Верхний уровень системы АСУ ТП
Назначение подсистемы верхнего уровня – реализация функций информационно-вычислительных (включая интерфейс машинистов энергоагрегатов), сервисных (обеспечивающих работоспособность системы), связи с подсистемой нижнего уровня и другими станциями для неоперативного персонала.
В подсистему верхнего уровня входят рабочие станции для АРМ, коммуникационное оборудование, а также сервер баз данных, доменной политики безопасности и резервированные сервера архивирования. На этих средствах реализуются функции интерфейса оперативного персонала и обслуживающего систему персонала (инженер АСУ ТП).
Все компьютеры верхнего уровня IBM-совместимые, они снабжаются мониторами, манипулятором «мышь» и стандартной клавиатурой.
Все технические средства верхнего и среднего уровней объединяются системной магистралью обмена данными на базе широковещательной сети Fast Ethernet (100/1000 Мбит).
На уровне локальных САУ решается задачи агрегатной автоматики с предоставлением текущей информации из локальной САУ для регистрации в архиве и мониторинга на АРМ оператора ПТК верхнего уровня АСУ ТП. Сигналы для реализации взаимосвязанных алгоритмов, которые решаются в ПТК верхнего уровня АСУ ТП (защиты), передаются по проводным линиям связи.
В локальных САУ должна обеспечиваться возможность передачи диагностической информации о состоянии измерительных каналов, котроллеров, полевых шин и т.п. в ПТК АСУ ТП, а также осуществляться синхронизация времени от ПТК АСУ ТП с точностью не хуже 1мс.
В ПТК и локальных САУ должна быть реализованы функции для предотвращению несанкционированного проникновения в локальную сеть АСУ ТП и ошибочных действий пользователей и предусматриваются следующие организационные и технические мероприятия:
- организация системы санкционированного доступа к отдельным подсистемам и функциям оперативного и неоперативного персонала;
- организация системы противодействия проникновению компьютерных вирусов и взломов.
При организации санкционированного доступа:
- обслуживающему персоналу устанавливаются определенные полномочия, согласно которым осуществляется доступ к отдельным подсистемам и функциям с использованием системы кодов и паролей; Должно быть предусмотрено ограничение прав доступа к различным технологическим подсистемам в зависимости от функции оператора. В то же время все операторские станции должны быть одинаковыми и взаимозаменяемыми. Система ограничения прав должна быть централизованная и основана на доменных политиках безопасности операционной системы. Функциональность каждого рабочего места и ограничение прав доступа к конкретным технологическим подсистемам должна зависеть только от учетной записи пользователя.
- администратор системы ведет книгу учетных записей пользователей, которые содержат имя пользователя, пароль и уровень прав доступа;
- ведется протоколирование действий персонала при работе с ПТК и АСУ ТП;
- осуществляется идентификация всех АРМ, узлов сети, каналов связи, внешних устройств по логическим именам и адресам;
- осуществляется регистрация инициализации системы;
- осуществляется регистрация доступа программных средств к защищаемым объектам и ресурсам;
- осуществляется регистрация выдачи печатных (графических) документов на «твердую» копию.
При организации системы противодействия проникновению компьютерных вирусов и взломов:
- должен устанавливаться современных антивирусных программный продукт (например, ПО Kaspersky Anti-virus), который должен входить в комплектную поставку ПТК и поддерживаться в части обновления программного продукта и антивирусных сигнатур производителем ПТК;
- предусматривается комплекс программных и (или) аппаратных средств обнаружения и защиты от вторжений, межсетевой экран (firewall):
- мероприятия по обеспечению целостности программных средств защиты;
- реконфигурация межсетевого экрана с целью блокирования источника атаки к защищаемым ресурсам и объектам сети;
- система должна иметь средства контроля целостности своей программной и информационной части, штатные средства определения и реагирования на новые атаки.
В состав АСУ ТП должна входить система единого времени, предназначенная для синхронизации системного времени всех устройств комплекса АСУ ТП и оборудования интегрируемых автономных цифровых систем (РЗА, ПА и т.п.). Серверы точного времени системы единого времени должны быть резервированы.