Safe by design
-
Upload
- -
Category
Engineering
-
view
35 -
download
1
Transcript of Safe by design
![Page 1: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/1.jpg)
Safe by designЗаметки
АСУТПшника
Лифанов Александр
![Page 2: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/2.jpg)
Лифанов Александр Витальевич
С 2013 - технический специалист компании Advantech
C 1999 по 2011 – от программиста АСУТП, пищевое производство до chief technical officer
Кто я такой
![Page 3: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/3.jpg)
Кто «получит» в случае взлома?
ДИРЕКТОР
БЕЗОПАСНИК АСУшник
![Page 4: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/4.jpg)
Структура САУ
(с) Бесекерский В.А., Попов Е.П. «Теория систем автоматизированного управления»
![Page 5: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/5.jpg)
Структура САУ
ВХОДА ПЛК
ОБЪЕКТ
СР-ВО HMI
ДАТЧИК
КОНТРОЛЛЕР
ЭФФЕКТОР
ВЫХОДА ПЛК
Backplane
ОПЕРАТОР
![Page 6: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/6.jpg)
Структура САУ – взгляд ИБ
ВХОДА ПЛК
ОБЪЕКТ
СР-ВО HMI
ДАТЧИК
КОНТРОЛЛЕР
ЭФФЕКТОР
ВЫХОДА ПЛК
Backplane
ОПЕРАТОР
Смена value range
DoS- Подмена программы
- Подмена прошивки
- Отладочный режим
- Раскачка регуляторов
- ….
Thanks to MarinaKrotofil
Operator imitation
Имитация команд
DoS
![Page 7: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/7.jpg)
Структура САУ – взгляд ИБ
(с) Jim Gilsinn “Cyber & Process Attacks Scenarios for ICS”, slideshare.net
![Page 8: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/8.jpg)
Структура САУ – взгляд АСУшника
ВХОДА ПЛК
ОБЪЕКТ
СР-ВО HMI
ДАТЧИК ЭФФЕКТОР
ВЫХОДА ПЛК
Backplane
ОПЕРАТОР
Появилась помеха
Непредусмотренная комбинация событийОчепятка ;)
Западает кнопка,кофе на
клавиатуру
Подклинивает
исп.механизм
Оторвали провод
Thanks to неизвестный
слесарь
КОНТРОЛЛЕР
![Page 9: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/9.jpg)
Безопасные системыОтказоустойчивость – способность системы
сохранять работоспособность при
отказе одного или нескольких частей.
Отказобезопасность – способность системы при
отказе одной или нескольких частей
переходить в режим работы, безопасный для
окружающей среды (контролируемый останов).
Пример:- Siemens S7-400H
Пример:- Siemens S7-
400F- ПАЗ
![Page 10: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/10.jpg)
Переноска воды решетом
Может, сначала убрать дырки?
![Page 11: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/11.jpg)
Правило №1Верить нельзя
никому!
![Page 12: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/12.jpg)
Правило №1- Оператор может ошибаться- Датчик может быть оторван- Электрик может поменять
датчик на другой тип (например 0…6 бар на 0…10 бар)
- Все внешние параметры должны проверяться на допустимость с точки зрения безопасности процесса -> лимитироваться
- Обрыв -> safety value- Safety-critical датчики могут дублироваться другим типом
(например, аналоговый датчик уровня + дискретный датчик максимального уровня)
![Page 13: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/13.jpg)
Правило №2О конечных автоматах думаю я!
![Page 14: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/14.jpg)
Правило №2Не должно быть неопределенных состояний. Где возможно – описывается условие нахождения в состоянии, а не перехода в него.
Насос NH8 включается по командам оператора или в автоматическом режиме:- И Уровень бака Н8 более 20%- И отсутствует сигнал «Бак Н9 занят»
Насос NH8 выключен при:- ИЛИ Срабатывание автомата защиты QNH8- ИЛИ Срабатывание датчика максимального уровня
бака Н9- ИЛИ Уровень бака Н9 более 90%- ИЛИ Уровень бака Н8 менее 2%…
© Wiki, «Автомат Мили»
![Page 15: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/15.jpg)
Правило №3Подстели соломки
![Page 16: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/16.jpg)
Правило №3Где есть возможность – система должна работать автономно, даже в случае обрыва смежника. Или уйти в safety state.
???
© картинка с tecon.ru
???
![Page 17: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/17.jpg)
Правило №4Не надо лишних
сигналов
![Page 18: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/18.jpg)
Правило №4Не надо описывать лишние сигналы «про запас». Понадобится – сделать недолго.
- Коэффициенты PID-регулятора- Калибровка весов (не обнуление!!)- Read-only если не надо управлять
© картинка с tecon.ru Mind
the protocol
![Page 19: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/19.jpg)
Стенд Advantech на PHD V
SWITCH
Wi-FiSCADA
PLC APAX-5620
ADAM-6050 (DI) ADAM-6260 (DO)
LAN1
LAN2
![Page 20: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/20.jpg)
Стенд Advantech на PHD V• SCADA была почти
фейковой (только информационная составляющая)
• Перезапуск ядра SCADA по расписанию
• Автоматический цикл всё равно вёл контроллер
![Page 21: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/21.jpg)
Стенд Advantech на PHD V
• Два раздельных LAN• Наружу теги read-only• На базе WinCE 5• Цикл 50 мс
![Page 22: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/22.jpg)
Стенд Advantech на PHD V• «Умные реле» выполняли
функцию ПАЗ• Цикл также 50 мс
![Page 23: Safe by design](https://reader035.fdocument.pub/reader035/viewer/2022062522/587928481a28ab7c448b4ca1/html5/thumbnails/23.jpg)
Спасибо за внимание!
• [email protected], [email protected]• https://www.facebook.com/groups/advantech.russia.users/• http://asutpforum.ru/viewforum.php?f=119