Обзор промышленных систем управления

Целью настоящего документа является предоставление руководства по обеспечению безопасности промышленных систем управления (ICS), включая системы диспетчерского управления и сбора данных (SCADA), распределенные системы управления (DCS) и другие системы, выполняющие функции управления. В документе представлен условный обзор ICS, рассматриваются типичные топологии и архитектуры систем, определяются известные угрозы и уязвимости этих систем и приводятся рекомендуемые меры противодействия безопасности для снижения связанных с ними рисков. Кроме того, в нем представлено наложение управления безопасностью, адаптированное к ICS, для обеспечения настройки элементов управления в соответствии с уникальными характеристиками домена ICS. Основная часть документа предоставляет контекст для наложения, но наложение предназначено для использования отдельно. ICS встречаются во многих отраслях, таких как электроэнергетика, водоснабжение и водоотведение, нефть и природный газ, химическая, фармацевтическая, целлюлозно-бумажная, пищевая и производство напитков, а также дискретное производство (например, автомобильная, аэрокосмическая и производство товаров длительного пользования). Поскольку существует множество различных типов ICS с различными уровнями потенциального риска и воздействия, в документе представлен список множества различных методов и приемов для защиты ICS. Документ не следует использовать исключительно как контрольный список для защиты конкретной системы. Читателям рекомендуется провести оценку своих систем на основе рисков и адаптировать рекомендуемые руководства и решения для удовлетворения своих конкретных требований безопасности, бизнеса и эксплуатации. Диапазон применимости основных концепций защиты систем управления, представленных в этом документе, продолжает расширяться.

Аудитория

В этом документе рассматриваются детали, характерные для ICS. Читатели этого документа должны быть знакомы с общими концепциями компьютерной безопасности и протоколами связи, такими как используемые в сетях. Документ носит технический характер; однако он дает необходимую справочную информацию для понимания обсуждаемых тем. Целевая аудитория разнообразна и включает следующее:  Инженеры по управлению, интеграторы и архитекторы, которые проектируют или внедряют защищенные ICS.  Системные администраторы, инженеры и другие специалисты по информационным технологиям (ИТ), которые администрируют, исправляют или защищают ICS.  Консультанты по безопасности, которые выполняют оценку безопасности и тестирование на проникновение в ICS.  Менеджеры, которые отвечают за ICS.  Старшее руководство, которое пытается понять последствия и последствия при обосновании и применении программы кибербезопасности ICS для смягчения воздействия на функциональность бизнеса.  Исследователи и аналитики, которые пытаются понять уникальные потребности безопасности ICS.  Поставщики, которые разрабатывают продукты, которые будут развернуты как часть ICS.

Промышленная система управления (ICS)

Промышленная система управления (ICS) — это общий термин, который охватывает несколько типов систем управления, включая системы диспетчерского управления и сбора данных (SCADA), распределенные системы управления (DCS) и другие конфигурации систем управления, такие как программируемые логические контроллеры (ПЛК), часто встречающиеся в промышленных секторах и критических инфраструктурах. ICS состоит из комбинаций компонентов управления (например, электрических, механических, гидравлических, пневматических), которые действуют вместе для достижения промышленной цели (например, производства, транспортировки вещества или энергии). Часть системы, в первую очередь связанная с производством выходных данных, называется процессом. Управляющая часть системы включает спецификацию желаемого выходного сигнала или производительности. Управление может быть полностью автоматизировано или может включать человека в контуре. Системы могут быть настроены для работы в режиме разомкнутого контура, замкнутого контура и ручного режима. В системах управления с разомкнутым контуром выходной сигнал контролируется установленными настройками. В системах управления с замкнутым контуром выходной сигнал влияет на входной сигнал таким образом, чтобы поддерживать желаемую цель. В ручном режиме система полностью контролируется людьми. Часть системы, в первую очередь отвечающая за поддержание соответствия спецификациям, называется контроллером (или управлением). Типичная ICS может содержать многочисленные контуры управления, человеко-машинные интерфейсы (HMI) и удаленные инструменты диагностики и обслуживания, созданные с использованием массива сетевых протоколов. ICS контролируют промышленные процессы, как правило, в электротехнической, водопроводной и канализационной, нефтяной и газовой, химической, транспортной, фармацевтической, целлюлозно-бумажной, пищевой и напитков промышленности, а также в дискретном производстве (например, автомобильной, аэрокосмической и товаров длительного пользования). ICS имеют решающее значение для работы критически важных инфраструктур США, которые часто являются тесно взаимосвязанными и взаимозависимыми системами. Важно отметить, что примерно 85 процентов критически важных инфраструктур страны находятся в частной собственности и эксплуатируются1. Федеральные агентства также управляют многими из упомянутых выше промышленных процессов, а также управлением воздушным движением. В этом разделе представлен обзор систем SCADA, DCS и PLC, включая типичные топологии и компоненты. Представлено несколько диаграмм для отображения топологии сети, соединений, компонентов и протоколов, которые обычно встречаются в каждой системе, чтобы облегчить понимание этих систем. Эти примеры только пытаются определить условные концепции топологии. Фактические реализации ICS могут быть гибридами, которые стирают грань между системами DCS и SCADA. Обратите внимание, что диаграммы в этом разделе не фокусируются на обеспечении безопасности ICS. Архитектура безопасности и средства управления безопасностью обсуждаются в Разделе 5 и Разделе 6 этого документа соответственно.

Эволюция промышленных систем управления

Многие из современных ICS эволюционировали из внедрения ИТ-возможностей в существующие физические системы, часто заменяя или дополняя физические механизмы управления. Например, встроенные цифровые элементы управления заменили аналоговые механические элементы управления во вращающихся машинах и двигателях. Улучшения в стоимости и производительности способствовали этой эволюции, что привело к появлению многих современных «умных» технологий, таких как интеллектуальная электрическая сеть, интеллектуальный транспорт, интеллектуальные здания и интеллектуальное производство. Хотя это увеличивает связность и критичность этих систем, это также создает большую потребность в их адаптивности, устойчивости, безопасности и защите. Инженерия ICS продолжает развиваться, предоставляя новые возможности, сохраняя при этом типичные длительные жизненные циклы этих систем. Внедрение ИТ-возможностей в физические системы представляет собой эмерджентное поведение, которое имеет последствия для безопасности. Инженерные модели и анализ развиваются, чтобы учитывать эти эмерджентные свойства, включая взаимозависимости безопасности, защищенности, конфиденциальности и воздействия на окружающую среду.

Промышленные секторы ICS и их взаимозависимости

Системы управления используются во многих различных промышленных секторах и критических инфраструктурах, включая производство, дистрибуцию и транспортировку.

Производственные отрасли

Производство представляет собой большой и разнообразный промышленный сектор со множеством различных процессов, которые можно разделить на процессное и дискретное производство. Процессное производство обычно использует два основных процесса [1]:  Непрерывные производственные процессы. Эти процессы выполняются непрерывно, часто с переходами для производства различных сортов продукта. Типичные непрерывные производственные процессы включают поток топлива или пара на электростанции, нефть на нефтеперерабатывающем заводе и дистилляцию на химическом заводе.  Процессы пакетного производства. Эти процессы имеют отдельные этапы обработки, выполняемые на определенном количестве материала. Существует отдельный начальный и конечный этап для пакетного процесса с возможностью кратковременных стационарных операций на промежуточных этапах. Типичные процессы пакетного производства включают производство продуктов питания. Дискретное производство обычно выполняет ряд этапов на одном устройстве для создания конечного продукта. Сборка электронных и механических деталей и обработка деталей являются типичными примерами этого типа промышленности. Как процессное, так и дискретное производство используют одни и те же типы систем управления, датчиков и сетей. Некоторые объекты представляют собой гибрид дискретного и процессного производства.

Распределительные отрасли

ICS используются для управления географически распределенными активами, часто разбросанными на тысячи квадратных километров, включая распределительные системы, такие как системы распределения воды и сбора сточных вод, сельскохозяйственные ирригационные системы, нефте- и газопроводы, электросети и железнодорожные транспортные системы.

Различия между производственными и распределительными ICS

Хотя системы управления, используемые в производственных и распределительных отраслях, очень похожи в работе, они различаются в некоторых аспектах. Производственные отрасли обычно располагаются в пределах ограниченного завода или заводской зоны по сравнению с географически распределенными распределительными отраслями. Связь в производственных отраслях обычно осуществляется с использованием технологий локальной вычислительной сети (LAN), которые, как правило, более надежны и высокоскоростны по сравнению с глобальными сетями связи (WAN) и беспроводными/RF (радиочастотными) технологиями, используемыми в распределительных отраслях. ICS, используемые в распределительных отраслях, предназначены для решения проблем связи на больших расстояниях, таких как задержки и потеря данных, возникающие из-за различных используемых средств связи. Меры безопасности могут различаться в зависимости от типа сети.

Взаимозависимости ICS и критической инфраструктуры

Критическую инфраструктуру США часто называют «системой систем» из-за взаимозависимостей, существующих между ее различными промышленными секторами, а также взаимосвязей между деловыми партнерами [8] [9]. Критические инфраструктуры тесно взаимосвязаны и взаимозависимы сложным образом, как физически, так и посредством множества информационных и коммуникационных технологий. Инцидент в одной инфраструктуре может напрямую и косвенно повлиять на другие инфраструктуры посредством каскадных и эскалационных сбоев. Как в сфере передачи электроэнергии, так и в сфере распределительных сетей используется географически распределенная технология управления SCADA для работы тесно взаимосвязанных и динамических систем, состоящих из тысяч государственных и частных коммунальных предприятий и сельских кооперативов для поставки электроэнергии конечным пользователям. Некоторые системы SCADA контролируют и управляют распределением электроэнергии, собирая данные и выдавая команды географически удаленным полевым станциям управления из централизованного местоположения. Системы SCADA также используются для контроля и управления распределением воды, нефти и природного газа, включая трубопроводы, суда, грузовики и железнодорожные системы, а также системы сбора сточных вод. Системы SCADA и DCS часто объединяются в сеть. Это касается центров управления электроэнергией и объектов генерации электроэнергии. Хотя работа объекта генерации электроэнергии контролируется DCS, DCS должна взаимодействовать с системой SCADA для координации производства с требованиями к передаче и распределению. Электроэнергия часто считается одним из наиболее распространенных источников сбоев взаимозависимых критических инфраструктур. Например, каскадный отказ может быть вызван сбоем в работе сети микроволновой связи, используемой для системы SCADA для передачи электроэнергии. Отсутствие возможностей мониторинга и управления может привести к отключению большого генерирующего блока, что приведет к потере мощности на передающей подстанции. Эта потеря может вызвать серьезный дисбаланс, вызвав каскадный отказ по всей электросети. Это может привести к отключению электроэнергии на больших территориях, что может потенциально повлиять на добычу нефти и природного газа, работу нефтеперерабатывающих заводов, системы очистки воды, системы сбора сточных вод и трубопроводные транспортные системы, которые зависят от сети для получения электроэнергии.

Эксплуатация и компоненты ICS

Базовая работа ICS показана на рисунке 2-1 [2]. Некоторые критические процессы также могут включать системы безопасности. Ключевые компоненты включают следующее: Типичная ICS содержит многочисленные контуры управления, интерфейсы пользователя и инструменты удаленной диагностики и обслуживания, созданные с использованием массива сетевых протоколов в многоуровневых сетевых архитектурах. Контур управления использует датчики, исполнительные механизмы и контроллеры (например, ПЛК) для управления некоторым контролируемым процессом. Датчик — это устройство, которое производит измерение некоторого физического свойства, а затем отправляет эту информацию в качестве контролируемых переменных контроллеру. Контроллер интерпретирует сигналы и генерирует соответствующие управляемые переменные на основе алгоритма управления и целевых уставок, которые он передает исполнительным механизмам. Исполнительные механизмы, такие как регулирующие клапаны, выключатели, переключатели и двигатели, используются для непосредственного управления контролируемым процессом на основе команд контроллера. Операторы и инженеры используют интерфейсы пользователя для мониторинга и настройки уставок, алгоритмов управления, а также для регулировки и установки параметров в контроллере. Интерфейс пользователя также отображает информацию о состоянии процесса и историческую информацию. Диагностические и сервисные утилиты используются для предотвращения, выявления и восстановления после ненормальной работы или сбоев. Иногда эти контуры управления являются вложенными и/или каскадными, при этом заданное значение для одного контура основано на переменной процесса, определенной другим контуром. Контуры уровня контроля и контуры более низкого уровня работают непрерывно в течение всего процесса с циклами, варьирующимися от миллисекунд до минут.

Для поддержки последующих обсуждений в этом разделе определяются ключевые компоненты ICS, которые используются в управлении и сетевом взаимодействии. Некоторые из этих компонентов могут быть описаны в общем виде для использования в системах SCADA, DCS и ПЛК, в то время как другие являются уникальными для одного из них. Глоссарий терминов в Приложении B содержит более подробный список компонентов управления и сетевого взаимодействия. Кроме того, на рисунках 2-5 и 2-6 показаны примеры внедрения SCADA; на рисунке 2-7 показан пример внедрения DCS, а на рисунке 2-8 показан пример внедрения ПЛК, который включает эти компоненты.

Соображения по проектированию системы ICS

В то время как раздел представил основные компоненты ICS, проектирование ICS, включая использование топологий на основе SCADA, DCS или PLC, зависит от многих факторов. В этом разделе определяются ключевые факторы, которые определяют решения по проектированию в отношении свойств управления, связи, надежности и резервирования ICS. Поскольку эти факторы в значительной степени влияют на проектирование ICS, они также помогут определить потребности безопасности системы.  Требования к времени управления. Процессы ICS имеют широкий спектр требований, связанных со временем, включая очень высокую скорость, согласованность, регулярность и синхронизацию. Люди могут быть не в состоянии надежно и последовательно выполнять эти требования; могут потребоваться автоматизированные контроллеры. Некоторые системы могут потребовать, чтобы вычисления выполнялись как можно ближе к датчику и исполнительным механизмам, чтобы сократить задержку связи и выполнять необходимые действия управления вовремя.

 Географическое распределение. Системы имеют различную степень распределения, начиная от небольшой системы (например, локальный процесс, управляемый ПЛК) до крупных распределенных систем (например, нефтепроводы, электросети). Большее распределение обычно подразумевает необходимость в широкой области (например, выделенные линии, коммутация каналов и коммутация пакетов) и мобильной связи.  Иерархия. Диспетчерское управление используется для предоставления центрального местоположения, которое может агрегировать данные из нескольких местоположений для поддержки решений по управлению на основе текущего состояния системы. Часто иерархическое/централизованное управление используется для предоставления операторам-людям всеобъемлющего представления обо всей системе.  Сложность управления. Часто функции управления могут выполняться простыми контроллерами и предустановленными алгоритмами. Однако более сложные системы (например, управление воздушным движением) требуют, чтобы операторы-люди обеспечивали, чтобы все действия управления соответствовали более крупным целям системы.  Доступность. Требования к доступности системы (т. е. надежности) также являются важным фактором при проектировании. Системы с высокими требованиями к доступности/времени безотказной работы могут потребовать большей избыточности или альтернативных реализаций во всех коммуникациях и управлении.  Влияние отказов. Отказ функции управления может повлечь за собой существенно разные последствия в разных доменах. Системы с большими последствиями часто требуют возможности продолжать работу с помощью избыточных элементов управления или возможности работать в ухудшенном состоянии. Проектирование должно учитывать эти требования.  Безопасность. Требования безопасности системы также являются важным фактором при проектировании. Системы должны иметь возможность обнаруживать небезопасные условия и запускать действия для снижения небезопасных условий до безопасных. В большинстве критически важных для безопасности операций человеческий надзор и контроль потенциально опасного процесса являются неотъемлемой частью системы безопасности.