Диссертация на соискание ученой степени кандидата технических наук Владимирский государственный университет
Скачать 6.36 Mb.
|
. Выбор модели определяется целью моделирования. В нашем случае необходимо анализировать влияние средств и мер защиты информации на основные характеристики телекоммуникаций. Основными техническими средствами защиты являются физическая среда передачи информации: медный провод, кабель, радиоканал или оптоволокно. Таблица 3.1 показывает, что самый низкий уровень защищённости предоставляет радиоканал, а самый высокий — оптоволокно. Вероятность ошибки передачи бита информации из Таблица 3.1 служит для расчёта вероятности повторных запросов, т.к. однократные ошибки при передаче данных обнаруживаются на канальном уровне с помощью СЯС-кода. Основным программным способом защиты информации в телекоммуникациях является избыточное кодирование, сводящееся к добавлению контрольных битов, контрольных сумм, использованию служебных параметров. Поэтому для анализа влияния средств и мер защиты информации целесообразно рассчитывать следующие параметры сети: (3.1.1) Скорость в кабеле (максимальная скорость передачи пакетов): 8К = $мах / Уп [пакет/с], где Б мах - предельная скорость сети, бит/с; Уп - длина пакета, бит. (3.1.2) Пропускная способность сети представляет собой скорость передачи полезной информации: 8с = 8к/Уд [байт/с], где Бк - максимальная скорость передачи пакетов, пакет/с; Уд - объём полезной информации в пакете, байт. Эффективность использования физической скорости передачи сети (3.1.3) по отношению только к полезным данным: Эд = 8К х Уд / 8мах [%], где 8к - максимальная скорость передачи пакетов, пакет/с; 8мах - предельная скорость сети, бит/с; Уд - объём полезной информации в пакете, бит . Вероятностный подход позволяет легко оценить влияние случайных воздействий на приведённые выше параметры. При наличии помех или сбоев передачи данных по другим причинам, эффективность использования физической скорости передачи сети снижается за счёт генерации повторных запросов. 3.2 Оценка мер защиты телекоммуникаций в АСУ ТП Программные меры защиты основаны на введении избыточности кодирования сообщений. В каждом сообщении кроме обязательной служебной информации (адрес приёмника, функция, номер и количество регистров, разделитель) содержится защитная информация (контрольная сумма, количество байт данных, адрес источника, и ответное сообщение - как квитанция приёма). Подсистема обеспечения надежности современных SCADA-систем позволяет диагностировать достоверность (качество) сигналов, поступающих с датчиков и резервировать их. Признаки аппаратурной и программной достоверности должны передаваться в систему верхнего уровня (SCADA-систему) вместе с измеренным значением как один из атрибутов канала, чтобы их можно было использовать в алгоритмах диагностики и резервирования датчиков. Для оценки эффективности стандартной защиты при передаче коротких сообщений, характерных для сетей нижнего уровня АСУ ТП, рассмотрим наиболее распространенные в химической промышленности сети: Ethernet, Modbus, Profibus. 3.2.1 Оценка производительности сети Ethernet Сеть Ethernet чаще всего используется на верхнем уровне АСУ ТП для связи с АСУ предприятия и для связи рабочих станций между собой [34]. Вопрос об оценке производительности сетей децентрализованного доступа, использующих случайный метод доступа CSMA/CD (Carrier-Sense Multiple Access with Collision Detection - множественный доступ с контролем несущей и обнаружением коллизий), не очевиден из-за того, что существуют 73 несколько различных показателей. Прежде всего, следует упомянуть три связанные между собой показателя, характеризующие производительность сети в идеальном случае — при отсутствии коллизий и при передаче непрерывного потока пакетов, разделенных только межпакетным интервалом IPG. Очевидно, такой режим реализуется, если один из абонентов активен и передает пакеты с максимально возможной скоростью. Неполное использование пропускной способности в этом случае связано, кроме существования интервала IPG, с наличием служебных полей в пакете Ethernet. Пакет максимальной длины является наименее избыточным по относительной доле служебной информации. Он содержит 12304 бит (включая интервал IPG), из которых 12000 являются полезными данными. Поэтому максимальная скорость передачи пакетов (3.2.1) составит в случае сети Fast Ethernet: 108 бит/с/ 12304 бит 8127,44 пакет/с. Пропускная способность равна: 8127,44 пакет/с х 1500 байта - 12,2 Мбайт/с. Эффективность использования физической скорости передачи сети, в случае Fast Ethernet равной 100 Мбит/с, по отношению только к полезным данным составит: 8127,44 пакет/с х 12000 бит/ 108 бит/с 98 %. Без использования системы никакой из абонентов не может захватить сеть более чем на время передачи одного пакета, однако передача данных отдельными пакетами с долгими паузами между ними ведет к снижению скорости передачи для каждого абонента. Преимущество детерминированных методов состоит в возможности простой организации системы приоритетов, что полезно из-за наличия иерархии в любой АСУ ТП. 3.2.2 Анализ влияния программных мер защиты в сети Modbus RTU Проведем анализ стандартных программных мер защиты информации в сети Modbus RTU, при использовании её в АСУ ТП. Сеть Modbus является централизованной, с детерминированным методом доступа. Загрузку такой сети можно рассчитать достаточно точно, если определено количество узлов и режимы их работы. Случайный характер имеет лишь время задержки ответа ведомого, а также количество сбоев обмена. Рисунок 3.1 представляет обобщённый формат кадра:
Рисунок 3.1 - Кадр Modbus RTU Передача каждого байта данных требует дополнительно 1 стартового и 2 стоповых битов (без контроля на чётность). Дополнительные биты относятся к служебным, они обеспечивают синхронизацию обмена. В АСУ ТП интеллектуальные датчики подавляющую часть времени отвечают на циклические запросы SCADA-системы о значении измеряемого параметра, а именно, на запросы «Чтение значений из нескольких регистров». Поскольку для SCADA-системы нужны значения измеряемого параметра в формате Float 4 (Float Single Format no IEEE-754), занимающем 2 регистра (4 байта), конкретные циклы обмена информацией выглядят как показывает Рисунок 3.2. Запрос ведущего устройства:
Ответ ведомого устройства:
Рисунок 3.2 - Цикл обмена информацией с одноканальным узлом сети МосШиэ ЯТи Таким образом, необходимой для исполнения команды считывания данных информацией является «адрес ведомого», «номер функции», «адрес первого регистра», «количество регистров» в запросе и собственно «данные» в ответе. Всего 10 байт. Запрос, ответ и минимальная пауза между ними составляют 20,5 байт. Очевидно, что введение защиты в форме избыточности кодирования, т.е. добавления полей «контрольная сумма CRC», «количество байт данных», квитанций «адрес ведомого» и «номер функции», - приводит к снижению пропускной способности канала на 51 %: ЮОх (10 - 20,5)/20,5 = - 51,22 %. Кадр максимальной длины является наименее избыточным по относительной доле служебной информации (см. Рисунок 3.1). В Modbus RTU он содержит 2084 бит (включая разделительную паузу), из которых 2016 бит являются полезными данными. Поэтому максимальная скорость передачи кадров составит в случае сети Modbus RTU при максимальной бодовой скорости 115,2 Кбод: (115200 бит/с)/ 2084 бит 55,28 кадр/с. Пропускная способность равна: 55,28 кадр/с х 252 байта = 13,93 Кбайт/с. Эффективность использования физической скорости передачи сети, в случае Modbus RTU равной 115,2 Кбод, по отношению только к полезным данным составит: 55,28 кадр /с х 2016 бит/ 115200 бит/с 0,967 97 %. При передаче кадров минимальной длины существенно возрастает скорость в кабеле, что означает всего лишь факт передачи большого числа коротких пакетов. В то же время пропускная способность и эффективность заметно (почти в два раза) ухудшаются из-за возрастания относительной доли служебной информации. При типовых циклических запросах SCADA-системы о значении измеряемого параметра кадр содержит 164 бит (включая разделительную паузу), из которых 80 бит (10 байт) являются полезными данными. Максимальная скорость передачи кадров: (115200 бит/с)/ 164 бит « 702,44 кадр/с. Пропускная способность в данном случае будет равна: 702,44 кадр/с х 10 байт 7,02 Кбайт/с. Эффективность использования физической скорости передачи сети: 702,44 кадр /с х 80 бит/ 115200 бит/с 0,4878 = 48,78 %. 3.2.2.3 Следует отметить, что избыточность будет меньше при считывании данных с многоканальных устройств ввода данных, в которых данные измерений расположены подряд в регистровой карте. Например, при считывании данных с 12-канального прибора цифрового контроля ПКЦ-12 (ЗАО «НЛП «Автоматика», г. Владимир), запрос, ответ и минимальная пауза между ними составляют 64,5 байт, а содержательной информации 54 байт (см. Рисунок 3.3). Снижение пропускной способности канала составляет около 16 %. Запрос ведущего устройства:
|