Энергетика

О требованиях кибербезопасности систем РЗА

Микропроцессорные устройства с большими вычислительными возможностями в настоящее время широко используются для управления и автоматизации, в дополнение к стандартной архивации и обработке данных. Электроэнергетическая промышленность, как и всё наше общество в целом, пользуется преимуществами открывшихся невероятных возможностей, которые предоставляют новые технологии. Релейная защита и регулирующие устройства, система SCADA, дистанционное управление и мониторинг, а также многие другие приложения сейчас, как правило, применяются с использованием новой технологии. Однако кроме очевидных технологических и технических преимуществ, обеспечиваемых микропроцессорной техникой, существенно обостряется проблема угрозы информационной безопасности, обусловленная возможными несанкционированными действиями и рядом других причин и возрастающая по мере увеличения количества подстанций с возможностью доступа по IP. До настоящего времени системы защиты и автоматизации подстанции (АП) полагаются на безвестность, изоляцию и закрытость объекта, надёжность коммуникаций в рамках подстанции, использование внутренних протоколов. Но всё это до конца не решает проблему безопасности, и эти системы нуждаются в защите от кибератак, которые могут значительно подорвать надёжность электрической сети. Следует сделать акцент на том, что с введением IEC 61850 появились опасения, что существующие меры обеспечения безопасности становятся в принципе неудовлетворительными. Эти опасения привели исследовательский комитет B5 CIGRE к решению провести исследование, позволяющее оценить проблему реализации требований по кибербезопасности при использовании IEC 61850. Для этой цели была создана специальная рабочая группа, результатом работы которой стал специальный отчёт [2], положения которого отражены в настоящем докладе.

Основная суть проблемы кибербезопасности заключается в том, что закрытость объекта больше не является барьером для кибератаки, которая может преодолеть изоляцию, и все данные на верхнем уровне АП с внедрением IEC 61850, если не принять специальные меры, могут стать доступными не по назначению. В настоящее время IEC 61850 лучше всего реализован через инфраструктуру Ethernet, что из-за связи с корпоративной сетью лишает систему преимуществ изоляции. Дополнительно отмечается, что одноранговая связь через GOOSE подвержена рискам, связанным с воспроизведением событий и манипулированием ими, а связи «клиент-сервер», поддерживающие более одного клиента, увеличивают возможность появления в них неавторизированного клиента.

Для обеспечения требований по безопасности и для оценки её уровня упомянутая рабочая группа предлагает использовать семь основополагающих требований, кодифицированных в ISA 01.01.99:
управление доступом (AC — Access Control), чтобы защитить от несанкционированного доступа к устройству или информации;
управление использованием (UC — Use Control), чтобы защитить от несанкционированного оперирования или использования информации;
целостность данных (DI — Data Integrity), чтобы защитить от несанкционированного изменения;
конфиденциальность данных (DC — Data Confidentiality), чтобы защитить от подслушивания;
ограничение потока данных (RDF — Restrict Data Flow), чтобы защитить от публикации информации на несанкционированным источниках;
своевременный ответ на событие (TRE — Timely Response to Event), мониторинг и протоколирование связанных с безопасностью событий и принятие своевременных мер по ликвидации последствий в ответственных задачах и в критических ситуациях по безопасности;
доступность сетевого ресурса (NRA — Network Resource Availability), чтобы защитить от атак «отказ в обслуживании».

Отмечается, что эти требования не отличаются от предъявляемых к обычным вычислительным сетям, однако ввиду изолированности объекта и связанной с этим иллюзией безопасности до настоящего времени к таким сетям зачастую не применявшимся.

Анализ существующих и разрабатываемых стандартов, выполненный рабочей группой Исследовательского комитета СИГРЭ по релейной защите, показал, что ни один из рассмотренных документов не удовлетворяет всем семи требованиям. При этом некоторые предлагаемые решения оказались противоречивыми и приводящими к путанице. В то же время необходимо искать правильные решения, потому что эти требования должны стать исходным руководством для инженеров-релейщиков, так как они:
• определяют требования кибербезопасности в заказных спецификациях;
• улучшают существующие меры по кибербезопасности при применении IEC 61850;
• улучшают механизмы кибербезопасности, используемые в существующиз системах с использованием IEC 61850.

Определено, что из всех действующих стандартов лучшие решения в части мер обеспечения безопасности по первым трём требованиям (для управления доступом, целостности и конфиденциальности данных) предлагает стандарт IEC 62351[3]. Этот стандарт прямо рекомендует их при реализации IEC 61850. Однако для выполнения других требований, например по своевременному ответу на события, стандартные решения отсутствуют. В целом IEC 62351 представляет собой серию стандартов, регламентирующих вопросы безопасности для профилей протоколов на базе стека TCP/IP, в том числе для протоколов IEC 60870-5, IEC 60870-6, IEC 61850. На рисунке раскрывается отображение стандарта IEC 61850 в стандарте МЭК 62351.

Другие стандарты, такие как ISA-99 и NERC CIP, охватывают более широкую область основополагающих требований, но содержат рекомендации, а не конктретные инструкции о том, что и как должно быть сделано. Рабочая группа Исследовательского комитета В5 СИГРЭ пришла к заключению, что только стандарт IEC 62351 и технические стандарты требований ISA-99 предлагают требования безопасности для передачи сообщений IEC 61850 в пределах подстанций. При этом следует отметить, что технические требования ISA 99 ещё находятся на ранней стадии развития.

IEC 62351 предлагает меры шифрования и авторизации, в последнем случае IEC 61850 использует собственный опознавательный механизм. Новый раздел IEC 62351 основывется на разграничении уровней при управлении доступом, это позволяет надеяться, что более полно обеспечится управление доступом и управление использованием.

Эффективная безопасность требует, чтобы для обеспечения полномасштабной защиты были развёрнуты несколько различных мер.

Введение любой из мер, рекомендуемых различными стандартами, требует изменений и обновления защищаемой системы. Другим фактором должно стать обучение сотрудников соответствующих служб авторизации и использованию новых функций, убеждение их в важности мер по кибербезопасности. Непростой остаётся проблема, вызывающая потребность управлять ключами и сертификатами в связи с использованием шифрования. Даже инфраструктура сети становится теперь одним из факторов, учитываемым при обеспечении безопасности.

Но ничто не поможет закрыть проблему кибербезопасности, если не будут приняты меры, позволяющие решить все обозначенные выше задачи. Неправильно сконфигурированные брандмауэры, например, могут не только не уменьшать риск вторжения, но и сами служить причиной сбоев в нормальном взаимодействии оборудования. Плохие пароли не будут эффективным сдерживающим средством против решительного атакующего воздействия.

Следующим важным обстоятельством, которое не должно быть оставлено без внимания, является то, что реализация IEC 61850 в значительной степени зависит от вспомогательных инструментов. Если система IEC 61850 сделана при помощи способов, упомянутых выше, то и инструменты должны также быть сделаны безопасными. Необходимо хотя бы требовать от них разрешения продолжать работать в сети, которая зашифрована или с ИЭУ, которые требуют авторизации.

В отличие от того, что было ранее, введение кибербезопасности требует внимания не только к техническим проблемам, но также и к организационным вопросам. Примером тому является управление патчами, гарантирующими наличие последней версии программного обеспечения, и управление конфигурацией — отслеживание всех активов, которые являются частью сети подстанции. Пригодность для обслуживания системы — другая область, которая должна учитываться. Например, должна обеспечиваться возможность замены неисправного ИЭУ в любое время, без сложных мер по обеспечению безопасности.

Актуальной задачей является создание всестороннего руководства, призванного помочь не только специалистам, внедряющим стандарт IEC 61850, но и специалистам, занятым в реализации кибербезопасности на подстанциях. Руководство должно затрагивать и технические аспекты, и аспекты управления кибербезопасностью; оно должно включать в себя положения, касающиеся и устройств, и программных инструментов.

В [2] даётся много других предложений, на которые следует обратить внимание. Следует также учесть опыт американских специалистов [1].

Дополнительно остановимся ещё на ряде важных положений. Развитие мировой энергетики идёт в направлении создания и широкого внедрения SMART GRID. Основными достигнутыми результатами должны стать наблюдаемость, контролируемость, автоматизация управления электроэнергетической системы (ЭЭС), обеспечивающие её высокую надёжность и высокие экономические показатели работы. Всё большее внедрение находят глобальные распределённые системы мониторинга, защиты и управления (WAMS, WAPS, WACS), в основе которых лежит технология векторных измерений с высокой точностью синхронизации пространственно разнесённых устройств. Точная и надёжная синхронизация (порядка 1 мкс и менее) является принципиальным условием, для выполнения которого применяются Глобальные навигационные спутниковые системы (ГНСС). Проблема обеспечения помехоустойчивого приёма точного сигнала времени становится актуальнейшей задачей, поскольку сбои и ошибки в приёме сигналов приведут к крайне нежелательным последствиям. Обнадёживающие результаты в разработке помехоустойчивого приёмника на базе пространственно-временной обработки сигналов получены в ОАО «ВНИИР-Прогресс» группой специалистов под руководством профессора, д.т.н. В. Н. Харисова.

Учитывая особую важность систем релейной защиты с абсолютной селективностью и специфику коммутационных сетей, используемых для их реализации, следует индивидуально подойти к отстройке этих систем от кибератак и несанкционированных воздействий.


ЗАКЛЮЧЕНИЕ


1. Системы управления больше не защищены за счёт закрытости объекта, как это было раньше. Мы теперь живём в мире, где работаем и в корпоративных сетях, и в сетях систем управления с использованием одной и той же рабочей станции. Используются TCP/IP и другие протоколы, характерные для обеих сред, что приводит к целому ряду проблем. В этом смысле IEC 61850 сам по себе не менее безопасен, чем многие другие протоколы, которые сегодня используются на подстанциях.

2. Для обеспечения требований по безопасности, а также для оценки её уровня предлагается руководствоваться приведёнными в [2] семью требованиями-положениями.

3. Поскольку в настоящее время инженеры-релейщики не имеют ни одного руководства для решения любой из обозначенных проблем, они должны обратиться к изучению ряда стандартов и отчётов с информацией об основополагающих требованиях, кодифицированных в ISA 01.01.99, и в первую очередь — к отчёту рабочей группы Иссследовательского комитета В5 СИГРЭ [2].

4. В связи с внедрением глобальных распределённых систем мониторинга, защиты и управления (WAMS, WAPS, WACS) должна быть решена задача помехоустойчивого приёма сигнала ГННС, обеспечивающего возможность векторных измерений пространственно разнесённых устройств с высокой точностью синхронизации.

Эта статья — не «мемуары о будущем», а описание реальных проблем сегодняшнего дня, относящихся к условиям обеспечения надёжной работы электроэнергетических систем.


ЛИТЕРАТУРА

1. Cyber Security Issues for Protective Relays Report of C1 Working Group Members of Power System Relaying Committee (USA), June 2007.
2. The Impact of Implementing Cyber Security Requirements using IEC 61850 CIGRE Working Group the B5.38, August 2010.
3. IEC 62351 Cybersecurity Standards.

Обсудить на форуме

Нужен кабель? Оформи заявку бесплатно