Обзор промышленных систем управления
Целью настоящего документа является предоставление руководства по обеспечению безопасности промышленных систем управления (ICS), включая системы диспетчерского управления и сбора данных (SCADA), распределенные системы управления (DCS) и другие системы, выполняющие функции управления. В документе представлен условный обзор ICS, рассматриваются типичные топологии и архитектуры систем, определяются известные угрозы и уязвимости этих систем и приводятся рекомендуемые меры противодействия безопасности для снижения связанных с ними рисков. Кроме того, в нем представлено наложение управления безопасностью, адаптированное к ICS, для обеспечения настройки элементов управления в соответствии с уникальными характеристиками домена ICS. Основная часть документа предоставляет контекст для наложения, но наложение предназначено для использования отдельно. ICS встречаются во многих отраслях, таких как электроэнергетика, водоснабжение и водоотведение, нефть и природный газ, химическая, фармацевтическая, целлюлозно-бумажная, пищевая и производство напитков, а также дискретное производство (например, автомобильная, аэрокосмическая и производство товаров длительного пользования). Поскольку существует множество различных типов ICS с различными уровнями потенциального риска и воздействия, в документе представлен список множества различных методов и приемов для защиты ICS. Документ не следует использовать исключительно как контрольный список для защиты конкретной системы. Читателям рекомендуется провести оценку своих систем на основе рисков и адаптировать рекомендуемые руководства и решения для удовлетворения своих конкретных требований безопасности, бизнеса и эксплуатации. Диапазон применимости основных концепций защиты систем управления, представленных в этом документе, продолжает расширяться.
Аудитория
В этом документе рассматриваются детали, характерные для ICS. Читатели этого документа должны быть знакомы с общими концепциями компьютерной безопасности и протоколами связи, такими как используемые в сетях. Документ носит технический характер; однако он дает необходимую справочную информацию для понимания обсуждаемых тем. Целевая аудитория разнообразна и включает следующее: Инженеры по управлению, интеграторы и архитекторы, которые проектируют или внедряют защищенные ICS. Системные администраторы, инженеры и другие специалисты по информационным технологиям (ИТ), которые администрируют, исправляют или защищают ICS. Консультанты по безопасности, которые выполняют оценку безопасности и тестирование на проникновение в ICS. Менеджеры, которые отвечают за ICS. Старшее руководство, которое пытается понять последствия и последствия при обосновании и применении программы кибербезопасности ICS для смягчения воздействия на функциональность бизнеса. Исследователи и аналитики, которые пытаются понять уникальные потребности безопасности ICS. Поставщики, которые разрабатывают продукты, которые будут развернуты как часть ICS.
Промышленная система управления (ICS)
Промышленная система управления (ICS) — это общий термин, который охватывает несколько типов систем управления, включая системы диспетчерского управления и сбора данных (SCADA), распределенные системы управления (DCS) и другие конфигурации систем управления, такие как программируемые логические контроллеры (ПЛК), часто встречающиеся в промышленных секторах и критических инфраструктурах. ICS состоит из комбинаций компонентов управления (например, электрических, механических, гидравлических, пневматических), которые действуют вместе для достижения промышленной цели (например, производства, транспортировки вещества или энергии). Часть системы, в первую очередь связанная с производством выходных данных, называется процессом. Управляющая часть системы включает спецификацию желаемого выходного сигнала или производительности. Управление может быть полностью автоматизировано или может включать человека в контуре. Системы могут быть настроены для работы в режиме разомкнутого контура, замкнутого контура и ручного режима. В системах управления с разомкнутым контуром выходной сигнал контролируется установленными настройками. В системах управления с замкнутым контуром выходной сигнал влияет на входной сигнал таким образом, чтобы поддерживать желаемую цель. В ручном режиме система полностью контролируется людьми. Часть системы, в первую очередь отвечающая за поддержание соответствия спецификациям, называется контроллером (или управлением). Типичная ICS может содержать многочисленные контуры управления, человеко-машинные интерфейсы (HMI) и удаленные инструменты диагностики и обслуживания, созданные с использованием массива сетевых протоколов. ICS контролируют промышленные процессы, как правило, в электротехнической, водопроводной и канализационной, нефтяной и газовой, химической, транспортной, фармацевтической, целлюлозно-бумажной, пищевой и напитков промышленности, а также в дискретном производстве (например, автомобильной, аэрокосмической и товаров длительного пользования). ICS имеют решающее значение для работы критически важных инфраструктур США, которые часто являются тесно взаимосвязанными и взаимозависимыми системами. Важно отметить, что примерно 85 процентов критически важных инфраструктур страны находятся в частной собственности и эксплуатируются1. Федеральные агентства также управляют многими из упомянутых выше промышленных процессов, а также управлением воздушным движением. В этом разделе представлен обзор систем SCADA, DCS и PLC, включая типичные топологии и компоненты. Представлено несколько диаграмм для отображения топологии сети, соединений, компонентов и протоколов, которые обычно встречаются в каждой системе, чтобы облегчить понимание этих систем. Эти примеры только пытаются определить условные концепции топологии. Фактические реализации ICS могут быть гибридами, которые стирают грань между системами DCS и SCADA. Обратите внимание, что диаграммы в этом разделе не фокусируются на обеспечении безопасности ICS. Архитектура безопасности и средства управления безопасностью обсуждаются в Разделе 5 и Разделе 6 этого документа соответственно.
Эволюция промышленных систем управления
Многие из современных ICS эволюционировали из внедрения ИТ-возможностей в существующие физические системы, часто заменяя или дополняя физические механизмы управления. Например, встроенные цифровые элементы управления заменили аналоговые механические элементы управления во вращающихся машинах и двигателях. Улучшения в стоимости и производительности способствовали этой эволюции, что привело к появлению многих современных «умных» технологий, таких как интеллектуальная электрическая сеть, интеллектуальный транспорт, интеллектуальные здания и интеллектуальное производство. Хотя это увеличивает связность и критичность этих систем, это также создает большую потребность в их адаптивности, устойчивости, безопасности и защите. Инженерия ICS продолжает развиваться, предоставляя новые возможности, сохраняя при этом типичные длительные жизненные циклы этих систем. Внедрение ИТ-возможностей в физические системы представляет собой эмерджентное поведение, которое имеет последствия для безопасности. Инженерные модели и анализ развиваются, чтобы учитывать эти эмерджентные свойства, включая взаимозависимости безопасности, защищенности, конфиденциальности и воздействия на окружающую среду.
Промышленные секторы ICS и их взаимозависимости
Системы управления используются во многих различных промышленных секторах и критических инфраструктурах, включая производство, дистрибуцию и транспортировку.
Производственные отрасли
Производство представляет собой большой и разнообразный промышленный сектор со множеством различных процессов, которые можно разделить на процессное и дискретное производство. Процессное производство обычно использует два основных процесса [1]: Непрерывные производственные процессы. Эти процессы выполняются непрерывно, часто с переходами для производства различных сортов продукта. Типичные непрерывные производственные процессы включают поток топлива или пара на электростанции, нефть на нефтеперерабатывающем заводе и дистилляцию на химическом заводе. Процессы пакетного производства. Эти процессы имеют отдельные этапы обработки, выполняемые на определенном количестве материала. Существует отдельный начальный и конечный этап для пакетного процесса с возможностью кратковременных стационарных операций на промежуточных этапах. Типичные процессы пакетного производства включают производство продуктов питания. Дискретное производство обычно выполняет ряд этапов на одном устройстве для создания конечного продукта. Сборка электронных и механических деталей и обработка деталей являются типичными примерами этого типа промышленности. Как процессное, так и дискретное производство используют одни и те же типы систем управления, датчиков и сетей. Некоторые объекты представляют собой гибрид дискретного и процессного производства.
Распределительные отрасли
ICS используются для управления географически распределенными активами, часто разбросанными на тысячи квадратных километров, включая распределительные системы, такие как системы распределения воды и сбора сточных вод, сельскохозяйственные ирригационные системы, нефте- и газопроводы, электросети и железнодорожные транспортные системы.
Различия между производственными и распределительными ICS
Хотя системы управления, используемые в производственных и распределительных отраслях, очень похожи в работе, они различаются в некоторых аспектах. Производственные отрасли обычно располагаются в пределах ограниченного завода или заводской зоны по сравнению с географически распределенными распределительными отраслями. Связь в производственных отраслях обычно осуществляется с использованием технологий локальной вычислительной сети (LAN), которые, как правило, более надежны и высокоскоростны по сравнению с глобальными сетями связи (WAN) и беспроводными/RF (радиочастотными) технологиями, используемыми в распределительных отраслях. ICS, используемые в распределительных отраслях, предназначены для решения проблем связи на больших расстояниях, таких как задержки и потеря данных, возникающие из-за различных используемых средств связи. Меры безопасности могут различаться в зависимости от типа сети.
Взаимозависимости ICS и критической инфраструктуры
Критическую инфраструктуру США часто называют «системой систем» из-за взаимозависимостей, существующих между ее различными промышленными секторами, а также взаимосвязей между деловыми партнерами [8] [9]. Критические инфраструктуры тесно взаимосвязаны и взаимозависимы сложным образом, как физически, так и посредством множества информационных и коммуникационных технологий. Инцидент в одной инфраструктуре может напрямую и косвенно повлиять на другие инфраструктуры посредством каскадных и эскалационных сбоев. Как в сфере передачи электроэнергии, так и в сфере распределительных сетей используется географически распределенная технология управления SCADA для работы тесно взаимосвязанных и динамических систем, состоящих из тысяч государственных и частных коммунальных предприятий и сельских кооперативов для поставки электроэнергии конечным пользователям. Некоторые системы SCADA контролируют и управляют распределением электроэнергии, собирая данные и выдавая команды географически удаленным полевым станциям управления из централизованного местоположения. Системы SCADA также используются для контроля и управления распределением воды, нефти и природного газа, включая трубопроводы, суда, грузовики и железнодорожные системы, а также системы сбора сточных вод. Системы SCADA и DCS часто объединяются в сеть. Это касается центров управления электроэнергией и объектов генерации электроэнергии. Хотя работа объекта генерации электроэнергии контролируется DCS, DCS должна взаимодействовать с системой SCADA для координации производства с требованиями к передаче и распределению. Электроэнергия часто считается одним из наиболее распространенных источников сбоев взаимозависимых критических инфраструктур. Например, каскадный отказ может быть вызван сбоем в работе сети микроволновой связи, используемой для системы SCADA для передачи электроэнергии. Отсутствие возможностей мониторинга и управления может привести к отключению большого генерирующего блока, что приведет к потере мощности на передающей подстанции. Эта потеря может вызвать серьезный дисбаланс, вызвав каскадный отказ по всей электросети. Это может привести к отключению электроэнергии на больших территориях, что может потенциально повлиять на добычу нефти и природного газа, работу нефтеперерабатывающих заводов, системы очистки воды, системы сбора сточных вод и трубопроводные транспортные системы, которые зависят от сети для получения электроэнергии.
Эксплуатация и компоненты ICS
Базовая работа ICS показана на рисунке 2-1 [2]. Некоторые критические процессы также могут включать системы безопасности. Ключевые компоненты включают следующее: Типичная ICS содержит многочисленные контуры управления, интерфейсы пользователя и инструменты удаленной диагностики и обслуживания, созданные с использованием массива сетевых протоколов в многоуровневых сетевых архитектурах. Контур управления использует датчики, исполнительные механизмы и контроллеры (например, ПЛК) для управления некоторым контролируемым процессом. Датчик — это устройство, которое производит измерение некоторого физического свойства, а затем отправляет эту информацию в качестве контролируемых переменных контроллеру. Контроллер интерпретирует сигналы и генерирует соответствующие управляемые переменные на основе алгоритма управления и целевых уставок, которые он передает исполнительным механизмам. Исполнительные механизмы, такие как регулирующие клапаны, выключатели, переключатели и двигатели, используются для непосредственного управления контролируемым процессом на основе команд контроллера. Операторы и инженеры используют интерфейсы пользователя для мониторинга и настройки уставок, алгоритмов управления, а также для регулировки и установки параметров в контроллере. Интерфейс пользователя также отображает информацию о состоянии процесса и историческую информацию. Диагностические и сервисные утилиты используются для предотвращения, выявления и восстановления после ненормальной работы или сбоев. Иногда эти контуры управления являются вложенными и/или каскадными, при этом заданное значение для одного контура основано на переменной процесса, определенной другим контуром. Контуры уровня контроля и контуры более низкого уровня работают непрерывно в течение всего процесса с циклами, варьирующимися от миллисекунд до минут.
Для поддержки последующих обсуждений в этом разделе определяются ключевые компоненты ICS, которые используются в управлении и сетевом взаимодействии. Некоторые из этих компонентов могут быть описаны в общем виде для использования в системах SCADA, DCS и ПЛК, в то время как другие являются уникальными для одного из них. Глоссарий терминов в Приложении B содержит более подробный список компонентов управления и сетевого взаимодействия. Кроме того, на рисунках 2-5 и 2-6 показаны примеры внедрения SCADA; на рисунке 2-7 показан пример внедрения DCS, а на рисунке 2-8 показан пример внедрения ПЛК, который включает эти компоненты.
Соображения по проектированию системы ICS
В то время как раздел представил основные компоненты ICS, проектирование ICS, включая использование топологий на основе SCADA, DCS или PLC, зависит от многих факторов. В этом разделе определяются ключевые факторы, которые определяют решения по проектированию в отношении свойств управления, связи, надежности и резервирования ICS. Поскольку эти факторы в значительной степени влияют на проектирование ICS, они также помогут определить потребности безопасности системы. Требования к времени управления. Процессы ICS имеют широкий спектр требований, связанных со временем, включая очень высокую скорость, согласованность, регулярность и синхронизацию. Люди могут быть не в состоянии надежно и последовательно выполнять эти требования; могут потребоваться автоматизированные контроллеры. Некоторые системы могут потребовать, чтобы вычисления выполнялись как можно ближе к датчику и исполнительным механизмам, чтобы сократить задержку связи и выполнять необходимые действия управления вовремя.
Географическое распределение. Системы имеют различную степень распределения, начиная от небольшой системы (например, локальный процесс, управляемый ПЛК) до крупных распределенных систем (например, нефтепроводы, электросети). Большее распределение обычно подразумевает необходимость в широкой области (например, выделенные линии, коммутация каналов и коммутация пакетов) и мобильной связи. Иерархия. Диспетчерское управление используется для предоставления центрального местоположения, которое может агрегировать данные из нескольких местоположений для поддержки решений по управлению на основе текущего состояния системы. Часто иерархическое/централизованное управление используется для предоставления операторам-людям всеобъемлющего представления обо всей системе. Сложность управления. Часто функции управления могут выполняться простыми контроллерами и предустановленными алгоритмами. Однако более сложные системы (например, управление воздушным движением) требуют, чтобы операторы-люди обеспечивали, чтобы все действия управления соответствовали более крупным целям системы. Доступность. Требования к доступности системы (т. е. надежности) также являются важным фактором при проектировании. Системы с высокими требованиями к доступности/времени безотказной работы могут потребовать большей избыточности или альтернативных реализаций во всех коммуникациях и управлении. Влияние отказов. Отказ функции управления может повлечь за собой существенно разные последствия в разных доменах. Системы с большими последствиями часто требуют возможности продолжать работу с помощью избыточных элементов управления или возможности работать в ухудшенном состоянии. Проектирование должно учитывать эти требования. Безопасность. Требования безопасности системы также являются важным фактором при проектировании. Системы должны иметь возможность обнаруживать небезопасные условия и запускать действия для снижения небезопасных условий до безопасных. В большинстве критически важных для безопасности операций человеческий надзор и контроль потенциально опасного процесса являются неотъемлемой частью системы безопасности.