加载、处理和管理设备和标记配置，支持 IEC 61850 标准协议

Kaspersky Industrial CyberSecurity for Networks 中已使用的工业网络流量分析技术提供了有关支持 IEC 61850: IEC 61850-8-1 (GOOSE, MMS) 标准协议的设备的参数和交互的基本信息。但是，为了获取和保存有关这些设备的最完整数据，包括其原始结构化格式的标记，推荐将按照 IEC 61850-6 标准准备的文件内容加载到应用程序中。通过导入 IEC 61850 设备的项目来加载此类文件的内容。

导入 IEC 61850 设备项目时，Kaspersky Industrial CyberSecurity for Networks 会检查项目文件内容的语法和格式，并分析项目中的设备配置是否符合 IEC 61850 标准的要求和建议。成功导入项目后，应用程序会分析流量是否符合导入的配置。如果流量显示的交互与保存的配置有偏差（设备交互或传输的设置与配置中的描述不匹配），则应用程序会注册事件。

这样，用于处理和管理 IEC 61850 设备配置的内置工具可让您将 Kaspersky Industrial CyberSecurity for Networks 用作防范信息安全威胁的应用程序，也可以用作扫描包含配置描述的文件的工具。根据文件中的数据，应用程序允许您检测 IEC 61850 设备组设计中的错误和缺陷。您可以逐步消除已识别的错误和设计缺陷。

支持的项目类型和协议处理模块随着应用程序模块和数据库的更新而更新。您需要安装更新才能使用应用程序支持的所有功能来分析设备配置和分析 IEC 61850 协议上的流量。

使项目符合 IEC 61850 标准的方案包括以下步骤：

1. 将 IEC 61850 设备项目导入 Kaspersky Industrial CyberSecurity for Networks。

   在此步骤中，您必须导入 IEC 61850 设备的项目。导入项目中的设备配置必须以 SCL（系统配置语言）描述，并保存在符合 IEC 61850 标准而使用的一个或多个文件中。支持导入此类项目的 SCL 文件类型 *.SCD、*.CID 和 *.ICD。

   在导入过程结束时，应用程序提供查看结果报告的功能。要查看报告，您必须通过单击应用程序 Web 界面菜单中的 按钮打开后台操作列表，然后在导入过程完成后单击“显示报告”按钮。

   如果在扫描和分析导入的文件期间检测到错误或缺陷（不一致），则有关它们的信息将显示在报告窗口的以下部分中：

   • 语法和格式错误。
   • 不符合标准（显示检测到的不符合项不超过 100 个）。

   如果报告窗口不包含任何指定的部分，则可以继续执行步骤 3。否则，请仔细阅读报告窗口中的错误和不一致列表，然后继续执行步骤 2。

2. 根据导入报告解决错误和不一致问题

   导入过程中检测到的错误和不一致的重要性可能有所不同。一些错误（例如，不同修订版的语法错误）导致无法加载文件并阻止导入整个项目内容。其他错误和不一致可能是由导入项目中的逻辑错误以及已使用部件的特定设置引起的（如果部件的操作能力允许您为其设置参数而不遵守使用 IEC 61850 标准的某些建议）。应用程序会在导入报告中针对这些错误和不一致显示适当的警告。

   在审查导入过程中发现的错误和不一致列表后，您需要决定在项目中进行哪些必要的改进。使用适当的软件工具来解决错误和不一致问题。

   如果您对项目进行了任何修改或添加，请保存项目文件并再次执行步骤 1 以导入更新的文件。如果不需要修改项目，请跳至步骤 3。

3. 扫描因项目导入而在 Kaspersky Industrial CyberSecurity for Networks 中创建的对象

   在此步骤中，您需要检查导入后应用程序中的更改，并在必要时对应用程序中的对象执行其他操作。

   如果导入的项目包含相关数据，应用程序将执行以下操作：

   • 添加新的设备（或更新现有的设备），同时指示网络交互参与者的地址信息。
   • 为设备添加过程控制设置并在这些设置中保存以下内容：
     • 受监控的系统命令
     • MMS 和 GOOSE 协议的订阅和数据块
   • 在原有的结构化标记格式上添加 MMS 和 GOOSE 协议的标记。
   • 根据导入的配置中的设备信息生成交互控制规则。

   对于结构化格式的标记，无法定义条件过程控制规则来跟踪值。如果您想使用应用程序检查标记的值，您可以使用带有 Lua 脚本的规则来实现此目的。

4. 在检测到流量与保存的配置有偏差时记录的跟踪事件

   应用程序使用保存的配置来分析工业网络流量。如果流量显示的交互与保存的配置有偏差（设备交互或传输的设置与配置中的描述不匹配），应用程序会根据网络完整性控制和命令控制技术注册事件。

   在分析 IEC 61850: GOOSE 协议上的交互时，应用程序会在以下情况下记录事件：

   • 检测到消息源和接收者的 MAC 地址不一致。
   • 检测到工厂配置（GOOSE 消息中的 goID 相同）。
   • 检测到重复的姓名/地址。
   • 检测到 ConfRev 版本不一致。
   • 检测到 GOOSE 消息状态不一致。
   • 检测到 GOOSE 消息包主要参数不一致。
   • 检测到信号质量设置不一致。
   • 检测到消息传输顺序不一致。
   • 检测到来自未描述设备的 GOOSE 消息。
   • 检测到来自所描述设备的未描述的 GOOSE 消息。
   • 检测到 GOOSE 消息中数据包结构的变化。
   • 检测到 GOOSE 消息中 VLAN ID 的使用不一致。
   • 检测到标记值和创建的过程控制规则之间的不一致。

   在分析 IEC 61850: MMS 协议上的交互时，应用程序会在以下情况下注册事件：

   • 检测到 IP 或 MAC 地址不一致（考虑通过路由器的交互）。
   • 检测到重复的姓名/地址。
   • 检测到 ConfRev 版本不一致。
   • 检测到执行的系统命令序列不一致。
   • 检测到标记值和创建的过程控制规则之间的不一致。
   • 检测到客户端到服务器连接方法（读/写或通过订阅）不一致。

   事件跟踪阶段的持续时间取决于工业过程中设备交互的频率和操作模式的变化。如果您的评估表明所有受监控的设备都已执行其预期操作，并且应用程序未因上述原因注册任何事件，则可以认为使项目符合 IEC 61850 标准的方案已完成。否则，如果事件已注册，则转至步骤 5。

5. 微调项目以消除与保存的配置的偏差

   在调查事件注册原因时，首先要核实是否存在信息安全威胁、是否存在工业过程违规行为。

   在您确信事件是由于保存的配置中的错误或不一致而注册的之后，您需要决定在项目中进行必要的改进。使用适当的软件工具来解决错误和不一致问题。

   如果您对项目进行了任何修改，请保存项目文件并从步骤 1 开始重复此场景中的步骤。

在采取所有必要措施使项目符合 IEC 61850 标准后，您可以在监控模式下使用 Kaspersky Industrial CyberSecurity for Networks 的所有功能。但是，推荐通过以下应用程序功能定期评估工业网络基础设施的安全性和性能：

• 监控网络会话并执行在线监控以评估当前网络拥塞情况（包括使用“流量”和“标记”小部件）。
• 使用“资产管理”、“交互控制”和“入侵检测”来监控网络上具有新地址的设备的出现。
• 监控事件以跟踪基于命令控制技术在事件中注册的未描述消息，并跟踪基于入侵检测技术在事件（系统事件类型代码 4000005100、4000005101、4000005102、4000005103 和 4000002701）中和基于资产管理技术在事件（系统事件类型代码 4000005005）中注册的故障和网络错误。

页首