Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Специализированные межсетевые экраны для АСУ ТП: нюансы применения

2,201 views

Published on

Интерес к теме обеспечения информационной безопасности промышленных объектов в целом и автоматизированных систем управления технологическими процессами (АСУ ТП) в частности не угасает уже несколько лет, скорее, даже нарастая со временем. В России актуальность темы признается на высоком государственном уровне, доказательством чему могут служить принимаемые нормативные документы и ведущиеся общественные дискуссии.

Published in: Devices & Hardware
  • Be the first to comment

Специализированные межсетевые экраны для АСУ ТП: нюансы применения

  1. 1. Широкое обсуждение и освеще- ние темы безопасности промышлен- ных объектов в нашей стране, к со- жалению, не приводит к появлению большогоколичествареальныхапро- бированных на практике подходов к обеспечению ИБ для АСУ ТП: на данный момент их не так много. По- мимо явно недостаточной эксперти- зы свою роль в этом играет и малое разнообразие имеющихся специали- зированных продуктов для защиты промышленных сетей от информа- ционных угроз, что зачастую приво- дит к идее (необходимости) исполь- зовать стандартные решения, ши- роко распространенные в классиче- ских офисных сетях. Вместе с хоро- шим пониманием принципов рабо- ты таких решений неизбежно в мир технологических процессов разра- ботчиками систем обеспечения ин- формационной безопасности вно- сятся классические же подходы, ни- как не учитывающие реальные осо- бенности промышленных объектов. Первыетехнико-коммерческиепред- ложения по теме обеспечения без- опасности ключевых систем инфор- мационной инфраструктуры от не- которых интеграторов несколько лет назад в части описания предлагае- мых технических решений и вовсе походили, например, на предложе- ния по обеспечению безопасности персональных данных с замененны- ми титульными листами. С течением времени ситуация, безусловно, меняется к лучшему: по- являются действительно работаю- щие подходы к обеспечению инфор- мационной безопасности АСУ ТП, находящие признание как в среде автоматизаторов, так и у специали- стов по информационной безопас- ностинапредприятиях.Расширяется и спектр доступных специализиро- ванных решений, в том числе, к сло- ву, и отечественного производства. Однимизнаиболеебогатыхсточ- кизренияразнообразиясредисредств обеспечения безопасности для про- мышленных сетей, пожалуй, являет- сясегментспециализированныхмеж- сетевых экранов для АСУ ТП. Дей- ствительно, международные стан- дарты и лучшие практики рекомен- дуют выполнять сегментирование сети, обеспечивая предотвращение сетевых штормов (например, при выходе оборудования из строя) и за- щиту критических сегментов сети от распространения вредоносного программного обеспечения и не- санкционированного доступа внут- ренних или внешних злоумышлен- ников. С точки зрения специализации, то есть ориентированности именно на промышленное применение, в ка- честве основных отличий таких меж- сетевых экранов от офисных реше- ний выделяют конструктивные осо- бенности и функциональные воз- можности. Некоторые из них пред- ставлены в таблице. На практике ни одно из решений не обладает сразу всеми перечисленными особенно- стями, и выбор конкретной модели Защита информации. INSIDE № 4'201560 БЕЗОПАСНОСТЬ КОМПЬЮТЕРНЫХ СИСТЕМ Специализированные межсетевые экраны для АСУ ТП: нюансы применения Алексей Комаров, региональный представитель в Москве Уральский центр систем безопасности akomarov@ussc.ru Интерес к теме обеспечения информационной безопасности промышленных объектов в целом и автоматизирован- ных систем управления технологическими процессами (АСУ ТП) в частности не угасает уже несколько лет, скорее, даже нарастая со временем. В России актуальность темы признается на высоком государственном уровне, доказа- тельством чему могут служить принимаемые нормативные документы и ведущиеся общественные дискуссии.
  2. 2. в любом случае всегда будет пред- ставлять собой компромисс между желаемым и возможным. Промышленное исполнение без- условно важно, ведь на производ- ственных объектах действительно могут быть сложные климатические условия, но в таком исполнении до- ступны и отдельные модели обыч- ных межсетевых экранов широкого профиля применения. Часто они по- лучают обозначения Military, Rugged илисхожие–такназываемыеSCADA Editions. С другой стороны, промышлен- ноеисполнениеудорожаетконечный продукт, и в каких-то случаях более экономически оправданным вполне может оказаться использование кли- матических шкафов или такое про- ектированиетопологии,прикотором не потребуется устанавливать доро- гостоящее оборудование в помеще- ниях с тяжелыми условиями экс- плуатации. Важнейшим же с точки зрения именно информационной безопас- ности функциональным отличием обычно считают поддержку про- мышленных протоколов с дополни- тельной глубокой инспекцией тра- фика (Deep Packet Inspection – DPI). Поддержка DPI означает контроль не только IP-адресов отправителя и получателя, портов, MAC-адресов объектов, но и возможность уста- новки углубленных проверок полез- ной нагрузки пакетов вплоть до за- данияправилдлякаждойвозможной пары «отправитель – получатель». В теории такой подход позво- ляет очень гибко настроить правила фильтрации пакетов вплоть до за- прета конкретных команд управле- ния в случае поступления их, напри- мер, не из заданного сегмента сети илиснесанкционированногорабоче- го места. На практике же существует целый ряд ограничений. Во-первых, универсальных ре- шенийсодновременнойподдержкой множества протоколов не существу- ет, поэтому каждая ситуация будет уникальнойвсвоемроде,требуяпод- бора под конкретный объект отдель- ного решения. В случае же примене- ния в промышленной сети несколь- ких протоколов и вовсе может по- требоваться набор продуктов, каж- дыйизкоторыхобладаетсвоимиосо- бенностями подключения, настрой- ки, управления и, что немаловажно, своим прайс-листом и политикой лицензирования. Вторымважнымобстоятельством являетсявысокаясложностьнастрой- ки выбранного специализированно- го межсетевого экрана под конкрет- ный технологический процесс. Для корректной настройки такого класса решений потребуется тесное взаи- модействие со специалистами, хоро- шо понимающими суть технологи- ческих процессов, но не в представ- лении интерфейса системы управ- ления или на уровне показаний кон- кретных датчиков и технологиче- ских параметров установок, а с точки зрения сетевого трафика и переда- ваемых пакетов с командами управ- ления. При достаточно сложном тех- нологическом процессе потребуется оченьтонкаяидлительнаянастройка межсетевого экрана, учитывающая нюансы всех возможных штатных и нештатных режимов работы. Безусловно, такая работа может быть проведена, но с учетом имею- щегосянасегодняшнийденьинстру- ментария она будет достаточно за- тратной по ресурсам (человеческим и временным) и крайне слабо мас- штабируемой из-за различий, при- сущих в реальности даже двум ти- повым объектам в рамках одного сложногопромышленно-технологи- ческого комплекса. Взаключениестоитотметить,что даже позиционирующиеся как спе- циализированные для АСУ ТП меж- сетевые экраны на самом деле могут иметь целый ряд ограничений по областисвоегоприменения,поэтому в силу отсутствия универсального решениякаждыйконкретныйслучай сегментирования сети промышлен- ного объекта с применением меж- сетевых экранов должен рассматри- ваться отдельно. Иногда, например, применитель- но к особо критическим объектам, число которых не слишком велико, использование специализированных межсетевых экранов с глубокой под- держкой промышленных протоко- лов является оправданным и даже необходимым, но в других случаях такой функционал может оказаться избыточным. Индустриальное исполнение дей- ствительноспособноупроститьиуде- шевить строительно-монтажные ра- боты, но его итоговое влияние на общую стоимость проекта следует оценивать только в комплексе. На- пример, более целесообразным мо- жет оказаться применение, скажем, программного межсетевого экрана, установленного на компьютер, со- бранный в промышленном испол- нении. ■ Защита информации. INSIDE № 4'2015 61 БЕЗОПАСНОСТЬ КОМПЬЮТЕРНЫХ СИСТЕМ Таблица. Некоторые указываемые производителями отличия специализированных промышленных межсетевых экранов от офисных решений Конструктивные особенности ● пыле-/влагозащищенность ● безвентиляторное исполнение ● работа в условиях повышенной влажности ● расширенный температурный диапазон ● устойчивость к электромагнитным наводкам ● питание от постоянного тока (9 В–48 В) ● специализированное крепление (DIN-рейка) ● наличие специализированных разъемов (RS232/485) Конструктивно- функциональные особенности ● быстрое восстановление конфигураций с физических носителей (карты памяти или USB) ● физическая кнопка отключения/изменения режимов работы Функциональные особенности ● упрощенный интерфейс управления ● длительное время безобслуживаемой работы ● корректная работа со специфическим трафиком (значительное число пакетов в секунду при небольшом их размере) ● глубокая поддержка промышленных протоколов

×