СТА 4/2017

26 СТА 4/2017 ОБЗОР /ПРОМЫШЛЕННЫЕ СЕТИ www.cta.ru В ВЕДЕНИЕ Тенденция последних лет заключается в повышенном внимании к обеспечению безопасности промышленной сети, ко- торая представляет собой очень важный аспект любого индустриального объекта. Ведь переход к концепции Industry 4.0, развитие технологий IoT и создание умного предприятия требуют практиче- ски полной взаимосвязи между отдель- ными объектами, начиная от производ- ственных площадок и заканчивая кла- стерами управления с облачными храни- лищами данных [1, 2]. В связи с этим тре- буется комплексный подход к организа- ции защиты всей сетевой инфраструкту- ры. И если решений для обеспечения безопасности IT-сетей достаточно мно- го, то обеспечение безопасности про- мышленной сети – вопрос более слож- ный, требующий дополнительного ана- лиза и особого подхода. Многочислен- ные инциденты с вирусами Stuxnet, Duqu, Flame, которые атаковали про- мышленные объектыпо всему миру, под- толкнули специалистов к комплексному пересмотру политик безопасности сетей АСУ ТП промышленных объектов [3]. П РОМЫШЛЕННЫЙ ВИРУС : ЧТО ЗА ЗВЕРЬ ? Отличительная особенность промыш- ленных вирусов в том, что их цель – воздействие на оконечные устройства полевого уровня АСУ ТП. Наиболее из- вестный практический пример – атака на крупное предприятие атомной про- мышленности Ирана в 2010 году. В ре- зультате деятельности вируса Stuxnet контроллеры Siemens SIMATIC S7-417/ 315 [4], отвечающие за управление центрифугами для обогащения урана (рис. 1), стали функционировать некор- ректно: скорость вращения центрифуг неконтролируемо возросла почти в пол- тора раза, до 84 600 об./мин. Это приве- ло к значительному повышению риска аварийной ситуации, что вынудило ру- ководство предприятия остановить все технологические процессы. На устране- ние последствий воздействия вируса уш- ло достаточно много времени и средств. Тем не менее, эти потери можно считать лёгкими – ведь гипотетические непо- ладки на атомном предприятии грозят катастрофой глобального масштаба. После ряда подобных случаев на мно- гих промышленных предприятиях во всёммире были пересмотрены политики безопасности в части дополнительной антивирусной защиты, причём ряд под- ходов был взят из готовых наработок IT- сферы. Это дало возможность частично Глубокая защита промышленного сетевого периметра Сергей Воробьёв В статье рассмотрен вариант организации защиты промышленной Ethernet-сети на базе принципа “Defense in Depth”, который представляет собой специализированный многоступенчатый подход, позволяющий выстроить оптимальную защиту сетевого периметра промышленного объекта. Рис. 1. Центрифуги для обогащения урана на заводе атомной промышленности в Иране ©www.tehrantimes.com Безопасность IT К онфиденциальность Ц елостность Д оступность Безопасность АСУ ТП Д оступность Ц елостность К онфиденциальность Рис. 2. Подходы к обеспечению безопасности IT-сети и промышленной сети АСУ ТП