СТА 3/2018

просы на подключение к серверу, обрат- ные ответы к клиенту, фактически конт- ролировать всю сессию, которая вклю- чает такие параметры, как тип сообще- ния, номер порта, адрес OPC-сервера, адрес OPC-клиента. При подобном под- ходе можно обеспечить защиту OPC- сервера. Примером подобного решения, кото- рое может контролировать сессию OPC Classic, основанную на технологии Microsoft DCOM/COM, является про- граммный модуль Tofino OPC Classic Enforcer LSM в составе программно-ап- паратного комплекса Tofino Xenon. Tofino OPC Classic Enforcer LSM прове- ряет, отслеживает и защищает каждое соединение, созданное приложением OPC. Комплекс динамически открыва- ет только TCP-порты, необходимые для каждого соединения, и только между конкретнымOPC-клиентом и сервером, который создал соединение (рис. 4). При настройке данных нет необходимо- сти изменений конфигурации на клиен- тах и серверах OPC. В качестве дополнительной защиты со стороны OPC-клиента (как правило, это машина на которой установлена SCADA-система) желательно использо- вать хороший антивирус, ограничиваю- щий на уровне системы управления эфирные окна сеанса обмена запроса- ми и ответами между ОРС-клиентами и серверами. З АКЛЮЧЕНИЕ Глубокая проверка данных (DPI) на уровне промышленных протоколов яв- ляется защитой, способной распознать самые изощрённые угрозы. Многие промышленные протоколы, такие как Modbus и OPC Сlassic, имеют ряд уязви- мостей, которые могут привести к пе- чальным и очень затратным послед- ствиям. Один из вариантов защиты – это глу- бокий анализ специфичных данных, присущих тому или иному протоколу. Программно-аппаратный комплекс Tofino Xenon – один из примеров устройства, которое может обеспечить реальную защиту промышленных про- токолов и оконечных устройств. В данной статье были рассмотрены модули для защиты протоколов Modbus TCP и OPC Classic. В следующей части статьи будут описаны типичные уязви- мости для протоколов Ethernet/IP, IEC104, DNP3 и GOOSE, а также меха- низмы их защиты. ● Л ИТЕРАТУРА 1. Воробьёв С. Глубокая защита промыш- ленного сетевого периметра // Совре- менные технологии автоматизации. – 2017. – № 4. 2. Классификация firewall’ов и определе- ние политики firewall’а [Электронный ресурс] // Режим доступа : https://www. intuit.ru/studies/courses/20/20/lecture/ 625?page=6. 3. Воробьёв С. “Defense in Depth” в действии. Уровень 1: защита границы сети // Совре- менные технологии автоматизации. – 2017. –№ 4. 4. Спецификация OPC UA [Электронный ресурс] // Режим доступа : http://www. bookasutp.ru/Chapter9_2_4.aspx. 5. Введение в COM/DCOM [Электронный ресурс] // http://www.delphikingdom.ru/asp/ viewitem.asp?catalogid=1108. Автор – сотрудник фирмы ПРОСОФТ Телефон: (495) 234-0636 E-mail: info@prosoft.ru ОБ ЗОР / П РОМЫШЛ Е ННЫЕ С Е Т И СТА 3/2018 31 www.cta.ru ОФИЦИАЛЬНЫЙ ДИСТРИБЬЮТОР УЗНАТЬ БОЛЬШЕ