Обложка I 9 Table of Contents 11 Обложка IV

ЖУРНАЛ СТА 4/2014

отъемлемой частьюработы оператора си- стемы. Этот процесс подразумевает мно- жество действий, в том числе установку обновленийПОи антивирусных баз, мо- ниторинг сети на подозрительную актив- ность. Последнее может проводиться, например, путём анализа log-файлов на неавторизованную активность. Также су- ществуют специальные технологии под общим названием «Системы обнаруже- ния вторжений (СОВ)» , или в оригинале Intrusion Detection Systems (IDS). СОВ тоже не является панацеей и не в состоянии защитить систему управления от любого вредоносногоПО, это только часть стра- тегии защиты в глубину. С ПЕЦИАЛИЗИРОВАННЫМ СЕТЯМ – СПЕЦИАЛЬНЫЙ ПОДХОД Важно использовать технологии и ре- шения, предназначенные именно для промышленного сектора. Жёсткие усло- вия эксплуатации, опыт персонала, уни- кальные протоколы связи ифокус на без- опасность и надёжность приводят к раз- личию требований промышленной и ИТ-безопасности. Попробуем разделить эти два понятия. 1. Компоненты системы. Всё начинается с компонентов, поэтому важно уделять им внимание. Кабели, коннекторы, стойки и активное оборудование имеют ощутимые различия для систем промышленного и офисного назначе- ния. Промышленные компоненты имеют большую наработку на отказ (MTBF), рассчитаны на непрерывную работу и могут иметь специальное внешнее исполнение для соответствия необходимым температурным, вибра- ционным, электромагнитным пара- метрам среды. 2. Устойчивость к сбоям и резервирова- ние – те ключевые моменты, которые кардинально повышают надёжность системы и снижают риски аварий. Ре- зервирование узлов и каналов связи достигается на уровне активного сете- вого оборудования путём применения специальных стандартов и протоко- лов, например протокола параллель- ного резервирования (PRP) и протоко- ла бесшовного резервирования (HSR). 3. Активное оборудование. Интеграция активных компонентов в систему управления промышленной сетью может быть усложнена при использо- вании непромышленного коммуни- кационного оборудования. Обслужи- ванием, мониторингом и поддержкой промышленного оборудования обыч- но занимается персонал АСУ ТП, а не ИТ-специалисты. С этой точки зре- ния коммуникационное оборудова- ние, совместимое с промышленными средствами АСУ ТП – лучший выбор. 4. Межсетевые экраны – необходимый элемент для сегментации сети. Осо- бенность промышленных межсетевых экранов в том, что они оптимизирова- ны для промышленных протоколов, таких как MODBUS или OPC. Нали- чие тонких настроек для фильтрации специализированных протоколов свя- зи позволяет ограничить доступ к кри- тически важным сегментам сети. При наличии технологии глубокого анали- за пакетовDPI (Deep Packet Inspection) такие экраны позволяют обезопасить систему даже от вредоносного ПО, пе- редаваемого внутри разрешённых па- кетов данных (пример – вирус Stuxnet, распространяющийся внутри RPC-за- просов системы Siemens WinCC). 5. Принцип защиты в глубину. Согласно этому принципу защита сети передачи данных промышленного предприя- тия не ограничивается охраной пери- метра сети с помощью межсетевого экрана. Промышленная сеть должна быть сегментирована, а критически важные участки вынесены в безопас- ные зоны в соответствии со стандартом ISA IEC 62443. Каждая зона должна быть защищена индивидуальным про- мышленным межсетевым экраном, что обеспечит максимальный уровень безопасности при сохранении необхо- димых коммуникаций между зонами. З АКЛЮЧЕНИЕ В ИТ-мире необходимость посто- янной защиты от киберугроз ни у кого не вызывает споров. Сети критически важных ИТ-структур (правительствен- ные структуры, банки, дата-центры) обязательно содержат несколько уров- ней ИТ-безопасности, созданных на ба- зе программно-аппаратных, физиче- ских и логических средств. С проник- новением сетей на базе Ethernet на про- мышленные предприятия, в том числе на критически важные объекты энерге- тики, вопрос об их защите от вредонос- ного ПО становится не мене актуаль- ным. Один из примеров – стандарт МЭК 61850, предполагающий исполь- зование сетей Ethernet на электриче- ских подстанциях 35–500 кВ на всех уровнях, от верхнего уровня с сервера- ми и SCADA-системой, до нижнего с управлением технологическим обору- дованием. При этом простое копирование мето- дов обеспечения кибербезопасности из ИТ-сетей невозможно: архитектура, ха- рактер оборудования, типы трафика, внешняя среда и установленные регла- менты существенно отличаются. Разли- чаются и типы угроз, появление специ- фического класса промышленного вре- доносного ПО подразумевает специали- зированные методы и средства защиты. Подход и основные принципы обес- печения кибербезопасности промыш- ленных объектов описаны в стандарте IEC 62443, ранее опубликованном как ANSI/ISA99. Технические средства в виде промышленных межсетевых экра- нов доступны на рынке и позволяют ор- ганизовывать безопасные зоны с ПЛК или ОРС-серверами в соответствии с указанным стандартом. Пример такого оборудования – программно-аппарат- ный комплекс Eagle TOFINO производ- ства Hirschmann (рис. 1). Таким образом, при наличии соответ- ствующих методик и средств главной проблемой в обеспечении кибербезопас- ности промышленных объектов сейчас является слабое понимание специали- стами АСУ ТП критической важности внедрения этих средств. Этот процесс уже идёт полным ходом в США, стандар- ты NIST (National Institute of Standards and Technology) и NERC CIP (North American Electric Reliability Corporation, Critical Infrastructure Protection) уже яв- ляются обязательными для объектов энергетики. В России пока нет обяза- тельных стандартов промышленной ки- бербезопасности, но уже достаточно по- водов озаботиться этой темой. ● Автор – сотрудник фирмы ПРОСОФТ Телефон: (495) 2340636 Email: info@prosoft.ru 10 СТА 4/2014 ОБ ЗОР / П РОМЫШЛ Е ННЫЕ С Е Т И www.cta.ru Рис. 1. Программно-аппаратный комплекс Hirschmann Eagle TOFINO для обеспечения кибербезопасности в промышленных сетях

RkJQdWJsaXNoZXIy MTQ4NjUy