Онлайн-консультант
Страна: Россия
Почтовый индекс: 607224
Область: Нижегородская
Город: Арзамас
Улица: 50 лет ВЛКСМ
Дом: 8-А
Тел.: (83147) 7-98-00, 7-98-01, 7-98-02, 7-98-03
Факс: (83147) 7-22-41
Отдел маркетинга и сбыта:
Техническая поддержка:
Internet: www.gaselectro.ru


Защита от несанкционированного вмешательства в работу узлов учета газа, выполненных с применением корректоров объема газа серии ЕК и ТС

Опубликовано: 04.09.2014
Ретузин Павел Андреевич
Ретузин Павел Андреевич,
Инженер - электроник
Кошкин  Алексей Иванович
Кошкин Алексей Иванович,
Начальник конструкторско технологического отдела
Мурашов Виктор Артурович
Мурашов Виктор Артурович,
Начальник отдела информационных технологий

Важной задачей при создании приборов учета различных сред является обеспечение защиты информации. Необходимость защиты данных обусловлена возникновением определенных рисков, которые, в основном, связаны с потерей или искажением информации, которая накапливается, передается или обрабатывается. Особое значение защита информации приобретает в том случае, когда речь идет о возможных финансовых потерях.

Обычно термин защита информации применяется к компьютерам и компьютерным сетям. При этом мероприятия, направленные на обеспечение безопасности данных, должны выполнять следующие функции: защищать от сбоев в системе, обеспечивать конфиденциальность и авторизованный доступ к информации.

Эти же принципы справедливы и для электронных приборов учета газа — электронные корректоры объема газа. Так как искажение, неполучение или отсутствие данных напрямую ведет к денежным потерям, то мероприятия и системы по защите информации в данном оборудовании имеют свои нюансы. Системы по обеспечению безопасности данных должны выполнять следующие функции:

  • Защита внутреннего метрологического программного обеспечения (ПО) от возможности изменения;
  • Разграничение прав доступа на изменение различных параметров;
  • Определение изменения параметров, воздействий на прибор, а также возникновения нештатных ситуаций;
  • Обеспечение извещения ответственных лиц о несанкционированных манипуляциях с корректором;
  • Защита информации о потреблении, а также архивной информации от искажения или удаления (полного или частичного);
  • Простое визуальное определение состояния прибора, попыток воздействия.

В данном случае под системой подразумевается совокупность конструктивных, электронных, программных элементов не только самого корректора, но и средств обработки и передачи данных. При выполнении всех вышеперечисленных условий даже при несанкционированном воздействии на системы корректора можно определить, в какое время и какие изменения были внесены.

Рассмотрим каждую из функций применительно к оборудованию ООО «ЭЛЬСТЕР Газэлектроника».

Защита метрологического ПО

Метрологическое оборудование, применяемое для коммерческого учета газа, проходит обязательные испытания средств измерений (СИ) в целях утверждения типа. При проведении данных испытаний проверяется соблюдение заявленных метрологических, конструктивных параметров. Одним из важных пунктов программы является проверка защиты ПО и определение ее уровня согласно МИ3286-2010. Проведение таких испытаний обусловлено необходимостью реализации п. 2 ст. 9 Закона РФ № 102 «Об обеспечении единства измерений» в части, относящейся к обеспечению ограничения доступа к ПО в целях предотвращения несанкционированных настроек и вмешательства, приводящих к искажению результатов измерений. Уровень защиты программного обеспечения — одна из важнейших характеристик, определяющая степень достоверности измерительной информации, в частности, при коммерческих расчетах между поставщиками и потребителями газа. Уровень защиты определяется не только прямыми аппаратными и программными средствами, непосредственно обеспечивающими защищенность программного обеспечения, но также зависит от других характеристик и свойств ПО, таких как наличие идентификационных признаков, наличие или отсутствие защищенных интерфейсов пользователя и связи, степень влияния ПО на метрологические характеристики СИ и др.

Корректоры объема газа серии ЕК и ТС полностью удовлетворяют всем требованиям Рекомендаций МИ3286-2010. Так, при утверждении типа средств измерения производились проверки соответствия заявленных идентификационных данных программного обеспечения: наименование ПО, идентификационное наименование ПО, номер версии ПО, цифровой идентификатор ПО (контрольная сумма), проверка уровня защиты ПО.

Так как встроенное ПО корректора защищено от считывания и модернизации аппаратными средствами процессора в приборе, идентификация ПО производится сличением контрольной суммы, рассчитанной для исходного (архивного) и рассчитанного встроенным в корректор ПО. Встроенное ПО размещено в микропроцессоре. Модификация встроенного ПО невозможна через интерфейс пользователя или внешние интерфейсы передачи данных. Перезапись программы в программной зоне микропроцессора невозможна. Программное обеспечение защищено встроенным алгоритмом проверки целостности программного кода, путем сличения контрольной суммы. Уровень защиты ПО корректоров объема газа от непреднамеренных и преднамеренных изменений — «А» в соответствии с МИ 3286-2010.

Разграничение прав доступа на изменение различных параметров

Для реализации высокого уровня защиты данных корректоров от изменений используется разграничение прав доступа к параметрам между тремя сторонами. Каждая сторона имеет свой замок и соответствующий код. Замки имеют порядок приоритета:

Калибровочный замок — Замок поставщика — Замок потребителя.

Право доступа применяется как при работе через клавиатуру, так и при работе через оптический интерфейс или интерфейс постоянного подключения. При закрытом замке, все попытки ввести значение приведут к появлению сообщения об ошибке. Также, считывание значений через интерфейс возможно, если хотя бы один замок открыт.

В дополнение к правам доступа к тем или иным параметрам, их значения могут быть изменены стороной с большими правами. Значение, изменяемое поставщиком, также может быть изменено официальным поверителем, а значения, которые могут быть изменены потребителем, также могут быть изменены поставщиком. Права доступа могут быть изменены стороной с более высоким приоритетом.

Калибровочный замок используется для защиты параметров, подлежащих официальной калибровке. Здесь включены все параметры, влияющие на вычисление объема газа. Калибровочный замок выполнен в виде кнопки внутри корпуса корректора. Он защищается навесной пломбой и не может быть открыт без ее нарушения.

Калибровочный замок открывается нажатием кнопки замка (символ «Р» мигает на дисплее), и закрывается путем повторного нажатия кнопки (символ «Р» пропадает). Закрыть замок также можно вводом «0» в пункт Cт.ЗК с клавиатуры или через интерфейс.

Замки поставщика и потребителя используются для защиты параметров, не подлежащих официальной калибровке, такие как подстановочные значения по температуре, давлению и расходу, настройка интерфейсов, и т.п. Замки могут быть открыты, введением соответствующего кода.

Закрытие замка производится вводом 0 в соответствующий пункт (Ст.ЗП или Ст.ЗПт).

Отдельно стоит затронуть режим отображения параметров в корректоре ЕК270 для неопытных пользователей. В данном режиме доступен только один список «Оператор», в котором собраны наиболее часто используемые параметры. Доступ к другим спискам меню ограничивается (с помощью замка потребителя).

Определение изменения параметров, воздействий на прибор, а также возникновения нештатных ситуаций

Для контроля за изменением любых параметров в корректорах серии ЕК предусмотрен специальный инструмент — «Журнал изменений». Это своего рода черный ящик (программный), в который записываются любые действия оператора. Причем не имеет значения, каким способом произведены изменения параметров в корректоре — с помощью клавиш на лицевой панели, либо с помощью программного обеспечения по интерфейсу. Приведем пример записи журнала изменений с использованием ПО СОДЭК (см.рисунок 1).

Рисунок 1 — Журнал изменений

Каждая строка журнала изменений содержит следующие элементы:

Дата

дата и время изменения;

Глоб.№

глобальный номер записи;

Арх.№

текущий номер записи;

Адрес параметра

адрес ячейки памяти измененного параметра;

Старое значение

значение перед заменой;

Новое значение

значение после изменения;

Статус замка

уровень доступа, который использовался для изменения параметра.

 

Рассмотрим более подробно изменение одного из параметров (см. рисунок 2)

Рисунок 2 — Изменение значения подстановочного значения давления

Из примера видно, что изменение параметра произведено 12 февраля 2013 года в 10:39. С помощью электронной версии руководства по эксплуатации на корректор легко найти наименование параметра по адресу ячейки памяти 7:311 (см. рисунок 3)

Рисунок 3 — Определение наименования параметра по значению адреса ячейки памяти

Из рисунка 3 видно, что по адресу 7:311 находится параметр «Подстановочное значение давления». Далее в журнале приводится значение до изменения (5 бар) и значение после изменения (7бар). Для изменения параметра использовался уровень доступа «Поставщик» (открывался замок поставщика газа). Сам факт открытия замка поставщика газа зафиксирован двумя строками выше (см. рисунок 4)

Рисунок 4 — Открытие замка поставщика газа

Из рис. 4 следует, что по адресу 3:170 вводится комбинация поставщика газа в 10:25 12.02.2013 для открытия замка.

Еще один инструмент для контроля за состоянием корректора — «Журнал событий».

Пример записи в журнале событий приведен на рисунке 5.

Рисунок 5 — Журнал событий

Как видно из примера каждая запись содержит дату, номер и наименование события (информационное сообщение или нештатная ситуация), которое вызвало запись.

Анализ журналов событий и изменений наиболее удобно проводить с использованием ПО СОДЭК. Однако просмотр этих записей также доступен с помощью клавиш на лицевой панели корректора. Преимущества использования ПО СОДЭК заключается еще и в том, что изменения и нештатные ситуации помечаются специальными значками, и при формировании отчетов помечаются выделением и проконтролировать состояние корректора становится еще проще.

Обеспечение извещения ответственных лиц о несанкционированных манипуляциях с корректором

 Как было показано выше, в корректорах все события сохраняются в архиве. Однако для большего удобства извещения о наступлении того или иного события в корректорах предусмотрено несколько инструментов. Для визуализации и быстрого отображения общего состояния корректора используются символы на индикаторе А и W.

А — «Тревога»

Как минимум одно из сообщений было вызвано ошибками, при которых учет газа ведется в счетчики возмущенного объема (например, «Нарушены значения пределов тревоги давления или температуры»). Сообщения тревоги помещаются в регистр статуса и остаются там даже в случае пропадания ошибки.

W — «Предупреждение»

Как минимум одно из сообщений было вызвано ошибками, которые определены как предупреждения (например, «Нарушены значения пределов предупреждения давления или температуры» или «Ошибка на выходе»). Сообщения предупреждения помещаются в регистр статуса и остаются там даже в случае пропадания ошибки.

Для удаления сообщений из регистра необходимо вручную выполнить команду «Сброс» с доступом «Поставщик газа».

Для подключения дополнительных устройств с выходными цепями типа «сухой контакт» предусмотрен отдельный вход корректора. Такими устройствами могут быть концевые выключатели на дверях шкафного пункта учета газа, датчик загазованности, датчик пожарной сигнализации и т.д. При срабатывании датчика в корректоре формируется архивная запись и появляется сообщение в регистре статуса.

В настоящее время все большую популярность приобретают GSM-модемы для передачи данных с комплексов измерения количества газа. Модемы можно использовать не только для передачи архивных данных и настройки корректора, но и для контроля состояния корректора. Для этого удобно использовать сервис СМС сообщений.

В электронном корректоре объема газа ЕК270 реализована функция передачи SMS-сообщения с отчетом о наступлении различных событий.

Пользователь получает возможность дистанционно получать на свой мобильный телефон оперативную информацию об изменении тех параметров корректора, которые пользователь выберет самостоятельно. В случае возникновения события прибор инициирует сеанс связи с сервером обмена данных и передает СМС сообщение на заранее введенные номера телефонов.

Пользователь имеет возможность самостоятельно выбирать события, активирующие отправку СМС-сообщений, а также настроить текст сообщения. В зависимости от требования пользователя каждое сообщение может быть отправлено на несколько номеров.

Также с помощью сервиса СОДЭК-СМС можно удаленно настраивать корректор с использованием СМС сообщений.

Защита информации о потреблении, а также архивной информации от искажения или удаления

 Наиболее важная информация в корректоре, такая как измеренные рабочий и стандартный объемы, калибровочные коэффициенты датчиков и т.п. защищены замком поверителя (калибровочным замком). Этот замок закрыт навесной пломбой поверителя. Изменение этих значений влечет за собой обязательную поверку прибора. Таким же образом защищен архив корректора от стирания. Сам архив представляет собой законченный массив данных. Из него невозможно удалить конкретные данные за определенный период и, тем более невозможно внести какие-либо изменения в записи. Следовательно, в рабочих условиях невозможно без открытия замка поверителя стереть архивные записи, а также изменить значения параметров, которые отвечают за метрологические характеристики корректора.

При появлении большого количества ошибок в работе корректора возможна ситуация, когда часовой (интервальный) архив будет заполнен. В данном случае новые записи будут перезаписывать самые «старые» записи в архиве. Таким образом, есть вероятность того, что некоторые данные за определенный период не будут доступны. Для разрешения данной ситуации возможно использовать несколько инструментов.

  • Суточный архив. В нем содержится информация по суточному потреблению, по параметрам давления, температуры, коэффициента сжимаемости и коррекции, по ошибкам, возникшим в течение суток. Возникающие ошибки не оказывают влияния на информацию о потреблении газа, записываемую в суточный архив. Поэтому анализ данных суточного архива позволяет определить в какой именно день появилась ошибка и ее длительность.
  • Более частое считывание архивной информации. Несмотря на то, что работа корректора с постоянно возникающей и пропадающей ошибкой (именно так появляется большое количество записей в часовом архиве) не является штатной, прибор запрограммирован на фиксирование любых нарушений работы и с помощью этих данных можно наиболее точно определить периодичность возникновения ошибок, а также их начало и окончание. Работа в таком режиме требует более частого считывания архивной информации.
  • Использование автономных коммуникационных модулей БПЭК-04/ЕК (для корректоров ЕК260 и ЕК270), БПЭК-04/ТС (для корректоров ТС220) и БПЭК-04Ex. Эти модули позволяют в автоматическом режиме считывать информацию с корректоров в запрограммированное время и передавать данные на ftp сервер для хранения и дальнейшей обработки. Таким образом, применение автономных коммуникационных модулей практически полностью позволяет избежать ситуации с «переполнением» архива.

Визуальное определение состояния прибора, попыток воздействия

 Для удобства проверки при внешнем осмотре комплекса для измерения объема газа все внешние соединения датчиков выполнены максимально доступно для контроля.

Так как для передачи информации о прошедшем объеме газа от механического счетчика корректор получает с использованием датчика импульсов, то существует вероятность, что передачу импульсов можно заблокировать поднесением магнита. Эта возможность связана с тем что в датчиках импульсов используются герконы.

Для предотвращения подобных ситуаций в корпусе датчика импульсов устанавливается второй «Статусный» геркон. Он подключен к отдельному входу корректора. В штатном режиме он не оказывает никакого влияния на работу корректора. Но, как только появляется сильное внешнее магнитное поле вместе с блокировкой «счетного» срабатывает «статусный» геркон. Это вызывает появление сообщения об ошибке в статусе, запись в архиве и, если настроена передача СМС, отрабатывается отправка сообщения.

Также вариантом защиты от несанкционированного воздействия магнитным полем является применение среднечастотных и высокочастотных датчиков импульсов. Эти датчики невосприимчивы к магнитным полям и следовательно невозможно остановить передачу импульсов с механического счетчика на корректор.

Еще один способ контроля корректности передачи импульсов со счетчика на корректор — использование «настраиваемого рабочего объема». Данный параметр доступен с уровнем доступа «Поставщик газа» в списке «Vрабочий» — «VpH». В данном пункте вводятся показания механического счетчика и впоследствии контролируют совпадение показаний счетной головы счетчика и пункта «VpH» корректора — они должны совпадать вплоть до предпоследнего знака на счетном механизме счетчика газа.

В счетчиках газа пломбируются крышки счетных голов, в которых установлены юстировочные пары, определяющие погрешность счетчика. В комплексах пломбируются: место подключения датчиков импульсов (канал счета импульсов); место установки преобразователя температуры (канал измерения температуры); место отбора давления (канал измерения давления).

Поверительные клейма представляют собой знак, нанесенный на средство измерений, дополнительные устройства и удостоверяющий, что поверка средства измерений проведена с положительными результатами, а также для защиты, при необходимости, средств измерений от любого несанкционированного доступа, включая регулировочные (юстировочные) устройства.

Все средства защиты информации в корректорах обеспечивают наивысший уровень безопасности измеренных и хранимых данных. Без соответствующего уровня доступа, без знания пароля невозможно изменить параметры, вводимые поставщиком газа. Конечно, можно использовать «варварский» метод вскрытия калибровочного замка, однако данное воздействие очень легко определяется как визуально при осмотре комплекса (повреждение пломб), так и по архивным данным. Аналогичная ситуация обстоит и с механическим счетчиком, а также соединительными элементами между механическим счетчиком и корректором — все пломбы поверителя находятся на виду и их целостность легко проверить. Из всего вышесказанного следует, что даже в случае несанкционированного воздействия на корректор или счетчик незамеченным это не останется. Это фиксируется и в регистре статуса, в архиве, возможно СМС-оповещение, а также при визуальном осмотре.





Все статьи

Печатная продукция

Периодический сборник

Закажите каталог продукции

Заполнить форму заявки

Предстоящие выставки

03.10.2017

«Рос-Газ-Экспо 2017»

Санкт-Петербург

Авторы статей

Кудачкин Сергей Николаевич

Кудачкин Сергей Николаевич

Инженер - программист

Герд Маркерт

Герд Маркерт

Директор Эльстер ГмбХ по РФ и СНГ

Иванушкин И.Ю.

Иванушкин Игорь Юрьевич

Инженер по метрологии 1 - й категории Коломенского филиала ФГУ «Менделеевский ЦСМ»