Галимов В.С. 24Б. Пояснительная записка (1191312), страница 3
Текст из файла (страница 3)
Угрозы техногенного характера – угрозы, обусловленные физическими воздействиями на компоненты АСУ ТП. Для защиты от данного класса угроз применяются меры и средства обеспечения безопасности от несанкционированного физического доступа, которые предотвращают проникновение нарушителей на охраняемую территорию и обеспечивают технический контроль доступа к ключевым компонентам АСУ ТП.
К угрозам антропогенного характера относятся угрозы преднамеренного и непреднамеренного действия людей, занятых обслуживанием АСУ ТП, в том числе ошибки персонала или ошибки в организации работ с компонентами АСУ ТП.
Угрозы несанкционированного доступа для АСУ ТП рассматриваются ввиду наличия взаимодействия ее компонент с ЛВС предприятия для передачи информации о состоянии технологической среды, а также формирования управляющих воздействий на технологические объекты. В связи с этим обязательными становятся меры по формированию выделенных технологических сетей передачи данных и использованию периметральных средств защиты (таких, как средства межсетевого экранирования, обнаружения вторжений криптографической защиты каналов связи).
1.5.2 Типы уязвимостей
Анализ уязвимостей автоматизированной системы управления производственными и технологическими процессами проводится в целях оценки возможности преодоления нарушителем системы защиты автоматизированной системы управления и нарушения безопасного функционирования автоматизированной системы управления производственными и технологическими процессами за счет реализации угроз безопасности информации.
Интересно отметить, что в период с 2005 года до начала 2010 года было обнаружено лишь девять уязвимостей в системах АСУ ТП, а уже после появления червя Stuxnet и последовавшей за этим шумихи за 2011 год было найдено уже 64 уязвимости. За первые восемь месяцев 2012 года стало известно о 98 новых уязвимостей: это больше, чем за все предыдущие годы.
Выделяют следующие основные виды уязвимостей:
– уязвимости сетевого оборудования, программного обеспечения, аппаратных платформ и протоколов;
– слабая парольная политика или повсеместное ее несоблюдение приводит к возможности компрометации различных участков информационной системы, и как следствие, позволяет реализовать несанкционированный доступ к информации различного уровня критичности;
– некорректная настройка сетевого оборудования, клиентских ПК, а также отсутствие средств защиты приводят к возможности осуществления атак типа Poisoning (ARP, LLMNR/NBT-NS) Spoofing. Они обычно являются частью атаки MitM («человек посередине»), ставящей своей целью перехват и/или подмену информации;
– небезопасное хранение/передача учетный данных, а также «файловая помойка» – файловый сервер, на котором многие годы лежит различная информация, содержание которой не известно даже сотрудникам. В нашем случае речь пойдет о «файловой помойке» в разрезе не файлового сервера, а всей компании;
– пользователи могут случайно изменить, какой-то важный параметр системы, который через некоторое время может нарушить работу всей системы, поэтому необходимо иметь устройства, которые будут анализировать все изменения в конфигурации, и выявлять опасные;
– наличие свободного доступа к оборудованию. При отсутствии физической защиты, и ограничений доступа, злоумышленникам (например, бывшим сотрудникам) не составит труда нанести вред системе;
– наличие возможности удаленного доступа, через который злоумышленник может получить доступ к файлам, конфигурацию оборудования и т.д.;
– отсутствие противоаварийной защиты. Производители, считая, что система изолирована, и на никакие внешние угрозы для нее не опасны, не встраивают противоаварийную защиту, хотя при сбое одного из элементов, может нарушится работа всей системы, что может привести к катастрофе и жертвам.
1.6 Примеры специализированного подхода к обеспечению безопасности сегментов АСУ ТП
Подход к обеспечению ИБ в любой отрасли должен быть комплексным, и защита АСУ ТП не является исключением. Должна быть проведена оценка угроз ИБ, разработаны правила политики безопасности и т.д. Если же говорить о технических аспектах защиты, то наиболее критичные уровни с точки зрения защиты – это верхний и средний уровни АСУ ТП. И это связано с тем, что нижний уровень в большинстве случаев хорошо изолирован логически и защищен физически. Также он относительно малоизвестен для среднестатистического злоумышленника и, что наиболее важно, использует изолированную среду на физическом уровне (RS-232, RS-485 и т.д.).
Верхний уровень критичен потому, что чаще всего представляет собой единую точку управления и мониторинга АСУ ТП. Также только данный уровень, как правило, взаимодействует с внешним миром (хотя на практике обнаруживаются подключения и на других уровнях).
Средний уровень обрабатывает и непосредственно влияет на наиболее критичный тип данных АСУ ТП – контрольно-измерительную информацию.
Ниже приведены два примера защиты АСУ ТП с использованием специализированных средств на верхнем и среднем уровнях.
1.6.1 Пример решения по защите на верхнем уровне АСУ ТП
Для защиты сегмента АСУ ТП от попыток НСД со стороны корпоративного сегмента ЛВС и сохранения при этом информационного взаимодействия между сегментами применяются системы одностороннего межсетевого взаимодействия, например, Fox-IT DataDiode.
Данное решение изначально использовалось в информационных системах НАТО и потом нашло свое применение в АСУ ТП.
С точки зрения логики работы решение представляет собой специализированные прокси-серверы "черный" (сторона источника информационного потока – сегмент АСУ ТП) и "красный" (сторона назначения информационного потока – сегмент корпоративной ЛВС).
Взаимодействие осуществляется лишь в рамках пары "сервер АСУ ТП – прокси DataDiode". Между самими прокси-серверами DataDiode происходит одностороннее взаимодействие. При этом однонаправленная связь реализуется именно на физическом уровне.
Встречное воздействие исключено на физическом уровне за счет использования гальванической развязки. Любые другие варианты взаимодействия исключены на аппаратном уровне.
Система одностороннего межсетевого взаимодействия представлена на рисунке рисунку 1.6.1.1.
Рисунок 1.6.1.1 – Система одностороннего межсетевого взаимодействия Fox-IT DataDiode
Существует также множество других вариантов использования систем одностороннего межсетевого взаимодействия: обеспечение взаимодействия компонентов иерархии WSUS сегментов корпоративной сети и АСУ ТП, пересылка журналов аудита в формате syslog для SIEM-систем, расположенных вне сегмента АСУ ТП, однонаправленное взаимодействие по протоколам CIFS, SMTP и FTP для решения внутренних задач подразделений АСУ ТП согласно рисунка 1.6.1.2.
Рисунок 1.6.1.2 – Схема работы системы одностороннего межсетевого взаимодействия
Межсетевые экраны также должны использоваться на входе и выходе из демилитаризованной зоны. В некоторых случаях возможно и целесообразно применение двунаправленной схемы одностороннего взаимодействия, как на рисунке 1.6.1.3.
Рисунок 1.6.1.3 – Пример использования двунаправленной схемы одностороннего межсетевого взаимодействия
1.6.2 Пример решения по защите на среднем уровне АСУТП
Системы безопасности не часто внедряют на уровне контроллеров. Иногда используются системы обнаружения и предотвращения атак со специализированным для АСУ ТП набором сигнатур атак. Либо устанавливаются традиционные для корпоративных сетей межсетевые экраны, на которых настраиваются правила доступа для протоколов АСУ ТП с инспекцией на сетевом уровне TCP/IP (например, открывается доступ по порту TCP 502 (Modbus TCP)).
В некоторых случаях на уровне контроллеров целесообразно использовать специализированные промышленные полевые межсетевые экраны (Industrial Firewalls).
Суть задачи в том, чтобы контролировать сессии промышленных протоколов не только на сетевом уровне (что реализовано почти во всех межсетевых экранах), но и на прикладном уровне (это реализовано в некоторых системах предотвращения атак, но в крайне ограниченном наборе сигнатур и с рядом других ограничений). Простейший пример – определять разрешаемый набор кодов функций на чтение и запись в протоколе Modbus, таким образом мы получаем полноценную инспекцию промышленных протоколов на уровне приложений. Именно эта информация является наиболее критичной в АСУ ТП. Разумеется, промышленные межсетевые экраны поддерживают все основные протоколы АСУ ТП: Modbus TCP, DNP3, ОРС, МЭК 60870-5-104, CIP и десятки других.
1.7 Требования к организации защиты АСУТП
30 июня Минюстом был зарегистрирован новый нормативный документ приказ ФСТЭК России «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» от 14 марта 2014 г. № 31 (далее – Приказ), устанавливающий требования к обеспечению защиты информации, обработка которой осуществляется автоматизированными системами управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
Настоящий документ распространяется на вновь создаваемые (модернизируемые) АСУ ТП, вводимые в эксплуатацию после вступления в силу настоящего Приказа и не распространяется на АСУ ТП, обрабатывающие государственную тайну. Вместе с тем, ФСТЭК России рекомендует владельцам АСУ ТП спланировать (в случае технической возможности) поэтапное приведение своих систем управления в соответствие с настоящим документом.
Стоит отметить, что АСУ ТП рассматриваются как один из классов ключевых систем информационной инфраструктуры. Понятие же ключевой системы информационной инфраструктуры обобщает в себе множество различных классов информационных, автоматизированных систем и информационно-телекоммуникационных сетей (системы предупреждения и ликвидации чрезвычайных ситуаций, географические и навигационные системы, системы управления водоснабжением, энергоснабжением, транспортом и др. системы и сети).
По концепции и структуре требований Приказ во многом является схожим с приказом ФСТЭК России "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" от «11» февраля 2013 г. № 17 и приказом ФСТЭК России «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от «18» февраля 2013 г. № 21 и включает в себя блок требований к организации защиты информации в АСУ ТП, а также требования к мерам защиты информации.
В качестве объектов защиты АСУ ТП выделяются:
– критически важная информация (технологическая информация), включающая управляющую, контрольно-измерительную информацию и др.;
– программно-технический комплекс, включающий технические средства, программное обеспечение (ПО) и средства защиты информации (СрЗИ).
В соответствии с Приказом защита информации, обрабатываемая в АСУ ТП, является составной частью работ по ее созданию и эксплуатации и обеспечивается на всех стадиях ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации в рамках системы защиты.
При этом меры защиты информации должны:
– обеспечивать, в первую очередь, доступность и целостность информации и при необходимости ее конфиденциальность;
– соотноситься с мерами по промышленной, физической, пожарной, и т.п. мерами обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами.
Кроме того, отдельно подчеркивается, что используемые меры защиты не должны оказывать отрицательного влияния на штатный режим функционирования автоматизированных систем управления производственными и технологическими процессами.
На этапе формирования требований проводится классификация АСУ ТП и определение класса защищенности: К1 (самый высокий), К2 или К3.
Для определения класса защищенности необходимо определить уровень значимости обрабатываемой информации в зависимости от степени возможного ущерба от нарушения конфиденциальности, целостности или доступности обрабатываемой информации.
В случае обработки в АСУ ТП двух и более видов информации (измерительная информация, информация о состоянии процесса), уровень значимости определяется отдельно для каждого вида информации.
Итоговый уровень значимости определяется по наивысшему значению из них или может быть установлен отдельно для каждого из уровней автоматизированных систем управления производственными и технологическими процессами и иных сегментов при их наличии.
В Приказе выделяется пять основных этапов обеспечения защиты информации в АСУ ТП, приведенных на рисунке 1.7.2.
Рисунок 1.7.2 – Этапы обеспечения защиты информации в АСУ ТП
Определение угроз безопасности информации и построение модели угроз производится на основании методических документов ФСТЭК России «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» и «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры», включая:
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
