Автор | Сообщение |
---|---|
#168 / 13.11.2018 12:55
admin
|
|
В сегодняшней статье мы рассмотрим, какие организационные и технические методы применяются для обеспечения функциональной безопасности. Большинство методов может применяться, в том числе, и для обеспечения информационной безопасности в рамках концепции интегральной безопасности (safety & security) современных систем управления. Набор анализируемых методов базируется на требованиях МЭК 61508 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью» (IEC 61508 Functional safety of electrical/electronic/programmable electronic safety-related systems). В части специфики обеспечения информационной безопасности АСУ ТП за основу взят NIST SP 800-82 «Guide to Industrial Control Systems (ICS) Security», рассмотренный в одной из предыдущих статей. МЭК 61508: Методы и средства обеспечения функциональной безопасности Методы обеспечения ФБ направлены на защиту от случайных отказов аппаратных средств, вызванных физическим старением элементов, а также на защиту от систематических отказов, вызванных несовершенством процессов проектирования. Поскольку в современном мире ФБ немыслимо рассматривать в отрыве от информационной безопасности (ИБ), то методы обеспечения ФБ также, в большинстве своем, обеспечивают и защиту от кибер атак. При этом, большинство методов являются комплексными, то есть, один и тот же метод в той или иной мере направлен на защиту и от случайных, и от систематических отказов. Описание методов обеспечения ФБ содержится в МЭК 61508-7 «Методы и средства». Однако, чтобы разобраться в требованиях к применению того или иного метода, одной только части 7 недостаточно. Рисунок 1. Структура методов обеспечения безопасности согласно МЭК 61508 Приложение В части 2 МЭК 61508 рассматривает методы защиты от систематических отказов аппаратных средств на протяжении жизненного цикла. Следует отметить, что МЭК 61508 рассматривает в качестве источников систематических отказов аппаратных средств ошибки проектирования, ошибки эксплуатации и внешние экстремальные воздействия (климатические, механические, радиационные и другие). Детальное описание соответствующих методов содержится в Приложении В части 7 МЭК 61508. Структура изложения методов защиты от систематических отказов аппаратных средств имеет свои особенности, например, в категорию B.1 General measures and techniques входят такие разные методы, как Project Management, Documentation, Separation, Diversity. Далее методы распределены по этапам жизненного цикла. Приложение А части 3 МЭК 61508 содержит руководство по выбору методов разработки и тестирования программного обеспечения с целью достижения полноты безопасности. Детальное описание соответствующих методов содержится в приложении С части 7 МЭК 61508. Здесь в категории С.1 General вообще не описываются никакие методы. Далее методы распределены по категориям: требования и детальный дизайн, архитектурный дизайн, инструментальные средства и языки программирования, верификация и модификация, оценивание ФБ. Чтобы проиллюстрировать изложение вышесказанного в МЭК 61508, рассмотрим простейшую таблицу, которая определяет методы, применяемые для обеспечения функциональной безопасности программного обеспечения на этапе разработки спецификации требований (см. Рисунок 2). Рисунок 2. МЭК 61508-7, Table A.1 – Software safety requirements specification Как мы уже говорили, методы обеспечения безопасности целесообразно разделить на организационные и технические. Рассмотрим теперь эти две группы. Организационные методы обеспечения информационной и функциональной безопасности Управление проектами Документирование Жизнненный цикл ИБ и ФБ — структурированный процесс разработки системы и программного обеспечения; Использование лучших практик и стандартов кодирования Стандарты кодирования и лучшие практики определяют ряд соглашений (coding conventions), которые используются при разработке ПО в качестве требований к коду. Такие соглашения включают в себя правила наименования и комментирования, правила отступов и оформления кода, ограничения по сложности и т.д. Распространенной практикой является так называемое защитное программирование, когда при возникновении какой-либо критической проблемы программное обеспечение завершает работу заранее предусмотренным образом, т.е. переводит систему в безопасное состояние. Использование сертифицированных компиляторов и библиотек Контроль качества при производстве аппаратных средств — разработка и верификация проекта аппаратных средств; Использование формальных и полуформальных нотаций Технические методы обеспечения ФБ — компоненты электроснабжения; Рисунок 3. Типовая архитектура АСУ ТП (источник: ISA/IEC 62443) Рисунок 4. Дублирование компонентов АСУ ТП Могут применяться резервированные датчики, контроллеры и исполнительные механизмы. Между каналами могут быть организованы протоколы информационного обмена (они обозначены на схеме зеленым цветом) либо же может быть реализована максимальная независимость между каналами, и тогда обмена не будет. Кроме того, может быть реализована дублированная сетевая архитектура и дублированный человеко-машинный интерфейс с дублированными вычислительными компонентами и хранилищами данных. Разнообразие (диверсность) при резервировании Обычное резервирование не защищает от систематических отказов, вызванных ошибками проектирования. Поэтому, если версии системы спроектированы по-разному, то количество общих систематических отказов каналов (так называемых отказов по общей причине) снизится (во всяком случае, теоретически снизится). Это учитывается при помощи так называемого -фактора, который показывает отношение количества отказов (или интенсивности отказов) по общей причине к общему количеству отказов (или интенсивности отказов). β-фактор зависит от применяемой стратегии диверсности. Чем больше различие между каналами, тем ниже значение β-фактора (см. Рисунок 5). Рисунок 5. Снижение количества отказов по общей причине при использовании различных (диверсных) дублированных каналов (источник: МЭК 61508) Независимость и разделение компонентов Рисунок 6. Физическая и электрическая независимость каналов (источник: МЭК 60709) Самодиагностика Рисунок 7. Реализация диагностики в системах управления Watchdog контролирует простейший отклик от микросхем, выполняющих обработку данных, и при обнаружении проблемы (прекращении отклика) отключает питание и переводит систему в безопасное состояние. Кроме того, ватчдог может контролировать уровень питания и выдавать аналогичную команду на отключение при опасном отклонении питания от заданного уровня. Безопасное состояние для систем безопасности, как правило, заключается в снятии питания с выходных аналоговых и дискретных выходов. При необходимости, система безопасности может подавать питание на исполнительные механизмы, но тогда на выходе требуются дополнительные преобразователи сигнала. Если самодиагностика обнаружила критическую проблему (например, отказ аппаратных узлов, нарушение конфигурации аппаратных или программных средств, нарушение передачи данных и т.п.), то выдается команда на перевод системы в безопасное состояние, которая выполняется так же, как если бы команда поступила от основной управляющей логики. Теперь обобщим, какие типовые функции должна выполнять самодиагностика цифровых устройств. Функции ватчдогов и контроля электропитания были только что рассмотрены. Важной функцией диагностики является контроль конфигурации программных и аппаратных средств. Это свойство влияет также на обеспечение информационной безопасности. В процессе функционирования каждый аппаратный модуль периодически передает информацию о своем серийном номере и о конфигурации загруженного ПО (например, чек-сумму). В случае нарушения конфигурации система выполняет заданные защитные действия, вплоть до перехода в безопасное состояние и отключение питания. Еще одним вариантом выполнения контроля зависаний является внутренние или внешние таймеры, контролирующие время выполнения отдельных модулей управляющей логики. Задачи могут перезапускаться несколько раз, в случае нескольких неудачных перезапусков также может приниматься решение о переходе в безопасное состояние. Важной функцией систем управления является обеспечение точности измерения входных и выходных аналоговых сигналов. Для диагностирования точности измерений могут применяться резервированные АЦП и ЦАП, в которых сравниваются результаты обработки и выдается диагностическое сообщение о совпадении либо несовпадении результатов. Большое внимание в системах управления уделяется передаче пакетов данных, как по коммуникационным каналам, так и при обработке, распределенной между компонентами программного и аппаратного обеспечение. Здесь для диагностирования применяются такие методы, как подтверждение передачи, контроль таймаутов, контроль целостности и последовательности передачи пакетов данных, циклические коды (CRC). Для защиты информации при передаче данных могут применяться алгоритмы шифрования. Защита от воздействий окружающей среды Для обеспечения функционирования систем управления применяется вентиляция и кондиционирование воздуха, проектируются конструкции, устойчивые к вибрации и другим механическим воздействиям, применяются системы пожаротушения и негорючие материалы, материалы и покрытия, устойчивые к химическим и радиационным воздействиям. Серьезное внимание уделяется обеспечению электромагнитной совместимости. Для этого осуществляется фильтрация и подавление электромагнитных помех различного рода, как внешних, так и собственных, для ограничения воздействия на другую аппаратуру. Специальные стандарты АТЕХ применяются для конструирования взрывобезопасных систем. Стандарты IP применяются для конструирования систем, защищенных от воздействия пыли и влаги. Защита от ошибок персонала Особенности обеспечения информационной безопасности Рисунок 8. Уязвимости в АСУ ТП (источник: Byres Research Inc.) Сегментирование сети Рекомендуется реализовывать в АСУ ТП, как минимум, одну демилитаризованную зону (DMZ), разделяющую корпоративную и управляющую локальные сети. Рисунок 9. Структура сети АСУ ТП с DMZ (источник: NIST 800-82) Шкафы с оборудованием снабжаются замками и контактными датчиками открытия дверей, которые выдают сигналы на табло сигнализации. Мониторинг и сохранение большого объема диагностических данных, в том числе, связанных с ИБ, предоставляет широкие аналитические возможности. Поскольку, коммуникационные линии являются уязвимыми компонентами, доступ к ним также контролируется, как на физическом, так и на логическом уровне. Использование коммуникационных линий и портов должно быть обоснованно ограничено. Для систем безопасности требуется использование только однонаправленных коммуникаций с использованием фирменных протоколов, отличающихся от широко распространенных промышленных протоколов. Для изменения настроек ПО и самого ПО, а также для изменения конфигурации аппаратных средств должна выполняться специальная авторизация. Выводы Организационные методы включают: управление проектами, документирование, реализацию жизненного цикла ИБ и ФБ, использование передовых методов и стандартов программирования, использование сертифицированных трансляторов, компиляторов и библиотек кода, контроль качества при производстве аппаратных компонентов, использование формальных и полуформальных нотаций для разработки спецификаций и дизайна. Технические методы включают в себя: резервирование, разделение и независимость, диверсность или разнообразие, защиту от внутренних и внешних опасностей, инженерию человеко-машинного интерфейса, а также различные виды самодиагностики. Специальные методы предотвращения атак для систем управления включают в себя управление доступом и сегментацию сети. Источник: https://habr.com/post/323916/ Отредактировано: admin (15.11.2018 09:32, 5 лет назад) |
|
Сообщения: 463 |