Через велику різноманітність засобів зв’язку та експлуатаційних характеристик, а також через той факт, що жоден захід безпеки не може протистояти всім видам загроз, очікується, що буде зреалізовано декілька рівнів безпеки. Наприклад, VPN захищає лише протоколи транспортного рівня, але не забезпечує захист протоколів прикладного рівня, тому додаткові заходи безпеки, наведені в ІЕС 62351-4, надають безпеку на рівні застосування, та можуть працювати над VPN. Крім того, паролі особистого доступу, виявляння вторгнень, переліки керування доступом, закриті входи, а також інші заходи безпеки потрібні для забезпечення додаткового рівня безпеки.
З рисунків 3—7 зрозуміло, що ідентифікування відіграє велику роль у багатьох заходах безпеки. Насправді для більшості команд енергосистеми ідентифікування керувальних дій є набагато важливішим, ніж «приховання» даних шифруванням. Дуже важливо, щоб мали місце лише авторизовані керувальні дії.
Також через те, що під’єднання до Інтернету не має бути основним чинником, оскільки команди енергосистеми повинні бути добре захищені ізоляцією та/або фаерволами, деякі із загальних загроз менш критичні, тоді як інші критичніші. Хоча важливість конкретних загроз може дуже варіюватися залежно від об’єктів, що охороняються, деякі з найсерйозніших загроз у керуванні енергосистемами це:
з провини персоналу — працівники чіпляють свої паролі на монітори своїх комп’ютерів або залишають двері розблокованими;
в обхід керування — працівники вимикають засоби безпеки, не змінюють паролі за промовчанням, або кожен використовує той самий пароль для доступу до всього устатковання підстанцій. Або програмне застосування вважає, що перебуває в безпечному середовищі, тому не перевіряє справжність своїх дій. Або запасний доступ виробника використовуваний не за призначенням;
через невдоволених працівників — невдоволений працівник має знання щодо виконання дій, які можуть навмисно чи-ненавмисно завдати шкоди діяльності енергосистеми (навіть спроба зіграти безневинний жарт з іншим працівником);
через порушення авторизації — дехто виконує дії, на які він не має дозволу, іноді через порушення правила авторизації, або маскуванням під авторизованого користувача, крадіжки, або інших незаконних засобів;
атака з використанням технології «незаконний посередник» — шлюз, сервер баз даних, канали зв’язку або інше некінцеве устатковання перебуває під загрозою, якщо дані, які проходять через це проміжне устатковання, читаються або змінюються перед відправленням за призначенням;
через вичерпання ресурсів — устатковання випадково (чи навмисно) перевантажується і тому не може виконувати свої функції. Або закінчився строк чинності сертифіката і блокується доступ до устатковання. Ця відмова в обслуговуванні може серйозно вплинути на керування енергосистемою.
ОГЛЯД СТАНДАРТІВ СЕРІЇ ІЕС 62351
Сфера застосування стандартів серії ІЕС 62351
Стандарти, що поширюються на безпеку, було розроблено для різних профілів трьох протоколів зв’язку: стандарт ІЕС 60870-5 і його частини, стандарт ІЕС 60870-6 (TASE.2) та стандарти серії ІЕС 61850. Крім того, розглянуто безпеку мережі й системи керування. Ці стандарти, що поширюються на безпеку, мають відповідати різним цілям безпеки для різних протоколів, які різняться тим, як їх використовують. Деякі зі стандартів, що поширюються на безпеку, можна використовувати через певні протоколи, у той час як інші є дуже специфічними для певного профілю.
Ідентифікування як ключова вимога безпеки
Одним з основних напрямків стандартів серії ІЕС 62351 є ідентифікування, яке є рішенням для трьох із чотирьох основних загроз безпеці: конфіденційності, цілісності та безвідмовності. Стандарти серії ІЕС 62351 можуть стосуватися лише безпеки зв’язку, але вони намагаються забезпечити механізм, за допомогою якого може бути підтримано ролеву модель керування доступом (КДОП) у рамках впроваджування. КДОП може забезпечити захист від цих трьох загроз на рівні користувача та/або програмного забезпечення. Для того щоб забезпечити цю основу для КДОП, щонайменше потрібно ідентифікування зв’язку на рівні застосовувань.
Призначеність стандартів серії ІЕС 62351
Цілі безпеки охоплюють ідентифікування суб’єкта через цифровий підпис, що забезпечує лише санкціонований доступ, унеможливлення підслуховування, відтворювання та імітування зв’язку, і якоюсь мірою виявляння вторгнень. Для деяких конфігурацій важливі всі ці аспекти; для інших лише деякі з них, застосовані через обмеження обчислювальної потужності певних промислових пристроїв, через обмеження швидкості обміну інформації, через вимоги швидкої відповіді для релейного захисту, чи через потребу отримання дозволу на роботи в тій самій мережі як захищених, так і незахищених пристроїв.
Деякі вимоги щодо безпеки, описані в інших пунктах, не є предметом розгляду стандартів серії ІЕС 62351, оскільки вони пов’язані з правилами безпеки, навчанням персоналу, а також розроблянням і впроваджуванням системних рішень. Крім того, реєстрування та звіти про події й сигнали тривоги, які вже наявні в протоколах стандартів ІЕС, як очікується, будуть використовувати для ведення аудиту.
Таким чином, серію стандартів ІЕС 62351 було зосереджено на надання таких характерних заходів безпеки:
Ідентифікування для мінімізації загрози атак відповідно до технології «незаконний посередник».
Ідентифікування для мінімізації деяких видів обхідного керування.
Ідентифікування для мінімізації безвідповідальності та дій незадоволеного працівника.
Ідентифікування суб’єктів за допомогою цифрових підписів:
забезпечування лише авторизованого доступу до інформації;
керування доступом до зв’язку.
Конфіденційність ключів ідентифікування шифруванням.
Конфіденційність повідомлень через шифрування для зв’язку, який має ресурси, щоб впоратися з додатковим навантаженням.
Цілісність: виявляння втручань.
Унеможливлення відтворювання та імітування зв’язку.
Як захищеним, так і незахищеним пристроям має бути надано можливість функціювати в одній мережі, навіть якщо це може відкрити додаткові джерела вразливості.
Відстежування інфраструктури зв’язку, яке може забезпечити:
ступінь виявляння вторгнень;
відстежування ресурсів навантаження;
доступність елементів у межах інформаційної системи.
Потреба одного набору правил для керування ідентифікуванням (наприклад, однаковий механізм для всіх профілів).
Бажання користуватися загальноприйнятими ІТ-методологіями.
6.4 Взаємозв’язок між стандартами серії ІЕС 62351 і протоколами ІЕС
У кожній частині стандартів серії ІЕС 62351 сформульовано відповідні вимоги щодо безпеки (наприклад ідентифікування, конфіденційність тощо). Крім того, міститься висновок про відповідність реалізації протоколу (Protocol Implementation Conformance Statement — PICS), який визначає обов’язкові та необов’язкові підтвердження на різних рівнях безпеки.
Цю серію стандартів видає ІЕС з познакою ІЕС 62351, частини 1—7, а саме:
ІЕС 62351-1: Загальні положення
ІЕС 62351-2: Терміни та визначення понять
З ІЕС 62351-3: Профілі, що охоплюють TCP/IP (ця частина охоплює ті профілі, які використано в ПЗЦСК, ІЕС 608705-104, DNP 3.0 через TCP/IP, та ІЕС 61850 згідно з протоколом TCP/IP)
ІЕС 62351-4: Профілі, що охоплюють MMS (ця частина охоплює ті профілі, які використано ПЗЦСКі ІЕС 61850)
ІЕС 62351-5: Безпека згідно з ІЕС 60870-5 і його похідних (тобто DNP 3.0) (ця частина охоплює як послідовні, так і мережеві профілі, які використано в ІЕС 60870-5 і DNP)
ІЕС 62351-6: Безпека профілів ІЕС 61850 (ця частина охоплює ті профілі в стандарті ІЕС 61850, які не ґрунтуються на TCP/IP — GOOSE, GSSE і SIW)
ІЕС 62351-7: Вимоги інформаційної основи керування (МІВ) до щільного керування мережею (ця частина стосується розвитку інформаційної основи керування для устатковання керування енергосистемою).
Взаємозв'язок між стандартами серії ІЕС 62351 та стандартами ІЕС ТС 57 наведено на рисунку 9.
Рисунок 9 — Взаємозв’язок між профілями згідно зі стандартами серії ІЕС 62351 та стандартних профілів ІЕС ТС 57
ІЕС 62351-1: Загальні положення
ІЕС 62351-1 (цей стандарт) є інформаційним вступом, який охоплює засади безпеки керування енергосистемою, а також забезпечує інформаційний огляд стандартів серії ІЕС 62351.
ІЕС 62351-2: Терміни та визначення понять
ІЕС 62351-2 містить визначення термінів і скорочень, які використано в стандартах серії ІЕС 62351. Ці визначення базуються на наявних визначеннях у галузевих стандартах, що поширюються на безпеку та зв’язок, максимально можливо, враховуючи, що терміни безпеки широко використовують в інших галузях, а також в енергосистемах. Коли використовують визначення галузевих стандартів, то подають посилання на джерело.
ІЕС 62351-3: Профілі, що охоплюють TCP/IP
Протистояння загрозам і типам атак
ІЕС 62351-3 забезпечує безпеку для будь-якого профілю, який містить TCP/IP. Замість того, щоб заново винаходити колесо, він визначає використання протоколу TLS, який зазвичай використовується в Інтернеті для безпечної взаємодії, разом з ідентифікуванням, конфіденційністю та цілісністю. В стандарті ІЕС 62351-3 описано обов’язкові та необов'язкові параметри й настроювання для TLS, які треба використовувати для керування об’єктами.
Призначеність ІЕС 62351-3 — це надання наскрізної транспортної безпеки зв'язку між програмними застосуваннями. Під час визначання найкращого підходу для досягнення цієї цілі було проаналізовано як безпеку IP, так і TLS. Безпеку IP зазвичай використовують, щоб захистити весь інформаційний потік, яким обмінюються два сегменти мережі, в той час як TLS забезпечує шифрування і захист від «незаконного посередника» на наскрізній основі. Для досягнення цієї цілі було вибрано TLS, а не безпека IP. Зрозуміло й прийнятно, що безпеку IP може бути використано для захисту іншого інформаційного потоку або навіть у поєднанні з TLS.
В ІЕС 62351-3 подано захист від:
прослуховування через шифрування транспортного рівня безпеки (TLS);
ризику для безпеки з боку «незаконного посередника» через проміжне ідентифікування повідомлень;
обмани через сертифікати безпеки (ідентифікування вузла);
повторів, знову ж за допомогою шифрування TLS.
Однак TLS не захищає від відмови в обслуговуванні. Цей тип атак на безпеку потрібно попереджувати через реалізування спеціальних заходів.
Безпека TLS для TCP/IP забезпечує безпеку транспортного рівня профілів зв’язку. TLS не забезпечує безпеки прикладного рівня, тому для цього має бути зреалізовано інші заходи безпеки.
Вимоги щодо безпеки та заходи
Для підтримання різних рівнів безпеки в ІЕС 62351-3 визначено, що продукти, які претендують на відповідність, мають підтримувати такі можливості:
Взаємодія з іншими пристроями, які не забезпечено ні TLS, ні програмним ідентифікуванням. Це забезпечує потрібну зворотну сумісність із наявними реалізаціями, а також для поступового оновляння систем, що безпосередньо застосовують безпеку.
Взаємодія з іншими пристроями, в яких не зазначено TLS, але підтримується програмне ідентифікування. Це може бути використано для реалізування через з'єднання VPN або всередині центрів керування.
Взаємодія з іншими пристроями, які мають TLS, але не застосовують ідентифікування. Це дає можливість шифрування та ідентифікування тільки на рівні вузла.
Взаємодія з іншими пристроями, в яких реалізуються як TLS, так і ідентифікування. Це забезпечує повну безпеку.
Деякі з ключових елементів заходів безпеки для TCP/IP:
нівелювання SSL 1.0 та 2.0 через відомі види вразливості;
використання TLS 1.0 або вище (що еквівалентно SSL 3.1);
нівелювання наборів шифрів, які не забезпечують потрібного шифрування;
прозоре перевіряння ключа, базоване на часі надходження і кількості пакетів, дає змогу злегка перевантаженій мережі не втрачати сертифікації протягом тривалого часу, тому що більшість з’єднань є довгостроковими. Як час, так і кількість пакетів настроюється, але рекомендованими параметрами є час (10 хв) і кількість пакетів (5000);
під’єднана реалізація відповідальна за узгодження ключа. Це дає змогу уникнути взаємо- блокування протоколу;
стандартизування для підтримування, принаймні, одного спільного набору шифрів AES;
специфікація ідентифікації повідомлень TLS, щоб уникнути обману та відтворення;
можливість запросити невеликі за обсягом сертифікати, щоб мінімізувати навантаження.
Використання тунелів VPN і технології апаратного реалізування безпеки
Використання рішень VPN-тунелів та/або апаратного реалізування безпеки (наприклад, AGA 12-2) не є предметом розгляду серії стандартів ІЕС 62351. Це не стосується їх використовування як частини комплексного рішення безпеки доти, доки буде визнано, що вони можуть захистити лише одну з категорій безпеки.
ІЕС 62351-4: Безпека профілів, що охоплюють MMS
Загрози та типи атак, які враховують
ІЕС 62351-4 забезпечує безпеку профілів, що охоплюють MMS, зокрема означені в TASE.2 (ПЗЦСК) та стандартах ІЕС 61850.
Безпека специфікації виробничих повідомлень (MMS) (стандарт ISO 9506) забезпечує безпеку прикладного рівня. Вона потребує TLS для настроювання і використовує заходи безпеки TLS, зокрема ідентифікування: два об’єкти взаємодіють один з одним і вони насправді саме ті об'єкти, якими вони назвалися.
