Federico Bellio TC57 - WG15. IEC 62351: implementazione nei sistemi di telecontrollo basati su protocollo IEC 60870-5-104. Trento, 27 novembre 2015



Documenti analoghi
Federico Bellio, Enel Produzione Generazione Italia Gian Luigi Pugni, Enel Italia Information & Communication Technology Marco Biancardi ABB Power

CYBERSECURITY NELL'AMBITO DELLE INFRASTRUTTURE CRITICHE. 06/04/2016 Venezia Mestre

IEC 62351: implementazione nei sistemi di controllo per la Generazione Italia di Enel F. Bellio, G.L. Pugni Enel M. Casalini, M.

Firma Digitale di documenti su Sistema Gare Sourcing

Introduzione Kerberos. Orazio Battaglia

Overview su Online Certificate Status Protocol (OCSP)

La sicurezza nelle reti di calcolatori

TAS Network FOCUS ON. Pronti per SWIFTNet 7.0!

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione

Secure Socket Layer (SSL) Transport Layer Security (TLS)

Sicurezza dei sistemi e delle reti 1. Lezione VI: IPsec. IPsec. La suite TCP/IP. Mattia Monga. a.a. 2014/15

MOC10982 Supporting and Troubleshooting Windows 10

OpenVPN: un po di teoria e di configurazione

STATO IMPLEMENTAZIONE ONVIF SU TELECAMERE MUNDUS SECURUS

Approfondimento di Marco Mulas

Making the Internet Secure TM

OpenVPN: un po di teoria e di configurazione

* Sistemi Mobili e VOIP *

Trusted Intermediaries

IP TV and Internet TV

MS OFFICE COMMUNICATIONS SERVER 2007 IMPLEMENTING AND MAINTAINING AUDIO/VISUAL CONFERENCING AND WEB CONFERENCING

L utilizzo del protocollo standard IEC , via GPRS su reti VPN, come risposta alle esigenze di telecontrollo nel settore idrico.

Esame : Supporting Users Running the Microsoft Windows XP Operating Systems (corso Moc 2261)

Reti e Sistemi per l Automazione MODBUS. Stefano Panzieri Modbus - 1

The information contained in this document belongs to ignition consulting s.r.l. and to the recipient of the document. The information is strictly

Cyber security e cyber privacy, la sfida dell internet di ogni cosa. Giuseppe Colosimo, Senior Manager Business Line Security NTT DATA Italia

Connessione in rete: sicurezza informatica e riservatezza

Monte Titoli. L evoluzione dei protocolli di comunicazione. Milano, 24 Settembre Andrea Zenesini IT Manger

MANUALE UTENTE INTERNET - ISTRUZIONI TECNICHE PER L UTILIZZO DEL SERVIZIO

Elementi di Sicurezza e Privatezza Laboratorio 10 Uso di OpenSSL per generare certificati X.509. Chiara Braghin chiara.braghin@unimi.it!

DENEB KNX. KNX RF S-Mode USB gateway interface / Interfaccia USB Gateway KNX RF S-Mode

Applicazioni web centrati sui dati (Data-centric web applications)

Installazione Web Channel Experience 1.0 Based on NW 7.3 sp02, Oracle

PKI e gestione delle Identità degli accessi. Franco Tafini. Security Solution Leader INTESA An IBM Company

DICHIARAZIONE DI CONFORMITA' / Declaration of Conformity

L esperienza della Regione Lazio

PKI PUBLIC KEY INFRASTRUCTURES

NEAL. Increase your Siebel productivity

Riconciliazione tra istruzioni T2S ed istruzioni X-TRM

Introduzione ai Web Services Alberto Polzonetti

trasmissione/distribuzione?

AIVE Business Solutions.

Code: GW-IMP-WEB-1. Datalogger web pulses counter. Version 6 inputs with Ethernet. MarCom

Testi del Syllabus. Docente VELTRI LUCA Matricola:

Cyber Security Energia Una Piattaforma di Ricerca e Innovazione. Giovanna Dondossola

Page 1. Elementi Base del Modello OSI. Il modello di riferimento ISO/OSI OSI: Open Systems Interconnection. Struttura a Livelli.

Atlantis Land Technical Resources Product: Subject: Language:

MWS3-9 - MOC TROUBLESHOOTING WINDOWS SERVER 2016 CORE TECHNOLOGIES

Siti web centrati sui dati (Data-centric web applications)

The distribution energy resources impact

Sicurezza nelle applicazioni multimediali: lezione 7, sicurezza dei protocolli. Sicurezza dei protocolli (https, pop3s, imaps, esmtp )

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti

ISO 50001:2011: Integrazione con ISO 14001:2004 e altri sistemi di gestione

Sicurezza a livello IP: IPsec e le reti private virtuali

Posta elettronica e crittografia

e-documents per l identity management

Studio della sicurezza in OMA SUPL e di una sua implementazione in Java

IPSec. Internet Protocol Security. Mario Baldi. Synchrodyne Networks, Inc. mbaldi[at]synchrodyne.com. IPSec - 1 M. Baldi: nota a pagina 2

M MOC MS MICROSOFT 365 SECURITY ADMINISTRATION

Network Topology. Configurazione HA USG300

L infrastruttura di Knowledge Management della Rete Integrata Nazionale GPS (RING) dell INGV

Lombardia Informatica S.p.A. Policy Certificati di Firma Digitale su CNS/CRS

Gli Standard applicati alle Soluzioni di Telecontrollo: dal ciclo idrico integrato alla raccolta differenziata, con l orizzonte nella smart community

Posta elettronica per gli studenti for the students

MW MOC SUPPORTING AND TROUBLESHOOTING WINDOWS 10

Registro O.I.D. QTSP TI Trust Technologies

Quattro chiacchere sul Peer to Peer p.1/20

Programmazione in Rete

Sicurezza: esperienze sostenibili e di successo. Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST

Virtualizzazione con Microsoft Tecnologie e Licensing

Testing della Sicurezza nelle comunicazioni standard delle Smart Grid

Tutto il VoIP in 45 minuti!! Giuseppe Tetti. Ambiente Demo. VoIP IP PBX SIP

Protezione della posta elettronica mediante crittografia

INSTALLARE PALLADIO USB DATA CABLE IN WINDOWS XP/ME/2000/98

Apriti Sesamo Plus Client per Windows

SC D2 Information Technology and Telecommunication. General session e SC meeting 2012

Franco Tafini. La firma digitale: nuove tecnologie per nuovi ambiti di applicazione

Certificati digitali con CAcert Un'autorità di certificazione no-profit

Piattaforma per la Security delle Infrastrutture Critiche. Maurizio Dal Re, Araknos CEO CPEXPO Genova 30 Ottobre 2013

Problematiche correlate alla sicurezza informatica nel commercio elettronico

> Visionest Business Protection

Alessandro Huber Chief Technology Officer, Microsoft Italia Claudia Angelelli Service Line Manager, Microsoft Italia

Copyright 2012 Binary System srl Piacenza ITALIA Via Coppalati, 6 P.IVA info@binarysystem.eu

N 1 alla versione bilingue (italiano-inglese) NORMA UNI EN ISO 9001 (novembre 2008) Sistemi di gestione per la qualità - Requisiti.

A2A technical presentation

Installing and Configuring Windows 10 (MOC )

NOKIA E61 GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

PARTE 1 richiami. SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet )

ITIL Best Practices: dall Operation al Service Management L esperienza TIM

IPSEC. le applicazioni che utilizzano IP.

L idrogeno in rete l attività del CEN/TC 234 Gas infrastructures

In-Diversity Newsletter 3

Camera di Commercio di Ferrara

Politica per la Qualità e per l Ambiente di Fujitsu Technology Solutions Italia

La sicurezza nel Web

Cyber Security Sistemi Energia - Progetti e Sperimentazioni. Giovanna Dondossola Roberta Terruggia

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer

Alessio Banich. Manager, Technical Solutions

NOKIA E61 GUIDA ALLA CONFIGURAZIONE SKYPHO

Transcript:

INTERNATIONAL ELECTROTECHNICAL COMMISSION IEC 62351: implementazione nei sistemi di telecontrollo basati su protocollo IEC 60870-5-104 Trento, 27 novembre 2015 Federico Bellio TC57 - WG15

Indice della presentazione Introduzione: Il Working Group 15 (WG15) del IEC TC57 IEC62351 - la struttura della norma IEC TC57 WG15 Architecture of Information Standard Il sistema di Telecontrollo Struttura duale SCADA-NSM secondo IEC62351-7 Relazione tra SCADA-RTU in connessione sicura e PKI L infrastruttura di chiave pubblica PKI Nuovi processi sono richiesti per gestire chiavi/certificati Implementazione SCADA Driver IEC 60870-5-104 con stack 62351 Il monitoraggio del traffico dati Il problema che si crea per l inserimento della cifratura Una possibile soluzione con traffico cifrato 11/27/2015 IEC TC57 WG15 November 2014 Status 2

Mission and Scope of WG15 on Cybersecurity TC57: Power systems management and associated information exchange WG15: Data and communication security Undertake the development of standards for security of the communication protocols defined by the IEC TC 57 Specifically the IEC 60870-5 series, the IEC 60870-6 series, the IEC 61850 series, the IEC 61970 series, and the IEC 61968 series. Review and advise on cyber security of TC57 standards Undertake the development of standards and/or technical reports on end-to-end security issues. 11/27/2015 IEC TC57 WG15 November 2014 Status 3

Mission and Scope of WG15 on Cybersecurity Undertake the development of standards for security of the communication protocols defined by the IEC TC 57 Specifically the IEC 60870-5 series, the IEC 60870-6 series, the IEC 61850 series, the IEC 61970 series, and the IEC 61968 series. Review and advise on cyber security of TC57 standards Undertake the development of standards and/or technical reports on end-to-end security issues. 11/27/2015 IEC TC57 WG15 November 2014 Status 4

83 members WG15 Members Participants from 19 countries Argentina Canada China Croatia Denmark Finland France Germany Great Britain India Italy Japan Korea Russia South Africa Spain Sweden Switzerland USA 11/27/2015 IEC TC57 WG15 November 2014 Status 5

Introduzione IEC62351 la struttura della norma IEC TC57 Communication Standards IEC 62351 Security Standards IEC 62351-1: Introduction IEC 60870-6 TASE.2 (ICCP) IEC 60870-5-104 & DNP3 IEC 62351-3: Profiles including TCP/IP IEC 62351-2: Glossary IEC 60870-5-101 & Serial DNP3 IEC 61850 GOOSE and SV IEC 61850 over MMS IEC 61850-8-2 MMS over XMPP IEC 62351-4: Profiles including MMS IEC 62351-5: IEC 60870-5 and Derivates IEC 62351-6: IEC 61850 Profiles IEC 62351-11: 11: Security for XML Files IEC 62351-7: Objects for Network Management IEC 62351-8: Role based Access Control (RBAC) IEC 62351-9: Key Management IEC 61970 & IEC 61968 CIM IEC 62351-10: Security architecture guidelines for TC 57 systems IEC 62351-12: : Resilience and Security Recommendations for Power Systems with DER IEC 62351-13: What Security Topics Should Be Covered in Standards and Specifications

IEC 61850-7-410 IEC 60870-5-102 IEEE 1815 (DNP3) 60870-5-101/104 SS-CC IEC 61850 IEC 61850-7-420 IEC 62325 IEC 61968 IEC TC57 WG15 Architecture of Information Standards

Il Sistema di Telecontrollo Struttura duale SCADA-NSM secondo IEC62351-7 N Centri di Controllo ridondati Un Centro di Network and System Management ridondato M Impianti di Generazione

Il Sistema di Telecontrollo Relazione tra SCADA-RTU in connessione sicura e PKI N Centri di Controllo ridondati Cert CRL CA RA SCEP server RDPs OCSP responder repository Una PKI ridondata 104s Un Centro di Network and System Management PKI ridondato Admin 104s M Impianti di Generazione 104s SCEP Client OCSP Client

Il Sistema di Telecontrollo L infrastruttura di chiave pubblica PKI (Public Key Infrastructure) Schemi logico-funzionali di una CA (modello in RFC 5280 -X.509)

Il sistema di telecontrollo L infrastruttura di chiave pubblica PKI (uso delle chiavi crittografiche) 1 b 2 5 a 6 7 8 9 c e f 3 4 d g

Il Sistema di Telecontrollo Nuovi processi sono richiesti per gestire chiavi/certificati INSERIMENTO NUOVO DISPOSITIVO Emissione certificato Enrollment nella CA SCADENZA -RINNOVO CERTIFICATO DECADENZA -REVOCA CERTIFICATO Verifica certificato Inutilizzabilità del certificato Verifica certificato Rinnovo certificato

Il Sistema di Telecontrollo Nuovi processi sono richiesti per gestire chiavi/certificati CA ARRUOLAMENTO NUOVO DISPOSITIVO Cert CRL repository Generatore Coppia chiavi RA Authorize SCEP server OCSP responder OCSP OCSP responder responder PRI PUB Request Enrollment PKCS#12 PKI Admin Device

Il sistema di telecontrollo Nuovi processi sono richiesti per gestire chiavi/certificati Revoca Verifica CA Validità del Certificato Cert CRL repository RA Revoke SCEP server OCSP responder OCSP OCSP responder responder Verify PKI Admin Device Alice e Bob possono essere rispettivamente il server SCADA e una RTU La verifica è mutua e i ruoli si scambiano

Il sistema di telecontrollo Nuovi processi sono richiesti per gestire chiavi/certificati Generation Destruction Registration Deregistration Archiving Revocation Update Derivation Certification Distribution Installation Storage

Implementazione SCADA Driver IEC 60870-5-104 con stack 62351 IEC104 Connections Architecture Server Communication Architecture Active Standby Tags DB Primary Server Redundant Server Scanner P R P R Driver IEC104S Tags ASDU Preparation/ Elaboration ASDUs To Other Drivers Primary Field Device Redundant Field Device Connection Manager P = Primary Connection R = Redundant Connection Only one connection by time has DT Active (IEC 60870-5-104, Par. 10) Connection 1 IEC104S Protocol Stack Connection N

Implementazione SCADA Driver IEC 60870-5-104 con stack 62351 Driver IEC104S Connection Architecture (Transmission Example) ASDU Connection Manager To other connections Secure Connection? N ASDU Queue Y Secure Layer (IEC 62351-5) Prepare Secure ASDU ASDU / SASDU Queue Transport Layer Prepare Transport APDU (IEC 60870-5-104) Secure Connection? N APDU Queue TLS 1.2 Layer (IEC 62351-3) Y Prepare TLS Frame APDU / TLS PDU Queue TCP/IP Interface Prepare TCP Frame

Implementazione SCADA Driver IEC 60870-5-104 con stack 62351 ABB CSA (Common Security Architecture) library Certificates manag. functions IEC 62351-5 functions : PKI Certificate Enrollment Certificate Renewal Certificate Revocation User Management Session Key Exchange User Authentication Secure Layer (IEC 62351-5) SCEP / OCSP Messages Authentication Common functions : Certificates Storage Access Transport Layer Certificates Storage RSA-AES Algorithms SHA Algorithms (IEC 60870-5-104) TLS 1.2 functions: Connection Management built on RFC 5246/6176. TLS 1.2 Layer (IEC 62351-3) Implementation in progress TCP/IP Interface

Il monitoraggio del traffico dati Il problema che si crea per l inserimento della cifratura Application protocol (e.g. IEC 60870-5-104) Alice Bob Alice s ID Certificate Encrypted Communication Bob s ID Certificate session Key Network Traffic Mirror (L2-L7) session Key L5-L7 lost Network Probe- Deep Packet Inspection - L7 analysis Protocol certification inspection Issuing Owner/Unit Reclassified as by.the information contained in this document is the property of Enel SpA and must be used by the recipient only for the purposes for which it was received. It may not be copied or disclosed in any way without the explicit permission of Enel SpA.

Il monitoraggio del traffico dati Una possibile soluzione con traffico cifrato Application protocol (e.g. IEC 60870-5-104) Alice Bob Alice s ID Certificate session Key Encrypted communication 1. Authentication 1.1 Role check Bob s ID Cerificate session Key L5-L7 accessible again 2. Get the Session Key Trusted channel for Session Key sharing TLS session Key Probe ID Certificate Network Probe- Deep Packet Inspection - L7 analysis Protocol certification inspection Issuing Owner/Unit Reclassified as by.the information contained in this document is the property of Enel SpA and must be used by the recipient only for the purposes for which it was received. It may not be copied or disclosed in any way without the explicit permission of Enel SpA.

Conclusioni L esperienza del nostro progetto ci dice che la norma IEC 62351 è sufficientemente matura per essere compitamente implementata sui sistemi in esercizio basati su IEC 60870-5-104. L impatto dell inserimento dello stack di sicurezza non è diverso da quello provocato da una comune significativa release di prodotto. Per giungere a una significativa diffusione di Sistemi di Telecontrollo messi in sicurezza mediante implementazione di IEC 62351 è necessario che parallelamente: 1. Utility e Fornitori facciano la loro parte nel tavolo IEC per far convergere la norma IEC 62351 ad un completo IS e sappiano trovare le opportunità per applicarla 2. Gli enti regolatori prevedano un progressivo ma obbligatorio percorso per la messa in sicurezza dello scambio dati fra gli operatori del mercato elettrico

INTERNATIONAL ELECTROTECHNICAL COMMISSION Grazie per l attenzione

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back