Загрузка, обработка и контроль конфигураций устройств и тегов с поддержкой протоколов стандарта IEC 61850

Технологии для анализа трафика промышленной сети, используемые в Kaspersky Industrial CyberSecurity for Networks, позволяют получать основные сведения о параметрах и взаимодействиях устройств с поддержкой протоколов стандарта IEC 61850: IEC 61850-8-1 (GOOSE, MMS). Однако для получения и сохранения в программе наиболее полных данных об этих устройствах, включая теги в их исходном структурном виде, рекомендуется загружать в программу содержимое файлов, подготовленных в соответствии со стандартом IEC 61850-6. Загрузка содержимого таких файлов выполняется путем импорта проектов для устройств IEC 61850.

При импорте проекта для устройств IEC 61850 Kaspersky Industrial CyberSecurity for Networks проверяет синтаксис и формат содержимого файлов проекта, а также анализирует конфигурации устройств в проекте на соответствие требованиям и рекомендациям стандарта IEC 61850. После успешного импорта проекта программа анализирует трафик на соответствие импортированной конфигурации. При обнаружении в трафике взаимодействий, которые являются отклонениями от сохраненной конфигурации (взаимодействия устройств или передаваемые параметры не соответствуют описаниям в конфигурации), программа регистрирует события.

Таким образом, за счет встроенных средств обработки и контроля конфигураций устройств IEC 61850, вы можете использовать Kaspersky Industrial CyberSecurity for Networks и как программу для защиты от угроз информационной безопасности, и как инструмент проверки файлов с описаниями конфигураций. По данным из файлов программа позволяет выявлять ошибки и недочеты проектирования комплексов устройств IEC 61850. Устранять выявленные ошибки и недочеты проектирования вы можете поэтапно.

Поддерживаемые типы проектов и модули обработки протоколов обновляются вместе с обновлениями баз и программных модулей. Для использования всех возможностей, поддерживаемых программой для анализа конфигураций устройств и анализа трафика по протоколам IEC 61850, вам нужно установить обновления.

Сценарий приведения проекта в соответствие со стандартом IEC 61850 состоит из следующих этапов:

  1. Импорт проекта для устройств IEC 61850 в Kaspersky Industrial CyberSecurity for Networks

    На этом этапе вам нужно выполнить импорт проекта для устройств IEC 61850. Конфигурации устройств в импортируемом проекте должны быть описаны на языке SCL (System Configuration Language) и сохранены в одном или нескольких файлах, применяемых по стандарту IEC 61850. Для импорта этого типа проекта поддерживаются следующие типы файлов SCL: *.SCD, *.CID, *.ICD.

    По окончании процесса импорта программа предоставляет возможность просмотра отчета о результатах. Для просмотра отчета вам нужно открыть список фоновых операций с помощью кнопки Пиктограмма в виде стрелки, направленной в лоток. в меню веб-интерфейса программы и нажать на кнопку Вывести отчет после завершения процесса импорта.

    Если в процессе проверки и анализа импортируемого файла обнаружены ошибки или недочеты (несоответствия), сведения о них отображаются в окне отчета в следующих разделах:

    • Ошибки синтаксиса и формата.
    • Несоответствия стандарту (выводится не более 100 обнаруженных несоответствий).

    Если окно отчета не содержит ни одного из указанных разделов, вы можете перейти к выполнению этапа 3. Иначе внимательно ознакомьтесь со списками ошибок и несоответствий в окне отчета и перейдите к выполнению этапа 2.

  2. Устранение ошибок и несоответствий по отчету об импорте

    Ошибки и несоответствия, обнаруженные при импорте, различаются по своей значимости. Некоторые ошибки (например, ошибки синтаксиса разных ревизий) приводят к невозможности загрузки файла и блокируют импорт всего содержимого проекта. Другие ошибки и несоответствия могут быть обусловлены как логическими ошибками в импортируемом проекте, так и особенностями настройки используемого оборудования (если эксплуатационные возможности оборудования позволяют задавать для него параметры без соблюдения определенных рекомендаций по применению стандарта IEC 61850). Для таких ошибок и несоответствий программа выводит соответствующие предупреждения в отчете об импорте.

    После ознакомления со списками ошибок и несоответствий, обнаруженных при импорте, вам нужно принять решение о необходимых доработках в проекте. Для устранения ошибок и несоответствий используйте соответствующие программные инструменты.

    Если вы выполнили какие-либо доработки или дополнения в проекте, сохраните файлы проекта и повторно выполните этап 1 для импорта обновленных файлов. Если доработки проекта не требуются, перейдите к выполнению этапа 3.

  3. Проверка объектов, созданных в Kaspersky Industrial CyberSecurity for Networks в результате импорта проекта

    На этом этапе вам нужно проверить изменения в программе после импорта и при необходимости выполнить дополнительные действия с объектами в программе.

    При наличии в импортированном проекте соответствующих данных программа выполняет следующие действия:

    • добавляет новые устройства (или обновляет существующие устройства) с указанием адресной информации участников сетевых взаимодействий;
    • добавляет параметры контроля процесса для устройств и сохраняет в этих параметрах:
      • отслеживаемые системные команды;
      • подписки и блоки данных для протоколов MMS и GOOSE;
    • добавляет теги протоколов MMS и GOOSE в исходном структурном виде тегов;
    • формирует правила контроля взаимодействий на основе информации об устройствах в импортируемой конфигурации.

    Для тегов в структурном виде невозможно задать правила контроля процесса с заданными условиями для отслеживания значений. Если вы хотите проверять значения тегов с помощью программы, вы можете использовать для этого правила с Lua-скриптами.

  4. Отслеживание событий, регистрируемых при обнаружении в трафике отклонений от сохраненной конфигурации

    С использованием сохраненной конфигурации программа анализирует трафик промышленной сети. При обнаружении в трафике взаимодействий, которые являются отклонениями от сохраненной конфигурации (взаимодействия устройств или передаваемые параметры не соответствуют описаниям в конфигурации), программа регистрирует события по технологиям Контроль целостности сети и Контроль системных команд.

    При анализе взаимодействий по протоколу IEC 61850: GOOSE программа регистрирует события в следующих случаях:

    • обнаружены несоответствия MAC-адресов источников и получателей сообщений;
    • обнаружены заводские конфигурации (одинаковый идентификатор goID в сообщениях GOOSE);
    • обнаружены повторяющиеся имена/адреса;
    • обнаружены несоответствия версий ConfRev;
    • обнаружены несоответствия статусов сообщений GOOSE;
    • обнаружены несоответствия основных параметров в пакетах сообщений GOOSE;
    • обнаружены несоответствия параметров качества сигнала;
    • обнаружены несоответствия в последовательности передачи сообщений;
    • обнаружено сообщение GOOSE от неописанного устройства;
    • обнаружено неописанное сообщение GOOSE от описанного устройства;
    • обнаружены изменения структуры пакета данных в сообщении GOOSE;
    • обнаружены несоответствия в использовании идентификатора VLAN в сообщениях GOOSE;
    • обнаружены несоответствия значений тегов созданным правилам контроля процесса.

    При анализе взаимодействий по протоколу IEC 61850: MMS программа регистрирует события в следующих случаях:

    • обнаружены несоответствия IP- или MAC-адресов (с учетом взаимодействий через маршуртизаторы);
    • обнаружены повторяющиеся имена/адреса;
    • обнаружены несоответствия версий ConfRev;
    • обнаружены несоответствия в последовательности выполнения системных команд;
    • обнаружены несоответствия значений тегов созданным правилам контроля процесса;
    • обнаружены несоответствия методов подключения клиента к серверу (чтение/запись или по подписке).

    Длительность этапа отслеживания событий зависит от частоты взаимодействий устройств и изменений режимов работы в рамках технологического процесса. Если, по вашим оценкам, все контролируемые устройства выполнили свои предусмотренные операции и при этом в программе не зарегистрированы события по вышеперечисленным причинам, сценарий приведения проекта в соответствие со стандартом IEC 61850 можно считать завершенным. Иначе, в случае регистрации событий, перейдите к выполнению этапа 5.

  5. Донастройка проекта для устранения отклонений от сохраненной конфигурации

    При расследовании причин регистрации событий в первую очередь проверяйте отсутствие угроз информационной безопасности и отсутствие нарушений технологического процесса.

    После того, как вы убедитесь, что события были зарегистрированы из-за ошибок или несоответствий в сохраненной конфигурации, вам нужно принять решение о необходимых доработках в проекте. Для устранения ошибок и несоответствий используйте соответствующие программные инструменты.

    Если вы выполнили какие-либо доработки в проекте, сохраните файлы проекта и повторно выполните этапы данного сценария, начиная с этапа 1.

После выполнения всех действий для приведения проекта в соответствие со стандартом IEC 61850 вы можете использовать все функции Kaspersky Industrial CyberSecurity for Networks в режиме наблюдения. При этом рекомендуется регулярно оценивать защищенность и работоспособность инфраструктуры промышленной сети с помощью следующих частей функциональности программы:

В начало