-
08/10/2013
-
400
-
985 bài viết
Bảo đảm an toàn cho hệ thống SCADA điện lực
Bài viết này đề cập đến vấn đề an toàn vận hành cho hệ thống SCADA điện hạ thế. Phần đầu sẽ giải thích thế nào là hệ thống SCADA và ứng dụng. Phần tiếp theo sẽ trình bày về một hệ thống SCADA thực tế đang sử dụng để thu thập và điều khiển các tủ điện hạ thế. Dựa trên hệ thống này, bài viết trình bày các bước đánh giá lỗ hổng bảo mật và giải pháp làm giảm nguy cơ có thể xảy ra.
1. Hệ thống SCADA là gì?
SCADA (viết tắt tiếng Anh: Supervisory Control And Data Acquisition) hiểu theo nghĩa truyền thống là một hệ thống điều khiển giám sát và thu thập dữ liệu. Nhằm hỗ trợ con người trong quá trình giám sát và điều khiển từ xa (Wikipedia)
2. Những thành phần của hệ thống SCADA và chức năng
• Trạm điều khiển giám sát trung tâm: là một hay nhiều máy chủ trung tâm (central host computer server).
• Trạm thu thập dữ liệu trung gian: Là các khối thiết bị vào ra đầu cuối từ xa RTU (Remote Terminal Units) hoặc là các khối điều khiển logic khả trình PLC (Programmable Logic Controllers) có chức năng giao tiếp với các thiết bị chấp hành (cảm biến cấp trường, các hộp điều khiển đóng cắt và các van chấp hành…).
• Hệ thống truyền thông: bao gồm các mạng truyền thông công nghiệp, các thiết bị viễn thông và các thiết bị chuyển đổi dồn kênh có chức năng truyền dữ liệu cấp trường đến các khối điều khiển và máy chủ
• Giao diện người - máy HMI (Human - Machine Interface): Là các thiết bị hiển thị quá trình xử lý dữ liệu để người vận hành điều khiển các quá trình hoạt động của hệ thống. (Nguồn: Wikipedia)
Hệ thống SCADA được sử dụng để giám sát, điều khiển từ xa. Dữ liệu từ các cảm biến được thu thập về và hiển thị trên màn hình máy chủ SCADA. Người vận hành có thể biết được trạng thái hoạt động tức thời của hệ thống và can thiệp khi có sự cố.
Nếu không có hệ thống này, mọi thao tác thu thập dữ liệu, điều khiển phải ra tận hiện trường, ghi nhật ký và về tổng hợp. Và cũng không thể điều khiển từ xa được.
Hệ thống SCADA được sử dụng trong lĩnh vực quản lý truyền tải điện, quản lý hệ thống phân phối nước sạch, các hệ thống dẫn dầu và gas, hệ thống điện gió.
4. Ứng dụng của SCADA trong lĩnh vực phân phối điện
Một trong những bài toán điển hình trong lĩnh vực quản lý phân phối điện hạ thế đó là hiện nay có rất nhiều các tủ điện hạ thế lắp đặt ở nhiều nơi trong quận/huyện. Các tủ điện lắp đặt rải rác (50-100 tủ) trong một khu vực có bán kính tầm 3-5km. Trong mỗi tủ điện có các bộ đo điện (Power Meter – PM) để đo các thông số tải. Cần giám sát tập trung các thông số trên các bộ đo điện này ở trung tâm điều độ, và có thể ra lệnh đóng/cắt điện từ xa.
Môi trường kết nối thông thường là 3G/4G vì các tủ điện có thể nằm ở những vị trí bất kỳ, chi phí đi cáp thông tin kết nối đến tủ thường rất tốn kém.
Hệ thống SCADA Server có nhiệm vụ quan trọng là quản lý các kết nối từ các tủ điện. Số lượng kết nối có thể từ vài chục đến hàng trăm kết nối, tùy vào số lượng tủ đang quản lý. Server còn lưu trữ thông số điện năng, phân tích dữ liệu để đưa ra dự báo, vẽ biểu đồ, cảnh báo bằng tin nhắn đến cho người vận hành.
Máy trạm của người vận hành kết nối với SCADA Servers, hiển thị các thông số điện tức thời tại các tủ điện, xem biểu đồ hoạt động, các sự cố có cảnh báo. Máy trạm có thể ra lệnh điều khiển đóng/cắt điện.
5. Đánh giá lỗ hổng hệ thống SCADA
5.1 Xác định những gì cần bảo vệ (tài sản)
Dưới đây liệt kê tài sản và thang điểm cho mỗi tài sản trong hệ thống SCADA. Thang điểm tối đa là 5 tương ứng với tài sản có giá trị cao nhất.
5.2 Đánh giá các nguy cơ đối với các tài sản.
Sau khi đã xác định các tài sản, cần chỉ ra những nguy cơ mất an toàn nào có thể xảy ra với từng loại tài sản. Các nguy cơ có thể được phân loại như ở bảng dưới:
Một số hình ảnh liên quan đến sự mất an toàn của hệ thống tủ điện hạ thế
5.3 Đánh giá các điểm yếu hiện có trên hệ thống
Sau khi đã chỉ ra những nguy cơ có thể xảy ra đối với tài sản, một câu hỏi tự nhiên đó là: hệ thống hiện tại đang có những điểm yếu gì?
• Phần tủ điện: Thiết bị Gateway đặt trong các tủ điện. Các tủ điện thường có một số điểm yếu: vị trí đặt có thể thấp nên dễ bị ngập nước; khả năng chống nóng cho các thiết bị bên trong kém; phần khóa rất đơn giản, thậm chí có nhiều tủ không có khóa dẫn đến bị kẻ gian phá khóa mở tủ và đánh cắp các thiết bị bên trong. Hoặc nếu kẻ gian mở tủ và kết nối với thiết bị, có thể thực hiện sửa/xóa dữ liệu được lưu trong bộ nhớ.
• Dữ liệu truyền trên Internet: Dữ liệu được truyền giữa Gateway và SCADA Server đi qua mạng Internet nên vấn đề lo ngại nhất là thông tin bị kẻ gian chặn bắt sau đó được sửa đổi hoặc bị làm giả. Vì vậy điểm yếu là dữ liệu được truyền trên Internet.
• Máy chủ SCADA: Máy chủ SCADA thường được đặt trong khu vực an toàn nên vấn đề an ninh vật lý chưa phải đáng lo ngại nhất. Vấn đề ở đây là cần bảo vệ máy chủ trên môi trường Internet không an toàn. Phần mềm SCADA nếu có lỗ hổng, kẻ gian có thể sử dụng nhiều kỹ thuật khác nhau để tiếp cận và tấn công máy chủ, từ đó thay đổi dữ liệu hoặc tấn công DDoS làm tê liệt máy chủ. Vì vậy điểm yếu ở đây là môi trường máy chủ hoạt động trên mạng Internet.
• Máy trạm vận hành: Máy trạm vận hành thường đặt ở môi trường mạng nội bộ. Tuy nhiên vì máy trạm có thể ra lệnh điều khiển đóng cắt điện nên là làm sao để việc điều khiển này diễn ra chính xác. Nếu việc đóng cắt điện này chỉ do một cá nhân thực hiện mà không có kiểm soát thì sai sót chắc chắn sẽ xảy ra. Vì vậy điểm yếu ở đây là thực hiện quy trình đóng cắt điện trên máy trạm.
5.4 Xác định những thiệt hại có thể gây ra
Sau khi xác định được những điểm yếu hiện tại trên hệ thống, giờ là lúc cần xem xét thiệt hại gì có thể xảy ra khi các điểm yếu nêu trên bị khai thác theo một kịch bản nào đó (rủi ro); sau đó tính toán mức độ thiệt hại do rủi ro đó gây nên.
Bài viết này sử dụng phương pháp tính toán xác định rủi ro định tính, đánh giá 3 mức độ (Cao, trung bình, thấp) đối với từng rủi ro. Phương pháp định lượng thường được sử dụng khi đã có thông tin về những sự cố đã từng xảy ra.
6. Những vụ tấn công vào hệ thống SCADA
Qua hình ảnh trên có thể thấy trong suốt từ năm 2000 đến năm 2016 đều xảy ra những vụ việc mất an toàn đối với các hệ thống điều khiển năng lượng. Từ năm 2015 đến nay 2019 các vụ tấn công vào hệ thống điện thường đi liền với sự bất ổn chính trị. Năm 2015 là vụ tấn công vào công ty điện lực Ukraina khi căng thẳng chính trị leo thang giữa Nga và Ukraina. Cũng trong năm 2015, xảy ra một loạt vụ tấn công vào nhà máy điện hạt nhân của Hàn Quốc và phía Hàn Quốc cho rằng nguyên nhân do Triều Tiên thực hiện. Ví dụ gần đây nhất là tấn công vào hệ thống điện lực Venezuela gây mất điện, khiến cuộc sống của người dân đảo lộn hoàn toàn, tạo áp lực rất lớn lên chính phủ của Tổng thống Nicolás Maduro.
7. Lên giải pháp bảo vệ cho hệ thống SCADA
Trở lại với hệ thống SCADA hạ thế cần bảo vệ, sau khi đã xác định được mức độ thiệt hại (định tính) khi gặp các rủi ro, giờ là lúc cần lên các phương án bảo vệ.
Có 5 nguyên tắc cần lưu ý trong việc bảo vệ cho một hệ thống thông tin đó là:
- Nguyên tắc bảo vệ nhiều lớp (chiều sâu): cần xây dựng nhiều lớp bảo vệ cho tài sản. Ví dụ: cần nhiều lớp khóa; phòng vận hành chỉ cho một số người vào
- Nguyên tắc giới hạn truy cập: cấp phép cho ai, được làm những gì, trên tài nguyên nào. Ví dụ lọc địa chỉ IP.
- Nguyên tắc đa dạng: không dùng cùng một cách thức bảo vệ cho nhiều lớp khác nhau; cần dùng nhiều cách thức bảo vệ khác nhau cho mỗi lớp bảo vệ.
- Nguyên tắc gây khó hiểu: cần thực hiện che dấu các thông tin khiến những kẻ gian không thể dò la hoặc đoán được cách thức hoạt động. Ví dụ: mã hóa thông tin.
- Nguyên tắc đơn giản: đối với người sử dụng, người quản trị hệ thống thì cần có sự đơn giản khi sử dụng. Nếu quá phức tạp thì hệ thống sẽ mất tính sẵn sàng (Availability), đồng nghĩa với việc mất tính bảo mật.
[email protected]
Nguồn tham khảo
Wikipedia SCADA
Comptia Security+
Website cty VINSYS VIỆT NAM- vinsys.vn
ABB security slides
1. Hệ thống SCADA là gì?
SCADA (viết tắt tiếng Anh: Supervisory Control And Data Acquisition) hiểu theo nghĩa truyền thống là một hệ thống điều khiển giám sát và thu thập dữ liệu. Nhằm hỗ trợ con người trong quá trình giám sát và điều khiển từ xa (Wikipedia)
2. Những thành phần của hệ thống SCADA và chức năng
• Trạm điều khiển giám sát trung tâm: là một hay nhiều máy chủ trung tâm (central host computer server).
• Trạm thu thập dữ liệu trung gian: Là các khối thiết bị vào ra đầu cuối từ xa RTU (Remote Terminal Units) hoặc là các khối điều khiển logic khả trình PLC (Programmable Logic Controllers) có chức năng giao tiếp với các thiết bị chấp hành (cảm biến cấp trường, các hộp điều khiển đóng cắt và các van chấp hành…).
• Hệ thống truyền thông: bao gồm các mạng truyền thông công nghiệp, các thiết bị viễn thông và các thiết bị chuyển đổi dồn kênh có chức năng truyền dữ liệu cấp trường đến các khối điều khiển và máy chủ
• Giao diện người - máy HMI (Human - Machine Interface): Là các thiết bị hiển thị quá trình xử lý dữ liệu để người vận hành điều khiển các quá trình hoạt động của hệ thống. (Nguồn: Wikipedia)
Hình 1. Mô hình hệ thống SCADA dưới góc nhìn thiết bị. Nguồn. Wikipedia
Hình 2. Mô hình SCADA dưới khung nhìn chức năng. Nguồn Wikipedia
3. Các lĩnh vực công nghiệp sử dụng SCADAHệ thống SCADA được sử dụng để giám sát, điều khiển từ xa. Dữ liệu từ các cảm biến được thu thập về và hiển thị trên màn hình máy chủ SCADA. Người vận hành có thể biết được trạng thái hoạt động tức thời của hệ thống và can thiệp khi có sự cố.
Nếu không có hệ thống này, mọi thao tác thu thập dữ liệu, điều khiển phải ra tận hiện trường, ghi nhật ký và về tổng hợp. Và cũng không thể điều khiển từ xa được.
Hệ thống SCADA được sử dụng trong lĩnh vực quản lý truyền tải điện, quản lý hệ thống phân phối nước sạch, các hệ thống dẫn dầu và gas, hệ thống điện gió.
4. Ứng dụng của SCADA trong lĩnh vực phân phối điện
Một trong những bài toán điển hình trong lĩnh vực quản lý phân phối điện hạ thế đó là hiện nay có rất nhiều các tủ điện hạ thế lắp đặt ở nhiều nơi trong quận/huyện. Các tủ điện lắp đặt rải rác (50-100 tủ) trong một khu vực có bán kính tầm 3-5km. Trong mỗi tủ điện có các bộ đo điện (Power Meter – PM) để đo các thông số tải. Cần giám sát tập trung các thông số trên các bộ đo điện này ở trung tâm điều độ, và có thể ra lệnh đóng/cắt điện từ xa.
Hình 3. Bên trong tủ điện hạ thế. Nguồn ảnh: Internet
Các tủ điện hạ thế nằm ở các vị trí khác nhau trong một khu vực, và thường được đấu nối thành mạch vòng. Tổng quan sơ đồ hệ thống SCADA quản lý các tủ điện hạ thế thông qua mạng Internet.
Hình 4. Tổng quan hệ thống SCADA tủ điện hạ thế
Trong hình trên, thông số điện năng bao gồm U, I, Cosphi được đọc từ các đồng hồ đo điện bởi thiết bị Gateway. Thông số trạng thái có điện/mất điện được đọc trên cổng I/O của chính thiết bị Gateway. Thiết Gateway đóng vai trò như một thiết bị PLC, có thể lập trình theo chuẩn giao thức Modbus để thu thập các thông số điện. Sau đó, Gateway thực hiện 2 việc đó là: (1) lưu trữ tại bộ nhớ của thiết bị và (2) truyền các thông số này lên hệ thống SCADA Server thông qua mạng Internet. Ngược lại, Gateway có thể nhận lệnh điều khiển từ người vận hành để thực hiện đóng/cắt điện bằng cách thay đổi trạng thái của cổng I/O trên nó, từ đó kích hoạt thiết bị đóng/cắt điện thực hiện việc đóng/cắt điện. Đây là thao tác cần hết sức thận trọng bởi vì liên quan trực tiếp đến sự an toàn của con người, ví dụ khi trên lưới đang có công nhân thao tác mà lại đóng điện, thì hậu quả khôn lường.Môi trường kết nối thông thường là 3G/4G vì các tủ điện có thể nằm ở những vị trí bất kỳ, chi phí đi cáp thông tin kết nối đến tủ thường rất tốn kém.
Hệ thống SCADA Server có nhiệm vụ quan trọng là quản lý các kết nối từ các tủ điện. Số lượng kết nối có thể từ vài chục đến hàng trăm kết nối, tùy vào số lượng tủ đang quản lý. Server còn lưu trữ thông số điện năng, phân tích dữ liệu để đưa ra dự báo, vẽ biểu đồ, cảnh báo bằng tin nhắn đến cho người vận hành.
Máy trạm của người vận hành kết nối với SCADA Servers, hiển thị các thông số điện tức thời tại các tủ điện, xem biểu đồ hoạt động, các sự cố có cảnh báo. Máy trạm có thể ra lệnh điều khiển đóng/cắt điện.
5. Đánh giá lỗ hổng hệ thống SCADA
5.1 Xác định những gì cần bảo vệ (tài sản)
Dưới đây liệt kê tài sản và thang điểm cho mỗi tài sản trong hệ thống SCADA. Thang điểm tối đa là 5 tương ứng với tài sản có giá trị cao nhất.
5.2 Đánh giá các nguy cơ đối với các tài sản.
Sau khi đã xác định các tài sản, cần chỉ ra những nguy cơ mất an toàn nào có thể xảy ra với từng loại tài sản. Các nguy cơ có thể được phân loại như ở bảng dưới:
Một số hình ảnh liên quan đến sự mất an toàn của hệ thống tủ điện hạ thế
Hình 5. Khóa trên các tủ điện hỏng dẫn đến mất an toàn vật lý
Một cách xác định các nguy cơ cụ thể và chi tiết đó là sử dụng cây tấn công (attack tree). Cây tấn công có nút gốc thể hiện mục tiêu vụ tấn công; mức 2 thể hiện những cách thức tấn công có thể xảy ra, mức 3 thể hiện chi tiết hơn của mức 2 v.v. Nhờ cây tấn công ta có thể vẽ nên một bức tranh chi tiết về các nguy cơ có thể xảy ra với các tài sản cũng như cách thức bị tấn công.Hình 6. Một số cây tấn công
5.3 Đánh giá các điểm yếu hiện có trên hệ thống
Sau khi đã chỉ ra những nguy cơ có thể xảy ra đối với tài sản, một câu hỏi tự nhiên đó là: hệ thống hiện tại đang có những điểm yếu gì?
• Phần tủ điện: Thiết bị Gateway đặt trong các tủ điện. Các tủ điện thường có một số điểm yếu: vị trí đặt có thể thấp nên dễ bị ngập nước; khả năng chống nóng cho các thiết bị bên trong kém; phần khóa rất đơn giản, thậm chí có nhiều tủ không có khóa dẫn đến bị kẻ gian phá khóa mở tủ và đánh cắp các thiết bị bên trong. Hoặc nếu kẻ gian mở tủ và kết nối với thiết bị, có thể thực hiện sửa/xóa dữ liệu được lưu trong bộ nhớ.
• Dữ liệu truyền trên Internet: Dữ liệu được truyền giữa Gateway và SCADA Server đi qua mạng Internet nên vấn đề lo ngại nhất là thông tin bị kẻ gian chặn bắt sau đó được sửa đổi hoặc bị làm giả. Vì vậy điểm yếu là dữ liệu được truyền trên Internet.
• Máy chủ SCADA: Máy chủ SCADA thường được đặt trong khu vực an toàn nên vấn đề an ninh vật lý chưa phải đáng lo ngại nhất. Vấn đề ở đây là cần bảo vệ máy chủ trên môi trường Internet không an toàn. Phần mềm SCADA nếu có lỗ hổng, kẻ gian có thể sử dụng nhiều kỹ thuật khác nhau để tiếp cận và tấn công máy chủ, từ đó thay đổi dữ liệu hoặc tấn công DDoS làm tê liệt máy chủ. Vì vậy điểm yếu ở đây là môi trường máy chủ hoạt động trên mạng Internet.
• Máy trạm vận hành: Máy trạm vận hành thường đặt ở môi trường mạng nội bộ. Tuy nhiên vì máy trạm có thể ra lệnh điều khiển đóng cắt điện nên là làm sao để việc điều khiển này diễn ra chính xác. Nếu việc đóng cắt điện này chỉ do một cá nhân thực hiện mà không có kiểm soát thì sai sót chắc chắn sẽ xảy ra. Vì vậy điểm yếu ở đây là thực hiện quy trình đóng cắt điện trên máy trạm.
5.4 Xác định những thiệt hại có thể gây ra
Sau khi xác định được những điểm yếu hiện tại trên hệ thống, giờ là lúc cần xem xét thiệt hại gì có thể xảy ra khi các điểm yếu nêu trên bị khai thác theo một kịch bản nào đó (rủi ro); sau đó tính toán mức độ thiệt hại do rủi ro đó gây nên.
Bài viết này sử dụng phương pháp tính toán xác định rủi ro định tính, đánh giá 3 mức độ (Cao, trung bình, thấp) đối với từng rủi ro. Phương pháp định lượng thường được sử dụng khi đã có thông tin về những sự cố đã từng xảy ra.
6. Những vụ tấn công vào hệ thống SCADA
Hình 7. Những vụ tấn công vào hệ thống SCADA. Nguồn ABB
Qua hình ảnh trên có thể thấy trong suốt từ năm 2000 đến năm 2016 đều xảy ra những vụ việc mất an toàn đối với các hệ thống điều khiển năng lượng. Từ năm 2015 đến nay 2019 các vụ tấn công vào hệ thống điện thường đi liền với sự bất ổn chính trị. Năm 2015 là vụ tấn công vào công ty điện lực Ukraina khi căng thẳng chính trị leo thang giữa Nga và Ukraina. Cũng trong năm 2015, xảy ra một loạt vụ tấn công vào nhà máy điện hạt nhân của Hàn Quốc và phía Hàn Quốc cho rằng nguyên nhân do Triều Tiên thực hiện. Ví dụ gần đây nhất là tấn công vào hệ thống điện lực Venezuela gây mất điện, khiến cuộc sống của người dân đảo lộn hoàn toàn, tạo áp lực rất lớn lên chính phủ của Tổng thống Nicolás Maduro.
7. Lên giải pháp bảo vệ cho hệ thống SCADA
Trở lại với hệ thống SCADA hạ thế cần bảo vệ, sau khi đã xác định được mức độ thiệt hại (định tính) khi gặp các rủi ro, giờ là lúc cần lên các phương án bảo vệ.
Có 5 nguyên tắc cần lưu ý trong việc bảo vệ cho một hệ thống thông tin đó là:
- Nguyên tắc bảo vệ nhiều lớp (chiều sâu): cần xây dựng nhiều lớp bảo vệ cho tài sản. Ví dụ: cần nhiều lớp khóa; phòng vận hành chỉ cho một số người vào
- Nguyên tắc giới hạn truy cập: cấp phép cho ai, được làm những gì, trên tài nguyên nào. Ví dụ lọc địa chỉ IP.
- Nguyên tắc đa dạng: không dùng cùng một cách thức bảo vệ cho nhiều lớp khác nhau; cần dùng nhiều cách thức bảo vệ khác nhau cho mỗi lớp bảo vệ.
- Nguyên tắc gây khó hiểu: cần thực hiện che dấu các thông tin khiến những kẻ gian không thể dò la hoặc đoán được cách thức hoạt động. Ví dụ: mã hóa thông tin.
- Nguyên tắc đơn giản: đối với người sử dụng, người quản trị hệ thống thì cần có sự đơn giản khi sử dụng. Nếu quá phức tạp thì hệ thống sẽ mất tính sẵn sàng (Availability), đồng nghĩa với việc mất tính bảo mật.
[email protected]
Nguồn tham khảo
Wikipedia SCADA
Comptia Security+
Website cty VINSYS VIỆT NAM- vinsys.vn
ABB security slides
Chỉnh sửa lần cuối: