I 33 Table of Contents 35 106

ЖУРНАЛ «СТА» 1/2019

СТА 1/2019 ОБЗОР /ПРОМЫШЛЕННЫЕ СЕТИ В ВЕДЕНИЕ С каждым годом растёт опасность ки- бератак на объекты энергетической ин- фраструктуры. Современные АЭС, ТЭЦ, электрические подстанции, оснащён- ные сложными электронными система- ми, всё чаще становятся объектами внимания киберзлоумышленников. Та- ких случаев в мире, к сожалению, уже немало [1]. Последствия, к которым приводят подобные инциденты, могут быть самыми разными, начиная от ба- нального воровства, заканчивая вмеша- тельством в технологические процессы и функциональность объектов. При этом в условиях внедрения новых кон- цепций и подходов, таких как Smart Grid и IIoT (Industrial Internet of Things), комплексная защита сетевой инфра- структуры промышленного объекта становится очень актуальной задачей. В данной части статьи рассмотрим уязвимости протоколов IEC 104, GOOSE и DNP3, которые используются в энер- гетике для организации информацион- ного обмена между различными систе- мами, а также обеспечение их защиты при помощи промышленного DPI- брандмауэра Tofino Xenon. IEC 104 IEC 104 (IEC 60870-5-104/МЭК 60870- 5-104) – современный и гибкий прото- кол связи, который используется пре- имущественно в энергетике и является одним из международных стандартов Сергей Воробьёв Данный материал служит продолжением цикла статей, посвящённых многоуровневой защите промышленных Ethernet-сетей на базе принципа “Defense in Depth”. В статье рассмотрены ряд базовых уязвимостей промышленных протоколов IEC 104, GOOSE и DNP3, а также методы их защиты на базе глубокой инспекции трафика. 34 www.cta.ru “Defense in Depth” в действии. Уровень 4: защита промышленных протоколов Часть 3 Доступ из SCADA-системы Брандмауэры и серверы данных Центр управления Центральная зона поставщика электроэнергии WAN-сеть Подключения из внешней Интернет-сети WAN-зона Сеть IEC 61850 Устройства Smart Grid Инфраструктура зоны Smart Grid Интеллектуальные электронные устройства Доступ из сети Интернет Доступ из локальной сети Маршрутизатор Маршрутизатор Маршрутизатор Маршрутизатор Рис. 1. Пример сетевой архитектуры подстанции

RkJQdWJsaXNoZXIy MTQ4NjUy