Технологии для анализа трафика промышленной сети, используемые в Kaspersky Industrial CyberSecurity for Networks, позволяют получать основные сведения о параметрах и взаимодействиях устройств с поддержкой протоколов стандарта IEC 61850: IEC 61850-8-1 (GOOSE, MMS). Однако для получения и сохранения в программе наиболее полных данных об этих устройствах, включая теги в их исходном структурном виде, рекомендуется загружать в программу содержимое файлов, подготовленных в соответствии со стандартом IEC 61850-6. Загрузка содержимого таких файлов выполняется путем импорта проектов для устройств IEC 61850.
При импорте проекта для устройств IEC 61850 Kaspersky Industrial CyberSecurity for Networks проверяет синтаксис и формат содержимого файлов проекта, а также анализирует конфигурации устройств в проекте на соответствие требованиям и рекомендациям стандарта IEC 61850. После успешного импорта проекта программа анализирует трафик на соответствие импортированной конфигурации. При обнаружении в трафике взаимодействий, которые являются отклонениями от сохраненной конфигурации (взаимодействия устройств или передаваемые параметры не соответствуют описаниям в конфигурации), программа регистрирует события.
Таким образом, за счет встроенных средств обработки и контроля конфигураций устройств IEC 61850, вы можете использовать Kaspersky Industrial CyberSecurity for Networks и как программу для защиты от угроз информационной безопасности, и как инструмент проверки файлов с описаниями конфигураций. По данным из файлов программа позволяет выявлять ошибки и недочеты проектирования комплексов устройств IEC 61850. Устранять выявленные ошибки и недочеты проектирования вы можете поэтапно.
Поддерживаемые типы проектов и модули обработки протоколов обновляются вместе с обновлениями баз и программных модулей. Для использования всех возможностей, поддерживаемых программой для анализа конфигураций устройств и анализа трафика по протоколам IEC 61850, вам нужно установить обновления.
Сценарий приведения проекта в соответствие со стандартом IEC 61850 состоит из следующих этапов:
На этом этапе вам нужно выполнить импорт проекта для устройств IEC 61850. Конфигурации устройств в импортируемом проекте должны быть описаны на языке SCL (System Configuration Language) и сохранены в одном или нескольких файлах, применяемых по стандарту IEC 61850. Для импорта этого типа проекта поддерживаются следующие типы файлов SCL: *.SCD, *.CID, *.ICD.
По окончании процесса импорта программа предоставляет возможность просмотра отчета о результатах. Для просмотра отчета вам нужно открыть список фоновых операций с помощью кнопки в меню веб-интерфейса программы и нажать на кнопку Вывести отчет после завершения процесса импорта.
Если в процессе проверки и анализа импортируемого файла обнаружены ошибки или недочеты (несоответствия), сведения о них отображаются в окне отчета в следующих разделах:
Если окно отчета не содержит ни одного из указанных разделов, вы можете перейти к выполнению этапа 3. Иначе внимательно ознакомьтесь со списками ошибок и несоответствий в окне отчета и перейдите к выполнению этапа 2.
Ошибки и несоответствия, обнаруженные при импорте, различаются по своей значимости. Некоторые ошибки (например, ошибки синтаксиса разных ревизий) приводят к невозможности загрузки файла и блокируют импорт всего содержимого проекта. Другие ошибки и несоответствия могут быть обусловлены как логическими ошибками в импортируемом проекте, так и особенностями настройки используемого оборудования (если эксплуатационные возможности оборудования позволяют задавать для него параметры без соблюдения определенных рекомендаций по применению стандарта IEC 61850). Для таких ошибок и несоответствий программа выводит соответствующие предупреждения в отчете об импорте.
После ознакомления со списками ошибок и несоответствий, обнаруженных при импорте, вам нужно принять решение о необходимых доработках в проекте. Для устранения ошибок и несоответствий используйте соответствующие программные инструменты.
Если вы выполнили какие-либо доработки или дополнения в проекте, сохраните файлы проекта и повторно выполните этап 1 для импорта обновленных файлов. Если доработки проекта не требуются, перейдите к выполнению этапа 3.
На этом этапе вам нужно проверить изменения в программе после импорта и при необходимости выполнить дополнительные действия с объектами в программе.
При наличии в импортированном проекте соответствующих данных программа выполняет следующие действия:
Для тегов в структурном виде невозможно задать правила контроля процесса с заданными условиями для отслеживания значений. Если вы хотите проверять значения тегов с помощью программы, вы можете использовать для этого правила с Lua-скриптами.
С использованием сохраненной конфигурации программа анализирует трафик промышленной сети. При обнаружении в трафике взаимодействий, которые являются отклонениями от сохраненной конфигурации (взаимодействия устройств или передаваемые параметры не соответствуют описаниям в конфигурации), программа регистрирует события по технологиям Контроль целостности сети и Контроль системных команд.
При анализе взаимодействий по протоколу IEC 61850: GOOSE программа регистрирует события в следующих случаях:
При анализе взаимодействий по протоколу IEC 61850: MMS программа регистрирует события в следующих случаях:
Длительность этапа отслеживания событий зависит от частоты взаимодействий устройств и изменений режимов работы в рамках технологического процесса. Если, по вашим оценкам, все контролируемые устройства выполнили свои предусмотренные операции и при этом в программе не зарегистрированы события по вышеперечисленным причинам, сценарий приведения проекта в соответствие со стандартом IEC 61850 можно считать завершенным. Иначе, в случае регистрации событий, перейдите к выполнению этапа 5.
При расследовании причин регистрации событий в первую очередь проверяйте отсутствие угроз информационной безопасности и отсутствие нарушений технологического процесса.
После того, как вы убедитесь, что события были зарегистрированы из-за ошибок или несоответствий в сохраненной конфигурации, вам нужно принять решение о необходимых доработках в проекте. Для устранения ошибок и несоответствий используйте соответствующие программные инструменты.
Если вы выполнили какие-либо доработки в проекте, сохраните файлы проекта и повторно выполните этапы данного сценария, начиная с этапа 1.
После выполнения всех действий для приведения проекта в соответствие со стандартом IEC 61850 вы можете использовать все функции Kaspersky Industrial CyberSecurity for Networks в режиме наблюдения. При этом рекомендуется регулярно оценивать защищенность и работоспособность инфраструктуры промышленной сети с помощью следующих частей функциональности программы: