Wpisz czego szukasz
i kliknij enter

Radiflow

Projekt: Modernizacja Stacji Energetycznej

Szczegóły projektu

Wyzwania projektowe

Jednym z wyzwań projektu było unowocześnienie infrastruktury technicznej mające zapewnić cyberbezpieczeństwo w zakresie łączności danych w torze kanału inżynierskiego oraz telemechaniki, a także zapewnienie identyfikacji, uwierzytelniania i autoryzacji dla obsługi zdalnej oraz lokalnej. Dodatkowo zaproponowane rozwiązania miały mieć możliwość zastosowania w systemach monitorowania obiektu w trybie ciągłym.

Rozwiązania i produkty

W projekcie modernizacji Stacji Energetycznej w celu zapewnienia łączności danych wykorzystano urządzenia transmisyjne firmy Radiflow. Rozwiązania te przygotowywane są ze szczególnym uwzględnieniem wymagającego środowiska, w jakim będą funkcjonować. Niezwykle ważeni jest, że samo urządzenie jak i zbudowana w oparciu o nie sieć transmisji danych są wysoce niezawodne. Dzięki temu mimo narażenia na trudne warunki pracy, w szczególności wysokie poziomy zakłóceń elektromagnetycznych, rozwiązania gwarantują wieloletnie funkcjonowanie bez wymian czy napraw urządzeń. 

Istotna z technicznego punktu widzenia jest łatwość konfiguracji oraz wsparcie techniczne dla użytkownika końcowego. Jedną z istotnych przyczyn wyboru rozwiązania Radiflow jest wysoki poziom bezpieczeństwa oraz szereg funkcjonalności między innymi:

  • Firewall – filtrowanie ruchu sieciowego zarówno w trybie routingu jak i w trybie transparentnym,
  • Firewall SCADA – głęboka analiza pakietów (DPI) dla przemysłowych protokołów stosowanych w energetyce tj. DNP3, IEC 104, Modbus,
  • Brama uwierzytelniająca dostęp do urządzeń za firewallem (Application Proxy Access),
  • Tworzenie tuneli VPN (IPSec, GRE),
  • Translacja adresów NAT,
  • Obsługa routingu statycznego i dynamicznego (OSPF),
  • Serwer terminali szeregowych,
  • Konwersja protokołów szeregowych na TCP,
  • Zapasowe łącze przez GSM (opcja),
  • Logowanie zdarzeń i przesyłanie syslog do serwera logów lub SIEM,
  • Sonda systemu Radiflow iSID służącego do ciągłego monitorowania i wykrywania cyber zagrożeń.

Dzięki zastosowaniu tych funkcjonalności użytkownik systemu ma gwarancję, że w zakresie napotkanych ograniczeń budżetowych oraz funkcjonalnych aktualnej infrastruktury otrzymuje możliwe najlepsze rozwiązania umożliwiające zabezpieczenie komunikacji. Cyberbezpieczeństwo obiektów energetycznych jest kluczowym wymogiem, ponieważ nieautoryzowany dostęp do urządzeń znajdujących się w obiekcie mógłby skutkować awarią na szerszą skalę. 

W projekcie wykorzystano również przełączniki sieciowe Westermo, które zapewniają redundantną łączność z sąsiednimi podstacjami oraz z centrum operacyjnym. W tym celu wykorzystano topologię pierścienia (ring) oraz protokół FRNT zapewniający przełączenie się sieci w czasie ok 20ms. Urządzenia Radiflow RF3180 zainstalowano w obiekcie pomiędzy przełącznikami Westermo a określonymi modułami RTU lub sterownikami. W zależności od miejsca instalacji firewall-e te filtrują komunikację w protokole DNP3 wykorzystując głęboką analizę pakietów do przepuszczania lub blokowania określonych w regułach komend (kodów funkcji). Zabezpieczają też kanał inżynierski poprzez tworzenie kanału VPN oraz dodanie dodatkowej warstwy uwierzytelniania (funkcja Application Proxy Access), co ma szczególne znaczenie przy dostępie do starszych sterowników, które takiej funkcjonalności nie posiadają. Dla wybranych portów w urządzeniu RF3180 włączono tryb sondy, co powoduje, że ruch sieciowy z tych portów jest kopiowany, kompresowany i za pomocą kanału GRE osobnym łączem przesyłany do systemu Radiflow iSID służącego do ciągłego monitorowania i wykrywania zagrożeń w sieci (system klasy IDS).

Korzyści

Wartości dla operatora
  • Wieloletnia praca urządzeń i niski koszt inwestycji w perspektywie czasu
  • Niskie koszty utrzymania i obsługi dzięki min. 3-letniej gwarancji, dostępnym darmowym aktualizacjom i oprogramowaniu do konfiguracji sieci
  • Przemysłowa konstrukcja i odporność na warunki środowiskowe
  • Mechanizmy zapewniające cyberbezpieczeństwo i niezawodność transmisji danych
  • Możliwość wykorzystania urządzenia jako sondy dla systemów ciągłego monitorowania
Wartości dla projektanta i instalatora
  • Wysoka jakość urządzeń i gwarancja właściwej pracy
  • Funkcjonalności bezpieczeństwa (L2, L3, Routing, FW, DPI FW, APA, VPN, funkcjonalność sondy)
  • Zgodność ze standardami i certyfikacjami przemysłowymi (w tym dla środowisk energetycznych)
  • Kompaktowa budowa i możliwość montażu w szafie lub na szynie DIN
  • Łatwość i szybkość wdrożenia

Zdaniem specjalisty

Ciągłość dostaw energii elektrycznej jest krytyczna dla funkcjonowania Państwa i gospodarki. Na poziomie zapewnienia pewnej transmisji danych sterujących obiektami ciągłość działania została zapewniona dzięki redundancji urządzeń i połączeń sieciowych oraz poprzez zapewnienie odpowiedniego poziomu cyberbezpieczeństwa. Zastosowano filtrowanie ruchu sieciowego w oparciu o reguły tworzące tzw. białą listę czyli dokładnie określono jakie komendy protokołu DNP3 są dozwolone i pomiędzy jakimi urządzeniami. Komunikacja jawnie nie dozwolona w regułach firewall-a DPI jest blokowana. Podejście to jest zgodne z rekomendacjami zapisanymi w normie IEC 62443 w zakresie tworzenia stref (zones) i definiowania kanałów (conduits) pomiędzy nimi. W urządzeniach RF3180 skorzystano również z funkcjonalności sondy systemu IDS co powoduje, że określony ruch sieciowy jest przesyłany do analizy w systemie ciągłego monitorowania. Ta ostatnia funkcjonalność poza tym, że zapewnia pełną widzialność sieci to jest wymagana przez ustawę o Krajowym Systemie Cyberbezpieczeństwa.

Stefan Bednarczyk
Kierownik Działu Technicznego i Specjalista ds. Cyberbezpieczeństwa

Pozostałe case studies

Energetyka
Energetyka wiatrowa

Projekt: Utworzenie systemu nadzoru nad nowo powstałą elektrownią wiatrową.

Kolej, Transport
NEWAG S.A

Projekt: Dostawa dwudziestu jeden elektrycznych zespołów trakcyjnych wraz z siedmioletnim okresem utrzymania dla SKM Warszawa.

Ta strona używa plików Cookie. Korzystając ze strony wyrażasz zgodę na używanie Cookie, zgodnie z aktualnymi ustawieniami używanej przeglądarki. Szczegóły znajdziesz w Polityce prywatności.