Разработка защищенной структуры сегмента сети предприятия на базе технологии VipNet
Для развертывания сети ViPNet достаточно установить на рабочие станции программное обеспечение ViPNet. При этом практически не требуется менять топологию существующей сети или приобретать дополнительное оборудование. Для организации защищенного соединения используется схема с автоматически распределенными на этапе установки ПО симметричными ключами шифрования и автоматизированной процедурой… Читать ещё >
Разработка защищенной структуры сегмента сети предприятия на базе технологии VipNet (реферат, курсовая, диплом, контрольная)
- Введение
- 1. Диагностический анализ предметной области
- 1.1 Причины возникновения задачи проектирования защищенного сегмента сети
- 1.2 Общая характеристика предприятия. Изучение функциональной структуры предприятия
- 1.3 Изучение организационно-управленческой структуры предприятия
- 1.4 Анализ структуры существующей информационной системы и службы АСУ
- 1.5 Описание процесса деятельности с точки зрения защищенного информационного обмена
- 1.6 Структура и состав защищаемой системы и структуры АСУ
- 1.7 Процессы реализующие прикладные задачы
- 1.8 Обоснование актуальности разработки
- Выводы
- 2. Разработка подсистемы сетевой защиты сегмента сети предприятия
- 2.1 Разработка защищенной структуры сегмента сети предприятия на базе технологии VipNet.
- 2.1.1 Структура защищенной РВС на базе программы VipNet для Изобильненского филиала ЛПУМГ
- 2.1.2 Структура межведомственного взаимодействия на базе программы VipNet для Изобильненского филиала ЛПУМГ
- 2.2 Решение для защиты сегмента сети преприятия на базе выбранного комплекса ViPNet
- 2.2.1 Разработка способа применения технологии VipNet для защищаемого сегмента Изобильненского ЛПУМГ
- 2.3 Предложенный состав комплекса ViPNet CUSTOM
- Применение предложенного состава комплекса АПК VipNet
- Выводы
- 3. Применение защищенной структуры для сегмента сети филиала изобильненского лпумг
- 3.1 Общие настройки системы
- 3.2 Схема применения компонент VipNet
- 3.3 Подсистема защиты VoIP
- 3.4 Защита беспроводных сетей сегментов газораспределительных станций Изобильненского ЛПУМГ
- 3.5 Применение удостоверяющего и ключевого центра для защищаемого сегмента сети
- Выводы
- 4 Безопасность и экологичность проекта
- 4.1 Общая оценка условий труда оператора ПЭВМ
- 4.2 Анализ опасных и вредных производственных факторов труда оператора ПЭВМ
- 4.3 Анализ возможных чрезвычайных ситуаций и мер по их предотвращению и устранению
- Выводы
- 5 Расчет технико-экономической эффективности проекта
- 5.1 Краткая характеристика проекта
- 5.2 Трудоемкость выполняемых работ
- 5.3 Суммарные затраты на создание программного продукта
- 5.4 Расчет коэффициента повышения оперативности принятия решений
- 5.10 Выводы
- Заключение
- Литература
- ВВЕДЕНИЕ
- В целях повышения уровня защищенности, как РВС ООО «Гаспром» в целом, так и для увеличения количества защищенных сегментов этой РВС, а именно сегмента Изобильненского филиала ЛПУМГ, есть необходимость повысить уровень сетевой безопасности с помощью программы VipNet.
- Для повышения уровня сетевой защищенности выбран комплекс программного и программно-аппаратного обеспечения, который предназначен для объединения в единую защищенную виртуальную сеть произвольного числа рабочих станций, мобильных пользователей и локальных сетей и нацелен на решение двух важных задач информационной безопасности рассматриваемого сегмента сети предприятия, а именно:
- 1. Создание защищенной, доверенной среды передачи конфиденциальной информации с использованием публичных и выделенных каналов связи (Интернет, выделенные физические, спутниковые и беспроводные каналы связи), путем организации виртуальной частной сети (VPN).
- 2. Развертывание инфраструктуры открытых ключей (PKI) и организации Удостоверяющего Центра с целью интеграции механизмов электронно-цифровой подписи в прикладное программное обеспечение заказчика (системы документооборота и делопроизводства, электронную почту, банковское программное обеспечение, электронные торговые площадки и витрины). Поддерживается возможность взаимодействия с программным обеспечением PKI других отечественных производителей, например, ЗАО «Сигнал-КОМ» и ООО «Крипто-Про».
1. ДИАГНОСТИЧЕСКИЙ АНАЛИЗ ПРЕДМЕТНОЙ ОБЛАСТИ
1.1 Причины возникновения задачи проектирования защищенного сегмента сети
В целях повышения уровня защищенности, как РВС ООО «Гаспром» в целом, так и для увеличения количества защищенных сегментов этой РВС, а именно сегмента Изобильненского филиала ЛПУМГ, есть необходимость повысить уровень сетевой безопасности с помощью программы VipNet.
Для повышения уровня сетевой защищенности выбран комплекс программного и программно-аппаратного обеспечения, который предназначен для объединения в единую защищенную виртуальную сеть произвольного числа рабочих станций, мобильных пользователей и локальных сетей и нацелен на решение двух важных задач информационной безопасности рассматриваемого сегмента сети предприятия, а именно:
3. Создание защищенной, доверенной среды передачи конфиденциальной информации с использованием публичных и выделенных каналов связи (Интернет, выделенные физические, спутниковые и беспроводные каналы связи), путем организации виртуальной частной сети (VPN).
4. Развертывание инфраструктуры открытых ключей (PKI) и организации Удостоверяющего Центра с целью интеграции механизмов электронно-цифровой подписи в прикладное программное обеспечение заказчика (системы документооборота и делопроизводства, электронную почту, банковское программное обеспечение, электронные торговые площадки и витрины). Поддерживается возможность взаимодействия с программным обеспечением PKI других отечественных производителей, например, ЗАО «Сигнал-КОМ» и ООО «Крипто-Про».
В настоящее время в состав комплекса ViPNet CUSTOM входит более 10 различных компонент и модулей, позволяющих реализовать множество сценариев защиты информации в современных мультисервисных сетях связи, что подходит для реализации средств сетевой безопасности именно в структуре данного предприятия, из-за сложности структуры РВС и того, что существующая система уже налажена и работает длительное время.
1.2 Общая характеристика предприятия. Изучение функциональной структуры предприятия
Основной задачей ЛПУМГ является выполнение установленных заданий по транспортировке и бесперебойному обеспечению газом потребителей в соответствии с установленными технологическими режимами транспортировки и газопотребления.
В состав ЛПУМГ входят следующие сооружения:
линейная часть (ЛЧ), включая трубопровод с отводами, лупингами и перемычками, запорной арматурой, переходами через естественные и искусственные препятствия, узлами пуска и приема очистных устройств и дефектоскопов, узлами сбора и хранения конденсата, устройствами для ввода метанола в газопровод, перемычки;
компрессорные станции (КС) и узлы их подключения, газораспределительные станции (ГРС), подземные хранилища газа (ПХГ), станции охлаждения газа (СОГ), узлы редуцирования газа (УРГ), газоизмерительные станции (ГИС);
системы электрохимической защиты (ЭХЗ) газопроводов, КС, ГРС и т. д. от коррозии, в т. ч. установки катодной, дренажной, протекторной защиты, линии электропередачи, предназначенные для обслуживания газопроводов, устройства электроснабжения и дистанционного управления запорной арматурой и установками ЭХЗ;
линии и сооружения технологической связи, средства телемеханики, противопожарные средства, противоэрозионные и защитные сооружения, емкости для сбора, хранения и разгазирования газового конденсата;
здания и сооружения;
постоянные дороги и вертолетные площадки, расположенные вдоль трассы газопроводов, и подъезды к ним, опознавательные и сигнальные знаки местонахождения газопроводов.
Комплекс компрессорной станции включает, как правило, следующие объекты, системы и сооружения:
— один или несколько компрессорных цехов;
— станцию охлаждения газа;
— систему сбора, удаления и обезвреживания твердых и жидких примесей, извлеченных из транспортируемого газа;
— систему электроснабжения, в том числе аварийные источники;
— систему подготовки и подачи пускового, топливного и импульсного газа;
— систему производственно-хозяйственного и пожарного водоснабжения;
— систему теплоснабжения;
— систему канализации и очистные сооружения;
— систему молниезащиты и заземления;
— систему ЭХЗ объектов КС;
— систему связи и диспетчеризации;
— административно-хозяйственные помещения, склады для хранения материалов, реагентов и оборудования, оборудование и средства технического обслуживания и ремонта линейной части и КС, вспомогательные объекты.
Компрессорный цех включает в себя группу газоперекачивающих агрегатов (ГПА), установленных в общем или индивидуальных зданиях (укрытиях) и блок-контейнерах, а также следующие системы, установки и сооружения, обеспечивающие его функционирование:
узел подключения к магистральному газопроводу;
технологические коммуникации с запорной арматурой;
установку очистки газа;
установки воздушного охлаждения газа;
системы топливного, пускового и импульсного газа;
систему охлаждения смазочного масла;
электрические устройства цеха;
систему автоматического управления и КИП;
вспомогательные системы и устройства (маслоснабжения, пожаротушения, отопления, контроля загазованности, вентиляции и кондиционирования воздуха, канализации, сжатого воздуха и др.).
Станции охлаждения природного газа (СОГ) на магистральных газопроводах предназначены для охлаждения транспортируемого газа с помощью специального криогенного оборудования для предотвращения растепления многолетнемерзлых грунтов. Комплекс СОГ может включать системы получения и хранения хладагента, электроснабжения, производственно-хозяйственного и пожарного водоснабжения, теплоснабжения, канализации и очистные сооружения, электрохимзащиты, связи и другие вспомогательные объекты. Некоторые из перечисленных объектов и сооружений могут быть общими с объектами КС.
Ниже приводятся краткие характеристики подразделений организационной структуры ЛПУМГ, условия создания служб и участков.
Руководство ЛПУМГ
Руководство ЛПУМГ осуществляется начальником на принципах единоначалия. Он непосредственно руководит аппаратом при руководстве, диспетчерской службой, учетно-контрольной группой, специалистами по имущественным отношениям, технико-экономическому планированию, организации труда и заработной платы, кадровому обеспечению, а также отдельными подразделениями и объектами непроизводственной сферы. Руководство остальными службами начальник осуществляет через своих заместителей в соответствии с принятым распределением обязанностей.
Диспетчерская служба (ДС)
ДС организуется в каждом ЛПУМГ. ДС оперативно подчиняется диспетчерской службе организации, в состав которой входит ЛПУМГ, а административно находится в подчинении начальника ЛПУМГ.
Газокомпрессорная служба (ГКС)
ГКС организуется на базе одной или нескольких компрессорных станций (КС) и располагается, как правило, на территории основной промышленной площадки.
Основная промплощадка представляет комплекс компрессорных станций, включающий в себя объекты, перечисленные выше. Правил технической эксплуатации магистральных газопроводов ВРД 39−1.10−006−2000 (Москва 2002, ОАО «Газпром», издание официальное). Основная промплощадка расположена на одной территории с руководством ЛПУМГ (или наиболее близко к нему) и руководством производственных служб (ГКС, ЛЭС, ЭХЗ и др.).
Отдаленная промплощадка представляет комплекс компрессорных станций и расположена на расстоянии 2 км и более от основной и имеет автономные (от основной промплощадки) системы теплоснабжения, электроснабжения, водоснабжения, подготовки топливного и пускового газа, воздуха.
Основная промплощадка бескомпрессорного ЛПУМГ представляет огражденную территорию, где могут быть расположены оборудование и помещения ЛПУМГ.
Линейно-эксплуатационная служба (ЛЭС)
ЛЭС организуется в каждом ЛПУМГ при протяженности газопроводов и продуктопроводов в однониточном исчислении свыше 150 км.
В бескомпрессорном ЛПУМГ на ЛЭС дополнительно могут возлагаться функции по эксплуатации и ремонту КИПиА на промплощадке, а также объектов энерговодоснабжения, находящихся на трассе магистрального газопровода и территории ГРС.
При условии прохождения трассы магистрального газопровода в труднодоступной местности (горы, болота, водные преграды) в составе ЛЭС с разрешения руководства организации могут создаваться ремонтно-эксплуатационные пункты (РЭП).
РЭП располагается, как правило, на одной из ГРС, удаленной от основной (или удаленной) промплощадки на расстоянии 30 км и более. РЭП представляет собой огороженную территорию, на которой осуществляется хранение техники, складирование и изготовление конструкций, запасных частей, выполнение ремонтных и сварочных работ.
Служба защиты от коррозии
Служба (участок) защиты от коррозии создается в ЛПУМГ при общей протяженности магистрального газопровода в однониточном исчислении свыше 350 км. При меньшей протяженности в составе ЛЭС может создаваться только участок защиты от коррозии. На службу (участок) защиты от коррозии возлагаются также функции по обслуживанию ЛЭП, обеспечивающих работу средств защиты от коррозии.
Служба ГРС
Служба (участок) ГРС создается в ЛПУМГ при количестве 10 и более ГРС. При меньшем количестве ГРС может быть создан участок ГРС, как самостоятельный, так и в составе ЛЭС.
Служба энерготепловодоснабжения (служба ЭВС)
Служба ЭВС может создаваться в составе ЛПУМГ при следующих условиях:
— установленная мощность ГПА составляет не менее 50 тыс. кВт;
— наличие трансформаторных подстанций (ТП) напряжением 6, 10, 35, ПО и 220 кВ, ЗРУ-6−10, находящихся на балансе ЛПУМГ, или наличие двух и более мотор-генераторов единичной мощностью не менее 400кВт.
При показателях, недостаточных для образования службы ЭВС, ее участки или отдельные исполнители входят в состав ГКС или ЛЭС в зависимости от обслуживаемого ими оборудования.
При наличии в ЛПУМГ ГПА с электроприводом в пределах нормативной численности можно создавать отдельные службу энергоснабжения и службу тепловодоснабжения.
Служба КИПиА, телемеханики и АСУ ТП
Служба КИПиА, телемеханики и АСУ ТП создается при суммарной установленной мощности ГПА не менее 50 тыс. кВт или при общей протяженности магистрального газопровода в однониточном исчислении 800 км и более. При меньших показателях создается участок (группа) КИПиА, телемеханики и АСУ ТП.
Процессы, производственной деятельности, протекающей на предприятии представлены в таблице 1.1.
Таблица 1.1 — Функциональные области предприятия
Функциональная область | Код | Процессы, протекающие в функциональной области | Код области | |
Организационно-управленческая подсистема | ||||
Руководство ЛПУМГ | Руководство диспетчерской службой | |||
Руководство учетно-контрольной группой | ||||
Руководство специалистами по имущественным отношениям | ||||
Руководство специалистами по технико-экономическому планированию | ||||
Руководство специалистами по организации труда и заработной платы | ||||
Руководство специалистами по кадровому обеспечению | ||||
Руководство отдельными подразделениями и объектами непроизводственной сферы | ||||
Диспетчерская служба (ДС) | Отслеживание показателей технологических процессов | |||
Оперативное управление производственными процессами | ||||
Предсказание развития линейных процессов | ||||
Производственная подсистема | ||||
Газокомпрессорная служба (ГКС) | Прием газа на узле подключения магистрального газопровода | |||
Охлаждение и компримирование газа | ||||
Распределение газа потребителям и в газопроводы | ||||
Обеспечивающая подсистема | ||||
Линейно-эксплуатационная служба (ЛЭС) | Эксплуатация и ремонт магистральных газопроводов | |||
Предупреждение аварийных ситуаций на участках газопровода | ||||
Служба защиты от коррозии | Электрохимическая защита магистральных газопроводов | |||
Служба ГРС | Распределение газа потребителям | |||
Учет расхода газа | ||||
Служба энерготепловодоснабжения (служба ЭВС) | Энергообеспечение объектов | |||
Водоснабжение объектов | ||||
Теплообеспечение объектов | ||||
Эксплуатация соответствующих блоков | ||||
Служба КИПиА, телемеханики и АСУ ТП | Обеспечение объектов измерительной аппаратурой | |||
Калибровка и эксплуатация аппаратуры | ||||
Обеспечение связи объектов | ||||
Автоматизация производственных процессов | ||||
1.3 Изучение организационно-управленческой структуры предприятия
Изобильненское ЛПУМГ является основным производственным звеном в системе трубопроводного транспорта газа, главной задачей которого является выполнение установленных заданий по приемке и транспортировке газа от поставщиков, обеспечение бесперебойного снабжения газом потребителей на участке газопровода.
Организационная структура определяет состав и взаимосвязи подразделений ЛПУМГ в целях эффективного управления производством и базируется на рациональной организации труда работающих.
Служащие формируют аппарат управления ЛПУМГ, численность которого распределяется по уровням и подразделениям в соответствии с принятой структурой управления и объемом выполняемых функций в каждом конкретном случае.
Объем выполняемых функций регламентируется в положениях о подразделениях (службах, хозяйствах, группах и т. п.) и должностных инструкциях служащих, утверждаемых руководством ЛПУМГ.
Уровень централизации функций управления характеризует распределение выполняемых работ и соответственно численность служащих между вышестоящим предприятием и ЛПУМГ, между аппаратом руководства ЛПУМГ и его службами (хозяйствами, группами и т. п.). Если конкретная функция (или вид работ) полностью централизована на уровне вышестоящего предприятия, то численность по ней в составе ЛПУМГ не предусматривается. Аналогично, если какие-то виды работ (функции) полностью выполняются специализированными сторонними организациями, подразделения и исполнители по этим работам в составе ЛПУМГ отсутствуют.
ЛПУМГ возглавляет начальник, который подчиняется первому руководителю вышестоящего предприятия.
Организационно-управленческая структура предприятия представлена на рисунке 1.1.
В структуру ЛПУМГ входят:
руководство ЛПУМГ и аппарат при нем;
диспетчерская служба;
газокомпрессорная;
линейно-эксплуатационная служба;
служба энерговодоснабжения;
служба контрольно-измерительных приборов и средств автоматики (автоматизированных систем управления, автоматики и телемеханики);
служба защиты от коррозии;
служба связи (связи и телемеханики).
В составе служб могут выделяться участки по профилю работ или характеру обслуживаемого оборудования, средств или приборов (по эксплуатации средств защиты от коррозии, по обслуживанию газораспределительных станций, по обслуживанию постоянно работающей электростанции и т. п.). При производственной необходимости некоторые участки могут выводиться в непосредственное подчинение руководства ЛПУМГ: начальника или его заместителя.
Рисунок 1.1 — Организационно-управленческая структура предприятия
1.4 Анализ структуры существующей информационной системы и службы АСУ
Как уровневая подсистема, автоматизированная система (АСУ) включает компоненты следующих функциональных подсистем:
— подсистемы оперативно-диспетчерского управления;
— подсистемы автоматизированного управления энергообеспечением;
— подсистемы экологического мониторинга;
— подсистемы информационной безопасности (систему защиту информации (СЗИ) АСУ ТП магистрального газопровода (МГ) «Россия-Турция» — СЗИ АСУ ТП МГ «Россия-Турция»).
Эти подсистемы являются «сквозными», то есть распределенными по всем уровням АСУ ТП МГ «Россия-Турция». В АСУ ТП входят компоненты, соответствующие ее уровню.
Основное назначение создания АСУ ТП КС:
— обеспечение комплексного автоматизированного контроля и анализа процесса компримирования газа, режимов работы основного и вспомогательного оборудования КС;
— обеспечение дистанционного управления основным и вспомогательным оборудованием КС;
— обеспечение оптимального регулирования режимов работы КС;
— обеспечение автоматической защиты основного и вспомогательного оборудования КС;
— обеспечение интеграции АСУ ТП КС в АСУ ТП МГ «Россия-Турция», в том числе эффективного технического и информационного взаимодействия с уровнем АСУ ТП Изобильненского ЛПУМГ;
— повышение надежности работы и эффективности использования основного и вспомогательного оборудования КС;
— снижение затрат ручного труда оперативного и обслуживающего персонала.
1.5 Описание процесса деятельности с точки зрения защищенного информационного обмена
Компрессорная станция (КС) «Ставропольская» предназначена для компримирования и охлаждения газа с целью его транспортировки до следующей КС. КС компримирует газ до определенного давления.
Технологическая схема КС предусматривает один цех, оснащенный следующим основным и вспомогательным оборудованием.
К основному оборудованию относятся:
— Газоперекачивающие аппараты (ГПА) типа ГПА-12/16 «Урал» единичной мощности несколько МВт производства НПО «Искра» г. Пермь;
— блок аппаратов воздушного охлаждения (АВО), включающий шесть аппаратов поставки фирмы «Нуово Пиньоне» (Италия);
— установка очистки газа (установки циклонных пылеуловителей) с емкостями для сбора конденсата;
— установка подготовки топливного и импульсного газа (индивидуальная);
— крановая обвязка и коммуникации, осуществляющие подключение цеха к МГ, условно выделяемые в узел подключения;
— общецеховые краны (байпасные, рециркуляционные) и коллектора.
Кроме основного оборудования компрессорный цех (КЦ) оснащен вспомогательным оборудованием (склад горюче-смазочных материалов (ГСМ) с насосами и блоками резервуаров, склад метанола, компрессорная сжатого воздуха, системы приточной и аварийно-вытяжной вентиляции), а также оборудованием, относящимся к подсистеме энергообеспечения (объекты тепло-, водои электроснабжения, канализационно-очистные сооружения).
В состав АСУ ТП КС входят установки автоматического пожаротушения, пожарообнаружения и контроля загазованности ГПА.
В составе АСУ ТП КС предусматривается контроль и управление кранами линейной части с АРМ диспетчера через локальную технологическую станцию (СЛТ).
Основными аспектами деятельности эксплуатационного персонала КС «Ставропольской» (диспетчерская служба, служба контрольно-измерительных приборов и автоматики (КИПиА), служба газокомпрессорной станции (ГКС), служба энергетики) являются:
— контроль и анализ процесса компримирования газа в КЦ;
— контроль состояния основного и вспомогательного оборудования;
— регулирование процесса компримирования с целью поддержания параметров, обеспечивающих транспортировку газа по газопроводу в целом;
— управление основным оборудованием КЦ (газоперекачивающие агрегаты, основные краны, АВО, установка подготовки импульсного и топливного газа (УПТИГ), установка очистки газа);
— управление вспомогательным оборудованием КЦ;
— управление линейной частью газопровода «Россия — Турция» в рамках Изобильненского ЛПУМГ и кранами газоизмерительной станции (ГИС);
— контроль энергообеспечения и управление оборудованием энергообеспечения;
— обеспечение защиты оборудования КЦ от разрушения;
— контроль и учет потребления газа на собственные нужды КЦ, в т. ч. газа на компримирование;
— обеспечение своевременного ремонта и техобслуживания основного и вспомогательного технологического оборудования;
— обеспечение контроля, замены, модернизации метрологического оборудования;
— контроль экологического состояния в регионе КС;
— обеспечение безопасности протекания технологических процессов и деятельности персонала;
— ведение учета и отчетности функционирования КЦ и осуществляемых мероприятий;
— автоматическая передача регламентированного набора информации на уровень Изобильненского ЛПУМГ.
АСУ ТП КС предназначена для частичной или полной автоматизации перечисленных функций с целью повышения их эффективности.
Подсистема оперативно-диспетчерского управления обеспечивает большую часть функций АСУ ТП КС и, в первую очередь, функции контроля и управления. Управление основным технологическим оборудованием осуществляется системой автоматического управления и регулирования компрессорным цехом, в дальнейшем САУ и РКЦ.
Подсистема автоматизированного управления энергообеспечением осуществляет контроль и учет потребления электро-, водои теплоресурсов, контроль и управление объектами электро-, водои теплоснабжения, а также канализационно-очистными сооружениями.
Подсистема экологического мониторинга обеспечивает контроль экологического состояния в регионе КС.
Оперативное управление КС осуществляется сменным инженером с АРМ сменного инженера КС, расположенного в производственно-энергетическом блоке (ПЭБ).
Часть функций управления (основные цеховые краны и ГПА, останов цеха) и общецехового регулирования реализована от диспетчерского пульта (ДП) Изобильненского ЛПУМГ. При этом реализуется механизм управления, обеспечивающий в каждый момент времени управление от одного пульта, с передачей прав управления автоматически (при отказах управляющего пульта) и по запросу оператора. Функции дистанционного управления объектами КС распределяются между уровнями ЛПУМГ и КС в рамках организационных решений по регламенту оперативно-диспетчерского управления.
Основным пунктом концентрации функций контроля и управления работой КС является АРМ сменного инженера КС на всех этапах эксплуатации. Команды управления, приходящие с уровня АСУ ТП ЛПУМГ, фиксируются на АРМ сменного инженера КС.
С уровня АСУ ТП ЛПУМГ на уровень АСУ ТП КС передаются необходимые граничные параметры режима работы цеха для их реализации.
Команды на установки, принадлежащие системе энергообеспечения, передаются как с АРМ энергетика, так и с АРМ диспетчера. При этом должен разрабатывается регламент и соответствующий механизм распределения прав управления. Резервирование контроля и управления энергетическим оборудованием введено в связи с работой энергетических служб в одну смену. Диспетчерская служба работает круглосуточно.
Основные принципы реализации дистанционного управления соответствуют требованиям нормативного документа «Отраслевая система оперативно диспетчерского управления (ОСОДУ) ЕСГ России. Общесистемные технические требования» На основании Технического проекта заказчик утвердил регламент диспетчерского управления, основанный на использовании средств АСУ ТП МГ.
Контроль режимов работы и состояния КЦ и его элементов осуществляется путем сбора информации по всем автоматизируемым технологическим узлам, обработки и анализа собранной информации, отображения ее на АРМ диспетчера КС.
Состав отображаемой информации определяется исходя из достаточности для принятия оперативных решений по управлению объектами КЦ.
Состав, глубина и периодичность архивирования информации обеспечивают возможность анализа функционирования оборудования КЦ, в том числе анализа аварийных ситуаций.
Состав информации на информационном сервере SCADA, поступающей путем сбора и вводимой с клавиатуры АРМ диспетчера, обеспечивает формирование выходных документов уровня ДП КС «Ставропольская».
1.6 Структура и состав защищаемой системы и структуры АСУ
АСУ ТП КС включает компоненты нескольких функциональных подсистем. Все подсистемы объединяются в общую информационную сеть для организации управления и контроля технологическими процессами всех технологических объектов. Информационная сеть закольцована и строится по технологии Industrial Ethernet.
Все автоматизируемые технологические узлы общецехового основного и вспомогательного оборудования автоматизируется с помощью соответствующей САУ, реализованной на платформе SIMATIC S7 производства фирмы Siemens, с подключением выносных или встроенных СЛТ (реализация на модулях ЕТ200М) или «внешних» САУ:
САУ РКЦ — регулятор КЦ с подключением САУ ГПА;
САУ установки подготовки топливного и импульсного газа (УПТИГ) (с подключением СЛТ УПТИГ), СЛТ узла отчистки газа (УОГ) и расходомера для расчета расхода газа на собственные нужды;
САУ аппаратов воздушного охлаждения (АВО) газа (с подключением внешней САУ АВО);
САУ узла подключения (УП) КЦ (САУ УП) (с подключенной СЛТ УП);
САУ технологических кранов площадки КС и компрессорной сжатого воздуха (САУ КЦ) с подключенной «внешней» САУ пожаротушения, пожарообнаружения и контроля загазованности;
САУ ПЭБ, контролирующая ГСМ (СЛТ ГСМ), комплексную трансформаторную подстанцию ПЭБ (СЛТ ПЭБ), станцию катодной защиты «Парсек», ГИС (САУ ГИС);
САУ вспомогательного оборудования, контролирующая склад метанола (СЛТ СМ), водоснабжение (СЛТ ВОС), канализационно-очистные сооружения (СЛТ KOC), катодную трансформаторную подстанцию АВО (СЛТ КТП АВО), субподсистему автоматизированной системы комплексного учета электроэнергии (АСКУЭ) коммерческого учета и контроля расхода электроэнергии;
«Внешняя» САУ электростанции собственных нужд (ЭСН), подключаемая к сети Ethernet и имеющая свой пульт управления;
САУ артскважин (САУ АС);
«Внешняя» САУ ГИС подключается через собственный пульт управления (компьютер) по протоколу.
Взаимосвязи между СЛТ и САУ SIMATIC осуществляются по протоколу Profibus DP, связь с «внешними» САУ — по протоколу Modbus.
Основным модулем любой САУ, а также регулятора КЦ, служит программируемый логический контроллер SIMATIC. Применение данной серии контроллеров обусловлено следующими их характеристиками:
широкий спектр модулей ввода-вывода и центральных процессоров для максимальной адаптации к требованиям решаемой задачи;
высокая гибкость, благодаря мощной поддержке распределенных структур управления и интенсивного сетевого обмена данными;
возможность дальнейшего увеличения функциональных возможностей по мере развития производства;
работа с естественным охлаждением;
простота обслуживания.
Если алгоритмы управления становятся более сложными и требуют применения дополнительного оборудования, контроллер позволяет легко нарастить свои возможности установкой дополнительного набора модулей.
Управление на уровне ДП КС предусмотрено с АРМ диспетчера (резервированного), АРМ энергетика (управление оборудованием, подведомственным АСУ). Предусмотрен механизм делегирования прав управления между АРМ.
Резервированный сервер SCADA обеспечивает хранение и ведение базы данных реального времени.
Сервер SCADA называется главным информационным сервером. Главный сервер играет роль сервера интерфейса процесса системы SCADA. Он организует и осуществляет процесс связи с системами автоматизации (с программируемыми логическими контроллерами), которые непосредственно подключены к локальной вычислительной сети (LAN). Этот сервер обеспечивает получение и контроль за получением данных о процессе, обработку данных об объекте, краткосрочное архивирование действительных данных и случайных событий. Текущие величины, их состояние и параметры вводятся в ориентированную на объект картину процесса. Для отдельного Сервера архивирования предусмотрено долгосрочное архивирование данных с временным хранением результатов.
Главные информационные серверы полностью зарезервированы. Главные серверы подключаются к локальной вычислительной сети и связываются с другими рабочими станциями распределенной сети с использованием протокола TCP/IP.
Клавиатура, монитор и мышь главного сервера требуются только для установки системы, проведения технического обслуживания системы и поиска в ней неисправностей в случае их возникновения и не требуются при нормальной работе системы SCADA.
Сервер архивирования содержит архивные данные. Обмен с уровнем ДП ЛПУМГ осуществляется через коммуникационный сервер.
Блок экстренного аварийного останова (БЭАО) резервирует функции аварийного останова цеха и перекрытия газопровода. БЭАО представляет распределенное программно-аппаратное устройство, осуществляющее управляющие воздействия на распределенное по промплощадке КЦ основное оборудование технологического процесса через узлы БЭАО, расположенные в шкафах автоматики. Локальные узлы БЭАО контролируют оборудование, участвующее в экстренном аварийном останове. Связь пультов БЭАО с распределенными блоками осуществляется по физическим каналам связи.
Для реализации функций на панели БЭАО предусмотрены кнопки. Для реализации экстренного аварийного останова цеха предусмотрена дополнительная кнопка.
Независимые блоки ЭАО обеспечивают аппаратное дублирование следующих функций САУ и СЛТ оборудования, задействованного в функциях БЭАО.
Ядром подсистемы оперативно-диспетчерского управления АСУ ТП КС является совокупность программно-технических средств, обеспечивающих реализацию всех информационных и управляющих функций в части основного технологического оборудования. Ядро включает:
систему автоматического управления и регулирования основным оборудованием компрессорного цеха (САУ и РКЦ);
блок и пульты экстренного останова цеха;
сервер SCADA;
АРМ диспетчера;
ЛВС АСУ ТП КС (Industrial Ethernet).
Структура АСУ ТП КС основана на применении единой информационной сети. Для построения сети используется стекловолоконный кабель для Industrial Ethernet (Fiber Optic Cable — FOC). Сеть строится по технологии Fast Ethernet (100 Мбит/с). К общей сети подсоединяются все устройства САУ, разработанные на платформе SIMATIC S7, информационный сервер SCADA, коммуникационный сервер, все оперативные АРМ.
Для подключения к сети отдельных устройств используются Оптические коммутирующие модули. Для организации резервируемой связи между двумя кольцами выделяется две пары модулей, включенных в разные кольца. На этих модулях с помощью переключателей активизируются функции резерва.
Выбор конкретного типа и количества модулей определяется проектом построения единой информационной сети.
Компоненты подсистемы автоматизированной системы управления энергообеспечением (АСУ Э) на уровне АСУ ТП КС выделяются только функционально (контроль и управление энергооборудованием, объектами водои теплоснабжения, канализационно-очистными сооружениями). При реализации АСУ Э используются те же средства, что и при реализации компонентов непосредственно АСУ ТП КС.
Функции нижнего уровня (сбор и первичная обработка параметров процесса, прием и реализация дистанционных команд управления технологическим оборудованием) выполняются СЛТ.
САУ ЭСН поставляется комплектно с технологической частью ЭСН.
Локальные и «внешние» САУ подключаются к САУ, реализованным на платформе SIMATIC S7. На уровне SIMATIC S7 осуществляется обработка информации для передачи по сети Ethernet и реализация необходимых алгоритмов управления и защиты объектов энергообеспечения.
Далее информация по сети Industrial Ethernet поступает в общую базу данных реального времени на сервере SCADA и общую архивную базу данных на архивном сервере.
Визуализация информации по энергетическому оборудованию и все функции АСУ Э реализованы на АРМ энергетика. Информация по энергооборудованию также отражается на АРМ диспетчера, АРМ специалистов.
Команды управления на энергооборудование, оборудование водои теплоснабжения и оборудование КОС передаются с АРМ энергетика, подключенного к общей сети Industrial Ethernet и резервированного. На уровень ДП ЛПУ информация АСУ Э передается в составе общих потоков информации через коммуникационный сервер.
Подсистема производственно-экологического мониторинга (ПЭМ) состоит из информационно-измерительной сети, включающей:
автоматические посты контроля загазованности (ПКЗ);
передвижные экологические лаборатории;
посты контроля уровня подземных вод (ПКПВ);
автоматические метеопосты;
технические средства контроля выбросов ГПА (поставляются в составе ГПА);
АРМ пункта сбора данных на КС.
ПКЗ, ПКПВ подключаются к АРМ пункта сбора данных при помощи выделенных каналов передачи данных. Автоматические метеопосты подключаются к контрольным пунктам СЛТМ.
АРМ пункта сбора данных подключается по шине Ethernet к ЛВС АСУ ТП КС.
Структура существующей АСУ КС «Ставропольская» представлена на рисунке 2.1.
Рисунок 2.1 — Схема существующей АСУ ТП
1.7 Процессы реализующие прикладные задачи
Прикладные задачи на уровне АСУ ТП КС обеспечивают автоматизируемые функции системы. Прикладные задачи реализуются на уровне САУ (САУ, разработанные на платформе SIMATIC и цехового регулятора) и на уровне АРМ диспетчера КС. На уровне САУ реализуются задачи, функционирующие в режиме реального времени и задачи, связанные с управлением и регулированием. На АРМ диспетчера КС функционируют задачи в режиме off-line, задачи формирования и просмотра документов, графиков, таблиц, визуализации технологических, диагностических данных, подачи команд управления и отслеживания их выполнения, сигнализации аварийных событий и т. д. Задачи, решаемые на АРМ диспетчера, реализуются в среде SCADA WinCC или вне ее с обеспечением интерфейса с базой данных.
Существует ряд «сквозных» задач (аварийные остановы цеха, параметризация и другие), выполнение которых распределяется между АРМ и САУ.
Результаты решения и процесс выполнения прикладных задач, инициируемых с оперативных АРМ и выполняемых в САУ, визуализируются на видеокадрах АРМ.
Математическое обеспечение прикладных задач АСУ ТП КС согласовано с другими уровнями АСУ ТП МГ, что обеспечивается:
использованием единых моделей расчета режимов работы объектов, соответствующих документу «ОНТП 51−1-85. Общесоюзные нормы технологического проектирования. Магистральные газопроводы». М., Мингазпром, 1985;
использованием единой нормативно-справочной информации;
использованием верхним уровнем управления результатов нижнего уровня;
использованием уставок, передаваемых с верхнего уровня при производстве расчетов на нижнем уровне;
соблюдением очередности и временной последовательности задач, составляющих единую технологическую цепочку.
Уравнения, описывающие оборудование КС, представляются в стационарном варианте, поскольку процессы динамики компримирования газа проходят на порядок быстрей, чем в линейной части, и нет необходимости рассматривать развитие нестационарного процесса во времени в проточной части нагнетателя. Модель нагнетателя включает напорные, мощностные, температурные и КПД-характеристики, а также способы описания технологических ограничений в соответствии с нормативными документами ОАО «Газпром» (ОНТП-51−1-85. Магистральные газопроводы).
Алгоритмы, функционирующие в режиме off-line, имеют интерфейс с базой данных для получения значений фактического режима. В режиме off-line предусмотрена возможность проведения вариантных расчетов с сохранением результатов.
1.8 Обоснование актуальности разработки
В связи с выводами, проделанными в ходе анализа системы, в которой были выявлены узкие звенья защиты, циркулирующей в сегменте сети информации, предложено их защитить с помощью технологии сетевой защиты на базе программы VipNet Custom. Для чего был проведен предварительный анализ возможности внедрения данной программы в сегменты РВС,
Выводы
В данной главе был проведен подробный диагностический анализ предметной области, показаны причины возникновения задачи проектирования защищенного сегмента сети.
Также была показана общая характеристика предприятия и проведено изучение функциональной структуры предприятия, изучение организационно-управленческой структуры предприятия, проведен анализ структуры существующей информационной системы и службы АСУ.
Описан процесс деятельности с точки зрения защищенного информационного обмена. Показана структура и состав защищаемой системы и структуры АСУ. Показаны процессы реализующие прикладные задачи. Обоснована актуальность разработки.
2. РАЗРАБОТКА ПОДСИСТЕМЫ СЕТЕВОЙ ЗАЩИТЫ СЕГМЕНТА СЕТИ ПРЕДПРИЯТИЯ
2.1 Разработка защищенной структуры сегмента сети предприятия на базе технологии VipNet
2.1.1 Структура защищенной РВС на базе программы VipNet для Изобильненского филиала ЛПУМГ
В ходе работы над дипломным проектом, учитывая структуру РВС ООО «Газпром», предложена следующая общая структура защищенной распределенной вычислительной сети.
2.1.2 Структура межведомственного взаимодействия на базе программы VipNet для Изобильненского филиала ЛПУМГ
Для реализации такой структуры была разработана в общем виде, защищенная структура межведомственного взаимодействия с любым количеством других сетей ViPNet, в соответствии с заданными связями между отдельными узлами этих сетей, которая показана на рисунке 2.
Преимуществом такой структуры является то, что нет необходимости перенастраивать конфигурацию РВС, так как возможности ПО позволяют, без вмешательства в аппаратную и программную часть сети, выполнять следующие необходимые для реализации разработанной защищенной структуры следующее:
1. добавить или удалить сетевой узел (КлиентКоординатор);
2. добавить или удалить связи между сетевыми узлами;
3. создать, изменить, удалить ключевую и справочную информацию;
4. изменить полномочия абонентов.
Возможности представляющиеся технологией ViPNet для построения VPN.
С помощью технологии ViPNet также были реализованы функции межсетевого экрана как для открытых соединений, так и для защищенных, системы обнаружения вторжений (IDS), IM-клиента, почтовой службы (защищенной от спама и несанкционированного доступа), назначения виртуальных адресов видимости.
2.2 Решение для защиты сегмента сети преприятия на базе выбранного комплекса ViPNet
Для развертывания сети ViPNet достаточно установить на рабочие станции программное обеспечение ViPNet. При этом практически не требуется менять топологию существующей сети или приобретать дополнительное оборудование. Для организации защищенного соединения используется схема с автоматически распределенными на этапе установки ПО симметричными ключами шифрования и автоматизированной процедурой их синхронного обновления. Каждый пакет, который отправляется в сеть, автоматически шифруется с использованием уникального производного ключа, без каких-либо процедур установления соединения (handshaking). Это позволяет организовывать защищенную передачу данных по ненадежным каналам, по каналам, которые характеризуются большими потерями трафика (спутниковые каналы, модемное соединение и т. п.), а также обеспечивать бесперебойную работу локальной сети, для которой недопустимы задержки в установлении соединений.
При данном подходе к структуре сегмента сети, технология ViPNet без потери качества соединения обеспечивает постоянство тех свойств защищенного соединения, которые существенно влияют на безопасность. А именно: постоянное шифрование всего IP-пакета вместе с исходными IP-адресами и протоколами, постоянное обеспечение имитозащиты пакета (защиты от навязывания ложных пакетов), исключение возможности шифрования только части трафика в направлении заданного защищенного узла. Протокол, используемый в рамках технологии ViPNet, обеспечивает защищенную передачу данных по любым каналам связи, через любые устройства NAT/PAT — даже в том случае, когда интернет-провайдер препятствует установлению соединения путем запрета VoIP или авторизующих соединений IPSec.
В технологии ViPNet применяются пиринговые соединения, которые обеспечивают автоматическое оповещение связанных узлов о параметрах доступа друг к другу. Это позволяет реализовать не только классические для IPSec схемы site-to-site и client-to-site, но также схему client-to-client — в автоматическом режиме и с возможностью объединения компьютеров независимо от точки их подключения к сети, принадлежности определенной VPN-сети, без централизованной раздачи IP-адресов.
Технология ViPNet предоставляет возможности по каскадированию защищенных соединений, без промежуточного расшифровывания информации. Это позволяет организовать пиринговые соединения между подсетями и узлами, которые расположены в пределах других защищенных сетей.
ViPNet Coordinator HW1000
Назначение:
Криптошлюз и межсетевой экран, построенный на аппаратной платформе телекоммуникационных серверов компании «Аквариус» и выполняющий функции криптошлюза и межсетевого экрана. Он легко инсталлируется в существующую инфраструктуру, надежно защищает передаваемую по каналам связи информацию от несанкционированного доступа и подмены. Использование адаптированной ОС Linux и надежной аппаратной платформы серверов AquaServer позволяет применять ViPNet Coordinator HW1000 в качестве корпоративного решения, к которому предъявляются самые жесткие требования по функциональности, удобству эксплуатации, надежности и отказоустойчивости.
Преимущества:
Использование в качестве аппаратной платформы надежного промышленного сервера типоразмера 19″ 1U;
Программное обеспечение создано на базе провереннего многолетней эксплуатацией ПО ViPNet Coordinator Linux и технологии защиты информации ViPNet;
Количество одновременно установленных соединений через криптошлюз не ограничивается;
Поддержка работы в современных мультисервисных сетях связи с серверами DHCP, WINS, DNS и преобразованием адресов (NAT, PAT);
Использование в качестве центра генерации ключей шифрования сертифицированного ФСБ России ПО ViPNet Administrator из состава СКЗИ «Домен-КС2/КМ» * Низкая стоимость по сравнению с аналогичными по возможностям СЗИ других отечественных компаний;
Возможность проведения СИиСП оборудования серверов.
Область применения:
ИСПДн К1 / класс АС — 1В
Сертификат:
ФСТЭК России № 2149 от 4 августа 2010 г. на соответствие требованиям РД
по 3 классу МЭ
по 3 уровню НДВ
ФСБ России №СФ/124−1459 от 09 мая 2010 г. по требованиям к СКЗИ класса КС3.
ФСБ России №СФ/515−1530 от 04 октября 2010 г. по требованиям к устройствам типа МЭ по 4 классу защищенности и может использоваться для защиты информации от несанкционированного доступа в информационно-телекоммуникационных системах органах государственной власти Российской Федерации
2.2.1 Разработка способа применения технологии VipNet для защищаемого сегмента Изобильненского ЛПУМГ
Предложено использовать такую технологию, включающую программные и программно-аппаратные комплексы (средства защиты информации ограниченного доступа, в том числе персональных данных), а имнно ViPNet CUSTOM.
Для реализации способа необходимо организовать защиту информации в крупных сетях (от нескольких десятков до десятков тысяч сетевых
узлов — рабочих станций, серверов и мобильных компьютеров).
Предложено создание защищенной, доверенной среды передачи информации ограниченного доступа с использованием публичных и выделенных каналов связи (Интернет, телефонные и беспроводные линии связи) путем организации виртуальной частной сети (VPN) с одним или несколькими центрами управления.
С использованием ViPNet CUSTOM разработаны решения по защите информации, требующие проведенной разработки (доработки) функционала компонентов комплекса по требованиям Изобильненского ЛПУМГ.
Предложенные разработки учитывают то, что данная технология располагает соответствием требованиям ФСБ и ФСТЭК России. Отдельные продукты и наборы продуктов из состава ViPNet CUSTOM регулярно проходят сертификацию по требованиям к СКЗИ, средствам сетевого экранирования (межсетевым и персональным сетевым экранам), по отсутствию не декларированных возможностей. Так, например, под общим названием СКЗИ «Домен-КС2/КМ» проходит сертификацию набор продуктов, состоящий из ViPNet Administrator (в части Ключевого центра), ViPNet MFTP и ViPNet CryptoService. А под названием ПАК «Удостоверяющий центр корпоративного уровня ViPNet КС2/КМ» проходит сертификацию набор из ViPNet Administrator (в части Удостоверяющего центра), ViPNet Publication Service, ViPNet Registration Point и ViPNet Client. Необходимость объединения продуктов в такие наборы для сертификации вызвана различиями в специфике систем сертификации ФСБ и ФСТЭК России и разными требованиями, по которым сертификация осуществляется, а также невозможностью выделить из комплексного решения, которым является ViPNet CUSTOM, отдельно сетевой экран или отдельно Удостоверяющий центр.
Технические преимущества ViPNet CUSTOM, позволяющие использовать его в данной системе, описаны далее.
ViPNet CUSTOM ориентирован на организацию защищенного взаимодействия «клиент-клиент», в то время как большинство VPN-решений других производителей обеспечивают только соединения уровня «сервер-сервер» или «сервер-клиент». Это дает возможность реализовать любую необходимую политику разграничения доступа в рамках всей защищенной сети, а также снизить нагрузку на VPN-серверы, так как в общем случае при взаимодействии «клиент-клиент» VPN-сервер не задействован в операциях шифрования трафика между этими клиентами.
В ViPNet CUSTOM уделено решению проблемы функционирования в условиях наличия разнообразного сетевого оборудования и программного обеспечения, реализующего динамическую или статическую трансляцию адресов и портов (NAT / PAT), что существенно облегчает процесс интеграции системы защиты в существующую инфраструктуру сети. В большинстве случаев настройка ПО ViPNet Client вручную не требуется.
В ViPNet CUSTOM реализована раздельная фильтрация открытого и шифруемого трафиков, что позволяет даже среди доверенных сетевых узлов ограничивать возможность работы через несанкционированные порты, протоколы и за счет этого повышать уровень безопасности защищенной сети.
Каждый компонент ViPNet CUSTOM содержит встроенный сетевой экран и систему контроля сетевой активности приложений или работают совместно с ПО ViPNet Client, что позволяет получить надежную распределенную систему межсетевых и персональных сетевых экранов. Для разрешения возможных конфликтов IP-адресов в локальных сетях, включаемых в единую защищенную сеть, ViPNet CUSTOM предлагает развитую систему виртуальных адресов. Во многих случаях она позволяет упростить настройку прикладного ПО пользователя, так как наложенная виртуальная сеть со своими виртуальными адресами скрывает реальную сложную структуру сети. Также становится возможным решение проблем взаимодействия локальных сетей с пересекающейся IP-адресацией.
ViPNet CUSTOM поддерживает возможность межсетевого взаимодействия, что позволяет устанавливать необходимые защищенные каналы связи между произвольным числом защищенных сетей, построенных с использованием ViPNet CUSTOM.
ViPNet CUSTOM обеспечивает защиту информации в современных мультисервисных сетях связи, предоставляющих услуги IP-телефонии и аудиои видеоконференцсвязи. Поддерживается приоритезация трафика и протоколы H.323, Skinny, SIP.
ПО ViPNet Coordinator поддерживает работу на современных многопроцессорных и многоядерных серверных платформах, что позволяет обеспечивать высокую скорость шифрования трафика.
Коммерческие преимущества ViPNet CUSTOM
По сравнению с обычными VPN-решениями ViPNet CUSTOM предоставляет целый ряд дополнительных возможностей по защищенному обмену информацией: встроенные службы мгновенного обмена сообщениями (чат и конференция) и файлами, а также собственная защищенная почтовая служба с элементами автоматизации обмена письмами, файлами и поддержкой механизмов ЭЦП.