Safe by designЗаметки

АСУТПшника

Лифанов Александр

Лифанов Александр Витальевич

С 2013 - технический специалист компании Advantech

C 1999 по 2011 – от программиста АСУТП, пищевое производство до chief technical officer

Кто я такой

Кто «получит» в случае взлома?

ДИРЕКТОР

БЕЗОПАСНИК АСУшник

Структура САУ

(с) Бесекерский В.А., Попов Е.П. «Теория систем автоматизированного управления»

Структура САУ

ВХОДА ПЛК

ОБЪЕКТ

СР-ВО HMI

ДАТЧИК

КОНТРОЛЛЕР

ЭФФЕКТОР

ВЫХОДА ПЛК

Backplane

ОПЕРАТОР

Структура САУ – взгляд ИБ

ВХОДА ПЛК

ОБЪЕКТ

СР-ВО HMI

ДАТЧИК

КОНТРОЛЛЕР

ЭФФЕКТОР

ВЫХОДА ПЛК

Backplane

ОПЕРАТОР

Смена value range

DoS- Подмена программы

- Подмена прошивки

- Отладочный режим

- Раскачка регуляторов

- ….

Thanks to MarinaKrotofil

Operator imitation

Имитация команд

DoS

Структура САУ – взгляд ИБ

(с) Jim Gilsinn “Cyber & Process Attacks Scenarios for ICS”, slideshare.net

Структура САУ – взгляд АСУшника

ВХОДА ПЛК

ОБЪЕКТ

СР-ВО HMI

ДАТЧИК ЭФФЕКТОР

ВЫХОДА ПЛК

Backplane

ОПЕРАТОР

Появилась помеха

Непредусмотренная комбинация событийОчепятка ;)

Западает кнопка,кофе на

клавиатуру

Подклинивает

исп.механизм

Оторвали провод

Thanks to неизвестный

слесарь

КОНТРОЛЛЕР

Безопасные системыОтказоустойчивость – способность системы

сохранять работоспособность при

отказе одного или нескольких частей.

Отказобезопасность – способность системы при

отказе одной или нескольких частей

переходить в режим работы, безопасный для

окружающей среды (контролируемый останов).

Пример:- Siemens S7-400H

Пример:- Siemens S7-

400F- ПАЗ

Переноска воды решетом

Может, сначала убрать дырки?

Правило №1Верить нельзя

никому!

Правило №1- Оператор может ошибаться- Датчик может быть оторван- Электрик может поменять

датчик на другой тип (например 0…6 бар на 0…10 бар)

- Все внешние параметры должны проверяться на допустимость с точки зрения безопасности процесса -> лимитироваться

- Обрыв -> safety value- Safety-critical датчики могут дублироваться другим типом

(например, аналоговый датчик уровня + дискретный датчик максимального уровня)

Правило №2О конечных автоматах думаю я!

Правило №2Не должно быть неопределенных состояний. Где возможно – описывается условие нахождения в состоянии, а не перехода в него.

Насос NH8 включается по командам оператора или в автоматическом режиме:- И Уровень бака Н8 более 20%- И отсутствует сигнал «Бак Н9 занят»

Насос NH8 выключен при:- ИЛИ Срабатывание автомата защиты QNH8- ИЛИ Срабатывание датчика максимального уровня

бака Н9- ИЛИ Уровень бака Н9 более 90%- ИЛИ Уровень бака Н8 менее 2%…

© Wiki, «Автомат Мили»

Правило №3Подстели соломки

Правило №3Где есть возможность – система должна работать автономно, даже в случае обрыва смежника. Или уйти в safety state.

???

© картинка с tecon.ru

???

Правило №4Не надо лишних

сигналов

Правило №4Не надо описывать лишние сигналы «про запас». Понадобится – сделать недолго.

- Коэффициенты PID-регулятора- Калибровка весов (не обнуление!!)- Read-only если не надо управлять

© картинка с tecon.ru Mind

the protocol

Стенд Advantech на PHD V

SWITCH

Wi-FiSCADA

PLC APAX-5620

ADAM-6050 (DI) ADAM-6260 (DO)

LAN1

LAN2

Стенд Advantech на PHD V• SCADA была почти

фейковой (только информационная составляющая)

• Перезапуск ядра SCADA по расписанию

• Автоматический цикл всё равно вёл контроллер

Стенд Advantech на PHD V

• Два раздельных LAN• Наружу теги read-only• На базе WinCE 5• Цикл 50 мс

Стенд Advantech на PHD V• «Умные реле» выполняли

функцию ПАЗ• Цикл также 50 мс

Спасибо за внимание!

• Alx.lifanov@gmail.com, alexander.lifanov@advantech.com• https://www.facebook.com/groups/advantech.russia.users/• http://asutpforum.ru/viewforum.php?f=119