Студопедия — Требования к обеспечению информационной безопасности в системах автоматизации и телемеханизации ТП МТ
Студопедия Главная Случайная страница Обратная связь

Разделы: Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Требования к обеспечению информационной безопасности в системах автоматизации и телемеханизации ТП МТ






5.6.1 В системах автоматизации и телемеханизации должен быть предусмотрен контроль доступа пользователей к функциям системы.

5.6.2 Для всех АРМ должны быть реализованы следующие уровни доступа:

- «прочие» - доступен только просмотр и навигация по видеокадрам;

- «поверитель» – права группы «прочие» и ввод коэффициентов и констант, влияющих на вычисление массы нефти/нефтепродукта;

- «диспетчер» («оператор») – права группы «прочие», управление технологическим оборудованием, просмотр значений технологических уставок, шкал и настроек, изменение уставок регулирования САР;

- «инженер» - права группы «диспетчер» («оператор») и права на изменение уставок и шкал, маскирование параметров готовности и защит, включение и отключение режимов имитации;

- «администратор» – права группы «поверитель», «инженер» и администрирование системы;

Группа пользователей «поверители» предназначена для работы только на АРМ СИКН. Возможность входа на другие АРМ с учетной записью из группы «поверители» должна быть заблокирована.

Каждая учетная запись должна входить только в одну из указанных групп. При вхождении учетной записи в две и более группы из указанных групп, прикладное ПО должно ограничивать права данной учетной записи правами группы «прочие».

Все локальные системные и доменные учетные записи, требующиеся для установки и настройки прикладного ПО должны быть удалены (заблокированы), вход в систему под именем данных записей должен быть запрещен.

5.6.3 Каждому пользователю прикладного ПО, в зависимости от должности, назначается учетная запись, включаемая в одну из групп, перечисленных в п. 5.6.2. Каждый пользователь перед началом работы, предусматривающей управление объектом или настройку системы, должен зарегистрироваться под собственной учётной записью. В прикладном ПО должна быть обеспечена возможность смены учетной записи пользователя прикладного ПО, без смены учетной записи пользователя операционной системы. Имя и пароль учетной записи, входящей в группу «прочие», должны быть известны всем зарегистрированным пользователям. Каждый пользователь по окончании работы должен зарегистрировать учетную запись, входящую в группу «прочие».

Ни одна учётная запись, кроме группы уровня «прочие», не должна действовать более 750 минут непрерывно. По истечении указанного времени любая учётная запись должна быть автоматически заменена на учётную запись «прочие», с выдачей оперативного сообщения о превышении максимального непрерывного времени действия учётной записи.

5.6.4. Учетная запись пользователя (кроме группы «прочие») должна позволять идентифицировать его признаки: Фамилию, Имя, Отчество, должность, подразделение, Общество, предоставленные пользователю служебные телефоны, служебный адрес электронной почты (при наличии), а также, при необходимости – другие общедоступные персональные данные, согласие об обработке которых получено от пользователя в соответствии с требованиями Федерального закона [4].

5.6.5 Все программное обеспечение технических средств АСУ ТП не должно иметь функций, требующих соединений с Интернетом и иными публичными или корпоративными сетями сторонних организаций, в том числе для обновления, подтверждения лицензии или активации.

Серверное и прикладное программное обеспечение, работающее под операционной системой Windows, должно быть совместимым с антивирусным программным обеспечением, используемым в ОАО «АК «Транснефть».

5.6.6 Для обеспечения информационной безопасности в части отделения ЛВС АСУ ТП уровней ТДП, РДП и МДП от других сетей должны использоваться межсетевые экраны.

5.6.7 На уровне площадочных объектов ЛВС АСУ ТП должна быть физически отделена от корпоративной ЛВС, используемой для административного управления, связи с системами управления и оптимизации производственной деятельности (MES системы) и доступа в сеть Интернет. В точке подключения должен быть установлен межсетевой экран, обеспечивающий контроль межсетевого взаимодействия и фильтрацию трафика. Подключение авторизованных пользователей корпоративной сети к сети АСУ ТП уровней ТДП, РДП и МДП должно осуществляться по защищенным соединениям на фиксированные серверы внутри сети АСУ ТП (рисунок 1) строго по заданным протоколам:

- канальный уровень: Ethernet;

- сетевой уровень: IP;

- транспортный уровень: TCP (допускается использование UDP);

- прикладной уровень: HTTP и HTTPS.

Примечание: Допускается использовать внутрифирменные протоколы связи баз данных, таких как MS SQL Server, Oracle, OSI PI System и т.п. Использовать DCOM запрещается.

Из ЛВС АСУ ТП уровней ТДП, РДП и МДП должна быть исключена возможность получения и отправки электронной почты пользователям корпоративной почтовой системы ОАО «АК «Транснефть» и внешним абонентам, а также должен быть исключен доступ в сеть Интернет и иным публичным или корпоративным сетям сторонних организаций.

 

 

Рисунок 1. Подключение пользователей корпоративной сети (в т.ч. MES систем) к сети
АСУ ТП

Связь между ЛВС АСУ ТП и корпоративной ЛВС, используемой для административного управления, связи с системами управления и оптимизации производственной деятельности (MES системы), должна осуществляться на базе сетевого протокола IP поверх соединений 10/100/1000 Base-TX/FX/Т/Х Ethernet.

Все маршрутизаторы и коммутаторы должны поддерживать диагностику на базе протокола SNMP.

5.6.8 На уровне линейных объектов ЛВС АСУ ТП должна быть физически или логически отделена от корпоративной ЛВС, используемой для административного управления, связи с системами управления и оптимизации производственной деятельности (MES системы) и доступа в сеть Интернет.

5.6.9 На этапе развертывания систем и АРМ, в процессе их эксплуатации и обновления (модернизации), должен осуществляться контроль целостности системного и прикладного программного обеспечения.

5.6.10 Предварительная отладка, тестирование ПО должно производиться на специально предназначенных имитаторах и тренажерах.

5.6.11 Во всех операционных системах серверов должен быть настроен контроль (аудит) удачных и неудачных попыток регистрации, копирования, чтений/записи, выполнения или удаления файлов стандартными средствами операционной системы.

5.6.12 В серверах и АРМ всех уровней должен быть исключён доступ к внешним устройствам записи информации (накопителей на гибких магнитных дисках (дискетах), приводов CD‑RW, USB-портов (кроме портов для включения аппаратных ключей ПО) и т.п. устройств записи информации), к возможности записи и запуска ПО, в том числе портативного (компактных аналогов обычных программ, не требующих установки) для всех пользователей за исключением пользователей с уровнем доступа «администратор».

Удалённый доступ к оборудованию среднего уровня систем автоматизации площадочных объектов из ЛВС МДП, а также других сетей должен быть исключен. Удалённый доступ к оборудованию среднего уровня систем автоматизации площадочных объектов может осуществляться только с верхнего уровня соответствующей системы автоматизации площадочного объекта.







Дата добавления: 2015-08-12; просмотров: 1244. Нарушение авторских прав; Мы поможем в написании вашей работы!



Аальтернативная стоимость. Кривая производственных возможностей В экономике Буридании есть 100 ед. труда с производительностью 4 м ткани или 2 кг мяса...

Вычисление основной дактилоскопической формулы Вычислением основной дактоформулы обычно занимается следователь. Для этого все десять пальцев разбиваются на пять пар...

Расчетные и графические задания Равновесный объем - это объем, определяемый равенством спроса и предложения...

Кардиналистский и ординалистский подходы Кардиналистский (количественный подход) к анализу полезности основан на представлении о возможности измерения различных благ в условных единицах полезности...

Выработка навыка зеркального письма (динамический стереотип) Цель работы: Проследить особенности образования любого навыка (динамического стереотипа) на примере выработки навыка зеркального письма...

Словарная работа в детском саду Словарная работа в детском саду — это планомерное расширение активного словаря детей за счет незнакомых или трудных слов, которое идет одновременно с ознакомлением с окружающей действительностью, воспитанием правильного отношения к окружающему...

Правила наложения мягкой бинтовой повязки 1. Во время наложения повязки больному (раненому) следует придать удобное положение: он должен удобно сидеть или лежать...

ЛЕЧЕБНО-ПРОФИЛАКТИЧЕСКОЙ ПОМОЩИ НАСЕЛЕНИЮ В УСЛОВИЯХ ОМС 001. Основными путями развития поликлинической помощи взрослому населению в новых экономических условиях являются все...

МЕТОДИКА ИЗУЧЕНИЯ МОРФЕМНОГО СОСТАВА СЛОВА В НАЧАЛЬНЫХ КЛАССАХ В практике речевого общения широко известен следующий факт: как взрослые...

СИНТАКСИЧЕСКАЯ РАБОТА В СИСТЕМЕ РАЗВИТИЯ РЕЧИ УЧАЩИХСЯ В языке различаются уровни — уровень слова (лексический), уровень словосочетания и предложения (синтаксический) и уровень Словосочетание в этом смысле может рассматриваться как переходное звено от лексического уровня к синтаксическому...

Studopedia.info - Студопедия - 2014-2024 год . (0.011 сек.) русская версия | украинская версия