Диссертация на соискание ученой степени кандидата технических наук Владимирский государственный университет
Скачать 6.36 Mb.
|
Рисунок 2.7 - Кадр посылки Profibus Поля «данные» - это полезная информация; «адрес», «номер функции», «разделитель сообщений» - это служебная информация; «контрольная сумма» - это программная защита. Вмешаться в сеть с одним ведущим электрически возможно, достаточно подключиться к паре проводов локальной сети в любом месте. Но при этом явно нарушается протокол — возникает второй ведущий. Наложение сигналов запроса дополнительного ведущего на периодический запрос штатного ведущего приведёт к сбою процедуры обмена, и такая посылка не пройдёт. Если запрос дополнительного ведущего и ответ пройдут в промежутке между процедурами обмена штатного ведущего, то эти посылки будут приняты и штатным ведущим. В этом случае необходимо предусмотреть соответствующую реакцию штатного ведущего на вмешательство в сеть! Так как в самом протоколе локальной сети не предусмотрено мер, кроме занесения возникшей ситуации в счётчик сбоев обмена. Вмешаться в сеть со многими ведущим проще, так как при этом даже не нарушается протокол. Возникновение и разрешение конфликтов при захвате магистрали — нормальная процедура для такой сети. Поэтому уязвимость такой сети значительно выше [20]. Конечно, есть способ борьбы с вмешательством в сеть со многими ведущими. Он заключается в фиксации числа и адресов штатных узлов в конкретной сети. Так рекомендуют делать, например, в АСУТП атомных станций [21]. Однако такое решение лишает систему гибкости и требует вмешательства квалифицированного программиста на уровне операционной системы. Централизованный доступ по сравнению с децентрализованным обеспечивает больший уровень безопасности, поэтому, в частности, подавляющее большинство промышленных сетей построены по принципу централизованного доступа [22]. Ограничение доступа к локальной сети возлагается на 8САОА-систему, собирающую информацию с датчиков, и на операционную систему, в которой функционирует БСАБА-система. Типовая 8САБА-система для этого обеспечивает: Разграничение прав доступа пользователей и защиту паролями. Удаленную перезагрузку ведомых узлов сети. Исполнение функций сторожевого таймера. Автоматическое тестирование коммуникаций, обнаружение ошибок. Выдачу информации об ошибках коммуникации. Восстановление исходных настроек параметров ведомых узлов и коммуникаций. Полный перечень защитных механизмов 8САЭА-систем приводится в Приложении 2. Из этого перечня видно, что универсальные 8САХ)А-системы имеют полный набор средств защиты, которые можно задействовать в нужной комбинации для конкретного применения. Многие «внутренние» БСАОА-системы, например, фирм КонтрАвт, ОВЕН, МЗТА не получили распространения за пределами сетей приборов соответствующих фирм-производителей из-за несовместимости с оборудованием и программами других фирм и неполного набора средств защиты. 2.3 Рекомендации по выбору интеллектуальных датчиков, и локальных сетей для них В данной главе рассмотрены проблемы обеспечения информационной безопасности на нижнем уровне АСУ ТП в связи с применением интеллектуальных датчиков. На основании анализа продукции многих производителей можно сделать выводы, которые полезны не только проектировщикам АСУ ТП, но и разработчикам интеллектуальных датчиков. Для защиты информации в АСУ ТП следует обращать внимание на выполнение следующих требований к интеллектуальным датчикам: наличие функций внутренней самодиагностики датчиков, что упрощает техническое обслуживание; избыточность измерений и кодирования, позволяющая обнаруживать и даже исправлять наиболее вероятные ошибки; высокоскоростная и исключительно цифровая связь с использованием «полевых шин»; разграничение прав доступа пользователей и наличие паролей доступа к ответственным операциям как с пульта, так и со стороны локальной сети; наличие функции восстановления заводских настроек гарантирует быстрое восстановление работоспособности датчика даже при грубых ошибках пользователя; наличие супервизора питания обеспечивает надёжную работу аппаратуры при сбоях питания, скачках напряжения и воздействии электромагнитных излучений обеспечит и сторожевого таймера защиту от сбоев программного обеспечения; использование электроники промышленного исполнения с широким диапазоном рабочих температур, низким напряжением питания, желательно не более 1,8 В, для облегчения выполнения требований искробезопасности; антивандальный корпус с защитой от пыли и воды не ниже 1Р54 для применения во взрывоопасных зонах согласно главе 7.2 ПУЭ; питание по кабелю локальной сети или по информационной линии, возможно с резервным батарейным питанием; При выборе промышленной локальной сети для АСУ ТП важен набор критериев, по которым можно сделать осмысленный выбор того или иного протокола [23]: Централизованный доступ: сеть должна быть с одним «ведущим», что обеспечит больший уровень безопасности. Контроль корректности передаваемых данных: проверка допустимости команд, длины посылок, контрольных сумм, квитирование сообщений и т. п. Открытость: прежде всего, отсутствие лицензионной платы за использование протокола в своих разработках. Информативность: насколько доступны спецификации протоколов и стандарты, на которые опираются эти протоколы. Перспективность: насколько тот или иной протокол допускает возможность развития и как он приспосабливается под нужды потребителей. Информационная поддержка в стране: документация на русском языке, ассоциации пользователей, в которой можно получить исчерпывающие ответы на вопросы. Первые два критерия, к сожалению, не присутствуют среди критериев оценки сетей, приведённых в [23]. Возможность применения Интернета для управления технологическими процессами пока под большим вопросом [24]. Есть, по крайней мере, две причины, которые препятствуют этому. Во-первых, хакеры. Во-вторых, для систем управления технологическими процессами важно гарантированное время доставки управляющих воздействий, а Интернет не гарантирует время доставки. 2.4 Разработка методики создания систем защиты информации в АСУ ТП Поскольку с каждым годом вопросы обеспечения информационной безопасности АСУ ТП приобретают всё большее значение, рассмотрим методологию создания систем защиты АСУ ТП. АСУ ТП отличается от других систем управления прежде всего тем, что осуществляет воздействие на объект в том же темпе, что и протекающие в нём технологические процессы, а технические средства АСУ ТП участвуют в выработке решений по управлению. Первая особенность требует применения в АСУ ТП телекоммуникаций с гарантированным временем доставки, вторая — интеллектуализации всех компонентов от датчиков до исполнительных механизмов. В иерархической многоуровневой архитектуре современной АСУ ТП нижний уровень характеризуется большим количеством (сотни) и разнообразием технических средств, которые различаются также информационным, математическим и программным обеспечением. Предприятия химической отрасли разномасштабные (малые, средние и крупные) и обладают, кроме общепромышленной специфики, взрывоопасно- стью, пожароопасностью, агрессивностью рабочей среды, воздействием на экологию и жизнедеятельность общества даже в штатном режиме работы. Учитывая эти особенности, попытаемся определить общие и особые требования к режиму обеспечения информационной безопасности АСУ ТП [3, 25]. Основными потенциально возможными угрозами [6] физической целостности информации, т.е. стирание или модификация (искажение) информации на носителях и документах, используемых в процессе функционирования АСУ ТП, являются следующие: Сбои и отключение питания. Прямое физическое воздействие на носители или документы. Законное или несанкционированное подключение к аппаратуре и линиям связи. Защита информации в плане уязвимости первого вида заключается в основном в применении надежной, физически и энергозащищенной аппаратуры и в обеспечении ограничения доступа к ней. Основными потенциально возможными каналами утечки информации являются следующие: Прямое хищение носителей и документов, обращающихся в процессе функционирования АСУ ТП. Запоминание или копирование информации, находящейся на машинных и на немашинных носителях. Несанкционированное подключение к аппаратуре и линиям связи или незаконное использование «законной» (т. е. зарегистрированной) аппаратуры системы (чаще всего терминалов пользователей). Несанкционированный доступ к информации за счет специального приспособления, математического и программного обеспечения. При наличии такого количества каналов утечки необходимы специальные средства, методы и мероприятия, предназначенные для перекрытия перечисленных каналов и предупреждения этим несанкционированного использования информации. В создании и обеспечении функционирования таких средств, методов и мероприятий и заключается защита информации в плане уязвимости второго вида. Особое внимание нужно уделить живучести АСУ ТП. Живучесть АСУ ТП обеспечивается: применением надёжной аппаратуры и проверенного ПО, непрерывным контролем в процессе эксплуатации, периодическим тестированием во время технологических остановок, адаптивными алгоритмами контроля и управления, системой обновления ПО в процессе эксплуатации, экранированием сигнальных цепей и источников помех, применением интеллектуальных датчиков и исполнительных узлов, бесперебойным энергообеспечением. Рассмотрим типовую трехуровневую структуру АСУ ТП. На верхнем уровне находятся рабочие станции (компьютеры со специализированным ПО, объединённые в локальные сети), на среднем уровне — групповые контроллеры, обеспечивающие групповое управление, на нижнем — локальные контроллеры и устройства управления технологическим процессом. В Таблице 2.1, составленной автором в результате исследования ряда АСУ ТП в химической промышленности (Приложение 1, Приложение 2) представлен перечень мер по обеспечению информационной безопасности на всех уровнях типовой трехуровневой модели АСУ ТП.
|