№ 5
ИЗВЕСТИЯ АКАДЕМИИ НАУК ЭНЕРГЕТИКА
2013
УДК 004.056
© 2013 г. ЗЕГЖДА П.Д., СТЕПАНОВА Т.В., ПЕЧЕНКИН А.И.1
БЕЗОПАСНОСТЬ АСУ ТП ЭНЕРГОСИСТЕМ, ИСПОЛЬЗУЮЩИХ ПРОМЫШЛЕННЫЕ ПРОТОКОЛЫ ПЕРЕДАЧИ ДАННЫХ
АСУ ТП образует критически важную инфраструктуру, выведение из строя ее составляющих способно оказать существенное влияние на национальную безопасность, привести к чрезвычайным ситуациям государственного уровня и масштаба. Следует выделить проблему выявления, идентификации и противостояния угрозам безопасности АСУ ТП энергосистем. Авторами предложен подход к решению этой проблемы, основанный на построении безопасной архитектуры промышленной системы и анализе особенностей промышленных протоколов передачи данных.
Введение. Автоматические системы управления технологическим процессом (АСУ ТП) представляет собой сложный высокотехнологичный комплекс программных и технических средств, предназначенный для автоматизации управления промышленными, транспортными и технологическими операциями и оборудованием на производстве в целом или на отдельных участках. Сферы применения АСУ ТП разнообразны и затрагивают все масштабные (многопоточные, многоэтапные, непрерывные и т.п.), критические или опасные циклы промышленного производства. АСУ ТП образует критически важную инфраструктуру, составляющие которой представляют собой объекты национального хозяйственного комплекса, поддерживающие сферы жизнедеятельности, частичный или полный отказ которых способен повлиять на национальную безопасность, привести к чрезвычайным ситуациям государственного уровня и масштаба. Специфика обеспечения безопасности АСУ ТП обусловлена ее техническими особенностями: распределенностью компонентов и гетерогенностью информационной и программной составляющей, географической удаленностью сегментов и объектов информатизации и управления. Следствием этого является несовместимость с АСУ ТП традиционных подходов обеспечения надежности и безопасности, что подтверждается следующими примерами.
В 2009 г. произошла авария на Саяно-Шушенской ГЭС (СШГЭС) [1]. В результате аварии погибло 75 человек, ущерб оценивается в 7 млрд. руб., затраты на восстановление оцениваются в 40 млрд. рублей. Временно были отключены несколько промышленных предприятий, цены на балансирующем рынке электроэнергии выросли в пять раз, на Лондонской фондовой бирже депозитарные расписки на акции "РусГидро" потеряли 15 %, на российском рынке акции компании обвалились на 10%.
В конце сентября 2010 г. стало известно, что компьютерный червь Stuxnet нанес серьезный урон иранской ядерной программе. Используя уязвимости операционной системы и "человеческий фактор", Stuxnet поразил 1368 из 5000 центрифуг на заводе по обогащению урана в Натанзе, сорвал сроки запуска ядерной АЭС в Бушере. Принцип действия червя: перехват и модификация информационного потока между программируемыми логическими контроллерами марки Simatic Step 7 и рабочими станциями
1Санкт-Петербургский государственный политехнический университет (СПбГПУ).
SCADA-системы Simatic WinCC фирмы Siemens. Таким образом, червь используется в качестве средства несанкционированного сбора данных и диверсий в АСУ ТП промышленных предприятий, электростанций и аэропортов Ирана. Уникальность программы заключалась в том, что впервые в истории осуществляется целенаправленное разрушение отраслевой инфраструктуры.
Если Stuxnet определяет, что запущен на инженерной станции, то подменяет часть STEP7, отвечающую за прошивку кода в ПЛК. В момент, когда инженер осуществит подключение к контроллеру, если Stuxnet опознает подходящую конфигурацию аппаратных средств, то модифицирует код, передаваемый в ПЛК. Исследователи выяснили, что злоумышленников интересовали контроллеры 6ES7-417, 6ES7-315—2 и индустриальные сети стандарта Profibus-DP. Модифицированный STEP7, при попытке чтения измененных блоков программы ПЛК отображает их в исходном виде (rootkit компонента для сокрытия факта модификации).
Stuxnet осуществляет идентификацию целевой системы путем проверки блока данных DB 890 каждые 5 сек в среде WinCC. Если условие выполнено, Stuxnet модифицирует модуль ОВ 35 во время передачи из Simatic Manager в ПЛК. Модуль ОВ 35 вызывается в ПЛК каждые 100 мс по таймеру, в нем перехватчик Stuxnet проверяет код возврата функции FC 1874. Если код возврата из FC 1874 — DEADF007, оригинальное содержимое ОВ 35 не выполняется. По мнению экспертов, логическим развитием червя Stuxnet являются вирусы Duqu и Flame [2].
Известны проблемы, которые решаются на уровне информационных систем, но не имеют должного решения для АСУ ТП, в т. ч. ошибки в программном обеспечении автоматического управления; уязвимости в задании системной конфигурации; уязвимости сред передачи данных; уязвимости управляющих сетевых протоколов; отсутствие необходимой защиты каналов передачи данных. Таким образом, безопасность АСУ ТП является актуальной задачей, требующей незамедлительного решения.
Выявление угроз безопасности АСУ ТП энергосистем
АСУ ТП включают аппаратные и программные составляющие. Типичные аппаратные средства — это Master Terminal Unit (MTU), размещенный в центре управления, аппаратура связи и Remote Terminal Unit (RTU) или ПЛК, которые управляют механическими приводами и/или датчиками. MTU хранит и обрабатывает информацию, поступающую от вводов и выводов RTU, в то время как RTU или ПЛК управляют локальным процессом. Коммуникационные аппаратные средства позволяют передавать информацию и данные между MTU и RTU или ПЛК. Программное обеспечение настраивается таким образом, чтобы отдавать системе команды — что и когда необходимо опрашивать, какие диапазоны значений для определенных параметров являются допустимыми, как реагировать на изменение внешних параметров? Системы SCADA обычно разрабатываются как отказоустойчивые системы с существенной избыточностью, встроенной в системную архитектуру. Специфические угрозы, характерные для промышленных систем, во многом обусловлены именно их архитектурными особенностями.
Угрозы безопасности, характерные для АСУ ТП энергосистем, можно классифицировать по трем критериям:
1. По используемым типам уязвимостей: организационные, конфигурации, программные, периметра сети, систем связи.
2. По типу последствий: раскрытие информации, отказ в обслуживании, отказ в доступе, отказ в управлении, отказ в представлении, подмена представления.
3. По объекту угрозы: SCADA, ПЛК, инфраструктура и ОС, транспортные протоколы.
Следует отметить характерные промышленные угрозы отказа в представлении и
подмены представления, обычно реализуемые через спуфинг и приводящие к тому, что оператор АСУ ТП либо теряет контроль над системой, либо получает недостоверную информацию и пропускает возникновение аварийной ситуации.
- Аналог
- Выигрывает от
- Координирует " Использует
Анализ | уязвимостей )
Согласование ^ уязвимостей
Реакция на уязвимости
Управление | уязвимостями
>
Исследование уязвимостей
I ¥
Обнаружение уязвимостей
С Исправление уязвимостей
Отчеты по уязвимости
[ подтюрвдш^—обнаружение ]
уязвимостей уязвимостей
Рис. 1. Составляющие процесса работы с АСУ ТП, имеющими уязвимость
На сегодняшний день существует несколько основных стандартов, объединяющих промышленные протоколы, описывающих сетевые интерфейсы, требования к полевой шине (АШ1/КЛ-50.02, 1ЕС 62026, 1ЕС 61158, 1ЕС 61784, 1ЕС 61918), но единого стандарта нет. Почти ко всем описанным протоколам предъявляется требование работы в реальном времени, поэтому большинство из них не имеет встроенных средств обеспечения безопасности — ни шифрования, ни цифровой подписи.
Для выявления угроз в промышленной среде целесообразно применять технологию фаззинга, но это имеет преимущества и недостатки, обусловленные спецификой работы АСУ ТП по сравнению с корпоративными системами. Также необходимо учитывать, что лишь малая часть из общего числа пакетов приводит к ошибке. Поэтому при использовании фаззинга важно решить задачу выбора именно тех тестовых данных, которые потенциально могут быть обработаны исследуемой системой некорректно. Общий процесс работы с уязвимостями АСУ ТП приведен на рис. 1.
Применение генетических алгоритмов для выявления уязвимостей АСУ ТП энергосистем
Задачи, подобные выбору данных, отвечающих определенным критериям, решает генетический алгоритм (ГА) — метод оптимизации, основанный на концепциях естественного отбора и генетики. ГА оперирует исходной задачей, которую необходимо решить, и конечным множеством переменных (популяцией хромосом), являющихся возможными решениями. В контексте поиска уязвимостей в качестве хромосомы выступает отдельное входное значение (или набор значений), а исходной задачей — нахождение уязвимости. Одним из моментов работы ГА является выбор целевой функции, которая показывает достижение определённой цели. Такой целью может быть, например, достижение наибольшей глубины кода программы, покрытие всего кода программы, выполнение наибольшего количества потенциально небезопасных функций, достижение наибольшего времени обработки входных данных и т.д. Каждая хромосома характеризуется значениями специальных целевых функций, показывающих, насколько хорошо данная переменная позволяет решить конкретную подзадачу (соответственно какова глубина покрытия кода и время), а также позволяет достичь конкретной цели (соответственно какова глубина покрытия кода или время). На основе этих значений ГА генерирует новую популяцию как различные комбинации частей предыдущей популяции, используя операторы отбора, рекомбинации (кроссинговер) и мутации. Создание новых популяций происходит до тех пока текущий набор хромосом не будет полностью удовлетворять указанным критериям. Схема работы генетического алгоритма дана на рис. 2.
Рис. 2. Схема работы генетического алгоритма
Использование ГА для выбора тестовых данных позволяет существенно сократить множество входных данных, выявив лишь те, которые позволяют привести к ошибке в работе исследуемой программы. Кроме того, ГА обеспечивает возможность масштабирования задачи и её распараллеливание поскольку каждую мутацию нужно исследовать с помощью точн
Для дальнейшего прочтения статьи необходимо приобрести полный текст. Статьи высылаются в формате PDF на указанную при оплате почту. Время доставки составляет менее 10 минут. Стоимость одной статьи — 150 рублей.