Технологии для
Интеллектуальных
Зданий

+7 (495) 987-42-98
info@sga-bms.ru
контакты

 Компания 
 Наши объекты
 Лицензии и сертификаты
 Рейтинги и награды
 Партнеры
 Виды деятельности 
 Комплексные решения
 Внешний аутсорсинг
 Создание концепции
 Обучение и курсы
 Оборудование 
 SIEMENS
 LONIX
 ЭТОЛОН
 LonArena
 PRODUAL
 Технологии 
 Публикации и статьи 
 Контакты 

Принцип построения безопасных систем автоматизации зданий и сооружений, или похождения Табуреткина.

09.04.2006

Принцип построения безопасных систем автоматизации зданий и сооружений, или похождения Табуреткина.

Г. Латышев

На сегодняшний день на рынке представлено громадное количество всевозможных систем автоматики, базирующихся на зачастую совершенно разных технологиях. Темой данной статьи является попытка проанализировать угрозы безопасности, которые они несут. Для систем, относящихся к комплексу систем безопасности, тема данного исследования максимально актуальна, поскольку здесь любой сбой в работе системы связан с физической безопасностью находящихся в здании людей. Итак, попробуем рассмотреть проблему максимально обобщенно, а затем сузим фокус зрения на комплексе систем безопасности.

Проблемы безопасности могут быть разделены на несколько направлений

  • Проблемы надежной эксплуатации компонентов и всей системы в целом. Имеется ввиду самопроизвольный выход из строя одного или нескольких компонентов. Причиной могут являться как аппаратные сбои, так и программные ошибки. Есть два пути решения данной проблемы: повышение надежности отдельных компонент и применение отказоустойчивой архитектуры решения. В качестве отказоустойчивой архитектуры можно привести пример распределенной автоматики, где от сбоя одного узла работоспособность системы в целом сохраняется. Вторым классическим примером отказоустойчивой архитектуры является горячее резервирование узлов системы, однако оно, как минимум, в два раза дороже.
  • Проблемы, связанные с ошибками в действиях обслуживающего персонала (самого пользователя или хозяина). Данный аспект часто называют «проблемой дуракоустойчивости системы». В основном данная задача решается средствами человеко-машинного интерфейса, в котором производится проверка вводимых оператором параметров, однако и сами программы внутри узлов должны анализировать введенные параметры на непротиворечивость.
  • Проблемы, связанные со злонамеренными действиями «третьих» лиц. Таковых в дальнейшем будем называть «злоумышленниками». Здесь, в свою очередь, можно рассмотреть три направления в действиях «злоумышленника»:
    – несанкционированный съем информации из системы автоматики. Здесь в качестве такой информации может быть расписание прихода домой и ухода на работу, время-номер-содержание телефонных звонков, видеозаписи камер наблюдения и т.д. Данный аспект для краткости назовем «несанкционированное чтение информации»;
    – внесение деструктивных изменений в работу системы (парализации части или всей системы, уничтожение части или всех данных, активизация вирусоподобных программ). Для краткости назовем этот аспект «разрушительным воздействием на систему»;
    – вмешательство в работу системы с целью принудить систему произвести необходимые злоумышленнику действия. Вмешательство происходит без нарушения работоспособности системы. Злоумышленник действует как бы от имени одной из подсистем, зная тонкости ее функционирования, подстраиваясь под нее. Поэтому данный аспект назовем «компрометирующее воздействие».

Теперь осуществим небольшой мысленный эксперимент и проведем небольшую экскурсию по офисному зданию вместе с неким неудачливым его обитателем, на примере которого проиллюстрируем каждую из описываемых проблем безопасности.
Итак, г-н Табуреткин с утра отправляется на работу, снабженный всеми атрибутами современного горожанина – кредитной карточкой, сотовым телефоном, карточкой-пропуском, ключами от машины, портфелем с ноутбуком и нетолстым кошельком. При входе на свой этаж он сталкивается с элементарным отказом дверного контроллера считывателя своей карточки – пропуска – тот не пускает его на этаж (единичный отказ компонента системы). Наш Табуреткин мысленно чертыхается (вчера еще пускала) и пытается проникнуть на свой этаж по другой лестнице – но и там неудача, похоже отказал контроллер доступа уровня этажа (проблема иерархической структуры системы). Исходя из вышеописанной теории, можно дать несколько советов проектировщику для заблаговременного предупреждения подобного – строить как можно более распределенные системы, не устанавливать дешевого непроверенного оборудования, снабжать системы средствами самодиагностики, чтобы служба охраны была оповещена о неполадках раньше бедного Табуреткина.
Далее пошлем Табуреткина (скажем, в обед) в службу охраны разбираться с утренним происшествием проиллюстрируем возможные ошибки персонала. Итак, служба охраны проанализировав причину сбоя, устранила ее и, на всякий случай, переинициализировала его карточку. И как водится, с проверкой от двойного pass-back’а. Только забыли о том, что человек уже внутри охраняемого контура. С результатом такой ошибки Табуреткин столкнется вечером, когда попытается выйти из здания. Контроллеры считывателей могли бы проанализировать ситуацию, выдав на пульт охраны сигнал о «блуждающем» нарушителе pass-back’а , но они этого не делают (ибо так нами задумано). Причина такой ошибки кроется, во-первых, в неправильном интерфейсе программы службы охраны, а во-вторых, в отсутствии подпрограмм проверок внутри самих контроллеров здания.

Несанкционированное чтение информации

Методы съема, применяемые злоумышленником, могут быть следующими:

  • подключение к магистрали передачи данных системы (шине передачи данных), может быть прямым (гальваническим) или бесконтактным;
  • несанкционированный доступ с рабочего места оператора АСУТП;
  • несанкционированный удаленный доступ через локальную или глобальную сеть.

Возможные пути противодействия при подключении к магистрали – это пассивные мероприятия (затруднение физического подключения к линии) и активные мероприятия (например, передача данных только в зашифрованном виде).
Для борьбы с несанкционированным доступом с рабочего места оператора настраивается многоуровневый доступ к разным экранам и подсистемам АРМ оператора АСУТП. При этом для доступа к экранам необходимо ввести имя и пароль. При длительном бездействии оператора доступ автоматически блокируется, что предотвращает ситуацию, когда оператор, уходя, забывает закрыть вход в систему. Все действия оператора АСУТП протоколируются самой системой, что позволяет производить ретроспективный анализ происходивших событий после аварии. Особую роль здесь и далее играет установленный порядок распределения и смены паролей и ключей.
Опасность несанкционированного удаленного доступа через локальную или глобальную сеть возникает в случае интеграции системы автоматики здания с сетями общего пользования. В данном случае становятся актуальными все методы атак и защиты, описанные в сфере IT-технологий.
Приведем пример, когда наш Табуреткин может реально пострадать от несанкционированного доступа к системе контроля доступа. Представим себе ситуацию, когда неблагонадежный в семейном отношении Табуреткин навещает подругу под видом вечерних совещаний, а нанятый ревнивой женой детектив считывает каким-либо из описанных способов базу данных по проходам, из которой однозначно следует, что Табуреткин попался…

Разрушительное воздействие на систему

Разрушительное воздействие может сильно отличаться по применяемому инструментарию, приборам и оснастке:

  • физическое уничтожение механических, электромеханических, электронных компонент системы или линий связи. Наряду с механическим воздействием (удар, перерезание проводов) может быть применен прием выжигания электронных схем высоким напряжением;
  • уничтожение программ и (или) данных, влекущее за собой парализацию работы части или целой системы;
  • переконфигурация (расконфигурация) настроек сетевых параметров шины передачи данных сети автоматики. Данный способ особенно актуален в современных системах автоматики, представленных на рынке. Причина кроется в том, что каждый производитель старается максимально упростить процесс пусконаладки своего оборудования, зачастую в ущерб устойчивости к возможным действиям злоумышленников. Так, например, применительно к системам lonworks и EIB достаточно подключиться в любой точке к линии передачи данных и, используя простейшие программные утилиты, перевести любое количество контроллеров в неактивное состояние, остановив тем самым обслуживание технологического процесса.

Здесь для иллюстрации совсем не понадобится Табуреткин. Предположим, кто-то уничтожил базу данных разрешенных к проходу карточек с целью парализации работы компании. Можно с уверенностью сказать, что день или два для служащих компаний, арендующих помещения в офисе, потерян.

Компрометирующее воздействие на систему

Методы действий, применяемые злоумышленником, кардинально зависят от типа системы автоматизации. Системы автоматики делятся на централизованные и децентрализованные.
В централизованных системах обработка сигнала от датчиков, реализация алгоритма управления технологическим процессом и выдача управляющих воздействий на сервоприводы или актуаторы производится одним-единственным процессорным узлом. В таком случае злоумышленник либо должен внедриться во внутренние цепи процессорного узла, либо подключается к измерительным или исполнительным цепям. Первый случай не имеет смысла рассматривать, поскольку злоумышленник имеет абсолютный контроль над системой. Во втором случае бороться с злоумышленником можно, контролируя целостность измерительных и исполнительных цепей.
В децентрализованных системах вместо одного процессорного узла реализовано несколько небольших самостоятельных микропроцессорных устройств, называемых узлами. Каждый узел, кроме функций обработки измерительных и исполнительных цепей и реализации алгоритма управления, имеет сетевой интерфейс для обмена информацией с другими узлами. Зачастую в таких системах один узел пользуется результатами измерений другого узла. И наоборот, узел реализующий алгоритм управления некоторым сервоприводом, может не иметь возможности напрямую управлять им, так тот подключен к абсолютно другому узлу. Таким образом, описанный узел передает информацию о требуемом положении сервопривода на другой узел, а тот исполняет ее как прямой приказ. В децентрализованных системах возможности злоумышленника по реализации компрометирующего воздействия колоссальны. Несмотря на это, большинство производителей оборудования для систем распределенной автоматики не предпринимают никаких мер против этого. Ставка делается на «закрытость» протокола обмена, т.е. всего лишь на то, что язык протокола обмена знает исключительно узкий круг специалистов.
Следует отметить, что проблема необходимости контроля целостности измерительных и исполнительных цепей точно так же актуальна и для децентрализованных систем тоже. Однако компрометация путем посылки ложной информации по сети передачи данных децентрализованной системы во много раз опаснее. Уточним терминологию и назовем такой случай «сетевым компрометирующим воздействием».
Единственным методом борьбы с сетевым компрометирующим воздействием является аутентификация отправителя сообщения. Поддержка аутентификации может быть реализована либо на сеансовом уровне модели OSI/ISO либо на уровне приложения. Так, например, когда один контроллер сети автоматики высылает другому пакет информации, суть содержания которого должна привести к некоторому критическому действию, второй контроллер «желает» удостовериться в «личности» отправителя. Для наглядности предположим, что речь идет о команде подъема графитового стержня в ядерном реакторе. В качестве доказательства полномочий отправителя (аутентичности) используется либо цифровая подпись, либо механизм «запрос–ответ», где в запросе высылается некое случайное число (фраза), а в качестве ответа используется число (фраза), зашифрованная на ключе, известном только этим двум контроллерам.
Пример с Табуреткиным в данном случае будет совершенно криминальным. Некий злоумышленник проник в бухгалтерию фирмы и украл крупную сумму денег. При этом он подключился к магистрали системы СКУД здания и «проиграл» в линию волшебную посылку, из которой следовало, что контроллер двери бухгалтерии считал карточку Табуреткина и дал разрешение на проход. Что у нас получается? Деньги украдены, Табуреткин этого не делал, в базе данных СКУД здания зафиксирован проход Табуреткина в указанное время в помещение бухгалтерии. С технической точки зрения, была произведена «компрометация» контроллера двери бухгалтерии, с точки зрения юридической – был скомпрометирован сам Табуреткин.

Выводы
Для систем безопасности актуальны все те же проблемы, что и для систем автоматики вообще, таким образом, согласно общемировой тенденции, здесь все настойчивее проявляется тенденция миграции в сторону распределенных систем. Далее следует отметить, что проблема компрометирующего воздействия становится все более актуальной. В основном на рынке решают эту задачу путем засекречивания протокола обмена между контроллерами. Другими словами, ставка делается на то, что язык обмена не знает никто посторонний (только узкий круг разработчиков и пусконаладчиков). Это позиция страуса, который зарывает голову в песок и думает, что его никто не увидит. История знает ни мало примеров, когда скучающие от безделья хакеры-тинейджеры раскапывали такие секреты и делали их достоянием широкой публики. Вторая, напрашивающаяся аналогия, – домохозяйка, прячущая ключ от квартиры под ковриком. Поэтому по-настоящему правильным решением является использование открытого протокола, но в сочетании со стойким шифрованием и аутентификацией отправителя. Пока что на сегодняшний день подобное решение можно построить только на протоколе Lonworks. К сожалению, на рынке крайне мало предложений, соответствующих вышеописанным требованиям, однако некоторые бренды все же назвать можно: итальянская Apice, финские Timecon, Lonix, ESMI, американская Jonson Controls и отечественная Itrium. Последняя из перечисленных компаний осознанно применяет аутентификацию в распределенной системе в сочетании с открытым протоколом обмена Lonworks. Хочется надеяться, что это знаменует собой начало эры по-настоящему безопасных систем безопасности.


Возврат к списку
Версия для печати


 Главная  Комплексные решения  Продажа оборудования  Внешний аутсорсинг  Создание концепции 
ООО "СтройГруппАвтоматика" © Разработка сайта