Загрузка, обработка и контроль конфигураций устройств и тегов с поддержкой протоколов стандарта IEC 61850

Технологии для анализа трафика промышленной сети, используемые в Kaspersky Industrial CyberSecurity for Networks, позволяют получать основные сведения о параметрах и взаимодействиях устройств с поддержкой протоколов стандарта IEC 61850: IEC 61850-8-1 (GOOSE, MMS). Однако для получения и сохранения в программе наиболее полных данных об этих устройствах, включая теги в их исходном структурном виде, рекомендуется загружать в программу содержимое файлов, подготовленных в соответствии со стандартом IEC 61850-6. Загрузка содержимого таких файлов выполняется путем импорта проектов для устройств IEC 61850.

При импорте проекта для устройств IEC 61850 Kaspersky Industrial CyberSecurity for Networks проверяет синтаксис и формат содержимого файлов проекта, а также анализирует конфигурации устройств в проекте на соответствие требованиям и рекомендациям стандарта IEC 61850. После успешного импорта проекта программа анализирует трафик на соответствие импортированной конфигурации. При обнаружении в трафике взаимодействий, которые являются отклонениями от сохраненной конфигурации (взаимодействия устройств или передаваемые параметры не соответствуют описаниям в конфигурации), программа регистрирует события.

Таким образом, за счет встроенных средств обработки и контроля конфигураций устройств IEC 61850, вы можете использовать Kaspersky Industrial CyberSecurity for Networks и как программу для защиты от угроз информационной безопасности, и как инструмент проверки файлов с описаниями конфигураций. По данным из файлов программа позволяет выявлять ошибки и недочеты проектирования комплексов устройств IEC 61850. Устранять выявленные ошибки и недочеты проектирования вы можете поэтапно.

Поддерживаемые типы проектов и модули обработки протоколов обновляются вместе с обновлениями баз и программных модулей. Для использования всех возможностей, поддерживаемых программой для анализа конфигураций устройств и анализа трафика по протоколам IEC 61850, вам нужно установить обновления.

Сценарий приведения проекта в соответствие со стандартом IEC 61850 состоит из следующих этапов:

1. Импорт проекта для устройств IEC 61850 в Kaspersky Industrial CyberSecurity for Networks

   На этом этапе вам нужно выполнить импорт проекта для устройств IEC 61850. Конфигурации устройств в импортируемом проекте должны быть описаны на языке SCL (System Configuration Language) и сохранены в одном или нескольких файлах, применяемых по стандарту IEC 61850. Для импорта этого типа проекта поддерживаются следующие типы файлов SCL: *.SCD, *.CID, *.ICD.

   По окончании процесса импорта программа предоставляет возможность просмотра отчета о результатах. Для просмотра отчета вам нужно открыть список фоновых операций с помощью кнопки в меню веб-интерфейса программы и нажать на кнопку Вывести отчет после завершения процесса импорта.

   Если в процессе проверки и анализа импортируемого файла обнаружены ошибки или недочеты (несоответствия), сведения о них отображаются в окне отчета в следующих разделах:

   • Ошибки синтаксиса и формата.
   • Несоответствия стандарту (выводится не более 100 обнаруженных несоответствий).

   Если окно отчета не содержит ни одного из указанных разделов, вы можете перейти к выполнению этапа 3. Иначе внимательно ознакомьтесь со списками ошибок и несоответствий в окне отчета и перейдите к выполнению этапа 2.

2. Устранение ошибок и несоответствий по отчету об импорте

   Ошибки и несоответствия, обнаруженные при импорте, различаются по своей значимости. Некоторые ошибки (например, ошибки синтаксиса разных ревизий) приводят к невозможности загрузки файла и блокируют импорт всего содержимого проекта. Другие ошибки и несоответствия могут быть обусловлены как логическими ошибками в импортируемом проекте, так и особенностями настройки используемого оборудования (если эксплуатационные возможности оборудования позволяют задавать для него параметры без соблюдения определенных рекомендаций по применению стандарта IEC 61850). Для таких ошибок и несоответствий программа выводит соответствующие предупреждения в отчете об импорте.

   После ознакомления со списками ошибок и несоответствий, обнаруженных при импорте, вам нужно принять решение о необходимых доработках в проекте. Для устранения ошибок и несоответствий используйте соответствующие программные инструменты.

   Если вы выполнили какие-либо доработки или дополнения в проекте, сохраните файлы проекта и повторно выполните этап 1 для импорта обновленных файлов. Если доработки проекта не требуются, перейдите к выполнению этапа 3.

3. Проверка объектов, созданных в Kaspersky Industrial CyberSecurity for Networks в результате импорта проекта

   На этом этапе вам нужно проверить изменения в программе после импорта и при необходимости выполнить дополнительные действия с объектами в программе.

   При наличии в импортированном проекте соответствующих данных программа выполняет следующие действия:

   • добавляет новые устройства (или обновляет существующие устройства) с указанием адресной информации участников сетевых взаимодействий;
   • добавляет параметры контроля процесса для устройств и сохраняет в этих параметрах:
     • отслеживаемые системные команды;
     • подписки и блоки данных для протоколов MMS и GOOSE;
   • добавляет теги протоколов MMS и GOOSE в исходном структурном виде тегов;
   • формирует правила контроля взаимодействий на основе информации об устройствах в импортируемой конфигурации.

   Для тегов в структурном виде невозможно задать правила контроля процесса с заданными условиями для отслеживания значений. Если вы хотите проверять значения тегов с помощью программы, вы можете использовать для этого правила с Lua-скриптами.

4. Отслеживание событий, регистрируемых при обнаружении в трафике отклонений от сохраненной конфигурации

   С использованием сохраненной конфигурации программа анализирует трафик промышленной сети. При обнаружении в трафике взаимодействий, которые являются отклонениями от сохраненной конфигурации (взаимодействия устройств или передаваемые параметры не соответствуют описаниям в конфигурации), программа регистрирует события по технологиям Контроль целостности сети и Контроль системных команд.

   При анализе взаимодействий по протоколу IEC 61850: GOOSE программа регистрирует события в следующих случаях:

   • обнаружены несоответствия MAC-адресов источников и получателей сообщений;
   • обнаружены заводские конфигурации (одинаковый идентификатор goID в сообщениях GOOSE);
   • обнаружены повторяющиеся имена/адреса;
   • обнаружены несоответствия версий ConfRev;
   • обнаружены несоответствия статусов сообщений GOOSE;
   • обнаружены несоответствия основных параметров в пакетах сообщений GOOSE;
   • обнаружены несоответствия параметров качества сигнала;
   • обнаружены несоответствия в последовательности передачи сообщений;
   • обнаружено сообщение GOOSE от неописанного устройства;
   • обнаружено неописанное сообщение GOOSE от описанного устройства;
   • обнаружены изменения структуры пакета данных в сообщении GOOSE;
   • обнаружены несоответствия в использовании идентификатора VLAN в сообщениях GOOSE;
   • обнаружены несоответствия значений тегов созданным правилам контроля процесса.

   При анализе взаимодействий по протоколу IEC 61850: MMS программа регистрирует события в следующих случаях:

   • обнаружены несоответствия IP- или MAC-адресов (с учетом взаимодействий через маршуртизаторы);
   • обнаружены повторяющиеся имена/адреса;
   • обнаружены несоответствия версий ConfRev;
   • обнаружены несоответствия в последовательности выполнения системных команд;
   • обнаружены несоответствия значений тегов созданным правилам контроля процесса;
   • обнаружены несоответствия методов подключения клиента к серверу (чтение/запись или по подписке).

   Длительность этапа отслеживания событий зависит от частоты взаимодействий устройств и изменений режимов работы в рамках технологического процесса. Если, по вашим оценкам, все контролируемые устройства выполнили свои предусмотренные операции и при этом в программе не зарегистрированы события по вышеперечисленным причинам, сценарий приведения проекта в соответствие со стандартом IEC 61850 можно считать завершенным. Иначе, в случае регистрации событий, перейдите к выполнению этапа 5.

5. Донастройка проекта для устранения отклонений от сохраненной конфигурации

   При расследовании причин регистрации событий в первую очередь проверяйте отсутствие угроз информационной безопасности и отсутствие нарушений технологического процесса.

   После того, как вы убедитесь, что события были зарегистрированы из-за ошибок или несоответствий в сохраненной конфигурации, вам нужно принять решение о необходимых доработках в проекте. Для устранения ошибок и несоответствий используйте соответствующие программные инструменты.

   Если вы выполнили какие-либо доработки в проекте, сохраните файлы проекта и повторно выполните этапы данного сценария, начиная с этапа 1.

После выполнения всех действий для приведения проекта в соответствие со стандартом IEC 61850 вы можете использовать все функции Kaspersky Industrial CyberSecurity for Networks в режиме наблюдения. При этом рекомендуется регулярно оценивать защищенность и работоспособность инфраструктуры промышленной сети с помощью следующих частей функциональности программы:

• Мониторинг сетевых сеансов и мониторинг в онлайн-режиме – для оценки текущей загруженности сети (в том числе с помощью виджетов Трафик и Теги).
• Контроль активов, контроль взаимодействий и обнаружение вторжений – для контроля появления в сети устройств с новыми адресами.
• Мониторинг событий – для контроля неописанных сообщений, регистрируемых в событиях по технологии Контроль системных команд, и для контроля неисправностей и сетевых ошибок, регистрируемых в событиях по технологии Обнаружение вторжений (коды системных типов событий 4000005100, 4000005101, 4000005102, 4000005103 и 4000002701) и в событиях по технологии Контроль активов (код системного типа события 4000005005).

В начало