Jiří Lanta, Klub uživatelů ŘS MicroSCADA, Hotel Omnia Janské Lázně, 19.-20.10.2016
MicroSCADA Pro Release SYS600 9.4 Novinky © ABB October 21, 2016
Slide 1
SYS600 9.4
© ABB October 21, 2016
Slide 2
SYS600 9.4 Zaměřuje se:
Podpora IEC 61850 Ed2 jakožto součást ABB řešení
Kybernetická bezpečnost jednoduše a důkladně
© ABB October 21, 2016
Slide 3
Nástroj pro nastavení Kybernetické bezpečnosti
Centrální management účtů a protokolovaných událostí
Přidány funkce pro upevnění pozice v:
(SA) Automatizaci rozvoden
Multi-distribuce a aplikace pro potrubní vedení
SYS600 9.4 IEC 61850 Edition 2 Plná IEC 61850 konektivita
© ABB October 21, 2016
Slide 4
Podpora obou (Ed1 a Ed2) v jednom systému
Podpora Ed1 PRP a Ed2 PRP (ale ne ve stejné síti)
HSR konektivita přes switch(e) (Red box)
SYS600 9.4 Sequencer
Zvýšení bezpečnosti při komplexnějších operacích Plánování a předkonfigurace operací s předstihem např.
Změny přípojnic
Odlehčení zatížení
Flexibilní spouštění a konfigurace sekvencí
Podmínky „Před/Po“
Manuální/automatické krokování
Aktivace
© ABB October 21, 2016
Slide 5
Manualní, Od události, Časová, NCC, DMS600
SYS600 9.4 Knihovna pro potrubní vedení (Pipeline Library)
Příklady aplikací
Distribuce plynu
Centrální vytápění/chlazení
Zpracování a distribuce vody
Obsah
© ABB October 21, 2016
Slide 6
Symboly, Databáze, Ovládací dialogy
Potrubí
Nádrže
Ventily
Čerpadla
Kompresory
Dmychadla
Atd.
SYS600 9.4 Zabezpečení systému (System Hardening)
Zjednodušení zabezpečení
© ABB October 21, 2016
Slide 8
Nový nástroj: Security Compliance Manager pro jednodušší správu:
Whitelistingu aplikací
Windows uživatelů and skupin
Firewallu
Oprávnění v souborovém systému
Kryptovaná komunikace mezi SYS600 uzly (nody)
Authentikace a kontrola přístupu na OPC a SCIL API rozhraních
OPC
SCIL API
SYS600 9.4
Správa uživatelských účtů, Protokolování událostí (User Account Management,
Event Logging)
Jednodušší správa přístupových oprávnění
Kontrola přístupu na bázi „Role“
Místní nebo centrální správa účtů
© ABB October 21, 2016
Slide 9
“Změna přístupových oprávnění ve všech připojených systémech pomocí jednoho kliknutí myší”
Plná kontrola nad událostmi týkajícíse uživatelské bezpečnosti
Místní protokolování a prohlížení událostí
Centrální protokolování a prohlížení událost pomocí SDM600 nebo řešení 3. strany (SYSLOG)
SDM600
SYS600 9.4 FP1
© ABB October 21, 2016
Slide 11
SYS600 9.4 FP1 Zálohování Nové
vlastnosti
Inženýring a administrace
Činnost systému
Kompatibilita
© ABB October 21, 2016
Slide 12
Do ovládacího panelu přidána funkce systémové zálohy
Jednoduchá cesta k pořízení obrazu disku - i za chodu
Záloha aplikace musí být pořízena separátně
Dostupné od 9.4 HF2
SYS600 9.4 FP1 Optimalizace HOT Stand-by Nové
vlastnosti
Inženýring a administrace
Činnost systému
Kompatibilita
SYS600
Server
SYS600
Server
Další vylepšení činnosti Hot Stand-by
Optimalizace replikace dat na pouze změněná data
Čas potřebný k obnově dat systému po výpadku redukován až o 90%
Čas během kterého je obnovována redundance je čas, kdy systém běží pouze na jednom počítači (zranitelný). Ten je díky vylepšení redukován na minimum. Snížení
© ABB October 21, 2016
Slide 13
zranitelnosti systému
SYS600 9.4 FP1 Optimalizace HOT Stand-by Nové
vlastnosti
Inženýring a administrace
Činnost systému
Kompatibilita
Remote Desktop Protocol (RDP) Relace vzdálené plochy může být automaticky obnovena po „přejetí“ Hot Stand-by
Všechny obrazovky se svou původní velikostí a rozvržením
Kratší © ABB October 21, 2016
Slide 14
čas přerušení pro operátory
SYS600 9.4 FP1 Kompatibilita Nové
Není již podporováno:
vlastnosti
Inženýring a administrace
Činnost systému
Kompatibilita
Vzdálený klasický MicroSCADA monitor pomocí VS Remote (e.g. Exceed)
Z důvodu redukce složitosti technologie a její údržby
Zastaralá technologie
© ABB October 21, 2016
Slide 16
Pochází z přechodu z Unix/X-Window na Microsoft Windows v polovině 90. let
Vzdálený klasický MicroSCADA monitor musí být migrován na techologii Remote Desktop Services SYS600 9.4 FP1 může být použit s běžnou 9.4 licencí
SYS600 9.4 FP2
© ABB October 21, 2016
Slide 17
SYS600 9.4 FP2 Obsahuje
© ABB October 21, 2016
Slide 18
Nové vlastnosti a funkce
Role pracovní stanice
Režim jediného přihlášení
Odpovědnost za oblast (Area of Responsibility)
Anonymní uživatel
Monitor Pro+
IEC 61850 functionalita + certifikát
Virtualizace Serveru
Kybernetická bezpečnost
SYS600 9.4 FP2 Role pracovní stanice (Workstation specific role selection)
Specifikuje která z rolí může být používána na které pracovní stanici Příklady konfigurace:
Operator
Viewer
Z nespecifikovaných pracovních stanic může být použita pouze role „Viewer“ (prohlížeč – bez povelů) „Administrátor“ a „Inženýr“ role může pouze být používána z „Inženýrské pracovní stanice“
Identifikace pracovní stanice na bázi Jména počítače
Vlastnost rožšiřující použitelnost systému, není to funkce spadající do Kybernetické bezpečnosti
Výhody © ABB October 21, 2016
Slide 19
Zavedení politiky týkající se oprávnění
SYS600 9.4 FP2 Režim jediného přihlášení (Single login mode)
Pouze jediné přihlášení daného uživatele ve stejnou dobu
Jakékoliv pokusy o další přihlášení na stejný uživatelský účet jsou zamítnuty
Volitelné pro každého uživatele
Režim jediného přihlášení může být aktivován pouze pro vybrané uživatele
Výhody
© ABB October 21, 2016
Slide 20
Znemožní neautorizované přihlášení k používanému účtu v dané chvíli. Umožňuje zavedení ještě striktnější politiky přihlášení
SYS600 9.4 FP2 Odpovědnost za oblast (Area of Responsibility (AoR))
Proces může být rozdělen na Oblasti
Identifikátorem objektu (OI) např. region, rozvodna, napěťová úroveň, pole, …
Operátor má právo manipulovat v jedé, nebo více Oblastech a pouze práva prohlížení v dalších Oblasti se mohou překrývat
Volba, která musí být povolena
Výhody
© ABB October 21, 2016
Slide 21
Umožní lepší kontrolu nad přístupy a odpovědnostmi operátorů
SYS600 9.4 FP2 Odpovědnost za oblast (Area of Responsibility (AoR))
© ABB October 21, 2016
Slide 22
Oblast je pojmenována Oblast je definována listem objektů, kde objektem může být jakákoliv úroveň Identifikátoru objektu (OI) ať už region, rozvodna, napěťová úroveň, pole, zařízení
SYS600 9.4 FP2 Odpovědnost za oblast (Area of Responsibility (AoR)) Exklusivní přístupové právo (EAR)
© ABB October 21, 2016
Slide 23
Pouze jeden operátor může manipulovat v Oblasti v daný čas Až pokud se daný operátor odhlásí, oprávnění manipulace je automaticky předáno dalšímu operátorovi dle přidělené priority Oblasti se v tomto případě nemohou překrývat Automaticky je aktivován Režim jediného přihlášení
SYS600 9.4 FP2 Odpovědnost za oblast (Area of Responsibility (AoR)) Exklusivní přístupové právo (EAR) Operátor Operátor - Mistr
Role Operátorů
(Primární/Sekundární)
Přidělení
Operátor - Mistr
Primární Operátor
Sekundární Operátor
Přidělení nebo Převzetí
Primární Operátor
Sekundární Operátor Žádost o Předání/Převzetí
Operátor-Mistr/Prim/Sek Přijetí
Slide 24
Může direktivně „přidělit“ Sekundárnímu nebo direktivně „převzít“ od Sekundárního Může „žádat“ o kontrolu Oblasti jiného Primárního Operátora, nebo „žádat“ o předání své oblasti jinému Primárnímu Operátorovi
Sekundární Operátor
© ABB October 21, 2016
Může „přidělit“ Oblast kterémukoliv z příslušných Operátorů, včetně sebe
Může „žádat“ o kontrolu Oblasti jiného Operátora, nebo „žádat“ o předání kontroly své oblasti
SYS600 9.4 FP2 Anonymní uživatel (Anonymous user)
?
- Auto-login - View only (typically)
Řežim, který může být zapnut je-li třeba Po otevření Monitor Pro je Anonymní uživatel automaticky přihlášen Jakýkoliv operátor se může přihlásit. Jakmile se odhlásí, Monitor Pro se nezavře ale vrátí se do relace Anonymního uživatele
Pozor!
© ABB October 21, 2016
Slide 25
Z pohledu kybernetické bezpečnosti není doporučeno používat Anonymního uživatele z důvodu automatického přihlášení Pokud je použito, je silně doporučena limitace práv a rolí na pouze nezbytně nutný počet pracovních stanic.
SYS600 9.4 FP2 Monitor Pro+
Nový „prohlížeč“ pro grafické rozhraní. Krok směrem k příští generaci pracovní plochy přicházející v další verzi Pro editaci a tvorbu obrázků se používá stejný Display Builder jako předtím Obrázky jsou automaticky konvertovány do nového formátu
XML/HTML5
Výhody
Plynulejší a rychlejší zooming a panning
Standardní technologie s budoucností
© ABB October 21, 2016
Slide 26
Menší riziko ztráty podpory
Evoluční vývoj technologie
SYS600 9.4 FP2 Monitor Pro+ Politika pro použití Monitor Pro nebo Monitor Pro+
Dodávka nového SYS600 systému 1.
Upgrade existujícího systému na 9.4 FP2 1. 2.
© ABB October 21, 2016
Slide 27
Použití Monitor Pro+
Použití Monitor Pro Migrace na Monitor Pro+ pokud je třeba využít funkcionalit a charakteristik Monitor Pro+
SYS600 9.4 FP2 IEC 61850 Trasování služeb (Service Tracking)
NCC
SYS600 je informován o povelech odeslaných jinými IEC 61850 klienty
Informace o povelech přijde do SYS600 přímo z IEDs Funguje na bázi IEC 61850 Control Service Tracking (CTS)
NCC
V listu událostí se vedle změny indikace stavu objeví navíc i informace o povelu
Nezávislé na dodavateli IEC 61850 klienta a NCC protokolu
Přínos
© ABB October 21, 2016
Slide 28
Komplexnější informovanost operátora o dění v systému
SYS600 9.4 FP2 IEC 61850 Substitution
SYS600 může zapsat náhradní (substituted) hodnotu do IED Podporované objekty (zařízení):
Pole, Vypínač, Odpojovač, Zemnič, Přepínač odboček, Měření
Substituted quality bit je přeposílán na NCC přes SYS600 gateway
NCC protokoly: IEC 101/104, DNP
NCC Přínos
© ABB October 21, 2016
Slide 29
Nahrazení (vnucení) stavu/hodnoty např. kvůli vadnému senzoru nebo vstupní/výstupní kartě Jednoduchá cesta na základní test systému
SYS600 9.4 FP2 IEC 61850 Režim Test (Test Mode)
Ovládací dialog spínacího prvku v SYS600 indikuje, jestli IED není v režimu „Test“
Umožní odeslat požadavek na povel s příznakem „Test“
Přínosy
© ABB October 21, 2016
Slide 30
Jasná informace pro operátora o stavu systému
Možnost provedení testovacího povelu pomocí standardního ovládacího dialogu
SYS600 9.4 FP2 IEC 61850 Kapacita
© ABB October 21, 2016
Slide 31
Změna v dopuručených maximech na jeden počítač se SYS600
Max. počet jednotek IED: 400
Max. počet IEC 61850 klientů: 8
SYS600 9.4 FP2 IEC 61850 Certificate
© ABB October 21, 2016
Slide 32
IEC 61850 Edition 2 Klient
Vystaven pro SYS600 9.4
Plně aplikovatelný na SYS600 9.4 FP2 ->
SYS600 9.4 FP2 Server Virtualization
Podporované platformy:
WMWare vSphere
(Microsoft Hyper-V)
Přínosy virtualizace
Lepší použitelnost
© ABB October 21, 2016
Slide 33
Menší závislost na konkrétním HW
Snížení nákladů
Standardizovaný a menší množství HW
Lepší využiti HW zdrojů
Jednodušší administrativa
SYS600 9.4 FP2 Security Compliance Manager (SCM)
Nové výstupy
Baseline (doporučená nastavení) Audit (rozdíl mezi doporučeným a aktuálním nastavením)
Aktualizece Baseline pracovní stanice
Rozpoznání OpenRemoteDesktop programu
Výhody
© ABB October 21, 2016
Slide 34
Vylepšené reportování a zpětná použitelnost SCM baselines a výsledků auditu Jednodušší použití SCM také pro Pracovní stanice
Kontakt
Jiří Lanta Foto
SAS Service Engineer
ABB s.r.o. Průmyslová 137 Trutnov
Telefon: +420 731 552543 E-mail:
[email protected]
© ABB October 21, 2016
Slide 35