Контроль безопасности компьютерной системы управления с

реклама
В.Г. Промыслов
Институт проблем управления им. В.А. Трапезникова РАН, г. Москва
[email protected],
Москва MLSD 2013
Зона по
системам
безопасности
Зона реакторной
установки (РУ)
Зона групповой
работы
Зона турбинного
отделения
Зона обобщенной
информации по
радиационной
обстановке и пожару
БПУ – общий вид с экраном коллективного пользования
2
ПОЛИТИКА КИБЕРБЕЗОПАСНОСТИ СВБУ АЭС
 для подсистем связанных с управлением политика безопасности строится
с учетом приоритета задач сохранения доступности и целостности СВБУ,




т.е. предотвращение несанкционированной записи.
для подсистем связанных с кибербезопасностью политика безопасности
строится с учетом приоритета задач сохранения конфиденциальности
данных, т.е. предотвращения несанкционированного чтения.
информация в пределах БПУ предоставляется на основе концепции
«Открытого пространства», т.е. доступ к информации без ее изменения
(по чтению) ограничен только наличием физических барьеров,
(приоритет доступности над конфиденциальностью).
персонал, взаимодействующий с СВБУ, имеет организационную
структуру, приведенную на Рисунке 1.
безопасность СВБУ основана на дифференцированном подходе, с
группированием отдельных субъектов и объектов СВБУ с
функциональной точки зрения по уровням безопасности. В пределах
одного уровня безопасности не предусмотрены защитные барьеры.
Пространство кибербезопасности
Упрощенная организационная структура персонала
АЭС в части кибербезопасности СВБУ
Безопасность систем управления
 Конфиденциальность – Целостность -
Доступность
 Зональный подход
Модель безопасности Biba


1.
2.
Приоритет целостности

Информация с низкой
целостностью не должна идти к
объектам с высоким уровнем
целостности
Основные принципы:
Субъект имеет доступ по чтению к
объекту если:
 ( s )   (o )
*-Свойство: Субъект имеет доступ
по записи к объекту если:
(o)  (s)
O3
w
S
O2
r
r
O1
Модель безопасности Bell-LaPadula
1.
2.

Основное свойство кибербезопасности:
Субъект имеет доступ к объекту:  (o)   (s)
O3
*-Свойство: Субъект имеет права записи
в объект:
 (s)   (o)
w
Приоритет сохранения
конфиденциальности
S
O2
r
r
O1
«Брать-давать»/Take-Grant модель
 В модели защищенное состояние системы описывается
как направленный граф отношений.
 Узлы в графе двух типов, один соответствующий
субъекту, другой - объекту. Ребро, направленное из узла
А к другому узлу В указывает, что субъект (или объект)
А имеет некоторое право (права) доступа к субъекту
(или объекту) В. Ребро отмечено набором прав А к В.
 Возможные права доступа - это чтение (r) (read),
использование (w) (write) в части передачи
информации), взятие (t) (take), выдача (g) (grant)
r,w
r,w
r,w
r,w
Lineal hierarchical take-grant security model
r,w
L4
rw
r,w
L3
rw
r,w
L2
rw
r,w
L1
Зоны безопасности
1)
2)
SSup={SSup}
UULS _ AWP  {SSup, USSup, Head_TC,
Head_RC,Operator_RC, Operator_TC,
AWP_TC, AWP_RC, Repairmen}
3)
UULS_Serve r {Server_RC,Server_TC, Gate}
4)
Security_office {AA,Security_officer}
5)
Aux_staff {Aux_staff}
HSAS  {Operator_HSAS, AWP_HSAS,
Head_HSAS, Archive}
6)
Начальный граф доступа
Направление потока данных по
записи по чтению
концепция сохранения целостности
концепция сохранения
конфиденциальности
Заключение
 В работе рассмотрена реализация в системе активного аудита для
мониторинга кибербезопасности СВБУ АЭС в реальном времени.
 В качестве базовой формальной модели использована
формальная модель типа «Брать-давать»
 Главная проблема, при создании системы АА на основе модели
«Брать-давать» является большая размерность начального графа
отношений и как следствие большое время анализа графа доступа,
что требует сбалансированного решения при выборе
необходимого уровня защиты СВБУ и сложности модели.
 Создана модель системы АА реализующая формальную модель
безопасности СВБУАЭС на основе среды Mathematica
В.Г. Промыслов
Институт проблем управления им. В.А. Трапезникова РАН, г. Москва
[email protected],
Москва MLSD 2013
Методы диагностики быстротекущих процессов в сложных
объектах
Методы основанные на анализе данных
Не требуют знания о природе объекта (модель
строиться в ходе работы)
Гибко перенастраиваются в реальном времени
при изменении объекта или его характеристик
Пригодны для малоизученных и
экспериментальных объектов
Методы основанные на физической природе
Требуют предварительного построения модели
объекта
Требуют наличия предварительно
согласованных сценариев
Не пригодны
Методы основанные на экспертных знаниях
Срабатывание
диагностики
Необходимы методы принимающие неполные
и не точные знания
Пригодны для малоизученных и
экспериментальных объектов
Штатная
работа
Разрушение
объекта
(спецификация)
 Реальное время ~1-5 мс
 Число сигналов < 500
 Должна быть приспособлена для диагностики
аварийных ситуаций уникальных объектов
 Должна быть гибкой и настраиваемой
Алгоритмы и методы для
диагностики
 Машинного обучения– Support vector Machines
 Экспертные знания- Fuzzy logic
 Статистические -Cumulative sum control chart
Одноклассовые SVM
{( x1 , t1 ), ( xi , t i ).....( xn , t n )}
ti {1,1}, i  1,..., N
F : X T
N


*
*
t ( x ;  )  sign   i K ( x , xi )  0 
 i 1

  xi  x j
K ( xi , x j )  exp 
 2 2





Пример для одноклассовой SVM
Normal situation
Abnormal
Знания экспертов
Номер параметра
1
1
2
3
4
5
6
7
8
9
10
11
12
13
14
Предшествуе
т аварии
ДП
Во время
аварии
После аварии
2
01
01
11
01
01
10
10
01
10
10
10
10
01
10
3
01
01
11
11
01
10
10
01
10
10
10
10
01
10
4
01
01
11
11
01
10
01
01
10
10
10
10
01
10
Временная диаграмма срабатывания диагностики. Точка 1 (291.386 с
) начал интервала обнаружения аварийной ситуации. Точка 2
(291.401 с) формирования сигнала об обнаружении аварийной
ситуации. Пунктирные линии (3) обнаружение аварийной ситуации и
срабатывание САЗ соответственно (291.41 и 291.51)
Cumulative sum control chart
(CUSUM)
80
140
70
120
60
100
50
80
40
60
30
40
20
20
10
0
0
-10
289.6 289.8
290
290.2 290.4 290.6 290.8
291
291.2 291.4 291.6
-20
289.6 289.8
290
290.2 290.4 290.6 290.8
Data (blue), solving function (red) threshold (black)
Abnormal detection approximately 0.3 s before the
catastrophe
291
291.2 291.4 291.6
С.И. Масолкин, В.Г. Промыслов
Институт проблем управления им. В.А. Трапезникова РАН, г. Москва
[email protected]; [email protected],
Москва MLSD 2013
Архитектура испытательного стенда
DAS
LAN
Diagnostic
System
SCADA
Protection
System
Программная архитектура
Задача
(INI) Задача инициализации.
(I) Задача приема и мультиплексирования
входных сигналов.
(H) Задача алгоритмов жесткого реального
времени.
(S) Задача алгоритмов мягкого реального
времени.
(M) Задача метаалгоритмов и вывода.
(DI) Сервисная диагностика
Класс
задачи
Функция и описание
STT Отвечает за инициализацию ДПО, в частности
производит привязку алгоритмов к
конкретным задачам, обеспечивая
выполнение требований реального времени
(динамическая балансировка).
RTT
Обеспечивает прием входных сигналов и
помещение их во входные кольцевые буфера
RTT
Обеспечивает выполнение тех частей
алгоритмов, которые должны быть
выполнены строго за отведенное время.
Количество задач может быть более 1 в случае
реализации на многопроцессорной системе.
Определяется по результатам верификации
архитектуры системы с учетом
вычислительной сложности алгоритмов и
наличия ресурсов.
STT
Аккумулирует все алгоритмы или их части,
которые не являются жестко таймированы.
Количество задач может быть более 1 в случае
реализации на многопроцессорной системе.
Определяется по результатам верификации
архитектуры системы с учетом
вычислительной сложности алгоритмов и
наличия ресурсов.
RTT
Обеспечивает формирование выходных
сигналов на основании результатов работы
алгоритмов из состава SТT и RTT . Также в эту
задачу входит процесс формирования и
передачи управляющих сигналов.
STT
Обеспечивает выдачу сервисной и
Архитектура и распределения задач в системе
диагностики
CPU2-N/H
CPU
CPU
3-3N/H
N/H
DAS
RTT
Internal
real time
bus
CPU1/I,M
CPUN-M/S
CPU
CPU
3-3N/H
N/H
STT
Internal
real time
bus
CPUM+1/DI, INI
I/O Industrial
Network
LAN
Техническое средство
Sun Server X2-8
Feature
Four or eight Intel Xeon processor E7-8800
series
Integrated Lights Out Manager
Supports up to 128 DIMMs
Features two PCIe Network Express Modules
Compact 5RU form factor
Supports a wide range of enterprise-class
server operating systems
Hot-swappable RAS capabilities, including
I/O, disks, power supply, and cooling fans
Заключение
 Представлена гибкая архитектура системы
диагностики реального времени .
 Сделан обзор алгоритмов пригодных для целей
диагностики тестируемых объектов в реальном
времени
Спасибо за внимание
Вопросы?
Скачать