В.Г. Промыслов Институт проблем управления им. В.А. Трапезникова РАН, г. Москва [email protected], Москва MLSD 2013 Зона по системам безопасности Зона реакторной установки (РУ) Зона групповой работы Зона турбинного отделения Зона обобщенной информации по радиационной обстановке и пожару БПУ – общий вид с экраном коллективного пользования 2 ПОЛИТИКА КИБЕРБЕЗОПАСНОСТИ СВБУ АЭС для подсистем связанных с управлением политика безопасности строится с учетом приоритета задач сохранения доступности и целостности СВБУ, т.е. предотвращение несанкционированной записи. для подсистем связанных с кибербезопасностью политика безопасности строится с учетом приоритета задач сохранения конфиденциальности данных, т.е. предотвращения несанкционированного чтения. информация в пределах БПУ предоставляется на основе концепции «Открытого пространства», т.е. доступ к информации без ее изменения (по чтению) ограничен только наличием физических барьеров, (приоритет доступности над конфиденциальностью). персонал, взаимодействующий с СВБУ, имеет организационную структуру, приведенную на Рисунке 1. безопасность СВБУ основана на дифференцированном подходе, с группированием отдельных субъектов и объектов СВБУ с функциональной точки зрения по уровням безопасности. В пределах одного уровня безопасности не предусмотрены защитные барьеры. Пространство кибербезопасности Упрощенная организационная структура персонала АЭС в части кибербезопасности СВБУ Безопасность систем управления Конфиденциальность – Целостность - Доступность Зональный подход Модель безопасности Biba 1. 2. Приоритет целостности Информация с низкой целостностью не должна идти к объектам с высоким уровнем целостности Основные принципы: Субъект имеет доступ по чтению к объекту если: ( s ) (o ) *-Свойство: Субъект имеет доступ по записи к объекту если: (o) (s) O3 w S O2 r r O1 Модель безопасности Bell-LaPadula 1. 2. Основное свойство кибербезопасности: Субъект имеет доступ к объекту: (o) (s) O3 *-Свойство: Субъект имеет права записи в объект: (s) (o) w Приоритет сохранения конфиденциальности S O2 r r O1 «Брать-давать»/Take-Grant модель В модели защищенное состояние системы описывается как направленный граф отношений. Узлы в графе двух типов, один соответствующий субъекту, другой - объекту. Ребро, направленное из узла А к другому узлу В указывает, что субъект (или объект) А имеет некоторое право (права) доступа к субъекту (или объекту) В. Ребро отмечено набором прав А к В. Возможные права доступа - это чтение (r) (read), использование (w) (write) в части передачи информации), взятие (t) (take), выдача (g) (grant) r,w r,w r,w r,w Lineal hierarchical take-grant security model r,w L4 rw r,w L3 rw r,w L2 rw r,w L1 Зоны безопасности 1) 2) SSup={SSup} UULS _ AWP {SSup, USSup, Head_TC, Head_RC,Operator_RC, Operator_TC, AWP_TC, AWP_RC, Repairmen} 3) UULS_Serve r {Server_RC,Server_TC, Gate} 4) Security_office {AA,Security_officer} 5) Aux_staff {Aux_staff} HSAS {Operator_HSAS, AWP_HSAS, Head_HSAS, Archive} 6) Начальный граф доступа Направление потока данных по записи по чтению концепция сохранения целостности концепция сохранения конфиденциальности Заключение В работе рассмотрена реализация в системе активного аудита для мониторинга кибербезопасности СВБУ АЭС в реальном времени. В качестве базовой формальной модели использована формальная модель типа «Брать-давать» Главная проблема, при создании системы АА на основе модели «Брать-давать» является большая размерность начального графа отношений и как следствие большое время анализа графа доступа, что требует сбалансированного решения при выборе необходимого уровня защиты СВБУ и сложности модели. Создана модель системы АА реализующая формальную модель безопасности СВБУАЭС на основе среды Mathematica В.Г. Промыслов Институт проблем управления им. В.А. Трапезникова РАН, г. Москва [email protected], Москва MLSD 2013 Методы диагностики быстротекущих процессов в сложных объектах Методы основанные на анализе данных Не требуют знания о природе объекта (модель строиться в ходе работы) Гибко перенастраиваются в реальном времени при изменении объекта или его характеристик Пригодны для малоизученных и экспериментальных объектов Методы основанные на физической природе Требуют предварительного построения модели объекта Требуют наличия предварительно согласованных сценариев Не пригодны Методы основанные на экспертных знаниях Срабатывание диагностики Необходимы методы принимающие неполные и не точные знания Пригодны для малоизученных и экспериментальных объектов Штатная работа Разрушение объекта (спецификация) Реальное время ~1-5 мс Число сигналов < 500 Должна быть приспособлена для диагностики аварийных ситуаций уникальных объектов Должна быть гибкой и настраиваемой Алгоритмы и методы для диагностики Машинного обучения– Support vector Machines Экспертные знания- Fuzzy logic Статистические -Cumulative sum control chart Одноклассовые SVM {( x1 , t1 ), ( xi , t i ).....( xn , t n )} ti {1,1}, i 1,..., N F : X T N * * t ( x ; ) sign i K ( x , xi ) 0 i 1 xi x j K ( xi , x j ) exp 2 2 Пример для одноклассовой SVM Normal situation Abnormal Знания экспертов Номер параметра 1 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Предшествуе т аварии ДП Во время аварии После аварии 2 01 01 11 01 01 10 10 01 10 10 10 10 01 10 3 01 01 11 11 01 10 10 01 10 10 10 10 01 10 4 01 01 11 11 01 10 01 01 10 10 10 10 01 10 Временная диаграмма срабатывания диагностики. Точка 1 (291.386 с ) начал интервала обнаружения аварийной ситуации. Точка 2 (291.401 с) формирования сигнала об обнаружении аварийной ситуации. Пунктирные линии (3) обнаружение аварийной ситуации и срабатывание САЗ соответственно (291.41 и 291.51) Cumulative sum control chart (CUSUM) 80 140 70 120 60 100 50 80 40 60 30 40 20 20 10 0 0 -10 289.6 289.8 290 290.2 290.4 290.6 290.8 291 291.2 291.4 291.6 -20 289.6 289.8 290 290.2 290.4 290.6 290.8 Data (blue), solving function (red) threshold (black) Abnormal detection approximately 0.3 s before the catastrophe 291 291.2 291.4 291.6 С.И. Масолкин, В.Г. Промыслов Институт проблем управления им. В.А. Трапезникова РАН, г. Москва [email protected]; [email protected], Москва MLSD 2013 Архитектура испытательного стенда DAS LAN Diagnostic System SCADA Protection System Программная архитектура Задача (INI) Задача инициализации. (I) Задача приема и мультиплексирования входных сигналов. (H) Задача алгоритмов жесткого реального времени. (S) Задача алгоритмов мягкого реального времени. (M) Задача метаалгоритмов и вывода. (DI) Сервисная диагностика Класс задачи Функция и описание STT Отвечает за инициализацию ДПО, в частности производит привязку алгоритмов к конкретным задачам, обеспечивая выполнение требований реального времени (динамическая балансировка). RTT Обеспечивает прием входных сигналов и помещение их во входные кольцевые буфера RTT Обеспечивает выполнение тех частей алгоритмов, которые должны быть выполнены строго за отведенное время. Количество задач может быть более 1 в случае реализации на многопроцессорной системе. Определяется по результатам верификации архитектуры системы с учетом вычислительной сложности алгоритмов и наличия ресурсов. STT Аккумулирует все алгоритмы или их части, которые не являются жестко таймированы. Количество задач может быть более 1 в случае реализации на многопроцессорной системе. Определяется по результатам верификации архитектуры системы с учетом вычислительной сложности алгоритмов и наличия ресурсов. RTT Обеспечивает формирование выходных сигналов на основании результатов работы алгоритмов из состава SТT и RTT . Также в эту задачу входит процесс формирования и передачи управляющих сигналов. STT Обеспечивает выдачу сервисной и Архитектура и распределения задач в системе диагностики CPU2-N/H CPU CPU 3-3N/H N/H DAS RTT Internal real time bus CPU1/I,M CPUN-M/S CPU CPU 3-3N/H N/H STT Internal real time bus CPUM+1/DI, INI I/O Industrial Network LAN Техническое средство Sun Server X2-8 Feature Four or eight Intel Xeon processor E7-8800 series Integrated Lights Out Manager Supports up to 128 DIMMs Features two PCIe Network Express Modules Compact 5RU form factor Supports a wide range of enterprise-class server operating systems Hot-swappable RAS capabilities, including I/O, disks, power supply, and cooling fans Заключение Представлена гибкая архитектура системы диагностики реального времени . Сделан обзор алгоритмов пригодных для целей диагностики тестируемых объектов в реальном времени Спасибо за внимание Вопросы?