Jiří Lanta, Klub uživatelů ŘS MicroSCADA, Hotel Omnia Janské Lázně, MicroSCADA Pro Release SYS Novinky

Jiří Lanta, Klub uživatelů ŘS MicroSCADA, Hotel Omnia Janské Lázně, 19.-20.10.2016

MicroSCADA Pro Release SYS600 9.4 Novinky © ABB October 21, 2016

Slide 1

SYS600 9.4

© ABB October 21, 2016

Slide 2

SYS600 9.4 Zaměřuje se: 

Podpora IEC 61850 Ed2 jakožto součást ABB řešení



Kybernetická bezpečnost jednoduše a důkladně



© ABB October 21, 2016

Slide 3



Nástroj pro nastavení Kybernetické bezpečnosti



Centrální management účtů a protokolovaných událostí

Přidány funkce pro upevnění pozice v: 

(SA) Automatizaci rozvoden



Multi-distribuce a aplikace pro potrubní vedení

SYS600 9.4 IEC 61850 Edition 2 Plná IEC 61850 konektivita

© ABB October 21, 2016

Slide 4



Podpora obou (Ed1 a Ed2) v jednom systému



Podpora Ed1 PRP a Ed2 PRP (ale ne ve stejné síti)



HSR konektivita přes switch(e) (Red box)

SYS600 9.4 Sequencer 





Zvýšení bezpečnosti při komplexnějších operacích Plánování a předkonfigurace operací s předstihem např. 

Změny přípojnic



Odlehčení zatížení

Flexibilní spouštění a konfigurace sekvencí 

Podmínky „Před/Po“



Manuální/automatické krokování



Aktivace 

© ABB October 21, 2016

Slide 5

Manualní, Od události, Časová, NCC, DMS600

SYS600 9.4 Knihovna pro potrubní vedení (Pipeline Library) 



Příklady aplikací 

Distribuce plynu



Centrální vytápění/chlazení



Zpracování a distribuce vody

Obsah 

© ABB October 21, 2016

Slide 6

Symboly, Databáze, Ovládací dialogy 

Potrubí



Nádrže



Ventily



Čerpadla



Kompresory



Dmychadla



Atd.

SYS600 9.4 Zabezpečení systému (System Hardening) 

Zjednodušení zabezpečení 

© ABB October 21, 2016

Slide 8

Nový nástroj: Security Compliance Manager pro jednodušší správu: 

Whitelistingu aplikací



Windows uživatelů and skupin



Firewallu



Oprávnění v souborovém systému



Kryptovaná komunikace mezi SYS600 uzly (nody)



Authentikace a kontrola přístupu na OPC a SCIL API rozhraních

OPC

SCIL API

SYS600 9.4

Správa uživatelských účtů, Protokolování událostí (User Account Management,

Event Logging) 

Jednodušší správa přístupových oprávnění 

Kontrola přístupu na bázi „Role“



Místní nebo centrální správa účtů





© ABB October 21, 2016

Slide 9

“Změna přístupových oprávnění ve všech připojených systémech pomocí jednoho kliknutí myší”

Plná kontrola nad událostmi týkajícíse uživatelské bezpečnosti 

Místní protokolování a prohlížení událostí



Centrální protokolování a prohlížení událost pomocí SDM600 nebo řešení 3. strany (SYSLOG)



SDM600

SYS600 9.4 FP1

© ABB October 21, 2016

Slide 11

SYS600 9.4 FP1 Zálohování Nové

vlastnosti



Inženýring a administrace



Činnost systému

Kompatibilita

© ABB October 21, 2016

Slide 12



Do ovládacího panelu přidána funkce systémové zálohy



Jednoduchá cesta k pořízení obrazu disku - i za chodu



Záloha aplikace musí být pořízena separátně



Dostupné od 9.4 HF2

SYS600 9.4 FP1 Optimalizace HOT Stand-by Nové

vlastnosti



Inženýring a administrace



Činnost systému

Kompatibilita

SYS600

Server

SYS600

Server

Další vylepšení činnosti Hot Stand-by 

Optimalizace replikace dat na pouze změněná data 



Čas potřebný k obnově dat systému po výpadku redukován až o 90%

Čas během kterého je obnovována redundance je čas, kdy systém běží pouze na jednom počítači (zranitelný). Ten je díky vylepšení redukován na minimum. Snížení

© ABB October 21, 2016

Slide 13

zranitelnosti systému

SYS600 9.4 FP1 Optimalizace HOT Stand-by Nové

vlastnosti



Inženýring a administrace



Činnost systému

Kompatibilita

Remote Desktop Protocol (RDP) Relace vzdálené plochy může být automaticky obnovena po „přejetí“ Hot Stand-by 

Všechny obrazovky se svou původní velikostí a rozvržením

Kratší © ABB October 21, 2016

Slide 14

čas přerušení pro operátory

SYS600 9.4 FP1 Kompatibilita Nové

Není již podporováno:

vlastnosti





Inženýring a administrace



Činnost systému

Kompatibilita

Vzdálený klasický MicroSCADA monitor pomocí VS Remote (e.g. Exceed) 

Z důvodu redukce složitosti technologie a její údržby



Zastaralá technologie







© ABB October 21, 2016

Slide 16

Pochází z přechodu z Unix/X-Window na Microsoft Windows v polovině 90. let

Vzdálený klasický MicroSCADA monitor musí být migrován na techologii Remote Desktop Services SYS600 9.4 FP1 může být použit s běžnou 9.4 licencí

SYS600 9.4 FP2

© ABB October 21, 2016

Slide 17

SYS600 9.4 FP2 Obsahuje 

© ABB October 21, 2016

Slide 18

Nové vlastnosti a funkce 

Role pracovní stanice



Režim jediného přihlášení



Odpovědnost za oblast (Area of Responsibility)



Anonymní uživatel



Monitor Pro+



IEC 61850 functionalita + certifikát



Virtualizace Serveru



Kybernetická bezpečnost

SYS600 9.4 FP2 Role pracovní stanice (Workstation specific role selection) 



Specifikuje která z rolí může být používána na které pracovní stanici Příklady konfigurace: 

Operator 

Viewer



Z nespecifikovaných pracovních stanic může být použita pouze role „Viewer“ (prohlížeč – bez povelů) „Administrátor“ a „Inženýr“ role může pouze být používána z „Inženýrské pracovní stanice“

Identifikace pracovní stanice na bázi Jména počítače 

Vlastnost rožšiřující použitelnost systému, není to funkce spadající do Kybernetické bezpečnosti

Výhody  © ABB October 21, 2016

Slide 19

Zavedení politiky týkající se oprávnění

SYS600 9.4 FP2 Režim jediného přihlášení (Single login mode) 

Pouze jediné přihlášení daného uživatele ve stejnou dobu 



Jakékoliv pokusy o další přihlášení na stejný uživatelský účet jsou zamítnuty

Volitelné pro každého uživatele 

Režim jediného přihlášení může být aktivován pouze pro vybrané uživatele

Výhody 



© ABB October 21, 2016

Slide 20

Znemožní neautorizované přihlášení k používanému účtu v dané chvíli. Umožňuje zavedení ještě striktnější politiky přihlášení

SYS600 9.4 FP2 Odpovědnost za oblast (Area of Responsibility (AoR)) 

Proces může být rozdělen na Oblasti 





Identifikátorem objektu (OI) např. region, rozvodna, napěťová úroveň, pole, …

Operátor má právo manipulovat v jedé, nebo více Oblastech a pouze práva prohlížení v dalších Oblasti se mohou překrývat 

Volba, která musí být povolena

Výhody 

© ABB October 21, 2016

Slide 21

Umožní lepší kontrolu nad přístupy a odpovědnostmi operátorů

SYS600 9.4 FP2 Odpovědnost za oblast (Area of Responsibility (AoR))

 

© ABB October 21, 2016

Slide 22

Oblast je pojmenována Oblast je definována listem objektů, kde objektem může být jakákoliv úroveň Identifikátoru objektu (OI) ať už region, rozvodna, napěťová úroveň, pole, zařízení

SYS600 9.4 FP2 Odpovědnost za oblast (Area of Responsibility (AoR)) Exklusivní přístupové právo (EAR) 







© ABB October 21, 2016

Slide 23

Pouze jeden operátor může manipulovat v Oblasti v daný čas Až pokud se daný operátor odhlásí, oprávnění manipulace je automaticky předáno dalšímu operátorovi dle přidělené priority Oblasti se v tomto případě nemohou překrývat Automaticky je aktivován Režim jediného přihlášení

SYS600 9.4 FP2 Odpovědnost za oblast (Area of Responsibility (AoR)) Exklusivní přístupové právo (EAR) Operátor Operátor - Mistr



Role Operátorů

(Primární/Sekundární)

 Přidělení

Operátor - Mistr 

Primární Operátor

Sekundární Operátor



Přidělení nebo Převzetí

Primární Operátor 



Sekundární Operátor Žádost o Předání/Převzetí

Operátor-Mistr/Prim/Sek Přijetí



Slide 24

Může direktivně „přidělit“ Sekundárnímu nebo direktivně „převzít“ od Sekundárního Může „žádat“ o kontrolu Oblasti jiného Primárního Operátora, nebo „žádat“ o předání své oblasti jinému Primárnímu Operátorovi

Sekundární Operátor 

© ABB October 21, 2016

Může „přidělit“ Oblast kterémukoliv z příslušných Operátorů, včetně sebe

Může „žádat“ o kontrolu Oblasti jiného Operátora, nebo „žádat“ o předání kontroly své oblasti

SYS600 9.4 FP2 Anonymní uživatel (Anonymous user)

?

 

- Auto-login - View only (typically)





Řežim, který může být zapnut je-li třeba Po otevření Monitor Pro je Anonymní uživatel automaticky přihlášen Jakýkoliv operátor se může přihlásit. Jakmile se odhlásí, Monitor Pro se nezavře ale vrátí se do relace Anonymního uživatele

Pozor! 



© ABB October 21, 2016

Slide 25

Z pohledu kybernetické bezpečnosti není doporučeno používat Anonymního uživatele z důvodu automatického přihlášení Pokud je použito, je silně doporučena limitace práv a rolí na pouze nezbytně nutný počet pracovních stanic.

SYS600 9.4 FP2 Monitor Pro+  





Nový „prohlížeč“ pro grafické rozhraní. Krok směrem k příští generaci pracovní plochy přicházející v další verzi Pro editaci a tvorbu obrázků se používá stejný Display Builder jako předtím Obrázky jsou automaticky konvertovány do nového formátu 

XML/HTML5

Výhody 

Plynulejší a rychlejší zooming a panning



Standardní technologie s budoucností 



© ABB October 21, 2016

Slide 26

Menší riziko ztráty podpory

Evoluční vývoj technologie

SYS600 9.4 FP2 Monitor Pro+ Politika pro použití Monitor Pro nebo Monitor Pro+



Dodávka nového SYS600 systému 1.



Upgrade existujícího systému na 9.4 FP2 1. 2.

© ABB October 21, 2016

Slide 27

Použití Monitor Pro+

Použití Monitor Pro Migrace na Monitor Pro+ pokud je třeba využít funkcionalit a charakteristik Monitor Pro+

SYS600 9.4 FP2 IEC 61850 Trasování služeb (Service Tracking) 

NCC

SYS600 je informován o povelech odeslaných jinými IEC 61850 klienty 





Informace o povelech přijde do SYS600 přímo z IEDs Funguje na bázi IEC 61850 Control Service Tracking (CTS) 

NCC

V listu událostí se vedle změny indikace stavu objeví navíc i informace o povelu

Nezávislé na dodavateli IEC 61850 klienta a NCC protokolu

Přínos 

© ABB October 21, 2016

Slide 28

Komplexnější informovanost operátora o dění v systému

SYS600 9.4 FP2 IEC 61850 Substitution 



SYS600 může zapsat náhradní (substituted) hodnotu do IED Podporované objekty (zařízení): 



Pole, Vypínač, Odpojovač, Zemnič, Přepínač odboček, Měření

Substituted quality bit je přeposílán na NCC přes SYS600 gateway 

NCC protokoly: IEC 101/104, DNP

NCC Přínos 

 © ABB October 21, 2016

Slide 29

Nahrazení (vnucení) stavu/hodnoty např. kvůli vadnému senzoru nebo vstupní/výstupní kartě Jednoduchá cesta na základní test systému

SYS600 9.4 FP2 IEC 61850 Režim Test (Test Mode) 

Ovládací dialog spínacího prvku v SYS600 indikuje, jestli IED není v režimu „Test“



Umožní odeslat požadavek na povel s příznakem „Test“

Přínosy

© ABB October 21, 2016

Slide 30



Jasná informace pro operátora o stavu systému



Možnost provedení testovacího povelu pomocí standardního ovládacího dialogu

SYS600 9.4 FP2 IEC 61850 Kapacita



© ABB October 21, 2016

Slide 31

Změna v dopuručených maximech na jeden počítač se SYS600 

Max. počet jednotek IED: 400



Max. počet IEC 61850 klientů: 8

SYS600 9.4 FP2 IEC 61850 Certificate

© ABB October 21, 2016

Slide 32



IEC 61850 Edition 2 Klient



Vystaven pro SYS600 9.4



Plně aplikovatelný na SYS600 9.4 FP2 ->

SYS600 9.4 FP2 Server Virtualization 

Podporované platformy: 

WMWare vSphere



(Microsoft Hyper-V)

Přínosy virtualizace 

Lepší použitelnost 



© ABB October 21, 2016

Slide 33

Menší závislost na konkrétním HW

Snížení nákladů 

Standardizovaný a menší množství HW



Lepší využiti HW zdrojů



Jednodušší administrativa

SYS600 9.4 FP2 Security Compliance Manager (SCM) 

Nové výstupy  



Baseline (doporučená nastavení) Audit (rozdíl mezi doporučeným a aktuálním nastavením)

Aktualizece Baseline pracovní stanice 

Rozpoznání OpenRemoteDesktop programu

Výhody 



© ABB October 21, 2016

Slide 34

Vylepšené reportování a zpětná použitelnost SCM baselines a výsledků auditu Jednodušší použití SCM také pro Pracovní stanice

Kontakt

Jiří Lanta Foto

SAS Service Engineer

ABB s.r.o. Průmyslová 137 Trutnov

Telefon: +420 731 552543 E-mail: [email protected]

© ABB October 21, 2016

Slide 35