Post on 29-Jan-2021
Spis treści
FDIR – PRZEZNACZENIE I CELOWOŚĆ WDROŻENIA W OSD ........................................................................................ 3
KRZYSZTOF KALUSIŃSKI
MICROBEL - ZAAWANSOWANE STEROWNIKI SIECI SN ............................................................................................ 10
KRZYSZTOF KALUSIŃSKI
BEZPIECZEŃSTWO IT JAKO WAŻNE OGNIWO OCHRONY INFRASTRUKTURY KRYTYCZNEJ ......................................... 24
TOMASZ DĄBROWSKI
BEZPIECZEŃSTWO INFORMATYCZNE URZĄDZEŃ PRODUKCJI APATOR ELKOMTECH ................................................ 42
KRZYSZTOF SZANIAWSKI, ROMAN TRAWIŃSKI
RSU – NOWA PLATFORMA STEROWNIKÓW APATOR .............................................................................................. 52
ROMAN TRAWIŃSKI, ADAM KACZOROWSKI
BADANIE PALNOŚCI TWORZYW SZTUCZNYCH STOSOWANYCH W APARATACH ELEKTRYCZNYCH NA PRZYKŁADZIE
ROZŁĄCZNIKÓW BEZPIECZNIKOWYCH LISTWOWYCH IZOLACYJNYCH NISKIEGO NAPIĘCIA ....................................... 59
MIROSŁAW SCHWANN
MONITORING ROZDZIELNICY NN 4GRID INSPECT NA BAZIE NOWYCH ROZŁĄCZNIKÓW TYPU SMARTARS PRO,
ASPEKTY BHP PRZY OBSŁUDZE I MONTAŻU ............................................................................................................ 87
ŁUKASZ MELKOWSKI
LICZNIK SMARTESOX – BILANSOWANIE, MONITOROWANIE JAKOŚCI ENERGII I AWARII W SIECI .............................. 92
CEZARY MIKOWSKI
Apator Elkomtech SA przysługuje całość praw autorskich oraz praw własności przemysłowej do przekazanych
materiałów. Przekazanie lub udostępnienie przez Apator Elkomtech SA jakichkolwiek materiałów szkoleniowych nie
stanowi podstawy przeniesienia ani udzielenia użytkownikowi jakichkolwiek praw do takich materiałów,
w szczególności autorskich praw majątkowych ani praw do egzemplarza tych materiałów. Jest niedozwolone
zwielokrotnianie materiałów; wprowadzanie do obrotu, użyczenie lub najem oryginału albo egzemplarzy; wystawianie,
wyświetlenie, a także publiczne udostępnianie materiałów w taki sposób, aby każdy mógł mieć do niego dostęp
w miejscu i w czasie przez siebie wybranym.
FDIR – przeznaczenie i celowość wdrożenia w OSD
Krzysztof Kalusiński
Wprowadzenie przez Urząd Regulacji Energetyki nowego modelu regulacji działania - regulacji jakościowej
- niesie za sobą konieczność realizacji ściśle sprecyzowanych celów. Jednym z nich - prócz wzrostu
efektywności, poprawy jakości obsługi klienta, czy racjonalizacji zużycia energii elektrycznej - jest
zapewnienie ciągłości i niezawodności dostaw energii elektrycznej, przekładające się na poprawę
i uzyskanie najwyższych z możliwych parametrów jakościowych pracy sieci dystrybucyjnej.
1. System odbudowy zasilania SN
W realizację poprawy parametrów pracy sieci SN idealnie wpisuje się system odbudowy zasilania FDIR
(Fault Detection Isolation and Restoration), stanowiący jeden z elementów kompleksowego systemu
automatyzacji pracy sieci i obsługi awarii realizowanego przez Apator Elkomtech. Główną cechą systemu
FDIR jest przede wszystkim znaczące skrócenie czasu trwania, a także ograniczenie obszaru występowania
przerw w dostawie energii elektrycznej. Dzięki ograniczeniu do minimum obszarów trwale pozbawionych
zasilania, w automatyczny i skuteczny sposób poprawiane są współczynniki niezawodnościowe sieci SAIDI
i SAIFI.
Algorytm automatyki FDIR automatycznie lokalizuje i izoluje uszkodzony odcinek linii SN, otwierając
w stanie beznapięciowym odpowiednie łączniki znajdujące się w głębi sieci (np. rozłączniki, odłączniki), po
czym automatycznie przywraca zasilanie nieuszkodzonych fragmentów sieci przez zamknięcie łączników
w punktach podziału.
Najważniejsze cechy systemu odbudowy zasilania Apator Elkomtech:
A. Elastyczność wdrożenia
Architektura modułu pozwala na realizację systemu odbudowy zasilania dla różnych obszarów sieci
dystrybucyjnej średniego napięcia pod względem:
Rodzaju sieci (napowietrzna, kablowa, mieszana)
Geograficznego obszaru obejmowania - od jednej do kilkudziesięciu linii
Ilościowego - od kilku do kilkudziesięciu stacji
Sposobu uziemienia punktu neutralnego sieci (uziemiona, skompensowana, izolowana)
System odbudowy zasilania SN Apator Elkomtech może uwzględniać wszelkie zainstalowane już w sieci
urządzenia m.in. wskaźniki zwarć, łączniki zdalnie sterowane, wskaźniki obecności napięcia itd. dzięki
czemu jego wdrożenie jest prawdopodobnie najbardziej ekonomicznym rozwiązaniem na rynku.
B. Uniezależnienie od producentów urządzeń
Z uwagi na fakt, że rozwiązanie oparte jest na systemie informatycznym, a nie na rozwiązaniu sprzętowym,
jak u niektórych dostawców, jest ono niezależne od wyboru producenta urządzeń automatyki
zastosowanych na sieci. Pozwala to w przyszłości na uniknięcie uzależnienia się klienta od jednego
producenta urządzeń.
C. Bezpieczeństwo wdrożenia
Moduł automatyki FDIR stanowi integralną część systemu dyspozytorskiego WindEx - dzięki czemu
wdrożenie nie wymaga niebezpiecznej, a w wielu przypadkach również kosztownej integracji z systemem
SCADA. Takie podejście gwarantuje szybkie i pewne wdrożenie automatyki FDIR na dowolnym
wytypowanym obszarze sieci SN.
D. Przejrzystość i łatwość obsługi + pełna kontrola pracy
Działanie modułu automatyki FDIR w systemie dyspozytorskim pozwala na pełną i szybką ocenę
(diagnostykę) stanu pracy algorytmu. Działaniu algorytmu towarzyszy pełny zapis zdarzeń w dzienniku
dyspozytorskim (z odpowiednim oznaczeniem - dla rozróżnienia zdarzeń wynikających z działania FDIR).
E. Bezpieczeństwo pracy
Algorytm działania FDIR wykorzystuje wszelkie dostępne i ważne sygnały, mogące mieć wpływ na
bezpieczeństwo pracy ludzi (np. prace brygad w sieci, założenie uziemników, zmostkowania itd.), a także
bezpieczeństwo pracy sieci (np. sygnały niskiego ciśnienia gazu SF6, rozładowania akumulatorów, braku
łączności z obiektami, blokady stanów łączników w systemie itd.).
Dodatkowo system dyspozytorski nadzoruje realizację każdego z kolejnych przełączeń w sieci, zapewniając
bezpieczeństwo i jednoznaczność sterowań, możliwość ciągłego nadzoru oraz weryfikacji, a także
ingerencji w pracę algorytmu
F. Pełna integracja z systemem nadzoru WindEx
Moduł automatyki FDIR jest w pełni zintegrowany z systemem dyspozytorskim WindEx. Dzięki takiemu
podejściu uzyskuje się maksymalną szybkość działania, wykorzystanie standardowego interfejsu
użytkownika, skalowalność rozwiązania oraz pełną archiwizację podjętych działań, analogicznie jak
w systemie WindEx.
2. Wdrożenia automatyki FDIR
Apator Elkomtech we współpracy z krajowymi OSD może pochwalić się kilkoma wdrożeniami tego typu
algorytmu w systemie dyspozytorskim na szerokim obszarze sieci dystrybucyjnej. Zrealizowane projekty
stanowią jeden z kroków realizacji celów regulacji jakościowej.
Przykład (patrz Załącznik 1, Rys.1.)
Obszar wdrożenia automatyki, wybrany przez zamawiającego, obejmuje 2 linie napowietrzno-kablowe
średniego napięcia (zasilane z 2 niezależnych punktów zasilania GPZ) zawierające łącznie 15 jedno- lub
wielo- rozłącznikowych stacji SN oraz kilkanaście stacji wyposażonych jedynie we wskaźniki przepływu
prądu zwarciowego - przygotowanych do dalszej rozbudowy systemu. Do komunikacji sterowników w głębi
sieci z systemem dyspozytorskim wykorzystywana jest łączność radiowa w technologii GSM/3G.
3. Kluczowe elementy wpływające na efektywność pracy systemu automatyki
FDIR
A. Łączność
Jest to jeden z najistotniejszych czynników, które mają wpływ na poprawną pracę automatyki. Pewność
dostarczenia informacji jest kluczowa dla bezawaryjnej pracy układu. W przypadku zbyt długiego
transportowania informacji o przepływie prądu zwarciowego, albo wręcz jej braku, można doprowadzić
do błędnej oceny stanu sieci. W konsekwencji automatyka się zablokuje albo, w najlepszym razie, nie
wykona pełnego cyklu działania.
Należy pamiętać o tym, że automatyka może być pobudzana również w czasie awarii masowych. Zatem
jest szczególnie istotnym, by kanały telemechaniki, którymi jest przekazywana informacja o stanie sieci
były drożne w tym czasie. Takie kryterium wydaje się być spełnione dla prywatnej łączności radiowej (np.
TETRA, NETMAN itp.), czy też łączności z wykorzystaniem sieci Ethernet (Rys.2).
Łączność GSM jest bardziej podatna na efekty przepełnienia, gdyż w czasie awarii zwiększa się liczba
jednocześnie prowadzonych rozmów na danym obszarze, co powoduje trudności w przesłaniu innych
rodzajów danych.
Rys. 2. Ideowy schemat powiązań urządzeń w automatyce FDIR
B. Telemechanika stacji wnętrzowych i punktów rozłącznikowych SN
Kolejny z najistotniejszych czynników, które mają wpływ na efektywność pracy automatyki FDIR - i jeden
z elementów najbardziej wpływających na realizację założeń regulacji jakościowej.
Największe zmniejszenie współczynników niezawodności sieci SAIDI oraz SAIFI jest możliwe do osiągnięcia
poprzez wydzielenie możliwie jak najmniejszego obszaru zwarcia, przywracając zasilanie na pozostałych
odcinkach sieci. Aby to uzyskać, konieczne jest nasycenie sieci stelemechanizowanymi łącznikami SN,
zintegrowanymi ze wskaźnikami przepływu prądu zwarcia.
O ile instalacja wskaźników zwarć bez łączników zdalnie sterowanych (np. na liniach napowietrznych) może
w pewnym stopniu wpłynąć na obniżenie współczynnika SAIDI (szybsze i łatwiejsze odnalezienie miejsca
zwarcia przez brygadę pogotowia energetycznego), o tyle ma niewielki wpływ na obniżenie współczynnika
SAIFI (brak możliwości rekonfiguracji sieci
C. Wskaźnik zwarcia
Niezbędnym elementem poprawnego działania automatyki FDIR jest otrzymanie z głębi sieci pewnej
i spójnej informacji o przepłynięciu prądu zwarciowego.
W tym celu konieczny jest odpowiedni dobór wskaźników zwarć do typu sieci oraz ich poprawna nastawa.
Należy mieć świadomość, że nastawy wskaźników zwarć są obliczane dla układu normalnego pracy sieci -
zatem każda zmiana układu (czy to spowodowana działaniem automatyki, czy operacją dyspozytora) wiąże
się z konieczną weryfikacją nastaw wskaźników zwarć i w razie konieczności ich zmianą w urządzeniu.
Cechy wskaźników zwarć wpływające na efektywność pracy oraz łatwość wdrożenia i eksploatacji
automatyki FDIR:
Pomiar wartości elektrycznych U oraz I - oraz ich przesyłanie do systemu SCADA (niezbędne dla
realizacji dynamicznej automatyki FDIR)
Wielokryterialność - kryteria wskaźnika zwarć odpowiednio dopasowane do sposobu pracy sieci
SN (izolowana, uziemiona przez rezystor, skompensowana) - kryteria nadprądowe,
ziemnozwarciowe, admitancyjne, ziemnozwarciowe kierunkowe itd.
Możliwość zdalnej zmiany nastaw kryteriów wskaźnika zwarć (z dokładnością do 1-go
parametru)
Funkcja rejestratora zakłóceń - dla analizy poprawności nastaw i działania wskaźnika
Możliwość wykonania zdalnego testu zadziałania + zdalne kasowanie zadziałania wskaźnika
Z tego też względu Apator Elkomtech stworzył nową gamę sterowników - microBEL - realizujących funkcje
sterowników telemechaniki i wskaźników przepływu prądu zwarciowego - idealnie dostosowaną do
współpracy z automatyką FDIR.
D. Punkty podziału sieci - zasilanie awaryjne
Dla efektywnej i pełnej (Fault Detection, Isolation and Restoration) pracy systemu odbudowy zasilania
ważna jest możliwość zasilenia odizolowanych od zwarcia odcinków sieci poprzez punkty podziału sieci.
Im więcej jest punktów zasilania awaryjnego, tym bardziej efektywnie (np. pod względem możliwości
przejęcia obciążenia) algorytm automatyki FDIR może przywrócić zasilanie na zdrowych odcinkach sieci.
W przypadku, gdy punktów podziału sieci jest mało bądź wcale (linia promieniowa) system może
realizować jedynie funkcje detekcji i izolacji miejsca zwarcia (Fault Detection and Isolation), pozostawiając
niezasilone zdrowe odcinki danej linii/sieci.
E. Typy łączników
Z punktu widzenia działania automatyki nie ma znaczenia typ/rodzaj stosowanego łącznika. Krytyczny jest
czas dostarczenia informacji o zmianie stanu po wysłaniu polecenia sterowniczego. Istnieje możliwość
dostosowania tego czasu indywidualnie dla każdego rodzaju łącznika (np. odłącznik, rozłącznik, reklozer).
Natomiast z punktu widzenia bezpieczeństwa pracy sieci i aparatury elektroenergetycznej ogromny wpływ
ma zastosowanie reklozerów w jednym ciągu liniowym SN. Zwiększanie ilości tych aparatów - przy
jednoczesnym zachowaniu selektywności działania - znacząco wpływa na wydłużenie czasu zadziałania
zabezpieczeń w GPZ.
4. Podsumowanie
Moduł automatyki FDIR w systemie dyspozytorskim WindEx opracowany przez Apator Elkomtech w pełni
wpisuje się w możliwość realizacji przez OSD elementów regulacji jakościowej.
Wdrożenia i testy wykonane u kilku OSD potwierdzają zasadność stosowania automatyki FDIR w liniach
średniego napięcia (napowietrznych, kablowych, mieszanych).
Przejrzystość działania systemu odbudowy zasilania połączona z zapewnieniem niezbędnego
bezpieczeństwa pracy ludzi i sieci energetycznej daje możliwość pewnej, autonomicznej pracy, dzięki
której w znaczącym stopniu zostają poprawione współczynniki jakościowe SAIDI i SAIFI.
Istnieje jednak wiele elementów znacząco wpływających na efektywność oraz poprawność pracy modułu
automatyki FDIR:
Pewna, niezakłócona i szybka łączność
Stopień stelemechanizowania stacji wnętrzowych
punktów rozłącznikowch SN
Wskaźniki zwarć, ich odpowiedni dobór i nastawy
Wielowariantowość przywrócenia zasilania poprzez punkty podziału sieci
Odpowiedni dobór aparatów w sieci
System jest tak doskonały - jak jego najsłabsze ogniwo.
Załącznik 1.
Rys. 1. Przykład - Obszar wdrożenia automatyki FDIR
MicroBEL - zaawansowane sterowniki sieci SN
Krzysztof Kalusiński
Rozwój technologii internetowych i zaawansowanych sieci teleinformatycznych - w coraz większym
stopniu wykorzystywany w nowoczesnej infrastrukturze elektroenergetycznej - daje niesamowite
możliwości wykorzystania, adaptacji oraz integracji rozwiązań, wymagając przy tym zupełnie nowego,
całościowego spojrzenia na bezpieczeństwo pracy sieci elektroenergetycznych.
Zagrożenia płynące z coraz szerszego wykorzystania sieci informatycznych, co pokazują ostatnie
wydarzenia związanie z cyberatakami, stawiają bezpieczeństwo informatyczne w pozycji czynnika
strategicznego, warunkującego poprawną pracę infrastruktury energetycznej.
W związku z ciągłym rozwojem naszej linii produktowej pragniemy przedstawić Państwu nową linię
urządzeń, rozszerzającą grupę małych sterowników telemechaniki, wskaźników przepływu prądu zwarcia
i koncentratorów komunikacyjnych - microBEL - zapewniającą pełne bezpieczeństwo sieciowe,
wykorzystywane w najnowocześniejszych systemach energetycznych.
1. Rodzina produktów microBEL
MicroBEL jest rodziną produktów zaprojektowaną w celu zapewnienia dużo większych możliwości
funkcjonalnych i konfiguracyjnych w stosunku do znanej Państwu rodziny mBEL
- która sukcesywnie będzie zastępowana nową rodziną urządzeń microBEL.
W związku z tym urządzenia te oparte są o nową platformę sprzętową. Dzięki zastosowaniu procesora
o dużej mocy obliczeniowej, skalowalnemu podsystemowi wejść/wyjść i pomiarów oraz bogatej
funkcjonalności konfiguracyjnej - urządzenia microBEL charakteryzują się dużą elastycznością
zastosowania, idącą w parze z wysoką dokładnością i pewnością działania.
Rodzina produktów microBEL jest dostosowana do wymagań bezpieczeństwa informatycznego stawianych
najnowocześniejszym systemom IT, wspierających metody zabezpieczenia połączeń i szyfrowania danych.
2. Budowa, konstrukcja microBEL
MicroBEL jest urządzeniem modułowym, co zapewnia dużą elastyczność zastosowania oraz wygodę
użytkowania. Dedykowane moduły wejść/wyjść binarnych oraz pomiarów analogowych pozwalają na
kompleksową obsługę szerokiej gamy spotykanych na rynku wielopolowych rozdzielni wnętrzowych czy
punktów wielorozłącznikowych sieci SN.
Rys.1 - Widok urządzenia microBEL.
Porty komunikacyjne
MicroBEL wyposażony jest w maksymalnie 5 portów komunikacyjnych:
Ethernet 10/100Base-Tx
1xRS232 - do podłączenia zewnętrznego radiomodemu
2xRS422/485 - do podłączenia urządzeń podrzędnych
Wbudowany modem GSM/3G
Znaczącą zmianą w stosunku do poprzednika (serii mBEL) jest wykorzystanie jako kanału diagnostycznego
- portu USB-B - znacznie ułatwiającego i przyspieszającego prace konfiguracyjne i parametryzacyjne
urządzenia.
Pakiety wejść / wyjść / pomiarów
Jedno urządzenie może być wyposażone w maksymalnie 6 pakietów, w skład których mogą wchodzić:
Pakiety BI (standardowo 26 wejść sygnalizacyjnych 24VDC w 1-nym pakiecie)
Pakiety BO (standardowo 8 wyjść sterowniczych w 1-nym pakiecie)
Pakiety AI (pakiety analogowe 4I, 4U)
3. Warianty urządzeń rodziny microBEL
Rodzina urządzeń microBEL została podzielona na kilka głównych grup funkcjonalnych:
1) Sterowniki telemechaniki z funkcją wskaźników zwarć dla rozdzielnic wnętrzowych SN
microBEL_Sx (sukcesywnie zastępujące urządzenia grupy mBEL_Sx)
Sterowniki microBEL_Sx przeznaczone są do obsługi rozdzielnic wnętrzowych SN wyposażonych
w przekładniki prądowe i napięciowe umożliwiające pomiar prądów i napięć fazowych w kilku polach
SN. Sterownik na podstawie pomiarów realizuje funkcje wykrywania zwarć doziemnych
i międzyfazowych w sieciach o dowolnym sposobie pracy punktu neutralnego sieci.
Router AMI
Centrum nadzoru
DNP3, IEC 60870-5-104
Komunikacja
Diagnostyka
Sterowanie
Sygnalizacja
Zabezpieczenia / Pomiary
microBEL_2W_SxxG
Sieć
radiowa
TETRA
3GPP
Modem TETRA nn
Rozdzielnia SN/nn
SN
3xI 3xU
Sterowniki microBEL_Sx mogą prowadzić jednoczesną komunikację wykorzystując:
Sieć radiową TETRA - poprzez port szeregowy dedykowany dla radiomodemu
Sieć radiową 3GPP - poprzez wbudowany modem GSM/3G
Sieć Ethernet 100Base-Tx - do komunikacji z routerem AMI
Warianty urządzeń tej grupy rozróżniamy ze względu na:
a) Rodzaj zastosowanych układów pomiarowych prądu i napięcia
b) Rodzaj i ilość wskaźników zwarć
A) Układy pomiarowe obsługiwane przez urządzenia microBEL:
- pomiar prądów
CRR 1-50
DPZ_PP100
KECA 80 D85
- pomiar napięć SMVS-UW1001/1002 sensART UNDERSENS 25 SMVS-UW1013 KEVA 24 Cxx
B) Ilość wskaźników zwarć
Urządzenia microBEL standardowo mają zaimplementowane od 1 do 4 wskaźników przepływu prądu
zwarcia.
Możliwe jest budowanie większych układów wskaźników zwarć (5 i więcej) - są to wtedy rozwiązania
dedykowane pod konkretny projekt ustalane indywidualnie.
Nazewnictwo
microBEL_1W_S31G oraz microBEL_2W_S31G
gdzie:
1W - oznacza 1 wskaźnik przepływu prądu zwarcia, 2W - 2 wskaźniki zwarcia
S31 - oznacza układ pomiarowy oparty o pomiar
- prądu z przekładników DPZ_PP100
- napięcia z sensorów napięciowych Zelisko SMVS-UM1001/1002/1013
lub sensART UNDERSENS 25
G - oznacza zabudowany modem GSM/3G
Opis wariantów urządzeń:
microBEL_1W_S31G
Podstawowe dane techniczne urządzenia:
- 26 wejść sygnalizacyjnych (24VDC)
- 8 wyjść sterowniczych
- 1 x pakiet analogowy do pomiaru:
pomiar 3If + Io - przekładniki DPZ_PP100
pomiar 3Uf + Uo (wyliczane) - sensory napięciowe Zelisko SMVS-UW1002/1013 lub sensART
UNDERSENS 25
dla realizacji kierunkowego wskaźnika zwarć w 1-nym polu SN.
Zastosowanie:
Rozdzielnice SN w konfiguracjach: TLL, LLL
microBEL_2W_S31G
Podstawowe dane techniczne urządzenia:
- 52 wejścia sygnalizacyjne (24VDC)
- 16 wyjść sterowniczych
- 2 x pakiet analogowy do pomiaru:
pomiar 3If + Io - przekładniki DPZ_PP100
pomiar 3Uf + Uo (wyliczane) - sensory napięciowe Zelisko SMVS-UW1002/1013 lub
sensART UNDERSENS 25
dla realizacji kierunkowego wskaźnika zwarć w 2-ch polach.
Zastosowanie:
Rozdzielnice SN w konfiguracjach: TLLL, LLL, LLLL
microBEL_3W_S31G
Sterownik microBEL_3W_S31G składa się z dwóch urządzeń połączonych ze sobą za pomocą portu
ETH.
Podstawowe dane techniczne urządzenia:
- 78 wejść sygnalizacyjne (24VDC)
- 24 wyjścia sterownicze
- 3 x pakiet analogowy do pomiaru:
pomiar 3If + Io - przekładniki DPZ_PP100
pomiar 3Uf + Uo (wyliczane) - sensory napięciowe Zelisko SMVS-UW1002/1013 lub
sensART UNDERSENS 25
dla realizacji kierunkowego wskaźnika zwarć w 3-ch polach.
Zastosowanie:
Rozdzielnice SN w konfiguracjach: TLLLL, LLL, LLLL
microBEL_4W_S31G
Sterownik microBEL_4W_S31G składa się z dwóch urządzeń połączonych ze sobą za pomocą portu
ETH.
Podstawowe dane techniczne urządzenia:
- 102 wejścia sygnalizacyjne (24VDC)
- 32 wyjścia sterownicze
- 4 x pakiet analogowy do pomiaru:
pomiar 3If + Io - przekładniki DPZ_PP100
pomiar 3Uf + Uo (wyliczane) - sensory napięciowe Zelisko SMVS-UW1002/1013 lub
sensART UNDERSENS 25
dla realizacji kierunkowego wskaźnika zwarć w 4-ch polach.
Zastosowanie:
Rozdzielnice SN w konfiguracjach: TLLLLL, LLLL, LLLLL
Warianty urządzeń:
Wariant urządzenia Ilość
BI
Ilość
BO
Ilość
wsk Pomiar prądu Pomiar napięcia
microBEL_1W_S31G 26 8 1
DPZ_PP100 SMVS-UW1001/1002/1013
lub sensART UNDERSENS 25
microBEL_2W_S31G 52 16 2
microBEL_3W_S31G 78 24 3
microBEL_4W_S31G 104 32 4
microBEL_1W_S71G 26 8 1
CRR 1-50 SMVS-UW1001/1002/1013
lub sensART UNDERSENS 25
microBEL_2W_S71G 52 16 2
microBEL_3W_S71G 78 24 3
microBEL_4W_S71G 104 32 4
microBEL_1W_S72G 26 8 1
CRR 1-50 KEVA 24 Cxx microBEL_2W_S72G 52 16 2
microBEL_3W_S72G 78 24 3
microBEL_4W_S72G 104 32 4
microBEL_1W_S82G 26 8 1
KECA 80 D85 KEVA 24 Cxx microBEL_2W_S82G 52 16 2
microBEL_3W_S82G 78 24 3
microBEL_4W_S82G 104 32 4
Lista dostępnych wariantów urządzenia na bieżąco aktualizowana na: www.apator.com
2) Sterowniki telemechaniki i wskaźniki zwarć dla napowietrznych punktów rozłącznikowych SN -
microBEL_SRS
Sterowniki microBEL_SRS przeznaczone są do obsługi rozłączników napowietrznych SN
w obudowie zamkniętej, które wyposażone są w przekładniki prądowe i napięciowe umożliwiające
pomiar prądów i napięć fazowych. Na tej podstawie sterownik realizuje funkcje wykrywania zwarć
doziemnych i międzyfazowych w sieciach o dowolnym sposobie pracy punktu neutralnego.
Sterowniki microBEL_SRS mogą prowadzić jednoczesną dwutorową komunikację
w sieciach radiowych wykorzystując:
Sieć radiową TETRA - poprzez port szeregowy dedykowany dla radiomodemu
Sieć radiową 3GPP - poprzez wbudowany modem GSM/3G
MicroBEL_SRS dostępny jest w 2 wariantach - obsługujących rozłącznik:
THO24/4-T1-B-D (ZPUE) SECTOS NXB/CVD (ABB)
Centrum nadzoru
DNP3, IEC 60870-5-104
Komunikacja
Diagnostyka
Sterowanie
I1 I2 I3
U1 U
2 U
3
Sygnalizacja
Zabezpieczenia
Automatyka
Pomiary
microBEL_SRS
Sieć radiowa
3GPP TETRA
Modem TETRA
Warianty urządzeń:
Wariant urządzenia Rozłącznik Ilość
BI
Ilość
BO Pomiar prądu Pomiar napięcia
microBEL_SRS_1W_010 THO24/4 26 8 Przekł. 1A Dzielnik poj. 21pF
microBEL_SRS_1W_011 SECTOS NXB 26 8 Przekł. 1A Dzielnik CVD
microBEL_SRS_1W_020 THO24/4 26 8 Cewka
Rogowskiego
PR-0,72S Dzielnik poj. 21pF
microBEL_SRS_2W_020 THO24/4 26 8 Cewka
Rogowskiego
PR-0,72S Dzielnik poj. 21pF
microBEL_SRS_3W_020 THO24/4 52 8 Cewka
Rogowskiego
PR-0,72S
Dzielnik poj. 21pF
Lista dostępnych wariantów urządzenia na bieżąco aktualizowana na: www.apator.com
4. MicroBEL - zaawansowane mechanizmy bezpieczeństwa informatycznego
Łączność z systemem nadzoru
Standardowo łączność z systemem SCADA prowadzona jest w protokole DNP3.0 lub IEC-60870-5-104. Dla
komunikacji w protokołach DNP i IEC-60870-5-104 można włączyć uwierzytelnianie oraz szyfrowanie
zgodne z IEC 62351-5:2013 (opcja). W przypadku problemów z nawiązaniem łączności sterownik może
mieć opcję wykonania automatycznego restartu. Komunikacja może być zabezpieczana wymienianymi
kluczami symetrycznymi, asymetrycznymi i certyfikatami w trybach: cyklicznym i na żądanie.
Zabezpieczanie komunikacji może też obejmować uwierzytelnianie wprowadzającego zmiany oraz
integralność informacji.
Certyfikaty, uwierzytelnianie, mechanizmy bezpieczeństwa - (opcja)
W podsystemie sieciowym sterownika można włączyć zaporę sieciową i ustawić odpowiednie strefy
i reguły blokowania ruchu. Łącze sieciowe sterownika może mieć włączone uwierzytelnienie zgodne z IEC-
62351 oraz ze standardem 802.1x, a także dla połączeń z systemem nadzoru.
Do uwierzytelniania serwera i klienta służą certyfikaty poświadczone przez pośredni urząd certyfikacji
Apator Elkomtech lub z określonego urzędu zewnętrznego. Przy wzajemnym uwierzytelnieniu
certyfikatami mogą być akceptowane tylko certyfikaty z dedykowanej gałęzi drzewa CA.
Automatyzacja wymiany certyfikatów może być realizowana poprzez serwer SCEP. W ramach usług
wymiany certyfikatów sygnalizowane są przekroczenia minimalnej długości ważności certyfikatów
zainstalowanych w urządzeniu przez SNMP oraz zarządzanie certyfikatami i kluczami prywatnymi oraz
publicznym i sterownika i wszystkich jego aplikacji.
Jest też możliwość zestawienia tunelu IPSec (IKE2, AES256, SHA1, DH14), pracy w trybie NAT-Traversal,
przekazania dodatkowego prefiksu do koncentratora VPN oraz zarządzania konfiguracją tunelu IPSec.
Tunel jest tworzony automatycznie przy uruchamianiu urządzenia (aplikacji) oraz w przypadku utraty
połączenia/tunelu.
Właściwości połączenia sieciowego
Sieciowy kanał komunikacyjny może mieć włączoną opcję zabezpieczeń TLS 1.2 z szyfrowaniem zgodnym
z normą IEC-62351-3. Interfejs sieciowy sterownika może mieć ustawione parametry ręcznie albo
dynamicznie pobrane z serwera DHCP. Można skonfigurować podstawowy i rezerwowy serwer DNS,
w którym sterownik będzie rejestrowany przez DDNS, w tym także po autokonfiguracji z DHCP lub
z uzyskanego adresu klienta VPN, zgodnie z RFC 1918 oraz RFC 1034 i RFC 1035.
5. Podsumowanie
Nowa linia urządzeń - microBEL - rozszerzająca grupę małych sterowników telemechaniki, wskaźników
przepływu prądu zwarcia i koncentratorów komunikacyjnych - microBEL - dzięki elastyczności
implementacji w nowych rozdzielnicach i łatwości doposażenia rozdzielni już istniejących może w znaczący
sposób wspomóc i ułatwić eksploatację sieci energetycznej.
Dzięki pełnemu opomiarowaniu i bogatej funkcjonalności - zapewniają pewnie i jednoznaczne
zlokalizowanie miejsca zwarcia zarówno w sieciach izolowanych, kompensowanych czy uziemionych, czym
wpływają na diametralną poprawę wskaźników niezawodnościowych sieci, a także oszczędności
wynikające z zarządzania pracami brygad ruchowych w terenie.
Najważniejsze cechy urządzeń microBEL:
Kompleksowa obsługa telesygnalizacji i telesterowań rozdzielnic wnętrzowych i rozłączników napowietrznych sieci SN
Funkcja kierunkowego wskaźnika przepływu prądu zwarcia Obsługa standardowych protokołów komunikacyjnych wykorzystywanych w energetyce
zawodowej Idealnie dopasowany do współpracy z automatyką FDIR
Mam nadzieję, ze nowa linia urządzeń Apator Elkomtech spełni Państwa oczekiwania, a jej użytkowanie
będzie satysfakcjonujące. Pozostajemy w gotowości do pomocy i udzielenia wszelkich informacji na temat
microBEL.
Zachęcam również do śledzenia nowości na naszej stronie internetowej www.apator.com
Bezpieczeństwo IT jako ważne ogniwo ochrony
infrastruktury krytycznej
Tomasz Dąbrowski
W czasach rosnącej potrzeby integracji, posiadania jak największej i jak najlepszej jakości informacji
o dostępnych zasobach, o posiadanym majątku, stanie sieci dystrybucyjnej, utrzymywanie separacji
systemów technologicznych od systemów korporacyjnych jest po prostu niemożliwe. Systemy klasy SCADA
nie są obecnie prostymi systemami do akwizycji sygnałów z obiektów (Data Acquisition), nadzoru nad nimi
(Supervisory) i ich kontroli (Control), a rozbudowanymi systemami do zarządzania, monitorowania,
automatycznej rekonfiguracji (FDIR), prognozowania i estymacji wyników obliczeń, które ułatwiają
znacznie pracę służb dyspozytorskich Operatorów Systemów Dystrybucyjnych w Polsce i na świecie. Aby
systemy te mogły spełniać wymienione wyżej role, muszą posiadać ogromną ilość danych, które pozyskują
z systemów np. majątkowych, ERP i innych, poprzez interfejsy i punkty styku między OT
i IT. Połączenie tych dotychczas rozdzielnych światów jest niezbędne, aby realizować zadania np.
optymalizacji kosztów, wykorzystania zasobów ludzkich, optymalizacji wyłączeń, a co za tym idzie,
ograniczania wskaźników SAIDI/SAIFI i innych parametrów Jakości Energii Elektrycznej. System WindEx,
jako system klasy SCADA umieszczony zwykle w tej wydzielonej sieci technologicznej uważany jest za
bezpieczny i wolny od cyberataków. Powszechność pamięci przenośnych (pendrive) używanych do
przenoszenia danych, zabezpieczania konfiguracji systemu, aktualizacji składników systemu, czy
zabezpieczania logów skutecznie zakłócają separacje systemów nadzoru od świata zewnętrznego
i narażają te systemy na cyberniebezpieczeństwa. Bezpieczeństwo systemu WindEx zapewniał także fakt,
iż zwykle serwery systemu są oparte o system operacyjny Linux uchodzący za bezpieczny, wymagający
dużej kultury informatycznej od obsługujących go ludzi, mniej popularny, a co za tym idzie mniej zagrożony
wirusami i innym szkodliwym oprogramowaniem. Obecnie system operacyjny Linux stał się tak
powszechny i tak znany, że te zalety, o których była mowa wcześniej już nie mają takiego znaczenia. Aby
w pełni wykorzystać zalety systemu Linux należy go odpowiednio skonfigurować i przygotować do
bezpiecznej pracy. Zalecenia do poprawnej konfiguracji systemu Red Hat Enterprise Linux można znaleźć
np. na stronie:
https://www.cert.gov.pl/cer/zalecenia-konfiguracyj/linux/29,Zalecenia-NSA-dla-systemu-operacyjnego-Red-Hat-Enterprise.html
Ustawa z dnia 26 kwietnia 2007 r. o Zarządzaniu Kryzysowym, a także Rozporządzenia Rady Ministrów nr
540, 541, 542 nakładają obowiązek monitorowania i dbania o bezpieczeństwo infrastruktury krytycznej,
czyli będącej w Państwa posiadaniu sieci elektroenergetycznej wraz z systemami umożliwiającymi
sterowanie stanem pracy sieci. Co to jest infrastruktura krytyczna i czy system WindEx się do niej zalicza?
Wspomniana wcześniej ustawa, artykuł 3, punkt 2, jako architekturę krytyczną wskazuje: systemy oraz ich
składowe powiązania międzyobiektowe, w tym obiekty budowlane, urządzenia, instalacje i usługi kluczowe
dla bezpieczeństwa państwa i jego obywateli oraz urządzenia służące do zapewnienia sprawnego
funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców. Infrastruktura
krytyczna obejmuje następujące systemy:
magazynowania oraz zaopatrzenia w energię, surowce energetyczne i paliwa łączności sieci teleinformatyczne bankowości oraz finansowe zaopatrzenia w żywność i wodę ochrony zdrowia transportowe ratownicze (policja, straż pożarna, pogotowie medyczne i inne pogotowia) zapewniające ciągłość działania administracji publicznej produkcji, składowania, przechowywania i stosowania substancji chemicznych
i promieniotwórczych, w tym rurociągi do transportu substancji niebezpiecznych
System WindEx, jako system zapewniający nadzór nad zaopatrzeniem w energię elektryczną oraz
działający w oparciu o sieć teleinformatyczną jest składnikiem infrastruktury krytycznej i dbałość o jego
bezpieczeństwo jest zadaniem priorytetowym. Zapewnienie wysokiego poziomu bezpieczeństwa IT jest
głównym ogniwem ochrony tej infrastruktury, która coraz częściej podlega cyberatakom zarówno
z zewnątrz, jak i z wewnątrz. Znane incydenty zakłócenia pracy systemów SCADA były dobrze
przygotowane, trwały długo w czasie i były skutkiem najczęściej wprowadzenia złośliwego
https://www.cert.gov.pl/cer/zalecenia-konfiguracyj/linux/29,Zalecenia-NSA-dla-systemu-operacyjnego-Red-Hat-Enterprise.htmlhttps://www.cert.gov.pl/cer/zalecenia-konfiguracyj/linux/29,Zalecenia-NSA-dla-systemu-operacyjnego-Red-Hat-Enterprise.html
oprogramowania do sieci wydzielonej z wewnątrz organizacji, a później dalsza część ataków była
realizowana z zewnątrz dzięki otwartym furtkom przez wprowadzone wcześniej oprogramowanie. Widać
więc, że dbałość o przestrzeganie procedur bezpieczeństwa, „dobre praktyki informatyczne”,
monitorowanie środowiska i sieci IT są skuteczną metodą pozwalającą wcześnie wykryć niepokojące
zjawiska i zapobiegać destabilizacji systemów krytycznych. Z biegiem lat liczba ataków na systemy
przemysłowe wyraźnie wzrasta, choć na pewno wiele z nich, zwłaszcza mających na celu szpiegostwo
przemysłowe, pozostaje w głębokim ukryciu. Patrząc na ewolucję działań cyberprzestępców, możemy być
jednak pewni, że będziemy słyszeć o podobnych incydentach coraz częściej. Dla firm oznacza to jedno –
najwyższy czas przyjrzeć się zabezpieczeniom swoich sieci technologicznych.
Potwierdzenie rosnącej liczby incydentów można dostrzec przeglądając: Raport o stanie bezpieczeństwa
cyberprzestrzeni RP w roku 2017.
Rys. 1. Liczba zarejestrowanych zgłoszeń oraz incydentów w poszczególnych kwartałach 2016 roku
Rys. 2. Liczba zarejestrowanych zgłoszeń oraz incydentów w poszczególnych kwartałach 2017 roku
Coroczny wzrost liczby incydentów:
Rys. 3. Liczba zarejestrowanych zgłoszeń oraz incydentów w latach 2015-2017
Zgłoszeń w 2016 r - 19954 Zgłoszeń w 2017 r - 28281 Faktycznych incydentów w 2016 - 9288 Faktycznych incydentów w 2017 - 5819
Z przytoczonych raportów wynika, że rośnie świadomość użytkowników i coraz więcej nakładów jest
przeznaczanych na rozwiązania zwiększające bezpieczeństwo. Zwiększanie poziomu bezpieczeństwa IT
staje się coraz ważniejsze i ma ono bezpośredni wpływ na poziom ochrony infrastruktury krytycznej.
Firma Apator Elkomtech SA wychodząc naprzeciw Państwa oczekiwaniom, pomaga wyznaczać
infrastrukturę krytyczną, przekazuje wytyczne do jej projektowania oraz tak konstruuje i wdraża
architekturę systemu WindEx, aby była on zgodna z najwyższymi wymaganiami bezpieczeństwa. Jedną
z metod ochrony infrastruktury krytycznej jest segmentacja sieci i separowanie warstw firewallami.
Zbudowanie systemu zgodnego z koncepcją podziału sieci na warstwy jest możliwe dzięki zastosowaniu
produktu OMS_Proxy, który jest pośrednikiem między warstwami sieci, zabezpiecza serwery WindEx OMS
przed bezpośrednim dostępem użytkowników z sieci biurowej, a jednocześnie umożliwia im korzystanie
z aplikacji WindEx OMS. Stosując ten produkt można zbudować system SCADA w następujących zalecanych
wariantach:
wariant, w którym serwery systemu WindEx CIM i WindEx OMS znajdują się bezpiecznej sieci technologicznej:
Rys. 4. Propozycja architektury – serwery systemu WindEx w bezpiecznej sieci operacyjnej
wariant, w którym serwery systemu WindEx CIM znajdują się w bezpiecznej sieci technologicznej, natomiast serwery WindEx OMS i serwery prezentacyjne WWW znajdują się w strefie DMZ.
Rys. 5. Propozycja architektury – serwery WindEx w bezpiecznej sieci operacyjnej, serwery OMS w DMZ
W tak zaprojektowanej infrastrukturze jest osadzony system WindEx, którego bezpieczeństwo podnosimy
zgodnie z zaleceniami NSA, pozbawiając administratora systemu WindEx (użytkownik sysex) najwyższych
uprawnień administracyjnych przynależnych do administratora systemu operacyjnego (root). Przydzielane
są użytkownikowi sysex minimalne uprawnienia. Użytkownik sysex może uruchamiać składniki systemu
WindEx, pozbawiony jest natomiast możliwości dokonywania zmian konfiguracji systemu operacyjnego
(np. zmiana adresów sieciowych serwera, zmiana konfiguracji usług systemowych itp.). Oddzielony jest
także katalog domowy użytkownika sysex, od katalogu roboczego systemu WindEx, dzięki czemu można
bardziej restrykcyjnie ustawić prawa dostępu do katalogów i plików systemu WindEx oraz zostają
uporządkowane pliki systemowe. Obydwa te katalogi są umieszczone na oddzielnej partycji niż system
operacyjny, gdyż prawo zapisu do nich ma użytkownik sysex, a nie tylko administrator (root). W systemie
operacyjnym zostają wyłączone usługi, które nie są potrzebne do działania systemu WindEx, a które mogą
stanowić potencjalne zagrożenie dla infrastruktury krytycznej. Są to np. usługi: telnet, bluetooth, rdp itp.
Konfiguracja sprzętowa serwerów także jest poddawana inspekcji. Wyłączane są w BIOS’ach serwerów:
możliwość uruchomienia systemu z dysków CD/DVD
możliwość uruchomienia systemu z pamięci przenośnej (USB)
dostęp do BIOS jest zabezpieczany hasłem
Każdy z użytkowników systemu WindEx klasy SCADA, jak i aplikacji WindEx OMS, musi zalogować się do
systemu w celu potwierdzenia swoich uprawnień. W systemie WindEx można wyróżnić dwie metody
uwierzytelniania użytkowników: za pomocą kart dostępu i/lub za pomocą loginu i hasła. We wszystkich
aplikacjach systemu WindEx obowiązuje mechanizm SSO (Single Sign On), który zapewnia jednokrotne
uwierzytelnienie do wszystkich aplikacji. W zależności od wdrożonej polityki bezpieczeństwa w Państwa
firmie, system logowania może pilnować zasad używania loginu i hasła takich jak:
długość hasła najmniej 8 znaków
co najmniej jedna wielka lub mała litera
jedna cyfra lub znak specjalny
zmiana hasła nie rzadziej, niż co np. 30 dni (administrator może wyłączyć z tej zasady wybranych użytkowników)
to samo hasło nie może być użyte w 10 kolejnych zmianach hasła
po 5 nieudanych próbach logowania następuje blokada konta użytkownika na 30 minut
i innych zasad wymaganych przez Państwa służby bezpieczeństwa
Zalogowany użytkownik jest jednoznacznie identyfikowany imieniem i nazwiskiem, a jakiekolwiek
czynności wykonywane w systemie są z nim powiązane. W logach systemowych znajdują się informacje
o każdej włożonej karcie, numerze terminala i o każdym logowaniu z użyciem hasła. Każdy z użytkowników
ma przypisane role, które jednoznacznie określają uprawnienia do działań w systemie WindEx. W ramach
ról można wyróżnić główne uprawnienia:
Dyspozytor – użytkownik uprawniony do prowadzenia ruchu w sieci elektroenergetycznej. Posiadający uprawnienia do zmiany układu sieci poprzez operacje makietowe (operacje, które nie
skutkują zmianą stanu łączników w terenie) oraz poprzez wydawanie poleceń sterowniczych, które wykonywane są przez urządzenia telemechaniki i powodują fizyczne zmiany stanów łączników. Ma on także dostęp do wszystkich rodzajów dzienników zdarzeń i list alarmowych, jakie występują w systemie.
Super dyspozytor – uprawnienie specjalne, przypisywane do karty kierownika zmiany, dające możliwość zmiany przydziału obszaru nadzorowanego przez dyspozytora bez konieczności wyrażenia zgody na objęcie dyżuru na przydzielonym obszarze.
Administrator – uprawnienie przypisywane do karty administratora systemu. Daje możliwość zarządzania systemem i zmiany sposobu jego działania. Daje dostęp do różnego rodzaju raportów specjalnych informujących o stanie systemu, stanie łączności z obiektami itp. Administrator może dodawać i odejmować użytkowników systemu, zmieniać ich uprawnienia, resetować hasło (bez możliwości podglądu obecnego hasła), wiązać dyspozytorów z obszarami, na których prowadzą ruch, zmieniać przypisanie obiektów do obszarów w aplikacjach OMS itp.
Edytor – użytkownik mający możliwość wprowadzania danych do systemu. Może między innymi wypełniać bazy danych tekstowe np. dane majątkowe, telefony ważnych odbiorców itp., edytować i tworzyć nowe arkusze kalkulacyjne, przygotowywać zestawienia pomiarów itd.
Ograniczony dostęp – użytkownik, który ma bardzo ograniczony dostęp w zasadzie może tylko oglądać schematy i korzystać z selektora stacji do wyszukiwania stacji na schemacie.
Dodatkowo możemy dostosowywać uprawnienia w ramach pokazanych grup z dokładnością do
możliwości wyświetlenia pojedynczego raportu, czy zawartości menu kontekstowego.
Podstawowym narzędziem pracy dyspozytorów i osób mających dostęp do systemu SCADA jest terminal
systemu, który łączy się do serwerów systemu WindEx i umożliwia ciągły nadzór nad stanem sieci.
Serwery systemu WindEx mogą znajdować i najczęściej znajdują się w innych lokalizacjach niż terminale
do nich podłączone. Terminale systemu WindEx pracują zwykle w wydzielonej sieci komputerowej, która
nie ma styku z siecią biurową lub jest od niej separowana przez firewall. Terminale systemu mogą łączyć
się do jednego, jak i do wielu serwerów systemu, co zapobiega brakowi nadzoru w przypadku awarii
któregoś z serwerów. Środowiskiem pracy terminala systemu WindEx jest komputer z systemem
operacyjnym Windows.
Mimo wydzielonej sieci, w której pracują terminale, firma Apator Elkomtech zaleca wprowadzić
uwierzytelnianie i szyfrowanie połączeń między terminalami a serwerami systemu WindEx a także
szyfrowanie i uwierzytelnianie połączeń między serwerami systemu. Apator Elkomtech uznaje za w pełni
bezpieczne dla systemu WindEx jedynie uwierzytelnianie obydwu stron połączenia. Dzięki zastosowaniu
uwierzytelniania połączeń zapewniamy bezpieczeństwo połączeń terminal-serwer i serwer-serwer, a także
zwiększamy odporność na ataki z wewnątrz sieci.
Dzięki uwierzytelnianiu połączeń zwiększone zostało bezpieczeństwo połączeń terminali mobilnych
pracujących poprzez połączenia VPN na laptopach i stacjach mobilnych.
Rys. 6. Połączenia szyfrowane terminali z serwerami systemu WindEx
Połączenia szyfrowane są realizowane zgodnie z protokołem TLS-1.2 (Transport Layer Security), dzięki
własnej implementacji, metoda jest odporna na luki zawarte w bibliotekach OPEN SSL, implementacja
zgodna jest standardem IEC 62356-3 i z zaleceniami z rozszerzenia: RFC 5246 7.4.1.4.1 i RFC 5746.
Wymiana kluczy realizowana za pomocą mechanizmów:
ECDHE - Elliptic-Curve Diffie–Hellman Ephemeral
DHE-RSA - Diffie–Hellman Ephemeral with RSA
DHE-DSS - Diffie–Hellman Ephemeral with DSS
RSA - Public-Key Cryptography Standards (PKCS) #1
PSK - Pre-Shared Key
Szyfrowanie:
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-CBC-SHA384
ECDHE-RSA-AES128-CBC-SHA256
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-CBC-SHA256
DHE-RSA-AES256-CBC-SHA
DHE-DSS-AES256-CBC-SHA256
DHE-DSS-AES256-CBC-SHA
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES128-CBC-SHA256
Terminal mobilny
WindEx Serwery WindEx
VPN
TLS
1.2
Terminal WindEx
TLS
1.2 TLS
1.2 TLS
1.2
DHE-RSA-AES128-CBC-SHA
DHE-DSS-AES128-CBC-SHA256
DHE-DSS-AES128-CBC-SHA
RSA-AES256-GCM-SHA384
RSA-AES256-CBC-SHA256
RSA-AES256-CBC-SHA
RSA-AES128-GCM-SHA256
RSA-AES128-CBC-SHA256
RSA-AES128-CBC-SHA
PSK-AES128-GCM-SHA256
PSK-AES256-GCM-SHA384
PSK-AES128-CBC-SHA256
PSK-AES256-CBC-SHA
PSK-AES128-CBC-SHA
Podpis kluczy:
HMAC SHA2-256,
HMAC SHA1
Część użytkowników systemu może otrzymać dostęp do informacji o stanie pracy sieci poprzez WindEx
WEB pozbawiony możliwości wykonywania poleceń sterowniczych, zabezpieczony również protokołem
TLS wersja HTTPS, aby zapewnić wiarygodność wyświetlanych danych. Podobnie jak w przypadku
normalnego terminala, aby rozpocząć pracę należy się zalogować podając login i hasło.
1. Bezpieczeństwo komunikacji
Pomijając instalacje przemysłowe w wydzielonej strefie, np. dyspozycja na stacji, zakład przemysłowy,
w większości przypadków mamy do czynienia z rozległymi systemami sterowania, gdzie najbardziej
podatną na ataki jest infrastruktura telekomunikacyjna. Warto zwrócić również uwagę, że wszechobecna
sieć IP i połączenia komputerów systemu sterowania do sieci zakładowej/koncernowej, nawet najmniejsza
instalacja nie może być bezwzględnie uznawaną za odporną na ataki bez zastosowania odpowiednich
zabezpieczeń
System WindEx zapewnia zabezpieczanie danych przesyłanych między stacją, a systemem SCADA poprzez
mechanizmy uwierzytelniania stron połączenia (połączenie serwer – urządzenie telemechaniki jest
zabezpieczone certyfikatami po obydwu stronach w relacji serwer – urządzenie telemechaniki),
szyfrowanie danych (czytelność przesyłanych danych), a także uwierzytelnianie źródła danych i poleceń
(warstwa aplikacyjna protokołu telemechaniki DNP, IEC 870-5-101 i IEC 870-5-104).
W przypadku implementacji standardowych protokołów komunikacyjnych najczęściej stosowanych
w energetyce, system WindEx został opracowany zgodnie z wytycznymi normy IEC/TS 62351-5 Power
systems management and associated information exchange – Data and communications security – Part 5:
Security for IEC 60870-5 and derivatives (Bezpieczeństwo danych i łączności w protokołach serii IEC 60870-
5-10x i pochodnych (DNP3)), która dotyczy zabezpieczania transmisji danych przed zagrożeniami typu:
fałszowanie adresów
modyfikacja treści komunikatów
powtórne wykorzystanie "podsłuchanych" komunikatów
nieautoryzowany dostęp do funkcji sterownika
Uzyskano to przez uwierzytelnianie danych i poleceń sterowniczych, realizowane wewnątrz systemu i na
styku systemu WindEx z urządzeniami telemechaniki systemu Wx.
Z kolei wdrożona w systemie WindEx norma IEC/TS 62351-3 Power systems management and associated
information exchange – Data and communications security – Part 3: Communication network and system
security – Profiles including TCP/IP określa sposób zastosowania protokołu TLS w kanałach łączności,
zapewniającego:
wiarygodność przesyłanych danych (uwierzytelnianie obu stron połączenia w relacji serwer – urządzenie telemechaniki),
poufność danych (szyfrowanie).
I tak w myśl zacytowanych norm dla protokołu IEC/TS 60870-5-104 wymagane jest:
stosowanie protokołu TLS w wersji minimum 1.2 (SSL 3.3)
implementacja zestawu szyfrującego np. TLS_RSA_WITH_AES_128_SHA
norma zaleca implementacje zestawów szyfrujących łączących:
szyfrowanie AES-128 lub AES-256
sygnaturę SHA1, SHA2-256
oraz cykliczną wymiany kluczy kodujących.
Dla protokołu DNP3.0 wspomniana norma IEC/TS 62351-3:2013 wymaga:
stosowania protokołu TLS w wersji nie mniejszej niż 1.0 (SSL 3.1)
implementacji zestawu szyfrującego TLS_RSA_WITH_AES_128_SHA
a także zaleca implementacje zestawów szyfrujących łączących:
szyfrowanie AES-128 lub AES-256
sygnaturę SHA1, SHA2-256
oraz cykliczną wymianę kluczy kodujących.
System SCADA WindEx, a także urządzenia telemechaniki, których dodatkowe zabezpieczenia są opisane
w kolejnych materiałach, posiadają wdrożone obie części normy IEC/TS 62351: Part 3: Communication
network and system security – Profiles including TCP/IP (TLS) i Part 5: Security for IEC 60870-5 and
derivatives (uwierzytelnianie w kanałach łączności).
2. Bezpieczeństwo urządzeń
Zarówno w systemie WindEx, jak i w urządzeniach produkowanych przez Apator Elkomtech SA została
wdrożona wielowarstwowa struktura bezpieczeństwa (Defence in Depth). Takie rozwiązanie jest dostępne
we wszystkich nowych urządzeniach opartych o system operacyjny WX. Wiele warstw pozwala
zabezpieczyć wrażliwe jądro systemu/urządzeń przed niebezpieczeństwami na wiele sposobów.
Rys. 7. Wielowarstwowa struktura bezpieczeństwa (Defence in Depth)
Rozwiązania z zakresu bezpieczeństwa, jakie są wdrożone i stosowane w urządzeniach produkcji Apator
Elkomtech SA są przedstawione w oddzielnym artykule umieszczonym w materiałach konferencyjnych.
Zachęcam do zapoznania się z tym bardzo ciekawym materiałem dokładnie opisującym zastosowane
rozwiązania.
3. Dostęp fizyczny
System WindEx posiada wbudowane mechanizmy zwiększające bezpieczeństwo, ale poprawę
bezpieczeństwa Państwa systemu można uzyskać także poprzez „hardening”, czyli utwardzanie Państwa
środowiska, w którym jest zainstalowany system WindEx. Obecnie to Państwo dostarczają serwery, to
Państwo instalują na nich system operacyjny. Serwis Apator Elkomtech SA dokonuje niezbędnych zmian,
aby uruchomić na tych serwerach system WindEx. W ramach swojej pracy wykonujemy także, o ile
dostaniemy od Państwa zgodę i uprawnienia, przegląd uruchomionych usług systemowych i wyłączamy te
niepotrzebne, jak np. smb czy telnet, pozostawiając tylko te bezpieczne, np. ssh. Dokonujemy przeglądu
otwartych portów w systemie, wskazując te niezbędne do działania WindExa. Wskazujemy tylko niezbędne
składniki systemu operacyjnego wymagane do prawidłowej pracy systemu WindEx. Zalecamy konfigurację
firewalli i zapór sieciowych oraz odpowiednią konfigurację usług systemowych zabezpieczających system
operacyjny przed zbędnymi zmianami konfiguracji (np. selinux). Odnosimy się także do Państwa polityki
aktualizacji systemów operacyjnych i ich zabezpieczenia poprzez programy antywirusowe. Dokonując
przeglądu, czy podczas tworzenia projektu nowej instalacji, wskazujemy punkty styku sieci biurowej
z wydzieloną siecią technologiczną i pomagamy je zabezpieczyć.
W tej części chcielibyśmy uzmysłowić Państwu, że najsłabszym ogniwem bezpieczeństwa systemu jest
człowiek, dlatego też oferujemy wykonanie audytów bezpieczeństwa w Państwa organizacjach, gdzie
wskażemy konieczne do wykonania zmiany, jak np. włączenie możliwości korzystania z napędów DVD,
wyłączenie portów USB. Zalecamy taką konfigurację urządzeń sieciowych, aby niemożliwe było
podłączenie do nich żadnych nowych maszyn bez wiedzy administratora sieci. Zalecamy używanie
systemów umożliwiających detekcję anomalii w ruchu sieciowym. Równocześnie będziemy w stanie
nawiązać do istniejącej w Państwa organizacji polityki bezpieczeństwa, tak, aby dostosować system do
zaakceptowanych reguł. Organizujemy i przeprowadzamy szkolenia i warsztaty, na których omawiane są
wszelkie aspekty dotyczące bezpieczeństwa.
Dbając o bezpieczeństwo systemów i sterowników obiektowych prowadzimy repozytorium konfiguracji,
gdzie każda zmiana wykonana przez pracowników Apator Elkomtech SA jest rejestrowana, zaś
w dowolnym momencie istnieje możliwość przywrócenia wcześniej dokonanych zmian i powrót do
znanych wersji konfiguracji.
4. Metody zabezpieczania i odtwarzania konfiguracji – oprogramowanie WindEx
Awarie sprzętu są niemal codziennością w środowiskach IT. Administratorzy dbają o ciągłość pracy sprzętu
i wykonują niezbędne czynności mające na celu diagnozę, zapobieganie lub w ostateczności naprawę
uszkodzonego sprzętu. Przywrócenie działania nie polega tylko na instalacji systemu operacyjnego, czy
kolejnych aplikacji, ale także na właściwej konfiguracji i przywróceniu danych niezbędnych do prawidłowej
pracy systemu SCADA WindEx, dlatego też oprogramowanie i bazy danych systemu WindEx są kopiowane
podczas każdej z wizyt grupy serwisowej (realizowane na podstawie umów nadzorowych). Dane
przechowywane są na serwerach w siedzibie firmy Apator Elkomtech SA, a sam proces wykonania kopii
zapasowej nie zakłóca operacyjności systemu WindEx. Dane konieczne do odbudowy funkcjonalności
systemu są dostępne po kontakcie z działem serwisu firmy Apator Elkomtech SA, świadczącym usługi
w formule 24/7.
5. Metody zabezpieczania i odtwarzania konfiguracji – urządzenia Ex
Polityka zapewnienia wsparcia dotyczy również urządzeń Ex. Praktyka pokazała, że bardzo często
prowadzone są prace na działających obiektach, gdzie w ramach modernizacji instalowane są dodatkowe
urządzenia. Każda taka zmiana wymaga przekonfigurowania sterowników telemechaniki, którą wykonuje
się na komputerze PC, a wyniki – pliki konfiguracyjne, ładowane są do sterownika podczas wizyty grupy
serwisowej. Aby proces aktualizacji konfiguracji urządzeń stacyjnych był możliwie bezpieczny i nie
nastąpiło nieautoryzowane przeładowanie konfiguracji w urządzeniach niepodlegających modernizacji,
w systemie Ex możliwe jest zablokowanie możliwości zmian konfiguracyjnych sterowników. Dyspozytor
systemu SCADA, w przypadku konieczności wykonania prac na danym urządzeniu, zdalnie wysyła polecenie
odblokowujące funkcje programu ładującego w sterowniku i uzyskuje potwierdzenie wykonanych poleceń.
Po zakończonej pracy dyspozytor w dzienniku operacyjnym otrzymuje sygnały diagnostyczne
o wykonanych pracach (start sterownika z programem w wersji X.XX z DD-MM-RRRR, start sterownika
z konfiguracją w wersji X.XX z DD-MM-RRRR) i blokuje funkcje programu ładującego.
W dzienniku zdarzeń w centrum nadrzędnym administrator uzyskuje potwierdzenie stanu blokady funkcji
programu ładującego. W przypadku niepowodzenia lub wgrania niewłaściwej konfiguracji istnieje
możliwość zdalnego przywrócenia ostatniej wytestowanej i działającej wersji, która przechowywana jest
w sterowniku. Równocześnie firma Apator Elkomtech SA deklaruje przechowywanie konfiguracji
wykonywanych przez pracowników firmy, wraz z historią zmian, w repozytorium wewnętrznym na
serwerach firmy.
Proces ochrony systemu dotyczy również wypracowania odpowiednich środków ochrony przez złośliwym
oprogramowaniem (w tym również polityki wykonywania aktualizacji, oprogramowania i systemów
operacyjnych), wykonania hardeningu systemu i aplikacji, a także odpowiednią konfigurację systemu
sprzętu IT. Proces zapewnienia bezpieczeństwa to również odpowiednia konfiguracja usług i zapór
sieciowych, gdzie służymy pomocą.
Z przedstawionego opisu zidentyfikowanych obszarów mających wpływ na bezpieczeństwo informatyczne
sieci elektroenergetycznej wynika, że system WindEx i komputery stacyjne MST2, micro2 oraz inne
urządzenia z systemem WX są w pełni przygotowane do prowadzenia łączności z wykorzystaniem
szyfrowanego kanału łączności (TLS) i uwierzytelniania otrzymywanych poleceń sterowniczych
i przesyłanych danych, tym samym zapewniając pewność i bezpieczeństwo przesyłanych danych.
Rozwiązania dostępne w systemie WindEx pozwalają stwierdzić, że przy wdrożeniu odpowiednich
procedur zgodnych z polityką bezpieczeństwa istniejącą lub opracowywaną w Państwa organizacji, system
WindEx, a także sprzęt i sieć IT, będą odpowiadały współczesnym wymogom bezpieczeństwa.
Apator Elkomtech SA oferuje spełniające potrzeby i wymagania klienta rozwiązania umożliwiające
dostosowanie istniejących systemów do zgodności z wymienianymi normami, bez konieczności wymiany
systemu, czy urządzeń stacyjnych/sterowników.
Jako podsumowanie chciałbym wymienić dobre praktyki stosowane przy ochronie systemów klasy SCADA,
będących głównym składnikiem infrastruktury krytycznej.
1. Zidentyfikuj wszystkie połączenia do sieci SCADA.
2. Wyłącz wszystkie niepotrzebne połączenia do sieci SCADA.
3. Oceń i wzmacniaj bezpieczeństwo wszelkich pozostałych połączeń z siecią SCADA.
4. Utwardzaj sieć i system SCADA poprzez usunięcie lub wyłączenie niepotrzebnych usług.
5. Nie polegaj na zastrzeżonych (prywatnych) protokołach komunikacyjnych w celu ochrony
systemu.
6. Wdrażaj zabezpieczenia dostarczone przez dostawców urządzeń i systemów.
7. Ustanów silną kontrolę nad dowolnym medium, które jest używane, jako „wejście serwisowe”
do sieci SCADA.
8. Wdrażaj wewnętrzne i zewnętrzne systemy wykrywania włamań i ustanów 24-godzinne
monitorowanie incydentów.
9. Przeprowadzaj audyty techniczne urządzeń i sieci SCADA oraz wszelkich innych podłączonych
urządzeń sieci, w celu zidentyfikowania problemów związanych z bezpieczeństwem.
10. Przeprowadź ankiety dotyczące bezpieczeństwa fizycznego i ocenę wszystkich zdalnych miejsc
podłączonych do sieci SCADA w celu oceny ich bezpieczeństwa.
11. Jasno określ role, obowiązki i uprawnienia w zakresie bezpieczeństwa w sieci dla menedżerów,
Administratorów systemów i użytkowników.
12. Udokumentuj architekturę sieci i systemy identyfikujące najważniejsze funkcje lub zawierające
poufne informacje wymagające dodatkowego poziomu ochrony.
13. Ustanów rygorystycznie ciągły proces zarządzania ryzykiem.
14. Ustanów strategię ochrony sieci opartą na zasadzie dogłębnej obrony.
15. Jasno określ wymagania dotyczące bezpieczeństwa w sieci.
16. Ustanów skuteczne procesy zarządzania konfiguracją.
17. Przeprowadzaj rutynowe samooceny.
18. Ustanów politykę kopii zapasowych systemu i planów odzyskiwania po awarii.
19. Starsze kierownictwo organizacyjne powinno określać oczekiwania dotyczące bezpieczeństwa
internetowego i sprawić, że osoby są odpowiedzialne za ich wyniki.
20. Ustanów zasady przeprowadzania szkoleń w celu zminimalizowania prawdopodobieństwa, że
personel organizacyjny przypadkowo ujawni poufne informacje dotyczące projektowania
systemu SCADA, operacji lub kontroli bezpieczeństwa.
6. Podsumowanie
Jak już było wspomniane wielokrotnie, bezpieczeństwo IT przekłada się bezpośrednio na bezpieczeństwo
systemów SCADA i bezpieczeństwo infrastruktury krytycznej. Z raportów o stanie bezpieczeństwa wynika,
że zmienia się charakter ataków na infrastrukturę krytyczną. Nadchodzą czasy dynamicznych zagrożeń,
a złośliwe oprogramowanie w klasycznym wydaniu odchodzi do lamusa. Poprzedni rok pokazał, że
https://ceo.com.pl/dyrektor-prezes/zlosliwe-oprogramowanie
cyberzagrożenia stają się coraz bardziej realne, a szeroko komentowane były ataki na rządy,
przedsiębiorstwa oraz jednostki. Ofiarami ataków padają banki, instytucje rządowe, a także serwisy
społecznościowe takie jak: Twitter czy Spotify. Nie są to tylko ataki mające na celu sparaliżowanie działania
danej instytucji, ale coraz częściej chodzi o kradzież danych, danych użytkowników itp. Działania hakerów
mają charakter długoterminowy i są dobrze przygotowane. Upowszechnienie się Internetu rzeczy
przyczynia się do rozwoju nowego rodzaju cyberzagrożeń. Ochrona urządzeń końcowych radzi sobie
całkiem dobrze, natomiast bezpieczeństwo IT musi stać na bardzo wysokim poziomie. Musimy nauczyć się
oceniać ryzyko, reagować na incydenty, wypracować strategię reagowania kryzysowego, politykę
odtwarzania systemów krytycznych oraz poddawać nasze systemy coraz bardziej złożonym testom
penetracyjnym.
https://ceo.com.pl/dyrektor-prezes/twitterhttps://ceo.com.pl/dyrektor-prezes/spotify
Bezpieczeństwo informatyczne urządzeń produkcji
Apator Elkomtech
Krzysztof Szaniawski, Roman Trawiński
1. Wprowadzenie
We współczesnych systemach sterowania i nadzoru (SSiN) siecią elektroenergetyczną coraz ważniejsze
staje się zapewnienie odpowiedniego poziomu bezpieczeństwa informatycznego urządzeń i systemów,
którego celem jest uniemożliwienie osobom niepowołanym uzyskania nieautoryzowanego dostępu do
poufnych danych oraz wykonywania poleceń (w tym sterowniczych), co mogłoby spowodować znaczne
straty materialne. Zapewnienie bezpieczeństwa dotyczy całego systemu, a więc zarówno serwerów
SCADA, jak i urządzeń komputerowych znajdujących się na obiektach energetycznych. Jest to szczególnie
ważne w przypadku urządzeń stanowiących część inteligentnych systemów SmartGrid, połączonych
z resztą systemu drogą radiową, np. poprzez sieć GSM, TETRA lub NetMan, w których bez odpowiednich
mechanizmów ochronnych mogłoby dojść do przechwycenia transmitowanych danych, a nawet przejęcia
kontroli nad urządzeniem.
Urządzenie pracujące na obiekcie energetycznym jest narażone na następujące zagrożenia:
włamania za pośrednictwem lokalnego portu diagnostycznego
ataki i włamania z sieci
przełączenie urządzenia do sieci kontrolowanej przez intruza
podsłuchiwanie kanałów komunikacyjnych
Wymienione zdarzenia mogą doprowadzić do wycieku lub utraty danych oraz przejęcia lokalnie lub zdalnie
kontroli nad urządzeniem.
Bezpieczeństwo informatyczne polega na zapewnieniu:
poufności, czyli zapewnienia, że informacja jest dostępna tylko dla osób upoważnionych
integralności, czyli zapewnienia, że informacja jest kompletna, wiarygodna i nie została w sposób
niekontrolowany zmieniona
dostępności, czyli możliwości uzyskania dostępu osobom uprawnionym w momencie, kiedy jest
to potrzebne
rozliczalności, czyli zapewnienia, że jest możliwa jednoznaczna identyfikacja podmiotu, który
wykonał daną operację
W urządzeniach Apator Elkomtech wymienione wyżej cele realizuje się przez:
system kont użytkowników chronionych hasłem
chronione partycje systemu plików urządzenia
uwierzytelnianie za pomocą kluczy i certyfikatów cyfrowych
uwierzytelnianie i szyfrowanie kanałów komunikacyjnych
uwierzytelnianie poleceń (w tym sterowniczych)
ochronę przed atakami z sieci przez stosowanie zapory sieciowej
zapisywanie w dzienniku zdarzeń wszystkich operacji zalogowania, wylogowania oraz nieudanych
prób zalogowania, wraz z loginem użytkownika oraz adresem IP komputera
automatyczną okresową wymianę certyfikatów
weryfikowanie statusu certyfikatu drugiej strony
W zależności od produktu i od wariantu wykonania, w urządzeniach Apator Elkomtech mogą występować
różne rodzaje uwierzytelnianych i szyfrowanych kanałów komunikacyjnych:
konsola diagnostyczna SSHv2 z szyfrowaniem, uwierzytelnianiem za pomocą hasła lub klucza
prywatnego oraz bezpiecznym przesyłaniem plików protokołem SCP
serwis WWW z uwierzytelnianiem i szyfrowaniem protokołem TLSv1.2 (HTTPS)
sieciowe kanały telemechaniki z szyfrowaniem i obustronnym uwierzytelnianiem protokołem
TLSv1.2, zgodnie ze standardem IEC 62356-3
uwierzytelnianie poleceń w protokołach DNP 3.0 oraz IEC 60870-5-104, zgodne ze standardem
IEC 62356-5
usługa zdalnego dziennika Syslog TCP szyfrowana protokołem TLS
interfejs Ethernet z uwierzytelnianiem zgodnie ze standardem IEEE 802.1x
tunele VPN IPsec
agent SNMPv3 z uwierzytelnianiem i szyfrowaniem
2. Konta użytkowników
Dostęp do wszystkich usług inżynierskich sterownika wymaga zalogowania na konto użytkownika
chronione hasłem. W pamięci urządzenia oraz w plikach parametryzacji nie przechowuje się całych haseł,
lecz jedynie ich funkcje skrótu, co z założenia uniemożliwia odczytanie haseł. Dostępność poszczególnych
operacji i usług jest uzależniona od uprawnień zalogowanego użytkownika.
Do celów administrowania urządzeniem przewidziano wbudowane konto administratora, posiadające
wszystkie uprawnienia, włącznie z ustawianiem uprawnień i haseł użytkowników.
Uprawnienia kont użytkowników mogą być konfigurowalne poprzez dziedziczenie uprawnień
z predefiniowanych grup użytkowników. Przykładowo, przypisując użytkownika do grupy administratorów,
nadaje mu się pełne uprawnienia administracyjne.
3. Certyfikaty i klucze
Do uwierzytelniania sterownika oraz komunikujących się z nim urządzeń i systemów wykorzystuje się
klucze i certyfikaty X.509 wystawione przez urząd certyfikacji Grupy Apator lub pochodzące
z zewnętrznego urzędu certyfikacji. Przy wzajemnym uwierzytelnieniu certyfikatami mogą być
akceptowane tylko certyfikaty z dedykowanej gałęzi drzewa Urzędu Certyfikacji (UC). Sterownik jest
wyposażony w centralną bazę poświadczeń umożlwiającą zarządzanie kluczami i certyfikatami wszystkich
usług (aplikacji) oraz certyfikatami zaufanymi, a w szczególności ich instalowanie, wykonywanie kopii
zapasowej oraz przywracanie z kopii zapasowej. Ze względów bezpieczeństwa, klucze i certyfikaty
przechowywane w sterowniku nie mogą być odczytane ani pobrane ze sterownika, nawet przez
użytkownika o najwyższych uprawnieniach. Certyfikaty mogą być automatycznie wystawiane i odnawiane
ze zdalnego urzędu certyfikacji z wykorzystaniem protokołu SCEP, zgodnie ze standardem IEC 62351-9.
W ramach usługi wymiany certyfikatów mogą być sygnalizowane przekroczenia minimalnej długości
ważności certyfikatów zainstalowanych w urządzeniu za pomocą komunikatów SNMP-Trap. Ponadto, obce
certyfikaty mogą być weryfikowane online za pomocą protokołu OCSP.
Rys 1. Schemat lokalnej bazy poświadczeń urządzenia
4. Uwierzytelnianie IEEE 802.1x
Opcjonalnie, na porcie Ethernet, można włączyć uwierzytelnianie zgodne ze standardem IEEE 802.1x, które
zabezpiecza połączenie Ethernet pomiędzy sterownikiem a przełącznikiem sieciowym lub ruterem,
stanowiącym punkt dostępu do sieci (najczęściej telefonii komórkowej). Uwierzytelnianie IEEE 802.1x:
zapobiega podłączeniu obcego urządzenia do rutera w miejsce sterownika
zapobiega podłączeniu sterownika do innej sieci, kontrolowanej przez intruza
Proces uwierzytelniania jest inicjowany każdorazowo po podłączeniu sterownika do sieci Ethernet. Do
czasu uwierzytelnienia, zarówno sterownik, jak i ruter blokują ruch sieciowy. Każdorazowo po
zablokowaniu portu Ethernet lub po odłączeniu urządzenia od sieci, port Ethernet zostaje zablokowany
i może być ponownie odblokowany dopiero po podłączeniu do sieci i ponownym uwierzytelnieniu.
Zaimplementowany w sterowniku suplikant IEEE 802.1x obsługuje protokół EAP z rozszerzeniami EAP-TLS
oraz PEAPv1/MSCHAPv2, z uwierzytelnianiem za pomocą haseł oraz certyfikatów X.509. Serwer
uwierzytelniający połączenie może znajdować się w ruterze lub na serwerze w sieci korporacyjnej,
komunikującym się z ruterem poprzez sieć rozległą (WAN) w protokole kryptograficznym RADIUS.
Rys 2. Zasada działania uwierzytelniania IEEE 802.1x
5. Uwierzytelnianie poleceń
Urządzenia Apator Elkomtech mają możliwość realizacji funkcji uwierzytelnienia poleceń w protokołach
DNP 3.0 oraz IEC 60870-5-104 zgodnie z normą IEC 62351-5:2013 „Power systems management and
associated information exchange - Data and communications security - Part 5: Security for IEC 60870-5
and derivatives”. Uwierzytelnianiu podlegają m.in. telesterowania, zmiana nastaw analogowych, zmiana
progów nieczułości, ustawianie czasu, restart urządzenia, transfer pliku, włączanie i wyłączanie zdarzeń
spontanicznych oraz kasowanie znaczników.
6. Wirtualne sieci prywatne (VPN)
Wirtualna sieć prywatna (ang. Virtual Private Network) zapewnia następujące korzyści:
zwiększenie poziomu bezpieczeństwa przez zastosowanie szyfrowania, ochrony integralności oraz
obustronnego uwierzytelniania pomiędzy sterownikiem a siecią korporacyjną
nadanie sterownikowi wirtualnego adresu sieciowego z sieci korporacyjnej zakładu lub koncernu,
widocznego dla komputerów i urządzeń pracujących w tej sieci
Urządzenia Apator Elkomtech można podłączyć do sieci VPN za pośrednictwem tunelu IPsec typu remote-
access (client-to-site). Za uwierzytelnianie połączenia, tworzenie i podtrzymywanie tuneli IPsec oraz
okresową wymianę kluczy odpowiada protokół IKEv2, natomiast za szyfrowanie i ochronę integralności
w tunelu – protokół ESP (Encapsulated Security Payload). Implementacja IPsec w urządzeniach AE
charakteryzuje się następującymi właściwościami:
możliwość pełnej, swobodnej konfiguracji tuneli IPsec
automatyczne zestawianie tunelu po starcie urządzenia
wykrywanie utraty komunikacji i automatyczne ponowne zestawianie tunelu
uwierzytelnianie za pomocą klucza współdzielonego lub certyfikatów X.509
bogaty zestaw obsługiwanych funkcji pseudolosowych oraz algorytmów kryptograficznych do
szyfrowania, ochrony integralności oraz wymiany kluczy
okresowa wymiana kluczy oraz okresowe ponowne uwierzytelnianie
możliwość komunikacji przez rutery z translacją adresów NAT dzięki funkcji NAT-Traversal
możliwość komunikacji przez łącza z małą maksymalną jednostką transmisyjną (MTU) dzięki
zastosowaniu fragmentacji danych w protokole IKEv2
automatyczna rejestracja przydzielonego adresu sieciowego w serwerze DNS za pomocą usługi
DDNS
Architektura usługi IPsec w urządzeniach AE pozwala na zestawienie wielu tuneli IPsec, które mogą
prowadzić przez tą samą lub przez różne bramy VPN. Poniższy rysunek ilustruje drugi przypadek, w którym
obydwa tunele prowadzą przez różne bramy do odrębnych sieci prywatnych.
Rys 3. Architektura tuneli IPsec typu remote-access w urządzeniach Apator Elkomtech
Najczęstszym zastosowaniem tuneli IPsec typu remote-access w energetyce jest bezpieczne łączenie
urządzeń rozproszonych na małych obiektach energetycznych z siecią korporacyjną zakładu lub koncernu
energetycznego za pośrednictwem usługi pakietowej transmisji danych w sieci telefonii komórkowej. Po
zestawieniu tunelu urządzenie otrzymuje wirtualny adres sieciowy z zupełnie innej podsieci, który jest
widoczny dla komputerów i urządzeń pracujących w sieci korporacyjnej. Poniższy rysunek ilustruje
przypadek urządzenia z wbudowanym modemem GSM, zalogowanym do APN sieci komórkowej.
W przypadku, gdy urządzenie jest podłączone do sieci za pośrednictwem rutera z translacją NAT, (np. szafki
AMI), zostaje automatycznie użyta funkcja NAT-Traversal.
Rys 4. Przykład wirtualnej sieci prywatnej zrealizowanej w technologii IPsec
7. Zapora sieciowa
Zapora sieciowa umożliwia filtrowanie wychodzącego i/lub przychodzącego ruchu sieciowego według
reguł i stref ustawionych przez użytkownika. Filtrowanie ruchu sieciowego zachodzi w oparciu
o następujące kryteria:
domyślny sposób działania zapory (zezwól lub blokuj)
listę kategorii ruchu sieciowego omijających zaporę, np. broadcast, multicast, ruch w sieciach LAN,
ICMP
strefy zaufane lub zabronione
reguły zezwalające lub blokujące przychodzący i/lub wychodzący ruch sieciowy dla określonych
puli adresów sieciowych, protokołów transportowych, portów lokalnych i/lub zdalnych, etc.
8. Automatyczne wystawianie, odnawianie i weryfikowanie certyfikatów
Certyfikaty indywidualne sterownika oraz certyfikaty zaufanych urzędów certyfikacji mogą być
instalowane, wymieniane i odnawiane w zautomatyzowany sposób ze zdalnego urzędu certyfikacji za
pośrednictwem protokołu SCEP. Użytkownik urządzenia może zdecydować, które certyfikaty i z jakiego
urzędu certyfikacji mają być wystawiane oraz kiedy mają być odnawiane. Takie podejście:
znacząco upraszcza procedurę wystawiania i instalacji certyfikatów dla dużej liczby urządzeń
rozproszonych w terenie
rozwiązuje problem okresowego odnawiania certyfikatów, które jest konieczne ze względu na
ograniczony okres ważności certyfikatów
Proces rozpoczyna pobranie z serwera SCEP wszystkich certyfikatów urzędu certyfikacji. Następnie, na
podstawie indywidualnego klucza prywatnego urządzenia, skonfigurowanej nazwie podmiotu certyfikatu
oraz hasła dostępowego wysyłane jest zaszyfrowane zgłoszenie certyfikacyjne do serwera SCEP. Jeżeli
wystawienie lub odnowienie certyfikatu zakończyło się pomyślnie, nowy certyfikat jest instalowany
w bazie poświadczeń w miejsce dotychczasowego certyfikatu.
Rys 5. Zasada działania usługi SCEP
Urządzenie może też wysyłać ostrzeżenia o kończącej się ważności zainstalowanych certyfikatów.
Przewidziano dwa progi alarmowe konfigurowalne przez użytkownika.
Dodatkowo, certyfikaty przysyłane przez inne urządzenia w celu uwierzytelnienia mogą być za pomocą
protokołu OCSP weryfikowane online czy nie zostały wcześniej odwołane.
9. Przykład użycia technologii bezpieczeństwa informatycznego
Na rysunku pokazano przykład bezpiecznego połączenia sterownika rozłącznika napowietrznego SN
microBEL_SRS z siecią zakładową za pośrednictwem sieci komórkowej UMTS. Sterownik komunikuje się
z systemem SSiN w protokole DNP 3.0.
Rys 6. Przykład bezpiecznego połączenia sterownika microBEL z siecią korporacyjną zakładu
W tym przypadku można wykorzystać następujące zabezpieczenia informatyczne:
tunel IPsec z szyfrowaniem i obustronnym uwierzytelnianiem pomiędzy sterownikiem a siecią
zakładową, prowadzący m.in. przez sieć telefonii komórkowej
szyfrowanie protokołem TLS kanału telemechaniki z protokołem DNP 3.0, aby dostęp do kanału
telemechaniki miały tylko uprawnione serwery SCADA, a nie wszystkie komputery pracujące
w sieci zakładowej
uwierzytelnianie poleceń w kanale telemechaniki, stanowiące dodatkowe zabezpieczenie przed
zagrożeniem wykonania nieuprawnionego sterowania lub innej ważnej operacji
zaporę sieciową, udostępniającą tylko wybrane porty usług określonym serwerom
serwer SSH z bezpiecznym transferem plików protokołem SCP dla usług inżynierskich, m.in. zdalnej
parametryzacji, diagnostyki, wymiany oprogramowania oraz pobierania dzienników zdarzeń
i rejestracji zakłóceń
Zaleca się, aby sterownik pobierał, wystawiał i odnawiał certyfikaty online z serwera SCEP w celu uniknięcia
czasochłonnego ręcznego wystawiania, odnawiania i instalowania certyfikatów w dużej liczbie
sterowników. Jeżeli którykolwiek z tych certyfikatów jest wymagany do zestawienia tunelu IPsec, zaleca
się, aby serwer SCEP był dostępny także poza tunelem, aby można było bez przeszkód wystawić certyfikat
początkowy. Nie należy się tego obawiać, ponieważ wystawienie certyfikatu wymaga hasła, a cała
komunikacja w protokole SCEP jest zaszyfrowana.
RSU – nowa platforma sterowników Apator
Roman Trawiński, Adam Kaczorowski
Od dłuższego czasu, za sprawą Nowego Prawa Energetycznego opracowanego w Ministerstwie Gospodarki
m.in. jako odpowiedź na wprowadzenie dyrektywy 2009/72/WE, w Polsce trwają intensywne wdrożenia
inteligentnego opomiarowania (AMI) i inteligentnych sieci elektroenergetycznych.
W rozwiązaniach elektroenergetyki znajduje to odzwierciedlenie w rozwoju technologii i metod
zarządzania pracą sieci, łączących zaawanasowane narzędzia IT i nowoczesne rozwiązania sprzętowe.
Rys. 1. Smart Grid. Źródło: inteligentne systemy zarządzania energią, KAPE & InE, 2011
Odpowiedzią firmy Apator na stojące wyzwania wynikające z wdrożenia Smart Grid jest wprowadzenie
nowego, dedykowanego sterownika RSU, integrującego urządzenia AMI, elementy telemechaniki (np.
wskaźniki zwarć), czujniki sygnałów jakościowych, ochrony obiektów w jedno rozwiązanie umożliwiające
monitorowanie, automatyzację i optymalizację pracy sieci elektroenergetycznej. Do korzyści ze stosowania
takich rozwiązań można zaliczyć:
możliwość automatyzacji przełączeń w sieci
regulację napięcia
optymalizację lokalizacji nowych punktów podziału sieci
optymalne wyznaczanie miejsca instalacji dodatkowych źródeł energii, w celu zmniejszania strat
monitorowanie pracy sieci i szybsze reagowanie na stany awaryjne
poprawę wskaźników jakościowych dostarczanej energii
1. Budowa
RSU jest urządzeniem telemechaniki wyposażonym w 24 wejścia binarne i 3 wyjścia sterownicze.
Komunikację z pozostałymi urządzeniami w szafkach AMI zapewniają dwa interfejsy RS485. Połączenie
z systemem nadrzędnym zapewnia interfejs Ethernet, dzięki któremu można zrealizować zdalne
połączenie z użyciem rutera. Sterownik składa się z dwóch modułów połączonych ze sobą i umieszczonych
w obudowie z tworzywa sztucznego (poliamid).
Rys. 2. Wygląd obudowy sterownika
Pierwszym i zarazem najważniejszym modułem jest pakiet procesora, na który, oprócz jednostki głównej,
składają się m.in.: pamięć FLASH, zegar czasu rzeczywistego z podtrzymaniem bateryjnym, diody
sygnalizacyjne oraz układy komunikacji – w tym port serwisowy USB. Drugi moduł zawiera zasilacz, układ
wejść i wyjść binarnych.
Rys. 3. Panel czołowy RSU
Do odczytu wejść sygnalizacyjnych i wykonywania poleceń sterowniczych przeznaczone jest złącze IO2,
które zawiera galwanicznie izolowane 24 wejścia, podzielone na dwie grupy oraz 3 wyjścia przekaźnikowe
ze stykiem zwiernym (normalnie otwartym).
2. Funkcje i możliwości
Na podstawową funkcjonalność urządzenia składa się:
obsługa telemechaniki: 24xBI, 3xBO
komunikacja ze SCADA: Ethernet, DNP3, IEC60870-5-104
komunikacja z licznikiem bilansującym: RS485 – DLMS lub IEC 62056-21
komunikacja ze wskaźnikiem zwarć: RS485, DNP 3.0
komunikacja z dowolnymi urządzeniami z interfejsem RS485 w protokołach Modbus RTU,
DNP3.0, Profibus DP, IEC 60870-5-101/103
bezpieczeństwo informatyczne: TLSv1.2, IPsec/IKEv2, AES256, SHA2, IEEE 802.1x, X.509
rejestrator zdarzeń (konfigurowalny dziennik użytkownika, Syslog)
diagnostyka lokalna i zdalna: SSHv2, SNMPv3
zasilanie: 24 V DC
W sterowniku prowadzony jest dziennik zdarzeń. Rejestrowane mogą być m.in. zmiany stanu wejść
dwustanowych, sterowania, blokady, synchronizacje czasu, logowania użytkowników i próby
nieuprawnionego dostępu, zmiany konfiguracji i oprogramowania wewnętrznego, a także informacje
o załączeniu, wyłączeniu i restarcie sterownika. W dzienniku rejestrowane mogą być również alarmy
systemowe związane z autodiagnostyką sterownika, dotyczące obciążenia CPU, wykorzystania pamięci
RAM i pamięci nieulotnej, utraty i powrotów komunikacji, błędów komunikacji, itp.
3. Przykłady zastosowania
Głównym celem zastosowania RSU w szafkach AMI jest pozyskiwanie, przetwarzanie oraz przekazywanie
do systemu SCADA sygnałów dwustanowych i analogowych umożliwiających prowadzenie ruchu
w sieciach SN i nn.
Rys. 4. Zastosowanie sterownika RSU
RSU może stanowić wyposażenie szafek AMI w napowietrznych i wnętrzowych stacjach
transformatorowych SN/nn. Zadaniem sterownika w takim przypadku jest zbieranie informacji z zakresu
sygnalizacji ogólnych, odczyt pomiarów prądów i napięć z licznika energii, sygnalizacja zwarć
z wykorzystaniem wskaźników zainstalowanych w stacji – stykowo lub przy użyciu standardowych
protokołów telemechaniki oraz zdalne wykonywanie poleceń sterowniczych w zakresie kasowania
i testowania wskaźników. Urządzenie ponadto pozwala na żądanie wstrzymać odczyt danych z licznika
i udostępnić port szeregowy licznika w trybie „przezroczystym” dla systemu AMI, np. w przypadku
niedostępności interfejsu podstawowego.
Wyzwolenie odczytu danych z licznika możliwe jest:
okresowo, z częstością zdefiniowaną przez użytkownika
na postawie zmiany stanu wejścia binarnego
na żądanie z systemu SCADA
Sterownik umożliwia odczyt nie tylko pomiarów i sygnalizacji, ale również dziennika zdarzeń
zarejestrowanych w liczniku. Dzięki takiemu rozwiązaniu możliwe jest przesłanie do systemu zarządzania
informacji m.in.: o zanikach, zapadach i przekroczeniach napięcia czy nieprawidłowej kolejności faz
z oryginalnym stemplem czasowym. Ponadto w samym sterowniku zaimplementowano mechanizmy
generowania zdarzeń od przekroczeń progów pomiarów odczytanych z licznika i wskaźników zwarcia. Progi
i źródła wartości analogowych są w pełni konfigurowalne przez użytkownika. Kolejną przydatną
funkcjonalnością, która może ułatwić zarządzanie i monitorowanie sieci jest rejestrator przebiegów
analogowych. Pomiary pozyskane z podłączonych urządzeń mogą być rejestrowane w konfigurowalnych
odstępach czasu. Sterownik zapisuje wartości średnie, minimalne i maksymalne z każdego okresu
rejestracji w plikach zgodnych ze standardem COMTRADE.
Rys. 5. Przykład szafki AMI ze sterownikiem RSU: L1 – licznik bilansujący, WZ – wskaźnik zwarcia, RU – ruter 3G/LTE, Z1 – zasilacz bezprzerwowy, Ak – bateria akumulatorów
Sterownik został wyposażony w dużą liczbę wejść binarnych, które mogą służyć do:
odczytu stanu urządzeń wewnątrz szafki AMI, np. zasilacza, wskaźników zwarcia, licznika
zbierania informacji o stanie wkładek bezpiecznikowych rozłączników
powiadamiania o zdarzeniach związanych ze stanem stacji/szafki: z czujnika wstrząsu
i przechyłu, czujnika poziomu oleju transformatora, czujnika otwarcia drzwi szafki
RSU posiada zaimplementowany szereg technologii z zakresu telekomunikacji, informatyki
i bezpieczeństwa cybernetycznego:
w zakresie infrastruktury sieciowej: protokół uwierzytelniania połączenia sieciowego w oparciu
o standard IEEE 802.1x w roli suplikanta, protokół bezpiecznych sieci prywatnych IPsec, wymianę
certyfikatów urządzenia przy użyciu protokołu SCEP, bezpieczne połączenia TLS 1.2, dynamiczne
adresowanie przy użyciu protokołu DHCP, protokół DDNS do rejestracji sterownika w serwerze
DNS, zapora sieciowa
w zakresie łączności z systemami SCADA: protokoły komunikacyjne DNP 3.0, IEC 60870-5-104
w szyfrowanym kanale TLS 1.2, uwierzytelnianie poleceń zgodnie z IEC 62351-5 przy użyciu kluczy
współdzielonych
w zakresie administrowania i nadzoru sieci: protokół zarządzania siecią SNMP (v1,v2,v3)
z generowaniem komunikatów SNMP-trap, zdalny dziennik zdarzeń Syslog zgodny z RFC5424
Do zarządzania, monitorowania i konfiguracji