Биржа баннеров
Цена от до  у.е.
Главная Владельцам сайтов Дизайнерская Важные материалы О проекте Обратная связь
 
 
забыл пароль | регистрация
SiteHeart
>Справка
Штрихкоды
Стандарт штрихкода EAN-13
ASCII-код
Анонимный криптоаналитик - математик Чарльз Бэббидж
Идея Альберти
Полиалфавитный шифр
Шифр Цезаря
Перестановочное шифрование
Стеганография
Комната 40
Телеграмма Циммермана
Принцип Керкгоффса
Коды, шифры и ключи
Криптография - искусство написания и вскрытия шифров
Opera перходит на WebKit
Кредитный брокеридж
Франшиза для маленьких
Российский авторынок преодолел докризисный "пик"
Рынок льготной аренды в Москве
Поддельные пятитысячные рублевые банкноты
Онлайновые супермаркеты
Растущая популярность краудфандинга
Уроки Facebook
Франчайзинговые предприятия в США
Сетевой маркетинг
Консалтинговая компания McKinsey
Устойчивый к рецессии нишевой бизнес
География стартапа
Проблемы американского компьютерного гиганта Dell
О противостоянии основателей и инвесторов Dream Industries
В России началось внедрение Универсальной электронной карты
Группа "Нэфис"
Газпромбанк
Nokian Tyres - непродовольственные товары
"Яндекс" - Информационные и развлекательные ресурсы
Ozon.ru
Владелец "Глории Джинс"
Самая затратная статья в бюджете фарм - компаний
Будущий интерфейс
Офлайк
Идеи краудсорсинга
Дейв Голдберг - интернет-предприниматель
Кабинетные игры
Офисные каратели
Фитнес для ленивых - оксюморон
В онлайне стали появляться свои "Ашаны" и "Пятерочки"
Арендные ставки в столице могут снизиться
Американская обувная компания Crocs
Присоединение к ВТО
Китайский летчик Taobao
Компания I Like - одноименный брэнд электронных сигарет
Особенности сертификации СЗИ
Защитите свой компьютер
Вредоносные программы будут эволюционировать
Windows 8 индивидуальная улучшенная защита
Электронная подпись для Web-порталов и облачных сервисов
Телефонные закладки
Безопасное использование технологии QR-кодов
Защита АСУ ТП: от теории к практике
Защита виртуальных ЦОД
Data-центр - вопросы надежности
Сфера информационных разработок
IDM-система важная мера борьбы с компьютерными преступлениями
Защита информации о сложном простыми словами
Центр администрирования Active Directory
Написать свой фреймворк
Банковская автоматическая денежная машина
Мобильная операционная система
Безопасная ОС от Kaspersky Lab
Компания JetBrains
Google представил новую версию Android 4.2
Компания ASUS представила новую модель PadFone2.0
Новая стабильная версия Firefox 16
Стремительное развитие коммуникаций в Интернете
Идеальная рекламная кампания
Преимущества открытых инноваций
Лидерство в технологической гонке
Соглашения о торговых аспектах прав интеллектуальной собственности
Частные инвесторы работающие с инновационными проектами
Прогноз - дело неблагодарное
Бесплатная Академия дистанционного обучения
Запрете на ввоз живого скота из ЕС
Sky Express и "Авианова" покинули российский рынок авиаперевозок
Разработка интерфейса для игры UFO: The legacy
Happy Meal McDonalds
Julia Klikc
Фирменный стиль ELITEO Financial Group
Новая идеология потребления видео в Интернете
Создания систем мониторинга событий
Перспективы юридического электронного документооборота
Безопасна ли IТ-безопасность
Авторская социальная сеть "Цифровой автограф"
SafePhone - решение для защиты корпоративной сотовой связи
Современные компьютерные угрозы
Терминальный доступ
Онлайн банкинг
Киберпреступность в банковской сфере
Создание и настройка целей Google Analitics
Система рекламы в социальных сетях
Обзор статейных бирж
Эффективные инструменты E-mail маркетинга
Купонные сервисы
Нововведения в Google
Фильтры Яндекса
Эффективность web-аналитики
Обзор SEO-форумов
Потенциальное будущее SEO-сферы
SEO-статья и ее составляющие
Что такое SE0 сегодня
Развитие SEO-оптимизации
История возникновения SEO-продвижения
Глобальная сеть Интернет
Обзор надежных и проверенных хостингов
Облачный хостинг
Как правильно выбрать хостинг
Самые популярные разновидности хостинга
Ценность франшизы
На сколько важны социальных медиа
Китайский стиль ведения бизнеса
CEO привлеченные в компанию со стороны
Поиск наемного менеджера
Медицинский туризм
Внедрение корпоративных соцсетей
Каждый десятый предприниматель в Черногории - россиянин
Скромный ресурс aviasales.ru
История Sony
3D-принтера становится всё ближе к массам
Квадратный спаситель
Прощай YouTube
Финансовые падения на периферии Европы
Крупнейшая в Монголии золотодобывающая компания "Золотой Восток Монголия"
"Мать и дитя" - входит в пятерку лидеров российского рынка медицинских услуг
Почему большие состояния демотивируют
Насколько в России можно наследовать богатство
Бизнес семьи Ротенбергов
Наследники состояний участников списка Forbes
Венчурный капиталист Дэвид Картер
На системе WORDPRESS 60 млн сайтов
Корпоративная культура в современном бизнесе
Калифорнийская компания Intuit
Биржа вырождается в казино
Бум социальных сетей начался всего шесть лет
Рост прямых иностранных инвестиций в мире продолжается
Запрет на доступ в "виртуальные курилки"
Как корпорациям выстраивать свои стратегии в социальных сетях
Трио создателей Easy Meal
Оперативная реакция основа эффективного маркетинга
Рынок натурального зернового кофе
На биржевых площадках воцаряются торговые роботы
У сетевого ритейла обычно три подхода к СТМ
Первая волна открытия коворкингов
Американские посевные инвесторы
Набирающий популярность на Западе краудфандинг
Как работает поисковое продвижение сайта?
Разработка сайта для оказания услуг
Туры в Пиерию, Греция
Как повысить продажи
Об эффективности баннеров
Форматы баннеров
Показать весь список


Защита АСУ ТП: от теории к практике



Сегодня тема защиты АСУ ТП в нашей стране  одна из наиболее “разогретых” в области защиты информации и фактически является трендом, следовать которому стараются многие. Действительно, в тему обеспечения безопасности конфиденциальной информации, персональных данных (ТТДн) специалисты И Б погружены довольно давно. Вопросы защиты практически во всех отраслях так или иначе определены, и выработаны принципы и подходы к построению систем ИБ.

Почему защита АСУ ТП стала актуальной

Однако в части защиты систем АСУ ТП на промышленных предприятиях, предприятиях топливно-энергетического комплекса все еще остается много вопросов. В том числе и потому, что защитой АСУ ТП до недавнего времени мало кто интересовался. Приблизительно год назад о проблеме защиты АСУ ТП внезапно все вспомнили (разумеется, данной темой интересовались и ранее, но не в таких масштабах): в блогах, публикациях, на семинарах на данную тему в этом году дискутировали многие, при этом были и заявления о наличии богатого опыта защиты АСУ ТП.На самом деле, в данном случае понятие "внезапно" не является совсем точным. Внимание к проблеме защиты АСУ ТП вызвано двумя факторами.Первый - произошедшие и происходящие в настоящий период инциденты (червь Stux-net, "иранский" ответ в виде червя Shamoon, взлом серверов и кража информации OaSyS SCADA Telvent (Schneider Electric) и другие инциденты) создали благодатную почву для повышенного внимания к проблематике.

Второй - закончился долгий период отсутствия внимания к проблеме со стороны отечественных регуляторов. После семилетней паузы (документ от 2005 г. "Система признаков критически важных объектов") Совет Безопасности РФ в 2012 г. выпустил документ "Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критично важных объектов инфраструктуры Российской Федерации".
Если коротко резюмировать посыл этих изменений, то составляется дорожная карта или государственная концепция защиты КСИИ. Планируется создание концептуально новой, единой глобальной системы обнаружения компьютерных атак в КСИИ, формирование сил обнаружения и предупреждения компьютерных атак. Определяется необходимость проработки вопросов лицензирования и сертификации, определяется исключение или ограничение прохождения информационного обмена по территории иностранных государств. Также определяются сроки и этапы работ по реализации единой государственной концепции защиты КСИИ с 2013 по 2020 г. Нужно отметить, что, несмотря на все упомянутые документы, на законодательном уровне конкретные требования пока не определены.В рамках данной статьи рассмотрим некоторые технические вопросы защиты систем АСУ ТП, являющихся подмножеством систем КСИИ.

Проблема в сложности АСУТП или в интеграторах?

Какие требования предъявляет проблематика защиты АСУ ТП к интеграторам ИБ? На мой взгляд, требуется сочетание опыта в сфере защиты информации и опыта реализации проектов по созданию инфраструктуры АСУ ТП. Необходимо знание специфики работы промышленных систем и особенностей работы сетевых протоколов АСУ ТП, умение ориентироваться в рекомендациях отечественных регуляторов и западных стандартов. Поэтому крайне желательно наличие среди специалистов интегратора как инженеров по АСУ ТП, так и специалистов по ИБ (такое сочетание,как инженер АСУ ТП и специалист ИБ, в одном лице - достаточно редкое явление).В действительности далеко не во всех проектных организациях есть инженеры по системам АСУ ТП, а также имеется опыт реализации проектов по защите АСУ ТП. Также в проектных организациях не часто встречаются выделенные подразделения безопасности АСУ ТП, специализирующиеся на изучении проблемы и наращивании компетенций в данной области. При этом наблюдается позиционирование практически всех системных интеграторов как обладателей экспертизы в области защиты АСУ ТП.

Если говорить о существующем сегодня подходе к защите АСУ ТП, то он во многом перенесен из других отраслей. Как правило, это защита на сетевом (IP) уровне, с хорошо знакомыми интеграторам средствами защиты и организационными мерами. Отчасти в этом есть здравый смысл, тем более что тенденция развития систем АСУ ТП активно смещается к использованию стека протоколов TCP/IP и к стандартным ОС, что добавляет классические сетевые угрозы ИБ. Но в целом такой подход больше похож на "делаем что умеем". Зачастую не выполняется даже комплекс банальных мер защиты в самих сегментах АСУ ТП. Интеграторы и владельцы подчас боятся затрагивать сегмент АСУ ТП, особенно на его нижних уровнях. Учитывая, что в нем основной целью злоумышленников является контрольно-измерительная информация, данный подход, мягко говоря, не эффективен. Также не всегда возможна реализация рекомендаций отечественных регуляторов и западных стандартов без ущерба нормальному функционированию систем АСУ ТП.К примеру, полная изоляция сегментов АСУ ТП подчас технически невозможна без ущерба функциональности системы, но в некоторых случаях регуляторы предъявляют такие требования к конкретным владельцам КСИИ.Находить изящное, не конфликтующее и действительно функциональное решение в таких условиях является непростой задачей для интегратора при защите АСУ ТП.Примеры специализированного подхода к обеспечению безопасности сегментов АСУ ТП

Подход к обеспечению ИБ в любой отрасли должен быть комплексным, и защита АСУ ТП не является исключением. Должна быть проведена оценка угроз ИБ, разработаны правила политики безопасности и т.д. Если же говорить о технических аспектах защиты, то, как известно, АСУ ТП логически разделяют на три уровня:

•    верхний уровень, или уровень визуализации,диспетчеризации и сбора данных;

•    средний уровень, или уровень контроллеров;

•    нижний уровень, или уровень контрольно-измерительного оборудования.

Наиболее критичные уровни с точки зрения защиты - это верхний и средний уровни АСУ ТП. И это связано с тем, что нижний уровень в большинстве случаев хорошо изолирован логически и защищен физически. Также он относительно малоизвестен для среднестатистического злоумышленника и, что наиболее важно, использует изолированную среду на физическом уровне (RS-232, RS-485 и т.д.).Верхний уровень критичен потому, что чаще всего представляет собой единую точку управления и мониторинга АСУ ТП. Также только данный уровень, как правило, взаимодействует с внешним миром (хотя на практике обнаруживаются подключения и на других уровнях). Средний уровень обрабатывает и непосредственно влияет на наиболее критичный тип данных АСУ ТП - контрольно-измерительную информацию.
Ниже приведены два примера защиты АСУ ТП с использованием специализированных средств на верхнем и среднем уровнях.
Пример 1: Решение по защите на верхнем уровне АСУ ТПДля защиты сегмента АСУ ТП от попыток НСД со стороны корпоративного сегмента ЛВС и сохранения при этом информационного взаимодействия между сегментами применяются системы одностороннего межсетевого взаимодействия, например Fox-IT DataDiode.

Данное решение изначально использовалось в информационных системах НАТО и потом нашло свое применение в АСУ ТП.
С точки зрения логики работы решение представляет собой специализированные прокси-серверы "черный" (сторона источника информационного потока - сегмент АСУ ТП) и "красный" (сторона назначения информационного потока -сегмент корпоративной ЛВС) -см. рис. 1. Взаимодействие осуществляется лишь в рамках пары "сервер АСУ ТП - прокси DataDiode". Между самими же прокси-серверами DataDiode происходит уже одностороннее взаимодействие. При этом однонаправленная связь реализуется именно на физическом уровне (см. рис. 1). Встречное воздействие исключено на физическом уровне за счет использования гальванической развязки (оптический интерфейс устройства DataDiode в сторону Red Proxy работает только в режиме transmit. Любые другие варианты взаимодействия исключены на аппаратном уровне).Например, в одном из реализованных проектов необходимо было обеспечить периодическую отсылку данных Historian OPC Server в сегмент корпоративной сети для мониторинга и анализа. Существует также множество других вариантов использования систем одностороннего межсетевого взаимодействия: обеспечение взаимодействия компонентов иерархии WSUS сегментов корпоративной сети и АСУ ТП, пересылка журналов аудита в формате syslog для SIEM-систем, расположенных вне сегмента АСУ ТП, однонаправленное взаимодействие по протоколам CIFS, SMTP и FTP для решения внутренних задач подразделений АСУ ТП .Разумеется, требования по контролю сессий никто не отменял, и межсетевые экраны также должны использоваться на входе и выходе из демилитаризованной зоны. В некоторых случаях возможно и целесообразно применение двунаправленной схемы одностороннего взаимодействия .

Пример 2. Решение по защите на среднем уровне АСУ ТП

Системы безопасности не часто внедряют на уровне контроллеров. Иногда используются системы обнаружения и предотвращения атак со специализированным для АСУ ТП набором сигнатур атак. Либо устанавливаются традиционные для корпоративных сетей межсетевые экраны, на которых настраиваются правила доступа для протоколов АСУ ТП с инспекцией на сетевом уровне TCP/IP (например, открывается доступ по порту TCP 502 (Modbus TCP)).В некоторых случаях на уровне контроллеров целесообразно использовать специализированные промышленные полевые межсетевые экраны (Field Firewalls, Industrial Firewalls).В настоящее время существует ряд западных решений (Tofino-security, Siemens и др.) и ведутся отечественные разработки в данном направлении.

Суть задачи в том, чтобы контролировать сессии промышленных протоколов не только на сетевом уровне (что реализовано почти во всех межсетевых экранах), но и на прикладном уровне(это реализовано в некоторых системах предотвращения атак, но в крайне ограниченном наборе сигнатур и с рядом других ограничений). Простейший пример - определять разрешаемый набор кодов функций на чтение и запись в протоколе Modbus, таким образом мы получаем полноценную инспекцию промышленных протоколов на уровне приложений (см. рис. 4). Именно эта информация является наиболее критичной в АСУ ТП. Разумеется, промышленные межсетевые экраны поддерживают все основные протоколы АСУ ТП: Modbus TCP, DNP3, OPC, МЭК 60870-5-104, CIP и десятки других.Немаловажным является исполнение устройств при защите на данном уровне АСУ ТП: требования к рабочей температуре, вибрационным нагрузкам, влагоустойчивости зачастую определяют необходимость использования устройств исключительно в промышленном исполнении.

Тенденции в области защиты АСУ ТП

В ближайшее время, вероятнее всего, значительная часть владельцев КСИИ будет больше озадачена получением реальной картины об уровне бедствия на их площадках с точки зрения ИБ. Поэтому большая часть проектов по защите АСУ ТП будет начинаться с работ по аудиту. При этом приоритетом с точки зрения концепции защиты будет в большинстве случаев являться выполнение требований ФСТЭК. И такую тенденцию мы наблюдаем уже сегодня. Впоследствии очень вероятно, что требования будут смещаться в сторону реального повышения уровня защищенности систем АСУ ТП и построения комплексных систем безопасности с ориентиром на лучшие мировые практики и стандарты в этой области (при соблюдении требований отечественных регуляторов).Быть действительно готовыми к таким возросшим требованиям специфичной отрасли -актуальная задача номер один для интеграторов ИБ.




вернуться
 
 
Главная            Владельцам сайтов            Дизайнерская            Важные материалы            О проекте           Обратная связь
© 2010, Баннерный агент. Все права защищены.
Продажа и покупка баннеров с качественных сайтов.