Federico Bellio, Enel Produzione Generazione Italia Gian Luigi Pugni, Enel Italia Information & Communication Technology Marco Biancardi ABB Power



Documenti analoghi
Federico Bellio TC57 - WG15. IEC 62351: implementazione nei sistemi di telecontrollo basati su protocollo IEC Trento, 27 novembre 2015

CYBERSECURITY NELL'AMBITO DELLE INFRASTRUTTURE CRITICHE. 06/04/2016 Venezia Mestre

IEC 62351: implementazione nei sistemi di controllo per la Generazione Italia di Enel F. Bellio, G.L. Pugni Enel M. Casalini, M.

Firma Digitale di documenti su Sistema Gare Sourcing

Introduzione Kerberos. Orazio Battaglia

Overview su Online Certificate Status Protocol (OCSP)

TAS Network FOCUS ON. Pronti per SWIFTNet 7.0!

La sicurezza nelle reti di calcolatori

The information contained in this document belongs to ignition consulting s.r.l. and to the recipient of the document. The information is strictly

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione

Secure Socket Layer (SSL) Transport Layer Security (TLS)

L esperienza della Regione Lazio

Sicurezza dei sistemi e delle reti 1. Lezione VI: IPsec. IPsec. La suite TCP/IP. Mattia Monga. a.a. 2014/15

OpenVPN: un po di teoria e di configurazione

* Sistemi Mobili e VOIP *

ITIL Best Practices: dall Operation al Service Management L esperienza TIM

Introduzione ai Web Services Alberto Polzonetti

Trusted Intermediaries

Making the Internet Secure TM

Elementi di Sicurezza e Privatezza Laboratorio 10 Uso di OpenSSL per generare certificati X.509. Chiara Braghin chiara.braghin@unimi.it!

Approfondimento di Marco Mulas

PKI e gestione delle Identità degli accessi. Franco Tafini. Security Solution Leader INTESA An IBM Company

MS OFFICE COMMUNICATIONS SERVER 2007 IMPLEMENTING AND MAINTAINING AUDIO/VISUAL CONFERENCING AND WEB CONFERENCING

NEAL. Increase your Siebel productivity

OpenVPN: un po di teoria e di configurazione

The distribution energy resources impact

MANUALE UTENTE INTERNET - ISTRUZIONI TECNICHE PER L UTILIZZO DEL SERVIZIO

ISO 50001:2011: Integrazione con ISO 14001:2004 e altri sistemi di gestione

Piattaforma per la Security delle Infrastrutture Critiche. Maurizio Dal Re, Araknos CEO CPEXPO Genova 30 Ottobre 2013

STATO IMPLEMENTAZIONE ONVIF SU TELECAMERE MUNDUS SECURUS

PKI PUBLIC KEY INFRASTRUCTURES

Connessione in rete: sicurezza informatica e riservatezza

Cyber security e cyber privacy, la sfida dell internet di ogni cosa. Giuseppe Colosimo, Senior Manager Business Line Security NTT DATA Italia

DENEB KNX. KNX RF S-Mode USB gateway interface / Interfaccia USB Gateway KNX RF S-Mode

e-documents per l identity management

Code: GW-IMP-WEB-1. Datalogger web pulses counter. Version 6 inputs with Ethernet. MarCom

Lombardia Informatica S.p.A. Policy Certificati di Firma Digitale su CNS/CRS

Esame : Supporting Users Running the Microsoft Windows XP Operating Systems (corso Moc 2261)

Applicazioni web centrati sui dati (Data-centric web applications)

Reti e Sistemi per l Automazione MODBUS. Stefano Panzieri Modbus - 1

IPSec. Internet Protocol Security. Mario Baldi. Synchrodyne Networks, Inc. mbaldi[at]synchrodyne.com. IPSec - 1 M. Baldi: nota a pagina 2

IP TV and Internet TV

Sicurezza nelle applicazioni multimediali: lezione 7, sicurezza dei protocolli. Sicurezza dei protocolli (https, pop3s, imaps, esmtp )

Posta elettronica e crittografia

Certificati digitali con CAcert Un'autorità di certificazione no-profit

trasmissione/distribuzione?

Problematiche correlate alla sicurezza informatica nel commercio elettronico

Installing and Configuring Windows 10 (MOC )

Registro O.I.D. QTSP TI Trust Technologies

Siti web centrati sui dati (Data-centric web applications)

Electronic Money Solutions

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti

Network Topology. Configurazione HA USG300

Monte Titoli. L evoluzione dei protocolli di comunicazione. Milano, 24 Settembre Andrea Zenesini IT Manger

Testi del Syllabus. Docente VELTRI LUCA Matricola:

CERTIFICATION PRACTICE STATEMENT

Implementing Microsoft Azure Infrastructure Solutions (MOC 20533)

CERTIFICATE POLICY CERTIFICATI DIGITALI EROGATI DALLA CA ENEL CORPORATE POLICY. Redatto da: Fistetto Silvio, Gay Massimo, Iorillo Angelo 30/05/2008

Camera di Commercio di Ferrara

SERCOS III Comunicazione real time su base Ethernet quale bus universale per l Automazione Industriale Michele Pirelli Bosch Rexroth AG

Protezione della posta elettronica mediante crittografia

Tecnologie, processi e servizi per la sicurezza del sistema informativo

Il ruolodel progettointegris nel panorama dellesmart Grid

INSTALLARE PALLADIO USB DATA CABLE IN WINDOWS XP/ME/2000/98

MOC10982 Supporting and Troubleshooting Windows 10

> Visionest Business Protection

La Firma Digitale e le sue applicazioni

Alessandro Huber Chief Technology Officer, Microsoft Italia Claudia Angelelli Service Line Manager, Microsoft Italia

Lombardia Informatica S.p.A. Policy dei Certificati di Firma Elettronica Qualificata emessi su Carta Nazionale dei Servizi (dispositivo SSCD)

Studio della sicurezza in OMA SUPL e di una sua implementazione in Java

Riconciliazione tra istruzioni T2S ed istruzioni X-TRM

Tutto il VoIP in 45 minuti!! Giuseppe Tetti. Ambiente Demo. VoIP IP PBX SIP

Sommario Capitolo 1 Introduzione Capitolo 2 Tecnologie wireless Capitolo 3 La sicurezza

N 1 alla versione bilingue (italiano-inglese) NORMA UNI EN ISO 9001 (novembre 2008) Sistemi di gestione per la qualità - Requisiti.

Posta elettronica per gli studenti for the students

Franco Tafini. La firma digitale: nuove tecnologie per nuovi ambiti di applicazione

PIATTAFORMA TELEMATICA INTEGRATA REGIONE SICILIANA. Componente Autonoma Firma Digitale - Rimodulazione Manuale di Esercizio

Sicurezza: esperienze sostenibili e di successo. Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST

Installazione Web Channel Experience 1.0 Based on NW 7.3 sp02, Oracle

L utilizzo del protocollo standard IEC , via GPRS su reti VPN, come risposta alle esigenze di telecontrollo nel settore idrico.

NOKIA E61 GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

Laboratorio di Amministrazione di Sistema (CT0157) parte A : domande a risposta multipla

Quattro chiacchere sul Peer to Peer p.1/20

MS WINDOWS SERVER UPDATING YOUR NETWORK INFRASTRUCTURE AND ACTIVE DIRECTORY TECHNOLOGY SKILLS TO WINDOWS SERVER 2008

MWS3-9 - MOC TROUBLESHOOTING WINDOWS SERVER 2016 CORE TECHNOLOGIES

NEXT-GEN USG: Filtri Web

Programmazione in Rete

Spunti ed Elementi da Intel Cloud Forum

Page 1. Elementi Base del Modello OSI. Il modello di riferimento ISO/OSI OSI: Open Systems Interconnection. Struttura a Livelli.

CORSO CWS-215: CWS-215 Citrix Virtual Apps and Desktops 7 Administration. CEGEKA Education corsi di formazione professionale

NOKIA E61 GUIDA ALLA CONFIGURAZIONE SKYPHO

Stampe in rete Implementazione corretta

OPC XML Data Access Specification.

CONFIGURATION MANUAL

PERIODO : A chi è rivolto il corso

Roberto Pozzoli, Omnicon srl

Testing della Sicurezza nelle comunicazioni standard delle Smart Grid

How to use the WPA2 encrypted connection

DICHIARAZIONE DI CONFORMITA' / Declaration of Conformity

Transcript:

IEC 62351 implementazione nei sistemi di telecontrollo per la Generazione Italia di Enel Federico Bellio, Enel Produzione Generazione Italia Gian Luigi Pugni, Enel Italia Information & Communication Technology Marco Biancardi ABB Power Systems Division Mauro Casalini, ABB Power Systems Division

Indice della presentazione Introduzione: Le puntate precedenti su IEC62351 IEC62351 - la struttura della norma IEC TC57 WG15 Architecture of Information Standard Il Sistema di Telecontrollo: Struttura duale SCADA-NSM secondo IEC62351-7 Relazione tra SCADA-RTU in connessione sicura e PKI L infrastruttura di chiave pubblica PKI Nuovi processi sono richiesti per gestire chiavi/certificati Implementazione SCADA: Driver IEC 60870-5-104 con stack 62351 Il monitoraggio del traffico dati: Il problema che si crea per l inserimento della cifratura Una possibile soluzione con traffico cifrato

Introduzione Le puntate precedenti su IEC62351

Introduzione IEC62351 la struttura della norma IEC TC57 Communication Standards IEC 62351 Security Standards IEC 62351-1: Introduction IEC 60870-6 TASE.2 (ICCP) IEC 60870-5-104 & DNP3 IEC 62351-3: Profiles including TCP/IP IEC 62351-2: Glossary IEC 60870-5-101 & Serial DNP3 IEC 61850 GOOSE and SV IEC 61850 over MMS IEC 61850-8-2 MMS over XMPP IEC 62351-4: Profiles including MMS IEC 62351-5: IEC 60870-5 and Derivates IEC 62351-6: IEC 61850 Profiles IEC 62351-11: 11: Security for XML Files IEC 62351-7: Objects for Network Management IEC 62351-8: Role based Access Control (RBAC) IEC 62351-9: Key Management IEC 61970 & IEC 61968 CIM IEC 62351-10: Security architecture guidelines for TC 57 systems IEC 62351-12: : Resilience and Security Recommendations for Power Systems with DER IEC 62351-13: What Security Topics Should Be Covered in Standards and Specifications

Introduzione IEC TC57 WG15 Architecture of Information Standard IEC 61850-7-410 IEC 60870-5-102 IEEE 1815 (DNP3) 60870-5-101/104 SS-CC IEC 61850 IEC 61850-7-420 IEC 62325 IEC 61968

Il Sistema di Telecontrollo Struttura duale SCADA-NSM secondo IEC62351-7 N Centri di Controllo ridondati Un Centro di Network and System Management ridondato M Impianti di Generazione

Il Sistema di Telecontrollo Relazione tra SCADA-RTU in connessione sicura e PKI N Centri di Controllo ridondati CA OCSP responder Cert CRL repository RA SCEP server RDPs Una PKI ridondata 104s Un Centro di Network and System Management ridondato PKI Admin 104s M Impianti di Generazione 104s SCEP Client OCSP Client

Il Sistema di Telecontrollo L infrastruttura di chiave pubblica PKI (Public Key Infrastructure) Schemi logico-funzionali di una CA (modello in RFC 5280 -X.509)

Il sistema di telecontrollo L infrastruttura di chiave pubblica PKI (uso delle chiavi crittografiche) 1 b 2 5 a 6 7 8 9 c e f 3 4 d g

Il Sistema di Telecontrollo Nuovi processi sono richiesti per gestire chiavi/certificati INSERIMENTO NUOVO DISPOSITIVO Emissione certificato Enrollment nella CA SCADENZA -RINNOVO CERTIFICATO DECADENZA - REVOCA CERTIFICATO Verifica certificato Inutilizzabilità del certificato Verifica certificato Rinnovo certificato

Il Sistema di Telecontrollo Nuovi processi sono richiesti per gestire chiavi/certificati CA ARRUOLAMENTO NUOVO DISPOSITIVO Cert CRL repository Generatore Coppia chiavi PRI PUB RA Request SCEP server Authorize Enrollment OCSP responder OCSP responder OCSP responder PKI Admin PKCS#12 Device

Il sistema di telecontrollo Nuovi processi sono richiesti per gestire chiavi/certificati CA Revoca Verifica Validità del Certificato Cert CRL repository RA Revoke SCEP server OCSP responder OCSP responder OCSP responder Verify PKI Admin Device Alice e Bob possono essere rispettivamente il server SCADA e una RTU La verifica è mutua e i ruoli si scambiano

Il sistema di telecontrollo Nuovi processi sono richiesti per gestire chiavi/certificati Generation Destruction Registration Deregistration Archiving Revocation Update Derivation Certification Distribution Installation Storage

Implementazione SCADA ABB S+ Operation -Driver IEC 60870-5-104 con stack 62351 IEC104 Connections Architecture Server Communication Architecture Active Standby Tags DB Primary Server Redundant Server Scanner P R P R Driver IEC104S Tags ASDU Preparation/ Elaboration ASDUs To Other Drivers Primary Field Device Redundant Field Device Connection Manager P = Primary Connection R = Redundant Connection IEC104S Protocol Stack Only one connection by time has DT Active (IEC 60870-5-104, Par. 10) Connection 1 Connection N

Implementazione SCADA ABB S+ Operation -Driver IEC 60870-5-104 con stack 62351 Driver IEC104S Connection Architecture (Transmission Example) ASDU Connection Manager To other connections Secure Connection? N ASDU Queue Secure Layer (IEC 62351-5) Y Prepare Secure ASDU ASDU / SASDU Queue Transport Layer (IEC 60870-5-104) APDU Queue TLS 1.2 Layer (IEC 62351-3) Prepare Transport APDU Secure Connection? Y Prepare TLS Frame N APDU / TLS PDU Queue TCP/IP Interface Prepare TCP Frame

Implementazione SCADA ABB S+ Operations -Driver IEC 60870-5-104 con stack 62351 ABB CSA (Common Security Architecture) library PKI Certificates manag. functions Certificate Enrollment Certificate Renewal Certificate Revocation SCEP / OCSP IEC 62351-5 functions : User Management Session Key Exchange User Authentication Messages Authentication Secure Layer (IEC 62351-5) Certificates Storage Common functions : Certificates Storage Access RSA-AES Algorithms SHA Algorithms Transport Layer (IEC 60870-5-104) TLS 1.2 functions: Connection Management built on RFC 5246/6176. TLS 1.2 Layer (IEC 62351-3) Implementation in progress TCP/IP Interface

Il monitoraggio del traffico dati Il problema che si crea per l inserimento della cifratura Alice Application protocol (e.g. IEC 60870-5-104) Bob Alice s ID Certificate session Key L5-L7 lost Encrypted Communication Network Traffic Mirror (L2-L7) Bob s ID Certificate session Key Network Probe- Deep Packet Inspection - L7 analysis Protocol certification inspection Issuing Owner/Unit Reclassified as by.the information contained in this document is the property of Enel SpA and must be used by the recipient only for the purposes for which it was received. It may not be copied or disclosed in any way without the explicit permission of Enel SpA.

Il monitoraggio del traffico dati Una possibile soluzione con traffico cifrato Alice Application protocol (e.g. IEC 60870-5-104) Bob Alice s ID Certificate session Key Encrypted communication 1. Authentication 1.1 Role check Bob s ID Cerificate session Key L5-L7 accessible again 2. Get the Session Key TLS session Key Probe ID Certificate Trusted channel for Session Key sharing Network Probe- Deep Packet Inspection - L7 analysis Protocol certification inspection Issuing Owner/Unit Reclassified as by.the information contained in this document is the property of Enel SpA and must be used by the recipient only for the purposes for which it was received. It may not be copied or disclosed in any way without the explicit permission of Enel SpA.

Conclusioni L esperienza del nostro progetto ci dice che la norma IEC 62351 è sufficientemente matura per essere compitamente implementata sui sistemi in esercizio basati su IEC 60870-5-104. L impatto dell inserimento dello stack di sicurezza non è diverso da quello provocato da una comune significativa release di prodotto. Per giungere a una significativa diffusione di Sistemi di Telecontrollo messi in sicurezza mediante implementazione di IEC 62351 è necessario che parallelamente: 1. Utility e Fornitori facciano la loro parte nel tavolo IEC per far convergere la norma IEC 62351 ad un completo IS e sappiano trovare le opportunità per applicarla 2. Gli enti regolatori prevedano un progressivo ma obbligatorio percorso per la messa in sicurezza dello scambio dati fra gli operatori del mercato elettrico

IEC 62351 implementazione nei sistemi di telecontrollo per la Generazione Italia di Enel Grazie per l attenzione Federico Bellio, Enel Produzione Generazione Italia: federico.bellio@enel.com Gian Luigi Pugni, Enel Italia Information & Communication Technology: gianluigi.pugni@enel.com Marco Biancardi, ABB Power Systems Division: marco.biancardi@it.abb.com Mauro Casalini, ABB Power Systems Divisionv: mauro.casalini@it.abb.com

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back