Разделение контуров управления и телесигнализации

В данной статье методы мониторинга и обнаружения факта проникновения в сеть АСУ ТП подстанции (ПС) будут рассмотрены частично, основное внимание будет уделено подготовке к «обороне» непосредственно оборудования АСУ ТП ПС. Возможно, с точки зрения специалистов по информационной безопасности (ИБ) могут быть допущены ошибки в терминах, буду признателен за конструктивную критику.

Еще при первых проработках стандарта организации (СТО) ИБ АСУ ТП ПАО «ФСК ЕЭС» предлагалось оснастить подстанции неким устройством, выводящим из работы схему управления оборудованием с автоматизированного рабочего места (АРМ). На текущий момент это еще более актуально в связи с вводом телеуправления (ТУ) из диспетчерских центров системного оператора (ДЦ СО) и центров управления сетями дочерних и зависимых организаций (ЦУС ДЗО) ПАО «Россети», так как предусматривает возможность передачи команд управления по каналам телемеханики (ТМ). Но потом требование об возможности экстренного вывода ТУ из работы удалили.

Рис. 1. Текущая ситуация не обеспечивает экстренную изоляцию функций ТУ без вывода ТС и ОБР.
Итак, допустим, стало известно, что обнаружено проникновение в сеть АСУ ТП подстанции. Что необходимо сделать в первую очередь для дальнейшей эксплуатации ПС в чрезвычайном режиме? Необходимо обеспечить наблюдаемость подстанции, то есть сохранить сбор телесигнализации и телеизмерений (ТС и ТИ) и их передачу в ДЦ. (Про перехват и искажение передаваемых данных сейчас говорить не будем, так как у диспетчеров уже сейчас есть инструменты для проверки достоверности поступающих данных). Нельзя оставлять диспетчеров без данных о состоянии всей энергосистемы. И если произошло проникновение на одну подстанцию, то чрезвычайный режим изоляции следует ввести и на остальных. На первый взгляд было бы достаточно вывести из работы цепи ТУ, для чего в шкафах питания цепей оперативной блокировки разъединителей (ОБР) на автоматических выключателях (АВ) питания ТУ необходимо поставить расцепители и подать команду через контроллер общеподстанционных систем (ОПС) на отключение расцепителей. Включить его вручную сможет только персонал, имеющий соответствующие полномочия и физический доступ к АВ. Но от этого АВ обычно запитаны и цепи местного управления. Кроме того цепи управления выключателями питаются от шинки управления (ШУ) автоматики управления выключателями АУВ. Получается, что в реальности питание цепей ТУ трогать нельзя, необходимо обесточивать сам контроллер присоединений (КП) (Рис.1) или устройство сопряжения с объектом (УСО). Но тогда мы потеряем телесигналы положения коммутационных аппаратов (КА) и ОБР. То есть, необходимо разделение устройств сопряжения с объектом телеуправления и телесигнализации и оперативной блокировки разъединителей (ОБР непосредственного воздействия на оборудование не оказывает, но об этом чуть ниже).
Рис. 2. Варианты изоляции функций ТУ без вывода контуров ТС и ОБР в сочетании с современными структурами АСУ ТП.
Учитывая стандартизацию шкафов АСУ ТП и релейной защиты и автоматики (РЗА), мне видится идеальным вариантом сохранение в шкафах преобразователей дискретных сигналов (ШПДС) только ТС и ОБР (Рис.2). Кроме того, совмещение ШПДС со шкафом управления разъединителями (ШУР). Такой подход применяют наши зарубежные коллеги. При этом цепи ТУ тянем до КП, которые сведены в типовом шкафу фактически до статуса панели оператора. Сервер ТМ может опрашивать ПДС непосредственно минуя КП, так же, как и АРМ, а функции ОБР можно перенести и на ПДС. Это возможно, учитывая, что современные центральные процессоры имеют достаточные мощности для обработки логики. Согласен, цепи ТУ от КП в здании общеподстанционного пункта управления (ОПУ) до ШУР противоречат концепции цифровой подстанции, но, к сожалению, у нас в погоне за прогрессом часто забывают о необоснованном росте капитальных затрат.

Шкафы КП сохраняются? Сохраняются! От кабельных лотков полностью уйти не получится? Не получится! Питание до УСО в поле и до приводов тянуть же надо. И от пары десятков кабелей там хуже не станет, а стоить будет гораздо дешевле, чем выделенное УСО ТУ. При снижении стоимости УСО ТУ можно и отказаться от длинномеров, основная задача – это добиться сочетания безопасных и надежных решений при умеренной стоимости.

К слову, зачем тянуть цепи ТУ от КП до АУВ, ну, так АУВ может и «умереть» внезапно.

Логика развития энергетики РФ подразумевает отказ от постоянного дежурства на подстанциях.

В нормальном режиме присоединение сможет вывести диспетчер ДЦ, так как при выводе АУВ цепи управления проходят «сквозь» терминал АУВ. И это тоже относится к безопасности подстанций, так как возможность отключить оборудование в обход вышедшего из строя устройства - это оборудование бережет.

Сохранение ОБР при правильном функционировании облегчит работу оперативного персонала. Связь со смежными ПДС сохраняется, как и обмен GOOSE и сбор ТС, не оказывает непосредственного влияния на оборудование  и выдача команд блокировки. Иными словами, изолировав этот участок сети (плюс сервер ТМ), можно сохранить наблюдаемость ПС для ДЦ.

Контроль правильной работы ОБР осуществляется простым способом: в ШУР на монтажной панели все индикаторы положения КА, ключи управления формируются в схему присоединения (есть фото импортных ШУР ОРУ и шкафов управления импортных КРУЭ). Просто добавь воды индикаторы состояния КВ (реле блокировки) и повесь перечень условий блокировки. Оперативный персонал (ОП) при необходимости сможет переключаться по типовому бланку, сверяясь с индикаторами на мнемосхеме и перечнем условий.

А изоляция ТУ достигается за счет обесточивания контроллеров присоединений и корневых коммутаторов/маршрутизаторов, отсекая возможность злоумышленникам проникнуть к удаленному управлению устройствами РЗА, ПА и АСУ ТП. Как при этом сохраниться телемеханика? Об этом в следующем разделе.

Старый добрый RS-485

Да он самый.

Если в качестве станционных контроллеров/серверов ТМ использовать исключительно отечественные устройства, контролируя ПО и железо, то  можно с полной уверенностью говорить о невозможности «вскрытия» АСУ ТП ПС через RS-485.

При обесточенных корневых коммутаторах/маршрутизаторах и отсутствии каких-либо команд управления, заложенных в перечень передаваемых по конкретному порту RS-485 данных, у злоумышленников не будет ни единого шанса на причинение вреда. Кроме, разве что, попытки искажения данных телеметрии и телесигнализации, но и это можно преодолеть на уровне ПТК ДЦ СО и ЦУС за счет сравнения и пересчета перетоков, при том, что соответствующие программные модули уже весьма распространены.


Рис. 3. Вариант сохранения передачи ТМ в ДЦ с использованием протокола обмена МЭК60870-5-101 (предпочтительный вариант, так как дает злоумышленникам меньше способов для искажения передаваемой информации).

А как же сервера интеграции РЗА и ПА, и прочие разделители уровней подстанции? Так как даже отечественные варианты используют операционную систему с открытым кодом или ядро системы является иностранной разработкой, то, получив доступ к внешнему сетевому интерфейсу и к ОС, добраться до внутреннего сетевого интерфейса уже не составит труда. Рассчитывать на то, что если при наладке не настроили роутинг между интерфейсами, то получили защиту - не стоит.

Рис.4. Вариант сохранения передачи ТМ в ДЦ с использованием протокола обмена МЭК60870-5-104 с промежуточным преобразованием в МЭК60870-5-101.

При получении контроля над сервером ТМ злоумышленник может исказить передаваемую информацию. При этом этот вариант более дорогой с точки зрения объемов оборудования и трудозатрат при наладке.

А как же АРМ?

При обесточивании части сетевых коммутаторов информации о состоянии ПС лишится и АРМ ОП, так как режим изоляции сети подразумевает и отсечение возможности удаленного доступа к терминалам РЗА и ПА.

Тут нам поможет старая добрая центральная сигнализация (ЦС), но уже на базе МЭК 61850. При этом логичнее ее назвать терминал аварийно-предупредительной телесигнализация (АПТС).

Получим некий контроллер сбора ТС со светодиодной сигнализацией, который сможем оставить в одной сети с ПДС и сервером ТМ. Светодиоды отразят состояние ПС для ОП, а, если надо, то и уведомят через «громкоговорящую связь» (ГГС) (через реле и сухой контакт). Да, кабеля может получиться много, но что мешает установить ПДС в выделенной сети для сбора ответственных сигналов с выводом на светодиодную сигнализацию. И заодно в ДЦ будут видеть, что происходит на ПС. Помимо сохранения наблюдаемости, это позволит изолировать РЗА и ПА и, в первую очередь, убедиться в их безопасном состоянии, сохранить их работоспособность на период ревизии остального оборудования. Тут меня, конечно, могут поправить, светодиоды это устарело, даешь LCD-экраны, отвечу просто – светодиоды надежнее, стоят недорого и налаживать их на порядки проще, чем графический интерфейс.

Немного о средствах контроля

Я практически ни разу не встречал поддержки протоколов внешней авторизации и аутентификации на отечественных устройствах АСУ ТП. В отличие от зарубежных, где это реализовано в каждом сетевом устройстве. Использование протоколов RADIUS или его аналогов позволит не только засечь подозрительную деятельность, но и контролировать допуски к работам на уровне ДЦ в автоматизированном режиме.

Рассмотрим пример. На терминале реализован доступ для следующих групп пользователей:

  1. Группа пользователей «Оператор» с правами на скачивание осциллограмм, просмотр и скачивание журналов событий, просмотр текущих уставок. Универсального пользователя заводить не следует, так как не получится отслеживать персональную деятельность. И, к слову, нет смысла «пускать» на ПС инженеров, которые навряд ли  будут  допущены к оборудованию ПС в силу ОРД о зонах ответственности.
  2. Группа пользователей «Инженер» с правами на изменение уставок, конфигурации, использование тестовых режимов, перезагрузку и т.д.
  3. Группа пользователей «Наладчик» с правами на изменение ПО, сетевых настроек или настроек безопасности.

Имея сервер внешней аутентификации и авторизации, можно согласовывать допуск с разрешенными заявками, допусками, в том числе и при удаленной работе инженеров и наладчиков. И это исключит практику передачи паролей от терминалов с тягой к «универсальности» паролей.

Конечно, можно заняться перевоспитанием 40-летних мужиков, повесив ответственность на руководителя службы, но гораздо проще и надежнее автоматизировать контроль доступа.

Порядок действий диспетчерского, оперативного и ремонтного персонала при обнаружении вторжения

При сигнализации о несанкционированном доступе в сеть ПС и признаках проникновения, по команде из ЦУС обесточиваются КП (ШПДС ТУ) и коммутаторы, физически подключенные к оборудованию связи. Тем самым основные каналы передачи ТС и ТИ в ДЦ выводятся из работы. В ДЦ переходят на резервные каналы ТМ по протоколу МЭК60870-5-101 без поддержки телеуправления.

На ПС выезжают дежурные ОВБ и до завершения проверки целостности конфигураций устройств, локализации и устранения проникновения вводится особый режим. При этом дежурные смогут отслеживать состояние оборудования ПС без АРМ, а так же управлять оборудованием с местных постов по командам из ДЦ.