Spis treści

FDIR – PRZEZNACZENIE I CELOWOŚĆ WDROŻENIA W OSD ........................................................................................ 3

KRZYSZTOF KALUSIŃSKI

MICROBEL - ZAAWANSOWANE STEROWNIKI SIECI SN ............................................................................................ 10

KRZYSZTOF KALUSIŃSKI

BEZPIECZEŃSTWO IT JAKO WAŻNE OGNIWO OCHRONY INFRASTRUKTURY KRYTYCZNEJ ......................................... 24

TOMASZ DĄBROWSKI

BEZPIECZEŃSTWO INFORMATYCZNE URZĄDZEŃ PRODUKCJI APATOR ELKOMTECH ................................................ 42

KRZYSZTOF SZANIAWSKI, ROMAN TRAWIŃSKI

RSU – NOWA PLATFORMA STEROWNIKÓW APATOR .............................................................................................. 52

ROMAN TRAWIŃSKI, ADAM KACZOROWSKI

BADANIE PALNOŚCI TWORZYW SZTUCZNYCH STOSOWANYCH W APARATACH ELEKTRYCZNYCH NA PRZYKŁADZIE

ROZŁĄCZNIKÓW BEZPIECZNIKOWYCH LISTWOWYCH IZOLACYJNYCH NISKIEGO NAPIĘCIA ....................................... 59

MIROSŁAW SCHWANN

MONITORING ROZDZIELNICY NN 4GRID INSPECT NA BAZIE NOWYCH ROZŁĄCZNIKÓW TYPU SMARTARS PRO,

ASPEKTY BHP PRZY OBSŁUDZE I MONTAŻU ............................................................................................................ 87

ŁUKASZ MELKOWSKI

LICZNIK SMARTESOX – BILANSOWANIE, MONITOROWANIE JAKOŚCI ENERGII I AWARII W SIECI .............................. 92

CEZARY MIKOWSKI

Apator Elkomtech SA przysługuje całość praw autorskich oraz praw własności przemysłowej do przekazanych

materiałów. Przekazanie lub udostępnienie przez Apator Elkomtech SA jakichkolwiek materiałów szkoleniowych nie

stanowi podstawy przeniesienia ani udzielenia użytkownikowi jakichkolwiek praw do takich materiałów,

w szczególności autorskich praw majątkowych ani praw do egzemplarza tych materiałów. Jest niedozwolone

zwielokrotnianie materiałów; wprowadzanie do obrotu, użyczenie lub najem oryginału albo egzemplarzy; wystawianie,

wyświetlenie, a także publiczne udostępnianie materiałów w taki sposób, aby każdy mógł mieć do niego dostęp

w miejscu i w czasie przez siebie wybranym.

FDIR – przeznaczenie i celowość wdrożenia w OSD

Krzysztof Kalusiński

Wprowadzenie przez Urząd Regulacji Energetyki nowego modelu regulacji działania - regulacji jakościowej

- niesie za sobą konieczność realizacji ściśle sprecyzowanych celów. Jednym z nich - prócz wzrostu

efektywności, poprawy jakości obsługi klienta, czy racjonalizacji zużycia energii elektrycznej - jest

zapewnienie ciągłości i niezawodności dostaw energii elektrycznej, przekładające się na poprawę

i uzyskanie najwyższych z możliwych parametrów jakościowych pracy sieci dystrybucyjnej.

1. System odbudowy zasilania SN

W realizację poprawy parametrów pracy sieci SN idealnie wpisuje się system odbudowy zasilania FDIR

(Fault Detection Isolation and Restoration), stanowiący jeden z elementów kompleksowego systemu

automatyzacji pracy sieci i obsługi awarii realizowanego przez Apator Elkomtech. Główną cechą systemu

FDIR jest przede wszystkim znaczące skrócenie czasu trwania, a także ograniczenie obszaru występowania

przerw w dostawie energii elektrycznej. Dzięki ograniczeniu do minimum obszarów trwale pozbawionych

zasilania, w automatyczny i skuteczny sposób poprawiane są współczynniki niezawodnościowe sieci SAIDI

i SAIFI.

Algorytm automatyki FDIR automatycznie lokalizuje i izoluje uszkodzony odcinek linii SN, otwierając

w stanie beznapięciowym odpowiednie łączniki znajdujące się w głębi sieci (np. rozłączniki, odłączniki), po

czym automatycznie przywraca zasilanie nieuszkodzonych fragmentów sieci przez zamknięcie łączników

w punktach podziału.

Najważniejsze cechy systemu odbudowy zasilania Apator Elkomtech:

A. Elastyczność wdrożenia

Architektura modułu pozwala na realizację systemu odbudowy zasilania dla różnych obszarów sieci

dystrybucyjnej średniego napięcia pod względem:

Rodzaju sieci (napowietrzna, kablowa, mieszana)

Geograficznego obszaru obejmowania - od jednej do kilkudziesięciu linii

Ilościowego - od kilku do kilkudziesięciu stacji

Sposobu uziemienia punktu neutralnego sieci (uziemiona, skompensowana, izolowana)

System odbudowy zasilania SN Apator Elkomtech może uwzględniać wszelkie zainstalowane już w sieci

urządzenia m.in. wskaźniki zwarć, łączniki zdalnie sterowane, wskaźniki obecności napięcia itd. dzięki

czemu jego wdrożenie jest prawdopodobnie najbardziej ekonomicznym rozwiązaniem na rynku.

B. Uniezależnienie od producentów urządzeń

Z uwagi na fakt, że rozwiązanie oparte jest na systemie informatycznym, a nie na rozwiązaniu sprzętowym,

jak u niektórych dostawców, jest ono niezależne od wyboru producenta urządzeń automatyki

zastosowanych na sieci. Pozwala to w przyszłości na uniknięcie uzależnienia się klienta od jednego

producenta urządzeń.

C. Bezpieczeństwo wdrożenia

Moduł automatyki FDIR stanowi integralną część systemu dyspozytorskiego WindEx - dzięki czemu

wdrożenie nie wymaga niebezpiecznej, a w wielu przypadkach również kosztownej integracji z systemem

SCADA. Takie podejście gwarantuje szybkie i pewne wdrożenie automatyki FDIR na dowolnym

wytypowanym obszarze sieci SN.

D. Przejrzystość i łatwość obsługi + pełna kontrola pracy

Działanie modułu automatyki FDIR w systemie dyspozytorskim pozwala na pełną i szybką ocenę

(diagnostykę) stanu pracy algorytmu. Działaniu algorytmu towarzyszy pełny zapis zdarzeń w dzienniku

dyspozytorskim (z odpowiednim oznaczeniem - dla rozróżnienia zdarzeń wynikających z działania FDIR).

E. Bezpieczeństwo pracy

Algorytm działania FDIR wykorzystuje wszelkie dostępne i ważne sygnały, mogące mieć wpływ na

bezpieczeństwo pracy ludzi (np. prace brygad w sieci, założenie uziemników, zmostkowania itd.), a także

bezpieczeństwo pracy sieci (np. sygnały niskiego ciśnienia gazu SF6, rozładowania akumulatorów, braku

łączności z obiektami, blokady stanów łączników w systemie itd.).

Dodatkowo system dyspozytorski nadzoruje realizację każdego z kolejnych przełączeń w sieci, zapewniając

bezpieczeństwo i jednoznaczność sterowań, możliwość ciągłego nadzoru oraz weryfikacji, a także

ingerencji w pracę algorytmu

F. Pełna integracja z systemem nadzoru WindEx

Moduł automatyki FDIR jest w pełni zintegrowany z systemem dyspozytorskim WindEx. Dzięki takiemu

podejściu uzyskuje się maksymalną szybkość działania, wykorzystanie standardowego interfejsu

użytkownika, skalowalność rozwiązania oraz pełną archiwizację podjętych działań, analogicznie jak

w systemie WindEx.

2. Wdrożenia automatyki FDIR

Apator Elkomtech we współpracy z krajowymi OSD może pochwalić się kilkoma wdrożeniami tego typu

algorytmu w systemie dyspozytorskim na szerokim obszarze sieci dystrybucyjnej. Zrealizowane projekty

stanowią jeden z kroków realizacji celów regulacji jakościowej.

Przykład (patrz Załącznik 1, Rys.1.)

Obszar wdrożenia automatyki, wybrany przez zamawiającego, obejmuje 2 linie napowietrzno-kablowe

średniego napięcia (zasilane z 2 niezależnych punktów zasilania GPZ) zawierające łącznie 15 jedno- lub

wielo- rozłącznikowych stacji SN oraz kilkanaście stacji wyposażonych jedynie we wskaźniki przepływu

prądu zwarciowego - przygotowanych do dalszej rozbudowy systemu. Do komunikacji sterowników w głębi

sieci z systemem dyspozytorskim wykorzystywana jest łączność radiowa w technologii GSM/3G.

3. Kluczowe elementy wpływające na efektywność pracy systemu automatyki

FDIR

A. Łączność

Jest to jeden z najistotniejszych czynników, które mają wpływ na poprawną pracę automatyki. Pewność

dostarczenia informacji jest kluczowa dla bezawaryjnej pracy układu. W przypadku zbyt długiego

transportowania informacji o przepływie prądu zwarciowego, albo wręcz jej braku, można doprowadzić

do błędnej oceny stanu sieci. W konsekwencji automatyka się zablokuje albo, w najlepszym razie, nie

wykona pełnego cyklu działania.

Należy pamiętać o tym, że automatyka może być pobudzana również w czasie awarii masowych. Zatem

jest szczególnie istotnym, by kanały telemechaniki, którymi jest przekazywana informacja o stanie sieci

były drożne w tym czasie. Takie kryterium wydaje się być spełnione dla prywatnej łączności radiowej (np.

TETRA, NETMAN itp.), czy też łączności z wykorzystaniem sieci Ethernet (Rys.2).

Łączność GSM jest bardziej podatna na efekty przepełnienia, gdyż w czasie awarii zwiększa się liczba

jednocześnie prowadzonych rozmów na danym obszarze, co powoduje trudności w przesłaniu innych

rodzajów danych.

Rys. 2. Ideowy schemat powiązań urządzeń w automatyce FDIR

B. Telemechanika stacji wnętrzowych i punktów rozłącznikowych SN

Kolejny z najistotniejszych czynników, które mają wpływ na efektywność pracy automatyki FDIR - i jeden

z elementów najbardziej wpływających na realizację założeń regulacji jakościowej.

Największe zmniejszenie współczynników niezawodności sieci SAIDI oraz SAIFI jest możliwe do osiągnięcia

poprzez wydzielenie możliwie jak najmniejszego obszaru zwarcia, przywracając zasilanie na pozostałych

odcinkach sieci. Aby to uzyskać, konieczne jest nasycenie sieci stelemechanizowanymi łącznikami SN,

zintegrowanymi ze wskaźnikami przepływu prądu zwarcia.

O ile instalacja wskaźników zwarć bez łączników zdalnie sterowanych (np. na liniach napowietrznych) może

w pewnym stopniu wpłynąć na obniżenie współczynnika SAIDI (szybsze i łatwiejsze odnalezienie miejsca

zwarcia przez brygadę pogotowia energetycznego), o tyle ma niewielki wpływ na obniżenie współczynnika

SAIFI (brak możliwości rekonfiguracji sieci

C. Wskaźnik zwarcia

Niezbędnym elementem poprawnego działania automatyki FDIR jest otrzymanie z głębi sieci pewnej

i spójnej informacji o przepłynięciu prądu zwarciowego.

W tym celu konieczny jest odpowiedni dobór wskaźników zwarć do typu sieci oraz ich poprawna nastawa.

Należy mieć świadomość, że nastawy wskaźników zwarć są obliczane dla układu normalnego pracy sieci -

zatem każda zmiana układu (czy to spowodowana działaniem automatyki, czy operacją dyspozytora) wiąże

się z konieczną weryfikacją nastaw wskaźników zwarć i w razie konieczności ich zmianą w urządzeniu.

Cechy wskaźników zwarć wpływające na efektywność pracy oraz łatwość wdrożenia i eksploatacji

automatyki FDIR:

Pomiar wartości elektrycznych U oraz I - oraz ich przesyłanie do systemu SCADA (niezbędne dla

realizacji dynamicznej automatyki FDIR)

Wielokryterialność - kryteria wskaźnika zwarć odpowiednio dopasowane do sposobu pracy sieci

SN (izolowana, uziemiona przez rezystor, skompensowana) - kryteria nadprądowe,

ziemnozwarciowe, admitancyjne, ziemnozwarciowe kierunkowe itd.

Możliwość zdalnej zmiany nastaw kryteriów wskaźnika zwarć (z dokładnością do 1-go

parametru)

Funkcja rejestratora zakłóceń - dla analizy poprawności nastaw i działania wskaźnika

Możliwość wykonania zdalnego testu zadziałania + zdalne kasowanie zadziałania wskaźnika

Z tego też względu Apator Elkomtech stworzył nową gamę sterowników - microBEL - realizujących funkcje

sterowników telemechaniki i wskaźników przepływu prądu zwarciowego - idealnie dostosowaną do

współpracy z automatyką FDIR.

D. Punkty podziału sieci - zasilanie awaryjne

Dla efektywnej i pełnej (Fault Detection, Isolation and Restoration) pracy systemu odbudowy zasilania

ważna jest możliwość zasilenia odizolowanych od zwarcia odcinków sieci poprzez punkty podziału sieci.

Im więcej jest punktów zasilania awaryjnego, tym bardziej efektywnie (np. pod względem możliwości

przejęcia obciążenia) algorytm automatyki FDIR może przywrócić zasilanie na zdrowych odcinkach sieci.

W przypadku, gdy punktów podziału sieci jest mało bądź wcale (linia promieniowa) system może

realizować jedynie funkcje detekcji i izolacji miejsca zwarcia (Fault Detection and Isolation), pozostawiając

niezasilone zdrowe odcinki danej linii/sieci.

E. Typy łączników

Z punktu widzenia działania automatyki nie ma znaczenia typ/rodzaj stosowanego łącznika. Krytyczny jest

czas dostarczenia informacji o zmianie stanu po wysłaniu polecenia sterowniczego. Istnieje możliwość

dostosowania tego czasu indywidualnie dla każdego rodzaju łącznika (np. odłącznik, rozłącznik, reklozer).

Natomiast z punktu widzenia bezpieczeństwa pracy sieci i aparatury elektroenergetycznej ogromny wpływ

ma zastosowanie reklozerów w jednym ciągu liniowym SN. Zwiększanie ilości tych aparatów - przy

jednoczesnym zachowaniu selektywności działania - znacząco wpływa na wydłużenie czasu zadziałania

zabezpieczeń w GPZ.

4. Podsumowanie

Moduł automatyki FDIR w systemie dyspozytorskim WindEx opracowany przez Apator Elkomtech w pełni

wpisuje się w możliwość realizacji przez OSD elementów regulacji jakościowej.

Wdrożenia i testy wykonane u kilku OSD potwierdzają zasadność stosowania automatyki FDIR w liniach

średniego napięcia (napowietrznych, kablowych, mieszanych).

Przejrzystość działania systemu odbudowy zasilania połączona z zapewnieniem niezbędnego

bezpieczeństwa pracy ludzi i sieci energetycznej daje możliwość pewnej, autonomicznej pracy, dzięki

której w znaczącym stopniu zostają poprawione współczynniki jakościowe SAIDI i SAIFI.

Istnieje jednak wiele elementów znacząco wpływających na efektywność oraz poprawność pracy modułu

automatyki FDIR:

Pewna, niezakłócona i szybka łączność

Stopień stelemechanizowania stacji wnętrzowych

punktów rozłącznikowch SN

Wskaźniki zwarć, ich odpowiedni dobór i nastawy

Wielowariantowość przywrócenia zasilania poprzez punkty podziału sieci

Odpowiedni dobór aparatów w sieci

System jest tak doskonały - jak jego najsłabsze ogniwo.

Załącznik 1.

Rys. 1. Przykład - Obszar wdrożenia automatyki FDIR

MicroBEL - zaawansowane sterowniki sieci SN

Krzysztof Kalusiński

Rozwój technologii internetowych i zaawansowanych sieci teleinformatycznych - w coraz większym

stopniu wykorzystywany w nowoczesnej infrastrukturze elektroenergetycznej - daje niesamowite

możliwości wykorzystania, adaptacji oraz integracji rozwiązań, wymagając przy tym zupełnie nowego,

całościowego spojrzenia na bezpieczeństwo pracy sieci elektroenergetycznych.

Zagrożenia płynące z coraz szerszego wykorzystania sieci informatycznych, co pokazują ostatnie

wydarzenia związanie z cyberatakami, stawiają bezpieczeństwo informatyczne w pozycji czynnika

strategicznego, warunkującego poprawną pracę infrastruktury energetycznej.

W związku z ciągłym rozwojem naszej linii produktowej pragniemy przedstawić Państwu nową linię

urządzeń, rozszerzającą grupę małych sterowników telemechaniki, wskaźników przepływu prądu zwarcia

i koncentratorów komunikacyjnych - microBEL - zapewniającą pełne bezpieczeństwo sieciowe,

wykorzystywane w najnowocześniejszych systemach energetycznych.

1. Rodzina produktów microBEL

MicroBEL jest rodziną produktów zaprojektowaną w celu zapewnienia dużo większych możliwości

funkcjonalnych i konfiguracyjnych w stosunku do znanej Państwu rodziny mBEL

- która sukcesywnie będzie zastępowana nową rodziną urządzeń microBEL.

W związku z tym urządzenia te oparte są o nową platformę sprzętową. Dzięki zastosowaniu procesora

o dużej mocy obliczeniowej, skalowalnemu podsystemowi wejść/wyjść i pomiarów oraz bogatej

funkcjonalności konfiguracyjnej - urządzenia microBEL charakteryzują się dużą elastycznością

zastosowania, idącą w parze z wysoką dokładnością i pewnością działania.

Rodzina produktów microBEL jest dostosowana do wymagań bezpieczeństwa informatycznego stawianych

najnowocześniejszym systemom IT, wspierających metody zabezpieczenia połączeń i szyfrowania danych.

2. Budowa, konstrukcja microBEL

MicroBEL jest urządzeniem modułowym, co zapewnia dużą elastyczność zastosowania oraz wygodę

użytkowania. Dedykowane moduły wejść/wyjść binarnych oraz pomiarów analogowych pozwalają na

kompleksową obsługę szerokiej gamy spotykanych na rynku wielopolowych rozdzielni wnętrzowych czy

punktów wielorozłącznikowych sieci SN.

Rys.1 - Widok urządzenia microBEL.

Porty komunikacyjne

MicroBEL wyposażony jest w maksymalnie 5 portów komunikacyjnych:

Ethernet 10/100Base-Tx

1xRS232 - do podłączenia zewnętrznego radiomodemu

2xRS422/485 - do podłączenia urządzeń podrzędnych

Wbudowany modem GSM/3G

Znaczącą zmianą w stosunku do poprzednika (serii mBEL) jest wykorzystanie jako kanału diagnostycznego

- portu USB-B - znacznie ułatwiającego i przyspieszającego prace konfiguracyjne i parametryzacyjne

urządzenia.

Pakiety wejść / wyjść / pomiarów

Jedno urządzenie może być wyposażone w maksymalnie 6 pakietów, w skład których mogą wchodzić:

Pakiety BI (standardowo 26 wejść sygnalizacyjnych 24VDC w 1-nym pakiecie)

Pakiety BO (standardowo 8 wyjść sterowniczych w 1-nym pakiecie)

Pakiety AI (pakiety analogowe 4I, 4U)

3. Warianty urządzeń rodziny microBEL

Rodzina urządzeń microBEL została podzielona na kilka głównych grup funkcjonalnych:

1) Sterowniki telemechaniki z funkcją wskaźników zwarć dla rozdzielnic wnętrzowych SN

microBEL_Sx (sukcesywnie zastępujące urządzenia grupy mBEL_Sx)

Sterowniki microBEL_Sx przeznaczone są do obsługi rozdzielnic wnętrzowych SN wyposażonych

w przekładniki prądowe i napięciowe umożliwiające pomiar prądów i napięć fazowych w kilku polach

SN. Sterownik na podstawie pomiarów realizuje funkcje wykrywania zwarć doziemnych

i międzyfazowych w sieciach o dowolnym sposobie pracy punktu neutralnego sieci.

Router AMI

Centrum nadzoru

DNP3, IEC 60870-5-104

Komunikacja

Diagnostyka

Sterowanie

Sygnalizacja

Zabezpieczenia / Pomiary

microBEL_2W_SxxG

Sieć

radiowa

TETRA

3GPP

Modem TETRA nn

Rozdzielnia SN/nn

SN

3xI 3xU

Sterowniki microBEL_Sx mogą prowadzić jednoczesną komunikację wykorzystując:

Sieć radiową TETRA - poprzez port szeregowy dedykowany dla radiomodemu

Sieć radiową 3GPP - poprzez wbudowany modem GSM/3G

Sieć Ethernet 100Base-Tx - do komunikacji z routerem AMI

Warianty urządzeń tej grupy rozróżniamy ze względu na:

a) Rodzaj zastosowanych układów pomiarowych prądu i napięcia

b) Rodzaj i ilość wskaźników zwarć

A) Układy pomiarowe obsługiwane przez urządzenia microBEL:

- pomiar prądów

CRR 1-50

DPZ_PP100

KECA 80 D85

- pomiar napięć SMVS-UW1001/1002 sensART UNDERSENS 25 SMVS-UW1013 KEVA 24 Cxx

B) Ilość wskaźników zwarć

Urządzenia microBEL standardowo mają zaimplementowane od 1 do 4 wskaźników przepływu prądu

zwarcia.

Możliwe jest budowanie większych układów wskaźników zwarć (5 i więcej) - są to wtedy rozwiązania

dedykowane pod konkretny projekt ustalane indywidualnie.

Nazewnictwo

microBEL_1W_S31G oraz microBEL_2W_S31G

gdzie:

1W - oznacza 1 wskaźnik przepływu prądu zwarcia, 2W - 2 wskaźniki zwarcia

S31 - oznacza układ pomiarowy oparty o pomiar

- prądu z przekładników DPZ_PP100

- napięcia z sensorów napięciowych Zelisko SMVS-UM1001/1002/1013

lub sensART UNDERSENS 25

G - oznacza zabudowany modem GSM/3G

Opis wariantów urządzeń:

microBEL_1W_S31G

Podstawowe dane techniczne urządzenia:

- 26 wejść sygnalizacyjnych (24VDC)

- 8 wyjść sterowniczych

- 1 x pakiet analogowy do pomiaru:

pomiar 3If + Io - przekładniki DPZ_PP100

pomiar 3Uf + Uo (wyliczane) - sensory napięciowe Zelisko SMVS-UW1002/1013 lub sensART

UNDERSENS 25

dla realizacji kierunkowego wskaźnika zwarć w 1-nym polu SN.

Zastosowanie:

Rozdzielnice SN w konfiguracjach: TLL, LLL

microBEL_2W_S31G

Podstawowe dane techniczne urządzenia:

- 52 wejścia sygnalizacyjne (24VDC)

- 16 wyjść sterowniczych

- 2 x pakiet analogowy do pomiaru:

pomiar 3If + Io - przekładniki DPZ_PP100

pomiar 3Uf + Uo (wyliczane) - sensory napięciowe Zelisko SMVS-UW1002/1013 lub

sensART UNDERSENS 25

dla realizacji kierunkowego wskaźnika zwarć w 2-ch polach.

Zastosowanie:

Rozdzielnice SN w konfiguracjach: TLLL, LLL, LLLL

microBEL_3W_S31G

Sterownik microBEL_3W_S31G składa się z dwóch urządzeń połączonych ze sobą za pomocą portu

ETH.

Podstawowe dane techniczne urządzenia:

- 78 wejść sygnalizacyjne (24VDC)

- 24 wyjścia sterownicze

- 3 x pakiet analogowy do pomiaru:

pomiar 3If + Io - przekładniki DPZ_PP100

pomiar 3Uf + Uo (wyliczane) - sensory napięciowe Zelisko SMVS-UW1002/1013 lub

sensART UNDERSENS 25

dla realizacji kierunkowego wskaźnika zwarć w 3-ch polach.

Zastosowanie:

Rozdzielnice SN w konfiguracjach: TLLLL, LLL, LLLL

microBEL_4W_S31G

Sterownik microBEL_4W_S31G składa się z dwóch urządzeń połączonych ze sobą za pomocą portu

ETH.

Podstawowe dane techniczne urządzenia:

- 102 wejścia sygnalizacyjne (24VDC)

- 32 wyjścia sterownicze

- 4 x pakiet analogowy do pomiaru:

pomiar 3If + Io - przekładniki DPZ_PP100

pomiar 3Uf + Uo (wyliczane) - sensory napięciowe Zelisko SMVS-UW1002/1013 lub

sensART UNDERSENS 25

dla realizacji kierunkowego wskaźnika zwarć w 4-ch polach.

Zastosowanie:

Rozdzielnice SN w konfiguracjach: TLLLLL, LLLL, LLLLL

Warianty urządzeń:

Wariant urządzenia Ilość

BI

Ilość

BO

Ilość

wsk Pomiar prądu Pomiar napięcia

microBEL_1W_S31G 26 8 1

DPZ_PP100 SMVS-UW1001/1002/1013

lub sensART UNDERSENS 25

microBEL_2W_S31G 52 16 2

microBEL_3W_S31G 78 24 3

microBEL_4W_S31G 104 32 4

microBEL_1W_S71G 26 8 1

CRR 1-50 SMVS-UW1001/1002/1013

lub sensART UNDERSENS 25

microBEL_2W_S71G 52 16 2

microBEL_3W_S71G 78 24 3

microBEL_4W_S71G 104 32 4

microBEL_1W_S72G 26 8 1

CRR 1-50 KEVA 24 Cxx microBEL_2W_S72G 52 16 2

microBEL_3W_S72G 78 24 3

microBEL_4W_S72G 104 32 4

microBEL_1W_S82G 26 8 1

KECA 80 D85 KEVA 24 Cxx microBEL_2W_S82G 52 16 2

microBEL_3W_S82G 78 24 3

microBEL_4W_S82G 104 32 4

Lista dostępnych wariantów urządzenia na bieżąco aktualizowana na: www.apator.com

2) Sterowniki telemechaniki i wskaźniki zwarć dla napowietrznych punktów rozłącznikowych SN -

microBEL_SRS

Sterowniki microBEL_SRS przeznaczone są do obsługi rozłączników napowietrznych SN

w obudowie zamkniętej, które wyposażone są w przekładniki prądowe i napięciowe umożliwiające

pomiar prądów i napięć fazowych. Na tej podstawie sterownik realizuje funkcje wykrywania zwarć

doziemnych i międzyfazowych w sieciach o dowolnym sposobie pracy punktu neutralnego.

Sterowniki microBEL_SRS mogą prowadzić jednoczesną dwutorową komunikację

w sieciach radiowych wykorzystując:

Sieć radiową TETRA - poprzez port szeregowy dedykowany dla radiomodemu

Sieć radiową 3GPP - poprzez wbudowany modem GSM/3G

MicroBEL_SRS dostępny jest w 2 wariantach - obsługujących rozłącznik:

THO24/4-T1-B-D (ZPUE) SECTOS NXB/CVD (ABB)

Centrum nadzoru

DNP3, IEC 60870-5-104

Komunikacja

Diagnostyka

Sterowanie

I1 I2 I3

U1 U

2 U

3

Sygnalizacja

Zabezpieczenia

Automatyka

Pomiary

microBEL_SRS

Sieć radiowa

3GPP TETRA

Modem TETRA

Warianty urządzeń:

Wariant urządzenia Rozłącznik Ilość

BI

Ilość

BO Pomiar prądu Pomiar napięcia

microBEL_SRS_1W_010 THO24/4 26 8 Przekł. 1A Dzielnik poj. 21pF

microBEL_SRS_1W_011 SECTOS NXB 26 8 Przekł. 1A Dzielnik CVD

microBEL_SRS_1W_020 THO24/4 26 8 Cewka

Rogowskiego

PR-0,72S Dzielnik poj. 21pF

microBEL_SRS_2W_020 THO24/4 26 8 Cewka

Rogowskiego

PR-0,72S Dzielnik poj. 21pF

microBEL_SRS_3W_020 THO24/4 52 8 Cewka

Rogowskiego

PR-0,72S

Dzielnik poj. 21pF

Lista dostępnych wariantów urządzenia na bieżąco aktualizowana na: www.apator.com

4. MicroBEL - zaawansowane mechanizmy bezpieczeństwa informatycznego

Łączność z systemem nadzoru

Standardowo łączność z systemem SCADA prowadzona jest w protokole DNP3.0 lub IEC-60870-5-104. Dla

komunikacji w protokołach DNP i IEC-60870-5-104 można włączyć uwierzytelnianie oraz szyfrowanie

zgodne z IEC 62351-5:2013 (opcja). W przypadku problemów z nawiązaniem łączności sterownik może

mieć opcję wykonania automatycznego restartu. Komunikacja może być zabezpieczana wymienianymi

kluczami symetrycznymi, asymetrycznymi i certyfikatami w trybach: cyklicznym i na żądanie.

Zabezpieczanie komunikacji może też obejmować uwierzytelnianie wprowadzającego zmiany oraz

integralność informacji.

Certyfikaty, uwierzytelnianie, mechanizmy bezpieczeństwa - (opcja)

W podsystemie sieciowym sterownika można włączyć zaporę sieciową i ustawić odpowiednie strefy

i reguły blokowania ruchu. Łącze sieciowe sterownika może mieć włączone uwierzytelnienie zgodne z IEC-

62351 oraz ze standardem 802.1x, a także dla połączeń z systemem nadzoru.

Do uwierzytelniania serwera i klienta służą certyfikaty poświadczone przez pośredni urząd certyfikacji

Apator Elkomtech lub z określonego urzędu zewnętrznego. Przy wzajemnym uwierzytelnieniu

certyfikatami mogą być akceptowane tylko certyfikaty z dedykowanej gałęzi drzewa CA.

Automatyzacja wymiany certyfikatów może być realizowana poprzez serwer SCEP. W ramach usług

wymiany certyfikatów sygnalizowane są przekroczenia minimalnej długości ważności certyfikatów

zainstalowanych w urządzeniu przez SNMP oraz zarządzanie certyfikatami i kluczami prywatnymi oraz

publicznym i sterownika i wszystkich jego aplikacji.

Jest też możliwość zestawienia tunelu IPSec (IKE2, AES256, SHA1, DH14), pracy w trybie NAT-Traversal,

przekazania dodatkowego prefiksu do koncentratora VPN oraz zarządzania konfiguracją tunelu IPSec.

Tunel jest tworzony automatycznie przy uruchamianiu urządzenia (aplikacji) oraz w przypadku utraty

połączenia/tunelu.

Właściwości połączenia sieciowego

Sieciowy kanał komunikacyjny może mieć włączoną opcję zabezpieczeń TLS 1.2 z szyfrowaniem zgodnym

z normą IEC-62351-3. Interfejs sieciowy sterownika może mieć ustawione parametry ręcznie albo

dynamicznie pobrane z serwera DHCP. Można skonfigurować podstawowy i rezerwowy serwer DNS,

w którym sterownik będzie rejestrowany przez DDNS, w tym także po autokonfiguracji z DHCP lub

z uzyskanego adresu klienta VPN, zgodnie z RFC 1918 oraz RFC 1034 i RFC 1035.

5. Podsumowanie

Nowa linia urządzeń - microBEL - rozszerzająca grupę małych sterowników telemechaniki, wskaźników

przepływu prądu zwarcia i koncentratorów komunikacyjnych - microBEL - dzięki elastyczności

implementacji w nowych rozdzielnicach i łatwości doposażenia rozdzielni już istniejących może w znaczący

sposób wspomóc i ułatwić eksploatację sieci energetycznej.

Dzięki pełnemu opomiarowaniu i bogatej funkcjonalności - zapewniają pewnie i jednoznaczne

zlokalizowanie miejsca zwarcia zarówno w sieciach izolowanych, kompensowanych czy uziemionych, czym

wpływają na diametralną poprawę wskaźników niezawodnościowych sieci, a także oszczędności

wynikające z zarządzania pracami brygad ruchowych w terenie.

Najważniejsze cechy urządzeń microBEL:

Kompleksowa obsługa telesygnalizacji i telesterowań rozdzielnic wnętrzowych i rozłączników napowietrznych sieci SN

Funkcja kierunkowego wskaźnika przepływu prądu zwarcia Obsługa standardowych protokołów komunikacyjnych wykorzystywanych w energetyce

zawodowej Idealnie dopasowany do współpracy z automatyką FDIR

Mam nadzieję, ze nowa linia urządzeń Apator Elkomtech spełni Państwa oczekiwania, a jej użytkowanie

będzie satysfakcjonujące. Pozostajemy w gotowości do pomocy i udzielenia wszelkich informacji na temat

microBEL.

Zachęcam również do śledzenia nowości na naszej stronie internetowej www.apator.com

Bezpieczeństwo IT jako ważne ogniwo ochrony

infrastruktury krytycznej

Tomasz Dąbrowski

W czasach rosnącej potrzeby integracji, posiadania jak największej i jak najlepszej jakości informacji

o dostępnych zasobach, o posiadanym majątku, stanie sieci dystrybucyjnej, utrzymywanie separacji

systemów technologicznych od systemów korporacyjnych jest po prostu niemożliwe. Systemy klasy SCADA

nie są obecnie prostymi systemami do akwizycji sygnałów z obiektów (Data Acquisition), nadzoru nad nimi

(Supervisory) i ich kontroli (Control), a rozbudowanymi systemami do zarządzania, monitorowania,

automatycznej rekonfiguracji (FDIR), prognozowania i estymacji wyników obliczeń, które ułatwiają

znacznie pracę służb dyspozytorskich Operatorów Systemów Dystrybucyjnych w Polsce i na świecie. Aby

systemy te mogły spełniać wymienione wyżej role, muszą posiadać ogromną ilość danych, które pozyskują

z systemów np. majątkowych, ERP i innych, poprzez interfejsy i punkty styku między OT

i IT. Połączenie tych dotychczas rozdzielnych światów jest niezbędne, aby realizować zadania np.

optymalizacji kosztów, wykorzystania zasobów ludzkich, optymalizacji wyłączeń, a co za tym idzie,

ograniczania wskaźników SAIDI/SAIFI i innych parametrów Jakości Energii Elektrycznej. System WindEx,

jako system klasy SCADA umieszczony zwykle w tej wydzielonej sieci technologicznej uważany jest za

bezpieczny i wolny od cyberataków. Powszechność pamięci przenośnych (pendrive) używanych do

przenoszenia danych, zabezpieczania konfiguracji systemu, aktualizacji składników systemu, czy

zabezpieczania logów skutecznie zakłócają separacje systemów nadzoru od świata zewnętrznego

i narażają te systemy na cyberniebezpieczeństwa. Bezpieczeństwo systemu WindEx zapewniał także fakt,

iż zwykle serwery systemu są oparte o system operacyjny Linux uchodzący za bezpieczny, wymagający

dużej kultury informatycznej od obsługujących go ludzi, mniej popularny, a co za tym idzie mniej zagrożony

wirusami i innym szkodliwym oprogramowaniem. Obecnie system operacyjny Linux stał się tak

powszechny i tak znany, że te zalety, o których była mowa wcześniej już nie mają takiego znaczenia. Aby

w pełni wykorzystać zalety systemu Linux należy go odpowiednio skonfigurować i przygotować do

bezpiecznej pracy. Zalecenia do poprawnej konfiguracji systemu Red Hat Enterprise Linux można znaleźć

np. na stronie:

https://www.cert.gov.pl/cer/zalecenia-konfiguracyj/linux/29,Zalecenia-NSA-dla-systemu-operacyjnego-Red-Hat-Enterprise.html

Ustawa z dnia 26 kwietnia 2007 r. o Zarządzaniu Kryzysowym, a także Rozporządzenia Rady Ministrów nr

540, 541, 542 nakładają obowiązek monitorowania i dbania o bezpieczeństwo infrastruktury krytycznej,

czyli będącej w Państwa posiadaniu sieci elektroenergetycznej wraz z systemami umożliwiającymi

sterowanie stanem pracy sieci. Co to jest infrastruktura krytyczna i czy system WindEx się do niej zalicza?

Wspomniana wcześniej ustawa, artykuł 3, punkt 2, jako architekturę krytyczną wskazuje: systemy oraz ich

składowe powiązania międzyobiektowe, w tym obiekty budowlane, urządzenia, instalacje i usługi kluczowe

dla bezpieczeństwa państwa i jego obywateli oraz urządzenia służące do zapewnienia sprawnego

funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców. Infrastruktura

krytyczna obejmuje następujące systemy:

magazynowania oraz zaopatrzenia w energię, surowce energetyczne i paliwa łączności sieci teleinformatyczne bankowości oraz finansowe zaopatrzenia w żywność i wodę ochrony zdrowia transportowe ratownicze (policja, straż pożarna, pogotowie medyczne i inne pogotowia) zapewniające ciągłość działania administracji publicznej produkcji, składowania, przechowywania i stosowania substancji chemicznych

i promieniotwórczych, w tym rurociągi do transportu substancji niebezpiecznych

System WindEx, jako system zapewniający nadzór nad zaopatrzeniem w energię elektryczną oraz

działający w oparciu o sieć teleinformatyczną jest składnikiem infrastruktury krytycznej i dbałość o jego

bezpieczeństwo jest zadaniem priorytetowym. Zapewnienie wysokiego poziomu bezpieczeństwa IT jest

głównym ogniwem ochrony tej infrastruktury, która coraz częściej podlega cyberatakom zarówno

z zewnątrz, jak i z wewnątrz. Znane incydenty zakłócenia pracy systemów SCADA były dobrze

przygotowane, trwały długo w czasie i były skutkiem najczęściej wprowadzenia złośliwego

https://www.cert.gov.pl/cer/zalecenia-konfiguracyj/linux/29,Zalecenia-NSA-dla-systemu-operacyjnego-Red-Hat-Enterprise.htmlhttps://www.cert.gov.pl/cer/zalecenia-konfiguracyj/linux/29,Zalecenia-NSA-dla-systemu-operacyjnego-Red-Hat-Enterprise.html

oprogramowania do sieci wydzielonej z wewnątrz organizacji, a później dalsza część ataków była

realizowana z zewnątrz dzięki otwartym furtkom przez wprowadzone wcześniej oprogramowanie. Widać

więc, że dbałość o przestrzeganie procedur bezpieczeństwa, „dobre praktyki informatyczne”,

monitorowanie środowiska i sieci IT są skuteczną metodą pozwalającą wcześnie wykryć niepokojące

zjawiska i zapobiegać destabilizacji systemów krytycznych. Z biegiem lat liczba ataków na systemy

przemysłowe wyraźnie wzrasta, choć na pewno wiele z nich, zwłaszcza mających na celu szpiegostwo

przemysłowe, pozostaje w głębokim ukryciu. Patrząc na ewolucję działań cyberprzestępców, możemy być

jednak pewni, że będziemy słyszeć o podobnych incydentach coraz częściej. Dla firm oznacza to jedno –

najwyższy czas przyjrzeć się zabezpieczeniom swoich sieci technologicznych.

Potwierdzenie rosnącej liczby incydentów można dostrzec przeglądając: Raport o stanie bezpieczeństwa

cyberprzestrzeni RP w roku 2017.

Rys. 1. Liczba zarejestrowanych zgłoszeń oraz incydentów w poszczególnych kwartałach 2016 roku

Rys. 2. Liczba zarejestrowanych zgłoszeń oraz incydentów w poszczególnych kwartałach 2017 roku

Coroczny wzrost liczby incydentów:

Rys. 3. Liczba zarejestrowanych zgłoszeń oraz incydentów w latach 2015-2017

Zgłoszeń w 2016 r - 19954 Zgłoszeń w 2017 r - 28281 Faktycznych incydentów w 2016 - 9288 Faktycznych incydentów w 2017 - 5819

Z przytoczonych raportów wynika, że rośnie świadomość użytkowników i coraz więcej nakładów jest

przeznaczanych na rozwiązania zwiększające bezpieczeństwo. Zwiększanie poziomu bezpieczeństwa IT

staje się coraz ważniejsze i ma ono bezpośredni wpływ na poziom ochrony infrastruktury krytycznej.

Firma Apator Elkomtech SA wychodząc naprzeciw Państwa oczekiwaniom, pomaga wyznaczać

infrastrukturę krytyczną, przekazuje wytyczne do jej projektowania oraz tak konstruuje i wdraża

architekturę systemu WindEx, aby była on zgodna z najwyższymi wymaganiami bezpieczeństwa. Jedną

z metod ochrony infrastruktury krytycznej jest segmentacja sieci i separowanie warstw firewallami.

Zbudowanie systemu zgodnego z koncepcją podziału sieci na warstwy jest możliwe dzięki zastosowaniu

produktu OMS_Proxy, który jest pośrednikiem między warstwami sieci, zabezpiecza serwery WindEx OMS

przed bezpośrednim dostępem użytkowników z sieci biurowej, a jednocześnie umożliwia im korzystanie

z aplikacji WindEx OMS. Stosując ten produkt można zbudować system SCADA w następujących zalecanych

wariantach:

wariant, w którym serwery systemu WindEx CIM i WindEx OMS znajdują się bezpiecznej sieci technologicznej:

Rys. 4. Propozycja architektury – serwery systemu WindEx w bezpiecznej sieci operacyjnej

wariant, w którym serwery systemu WindEx CIM znajdują się w bezpiecznej sieci technologicznej, natomiast serwery WindEx OMS i serwery prezentacyjne WWW znajdują się w strefie DMZ.

Rys. 5. Propozycja architektury – serwery WindEx w bezpiecznej sieci operacyjnej, serwery OMS w DMZ

W tak zaprojektowanej infrastrukturze jest osadzony system WindEx, którego bezpieczeństwo podnosimy

zgodnie z zaleceniami NSA, pozbawiając administratora systemu WindEx (użytkownik sysex) najwyższych

uprawnień administracyjnych przynależnych do administratora systemu operacyjnego (root). Przydzielane

są użytkownikowi sysex minimalne uprawnienia. Użytkownik sysex może uruchamiać składniki systemu

WindEx, pozbawiony jest natomiast możliwości dokonywania zmian konfiguracji systemu operacyjnego

(np. zmiana adresów sieciowych serwera, zmiana konfiguracji usług systemowych itp.). Oddzielony jest

także katalog domowy użytkownika sysex, od katalogu roboczego systemu WindEx, dzięki czemu można

bardziej restrykcyjnie ustawić prawa dostępu do katalogów i plików systemu WindEx oraz zostają

uporządkowane pliki systemowe. Obydwa te katalogi są umieszczone na oddzielnej partycji niż system

operacyjny, gdyż prawo zapisu do nich ma użytkownik sysex, a nie tylko administrator (root). W systemie

operacyjnym zostają wyłączone usługi, które nie są potrzebne do działania systemu WindEx, a które mogą

stanowić potencjalne zagrożenie dla infrastruktury krytycznej. Są to np. usługi: telnet, bluetooth, rdp itp.

Konfiguracja sprzętowa serwerów także jest poddawana inspekcji. Wyłączane są w BIOS’ach serwerów:

możliwość uruchomienia systemu z dysków CD/DVD

możliwość uruchomienia systemu z pamięci przenośnej (USB)

dostęp do BIOS jest zabezpieczany hasłem

Każdy z użytkowników systemu WindEx klasy SCADA, jak i aplikacji WindEx OMS, musi zalogować się do

systemu w celu potwierdzenia swoich uprawnień. W systemie WindEx można wyróżnić dwie metody

uwierzytelniania użytkowników: za pomocą kart dostępu i/lub za pomocą loginu i hasła. We wszystkich

aplikacjach systemu WindEx obowiązuje mechanizm SSO (Single Sign On), który zapewnia jednokrotne

uwierzytelnienie do wszystkich aplikacji. W zależności od wdrożonej polityki bezpieczeństwa w Państwa

firmie, system logowania może pilnować zasad używania loginu i hasła takich jak:

długość hasła najmniej 8 znaków

co najmniej jedna wielka lub mała litera

jedna cyfra lub znak specjalny

zmiana hasła nie rzadziej, niż co np. 30 dni (administrator może wyłączyć z tej zasady wybranych użytkowników)

to samo hasło nie może być użyte w 10 kolejnych zmianach hasła

po 5 nieudanych próbach logowania następuje blokada konta użytkownika na 30 minut

i innych zasad wymaganych przez Państwa służby bezpieczeństwa

Zalogowany użytkownik jest jednoznacznie identyfikowany imieniem i nazwiskiem, a jakiekolwiek

czynności wykonywane w systemie są z nim powiązane. W logach systemowych znajdują się informacje

o każdej włożonej karcie, numerze terminala i o każdym logowaniu z użyciem hasła. Każdy z użytkowników

ma przypisane role, które jednoznacznie określają uprawnienia do działań w systemie WindEx. W ramach

ról można wyróżnić główne uprawnienia:

Dyspozytor – użytkownik uprawniony do prowadzenia ruchu w sieci elektroenergetycznej. Posiadający uprawnienia do zmiany układu sieci poprzez operacje makietowe (operacje, które nie

skutkują zmianą stanu łączników w terenie) oraz poprzez wydawanie poleceń sterowniczych, które wykonywane są przez urządzenia telemechaniki i powodują fizyczne zmiany stanów łączników. Ma on także dostęp do wszystkich rodzajów dzienników zdarzeń i list alarmowych, jakie występują w systemie.

Super dyspozytor – uprawnienie specjalne, przypisywane do karty kierownika zmiany, dające możliwość zmiany przydziału obszaru nadzorowanego przez dyspozytora bez konieczności wyrażenia zgody na objęcie dyżuru na przydzielonym obszarze.

Administrator – uprawnienie przypisywane do karty administratora systemu. Daje możliwość zarządzania systemem i zmiany sposobu jego działania. Daje dostęp do różnego rodzaju raportów specjalnych informujących o stanie systemu, stanie łączności z obiektami itp. Administrator może dodawać i odejmować użytkowników systemu, zmieniać ich uprawnienia, resetować hasło (bez możliwości podglądu obecnego hasła), wiązać dyspozytorów z obszarami, na których prowadzą ruch, zmieniać przypisanie obiektów do obszarów w aplikacjach OMS itp.

Edytor – użytkownik mający możliwość wprowadzania danych do systemu. Może między innymi wypełniać bazy danych tekstowe np. dane majątkowe, telefony ważnych odbiorców itp., edytować i tworzyć nowe arkusze kalkulacyjne, przygotowywać zestawienia pomiarów itd.

Ograniczony dostęp – użytkownik, który ma bardzo ograniczony dostęp w zasadzie może tylko oglądać schematy i korzystać z selektora stacji do wyszukiwania stacji na schemacie.

Dodatkowo możemy dostosowywać uprawnienia w ramach pokazanych grup z dokładnością do

możliwości wyświetlenia pojedynczego raportu, czy zawartości menu kontekstowego.

Podstawowym narzędziem pracy dyspozytorów i osób mających dostęp do systemu SCADA jest terminal

systemu, który łączy się do serwerów systemu WindEx i umożliwia ciągły nadzór nad stanem sieci.

Serwery systemu WindEx mogą znajdować i najczęściej znajdują się w innych lokalizacjach niż terminale

do nich podłączone. Terminale systemu WindEx pracują zwykle w wydzielonej sieci komputerowej, która

nie ma styku z siecią biurową lub jest od niej separowana przez firewall. Terminale systemu mogą łączyć

się do jednego, jak i do wielu serwerów systemu, co zapobiega brakowi nadzoru w przypadku awarii

któregoś z serwerów. Środowiskiem pracy terminala systemu WindEx jest komputer z systemem

operacyjnym Windows.

Mimo wydzielonej sieci, w której pracują terminale, firma Apator Elkomtech zaleca wprowadzić

uwierzytelnianie i szyfrowanie połączeń między terminalami a serwerami systemu WindEx a także

szyfrowanie i uwierzytelnianie połączeń między serwerami systemu. Apator Elkomtech uznaje za w pełni

bezpieczne dla systemu WindEx jedynie uwierzytelnianie obydwu stron połączenia. Dzięki zastosowaniu

uwierzytelniania połączeń zapewniamy bezpieczeństwo połączeń terminal-serwer i serwer-serwer, a także

zwiększamy odporność na ataki z wewnątrz sieci.

Dzięki uwierzytelnianiu połączeń zwiększone zostało bezpieczeństwo połączeń terminali mobilnych

pracujących poprzez połączenia VPN na laptopach i stacjach mobilnych.

Rys. 6. Połączenia szyfrowane terminali z serwerami systemu WindEx

Połączenia szyfrowane są realizowane zgodnie z protokołem TLS-1.2 (Transport Layer Security), dzięki

własnej implementacji, metoda jest odporna na luki zawarte w bibliotekach OPEN SSL, implementacja

zgodna jest standardem IEC 62356-3 i z zaleceniami z rozszerzenia: RFC 5246 7.4.1.4.1 i RFC 5746.

Wymiana kluczy realizowana za pomocą mechanizmów:

ECDHE - Elliptic-Curve Diffie–Hellman Ephemeral

DHE-RSA - Diffie–Hellman Ephemeral with RSA

DHE-DSS - Diffie–Hellman Ephemeral with DSS

RSA - Public-Key Cryptography Standards (PKCS) #1

PSK - Pre-Shared Key

Szyfrowanie:

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-RSA-AES256-CBC-SHA384

ECDHE-RSA-AES128-CBC-SHA256

DHE-RSA-AES256-GCM-SHA384

DHE-RSA-AES256-CBC-SHA256

DHE-RSA-AES256-CBC-SHA

DHE-DSS-AES256-CBC-SHA256

DHE-DSS-AES256-CBC-SHA

DHE-RSA-AES128-GCM-SHA256

DHE-RSA-AES128-CBC-SHA256

Terminal mobilny

WindEx Serwery WindEx

VPN

TLS

1.2

Terminal WindEx

TLS

1.2 TLS

1.2 TLS

1.2

DHE-RSA-AES128-CBC-SHA

DHE-DSS-AES128-CBC-SHA256

DHE-DSS-AES128-CBC-SHA

RSA-AES256-GCM-SHA384

RSA-AES256-CBC-SHA256

RSA-AES256-CBC-SHA

RSA-AES128-GCM-SHA256

RSA-AES128-CBC-SHA256

RSA-AES128-CBC-SHA

PSK-AES128-GCM-SHA256

PSK-AES256-GCM-SHA384

PSK-AES128-CBC-SHA256

PSK-AES256-CBC-SHA

PSK-AES128-CBC-SHA

Podpis kluczy:

HMAC SHA2-256,

HMAC SHA1

Część użytkowników systemu może otrzymać dostęp do informacji o stanie pracy sieci poprzez WindEx

WEB pozbawiony możliwości wykonywania poleceń sterowniczych, zabezpieczony również protokołem

TLS wersja HTTPS, aby zapewnić wiarygodność wyświetlanych danych. Podobnie jak w przypadku

normalnego terminala, aby rozpocząć pracę należy się zalogować podając login i hasło.

1. Bezpieczeństwo komunikacji

Pomijając instalacje przemysłowe w wydzielonej strefie, np. dyspozycja na stacji, zakład przemysłowy,

w większości przypadków mamy do czynienia z rozległymi systemami sterowania, gdzie najbardziej

podatną na ataki jest infrastruktura telekomunikacyjna. Warto zwrócić również uwagę, że wszechobecna

sieć IP i połączenia komputerów systemu sterowania do sieci zakładowej/koncernowej, nawet najmniejsza

instalacja nie może być bezwzględnie uznawaną za odporną na ataki bez zastosowania odpowiednich

zabezpieczeń

System WindEx zapewnia zabezpieczanie danych przesyłanych między stacją, a systemem SCADA poprzez

mechanizmy uwierzytelniania stron połączenia (połączenie serwer – urządzenie telemechaniki jest

zabezpieczone certyfikatami po obydwu stronach w relacji serwer – urządzenie telemechaniki),

szyfrowanie danych (czytelność przesyłanych danych), a także uwierzytelnianie źródła danych i poleceń

(warstwa aplikacyjna protokołu telemechaniki DNP, IEC 870-5-101 i IEC 870-5-104).

W przypadku implementacji standardowych protokołów komunikacyjnych najczęściej stosowanych

w energetyce, system WindEx został opracowany zgodnie z wytycznymi normy IEC/TS 62351-5 Power

systems management and associated information exchange – Data and communications security – Part 5:

Security for IEC 60870-5 and derivatives (Bezpieczeństwo danych i łączności w protokołach serii IEC 60870-

5-10x i pochodnych (DNP3)), która dotyczy zabezpieczania transmisji danych przed zagrożeniami typu:

fałszowanie adresów

modyfikacja treści komunikatów

powtórne wykorzystanie "podsłuchanych" komunikatów

nieautoryzowany dostęp do funkcji sterownika

Uzyskano to przez uwierzytelnianie danych i poleceń sterowniczych, realizowane wewnątrz systemu i na

styku systemu WindEx z urządzeniami telemechaniki systemu Wx.

Z kolei wdrożona w systemie WindEx norma IEC/TS 62351-3 Power systems management and associated

information exchange – Data and communications security – Part 3: Communication network and system

security – Profiles including TCP/IP określa sposób zastosowania protokołu TLS w kanałach łączności,

zapewniającego:

wiarygodność przesyłanych danych (uwierzytelnianie obu stron połączenia w relacji serwer – urządzenie telemechaniki),

poufność danych (szyfrowanie).

I tak w myśl zacytowanych norm dla protokołu IEC/TS 60870-5-104 wymagane jest:

stosowanie protokołu TLS w wersji minimum 1.2 (SSL 3.3)

implementacja zestawu szyfrującego np. TLS_RSA_WITH_AES_128_SHA

norma zaleca implementacje zestawów szyfrujących łączących:

szyfrowanie AES-128 lub AES-256

sygnaturę SHA1, SHA2-256

oraz cykliczną wymiany kluczy kodujących.

Dla protokołu DNP3.0 wspomniana norma IEC/TS 62351-3:2013 wymaga:

stosowania protokołu TLS w wersji nie mniejszej niż 1.0 (SSL 3.1)

implementacji zestawu szyfrującego TLS_RSA_WITH_AES_128_SHA

a także zaleca implementacje zestawów szyfrujących łączących:

szyfrowanie AES-128 lub AES-256

sygnaturę SHA1, SHA2-256

oraz cykliczną wymianę kluczy kodujących.

System SCADA WindEx, a także urządzenia telemechaniki, których dodatkowe zabezpieczenia są opisane

w kolejnych materiałach, posiadają wdrożone obie części normy IEC/TS 62351: Part 3: Communication

network and system security – Profiles including TCP/IP (TLS) i Part 5: Security for IEC 60870-5 and

derivatives (uwierzytelnianie w kanałach łączności).

2. Bezpieczeństwo urządzeń

Zarówno w systemie WindEx, jak i w urządzeniach produkowanych przez Apator Elkomtech SA została

wdrożona wielowarstwowa struktura bezpieczeństwa (Defence in Depth). Takie rozwiązanie jest dostępne

we wszystkich nowych urządzeniach opartych o system operacyjny WX. Wiele warstw pozwala

zabezpieczyć wrażliwe jądro systemu/urządzeń przed niebezpieczeństwami na wiele sposobów.

Rys. 7. Wielowarstwowa struktura bezpieczeństwa (Defence in Depth)

Rozwiązania z zakresu bezpieczeństwa, jakie są wdrożone i stosowane w urządzeniach produkcji Apator

Elkomtech SA są przedstawione w oddzielnym artykule umieszczonym w materiałach konferencyjnych.

Zachęcam do zapoznania się z tym bardzo ciekawym materiałem dokładnie opisującym zastosowane

rozwiązania.

3. Dostęp fizyczny

System WindEx posiada wbudowane mechanizmy zwiększające bezpieczeństwo, ale poprawę

bezpieczeństwa Państwa systemu można uzyskać także poprzez „hardening”, czyli utwardzanie Państwa

środowiska, w którym jest zainstalowany system WindEx. Obecnie to Państwo dostarczają serwery, to

Państwo instalują na nich system operacyjny. Serwis Apator Elkomtech SA dokonuje niezbędnych zmian,

aby uruchomić na tych serwerach system WindEx. W ramach swojej pracy wykonujemy także, o ile

dostaniemy od Państwa zgodę i uprawnienia, przegląd uruchomionych usług systemowych i wyłączamy te

niepotrzebne, jak np. smb czy telnet, pozostawiając tylko te bezpieczne, np. ssh. Dokonujemy przeglądu

otwartych portów w systemie, wskazując te niezbędne do działania WindExa. Wskazujemy tylko niezbędne

składniki systemu operacyjnego wymagane do prawidłowej pracy systemu WindEx. Zalecamy konfigurację

firewalli i zapór sieciowych oraz odpowiednią konfigurację usług systemowych zabezpieczających system

operacyjny przed zbędnymi zmianami konfiguracji (np. selinux). Odnosimy się także do Państwa polityki

aktualizacji systemów operacyjnych i ich zabezpieczenia poprzez programy antywirusowe. Dokonując

przeglądu, czy podczas tworzenia projektu nowej instalacji, wskazujemy punkty styku sieci biurowej

z wydzieloną siecią technologiczną i pomagamy je zabezpieczyć.

W tej części chcielibyśmy uzmysłowić Państwu, że najsłabszym ogniwem bezpieczeństwa systemu jest

człowiek, dlatego też oferujemy wykonanie audytów bezpieczeństwa w Państwa organizacjach, gdzie

wskażemy konieczne do wykonania zmiany, jak np. włączenie możliwości korzystania z napędów DVD,

wyłączenie portów USB. Zalecamy taką konfigurację urządzeń sieciowych, aby niemożliwe było

podłączenie do nich żadnych nowych maszyn bez wiedzy administratora sieci. Zalecamy używanie

systemów umożliwiających detekcję anomalii w ruchu sieciowym. Równocześnie będziemy w stanie

nawiązać do istniejącej w Państwa organizacji polityki bezpieczeństwa, tak, aby dostosować system do

zaakceptowanych reguł. Organizujemy i przeprowadzamy szkolenia i warsztaty, na których omawiane są

wszelkie aspekty dotyczące bezpieczeństwa.

Dbając o bezpieczeństwo systemów i sterowników obiektowych prowadzimy repozytorium konfiguracji,

gdzie każda zmiana wykonana przez pracowników Apator Elkomtech SA jest rejestrowana, zaś

w dowolnym momencie istnieje możliwość przywrócenia wcześniej dokonanych zmian i powrót do

znanych wersji konfiguracji.

4. Metody zabezpieczania i odtwarzania konfiguracji – oprogramowanie WindEx

Awarie sprzętu są niemal codziennością w środowiskach IT. Administratorzy dbają o ciągłość pracy sprzętu

i wykonują niezbędne czynności mające na celu diagnozę, zapobieganie lub w ostateczności naprawę

uszkodzonego sprzętu. Przywrócenie działania nie polega tylko na instalacji systemu operacyjnego, czy

kolejnych aplikacji, ale także na właściwej konfiguracji i przywróceniu danych niezbędnych do prawidłowej

pracy systemu SCADA WindEx, dlatego też oprogramowanie i bazy danych systemu WindEx są kopiowane

podczas każdej z wizyt grupy serwisowej (realizowane na podstawie umów nadzorowych). Dane

przechowywane są na serwerach w siedzibie firmy Apator Elkomtech SA, a sam proces wykonania kopii

zapasowej nie zakłóca operacyjności systemu WindEx. Dane konieczne do odbudowy funkcjonalności

systemu są dostępne po kontakcie z działem serwisu firmy Apator Elkomtech SA, świadczącym usługi

w formule 24/7.

5. Metody zabezpieczania i odtwarzania konfiguracji – urządzenia Ex

Polityka zapewnienia wsparcia dotyczy również urządzeń Ex. Praktyka pokazała, że bardzo często

prowadzone są prace na działających obiektach, gdzie w ramach modernizacji instalowane są dodatkowe

urządzenia. Każda taka zmiana wymaga przekonfigurowania sterowników telemechaniki, którą wykonuje

się na komputerze PC, a wyniki – pliki konfiguracyjne, ładowane są do sterownika podczas wizyty grupy

serwisowej. Aby proces aktualizacji konfiguracji urządzeń stacyjnych był możliwie bezpieczny i nie

nastąpiło nieautoryzowane przeładowanie konfiguracji w urządzeniach niepodlegających modernizacji,

w systemie Ex możliwe jest zablokowanie możliwości zmian konfiguracyjnych sterowników. Dyspozytor

systemu SCADA, w przypadku konieczności wykonania prac na danym urządzeniu, zdalnie wysyła polecenie

odblokowujące funkcje programu ładującego w sterowniku i uzyskuje potwierdzenie wykonanych poleceń.

Po zakończonej pracy dyspozytor w dzienniku operacyjnym otrzymuje sygnały diagnostyczne

o wykonanych pracach (start sterownika z programem w wersji X.XX z DD-MM-RRRR, start sterownika

z konfiguracją w wersji X.XX z DD-MM-RRRR) i blokuje funkcje programu ładującego.

W dzienniku zdarzeń w centrum nadrzędnym administrator uzyskuje potwierdzenie stanu blokady funkcji

programu ładującego. W przypadku niepowodzenia lub wgrania niewłaściwej konfiguracji istnieje

możliwość zdalnego przywrócenia ostatniej wytestowanej i działającej wersji, która przechowywana jest

w sterowniku. Równocześnie firma Apator Elkomtech SA deklaruje przechowywanie konfiguracji

wykonywanych przez pracowników firmy, wraz z historią zmian, w repozytorium wewnętrznym na

serwerach firmy.

Proces ochrony systemu dotyczy również wypracowania odpowiednich środków ochrony przez złośliwym

oprogramowaniem (w tym również polityki wykonywania aktualizacji, oprogramowania i systemów

operacyjnych), wykonania hardeningu systemu i aplikacji, a także odpowiednią konfigurację systemu

sprzętu IT. Proces zapewnienia bezpieczeństwa to również odpowiednia konfiguracja usług i zapór

sieciowych, gdzie służymy pomocą.

Z przedstawionego opisu zidentyfikowanych obszarów mających wpływ na bezpieczeństwo informatyczne

sieci elektroenergetycznej wynika, że system WindEx i komputery stacyjne MST2, micro2 oraz inne

urządzenia z systemem WX są w pełni przygotowane do prowadzenia łączności z wykorzystaniem

szyfrowanego kanału łączności (TLS) i uwierzytelniania otrzymywanych poleceń sterowniczych

i przesyłanych danych, tym samym zapewniając pewność i bezpieczeństwo przesyłanych danych.

Rozwiązania dostępne w systemie WindEx pozwalają stwierdzić, że przy wdrożeniu odpowiednich

procedur zgodnych z polityką bezpieczeństwa istniejącą lub opracowywaną w Państwa organizacji, system

WindEx, a także sprzęt i sieć IT, będą odpowiadały współczesnym wymogom bezpieczeństwa.

Apator Elkomtech SA oferuje spełniające potrzeby i wymagania klienta rozwiązania umożliwiające

dostosowanie istniejących systemów do zgodności z wymienianymi normami, bez konieczności wymiany

systemu, czy urządzeń stacyjnych/sterowników.

Jako podsumowanie chciałbym wymienić dobre praktyki stosowane przy ochronie systemów klasy SCADA,

będących głównym składnikiem infrastruktury krytycznej.

1. Zidentyfikuj wszystkie połączenia do sieci SCADA.

2. Wyłącz wszystkie niepotrzebne połączenia do sieci SCADA.

3. Oceń i wzmacniaj bezpieczeństwo wszelkich pozostałych połączeń z siecią SCADA.

4. Utwardzaj sieć i system SCADA poprzez usunięcie lub wyłączenie niepotrzebnych usług.

5. Nie polegaj na zastrzeżonych (prywatnych) protokołach komunikacyjnych w celu ochrony

systemu.

6. Wdrażaj zabezpieczenia dostarczone przez dostawców urządzeń i systemów.

7. Ustanów silną kontrolę nad dowolnym medium, które jest używane, jako „wejście serwisowe”

do sieci SCADA.

8. Wdrażaj wewnętrzne i zewnętrzne systemy wykrywania włamań i ustanów 24-godzinne

monitorowanie incydentów.

9. Przeprowadzaj audyty techniczne urządzeń i sieci SCADA oraz wszelkich innych podłączonych

urządzeń sieci, w celu zidentyfikowania problemów związanych z bezpieczeństwem.

10. Przeprowadź ankiety dotyczące bezpieczeństwa fizycznego i ocenę wszystkich zdalnych miejsc

podłączonych do sieci SCADA w celu oceny ich bezpieczeństwa.

11. Jasno określ role, obowiązki i uprawnienia w zakresie bezpieczeństwa w sieci dla menedżerów,

Administratorów systemów i użytkowników.

12. Udokumentuj architekturę sieci i systemy identyfikujące najważniejsze funkcje lub zawierające

poufne informacje wymagające dodatkowego poziomu ochrony.

13. Ustanów rygorystycznie ciągły proces zarządzania ryzykiem.

14. Ustanów strategię ochrony sieci opartą na zasadzie dogłębnej obrony.

15. Jasno określ wymagania dotyczące bezpieczeństwa w sieci.

16. Ustanów skuteczne procesy zarządzania konfiguracją.

17. Przeprowadzaj rutynowe samooceny.

18. Ustanów politykę kopii zapasowych systemu i planów odzyskiwania po awarii.

19. Starsze kierownictwo organizacyjne powinno określać oczekiwania dotyczące bezpieczeństwa

internetowego i sprawić, że osoby są odpowiedzialne za ich wyniki.

20. Ustanów zasady przeprowadzania szkoleń w celu zminimalizowania prawdopodobieństwa, że

personel organizacyjny przypadkowo ujawni poufne informacje dotyczące projektowania

systemu SCADA, operacji lub kontroli bezpieczeństwa.

6. Podsumowanie

Jak już było wspomniane wielokrotnie, bezpieczeństwo IT przekłada się bezpośrednio na bezpieczeństwo

systemów SCADA i bezpieczeństwo infrastruktury krytycznej. Z raportów o stanie bezpieczeństwa wynika,

że zmienia się charakter ataków na infrastrukturę krytyczną. Nadchodzą czasy dynamicznych zagrożeń,

a złośliwe oprogramowanie w klasycznym wydaniu odchodzi do lamusa. Poprzedni rok pokazał, że

https://ceo.com.pl/dyrektor-prezes/zlosliwe-oprogramowanie

cyberzagrożenia stają się coraz bardziej realne, a szeroko komentowane były ataki na rządy,

przedsiębiorstwa oraz jednostki. Ofiarami ataków padają banki, instytucje rządowe, a także serwisy

społecznościowe takie jak: Twitter czy Spotify. Nie są to tylko ataki mające na celu sparaliżowanie działania

danej instytucji, ale coraz częściej chodzi o kradzież danych, danych użytkowników itp. Działania hakerów

mają charakter długoterminowy i są dobrze przygotowane. Upowszechnienie się Internetu rzeczy

przyczynia się do rozwoju nowego rodzaju cyberzagrożeń. Ochrona urządzeń końcowych radzi sobie

całkiem dobrze, natomiast bezpieczeństwo IT musi stać na bardzo wysokim poziomie. Musimy nauczyć się

oceniać ryzyko, reagować na incydenty, wypracować strategię reagowania kryzysowego, politykę

odtwarzania systemów krytycznych oraz poddawać nasze systemy coraz bardziej złożonym testom

penetracyjnym.

https://ceo.com.pl/dyrektor-prezes/twitterhttps://ceo.com.pl/dyrektor-prezes/spotify

Bezpieczeństwo informatyczne urządzeń produkcji

Apator Elkomtech

Krzysztof Szaniawski, Roman Trawiński

1. Wprowadzenie

We współczesnych systemach sterowania i nadzoru (SSiN) siecią elektroenergetyczną coraz ważniejsze

staje się zapewnienie odpowiedniego poziomu bezpieczeństwa informatycznego urządzeń i systemów,

którego celem jest uniemożliwienie osobom niepowołanym uzyskania nieautoryzowanego dostępu do

poufnych danych oraz wykonywania poleceń (w tym sterowniczych), co mogłoby spowodować znaczne

straty materialne. Zapewnienie bezpieczeństwa dotyczy całego systemu, a więc zarówno serwerów

SCADA, jak i urządzeń komputerowych znajdujących się na obiektach energetycznych. Jest to szczególnie

ważne w przypadku urządzeń stanowiących część inteligentnych systemów SmartGrid, połączonych

z resztą systemu drogą radiową, np. poprzez sieć GSM, TETRA lub NetMan, w których bez odpowiednich

mechanizmów ochronnych mogłoby dojść do przechwycenia transmitowanych danych, a nawet przejęcia

kontroli nad urządzeniem.

Urządzenie pracujące na obiekcie energetycznym jest narażone na następujące zagrożenia:

włamania za pośrednictwem lokalnego portu diagnostycznego

ataki i włamania z sieci

przełączenie urządzenia do sieci kontrolowanej przez intruza

podsłuchiwanie kanałów komunikacyjnych

Wymienione zdarzenia mogą doprowadzić do wycieku lub utraty danych oraz przejęcia lokalnie lub zdalnie

kontroli nad urządzeniem.

Bezpieczeństwo informatyczne polega na zapewnieniu:

poufności, czyli zapewnienia, że informacja jest dostępna tylko dla osób upoważnionych

integralności, czyli zapewnienia, że informacja jest kompletna, wiarygodna i nie została w sposób

niekontrolowany zmieniona

dostępności, czyli możliwości uzyskania dostępu osobom uprawnionym w momencie, kiedy jest

to potrzebne

rozliczalności, czyli zapewnienia, że jest możliwa jednoznaczna identyfikacja podmiotu, który

wykonał daną operację

W urządzeniach Apator Elkomtech wymienione wyżej cele realizuje się przez:

system kont użytkowników chronionych hasłem

chronione partycje systemu plików urządzenia

uwierzytelnianie za pomocą kluczy i certyfikatów cyfrowych

uwierzytelnianie i szyfrowanie kanałów komunikacyjnych

uwierzytelnianie poleceń (w tym sterowniczych)

ochronę przed atakami z sieci przez stosowanie zapory sieciowej

zapisywanie w dzienniku zdarzeń wszystkich operacji zalogowania, wylogowania oraz nieudanych

prób zalogowania, wraz z loginem użytkownika oraz adresem IP komputera

automatyczną okresową wymianę certyfikatów

weryfikowanie statusu certyfikatu drugiej strony

W zależności od produktu i od wariantu wykonania, w urządzeniach Apator Elkomtech mogą występować

różne rodzaje uwierzytelnianych i szyfrowanych kanałów komunikacyjnych:

konsola diagnostyczna SSHv2 z szyfrowaniem, uwierzytelnianiem za pomocą hasła lub klucza

prywatnego oraz bezpiecznym przesyłaniem plików protokołem SCP

serwis WWW z uwierzytelnianiem i szyfrowaniem protokołem TLSv1.2 (HTTPS)

sieciowe kanały telemechaniki z szyfrowaniem i obustronnym uwierzytelnianiem protokołem

TLSv1.2, zgodnie ze standardem IEC 62356-3

uwierzytelnianie poleceń w protokołach DNP 3.0 oraz IEC 60870-5-104, zgodne ze standardem

IEC 62356-5

usługa zdalnego dziennika Syslog TCP szyfrowana protokołem TLS

interfejs Ethernet z uwierzytelnianiem zgodnie ze standardem IEEE 802.1x

tunele VPN IPsec

agent SNMPv3 z uwierzytelnianiem i szyfrowaniem

2. Konta użytkowników

Dostęp do wszystkich usług inżynierskich sterownika wymaga zalogowania na konto użytkownika

chronione hasłem. W pamięci urządzenia oraz w plikach parametryzacji nie przechowuje się całych haseł,

lecz jedynie ich funkcje skrótu, co z założenia uniemożliwia odczytanie haseł. Dostępność poszczególnych

operacji i usług jest uzależniona od uprawnień zalogowanego użytkownika.

Do celów administrowania urządzeniem przewidziano wbudowane konto administratora, posiadające

wszystkie uprawnienia, włącznie z ustawianiem uprawnień i haseł użytkowników.

Uprawnienia kont użytkowników mogą być konfigurowalne poprzez dziedziczenie uprawnień

z predefiniowanych grup użytkowników. Przykładowo, przypisując użytkownika do grupy administratorów,

nadaje mu się pełne uprawnienia administracyjne.

3. Certyfikaty i klucze

Do uwierzytelniania sterownika oraz komunikujących się z nim urządzeń i systemów wykorzystuje się

klucze i certyfikaty X.509 wystawione przez urząd certyfikacji Grupy Apator lub pochodzące

z zewnętrznego urzędu certyfikacji. Przy wzajemnym uwierzytelnieniu certyfikatami mogą być

akceptowane tylko certyfikaty z dedykowanej gałęzi drzewa Urzędu Certyfikacji (UC). Sterownik jest

wyposażony w centralną bazę poświadczeń umożlwiającą zarządzanie kluczami i certyfikatami wszystkich

usług (aplikacji) oraz certyfikatami zaufanymi, a w szczególności ich instalowanie, wykonywanie kopii

zapasowej oraz przywracanie z kopii zapasowej. Ze względów bezpieczeństwa, klucze i certyfikaty

przechowywane w sterowniku nie mogą być odczytane ani pobrane ze sterownika, nawet przez

użytkownika o najwyższych uprawnieniach. Certyfikaty mogą być automatycznie wystawiane i odnawiane

ze zdalnego urzędu certyfikacji z wykorzystaniem protokołu SCEP, zgodnie ze standardem IEC 62351-9.

W ramach usługi wymiany certyfikatów mogą być sygnalizowane przekroczenia minimalnej długości

ważności certyfikatów zainstalowanych w urządzeniu za pomocą komunikatów SNMP-Trap. Ponadto, obce

certyfikaty mogą być weryfikowane online za pomocą protokołu OCSP.

Rys 1. Schemat lokalnej bazy poświadczeń urządzenia

4. Uwierzytelnianie IEEE 802.1x

Opcjonalnie, na porcie Ethernet, można włączyć uwierzytelnianie zgodne ze standardem IEEE 802.1x, które

zabezpiecza połączenie Ethernet pomiędzy sterownikiem a przełącznikiem sieciowym lub ruterem,

stanowiącym punkt dostępu do sieci (najczęściej telefonii komórkowej). Uwierzytelnianie IEEE 802.1x:

zapobiega podłączeniu obcego urządzenia do rutera w miejsce sterownika

zapobiega podłączeniu sterownika do innej sieci, kontrolowanej przez intruza

Proces uwierzytelniania jest inicjowany każdorazowo po podłączeniu sterownika do sieci Ethernet. Do

czasu uwierzytelnienia, zarówno sterownik, jak i ruter blokują ruch sieciowy. Każdorazowo po

zablokowaniu portu Ethernet lub po odłączeniu urządzenia od sieci, port Ethernet zostaje zablokowany

i może być ponownie odblokowany dopiero po podłączeniu do sieci i ponownym uwierzytelnieniu.

Zaimplementowany w sterowniku suplikant IEEE 802.1x obsługuje protokół EAP z rozszerzeniami EAP-TLS

oraz PEAPv1/MSCHAPv2, z uwierzytelnianiem za pomocą haseł oraz certyfikatów X.509. Serwer

uwierzytelniający połączenie może znajdować się w ruterze lub na serwerze w sieci korporacyjnej,

komunikującym się z ruterem poprzez sieć rozległą (WAN) w protokole kryptograficznym RADIUS.

Rys 2. Zasada działania uwierzytelniania IEEE 802.1x

5. Uwierzytelnianie poleceń

Urządzenia Apator Elkomtech mają możliwość realizacji funkcji uwierzytelnienia poleceń w protokołach

DNP 3.0 oraz IEC 60870-5-104 zgodnie z normą IEC 62351-5:2013 „Power systems management and

associated information exchange - Data and communications security - Part 5: Security for IEC 60870-5

and derivatives”. Uwierzytelnianiu podlegają m.in. telesterowania, zmiana nastaw analogowych, zmiana

progów nieczułości, ustawianie czasu, restart urządzenia, transfer pliku, włączanie i wyłączanie zdarzeń

spontanicznych oraz kasowanie znaczników.

6. Wirtualne sieci prywatne (VPN)

Wirtualna sieć prywatna (ang. Virtual Private Network) zapewnia następujące korzyści:

zwiększenie poziomu bezpieczeństwa przez zastosowanie szyfrowania, ochrony integralności oraz

obustronnego uwierzytelniania pomiędzy sterownikiem a siecią korporacyjną

nadanie sterownikowi wirtualnego adresu sieciowego z sieci korporacyjnej zakładu lub koncernu,

widocznego dla komputerów i urządzeń pracujących w tej sieci

Urządzenia Apator Elkomtech można podłączyć do sieci VPN za pośrednictwem tunelu IPsec typu remote-

access (client-to-site). Za uwierzytelnianie połączenia, tworzenie i podtrzymywanie tuneli IPsec oraz

okresową wymianę kluczy odpowiada protokół IKEv2, natomiast za szyfrowanie i ochronę integralności

w tunelu – protokół ESP (Encapsulated Security Payload). Implementacja IPsec w urządzeniach AE

charakteryzuje się następującymi właściwościami:

możliwość pełnej, swobodnej konfiguracji tuneli IPsec

automatyczne zestawianie tunelu po starcie urządzenia

wykrywanie utraty komunikacji i automatyczne ponowne zestawianie tunelu

uwierzytelnianie za pomocą klucza współdzielonego lub certyfikatów X.509

bogaty zestaw obsługiwanych funkcji pseudolosowych oraz algorytmów kryptograficznych do

szyfrowania, ochrony integralności oraz wymiany kluczy

okresowa wymiana kluczy oraz okresowe ponowne uwierzytelnianie

możliwość komunikacji przez rutery z translacją adresów NAT dzięki funkcji NAT-Traversal

możliwość komunikacji przez łącza z małą maksymalną jednostką transmisyjną (MTU) dzięki

zastosowaniu fragmentacji danych w protokole IKEv2

automatyczna rejestracja przydzielonego adresu sieciowego w serwerze DNS za pomocą usługi

DDNS

Architektura usługi IPsec w urządzeniach AE pozwala na zestawienie wielu tuneli IPsec, które mogą

prowadzić przez tą samą lub przez różne bramy VPN. Poniższy rysunek ilustruje drugi przypadek, w którym

obydwa tunele prowadzą przez różne bramy do odrębnych sieci prywatnych.

Rys 3. Architektura tuneli IPsec typu remote-access w urządzeniach Apator Elkomtech

Najczęstszym zastosowaniem tuneli IPsec typu remote-access w energetyce jest bezpieczne łączenie

urządzeń rozproszonych na małych obiektach energetycznych z siecią korporacyjną zakładu lub koncernu

energetycznego za pośrednictwem usługi pakietowej transmisji danych w sieci telefonii komórkowej. Po

zestawieniu tunelu urządzenie otrzymuje wirtualny adres sieciowy z zupełnie innej podsieci, który jest

widoczny dla komputerów i urządzeń pracujących w sieci korporacyjnej. Poniższy rysunek ilustruje

przypadek urządzenia z wbudowanym modemem GSM, zalogowanym do APN sieci komórkowej.

W przypadku, gdy urządzenie jest podłączone do sieci za pośrednictwem rutera z translacją NAT, (np. szafki

AMI), zostaje automatycznie użyta funkcja NAT-Traversal.

Rys 4. Przykład wirtualnej sieci prywatnej zrealizowanej w technologii IPsec

7. Zapora sieciowa

Zapora sieciowa umożliwia filtrowanie wychodzącego i/lub przychodzącego ruchu sieciowego według

reguł i stref ustawionych przez użytkownika. Filtrowanie ruchu sieciowego zachodzi w oparciu

o następujące kryteria:

domyślny sposób działania zapory (zezwól lub blokuj)

listę kategorii ruchu sieciowego omijających zaporę, np. broadcast, multicast, ruch w sieciach LAN,

ICMP

strefy zaufane lub zabronione

reguły zezwalające lub blokujące przychodzący i/lub wychodzący ruch sieciowy dla określonych

puli adresów sieciowych, protokołów transportowych, portów lokalnych i/lub zdalnych, etc.

8. Automatyczne wystawianie, odnawianie i weryfikowanie certyfikatów

Certyfikaty indywidualne sterownika oraz certyfikaty zaufanych urzędów certyfikacji mogą być

instalowane, wymieniane i odnawiane w zautomatyzowany sposób ze zdalnego urzędu certyfikacji za

pośrednictwem protokołu SCEP. Użytkownik urządzenia może zdecydować, które certyfikaty i z jakiego

urzędu certyfikacji mają być wystawiane oraz kiedy mają być odnawiane. Takie podejście:

znacząco upraszcza procedurę wystawiania i instalacji certyfikatów dla dużej liczby urządzeń

rozproszonych w terenie

rozwiązuje problem okresowego odnawiania certyfikatów, które jest konieczne ze względu na

ograniczony okres ważności certyfikatów

Proces rozpoczyna pobranie z serwera SCEP wszystkich certyfikatów urzędu certyfikacji. Następnie, na

podstawie indywidualnego klucza prywatnego urządzenia, skonfigurowanej nazwie podmiotu certyfikatu

oraz hasła dostępowego wysyłane jest zaszyfrowane zgłoszenie certyfikacyjne do serwera SCEP. Jeżeli

wystawienie lub odnowienie certyfikatu zakończyło się pomyślnie, nowy certyfikat jest instalowany

w bazie poświadczeń w miejsce dotychczasowego certyfikatu.

Rys 5. Zasada działania usługi SCEP

Urządzenie może też wysyłać ostrzeżenia o kończącej się ważności zainstalowanych certyfikatów.

Przewidziano dwa progi alarmowe konfigurowalne przez użytkownika.

Dodatkowo, certyfikaty przysyłane przez inne urządzenia w celu uwierzytelnienia mogą być za pomocą

protokołu OCSP weryfikowane online czy nie zostały wcześniej odwołane.

9. Przykład użycia technologii bezpieczeństwa informatycznego

Na rysunku pokazano przykład bezpiecznego połączenia sterownika rozłącznika napowietrznego SN

microBEL_SRS z siecią zakładową za pośrednictwem sieci komórkowej UMTS. Sterownik komunikuje się

z systemem SSiN w protokole DNP 3.0.

Rys 6. Przykład bezpiecznego połączenia sterownika microBEL z siecią korporacyjną zakładu

W tym przypadku można wykorzystać następujące zabezpieczenia informatyczne:

tunel IPsec z szyfrowaniem i obustronnym uwierzytelnianiem pomiędzy sterownikiem a siecią

zakładową, prowadzący m.in. przez sieć telefonii komórkowej

szyfrowanie protokołem TLS kanału telemechaniki z protokołem DNP 3.0, aby dostęp do kanału

telemechaniki miały tylko uprawnione serwery SCADA, a nie wszystkie komputery pracujące

w sieci zakładowej

uwierzytelnianie poleceń w kanale telemechaniki, stanowiące dodatkowe zabezpieczenie przed

zagrożeniem wykonania nieuprawnionego sterowania lub innej ważnej operacji

zaporę sieciową, udostępniającą tylko wybrane porty usług określonym serwerom

serwer SSH z bezpiecznym transferem plików protokołem SCP dla usług inżynierskich, m.in. zdalnej

parametryzacji, diagnostyki, wymiany oprogramowania oraz pobierania dzienników zdarzeń

i rejestracji zakłóceń

Zaleca się, aby sterownik pobierał, wystawiał i odnawiał certyfikaty online z serwera SCEP w celu uniknięcia

czasochłonnego ręcznego wystawiania, odnawiania i instalowania certyfikatów w dużej liczbie

sterowników. Jeżeli którykolwiek z tych certyfikatów jest wymagany do zestawienia tunelu IPsec, zaleca

się, aby serwer SCEP był dostępny także poza tunelem, aby można było bez przeszkód wystawić certyfikat

początkowy. Nie należy się tego obawiać, ponieważ wystawienie certyfikatu wymaga hasła, a cała

komunikacja w protokole SCEP jest zaszyfrowana.

RSU – nowa platforma sterowników Apator

Roman Trawiński, Adam Kaczorowski

Od dłuższego czasu, za sprawą Nowego Prawa Energetycznego opracowanego w Ministerstwie Gospodarki

m.in. jako odpowiedź na wprowadzenie dyrektywy 2009/72/WE, w Polsce trwają intensywne wdrożenia

inteligentnego opomiarowania (AMI) i inteligentnych sieci elektroenergetycznych.

W rozwiązaniach elektroenergetyki znajduje to odzwierciedlenie w rozwoju technologii i metod

zarządzania pracą sieci, łączących zaawanasowane narzędzia IT i nowoczesne rozwiązania sprzętowe.

Rys. 1. Smart Grid. Źródło: inteligentne systemy zarządzania energią, KAPE & InE, 2011

Odpowiedzią firmy Apator na stojące wyzwania wynikające z wdrożenia Smart Grid jest wprowadzenie

nowego, dedykowanego sterownika RSU, integrującego urządzenia AMI, elementy telemechaniki (np.

wskaźniki zwarć), czujniki sygnałów jakościowych, ochrony obiektów w jedno rozwiązanie umożliwiające

monitorowanie, automatyzację i optymalizację pracy sieci elektroenergetycznej. Do korzyści ze stosowania

takich rozwiązań można zaliczyć:

możliwość automatyzacji przełączeń w sieci

regulację napięcia

optymalizację lokalizacji nowych punktów podziału sieci

optymalne wyznaczanie miejsca instalacji dodatkowych źródeł energii, w celu zmniejszania strat

monitorowanie pracy sieci i szybsze reagowanie na stany awaryjne

poprawę wskaźników jakościowych dostarczanej energii

1. Budowa

RSU jest urządzeniem telemechaniki wyposażonym w 24 wejścia binarne i 3 wyjścia sterownicze.

Komunikację z pozostałymi urządzeniami w szafkach AMI zapewniają dwa interfejsy RS485. Połączenie

z systemem nadrzędnym zapewnia interfejs Ethernet, dzięki któremu można zrealizować zdalne

połączenie z użyciem rutera. Sterownik składa się z dwóch modułów połączonych ze sobą i umieszczonych

w obudowie z tworzywa sztucznego (poliamid).

Rys. 2. Wygląd obudowy sterownika

Pierwszym i zarazem najważniejszym modułem jest pakiet procesora, na który, oprócz jednostki głównej,

składają się m.in.: pamięć FLASH, zegar czasu rzeczywistego z podtrzymaniem bateryjnym, diody

sygnalizacyjne oraz układy komunikacji – w tym port serwisowy USB. Drugi moduł zawiera zasilacz, układ

wejść i wyjść binarnych.

Rys. 3. Panel czołowy RSU

Do odczytu wejść sygnalizacyjnych i wykonywania poleceń sterowniczych przeznaczone jest złącze IO2,

które zawiera galwanicznie izolowane 24 wejścia, podzielone na dwie grupy oraz 3 wyjścia przekaźnikowe

ze stykiem zwiernym (normalnie otwartym).

2. Funkcje i możliwości

Na podstawową funkcjonalność urządzenia składa się:

obsługa telemechaniki: 24xBI, 3xBO

komunikacja ze SCADA: Ethernet, DNP3, IEC60870-5-104

komunikacja z licznikiem bilansującym: RS485 – DLMS lub IEC 62056-21

komunikacja ze wskaźnikiem zwarć: RS485, DNP 3.0

komunikacja z dowolnymi urządzeniami z interfejsem RS485 w protokołach Modbus RTU,

DNP3.0, Profibus DP, IEC 60870-5-101/103

bezpieczeństwo informatyczne: TLSv1.2, IPsec/IKEv2, AES256, SHA2, IEEE 802.1x, X.509

rejestrator zdarzeń (konfigurowalny dziennik użytkownika, Syslog)

diagnostyka lokalna i zdalna: SSHv2, SNMPv3

zasilanie: 24 V DC

W sterowniku prowadzony jest dziennik zdarzeń. Rejestrowane mogą być m.in. zmiany stanu wejść

dwustanowych, sterowania, blokady, synchronizacje czasu, logowania użytkowników i próby

nieuprawnionego dostępu, zmiany konfiguracji i oprogramowania wewnętrznego, a także informacje

o załączeniu, wyłączeniu i restarcie sterownika. W dzienniku rejestrowane mogą być również alarmy

systemowe związane z autodiagnostyką sterownika, dotyczące obciążenia CPU, wykorzystania pamięci

RAM i pamięci nieulotnej, utraty i powrotów komunikacji, błędów komunikacji, itp.

3. Przykłady zastosowania

Głównym celem zastosowania RSU w szafkach AMI jest pozyskiwanie, przetwarzanie oraz przekazywanie

do systemu SCADA sygnałów dwustanowych i analogowych umożliwiających prowadzenie ruchu

w sieciach SN i nn.

Rys. 4. Zastosowanie sterownika RSU

RSU może stanowić wyposażenie szafek AMI w napowietrznych i wnętrzowych stacjach

transformatorowych SN/nn. Zadaniem sterownika w takim przypadku jest zbieranie informacji z zakresu

sygnalizacji ogólnych, odczyt pomiarów prądów i napięć z licznika energii, sygnalizacja zwarć

z wykorzystaniem wskaźników zainstalowanych w stacji – stykowo lub przy użyciu standardowych

protokołów telemechaniki oraz zdalne wykonywanie poleceń sterowniczych w zakresie kasowania

i testowania wskaźników. Urządzenie ponadto pozwala na żądanie wstrzymać odczyt danych z licznika

i udostępnić port szeregowy licznika w trybie „przezroczystym” dla systemu AMI, np. w przypadku

niedostępności interfejsu podstawowego.

Wyzwolenie odczytu danych z licznika możliwe jest:

okresowo, z częstością zdefiniowaną przez użytkownika

na postawie zmiany stanu wejścia binarnego

na żądanie z systemu SCADA

Sterownik umożliwia odczyt nie tylko pomiarów i sygnalizacji, ale również dziennika zdarzeń

zarejestrowanych w liczniku. Dzięki takiemu rozwiązaniu możliwe jest przesłanie do systemu zarządzania

informacji m.in.: o zanikach, zapadach i przekroczeniach napięcia czy nieprawidłowej kolejności faz

z oryginalnym stemplem czasowym. Ponadto w samym sterowniku zaimplementowano mechanizmy

generowania zdarzeń od przekroczeń progów pomiarów odczytanych z licznika i wskaźników zwarcia. Progi

i źródła wartości analogowych są w pełni konfigurowalne przez użytkownika. Kolejną przydatną

funkcjonalnością, która może ułatwić zarządzanie i monitorowanie sieci jest rejestrator przebiegów

analogowych. Pomiary pozyskane z podłączonych urządzeń mogą być rejestrowane w konfigurowalnych

odstępach czasu. Sterownik zapisuje wartości średnie, minimalne i maksymalne z każdego okresu

rejestracji w plikach zgodnych ze standardem COMTRADE.

Rys. 5. Przykład szafki AMI ze sterownikiem RSU: L1 – licznik bilansujący, WZ – wskaźnik zwarcia, RU – ruter 3G/LTE, Z1 – zasilacz bezprzerwowy, Ak – bateria akumulatorów

Sterownik został wyposażony w dużą liczbę wejść binarnych, które mogą służyć do:

odczytu stanu urządzeń wewnątrz szafki AMI, np. zasilacza, wskaźników zwarcia, licznika

zbierania informacji o stanie wkładek bezpiecznikowych rozłączników

powiadamiania o zdarzeniach związanych ze stanem stacji/szafki: z czujnika wstrząsu

i przechyłu, czujnika poziomu oleju transformatora, czujnika otwarcia drzwi szafki

RSU posiada zaimplementowany szereg technologii z zakresu telekomunikacji, informatyki

i bezpieczeństwa cybernetycznego:

w zakresie infrastruktury sieciowej: protokół uwierzytelniania połączenia sieciowego w oparciu

o standard IEEE 802.1x w roli suplikanta, protokół bezpiecznych sieci prywatnych IPsec, wymianę

certyfikatów urządzenia przy użyciu protokołu SCEP, bezpieczne połączenia TLS 1.2, dynamiczne

adresowanie przy użyciu protokołu DHCP, protokół DDNS do rejestracji sterownika w serwerze

DNS, zapora sieciowa

w zakresie łączności z systemami SCADA: protokoły komunikacyjne DNP 3.0, IEC 60870-5-104

w szyfrowanym kanale TLS 1.2, uwierzytelnianie poleceń zgodnie z IEC 62351-5 przy użyciu kluczy

współdzielonych

w zakresie administrowania i nadzoru sieci: protokół zarządzania siecią SNMP (v1,v2,v3)

z generowaniem komunikatów SNMP-trap, zdalny dziennik zdarzeń Syslog zgodny z RFC5424

Do zarządzania, monitorowania i konfiguracji