В.Г. Промыслов Институт проблем управления им. В.А. Трапезникова РАН, г. Москва Москва MLSD 2013

2 БПУ – общий вид с экраном коллективного пользования Зона по системам безопасности Зона реакторной установки (РУ) Зона групповой работы Зона турбинного отделения Зона обобщенной информации по радиационной обстановке и пожару

ПОЛИТИКА КИБЕРБЕЗОПАСНОСТИ СВБУ АЭС для подсистем связанных с управлением политика безопасности строится с учетом приоритета задач сохранения доступности и целостности СВБУ, т.е. предотвращение несанкционированной записи. для подсистем связанных с кибер безопасностью политика безопасности строится с учетом приоритета задач сохранения конфиденциальности данных, т.е. предотвращения несанкционированного чтения. информация в пределах БПУ предоставляется на основе концепции «Открытого пространства», т.е. доступ к информации без ее изменения (по чтению) ограничен только наличием физических барьеров, (приоритет доступности над конфиденциальностью). персонал, взаимодействующий с СВБУ, имеет организационную структуру, приведенную на Рисунке 1. безопасность СВБУ основана на дифференцированном подходе, с группированием отдельных субъектов и объектов СВБУ с функциональной точки зрения по уровням безопасности. В пределах одного уровня безопасности не предусмотрены защитные барьеры.

Пространство кибербезопасности

Упрощенная организационная структура персонала АЭС в части кибербезопасности СВБУ

Безопасность систем управления Конфиденциальность – Целостность - Доступность Зональный подход

Модель безопасности Biba Приоритет целостности Информация с низкой целостностью не должна идти к объектам с высоким уровнем целостности Основные принципы: 1. Субъект имеет доступ по чтению к объекту если: 2. *-Свойство: Субъект имеет доступ по записи к объекту если: S O2 O1 O3 r r w

Модель безопасности Bell-LaPadula 1. Основное свойство кибербезопасности: Субъект имеет доступ к объекту: 2. *-Свойство: Субъект имеет права записи в объект: Приоритет сохранения конфиденциальности S O2 O1 O3 r r w

«Брать-давать»/Take-Grant модель В модели защищенное состояние системы описывается как направленный граф отношений. Узлы в графе двух типов, один соответствующий субъекту, другой - объекту. Ребро, направленное из узла А к другому узлу В указывает, что субъект (или объект) А имеет некоторое право (права) доступа к субъекту (или объекту) В. Ребро отмечено набором прав А к В. Возможные права доступа - это чтение (r) (read), использование (w) (write) в части передачи информации), взятие (t) (take), выдача (g) (grant)

Lineal hierarchical take-grant security model r,w r w L4L4 L3L3 L2L2 L1L1

Зоны безопасности

Начальный граф доступа

Направление потока данных по записи по чтению концепция сохранения целостности концепция сохранения конфиденциальности

Заключение В работе рассмотрена реализация в системе активного аудита для мониторинга кибербезопасности СВБУ АЭС в реальном времени. В качестве базовой формальной модели использована формальная модель типа «Брать-давать» Главная проблема, при создании системы АА на основе модели «Брать-давать» является большая размерность начального графа отношений и как следствие большое время анализа графа доступа, что требует сбалансированного решения при выборе необходимого уровня защиты СВБУ и сложности модели. Создана модель системы АА реализующая формальную модель безопасности СВБУАЭС на основе среды Mathematica

В.Г. Промыслов Институт проблем управления им. В.А. Трапезникова РАН, г. Москва Москва MLSD 2013

Методы диагностики быстротекущих процессов в сложных объектах Методы основанные на анализе данных Не требуют знания о природе объекта (модель строиться в ходе работы) Гибко перенастраиваются в реальном времени при изменении объекта или его характеристик Пригодны для малоизученных и экспериментальных объектов Методы основанные на физической природе Требуют предварительного построения модели объекта Требуют наличия предварительно согласованных сценариев Не пригодны Срабатывание диагностики Штатная работа Разрушение объекта Методы основанные на экспертных знаниях Необходимы методы принимающие неполные и не точные знания Пригодны для малоизученных и экспериментальных объектов

Система диагностики реального времени (спецификация) Реальное время ~1-5 мс Число сигналов < 500 Должна быть приспособлена для диагностики аварийных ситуаций уникальных объектов Должна быть гибкой и настраиваемой

Алгоритмы и методы для диагностики Машинного обучения– Support vector Machines Экспертные знания- Fuzzy logic Статистические -Cumulative sum control chart

Одноклассовые SVM

Normal situation Abnormal Пример для одно классовой SVM

Знания экспертов Номер параметраДП Предшествуе т аварии Во время аварии После аварии

Временная диаграмма срабатывания диагностики. Точка 1 ( с ) начал интервала обнаружения аварийной ситуации. Точка 2 ( с) формирования сигнала об обнаружении аварийной ситуации. Пунктирные линии (3) обнаружение аварийной ситуации и срабатывание САЗ соответственно ( и )

Cumulative sum control chart (CUSUM) Data (blue), solving function (red) threshold (black) Abnormal detection approximately 0.3 s before the catastrophe

С.И. Масолкин, В.Г. Промыслов Институт проблем управления им. В.А. Трапезникова РАН, г. Москва Москва MLSD 2013

Архитектура испытательного стенда DAS Protection System Diagnostic System SCADA LAN

Программная архитектура Задача Класс задачи Функция и описание (INI) Задача инициализации.STTSTTОтвечает за инициализацию ДПО, в частности производит привязку алгоритмов к конкретным задачам, обеспечивая выполнение требований реального времени (динамическая балансировка). (I) Задача приема и мультиплексирования входных сигналов. RTTОбеспечивает прием входных сигналов и помещение их во входные кольцевые буфера (H) Задача алгоритмов жесткого реального времени. RTTОбеспечивает выполнение тех частей алгоритмов, которые должны быть выполнены строго за отведенное время. Количество задач может быть более 1 в случае реализации на многопроцессорной системе. Определяется по результатам верификации архитектуры системы с учетом вычислительной сложности алгоритмов и наличия ресурсов. (S) Задача алгоритмов мягкого реального времени. STTАккумулирует все алгоритмы или их части, которые не являются жестко таймированы. Количество задач может быть более 1 в случае реализации на многопроцессорной системе. Определяется по результатам верификации архитектуры системы с учетом вычислительной сложности алгоритмов и наличия ресурсов. (M) Задача мета алгоритмов и вывода.RTTОбеспечивает формирование выходных сигналов на основании результатов работы алгоритмов из состава SТT и RTT. Также в эту задачу входит процесс формирования и передачи управляющих сигналов. (DI) Сервисная диагностикаSTTОбеспечивает выдачу сервисной и диагностической информации.

Архитектура и распределения задач в системе диагностики

Техническое средство Feature Four or eight Intel Xeon processor E series Integrated Lights Out Manager Supports up to 128 DIMMs Features two PCIe Network Express Modules Compact 5RU form factor Supports a wide range of enterprise-class server operating systems Hot-swappable RAS capabilities, including I/O, disks, power supply, and cooling fans Sun Server X2-8

Заключение Представлена гибкая архитектура системы диагностики реального времени. Сделан обзор алгоритмов пригодных для целей диагностики тестируемых объектов в реальном времени

Спасибо за внимание Вопросы?