Якщо шифрування не використовують, то конкретні загрози, враховані в ІЕС 62351-6, містять: — несанкціонований доступ до інформації.
Якщо використовують ІЕС 62351-3, то конкретні загрози, враховані в ІЕС 62351-4, містять:
несанкціонований доступ до інформації через рівень ідентифікації повідомлень і шифрування повідомлень;
несанкціоновану зміну (підроблення) або крадіжку інформації через рівень ідентифікації повідомлень і шифрування повідомлень.
Наведені нижче методи атаки на безпеку враховано в ІЕС 62351-4. Наступний перелік не містить методів атак, що нейтралізуються засобами, означеними в ІЕС 62351-3. У разі, якщо ІЕС 62351-3 не використовують, враховані загрози обмежуються захистом під час створення зв’язку:
«незаконний посередник»: цю загрозу буде нейтралізовано за допомогою використання механізму коду перевіряння справжності повідомлення, зазначеного в цьому стандарті;
виявляння втручання/цілісності повідомлення: ці загрози буде нейтралізовано за допомогою алгоритму, використовуваного для створення механізму перевіряння справжності, як зазначено в цьому стандарті;
повторення: цю загрозу буде нейтралізовано за допомогою використання приладів спеціалізованого обробляння стану, зазначених в ІЕС 62351-3 та ІЕС 62351-4.
Вимоги та заходи безпеки
Таким чином, сумісне використовування ІЕС 62351-3 та ІЕС 62351-4 забезпечує наскрізну безпеку прикладного рівня зв’язку разом із такими видами безпеки:
ідентифікація;
конфіденційність;
цілісність даних;
безвідмовність.
ІЕС 62351-4 дає змогу використовувати як захищені, так і незахищені профілі одночасно, тому не всі системи потребують оновлення одночасно всіх заходів безпеки.
ІЕС 62351-5: Безпека згідно з ІЕС 60870-5 та його структурні елементи
Загрози та типи атак
ІЕС 62351-5 забезпечує різні рішення для послідовного типу (в першу чергу ІЕС 60870-5-101, а також ІЕС 60870-5-102 та ІЕС 60870-5-103) і для мережевого типу (ІЕС 60870-5-104 та його структурні елементи щодо DNP3 за TCP).
Зокрема, ІЕС 62351-5 забезпечує ідентифікування рівня застосування, який захищає від імітування, відтворювання, зміни і деяких заперечень під час обслуговування. В стандарті не позначено шифрування, тому він не подає захист від перехоплення, аналізування трафіку або відмови.
Ідентифікування на рівні застосування потрібно тому, що двобічна безпека і, в деяких випадках, безпека транспортного рівня, не стосується:
безпеки в кожному локальному вузлі;
безпеки послідовних протоколів (наприклад, ІЕС 60870-5) із незашифрованими радіосигналами; ■
безпеки послідовних протоколів, які передаються по мережі IP через термінал серверів;
захисту від «шкідливих застосувань» або атак із хостів, які можуть бути заражені шкідливими програмами;
КДОП для віддаленого вузла. На сьогодні ланки безпеки для ідентифікування на основі ролей користувачів зазвичай керуються хостом. Ідентифікування на рівні застосування дає впевненість, що лише ті користувачі, які уповноважені бачити певний набір даних, мають до них доступ, і немає передавання з віддаленого вузла доти, доки користувач не пройшов перевіряння на автентичність.
Вимоги та заходи безпеки
Структурні елементи ІЕС 60870-5-104, які стосуються протоколу TCP/IP, можуть означувати заходи безпеки, описані в ІЕС 62351-3, який містить конфіденційність і цілісність, забезпечені шифруванням TLS. Таким чином, єдиною додатковою вимогою є ідентифікування послуг, що підтримуються ІЕС 62351-5.
Послідовний тип зазвичай використовують у комунікаційних засобах інформації, які можуть підтримувати лише малі швидкості передавання даних, або з промисловим устаткованням, обчислювальна здатність якого обмежена. TLS потребує занадто інтенсивних обчислень та/або інтенсивного зв’язку, щоб використовуватись у таких середовищах. Тому лише заходи безпеки, передбачені для послідовного типу, містять прості механізми ідентифікування.
Можливі додаткові заходи безпеки згідно з ІЕС 62351-5
Якщо потрібно шифрування, то може бути долучено інші криптографічні заходи безпеки, такі як VPN, або технології апаратного реалізування безпеки залежно від можливостей зв’язку та устатковання. Ці заходи виконують шифрування на транспортному рівні.
ІЕС 62351-6: Безпека профілів згідно з ІЕС 61850
Загрози та типи атак
ІЕС 62351-6 забезпечує профіль ІЕС 61850 за допомогою MMS над TCP/IP, використовуючи ІЕС 62351-3 та ІЕС 62351-4. Загрози безпеці, яким протистоять, містять «користувач-посередник», несанкціоновану модифікацію даних, несанкціоновану модифікацію повідомлень, виявляння вторгнень і відтворення. Для тих функцій, для яких вимоги продуктивності є не настільки жорсткими, і де потрібна конфіденційність, шифрування може бути забезпечено іншими заходами безпеки, такими як апаратне реалізування безпеки або VPN.
Вимоги та заходи безпеки
Профіль, означений в ІЕС 61850, з використанням MMS через TCP/IP відповідає вимогам стандартів ІЕС 62351-3 та ІЕС 62351-4. Додаткові профілі, означені в ІЕС 61850, які працюють через TCP/IP (послуги мережі або інші майбутні профілі), мають відповідати ІЕС 623513 та додатковим заходам безпеки, розробленим промисловістю зв’язку для безпеки рівня застосувань. Можна використовувати ці галузеві заходи безпеки додатково до стандартів серії ІЕС 62351.
Стандарт ІЕС 61850 також містить три протоколи (GOOSE, GSE та SMV), які є направленими датаграмами і не маршрутизуються, вони призначені для роботи в локальній мережі підстанції або в іншій немаршрутизованій мережі. У цьому середовищі повідомлення повинні передаватися протягом 4 мс, тому не допустимо використання більшості методів шифрування або інших заходів безпеки, які впливають на швидкість передавання даних. Перевіряння достовірності за допомогою цифрового підпису є єдиною мірою безпеки.
Характеристики цих трьох протоколів наведено в таблиці 1.
Таблиця 1 —Характеристики трьох направлених протоколів згідно з ІЕС 61850
|
|
SMV |
GOOSE |
MMS |
|
Розмір PDU |
Приблизно 1500 |
Приблизно 1500 |
Від 30 000 |
|
Представлення |
Потоком |
4 мс |
Без вимог |
|
Тип |
Групове передавання |
Групове передавання |
Зорієнтовано на зв’язок |
Виходячи з цих характеристик, були визначені заходи безпеки, наведені в таблиці 2.
Таблиця 2 — Заходи безпеки для трьох направлених протоколів згідно з ІЕС 61850
|
|
SMV |
GOOSE |
MMS |
|
Сертифікат X.509 (ідентичний) |
Ні |
Ні |
Так |
|
Шифрування (конфеденційність) |
Немає потреби |
Лише тоді, коли перевищує 4 мс |
Так |
|
Визначання підроблення (визначання вторгнення) |
Так |
Так |
Так |
Деякі ключові елементи заходів безпеки для GOOSE та SMV, а саме:
ідентифікування — це головний захід безпеки;
шифрування не підтримується, тому що це долучає занадто багато байтів до повідомлення, а також вважається, що це неважливо. (У майбутньому може бути долучено деякі методи апаратного шифрування);
перевіряння ключа «всередині діапазону» не підтримується, оскільки це може порушити висококритичний, високошвидкісний потік інформації;
оскільки безпека може реалізовуватися протягом довгого часу, та через те, що вона може бути чи не бути потрібною для різних пристроїв, незахищений GOOSE-клієнт може ігнорувати повідомлення безпеки GOOSE;
для зворотної сумісності зарезервоване поле зараз використовне для довжини, тому розширення може бути долучено до кінця повідомлення GOOSE/SMV. Це розширення містить значення ідентифікації (цифровий підпис— НМАС). Незахищені клієнти будуть просто ігнорувати це розширення. Воно долучає приблизно 20 байт;
мова конфігурування, означена в стандарті ІЕС 61850 підстанції (SCL), розширена для підтримування обміну сертифікатами.
На діаграмі (рисунок 10) наведено заходи безпеки ідентифікування в GOOSE/SMV.
Поточне
Безпечне
Резерв
Значення ідентифікатора (цифровий підпис— НМАС)
Рисунок 10 — Ідентифікаційні заходи безпеки в GOOSE/SMV .
ІЕС 62351-7: Безпека керування системами і мережами
Ціль та сфера застосування ІЕС 62351-7
ІЕС 62351-7 стосується безпеки керування мережами і системами інформаційної інфраструктури.
Керування енергосистемами все частіше покладається на інформаційні інфраструктури разом із мережами зв’язку, ІЕП та протоколами зв’язку із самовизначенням. Тому керування інформаційною інфраструктурою має вирішальне значення для забезпечення потрібного високого рівня безпеки та надійності в діяльності енергосистеми. Ось чому ІЕС 62351-7 поширюється на об’єкти даних керування мережами та системами (NSM) для середовища керування енергосистемами. Ці об’єкти NSM-даних відображають, яка інформація потрібна для керування інформаційною інфраструктурою для надійного керування інфраструктурою енергосистеми (див. рисунок 11).
Стандарти керування мережами ISO СМІР та IETF SNMP можуть частково забезпечити таке керування. У SNMP бази МІВ використовуються для відстежування стану мереж і систем, але кожен виробник повинен розробити свій власний набір баз МІВ для свого устатковання. Під час керування енергосистеми SNMP бази МІВ доступні лише для звичайних мережевих пристроїв, таких як маршрутизатори. Немає стандартних МІВ, які було розроблено для ІЕП, тому виробники використовують спеціальні або власні методи відстежування певних видів неполадок. Зазначений стандарт забезпечує, таким чином, об’єкти даних МІВ (визначені об’єкти даних NSM) для енергетичної галузі.
Об’єкти даних NSM подають набір інформації, який вважають обов’язковим, рекомендованим або додатковим для підтримування мережі й системи керування та виявляння проблем безпеки. Ці об’єкти даних NSM використовують правила йменування, розроблені в ІЕС 61850 і доповнені для вирішення питань з NSM.
Абстрактні моделі SNMP клієнт/посередник допустимі в межах стандарту, але SNMP не допустимий як протокол вибору. На противагу, абстрактні об'єкти NSM-даних, які визначено в ІЕС 62351-7, можуть бути відображені у будь-який відповідний протокол, зокрема згідно з ІЕС 61850, ІЕС 60870-5, ІЕС 60870-6, SNMP, послуг мережі, або будь-який інший відповідний протокол.
■г
,, Інформаційна
Центр керування . м к інфраструктура
Інфраструктура енергосистеми
Цивільні
Промислові Комерційні
Рисунок 11 — Моделі об'єкта NSM — еквіваленти інформаційної інфраструктури для моделей об’єкта інфраструктури енергосистеми згідно з СІМ та ІЕС 61850
Вимоги до NSM
Потрібно визначити вимоги щодо безпеки та надійності об’єкта даних NSM, які є специфічними для енергетики. Ці об'єкти даних NSM будуть підтримувати цілісність мережі зв’язку, справність системи та застосувань, системи виявляння вторгнень (IDS), фаєрволи та інші важливі для керування енергосистемами вимоги щодо безпеки/мережі. Основні елементи системи керування енергосистемою з долучанням архітектури відстеження безпеки наведено на рисунку 12.
Приклади об’єктів даних NSM
Приклади вимог до керування мережею та системою, які виконують об’єкти даних NSM, охоплюють:
Керування мережею зв'язку: відстежування мереж і протоколів
Визначання постійних збоїв мережевого устатковання
Визначання тимчасових збоїв та/або перезапускання мережевого устатковання
Визначання тривкості до відмов мережевого устатковання для резервування устатковання або каналів зв’язку
Визначання статусу резервування або запасного устатковання
Визначання версії та стану протоколу зв’язку
Визначання несумісності різних версій протоколів
Визначання підробляння/відтворення повідомлень протоколу
Визначання недостатньої синхронізації таймерів у мережах
Визначання вичерпності ресурсу захисту від атак відмови під час обслуговування (DOS- атаки)
Визначання переповнення буфера DOS-атак
Визначання руйнування фізичного доступу
Визначання недійсного доступу до мережі
Визначання недійсного доступу/керування об’єктом застосування
Здатність визначити скоординовані атаки в різних системах
Збирання статистичної інформації від мережевого устатковання:
визначання середнього часу доставляння повідомлень — уповільнений, пришвидшений тощо;
підрахунок кількості повідомлень, розмір повідомлень
Забезпечування аудиту журналів безпеки та записів
Керування зв’язками мережі: керування мережами
Ручне подавання команд вмикання/вимикання устаткованню мережі
Ручне подавання команд щодо перемикання для мережевого устатковання
Настроювання параметрів і послідовності автоматичних дій у мережі
Автоматичні дії у відповідь на такі події, як переконфігурування мережі зв’язку за відмови устатковання
Керування системою: ІЕП відстеження
