Информационная безопасность при обмене технологической информацией для осуществления функций телеуправления в энергетике
Анализ протоколов шифрования организации каналов связи телерегулирования коммутационным оборудованием. Определение принципов работы виртуальной частной сети VPN. организация шифрованного VPN–канала при помощи IP Security. Этапы работы протоколов IPsec.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | русский |
| Дата добавления | 15.04.2018 |
| Размер файла | 373,7 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Статья
на тему: Информационная безопасность при обмене технологической информацией для осуществления функций телеуправления в энергетике
Выполнила:
Т.А. Сергеева
Развитие информационных технологий в автоматизированных системах управления технологическими процессами (АСУ ТП) в области электроэнергетики сделало возможным, дистанционное управление и контроль состояния удаленных объектов. В настоящее время, особенно актуальным является разработка пилотного проекта по модернизации управления подстанциями/станциями. Организация удаленного управления подстанциями/станциями - телеуправление и телерегулирование - служит следующим шагом развития средств автоматизации в энергетике. Одним из важнейших условий для телеуправления является безопасность и надежность передачи удаленных команд. Применение технологий телеуправления невозможно без комплексного решения задач информационной безопасности. В настоящей работе проведен анализ протоколов шифрования организации каналов связи телерегулирования коммутационным оборудованием. Результаты исследований могут быть применены при модернизации систем телерегулирования, обеспечивающих повышение качества, целостности и надежности передаваемой информации.
Ключевые слова: АСУ ТП, телеуправление, телерегулирование, пилотные проекты управления подстанциями, информационная безопасность, шифрование каналов связи.
Development of information technologies in automated process control systems (Industrial control system) in the field of power industry made possible, remote control and monitoring of a status of remote objects. Now, development of a pilot project on upgrade of control of substations/stations is especially urgent. The organization of remote control of substations/stations - telecontrol and teleregulation - serves as the following step of development of the automation equipment in power engineering. One of the major conditions for a telecontrol is safety and reliability of transmission of remote commands. Use of technologies of a telecontrol is impossible without end-to-end solution of tasks of information security. In the real operation the analysis of protocols of encoding of the organization of communication links of teleregulation is carried out by a switching equipment. Results of researches can be applied in case of upgrade of the systems of teleregulation providing improvement of quality, integrity and reliabilities of the transmitted data.
Keywords: Industrial control system, telecontrol, teleregulation, pilot projects of control of substations, information security, encoding of communication links.
Введение
Организация телеуправления оборудованием станций/подстанций способствует повышению надежности Единой национальной электрической сети за счет сокращения времени производства оперативных переключений и снижения риска ошибочных действий оперативного персонала энергообъекта. Кроме того, проект реализуется для повышения скорости реализации управляющих воздействий по изменению топологии электрической сети и сокращения временного диапазона применения иных режимных мероприятий на время производства переключений.
Телеуправление осуществляется при плановых переключениях по изменению технологического режима работы или эксплуатационного состояния линий электропередачи, находящихся в диспетчерском управлении, а также в целях предотвращения развития и ликвидации нарушений нормального режима работы территориальной энергосистемы. К важнейшим условиям для телеуправления относятся обеспечение безопасности и надежности передачи данных по каналам связи.
Наиболее эффективным средством защиты информации в контролируемых каналах связи является применение криптографии и специальных связных протоколов. Криптографическая защита представляет собой совокупность методов и средств, предназначенных для шифрования текстов, то есть для преобразования формы исходных данных таким образом, что их смысл становится непонятным для любого лица, не владеющего алгоритмом обратного преобразования.
Секретность способа шифрования данных базируется на двух элементах: - алгоритме шифрования данных, представляющем собой набор математических правил, определяющих последовательность выполнения элементарных действий над данными, в совокупности обеспечивающих их зашифрование или расшифрование; - криптографическом ключе, однозначно определяющем конкретный вариант преобразования открытого текста в шифртекст (и, наоборот) из многообразия всех возможных вариантов, обусловленных алгоритмом шифрования; ключ обычно представляет собой число или последовательность символов и является параметром, позволяющим настроить алгоритм шифрования данных на конкретную работу [1].
В настоящее время наиболее перспективным представляются решения, связанные с гибридными криптосистемами, использующими традиционные методы шифрования с секретным ключом для защиты секретности и целостности, при одновременном использовании методов шифрования с открытыми ключами для реализации функций распределения ключей [3].
В данной работе представим наиболее преимущественные технологии организации шифрованного канала связи, который в полной мере смог бы обеспечить наиболее безопасную и надежную передачу данных при телеуправлении.
Виртуальная частная сеть VPN
Сеть VPN обладает многими свойствами выделенной линии, однако развертывается она в пределах общедоступной сети Интернет. С помощью методики туннелирования пакеты данных транслируются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой «отправитель-получатель данных» устанавливается своеобразный туннель - безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого.
Принцип работы VPN не противоречит основным сетевым технологиям и протоколам.
Туннелирование позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол, в результате чего, решается проблемы взаимодействия нескольких разнотипных сетей, начиная с необходимости обеспечения целостности и конфиденциальности передаваемых данных и заканчивая преодолением несоответствий внешних протоколов или схем адресации.
Независимо от того, какие протоколы используются или какие цели преследуются при организации туннеля, основная методика остается практически неизменной. Обычно один протокол используется для установления соединения с удаленным узлом, а другой - для инкапсуляции данных и служебной информации с целью передачи через туннель.
Как правило, сети VPN хорошо защищены. В них используются и шифрование, и аутентификация, и средства защиты от изменений передаваемых файлов.
Перечисленные функции очень важны для защиты каналов связи при внедрении систем телеуправления, так как при создании таких инструментов, диспетчера, осуществляющие удаленные переключения, смогут получать полную информацию с объекта. А полнота технологической информации в первую очередь обеспечивается наличием достоверной оперативной информации о параметрах режима и топологии управляемой сети.
IPSec (IP Security)
В настоящее время для организации шифрованного VPN-канала используются преимущественно следующие технологии: IPSec (IP Security), OpenVPN и PPTP (Point-to-Point Tunneling Protocol).
Наибольшей популярностью пользуется IPSec.
IPSec - это не протокол, а стандарт, включающий в себя целых три протокола, каждый со своими функциями:
- Authentication Header (АН) обеспечивает целостность виртуального соединения (передаваемых данных), аутентификацию источника информации и функцию по предотвращению повторной передачи пакетов;
- Encapsulating Security Payload (ESP) обеспечивает конфиденциальность (шифрование) передаваемой информации, ограничение потока конфиденциального трафика. Кроме этого, может исполнять функции AH: обеспечить целостность виртуального соединения (передаваемых данных), аутентификацию источника информации и функцию по предотвращению повторной передачи пакетов. При применении ESP в обязательном порядке указывается набор услуг по обеспечению безопасности: каждая из его функций может включаться опционально;
- Internet Security Association and Key Management Protocol (ISAKMP) - протокол, используемый для первичной настройки соединения, взаимной аутентификации конечными узлами друг друга и обмена секретными ключами. Протокол предусматривает использование различных механизмов обмена ключами, включая задание фиксированных ключей, использование таких протоколов, как Internet Key Exchange, Kerberized Internet Negotiation of Keys или записей DNS типа IPSECKEY.
Ключевым понятием является Security Association (SA). SA является набором параметров, характеризующим соединение. Например, используемые алгоритм шифрования и хэш-функция, секретные ключи, номер пакета и др.
IPSec может работать в двух режимах: туннельном и транспортном [2].
В туннельном режиме берется изначальный IP-пакет, полностью шифруется, вместе с заголовком IP, добавляется служебная информация IPSec и новый заголовок IP:
Рис. 1. Работа IPSec в туннельном режиме
В транспортном шифруется все, что выше уровня IP, а заголовок IP оставляет без изменений.
Рис. 2. Работа IPSec в транспортном режиме
Туннельный режим используется для того, чтобы связать две приватные сети через публичную, обеспечив при этом шифрование. Транспортный начинает работать тогда, когда IP-связь уже существует, но существует необходимость шифровать трафик между узлами. Примером применения транспортного режима является схема сервер-клиент.
Как работает IPSec
В работе протоколов IPsec можно выделить пять этапов:
1. Первый этап начинается с создания на каждом узле, поддерживающим стандарт IPsec, политики безопасности. На этом этапе определяется, какой трафик подлежит шифрованию, какие функции и алгоритмы могут быть использованы.
2. Второй этап является по сути первой фазой IKE (Internet Key Exchange) -- протокол, связывающий все компоненты IPsec в работающее целое. Её цель - организовать безопасный канал между сторонами для второй фазы IKE. На втором этапе выполняются:
- Аутентификация и защита идентификационной информации узлов;
- Проверка соответствий политик IKE SA узлов для безопасного обмена ключами;
- Обмен Диффи-Хеллмана, в результате которого у каждого узла будет общий секретный ключ;
- Создание безопасного канала для второй фазы IKE;
3. Третий этап является второй фазой IKE. Его задачей является создание IPsec-туннеля. На третьем этапе выполняются следующие функции:
- Согласуются параметры IPsec SA по защищаемому IKE SA каналу, созданному в первой фазе IKE;
- Устанавливается IPsec SA;
- Периодически осуществляется пересмотр IPsec SA, чтобы убедиться в её безопасности;
- (Опционально) выполняется дополнительный обмен Диффи-Хеллмана;
4. Рабочий этап. После создания IPsec SA начинается обмен информацией между узлами через IPsec-туннель, используются протоколы и параметры, установленные в SA.
5. Прекращают действовать текущие IPsec SA. Это происходит при их удалении или при истечении времени жизни (определенное в SA в байтах информации, передаваемой через канал, или в секундах), значение которого содержится в SAD на каждом узле. Если требуется продолжить передачу, запускается фаза два IKE (если требуется, то и первая фаза) и далее создаются новые IPsec SA. Процесс создания новых SA может происходить и до завершения действия текущих, если требуется непрерывная передача данных.
Виртуальная локальная сеть VLAN (Virtual Local Area Network)
Виртуальные локальные сети VLAN, технология позволяющая организовывать несколько независимых виртуальных сетей внутри одной физической сети. С помощью VLAN можно выполнять гибкое разнесение пользователей по различным сегментам сети с разной адресацией, даже если они подключены к единому устройству, а также дробить широковещательные домены.
При использовании в коммутаторах технологии виртуальных сетей одновременно решаются две задачи:
- повышение производительности в каждой из виртуальных сетей, так как коммутатор передает данные только узлу назначения;
- изоляция сетей друг от друга для управления правами доступа пользователей и создания защитных барьеров на пути широковещательных каналов [2]. протокол шифрование телерегулирование коммутация
Данная технология облегчает процесс создания изолированных сетей, связь между которыми осуществляется с помощью маршрутизаторов с поддержкой протокола сетевого уровня.
На рисунке 3 представлена схема построения защищенного канала связи при телеуправлении.
Рис. 3. Схема построения защищенного канала связи при ТУ
Для обеспечения защиты каналов ТУ в пилотном проекте будут применены криптошлюзы (CSP) для организации через операторов связи шифрованных каналов между подстанциями/станциями и диспетчерским центром (ДЦ) и виртуальные локальные сети (VLAN) для разделения трафика внутри ЛВС на подстанциях/станциях и ДЦ.
Список литературы
Защита информации в каналах и коммутационных узлах систем связи. [Электронный ресурс]. - Режим доступа http://www.skrembler.ru/st1.html. - 25.03.2017.
Часть седьмая. VPN. [Электронный ресурс]. - Режим доступа https://habrahabr.ru/post/170895/.- 13.04.2017.
Виртуальные локальные сети. [Электронный ресурс]. - Режим доступа http://www.studfiles.ru/preview/2610386/page:13/.- 18.04.2017.
Защита АСУ ТП: от теории к практике. [Электронный ресурс]. - Электрон. дан. - studfiles.ru [М.].: 2012. - Режим доступа http://www.itsec.ru/articles2/Oborandteh/zaschita-asu-tp-ot-teorii-k-praktike. - 25.05.2017.
Размещено на Allbest.ru
...Подобные документы
Локальная вычислительная сеть управления систем связи и телекоммуникаций автомастерской. Пропускная способность каналов между клиентами сети и серверами. Отличия стека протоколов 100Base-T от стека протоколов 10Base-T. Расчет работоспособности сети.
курсовая работа [572,5 K], добавлен 18.01.2016Механизм создания и обмена пакетами в сети передачи информации на основе стека протоколов ZigBee. Принцип действия, особенности работы и коммутации с другими протоколами, определение основных методов и способов защиты информации, передаваемой в сети.
курсовая работа [2,6 M], добавлен 12.09.2012Роль протоколов при обмене информацией. Понятие адреса компьютера в сети и характеристика их типов. Соответствие классов сетей значению первого октета IP-адреса. Сущность доменной системы имен и принцип работы DNS. Особенности выделенных доменов.
презентация [577,3 K], добавлен 03.05.2013Общая характеристика IPsec ка набора протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP. Задачи и функции протокола IPsec, особенности его структуры. Конфиденциальность и распределение секретных ключей в протоколе.
презентация [67,2 K], добавлен 10.09.2013Аппаратные средства построения виртуальной частной сети (VPN), ее программные реализации. Алгоритмы и режимы шифрования в защищенных каналах, оценка их производительности. Создание модели функционирования сети. Тестирование платформы 1С: Предприятие 8.1.
дипломная работа [2,5 M], добавлен 26.07.2013Общая характеристика протокола ICMP, его назначение и формат сообщений. Анализ применимости протокола ICMP при переходе с набора протоколов IP v4 на набор IP v6. Свойства и принцип работы, сферы применения протоколов обмена маршрутной информацией.
курсовая работа [210,8 K], добавлен 24.08.2009Стеки протоколов общемировой сетевой базе. Формат кадра сообщения NetBIOS. Использование в сети стеков коммуникационных протоколов: IPX/SPX, TCP/IP, OSI и DECnet. Дистанционное управление освещением. Особенности использования коммуникационных протоколов.
презентация [3,1 M], добавлен 21.02.2015Стандартные сети коммуникационных протоколов. Стек OSI. Стек TCP/IP. Принципы объединения сетей на основе протоколов сетевого уровня. Ограничения мостов и коммутаторов. Модем как средство связи между компьютерами. Международные стандарты модемов.
курсовая работа [29,3 K], добавлен 06.07.2008Классификация виртуальной частной сети (VPN) и требования к ее реализации. Угрозы безопасности при передаче информации, способы их исключения технологией VPN. Построение защищенного туннеля между двумя маршрутизаторами с использованием протокола IPSec.
курсовая работа [6,7 M], добавлен 03.07.2011Понятие и назначение сетей VPN, принципы их построения, классификация и разновидности, сферы применения. Виды протоколов VPN и особенности их использования. Методы реализации виртуальной частной сети, преимущества и недостатки данной технологии.
реферат [48,6 K], добавлен 04.11.2009Методы защиты автоматизированных систем. Анализ сетевых уровней на предмет организации виртуальных частных сетей. Варианты построения виртуальных защищенных каналов. Безопасность периметра сети и обнаружение вторжений. Управление безопасностью сети.
курсовая работа [817,8 K], добавлен 22.06.2011Изучение истории развития, назначения, архитектуры и протоколов сетевой беспроводной технологии интернет Wi-Fi. Характеристика системы для быстрого обмена сообщениями и информацией Jabber. Анализ методов работы с ней, взаимодействия клиента и сервера.
реферат [756,0 K], добавлен 27.05.2012Описание принципов функционирования протоколов, используемых во всемирной сети. Характеристика структуры и особенностей работы Интернета. Преимущества использования электронной почты, IP-телефонии, средств мгновенного обмена сообщениями (ICQ, Skype).
реферат [1,2 M], добавлен 23.04.2011Сравнительный анализ топологий сети. Описательная сущность эталонной модели взаимосвязи открытых систем (OSI) и сетевых протоколов. Разработка структурно-функциональной схемы локальной сети, расчет производительности каналов и подбор оборудования.
курсовая работа [1,1 M], добавлен 16.11.2010Четкое распознавание коллизий всеми станциями сети как необходимое условие корректной работы сети Ethernet. Программы, имитирующие работу станции в компьютерной сети стандарта Ethernet и Token Ring. Имитация работы сетей, из пропускной способности.
курсовая работа [36,6 K], добавлен 24.06.2013Общий анализ принципов построения современных глобальных сетей связи, применяемых для организации VPN сетей. Анализ и сравнение технологии MPLS VPN. Маршрутизация и пересылка пакетов в сетях. Выбор протоколов используемых на участке. Выбор оборудования.
дипломная работа [2,5 M], добавлен 25.10.2013История создания сети Internet, ее административное устройство и архитектура. Организация доступа к сети, структура ее функционирования. Характеристика интернет-протоколов. Особенности сетевой этики. Охрана труда и техника безопасности при работе на ПК.
курсовая работа [43,8 K], добавлен 20.05.2013Настройка параметров TCP/IP соединения. Обследование локальной, кафедральной и университетской сетей. Определение работоспособности сети с помощью утилит. Установка, конфигурирование, работа с персональным Firewall-ом. Построение структуры локальной сети.
контрольная работа [918,8 K], добавлен 18.04.2010Особенности проектирования и анализ современных информационных локальных и глобальных вычислительных сетей. Проведение настройки виртуальной локальной вычислительной сети (VLAN), HTTP и DNS серверов, сетевых протоколов OSPF, RIP, STP, технологий NAT.
курсовая работа [182,1 K], добавлен 16.01.2014Программно-аппаратный комплекс, необходимый для работы сети масштаба отдела (юридического). Определание топологии, необходимых протоколов для указанного варианта сети. С помощью языка гипертекстовой разметки создание своей персональной веб страницы.
контрольная работа [166,1 K], добавлен 31.07.2008
