Студопедия Главная Случайная страница Обратная связь

Разделы: Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Требования к обеспечению информационной безопасности в системах автоматизации и телемеханизации ТП МТ





5.6.1 В системах автоматизации и телемеханизации должен быть предусмотрен контроль доступа пользователей к функциям системы.

5.6.2 Для всех АРМ должны быть реализованы следующие уровни доступа:

- «прочие» - доступен только просмотр и навигация по видеокадрам;

- «поверитель» – права группы «прочие» и ввод коэффициентов и констант, влияющих на вычисление массы нефти/нефтепродукта;

- «диспетчер» («оператор») – права группы «прочие», управление технологическим оборудованием, просмотр значений технологических уставок, шкал и настроек, изменение уставок регулирования САР;

- «инженер» - права группы «диспетчер» («оператор») и права на изменение уставок и шкал, маскирование параметров готовности и защит, включение и отключение режимов имитации;

- «администратор» – права группы «поверитель», «инженер» и администрирование системы;

Группа пользователей «поверители» предназначена для работы только на АРМ СИКН. Возможность входа на другие АРМ с учетной записью из группы «поверители» должна быть заблокирована.

Каждая учетная запись должна входить только в одну из указанных групп. При вхождении учетной записи в две и более группы из указанных групп, прикладное ПО должно ограничивать права данной учетной записи правами группы «прочие».

Все локальные системные и доменные учетные записи, требующиеся для установки и настройки прикладного ПО должны быть удалены (заблокированы), вход в систему под именем данных записей должен быть запрещен.

5.6.3 Каждому пользователю прикладного ПО, в зависимости от должности, назначается учетная запись, включаемая в одну из групп, перечисленных в п. 5.6.2. Каждый пользователь перед началом работы, предусматривающей управление объектом или настройку системы, должен зарегистрироваться под собственной учётной записью. В прикладном ПО должна быть обеспечена возможность смены учетной записи пользователя прикладного ПО, без смены учетной записи пользователя операционной системы. Имя и пароль учетной записи, входящей в группу «прочие», должны быть известны всем зарегистрированным пользователям. Каждый пользователь по окончании работы должен зарегистрировать учетную запись, входящую в группу «прочие».

Ни одна учётная запись, кроме группы уровня «прочие», не должна действовать более 750 минут непрерывно. По истечении указанного времени любая учётная запись должна быть автоматически заменена на учётную запись «прочие», с выдачей оперативного сообщения о превышении максимального непрерывного времени действия учётной записи.

5.6.4. Учетная запись пользователя (кроме группы «прочие») должна позволять идентифицировать его признаки: Фамилию, Имя, Отчество, должность, подразделение, Общество, предоставленные пользователю служебные телефоны, служебный адрес электронной почты (при наличии), а также, при необходимости – другие общедоступные персональные данные, согласие об обработке которых получено от пользователя в соответствии с требованиями Федерального закона [4].

5.6.5 Все программное обеспечение технических средств АСУ ТП не должно иметь функций, требующих соединений с Интернетом и иными публичными или корпоративными сетями сторонних организаций, в том числе для обновления, подтверждения лицензии или активации.

Серверное и прикладное программное обеспечение, работающее под операционной системой Windows, должно быть совместимым с антивирусным программным обеспечением, используемым в ОАО «АК «Транснефть».

5.6.6 Для обеспечения информационной безопасности в части отделения ЛВС АСУ ТП уровней ТДП, РДП и МДП от других сетей должны использоваться межсетевые экраны.

5.6.7 На уровне площадочных объектов ЛВС АСУ ТП должна быть физически отделена от корпоративной ЛВС, используемой для административного управления, связи с системами управления и оптимизации производственной деятельности (MES системы) и доступа в сеть Интернет. В точке подключения должен быть установлен межсетевой экран, обеспечивающий контроль межсетевого взаимодействия и фильтрацию трафика. Подключение авторизованных пользователей корпоративной сети к сети АСУ ТП уровней ТДП, РДП и МДП должно осуществляться по защищенным соединениям на фиксированные серверы внутри сети АСУ ТП (рисунок 1) строго по заданным протоколам:

- канальный уровень: Ethernet;

- сетевой уровень: IP;

- транспортный уровень: TCP (допускается использование UDP);

- прикладной уровень: HTTP и HTTPS.

Примечание: Допускается использовать внутрифирменные протоколы связи баз данных, таких как MS SQL Server, Oracle, OSI PI System и т.п. Использовать DCOM запрещается.

Из ЛВС АСУ ТП уровней ТДП, РДП и МДП должна быть исключена возможность получения и отправки электронной почты пользователям корпоративной почтовой системы ОАО «АК «Транснефть» и внешним абонентам, а также должен быть исключен доступ в сеть Интернет и иным публичным или корпоративным сетям сторонних организаций.

 

 

Рисунок 1. Подключение пользователей корпоративной сети (в т.ч. MES систем) к сети
АСУ ТП

Связь между ЛВС АСУ ТП и корпоративной ЛВС, используемой для административного управления, связи с системами управления и оптимизации производственной деятельности (MES системы), должна осуществляться на базе сетевого протокола IP поверх соединений 10/100/1000 Base-TX/FX/Т/Х Ethernet.

Все маршрутизаторы и коммутаторы должны поддерживать диагностику на базе протокола SNMP.

5.6.8 На уровне линейных объектов ЛВС АСУ ТП должна быть физически или логически отделена от корпоративной ЛВС, используемой для административного управления, связи с системами управления и оптимизации производственной деятельности (MES системы) и доступа в сеть Интернет.

5.6.9 На этапе развертывания систем и АРМ, в процессе их эксплуатации и обновления (модернизации), должен осуществляться контроль целостности системного и прикладного программного обеспечения.

5.6.10 Предварительная отладка, тестирование ПО должно производиться на специально предназначенных имитаторах и тренажерах.

5.6.11 Во всех операционных системах серверов должен быть настроен контроль (аудит) удачных и неудачных попыток регистрации, копирования, чтений/записи, выполнения или удаления файлов стандартными средствами операционной системы.

5.6.12 В серверах и АРМ всех уровней должен быть исключён доступ к внешним устройствам записи информации (накопителей на гибких магнитных дисках (дискетах), приводов CD‑RW, USB-портов (кроме портов для включения аппаратных ключей ПО) и т.п. устройств записи информации), к возможности записи и запуска ПО, в том числе портативного (компактных аналогов обычных программ, не требующих установки) для всех пользователей за исключением пользователей с уровнем доступа «администратор».

Удалённый доступ к оборудованию среднего уровня систем автоматизации площадочных объектов из ЛВС МДП, а также других сетей должен быть исключен. Удалённый доступ к оборудованию среднего уровня систем автоматизации площадочных объектов может осуществляться только с верхнего уровня соответствующей системы автоматизации площадочного объекта.







Дата добавления: 2015-08-12; просмотров: 1289. Нарушение авторских прав; Мы поможем в написании вашей работы!




Важнейшие способы обработки и анализа рядов динамики Не во всех случаях эмпирические данные рядов динамики позволяют определить тенденцию изменения явления во времени...


ТЕОРЕТИЧЕСКАЯ МЕХАНИКА Статика является частью теоретической механики, изучающей условия, при ко­торых тело находится под действием заданной системы сил...


Теория усилителей. Схема Основная масса современных аналоговых и аналого-цифровых электронных устройств выполняется на специализированных микросхемах...


Логические цифровые микросхемы Более сложные элементы цифровой схемотехники (триггеры, мультиплексоры, декодеры и т.д.) не имеют...

Медицинская документация родильного дома Учетные формы родильного дома № 111/у Индивидуальная карта беременной и родильницы № 113/у Обменная карта родильного дома...

Основные разделы работы участкового врача-педиатра Ведущей фигурой в организации внебольничной помощи детям является участковый врач-педиатр детской городской поликлиники...

Ученые, внесшие большой вклад в развитие науки биологии Краткая история развития биологии. Чарльз Дарвин (1809 -1882)- основной труд « О происхождении видов путем естественного отбора или Сохранение благоприятствующих пород в борьбе за жизнь»...

Кишечный шов (Ламбера, Альберта, Шмидена, Матешука) Кишечный шов– это способ соединения кишечной стенки. В основе кишечного шва лежит принцип футлярного строения кишечной стенки...

Принципы резекции желудка по типу Бильрот 1, Бильрот 2; операция Гофмейстера-Финстерера. Гастрэктомия Резекция желудка – удаление части желудка: а) дистальная – удаляют 2/3 желудка б) проксимальная – удаляют 95% желудка. Показания...

Ваготомия. Дренирующие операции Ваготомия – денервация зон желудка, секретирующих соляную кислоту, путем пересечения блуждающих нервов или их ветвей...

Studopedia.info - Студопедия - 2014-2024 год . (0.011 сек.) русская версия | украинская версия