ЖУРНАЛ СТА 4/2013

12 СТА 4/2013 ОБЗОР /ПРОМЫШЛЕННЫЕ СЕТИ www.cta.ru В ВЕДЕНИЕ Мировая промышленность, объекты транспортной отрасли и энергетики в настоящее время испытывают трудно- сти с обеспечением должного уровня IT-безопасности. Эта сфера, вбираю- щая в себя многочисленные критиче- ски важные приложения, в основном использует типовые SCADA-системы и промышленные АСУ со стандартизи- рованными протоколами обмена дан- ными. Многие из этих систем проекти- ровались десятки лет назад, когда понятия IT-безопасности не существо- вало вовсе. Современные сетевые технологии уже плотно вошли в промышленную инфраструктуру, позволяя получить сквозной доступ к информации в сети на всех уровнях – от полевого до адми- нистративного. С одной стороны, лёг- кий доступ к информации повышает эффективность системы, а с другой стороны, возрастает её уязвимость со стороны различных сетевых угроз (не- санкционированный доступ, вирусы, хакерские атаки). Эта проблема требу- ет немедленного решения, но, учиты- вая большую продолжительность жиз- ненного цикла промышленных сис- тем, рассчитывать на быстрое появле- ние и распространение защищённых SCADA-систем, промышленных сис- тем управления и соответствующих протоколов не приходится. Между тем решения для устранения бреши в безопасности промышленных систем существуют. Одним из них яв- ляется применение специальных брандмауэров для SCADA-систем, ис- пользующих технологию глубокого анализа пакетов данных (Deep Packet Inspection – DPI) и способных обеспе- чить контроль над трафиком системы управления. Данная статья раскрывает понятие глубокого анализа пакетов (DPI) в системах управления и показы- вает различие между промышленными брандмауэрами и известными их офис- ными аналогами. Также она представ- ляет варианты применения DPI IT- специалистами для блокирования вре- доносного и несанкционированного трафика, избегая непосредственного вмешательства в работу системы управления. А приведённый в статье пример показывает, как судоходная компания применила брандмауэры с технологией DPI для Modbus-протоко- ла с целью защитить систему управле- ния судоходными каналами. Н ЕОБХОДИМОСТЬ В НОВЫХ ТЕХНОЛОГИЯХ БЕЗОПАСНОСТИ За последние 10 лет промышленные системы освоили такие сетевые техно- логии, как Ethernet и TCP/IP. Эти тех- нологии широко используются в про- мышленных АСУ и SCADA-системах, создавая условия для более эффектив- ной работы предприятий и делая сис- темы контроля более доступными для пользователей. Но наряду с преимуще- ствами они принесли и проблему: объ- единение информационных сетей на разных уровнях предприятия в единое сквозное информационное простран- ство значительно повышает уязви- мость системы со стороны внешних атак, сетевых «червей», вирусов и хаке- ров. Проблему усугубляет то, что сете- вые протоколы, используемые про- мышленными АСУ и SCADA-система- ми, разрабатывались без учёта каких- либо требований по обеспечению без- опасности. Если они и предлагают не- которые меры по ограничению нега- тивного поведения в сети, то эти меры крайне примитивны и легко обходят- ся. А если кому-либо разрешено чи- тать данные с контроллера, то он мо- жет выключить или перепрограммиро- вать его. Данная ситуация не изменится, по крайней мере, ещё лет десять. Про- мышленные системы контроля и управления редко заменяются и модер- низируются, их срок эксплуатации со- ставляет от 10 до 20 и более лет. Функ- Эрик Байрс В статье рассматривается специфика обеспечения IT-безопасности в промышленной среде, приводятся примеры реальных угроз. Представлена технология DPI как основное средство обнаружения вредоносного программного обеспечения; приведён пример оборудования, реализующего данную технологию. IT-безопасность в промышленности. Глубокий анализ пакетов данных для SCADA-систем