Размещено на http://www.allbest.ru/

Создание защищенных каналов связи для управления и диспетчеризации котельного оборудования

К.т.н. Н.А. Вершков, начальник службы АСУП,

И.Ф. Колосов, ведущий администратор ЛВС службы АСУП

ГУП СК «Крайтеплоэнерго», г. Ставрополь

Создание территориально-распределенных систем диспетчеризации и, особенно, управления теплотехническим оборудованием сопряжено с рядом рисков, наиболее важным из которых является доступ из сети общего пользования (интернет) к контроллерам котельных. Необходимо отметить, что стремление к централизованному сбору информации и управлению котельным оборудованием является естественным для организаций, у которых оборудование установлено в небольших городах (районных центрах) и селах, в которых наличие квалифицированных инженеров или даже слесарей КИПиА является большой редкостью, не говоря уже о специалистах в области информационных технологий или связи и коммуникаций. В связи с этим специалисты головного офиса такого предприятия вынуждены брать обслуживание такого оборудования на себя, что требует удаленного доступа к контроллерам котельных установок.

Для доступа к контроллеру разработчик чаще всего предоставляет следующие возможности: последовательный доступ по шине RS-232 (485), USB-порт и Ethernet-порт. В зависимости от имеющегося коммуникационного оборудования для передачи значений переменных из карты используются или порт RS-232, или Ethernet-порт. Необходимо отметить, что эти порты используются как для программирования контроллера, так и для чтения (записи) переменных из карты ПЛК.

В связи с этим возникает противоречие: с одной стороны, доступ к порту может быть использован для удаленного программирования ПЛК и сбора информации, что является несомненным преимуществом удаленного управления оборудованием и диспетчеризации, с другой - свободный доступ к портам контроллера ставит под угрозу работу оборудования в случае внешнего несанкционированного вмешательства в программное обеспечение ПЛК (рис. 1). Так широко известен вирус Stuxnet, попавший в систему управления центрифугами иранского ядерного центра, который смог вывести из строя около 1000 центрифуг. Аналогичное программное обеспечение может быть внедрено и в ПЛК.

Для разрешения возникшего противоречия чаще всего применяется виртуальная частная сеть (VPN). Для реализации защиты передаваемой информации существует множество протоколов, которые защищают канал, но все они подразделяются на два вида:

¦ протоколы, инкапсулирующие данные и формирующие VPN соединение;

¦ протоколы, шифрующие данные внутри созданного туннеля.

Учитывая, что в организации, осуществляющей эксплуатацию теплотехнического оборудования, объектов диспетчеризации и управления могут быть десятки или сотни, то такое решение должно быть максимально дешевым. Поэтому оставим попытки установить серьезную криптографическую защиту в связи с ее значительной стоимостью и обратим внимание на первую группу протоколов.

Основное достоинство VPN-канала заключается в том, что пакеты пересылаются от VPN-клиента к VPN-серверу и обратно строго по указанному маршруту, определяемому топологией канала. При этом отсутствуют широковещательные запросы в сети, благодаря которым злоумышленники чаще всего находят активные адреса. Кроме того, подключиться к VPN-клиенту при уже состоявшемся соединении с сервером практически невозможно.

Перейдя к практической реализации каналов связи с контроллерами можно видеть, что подавляющее большинство поставщиков систем управления и диспетчеризации для защиты от несанкционированного доступа (НСД) не предлагает ничего. В этом случае порт для программирования ПЛК закрывается для доступа, остается лишь возможность для чтения/записи переменных из карты в зависимости от настроек OPC-сервера.

контроллер диспетчеризация теплотехнический канал

Для решения данной проблемы был использован SOHO роутер с незначительным энергопотреблением под управлением операционной системы RouterOS level 4. Роутер позволяет инициировать VPN-подключение к указанным PPTP-серверам (допускается подключение к одному резервному PPTP) через модем фирмы Sagemcom Fast 2804 v7 с возможностью подключения резервного канала GSM/CDMA (рис. 2). Такое подключение позволило решить сразу 3 проблемы:

1. Автоматическое резервирование канала: при пропадании ADSL подключения модем автоматически переходит на GSM/CDMA канал, а при появлении - автоматически возвращается на проводную линию;

2. При появлении питания в щите общекотельной автоматики (именно там установлены роутер и модем) автоматически устанавливается VPN-соединение с компьютером, на котором установлен OPC-сервер. Это позволит исключить стороннее подключение к ПЛК.

3. Настроенное дополнительное подключение к резервному серверу позволяет решить вопрос горячего резервирования SCADA-сервера.

Кроме стандартной функции защиты от стороннего подключения можно, используя внутренний роутинг, заменить стандартные порты подключения к ПЛК на нестандартные, что также усложнит задачу недоброжелателю. Использование VPN-каналов для подключения контроллеров позволяет косвенно решить еще и задачу повышения качества и надежности канала связи: за счет жесткой топологии канала связи соединение устанавливается почти мгновенно и не разрушается при кратковременном прерывании связи.

Размещено на Allbest.ru