Новостная рассылка «Вектор» Киев - продукция MOXA в Украине

11 ноября 2010


 Как индустриальные сети могут реагировать на кибер угрозы 

  IP-технологии привнесли огромную пользу для индустриальных сетей автоматизации, но также и определенные риски, связанные с безопасностью. В прошлом, администраторы сетей были уверенны в том, что их сети защищены, так как они использовали для связи устройств собственные протоколы, обычно serial и сети не были подключены к внешнему миру. Хотя и эта трактовка безопасности была несколько иллюзорной, но теперь, когда в индустриальной автоматизации используются IP Ethernet-сети, никто не может позволить себе никаких иллюзий относительно безопасности их сети.
  Угрозы для безопасности IP-сетей вполне реальны и они могут иметь разрушительные последствия для систем индустриальной автоматизации. В некотором смысле индустриальные сети являются еще более уязвимыми, чем сети предприятий и IT-сети. В худшем случае, когда IT Ethernet сеть подвергается хакерской атаке, может значительно снизиться ее производительность или офисные служащие потеряют доступ в Интернет. Если же индустриальная сеть автоматизации будет нарушена, то могут возникнуть серьезные повреждения оборудования и может быть причинен существенный материальный ущерб, как например, в результате внезапной остановки сборочной линии, неожиданной остановке в работе трубопровода или электростанции.

Угрозы и ответ рынка 
   Уязвимость индустриальных IP-сетей автоматизации является весьма реальной. Недавние исследования, проведенные CERN (Европейская организация ядерных исследований) обнаружили, что лишь 66% PLC были в состоянии выдержать простые атаки, выполненные со свободно-доступными инструментами хакеров, такими как Netwox или Nessus. Не всегда достаточно и оградить сеть от внешних влияний. AT&T в своих исследованиях обнаружили, что большинство нападений со злым умыслом на сети происходит из инсайдерской сети. В отдельном исследовании 2007 года, департамент Национальной Безопаности США провел экспериментальные кибер атаки, которые привели к самоуничтожению генератора.
   Угрозы индустриальным системам являются не просто гипотетическими: в базах данных об инцидентах в индустриальной безопасности имеются многочисленные записи, касающиеся проникновений в SCADA системы, в том числе и на таких объектах как станции очистки сточных вод, электростанции и химические заводы. Рынок осознал, что это уже реальность и кибер безопасность в настоящее время становится приоритетной задачей. Разработчики индустриальных систем автоматизации теперь уделяют значительное внимание кибер безопасности разрабатываемых ими систем. При этом они руководствуются стандартом ISA99, недавно утвержденным ANSI (Международное сообщество по автоматизации), который четко описывает элементы кибер управления безопасностью. В государственном секторе и в государственных учреждениях руководствуются своими собственными отраслевыми стандартами, такими как NERC-CIP, CPNI и другими, определяющими методы обеспечения безопасности сетей. Сетевая безопасность сегодня особенно важна для нефтяной и газовой, химической и электроэнергетической промышленности, так как эти системы не могут позволить себе быть скомпрометированными нападающими хакерами.

   В целях защиты своих сетей, разработчики индустриальных систем автоматизации наиболее часто используют сочетание брандмауэров и виртуальных частных сетей (VPN). Брандмауэр становится тем барьером, который предотвращает несанкционированный доступ к устройствам системы. Брандмауэр проверяет все входящие сообщения и пропускает только те, которые исходят от уполномоченных источников. VPN используются для установки безопасного туннеля связи по WAN сетям, обеспечивая безопасный удаленный доступ к промышленной сети.

Кибер безопасность без компромиссов

  Сетевая безопасность в системах индустриальной автоматизации направлена на решение двух задач. К сожалению, эти задачи могут показаться противоречивыми. Во-первых, система безопасности сети должна надежно защищать критически важные ресурсы от несанкционированного доступа. Во-вторых, система безопасности, решая первую задачу, не должна вносить искажения (задержки) в выполнение основного процесса управления.
   Одновременное решение этих двух задач может быть более сложным, чем кажется на первый взгляд. Например, маршрутизатор с активным брандмауэром часто резко снижает общую производительность сети. Если маршрутизатор не в состоянии проверить все пакеты достаточно быстро, чтобы обеспечить адекватную производительность, то пропускная способность сети будет страдать.
  Сетевая безопасность может также потребовать изменения стандартной архитектуры сети, так как требуется введение дополнительных схемотехнических решений. В соответствии с лучшими практиками безопасности, в сети должны быть развернуты несколько брандмауэров между каждым из ее уровней. Эта "эшелонированная" защита обеспечивает большую безопасность системы, чем использование одного брендмауэра, для защиты от сетевых вторжений.
   К сожалению, хотя благоразумие советует тщательного и строгого развертывания многих устройств сетевой безопасности, но каждое из этих устройств может стать серьезной "головной болью" для индустриальных сетей автоматизации, особенно при установке их для каждого из уровней. Это происходит потому, что системы управления устройствами, как правило, настроены для работы в той же подсети, но обычные брандмауэры, работающие в IT-средах, предназначены для защиты отдельных подсетей в режиме “router mode” (режим маршрутизатора).
  Такая архитектура может быть особенно проблематичной для систем управления, которые настроены для работы в той же подсети что и устройства ввода / вывода. Это потребует дополнительных настроек индустриальной системы управления для использования двух подсетей с целью удовлетворения требований режима “router mode” брандмауэра.
   Еще одна уникальная особенность топологии многих индустриальных сетей - избыточность (резервирование). Поскольку индустриальные сети должны работать на более высоком уровне надежности, чем обычные офисные сети, многие индустриальные сети используют избыточные связи для резервирования. Каждый из путей имеет также резервный путь, который может быть автоматически включен, если первичном путь выйдет из строя.
    Таким образом избыточность удваивает число брандмауэров, которые необходимы, потому что резервный путь также должен иметь межсетевой экран, даже тогда, когда этот путь и не используется.

  В конечном счете, использование Firewall / VPN не всегда достаточно для обеспечения безопасности индустриальных сетей - должна быть обеспечена еще и достаточная производительность сети для поддержки критических индустриальных объектов и возможность функционирования в индустриальных конфигурациях сетей. Многие обычные - IT-решения безопасности, даже те, что надежно работают в офисной среде, не смогут полностью удовлетворить дополнительные потребности, присущие индустриальным сетям автоматизации.

Безопасность сетей индустриальной автоматизации 
 
Для создания безопасных, высокопроизводительных индустриальных сетей необходимо использовать только такие устройства, которые смогут удовлетворить требования, связанные с обеспечением безопасности. В первую очередь, необходимо убедиться, что устройство сетевой безопасности сможет обеспечить достаточную производительность сети при поддержке функций безопасности и его включении в соответствии с требованиями топологии Вашей системы индустриальной автоматизации.
  Маршрутизатор, который вызывает большие задержки или ограничивает пропускную способность не может быть использован при построении такой сети. Кроме того, существует возможность развертывания сети безопасности без реконфигурации сети, благодаря функции, которая известна как “bridge mode” (режим моста) и поддерживается некоторыми сетевыми устройствами.

  Режим моста позволяет брандмауэру работать только в одной подсети, что идеально подходит для индустриальных сетей. Все устройства в подсети могут сохранить свои текущие настройки, а новый брандмауэр " вписывается" в уже существующую конфигурацию. Производственный процесс теперь может пользоваться всеми преимуществами повышенной безопасности, без каких-либо изменений в конфигурации устройств.
  Брандмауэры с двумя WAN портами позволяют решить большинство проблем, связанных с развертыванием сетей безопасности. По сути, режим с двумя WAN портами позволяет брандмауэрам маршрутизировать и защищать потоки с двух отдельных WAN в один линк. WAN маршрутизаторы - брандмауэры с двумя WAN обеспечивает как защиту основного, так и резервного пути и широко используется в индустриальных сетях.
  И, наконец, оборудование индустриальной автоматизации должно размещаться в различных средах, в том числе и при экстремальных условиях, которые являются стандартными для индустриальных приложений - значительные колебания температуры, индустриальные помехи, влажность, работа на большие расстояния. К сожалению, офисные устройства, не смотря на их дешевизну, предназначены только для размещения в помещения (часто кондиционированных) и не могут быть использованы на производстве. Индустриальные маршрутизаторы - брандмауэры имеют специальную прочную, защищенную конструкцию для работы в экстремальных условиях, широкий рабочий диапазон температур, и, зачастую, волоконно-оптические порты, обеспечивающие работу на большие расстояния и не подверженные воздействию электромагнитных помех.

Индустриальная автоматизация должна поддерживать сетевую безопасность
   Все большее количество тревожных сообщений о новых нападениях на индустриальные сети заставляет разработчиков и хозяев таких систем учитывать проблемы обеспечения безопасности. Решения этих проблем, зачастую аналогичны офисным решениям, но оборудование, применяемое в индустриальных системах управления должно отвечать специальным условиям индустриальных сред. При построении новых индустриальных систем автоматизации или их модернизации необходимо обязательно учитывать функции обеспечения безопасности и, при этом, найти такое решение, которое бы удовлетворяло как требованиям надежности и функциональности индустриальной сети, так и обеспечивало бы строгие функции обеспечения безопасности.


Подробнее об индустриальном Gigabit Firewall/VPN маршрутизаторе безопасности MOXA EDR-G903 -->
 http://www.moxa.com.ua/product/Secure_Router/moxa_EDR-G903.htm

 Постоянный адрес этой страницы:
   http://www.moxa.com.ua/2010/News/Moxa_Cyber.htm

Продажа продукции MOXA на Украине : 
Киев: Тел. -  38 (044)
277-10-71, 277-10-72. E-mail sales@moxa.com.ua 
Поддержка продукции MOXA на Украине - Телефон - 38 (044) 277-10-73, E-mail support@moxa.com.ua.
Copyright © 2010 Moxa Inc & Vector Kiev. All rights reserved.
Перевод компании "Вектор " Киев - премьер дистрибьютора MOXA в Украине.
 Перепечатка и воспроизведение любых фрагментов данной рассылки только с разрешения  компании "Вектор".