В статье представлен обзор основных задач и технологий защиты информационной безопасности (ИБ) передачи данных из АСУ ТП в сторонние системы, включающих параметры производственных процессов, событий информационной безопасности, результатов мониторинга работоспособности оборудования, а также организации безопасного удаленного доступа к мнемосхемам АСУ ТП. Указанные подходы основаны на опыте и международной практике компании Yokogawa Electric как известного производителя АСУ ТП.
Недавно во время одной из командировок пришлось быть свидетелем обсуждения непосредственными участниками событий становления первых АСУ ТП на одном из крупнейших Российских производственных предприятий. Запомнилось, что аппаратной базой служила одна из модификаций СМ ЭВМ, занимавшая целый этаж здания, основной задачей которой был сбор данных о расходе ресурсов и сырья для последующей передачи в диспетчерскую систему в целях хозяйственного учета. Поражала точность передаваемых сигналов в 0,01 %, несмотря на то, что все осуществлялось с помощью пневматики и мониторинга показаний вторичных измерительных приборов на огромной стене.
Все изменилось, когда элементной базой АСУ ТП стал ПЛК. Это позволило реализовать задачи передачи показателей для оценки и организации выполнения производственного процесса (балансы электрической энергии и мощности и т.п.) на предприятиях разного масштаба.
Более того, задача усложнилась и данные из АСУ ТП сегодня передают различным сторонним системам в том числе органам государственной власти (МЧС, ФСБ, ФСТЭК). Передача данных также осуществляется в обратном направлении в целях поддержания работоспособности АСУ ТП через обновление аппаратного и программного обеспечения.
В тоже время технология передачи данных в современных условиях стала основываться на открытых стандартах связи и протоколах. И там, где прежде не было угроз информационной безопасности, появляются внешние и внутренние злоумышленники. Основная масса угроз из банка данных ФСТЭК, исходящих от несанкционированного доступа к АСУ ТП внутренних нарушителей, нивелируется за счет применения встроенных в АСУ ТП средств защиты информации. Так, в АСУ ТП на базе оборудования Yokogawa реализованы меры разграничения доступа к защищаемой информации на основе ролевой модели доступа к ресурсам (системные каталоги, реестр, объекты программы). Внешние же нарушители, эксплуатирующие уязвимости протоколов сетевого/локального обмена данными, могут осуществить попытки атаки на защищаемую систему и представляют серьезную опасность для работы предприятия.
Далее рассмотрим основные методы, которые применяют инженеры компании ООО “Иокогава Электрик СНГ” для защиты АСУ ТП от внешних нарушителей при передаче данных и показателей производства в сторонние системы. Обращаем внимание, что данные методы универсальны и могут рассматриваться для любых производственных объектов, в том числе и для объектов электроэнергетики.
1. Использование шлюзового OPC сервера (ПО Exaquantum c пакетом OPC DA/HDA) с набором копий данных из АСУ ТП, которые передаются в MES-систему путем обращения OPC клиентов к данному шлюзовому серверу. При этом в целях информационной безопасности шлюзовой сервер не имеет возможности обращения/запроса данных как в сторону АСУ ТП, так и в сторону MES.
Рис. 1. Схема взаимодействия АСУ ТП с MES и SIEM через сервер шлюз
Подобная схема с использованием шлюзового сервера обеспечивает возможность передачи событий информационной безопасности и в сторонние SIEM системы для анализа инцидентов ИБ.В этом случае сбор событий безопасности осуществляется в журнале регистрации Historical Report/CAMS в РСУ CENTUM VP, которые далее принимаются от CENTUM VP штатными средствами в ExaOPC сервер и передаются по OPC A&E на хранение в шлюз Exaquantum. Из шлюза передачи данных события информационной безопасности передаются в сторонние SIEM системы на основе использования протоколов OPC A&E или через запросы к БД SQL Exaquantum (протоколы OLE DB, ODBC или API).
Так, например, оборудование Yokogawa позволяет зарегистрировать такие минимально необходимые события информационной безопасности:
- успешный запуск сеанса работы (идентификация и аутентификация в прикладном ПО);
- события просмотра и изменения параметров технологических объектов;
- события запуска модулей и функций прикладного (специального) ПО;
- события просмотра экранов и форм отображения информации.
Из вышесказанного следует, что программно-аппаратное обеспечение Yokogawa дает возможность передать любые технологические параметры процесса, а также события информационной безопасности в сторонние MES, SIEM системы максимально безопасным способом.
Общая схема взаимодействия и передачи показателей производства в MES и событий безопасности в SIEM представлена на рис. 1.
2. Применение специальных технологий защиты на межсетевом экране, разработанных Yokogawa и обеспечивающих повышение уровня информационной безопасности.
- Организация зоны безопасности. Применяется разделение сетевых потоков на межсетевом экране с выделением специальной зоны безопасности для размещения вышеуказанного шлюзового сервера. Данная зона делит сетевую инфраструктуру на доверенную (АСУ ТП) и не доверенные зоны (MES, SIEM), что позволяет автоматически блокировать сетевой трафик в сторону АСУ ТП.
Также при передаче данных OPC защита внутренней (inside) сети АСУ ТП состоит в том, чтобы обеспечить доступ извне (outside) только непосредственным участникам (OPC клиенты → OPC сервера) и только по непосредственно используемым каналам (порты/сервисы /протоколы, используемые при OPC обмене). Схема организации выделения зоны безопасности представлена на рис. 2.
Рис. 2. Схема безопасной передачи данных из АСУ ТП в сторонние системы
- Применение списков доступа (ACL, Access Control List) и сокрытие внутренних адресов.
Списки доступа (ACL) позволяют реализовать базовую задачу защиты данных при передаче в сторонние системы, которая заключается в фильтрации трафика из сети АСУ ТП в сеть зоны безопасности по адресам источников, адресам назначений, протоколам, портам TCP/UDP источников и назначений.
При использовании OPC шлюза Yokogawa фильтрация трафика осуществляется по протоколу OPC DA и необходимым для его работы портам.
Как известно, протокол OPC DA, по которому осуществляется взаимодействие между АСУ ТП и MES, использует для инициализации сессии одно соединение – порт сервиса Endpoint Mapper (TCP/135 – порт EPM). После этого для передачи данных динамически выделяются несколько соединений – случайных портов TCP из довольно широкого диапазона (49152 – 65535).
Однако, при использовании оборудования Yokogawa с целью повышения ИБ данный диапазон может быть сужен до 1 порта.
- Применение глубокого инспектирования сетевого трафика.
Технология глубокого инспектирования, являясь проприетарной технологией компании Cisco, позволяет обеспечить дополнительный уровень защиты передачи данных в сторонние системы через проверку уникальности идентификаторов источников и приемников информации. Тем самым исключается подмена абонентов сети в рамках уже открытых сессий.
Данный результат достигается с помощью инспекции протокола DCE/RPC на уровне 7 модели OSI с помощью Cisco Modular Policy Framework (MPF). При этом производится проверка всей мультисессии DCE/RPC – инициализация, динамическое открытие соединений, структура сообщений.
Подводя итог обзору специальных технологий защиты межсетевого экрана, важно отметить, что опыт работы компании Yokogawa и проведенные тесты на проникновение показывают, что наиболее уязвимым элементом защиты является межсетевой экран и каналы связи. Поэтому применение указанных технологий позволяет скрыть внутреннюю структуру и адресацию АСУ ТП от сторонних систем (технология NAT), реализовать доверенные каналы связи (технология ACL, глубокое инспектирование) и, благодаря возможностям ПО Yokogawa, предотвратить прямой доступ к оригиналам данных АСУ ТП (сервер шлюз в зоне безопасности).
3. Использование ПО Yokogawa VTS Portal для удаленного подключения внешних пользователей к рабочим станциям АСУ ТП с целью мониторинга и контроля технологических показателей.
Многие производственные задачи требуют удаленного подключения к мнемосхемам АРМ АСУ ТП. Однако, использование стандартной технологии RDP (Remote Desktop) на производственных предприятиях недопустимо вследствие наличия большого числа уязвимостей в данном протоколе. Для устранения этого компания Microsoft разработала технологию Microsoft Remote Desktop Services, суть которой заключается в организации шлюза RD Gateway в зоне безопасности с целью конвертации сетевого трафика из протокола RDP в безопасный HTTPS. Данный подход повсеместно распространен. Однако Yokogawa его усовершенствовала и предлагает рынку отдельный продукт Yokogawa VTS Portal, который помимо конвертации протокола, обеспечивает публикацию выделенных мнемосхем с терминального сервера АСУ ТП на выделенном WEB сервере, также расположенном в зоне безопасности. При этом публикация основывается на применении технологии RemoteAPP, позволяющей публиковать выделенные приложения, а не рабочий стол АРМ АСУ ТП целиком.
Эта технология в интерпретации Yokogawa позволяет полностью исключить сетевые подключения в зону АСУ ТП и обеспечить “трансляцию” мнемосхем в зону безопасности, куда внешние пользователи могут безопасно подключиться по HTTPS протоколу.
Cхема описанного метода передачи данных представлена на рис. 3.
Рис. 3. Безопасное удаленное подключение к ресурсам АСУ ТП
4. Мониторинг состояния АРМ АСУ ТП из зоны безопасности с помощью технологий SNMP и WMI.
Помимо событий безопасности из системного ПО АСУ ТП, описанных в п. 1, в соответствии с требованиями ФСТЭК требуется передавать в сторонние системы результаты мониторинга состояния работоспособности АРМ АСУ ТП и события из ОС Windows.
При этом необходимо отметить, что данная задача на первый взгляд выглядит чисто утилитарной, но тем не менее она может рассматриваться с точки зрения повышения уровня ИБ. Данное предположение следует из того факта, что любые хакерские атаки на АСУ ТП приводят к изменению ее инфраструктуры и, сравнивая результаты ее мониторинга с результатами предыдущих циклов сканирования, можно сделать вывод о неправомерных действиях.
Компания Yokogawa предлагает собственный продукт для безопасного мониторинга вместе с протестированными на совместимость драйверами АРМ АСУ ТП для сбора следующих минимально необходимых показателей:
- производительность (загрузка ЦПУ и ОЗУ, заполнение жестких дисков);
- работоспособность АРМ (температура внутри системного блока, состояние Raid массива и вентилятора);
- состояние сети (SNMP трапы и статистика прохождения трафика через порты коммутационного оборудования);
- сбор событий безопасности Windows Events с АРМ АСУ ТП по протоколам Syslog, WMI, SNMP. Перечень событий определяется на этапе проектирования. Ниже приведен минимально необходимый:
– 4776 – вход в систему;
– 4738 – изменение учетной записи;
– 4728 – аудит управления учетными записями;
– 4732 – аудит управления группами пользователей;
– 4625 – отказ входа в систему.
Схема организации мониторинга ресурсов АСУ ТП и передачи данных в сторонние системы представлена на рис. 4.
Рис. 4. Организация мониторинга ресурсов АСУ ТП и передача данных в сторонние системы
Подводя итог описанным методам передачи данных в сторонние системы и защите этих каналов связи от нарушителей можно сделать вывод о том, что компания Yokogawa, на основе многолетнего опыта и проведенных тестов на совместимость ПО со своим оборудованием, выработала свои подходы, технологии, продукты по защите информации АСУ ТП. Это позволяет компании получать положительные отзывы со стороны регулирующих органов РФ в области кибербезопасности, пользоваться авторитетом среди Заказчиков и регулярно выдерживать тесты на проникновение в сети АСУ ТП.