Главная страница
Навигация по странице:

  • 3.1 Оценка производительности телекоммуникаций в АСУ ТП

  • Скорость в кабеле

  • Пропускная способность сети

  • Эффективность использования

  • 3.2 Оценка мер защиты телекоммуникаций в АСУ ТП

  • 3.2.1 Оценка производительности сети Ethernet

  • 3.2.2 Анализ влияния программных мер защиты в сети

  • CRC мл. байт CRC ст. байт

  • Данные мл.регистра мл.байт CRC мл. байт CRC ст. байт

  • Пропускная способность

  • Диссертация на соискание ученой степени кандидата технических наук Владимирский государственный университет


    Скачать 6.36 Mb.
    НазваниеДиссертация на соискание ученой степени кандидата технических наук Владимирский государственный университет
    Анкорzashchita-informatsii-v-telekommunikatsiyakh-asu-tp-khimicheskoi-promyshlennosti
    Дата12.04.2023
    Размер6.36 Mb.
    Формат файлаdoc
    Имя файлаzashchita-informatsii-v-telekommunikatsiyakh-asu-tp-khimicheskoi.doc
    ТипДиссертация
    #1055613
    страница9 из 25
    1   ...   5   6   7   8   9   10   11   12   ...   25



    Таблица 3.1 приведена только для сравнительно оценки уязвимости сред передачи, без каких-либо мер защиты.

    3.1 Оценка производительности телекоммуникаций в АСУ ТП

    Прежде, чем рассматривать пригодность моделей информационных се­тей, сформулируем требования к их назначению, сфере использования, а главное — ко входным и выходным параметрам.

    Модели предназначаются для анализа уязвимостей и воздействия угроз на телекоммуникации в АСУ ТП, и должны показывать влияние средств и мер защиты от разного рода неблагоприятных воздействий на информацию.

    Модели должны отображать влияние средств и мер защиты на досто­верность и своевременность передачи и приёма информации, прежде всего на пропускную способность телекоммуникаций.

    Модели информационных сетей с одним ведущим проще в связи с тем, что не требуется анализировать процессы захвата магистрали, распределения вероятностей запросов, время ожидания и т.п. В сетях с одним ведущим за­просы вырабатывает головной компьютер (контроллер) по жёсткому графи­ку.

    Степень влияния мер защиты, особенно программных, на пропускную способность телекоммуникаций существенно зависит от распределения веро­ятностей длины сообщений. Количество дополнительных (защитных) байт и для коротких и для длинных сообщений одинаково, поэтому избыточность коротких сообщений существенно больше

    .
    Выбор модели определяется целью моделирования. В нашем случае не­обходимо анализировать влияние средств и мер защиты информации на ос­новные характеристики телекоммуникаций.

    Основными техническими средствами защиты являются физическая среда передачи информации: медный провод, кабель, радиоканал или опто­волокно. Таблица 3.1 показывает, что самый низкий уровень защищённости предоставляет радиоканал, а самый высокий — оптоволокно. Вероятность ошибки передачи бита информации из Таблица 3.1 служит для расчёта веро­ятности повторных запросов, т.к. однократные ошибки при передаче данных обнаруживаются на канальном уровне с помощью СЯС-кода.

    Основным программным способом защиты информации в телекомму­никациях является избыточное кодирование, сводящееся к добавлению кон­трольных битов, контрольных сумм, использованию служебных параметров. Поэтому для анализа влияния средств и мер защиты информации целесооб­разно рассчитывать следующие параметры сети:


    (3.1.1)

    Скорость в кабеле (максимальная скорость передачи пакетов):

    8К = $мах / Уп [пакет/с],

    где Б мах - предельная скорость сети, бит/с; Уп - длина пакета, бит.


    (3.1.2)

    Пропускная способность сети представляет собой скорость передачи полезной информации:

    8с = 8к/Уд [байт/с],

    где Бк - максимальная скорость передачи пакетов, пакет/с; Уд - объём полезной информации в пакете, байт.

    Эффективность использования физической скорости передачи сети


    (3.1.3)

    по отношению только к полезным данным:

    Эд = 8К х Уд / 8мах [%],

    где 8к - максимальная скорость передачи пакетов, пакет/с; 8мах - предельная скорость сети, бит/с; Уд - объём полезной информации в пакете, бит

    .
    Вероятностный подход позволяет легко оценить влияние случайных воздействий на приведённые выше параметры. При наличии помех или сбоев передачи данных по другим причинам, эффективность использования физи­ческой скорости передачи сети снижается за счёт генерации повторных за­просов.

    3.2 Оценка мер защиты телекоммуникаций в АСУ ТП

    Программные меры защиты основаны на введении избыточности коди­рования сообщений. В каждом сообщении кроме обязательной служебной информации (адрес приёмника, функция, номер и количество регистров, раз­делитель) содержится защитная информация (контрольная сумма, количество байт данных, адрес источника, и ответное сообщение - как квитанция приё­ма).

    Подсистема обеспечения надежности современных SCADA-систем по­зволяет диагностировать достоверность (качество) сигналов, поступающих с датчиков и резервировать их. Признаки аппаратурной и программной досто­верности должны передаваться в систему верхнего уровня (SCADA-систему) вместе с измеренным значением как один из атрибутов канала, чтобы их можно было использовать в алгоритмах диагностики и резервирования дат­чиков.

    Для оценки эффективности стандартной защиты при передаче коротких сообщений, характерных для сетей нижнего уровня АСУ ТП, рассмотрим наиболее распространенные в химической промышленности сети: Ethernet, Modbus, Profibus.

    3.2.1 Оценка производительности сети Ethernet

    Сеть Ethernet чаще всего используется на верхнем уровне АСУ ТП для связи с АСУ предприятия и для связи рабочих станций между собой [34].

    Вопрос об оценке производительности сетей децентрализованного дос­тупа, использующих случайный метод доступа CSMA/CD (Carrier-Sense Multiple Access with Collision Detection - множественный доступ с контролем несущей и обнаружением коллизий), не очевиден из-за того, что существуют

    73

    несколько различных показателей. Прежде всего, следует упомянуть три свя­занные между собой показателя, характеризующие производительность сети в идеальном случае — при отсутствии коллизий и при передаче непрерывного потока пакетов, разделенных только межпакетным интервалом IPG. Очевид­но, такой режим реализуется, если один из абонентов активен и передает па­кеты с максимально возможной скоростью. Неполное использование пропу­скной способности в этом случае связано, кроме существования интервала IPG, с наличием служебных полей в пакете Ethernet.

    Пакет максимальной длины является наименее избыточным по относи­тельной доле служебной информации. Он содержит 12304 бит (включая ин­тервал IPG), из которых 12000 являются полезными данными.

    Поэтому максимальная скорость передачи пакетов (3.2.1) составит в случае сети Fast Ethernet:

    108 бит/с/ 12304 бит

    8127,44 пакет/с.

    Пропускная способность равна:

    8127,44 пакет/с х 1500 байта - 12,2 Мбайт/с.

    Эффективность использования физической скорости передачи сети, в случае Fast Ethernet равной 100 Мбит/с, по отношению только к полезным данным составит:

    8127,44 пакет/с х 12000 бит/ 108 бит/с 98 %.

    Без использования системы никакой из абонентов не может захватить сеть более чем на время передачи одного пакета, однако передача данных от­дельными пакетами с долгими паузами между ними ведет к снижению ско­рости передачи для каждого абонента. Преимущество детерминированных методов состоит в возможности простой организации системы приоритетов, что полезно из-за наличия иерархии в любой АСУ ТП.

    3.2.2 Анализ влияния программных мер защиты в сети Modbus RTU Проведем анализ стандартных программных мер защиты информации в сети Modbus RTU, при использовании её в АСУ ТП. Сеть Modbus является централизованной, с детерминированным методом доступа. Загрузку такой

    сети можно рассчитать достаточно точно, если определено количество узлов и режимы их работы. Случайный характер имеет лишь время задержки отве­та ведомого, а также количество сбоев обмена.

    Рисунок 3.1 представляет обобщённый формат кадра:

    адрес приёмника (ведомого устройства)

    номер функции

    данные

    контрольная сумма

    разделитель сообщений

    1 байт

    1 байт

    до 253 байт

    2 байта

    пауза > 3,5 байт


    Рисунок 3.1 - Кадр Modbus RTU




    Передача каждого байта данных требует дополнительно 1 стартового и 2 стоповых битов (без контроля на чётность). Дополнительные биты относят­ся к служебным, они обеспечивают синхронизацию обмена.

    В АСУ ТП интеллектуальные датчики подавляющую часть времени от­вечают на циклические запросы SCADA-системы о значении измеряемого параметра, а именно, на запросы «Чтение значений из нескольких регист­ров». Поскольку для SCADA-системы нужны значения измеряемого пара­метра в формате Float 4 (Float Single Format no IEEE-754), занимающем 2 ре­гистра (4 байта), конкретные циклы обмена информацией выглядят как пока­зывает Рисунок 3.2.

    Запрос ведущего устройства:

    адрес • ведомого

    номер функции

    Адрес ст. байт

    Адрес мл. байт

    Кол. регистров ст. байт

    Кол. регистров мл. байт

    CRC мл. байт

    CRC ст. байт

    0x01

    0x03

    0x00

    0x01

    0x00

    0x02

    OxNN

    OxNN


    Ответ ведомого устройства:

    адрес ведо­мого

    номер функции

    Кол. байт

    Данные ст.регистра ст.байт

    Данные ст.регистра мл. байт

    Данные мл.регистра ст.байт

    Данные мл.регистра мл.байт

    CRC

    мл. байт

    CRC ст. байт

    0x01

    0x03

    0x04

    0x12

    0x34

    0x56

    0x78

    OxNN

    OxNN


    Рисунок 3.2 - Цикл обмена информацией с одноканальным узлом сети МосШиэ ЯТи Таким образом, необходимой для исполнения команды считывания

    данных информацией является «адрес ведомого», «номер функции», «адрес первого регистра», «количество регистров» в запросе и собственно «данные»

    в ответе. Всего 10 байт. Запрос, ответ и минимальная пауза между ними со­ставляют 20,5 байт. Очевидно, что введение защиты в форме избыточности кодирования, т.е. добавления полей «контрольная сумма CRC», «количество байт данных», квитанций «адрес ведомого» и «номер функции», - приводит к снижению пропускной способности канала на 51 %:

    ЮОх (10 - 20,5)/20,5 = - 51,22 %.

    1. Кадр максимальной длины является наименее избыточным по относи­тельной доле служебной информации (см. Рисунок 3.1). В Modbus RTU он содержит 2084 бит (включая разделительную паузу), из которых 2016 бит яв­ляются полезными данными.

    Поэтому максимальная скорость передачи кадров составит в случае се­ти Modbus RTU при максимальной бодовой скорости 115,2 Кбод: (115200 бит/с)/ 2084 бит 55,28 кадр/с. Пропускная способность равна: 55,28 кадр/с х 252 байта = 13,93 Кбайт/с.

    Эффективность использования физической скорости передачи сети, в случае Modbus RTU равной 115,2 Кбод, по отношению только к полезным данным составит:

    55,28 кадр /с х 2016 бит/ 115200 бит/с 0,967 97 %.

    1. При передаче кадров минимальной длины существенно возрастает скорость в кабеле, что означает всего лишь факт передачи большого числа коротких пакетов. В то же время пропускная способность и эффективность заметно (почти в два раза) ухудшаются из-за возрастания относительной до­ли служебной информации.

    При типовых циклических запросах SCADA-системы о значении изме­ряемого параметра кадр содержит 164 бит (включая разделительную паузу), из которых 80 бит (10 байт) являются полезными данными. Максимальная скорость передачи кадров: (115200 бит/с)/ 164 бит « 702,44 кадр/с.

    Пропускная способность в данном случае будет равна: 702,44 кадр/с х 10 байт 7,02 Кбайт/с.

    Эффективность использования физической скорости передачи сети: 702,44 кадр /с х 80 бит/ 115200 бит/с 0,4878 = 48,78 %.

    3.2.2.3 Следует отметить, что избыточность будет меньше при считывании данных с многоканальных устройств ввода данных, в которых данные изме­рений расположены подряд в регистровой карте.

    Например, при считывании данных с 12-канального прибора цифрового контроля ПКЦ-12 (ЗАО «НЛП «Автоматика», г. Владимир), запрос, ответ и минимальная пауза между ними составляют 64,5 байт, а содержательной ин­формации 54 байт (см. Рисунок 3.3). Снижение пропускной способности ка­нала составляет около 16 %.

    Запрос ведущего устройства:

    адрес ведомого

    номер функции

    Адрес ст. байт

    Адрес мл. байт

    Количество регистров ст. байт

    Количество регистров мл. байт

    сис

    мл. байт

    сис

    ст. байт

    0x01

    0x03

    0x00

    0x01

    0x00

    0x18

    0х№4

    ОхМчГ
    1   ...   5   6   7   8   9   10   11   12   ...   25


    написать администратору сайта