Кибербезопасность устройств SIPROTEC 5

Компания Siemens опубликовала рекомендации по обеспечению информационной безопасности в системах РЗА и АСУ ТП, реализуемых на основе микропроцессорных устройств серии SIPROTEC 5. Документ носит название «SIPROTEC 5 Application Note. Communication Architecture Under Cyber Security Aspects».

Помимо общих рекомендаций по обеспечению информационной безопасности, в документе содержится описание программных средств защиты, реализованных в микропроцессорных устройствах РЗА серии SIPROTEC 5.

Так, отмечается, что устройства работают на операционной системе VxWorks, под которую не распространено вирусное программное обеспечение – соответственно, в рамках этой ОС не применяются антивирусы. Также отмечается, что в каждом устройстве реализован брэндмауэр для обеспечения защиты от атак по коммуникационных интерфейсам устройства. Он находится во включенном состоянии по умолчанию.

Обычно для установления соединения и загрузки параметров уставок в устройство из настроечного программного обеспечения DIGSI требуется ввод пароля. Теперь пароль должен удовлетворять требованиям стандарта NERC CIP-007-4: он должен содержать не менее 6 символов и являться комбинацией чисел, букв и специальных символов.

Также в устройствах серии SIPROTEC 5 теперь реализован специальный журнал событий, регистрирующий не успешные попытки авторизации с использованием неправильного пароля, факты успешной/неуспешной смены пароля и др. После 3 последовательных не успешных попыток ввода пароля доступ к устройству блокируется на 5 минут. Пользователь не может очистить содержимое данного журнала событий. Также стоит отметить, что все перечисленные выше события могут быть переданы в систему АСУ ТП подстанции, как и любой другой формируемый устройством сигнал.

DIGSI5

Еще одно нововведение – различные роли пользователей с различным уровнем доступа (право на изменение значение уставок функций РЗА и чтение данных с устройства, право на оперирование коммутационными аппаратами с учетом текущего состояния оперативных блокировок, право на оперирование коммутационными аппаратами без учета текущего состояния оперативных блокировок и т.д.).

Что касается передачи данных по протоколам стандарта МЭК 61850 – то все остается как прежде. GOOSE-сообщения формируются/принимаются без цифровой подписи, сообщения по протоколу MMS передаются без использования механизма TLS (в соответствии с МЭК 62351).

Цифровая подстанция

(close)

 

Цифровая подстанция

(close)

Имя пользователя должно состоять по меньшей мере из 4 символов

Внимательно проверьте адрес электронной почты

Пароль должен состоять по меньшей мере из 6 символов

 

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: