Диссертация на соискание ученой степени кандидата технических наук Владимирский государственный университет
Скачать 6.36 Mb.
|
имнгагор пуль- J | ЦМ>' | Рисунок 3.22 - Приложения имитатора Базовые графические элементы рисуются, как правило, в любом графическом редакторе и заносятся в поле приложения ISaGRAF. Затем графические элементы привязываются к конкретным дискретным и аналоговым переменным и таким образом становятся составной частью программы имитатора. Для отладки системы АСУ ТП необходим комплекс имитаторов. 3.6.3 Комплексная отладка системы Комплексная отладка системы проводится после её окончательной сборки. Для организации отладки и проверки собирается имитатор объекта на базе тех же контроллеров, что используются в основной АСУ ТП. Использование базовых контроллеров-имитаторов типа IUC9000 (фирма «РЕР Modular Computers») чрезвычайно выгодно и удобно как для реализации программного обеспечения задач-имитаторов объектов, так и для технологической стыковки интерфейсов контрольно-измерительных каналов (КИК). Для данных контроллеров разработано программное обеспечение, эмулирующее работу объекта. Автор предлагает использовать подобную систему отладки АСУ ТП для моделирования угроз безопасности, вмешательства в каналы связи, а также защитные мероприятия. Такая система отладки необходима для проведения многочисленных экспериментов и накопления статистики, что иногда невозможно реализовать в реальных условиях в разумные сроки. В процессе комплексной отладки имитируются: отказы по напряжениям питания; изменение питающего напряжения до предельно допустимых значений; отказы основных контроллеров (проверка работоспособности резервной аппаратуры); поведение объекта путём подачи на модули аналогового и дискретного ввода сигналов от имитатора; имитация отказа (повреждения) основного канала связи; имитация НСД в сеть. 3.7 Сравнение результатов отладки (моделирования) до и после введения мер защиты информации в АСУ ТП «ПХВ-1» Таблица 3.7 содержит результаты экспериментальной отладки АСУ ТП «ПХВ-1» с помощью контроллеров-имитаторов и задач-имитаторов до и после рекомендованных автором мер защиты. Количество проведенных экспериментов - 100 для каждого параметра.
Для обеспечения помехозащищенности, достоверности передачи, увеличения пропускной способности канала и защиты от НСД путем физического подключения рекомендовано применение оптической линии связи с кабелем, имеющим соответствующие технические характеристики оптических преобразователей. Это позволит обойтись без резервирования проводного канала связи РЫОРГОиЗ и не увеличит затраты. Применение оптического РЛОРШиЭ, при дополнительных затратах на оптическое оборудование, значительно увеличивает надежность магистрали за счет развязки потенциалов удаленных узлов, защиты от вторичного проявления грозовых токов и обеспечивает высокий уровень защиты от несанкционированного доступа (НСД). Модули оптических преобразователей имеют встроенную диагностику оптического канала, индикацию питания модуля и оптического канала. Преобразователи БС/ОС типа «ИРБИС», мощностью 25 Вт, рекомендовано заменить на аналогичные преобразователи фирмы «ТЯАСО», имеющие более высокую надежность. Для повышения достоверности измерений рекомендовано ввести дублирующие вычисления параметров по косвенным характеристикам (например, при измерении расхода жидкостей, газов применяется метод измерения абсолютного давления и разности давлений до и после места сужения трубопровода; вместо дифференциального датчика давления целесообразно применить два датчика абсолютного давления и вычислять разность давлений). ЭСАБА-система МоисЬ, применяемая на предприятии, имеет развитые математические каналы, которые позволяют вести дублирующие вычисления параметров, но данное преимущество в АСУ ТП не было реализовано разработчиком. Для повышения достоверности измерений (и реализации пункта 3) рекомендовано применять интеллектуальные датчики (давления, температуры, уровня, расхода). 5. Для охраны производственного оборудования, защиты от НСД, пожарной и прочей безопасности, а также для контроля деятельности персонала рекомендовано установить систему видеонаблюдения [73]. Угрозы безопасности АСУ ТП «ПХВ-1» и предложенные меры защиты приведены в главе 4 (Таблица 4.3). 3.8 Выводы Исследовано влияние программных мер защиты на эффективность использования физической скорости передачи в сетях МоёЬш и РгоШэиэ, при применении их на нижнем уровне АСУ ТП. Для характерных на нижнем уровне АСУ ТП коротких сообщений не рекомендуется использовать программные методы защиты. Проведена экспериментальная проверка защищенности телекоммуникаций нижнего уровня АСУ ТП от НСД с помощью разработанной автором программы. Проведён анализ множества алгоритмов доступа к интеллектуальным сетевым устройствам нижнего уровня АСУ ТП. Разработаны алгоритмы доступа к узлам сети со стороны пульта и со стороны сети, отличающиеся оптимальным сочетанием методов защиты от НСД и обеспечивающие быстрое обнаружение вторжения. Разработанные алгоритмы реализованы в интеллектуальных датчиках ПД-1ЦМ, ИТ-1ЦМ и приборах ПКЦ-1111, ПКД-1115 (ЗАО «НПП «Автоматика», г. Владимир), применённых в АСУ ТП «ПХВ-1». Акты внедрения приведены в Приложениях. Предложено для сравнительной оценки защищённости узлов сети от НСД использовать отношение вероятностей уязвимости (преодоления барьера защиты). Экспериментально доказана эффективность разработанных алгоритмов для повышения защищённости узлов сети. Сравнительное экспериментальное исследование нескольких устройств показало многократное (минимум в 5 раз) превосходство по защищённости узлов, в которых реализован разработанный автором алгоритм доступа. Проведено экспериментальное исследование СЗИ АСУ ТП «ПХВ-1». Рекомендовано применение программно-аппаратурных имитаторов на базе контроллеров ПТК для имитации нештатных ситуаций (сбоев, отказов, НСД), а также защитных мероприятий. Выработаны рекомендации по модернизации системы защиты информации АСУ ТП «ПХВ-1». 4 ОЦЕНКА ЗАЩИЩЕННОСТИ ТЕЛЕКОММУНИКАЦИЙ АСУ ТП 4.1 Методология оценки безопасности информационных технологий по общим (открытым) критериям На государственном уровне сформулированы критерии, которые позволяют компаниям и госорганам оценивать результаты своей деятельности по защите информации. С 1999 года во всем мире применяется международный стандарт в области оценки безопасности информационных технологий (ИТ) КОЛЕС 15408 [74-76]. Российский аналог, разработанный в 2002 году - ГОСТР ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» [77-79]. Данный стандарт преследует следующие цели: Унификация национальных стандартов оценки безопасности ИТ; Повышение уровня доверия к оценке безопасности ИТ; Сокращение затрат на оценку безопасности ИТ на основе взаимного признания сертификатов. На основе данных стандартов создаются профили защиты, которые описывают требования к межсетевым экранам, АСУ, АСУ ТП, сайтам и т.п. В поддержку стандарта существует целый ряд документов. Среди них: Руководство по разработке защиты и заданий по безопасности [80]; Процедуры регистрации профилей защиты [81]; Общая методология оценки безопасности (ОМО) ИТ [82]. В ОМО описываются основные действия, которые необходимо выполнить оценщику при проведении оценки безопасности с использованием критериев и свидетельств оценки. Данную систему оценок поддерживают многие страны мира, такие как США, Канада, Великобритания, Япония, Россия и другие. Особенности выполнения количественных оценок. В настоящее время основным подходом к построению критериев оценки безопасности ИТ является использование совокупности определенным образом упорядоченных качественных требований к функциональным механизмам обеспечения безопасности, их эффективности и доверия к реализации. Качественные критерии применимы для оценки большей части механизмов обеспечения безопасности ИТ, а также оценки выполнения требований доверия к безопасности изделий ИТ. Несмотря на это, ОМО предусматривает возможность проведения, там где это применимо, количественных оценок с использованием соответствующих качественных показателей. Чтобы корректно использовать количественный показатель, он должен иметь объективную интерпретацию, однозначную зависимость от отдельных аспектов безопасности. Поэтому количественные критерии целесообразно использовать для оценки таких механизмов безопасности, как парольная защита, контрольное суммирование и т.п. Для оценки информационной безопасности АСУ ТП автором разработана методика оценки качества СЗИ, которая учитывает мировые стандарты оценки, в том числе и ОМО. В своей оценке автор руководствуется в том числе и методами, приведенными в документе «Общая методология оценки безопасности информационных технологий». Нужно отметить, что в ОМО рассмотрены не все вопросы, связанные с оценкой безопасности ИТ, и это обуславливает необходимость дальнейшей разработки дополнительных руководств для всех участников оценки. Нормативная база [83-87] в области оценки безопасности ИТ постоянно совершенствуется. В России, то в настоящее время подготовлен проект РД Гостехкомиссии России «Общая методология оценки безопасности информационных технологий» [88] и проект «Типовой методики оценки профилей защиты и заданий по безопасности» [89]. 4.2 Оценка качества защищённости телекоммуникаций АСУ ТП Рассмотрим методы оценки качества и выбора рационального варианта СЗИ для телекоммуникаций в АСУ ТП. 4.2.1 Обоснование показателя качества СЗИ. В общем виде модель процесса защиты информации в АСУ ТП может быть представлена так, как это показано на Рисунке 4.1.
Рисунок 4.1 - Общая модель процесса за защиты информации в АСУ ТП Злоумышленник с помощью некоторого источника угроз (ИУ) генерирует совокупность угроз телекоммуникациям АСУ ТП (путь она будет конечной и счетной 1=1 ..п). Каждая 1-я угроза характеризуется вероятностью появления Р{угр и ущербом Дqiyгp■, наносимым системе. СЗИ выполняет функцию полной или частичной компенсации угроз для телекоммуникаций АСУ ТП. Основной характеристикой средств защиты являются вероятности устранения каждой ьй угрозы Р; угр устр'. За счет функционирования СЗИ- обеспечивается уменьшение ущерба XV, наносимого телекоммуникациям АСУ ТП воздействием угроз. Обозначим общий предотвращенный ущерб через ¡г-, а предотвращенный ущерб за счет ликвидации воздействия ¿-и угрозы через ш/. После введенных обозначений сформулируем в общем виде задачу синтеза средств защиты информации в телекоммуникациях АСУ ТП (как это предложено в [31, 32]): Необходимо выбрать вариант реализации СЗИ, обеспечивающий максимум предотвращенного ущерба от воздействия угроз при допустимых затратах на СЗИ. Формальная постановка задачи имеет вид: Найти: Т° = arg шах F(T), Т° е Т+ (4.2.1) при ограничении: С(Т°) < Сдоп (4.2.2) Здесь Т - некоторый вектор, характеризующий вариант технической реализации СЗИ; Т+,Т° - допустимое и оптимальное значение вектора Т; Сдоп — допустимые затраты на СЗИ. Для решения задачи необходимо, прежде всего, сформировать показатель качества функционирования СЗИw (Т). Предотвращенный ущерб в общем виде выражается соотношением: W = F(P- ■ Ла.угр- ?/аир-i = I п) " 1 угр-^41 '1 iySp ) (4 2 3) Предотвращенный ущерб за счет ликвидации воздействия i-й угрозы: Щ = R- • А<]/гр ■ P/cmp;i - 1.F 1 'угр 'I I угр (4.2.4) При независимости угроз и аддитивности их последствий получаем: п W - V Р -А а у''р ■ Р устр ¡=1 (4.2.5) Остановимся подробно на сомножителях, входящих в формулу (4.2.5). Вероятность появления i-й угрозы Pj угр. определяется статистически и соответствует относительной частоте ее появления: /-1 (4.2.6) где Л - частота появления i-й угрозы Ущерб, наносимый i-й угрозой Aqi; может определяться в абсолютных единицах: экономических потерях, временных затратах, объеме уничтоженной или «испорченной» информации и т.д. Однако, практически сделать это весьма затруднительно, особенно на ранних этапах проектирования СЗИ [90]. Поэтому целесообразно вместо абсолютного ущерба использовать относительный ущерб, который представляет собой, степень опасности i-й угрозы для телекоммуникаций АСУ ТП. Степень опасности может быть определена экспертным путем в предположении, что все угрозы составляют полную группу событий [98], т.е. 0¿ <1;2>,- =1 Сложным вопросом является определение вероятности устранения i-й угрозы P¡ уГрустр' при проектировании СЗИ. Сделаем допущение, что эта вероятность определяется тем, насколько полно учтены качественные и количественные требования к СЗИ при проектировании, т.е. Р ¡угр. —■ ■ •, x¡j,..., x¡m) (4.2.7) Где x¡j — степень выполнения j-ro требования к СЗИ для устранения i-й угрозы, i=l..n; j=l..m. Пусть первые «Ь> требований будут количественными (j=l..k), остальные «ш - к» - качественными (pk+1 ..т). Степень выполнения j-ro количественного требования определяется его близостью к требуемому (оптимальному) значению. Для оценки степени выполнения j-ro количественного требования к СЗИ удобнее всего использовать х, (= 1Д),0 <х, <1 его нормированное значение > w ' v Как следует из [100], для нормирования можно использовать функцию: V- _ V " v ха i ¡ Xij — ^ * , (4.2.8) где Ху — текущее значение ]-го требования; нл нх Ху > Ху - наилучшее и наихудшее значения. С учетом формулы (4.2.8) получаем следующие расчетные соотношения: при ИТ V — V ' V — V лу — ш ^лу ШШ _ Л'// ^f/mm X¡J - •^nmxtJ mili (4.2.9)ял _ их при " * = (4.2.10) Х$ 'от™»'*!/ Х„шси ' - Л „оф л „шх. при Х^ > Х^ ; < ^ < х < при при ц = Ха=< ' ^ Г ^ Г при 0?г - лу - (4.2.11) Степень выполнения ^го качественного требования определяется функцией принадлежности к наилучшему значению ц (ху). Разложив функцию (4.2.7) в ряд Маклорена и ограничившись лишь первыми членами ряда, получим вероятность устранения 1-й угрозы: т ЗР У"пр (4.2.12) Р УстР _ р У"»Р /П, , V 1УгР . г Пугр -Чугр Эх„ Хи где Р устр^ угр.(О) = 0 — вероятность устранения ьй угрозы при невыполнении требований к СЗИ; гк " — величина, характеризующая степень влияния ]-го требования на вероятность устранения 1-й угрозы (важность выполнения ]-го Требовали ния для устранения 1-й угрозы). Очевидно, что М для 1=1..п. После подстановки в (4.2.12) соответствующих значений получаем: к т ■/-*+! (4.2.13) Окончательно формула (4.2.5) для оценки величины предотвращенного ущерба принимает вид : |