. " угр V X Рисунок 4.1 - Общая модель процесса за защиты информации в АСУ ТПЗлоумышленник с помощью некоторого источника угроз (ИУ) генерирует совокупность угроз телекоммуникациям АСУ ТП (путь она будет конечной и счетной 1=1 ..п). Каждая 1-я угроза характеризуется вероятностью появления Р{угр и ущербом Дqiyгp■, наносимым системе.СЗИ выполняет функцию полной или частичной компенсации угроз для телекоммуникаций АСУ ТП. Основной характеристикой средств защиты явля­ются вероятности устранения каждой ьй угрозы Р; угр устр'.За счет функционирования СЗИ- обеспечивается уменьшение ущерба XV, наносимого телекоммуникациям АСУ ТП воздействием угроз. Обозначим об­щий предотвращенный ущерб через ¡г-, а предотвращенный ущерб за счет лик­видации воздействия ¿-и угрозы через ш/.После введенных обозначений сформулируем в общем виде задачу синте­за средств защиты информации в телекоммуникациях АСУ ТП (как это пред­ложено в [31, 32]): Необходимо выбрать вариант реализации СЗИ, обеспечи­вающий максимум предотвращенного ущерба от воздействия угроз при допус­тимых затратах на СЗИ.Формальная постановка задачи имеет вид:Найти: Т° = arg шах F(T), Т° е Т+ (4.2.1)при ограничении: С(Т°) < Сдоп (4.2.2)Здесь Т - некоторый вектор, характеризующий вариант технической реа­лизации СЗИ; Т+,Т° - допустимое и оптимальное значение вектора Т; Сдоп — допустимые затраты на СЗИ.Для решения задачи необходимо, прежде всего, сформировать показатель качества функционирования СЗИw (Т).Предотвращенный ущерб в общем виде выражается соотношением: W = F(P- ■ Ла.угр- ?/аир-i = I п) " 1 угр-^41 '1 iySp ) (4 2 3)Предотвращенный ущерб за счет ликвидации воздействия i-й угрозы: Щ = R- • А<]/гр ■ P/cmp;i - 1.F1 'угр 'I I угр (4.2.4)При независимости угроз и аддитивности их последствий получаем: пW - V Р -А а у''р ■ Р устр¡=1 (4.2.5)Остановимся подробно на сомножителях, входящих в формулу (4.2.5). Вероятность появления i-й угрозы Pj угр. определяется статистически и со­ответствует относительной частоте ее появления:/-1 (4.2.6)где Л - частота появления i-й угрозыУщерб, наносимый i-й угрозой Aqi; может определяться в абсолютных единицах: экономических потерях, временных затратах, объеме уничтоженной или «испорченной» информации и т.д.Однако, практически сделать это весьма затруднительно, особенно на ранних этапах проектирования СЗИ [90]. Поэтому целесообразно вместо абсо­лютного ущерба использовать относительный ущерб, который представляет собой, степень опасности i-й угрозы для телекоммуникаций АСУ ТП. Степень опасности может быть определена экспертным путем в предположении, что все угрозы составляют полную группу событий [98], т.е.0¿ <1;2>,- =1Сложным вопросом является определение вероятности устранения i-й уг­розы P¡ уГрустр' при проектировании СЗИ. Сделаем допущение, что эта вероят­ность определяется тем, насколько полно учтены качественные и количествен­ные требования к СЗИ при проектировании, т.е.Р ¡угр. —■ ■ •, x¡j,..., x¡m) (4.2.7)Где x¡j — степень выполнения j-ro требования к СЗИ для устранения i-й угрозы, i=l..n; j=l..m.Пусть первые «Ь> требований будут количественными (j=l..k), остальные «ш - к» - качественными (pk+1 ..т).Степень выполнения j-ro количественного требования определяется его близостью к требуемому (оптимальному) значению. Для оценки степени вы­полнения j-ro количественного требования к СЗИ удобнее всего использоватьх, (= 1Д),0 <х, <1 его нормированное значение > w ' vКак следует из [100], для нормирования можно использовать функцию:V- _ V " vха i ¡Xij — ^ * , (4.2.8)где Ху — текущее значение ]-го требования;нл нхХу > Ху - наилучшее и наихудшее значения.С учетом формулы (4.2.8) получаем следующие расчетные соотношения: приИТV — V ' V — Vлу — ш ^лу ШШ_ Л'// ^f/mm X¡J - •^nmxtJ mili (4.2.9)ял _ их при " * = (4.2.10) Х$ 'от™»'*!/ Х„шси ' - Л „оф л „шх. при Х^ > Х^ ; < ^ < х < припри ц = Ха=< ' ^ Г ^ Г при0?г - лу - (4.2.11)Степень выполнения ^го качественного требования определяется функ­цией принадлежности к наилучшему значению ц (ху).Разложив функцию (4.2.7) в ряд Маклорена и ограничившись лишь пер­выми членами ряда, получим вероятность устранения 1-й угрозы:т ЗР У"пр (4.2.12)Р УстР _ р У"»Р /П, , V 1УгР . г Пугр -Чугр Эх„ Хи где Р устр^ угр.(О) = 0 — вероятность устранения ьй угрозы при невыполне­нии требований к СЗИ;гк "— величина, характеризующая степень влияния ]-го требова­ния на вероятность устранения 1-й угрозы (важность выполнения ]-го Требова­линия для устранения 1-й угрозы). Очевидно, что М для 1=1..п.После подстановки в (4.2.12) соответствующих значений получаем:к т■/-*+! (4.2.13)Окончательно формула (4.2.5) для оценки величины предотвращенного ущерба принимает вид :1>1   ...   11   12   13   14   15   16   17   18   ...   25

6 4 1 1/7 1/6 1/4 1Как следует из соотношения (4.3.2), необходимо решить задачу нахожде­ния собственных значений (А - X Е) • \У = 0, где \У - собственный вектор, а А, —126Определим коэффициенты важности требований, предъявляемых к СЗИ АСУ ТП «ПХВ-1», на основе метода парных сравнений (метода Саати). Шкала для оценки относительной важности требований приведена в Таблице 4.4. Таблица 4.4 - Шкала относительной важности требованийИнтенсивность относи­тельной важности Определение 1 Равная важность сравниваемых требований 3 Умеренное (слабое) превосходство одного над другим 5 Сильное (существенное) превосходство 7 Очевидное превосходство 9 Абсолютное (подавляющее) превосходство 2,4, 6,8 Промежуточные решения между двумя соседними оценками Основными при выборе СЗИ «ПХВ-1» являются следующие требования: к аппаратным средствам защиты информации; к программным средствам защиты информации; к структуре АСУ ТП; к нормативной базе, документации на АСУ ТП. Определим относительную важность 4 требований к СЗИ «ПХВ-1». В результате экспертного опроса получена следующая матрица парных сравнений :собственное значение матрицы. Эта неоднородная система имеет нетривиаль­ное решение тогда и только тогда, когда определитель матрицы (А - X Е) равен нулю. Найдем его:1 -Л 5 6 71/5 1 -Л 4 61/6 1/4 1-Я 41/7 1/6 1/4 1-ЯУравнение имеет решение: = 0А, 1 = — 0,362; Х2 = -0,140+ 1,3051; X 3 =-0,140 - 1,3051; А4 = 4,390. Следовательно, X тах = 4,390. Найдем соответствующий вектор: -4,390 5 6 7 ¿У, 1/5 1 - 4,390 4 6 со2 1/6 1/4 1-4,390 4 1/7 1/6 1/4 1-4,390 б»4 Введем условие нормировки (л)1+ш2+Шз+1л)4=1. Рассмотрим систему:- 3,390«, + 5а>2 + 6щ + 7бУ4 = 0 0,2бУ, - 3,390й>2 + 4й), + 6гу4 = 0 0,166«, + 0,25«2 - 3,390гУ3 + 4а)4 = 0 0,142«, + 0,166й>2 + 0,25й>3 -3,390й>4 =0Система (*) имеет только нулевое решение. Для нахождения собственно­го вектора АЛ^ используется замена одного из уравнений (*) условием норми­ровки. В результате решения системы получаем собственный вектор весов: = (СО,, С02, ш3, СО4), СО] = 0,619, ш2= 0,235, 0)3= 0,101, (А)4 = 0,045. = Л4 -4Я3 -6,914^-2,715 = ООтметим, что матрица парных сравнений отражает согласованные сужде­ния тогда и только тогда, когда X тах = п. Кроме того, всегда X тах > п, поэтому тах - п) дает меру несогласованности и указывает, когда суждение экспертов следует проверить. При п=4, Хтах - 4,390, мера несогласованности равна 0,390. Индекс согласованности (ИС), который отражает качество экспертных оценок, рассчитываем по формуле: Х-пИС =ИС = (4,39 — 4) / (4 — 1) = 0,13.Средние согласованности (СС) для матриц случайного порядка приведе­ны в Таблице 4.5. Таблица 4.5 - Средние согласованности для матриц случайного порядка п 1 2 оо 4 5 6 7 8 9 10 СС 0 0 0,58 0,90 1,12 1.24 1,32 1,41 1,45 1,49 Общая рассогласованность (ОС) рассчитывается следующим образом: ИСОС = —100% ССОС = (0,13 / 0,9) • 100% = 14,4%.Согласно методу Саати величина ОС должна быть не более 20%, в про­тивном случае, такие суждения экспертов следует перепроверить.В нашем случае мера несогласованности равна 0,39 что является допус­тимым при принятой шкале (Таблица 4.4), показатель ОС равен 14,4%, что не превышает допустимого порога рассогласованности.Определение весовых коэффициентов с помощью нахождения вектора XV матрицы парных сравнений является довольно трудоемкой задачей. Для реше­ния практических задач можно [94, 97] определять весовые коэффициенты пу­тем расчета среднего геометрического из соотношения: Гп _Щ =н||2оу ;/ = 1.и,11-М (4.3.3)где а^ - коэффициенты матрицы парных сравнений.Рассчитаем весовые коэффициенты методом среднего геометрического: X, х2 Х3 Х4 П*и 4л/Пху/£ X, 1 5 6 7 210 3,80 0,614 х2 0,200 1 4 6 4,8 1,48 0,239 Х3 0,166 0,250 1 4 0,166 0,64 0,103 X, 0,142 0,166 0,250 1 0,00589 0,27 0,044 1= 6,19 1,000В нашем случае получаем: 0)1 = 0,614, С02 = 0,23 9, со3= 0,103, со4= 0,044.Ошибки определения весовых коэффициентов не превышают 5%, что го­ворит о возможности применения данного метода.В соответствии с Таблицей 4.4 мы получили сильное превосходство од­ного требования над другим. Это говорит о том, что есть более важные требо­вания и мене важные. Есть явно выраженное главное требование - к аппарат­ным СЗИ, а также незначительное требование - к нормативной базе АСУ ТП.Рассчитанная относительная важность требований к СЗИ АСУ ТП «ПХВ- 1» в процентах приведена в Таблице 4.6. Таблица 4.6 - Относительная важность требований к СЗИ АСУ ТП «ПХВ-1» Требования к СЗИ АСУ ТП Относительная важность к аппаратным средствам защиты информации 61,4% к программным средствам защиты информации 23,9% к структуре АСУ ТП 10,3% к нормативной базе, документации на АСУ ТП 4,4% 4.4 Построение функции принадлежностиВ случае если экспертная оценка имеет качественное выражение, тогда оценки вариантов по критериям и коэффициенты относительной важности за­даются функциями принадлежности.Существует значительное количество методов построения по экспертным оценкам функций принадлежности нечеткого множества ц. Л(х). Выделяют две группы методов: прямые и косвенные методы [94].Прямые методы характеризуются тем, что эксперт непосредственно зада­ет правила определения значений функции принадлежности ц. Л(х), характери­зующей элемент х. Эти значения согласуются с его предпочтениями на множе­стве элементов X следующим образом:-для любых хь х2 е X, ц. Л(Х]) < ц. л(х2) тогда и только тогда, когда х2 предпочтительнее хь т.е. в большей степени характеризуется свойством А;- для любых хь Хг е X, р. Л(х1) = ц. л(х2) тогда и только тогда, когда X] и х2 безразличны относительно свойства А.Примерами прямых методов являются непосредственное задание функ­ции принадлежности таблицей, графиком или формулой. Недостатком этой группы методов является большая доля субъективизма.В косвенных методах значения функции принадлежности выбираются та­ким образом, чтобы удовлетворить заранее сформулированным условиям. Экс­пертная информация является только исходной информацией для дальнейшей обработки. Дополнительные условия могут налагаться как на вид получаемой информации, так и на процедуру обработки.Поэтому автором проанализированы косвенные методы построения функций принадлежности, из которых был отобран метод ранговых оценок. Главным преимуществом данного метода является то, что в отличие от метода парных сравнений, он не требует решения характеристического уравнения, а позволяет вычислять функции принадлежности с использованием ранговых оценок, которые достаточно легко получить при экспертном опросе. Данный метод обладает достаточной точностью вычислений и позволяет легко автома­тизировать расчеты. 4.4.1 Построение функции принадлежности на основе ранговых оценокДанный метод базируется на идее распределения степени принадлежно­сти элементов универсального множества согласно с их рангами.Будем понимать под рангом элемента х;еХ число г3(х]), которое характе­ризует значимость этого элемента в формировании свойства, которое описыва­ется нечетким термом 8. Допускаем, что выполняется правило: чем больший ранг элемента, тем больше степень принадлежности.Введем также обозначения: г3(х^ = г;; |а5(х!) = ; I = 1 ..п.Тогда правило распределения степеней принадлежности можно задать в виде соотношения: Г2 г» (4.4.1)к которому добавляется условие нормирования :ц, + ц2+... + цп=1 (4.4.2)Используя соотношение (4.4.1) легко определить степени принадлежно­сти всех элементов универсального множества через степени принадлежности опорного элемента.Если опорным элементом является X] е X с принадлежностью ц ь то: а Л А = — ■ А ; А = — ■■ АА, =—■ А г1г1(4.4.3) Для опорного элемента х2 е X с принадлежностью \х 2, получаем: А = " А ^ А = " А ^ ■ ■ ■ ^ А = " А (4.4.4)Го Го Го Для опорного элемента х„еХс принадлежностью ц п, имеем: г, г7 г, М1 = --М»>М2 = --М»>-'>Мп-, = —-Аг" г» г» (4.4.5)Учитывая условие нормировки (4.4.2) из соотношений (4.4.3) - (4.4.5) на­ходим : \ г V. > -1 у п гг> А = ч 1 А = , >з / \Г2 /Г, АА(4.4.6)Полученные формулы (4.4.6) дают возможность вычислять степени при­надлежности ц 8(х;) двумя независимыми путями: по абсолютным оценкам уровней г;; 1=1 ..п , которые определяются по 9- бальной шкале (1 — наименьший ранг, 9 - наибольший ранг). -1по относительным оценкам рангов т\/ х\ = а1} ; 1,] = 1..п, которые образуют матрицу : 1 1 и>2 ЪГ Г Г п ' п п (4.4.7)Эта матрица обладает следующими свойствами:а) она диагональная, т.е. ан=1; ¡=Т..п;б) элементы, которые симметричны относительно главной диагонали, связаны зависимостью: ау=1 / а^^;в) она транзитивна, т.е. а^. ак[, посколькуП гк _ Ъ') ОНаличие этих свойств приводит к тому, что при известных элементах од­ной строки матрицы А легко определить элементы всех других строк. Если из­вестна г-я строка, т.е. элементы а^, к; ]=1..п, то произвольный элемент щ нахо­дится так:1   ...   13   14   15   16   17   18   19   20   ...   25

аУ> = / а1т Ь --ППоскольку матрица (4.4.7) может быть интерпретирована как матрица парных сравнений рангов, то для экспертных оценок элементов этой матрицы можно использовать 9-бальную шкалу Саати: щ = г; / Эта шкала приведена ранее, в Таблице 4.4.Таким образом, с помощью полученных формул (4.4.6), экспертные зна­чения о рангах элементов или их парные сравнения преобразуются в функцию принадлежности нечеткого терма [93].Алгоритм построения функции принадлежности включает в себя сле­дующие операции: Задать лингвистическую переменную; А =Определить универсальное множество, на котором задается лингвис­тическая переменная ; Задать совокупность нечетких термов {8Ь 82, ... , 8т}, которые исполь­зуются для оценки переменной; Для каждого терма 8^ ]=1..ш сформировать матрицу (4.4.7); Используя формулы (4.4.6) вычислить элементы функций принадлеж­ности для каждого терма. Нормирование найденных функций осуществляется путем деления на наибольшие степени принадлежности.Функции принадлежности применяются при выборе рационального вари­анта СЗИ (п. 4.5.3), а также при определении важности требований к СЗИ в случае, когда экспертные оценки заданы в качественной форме. 4.5 Выбор рационального варианта СЗИ на основе экспертных оценок 4.5.1 Анализ методов выбора рационального варианта СЗИПринципиальными особенностями решения задачи выбора рационально­го варианта СЗИ, определяющими метод ее решения являются [112-114]: многокритериальное^ задачи выбора; не только количественное, но и качественное (нечеткое) описание показате­лей качества СЗИ, задаваемых в виде требований; при нечеткой постановке задачи влияние на выбор метода ее решения экс­пертной информации, определяющей предпочтение того или иного показа­теля [91-93]. Рассмотрим указанные особенности решения задачи более подробно. Общая постановка задачи многокритериальной оптимизации [97]: Пусть X — |хь...,х;,...,хп| - вектор оптимизируемых параметров некоторой системы 8. Некоторое ]-е свойство системы 8 характеризуется величиной ]-го показателя ^(Х); ] = 1„т. Тогда система в целом характеризуется вектором по­казателей О = Задача многокритериальной оптимизации сводит­ся к тому, чтобы из множества М5 вариантов системы 8 выбрать такой вариант (систему 8о), который обладает наилучшим значением вектора р. При этомпредполагается, что понятие «наилучший вектор предварительно сформу- лированно математически, т.е. выбран (обоснован) соответствующий критерий предпочтения (отношение предпочтения).Анализ литературы [106, 107] показывает, что все многочисленные мето­ды решения многокритериальных задач можно свести к трем группам методов: метод главного показателя качества; метод результирующего показателя качества (аддитивного, мультиплика­тивного, максиминного); лексикографический метод (метод последовательных уступок). Принципиальной особенностью рассматриваемой задачи выбора рацио­нального варианта СЗИ АСУ ТП является преимущественно качественный ха­рактер показателей, трактуемых как требования к СЗИ. В связи с этим рассмат­риваемые методы многокритериальной оптимизации должны формулироваться в нечеткой постановке.Как в классической, так и в нечеткой постановке выбор метода решения многокритериальной задачи определяется тем, в каком виде представлена экс­пертная информация о предпочтении показателей или их важности. Для этого приведем таблицу, которая позволяет обоснованно выбирать метод нечеткой многокритериальной оптимизации в зависимости от экспертной информации о предпочтении показателей (Таблица 4.7). Таблица 4.7 Выбор метода решения в зависимости от экспертной информацииЭкспертная информация о степени пред­почтения или важности показателей Метод решения многокритериальной задачи отсутствует максиминный метод показатели упорядочены по важности лексикографический метод определены весовые коэффициенты показателей аддитивный показатель мультипликативный показатель максиминный показатель 4.5.2 Выбор варианта СЗИ по аддитивному показателюПоскольку, в нашем случае весовые коэффициенты показателей качества СЗИ определены — используем метод аддитивного показателя для выбора оп­тимального варианта СЗИ «ПХВ-1».Метод результирующего показателя качества основан на формировании обобщенного показателя путем интуитивных оценок влияния частных показа­телей качества ..., на результирующее качество выполнения системой ее функций. Оценки такого влияния даются группой специалистов - экспертов, имеющих опыт разработки подобных систем.Наибольшее применение среди результирующих показателей качества получили аддитивный, мультипликативный и минимаксный показатели.Аддитивный показатель качества представляет собой сумму взвешенных нормированных частных показателей и имеет вид:т^ , (4.5.1)где с*3 — нормированное значение ]-го показателя;С^ - весовой коэффициент ]-го показателя, имеющий тем большую вели­чину, чем больше он влияет на качество системы. =1; > 0; ] = 1..ш.Для 5 вариантов СЗИ «ПХВ-1» в результате экспертного опроса получе­ны данные о степени выполнения каждого из 4 показателей качества.Варианты оцениваются по 4 требованиям (критериям), описанным выше (п. 4.3.1): С1 - требования к аппаратным СЗИ, С2 — требования к программным СЗИ, Сз - требования к структуре, С4 — требования к нормативной базе. С, = { 0,9/аь 0,9/а2; 0,8/а3; 0,6/а4; 0,7/а5 } С2 = { 0,8/аь 0,9/а2; 0,7/а3; 0,8/а4; 0,9/а5 } С3 = { 0,5/аь 0,7/а2; 0,8/а3; 0,9/а4; 0,8/а5 } С4 = { 0,6/а,; 0,7/а2; 0,6/а3; 0,7/а4; 0,4/а5 }Расчет аддитивного показателя качества СЗИ «ПХВ-1» по формуле (4.5.1) приведен в Таблице 4.8 . Таблица 4.8 - Расчет аддитивного показателя качества СЗИ «ПХВ-1» СЗИ, сзи2 СЗИз сзи4 сзи5 Отн. Вес. показате­ля качест­ва С, 0,9 0,9 0,8 0,6 0,7 0,614 с2 0,8 0,9 0,7 0.8 0,9 0,239 Сз 0,5 0,7 0,8 0,9 0,8 0,103 с4 0,6 0,7 0,6 0,7 0,4 0,044 Аддитив­ 0,8217 0,8706 0,7673 0,6831 0,7449 ный показа­ тель Сравнение вариантов СЗИ по аддитивному показателям» уровня качества представлено на графике (Рисунок 4.5). Рисунок 4.5 - Сравнение вариантов СЗИ по аддитивному показателяю уровня качества0,9 0,8 0,7 0.6 0,5 0,4 0,3 0,2 0,1 0 Таким образом, наилучшим является второй вариант СЗИ. По графику (Рисунок 4.5) легко определить, насколько тот или иной вариант защиты соот­ветствует обобщенным требованиям . 4.5.3 Выбор варианта СЗИ при задании требований в качественной формеЕсли оценки вариантов по критериям и коэффициенты относительнойважности задаются функциями принадлежности соответственно иVw^j)Необходимо упорядочить m вариантов СЗИ аь а2, ..., ат, оцениваемых по «п» требованиям (критериям) Сь Сг, ..., Сп. Соответствующую оценку обозна­чим Ry; i=l..m, j=l..n. Относительная важность каждого требования задается коэффициентом Wj , £Wj =1. В этом случае взвешенная оценка i-ro вариантавычисляется по формуле: и/=1 (4.5.2)Так как в данном случае Ry и Wj являются нечеткими числами, Rj опреде­ляется в соответствии с формулой (4.5.2) на основе принципа обобщения. Би­нарную операцию * (в данном случае это операция сложения или умножения) можно обобщить на случай нечетких чисел (например, X и Y), задаваемых функциями принадлежности ц.х(х) и ц.у(у) соответственно. Результат обобщен­ной операции * - нечеткое число Z, определяемое функцией принадлежности:fiz(z) = sup min(//v(.x),/iKг-**У (4.5.3)После того, как взвешенные оценки R; получены, необходимо сравнить варианты на их основе. Для этого вводится нечеткое множество I, заданное на множестве индексов вариантов {1, 2, ..., ш}. Значение соответствующей функ­ции принадлежности интерпретируется как характеристика степени того, на­сколько вариант а.\ является лучшим. Значение ji ¡(1) вычисляется по формуле:¡лт{/)= sup millДд (ry)> (4.5.4) 4.5.4 Выбор варианта СЗИ лексикографическим методомВ случае, если весовые коэффициенты показателей не определены, но упорядочены по важности — возможно использование лексикографического метода выбора [105]. Данный метод, в отличие от метода аддитивного показа­теля, позволяет только определить какой из вариантов СЗИ лучше, но не возво- ляет определить на сколько.Суть метода заключается в выделении сначала множества альтернатив с наилучшей оценкой по наиболее важному показателю. Если такая альтернатива единственная, то она считается наилучшей; если их несколько, то из их под­множества выделяются те, которые имеют лучшую оценку по второму показа­телю и т.д.Для расширения множества рассматриваемых альтернатив и улучшения качества решения по совокупности показателей может назначаться уступка, в пределах которой альтернативы считаются эквивалентными.Применение этого метода при нечетких показателях качества (требовани­ях) СЗИ сводится к следующим операциям [113]. Упорядочить требования к СЗИ по важности: Ci > С2 > ... > Cj > ... > Cn; j = l..n. С согласия ЛПР для каждого требования назначается величина допус­тимой уступки ACj; j = l..n. в пределах которой рассматриваемые варианты СЗИ считаются «практически равноценными». Для первого требования С] формируется множество «практически рав­ноценных» вариантов, удовлетворяющих условию - множество щ. t*i Если тс 1 - множество содержит ровно один вариант, то он и считается наилучшим. Если щ - множество содержит более одной альтернативы, то пе­реходим к рассмотрению всех вариантов множества tïi по требованию С2. Для второго требования С2 формируется 7Ь множество вариантов из множества к ь удовлетворяющих условию: max .Л'с, (а^) - /fc (ak) < tC-,Л-IT, Если 712 множество содержит ровно один вариант, то он и считается наилучшим; если более одного - рассматриваем эти варианты по требованию С3 и т.д. Если все требования последовательно пересмотрены и в результате по­лучаем 7Г — множество % = щ • • ... ■ 7С„, содержащее более одной альтернати­вы, то возможно применить два подхода: уменьшить величину допустимой уступки A Cj, начиная с первого по важности требования и повторить все шаги решения; представить ЛПР окончательный выбор лучшего варианта. Выбираем наиболее подходящий из 5 вариантов СЗИ «ПХВ-1» (aj) лекси­кографическим методом.Варианты оцениваются по 4 требованиям (критериям), описанным выше (п. 4.3.1): Ci - требования к аппаратным СЗИ, С2 - требования к программным СЗИ, С3 - требования к структуре, С4 - требования к нормативной базе.В результате экспертной оценки получены следующие данные, характе­ризующие степень соответствия СЗИ заданным требованиям:С, = { 0,9/аь 0,9/а2; 0,8/а3; 0,6/а4; 0,7/а5 }С2= { 0,8/а,; 0,9/а2; 0,7/а3; 0,8/а4; 0,9/а5 }С3 = { 0,5/аь 0,7/а2; 0,8/а3; 0,9/а4; 0,8/а5 }С4 = { 0,6/а,; 0,7/а2; 0,6/а3; 0,7/а4; 0,4/а5 } Требования упорядочены по важности следующим образом: С, >С2>С3 >С4 Зададимся величиной допустимой уступки: A Cj = 0,1 для всех Р; угр. Формируем множество по первому требованию. При максимальном значении Ci = 0,9 и A Ci = 0,1 в это множество входят варианты Л\ = {аь а2, а3}. Из элементов множества л\ формируем множество %2 по второму тре­бованию. При шах С2=0,91   ...   14   15   16   17   18   19   20   21   ...   25

-с 1 2 3 4 5 6 7 АСУТП установки Протокол ЛВС: Протокол: Контроллеры: 1. Использование промышленных 1. Для повышения надежности выполнено 1. ПО включает в себя систему легкого Industrial Modbus М5+ Modicon контроллеров, соответствующих резервирование контроллеров. сигнализации нарушений и включает в гидрокрекинга Л- Ethernet TSX Quantum требованиям взрывобезопасности. себя средства защиты от 24/8С на ОАО ПО: фирмы 2. Отдельная программно-аппаратная несанкционированного доступа к «Сызранский НПЗ» ПО: Реализуется Schneider 2. Применение искробезопасных система противоаварийной защиты. функциям системы. DeltaV компании средствами Electric УСО (С сайта EMERSON SCADA системы 3. Резервированные источники питания. 2. Применение резервированной сети «Инкомсистем» Process УСО: 3. Использование промышленного Ethernet www.incomsystem.ru/ Management Интерфейс: искробезопасн протокола МоёЬи5, в котором application/) (Fisher- RS-485 ые 8- данные защищены 16-битным Rosemount). канальные CRC-кoдoм. модули Оператор скне аналогового станции: ввода/вывода, IBM PC- 32-канальные совместимые модули ПК, дискретного Операционная ввода/вывода, среда Windows интерфейсный NT модуль для связи с системой ПАЗ. Монтажные шкафы: "RITALL" (Лоо Безопасность в 8САОА/НМ1-Системах Б1МАТ1С \VINCC ^¡етепз, Германия) ТЯАСЕ МОРЕ 6 (Ас^га, Россия) ОЕЫЕ31832Осошсэ,США) 1ытоисн(\Vonderware, США) СГГЕСТ (Скей, США) КРУГ- 2000 («НПФ Круп», Россия) КеаИех (Кса1Псх ТесЬпо^ез , Ирландия) Ма51ег5САО А(ЗАО«ИнСАТ»,Россия) аеагБСАОА (СоШго! Мкгс^штз , Канада) ¡Р1Х (6ЕРАЫиС,США,Япония) ЮББ (Беуеп ТесЬпо1о§1ез , Дания) ОрепБСАОА (Нсхависимыс разработчики, старт -Украина) Ведение архива событии + + + + + + + + + + + + Защита настроек паролем + + + + + + + + + + + + Разграничение прав доступа пользователей + + + + + + + + + + + + Настройка разрешенного времени для входа пользователя + + + + + + + . + + + + — Горячее резервирование + + + + + + + + + + + + Удаленнаяперезагрузкаконторллеров + + + + + + + + + + + — Синхронизациясистемноговремени + + + + + + + + + + + + Самотестирование,обнаружениеошибок + + + + + + + + + + + + Уведомление тревоге на экране + + + + + + + + + + + + Уведомление о тревоге звуковое + + + + + + + + + + + + Функциисторожевоготаймера + + + + + + + + + + + + Автоматический Старт/Перезагрузк а системы в случае ошибки + + + + + + + + + + + + Информация обошибкахкоммуникации + + + + + + + + + + + + чэ SIMATIC WINCC (Siemens, Германи) TRACE MODE 6 (Adastra, Россия) GENESIS32(Iconics,США) INTOUCH(Wonderware,США) CITECT (Citect, США) КРУГ-2000(«НПФКруг»,Россия) RealFIex (RealFlex Technologies , Ирландия) MasterSCAD А(ЗАО«ИнСАТ»,Россия) CtearSCADA (Control Microsystems , Канада) ¡FIX(GEFANUC,США,Япония) IGSS (Seven Technologies , Дания) ОрепвСАЛА (Нехависимые разработчики, старт -Украина) Автоматический контрольсвободной памяти диска + + + + + + + + + + + — Восстановление исходных настроек параметров + + + + + + + + + + + + Контроль достоверности параметров измерения + + + + + + + + + + + + Контрольдопустимостивводимойоператороминформации + + + + + + + + + + + + Блокировка определенных команд в аварийной ситуации + + + + + + + + + + + + Контекстная помощь к управлению + + + + + + + + + + + — Интуитивный графический НМ1-интерфейс + + + + + + + + + + + + O-i о SIMATIC WINCC (Siemens, Германи) TRACE MODE 6 (Adastra, Россия) GENESIS32(Iconics,США) INTOUCH(Wondcrware,США) CITECT (Citect, США) КРУГ-2000 («НПФ Круг», Россия) RealFlex (RealFlex Technolo gies,Ирланди я) MasterSCAD A(ЗАО«ИнСАТ»,Россия) ClearSCADA (Control Microsystems , Канада) ¡Р1Х (вЕFANUC,США,Япония) IGSS (Seven Technologies , Дания) OpenSCADA (Нехависимые разработчики, старт -Украина) Соответствие ПОстандартамбезопасности + + + + + + + + + + + + ISO 9001; IEC 61508; DIN V 19250; DIN V 19251; EN 60204-1; EN 954-1; ISO 9001; IEC61131-3; Сертифик ация в соответств ии стребовани ями FDA, 21 CFRI1; Сертификаци я всоответствии стребованиями FDA, 21 CFR И; Сертификаци я всоответствии стребованиями FDA, 21 CFRп; ISO 9001; Сертификаци я всоответствии стребованиями FDA, 21 CFR И; ГОСТ 24. 104-85; ГОСТ 12.2.007-0­75;ГОСТ 12.2.003-74; ГОСТ 12.3.002-75 ISO 9001; ISO 9001; ГОСТ ISO 9001; IEC 61131-3; EN 61000-6­4; EN 55022; EN 61000-6­2; EN 50082­1 150 9001;а такжеосновныемировыестандартыистандарты Евросоюз а ISO 9000; Несертифицируете я Переемственность версийпрограммного обеспечения + + + + + + + + + + + — Гарантированная техническая + + + + + + + + + + + — поддержка разработчика Гибкость. Взаимодействие с другими программными средствами с помощью технологий ОРС, ODBC, DCOM, OLE, OLEDB, ActiveX, ODBC... + + + + + + + + + + + +/- (ОС Linux) Беспроводные коммуникационны e протоколы + + + + + + + + + + + + Проводные коммуникационны е протоколы + + + + + + + + + + + + ПРИЛОЖЕНИЕ 3 Подсистема безопасности в БСАВА-системе ШТ011СНИнтегрированная БСАБА/БМ! система ШТОиСН 9.5 располагает мощной системой безопасности, способной максимально защитить работающую АСУ ТП от несанкционированного доступа и ошибок персонала.И«* А*>-келщр | Хлсикк- «1ЙММШ«* - —-I П*ЙЛ> 8 -»П I □, г |I ¡3 , | О Рвнктчмм»«»В Осг»ев 11 0{3 ^ | (3 Умпам1 1 ГяУЛА --- > ¡ЗКеигирсм«« ! □ Рвдактнх«^Iтхт О дс^/к««Экр-х« □ Умлм». ппщрррб ;Л 1Система безопасности ШТОиСН основана на системе паролей. В инструментальной системе создаются группы пользователей. Число групп не ограничивается. В каждой группе может быть произвольное количество пользователей АСУ ТП. Деление на группы условно и, в принципе, должно соответствовать количеству должностей и рабочих групп, имеющих отношение к данной АСУ.Каждый пользователь, будь то оператор, технолог, мастер, администратор или директор, обладает своим набором прав доступа к компонентам информационной системы - к экранам, элементам управления и функциям управления. При загрузке АСУ ТП или АСУП система безопасности ШТОиСН проверяет имя и пароль пользователя и предоставляет ему только те права, которыми он обладает. Если пароль введен не будет, то система безопасности не даст АСУ ТП запуститься.Если необходимо организовать автоматическую загрузку системы, то в ней должен быть прописан пользователь «по умолчанию», обладающий минимальными правами.Система безопасности ШТОТЛСН контролирует ввод пароля и при выходе пользователя из системы.Смену пользователя можно производить, не останавливая работу АСУ ТП. Если, например, 8САХ)А-система загружена с правами оператора, то для выполнения функций, технолога (входа в диалог настройки регуляторов) потребуется заново зарегистрироваться в системе под именем и паролем технолога. По окончании настройки регуляторов технолог должен выйти из системы, выбрав в качестве текущего пользователя оператор. Более того, администратор системы может удаленно поменять права пользователя, послав команду через сеть.Система безопасности ШТОиСН позволяет редактировать список пользователей в реальном времени, добавлять или удалять пользователей , не прерывая работы АСУ ТП. Доступ к АСУ ТП протоколируется системой безопасности ГЫТОиСН в отчет тревог, что позволяет при необходимости восстановить хронологию событий и действий персонала.В случае, если сервер ГМТОиСН имеет выход в интернет или интранет, может встать вопрос защиты файла проекта, содержащего коммерческую информацию. На этот случай существует возможность заказа индивидуальной линии ключей ЮТОИСН, несовместимых с обычными ключами по форматам данных проекта.Разработчик БСАВА-системы: компания «\VonderWare». Что такое SCADA-системыТермин SCADA-система используют для обозначения программно- аппаратного комплекса сбора данных (телемеханического комплекса).К основным задачам, решаемым SCADA-системами, относятся: Обмен данными в реальном времени с УСО (устройством связи с контролируемым объектом). Этим устройством может быть как промышленный контроллер, так и плата ввода/вывода. Обработка информации в реальном времени. Отображение информации на экране монитора в понятной для человека форме (HMI сокр. от англ. Human Machine Interface — человеко-машинный интерфейс). Ведение базы данных реального времени с технологической информацией. Аварийная сигнализация и управление тревожными сообщениями. Подготовка и генерирование отчетов о ходе технологического процесса. Архивирование технологической информации (сбор истории). Обеспечение связи с внешними приложениями (СУБД, электронными таблицами, текстовыми процессорами и т.д.). В системе управления предприятием такими приложениями чаще всего являются приложения, относимые к уровню MES. Иногда SCADA-системы комплектуются дополнительным ПО для программирования промышленных контроллеров. Такие SCADA-системы называются интегрированными, и к ним добавляют термин SoftLogic.Это была сухая формулировка, взятая из энциклопедии. На самом деле системы такого класса имеют четкое предназначение — они предоставляют возможность осуществлять мониторинг и диспетчерский контроль множества удаленных объектов (от 1 до 10000 пунктов контроля, иногда на расстоянии в тысячи километров друг от друга) или одного территориально распределенного объекта. Классическими примерами являются: Нефтепроводы; Газопроводы; Водопроводы; Удалённые электрораспределительные подстанции; Водозаборы; Дизель-генераторные пункты и т.д. Основная задача БСАЭА — это сбор информации о множестве удаленных объектов, поступающей с пунктов контроля, и отображение этой информации в едином диспетчерском центре. Кроме этого, 8САХ)А должна обеспечивать долгосрочное архивирование полученных данных. При этом диспетчер зачастую имеет возможность не только пассивно наблюдать за объектом, но и ограниченно им управлять, реагируя на различные ситуации.1   ...   17   18   19   20   21   22   23   24   25

Общая структура вСАБАРабота БСАОА - это непрерывный процесс сбора информации реального времени с удаленных точек (объектов) для обработки, анализа и возможного управления.Требование обработки реального времени обусловлено необходимостью оперативной доставки (выдачи) всех сообщений и данных на центральный интерфейс оператора (диспетчера). В то же время понятие реального времени отличается для различных 8САБА-систем.Все современные ЗСАЭА-системы включают три основных структурных компонента (см. рисунок ниже) : ^ j<X ?———т/ !/Í-- < WAM RTU Remete Terming] Unit Объект yn^asnonRTU Kerrote Termine»! Unit Remote Terminal Unit (RTU) удаленный терминал, подключающийся непосредственно к контролируемому объекту и осуществляющий обработку задачи (управление) в режиме реального времени. Спектр воплощений RTU широк: от примитивных датчиков, осуществляющих съем информации с объекта, до специализированных многопроцессорных отказоустойчивых вычислительных комплексов, осуществляющих обработку информации и управление в режиме жесткого реального времени. Конкретная его реализация определяется спецификой применения. Использование устройств низкоуровневой обработки информации позволяет снизить требования к пропускной способности каналов связи с центральным диспетчерским пунктом.Master Terminal Unit (MTU), Master Station (MS) диспетчерский пункт управления (главный терминал); осуществляет обработку данных и управление высокого уровня, как правило, в режиме мягкого (квази-) реального времени. Одна из основных функций - обеспечение человеко- машинного интерфейса (между человеком-оператором и системой). Взависимости от конкретной системы MTU может быть реализован в самом разнообразном виде: от одиночного компьютера с дополнительными устройствами подключения к каналам связи до больших вычислительных систем (мэйнфреймов) и/или объединенных в локальную сеть рабочих станций и серверов. Как правило, и при построении MTU используются различные методы повышения надежности и безопасности работы системы. Устройство MTU часто называют SCADA-сервером.Communication System (CS) коммуникационная система (каналы связи) между RTU и MTU. Она необходима для передачи данных с удаленных точек (RTU) на центральный интерфейс диспетчера и передачи сигналов управления обратно с MTU на RTU. В качестве коммуникационной системы можно использовать следующие каналы передачи данных: Выделенные линии - собственные или арендованные; медный кабель или оптоволокно; Частные радиосети; Аналоговые телефонные линии; Цифровые ISDN сети; Сотовые сети GSM (GPRS). С целью дублирования линий связи устройства могут подключаться к нескольким сетям, например к выделенной линии и резервному радиоканалу.Особенности SCADA как процесса управленияНиже перечисленные некоторые характерные особенности процесса управления в современных диспетчерских системах: В системах SCADA обязательно наличие человека (оператора, диспетчера); Любое неправильное воздействие может привести к отказу (потере) объекта управления или даже катастрофическим последствиям; Диспетчер несет, как правило, общую ответственность за управление системой, которая, при нормальных условиях, только изредка требует подстройки параметров для достижения оптимального функционирования; Большую часть времени диспетчер пассивно наблюдает за отображаемой информацией. Активное участие диспетчера в процессе управления происходит нечасто, обычно в случае наступления критических событий - отказов, аварийных и нештатных ситуаций и пр.; Действия оператора в критических ситуациях могут быть жестко ограничены по времени (несколькими минутами или даже секундами).Термины АСУ ТП АСУ ТП. Автоматизированная система управления технологическим процессом.ИУ. Исполнительное устройство. Звено в контуре управления, служащее для непосредственного воздействия на объект управления.ОУ. Объект управления. Звено в контуре управления. В общем смысле для АСУ ТП объектом управления является сам технологический процесс.САУ. Система автоматического управления.УУ. Управляющее устройство. Звено, в контуре управления, вырабатывающее для ОУ управляющее воздействие в соответствие с определенными алгоритмами автоматического управления. В простейшем случае - регулятор.AI (Analogue Input). Ввод аналоговых полевых сигналов.ALARM. Аварийная сигнализация.АО (Analogue Output). Вывод аналоговых полевых сигналов.ARCHIVE (Архив, История). Архив значений технологических параметров за прошедший период времени. Часто еще называется HISTORICAL ARCHIVE.AS (Automation Station). Обобщенное название любого устройства, осуществляющего автоматизированное управление.BASEPLATE. Базовая панель. Служит для установки электронных модулей в специальные слоты. Неотъемлемая часть модульной системы.CFC (Continuous Flow Chart). Непрерывная функциональная диаграмма. Язык программирования ПЛК.DCS (Distributed Control System). Распределенная система управления (РСУ).DI (Discrete Input). Ввод дискретных полевых сигналов.DISTRIBUTED IO, REMOTE IO. Распределенный (удаленный) ввод/вывод. Полевой ввод/вывод, расположенный на значительном удалении от центрального устройства управления.DO (Discrete Output). Вывод дискретных полевых сигналов.ES (Engineering Station). Инженерная станция. Станция инженерного обслуживания АСУ ТП.ЕХ (сокр. от слова Explosive). Так обозначаются взрывоопасные зоны и участки производства. Такую маркировку имеет оборудование, предназначенное для эксплуатации во взрывоопасных зонах.FACEPLATE (Фейсплейт). Дословно "Лицевая панель". Графический элемент человеко-машинного интерфейса, предназначенный для управления технологическим устройством.FBD (Functional Block Diagram). Диаграмма функциональных блоков. Один из пяти стандартизированных языков программирования ПЛК.FEEDBACK. Обратная связь. Информационная связь в контуре регулирования между датчиком, измеряющим значение регулируемой величины, и входом регулятора.FO (Fiber Optic). Оптоволокно. Физическая среда передачи данных.HMI (Human Machine Interface). Человеко-машинный интерфейс (ЧМИ). Интерфейс взаимодействия человека-оператора с АСУ ТП.IL (Instruction List). Список инструкций. Один из пяти стандартизированных языков программирования ПЛК.INDUSTRIAL ETHERNET. Семейство протоколов промышленных сетей на базе Ethernet (IEEE 802.3). К Industrial Ethernet обычно относят Profinet, EtherCAT, Ether/IP и некоторые другие.INTERFACE MODULE. Интерфейсный модуль. Электронный модуль для подключения устройства к сети.IO (Input Output). Подсистема ввода/вывода полевых сигналов. Неотъемлемая часть любой АСУ ТП.IO BUS. Цифровая шина полевого ввода/вывода. Как правило, связывает контроллер и удаленные устройства ввода/вывода.IO MODULE. Электронный модуль для подключения полевых приборов: датчиков и исполнительных механизмов. Часть подсистемы ввода/вывода.IS (Intrinsically Safe). Так обозначаются электрооборудование и электрические цепи, в которых реализована взрывозащита вида «искробезопасная электрическая цепь» (искрозащита).IS-Barrier (Intrinsically Safe Barrier). Барьер искробезопасности.IS RIO (Intrinsically Safe Remote Input/Output). Система искробезопасного удаленного ввода/вывода.LAN (Local Area Network, ЛВС). Локальная вычислительная сеть.LD (LAD, LADDER). , Лестничная диаграмма. Один из пяти стандартизированных языков программирования ПЛК.LOCAL IO (Input Output). Локальный ввод/вывод. Ввод/вывод, встроенный непосредственно в устройство управления, либо установленный- на той же базовой панели виде модульной системы.MASTER. Ведущее устройство на шине передачи данных.MES (Manufacturing Execution System). Производственная исполнительная система. Комплексное решение для управления производством на уровне завода (фабрики).MODBUS, PROFIBUS, DEVICENET, CAN, FOUNDATION FIELDBUS (FF). Промышленные стандарты передачи данных по цифровым шинам. Существуют разновидности каждого из этих стандартов.MTU (Master Terminal Unit). Главный терминал. Компонент SCADA- систем.NIC (Network Interface Card). Интерфейсная карта для подключения компьютера к сети.OLM (Optical Link Module). Преобразователь среды передачи данных «оптоволокно-медь».OPC (OLE for Process Control). Клиент-серверный протокол обмена данными между распределенными приложениями. Применяется в промышленных системах.OPERATOR PANEL (Операторская Панель). Компактная вычислительная машина со встроенным жидкокристаллическим дисплеем, предназначенная для визуализации и операторского управления технологическим процессом.OS (Operator Station). Операторская рабочая станция для управления технологическим процессом.PCS (Process Control System). Автоматизированная система управления технологическим процессом (АСУ ТП).PID (ПИД, пропорционально-интегро-дифференциальный). Разновидность непрерывного регулятора, применяемого для поддержания заданного значения регулируемой величины.PLC (Programmable Logic Controller). Программируемый логический контроллер (ПЛК). В узком смысле - аппаратное обеспечение, реализующее- автоматизированное управление технологическим процессом. В широком понимании - класс АСУ ТП.PV (Process Value). Текущее значение регулируемой величины, подаваемое на вход регулятора. Таким образом реализуется обратная связь.REDUNDANT PAIR. Резервированная пара. Пара модулей, работающих параллельно и страхующих друг друга. Метод повышения отказоустойчивости системы.RTU (Remote Terminal Unit). Удаленный терминал. Компонент SCADA-систем.SCADA (Supervisory Control and Data Acquisition). В узком смысле - пакет визуализации процесса. В широком понимании - класс АСУ ТП.SCAN CYCLE. Цикл сканирования. Время, за которое контроллер выполняет полный цикл операций.SERVER. Сервер для обслуживания множества операторских станции и других ПК.SETPOINT. Уставка, заданное значение регулируемой величины, подаваемое на вход регулятора.SFC (Sequential Function Chart). Язык последовательных функциональных схем. Один из пяти стандартизированных языков программирования ПЛК.SLAVE. Ведомое устройство на шине передачи данных.STP, RSTP (Spanning Tree Protocol, Rapid Spanning Tree Protocol). Протоколы IEEE 802.Id и 802.lw соответственно. Позволяют создавать петлевидные топологии на базе Ethernet. SPOF (Single Point of Failure). Единичная точка отказа.ST (Structured Text). Структурированный текст. Один из пяти стандартизированных языков программирования ПЛК.TERMINAL BUS. Шина передачи данных между операторскими станциями, контроллерами и серверами. Сеть верхнего уровня АСУ ТП.TREND (Тренд). График изменения параметра (параметров) технологического процесса. Различают тренд реального времени и исторический тренд.VISUAL SUPERVISOR (Графический Супервизор). Промышленный контроллер со встроенным человеко-машинным интерфейсом.Условия эксплуатацииПо устойчивости к воздействию температуры и влажности окружающего воздуха в процессе эксплуатации по ГОСТ 26.205 оборудование ПТК «ПХВ-1» должно соответствовать категориям, указанным в Таблица 3.1. Таблица 3.1. Требования к оборудованию ПТК «ПХВ-1» Г руга» ТпшС Тпкм-с ОшоешсяиюяВЛЯЖИиСТЬ,"'» 1" король нарастдо« Категория iKiMt.iiv.-i6B! по ГОСТ 26.205 (г^тата) 04 +5 О г 5 до 95 без конденсации ьлаг.1 20 Обогреваемые или охлаждаемые помешан я С4 -30 От 5 до 100 кочдепсзции 1 язи' 10 Под коышей или г ;.ц>ыты'/поглгшр-т' ЭлектроснабжениеОсновное электропитание шкафов автоматики и фронтальных контроллеров распределенных АСУ ТП осуществляется от сети переменного тока 1 категории напряжением -220В +22/-ЗЗВ, частотой 50 Гц и от ЩПТ (щит постоянного тока) напряжением постоянного тока =220В +22/-ЗЗВ (резервное питание).Для защиты от провалов входного напряжения и нарушения работоспособности питаемого электронного оборудования, основное электропитание локальных и фронтальных контроллеров дублируется от резервного источника питания постоянного тока напряжением =220 В (аккумуляторная батарея).Для управления ЭПУУ кранов к шкафам автоматики подается питание напряжением постоянного тока =220 В от щита постоянного тока (ЩПТ).Питание датчиков, подключаемых к шкафам автоматики, осуществляется от источников постоянного тока напряжением =24 В этих шкафов.Для бесперебойного питания автоматизированного рабочего места сменного инженера (основного и резервного АРМ СИ) применяется источник бесперебойного питания (ИБП) без обслуживания батарейного питания, работающий от цепей переменного тока -220В и внешней аккумуляторной батареи =220 В.Питание оперативным током вторичных цепей шкафного оборудования ПТК «ПХВ-1» осуществляется через автоматические выключатели с защитой по току.Устройства релейной защиты, автоматики и управления ответственных элементов имеют постоянно действующий контроль состояния цепей питания -220В и =220В.Источник питания (ИП) типа «W» (фирма Melcher), мощностью не менее 125 Вт и преобразователи DC/DC типа «ИРБИС», мощностью 25 Вт, применяемые в ПТК «ПХВ-1», удовлетворяют следующим основным требованиям: диапазон входных напряжений: -220В +22/-ЗЗВ; =220В +22/-ЗЗВ (универсальный вход); выходное напряжение: +5В, +12В, +24В; PI-фильтр на входе и выходе; мощность не менее 30 Вт; пульсации на выходе ИП не более 100 мВ; работа в резервном режиме; индикация питания; гальваническая развязка входа/выхода; установка выходного напряжения; возможность работы без нагрузки, защита от короткого замыкания, перенапряжения на выходе и перегрева; рабочая температура окружающей среды (25.. .60) °С . Схема электропитания шкафов автоматики ПТК «ПХВ-1» является распределенной, с резервированием. Типовая схема распределения электропитания в ПТК «ПХВ-1» представлена на Рисунок 3.1. ШКАФ А В Г О М А ТИКИ -220В 1   ...   17   18   19   20   21   22   23   24   25

/ / Чтение одного 32-х разрядного регистра устройства / / Параметры:// devNum - номер устройства на шине MODBUS// startAddr - начальный адрес регистра устройства// value - считанное из устройства значениеint ReadRegister32(unsigned char devNum, unsigned long startAddr, unsignedlong *value) {register int res; unsigned char *dataPtr; unsigned long nCount;unsigned short *ptr = (unsigned short *)GetDataPtr(); *ptr = EndianSwap(startAddr); *(ptr+l) = 0x0200;if ((res = SendDataToDevice(devNum,0x03,4))!=SUCCESSFUL) return res; if ((res = GetDataFromDevice(devNum,SdataPtr,SnCount))!=SUCCESSFUL) returnres;ptr = (unsigned short *)(dataPtr+3); if (*(dataPtr+2)!=4) return READ_ERROR; *ptr = EndianSwap(*ptr); *(ptr+l) = EndianSwap(*(ptr+1)); *value = *((unsigned long*)ptr); return res;}// Чтение одного 16-ти разрядного регистра устройства / / Параметры:// devNum - номер устройства на шине MODBUS// startAddr - начальный адрес регистра устройства// value - считанное из устройства значениеint ReadRegisterl6(unsigned char devNum, unsigned long startAddr, unsignedshort *value) {register int res; unsigned char *dataPtr; unsigned long nCount;unsigned short *ptr = (unsigned short *)GetDataPtr(); *ptr = EndianSwap(startAddr); *(ptr+1) = 0x0100;if ((res = SendDataToDevice(devNum,0x03,4))!=SUCCESSFUL) return res; if ((res = GetDataFromDevice(devNum,SdataPtr,SnCount))!=SUCCESSFUL) returnres;ptr = (unsigned short *)(dataPtr+3); if (*(dataPtr+2)!=2) return READ_ERROR; *value = EndianSwap(*ptr); return res;}/ / При записи используются все те же параметры что и при чтенииint WriteRegisters(unsigned char devNum, unsigned long startAddr, unsigned long count,unsigned short *data,unsigned long *regStart, unsigned long *nRegs){register int res;unsigned char *dataPtr = GetDataPtr(); unsigned long nCount; unsigned char byteCount;unsigned short *ptr = (unsigned short *)dataPtr;*ptr = EndianSwap(startAddr);*(ptr+l) = EndianSwap(count);byteCount = (count&OxFF) *(dataPtr+4) = byteCount;ptr = (unsigned short *) (dataPtr+5);memcpy (ptr, data, counted) ;if ((res = SendDataToDevice(devNum,0x10,5 + byteCount))!=SUCCESSFUL) return res;if ((res = GetDataFromDevice(devNum,SdataPtr,SnCount))!=SUCCESSFUL) returnres;ptr = (unsigned short *)(dataPtr+2); *regStart = EndianSwap(*ptr); "nRegs = EndianSwap(*(ptr+1)); return res;}int WriteRegisterl6(unsigned char devNum, unsigned long startAddr, unsignedshort value) {register int res;unsigned char *dataPtr = GetDataPtr(); unsigned long nCount; unsigned char byteCount;unsigned short *ptr = (unsigned short *)dataPtr;*ptr = EndianSwap(startAddr);*(ptr+1) = 0x0200;byteCount = 2;*(dataPtr+4) = byteCount;ptr = (unsigned short *)(dataPtr+5);*ptr = EndianSwap(value);if ((res = SendDataToDevice(devNum,0x10,5 + byteCount))!=SUCCESSFUL) return res;if ((res = GetDataFromDevice(devNum, SdataPtr, SnCount)) !=SUCCESSFUL) returnres;return res;}int WriteRegisters32(unsigned char devNum, unsigned long startAddr, unsigned long count,unsigned long *data,unsigned long *regStart, unsigned long *nRegs){register int res;unsigned char *dataPtr = GetDataPtr(); unsigned long nCount; unsigned char byteCount;unsigned short *ptr = (unsigned short *)dataPtr;*ptr = EndianSwap(startAddr);* (ptr+1) = EndianSwap (counted) ;byteCount = ((count<*(dataPtr+4) = byteCount;ptr = (unsigned short *)(dataPtr+5);memcpy(ptr,data, count<<2) ;if ((res = SendDataToDevice(devNum,0x10,5 + byteCount))!=SUCCESSFUL) return res;if ((res = GetDataFromDevice(devNum, SdataPtr,SnCount))!=SUCCESSFUL) returnres;ptr = (unsigned short *)(dataPtr+2); *regStart = EndianSwap(*ptr); *nRegs = EndianSwap(*(ptr+1)); return res;}int WriteRegister32(unsigned char devNum, unsigned long startAddr, unsignedlong value) {register int res;unsigned char *dataPtr = GetDataPtr(); unsigned long nCount; unsigned char byteCount;unsigned short *ptr = (unsigned short *)dataPtr;*ptr = EndianSwap(startAddr);*(ptr+1) = 0x0200;byteCount = 4;*(dataPtr+4) = byteCount;ptr = (unsigned short *)(dataPtr+5);*ptr = EndianSwap((unsigned short)(value & OxFFFF)); *(ptr+l) = EndianSwap((unsigned short)(value>>l6));if ((res = SendDataToDevice(devNum,0x10,5 + byteCount))!=SUCCESSFUL) return res;if ((res = GetDataFromDevice(devNum,SdataPtr,&nCount))!=SUCCESSFUL) retres;return res;}//********** Возвращает ответ устройства в миллисекундах ******************** //***************************************************************************long GetResponseTime(){ return _mod_responseTime;}/у***************************************************************************jу**************** Вывод сообщения об ошибке ******************************** //***************************************************************************void _mod_PrintError(int err) {printf("*** MODBUS ERROR %d ***: ",err); switch(err){ 04200911472 Дерябин Александр Вячеславович 1Защита информации в телекоммуникациях АСУ ТП химической промышленности 11 УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И УЯЗВИМОСТИ АСУ ТП 91.1 Телекоммуникации АСУ ТП 91.1.1 Типовая структура АСУ ТП 9¡1]]]]]] 1ЕШ ШШ В11 36Il i 462 ЗАЩИТА ИНФОРМАЦИИ В АСУ ТП 63i 398А=я2/я, 1 ... ык (43Л) 543А = — ■ А ; А = — ■■ АА, =—■ А 576А = " А ^ А = " А ^ ■ ■ ■ ^ А = " А 577М1 = --М»>М2 = --М»>-'>Мп-, = —-А 579к. т, 843Акт внедрения 843 printf("undefined error"); break; }ПРИЛОЖЕНИЕ S Экранный снимок программы MUDBUS MAS'Г1-К icrosoft Windows XP [Версия 5.1.2600 CO Корпорация Майкрософт, 1985-2001.C:\Docui4ents and SettingsSAnMHMHCTpaTop>cd..C:\DocUMonts and Settings)cd..С: \ )no dbus пав t e r. e xemodbusmaster uZ.lusage : mo dbus piaster [options] [long options] long options:COM port options:—con [port],[baudrate],[format 3,[flow][port] - port папе _ в XI- <9600 - by default)[baudrate] — set con port baudrat e [format] - data format In special form: [XHPHS], i.e. 8N1where [X] — number bits of data [5..81 <8 — by default>[PI - parity type: (N, E[S3 - number of stop bits [1,23 <1 - by default>[flow] — flow control: [none, soft, hard, both3 (none — by default)[flow]MODBUS options: —node—node - device number [0..2473 —function - select HODBUS function—rag — register index that must be read or write—data - data string that would transmit to register—byte - set byte numltar in message which point to a number—items - count of items to read—scan - perform a full MODBUS net scan for any devices —listen - listen COM port short options:-d - enable COM port debug mode, data type visualization:[dec,bin,hex.oct,float] -c automatic calculation CRC of the BflU data-r - read one register of the device according the following format: b - print data as BIN - print data as OCT h - print data as HEX f — print data as float c - print data as set of chars print data as DEC by default —w - write register32 write data to 32 bit register 16 - write data to 16 bit register raw - write raw data to port -e — endiari type:b - use in register operation big endians - use in register operation little endians if both parameters are set use half big endians {only2 numbers) enable ASCII mode Cnot fully supported ) print device response tine listen COM port verbos eПРИЛОЖЕНИЕ 9 АКТЫ ВНЕДРЕНИЯ«Утверждаю» Генеральный директор ООО «ПСВ-Холдинг»//7 Д. Ю. Пунин АКТ ВНЕДРЕНИЯРезультаты исследований, полученные Дерябиным A.B. при выполнении диссертационной работы, в частности:Методики и рекомендации по обеспечению информационной безопасности каналов связи в АСУТП, а также рекомендации по выбору программных и аппаратных средств для проектирования автоматизированной системы управления технологическими процессами, соответствующих стандартам и требованиям по безопасности в химической промышленности.внедрены в 2008-2009 году на нашем новом производственном предприятии в г.Электросталь, Московской области - в АСУТП комплекса по производству поливииилхлорида и бумвинила.Методики и рекомендации позволили существенно облегчить работу проектировщиков при выборе методов и средств защиты информации. Методики позволили повысить защищенность информации и телекоммуникаций в АСУТП предприятия. Выработанные методики позволили снизить количество сбоев в технологическом процессе из-за искажения или потери информации, что положительно сказалось на качестве выпускаемой продукции . СЛохиов М. В. Семенов А. А . •и АКТ ВНЕДРЕНИЯРезультаты, полученные Дерябиным A.B. при выполнении диссертационной работы, в частности: Методики защиты телекоммуникаций АСУТП верхнего и нижнего уровней; Рекомендации по обеспечению защиты проводных и беспроводных каналов связи АСУТП и SCADA-систем; внедрены на объектах проектируемых и обслуживаемых нашим предприятием в 2008 году и будут внедряться в дальнейшем. Сергеев М. А. Главный инженер: Руководитель проектной группы: Методики показали высокую эффективность и позволили существенным образом увеличить защищенность передаваемой информации и всей системы в целом . к. т, Акт внедренияРезультаты, полученные Дерябиным A.B. при выполнении диссертационной работы, в частности: Методики применения различных способов защиты информации от несанкционированного доступа в АСУТП; Рекомендации по защите телекоммуникационных и компьютерных сетей; внедрены на нашем предприятии в 2008-2009гг. Они нашли практическое применение при обмене информацией с нашими филиалами в гг. Иваново, Санкт-Петербург, Омске и т.п. Сирко С. Э.Указанные методики хороши тем, что при сравнительно небольших затратах обеспечивают высокую эффективность и не требуют специальной подготовки нашего персонала. Начальник отдела- Смушко О.Л.Начальник лаборатории (т) /* 192 1>8>9600>1   ...   17   18   19   20   21   22   23   24   25

или РА).

Рисунок 3.4 представляет в общем виде структуру БР-сообщения, включающего и защищенные данные, которые, в свою очередь, включены в состав общего блока данных. Всего из 244 байт полезных данных, которые могут быть переданы в одной ЭР-телеграмме, собственно защищенные дан­ные могут составлять максимально 128 байт. Это ограничение связано с об­щим ограничением РгоАЬиэ ЭР, по которому за один цикл может быть про­читано/записано до 64 слов по инициативе ведущего абонента.

Обобщённый формат кадра в сети РгойЬиБ БР приведён на рисунке:

Sync Time
SD
LE
LEr
SD
DA
SA
FC
Data Unit
FCS
ED

33 бита
1 байт
1 байт
1 байт
1 байт
1 байт
1 байт
1 байт
до 244 байт
2 байта
1 байт






Sync Time - время синхронизации, SD - метка начала, LE - длина данных, LEr - повтор длины данных, DA - адрес приёмника,

Рисунок 3

SA - адрес передатчика, FC - номер функции, Data Unit - данные, FCS - контрольная сумма, ED - метка конца сообщения.

4 - Кадр Profibus D

PДля считывания значения измеряемого параметра в формате Float 4, за­нимающем 4 байта, структура запроса входной информации и ответа в блоке данных (Data Unit) выглядят как показывает Рисунок 3.5:

Запрос ведущего устройства:

контрольный байт
последовательный счётчик
контрольная сумма 2 (CRC2)

1 байт
1 байт
2 байт


Ответ ведомого устройства:

защищённые данные
байт состояния
последовательный счётчик
контрольная сумма 2 (CRC2)

4 байта
1 байт
1 байт
2 байт


Рисунок 3.5 - Структура блоков данных в цикле обмена информацией с одноканальным




узлом сети РгоШэш ЭР

Передача каждого байта данных требует дополнительно 1 стартового бита и 2 стоповых бит контроля (на чётность не проводится). Дополнитель­ные биты относятся к управляющим (служебным), они обеспечивают син­хронизацию обмена байтами.

Необходимой информацией для исполнения команды считывания входных данных является «адрес приёмника», «номер функции» в запросе и собственно «защищённые данные» в ответе. Всего 6 байт. Запрос, ответ и минимальная пауза между ними составляют 36 байт. Очевидно, что введение защиты в форме избыточности кодирования, т.е. добавления двух полей «контрольная сумма», «количество байт данных», квитанций «адрес ведомо­го» и «номер функции», - приводит к снижению пропускной способности ка­нала на 83 %:

100х (6 - 36)/36 = - 83,3 %.

Таким образом, дополнительная защита программными методами су­щественно снижает пропускную способность канала для характерных в сетях нижнего уровня АСУ ТП коротких сообщений.

3.3 Экспериментальная проверка защищённости телекоммуникаций ниж­него уровня АСУ ТП.

Телекоммуникации нижнего уровня АСУ ТП в подавляющем большин­стве случаев используют проводные линии связи. В лучшем случае — это эк­ранированная витая пара.

Проникновение в сеть возможно при физическом подключении к линии связи. Это можно сделать в клеммных коробках разветвителей, контролле­ров, датчиков, если доступ к ним недостаточно защищен.

Однако на практике чаще случаются ошибки монтажа, совпадения ад­ресов, неправильная установка скорости обмена и т.п. Ошибки задерживают отладку АСУ ТП, особенно, если затруднено их обнаружение и локализация.

Автором была проверена реакция системы контроля и датчиков на включение второго ведущего в сеть МосИэш ЯТи. Для проверки автором раз­работана программа «МоёЬи8_Маз1ег», которая позволяет генерировать за­просы, в том числе с ошибками, и получать статистическую информацию о событиях в сети.

Целью проведения эксперимента было определение возможности включения второго ведущего в централизованную детерминированную сеть МоёЬиБ ЯТи, выявления последствий такого вмешательства для легального ведущего и для подчиненных узлов сети.

Рисунок 3.6 показывает зависимость процента обнаруженных ошибок обменов легального ведущего от скорости сети с четырьмя ведомыми при цикле опроса 1 с

.
30 25 20 15 10 5 0

Рисунок 3.6 - Зависимость процента обнаруженных ошибок обмена от скорости передачи

Генерация запросов нелегального ведущего производилась программой «МоёЬиз_Маз1ег» 1 раз в секунду независимо (асинхронно) от легального ве­дущего.

При включении алгоритма прослушивания сети и генерации посылок только после 10-миллисекундного «молчания». Программа «МоёЬиз_Маз1ег» обеспечила практически 100 % доступ к ведомым узлам сети, не нарушая циклы обмена легального ведущего. СОМ-порт легального ведущего получал дополнительные несанкционированные посылки. Но 8САОА-система никак на них не реагировала, то есть вмешательство не обнаруживала.

Адреса узлов в сети нелегальный ведущий может получить простым «прослушиванием» сети или сканированием. Скорость обмена может опре­делить методом проб.

Из этого можно сделать следующие выводы:

24,6




































































11,9










-








/.1
















"





_
3,0











&









р—
1,0 1,0
0,5 0,5







ш



**



*
гз—I г—1
1   ...   6   7   8   9   10   11   12   13   ...   25


1,2 2,4 4,8 9,6 19,2 38,4 57,6 115,2

Кбит/с

1. Результаты эксперимента показали, что вмешательство нелегального ведущего физически возможно и не распознается легальным ведущим как вмешательство. Легальный ведущий воспринимает вмешательство нелегаль­ного ведущего как ошибку обмена только при наложении сигналов. Основ­ное негативное воздействие вмешательства нелегального ведущего - ошибки обмена при наложении сигнала

.


  1. При низкой скорости обмена вмешательство нелегального ведущего в большей степени блокирует работу системы, которая констатирует ошибки обмена по сети.

  2. При высокой скорости обмена нелегальный ведущий чаще успевает произвести обмен с ведомым узлом в промежутках между обменами легаль­ного ведущего. При этом легальный ведущий получает в буфер СОМ-порта сообщения, но не распознает их как вмешательство. А ведомые узлы исправ­но исполняют команды нелегального ведущего.

3.4 Разработка алгоритма доступа к узлам сети нижнего уровня АСУ ТП

Предложенный автором системный подход к построению СЗИ, предпо­лагает кроме внешней защитной оболочки, организованной БСАБА- системой и операционной системой, создавать и использовать встроенные механизмами защиты в программных и технических компонентах нижнего уровня АСУ ТП.

Защита интеллектуальных датчиков, исполнительных механизмов, приборов и контроллеров как со стороны встроенного пульта управления, так и со стороны локальной сети представляет из себя механизм цифрового или процедурного пароля. Т.е. доступ к изменению (записи) параметров устрой­ства может быть открыт и закрыт нажатием определённой последовательно­сти кнопок пульта или подачей специальных команд по сети.

Анализ защищённости интеллектуальных сетевых устройств нижнего уровня АСУ ТП показал, что тенденция разработки устройств с максималь­ной гибкостью, программируемостью приводит к неоправданному повыше­нию риска НСД и увеличивает число возможных ошибок обслуживающего персонала. Некоторые характерные результаты этого анализа, проведённого автором среди множества отечественных и зарубежных интеллектуальных устройств ввода-вывода [36-61] сведены в Таблице 3.2.


Таблица 3.2 - Защита доступа к сетевым устройствам АСУ ТП

Устройство и производитель

Сеть (интерфейс)
Открытие доступа | Закрытие доступа

Комплекс ТЕКОНИК® (10 сетевых модулей). ЗАО «ТеконГруп» (Россия)
Т4000 (RS-485)
Замыкание перемычки WWZ\ на приборе. По сети - командой «Перейти в режим «конфигурировани я» ($ААСРО)
Выключение питания прибора.

По сети - командой «Перезапуск датчика» ($AARST)

Комплекс «ДЕКОНТ» (около 30 сетевых модулей). Компания ДЭП (Россия)
CAN, Ethernet (RS-232, RS-485, USB, SSI)
Модули не имеют встроенного пульта, полностью управляются по сети или с переносного пульта. Защита паролями на уровне программ «Конфигуратор», «Клиент-Сервер».

Датчик «Rosemount 3051 >>. Emerson Process Management (США)
Foundation fieldbus
Снять перемычку защиты от записи на приборе
Установить перемычку защиты от записи на приборе

Датчик «Cerbar S». Endress+Hauser (Германия)
Foundation fieldbus
Одновременное нажатие кнопок «+8» и «-г» на приборе.

По сети - командой с кодом 130
Одновременное нажатие кнопок «+Z» и «-8» на приборе.

По сети - командой с кодом, не равным 130

Приборы «ПРОМА-ИДМ»,

«ПРОМА-ИТМ».

ООО «ПРОМА» (Россия)
Modbus RTU (RS-485)
Одновременное нажатие кнопок «|» и «1» на приборе
Одновременное нажатие кнопок «|» и «|» на приборе

Доступ по сети свободный

Прибор Ф1791. Завод «ВИБРАТОР» (Россия)
Modbus RTU (RS-485)
Пароль из 3 цифр с пульта прибора(по сети только чтение)
Нажатие кнопки «Вход»

Датчики «Метран-100». ПГ «Метран» (Россия)
ICP, Modbus (RS-485)
Доступ по сети свободный. 1 Защита паролями на уровне конфигурационной программы 1СР- МА8ТЕ^ Modbus-MASTER или ЗСАВА-системы

1 Модули ввода-вывода серии «NL-М». | НИЛ АП (Россия)
ASCII, Modbus (RS-485)
Доступ по сети свободный через ОРС- сервер ^орс от любой ЗСАОА-системы
1   ...   7   8   9   10   11   12   13   14   ...   25


Таким образом, потенциальная опасность НСД существует, несмотря на наличие паролей и процедур начала и окончания настройки, т.к. высока вероятность того, например, что оператор забудет закрыть процедуру на­стройки. А для узлов, свободно доступных по сети или открываемых по сети, опасность НСД наиболее высока.

Не надо забывать и о том, что легальному пользователю защита не должна добавлять чрезмерных неудобств.

Автор предлагает следующие алгоритмы доступа к узлам сети со сто­роны пульта (Рисунок 3.7) и со стороны сети (Рисунок 3.8), отличающиеся от существующих тем, что оптимально сочетают ряд методов защиты от НСД с предложением доступ к настройкам по сети только закрывать.




Рисунок 3.7 - Алгоритм доступа со стороны пульта




В предложенном алгоритме работы пульта открытие доступа для на­стройки (записи) производится нажатием комбинации кнопок и вводом циф­рового кода (пароля). Причём открытие доступа возможно только с пульта прибора, а закрытие доступа либо с пульта (выход «out» из меню), либо ко­мандой по сети (Рисунок 3.8), либо автоматически по истечении 4 минут по­сле последнего нажатия кнопок пульта прибора. Не получив физического доступа к пульту каждого прибора нельзя их перенастроить. Доступ к особо ответственным настройкам (метрологические характеристики, коды доступа, восстановление заводских настроек) следует предоставлять только при включении питания узла, что дополнительно усложняет доступ и позволяет легко обнаружить его.

Эти неудобства не чрезмерны, если учесть, что такие настройки произ­водятся только в период пуско-наладочных или ремонтных работ. Причём открытие доступа без пароля (код = 0) и открытие доступа по сети отменяют автоматическое закрытие доступа по истечении 4 минут бездействия пульта, т.е. настройка по сети возможна вплоть до её запрета командой по сети.

На Рисунке 3.8 показан участок алгоритма обработки команд записи в ведомом узле, ответственный за доступ к записи настроечных параметров. Он отделяет управление регистром маски доступа (блок 1), разрешая только закрытие доступа (блоки 7, 8); увязывает разрешение записи с маской досту­па (блоки 2, 3) и не проводит запись, если новые данные совпадают с уже имеющимися (блок 4) для сбережения времени и ресурса flash-памяти.




Рисунок 3.8 - Участок алгоритма обработки команд записи (сетевых и пультовых)




Кроме того, автор предлагает любые изменения настроек прибора от­ражать в его архиве событий записью логина, пароля и времени, а также в его регистре диагностики установкой бита обновления настроек. «Ведущий» се­ти должен прочитать регистр диагностики «ведомого», проверить изменения и сбросить бит обновления настроек. Регулярный контроль этого бита легко осуществить, если «ведомый» копирует его в байт статуса в ответе «ведуще­му». БСАБА-системы обычно обрабатывают байт статуса в ответах, и это не является дополнительной нагрузкой. Такой алгоритм существенно снижает вероятность НСД и обеспечивает быстрое обнаружение вторжений в на­стройки, не усложняя работу с узлом сети в процессе эксплуатации.

Предложенный автором алгоритм реализован в интеллектуальных дат­чиках ПД-1ЦМ [62, 63], ИТ-1ЦМ [64, 65] и вторичных приборах ПКД-111

5

[66-68], ПКЦ-1111 [69-71] производства ЗАО «НПП «Автоматика» (г. Вла­димир). Пример конкретной реализации алгоритма в меню прибора ПКД- 1115 [67] иллюстрирует Рисунок 3.9 (показан начальный и конечный участки одной из пяти ветвей управления с пульта). Здесь использован процедурный и цифровой пароли доступа в меню, индивидуальное открытие и закрытие доступа по сети (подменю «гё» —> «гб.Еп») к настройкам аналогового входа «Алп», аналогового выхода «А.оиЬ>, дискретных выходов «с!.оиЪ>, парамет­ров интерфейса «гЭ» и сервисных функций «г8ъ>.

Режим измерения: ¡g 34 *

(Мтяреыгшюешжатие Щ {• и у)гржо!ше оагее 3 делу/А)1 г





Cade Пароль j Ht: мерный


Ввод пароля.! 0000

л*

Конфигурация аналогового входа




fciSJ

5 7.5

ЭВ.Ч

I a J

9.6


Ч.В





г 5 j4->bffud


IS


FF-


Q


Bdt


* DO IS

Конфигурация интерфейса


PRr

EUEn






Я5П

Prat


SEP


r kt

aaia


QFF


a


F Fx


an*


a

i

5 .E


nо FF'


ап


Ion

fl.oufe

d.ouf


c




r5

a FF






St


on «

«-» oBF





Сервис


-ШЖ


г 5


MrEfc

End.;


DODO

(воесыпоплсгшс гаюдскнх настроек и смена кодд доступа ровню .\'»1


)



Рисунок 3.9 - Меню конфигурации ПКД-1115

Автором проведены сравнительные испытания датчиков ПД-1ЦМ и приборов ПКД-1115 с датчиками и приборами аналогичных изделий в сети Modbus RTU SCADA-системы «MySCADA» (разработана ЗАО «НЛП «Ав­томатика») в режиме имитации НСД с использованием авторской программы Modbus_Master.

Для сравнительной оценки защищённости узлов сети от НСД автор предлагает использовать отношение сумм остаточных рисков: S*2i = £ Risk2\ / £Risku,

гдеRiski PiL,Ri - оценка математического ожидания потерь (риск), Pi - вероятность появления i-й угрозы,

L\ - величина ущерба при удачном осуществленииi угрозы в отноше­нии защищаемых объектов (уровень серьезности угрозы),

Rt- вероятность уязвимости, т.е. преодоления механизма защиты. Сравнивая два узла сети №1 и №2, выполняющих одинаковые или близкие функции, можно свести отношение рисков к отношению вероятно­стей уязвимости (преодоления барьера защиты):

Ям = 1Д2|/1Дц, (3.4.1)

т.к. в этом случае для всех I : Рп —Р\\, L2\= LVl

В качестве оценки вероятности преодоления механизма защитыRx ис­пользована относительная частота преодоления механизма защиты по экспе­риментальным данным имитации НСД (величина, обратно пропорциональная количеству попыток до получения доступа).

Защищенность узлов определяется как величина, обратная их «уязви­мости» или риску, поэтому Sz\означает меньшую защищённость узла №1.

Таблица 3.3, Таблица 3.4, Таблица 3.5 и Рисунок ЗЛО, Рисунок 3.11, Ри­сунок 3.12 содержат относительные частоты появления обнаруженных и не обнаруженных мастером сети (MySCADA) вторжений в настройки узлов се­ти со стороны пульта и по сети нелегальным мастером (Modbus_Master). Таблица 3.4 получена при асинхронной работе нелегального мастера (Modbus_Master), когда возможно наложение запросов нелегального мастера на обмены легального мастера. Таблица 3,5 получена при синхронизации за­просов Мо<ЗЬиз_Ма51ег с паузами в обменах легального мастера сети МуБ- САЛЭА.

Таблица 3.3 - Относительные частоты НСД с пульта


НСД
ПД-1ЦМ
пкд-
Метран-
Ф1791
1ЧЬ-8А1"
ПРОМА

с пульта



1115
100






-ИДМ

обнаруженный
0,001
0,001
0,005
0,008
0
0

не обнаруженный
0
0
0
0,017
0
0,50







Рисунок ЗЛО - Относительные частоты появления обнаруженного и не обнаруженного

НСД с пульта

Таблица 3.4 - Относительные частоты асинхронного НСД по сети


НСД
пд-
пкд-
Метран-
Ф17912'
1ЧЬ-8А1и
ПРОМА

по сети
1ЦМ21
11152)
1002)






-идм3)

обнаруженный
0,0005
0,0005
0,003
0,008
0,30
0,35

не обнаруженный
0
0
0
0.025
0,20
0,65



асинхронного НСД через сеть

Таблица 3.5 - Относительные частоты синхронного НСД по сети


НСД по сети
ПД- 1ЦМ21
ПКД- П152)
Метран- 1002)
Ф17914
N1^-8 А11)
ПРОМА -ИДМ3)

обнаруженный
0,001
0,001
0,01
0,01
0,01
0

не обнаруженный
0
0
0
0,08
0,50
1

1   ...   8   9   10   11   12   13   14   15   ...   25

Примечания:



т



не

обнаруженный обнаруженный


Рисунок 3.11 - Относительные частоты появления обнаруженного и не обнаруженного



0,7000 0,6000 0,5000 0,4000 0,3000 0,2000 0.1000 0,0000



не

обнаруженны обнаруженный


1,000 0,900 0,800 0,700 0,600 0,500 0,400 0,300 0,200 0,100 0,000


Рисунок 3.12 - Относительные частоты появления обнаруженного и не обнаруженного

синхронного НСД через сеть

" В датчике «N1.-8А1» для доступа по сети устанавливается перемычка. 2} Доступ открывается с пульта прибора. 3) Прибор не имеет защиты доступа по сети.



ОМА- ИДМ


ПД-1ЦМ.


Метран- ф1791


Ю0 гч1_-8А1


1,000 0,900 0,800 0,700 0,600 0,500 0,400 0,300 0,200 0,100 0.000


Рисунок 3.13 - Сравнительная оценка защищённости

Высокая защищённость ПД-1ЦМ и ПКД-1115 получена за счёт исполь­зования бита обновления настроек и передачи его в байте статуса прибора в каждом ответе, а также тем, что открыть доступ к настройкам из сети можно только с помощью пульта (специальной процедурой с отключением питания и вводом пароля). Прибор «Ф1791» имеет пароль всего из трёх цифр (у ПКД, ПД и Метрана - 4 цифры). Приборы «ЫЬ-8А1» и «ПРОМА-ИДМ» не имеют бита обновления настроек и регистра диагностики; доступ к ним по сети не закрывается средствами самого прибора. НСД в приборы «ЫЬ-8А1» и «ПРОМА-ИДМ» через сеть фактически обнаруживался только как сбой об­мена, поэтому при синхронизации запросов МосШи5_Маз1ег с паузами в об­менах легального мастера относительная частота не обнаруженного НСД сравнялась с 1.

Смотрите также файлы