Jiří Lanta, Klub uživatelů ŘS MicroSCADA, Hotel Omnia Janské Lázně, 19.-20.10.2016 MicroSCADA Pro Release SYS600 9.4 Novinky Slide 1
SYS600 9.4 Slide 2
SYS600 9.4 Zaměřuje se: Podpora IEC 61850 Ed2 jakožto součást ABB řešení Kybernetická bezpečnost jednoduše a důkladně Nástroj pro nastavení Kybernetické bezpečnosti Centrální management účtů a protokolovaných událostí Přidány funkce pro upevnění pozice v: (SA) Automatizaci rozvoden Multi-distribuce a aplikace pro potrubní vedení Slide 3
SYS600 9.4 IEC 61850 Edition 2 Plná IEC 61850 konektivita Podpora obou (Ed1 a Ed2) v jednom systému Podpora Ed1 PRP a Ed2 PRP (ale ne ve stejné síti) HSR konektivita přes switch(e) (Red box) Slide 4
SYS600 9.4 Sequencer Zvýšení bezpečnosti při komplexnějších operacích Plánování a předkonfigurace operací s předstihem např. Změny přípojnic Odlehčení zatížení Flexibilní spouštění a konfigurace sekvencí Podmínky Před/Po Manuální/automatické krokování Aktivace Manualní, Od události, Časová, NCC, DMS600 Slide 5
SYS600 9.4 Knihovna pro potrubní vedení (Pipeline Library) Příklady aplikací Obsah Distribuce plynu Centrální vytápění/chlazení Zpracování a distribuce vody Symboly, Databáze, Ovládací dialogy Potrubí Nádrže Ventily Čerpadla Kompresory Dmychadla Atd. Slide 6
SYS600 9.4 Zabezpečení systému (System Hardening) Zjednodušení zabezpečení Nový nástroj: Security Compliance Manager pro jednodušší správu: Whitelistingu aplikací Windows uživatelů and skupin Firewallu Oprávnění v souborovém systému Kryptovaná komunikace mezi SYS600 uzly (nody) Authentikace a kontrola přístupu na OPC a SCIL API rozhraních OPC SCIL API Slide 8
SYS600 9.4 Správa uživatelských účtů, Protokolování událostí (User Account Management, Event Logging) Jednodušší správa přístupových oprávnění Kontrola přístupu na bázi Role Místní nebo centrální správa účtů Změna přístupových oprávnění ve všech připojených systémech pomocí jednoho kliknutí myší SDM600 Plná kontrola nad událostmi týkajícíse uživatelské bezpečnosti Místní protokolování a prohlížení událostí Centrální protokolování a prohlížení událost pomocí SDM600 nebo řešení 3. strany (SYSLOG) Slide 9
SYS600 9.4 FP1 Slide 11
SYS600 9.4 FP1 Zálohování Nové vlastnosti Inženýring a administrace Činnost systému Kompatibilita Do ovládacího panelu přidána funkce systémové zálohy Jednoduchá cesta k pořízení obrazu disku - i za chodu Záloha aplikace musí být pořízena separátně Dostupné od 9.4 HF2 Slide 12
SYS600 9.4 FP1 Optimalizace HOT Stand-by Nové vlastnosti Inženýring a administrace Činnost systému Kompatibilita SYS600 Server SYS600 Server Další vylepšení činnosti Hot Stand-by Optimalizace replikace dat na pouze změněná data Čas potřebný k obnově dat systému po výpadku redukován až o 90% Čas během kterého je obnovována redundance je čas, kdy systém běží pouze na jednom počítači (zranitelný). Ten je díky vylepšení redukován na minimum. Snížení zranitelnosti systému Slide 13
SYS600 9.4 FP1 Optimalizace HOT Stand-by Nové vlastnosti Inženýring a administrace Činnost systému Kompatibilita Remote Desktop Protocol (RDP) Relace vzdálené plochy může být automaticky obnovena po přejetí Hot Stand-by Všechny obrazovky se svou původní velikostí a rozvržením Kratší čas přerušení pro operátory Slide 14
SYS600 9.4 FP1 Kompatibilita Nové vlastnosti Inženýring a administrace Činnost systému Není již podporováno: Vzdálený klasický MicroSCADA monitor pomocí VS Remote (e.g. Exceed) Z důvodu redukce složitosti technologie a její údržby Kompatibilita Zastaralá technologie Pochází z přechodu z Unix/X-Window na Microsoft Windows v polovině 90. let Vzdálený klasický MicroSCADA monitor musí být migrován na techologii Remote Desktop Services SYS600 9.4 FP1 může být použit s běžnou 9.4 licencí Slide 16
Slide 17
Obsahuje Nové vlastnosti a funkce Role pracovní stanice Režim jediného přihlášení Odpovědnost za oblast (Area of Responsibility) Anonymní uživatel Monitor Pro+ IEC 61850 functionalita + certifikát Virtualizace Serveru Kybernetická bezpečnost Slide 18
Role pracovní stanice (Workstation specific role selection) Specifikuje která z rolí může být používána na které pracovní stanici Příklady konfigurace: Operator Viewer Z nespecifikovaných pracovních stanic může být použita pouze role Viewer (prohlížeč bez povelů) Administrátor a Inženýr role může pouze být používána z Inženýrské pracovní stanice Identifikace pracovní stanice na bázi Jména počítače Výhody Vlastnost rožšiřující použitelnost systému, není to funkce spadající do Kybernetické bezpečnosti Zavedení politiky týkající se oprávnění Slide 19
Režim jediného přihlášení (Single login mode) Pouze jediné přihlášení daného uživatele ve stejnou dobu Jakékoliv pokusy o další přihlášení na stejný uživatelský účet jsou zamítnuty Volitelné pro každého uživatele Režim jediného přihlášení může být aktivován pouze pro vybrané uživatele Výhody Znemožní neautorizované přihlášení k používanému účtu v dané chvíli. Umožňuje zavedení ještě striktnější politiky přihlášení Slide 20
Odpovědnost za oblast (Area of Responsibility (AoR)) Proces může být rozdělen na Oblasti Identifikátorem objektu (OI) např. region, rozvodna, napěťová úroveň, pole, Operátor má právo manipulovat v jedé, nebo více Oblastech a pouze práva prohlížení v dalších Oblasti se mohou překrývat Výhody Volba, která musí být povolena Umožní lepší kontrolu nad přístupy a odpovědnostmi operátorů Slide 21
Odpovědnost za oblast (Area of Responsibility (AoR)) Oblast je pojmenována Oblast je definována listem objektů, kde objektem může být jakákoliv úroveň Identifikátoru objektu (OI) ať už region, rozvodna, napěťová úroveň, pole, zařízení Slide 22
Odpovědnost za oblast (Area of Responsibility (AoR)) Exklusivní přístupové právo (EAR) Pouze jeden operátor může manipulovat v Oblasti v daný čas Až pokud se daný operátor odhlásí, oprávnění manipulace je automaticky předáno dalšímu operátorovi dle přidělené priority Oblasti se v tomto případě nemohou překrývat Automaticky je aktivován Režim jediného přihlášení Slide 23
Odpovědnost za oblast (Area of Responsibility (AoR)) Operátor - Mistr Přidělení Operátor (Primární/Sekundární) Exklusivní přístupové právo (EAR) Role Operátorů Operátor - Mistr Může přidělit Oblast kterémukoliv z příslušných Operátorů, včetně sebe Primární Operátor Přidělení nebo Převzetí Sekundární Operátor Primární Operátor Může direktivně přidělit Sekundárnímu nebo direktivně převzít od Sekundárního Sekundární Operátor Žádost o Předání/Převzetí Operátor-Mistr/Prim/Sek Přijetí Může žádat o kontrolu Oblasti jiného Primárního Operátora, nebo žádat o předání své oblasti jinému Primárnímu Operátorovi Sekundární Operátor Může žádat o kontrolu Oblasti jiného Operátora, nebo žádat o předání kontroly své oblasti Slide 24
Anonymní uživatel (Anonymous user)? Řežim, který může být zapnut je-li třeba Po otevření Monitor Pro je Anonymní uživatel automaticky přihlášen - Auto-login - View only (typically) Jakýkoliv operátor se může přihlásit. Jakmile se odhlásí, Monitor Pro se nezavře ale vrátí se do relace Anonymního uživatele Pozor! Z pohledu kybernetické bezpečnosti není doporučeno používat Anonymního uživatele z důvodu automatického přihlášení Pokud je použito, je silně doporučena limitace práv a rolí na pouze nezbytně nutný počet pracovních stanic. Slide 25
Monitor Pro+ Nový prohlížeč pro grafické rozhraní. Krok směrem k příští generaci pracovní plochy přicházející v další verzi Pro editaci a tvorbu obrázků se používá stejný Display Builder jako předtím Obrázky jsou automaticky konvertovány do nového formátu Výhody XML/HTML5 Plynulejší a rychlejší zooming a panning Standardní technologie s budoucností Menší riziko ztráty podpory Evoluční vývoj technologie Slide 26
Monitor Pro+ Politika pro použití Monitor Pro nebo Monitor Pro+ Dodávka nového SYS600 systému 1. Použití Monitor Pro+ Upgrade existujícího systému na 9.4 FP2 1. Použití Monitor Pro 2. Migrace na Monitor Pro+ pokud je třeba využít funkcionalit a charakteristik Monitor Pro+ Slide 27
IEC 61850 Trasování služeb (Service Tracking) NCC SYS600 je informován o povelech odeslaných jinými IEC 61850 klienty V listu událostí se vedle změny indikace stavu objeví navíc i informace o povelu Informace o povelech přijde do SYS600 přímo z IEDs Funguje na bázi IEC 61850 Control Service Tracking (CTS) NCC Nezávislé na dodavateli IEC 61850 klienta a NCC protokolu Přínos Komplexnější informovanost operátora o dění v systému Slide 28
IEC 61850 Substitution SYS600 může zapsat náhradní (substituted) hodnotu do IED Podporované objekty (zařízení): Pole, Vypínač, Odpojovač, Zemnič, Přepínač odboček, Měření Substituted quality bit je přeposílán na NCC přes SYS600 gateway NCC NCC protokoly: IEC 101/104, DNP Přínos Nahrazení (vnucení) stavu/hodnoty např. kvůli vadnému senzoru nebo vstupní/výstupní kartě Jednoduchá cesta na základní test systému Slide 29
IEC 61850 Režim Test (Test Mode) Ovládací dialog spínacího prvku v SYS600 indikuje, jestli IED není v režimu Test Umožní odeslat požadavek na povel s příznakem Test Přínosy Jasná informace pro operátora o stavu systému Možnost provedení testovacího povelu pomocí standardního ovládacího dialogu Slide 30
IEC 61850 Kapacita Změna v dopuručených maximech na jeden počítač se SYS600 Max. počet jednotek IED: 400 Max. počet IEC 61850 klientů: 8 Slide 31
IEC 61850 Certificate IEC 61850 Edition 2 Klient Vystaven pro SYS600 9.4 Plně aplikovatelný na SYS600 9.4 FP2 -> Slide 32
Server Virtualization Podporované platformy: WMWare vsphere (Microsoft Hyper-V) Přínosy virtualizace Lepší použitelnost Menší závislost na konkrétním HW Snížení nákladů Standardizovaný a menší množství HW Lepší využiti HW zdrojů Jednodušší administrativa Slide 33
Security Compliance Manager (SCM) Nové výstupy Baseline (doporučená nastavení) Audit (rozdíl mezi doporučeným a aktuálním nastavením) Aktualizece Baseline pracovní stanice Výhody Rozpoznání OpenRemoteDesktop programu Vylepšené reportování a zpětná použitelnost SCM baselines a výsledků auditu Jednodušší použití SCM také pro Pracovní stanice Slide 34
Kontakt Jiří Lanta Foto SAS Service Engineer ABB s.r.o. Průmyslová 137 Trutnov Telefon: +420 731 552543 E-mail: jiri.lanta@cz.abb.com Slide 35