ГОСТ Р 56205-2014/IEC/TS 62443-1-1:2009. Национальный стандарт Российской Федерации. Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 1-1. Терминология, концептуальные положения и модели
6.3. Объектные модели
6.3.1 Общие положения
Современные системы управления - это сложные компьютерные сети со множеством взаимосвязанных компонентов, которые выполняют разнообразные функции, обеспечивая безопасное и эффективное функционирование химических заводов, заводов по изготовлению автомобильных деталей, трубопроводов, средств выработки электроэнергии, сетей передачи и распределения и многих других промышленных объектов, систем транспортировки и инженерных коммуникаций.
Одно время такие системы были изолированы от других компьютеров предприятия и в них использовалось проприетарное аппаратное и программное обеспечение и сетевые протоколы. Сейчас дело обстоит иначе, поскольку разработчики систем управления приняли на вооружение коммерчески доступную информационную технику из-за ее ценовых преимуществ, а бизнес-потребности послужили стимулом к объединению систем управления с коммерческими информационными системами.
С точки зрения безопасности следует уделять особое внимание самому управляющему оборудованию, пользователям этого оборудования, соединениям между компонентами системы управления и ее взаимосвязям с бизнес-системами и другими сетями.
Настоящий стандарт применим к широкому спектру систем промышленной автоматики и контроля, которые используются в ряде отраслей промышленности. Таким образом, объектная модель должна по возможности стартовать на верхнем уровне, а также быть достаточно универсальна и применима ко всем ситуациям, в которых применяются системы управления. См. рисунок 14.
Может быть связано
┌───────────────────┐ (могут быть связаны) ┌───────────────────┐
│ │ через │ │
│ Предприятие │<─────────────────────┤ Интернет │
│ │ │ │
└───────────────────┘ └───────────────────┘
Может/могут /\
содержать │ Может быть связано
┌─────────┴─────────┐ (могут быть связаны) ┌───────────────────┐
│ Географические │ через │ │
│ объекты │<─────────────────────┤ WAN │
│ │ │ │
└───────────────────┘ └───────────────────┘
Может/могут /\
содержать │ Может быть связано
┌─────────┴─────────┐ (могут быть связаны) ┌───────────────────┐
│ Локализованные │ через │ LAN или │
│ или удаленные │<─────────────────────┤ распределенная │
│ участки │ │ сеть │
└───────────────────┘ └───────────────────┘
Должен/должны /\
содержать │ Может быть связано
┌─────────┴─────────┐ (могут быть связаны) ┌───────────────────┐
│ Линии, блоки, │ через │ │
│ ячейки, │<─────────────────────┤ Управляющие │
│транспортировочные │ │ сети │
│ средства и т.д. │ │ │
└───────────────────┘ └───────────────────┘
Должен/должны /\
содержать │ Может быть связано
┌─────────┴─────────┐ (могут быть связаны) ┌───────────────────┐
│ Управляющее │ через │ Управляющие │
│ оборудование │<─────────────────────┤ сети │
│ │ │ │
└───────────────────┘ └───────────────────┘
Должен/должны /\
содержать │ Может быть связано
┌─────────┴─────────┐ (могут быть связаны) ┌───────────────────┐
│ Промышленные │ через │ Сети │
│ устройства │<─────────────────────┤ I/O │
│ I/O │ │ │
└───────────────────┘ └───────────────────┘
Должен/должны /\
содержать │
┌─────────┴─────────┐
│ Датчики и │
│ исполнительные │
│ механизмы │
└───────────────────┘
Рисунок 14 - Пример модели объектов
непрерывного производства
Поскольку сети играют в безопасности важную роль, объектная модель включает в себя в явной форме сетевые элементы, которые обычно присутствуют на каждом уровне иерархии. На каждом уровне оборудование (или помещения) связано между собой сетью соответствующего типа. Несмотря на то, что сами сети могут быть связаны между собой, данная модель не иллюстрирует этой связи.
Как и в случае с базовой моделью, прикладным системам SCADA соответствует несколько иное изображение. Типичная объектная модель SCADA показана на рисунке 15.
Может быть связано
┌───────────────────┐ (могут быть связаны) ┌───────────────────┐
│ │ через │ │
│ Предприятие │<─────────────────────┤ Интернет │
│ │ │ │
└───────────────────┘ └───────────────────┘
Может/могут /\
содержать │ Может быть связано
┌─────────┴─────────┐ (могут быть связаны) ┌───────────────────┐
│ Центры │ через │ │
│ управления │<─────────────────────┤ WAN │
│ │ │ │
└───────────────────┘ └───────────────────┘
Должен/должны /\
содержать │
┌─────────┴─────────┐ Должно быть ┌───────────────────┐
│ Оборудование │ связано через │ Коммуникационная │
│ диспетчерского │<─────────────────────┤ сеть │
│ контроля │ │ │
└───────────────────┘ └───────────────────┘
/\
┌───────────────────┐ Должны быть │
│ Удаленные │ соединены с │
│ объекты ├────────────────────────────────┘
└───────────────────┘
Должен/должны /\
содержать │ Может быть связано
┌─────────┴─────────┐ (могут быть связаны) ┌───────────────────┐
│ Управляющее │ через │ Сети │
│ оборудование │<─────────────────────┤ управления │
│ │ │ │
└───────────────────┘ └───────────────────┘
Должен/должны /\
содержать │ Может быть связано
┌─────────┴─────────┐ (могут быть связаны) ┌───────────────────┐
│ Промышленные │ через │ Сети │
│ устройства │<─────────────────────┤ I/O │
│ I/O │ │ │
└───────────────────┘ └───────────────────┘
Должен/должны /\
содержать │
┌─────────┴─────────┐
│ Датчики и │
│ исполнительные │
│ механизмы │
└───────────────────┘
Рисунок 15 - Пример модели объектов системы SCADA
Данная объектная модель отражает вспомогательные информационные системы, которые могут присутствовать на различных уровнях иерархии. Такие системы не управляют процессом напрямую, но взаимодействуют с управляющим оборудованием, получая от него данные и направляя ему команды и технологические инструкции. Информационные системы линий, участков и объектов служат также хранилищами производственной информации, которая предоставляется пользователям в пределах всего предприятия, и могут взаимодействовать с приложениями для планирования ресурсов предприятия, действующими в корпоративном дата-центре.
При необходимости модель может быть сжата или расширена для отражения рассматриваемого субъекта, при условии, что она согласуется с другими моделями и изображениями. Например, применительно к заводу, имеющему только один участок, можно обойтись без классификации таких участков, при условии, что базовая архитектура и полученная в итоге зона отражают сжатую объектную модель.
6.3.2 Предприятие
Предприятие - это субъект хозяйствования, который производит и транспортирует продукцию или эксплуатирует и обслуживает инфраструктурные сервисы. Предприятия часто бывают соединены с Интернетом для обмена данными с другими предприятиями или предоставления информации и сервисов (таких как электронная почта) наемным сотрудникам. Предприятия обычно используют один или более дата-центров для обработки информации в соответствии с требованиями предприятия. Безопасность бизнес-процессов, поддерживаемых такими IT-объектами, выходит за рамки настоящего стандарта.
6.3.3 Географические объекты
6.3.3.1 Общие положения
Объект - это подмножество физической, географической или логической группы имущественных объектов предприятия. Объект может содержать участки, производственные линии, технологические ячейки и установки, центры управления и транспортировочные средства. Объекты могут быть связаны с другими объектами посредством WAN. Объект может содержать информационные системы, такие как система управления производством, которая координирует производственные процессы на объекте.
6.3.3.2 Центр управления
Центр управления - это особый тип объекта. На предприятиях промышленной инфраструктуры обычно используются один или более центров управления для контроля или координации процессов, происходящих на предприятии. Если центров управления на предприятии несколько (например, имеется резервный центр на отдельной территории объекта), то они, как правило, связаны между собой посредством WAN. Центр управления содержит хост-компьютеры SCADA и соответствующие устройства отображения информации для операторов, а также вспомогательные информационные системы, такие как сервер архивных данных.
6.3.3.3 Удаленный объект
Удаленные объекты содержат оборудование в форме PLC, RTU или интеллектуальных электронных устройств (IED), которые отвечают за отслеживание и управление процессами, происходящими внутри или снаружи объекта. Удаленные объекты соединены с центром управления через коммуникационную сеть (иногда называемую также телеметрической сетью). Удаленные объекты могут быть соединены и между собой (например, для упрощения таких функций как релейная защита между подстанциями в сети электропередач).
6.3.4 Участок
Участок - это подмножество физической, географической или логической группы имущественных объектов, расположенных на территории производственного объекта. Участок может содержать производственные линии, технологические ячейки и единицы оборудования. Участки могут быть связаны между собой через LAN объекта и содержать информационные системы, которые соответствуют операциям, осуществляемым на участках.
6.3.5 Линии, блоки, ячейки, транспортировочные средства
Участки образованы низкоуровневыми элементами, осуществляющими функции изготовления, управления инфраструктурными объектами или транспортировки. Субъекты на этом уровне могут быть связаны между собой зональной сетью управления и содержать информационные системы, которые соответствуют операциям, осуществляемым в субъектах.
6.3.6 Оборудование диспетчерского контроля
Оборудование диспетчерского контроля включает в себя компьютерные серверы, человеко-машинные интерфейсы, LAN и коммуникационные устройства, позволяющие операторам дистанционно контролировать работу и управлять техническими средствами, которые рассредоточены на большой географической области.
6.3.7 Управляющее оборудование
Управляющее оборудование включает в себя DMS, PLC, контроллеры движения, интеллектуальные накопители и соответствующие пульты операторов, используемые для управления и контроля процесса. Термин распространяется также на промышленные сети, где логика и алгоритмы управления реализованы на интеллектуальных периферийных устройствах, координирующих процессы в таких сетях.
6.3.8 Промышленная сеть ввода/вывода
Промышленная сеть ввода/вывода представляет собой соединительное звено (проводное или беспроводное), которое связывает эти элементы с управляющим оборудованием
6.3.9 Датчики и исполнительные механизмы
Датчики и исполнительные механизмы представляют собой оконечные элементы, соединенные с технологическим оборудованием.
6.3.10 Управляемое оборудование
Ниже уровня объектов системы управления стоят объекты, которые составляют управляемое оборудование. Этот уровень соотносят также с физическим или эксплуатационным процессом.
Подписаться на обновления