Задать вопрос

    Поставщик решений в области сетевой безопасности и корпоративной связи

Повышение безопасности промышленных SCADA систем на базе решений Fortinet

Повышение безопасности промышленных SCADA систем на базе решений Fortinet

SCADA(Supervisory Control and Data Acquisition) системы - сети специализированных компьютеров и устройств предназначенные для мониторинга и управления производственными процессами предприятий промышленности. Данные системы также предостиавляют возможность снятия, анализа и принятия решений исходя из  статистической информации со всевозможных промышленных датчиков(дастчики температуры, давления, вибраций итд.)

Типичное использование SCADA систем:

- управление производственными процессами

- управление инсфраструктурой(водоочистные сооружения,управление газопроводами/нефтепроводами)

- управление инфраструктурой зданий(офисы, центры обработки данных, аэропорты, итд)

SCADA устройства соединяются с системой управления посредством семества протоколов DMP3 ICCP и MODBUS.

Интерфейсы используемые для подключения сбора статистики со SCADA устройств:

Human–machine interface - позволяет оператору системы осуществлять мониторинг и регирование на события происходящие в сети

Система управления - система мониторинга и управления производственными процессами 

Терминальные устрйства(RTU) -  устройства преобразующие сигналы сенсоров в пакеты данных которые передаются на систему управления

Инфраструктура - сеть передачи данных соединяющая терминальные устройства 

Рис. 1:  Промышленная сеть с архитектурой  SCADA


С помошью SCADA систем производится управление  большинством промышленных обьектов:

- электростанции

- системы водоснабжения и водоочистки

- нефтеперерабатывающие комбинаты, химические производства

- конвеерные производства

Потеря доступа или некорректная работа таких систем приводит финансовым потерям предприятия. Кроме финансовых потерь  также это может привести к физическому повреждению оборудования и последующим возможным авариям на предприятии. Поэтому информационная безопасность SCADA систем высокоприоритетная задача.

Как правило SCADA системы физически отделены от основной инфраструктуры предприятия и сети Интернет. Однако предприятия все чаще подключают свои SCADA сети к потенциально опасным сегментам сети для обмена оперативной информацией и снижения расходов на приватные каналы связи. Даже при применении жестких корпоративных политик ограничивающих доступ к таким системах, может происходить непреднамеренное шлюзование публичных сетей и сетей управления SCADA системами, что создает дополнительные риски выхода из строя критических систем.


Большинство протоколов передачи анных в SCADA системах не были спроектированы для использования в публичных сетях передачи данных. Например, протокол MODBUS был разработан для низкоскоростных сетей передачи данных с использованием серийных интерфейсов. Чтобы осуществлять возможность работы в IP сетях MODBUS TCP просто инкапсулирует протокол серийных интерфейсов в TCP пакеты и передает на удаленную систему. Дополнительные протоколы осуществления безопасного соединения просто не были предусмотрены.

Весьма часто безопасность SCADA систем ограничивается установкой паролей на утройствах RTU. В свою очередь передача паролей осуществляется в открытом виде через публичные каналы связи, что может привести в перехвату паролей злоумышлениками.


Защита SCADA систем

Существует ряд методик которые могут обеспечить неообходимую безопасность SCADA систем:

- Контроль и устранение  уязвимостей операционных систем на которых развернуты SCADA компоненты

- Контроль связности сегментов сетей содержащих SCADA системы и публичных сетей

- Контроль коммуникаций между SCADA компонентами

- Контроль доступа к SCADA компонентам

- Оперативный мониторинг и реагирование на проявления вирусной активности и атак  на системы предприятия

К сожалению своевременное устранение уязвимостей таких систем  не всегда возможно по причине критичности и невозможности временного останова для проведения оператиного обновления програмного обеспечения. В данной ситуации наиболее подходящим подходом является, внедрение систем беозопасности приложений на сетевом уровне. Такие системы включают в себя следующие функции и компоненты:

- брандмауэры уровня приложений

- антивирусы

- контроль доступа приложений

- web фильтрация

- VPN

- автоматическое обновление антивирусных и IPS баз данных

- обновление специфичных SCADA уязвимостей в антивирусных и IPS базах данных

- предотврашение DoS атак

- Защита баз данных

Защита SCADA систем с помощью решений Fortinet

Компания Fortinet - лидирующий производитель систем с функциями Unified Threat Management(UTM). Fortinet производеит интегрированные решения брандмауєра, безопасного удаленного доступа к сети, антивирусной защиты, анти-спам защиты, контент фильтрации и множества других функций. Существует множество возможностей интеграции решений Fortinet в SCADA сети. Ниже приведены ключевые функции необходимые для безопасного функционирования SCADA сетей.

Отказоустойчивость и высокая доступность 

Высокая доступность является ключевым требованием в любой SCADA сети. Все продукты Fortinet начиная с начальных моделей (например Fortigate-50B) поддерживают режим высокой доступности "из коробки".  Устройства поддерживают режимы как active-passive так и  active-active. Все сессии дублируются на резервном стройстве и при возникновении аварии, обрывов передачи данных не произойдет. Также начиная с моделей Fortigate-310B предусмотрено резервирование блоков питания устройств, что позволяет повысить доступность при возникновении перебоев в электросети. Режим высокой доступности также эффективен во время модернизации оборудования (замена плат на одном из устройств, обновление ПО). На сетевом уровне решение Fortinet позволяет резервировать множество WAN интерфейсов, что позволяет подключаться одновременно к нескольким сервис-провайдерам.


Высокая производительность/VPN с низкими задержками

Протоколы SCADA не имеют каких либо средств безопасности, и поэтому подвержены атакам MITM, и незаконному перехвату транзитного трафика. Для обеспечения безопасного транзита трафика в решениях Fortinet реализована функциональность VPN с низкими задержками. Технология FortiASIC позволяет ускорять процесс шифрования данных на апаратном уровне.

Прозрачный режим

Критичность управления SCADA систем исходит из того какие  объекты они контролируют. Изменения в сетевой топологии и простои сети передачи данных должны избегаться любыми средствами. Для уменьшения рисков выхода из строя таких систем, оборудование Forinet позволяет внедрить решение в прозрачном режиме (как комутатор 2-го уровня), что  минимизирует время простоя и не меняет сетевую топологию 3-го уровня OSI модели.

Препятствие проникновению

Поскольку решение Fortinet внедряется в разрыв между корпоративной и SCADA сетью, это позволяет внедрить средства активного мониторига попыток проникновения и предотвращать данные попытки с дальнейшим оповещением администратора.

Следующие методы могут использоваться для препятствия проникновению в SCADA сети:

Предотвращение сетевых аномалий и DoS атак-обнаруживает необычную сетевую активность (такую которая не соответствует сетевым стандартам либо превышает скорочтные пределы).

Определение сигнатур-Fortinet предоставляет доступ к базам данных IPS сигнатур что позволяет защитить сеть от растпространения червей и вирусов. Помогает своевременно реагировать на попытки проникновения система обновления реального времени FortiGuard.

Контроль приложений

Контроль приложений-расширение функции IPS, которое позволяет обнаруживать и контроллировать использование тех или иных приложений в зависимости от классификации и поведенческого анализа. Использование приложений может быть запрещено по умолчаню, либо разрешено по запросу.

Сетевой антивирус

Решение Fortinet позволяет остановить вирусную эпидемию внутри организации путем сканирования и блокировки транзитрого трафика. Данная функциональность не приводит к падению производительности сети поскольку используются апаратные ускорители FortiASIC.

Безопасность баз данных

В ядре SCADA сети как правило находится база данных. В большинстве случаев администрирование внутренней базы данных SCADA системы не является прямой обязанностью оператора инфраструктуры. В результате в сети остается база данных сконфигурированная по умолчанию(стандартные пароли администратора, базовая конфигурация безопасности итд.). FortiDB позволяет бытро определить уровень защищенности базы данных а также повысить защищенность периметра базы данных.

Поддержка VLAN
Технология VLAN зачастую используется как единственное средство разделения корпоративной сети предприятия и SCADA сети. Решение Fortinet имеет поддержку VLAN и позволяет производить очистку транзитного трафика. Все устройства Fortinet имеют поддержку протокола 802.1Q. 

DMZ и виртуальные брандмауэры

Все устройства Fortinet поддерживают интерфейсы DMZ для обеспечения доступа ограниченного ряда систем к публичной сети Интернет (например рабочее место инженера). Также для наибольшей эффективности системы безопасности может использоваться технология виртуальных брандмауэров. VDOM - это логические разделы брандмауэра, между которыми трафик не пропускается.

Рис. 3 SCADA сеть защищенная решением Fortinet