SlideShare a Scribd company logo

11 Підсистеми захисту

Пупена Александр
Пупена Александр

Людино-машинні інтерфейси та SCADA. Підсистеми захисту

Education
1 of 35
Download to read offline
Людино-машинні інтерфейси та SCADA Підсистеми захисту автор і лектор: Олександр Пупена (pupena_san@ukr.net) зворотній зв’язок по курсу: Інтернет-форум АСУ в Україні (www.asu.in.ua) 29.11.2020 1
Загальні основи підсистеми захисту 29.11.2020 pupena_san@ukr.net 2
Загальна інформація • організована на базі користувачів (users) • розділені за правами доступу до об’єктів системи та їх адміністрування: • для захисту від несанкціонованих дій; • надання користувачам інтерфейсу відповідно до їх ролей; • збереження записів у журналі дій конкретного користувача. • у стандарті ISA-101 описано тільки частину функцій та вимог до підсистеми • функції детально описані в стандартах IEC 62443 (кіюербезпека)
Типи користувачів • операційний персонал (оператори процесу): • моніторинг, керування та експлуатацію установки; • оператори центрального пункту керування, оператори віддаленого доступу, оператори портативних пристроїв; • персонал з технічного обслуговування (Maintenance-users): • усувають несправності, виконують технічне обслуговування; • інженери (Engineering-users): виконують модифікації, доповнення або видалення компонентів HMI або системи керування; • адміністратори: оновлення системи керування, призначають правила безпеки іншим користувачам; • керівники, менеджери: моніторинг функціонування установки чи інших засобів виробництва; • аналітики: моніторинг системи для поліпшення роботи установки; • інші користувачі: використовують або взаємодіють із системою для інших цілей, наприклад, персонал з керування якістю.
Первинні та вторинні користувачі • первинні користувачі (primary users) – операційний персонал • вторинних користувачів (secondary users) - інші, що забезпечують обслуговування та моніторинг. • задоволення потреб вторинних користувачів не повинно перешкоджати виконанню вимог користувачів первинних • окремі дисплеї для підтримки потреб вторинних користувачів, якщо спец. елементи ускладнюють дисплеї первинних
Вимоги до користувачів Для кожного типу користувачів визначаються вимоги та набір завдань, враховуються: • дії користувача при нормальних та ненормальних умовах експлуатації; • потреби в довідковій системі для користувача (онлайн або офлайн); • вимог, що стосуються ролей користувача та привілеїв облікового запису; • термінології, що використовується користувачем, моделі об'єкта та/або процесу з точки зору користувача; • потреби функцій HMI для користувача. • локальні користувачі • віддалені користувачі можуть мати додаткові обмеження доступу до функцій Вимоги можуть бути означені: • у вигляді окремого документа • як частина вимог до функцій системи керування чи застосування
Керування доступом керування доступом (IEC 62443-2-1): • хто чи що може отримати доступ до приміщень та систем • який саме тип доступу дозволений. Обліковий запис для доступу(access account) – ідентифікатори та паролі для користувачів, налаштування доступу до певних функцій • для окремих користувачів • груп користувачів (наприклад диспетчери)
Ідентифікація, автентифікація, авторизація • ідентифікація (хто ти?) • автентифікація (доведи, що ти є ти) • авторизація (це можна, а це не можна) • адміністрування (створення/видалення/редагування користувачів)
Автентифікація • на відміну від автентифікації в ІТ-системах: • відсутність доступу до ресурсів у критичні моменти часу може призвести до небезпечних та аварійних ситуацій • обережно ставитися до блокування облікових записів при невдалих входах у систему або періодах бездіяльності • але недостатньо сильна автентифікація -> надання доступу зловмиснику для виконання небезпечних операцій. • слабкі методи автентифікації – які легко анулювати, щоб забезпечити небажаний доступ • користувач та пароль • сильні методи автентифікації - точні в правильній ідентифікації користувача • двофакторна (фізична карта + ПІН) • смарт карта, біометричні дані • на основі їх місцезнаходження; • підключення домашніх комп'ютерів до пристроїв або мереж керування виробничою діяльністю з використанням VPN і двофакторної автентифікації з використанням токена і PIN-коду.
Автентифікація: загальні рекомендації • повинна бути розроблена стратегія автентифікації, в якій вказуються використовувані методи автентифікації; • перед використанням застосунків, у тому числі SCADA/HMI, користувачі повинні пройти автентифікацію: • користувач + пароль • з використанням комбінації фізичних та електронних засобів; • усі спроби та результат доступу до критичних систем повинні бути записані в журнал; • після певного часу неактивності користувача система може вимагати повторної автентифікації; • система повинна передбачати відповідні схеми автентифікації при зв’язку між застосунками або пристроями, наприклад: • за адресою IP або/та MAC; • секретним кодом; • криптографічним ключем (детально в IEC/TR 62443-3-1).
Автентифікація локальних користувачів • можна використовувати фізичні методи доступу (обмеження доступу до місця): • потрібно для швидкого доступу до дій у критичних ситуаціях • способи: • для компонентів керування фізичні ручні замки; • автоматичні замки (карта-пропуск); • доступ до пунктів керування; • система повинна враховувати можливість доступу до критичних функцій користувачам навіть при частковій відмові інфраструктури; • наприклад, при відмові комп’ютерної мережі повинні працювати локальні засоби керування; • користувачі не повинні блокуватися при невдалих спробах автентифікації (у критичних ситуаціях оператор може ввести неправильний пароль); • у багатьох випадках не бажано вимагати складних паролів, оскільки в критичних ситуаціях це може уповільнити процес реалізації керуючої дії оператора на процес; • у багатьох випадках не бажано вимагати часового обмеження на паролі;
Автентифікація адміністраторів та віддалених користувачів • адміністраторів (підвищені права): • вимоги до автентифікації повинні бути більш жорсткими (наприклад, тільки складні паролі); враховуючи що адміністрування не потребує швидкої реєстрації, можна використовувати складні способи автентифікації; • рекомендується надавати системному адміністраторові тільки локальний доступ; • віддалених користувачів (що мають доступ ззовні будівлі або області керування): • повинні застосовуватися особливі способи автентифікації; • повинні бути передбачені особливі політики (реакція на невдалу спробу входу в систему, період бездіяльності тощо); • рекомендується, щоб надавався доступ тільки з функціями моніторингу без можливості керування; однак у деяких випадках системи SCADA доступ до керування обов’язковий; • після певної кількості невдалих спроб реєстрації віддалених користувачів, система повинна відключати їх обліковий запис на деякий час (захист від злому паролю); однак у деяких випадках системи SCADA доступ до керування може бути критичним, так само як і для локального користувача;
Авторизація Після успішної автентифікації користувача та ідентифікації пов’язаного з ним облікового запису йому надаються привілеї доступу до ресурсів. • особливості АСКТП • в IT кілька ролей • в АСКТП велика кількість ролей (наприклад, оператор, інженер, технолог, розробник, системний адміністратор тощо) • користувачам може бути назначено декілька ролей на основі певних функцій, які потрібно виконувати в певний час • окремо доступ до пристрою і застосунку • авторизація залежить від місця розташування користувача.
Авторизація: рекомендації • правила повинні бути означені в політиці безпеки авторизації; • дозвіл на доступ до засобів АСКТП може бути: • логічним (правила, що надають або забороняють доступ відомим користувачам на основі їх ролі), • фізичним (замки, камери та інші елементи керування, що обмежують доступ до активної консолі ПК) • комбінацією; • для керування доступом до відповідної інформації або системи облікові записи повинні базуватися на основі ролі; • для віддаленого доступу необхідно передбачати різне розміщення процедур авторизації: • на рівні застосунку; • на рівні пристрою: для кожного пристрою можуть бути означені конкретні правила авторизації; • на рівні бар’єрного мережного пристрою АСКТП (брандмауер або маршрутизатор): після автентифікації залежно від ролі надається доступ до конкретних пристроїв у мережі АСКТП; • віддалений доступ дозволяти тільки за потреби; • рольові облікові записи повинні враховувати фізичне розміщення користувача: • різний набір ролей для локального та віддаленого входу; • у критичних середовищах керування декілька методів авторизації.
Адміністрування облікових записів Адміністрування облікових записів: • наданням та відкликанням доступу до облікових записів • підтримка дозволів і привілеїв, передбачених цими обліковими записами, для доступу до певних ресурсів та функцій у фізичних приміщеннях, мережі чи системі. • набор дозволених функцій а не доступ до даних
Адміністрування: рекомендації • права доступу повинні встановлюватися відповідно до політик безпеки, що повинні бути попередньо розроблені для всієї системи; • правила доступу повинні бути донесені до всього персоналу; • права доступу можуть бути означені як для команди, так і індивідуально для користувача; • доступ надається, змінюється або припиняється за дорученням відповідальної за адміністрування особи, яка може відрізнятися від адміністратора IT та обізнана в процесах операційної діяльності; • повинен вестися облік усіх дій щодо доступу до облікового запису; • якщо облікові записи не потрібні (наприклад, при звільненні працівника), їх слід призупинити або видалити; • користувачам мать бути призначені мінімальні права і повноваження, необхідні для виконання тільки їх завдань;
Адміністрування: рекомендації • облікові записи необхідно регулярно переглядати: • чи використовується, • роль і потреби все ще актуальні, • користувач має тільки мінімально необхідні дозволи; • перед уведенням системи керування в дію паролі за замовченням повинні бути змінені; • відповідність облікових записів політиці адміністрування необхідно періодично перевіряти; • доступ повинен контролюватися відповідним методом аутентифікації: тобто ID користувача і паролем, персональними ідентифікаційними номерами (PIN) або токенами; • особисті дані користувача не повинні передаватися будь-кому, за винятком особливих ситуацій; • один особливий випадок – у диспетчерській, де оператори працюють як одна робоча група або команда; • повинен бути механізм альтернативного процесу ідентифікації в разі втрати облікових даних або забутого пароля
Властивості та можливості підсистем керування доступом • авторизація: • надавати права або привілеї для елементів для обмеження доступу; • виділяти групи (категорії) користувачів з однаковими правами (ролями), що спрощує адміністрування; • обмежування вмісту на основі місцезнаходження (користувач з віддаленого засобу ЛМІ може мати менше прав); • адміністрування: • створення та редагування користувачів не тільки в середовищі розроблення, але й у середовищі виконання; • інтегрування зі службами керування користувачами операційної системи (наприклад Windows Active Directory); • можливість задавати час простою, після якого система автоматично виведе користувача із системи. • автентифікація: • можливість входу користувача за допомогою різних засобів – як з використанням імені та паролю, так і інших (карт, біометричних сканерів і т.п.); • можливість користувача тимчасово входити в систему (тимчасово змінювати роль), тобто користувач з вищими правами може зареєструватися тільки на час виконання однієї дії; • можливість примітки автентифікації, тобто вимога до користувача додати причину для керуючої дії;
Особливості • підсистема організації доступу в SCADA/HMI: • відокремлена від системи керуванням доступу ОС • інтегрована • user SCADA, admin OS • admin OS, user SCADA • керування доступом у SCADA/HMI - обмеження доступу до функцій консолі операційної системи, функції: • блокування виходу із повноекранного режиму на "робочий стіл"; • блокування системних комбінацій клавіш, наприклад CTRL+ALT+DEL; • блокування системних кнопок "Windows"; • інші блокування виходу в ОС; • обмеження доступу до функцій запуску прикладних програм зі SCADA.
Блокування доступу за умовами • блокування можливості зміни значення чи відправки команд при виконанні (або невиконанні) певних умов • приклад: оператор не повинен мати можливість викликати команду запуску, якщо лінія при цьому не готова • різні блокування • блокування запуску повинно відбуватися на рівні ПЛК або інколи навіть на рівні СПАЗ (системи протиаварійного захисту) чи релейних схем • блокування на рівні HMI відображення наявності блокування • візуально блокування може бути показане зміною кольору або додатковими символами
Підсистема захисту в Citect 29.11.2020 pupena_san@ukr.net 21
Привілеї та зони • користувач • можливості користувачів (авторизація): • через приналежність до ролі • набір привілеїв (Privilege) 1..8 • не ієрархічні • ієрархічні при [Privilege]Exclusive=0 • у певних виробничих зонах (Area) або глобальні • повністю означує права, що має користувач, якому ця роль призначена • не зареєстрований користувач привілеї = 0
Налаштування користувачів Windows group
Налаштування елементів
Додаткові засоби • реєстрація через функції Cicode та шаблони • з реєстрацією користувача вказується мова, яка буде використовуватися в системі • усі дії з користувачами фіксуються в журналі • редагувати існуючі та створювати нові користувачі в режимі виконання: • через шаблони Citect • через CiCode функцію UserCreate • тільки користувачі з зазначеними правами "Manage Users" • Citect має багато функцій керування користувачами • автоматичний вхід у систему користувача через певний ідентифікатор, це можна зробити через події та функцію Login. • передбачає захист підключення клієнта до сервера, для чого в майстрі налаштування комп’ютера вказується пароль підключення • можна налаштувати повноекранний режим, який не дає перейти на робочий стіл, використовуючи кнопки керування заголовка вікна (згорнути, закрити) • можна налаштувати блокування комбінації "ALT+SPACE", яка передбачає виклик контекстного меню активного вікна • Інші комбінації, наприклад "Alt-Escape", "Ctrl-Escape" чи "Alt-Tab", необхідно блокувати іншими засобами, наприклад, правкою ключів реєстру Windows або спеціальними утилітами
Підсистема захисту в zenon 29.11.2020 pupena_san@ukr.net 26
Адміністрування користувачів • адміністрування користувачів однакове для об’єктів середовища виконання і для функцій середовища розроблення • "Runtime Changeable Date“->"User Administration" поставити значення "Do not generate and transfer" (не генерувати і не переносити) • має змогу переносити налаштування "User Administration" із середовища виконання в середовище розроблення. • на основі користувачів • може входити через zenon або через Windows Active Directory (AD). • різні рівні дозволів (авторизаційних рівнів, authorization level), що мають значення від 0 до 127 • незареєстрований має 0-й рівень • видавати їх можуть тільки адміністратори, які також мають доступ до цих рівнів. • один із трьох типів (User Type): • User (користувач): можуть здійснювати дії відповідно до рівнів дозволів, які йому призначені; • Power user (досвідчений користувач): може також створювати та редагувати користувачів; • Administrator (адміністратор): може також проводити інші адміністративні задачі, такі як відміна блокування користувача, скидування паролю, і т.ін.
Налаштування користувачів
Налаштування доступу до елементів
Налаштування доступу до системи
Адміністрування в режимі виконання Доступні такі спеціальні типи екранів: • User list: надає функції редагування, як у середовищі розроблення з розділу Users; • User group list: надає функції редагування, як у середовищі розроблення з розділу User groups; • Edit user: дозволяє редагувати користувачів zenon; • Active Directory user administration: дозволяє редагувати користувачів Windows Active Directory .
Функції • Login with dialog: відкриває діалог для реєстрації; • Login without password: дозволяє зареєструвати користувача без діалогу; • ідентифікація відбувається через якісь спеціальні засоби, наприклад, чіп, сканер, пристрій зчитування карт і т.п, або за виконанням якоїсь події • Logout: вихід активного користувача, надається рівень дозволів 0; • Change user: відкриває діалог редагування користувачів та груп; • Change password: відкриває діалог зміни пароля.
Блокування елементів
Блокування системних клавіш • "Interaction"->"Lock System Keys" блокуються усі системні гарячі комбінації клавіш Windows (окрім "Ctrl+Alt+Del" та "Windows key + L") • можна зборонити усі системні клавіші, використовуючи утиліту, яка поставляється із zenon “Keyblock Runtime Start”
29.11.2020 35 Література http://fb.asu.in.ua/kniga-scada-hmi

Recommended

Анімовані компоненти та навігація
Анімовані компоненти та навігаціяАнімовані компоненти та навігація
Анімовані компоненти та навігація
Пупена Александр
 
Загальні принципи розроблення АРМ оператора на базі SCADA/HMI
Загальні принципи розроблення АРМ оператора на базі SCADA/HMIЗагальні принципи розроблення АРМ оператора на базі SCADA/HMI
Загальні принципи розроблення АРМ оператора на базі SCADA/HMI
Пупена Александр
 
Інші підсистеми
Інші підсистемиІнші підсистеми
Інші підсистеми
Пупена Александр
 
1 1 призначення засобів людино машинного інтерфейсу та scada
1 1 призначення засобів людино машинного інтерфейсу та scada1 1 призначення засобів людино машинного інтерфейсу та scada
1 1 призначення засобів людино машинного інтерфейсу та scada
Пупена Александр
 
Розроблення дисплеїв та анімованих елементів
Розроблення дисплеїв та анімованих елементівРозроблення дисплеїв та анімованих елементів
Розроблення дисплеїв та анімованих елементів
Пупена Александр
 
5 Підсистема введення/виведення. OPC
5 Підсистема введення/виведення. OPC5 Підсистема введення/виведення. OPC
5 Підсистема введення/виведення. OPC
Пупена Александр
 
Підсистема керування збором та обробкою даних в реальному часі
Підсистема керування збором та обробкою даних в реальному часіПідсистема керування збором та обробкою даних в реальному часі
Підсистема керування збором та обробкою даних в реальному часі
Пупена Александр
 
Розроблення підсистеми трендів
Розроблення підсистеми трендівРозроблення підсистеми трендів
Розроблення підсистеми трендів
Пупена Александр
 

Recommended

Анімовані компоненти та навігація
Анімовані компоненти та навігаціяАнімовані компоненти та навігація
Анімовані компоненти та навігація
Пупена Александр
 
Загальні принципи розроблення АРМ оператора на базі SCADA/HMI
Загальні принципи розроблення АРМ оператора на базі SCADA/HMIЗагальні принципи розроблення АРМ оператора на базі SCADA/HMI
Загальні принципи розроблення АРМ оператора на базі SCADA/HMI
Пупена Александр
 
Інші підсистеми
Інші підсистемиІнші підсистеми
Інші підсистеми
Пупена Александр
 
1 1 призначення засобів людино машинного інтерфейсу та scada
1 1 призначення засобів людино машинного інтерфейсу та scada1 1 призначення засобів людино машинного інтерфейсу та scada
1 1 призначення засобів людино машинного інтерфейсу та scada
Пупена Александр
 
Розроблення дисплеїв та анімованих елементів
Розроблення дисплеїв та анімованих елементівРозроблення дисплеїв та анімованих елементів
Розроблення дисплеїв та анімованих елементів
Пупена Александр
 
5 Підсистема введення/виведення. OPC
5 Підсистема введення/виведення. OPC5 Підсистема введення/виведення. OPC
5 Підсистема введення/виведення. OPC
Пупена Александр
 
Підсистема керування збором та обробкою даних в реальному часі
Підсистема керування збором та обробкою даних в реальному часіПідсистема керування збором та обробкою даних в реальному часі
Підсистема керування збором та обробкою даних в реальному часі
Пупена Александр
 
Розроблення підсистеми трендів
Розроблення підсистеми трендівРозроблення підсистеми трендів
Розроблення підсистеми трендів
Пупена Александр
 
2 2 Інші функції SCADA/HMI
2 2 Інші функції SCADA/HMI2 2 Інші функції SCADA/HMI
2 2 Інші функції SCADA/HMI
Пупена Александр
 
Презентація на конференції в Славутичі 2016 INUDECO'16
Презентація на конференції в Славутичі 2016 INUDECO'16Презентація на конференції в Славутичі 2016 INUDECO'16
Презентація на конференції в Славутичі 2016 INUDECO'16
Пупена Александр
 
Концепція розробки програмного забезпечення для програмованих логічних контро...
Концепція розробки програмного забезпечення для програмованих логічних контро...Концепція розробки програмного забезпечення для програмованих логічних контро...
Концепція розробки програмного забезпечення для програмованих логічних контро...
Пупена Александр
 
Pac framework v1_250318
Pac framework v1_250318Pac framework v1_250318
Pac framework v1_250318
Пупена Александр
 
9 Приклади підсистеми тривожної сигналізації в SCADA Citect і SCADA zenon
9 Приклади підсистеми тривожної сигналізації в SCADA Citect і SCADA zenon9 Приклади підсистеми тривожної сигналізації в SCADA Citect і SCADA zenon
9 Приклади підсистеми тривожної сигналізації в SCADA Citect і SCADA zenon
Пупена Александр
 
8 Розробка підсистеми тривожної сигналізації
8 Розробка підсистеми тривожної сигналізації8 Розробка підсистеми тривожної сигналізації
8 Розробка підсистеми тривожної сигналізації
Пупена Александр
 
S88.01 tutorial (укр мова)
S88.01 tutorial (укр мова)S88.01 tutorial (укр мова)
S88.01 tutorial (укр мова)
Пупена Александр
 
пім косп лекц
пім косп лекцпім косп лекц
пім косп лекц
Пупена Александр
 
Короткий опис лабораторного практикуму по MOM
Короткий опис лабораторного практикуму по MOMКороткий опис лабораторного практикуму по MOM
Короткий опис лабораторного практикуму по MOM
Пупена Александр
 
лаб роботи Zenon Batch Control
лаб роботи Zenon Batch Controlлаб роботи Zenon Batch Control
лаб роботи Zenon Batch Control
Пупена Александр
 
Isa 106 tr1_інфографіка_укр
Isa 106 tr1_інфографіка_укрIsa 106 tr1_інфографіка_укр
Isa 106 tr1_інфографіка_укр
Пупена Александр
 
2.1. Функції графічного людино-машинного інтерфейсу
2.1. Функції графічного людино-машинного інтерфейсу2.1. Функції графічного людино-машинного інтерфейсу
2.1. Функції графічного людино-машинного інтерфейсу
Пупена Александр
 
основи Isa 88
основи Isa 88основи Isa 88
основи Isa 88
Пупена Александр
 
навіщо нам потрібен стандарт Isa 88
навіщо нам потрібен стандарт Isa 88навіщо нам потрібен стандарт Isa 88
навіщо нам потрібен стандарт Isa 88
Пупена Александр
 
Isa88 основа стандарту інтегрованого виробництва
Isa88 основа стандарту інтегрованого виробництваIsa88 основа стандарту інтегрованого виробництва
Isa88 основа стандарту інтегрованого виробництва
Пупена Александр
 
Використання віртуальних лабораторних робіт з дисципліни «Промислові мережі т...
Використання віртуальних лабораторних робіт з дисципліни «Промислові мережі т...Використання віртуальних лабораторних робіт з дисципліни «Промислові мережі т...
Використання віртуальних лабораторних робіт з дисципліни «Промислові мережі т...
Пупена Александр
 
UNITY PRO – ШВИДКИЙ СТАРТ
UNITY PRO – ШВИДКИЙ СТАРТUNITY PRO – ШВИДКИЙ СТАРТ
UNITY PRO – ШВИДКИЙ СТАРТ
Пупена Александр
 
Tda18 1
Tda18 1Tda18 1
Tda18 1
Пупена Александр
 
пIм метод лаб2112
пIм метод лаб2112пIм метод лаб2112
пIм метод лаб2112
Пупена Александр
 
Програмовані логічні контролери стандарту МЕК 61131
Програмовані логічні контролери стандарту МЕК 61131Програмовані логічні контролери стандарту МЕК 61131
Програмовані логічні контролери стандарту МЕК 61131
Пупена Александр
 
ідентифікація і аутентифікація, управління доступом
ідентифікація і аутентифікація, управління доступомідентифікація і аутентифікація, управління доступом
ідентифікація і аутентифікація, управління доступомOleg Nazarevych
 
Access control suprema 2016 catalogue
Access control suprema 2016 catalogueAccess control suprema 2016 catalogue
Access control suprema 2016 catalogue
All Electro LTD
 

More Related Content

What's hot

2 2 Інші функції SCADA/HMI
2 2 Інші функції SCADA/HMI2 2 Інші функції SCADA/HMI
2 2 Інші функції SCADA/HMI
Пупена Александр
 
Презентація на конференції в Славутичі 2016 INUDECO'16
Презентація на конференції в Славутичі 2016 INUDECO'16Презентація на конференції в Славутичі 2016 INUDECO'16
Презентація на конференції в Славутичі 2016 INUDECO'16
Пупена Александр
 
Концепція розробки програмного забезпечення для програмованих логічних контро...
Концепція розробки програмного забезпечення для програмованих логічних контро...Концепція розробки програмного забезпечення для програмованих логічних контро...
Концепція розробки програмного забезпечення для програмованих логічних контро...
Пупена Александр
 
Pac framework v1_250318
Pac framework v1_250318Pac framework v1_250318
Pac framework v1_250318
Пупена Александр
 
9 Приклади підсистеми тривожної сигналізації в SCADA Citect і SCADA zenon
9 Приклади підсистеми тривожної сигналізації в SCADA Citect і SCADA zenon9 Приклади підсистеми тривожної сигналізації в SCADA Citect і SCADA zenon
9 Приклади підсистеми тривожної сигналізації в SCADA Citect і SCADA zenon
Пупена Александр
 
8 Розробка підсистеми тривожної сигналізації
8 Розробка підсистеми тривожної сигналізації8 Розробка підсистеми тривожної сигналізації
8 Розробка підсистеми тривожної сигналізації
Пупена Александр
 
S88.01 tutorial (укр мова)
S88.01 tutorial (укр мова)S88.01 tutorial (укр мова)
S88.01 tutorial (укр мова)
Пупена Александр
 
пім косп лекц
пім косп лекцпім косп лекц
пім косп лекц
Пупена Александр
 
Короткий опис лабораторного практикуму по MOM
Короткий опис лабораторного практикуму по MOMКороткий опис лабораторного практикуму по MOM
Короткий опис лабораторного практикуму по MOM
Пупена Александр
 
лаб роботи Zenon Batch Control
лаб роботи Zenon Batch Controlлаб роботи Zenon Batch Control
лаб роботи Zenon Batch Control
Пупена Александр
 
Isa 106 tr1_інфографіка_укр
Isa 106 tr1_інфографіка_укрIsa 106 tr1_інфографіка_укр
Isa 106 tr1_інфографіка_укр
Пупена Александр
 
2.1. Функції графічного людино-машинного інтерфейсу
2.1. Функції графічного людино-машинного інтерфейсу2.1. Функції графічного людино-машинного інтерфейсу
2.1. Функції графічного людино-машинного інтерфейсу
Пупена Александр
 
основи Isa 88
основи Isa 88основи Isa 88
основи Isa 88
Пупена Александр
 
навіщо нам потрібен стандарт Isa 88
навіщо нам потрібен стандарт Isa 88навіщо нам потрібен стандарт Isa 88
навіщо нам потрібен стандарт Isa 88
Пупена Александр
 
Isa88 основа стандарту інтегрованого виробництва
Isa88 основа стандарту інтегрованого виробництваIsa88 основа стандарту інтегрованого виробництва
Isa88 основа стандарту інтегрованого виробництва
Пупена Александр
 
Використання віртуальних лабораторних робіт з дисципліни «Промислові мережі т...
Використання віртуальних лабораторних робіт з дисципліни «Промислові мережі т...Використання віртуальних лабораторних робіт з дисципліни «Промислові мережі т...
Використання віртуальних лабораторних робіт з дисципліни «Промислові мережі т...
Пупена Александр
 
UNITY PRO – ШВИДКИЙ СТАРТ
UNITY PRO – ШВИДКИЙ СТАРТUNITY PRO – ШВИДКИЙ СТАРТ
UNITY PRO – ШВИДКИЙ СТАРТ
Пупена Александр
 
Tda18 1
Tda18 1Tda18 1
Tda18 1
Пупена Александр
 
пIм метод лаб2112
пIм метод лаб2112пIм метод лаб2112
пIм метод лаб2112
Пупена Александр
 
Програмовані логічні контролери стандарту МЕК 61131
Програмовані логічні контролери стандарту МЕК 61131Програмовані логічні контролери стандарту МЕК 61131
Програмовані логічні контролери стандарту МЕК 61131
Пупена Александр
 

What's hot (20)

2 2 Інші функції SCADA/HMI
2 2 Інші функції SCADA/HMI2 2 Інші функції SCADA/HMI
2 2 Інші функції SCADA/HMI
 
Презентація на конференції в Славутичі 2016 INUDECO'16
Презентація на конференції в Славутичі 2016 INUDECO'16Презентація на конференції в Славутичі 2016 INUDECO'16
Презентація на конференції в Славутичі 2016 INUDECO'16
 
Концепція розробки програмного забезпечення для програмованих логічних контро...
Концепція розробки програмного забезпечення для програмованих логічних контро...Концепція розробки програмного забезпечення для програмованих логічних контро...
Концепція розробки програмного забезпечення для програмованих логічних контро...
 
Pac framework v1_250318
Pac framework v1_250318Pac framework v1_250318
Pac framework v1_250318
 
9 Приклади підсистеми тривожної сигналізації в SCADA Citect і SCADA zenon
9 Приклади підсистеми тривожної сигналізації в SCADA Citect і SCADA zenon9 Приклади підсистеми тривожної сигналізації в SCADA Citect і SCADA zenon
9 Приклади підсистеми тривожної сигналізації в SCADA Citect і SCADA zenon
 
8 Розробка підсистеми тривожної сигналізації
8 Розробка підсистеми тривожної сигналізації8 Розробка підсистеми тривожної сигналізації
8 Розробка підсистеми тривожної сигналізації
 
S88.01 tutorial (укр мова)
S88.01 tutorial (укр мова)S88.01 tutorial (укр мова)
S88.01 tutorial (укр мова)
 
пім косп лекц
пім косп лекцпім косп лекц
пім косп лекц
 
Короткий опис лабораторного практикуму по MOM
Короткий опис лабораторного практикуму по MOMКороткий опис лабораторного практикуму по MOM
Короткий опис лабораторного практикуму по MOM
 
лаб роботи Zenon Batch Control
лаб роботи Zenon Batch Controlлаб роботи Zenon Batch Control
лаб роботи Zenon Batch Control
 
Isa 106 tr1_інфографіка_укр
Isa 106 tr1_інфографіка_укрIsa 106 tr1_інфографіка_укр
Isa 106 tr1_інфографіка_укр
 
2.1. Функції графічного людино-машинного інтерфейсу
2.1. Функції графічного людино-машинного інтерфейсу2.1. Функції графічного людино-машинного інтерфейсу
2.1. Функції графічного людино-машинного інтерфейсу
 
основи Isa 88
основи Isa 88основи Isa 88
основи Isa 88
 
навіщо нам потрібен стандарт Isa 88
навіщо нам потрібен стандарт Isa 88навіщо нам потрібен стандарт Isa 88
навіщо нам потрібен стандарт Isa 88
 
Isa88 основа стандарту інтегрованого виробництва
Isa88 основа стандарту інтегрованого виробництваIsa88 основа стандарту інтегрованого виробництва
Isa88 основа стандарту інтегрованого виробництва
 
Використання віртуальних лабораторних робіт з дисципліни «Промислові мережі т...
Використання віртуальних лабораторних робіт з дисципліни «Промислові мережі т...Використання віртуальних лабораторних робіт з дисципліни «Промислові мережі т...
Використання віртуальних лабораторних робіт з дисципліни «Промислові мережі т...
 
UNITY PRO – ШВИДКИЙ СТАРТ
UNITY PRO – ШВИДКИЙ СТАРТUNITY PRO – ШВИДКИЙ СТАРТ
UNITY PRO – ШВИДКИЙ СТАРТ
 
Tda18 1
Tda18 1Tda18 1
Tda18 1
 
пIм метод лаб2112
пIм метод лаб2112пIм метод лаб2112
пIм метод лаб2112
 
Програмовані логічні контролери стандарту МЕК 61131
Програмовані логічні контролери стандарту МЕК 61131Програмовані логічні контролери стандарту МЕК 61131
Програмовані логічні контролери стандарту МЕК 61131
 

Similar to 11 Підсистеми захисту

ідентифікація і аутентифікація, управління доступом
ідентифікація і аутентифікація, управління доступомідентифікація і аутентифікація, управління доступом
ідентифікація і аутентифікація, управління доступомOleg Nazarevych
 
Access control suprema 2016 catalogue
Access control suprema 2016 catalogueAccess control suprema 2016 catalogue
Access control suprema 2016 catalogue
All Electro LTD
 
Cистема контролю та управління доступом (базова). технічна документація
Cистема контролю та управління доступом (базова). технічна документаціяCистема контролю та управління доступом (базова). технічна документація
Cистема контролю та управління доступом (базова). технічна документаціяgarasym
 
Cистема контролю та управління доступом (базова). технічна документація
Cистема контролю та управління доступом (базова). технічна документаціяCистема контролю та управління доступом (базова). технічна документація
Cистема контролю та управління доступом (базова). технічна документаціяgarasym
 
Життєвий цикл інформаційної системи.pptx
Життєвий цикл інформаційної системи.pptxЖиттєвий цикл інформаційної системи.pptx
Життєвий цикл інформаційної системи.pptx
Management department, SSU
 
Principles of operation of computer-integrated control systems
Principles of operation of computer-integrated control systemsPrinciples of operation of computer-integrated control systems
Principles of operation of computer-integrated control systems
GennadyManko1
 
Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0
uisgslide
 
Изучение интерфейсов операционных систем с помощью Embedded System
Изучение интерфейсов операционных систем с помощью Embedded SystemИзучение интерфейсов операционных систем с помощью Embedded System
Изучение интерфейсов операционных систем с помощью Embedded System
itconnect2016
 
Презентация STOP-Net 40 040122.pdf
Презентация STOP-Net 40 040122.pdfПрезентация STOP-Net 40 040122.pdf
Презентация STOP-Net 40 040122.pdf
Igor Zapertov
 
Розробка під Android. Роман Мазур
Розробка під Android. Роман МазурРозробка під Android. Роман Мазур
Розробка під Android. Роман Мазур
Stanfy
 
Лекція №10
Лекція №10Лекція №10
Лекція №10
Michael Attwood
 
елбібл прогрзабезп
елбібл прогрзабезпелбібл прогрзабезп
елбібл прогрзабезпTatiana Kots
 

Similar to 11 Підсистеми захисту (15)

ідентифікація і аутентифікація, управління доступом
ідентифікація і аутентифікація, управління доступомідентифікація і аутентифікація, управління доступом
ідентифікація і аутентифікація, управління доступом
 
Access control suprema 2016 catalogue
Access control suprema 2016 catalogueAccess control suprema 2016 catalogue
Access control suprema 2016 catalogue
 
Cистема контролю та управління доступом (базова). технічна документація
Cистема контролю та управління доступом (базова). технічна документаціяCистема контролю та управління доступом (базова). технічна документація
Cистема контролю та управління доступом (базова). технічна документація
 
Cистема контролю та управління доступом (базова). технічна документація
Cистема контролю та управління доступом (базова). технічна документаціяCистема контролю та управління доступом (базова). технічна документація
Cистема контролю та управління доступом (базова). технічна документація
 
Життєвий цикл інформаційної системи.pptx
Життєвий цикл інформаційної системи.pptxЖиттєвий цикл інформаційної системи.pptx
Життєвий цикл інформаційної системи.pptx
 
вашенюк
вашенюквашенюк
вашенюк
 
Principles of operation of computer-integrated control systems
Principles of operation of computer-integrated control systemsPrinciples of operation of computer-integrated control systems
Principles of operation of computer-integrated control systems
 
Presentation IES 2012
Presentation IES 2012Presentation IES 2012
Presentation IES 2012
 
Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0
 
MOM
MOMMOM
MOM
 
Изучение интерфейсов операционных систем с помощью Embedded System
Изучение интерфейсов операционных систем с помощью Embedded SystemИзучение интерфейсов операционных систем с помощью Embedded System
Изучение интерфейсов операционных систем с помощью Embedded System
 
Презентация STOP-Net 40 040122.pdf
Презентация STOP-Net 40 040122.pdfПрезентация STOP-Net 40 040122.pdf
Презентация STOP-Net 40 040122.pdf
 
Розробка під Android. Роман Мазур
Розробка під Android. Роман МазурРозробка під Android. Роман Мазур
Розробка під Android. Роман Мазур
 
Лекція №10
Лекція №10Лекція №10
Лекція №10
 
елбібл прогрзабезп
елбібл прогрзабезпелбібл прогрзабезп
елбібл прогрзабезп
 

More from Пупена Александр

Node-RED довідник
Node-RED довідникNode-RED довідник
Node-RED довідник
Пупена Александр
 
Підсистема введення/виведення SCADA/HMI. Modbus
Підсистема введення/виведення SCADA/HMI. ModbusПідсистема введення/виведення SCADA/HMI. Modbus
Підсистема введення/виведення SCADA/HMI. Modbus
Пупена Александр
 
2_3 Функції графічного людино-машинного інтерфейсу: високоефективний ЛМІ
2_3 Функції графічного людино-машинного інтерфейсу: високоефективний ЛМІ2_3 Функції графічного людино-машинного інтерфейсу: високоефективний ЛМІ
2_3 Функції графічного людино-машинного інтерфейсу: високоефективний ЛМІ
Пупена Александр
 
Мастер-класс: отправка данных с ПЛК в Google Sheet с использованием Node-RED
Мастер-класс: отправка данных с ПЛК в Google Sheet с использованием Node-REDМастер-класс: отправка данных с ПЛК в Google Sheet с использованием Node-RED
Мастер-класс: отправка данных с ПЛК в Google Sheet с использованием Node-RED
Пупена Александр
 
Про курс «Технологии Индустрии 4.0»
Про курс «Технологии Индустрии 4.0» Про курс «Технологии Индустрии 4.0»
Про курс «Технологии Индустрии 4.0»
Пупена Александр
 
Git и GitHub для создания учебного контента
Git и GitHub для создания учебного контентаGit и GitHub для создания учебного контента
Git и GitHub для создания учебного контента
Пупена Александр
 
Git4 all
Git4 allGit4 all
Git4 all
Пупена Александр
 
Presentation 111019 1
Presentation 111019 1Presentation 111019 1
Presentation 111019 1
Пупена Александр
 
Модель компетенцій спеціалістів Industrial Automation в епоху 4.0
Модель компетенцій спеціалістів Industrial Automation в епоху 4.0 Модель компетенцій спеціалістів Industrial Automation в епоху 4.0
Модель компетенцій спеціалістів Industrial Automation в епоху 4.0
Пупена Александр
 
Vebinar isa88
Vebinar isa88Vebinar isa88
Vebinar isa88
Пупена Александр
 
кадри в індустрії 4
кадри в індустрії 4 кадри в індустрії 4
кадри в індустрії 4
Пупена Александр
 
Промышленные сети в АСУТП. Начальный уровень.
Промышленные сети в АСУТП. Начальный уровень.Промышленные сети в АСУТП. Начальный уровень.
Промышленные сети в АСУТП. Начальный уровень.
Пупена Александр
 

More from Пупена Александр (12)

Node-RED довідник
Node-RED довідникNode-RED довідник
Node-RED довідник
 
Підсистема введення/виведення SCADA/HMI. Modbus
Підсистема введення/виведення SCADA/HMI. ModbusПідсистема введення/виведення SCADA/HMI. Modbus
Підсистема введення/виведення SCADA/HMI. Modbus
 
2_3 Функції графічного людино-машинного інтерфейсу: високоефективний ЛМІ
2_3 Функції графічного людино-машинного інтерфейсу: високоефективний ЛМІ2_3 Функції графічного людино-машинного інтерфейсу: високоефективний ЛМІ
2_3 Функції графічного людино-машинного інтерфейсу: високоефективний ЛМІ
 
Мастер-класс: отправка данных с ПЛК в Google Sheet с использованием Node-RED
Мастер-класс: отправка данных с ПЛК в Google Sheet с использованием Node-REDМастер-класс: отправка данных с ПЛК в Google Sheet с использованием Node-RED
Мастер-класс: отправка данных с ПЛК в Google Sheet с использованием Node-RED
 
Про курс «Технологии Индустрии 4.0»
Про курс «Технологии Индустрии 4.0» Про курс «Технологии Индустрии 4.0»
Про курс «Технологии Индустрии 4.0»
 
Git и GitHub для создания учебного контента
Git и GitHub для создания учебного контентаGit и GitHub для создания учебного контента
Git и GitHub для создания учебного контента
 
Git4 all
Git4 allGit4 all
Git4 all
 
Presentation 111019 1
Presentation 111019 1Presentation 111019 1
Presentation 111019 1
 
Модель компетенцій спеціалістів Industrial Automation в епоху 4.0
Модель компетенцій спеціалістів Industrial Automation в епоху 4.0 Модель компетенцій спеціалістів Industrial Automation в епоху 4.0
Модель компетенцій спеціалістів Industrial Automation в епоху 4.0
 
Vebinar isa88
Vebinar isa88Vebinar isa88
Vebinar isa88
 
кадри в індустрії 4
кадри в індустрії 4 кадри в індустрії 4
кадри в індустрії 4
 
Промышленные сети в АСУТП. Начальный уровень.
Промышленные сети в АСУТП. Начальный уровень.Промышленные сети в АСУТП. Начальный уровень.
Промышленные сети в АСУТП. Начальный уровень.
 

Recently uploaded

Віртуальна виставка «Допомога НАТО Україні»
Віртуальна виставка «Допомога НАТО Україні»Віртуальна виставка «Допомога НАТО Україні»
Віртуальна виставка «Допомога НАТО Україні»
Vinnytsia Regional Universal Scientific Library named after Valentin Otamanovsky
 
Основи_історичної_просвіти_—_для_перекладу.pdf
Основи_історичної_просвіти_—_для_перекладу.pdfОснови_історичної_просвіти_—_для_перекладу.pdf
Основи_історичної_просвіти_—_для_перекладу.pdf
olaola5673
 
Главлит_2_0_Книжкова_цензура_в_Росії.pdf
Главлит_2_0_Книжкова_цензура_в_Росії.pdfГлавлит_2_0_Книжкова_цензура_в_Росії.pdf
Главлит_2_0_Книжкова_цензура_в_Росії.pdf
olaola5673
 
LOBANOVA_Tetiana_PORTFOLIO_Librarian.pdf
LOBANOVA_Tetiana_PORTFOLIO_Librarian.pdfLOBANOVA_Tetiana_PORTFOLIO_Librarian.pdf
LOBANOVA_Tetiana_PORTFOLIO_Librarian.pdf
Olga Kudriavtseva
 
29.05.2024.docx29.05.2024.docx29.05.2024.docx
29.05.2024.docx29.05.2024.docx29.05.2024.docx29.05.2024.docx29.05.2024.docx29.05.2024.docx
29.05.2024.docx29.05.2024.docx29.05.2024.docx
Репетитор Історія України
 
Важливість впровадження стандарту ISO/IEC 17025:2019 у процес державних випро...
Важливість впровадження стандарту ISO/IEC 17025:2019 у процес державних випро...Важливість впровадження стандарту ISO/IEC 17025:2019 у процес державних випро...
Важливість впровадження стандарту ISO/IEC 17025:2019 у процес державних випро...
tetiana1958
 
«Слова і кулі». Письменники, що захищають Україну. Єлизавета Жарікова
«Слова і кулі». Письменники, що захищають Україну. Єлизавета Жарікова«Слова і кулі». Письменники, що захищають Україну. Єлизавета Жарікова
«Слова і кулі». Письменники, що захищають Україну. Єлизавета Жарікова
estet13
 
KUDRIAVTSEVA_Olha_PORTFOLIO_librarian.pdf
KUDRIAVTSEVA_Olha_PORTFOLIO_librarian.pdfKUDRIAVTSEVA_Olha_PORTFOLIO_librarian.pdf
KUDRIAVTSEVA_Olha_PORTFOLIO_librarian.pdf
Olga Kudriavtseva
 
Підсумки, перспективи роботи профспільнот педагогів ЗДО (2).pdf
Підсумки, перспективи роботи профспільнот педагогів ЗДО (2).pdfПідсумки, перспективи роботи профспільнот педагогів ЗДО (2).pdf
Підсумки, перспективи роботи профспільнот педагогів ЗДО (2).pdf
ssuser7541ef1
 
POPOVICH_Nina_PORTFOLIO_librarianCRE.pdf
POPOVICH_Nina_PORTFOLIO_librarianCRE.pdfPOPOVICH_Nina_PORTFOLIO_librarianCRE.pdf
POPOVICH_Nina_PORTFOLIO_librarianCRE.pdf
Olga Kudriavtseva
 

Recently uploaded (10)

Віртуальна виставка «Допомога НАТО Україні»
Віртуальна виставка «Допомога НАТО Україні»Віртуальна виставка «Допомога НАТО Україні»
Віртуальна виставка «Допомога НАТО Україні»
 
Основи_історичної_просвіти_—_для_перекладу.pdf
Основи_історичної_просвіти_—_для_перекладу.pdfОснови_історичної_просвіти_—_для_перекладу.pdf
Основи_історичної_просвіти_—_для_перекладу.pdf
 
Главлит_2_0_Книжкова_цензура_в_Росії.pdf
Главлит_2_0_Книжкова_цензура_в_Росії.pdfГлавлит_2_0_Книжкова_цензура_в_Росії.pdf
Главлит_2_0_Книжкова_цензура_в_Росії.pdf
 
LOBANOVA_Tetiana_PORTFOLIO_Librarian.pdf
LOBANOVA_Tetiana_PORTFOLIO_Librarian.pdfLOBANOVA_Tetiana_PORTFOLIO_Librarian.pdf
LOBANOVA_Tetiana_PORTFOLIO_Librarian.pdf
 
29.05.2024.docx29.05.2024.docx29.05.2024.docx
29.05.2024.docx29.05.2024.docx29.05.2024.docx29.05.2024.docx29.05.2024.docx29.05.2024.docx
29.05.2024.docx29.05.2024.docx29.05.2024.docx
 
Важливість впровадження стандарту ISO/IEC 17025:2019 у процес державних випро...
Важливість впровадження стандарту ISO/IEC 17025:2019 у процес державних випро...Важливість впровадження стандарту ISO/IEC 17025:2019 у процес державних випро...
Важливість впровадження стандарту ISO/IEC 17025:2019 у процес державних випро...
 
«Слова і кулі». Письменники, що захищають Україну. Єлизавета Жарікова
«Слова і кулі». Письменники, що захищають Україну. Єлизавета Жарікова«Слова і кулі». Письменники, що захищають Україну. Єлизавета Жарікова
«Слова і кулі». Письменники, що захищають Україну. Єлизавета Жарікова
 
KUDRIAVTSEVA_Olha_PORTFOLIO_librarian.pdf
KUDRIAVTSEVA_Olha_PORTFOLIO_librarian.pdfKUDRIAVTSEVA_Olha_PORTFOLIO_librarian.pdf
KUDRIAVTSEVA_Olha_PORTFOLIO_librarian.pdf
 
Підсумки, перспективи роботи профспільнот педагогів ЗДО (2).pdf
Підсумки, перспективи роботи профспільнот педагогів ЗДО (2).pdfПідсумки, перспективи роботи профспільнот педагогів ЗДО (2).pdf
Підсумки, перспективи роботи профспільнот педагогів ЗДО (2).pdf
 
POPOVICH_Nina_PORTFOLIO_librarianCRE.pdf
POPOVICH_Nina_PORTFOLIO_librarianCRE.pdfPOPOVICH_Nina_PORTFOLIO_librarianCRE.pdf
POPOVICH_Nina_PORTFOLIO_librarianCRE.pdf
 

11 Підсистеми захисту

  • 1. Людино-машинні інтерфейси та SCADA Підсистеми захисту автор і лектор: Олександр Пупена (pupena_san@ukr.net) зворотній зв’язок по курсу: Інтернет-форум АСУ в Україні (www.asu.in.ua) 29.11.2020 1
  • 2. Загальні основи підсистеми захисту 29.11.2020 pupena_san@ukr.net 2
  • 3. Загальна інформація • організована на базі користувачів (users) • розділені за правами доступу до об’єктів системи та їх адміністрування: • для захисту від несанкціонованих дій; • надання користувачам інтерфейсу відповідно до їх ролей; • збереження записів у журналі дій конкретного користувача. • у стандарті ISA-101 описано тільки частину функцій та вимог до підсистеми • функції детально описані в стандартах IEC 62443 (кіюербезпека)
  • 4. Типи користувачів • операційний персонал (оператори процесу): • моніторинг, керування та експлуатацію установки; • оператори центрального пункту керування, оператори віддаленого доступу, оператори портативних пристроїв; • персонал з технічного обслуговування (Maintenance-users): • усувають несправності, виконують технічне обслуговування; • інженери (Engineering-users): виконують модифікації, доповнення або видалення компонентів HMI або системи керування; • адміністратори: оновлення системи керування, призначають правила безпеки іншим користувачам; • керівники, менеджери: моніторинг функціонування установки чи інших засобів виробництва; • аналітики: моніторинг системи для поліпшення роботи установки; • інші користувачі: використовують або взаємодіють із системою для інших цілей, наприклад, персонал з керування якістю.
  • 5. Первинні та вторинні користувачі • первинні користувачі (primary users) – операційний персонал • вторинних користувачів (secondary users) - інші, що забезпечують обслуговування та моніторинг. • задоволення потреб вторинних користувачів не повинно перешкоджати виконанню вимог користувачів первинних • окремі дисплеї для підтримки потреб вторинних користувачів, якщо спец. елементи ускладнюють дисплеї первинних
  • 6. Вимоги до користувачів Для кожного типу користувачів визначаються вимоги та набір завдань, враховуються: • дії користувача при нормальних та ненормальних умовах експлуатації; • потреби в довідковій системі для користувача (онлайн або офлайн); • вимог, що стосуються ролей користувача та привілеїв облікового запису; • термінології, що використовується користувачем, моделі об'єкта та/або процесу з точки зору користувача; • потреби функцій HMI для користувача. • локальні користувачі • віддалені користувачі можуть мати додаткові обмеження доступу до функцій Вимоги можуть бути означені: • у вигляді окремого документа • як частина вимог до функцій системи керування чи застосування
  • 7. Керування доступом керування доступом (IEC 62443-2-1): • хто чи що може отримати доступ до приміщень та систем • який саме тип доступу дозволений. Обліковий запис для доступу(access account) – ідентифікатори та паролі для користувачів, налаштування доступу до певних функцій • для окремих користувачів • груп користувачів (наприклад диспетчери)
  • 8. Ідентифікація, автентифікація, авторизація • ідентифікація (хто ти?) • автентифікація (доведи, що ти є ти) • авторизація (це можна, а це не можна) • адміністрування (створення/видалення/редагування користувачів)
  • 9. Автентифікація • на відміну від автентифікації в ІТ-системах: • відсутність доступу до ресурсів у критичні моменти часу може призвести до небезпечних та аварійних ситуацій • обережно ставитися до блокування облікових записів при невдалих входах у систему або періодах бездіяльності • але недостатньо сильна автентифікація -> надання доступу зловмиснику для виконання небезпечних операцій. • слабкі методи автентифікації – які легко анулювати, щоб забезпечити небажаний доступ • користувач та пароль • сильні методи автентифікації - точні в правильній ідентифікації користувача • двофакторна (фізична карта + ПІН) • смарт карта, біометричні дані • на основі їх місцезнаходження; • підключення домашніх комп'ютерів до пристроїв або мереж керування виробничою діяльністю з використанням VPN і двофакторної автентифікації з використанням токена і PIN-коду.
  • 10. Автентифікація: загальні рекомендації • повинна бути розроблена стратегія автентифікації, в якій вказуються використовувані методи автентифікації; • перед використанням застосунків, у тому числі SCADA/HMI, користувачі повинні пройти автентифікацію: • користувач + пароль • з використанням комбінації фізичних та електронних засобів; • усі спроби та результат доступу до критичних систем повинні бути записані в журнал; • після певного часу неактивності користувача система може вимагати повторної автентифікації; • система повинна передбачати відповідні схеми автентифікації при зв’язку між застосунками або пристроями, наприклад: • за адресою IP або/та MAC; • секретним кодом; • криптографічним ключем (детально в IEC/TR 62443-3-1).
  • 11. Автентифікація локальних користувачів • можна використовувати фізичні методи доступу (обмеження доступу до місця): • потрібно для швидкого доступу до дій у критичних ситуаціях • способи: • для компонентів керування фізичні ручні замки; • автоматичні замки (карта-пропуск); • доступ до пунктів керування; • система повинна враховувати можливість доступу до критичних функцій користувачам навіть при частковій відмові інфраструктури; • наприклад, при відмові комп’ютерної мережі повинні працювати локальні засоби керування; • користувачі не повинні блокуватися при невдалих спробах автентифікації (у критичних ситуаціях оператор може ввести неправильний пароль); • у багатьох випадках не бажано вимагати складних паролів, оскільки в критичних ситуаціях це може уповільнити процес реалізації керуючої дії оператора на процес; • у багатьох випадках не бажано вимагати часового обмеження на паролі;
  • 12. Автентифікація адміністраторів та віддалених користувачів • адміністраторів (підвищені права): • вимоги до автентифікації повинні бути більш жорсткими (наприклад, тільки складні паролі); враховуючи що адміністрування не потребує швидкої реєстрації, можна використовувати складні способи автентифікації; • рекомендується надавати системному адміністраторові тільки локальний доступ; • віддалених користувачів (що мають доступ ззовні будівлі або області керування): • повинні застосовуватися особливі способи автентифікації; • повинні бути передбачені особливі політики (реакція на невдалу спробу входу в систему, період бездіяльності тощо); • рекомендується, щоб надавався доступ тільки з функціями моніторингу без можливості керування; однак у деяких випадках системи SCADA доступ до керування обов’язковий; • після певної кількості невдалих спроб реєстрації віддалених користувачів, система повинна відключати їх обліковий запис на деякий час (захист від злому паролю); однак у деяких випадках системи SCADA доступ до керування може бути критичним, так само як і для локального користувача;
  • 13. Авторизація Після успішної автентифікації користувача та ідентифікації пов’язаного з ним облікового запису йому надаються привілеї доступу до ресурсів. • особливості АСКТП • в IT кілька ролей • в АСКТП велика кількість ролей (наприклад, оператор, інженер, технолог, розробник, системний адміністратор тощо) • користувачам може бути назначено декілька ролей на основі певних функцій, які потрібно виконувати в певний час • окремо доступ до пристрою і застосунку • авторизація залежить від місця розташування користувача.
  • 14. Авторизація: рекомендації • правила повинні бути означені в політиці безпеки авторизації; • дозвіл на доступ до засобів АСКТП може бути: • логічним (правила, що надають або забороняють доступ відомим користувачам на основі їх ролі), • фізичним (замки, камери та інші елементи керування, що обмежують доступ до активної консолі ПК) • комбінацією; • для керування доступом до відповідної інформації або системи облікові записи повинні базуватися на основі ролі; • для віддаленого доступу необхідно передбачати різне розміщення процедур авторизації: • на рівні застосунку; • на рівні пристрою: для кожного пристрою можуть бути означені конкретні правила авторизації; • на рівні бар’єрного мережного пристрою АСКТП (брандмауер або маршрутизатор): після автентифікації залежно від ролі надається доступ до конкретних пристроїв у мережі АСКТП; • віддалений доступ дозволяти тільки за потреби; • рольові облікові записи повинні враховувати фізичне розміщення користувача: • різний набір ролей для локального та віддаленого входу; • у критичних середовищах керування декілька методів авторизації.
  • 15. Адміністрування облікових записів Адміністрування облікових записів: • наданням та відкликанням доступу до облікових записів • підтримка дозволів і привілеїв, передбачених цими обліковими записами, для доступу до певних ресурсів та функцій у фізичних приміщеннях, мережі чи системі. • набор дозволених функцій а не доступ до даних
  • 16. Адміністрування: рекомендації • права доступу повинні встановлюватися відповідно до політик безпеки, що повинні бути попередньо розроблені для всієї системи; • правила доступу повинні бути донесені до всього персоналу; • права доступу можуть бути означені як для команди, так і індивідуально для користувача; • доступ надається, змінюється або припиняється за дорученням відповідальної за адміністрування особи, яка може відрізнятися від адміністратора IT та обізнана в процесах операційної діяльності; • повинен вестися облік усіх дій щодо доступу до облікового запису; • якщо облікові записи не потрібні (наприклад, при звільненні працівника), їх слід призупинити або видалити; • користувачам мать бути призначені мінімальні права і повноваження, необхідні для виконання тільки їх завдань;
  • 17. Адміністрування: рекомендації • облікові записи необхідно регулярно переглядати: • чи використовується, • роль і потреби все ще актуальні, • користувач має тільки мінімально необхідні дозволи; • перед уведенням системи керування в дію паролі за замовченням повинні бути змінені; • відповідність облікових записів політиці адміністрування необхідно періодично перевіряти; • доступ повинен контролюватися відповідним методом аутентифікації: тобто ID користувача і паролем, персональними ідентифікаційними номерами (PIN) або токенами; • особисті дані користувача не повинні передаватися будь-кому, за винятком особливих ситуацій; • один особливий випадок – у диспетчерській, де оператори працюють як одна робоча група або команда; • повинен бути механізм альтернативного процесу ідентифікації в разі втрати облікових даних або забутого пароля
  • 18. Властивості та можливості підсистем керування доступом • авторизація: • надавати права або привілеї для елементів для обмеження доступу; • виділяти групи (категорії) користувачів з однаковими правами (ролями), що спрощує адміністрування; • обмежування вмісту на основі місцезнаходження (користувач з віддаленого засобу ЛМІ може мати менше прав); • адміністрування: • створення та редагування користувачів не тільки в середовищі розроблення, але й у середовищі виконання; • інтегрування зі службами керування користувачами операційної системи (наприклад Windows Active Directory); • можливість задавати час простою, після якого система автоматично виведе користувача із системи. • автентифікація: • можливість входу користувача за допомогою різних засобів – як з використанням імені та паролю, так і інших (карт, біометричних сканерів і т.п.); • можливість користувача тимчасово входити в систему (тимчасово змінювати роль), тобто користувач з вищими правами може зареєструватися тільки на час виконання однієї дії; • можливість примітки автентифікації, тобто вимога до користувача додати причину для керуючої дії;
  • 19. Особливості • підсистема організації доступу в SCADA/HMI: • відокремлена від системи керуванням доступу ОС • інтегрована • user SCADA, admin OS • admin OS, user SCADA • керування доступом у SCADA/HMI - обмеження доступу до функцій консолі операційної системи, функції: • блокування виходу із повноекранного режиму на "робочий стіл"; • блокування системних комбінацій клавіш, наприклад CTRL+ALT+DEL; • блокування системних кнопок "Windows"; • інші блокування виходу в ОС; • обмеження доступу до функцій запуску прикладних програм зі SCADA.
  • 20. Блокування доступу за умовами • блокування можливості зміни значення чи відправки команд при виконанні (або невиконанні) певних умов • приклад: оператор не повинен мати можливість викликати команду запуску, якщо лінія при цьому не готова • різні блокування • блокування запуску повинно відбуватися на рівні ПЛК або інколи навіть на рівні СПАЗ (системи протиаварійного захисту) чи релейних схем • блокування на рівні HMI відображення наявності блокування • візуально блокування може бути показане зміною кольору або додатковими символами
  • 21. Підсистема захисту в Citect 29.11.2020 pupena_san@ukr.net 21
  • 22. Привілеї та зони • користувач • можливості користувачів (авторизація): • через приналежність до ролі • набір привілеїв (Privilege) 1..8 • не ієрархічні • ієрархічні при [Privilege]Exclusive=0 • у певних виробничих зонах (Area) або глобальні • повністю означує права, що має користувач, якому ця роль призначена • не зареєстрований користувач привілеї = 0
  • 25. Додаткові засоби • реєстрація через функції Cicode та шаблони • з реєстрацією користувача вказується мова, яка буде використовуватися в системі • усі дії з користувачами фіксуються в журналі • редагувати існуючі та створювати нові користувачі в режимі виконання: • через шаблони Citect • через CiCode функцію UserCreate • тільки користувачі з зазначеними правами "Manage Users" • Citect має багато функцій керування користувачами • автоматичний вхід у систему користувача через певний ідентифікатор, це можна зробити через події та функцію Login. • передбачає захист підключення клієнта до сервера, для чого в майстрі налаштування комп’ютера вказується пароль підключення • можна налаштувати повноекранний режим, який не дає перейти на робочий стіл, використовуючи кнопки керування заголовка вікна (згорнути, закрити) • можна налаштувати блокування комбінації "ALT+SPACE", яка передбачає виклик контекстного меню активного вікна • Інші комбінації, наприклад "Alt-Escape", "Ctrl-Escape" чи "Alt-Tab", необхідно блокувати іншими засобами, наприклад, правкою ключів реєстру Windows або спеціальними утилітами
  • 26. Підсистема захисту в zenon 29.11.2020 pupena_san@ukr.net 26
  • 27. Адміністрування користувачів • адміністрування користувачів однакове для об’єктів середовища виконання і для функцій середовища розроблення • "Runtime Changeable Date“->"User Administration" поставити значення "Do not generate and transfer" (не генерувати і не переносити) • має змогу переносити налаштування "User Administration" із середовища виконання в середовище розроблення. • на основі користувачів • може входити через zenon або через Windows Active Directory (AD). • різні рівні дозволів (авторизаційних рівнів, authorization level), що мають значення від 0 до 127 • незареєстрований має 0-й рівень • видавати їх можуть тільки адміністратори, які також мають доступ до цих рівнів. • один із трьох типів (User Type): • User (користувач): можуть здійснювати дії відповідно до рівнів дозволів, які йому призначені; • Power user (досвідчений користувач): може також створювати та редагувати користувачів; • Administrator (адміністратор): може також проводити інші адміністративні задачі, такі як відміна блокування користувача, скидування паролю, і т.ін.
  • 31. Адміністрування в режимі виконання Доступні такі спеціальні типи екранів: • User list: надає функції редагування, як у середовищі розроблення з розділу Users; • User group list: надає функції редагування, як у середовищі розроблення з розділу User groups; • Edit user: дозволяє редагувати користувачів zenon; • Active Directory user administration: дозволяє редагувати користувачів Windows Active Directory .
  • 32. Функції • Login with dialog: відкриває діалог для реєстрації; • Login without password: дозволяє зареєструвати користувача без діалогу; • ідентифікація відбувається через якісь спеціальні засоби, наприклад, чіп, сканер, пристрій зчитування карт і т.п, або за виконанням якоїсь події • Logout: вихід активного користувача, надається рівень дозволів 0; • Change user: відкриває діалог редагування користувачів та груп; • Change password: відкриває діалог зміни пароля.
  • 34. Блокування системних клавіш • "Interaction"->"Lock System Keys" блокуються усі системні гарячі комбінації клавіш Windows (окрім "Ctrl+Alt+Del" та "Windows key + L") • можна зборонити усі системні клавіші, використовуючи утиліту, яка поставляється із zenon “Keyblock Runtime Start”