ЖУРНАЛ СТА 4/2014

щищённуюна нескольких уровнях от раз- личных киберугроз. Такие зоны включа- ют в себяфизический или логический на- бор оборудования с идентичными требо- ваниями к безопасности. Обмен данны- ми между зонами осуществляется только по защищённым каналам связи (путям), все типы данных, проходящих по ним, должныбыть регламентированы, а любой неописанный трафик запрещён. Соот- ветственно, любая возможность элек- тронного обмена данными должна осу- ществляться только через зарегистриро- ванный путь. Основными технологиями защиты путей являются межсетевые эк- раны и VPN-каналы. Детально эти про- цессы описаны в стандарте ANSI/ISA99. Шаг 5. Регламенты доступа персонала к системам управления После определения зон и путей и обеспечения их информационной без- опасности следует позаботиться о конт- роле физического и логического досту- па к критически важному оборудова- нию. Физический контроль доступа – понятное для понимания мероприятие, заключающееся в иерархической систе- ме доступа в кабинеты с помощью зам- ков и ключей. Как и в случае с межсете- выми экранами, идея состоит в том, чтобы доступ к критически важному оборудованию имел лишь тот персонал, которому это необходимо для работы. Логический контроль доступа предпо- лагает действия по следующим пунктам: ● аутентификация и авторизация поль- зователей; ● ролевой контроль доступа; ● лист привилегий; ● журналы контроля доступа; ● технологии Active Directory, Radius, ldap, др.; ● отслеживание изменений. Шаг 6. Контроль функционала производственных систем Усиление безопасности компонентов системы подразумевает запрещение всех ненужных функций, отключение не ис- пользуемых для работы компонентов и функций операционной системы (напри- мер мультимедийных), отключение всех лишних коммуникационных интерфей- сов и связанных с ними сервисов (напри- мер Web-сервера на ПЛК, если он не ис- пользуется). На рабочих станциях должно быть установлено антивирусное ПО, а опера- ционные системы и программы обнов- лены с помощью официальных пакетов обновлений (патчей). Контроль актуаль- ности антивирусных баз и обновления системы должен производиться в соот- ветствии со специальным регламентом. Немаловажным средством для вы- явления уязвимостей является специа- лизированное программное обеспече- ние типа Nessus или Bandolier. Данное ПО проверяет систему на наличие из- вестных уязвимостей и правильной конфигурации серверов и рабочих стан- ций, исходя из соображений безопасно- сти. Однако тестирование работающей системы проводить не рекомендуется. Этот процесс лучше оставить до плано- вой остановки или перезапуска. В завершение стоит ознакомиться с рекомендациями производителей обо- рудования по повышению безопасно- сти в процессе настройки. Многие про- изводители выпускают их в виде от- дельного руководства. Шаг 7. Мониторинг и управление системой информационной безопасности Постоянный сетевой мониторинг безопасности системы должен быть не- ОБ ЗОР / П РОМЫШЛ Е ННЫЕ С Е Т И 9 СТА 4/2014 www.cta.ru ОФИЦИАЛЬНЫЙ ДИСТРИБЬЮТОР ПРОДУКЦИИ ADVANTECH Серии EKI-1500, EKI-1200 • Два порта Ethernet 10/100Base-TX с функцией резервирования • Преобразование Modbus RTU/ASCII в Modbus TCP (серия EKI-1200) • Режимы: виртуальный СОМ-порт, сервер/клиент TCP и UDP, Serial Tunnel • Множественный доступ к COM-портам • Автоматическое восстановление соединения • Скорость передачи до 926,1 кбит/с • Защита портов от электростатического разряда до 15 кВ постоянного тока EKI-1222 Шлюз Modbus RTU/ASCII в Modbus TCP EKI-1524 4 порта RS-232/422/485 Промышленные серверы последовательных интерфейсов с резервированным подключением к Ethernet EKI-1521 1 порт RS-232/422/485