форум асутп
 На главную                       Здесь может быть Ваша реклама, подробнее...


 Наверх  |  Перейти к теме  |  Поиск  |  Вход  |  Дерево    
 Безопасность АСУ
Автор: Makap 
Дата:   07.07.11 06:18

Всем привет!

Навеяно темой "Stuxnet и безопасность SCADA систем"
http://iprog.pp.ru/forum/read.php?f=1&i=61127&t=61009#reply_61127

На разных АСУ разные меры безопасности. Есть общепринятые, кто-то придумывает что-то своё.
Интересует какие существуют требования к безопасности АСУТП в части подключения к локальной сети предприятия или интернету (особенно для опасных производств)?
Госты, отраслевые нормы.
Чем еще может регламентироваться и есть ли служба, осуществляющая контроль?

Личные мнения приветствуются тоже. Давайте обсудим!
Адрес этого сообщения    Ответить на это сообщение
 
 Безопасность АСУ
Автор: Стратула А.В. 
Дата:   07.07.11 08:01

На опасных производствах нефтегазового комплекса  никогда не выполняется объединение промышленной сети Ethernet  АСУ ТП с офисной сетью в единое пространство.
Причина даже не в том, что еще 10 лет назад сети Ethernet применялись только для офисных компьютеров.
На сегодня  интеграция сетей уровня АСУ ТП объекта и офисных сетей  управления (АБК) происходит ВСЕГДА и ТОЛЬКО с помощью роутеров.
Никогда не происходит объединение на 1 коммутатор "офисных компьютеров" и АРМ технологии.
Никогда не происходит прямое  подключение АРМ, серверов, контроллеров, принтеров, регистраторов, и накопителей АСУ ТП и ТМ к сегментам сетей серверов доступа в интернет.
При необходимости передачи данных от локальной АСУ к серверам общей сети предприятия такое подключение выполняется только через роутер и только  через 1- 2 выделенных порта, остальные закрываются для доступа в настройках роутера, причем данный обмен жестко прописывается в соответствующих клиент- серверных приложениях обоих серверов.
При необходимости передачи информации от АСУ ТП  местного уровня до ЦДП (между городами) такая передача осуществляется ТОЛЬКО по выделенным (иногда с резервированием) каналам передачи данных формируемых каналообразующим оборудованием и только от сервера к серверу!!!! никогда АРМ уровня ЦДП или  РДП не управляет напрямую сервером или контроллером АСУ ТП уровня объекта.
Обычно под эти цели выделяются кратные потоки пропускной способностью не менее T1\E1  и до T0\E0. среда передачи данных влияния не имеет. Договор предоставляется именно на выделенные линии указанной производительности. Мультиплексирование различных сетей и приложений в выделенный поток и обратное де мультиплексирование функции роутеров заказчика.   Упаковка данных внутри потока - функции оборудования связи оператора связи. Резервирование канала передачи данных- также  функции оборудования связи оператора связи.

На уровне ЦДП "Технологические" серверы и АРМ также выделены в "технологический сегмент сети." невидимый остальным компьютерам сети.

Данный подход обусловлен:
Разделением затрат на содержание оборудования связи.
Снижением "паразитного" трафика в сети  Ethernet АСУ ТП.
Исключением возможности несанкционированного доступа к  функциям управления АСУ ТП опасного объекта
из сети Intrenet.
Необходимостью обеспечения аппаратной независимости и обеспечением бесперебойности "технологической  сети".

Допускается использование "офисных" хабов  и свичей  в промышленных сетях только на время восстановления  вышедших из строя промышленных коммутаторов.
Адрес этого сообщения    Ответить на это сообщение
 
 Безопасность АСУ
Автор: Стратула А.В. 
Дата:   07.07.11 08:06

по моему есть внутренние положения о локальных сетях... у структурнызх подразделений АК Транснефть.... но у меня их нет... и вряд ли будут.. :-(

описание ситуации в предыдущем посте- анализ существующих систем в ряде подразделений АК ТН.- подход у всех оказался один.... что навевает на мысль о наличии и РД уровня компании....
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Makap 
Дата:   07.07.11 14:04

Стратула А.В. писал(а):

> Исключением возможности несанкционированного доступа к  функциям управления АСУ
> ТП опасного объекта
> из сети Intrenet.

Хотелось бы подробней о средствах и способах реализации. Может посоветуете литературу?
Чем комплексы АСУ отличаются от других серверов и корпоративных компов в этом плане?

Мне не встречались ЦДП и РДП. В таких системах может происходить двунаправленный обмен данными? Или обычно это лишь функции мониторинга?
Адрес этого сообщения    Ответить на это сообщение
 
 RE: Безопасность АСУ
Автор: Андрей Ронжин 
Дата:   07.07.11 15:48

> Стратула А.В. писал(а):
>
> > Исключением возможности несанкционированного доступа к  функциям
> управления АСУ
> > ТП опасного объекта
> > из сети Intrenet.
>
> Хотелось бы подробней о средствах и способах реализации. Может посоветуете
> литературу?
> Чем комплексы АСУ отличаются от других серверов и корпоративных компов в
> этом плане?


Есть две книги в pdf.zip на английском языке:

1. Firewall for SCADA (340 КБ)
2. Securing SCADA systems (2 252 КБ)

Куда выслать ?

С уважением,

Ронжин Андрей,

г. Оренбург
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Vyatcheslav Perevalov 
Дата:   07.07.11 16:26

В сообщении от 7 июля 2011 18:48:52 автор Андрей Ронжин написал:
> Есть две книги в pdf.zip на английском языке:
>
> 1. Firewall for SCADA (340 КБ)
> 2. Securing SCADA systems (2 252 КБ)
>
> Куда выслать ?
Может быть, модератору, чтобы он в файловый архив выложил?
--
/vip
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Ivan Zhukov 
Дата:   07.07.11 16:48

Vyatcheslav Perevalov писал(а):

> В сообщении от 7 июля 2011 18:48:52 автор Андрей Ронжин написал:
> > Есть две книги в pdf.zip на английском языке:
> >
> > 1. Firewall for SCADA (340 КБ)
> > 2. Securing SCADA systems (2 252 КБ)
> >
> > Куда выслать ?
> Может быть, модератору, чтобы он в файловый архив выложил?
> --
> /vip

Выслать мне (модератору) можно: ivzh<собачка>front.ru
Но я выложу не в файловый архив форума, а куда-нибудь
на файлообменник. Не вижу пока, что эта литература
особо ценная, а места занимать будет много - 2.5мб
Так что пусть кто-нибудь сначала посмотрит, насколько
эти книги полезные.

P.S. Как это - "Firewall for SCADA"? Разве СКАДу кто-то
подключает к общей (а не промышленной) сети или к интернету?
Адрес этого сообщения    Ответить на это сообщение
 
 RE: Безопасность АСУ
Автор: Андрей Ронжин 
Дата:   07.07.11 18:23

> Выслать мне (модератору) можно: ivzh<собачка>front.ru
> Но я выложу не в файловый архив форума, а куда-нибудь
> на файлообменник. Не вижу пока, что эта литература
> особо ценная, а места занимать будет много - 2.5мб
> Так что пусть кто-нибудь сначала посмотрит, насколько
> эти книги полезные.
>
> P.S. Как это - "Firewall for SCADA"? Разве СКАДу кто-то
> подключает к общей (а не промышленной) сети или к интернету?

Да, там как раз буржуйские решения для подключения к офисной сети
и интернет.  Выслал на Ваш адрес, Иван.

С уважением,

Ронжин Андрей,
г. Оренбург
Адрес этого сообщения    Ответить на это сообщение
 
 RE: Безопасность АСУ
Автор: Ivan Zhukov 
Дата:   07.07.11 18:42


Андрей Ронжин писал(а):

> > P.S. Как это - "Firewall for SCADA"? Разве СКАДу кто-то
> > подключает к общей (а не промышленной) сети или к интернету?
>
> Да, там как раз буржуйские решения для подключения к офисной сети
> и интернет.

Очень странно. Я думаю, что так делать просто недопустимо.

Выложил на файлообменник:
 1. http://www.onlinedisk.ru/file/694034/ Firewall for SCADA (340 КБ)
 2. http://www.onlinedisk.ru/file/694033/ Securing SCADA systems (2 252 КБ)
Адрес этого сообщения    Ответить на это сообщение
 
 RE: Безопасность АСУ
Автор: Андрей Ронжин 
Дата:   08.07.11 07:09

> Ivan Zhukov
> Subject: RE: [asutp] Безопасность АСУ
>
>
> Андрей Ронжин писал(а):
>
> > > P.S. Как это - "Firewall for SCADA"? Разве СКАДу кто-то
> > > подключает к общей (а не промышленной) сети или к интернету?
> >
> > Да, там как раз буржуйские решения для подключения к офисной сети
> > и интернет.
>
> Очень странно. Я думаю, что так делать просто недопустимо.
>

Да они и сами про это пишут, но жизнь берет свое:

"Ideally, a process control or SCADA network would be a closed system,
accessible only by trusted internal components such as the Human Machine
Interface (HMI) stations and data historians.
Realistically, the need for external access from both corporate users and
selected 3rd parties exists. For example, production and maintenance
management information needs to be relayed to computers and users outside of
the plant floor for management purposes,

(мне особенно вот это место понравилось !) while vendors may need to access
controllers for support purposes.

Implicitly this means that some network paths exist from the outside,
untrusted world to internal control components."

С уважением,

Ронжин Андрей,
г. Оренбург
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Стратула Антон 
Дата:   08.07.11 09:05

чем комплексы отличаются- вполне понятно...

Речь в посте идет об АСУ ТП _ОПАСНЫХ_ОБЪЕКТОВ_ то есть имеющих потенциальную возможность нанесения физического вреда здоровью людей занятых непосредственно на производстве и тех кто просто "мимо проходил" или живет рядом...
следовательно требования к надежности АСУ и разделения ее физически от сетей другого назначения- жизненная необходимость, поскольку разрушение АСУ это разрушение опасного объекта и техногенная катастрофа и жертвы и материальный ущерб и экологический ущерб и т.п.

Для "офисной сети" выход из строя сервера в результате хакерской атаки максимум чем грозит, так это выговором сисадмину и потерей 2-х рабочих дней на восстановление сети, но никаких взрывов, пожаров, загрязнений (разве что окурками да банками пивными)!

Не надо путать общую СКС объекта и локальную компьютерную сеть.

СКС (структурированная кабельная система объекта) может и обычно содержит кабели отнесенные к сети промышленной передачи данных.(телефон и пром.лок.сеть, кабели связи, кабели пож. сигнализации), но при этом не имеет отношения к топологии всей компьютерной сети и назначению ее отдельных сегментов.

"Промышленную" сеть отделяют от "офисной" АППАРАТНО. для обеспечения физического разделения сетей.


Если в кратце проанализировать историю возникновения и развития компьютерных сетей "в быту" и "сетей на производстве" то будет видно, что изначально у этих сетей были назные предназначения.

первая вышла как развитие системы "Мэйнфрэйм-терминалы" вторая как развитие ПАЗ, БРУ и релейной(на реле 220В!!!!) автоматики.

мода переходить на Fast Ethernet в промышленных сетях обусловлена тем,что это стало технологически доступно и модно!!! а веб технологии доступа к устройствам решают много вопросов OSI, которые ранее решались по другому- на более низком уровне...

я совсем не против Fast Ethernet на производстве- даже наоборот, но эти сети должны раз и навсегда остаться отделенными от офисных компьютеров! Даже если вы в собственном коттедже разворачиваете "нечто"- отделите его и от вашей домашней сети и от интернета роутером в виде отдельного устройства или в виде компьютера с 2-мя сетевыми картами.

ОАО «ГМС Нефтемаш», Инженерный центр
нач.отд. оборудования систем учета
a_bolshoy@xxxx.xx
Адрес этого сообщения    Ответить на это сообщение
 
 Re[2]: Безопасность АСУ
Автор: Стратула А.В. 
Дата:   08.07.11 09:15

>Мне не встречались ЦДП и РДП. В таких системах может происходить
>двунаправленный обмен данными? Или обычно это лишь функции мониторинга?

ЦДП - центральный диспетчерский пункт - обычно располагается в головном офисе компании (в другом регионе , стране, материке) значительно удален от объекта автоматизации.
РДП - районный диспетчерский пункт - располагается в районном офисе компании имеет удаленность от объекта управления до (по АК ТН) 2 000 км.(было )- 4 000 км (стало после ВСТО)
МДП- местный диспетчерский пункт. располагается на удалении до 5-10 км (для крупных нефтебаз, морских портов, транспортных узлов) от объекта управления и до 20 км для предприятий гигантов (крупных нефтеперерабатывающих и нефтехимических комбинатов),  до 50 км- для комплексов шахт и разрезов горнодобывающей промышленности.
Адрес этого сообщения    Ответить на это сообщение
 
 RE: Безопасность АСУ
Автор: ИА 
Дата:   07.07.11 18:30

Добрый день!

А можете выслать мне тоже?

Заранее благодарен.

С уважением,

Аблин Илья
ЗАО НПФ ИнСАТ
+7-495-989-22-49
ablin@xxxxx.xx
www.insat.ru
www.masterscada.ru




> -----Original Message-----
> From: asutp@googlegroups.com [mailto:asutp@googlegroups.com] On
> Behalf Of Андрей Ронжин
> Sent: Thursday, July 07, 2011 6:23 PM
> To: asutp@googlegroups.com
> Subject: RE: [asutp] Безопасность АСУ
>
>
> > Выслать мне (модератору) можно: ivzh<собачка>front.ru Но я выложу
> не в
> > файловый архив форума, а куда-нибудь на файлообменник. Не вижу
> пока,
> > что эта литература особо ценная, а места занимать будет много - 2.5мб
> > Так что пусть кто-нибудь сначала посмотрит, насколько эти книги
> > полезные.
> >
> > P.S. Как это - "Firewall for SCADA"? Разве СКАДу кто-то подключает к
> > общей (а не промышленной) сети или к интернету?
>
> Да, там как раз буржуйские решения для подключения к офисной сети и
> интернет.  Выслал на Ваш адрес, Иван.
>
> С уважением,
>
> Ронжин Андрей,
> г. Оренбург
Адрес этого сообщения    Ответить на это сообщение
 
 RE: Безопасность АСУ
Автор: Ivan Zhukov 
Дата:   08.07.11 11:17

1. http://www.onlinedisk.ru/file/694034/ Firewall for SCADA (340 КБ)
2. http://www.onlinedisk.ru/file/694033/ Securing SCADA systems (2 252 КБ)

ИА писал(а):

> Добрый день!
>
> А можете выслать мне тоже?
>
> Заранее благодарен.
>
> С уважением,
>
> Аблин Илья
Адрес этого сообщения    Ответить на это сообщение
 
 RE: Безопасность АСУ
Автор: Makap 
Дата:   11.07.11 09:52

Андрей Ронжин писал(а):

> Есть две книги в pdf.zip на английском языке:
>
> 1. Firewall for SCADA (340 КБ)
> 2. Securing SCADA systems (2 252 КБ)

Спасибо, Андрей.

Стратула Антон писал(а):

> Не надо путать общую СКС объекта и локальную компьютерную сеть.
...
> "Промышленную" сеть отделяют от "офисной" АППАРАТНО. для обеспечения физического
> разделения сетей.
...
> я совсем не против Fast Ethernet на производстве- даже наоборот, но эти сети
> должны раз и навсегда остаться отделенными от офисных компьютеров! Даже если вы
> в собственном коттедже разворачиваете "нечто"- отделите его и от вашей домашней
> сети и от интернета роутером в виде отдельного устройства или в виде компьютера
> с 2-мя сетевыми картами.

Спасибо за ответ. Я не путаю. Дело в том, что сами по себе эти средства не являются панацеей.
Работа этих 2х сетевых карт сильно зависит от настройки. Фаерволы, шифр и прочее. Об этом и речь.
Должны же быть критерии. Возможно, на некоторых предприятиях это запрещено в любой форме.

Предствим себе АЭС. Захотели и поставили себе ERP или MES систему какую-нибудь. Сильно важно здесь обеспечить безопасность на должном уровне. Это же все понимают. Но как?
Кто-нибудь знает, техпроцессы подобного плана реально подключаются или нет?

По поводу диспетчерских пунктов. Как это работает? Диспетчер может изменять какие-то параметры/уставки влияющие на техпроцесс? Или всё же он только наблюдает и в случае необходимости звонит на объект (подстанцию, цех, узел)?

Существует вот такой орган:
Федеральная служба по техническому и экспортному контролю.
(ФСТЭК России)

И есть различные документы по защите информации. http://www.fstec.ru/_razd/_isp0o.htm
Обычно для банков и гостайны. Думаю и для нас найдется. Еще не разобрался до конца.
Адрес этого сообщения    Ответить на это сообщение
 
 RE: Безопасность АСУ
Автор: Андрей Ронжин 
Дата:   11.07.11 11:33

> Существует вот такой орган:
> Федеральная служба по техническому и экспортному контролю.
> (ФСТЭК России)
>
> И есть различные документы по защите информации.
> http://www.fstec.ru/_razd/_isp0o.htm
> Обычно для банков и гостайны. Думаю и для нас найдется. Еще не разобрался
> до конца.

 Кроме документов ФСТЭК есть еще законы, ГОСТы и отраслевая нормативная
документация тех ведомств, для которых проектируются АС в защищенном
исполнении и которая учитывает специфику отрасли (например банки, нефтянка,
Газпром, АЭС и т.д.)
Вот примерный общий перечень документов, которые являются общими для всех.

1. «Доктрина информационной безопасности Российской Федерации», утверждена

   Президентом Российской Федерации 09.09.2000.
2. Федеральный закон «О техническом регулировании», № 184- ФЗ, 15.12.2002.
3. Федеральный закон «О связи» №126-ФЗ от 07.07.2003 г. (с изменениями от
   09.02.2007г. ФЗ-14 «О внесении изменений в Федеральный закон «О связи»).
4. Федеральный закон Российской Федерации от 10.01.2002 №1-ФЗ «Об
   электронной цифровой подписи».
5. Федеральный закон «Об информации, информационных технологиях и о защите
   информации» от 27.07.2006 г. № 149-ФЗ.
6. Федеральный закон «О коммерческой тайне», № 98-ФЗ, 29.07.2004 г.
7. Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных».
8. Указ Президента Российской Федерации от 6.03.1997 г. №188 (в ред. Указа
   Президента РФ от 23.09.2005 г. №1111) «Об утверждении перечня сведений
   конфиденциального характера».
9. Указ Президента Российской Федерации от 17.12.1997 г. №1300 «Концепция
   национальной безопасности Российской Федерации» в редакции Указа
   Президента Российской Федерации от 10.01.2000 г. №24.
10. Система сертификации средств защиты информации по требованиям
    безопасности информации № РОСС RU.OOO1.O1БИOO. «Положение о сертификации

    средств защиты информации по требованиям безопасности информации».
11. Нормативный документ Гостехкомиссии России (ФСТЭК РФ) «Специальные
    требования и рекомендации по технической защите конфиденциальной
    информации» (СТР-К, приложение к приказу №282 от 30.08.2002г.).
12. Руководящий документ Гостехкомиссии России «Защита от
    несанкционированного доступа к информации. Термины и определения».
13. Руководящий документ Гостехкомиссии России «Средства вычислительной
    техники. Защита от несанкционированного доступа к информации. Показатели

    защищенности от несанкционированного доступа к информации».
14. Руководящий документ Гостехкомиссии России «Автоматизированные системы.
    Защита от несанкционированного доступа к информации. Классификация
    автоматизированных систем и требования по защите информации» (1992г.).
15. Руководящий документ Гостехкомиссии России «Защита от
    несанкционированного доступа к информации. Часть 1. Программное
    обеспечение средств защиты информации. Классификация по уровню контроля
    недекларированных возможностей».
16. Руководящий документ «Средства вычислительной техники. Межсетевые
    экраны. Защита от несанкционированного доступа к информации. Показатели
    защищенности от несанкционированного доступа к информации»
   (Гостехкомиссия России 1996г.).
17. ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в
    защищенном исполнении. Общие требования».
18. ГОСТ Р 51583-2000 «Защита информации. Порядок создания
    автоматизированных систем в защищенном исполнении. Общие положения».
19. ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы,
    воздействующие на информацию. Общие положения».
20. ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от
    несанкционированного доступа к информации».

С уважением,

Ронжин Андрей,
г. Оренбург
Адрес этого сообщения    Ответить на это сообщение
 
 Re[2]: Безопасность АСУ
Автор: Стратула А.В. 
Дата:   11.07.11 12:28

......По поводу диспетчерских пунктов. Как это работает? Диспетчер может
изменять какие-то параметры/уставки влияющие на техпроцесс? Или всё же он
только наблюдает и в случае необходимости звонит на объект (подстанцию,
цех, узел)?....

Вот такой есть документ
ОР 13.01-60.30.00-КТН-006-1-02. Регламент организации контроля за нормативными параметрами МН и НПС в операторных НПС, диспетчерских пунктах РНУ (УМН) и ОАО МН

За всех не скажу, но в большинстве случаев ситуация с правами  на изменение уставок и состояния оборудования следующая:

ЦДП- верхушка пирамиды - управление всеми Станциями и  Технологическим Объектами предприятия включенными в систему ТМ Объединения или Компании. Полное право изменять "технологические режимы работы объекта", переключение между "линиями", "агрегатами". Приоритет перед всеми кроме ПАЗ. Объем ТУ оговаривается в РЕГЛАМЕНТе Компании или Объединения.

РДП- вторая ступень - ограничение по географии Района, но, возможно, увеличение "глубины погружения в процесс"- возможность управлять подсистемами объекта, выдавать разрешения на " управление из МДП " и "управление по месту установки", подчинение перед ЦДП

МДП - полная степень управления оборудованием " технологического объекта", включая все основные и вспомогательные процессы. приоритет перед "управление по месту установки", подчинение перед ЦДП, РДП.

И опять же !

НИКОГДА и НИ НА КАКОМ УРОВНЕ  НИ С КАКОГО АРМ не отправляется прямая команда на "центральный контроллер АСУ ТП объекта"
Только опосредованно по цепочке:
АРМ ЦДП- сервер ЦДП -сервер РДП- Сервер МДП(объекта)- контроллер ТМ -( команда по интерфейсу и дублирование физ сигналами)- Контроллер АСУ, или Контроллер ПАЗ.

Сбор информации- по обратной цепочке..
Адрес этого сообщения    Ответить на это сообщение
 
 Безопасность АСУ
Автор: Sergey Borisov 
Дата:   26.04.12 18:05

по материалам: http://sborisov.blogspot.com/2012/04/blog-post_26.html

Не секрет, что в ряде предприятий параллельно с компьютерной вычислительной сетью существует ещё одна технологическая сеть с технологическими системами (SCADA, АСУ ТП).
Последнее время растет количество опубликованных уязвимостей  АСУ ТП. Например свежие новости про уязвимости в самых популярные в России производителях SCADA:  Schneider-Electric и Siemens.
http://www.anti-malware.ru/news/2012-04-06/8878
http://www.anti-malware.ru/news/2011-12-23/5091

Вместе с этим эксперты по ИБ всё чаще поднимают эту проблему и предлагают решения:
• Михаил Емельянников предупреждает о возможных катастрофах
http://emeliyannikov.blogspot.com/2011/09/blog-post_2652.html
• Андрей Комаров неоднократно поднимает эту тему  в своем блоге
http://www.securitylab.ru/blog/personal/komarov/20270.php
• Алексей Тюрин пишет в журнале “информационная безопасность” №2 за 2012
http://www.itsec.ru/imag/insec-2-2012/
• Алексей Лукацкий приводит обзоры различных стандартов обеспечения безопасности технологических сетей в своем блоге и на конференциях
http://lukatsky.blogspot.com/2012/04/blog-post_26.html
http://blogs.cisco.ru/2011/09/23/scada_security/
Но реакции со стороны специалистов занимающихся безопасностью технологических сетей и систем не видно.
А вместе с тем предприятий, в которых есть технологические сети немало. Вот перечень основных отраслей:
• промышленное производство;
• производство электроэнергии;
• управление передачей и распределением электроэнергии;
• водозабор, водоочистка и водораспределение;
• добыча, транспортировка и распределение нефти и газа;
• все виды транспорта: авиа, метро, железнодорожный, автомобильный, водный
• космические, пограничные и военные объекты;
• операторы сотовой связи, телевидения, радио;
• автоматизированные хранилища;
• системы безопасного города: видеонаблюдение, экстренная помощь;
• автоматизация зданий, развлекательных, спортивных, строительных объектов, систем  “умный дом”  и т.п.
АУ. Где вы, специалисты, отвечающие за безопасностью технологических сетей и систем? Почему их не слышно и не видно?
Исходя из собственного опыта, предположу, что таких ответственных нет. Сотрудникам отдела ИБ строго настрого запрещено трогать технологические сети. Специалисты АСУ ТП и SCADA знать ничего не знают про угрозы ИБ.
Именно поэтому в данную секунду реализуется большое количество проектов по созданию или модернизации технологических сетей и систем, в котором и слова нет про ИБ.
http://www.b2b-center.ru/market/list_tenders.html?all=0&open=1&cat_id=43313530
http://www.mosenergo.ru/catalog/301/81.aspx
Именно поэтому в конференциях по АСУ ТП http://www.intecheco.ru/asutp/ нет секций по ИБ. В конференциях по ИБ нет секций по АСУТП. А если есть отдельные доклады, то специалисты по АСУТП не приглашаются на данные конференции и не знают о поджидающих их проблемах.
И если ситуация кардинально не изменится, то ждать нам в ближайшее время подобных новостей:  ММВБ, Северный поток, Авиакомпания Сибирь, Нефтяная компания Ирана.
http://finparty.ru/section/news/record/1268/
http://ugmk.info/news/severnyj-potok-dal-tehnologicheskij-sboj.html
http://news.mail.ru/society/8774130/?utm_source=twitterfeed&utm_medium=twitter
http://www.bbc.co.uk/russian/international/2012/04/120423_iran_oil_industry_attack.shtml
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Виктор Иванов 
Дата:   27.04.12 09:26

Не всё так плохо.
Например? на всех объектах энергетики периодически проходят проверки комисиии
Федеральной службы по техническому и экспортному контролю (ФСТЭК России) http://www.fstec.ru/.
По их предписаниям ставятся системы защиты и разделения технологических сетей от корпоративных ЛВС.
И деньги я Вам скажу вкладываются очень немаленькие, хотя ИМХО, зачастую необоснованно.
Оборудование для защиты технологических сетей иногда по стоимости равно всему оборудованию самой технологической сети.
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Ivan Zhukov 
Дата:   27.04.12 09:40

Sergey Borisov писал(а):

> АУ. Где вы, специалисты, отвечающие за безопасностью технологических сетей и систем?

Вы думаете, что в АСУТП работают дураки, которые ничего этого не знают и
никаких мер не принимают? Если вы так думаете, то сильно ошибаетесь.
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Алексей Ефремовский 
Дата:   27.04.12 10:02

Огласите перечень оборудования для защиты. Что там? Cisco ASA?

В больших диспетчерских системах и системах АСУ распределенных объектов (в глобальном смысле) используются арендованные каналы связи IP over SDH и VPN тунели. Уровень доступности и надежность каналов связи вызывает гораздо больше подозрений, чем теоретическая вероятность взлома и искажения передаваемой информации. Тем более сейчас, после истребления ведомственных операторов связи в угоду владельцев федеральных ОПСОС-ов и поглощения ими магистральных операторов, надеяться на резервирование не приходится.
Можно арендовать каналы связи у Ростелекома, Мегафона, МТС от Владивостока до Калининграда. Но кто Вам даст гарантию, что все каналы не окажутся в одном кабеле, или в разных кабелях но одной траншеи?
А сейчас в этот винегрет добавляют каналы управления АСУ МО, каналы управления ПВО, спецсвязь, VPN для силовых федеральных ведомств типа МЧС и других со звездочками. Вам это Титаник не напоминает?
И на фоне этого дурдома новоявленные эксперты по безопасности промышленных сетей будут рассказывать сказки и выписывать представления?

--
&#38929;&#24373;&#12387;&#12390;
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Алексей Ефремовский 
Дата:   27.04.12 10:17

Да забыл добавить, все эти каналы глобальных систем АСУ подняты на базе сетей построенных на SDH мультиплексорах HUAWEI, ECI и других компаний из дружественных стран. Для управления такими сетями зачастую используют ресурсы центров управления и центров принятия решений самих производителей. Т.е. в штате наших магистральных операторов зачастую отсутствуют инженеры или просто сотрудники владеющие оперативной информацией о состоянии сети. Где гарантия что по сигналу из Китая или Израиля нам не отключат одновременно сети управления железными дорогами, электроэнергетикой, противовоздушной обороной, пограничных частей?

Конечно удобно все это не замечать, а ходить по крупным конторам и впихивать межсетевые экраны прикрываясь предписаниями с синими печатями.

--
&#38929;&#24373;&#12387;&#12390;
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Алексей Ефремовский 
Дата:   27.04.12 10:55

О степени развала отрасли связи:
http://pics.livejournal.com/electrosvyaz/pic/0001ft80.jpg
http://pics.livejournal.com/electrosvyaz/pic/0001gd8d.jpg
http://pics.livejournal.com/electrosvyaz/pic/0001hqta.jpg

Впору кричать "АУ. Где вы, специалисты, отвечающие за безопасностью технологических сетей и систем?"
Нет никого. Все ушли торговать с лотка роутерами и файрволами.

--
&#38929;&#24373;&#12387;&#12390;
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Ivan Zhukov 
Дата:   27.04.12 11:12

Алексей Ефремовский писал(а):

> Конечно удобно все это не замечать, а ходить по крупным конторам и впихивать
> межсетевые экраны прикрываясь предписаниями с синими печатями.

Самое интересное, что на государственном уровне делают протекцию
известным иностранным компаниям (не буду показывать пальцем),
получают за это гигантские откаты, свои разработки не поддерживают,
а потом спохватываются "ой, у нас же всё не под контролем, а всё под
контролем иностранных партнёров".
Так что я думаю, вся эта возня несерьёзна - просто опять хотят попилить
бабло на имитации борьбы за безопасность. А по факту давно всё продано.
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: freydman 
Дата:   27.04.12 11:30

При обсуждении статьи
"Stuxnet и безопасность SCADA систем" в прошлом году
http://iprog.pp.ru/forum/read.php?f=1&i=61127&t=61009#reply_61127
выяснилось, что поддерживать главный тезис "MS-Windows со своими
дырами не может быть безопасной платформой для АСУТП" некому, т.к.
в большинство систем построено на этих дырах, вбухана куча средств,
и лучше закрыть глаза и получать удовольствие от того, что есть...
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Sergey Borisov 
Дата:   27.04.12 15:08

Ivan Zhukov: Конечно я не думаю что в АСУТП работают дураки.
Вопрос был в другом: поручено ли специалистам по АСУТП обеспечивать ИБ этих систем? несут ли они за это ответственность?
Хорошо бы если - да.

Алексей Ефремовский: нет никакого желания впаривать конкретные продукты безопасности, особенно если они не нужны.
Озвучивалась несколько другая ситуация: в ряде компаний (предприятий, интеграторах, производителях) есть специалисты имеющие опыт разработки комплексных систем информационной безопасности и имеющих возможность под конкретную задачу - найти, подобрать, разработать решение.
Есть стандарты ИБ созданные специально для АСУ ТП и SCADA. То есть есть предложение.

НО нет спроса.

То есть при создании/модернизации систем АСУ ТП не закладывается даже мало-мальских требований к обеспечению ИБ. И это подтверждаются ссылками на конкурсы которые я приводил выше.
Это подтверждается информацией о закрытых конкурсах, на которые я не могу привести ссылки, но в них точно также не заложено требований ИБ. И главные инженеры и руководители предприятий полагают что АСУТП не нужна ИБ.

А хотелось бы наоборот - чтобы руководители предприятий, главные инженеры понимали, что обеспечение ИБ должно быть неотъемлемой частью любой создаваемой системы.
Ведь системы АСУТП это действительно самые критически важные системы. Это не какая-нибудь коммерческая тайна - от разглашения которой непонятно какой ущерб будет.
От нарушения работы технологической сети зависит деятельность всего предприятия, а возможно и большого количества потребителей, клиентов, заказчиков.
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Александр Ключников 
Дата:   27.04.12 15:10

>Предствим себе АЭС. Захотели и поставили себе ERP или MES систему какую-нибудь. Сильно важно здесь >обеспечить безопасность на должном уровне. Это же все понимают. Но как?
> Кто-нибудь знает, техпроцессы подобного плана реально подключаются или нет?

Для особо опасных объектов ставится отдельный контроллер, который пишет необходимую для MES информацию в спец. хранилище данных. Затем, хранилище на физическом уровне отсоединяется от сервера (не руками конечно, а на уровне реле физически меняющего кабель). Из хранилища информация считывается в MES, затем хранилище обратно присоединяется в систему АСУ. При этом система АСУ может только записывать данные, система анализа только считывать (это также обеспечивается не только на уровне ПО, но и на на уровне железа).

То есть:

1) Необходимо обеспечить 100% гарантированную не доступность на чтение информации, которая хоть как то пересекается с вычислительной сетью для систем АСУ ТП
2) Сама сеть АСУ ТП на физическом уровне никогда и ни при каких обстоятельствах, даже на секунду, даже через firewall и аппаратные средства защиты - НИКАК и НИКОГДА, не должна пересекаться с вычислительной сетью.
3) Нельзя допускать запись таких операций основными серверами или любыми другими компонентами, которые могут оказывать влияние на основные процессы


К вышесказанному, доп. средства и firewall также не помешают - на всякий случай ;) в качестве дополнения, чтобы сигнализировать что вообще имела место попытка проникновения, но не в качестве основного уровня защиты.
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Виктор Иванов 
Дата:   27.04.12 15:21

Sergey Borisov писал(а):

> Ivan Zhukov: Конечно я не думаю что в АСУТП работают дураки.
> Вопрос был в другом: поручено ли специалистам по АСУТП обеспечивать ИБ этих
> систем? несут ли они за это ответственность?
> Хорошо бы если - да.

В большой энергетике спецы АСУ не обеспечивают такую безопасность.
Это почему-то отдано на откуп отделов безопасности.
И конечно сразу появляется масса нестыковок и попытки (втихую) обхода таких систем.
В итоге система безопасности стоит просто для галочки.
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Ivan Zhukov 
Дата:   27.04.12 15:31

Понятно, вы хотите продать свой продукт (а может даже не свой,
а тоже импортный?)

Специалисты АСУТП обязаны поддерживать работоспособность
системы, а это автоматически подразумевает обеспечение ИБ.
Что могут, асутпшники делают. А что они не могут, то
и вы не сможете сделать. Только осложните им работу.

Ваши "комплексные систем информационной безопасности"
совершенно бессмысленны и бесполезны, потому что
оборудование почти всё импортное, программное обеспечение
практически всё импортное и закрытое (без исходников).

Жучки и закладки в наше время надёжно выявить невозможно.
Вполне вероятно, что в оборудование заложена возможность
дистанционного отключения по радиоканалу.

Можно быть уверенным только в своей технике, производство
которой полностью контролируется, и компоненты тщательно
проверяются. То есть это уровень военных требований.


Sergey Borisov писал(а):

> Ivan Zhukov: Конечно я не думаю что в АСУТП работают дураки.
> Вопрос был в другом: поручено ли специалистам по АСУТП обеспечивать ИБ этих
> систем? несут ли они за это ответственность?
> Хорошо бы если - да.
>
> Алексей Ефремовский: нет никакого желания впаривать конкретные продукты
> безопасности, особенно если они не нужны.
> Озвучивалась несколько другая ситуация: в ряде компаний (предприятий,
> интеграторах, производителях) есть специалисты имеющие опыт разработки
> комплексных систем информационной безопасности и имеющих возможность под
> конкретную задачу - найти, подобрать, разработать решение.
> Есть стандарты ИБ созданные специально для АСУ ТП и SCADA. То есть есть
> предложение.
>
> НО нет спроса.
>
> То есть при создании/модернизации систем АСУ ТП не закладывается даже
> мало-мальских требований к обеспечению ИБ. И это подтверждаются ссылками на
> конкурсы которые я приводил выше.
> Это подтверждается информацией о закрытых конкурсах, на которые я не могу
> привести ссылки, но в них точно также не заложено требований ИБ. И главные
> инженеры и руководители предприятий полагают что АСУТП не нужна ИБ.
>
> А хотелось бы наоборот - чтобы руководители предприятий, главные инженеры
> понимали, что обеспечение ИБ должно быть неотъемлемой частью любой создаваемой
> системы.
> Ведь системы АСУТП это действительно самые критически важные системы. Это не
> какая-нибудь коммерческая тайна - от разглашения которой непонятно какой ущерб
> будет.
> От нарушения работы технологической сети зависит деятельность всего предприятия,
> а возможно и большого количества потребителей, клиентов, заказчиков.
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Sergey Borisov 
Дата:   27.04.12 17:17

Ivan Zhukov: вы похоже считаете что раз вы не можете доверять продуктом иностранных компаний и нет подходящих вам продуктов российского производства - то можно вообще ничего не делать?

То есть не нужны вам требования по безопасности, не нужно чтобы специалисты тратили время на защиту?
Не придумываете ли вы специально предлог чтобы не заниматься проблемой?


не так важно какие будут средства защиты. Пусть российские, пусть военные.
Но где требования ИБ? Где подсистема ИБ? почему её вообще нет?

Или вы считаете что без всяких требований организация создающая или модернизирующая АСУТП по вашему заказу и так сделает её безопасной? Руководствуясь исключительно спинным мозгом?
Увы нет. Есть требования и исполнитель выполнит их по-минимуму. Такова жизнь.
Если никто безопасность просит - то сама по себе она не появится.
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Ivan Zhukov 
Дата:   27.04.12 17:28

Sergey Borisov писал(а):

> Ivan Zhukov: вы похоже считаете что раз вы не можете доверять продуктом
> иностранных компаний и нет подходящих вам продуктов российского производства -
> то можно вообще ничего не делать?
>
> То есть не нужны вам требования по безопасности, не нужно чтобы специалисты
> тратили время на защиту?
> Не придумываете ли вы специально предлог чтобы не заниматься проблемой?

Я считаю, что задачу, которую вы обозначили, решить нельзя.
Как говорится, "поздно пить боржоми если почки отвалились".
Можно только имитировать деятельность по решению этой задачи,
"осваивая средства".

P.S. А то что можно сделать - делается и так,
без "комплексных систем информационной безопасности".
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Sergey Borisov 
Дата:   27.04.12 17:46

Если вы не можете решить проблему, то не надо говорить за всех остальных.
Как раз, если учитывать ИБ ещё не стадии создания систем, то всё можно сделать гораздо проще, чем когда система уже внедрена и работает.

P.S. не у всех всё что можно - уже сделано.
Недавно участвовал в обследовании/аудите ИБ ряде предприятий - всё совсем не радужно.
Всё больше используются в АСУ ТП технологии TCP/IP, классические АРМ и сервера под управление Windows. КВС и технологические сети имеют кучу пересечений, местами трафик и обычных и технологических сетей ходит по одним каналам, местами разрешены двунаправленные потоки трафика.
И самое главное - за безопасность АСУТП в целом никто не отвечает.

И не только у меня.
Аналогичные исследования проводятся регулярно и я ни разу не слушал, чтобы всё было хорошо.
http://habrahabr.ru/company/xakep/blog/123672/
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Ivan Zhukov 
Дата:   27.04.12 17:53

> Всё больше используются в АСУ ТП технологии TCP/IP,
> классические АРМ и сервера под управление Windows.

:-)))))
Вы не понимаете, куда хотите влезть.
Щас, все производители СКАД откажутся от винды
и переедут на Линукс, а также запретят протокол OPC. :-)
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Sergey Borisov 
Дата:   27.04.12 18:02

Так про это и говорю,
раз технологические сети (для удобства и экономии) строятся на тех-же технологиях что и компьютерные сети, то и защищаться должны подобным образом.
Уровень защиты должен быть по крайне мере не ниже. Ведь на кону гораздо большие риски чем в компьютерных сетях.
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Алексей Ефремовский 
Дата:   27.04.12 18:43

Господа, а когда уже кормить начнете? Вы все меню зачитываете, да про содержание витаминов втолковываете. А что реально можете предложить взамен существующих решений?

--
&#38929;&#24373;&#12387;&#12390;
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Алексей Ефремовский 
Дата:   27.04.12 19:39

>> То есть
>>
>> 1) Необходимо обеспечить 100% гарантированную не доступность на чтение информации, которая хоть как то
>> пересекается с вычислительной сетью для систем АСУ ТП
>> 2) Сама сеть АСУ ТП на физическом уровне никогда и ни при каких обстоятельствах, даже на секунду, даже
>> через firewall и аппаратные средства защиты - НИКАК и НИКОГДА, не должна пересекаться с вычислительной
>> сетью.
>> 3) Нельзя допускать запись таких операций основными серверами или любыми другими компонентами,
>> которые могут оказывать влияние на основные процессы

Случалось мне работать гл.инженером в филиале магистрального оператора связи по СФО и ДВФО.
Выиграли федеральный тендер на предоставление защищенных каналов связи для нужд ФСО и ФСБ. За короткий срок, что-то около месяца было реализовано техническое решение, в  рамках которого каналы были предоставлены областным и районным управлениям ФСБ, погранцам и ФСО-шникам. Это сотни SDH-транков и VPN-каналов, тысячи потоков E1/E3.
В момент подписания актов выполненных работ ФСБ-шники заявили, что наша компания не в полном объеме выполнила контракт - нет связи в управлении по Питеру. Нет ну ладно если бы по Ерофей-Павловичу или по Кызылу, а тут Питер. Самое смешное, что там услугу для ФСБ ранее предоставлял Ростелеком и государство исправно оплачивало ее не один год. Когда Ростелеком проиграл тендер он просто продал уже существующие каналы связи нам за ненадобностью. Инженеры службы эксплуатации начали проверку, подали тестовый сигнал со стороны центра обработки данных и предложили ФСБ-шникам проверить на своем мультиплексоре. И тут выяснилось что они не знают куда скоммутированы каналы в Питере. Т.е. получается они оплачивали Ростелекому ранее услугу которой не пользовались, фактически она им была не нужна.

Вот и получается что самый защищенный канал - тот которым не пользуешься. Ваш перечень как раз с такого варианта начинается. Смело!

--
&#38929;&#24373;&#12387;&#12390;
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Александр Ключников 
Дата:   28.04.12 09:41

писал(а): Алексей Ефремовский

И такое бывает :)

>Вот и получается что самый защищенный канал - тот которым не пользуешься. Ваш перечень как раз с такого >варианта начинается. Смело!
Разумеется, подразумевается недоступность на чтение информации из компьютерной сети в АСУ ТП ;) Информация из АСУ ТП в компьютерную все же на чтение доступна ;)
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Андрей Мурашко 
Дата:   18.02.15 14:55

в продолжение этой же темы: http://www.vzglyad.ru/society/2015/2/17/730000.html

С наилучшими пожеланиями,
Андрей Мурашко
Адрес этого сообщения    Ответить на это сообщение
 
 Re: Безопасность АСУ
Автор: Лапшин Вячеслав 
Дата:   18.02.15 23:21

Доступ к объекту автоматизации из интернет упрощает корректировку созданного.

Как поступили мы:
1. Установили на одном из ПК две сетевые карты. Одна подключена в интернет, вторая связана с промышленной сетью.
2. Установили на данный компьютер Касперского (пока триальную версию)
3. Установили TeamViewer

Договорились о том, что доступ к данному компьютеру из внешней сети будет коммутируемым (разъединяемым) после работы программиста.

Проектируем АСУ ТП
lapshinvr.ru
Адрес этого сообщения    Ответить на это сообщение
 Список форумов    


 Список форумов  |  Нужен логин? Регистрируйтесь здесь 
 Логин пользователя
 Имя пользователя:
 Пароль:
 Помнить пароль:
   
 Забыли ваш пароль?
Введите имя пользователя или e-mail, и новый пароль будет послан на email, указанный в вашем профиле.

Рейтинг@Mail.ru