В последнее время с полным на то основанием можно говорить о переходе от индустриального информационного общества к глобальному, по крайней мере в рамках развитых стран двадцатки. Сегодня информация является столь же важной составляющей мировой экономики, как материальные или энергические ресурсы. И это несмотря на то, что сам по себе термин “информационные ресурсы” до сих пор воспринимается по-разному. Расплывчатость термина “информация”, охватывающего сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления, приводит к тому, что всякий раз необходимо вводить ее практическую реализацию — информационные ресурсы и уже потом осуществлять с ней какие-то действия.
В таком случае непременным атрибутом информации является ее доступность. Оборотная сторона этой медали — ее защищенность, являющаяся, впрочем, эффективным показателем уже упомянутого атрибута. При этом один из атрибутов, доступность, предусматривает определенную “открытость” ресурса, а другой, защищенность, — напротив, “закрытость”. Эти атрибуты являются объектами пристального внимания со стороны не только владельцев информационных ресурсов, регуляторов рынка информационной безопасности, но и потенциальных и реальных нарушителей. При этом совершенно не обязательно, чтобы оба атрибута были полностью комплементарны друг другу. Часто полная доступность информации обеспечивается серьезными мероприятиями по информационной безопасности (ИБ), иногда — полная её недоступность вовсе обходится без необходимых средств ИБ (например, технических).
Как бы то ни было, но вопросы ИБ встают в полный рост перед любым владельцем информационных ресурсов. Именно для этого проводятся мероприятия по защите информации на объектах таких владельцев. Целями защиты информации в общем случае являются:
- предотвращение несанкционированного доступа к охраняемым сведениям, их разглашения и утечки;
- предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
- предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
- сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
- обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
На бытовом уровне обеспечение безопасности информации является интуитивно понятным процессом. А как обстоит дело в сфере реального производства? Чем выделяются объекты ТЭК по сравнению с реальным сектором в целом? Часто именно тем, о чем говорилось выше, — полным отсутствием комплементарности информационных атрибутов. А кроме того, еще и не вполне отчетливым пониманием важности обрабатываемой на этих объектах информации. И только в последнее время ситуация стала несколько меняться…
Обычно произвольный объект автоматизации в реальном секторе (например, в ТЭК) имеет развернутую вычислительную сеть, подключение к центральному объекту, Интернету и пр. В типовой топологии вычислительной сети такого предприятия выделяют три зоны (рис. 1):
- корпоративная — сегмент сети, занимающийся процессами жизнедеятельности самого предприятия и его должностных лиц, — АСУП;
- исполнительная — сегмент сети, обеспечивающий непосредственное выполнение технологических процессов (ТП) предприятия, — АСУТП;
- зона диспетчеризации — сегмент сети управления АСУТП, непосредственно влияющий на ход выполнения ТП.
Заметим, что информация, обрабатываемая в рамках указанных зон, различна; она относится к разным видам деятельности человека, имеет разные атрибуты, регулируется различной нормативно-правовой базой и требует разных подходов к проведению мероприятий по ИБ.
Рассмотрим эти зоны с точки зрения требований к обеспечению ИБ.
Информация, циркулирующая в корпоративной зоне, имеет непосредственное отношение к бизнес-процессам предприятия. Именно зона АСУП имеет подключение к центральному объекту владельца ресурсов через доверенную инфокоммуникационную среду (например, “наложенную” на Интернет). В качестве ПО здесь широко используются ОС семейства MS Windows, офисные, бухгалтерские и справочные пакеты. Ограничения по времени на доставку информации в этой зоне практически отсутствуют, а требования к уровню защиты максимальны. Основное внимание уделяется защите конфиденциальной (в том числе коммерческой) информации, а также персональным данным сотрудников предприятия.
Можно выделить следующие мероприятия по обеспечению безопасности информации (ОБИ) в такой корпоративной зоне: защита от несанкционированного доступа (НСД) для предотвращения утечки информации, от внедрения посторонней информации извне, от модификации информации, от сетевых вторжений и антивирусная защита.
Любое несанкционированное вмешательство в информационные ресурсы АСУП может привести к экономическому ущербу для предприятия в результате снижения доступности (простоя), к утечке информации (нарушение конфиденциальности) и пр.
Исполнительная зона. Зона, в которой происходит генерация, сбор, хранение и обработка специализированной информации от разнообразных промышленных устройств, задействованных в производственном процессе. Эта зона обеспечивает средства управления промышленными устройствами. Здесь часто используются специализированное ПО и протоколы; как правило, одна или несколько систем функционируют в режиме реального времени. В связи с этим в данной зоне очень высоки требования к надежности функционирования информационной системы. Никакого взаимодействия с “внешним миром” такой системе не нужно. Однако же информация сама по себе до недавнего времени считалась открытой, то есть считалось, что нарушителю нет никого смысла обладать ею, поскольку практической ценностью вне стен предприятия она не обладает. А значит, уровень защищенности должен быть минимальным. Но это совершенно не так!
Можно выделить следующие мероприятия по ОБИ в такой корпоративной зоне:
- защита от НСД для предотвращения изменения (модификации) информации;
- защита от внедрения посторонней информации извне.
Зона диспетчеризации “вплотную примыкает” к исполнительной зоне, поскольку должностные лица предприятия (операторы) со своих автоматизированных рабочих мест (АРМ) воздействуют на производственные процессы в исполнительной зоне посредством вынесенных из нее интерфейсов. Отличие в том, что требования к вероятностно-временным характеристикам по обработке информации здесь ниже, чем в исполнительной зоне. Это различие не столь существенно, и поэтому зоны исполнительную и диспетчеризации часто рассматривают совместно, как зону обеспечения ТП. В дальнейшем будем говорить о ней как о единой АСУТП с двумя технологическими сегментами — функционирования и управления.
В зоне АСУТП любой ценой обеспечивается непрерывность производства, защищать здесь как будто бы нечего. Связь с “внешним миром” практически отсутствует, сетевые подключения минимальны, протокольная составляющая специфична. Но должностные лица работают, поэтому можно выделить вид защиты информации в зоне АСУТП от НСД, от внедрения посторонней информации извне, от модификации информации извне, а также антивирусную защиту.
Раньше считалось, что АСУТП ввиду уникальности аппаратно-программной конфигурации и их обособленности вовсе не подвержены несанкционированным вторжениям. Пока не появился Stuxnet. Сегодня считается, что информационное вмешательство в АСУТП может привести к аварийной ситуации, зачастую с масштабными последствиями. Поэтому АСУТП (целиком или отдельные её части) являются объектами ключевой системы информационной инфраструктуры (КСИИ). Такие информационные ресурсы подпадают под действие руководящих документов (РД) ФСТЭК РФ. В соответствии с этими РД под КСИИ следует понимать информационно-управляющую или информационно-телекоммуникационную систему, которая осуществляет либо управление критически важным объектом (процессом), либо информационное обеспечение управления таким объектом (процессом), либо официальное информирование граждан и в результате деструктивных информационных воздействий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями.
Если оставаться в чисто экономической плоскости, то в результате несанкционированных информационных воздействий на КСИИ убытки предприятия (страны в целом) могут быть колоссальными.
Особенности ОБИ в АСУТП
При создании подсистемы обеспечения безопасности информации технологических сегментов АСУТП (далее — ПОБИ ТС) необходимо соблюсти разумный баланс: не создать помех для выполнения ТП и обеспечить требуемый уровень информационной безопасности.
В состав типовой АСУТП обычно входят три основных компонента:
- система диспетчеризации (SCADA),
- телеметрическая подсистема,
- инфраструктура коммуникации на базе доступных промышленных протоколов передачи данных.
(Зачастую в зарубежной литературе термин “АСУТП” опускают, говоря только о системах SCADA, но важно понимать, что диспетчеризация не позволяет интерактивно управлять процессом всей системы управления.)
Для АСУТП характерна ярко выраженная программная и аппаратная неоднородность. В типовую технологическую сеть предприятия, как правило, входят серверы SCADA под управлением Windows либо Linux, серверы СУБД (MS SQL Server либо Oracle), множество программируемых логических контроллеров (PLC) различных производителей, панели оператора (HMI), интеллектуальные датчики, а также интерфейс взаимодействия с системами бизнес-уровня (ERP). Отдельные программы АСУТП работают в режиме реального времени и не допускают никаких временных задержек. Все это ПО поставляется вместе с аппаратными средствами, рассчитано на эксплуатацию в течение 10—20 лет и, как правило, не подлежит модификации. Разработчики “технологического” ПО для АСУТП не являются специалистами по защите информации, а задача совместной работы перед ними как не ставилась никогда раньше, так не ставится и сегодня. Таким образом, не представляется возможным просто встроить в АСУТП компоненты системы ИБ из-за отсутствия каких-либо механизмов интеграции.
Кроме того, в силу разных причин сегодня идут не очень упорядоченные процессы по модернизации АСУТП на объектах реального сектора, приводящих к тому, что:
- порождаются дополнительные гетерогенные сегменты сетей;
- для управления АСУТП в первую очередь применяются удаленные воздействия, в результате чего ресурсы сетей управления производством подключаются к другим сетевым сегментам или даже к сетям общего пользования;
- увеличивается число точек входа в систему;
- снижается средний уровень подготовки конечного пользователя и обслуживающего персонала;
- внедряются импортные системы управления без исходных кодов и даже порой без сервиса поддержки со стороны разработчика.
Всё это однозначно усложняет задачу защиты информации в современных АСУТП. Кроме того, согласно последнему действующему ФЗ (№ 256 от 21.07.2011), вся информация на объектах ТЭК, ранее относившаяся к КСИИ, теперь проходит под грифом “конфиденциально”, что подпадает под действие другого ФЗ (№ 149 от 27.06.2008). А если еще вспомнить о существовании АСУП, то требуется провести мероприятия по ОБИ в части исполнения ФЗ № 153 о персональных данных.
Конечно, идеальным вариантом в такой ситуации явилось бы создание отечественной промышленной платформы организации ТП на базе протокола SCADA с учетом наработанных технологий безопасной разработки ПО и проведения самых жестких сертификационных испытаний на НСД, НДВ (недекларированные возможности) и РДВ (реально декларированные возможности). Ясно, что это серьезная работа, сопряженная с большими вложениями в разработку, тестирование, отладку, подготовку документации и обучение персонала. Нынешняя ситуация характерна тем, что разработчиков ПО этого класса не так много, стоимость платформ велика, однако же наличие ряда стандартов в этой отрасли может гарантировать достаточно устойчивую работу будущей системы. Тогда встраивание элементов ИБ в систему вполне возможно и даже необходимо.
Второй вариант — встраивание элементов системы защиты информации внутрь сегмента АСУТП. Его можно рассматривать только теоретически, потому что на практике невероятно трудно добиться “невлияния” средств защиты на вероятностно-временные характеристики АСУТП.
Третий вариант — построить защитную стену вокруг АСУТП, создать то, что называется “защищенным периметром”. Этот вариант выглядит наиболее привлекательным, так как позволяет соблюсти баланс интересов.
“Требования ФСТЭК таковы, что КСИИ не может быть объединена с системой низшего класса защиты, то есть имеется всего два пути: либо всё объединять в одну большую КСИИ, либо АСУТП дробить внутри на сегменты, защищенные друг от друга и сами от себя. Естественно, что это недопустимо”, — считает начальник управления информационной безопасности ОАО “РусГидро” Денис Мареев.
Следует подчеркнуть, что здесь мы не рассматриваем вариант воздействия на информационные ресурсы АСУТП “изнутри” — т. е. абстрагируемся от существования внутреннего нарушителя (по незнанию, недомыслию или злому умыслу). Это тема отдельного разговора.
Вариант построения ПОБИ ТС
Рассмотрим своего рода идеальную конструкцию подсистемы обеспечения безопасности информации технологических сегментов АСУТП и ключевые требования к ее элементам и их взаимодействию. Конечно, здесь приведена упрощенная схема, однако надо отметить, что она уже прошла всестороннюю проверку в реальном проекте, выполненном нашим предприятием в 2012 г. на одном из объектов ТЭК. В ходе проекта реализована идея построения “защищенного периметра” для АСУТП. При подобном подходе комплекс ПОБИ ТС оказывает минимальное влияние на технологические процессы внутри АСУТП и в то же время позволяет контролировать информационные потоки между АСУТП и внешними пользователями.
Комплекс средств защиты информации указанных подсистем представляет собой систему, наложенную на существующие программно-технические решения, которые применяются на подлежащих защите информационных ресурсах АСУТП. Кроме того, сразу подчеркнем, что рассматриваемая схема, не привязывая заказчика к какому-либо конкретному набору продуктов или поставщику, может быть успешно реализована с использованием любых продуктов, если они отвечают определенным требованиям и могут взаимодействовать в составе единого программно-аппаратного комплекса ПОБИ ТС.
В общем случае ПОБИ ТС АСУТП состоит из следующих подсистем: межсетевого взаимодействия; обнаружения вторжений; управления доступом; регистрации и учета; обеспечения целостности; антивирусной защиты; анализа защищенности; управления информационной безопасностью. Рассмотрим их подробнее.
Подсистема межсетевого взаимодействия
В соответствии с требованиями обеспечения безопасности и лучшей управляемости инфраструктура сетей предприятия разделена на несколько выделенных сегментов (зон), градированных по уровню критичности и соответственно защищенности. Выделенный сегмент (зона) — это физически или логически отдельная сеть, доступ к которой контролируется средствами ПОБИ ТС.
Инфраструктура сетей АСУТП и АСУП предприятия состоит из трех сегментов: информационного сегмента АСУТП и АСУП (в котором находятся АРМ АСУП), сегмента АСУТП и DMZ АСУТП (демилитаризованная зона, в которой находятся серверы АСУТП).
Программно-технический комплекс ПОБИ ТС обеспечивает защиту сегмента АСУТП путем создания вокруг него некой защитной оболочки (защищенного периметра). Сегментирование должно быть проведено таким образом, чтобы исключить возможность прямого доступа из сегментов с меньшим уровнем защищенности в сегменты с большим уровнем защищенности.
При таком подходе выполнено главное условие — отсутствие влияния на работу сегмента АСУ ТП (рис. 2).
Точки межсегментного взаимодействия представляют собой защищенные стыки согласно требованиям ФСТЭК к КСИИ. И здесь нужно использовать межсетевые экраны (МЭ), причём крайне желательно, чтобы средства защиты от несанкционированного доступа на сетевом уровне имели действующие сертификаты ФСТЭК (Гостехкомиссии) России согласно требованиям РД Гостехкомиссии “Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации” по классу защищенности для межсетевых экранов не ниже четвёртого. Но и в этом случае наряду с физическим разделением сетей целесообразно использовать технологию VLAN в качестве дополнительного средства защиты.
Подсистема управления доступом также должна быть реализована с помощью сертифицированных программных и аппаратных средств защиты от НСД, сигнализации и регистрации. При этом не входящие в ядро операционной системы специальные программные и программно-аппаратные средства защиты самих ОС, СУБД и прикладных программ выполняют функции, направленные на исключение или затруднение выполнения несанкционированных действий пользователей либо нарушителей. И еще в эту подсистему нужно встроить средства предотвращения несанкционированного доступа посторонних лиц к ресурсам защищаемого АРМ пользователя ПОБИ ТС, а также разграничения доступа к информационным ресурсам АРМ ПОБИ ТС и АСУТП и контроля действий пользователей.
Подсистема регистрации и учета фиксирует события, связанные с информационной безопасностью. Одна часть этих функций осуществляется специализированными ИБ-решениями, другая — механизмами регистрации и учета событий ИБ, встроенными в ОС АРМ и серверов ПОБИ ТС и АСУ ТП. Отметим, что происходящие в системе события регистрируются в соответствующих локальных журналах, при этом используемые продукты должны в каждой записи фиксировать достаточно подробную информацию, чтобы можно было провести содержательный анализ событий. События, происходящие в ОС, также регистрируются встроенными механизмами аудита и записываются в соответствующие журналы. Крайне важно, чтобы данные из всех журналов регистрации событий ИБ своевременно и автоматически передавались в подсистему мониторинга для дальнейшей централизованной обработки — консолидации и анализа.
Важно также, чтобы состав регистрируемых в журнале событий определялся централизованно — через параметры действующей политики безопасности.
Подсистема обеспечения целостности отвечает за контроль и предотвращение несанкционированного изменения целостности подконтрольных ресурсов. Ее работа основана на расчете контрольных сумм и формировании уведомлений о сбоях в передаче пакетов данных.
Обязательный элемент комплекса — эффективная система антивирусной защиты корпоративного уровня, обнаруживающая различные виды вредоносного ПО, хорошо управляемая в масштабах организации и поддерживающая все используемые версии MS Windows и Linux. Минимальные требования к этой подсистеме:
- обнаружение и блокирование деструктивных вирусных воздействий на общесистемное и прикладное ПО;
- обнаружение и удаление “неизвестных” вирусов (т. е. вирусов, сигнатуры которых еще не внесены в антивирусные базы данных);
- обеспечение самоконтроля (предотвращение инфицирования) самого антивирусного средства при его запуске и функционировании.
Подсистема анализа защищенности предназначена для контроля настроек защиты операционных систем на АРМ пользователей и серверах. Эта подсистема должна позволять оценить возможность проведения нарушителями атак на сетевое оборудование, а также контролировать безопасность программного обеспечения. Здесь целесообразно применять средства сканирования сети с целью исследования ее топологии, поиска незащищенных или несанкционированных сетевых подключений, проверки настроек межсетевых экранов и т. п. Данный инструмент должен проводить анализ защищенности, обобщать сведения об обнаруженных уязвимостях и формировать отчеты, которые специалист легко может осмыслить.
Подсистема обнаружения вторжений выявляет угрозы НСД при межсетевом взаимодействии. Удобнее, если эти функции встроены в межсетевой экран, как и механизмы обнаружения вторжений. Полезно, если эта подсистема, обнаружив нарушение безопасности, не только оставит соответствующую запись в журнале, но и отправит сигналы на консоль и администратору по электронной почте.
Подсистема управления информационной безопасностью решает совершенно иную задачу — осуществляет мониторинг и предоставление данных с точки зрения рабочих процессов, поддержания их работоспособности. Здесь важно иметь следующий набор функций:
- сбор событий информационной безопасности от различных источников в сети;
- корреляция и отображение событий ИБ, чтобы администратор по безопасности мог проанализировать собранную информацию;
- архивирование собираемых данных для дальнейшего ретроспективного анализа.
- Внедрение подсистемы управления ИБ позволяет:
- уменьшить время реакции обслуживающего персонала на возникновение аварийных итуаций;
- автоматизировать прокладку новых каналов в сети и внедрение новых услуг;
- анализировать производительность сети и предупреждать неисправности;
- наладить учет и оптимизировать использование имеющихся ресурсов сети;
- грамотно планировать развитие сети;
- управлять настройками;
- создавать отчеты об используемом оборудовании;
- осуществлять настройку безопасности сети;
- осуществлять модернизацию программного обеспечения.
В заключение отметим, что описанные методический подход, система мероприятий по ПОБИ и комплекс средств защиты могут служить основой не только того или иного технического проекта конкретной системы, но и типизированных решений. Более того, его можно рассматривать как эскиз отраслевого стандарта. Однако вопросы остаются… Так, не в полной мере проработаны техники применения РД ФСТЭК РФ в части обработки информации ограниченного доступа, недостаточно развиты политики ИБ и распределение ответственности за защищаемые информационные ресурсы и пр. Словом, работы еще много. Надеемся, что наша статья поможет привлечь к рассмотренной проблеме специалистов, чтобы совместными усилиями устранить комплементарный парадокс между доступностью и защищенностью информационных ресурсов технологических сегментов промышленных объектов автоматизации.
Авторы статьи — сотрудники компании ИВК.