Диссертация на соискание ученой степени кандидата технических наук Владимирский государственный университет

имнгагор пуль- J


| ЦМ>' |




Рисунок 3.22 - Приложения имитатора

Базовые графические элементы рисуются, как правило, в любом графи­ческом редакторе и заносятся в поле приложения ISaGRAF. Затем графиче­ские элементы привязываются к конкретным дискретным и аналоговым пе­ременным и таким образом становятся составной частью программы имита­тора. Для отладки системы АСУ ТП необходим комплекс имитаторов.

3.6.3 Комплексная отладка системы

Комплексная отладка системы проводится после её окончательной сборки. Для организации отладки и проверки собирается имитатор объекта на базе тех же контроллеров, что используются в основной АСУ ТП. Исполь­зование базовых контроллеров-имитаторов типа IUC9000 (фирма «РЕР Modular Computers») чрезвычайно выгодно и удобно как для реализации про­граммного обеспечения задач-имитаторов объектов, так и для технологиче­ской стыковки интерфейсов контрольно-измерительных каналов (КИК). Для данных контроллеров разработано программное обеспечение, эмулирующее работу объекта.

Автор предлагает использовать подобную систему отладки АСУ ТП для моделирования угроз безопасности, вмешательства в каналы связи, а также защитные мероприятия. Такая система отладки необходима для прове­дения многочисленных экспериментов и накопления статистики, что иногда невозможно реализовать в реальных условиях в разумные сроки.

В процессе комплексной отладки имитируются:

• 
  отказы по напряжениям питания;
  
• 
  изменение питающего напряжения до предельно допустимых значений;
  
• 
  отказы основных контроллеров (проверка работоспособности резерв­ной аппаратуры);
  
• 
  поведение объекта путём подачи на модули аналогового и дискретного ввода сигналов от имитатора;
  
• 
  имитация отказа (повреждения) основного канала связи;
  
• 
  имитация НСД в сеть.
  

3.7 Сравнение результатов отладки (моделирования) до и после введения мер защиты информации в АСУ ТП «ПХВ-1»

Таблица 3.7 содержит результаты экспериментальной отладки АСУ ТП «ПХВ-1» с помощью контроллеров-имитаторов и задач-имитаторов до и по­сле рекомендованных автором мер защиты. Количество проведенных экспе­риментов - 100 для каждого параметра.

Таблица 3.7 - Результаты экспериментальной отладки АСУ ТП «ПХВ-1»	До внедрения рекомендо­ванных мер защиты	После внедрения рекомен­дованных мер защиты
Количество отключений напряжения питания / Количество переключений на резервный источник	100/95	100/ 100
Количество выходов питающего напряжения за предельно допустимые значения / Количество переключений на резервный источник	100/100	100/ 100
Отказы основных контроллеров/ Переключения на резервные	100/94	100/100
Количество превышений технологических уставок / Количество обнаружений превышения	100/92	100/99
Количество превышений аварийных уставок / Количество обнаружений аварий	100/92	100/99
Количество отказов канала связи тОБШив / Количество переключений на резервный канал	100/98	-/­(резервный канал исключен)
Количество ошибок в канале связи МОБВШ / Количество потерянных измерений	100/100	100/58 (восстановлены с помощью косвенных измерений)
Количество попыток НСД в канал РЯОРШиЭ / Количество обнаружений НСД	100/74	-/- (НСД в оптоволоконный канал практически не возможен)
Количество попыток НСД в канал МСЮВШ / Количество обнаружений НСД	100/0	100/83

1. 
   Для обеспечения помехозащищенности, достоверности передачи, увеличения пропускной способности канала и защиты от НСД путем физиче­ского подключения рекомендовано применение оптической линии связи с кабелем, имеющим соответствующие технические характеристики оптиче­ских преобразователей. Это позволит обойтись без резервирования провод­ного канала связи РЫОРГОиЗ и не увеличит затраты.
   

Применение оптического РЛОРШиЭ, при дополнительных затратах на оптическое оборудование, значительно увеличивает надежность магистрали за счет развязки потенциалов удаленных узлов, защиты от вторичного прояв­ления грозовых токов и обеспечивает высокий уровень защиты от несанк­ционированного доступа (НСД).

Модули оптических преобразователей имеют встроенную диагностику оптического канала, индикацию питания модуля и оптического канала.

2. 
   Преобразователи БС/ОС типа «ИРБИС», мощностью 25 Вт, реко­мендовано заменить на аналогичные преобразователи фирмы «ТЯАСО», имеющие более высокую надежность.
   
3. 
   Для повышения достоверности измерений рекомендовано ввести дублирующие вычисления параметров по косвенным характеристикам (на­пример, при измерении расхода жидкостей, газов применяется метод измере­ния абсолютного давления и разности давлений до и после места сужения трубопровода; вместо дифференциального датчика давления целесообразно применить два датчика абсолютного давления и вычислять разность давле­ний).
   

ЭСАБА-система МоисЬ, применяемая на предприятии, имеет развитые математические каналы, которые позволяют вести дублирующие вычисления параметров, но данное преимущество в АСУ ТП не было реализовано разра­ботчиком.

4. 
   Для повышения достоверности измерений (и реализации пункта 3) рекомендовано применять интеллектуальные датчики (давления, температу­ры, уровня, расхода).
   

5. Для охраны производственного оборудования, защиты от НСД, по­жарной и прочей безопасности, а также для контроля деятельности персонала рекомендовано установить систему видеонаблюдения [73].

Угрозы безопасности АСУ ТП «ПХВ-1» и предложенные меры защиты приведены в главе 4 (Таблица 4.3).

3.8 Выводы

1. 
   Исследовано влияние программных мер защиты на эффективность использования физической скорости передачи в сетях МоёЬш и РгоШэиэ, при применении их на нижнем уровне АСУ ТП. Для характерных на нижнем уровне АСУ ТП коротких сообщений не рекомендуется использовать программные методы защиты.
   
2. 
   Проведена экспериментальная проверка защищенности телекоммуникаций нижнего уровня АСУ ТП от НСД с помощью разработанной автором программы.
   
3. 
   Проведён анализ множества алгоритмов доступа к интеллектуальным сетевым устройствам нижнего уровня АСУ ТП.
   
4. 
   Разработаны алгоритмы доступа к узлам сети со стороны пульта и со стороны сети, отличающиеся оптимальным сочетанием методов защиты от НСД и обеспечивающие быстрое обнаружение вторжения. Разработанные алгоритмы реализованы в интеллектуальных датчиках ПД-1ЦМ, ИТ-1ЦМ и приборах ПКЦ-1111, ПКД-1115 (ЗАО «НПП «Автоматика», г. Владимир), применённых в АСУ ТП «ПХВ-1». Акты внедрения приведены в Приложениях.
   
5. 
   Предложено для сравнительной оценки защищённости узлов сети от НСД использовать отношение вероятностей уязвимости (преодоления барьера защиты).
   
6. 
   Экспериментально доказана эффективность разработанных алгоритмов для повышения защищённости узлов сети. Сравнительное экспериментальное исследование нескольких устройств показало многократное (минимум в 5 раз) превосходство по защищённости узлов, в которых реализован разработанный автором алгоритм доступа.
   
7. 
   Проведено экспериментальное исследование СЗИ АСУ ТП «ПХВ-1».
   
8. 
   Рекомендовано применение программно-аппаратурных имитаторов на базе контроллеров ПТК для имитации нештатных ситуаций (сбоев, отказов, НСД), а также защитных мероприятий.
   
9. 
   Выработаны рекомендации по модернизации системы защиты информации АСУ ТП «ПХВ-1».
   

4 ОЦЕНКА ЗАЩИЩЕННОСТИ ТЕЛЕКОММУНИКАЦИЙ АСУ ТП

4.1 Методология оценки безопасности информационных технологий по

общим (открытым) критериям

На государственном уровне сформулированы критерии, которые позво­ляют компаниям и госорганам оценивать результаты своей деятельности по защите информации. С 1999 года во всем мире применяется международный стандарт в области оценки безопасности информационных технологий (ИТ) КОЛЕС 15408 [74-76]. Российский аналог, разработанный в 2002 году - ГОСТР ИСО/МЭК 15408-2002 «Информационная технология. Методы и сред­ства обеспечения безопасности. Критерии оценки безопасности информацион­ных технологий» [77-79].

Данный стандарт преследует следующие цели:

• 
  Унификация национальных стандартов оценки безопасности ИТ;
  
• 
  Повышение уровня доверия к оценке безопасности ИТ;
  
• 
  Сокращение затрат на оценку безопасности ИТ на основе взаимного при­знания сертификатов.
  

На основе данных стандартов создаются профили защиты, которые опи­сывают требования к межсетевым экранам, АСУ, АСУ ТП, сайтам и т.п.

В поддержку стандарта существует целый ряд документов. Среди них:

• 
  Руководство по разработке защиты и заданий по безопасности [80];
  
• 
  Процедуры регистрации профилей защиты [81];
  
• 
  Общая методология оценки безопасности (ОМО) ИТ [82].
  

В ОМО описываются основные действия, которые необходимо выпол­нить оценщику при проведении оценки безопасности с использованием крите­риев и свидетельств оценки.

Данную систему оценок поддерживают многие страны мира, такие как США, Канада, Великобритания, Япония, Россия и другие.

Особенности выполнения количественных оценок. В настоящее время основным подходом к построению критериев оценки безопасности ИТ являет­ся использование совокупности определенным образом упорядоченных качест­венных требований к функциональным механизмам обеспечения безопасности, их эффективности и доверия к реализации.

Качественные критерии применимы для оценки большей части меха­низмов обеспечения безопасности ИТ, а также оценки выполнения требований доверия к безопасности изделий ИТ. Несмотря на это, ОМО предусматривает возможность проведения, там где это применимо, количественных оценок с использованием соответствующих качественных показателей.

Чтобы корректно использовать количественный показатель, он должен иметь объективную интерпретацию, однозначную зависимость от отдельных аспектов безопасности. Поэтому количественные критерии целесообразно ис­пользовать для оценки таких механизмов безопасности, как парольная защита, контрольное суммирование и т.п.

Для оценки информационной безопасности АСУ ТП автором разработана методика оценки качества СЗИ, которая учитывает мировые стандарты оценки, в том числе и ОМО. В своей оценке автор руководствуется в том числе и мето­дами, приведенными в документе «Общая методология оценки безопасности информационных технологий».

Нужно отметить, что в ОМО рассмотрены не все вопросы, связанные с оценкой безопасности ИТ, и это обуславливает необходимость дальнейшей разработки дополнительных руководств для всех участников оценки.

Нормативная база [83-87] в области оценки безопасности ИТ постоянно совершенствуется. В России, то в настоящее время подготовлен проект РД Гос­техкомиссии России «Общая методология оценки безопасности информацион­ных технологий» [88] и проект «Типовой методики оценки профилей защиты и заданий по безопасности» [89].

4.2 Оценка качества защищённости телекоммуникаций АСУ ТП

Рассмотрим методы оценки качества и выбора рационального варианта СЗИ для телекоммуникаций в АСУ ТП.

4.2.1 Обоснование показателя качества СЗИ.

В общем виде модель процесса защиты информации в АСУ ТП может быть представлена так, как это показано на Рисунке 4.1.

Источник Угроз \ = 1,п { Р 'I уф- ДЧ 1 уф- }	n			Телеком­муникации АСУ ТП
	к	СЗИ АСУ ТП ¡ = 1,п р устр. " угр	V
	X

Рисунок 4.1 - Общая модель процесса за защиты информации в АСУ ТП

Злоумышленник с помощью некоторого источника угроз (ИУ) генерирует совокупность угроз телекоммуникациям АСУ ТП (путь она будет конечной и счетной 1=1 ..п). Каждая 1-я угроза характеризуется вероятностью появления Р{_угр и ущербом Дqi^yгp■, наносимым системе.

СЗИ выполняет функцию полной или частичной компенсации угроз для телекоммуникаций АСУ ТП. Основной характеристикой средств защиты явля­ются вероятности устранения каждой ьй угрозы Р_{; угр} ^устр'.

За счет функционирования СЗИ- обеспечивается уменьшение ущерба XV, наносимого телекоммуникациям АСУ ТП воздействием угроз. Обозначим об­щий предотвращенный ущерб через ¡г-, а предотвращенный ущерб за счет лик­видации воздействия ¿-и угрозы через ^ш/.

После введенных обозначений сформулируем в общем виде задачу синте­за средств защиты информации в телекоммуникациях АСУ ТП (как это пред­ложено в [31, 32]): Необходимо выбрать вариант реализации СЗИ, обеспечи­вающий максимум предотвращенного ущерба от воздействия угроз при допус­тимых затратах на СЗИ.

Формальная постановка задачи имеет вид:

Найти: Т° = arg шах F(T), Т° е Т⁺ (4.2.1)

при ограничении: С(Т°) < С_доп (4.2.2)

Здесь Т - некоторый вектор, характеризующий вариант технической реа­лизации СЗИ; Т⁺,Т° - допустимое и оптимальное значение вектора Т; Сдоп — допустимые затраты на СЗИ.

Для решения задачи необходимо, прежде всего, сформировать показатель качества функционирования СЗИw (Т).

Предотвращенный ущерб в общем виде выражается соотношением: W = F(P- ■ Ла.^угр- ?/^аир-i = I п)

" ¹ у_гр-^41 '¹ iy_Sp ) (4 2 3)

Предотвращенный ущерб за счет ликвидации воздействия i-й угрозы: Щ = R- • А<]/^гр ■ P/^cmp;i - 1.F

¹ 'угр 'I I угр (4.2.4)

При независимости угроз и аддитивности их последствий получаем:

п

W - V Р -А а ^у''^р ■ Р ^устр

¡=1 (4.2.5)

Остановимся подробно на сомножителях, входящих в формулу (4.2.5). Вероятность появления i-й угрозы Pj _угр. определяется статистически и со­ответствует относительной частоте ее появления:

/-1 (4.2.6)

где Л - частота появления i-й угрозы

Ущерб, наносимый i-й угрозой Aq_i; может определяться в абсолютных единицах: экономических потерях, временных затратах, объеме уничтоженной или «испорченной» информации и т.д.

Однако, практически сделать это весьма затруднительно, особенно на ранних этапах проектирования СЗИ [90]. Поэтому целесообразно вместо абсо­лютного ущерба использовать относительный ущерб, который представляет собой, степень опасности i-й угрозы для телекоммуникаций АСУ ТП. Степень опасности может быть определена экспертным путем в предположении, что все угрозы составляют полную группу событий [98], т.е.

0_¿ <1;2>,- =1

Сложным вопросом является определение вероятности устранения i-й уг­розы P¡ _уГр^устр' при проектировании СЗИ. Сделаем допущение, что эта вероят­ность определяется тем, насколько полно учтены качественные и количествен­ные требования к СЗИ при проектировании, т.е.

Р ¡угр. ^—■ ■ •, x¡j,..., x¡_m) (4.2.7)

Где x¡j — степень выполнения j-ro требования к СЗИ для устранения i-й угрозы, i=l..n; j=l..m.

Пусть первые «Ь> требований будут количественными (j=l..k), остальные «ш - к» - качественными (pk+1 ..т).

Степень выполнения j-ro количественного требования определяется его близостью к требуемому (оптимальному) значению. Для оценки степени вы­полнения j-ro количественного требования к СЗИ удобнее всего использовать

х, (= 1Д),0 <х, <1 его нормированное значение > ^w ' ^v

Как следует из [100], для нормирования можно использовать функцию:

V- _ V " <sup>v

х</sup>а i ¡

Xij —

^ * , (4.2.8)

где Ху — текущее значение ]-го требования;

нл нх

Ху _> Ху - наилучшее и наихудшее значения.

С учетом формулы (4.2.8) получаем следующие расчетные соотношения: при

ИТ

V — V ' V — V

^лу — ш ^^лу ШШ

_ ^Л'// ^f/mm _X¡J -

•^nm^xtJ mili (4.2.9)ял _ их

при " *

⁼

(4.2.10)

^Х$ 'от™»'*!/ ^Х„шси ' - ^Л „оф

0. 
   при Х^ > Х^ ; < ^