Информационная безопасность современных систем релейной защиты и автоматики
Министерство образования Республики
Беларусь
Белорусский национальный технический
университет
Энергетический факультет
Кафедра «Электрические станции»
Курсовая работа
Информационная безопасность
современных систем рза
Студент
группы 10606112 Р.А. Юшкевич
Научный
руководитель Е.В. Булойчик
Нормоконтролер
М.М. Бычков
Минск 2015
РЕФЕРАТ
Цель работы - разъяснить суть проблемы кибербезопасности, ознакомиться с
классификацией возможных последствий и ущербов киберугроз, с прослеживанием
причинно-следственной связи по всей цепочке. Предложить решение проблемы
информационной безопасности.
Данные технические решения должны на структурно-функциональном уровне
исключить саму возможность успешной кибернетической атаки.
ВВЕДЕНИЕ
В последнее время все больше внимания уделяется вопросам создания
цифровых подстанций. Ключевым свойством цифровой подстанции является
минимизация аналоговых и дискретных трактов в системах мониторинга и
управления, что обеспечивается за счет максимально полной цифровизации систем
оперативного и автоматического управления, в результате чего весь функционал
устройств релейной защиты, противоаварийной автоматики и автоматизированного
диспетчерского управления сосредотачивается во взаимосвязанных компьютерных
подсистемах энергообъекта. Имеется большое количество публикаций, посвященное
общепринятому, на текущий момент, подходу к созданию цифровых подстанций, когда
на основе стандарта МЭК-61850, описывающего свод правил для организации
событийного протокола передачи данных, создаются шины процессов и шины объектов
(«Коммуникационные сети и системы подстанций»).
Инфраструктурная важность электроэнергетики для существования,
жизнеобеспечения и развития государства и общества, а также непрерывность и
нераздельность процессов производства, передачи, распределения и потребления
электрической энергии приводит к повышенной значимости задач по обеспечению
безопасности, надежности и живучести электроэнергетических систем и их
объединений, а также отдельных электроэнергетических объектов. Микропроцессорные
устройства с большими вычислительными возможностями в настоящее время широко
используются для управления и автоматизации, в дополнение к стандартной
архивации и обработке данных. Электроэнергетическая промышленность, как и всё
наше общество в целом, пользуется преимуществами открывшихся невероятных
возможностей, которые предоставляют новые технологии. Релейная защита и
регулирующие устройства, система SCADA (от англ. означает Supervisory Control and Data Acquisition, диспетчерское управление
и сбор данных - набор
программных приложений, предназначенный для разработки или обеспечения работы в
реальном времени систем сбора, обработки, отображения и архивирования
информации об объекте мониторинга или управления), дистанционное управление и
мониторинг, а также многие другие приложения сейчас, как правило, применяются с
использованием новой технологии. Однако кроме очевидных технологических и
технических преимуществ, обеспечиваемых микропроцессорной техникой, существенно
обостряется проблема угрозы информационной безопасности, обусловленная
возможными несанкционированными действиями и рядом других причин и возрастающая
по мере увеличения количества подстанций с возможностью доступа по IP. До
настоящего времени системы защиты и автоматизации подстанции (АП) полагаются на
безвестность, изоляцию и закрытость объекта, надёжность коммуникаций в рамках
подстанции, использование внутренних протоколов. Но всё это до конца не решает
проблему безопасности, и эти системы нуждаются в защите от кибератак, которые
могут значительно подорвать надёжность электрической сети. Следует сделать
акцент на том, что с введением IEC 61850 появились опасения, что существующие
меры обеспечения безопасности становятся в принципе неудовлетворительными. Эти
опасения привели исследовательский комитет B5 Conseil International des Grands
Réseaux Électriques (CIGRE, международный совет по крупным электрическим
системам) к решению провести исследование, позволяющее оценить проблему
реализации требований по кибербезопасности при использовании IEC 61850. Для
этой цели была создана специальная рабочая группа, результатом работы которой
стал специальный отчёт [4], положения которого отражены в настоящей работе.
Не отрицая необходимость применения специальных технических средств,
обеспечивающих кибербезопасность, предлагается посмотреть на данную проблему с
позиции человеческого фактора [5], так как именно человек (сотрудник
энергопредприятия, сотрудник поставщика и подрядчика, или стороннее лицо)
является основной причиной потенциальной киберугрозы.
В работе предлагается подход к анализу киберугроз, с классификацией
возможных последствий и ущербов, с прослеживанием причинно-следственной связи
по всей цепочке. Предлагается выделить группу киберугроз не связанных со
злонамеренными действиями, а также группу киберугроз связанных со
злонамеренными действиями отдельных лиц, конкурирующих бизнес-групп и даже
враждебных действий некоторых стран. Учитывая тот факт, что заинтересованными
сторонами в кибератаке могут быть, в том числе, государства, основным способом
по недопущению кибератак со значимыми последствиями и ущербами, по мнению
авторов, является применение специальных технических решений при проектировании
цифровых систем. Данные технические решения должны на структурно-функциональном
уровне исключить саму возможность успешной кибернетической атаки.
1. СУТЬ
ПРОБЛЕМЫ КИБЕРБЕЗОПАСНОСТИ
кибербезопасность
цифровой подстанция надежность
Основная суть проблемы кибербезопасности заключается в том, что
закрытость объекта больше не является барьером для кибератаки, которая может
преодолеть изоляцию, и все данные на верхнем уровне АП с внедрением IEC 61850,
если не принять специальные меры, могут стать доступными не по назначению. В
настоящее время IEC 61850 лучше всего реализован через инфраструктуру Ethernet,
что из-за связи с корпоративной сетью лишает систему преимуществ изоляции.
Дополнительно отмечается, что одноранговая связь через GOOSE подвержена рискам,
связанным с воспроизведением событий и манипулированием ими, а связи
«клиент-сервер», поддерживающие более одного клиента, увеличивают возможность
появления в них неавторизированного клиента.
1.1 Требования по безопасности
Для обеспечения требований по безопасности и для оценки её уровня
упомянутая рабочая группа предлагает использовать семь основополагающих
требований, кодифицированных в ISA 01.01.99:
- управление доступом (AC - Access Control), чтобы защитить от несанкционированного доступа к
устройству или информации;
- управление использованием (UC - Use Control), чтобы защитить от несанкционированного
оперирования или использования информации;
- целостность данных (DI - Data Integrity), чтобы защитить от несанкционированного
изменения;
- конфиденциальность данных (DC - Data Confidentiality), чтобы защитить от
подслушивания;
- ограничение потока данных (RDF - Restrict Data Flow), чтобы защитить от публикации
информации на несанкционированным источниках;
- своевременный ответ на событие (TRE - Timely Response to Event),
мониторинг и протоколирование связанных с безопасностью событий и принятие
своевременных мер по ликвидации последствий в ответственных задачах и в
критических ситуациях по безопасности;
- доступность сетевого ресурса (NRA - Network Resource Availability),
чтобы защитить от атак «отказ в обслуживании».
Отмечается, что эти требования не отличаются от предъявляемых к обычным
вычислительным сетям, однако ввиду изолированности объекта и связанной с этим
иллюзией безопасности до настоящего времени к таким сетям зачастую не
применявшимся.
1.2 Анализ стандартов
Анализ существующих и разрабатываемых стандартов, выполненный рабочей
группой Исследовательского комитета СИГРЭ по релейной защите, показал, что ни
один из рассмотренных документов не удовлетворяет всем семи требованиям. При
этом некоторые предлагаемые решения оказались противоречивыми и приводящими к
путанице. В то же время необходимо искать правильные решения, потому что эти
требования должны стать исходным руководством для инженеров-релейщиков, так как
они:
- определяют требования кибербезопасности в заказных спецификациях;
- улучшают существующие меры по кибербезопасности при
применении IEC 61850;
- улучшают механизмы кибербезопасности, используемые в
существующих системах с использованием IEC 61850.
Определено, что из всех действующих стандартов лучшие решения в части мер
обеспечения безопасности по первым трём требованиям (для управления доступом,
целостности и конфиденциальности данных) предлагает стандарт IEC 62351 [3].
Этот стандарт прямо рекомендует их при реализации IEC 61850. Однако для
выполнения других требований, например, по своевременному ответу на события,
стандартные решения отсутствуют. В целом IEC 62351 представляет собой серию
стандартов, регламентирующих вопросы безопасности для профилей протоколов на
базе стека TCP/IP, в том числе для протоколов IEC 60870-5, IEC 60870-6, IEC
61850. На рисунке 1 раскрывается отображение стандарта IEC 61850 в стандарте
МЭК 62351.
Рисунок 1 -
Структура стандарта IEC 62351
Другие стандарты, такие как ISA-99 и NERC CIP, охватывают более широкую
область основополагающих требований, но содержат рекомендации, а не конктретные
инструкции о том, что и как должно быть сделано. Рабочая группа
Исследовательского комитета В5 СИГРЭ пришла к заключению, что только стандарт
IEC 62351 и технические стандарты требований ISA-99 предлагают требования
безопасности для передачи сообщений IEC 61850 в пределах подстанций. При этом
следует отметить, что технические требования ISA 99 ещё находятся на ранней
стадии развития.
1.3 Возможные решения проблемы кибербезопасности
62351 предлагает меры шифрования и авторизации, в последнем случае IEC
61850 использует собственный опознавательный механизм. Новый раздел IEC 62351
основывается на разграничении уровней при управлении доступом, это позволяет
надеяться, что более полно обеспечится управление доступом и управление
использованием.
Эффективная безопасность требует, чтобы для обеспечения полномасштабной
защиты были развёрнуты несколько различных мер.
Введение любой из мер, рекомендуемых различными стандартами, требует изменений
и обновления защищаемой системы. Другим фактором должно стать обучение
сотрудников соответствующих служб авторизации и использованию новых функций,
убеждение их в важности мер по кибербезопасности. Непростой остаётся проблема,
вызывающая потребность управлять ключами и сертификатами в связи с
использованием шифрования. Даже инфраструктура сети становится теперь одним из
факторов, учитываемым при обеспечении безопасности.
Но ничто не поможет закрыть проблему кибербезопасности, если не будут
приняты меры, позволяющие решить все обозначенные выше задачи. Неправильно
сконфигурированные брандмауэры, например, могут не только не уменьшать риск
вторжения, но и сами служить причиной сбоев в нормальном взаимодействии
оборудования. Плохие пароли не будут эффективным сдерживающим средством против
решительного атакующего воздействия.
Следующим важным обстоятельством, которое не должно быть оставлено без
внимания, является то, что реализация IEC 61850 в значительной степени зависит
от вспомогательных инструментов. Если система IEC 61850 сделана при помощи
способов, упомянутых выше, то и инструменты должны также быть сделаны
безопасными. Необходимо хотя бы требовать от них разрешения продолжать работать
в сети, которая зашифрована или требует авторизации.
В отличие от того, что было ранее, введение кибербезопасности требует
внимания не только к техническим проблемам, но также и к организационным
вопросам. Примером тому является управление патчами, гарантирующими наличие
последней версии программного обеспечения, и управление конфигурацией - отслеживание всех активов, которые
являются частью сети подстанции. Пригодность для обслуживания системы - другая область, которая должна
учитываться.
Актуальной задачей является создание всестороннего руководства,
призванного помочь специалистам, занятым в реализации кибербезопасности на
подстанциях. Руководство должно затрагивать и технические аспекты, и аспекты
управления кибербезопасностью; оно должно включать в себя положения, касающиеся
и устройств, и программных инструментов.
В [2] даётся много других предложений, на которые следует обратить
внимание. Следует также учесть опыт американских специалистов [1].
Дополнительно остановимся ещё на ряде важных положений. Развитие мировой
энергетики идёт в направлении создания и широкого внедрения Умных сетей
электроснабжения (от англ. SMART GRID). Основными достигнутыми результатами
должны стать наблюдаемость, контролируемость, автоматизация управления
электроэнергетической системы (ЭЭС), обеспечивающие её высокую надёжность и
высокие экономические показатели работы. Всё большее внедрение находят
глобальные распределённые системы мониторинга, защиты и управления (WAMS, WAPS,
WACS), в основе которых лежит технология векторных измерений с высокой
точностью синхронизации пространственно разнесённых устройств. Точная и
надёжная синхронизация (порядка 1 мкс и менее) является принципиальным
условием, для выполнения которого применяются Глобальные навигационные
спутниковые системы (ГНСС). Проблема обеспечения помехоустойчивого приёма
точного сигнала времени становится актуальнейшей задачей, поскольку сбои и
ошибки в приёме сигналов приведут к крайне нежелательным последствиям.
Обнадёживающие результаты в разработке помехоустойчивого приёмника на базе
пространственно-временной обработки сигналов получены группой специалистов в
ОАО «ВНИИР-Прогресс» под руководством профессора, д.т.н. В. Н. Харисова.
Учитывая особую важность систем релейной защиты с абсолютной
селективностью и специфику коммутационных сетей, используемых для их
реализации, следует индивидуально подойти к отстройке этих систем от кибератак
и несанкционированных воздействий.
2. ЦИФРОВЫЕ
ПОДСТАНЦИИ
2.1 Новые проблемы
В 2013 году, на фоне скандальных событий с Эдвардом Сноуденом, были
озвучены многочисленные факты информационного слежения посредством цифровых
технологий за государственными органами власти многих стран мира со стороны
специальных служб США. По существу, данные факты можно квалифицировать, как
непрерывные кибернетические атаки на государственные органы власти, причем данные
атаки не были выявлены органами безопасности атакованных государств, а стали
известны только благодаря шпионскому скандалу. С тех пор геополитическая
обстановка в мире только накаляется.
Когда мы говорим о кибернетической безопасности, то часто возникает
вопрос, не подвержены ли (сейчас или в будущем) данным атакам наши наиважнейшие
инфраструктурные объекты, в том числе, объекты электроэнергетики? Возможно, не
так страшно, если угроза состоит только лишь в несанкционированном мониторинге.
Однако какие могут быть последствия в том случае, если существуют скрытые
каналы несанкционированного управления?
2.2 Особенности цифровых подстанций
Первой ключевой особенностью, отличающей цифровую подстанцию от
традиционной, является замена большинства физических аналоговых и дискретных
связей (токовые цепи, цепи напряжения, оперативные цепи) цифровыми. При
организации аналоговых связей для передачи одного сигнала ранее требовалась как
минимум одна жила медного кабеля определенного сечения. При использовании цифрового
кабеля по паре оптических волокон можно передавать тысячи и даже десятки тысяч
различных сигналов, что при правильной организации позволяет существенно
упростить кабельное хозяйство интеллектуальной цифровой подстанции.
Второй ключевой особенностью цифровой подстанции является то, что любое
микропроцессорное устройство располагает вычислительным ресурсом. На
современной подстанции располагаются десятки или сотни различных
микропроцессоров, зачастую выполняющих однотипные функции. Степень загрузки
микропроцессоров на разных устройствах разная, но в любом случае, как правило,
имеется большое количество неиспользуемой вычислительной мощности. В
традиционных подстанциях, функционал шкафа РЗА или ПА был ограничен количеством
вмещаемых внутри него устройств вторичных коммутаций (клемм, реле, ключей,
испытательных блоков и т.п.). В цифровой подстанции, имеется возможность
одновременного выполнения на мощном современном микропроцессорном устройстве
большего количества функций, чем было ранее.
И наконец, третьей ключевой особенностью цифровой подстанции является
появление цифровых и оптических трансформаторов тока (ТТ) и напряжения (ТН).
Данные устройства могут быть реализованы с использованием различных принципов,
иметь различное конструктивное исполнение. Однако их общими свойствами являются
повышенная точность не только в номинальном, но и в аварийных режимах, а также
возможность преобразования аналоговых параметров в цифровую форму
непосредственно в комплексе технических средств, относящихся к цифровому трансформатору
тока или напряжения.
В функциональном плане цифровая подстанция является принципиально новым
объектом с позиции систем управления. В ней обеспечивается глубокий мониторинг
первичного оборудования и всех вторичных систем. Существенно упрощается процесс
внедрения новых функций контроля и управления, так как для этого требуется
только лишь установка программного обеспечения, и достаточный вычислительный
ресурс (сервера, контроллеры, терминалы). При этом не потребуется организации
аналоговых и дискретных цепей. С позиции концепции SMART GRID,
цифровая подстанция - это эффективный электросетевой элемент, обладающий
свойствами наблюдаемости, адаптивности и интеллекта. Тем не менее, создание
цифровых подстанций в российских энергосистемах вызывает большое количество
вопросов. Наиболее острые и не до конца решенные - это вопросы
кибербезопасности.
Рассматривая с позиции надежности и безопасности элементы цифровых
подстанций, следует отметить, что здесь любая подсистема содержит типовые
интеллектуальные микропроцессорные программируемые компоненты. С одной стороны,
это обеспечивает гибкость, функциональность, совместимость и взаимозаменяемость
при относительно низкой цене. С этой точки зрения построение цифровой
подстанции, безусловно, является эффективным мероприятием. С другой стороны,
специалист-электроэнергетик не в состоянии глубоко вникнуть в аспекты реального
функционирования таких кибернетических компонентов, более того, даже
специалист-кибернетик не в состоянии досконально изучить функциональные схемы всех
микропроцессоров и программного обеспечения. Поэтому следует обратить внимание
на то, что неизбежным следствием развития цифровых и микропроцессорных
технологий на объектах электроэнергетики является существенное усложнение
внутренних алгоритмов работы элементов цифровых подстанций.
Таким образом, можно отметить, что при построении цифровых подстанций на
основе стандарта МЭК 61850 возникает системное противоречие: по сути,
предлагается существенно упростить физическую (аппаратную) часть цифровой
подстанции за счет принципиального усложнения алгоритмической и программной
частей. При этом ослабление кибербезопасности является неизбежным следствием
увеличения объема системного и коммуникационного программного обеспечения,
которое раньше выполняло вспомогательные функции, а теперь станет ключевым
элементом.
2.3 Сравнение цифровых и традиционных подстанций с позиции
надежности и живучести
Сопоставим задачи обеспечения надежности и способы их решения для
традиционных и цифровых подстанций. Для традиционных подстанций существенных
проблем с кибербезопасностью не возникает, поэтому для них будем рассматривать
лишь общие вопросы надежности и живучести.
Ключевыми элементами, которые могут быть подвержены кибератаке с
последующим нарушением функционирования цифровой подстанции являются:
- внешние цифровые каналы, по которым осуществляется технологическая и
оперативная связь с другими энергообъектами и диспетчерскими пунктами;
- коммуникационные сети энергообъекта, включая коммутаторы и
маршрутизаторы;
- шины процессов и шины объектов (в соответствии с МЭК-61850),
которые в цифровой подстанции являются неотъемлемыми элементами любой функции
РЗА, ПА, мониторинга и оперативного управления;
- цифровые устройства РЗА, ПА, управления и мониторинга
электрооборудованием.
Таким образом, именно коммуникационные сети и каналы являются «узким
местом» цифровой подстанции. Для сравнения отметим, что в традиционных
подстанциях, таким «узким местом» являлись системы оперативного постоянного
тока (СОПТ). Отказ СОПТ приводил к полной утрате управляемости энергообъекта.
Все остальные подсистемы автоматического, автоматизированного или оперативного
управления выполнялись достаточно независимыми друг от друга, поэтому отказ
одной подсистемы не влиял на функционирование другой.
Классический подход для повышения надежности и живучести технической
системы требует поиска возможных угроз (возмущающих факторов), и исследования
влияния этих угроз на технологические процессы, т.е. оценивание устойчивости к
ним. В качестве возможных угроз (возмущающих факторов) с позиции
кибербезопасности для цифровых подстанций можно отметить следующие:
- кибератаки извне, через внешние цифровые каналы связи энергообъекта;
- не выявленные ошибки в программном обеспечении устройств
цифровой подстанции;
- злонамеренные программные дефекты (закладки), встроенные в
программное обеспечение микропроцессорных устройств цифровой подстанции, с
целью управляемого вывода из строя системы; ошибки оперативного и
эксплуатационного персонала энергообъекта.
Средствами повышения надежности и живучести являются:
- дублирование - установка нескольких одинаковых устройств;
- функциональное резервирование - реализация одинаковых или
схожих функций с использованием разных физических принципов;
- декомпозиция - разделение различных функций между разными
устройствами, физическое разнесение кабелей и устройств;
- упрощение - применение простых, понятных и однозначных
алгоритмов управления.
При переходе от традиционных подстанций к цифровым на основе МЭК-61850,
происходит отказ от следующих принципов:
- отказ от декомпозиции, т.к. коммуникационные сети (включая
коммутаторы и маршрутизаторы), обеспечивающие шины процессов и шины объектов,
выполняют функции доставки информации до любых устройств мониторинга и
управления;
- отказ от упрощения, т.к. алгоритмы передачи и обработки
цифровой информации по коммуникационным сетям сложны.
Для обеспечения надежности и живучести цифровых подстанций применяют
только:
- дублирование устройств;
- дублирование сетей и каналов связи;
- функциональное резервирование и декомпозицию исключительно на
уровне электроэнергетических функций, но не на уровне цифровых технологий.
Коммуникационные сети и микропроцессорные устройства цифровых подстанций
универсальны, и без существенной переделки могут решать любые информационные
задачи, например, выполнять заведомо зловредные функции в процессе кибератаки,
чего нельзя было сказать об устройствах на традиционных подстанциях (особенно
на электромеханической базе).
3.
ЧЕЛОВЕЧЕСКИЙ ФАКТОР ПРИ ОБЕСПЕЧЕНИИ КИБЕРБЕЗОПАСНОСТИ ОБЪЕКТОВ
ЭЛЕКТРОЭНЕРГЕТИКИ
Совершенствование технических и программных средств, выполняющих
коммуникационные функции на цифровых подстанциях, а также применение
специальных технических и программных средств, предназначенных для защиты от
кибератак, снижает вероятность атаки извне и последствия от возможных не
выявленных ошибок в программном обеспечении.
Ключевой проблемой является то, что одно и то же устройство или
программное обеспечение может быть настроено так, чтобы обеспечивать
кибербезопасность и не допускать кибератаки, а может быть настроено по-другому,
т.е. способствовать кибератакам. Внешний вид устройств при этом не меняется,
однако их функциональность в части кибербезопасности принципиально разная.
Отличие исключительно в настройках, причем отличаться может незначительное
число параметров из тысячи совпадающих. Неспециалист в вопросах
кибербезопасности вообще не сможет выявить проблему путем каких-то
периодических осмотров оборудования. Значит, требуется привлечение специально
обученных специалистов, которые способны решать подобные задачи.
Соответственно, важнейшим требованием к специалисту по кибербезопасности
является требование правильного и добросовестного выполнения своих
обязанностей. Однако, учитывая масштаб последствий, а также то, что
заинтересованными сторонами в кибератаке могут быть иностранные государства, на
первый план выходят вопросы политической и бизнес лояльности, патриотизма,
эффективности спецслужб и т.п. То есть вопросы, выходящие за рамки техники и
энергетики. Если подобным образом, можно говорить о том, что любая цифровая
подстанция должна превращаться в некий закрытый и секретный объект, наподобие
военных и ядерных объектов, со всеми вытекающими затратами. Но готов ли
электроэнергетический бизнес к такому?
Альтернативным путем является пересмотр структурной и функциональной схем
цифровых подстанций таким образом, чтобы в принципе исключить многие из
потенциально возможных киберугроз. Например, традиционные электромеханические
реле, традиционные устройства вторичных коммутаций не подвержены кибератакам в
виду отсутствия какой-либо цифровой части. Поэтому некоторое совмещение
цифровых, аналоговых и механических устройств может являться простым и
эффективным средством обеспечения кибербезопасности, причем полностью понятным
электроэнергетикам.
4.
ПРЕДЛОЖЕНИЯ ПО ОБЕСПЕЧЕНИЮ КИБЕРБЕЗОПАСНОСТИ ЦИФРОВЫХ ПОДСТАНЦИЙ
Если все устройства РЗА, ПА, системы управления первичным оборудованием
будут выполнены на цифровой базе и будут объединены в единую
информационно-управляющую систему, то результатом кибератаки может быть полная
потеря управляемости энергообъектом или заведомо ложное управление.
Если несколько смежных подстанций подвергнется целенаправленной
кибератаке, то вполне возможны случаи полного обесточивания значительной группы
потребителей (включая ответственных). Также возможны случаи повреждения
дорогостоящего первичного оборудования вследствие неустраненного КЗ или
длительной неустраненной перегрузки. При этом классические средства дальнего
резервирования на смежных цифровых подстанциях могут быть также
неработоспособны по все той же причине.
Как было отмечено выше, успешность кибератаки зависит не только от
качества технических средств, но и от слабоуправляемых процессов, таких как
лояльность и человеческий фактор. Поэтому одним из наиболее важных аспектов,
который необходимо обеспечивать с позиции кибербезопасности цифровых
подстанций, является то, чтобы успешная кибератака не приводила к повреждению
дорогостоящего или сложно ремонтируемого оборудования. Соответственно
необходимо хотя бы в минимальном объеме сохранять средства защиты и управления,
выполненные без использования цифровых технологий, и не вовлеченные в сферу
управления цифровых устройств.
В частности, газовые, дуговые и прочие подобные защиты оборудования могут
легко быть построены на независимой от цифровых подсистем базе, и напрямую
действовать на отключение выключателей, минуя цифровые системы управления.
Сложностей с такой реализацией нет никаких, значительного числа медных кабелей
это не потребует, зато надежность и живучесть энергообъекта повышается на
порядок.
Применение цифровых технологий существенно расширяет возможности, может
повышать быстродействие, чувствительность и селективность основных и резервных
защит. Не хотелось бы жертвовать этими достоинствами в угоду защиты от
гипотетических кибератак. Данное противоречие можно было бы решить путем
реализации на цифровых подстанциях дополнительных степеней защит с большими
выдержками времени, выполненных, возможно даже, на электромеханической базе.
Например, установка классической МТЗ с заведомо большой выдержкой (больше, чем
у традиционных резервных защит дальнего резервирования), отстроенной от
термической стойкости оборудования, которая должна быть последним рубежом,
защищающим оборудование от повреждения.
Важно также обеспечить независимые от цифровых подсистем элементы защиты
и управления, независимым оперативным током, где сама СОПТ не должна
управляться от централизованной цифровой системы управления.
Авторами предлагаются следующие мероприятия по повышению
кибербезопасности цифровых подстанций и объектов электроэнергетики в целом:
- разделение информационных потоков различных подсистем на физически не
связанные сегменты коммуникационных сетей передачи данных внутри подстанции,
т.е. предлагается создание независимых друг от друга шин процессов и шин
объектов для каждой функции автоматического или автоматизированного управления,
требующей повышенной надежности;
- отказ от монотехнологичности в коммуникационных сетях
передачи данных внутри подстанции (чтобы Ethernet и TCP/IP не были
единственными коммуникационными технологиями цифровой подстанции);
- применение симплексных каналов с односторонней передачей
информации там, где это достаточно для выполнения прикладной функции, например,
односторонняя передача информации от цифрового ТТ (ТН) к устройствам РЗА,
исключающая возможность кибератаки на сам ТТ (ТН) от неисправного устройства
РЗА;
- создание выделенных сегментов коммуникационных сетей,
использующихся для настройки и переконфигурирования микропроцессорных и
коммуникационных устройств, причем в процессе эксплуатации данные сегменты
должны быть нормально отключены (снято питание с коммуникационных устройств или
разобраны разъемы);
- применение межсетевых экранов, разделяющих различные сегменты
коммуникационных сетей на физическом (аналоговом) уровне, которые не должны
допускать выполнение несанкционированных функций (сегодня межсетевые экраны
реализуются на уровне программного обеспечения);
- применение специальных межсетевых экранов, предназначенных
для передачи GOOSE сообщения между физически разделенными сегментами
коммуникационных сетей с возможностью физического вывода из работы любого
сигнала (аналог традиционного ключа/накладки для традиционной подстанции);
- применение для ответственных функций упрощенных узкоспециализированных
протоколов обмена информации, которые не позволяют передавать
несанкционированную информацию (в отличие от Ethernet и TCP/IP, которые
поддерживают передачу любой информации).
Для реализации предлагаемых мероприятий необходима разработка и внедрение
новых технологий, ранее не применявшихся для построения цифровых подстанций.
На организационном уровне необходимо принципиально переработать подходы к
сертификации оборудования и лицензированию специалистов. С позиции
кибербезопасности, функционал микропроцессорного устройства цифровой подстанции
определяется исключительно его программным обеспечением. Соответственно
сертификат соответствия должен быть на конкретную аппаратную версию и
конкретную программную прошивку устройства. Чтобы это реализовать на практике,
необходимо упросить организационно-бюрократическую сторону сертификации,
сосредоточившись на проверке функций. Учитывая общую сложность цифровых
технологий и применяемых алгоритмов цифровой коммуникации, необходимо обратить
внимание на персональное лицензирование конкретных специалистов. Сейчас допуск
на определенные виды работ выдается организации в целом, а необходимо этот
допуск давать конкретным специалистам, без привязки к организации, тогда
существенно повышается персональная ответственность специалиста, и снижается
возможность административного давления. Следует отметить, что подобный способ
лицензирования специалистов успешно применяется в США.
Авторы считают, что необходимо расширять дискуссии по вопросам
кибербезопасности цифровых подстанций в свете концепций ИЭС ААС и Smart Grid
[6]. Формировать коллективные экспертные мнения, которые необходимо доводить
как до разработчиков оборудования и программного обеспечения, так и до
субъектов электроэнергетики, надзорных контролирующих органов.
С одной стороны, имеется необходимость развития технологий, в том числе,
цифровых, которые дают широчайшие возможности. С другой стороны, имеются угрозы
надежности энергообъектов и даже энергобезопасности регионов и государств.
Вместо поиска компромисса (как сочетание некоторого уровня новых технологий и
некоторого уровня каберзащищенности), необходима гармонизация всех аспектов.
Необходимо, чтобы новые цифровые технологии повышали, а не снижали
кибербезопасность электроэнергетических объектов и систем. Авторы считают, что
такое вполне осуществимо.
ЗАКЛЮЧЕНИЕ
Системы управления больше не защищены за счёт закрытости объекта, как это
было раньше. Мы теперь живём в мире, где работаем и в корпоративных сетях, и в
сетях систем управления с использованием одной и той же рабочей станции.
Используются TCP/IP и другие протоколы, характерные для обеих сред, что
приводит к целому ряду проблем. В этом смысле IEC 61850 сам по себе не менее
безопасен, чем многие другие протоколы, которые сегодня используются на
подстанциях.
Для обеспечения требований по безопасности, а также для оценки её уровня
предлагается руководствоваться приведёнными в [2] семью
требованиями-положениями.
Поскольку в настоящее время инженеры-релейщики не имеют ни одного
руководства для решения любой из обозначенных проблем, они должны обратиться к
изучению ряда стандартов и отчётов с информацией об основополагающих
требованиях, кодифицированных в ISA 01.01.99, и в первую очередь - к отчёту рабочей группы
Исследовательского комитета В5 СИГРЭ [2].
В связи с внедрением глобальных распределённых систем мониторинга, защиты
и управления (WAMS, WAPS, WACS) должна быть решена задача помехоустойчивого
приёма сигнала ГННС, обеспечивающего возможность векторных измерений
пространственно разнесённых устройств с высокой точностью синхронизации.
СПИСОК
ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1 Cyber
Security Issues for Protective Relays Report of C1 Working Group Members of
Power System Relaying Committee (USA), June 2007. - С. 28.
2 The
Impact of Implementing Cyber Security Requirements using IEC 61850 CIGRE
Working Group the B5.38, August 2010. - С. 91.
IEC
62351 Cybersecurity Standards, May 2010. - С. 13.
4 Горелик
Т.Г., Кириенко О.В., Дони Н.А. Цифровая подстанция. Подходы к реализации //
Сборник докладов XXI конференции
«Релейная защита и автоматика энергосистем», Москва, 29-31 мая 2012. - C. 10-17.
Осак
А.Б, Панасецкий Д.А., Бузина Е.Я. Аспекты надежности и безопасности при
проектировании цифровых подстанций // Сборник докладов международной
конференции «Современные направления развития систем релейной защиты и
автоматики энергосистем», Екатеринбург, 3-7 июня 2013 г. - C. 27-34.
Нудельман
Г.С. О требованиях кибербезопасности систем РЗА при использовании МЭК 61850 //
Сборник докладов XXI конференции «Релейная защита и автоматика энергосистем»,
Москва, 29-31 мая 2012. - C.
10-17.