«Защита ИСУЭ»
Описание
С принятием в 2018 году Федерального закона N 522-ФЗ в России начался переход к интеллектуальному учету электроэнергии. Данный закон ввел понятие "интеллектуальной системы учета электрической энергии (мощности)" (ИСУЭ).
ИСУЭ - это "совокупность функционально объединенных компонентов и устройств, предназначенная для удаленного сбора, обработки, передачи показаний приборов учета электрической энергии, обеспечивающая информационный обмен, хранение показаний приборов учета электрической энергии, удаленное управление ее компонентами, устройствами и приборами учета электрической энергии".
ИСУЭ может иметь два или три функциональных уровня, объединенных различными каналами связи.
Двухуровневая ИСУЭ состоит из приборов учета (ПУ) на нижнем уровне и информационно-вычислительного комплекса (ИВК) на верхнем. ПУ передают данные по различным каналам связи непосредственно в ИВК.
Трехуровневая ИСУЭ имеет еще средний уровень - информационно-вычислительный комплекс электроустановки (ИВКЭ). На этом уровне обычно используются устройства сбора и передачи данных (УСПД) или базовые станции.
УСПД обеспечивает сбор данных с приборов учета, накопление собранной информации и ее передачу в ИВК (обычно по беспроводным каналам связи), а также приём информации из ИВК и отправку её в ПУ.
Эксплуатация оборудования ИВК выполняется в пределах границ контролируемой зоны, УСПД и ПУ обычно устанавливаются вне границ контролируемой зоны.
Большинство применяемых в ИСУЭ протоколов передачи данных (СПОДЭС, СПОДУС, ПИРС, Nb-Fi, LoRA, XNB и т.д.) работают на каналах связи с низкой пропускной способностью. Чаще всего это беспроводные сети GSM, LoRAWAN, ZigBee, Nb-IoT, Nb-Fi, однако встречаются и проводные сети Ethernet, RS-485, а также электрические сети с передачей данных на основе Power-line communication (PLC).
Применяемые средства защиты информации должны стабильно функционировать с учетом этого фактора, а также учитывать количественные характеристики ИСУЭ - от сотен точек учета небольших энергосбытовых компаний до десятков миллионов у крупных.
Согласно постановлению Правительства РФ от 19.06.2020 № 890 «O порядке предоставления доступа к минимальному набору функций интеллектуальных систем учета электрической энергии (мощности)», к ИСУЭ предъявляется ряд обязательных требований по обеспечению информационной безопасности. Минэнерго России разработана «Базовая модель угроз безопасности информации ИСУЭ», согласно которой к объектам защиты должны быть отнесены в том числе данные, обмен которыми осуществляется между ИВК и ПУ, и между ИВК и ИВКЭ (УСПД). Согласно базовой модели угроз, применение средств криптографической защиты информации (СКЗИ) между уровнями ИВК и ИВКЭ является обязательным, а применяемые СКЗИ должны использовать криптографические протоколы, утвержденные для использования в ИСУЭ Приказом Минцифры от 30.12.2020 № 788.
Для определения классов СКЗИ и необходимости применения СКЗИ на других уровнях владельцы ИСУЭ должны разработать частную модель угроз и нарушителя.
Пример общей структурно-коммуникационной схемы ИСУЭ и ПУ
Решение
Для организации надежной защиты информации, передаваемой по каналам связи ИСУЭ, компания ИнфоТеКС разработала решение ViPNet SIES (Security for Industrial and Embedded Solutions).
Это решение соответствует требованиям нормативной-правовой базы Российской Федерации в области защиты информации, не содержащей сведений, составляющих государственную тайну, и Федеральному закону № 187-ФЗ от 26.07.2017.
Решение ViPNet SIES – это комплекс средств криптографической защиты информации, предназначенный для обеспечения информационной безопасности широкого спектра устройств, входящих в ИСУЭ:
- в приборы учета электроэнергии (ПУ) производителем встраивается крипточип ViPNet SIES Core Nano, который имеет набор инженерных мер защиты в соответствии с требованиями к СКЗИ-НР (некорректируемой регистрации) и может эксплуатироваться вне контролируемой зоны;
- в устройства сбора и передачи данных (УСПД), шлюзы, базовые станции производителем устройств встраивается аппаратный криптомодуль ViPNet SIES Core, который может использоваться в устройстве вне контролируемой зоны (при использовании датчика вскрытия корпуса устройства);
- в информационно-вычислительном комплексе (ИВК) на сервер сбора и обработки информации или на отдельный сервер, размещаемый внутри контролируемой зоны (исключающей доступ посторонних лиц), устанавливается ПО ViPNet SIES Unit. При установке на отдельный сервер поддерживается работа с резервированным кластером сервера сбора и обработки информации.
Эти СКЗИ осуществляют шифрование отправляемых и расшифрование принимаемых данных на защищаемых устройствах, проверку целостности полученных данных.
Для защиты данных, передаваемых по каналам связи ИСУЭ, используется криптографический протокол CRISP.
Протокол принят как стандарт ГОСТ Р 71252-2024 «Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем», и входит в перечень утвержденных Приказом Минцифры.
CRISP обеспечивает защиту прикладного и служебного взаимодействия между защищаемыми устройствами поверх используемого протокола связи, позволяет фрагментировать и ограничивать размеры пакетов.
Отличительными особенностями CRISP являются небольшой объем добавляемых данных, отсутствие необходимости установления сессии, возможность фрагментирования и ограничения размера пакетов.
Передача защищенных данных осуществляется штатными средствами по уже используемым ИСУЭ открытым каналам связи.
Для ввода в эксплуатацию и управления средствами защиты SIES в инфраструктуре решения используются следующие управляющие компоненты:
- ПАК ViPNet SIES MC – центр управления;
- ViPNet SIES Smartmeter WS – программное обеспечение для инициализации и ввода в эксплуатацию криптомодулей;
- ПАК ViPNet SIES HSM – ключевой центр для крипточипов.
ViPNet SIES MC — центр управления SIES-узлами (устройствами, в которые встроены СКЗИ). Он устанавливается на верхнем уровне системы и контролирует состояние и режимы работы SIES-узлов, централизованно управляет ключевой информацией.
ViPNet SIES Smartmeter WS — ПО для установки на АРМ локального обслуживания. Применяется совместно с центром управления ViPNet SIES MC. Используется для инициализации криптомодулей перед вводом в эксплуатацию, а также для их локального обслуживания в ходе эксплуатации. Позволяет транслировать служебные команды на криптомодули в отсутствие связи с центром управления ViPNet SIES MC.
ПО ViPNet SIES Smartmeter WS имеет автоматизированный сценарий ввода в эксплуатацию криптомодулей для систем с топологией «звезда».
ПАК ViPNet SIES HSM - ключевой центр для крипточипов ViPNet SIES Core Nano. ПАК ViPNet SIES HSM генерирует ключевую информацию для загрузки в крипточип и предоставляет ее по запросу центра управления ViPNet SIES MC для защищенного взаимодействия крипточипа с другими компонентами системы.
Ключевой центр ViPNet SIES HSM и центр управления ViPNet SIES MC могут использоваться для управления несколькими независимыми системами (сетями).
Защищенная ИСУЭ
В соответствии с решением протокола совещания у Заместителей Председателя Правительства РФ А.В. Новака и Ю.И. Борисова от 09.04.2021 г. и положениями «Базовой модели угроз безопасности информации интеллектуальной системы учета электрической энергии», разработанной Минэнерго России, использование СКЗИ в ИСУЭ должно осуществляться в два этапа:
- на первом этапе – при использовании СКЗИ только на каналах связи между верхним уровнем (ИВК) и промежуточным уровнем (ИВКЭ);
- на втором этапе – при использовании СКЗИ на всех уровнях ИСУЭ, включая приборы учета (ПУ).
Первый этап
Информационное взаимодействие ИВКЭ и ИВК осуществляется в следующем порядке:
- Контроллер УСПД обрабатывает полученные от приборов учета данные и в соответствии со своим алгоритмом работы направляет их в SIES Core для выполнения криптографических преобразований. SIES Core возвращает защищенную информацию контроллеру УСПД для передачи ее в ИВК.
- ИВК, получив защищенные (зашифрованные) данные от УСПД, направляет их в SIES Unit для выполнения обратных криптографических преобразований (расшифрования). SIES Unit после выполнения криптографических операций возвращает информацию в открытом виде в прикладное ПО ИВК для дальнейшей обработки.
Формирование транспортных пакетов в форматах СПОДЭС, СПОДУС и МЭК 60870-5-104 реализуется средствами УСПД и прикладным ПО ИВК.
Второй этап
Информационное взаимодействие ПУ, ИВКЭ и ИВК осуществляется в следующем порядке:
- Прибор учета формирует блок информации для передачи в УСПД и обращается к крипточипу для выполнения криптографических преобразований. Крипточип выполняет запрошенные криптографические операции и возвращает результат прибору учета, который своими средствами направляет защищенную информацию в адрес УСПД.
- УСПД принимает защищенную информацию от прибора учета и направляет ее в SIES Core для осуществления криптографических преобразований. SIES Core производит необходимые криптографические операции с полученной от ПУ информацией и возвращает данные в открытом виде контроллеру УСПД.
- Контроллер УСПД обрабатывает полученные от приборов учета данные и в соответствии со своим алгоритмом работы направляет их в SIES Core для выполнения криптографических преобразований. SIES Core возвращает защищенную информацию контроллеру УСПД для передачи ее в ИВК.
- Прикладное ПО ИВК, получив защищенную информацию от УСПД, направляет ее в SIES Unit для криптографических преобразований. SIES Unit после выполнения криптографических операций возвращает информацию в открытом виде в прикладное ПО ИВК для дальнейшей обработки.
Формирование транспортных пакетов в форматах СПОДЭС, СПОДУС и МЭК 60870-5-104 реализуется средствами ПУ, УСПД и прикладным ПО ИВК.
Дополнительная информация
Для обучения разработке устройств, использующих СКЗИ ViPNet SIES, совместно с НИУ «МЭИ» разработан учебный курс «Введение в разработку защищенных ИСУЭ и АСУ ТП с использованием ViPNet SIES», проводимый на базе Лаборатории по криптографической защите объектов электроэнергетики.
Для проведения работ по оценке влияния УСПД, шлюзов и ПУ при встраивании СКЗИ ViPNet SIES можно воспользоваться услугами испытательной лаборатории «СФБ Лаб», входящей в состав группы компаний «ИнфоТеКС».
Для обучения администраторов безопасности, отвечающих за эксплуатацию подсистемы ИБ ИСУЭ, рекомендуется курс Учебного центра ИнфоТеКС Администрирование ViPNet SIES MC (infotecs-edu.ru).