Embed Size (px)
Citation preview
Министерство образования и науки РФ Федеральное государственное бюджетное образовательное
учреждение высшего образования «Сибирская государственная автомобильно-дорожная академия (СибАДИ)»
В.Н. Морозов
Учебное пособие
Омск ♦ 2017
ЗАЩИТА ИНФОРМАЦИИ В РАСПРЕДЕЛЕННЫХ СИСТЕМАХ
СибАДИ
2
УДК 004.77 ББК 32.973
М80
Рецензенты: д-р техн. наук, проф. С.Н. Чуканов (СибАДИ);
канд. техн. наук, Н.А. Чеботарев (ОмГПУ)
Работа утверждена редакционно-издательским советом СибАДИ в качестве учебного пособия.
Морозов, Валерий Николаевич. М80 Защита информации в распределенных системах [Электронный ресурс] : учебное пособие / В.Н. Морозов ; кафедра «Информационная безопасность». – Электрон. дан. – Омск : СибАДИ, 2017. – Режим доступа: http://bek.sibadi.org/fulltext/esd268.pdf, свободный после авторизации. – Загл. с экрана.
Рассматриваются программно-технические меры обеспечения информационной безопасности в распределенных автоматизированных системах (АС) различного назначения: корпоративных информационных систем, систем промышленной автоматизации и др. Основное внимание уделено анализу актуальных угроз безопасности и уязвимостей в программном обеспечении распределенных систем и наиболее используемых средствах противодействия. Для рассматриваемых типов АС приводится структура построения комплекса программно- аппаратных средств защиты и даются подходы к интеграции этих средств в архитектуру распределенной системы.
Имеет интерактивное оглавление в виде закладок. Предназначено для обучающихся по специальности «Информационная
безопасность автоматизированных систем» и по направлению подготовки «Информационная безопасность».
Текстовое (символьное) издание (1,6 МБ) Системные требования : Intel, 3,4 GHz ; 150 МБ ; Windows XP/Vista/7 ; DVD-ROM ;
1 ГБ свободного места на жестком диске ; программа для чтения pdf-файлов Adobe Acrobat Reader ; Google Chrome
Редактор Н.И. Косенкова Техническая подготовка − Т.И. Кукина
Издание первое. Дата подписания к использованию 10.02.2017
Издательско-полиграфический центр СибАДИ. 644080, г. Омск, пр. Мира, 5 РИО ИПЦ СибАДИ. 644080, г. Омск, ул. 2-я Поселковая, 1
© ФГБОУ ВО «СибАДИ», 2017
Согласно 436-ФЗ от 29.12.2010 «О защите детей от информации, причиняющей вред их здоровью и развитию» данная продукция маркировке не подлежит.
СибАДИ
3
ОГЛАВЛЕНИЕ ВВЕДЕНИЕ ....................................................................................................................... 4 1. ОСНОВНЫЕ СВОЙСТВА РАСПРЕДЕЛЕННЫХ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ..................................................................... 6
1.1. Распределенные автоматизированные системы ........................................ 6 1.2. Архитектура распределенных автоматизированных систем .................. 8 1.3. Задача обеспечения информационной безопасности ............................... 19 Вопросы для самоконтроля и задания .................................................................. 23
2. УГРОЗЫ БЕЗОПАСНОСТИ РАСПРЕДЕЛЕННЫМ СИСТЕМАМ ........... 24 2.1. Угрозы безопасности информации ............................................................ 24 2.2. Воздействия угроз безопасности на функционирование системы ........ 27 2.3. Кибератаки ....................................................................................................... 31 2.4. Уязвимости распределенных систем .......................................................... 35 Вопросы для самоконтроля и задания .................................................................. 48
3. НАДЕЖНОСТЬ И БЕЗОПАСНОСТЬ РАСПРЕДЕЛЕННЫХ СИСТЕМ .. 49 3.1. Требования к архитектуре программно-технического комплекса ...... 49 3.2. Принципы описания надежности распределенных систем .................. 52 3.3. Методы повышения надежности АС .......................................................... 55 Вопросы для самоконтроля и задания .................................................................. 60
4. ПРОГРАММНО-АППАРАТНЫЕ МЕРЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ......................................................................................................... 61
4.1. Нормативно-методическая база информационной безопасности распределенных систем ............................................................................................ 61 4.2. Безопасность распределенной информационной системы..................... 67 4.3. Информационная безопасность ERP-систем ............................................ 90 4.4. Безопасность АСУ ТП и SCADA-систем .................................................... 99 Вопросы для самоконтроля и задания ................................................................ 105
5. ФИЗИЧЕСКИЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ ................................. 106 5.1. Физическая защита ...................................................................................... 106 5.2. Защита полевого оборудования ................................................................. 112 5.3. Интегральная безопасность АС ................................................................. 113 Вопросы для самоконтроля и задания ................................................................ 118 Библиографический список ................................................................................... 119
СибАДИ
4
ВВЕДЕНИЕ
Распределенные автоматизированные системы (АС) объединяют группу систем, решающих сегодня различные функциональные задачи в государственных учреждениях, банках, промышленных предприятиях и объединениях, крупных фирмах и корпорациях. В государственных структурах – это информационные системы министерств, ведомств, региональных правительств и муниципалитетов, задачи которых повысить эффективность принятия решений и управления хозяйствующими субъектами и оказания услуг населению. Корпоративные информационные системы в банках, холдингах, коммерческих объединениях, используя технологии Интернета, являются необходимым инструментом управленческой деятельности и защиты интересов собственника и клиентов. На предприятиях промышленности и транспорта АС – это центральный элемент в управлении технологическими процессами, оптимизации бизнес-процессов и логистики.
Информационная безопасность распределенных АС, несмотря на различие решаемых ими прикладных задач и свойств объектов автоматизации, является той основой, на которой обеспечивается непрерывность функционирования систем, доступность пользователями её сервисов и функций, конфиденциальность и целостность сведений, обрабатываемых и хранящихся в системе, об объекте, персонале, пользователях.
Существенной особенностью рассматриваемых систем с точки зрения обеспечения информационной безопасности является территориальное распределение программно-аппаратных средств на значительном удалении друг от друга. Для передачи данных используются различные средства коммуникаций: вычислительные сети, цифровые телефонные и мобильные средства связи, спутниковые и радиорелейные каналы и многое другое. Разнообразие средств передачи данных со своими подходами к защите передаваемой информации усложняет задачу построения общей системы безопасности и становится причиной появления различных уязвимостей в программном обеспечении систем.
Существующие методы и средства защиты информации в автоматизированных системах достаточно разнообразны, они продолжают развиваться, что отражает уровень и многообразие угроз безопасности. Использование комплексного подхода, предполагающего целенаправленное использование правовых, организационных и программно-технических мер обеспечения безопасности с
СибАДИ
5
одновременным поиском и глубоким изучением новых приемов и средств, дает ключ к решению задач построения защищенной распределенной АС в любой области её применения.
Изучение данного пособия поможет читателю понять: – основные особенности распределенных систем, существенные с
точки зрения обеспечения информационной безопасности; – характер угроз и уязвимостей систем, делающих возможным
осуществление злоумышленником различных атак; – меры защиты информационных ресурсов распределенных
систем с применением современных информационных технологий.
СибАДИ
6
1. ОСНОВНЫЕ СВОЙСТВА РАСПРЕДЕЛЕННЫХ АВТОМАТИЗИРОВАННЫХ СИСТЕМ
1.1. Распределенные автоматизированные системы
Распределенные системы характеризуются наличием разного рода
элементов, связей и узлов – серверов, играющих определяющую роль в назначении и функциональных свойствах систем. В общем случае структуру распределенной системы [1] можно представить следующей схемой (рис. 1.1).
Рис. 1.1. Структура распределенной системы
Связи между серверами, элементами и серверами на рисунке обозначены линиями Li и Lj
соответственно, подчеркивая физическое разнообразие этих связей между объектами системы.
Для распределенных автоматизированных систем в качестве связей в основном можно выделить:
– каналы вычислительных сетей; – каналы сотовых и телефонных сетей общего пользования; – каналы промышленных сетей. Каналы связи вычислительных сетей являются средством
передачи информации на большие расстояния, для чего в них применяются методы кодирования, мультиплексирования и коммутации данных, реализованные в сетевых устройствах. К таким
Lj
Сервер Сервер
Сервер
Сервер
Li
Li
Li
Lj
Lj
Lj
Lj
Lj
Lj
Lj Lj
Lj Lj
СибАДИ
7
устройствам относятся концентратор (hab), коммутатор (switch, switching hub), маршрутизатор (router) и шлюз (gateway).
Вычислительные сети сами по себе являются видом распределенных вычислительных систем, в которых некоторая совокупность компьютеров согласованно выполняет набор взаимосвязанных задач, обмениваясь данными в автоматическом режиме [2]. На физическом уровне процессы передачи данных между узлами сети используют различные кабельные, оптические или беспроводные системы.
Телефонные каналы связи в распределенных АС используются не только для голосовой связи персонала системы, но и для организации передачи данных в корпоративных сетях. Для этого используются современные цифровые сети, например, цифровая сеть с интеграцией услуг ISDN, сигнальная система SS7, сеть транкинговой мобильной связи и др. Цифровые системы связи, по сравнению с аналоговыми системами, предоставляют абонентам больший набор услуг, обеспечивают повышенное качество связи. Например, цифровые стандарты сотовой связи, используя пакетный режим передачи данных, взаимодействуют с вычислительными сетями и телефонными сетями общего пользования. Инфраструктура стандартов сотовых сетей LTE (4G, 5G), WiMax, кроме увеличения скорости передачи данных, обеспечивает простой и быстрый доступ в Интернет. Общеканальная сигнальная система SS7 (Common Channel Signaling System 7) позволяет управлять вызовами и повышает устойчивость сети к внешним воздействиям, не оказывая при этом никакого влияния на трафик [4]. В телефонных сетях основной трафик – это фактически вызов, которым можно управлять при помощи служебных сигналов. При этом по сети передается голос, видеоинформация или данные. Инфраструктура обмена служебными сигналами SS7 используется почти во всем мире.
Каналы промышленных сетей (Profibus, Modbus, HART и др.) обеспечивают передачу данных технологического оборудования между программируемыми логическими контроллерами (PLC) и серверами в средствах автоматизации промышленных предприятий. Эти каналы связи между распределенными по промышленным площадкам различного оборудования объединяют контроллеры, датчики технологических параметров (температура, давление, расход жидких и газообразных сред и др.) и исполнительные механизмы (насосы, запорно-регулирующую аппаратуру, кондиционеры и др.) в автоматизированную систему управления технологическими процессами (АСУ ТП). Управляющий персонал АСУ ТП осуществляет
СибАДИ
8
свои функции с удаленных от технологического оборудования мест, так называемых автоматизированных рабочих мест (АРМ).
1.2. Архитектура распределенных автоматизированных
систем
Общепринятой классификации распределенных АС не существует, но учитывая разнообразие рассмотренных выше каналов связи, представляется необходимым при рассмотрении архитектуры систем выделять следующие типы:
– информационные системы (корпоративные, геоинформа-ционные, информационно-аналитические системы), использующие в качестве основных каналов передачи данных вычислительные сети (локальные и глобальные сети);
– ERP-системы, банковские системы, которые кроме каналов вычислительных сетей используют выделенные каналы связи для подключения различного терминального оборудования;
– автоматизированные системы промышленных предприятий (АСУ ТП и SCADA) и предприятий транспорта, которые включают каналы вычислительных, промышленных сетей и каналы связи PLC – контроллеров и полевого оборудования (датчиков технологических параметров, исполнительных механизмов, запорно-регулирующей аппаратуры и т.п.) по различным интерфейсам, например RS-485, токовая петля и т.п.
Информационные системы как выделенный тип объединяют: – территориально-распределенные информационные системы,
предназначенные для автоматизации регистрационной, экзаменационной, учетной, информационно-поисковой и отчетно-аналитической деятельности в образовательных, государственных учреждениях и производственных предприятиях;
– геоинформационные системы, на основе картографических баз данных, включающие различные поисковые, кадастровые системы и системы мониторинга окружающей среды;
– информационно-аналитические системы, позволяющие проводить интеллектуальный анализ больших информационных массивов в виде профессиональных БД, коммерческих Web-ресурсов и т.д. Системы такого рода способны автоматизировать процессы сбора и анализа информации для принятия управленческих решений не на интуитивном уровне, а основываясь на реальных фактах.
Комплексные системы управления предприятием или ERP-системы (Enterprise Resource Planning – планирование ресурсов
СибАДИ
9
предприятия) предназначены для интеграции бизнес-процессов компании в единую компьютерную систему, обеспечивающую оптимизацию управленческих решений в производстве и сфере оказания услуг. К этому типу автоматизированных систем в полной мере относятся и банковские системы, обеспечивающие финансовые и управленческие технологии при транзакционной обработке данных в режиме реального времени [3].
Автоматизированные системы промышленных предприятий и предприятий транспорта включают программно-аппаратные комплексы автоматизированных систем управления технологическими процессами (АСУ ТП) и систем диспетчерского управления и сбора данных SCADA (Supervisory Control and Data Acquisition). Основные функции этих систем – сбор и обработка оперативных данных с устройств объекта управления и выдача управляющих воздействий на исполнительные механизмы; хранение и отображение информации о параметрах технологического процесса техническому персоналу. Современные комплексы SCADA и АСУТП базируются на стандартных протоколах связи, промышленных и вычислительных сетей. Большинство контроллеров поддерживает адресные протоколы в IP среде. Стандартные операционные системы (Windows или UNIX) используются в операторских, которые в свою очередь имеют доступ к отдалённым системам контроля посредством частных каналов связи, предоставляемых телекоммуникационными компаниями.
Распределенные информационные системы
Распределенную информационную систему можно представить
как связанную по каналам передачи данных распределенную систему приложений по узлам сети. Использование современных технологий передачи и преобразования данных при построении информационных систем различного назначения позволяют создавать, хранить, перерабатывать и обеспечииать эффективные способы представления информационных ресурсов потребителю. Корпоративные информационные системы (КИС) позволяют проводить интеллектуальный анализ больших информационных массивов в различных хранилищах данных: профессиональных баз данных (БД), ресурсов корпоративной сети, коммерческих Web-ресурсов и т. д. Подобные системы способны автоматизировать процессы сбора и анализа информации, благодаря чему они используются для принятия управленческих решений в различных государственных и коммерческих структурах.
СибАДИ
10
Основной принцип, заложенный при создании информационных распределенных систем, заключается в разделении вычислительных ресурсов как между многочисленными серверами, расположенными в различных концах сети, так и между серверами и клиентами. Реализация этого принципа основана на использовании связи HTTP-SQL (формирование SQL запросов к БД с WWW сервера) или организации динамических приложений на стороне сервера средствами API (стандартными средствами доступа к базе данных, например, Windows - ODBC). Возможно также организация динамических приложений на стороне клиента с помощью Java интерфейсов (JDBC) для формирования запросов пользователя к базам данных или к другим информационным источникам на получение и обработку информации [5]. Пример подобного разделения ресурсов информационной системы представлен на рис. 1.2.
Рис.1.2. Использование сервера приложений и API интерфейса WWW сервера
Реализация разделения ресурсов обеспечивается протоколом обмена гипертекстовой информацией HTTP (Hyper Text Transfer Protocol) и универсальным интерфейсом шлюзов CGI (Common Gateway Interface), созданным для взаимодействия HTTP с другими программами, установленными на сервере WWW (например, СУБД).
В информационно-аналитических системах данные глобальной сети Интернета, как и данные локальной вычислительной сети предприятия, формируются в так называемых транзакционных базах данных. Транзакционных баз данных в организации может быть несколько. Поэтому после первоначального сбора различных данных решается задача их консолидации, преобразования и очистки, в результате чего данные поступают в так называемые аналитические базы данных. Средства реализации аналитических баз данных и ETL-средств (extraction, transformation, loading) извлечения, преобразования и
СибАДИ
11
загрузки данных базируются на протоколах вычислительных сетей, операционных системах и систем управления базами данных.
Информационная или информационно-аналитическая система предприятия или организации должна обеспечивать пользователям доступ к аналитической информации, защищенной от несанкционированного использования и открытой как через внутреннюю сеть организации, так и пользователям сети Интернета. Информационная безопасность в этом случае определяется особенностями базовых коммуникаций (TCP/IP) и используемыми операционными системами. Стек протоколов TCP/IP обладает высокой совместимостью как с различными по физической природе и скоростным характеристикам каналами, так и с широким кругом аппаратных платформ. Кроме того, этот протокол в равной мере эффективно работает и в локальных сетях, и в региональных и глобальных сетях. Совокупность этих характеристик делает TCP/IP уникальным средством для интеграции больших распределенных гетерогенных информационных систем.
Архитектура ERP-систем
Комплексные системы управления предприятием состоят из набора прикладных программно-аппаратных модулей, поддержи-вающих различные бизнес-процессы и интегрированные между собой в масштабе реального времени. Большинство ERP-систем имеет трехуровневую клиент-серверную архитектуру [6], представленную на рис. 1.3:
• уровень базы данных (БД); • уровень приложений; • уровень представления (пользовательский).
Хранение данных осуществляется в базе данных (уровень БД), их обработка – на сервере приложений (уровень приложений) и непосредственное взаимодействие с пользователем на уровне представления.
Серверы приложений обеспечивают работу прикладных модулей, ориентированных по направлениям областей деятельности предприятия, таких как финансы, производство, сбыт, снабжение, склады, транспортные перевозки, сервисное обслуживание, проектно-конструкторские работы и т.д. WEB-сервер обеспечивает работу клиентов системы во всемирной паутине.
СибАДИ
12
Рис.1.3. Архитектура ERP-системы
Терминальный сервер поддерживает доступ терминальных станций к ресурсам системы и обеспечивает ввод и обновление необходимых данных в системе. Главная тенденция развития удаленных терминалов – увеличение скорости обработки и повышение их интеллектуальных возможностей. Современные терминалы строятся на основе микропроцессорной техники, работают под управлением операционных систем реального времени, непосредственно или через сеть взаимодействуют с интеллектуальными электронными датчиками объекта управления.
Рабочие станции, ПК, портативные компьютеры, работающие в системе, являются основными клиентами в данной программно-аппаратной среде.
Для решения задач управления предприятиями на основе ERP-систем часто строятся многоуровневые системы автоматизации, когда на самом нижнем уровне используются SCADA-системы, ответственные за получение информации от различных датчиков через устройства сопряжения, от программируемых контроллеров, поставляющих информацию для непосредственного управления производственным процессом. Для передачи данных между различными системами компания Microsoft предложила эффективное и надежное средство OLE (Object Linking and Embedding включение и
Сервер базы
данных Сервер
приложений
Сервер ЛВС
WEB-cервер
Терминал-сервер
Рабочие станции Терминалы Клиенты WEB-браузера
СибАДИ
13
встраивание объектов). На базе OLE появляется новый стандарт OPC (OLE for Process Control OLE для АСУТП), ориентированный на рынок промышленной автоматизации. Стандарт, во-первых, позволяет объединять на уровне объектов различные системы управления и контроля, функционирующие в распределенной гетерогенной среде. OPC-интерфейс допускает различные варианты обмена: получение сырых данных с физических устройств, из распределенной системы управления или из любого приложения. Варианты использования ОРС- интерфейса представлены на рис. 1.4.
Рис. 1.4. Использование ОРС-интерфейса
Таким образом, рассматривая архитектуру ERP-систем с точки
зрения обеспечения информационной безопасности, следует отметить, что заданный уровень защищенности конкретной системы может быть обеспечен с учетом особенностей использования программно-аппарат-ных средств на всех функциональных уровнях и разнообразия средств передачи данных как в самой системе, так и в средствах связи с другими системами.
Системы промышленной автоматизации
Системы промышленной автоматизации (АСУ ТП и SCADA)
строятся, как правило, на многоуровневой технологии «Клиент-сервер». Использование такой архитектуры позволяет повысить эффективность и скорость работы всей системы, повысить надежность и живучесть системы за счет резервирования серверов, рабочих станций. Структура программно-аппаратного комплекса (ПТК) подобной архитектуры представлена на рис. 1.5.
Серверы комплекса, как правило, выполняются на базе промышленных компьютеров. Они программно совместимы с персональными компьютерами и адаптированы для жестких условий эксплуатации на производстве. В качестве операционных систем
Приложение
ОРС- сервер
ОРС- интерфейс
ОРС- интерфейс
ОРС- интерфейс
SCADA система
Физический в/в
СибАДИ
14
применяются как стандартные системы, например ОС Windows, так ОС реального времени.
Непременным атрибутом в составе ПТК являются программируемые логические контроллеры PLC.
Рис. 1.5. Структура программно-технического комплекса АСУ ТП
Контроллеры PLC представляют собой специализированные
вычислительные устройства, предназначенные для управления процессами (объектами) в реальном времени. Промышленные контроллеры имеют вычислительное ядро и модули ввода-вывода, принимающие информацию (сигналы) с датчиков, переключателей, преобразователей или с других устройств и контроллеров, осуществляющих управление технологическим процессом, выдачей управляющих сигналов на приводы, клапаны, переключатели и исполнительные механизмы (ИМ). Современные PLC-контроллеры, объединенные в сеть, программируются и управляются через компьютер, находящийся на верхнем уровне системы, или специально выделенным компьютером – станцией инжиниринга.
На рынке PLC-контроллеров наиболее развитой архитектурой, программным обеспечением и функциональными возможностями обладают контроллеры фирм Siemens, Fanuc Automation (General Electric), Allen-Bradley (Rockwell), Mitsubishi, а также продукция фирмы CONTROL MICROSYSTEMS.
АРМ специалистов
PLC-контроллеры
Корпоративная ЛВС
Сервер БД основной
WEB-cервер
Датчики и исполнительные механизмы
Сервер БД резервный
Инженерная станция
Промышленная сеть
СибАДИ
15
Каналы связи для современных АСУ ТП и SCADA-систем отличаются большим разнообразием. Выбор конкретного решения зависит от архитектуры системы, расстояния между пунктами управления, числа контролируемых точек, требований по пропускной способности и надежности канала, наличия доступных коммерческих линий связи. Выделенные каналы связи (ISDN, ATM и пр.), корпоративные компьютерные сети и специализированные индустриальные шины являются основой построения информационных и промышленных сетей, объединяющих серверы, пульты операторов и контроллеры в единый программно-технический комплекс.
В сетях общего применения наиболее широко используется протокол HTTP (англ. HyperText Transfer Protocol — «протокол передачи гипертекста»). Протокол относится к прикладному и представительскому уровням модели OSI. Протокол HTTP базируется на технологии «клиент-сервер», то есть существует потребитель (клиент), который инициирует соединение и посылает запрос, и поставщик (сервер), который ожидает соединения для получения запроса, производит необходимые действия и возвращает обратно сообщение с результатом. Основным типом НТТР-клиента является браузер, например Mozilla Firefox, Opera или Microsoft Internet Explorer. На базе HTTP разработаны расширенные протоколы:
– HTTPS (англ. Hypertext Transfer Protocol Secure) – протокол, поддерживающий шифрование данных;
– HTTP-NG (англ. HTTP Next Generation) – протокол, повышающий быстродействие сервера и возможности промышленного применения.
Протокол HTTP и его модификации поддерживаются оборудованием и программным обеспечением большинства производителей:
– компанией Korenix серий JetNet, JetRock, JetPort, JetI/O, JetBox для построения сетей на базе промышленного Ethernet и JetWave для беспроводных решений;
– компанией ICPDAS для контроллеров серии ХРАК, WinPAC, WinCon, LinPAC, ViewPAC, работающих под управлением операционных систем Windows и Linux, с встроенным HTTP-сервером.
Программные пакеты SCADA-систем InduSoft, ISaGRAF, Web HMI, MiniOS7 Studio и др. используют HTTP-сервер для связи и взаимодействия с различными устройствами промышленных систем.
Для организации промышленных сетей используется множество интерфейсов и протоколов передачи данных, например Ethernet, HART, PROFIBUS, Modbus и пр. [7]. Они необходимы для передачи данных
СибАДИ
16
между датчиками, контроллерами и исполнительными механизмами (ИМ); калибровки датчиков; питания датчиков и ИМ; связи нижнего и верхнего уровней АСУ ТП. Протоколы промышленных сетей разрабатываются с учетом особенностей производства и технических систем, обеспечивая надежное соединение и высокую точность передачи данных между различными устройствами. Наряду с надежностью работы в жестких условиях все более важными требованиями в системах АСУ ТП становятся функциональные возможности, гибкость в построении, простота интеграции и обслуживания, соответствие промышленным стандартам.
Протокол Modbus – типичный представитель протоколов промышленных сетей, объединяющий датчики, ИМ и PLC- контроллеры. Существуют три основные реализации протокола Modbus, две для передачи данных по последовательным линиям связи как медным EIA/TIA-232-E (RS-232), EIA-422, EIA/TIA-485-A (RS-485), так и оптоволоконным и беспроводным: Modbus RTU и Modbus ASCII.
Для передачи данных по сетям Ethernet поверх TCP/IP разработан протокол Modbus TCP. Различие между протоколами Modbus ASCII и Modbus RTU заключается в способе кодирования символов. В режиме ASCII данные кодируются при помощи таблицы ASCII, где каждому символу соответствует два байта данных. В режиме RTU данные передаются в виде 8 разрядных двоичных символов, что обеспечивает более высокую скорость передачи данных. Режим ASCII допускает задержку до 1 секунды в отличие от RTU, где сообщения должны быть непрерывны. Также режим ASCII имеет упрощенную систему декодирования и управления данными.
Протоколы семейства Modbus (Modbus ASCII, Modbus RTU и Modbus TCP/IP) используют один прикладной протокол, что позволяет обеспечить их совместимость. Максимальное количество сетевых узлов в сети Modbus – 31. Протяженность линий связи и скорость передачи данных зависят от физической реализации интерфейса. Традиционно протоколы семейства Modbus поддерживаются OPC-серверами: Clear SCADA, компании Control Microsystems, InTouch Wonderware, российской компании TRACE MODE и др.
В Европе широкое распространение получила открытая промышленная сеть PROFIBUS (PROcess FIeld BUS), ассоциированная с тремя уровнями модели OSI: физический, канальный и уровень приложений. Изначально прототип этой сети был разработан компанией Siemens для своих промышленных контроллеров. Сеть PROFIBUS объединяет технологические и функциональные особенности последовательной связи полевого уровня (частотно-
СибАДИ
17
регулируемые приводы ЧРП, двигатели, датчики) с уровнем программируемых логических контроллеров и компьютерной техники. Вариант такого соединения представлен на рис. 1.6.
Рис. 1.6. Сеть Profibus
Единым протоколом для доступа к шине для всех версий
PROFIBUS является реализованный на втором уровне модели OSI протокол PROFIBUS-FDL. Данный протокол использует процедуру доступа с помощью маркера (token). Так же, как и сети на базе протоколов Modbus, сеть PROFIBUS состоит из ведущих (master) и ведомых (slave) устройств. Ведущее устройство может управлять шиной. Когда у ведущего (master) устройства есть право доступа к шине, оно может передавать сообщения без удаленного запроса. Ведомые устройства – это обычные периферийные устройства, не имеют прав доступа к шине, то есть они могут только подтверждать принимаемые сообщения или передавать сообщения ведущему устройству по его запросу. В минимальной конфигурации сеть может состоять либо из двух ведущих, либо из одного ведущего и одного ведомого устройства. Одни и те же каналы связи сети PROFIBUS допускают одновременное использование нескольких протоколов передачи данных.
PROFIBUS DP (Decentralized Peripheral – распределенная периферия) – протокол, ориентированный на обеспечение скоростного обмена данными между ведущими DP-устройствами и устройствами
СибАДИ
18
распределённого ввода-вывода. Протокол характеризуется минимальным временем реакции и высокой стойкостью к воздействию внешних электромагнитных полей.
PROFIBUS PA (Process Automation – автоматизация процесса) — протокол обмена данными с оборудованием полевого уровня, расположенным в обычных или взрывоопасных зонах. Протокол позволяет подключать датчики и приводы на одну линейную шину или кольцевую шину.
PROFIBUS FMS (Fieldbus Message Specification – спецификация сообщений полевого уровня) – универсальный протокол для решения задач по обмену данными между интеллектуальными сетевыми устройствами (контроллерами, компьютерами/программаторами, системами человеко-машинного интерфейса) на полевом уровне. Некоторый аналог промышленного Ethernet обычно используется для высокоскоростной связи между контроллерами и компьютерами верхнего уровня.
С развитием информационных технологий и существенным усложнением архитектуры АСУ ТП и SCADA появились множественные угрозы информационной безопасности, реализация которых со стороны злоумышленника может привести к катастрофическим последствиям [8]. Угрозы несанкционированного доступа к информации реализуются на всех функциональных уровнях:
– на верхнем уровне системы управления, уровне прикладных приложений для анализа производственных и технологических данных;
– в системах диспетчерского управления и сбора данных; – в интерфейсах управления объектами автоматизации; – в элементах телеметрической подсистемы и телемеханики на
нижнем (полевом) уровне. Анализ особенностей архитектуры и программно-аппаратного
обеспечения, а также способов преобразования и передачи информации между уровнями АС дает необходимый инструмент для выявления уязвимых мест, в результате которых были реализованы угрозы.
СибАДИ
19
1.3. Задача обеспечения информационной безопасности
Представленные типы архитектур распределенных АС современных организаций, фирм, предприятий представляют собой программно-аппаратные комплексы, построенные по многоуровневой архитектуре клиент/сервер и объединенные средствами связи и передачи информации в сети. Такая интеграция коммуникаций в различные сети является одной из основных характеристик современного этапа развития информационных технологий.
Интеграция требует комплексных подходов к решению задач обеспечения информационной безопасности – это необходимость согласования методов обеспечения информационной безопасности для разных компонентов сети, включая информационные ресурсы, приложения и телекоммуникационные протоколы. Кроме того, комплексный подход означает необходимость создания совместимой сетевой инфраструктуры обеспечения информационной безопасности, поскольку уязвимость любого участка сети связи может создать проблемы для всех её участников (как поставщиков, так и потребителей услуг). В правовых и нормативно-методических документах РФ задача обеспечения информационной безопасности АС формулируется в категориях конфиденциальности, целостности и доступности информации.
Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя (Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).
Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения) (РД Гостехкомиссии России «Защита от несанкционированного доступа к информации. Термины и определения»).
Доступность информации – возможность получения информации и её использования (ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.).
Основными объектами обеспечения информационной безопасности в информационных и телекоммуникационных системах являются:
СибАДИ
20
– информационные ресурсы, содержащие сведения, отнесённые к государственной тайне, и конфиденциальную информацию;
– средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, осуществляющие приём, обработку, хранение и передачу информации ограниченного доступа, их информативные физические поля;
– технические средства и системы, обрабатывающие открытую информацию, но размещённые в помещениях, в которых обрабатывается информация ограниченного доступа, а также сами помещения, предназначенные для обработки такой информации;
– совокупность информационных ресурсов, содержащих сведения ограниченного доступа, технических средств и систем обработки информации ограниченного доступа, вспомогательных технических средств и систем, помещений или объектов (зданий, сооружений), в которых они установлены, составляет защищаемый объект информатизации.
В информационных системах организаций сосредоточено большое количество разнообразной информации, необходимой для повседневной деятельности сотрудников и оказание услуг пользователям. При построении комплексной системы защиты информационных ресурсов системы основное внимание уделяется организации безопасного ведения электронного делопроизводства, защите персональных данных сотрудников и пользователей, борьбе с утечкой информации по открытым и закрытым каналам связи и т. д. Система обеспечения информационной безопасности в таких системах должна обеспечивать эффективное решение следующих задач:
– защиту от несанкционированного доступа и защиту от вмешательства в процесс функционирования;
– обеспечение доступности уполномоченным зарегистрированным пользователям к ресурсам в соответствии с правами, необходимыми им для выполнения своих служебных обязанностей;
– регистрация действий пользователей при использовании защищаемых ресурсов в системных журналах и периодический контроль корректности их действий путем анализа содержимого этих журналов специалистами по информационной безопасности;
СибАДИ
21
– контроль целостности с возможностью восстановления среды исполнения программ и используемых программных средств от несанкционированной модификации и внедрения вредоносных программ;
– защиту информации ограниченного распространения от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;
– защиту информации ограниченного распространения, хранимой, обрабатываемой и передаваемой по каналам связи, от ее искажения или блокирования (невозможности получения доступа к информации уполномоченными пользователями);
– обеспечение аутентификации пользователей (подтверждение подлинности отправителя и получателя информации);
– своевременное выявление источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, создание механизма оперативного реагирования на инциденты безопасности информации и негативные тенденции;
– создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации.
Требования по защите информации в АС определены в нормативно-методических документах ФСТЭК (Гостехкомиссии). Например, «Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» делит АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации, что необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации.
Для ERP-систем, обеспечивающих управление бизнес- процессом на предприятиях, где обрабатывается кроме кадровых данных и данных о клиентах, финансовая информация и информация ограниченного пользования об особенностях производства, перспективах развития, использования новых технологий и т.д., приоритеты информационной безопасности связаны:
– с уменьшением рисков потери/раскрытия коммерческой тайны;
– с защитой целостности данных на всех этапах подготовки, преобразования и передачи информации в технологическом цикле;
СибАДИ
22
– с гарантией конфиденциальности ведения электронного делопроизводства.
В большинстве подходов к обеспечению информационной безопасностью систем промышленной автоматизации АСУ ТП и SCADA во главе ставится задача обеспечения непрерывности производственного процесса, т.е. задача сохранения целостности программно - аппаратной среды системы от различных угроз и доступности технического и диспетчерского персонала к управлению технологическим оборудованием. Этого требуют особенности систем промышленной автоматизации и тенденция развития их инфраструктуры. В приказе ФСТЭК № 31 от 14 марта 2014 года формулируются требования информационной безопасности систем промышленной автоматизации с учетом специфики архитектуры систем реального времени и их слабых мест.
Особое значение для систем промышленной автоматизации в национальном масштабе занимает защита критически важных объектов. Критически важный объект – это объект, нарушение (или прекращение) функционирования которого приводит к потере управления, разрушению инфраструктуры, необратимому негативному изменению (или разрушению) экономики страны, субъекта Российской Федерации либо административно-территориальной единицы или существенному ухудшению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный срок.
Целью государственной политики в области обеспечения безопасности автоматизированных систем управления произ-водственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации является снижение до минимально возможного уровня рисков неконтролируемого вмешательства в процессы функционирования данных систем, а также минимизация негативных последствий подобного вмешательства (Указ Президента РФ № 803 от 3 февраля 2012 г.).
СибАДИ
23
Вопросы для самоконтроля и задания 1. Что такое распределенные автоматизированные системы? 2. Дайте характеристику основным типам распределенных систем. 3. Какие средства связи и передачи данных используются в
распределенных АС? 4. Как реализуется разделение вычислительных ресурсов между
серверами в информационных системах? 5. Дайте характеристику ERP-системе. 6. Каково значение стандарта OPC для обмена данными в
распределенной гетерогенной среде? 7. Назовите основные отличия промышленных и вычислительных
сетей. 8. Какие свойства АС считаются определяющими в задачах
обеспечения информационной безопасности? 9. Чем отличаются постановки задачи обеспечения
информационной безопасности в информационных системах и в системах промышленной автоматизации?
10. Какую роль в задачах обеспечения информационной безопасности играют средства коммуникаций?
11. Дайте определение комплексной системы обеспечения информационной безопасности АС.
12. Перечислите основные объекты обеспечения информационной безопасности в информационных и телекоммуникационных системах.
13. Какие информационные ресурсы подлежат защите в распределенных автоматизированных системах?
СибАДИ
24
2. УГРОЗЫ БЕЗОПАСНОСТИ РАСПРЕДЕЛЕННЫМ СИСТЕМАМ
Для автоматизированных систем, компоненты которых
распределены территориально и функционально, задача обеспечения информационной безопасности непосредственно связана с задачей сохранения работоспособности системы и выполнения всех проектных показателей, в том числе и показателей по защищенности, при всех возможных возмущающих воздействиях. Вероятность потери или разрушения информации в распределенной системе, например, от злонамеренного выведения из эксплуатации оборудования какого-либо объекта или от пожара намного меньше, чем от вирусных атак, хотя ущерб от воздействий может быть соизмеримым. По этой причине можно говорить о безопасности распределенной АС, включая в это понятие безопасность информации, хранящейся и обрабатывающейся в системе, и безопасность выполнения функций системы при различных возмущающих воздействиях, в том числе и физических.
2.1. Угрозы безопасности информации
Под угрозой безопасности информации понимается совокупность
условий и факторов (явлений, действий или процессов), создающих потенциальную или реально существующую опасность безопасности информации, в результате которой возможна утечка информации, неправомерное модифицирование (искажение, подмена), уничтожение информации или неправомерное блокирование доступа к ней [9]. Угрозы подразделяются на угрозы конфиденциальности информации, угрозы целостности информации и угрозы доступности информации.
Угроза конфиденциальности информация – это угроза информации ограниченного доступа, к которой относится информация, представляющая государственную тайну, информация о сведениях, составляющих коммерческую, банковскую, служебную, профессиональную тайну, а также информация о сведениях, содержащих персональные данные, и т.д.
К угрозам целостности информации относятся явления, действия или процессы, результатом которых может быть неправомерное уничтожение или неправомерное модифицирование (искажение, подмена) информации.
СибАДИ
25
К угрозам доступности информации относятся факторы, результатом которых может быть неправомерное блокирование доступа к информации.
В распределенных системах к угрозам конфиденциальности информации относится утечка защищаемой информации (перехват информации с использованием технических средств) и несанкционированный доступ к ней.
Под перехватом информации понимается неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, приём и обработку информативных сигналов, то есть сигналов, по параметрам которых может быть определена защищаемая информация.
Информативные сигналы возникают в процессе обработки информации техническими средствами АС:
– вывод информации на экран монитора; – ввод данных с клавиатуры; – запись информации на накопители или магнитные носители; – чтение информации с накопителей или с магнитных носителей; – передача данных в каналы связи; – вывод данных на принтеры, плоттеры и т.п. Для перехвата информации, обрабатываемой техническими
средствами АС, могут использоваться следующие способы: – перехват информативных побочных и паразитных
электромагнитных излучений (электромагнитный канал утечки информации);
– перехват наведённых информативных сигналов (вызванных побочными и/или паразитными электромагнитными излучениями, индуктивными и/или ёмкостными связями) с линий электропитания и цепей заземления технических средств, соединительных линий и посторонних проводников (электрический канал утечки информации);
– перехват информации путём «высокочастотного облучения» технических средств;
– перехват информации путём внедрения в АС электронных устройств перехвата информации (закладочных устройств).
Перехват информации может осуществляться не только в процессе её обработки техническими средствами, но и при её передаче по каналам связи:
– перехват информации, передаваемой по каналам радиосвязи, с использованием средств радиоразведки;
– перехват информации, передаваемой по оптическим каналам связи, с использованием средств разведки лазерных излучений;
СибАДИ
26
– перехват информации, передаваемой по проводным линиям связи, путём подключения к ним специальных технических средств;
– перехват информации, передаваемой по оптико - волоконным линиям связи, путём подключения к ним специальных технических средств.
Под несанкционированным доступом понимается доступ к информации, осуществляемый с нарушением установленных прав и/или правил доступа к информации обрабатываемой системой. Субъектом доступа может быть лицо, действия которого регламентируются правилами разграничения доступа. Субъект доступа, осуществляющий несанкционированный доступ к информации, называется нарушителем правил разграничения доступа.
Способы несанкционированного доступа (НСД) можно разделить на следующие виды: физический, программно-аппаратный, программный.
При физическом доступе нарушитель осуществляет воздействие на оборудование АС с целью получения информации с различных носителей, например с жестких дисков (HDD) компьютера. Изъятый HDD диск может быть подключён к специальной аппаратуре копирования (дублирования) всего диска или к другому компьютеру в виде локального диска с целью копирования как всего диска, так и интересующей нарушителя информации.
При физическом доступе нарушитель также может установить в средства вычислительной техники электронные устройства перехвата информации (закладные устройства).
При программно - аппаратном доступе нарушитель осуществляет несанкционированное изменение аппаратной части компьютера, например установкой дополнительных приводов CD-RW (DVD-RW) или USB-порта.
При программном доступе нарушитель использует программное обеспечение, уже установленное в АС, или собственные специальные программы, позволяющие реализовать несанкционированный доступ к информации без вскрытия системного блока и изменения аппаратной части компьютера.
При этом могут использоваться следующие способы НСД: – маскировка под зарегистрированного пользователя; – непосредственное обращение к объектам доступа; – использование программных средств, выполняющих обращение
к объектам доступа в обход средств защиты; – использование программных средств для модификации средств
защиты, позволяющих осуществить НСД;
СибАДИ
27
– внедрение в АС вредоносных программ для осуществления НСД к информации или её копирования.
В результате несанкционированного доступа возможно: – неправомерное ознакомление с информацией; – снятие копий с носителей информации; – запись информации на носитель. После получения доступа к информации возможно осуществление
неправомерного воздействия на неё и воздействие на функционирование системы в целом.
2.2. Воздействия угроз безопасности на функционирование системы
Воздействие различных угроз на функционирование
распределенной автоматизированной системы всегда связано с нарушением целостности программного и информационного обеспечения системы и доступности персонала и пользователей к выполняемым функциям и сервисам.
Угрозы целостности и доступности информации можно разделить на преднамеренные и непреднамеренные.
К преднамеренным угрозам можно отнести: – диверсию в отношении объектов управления, в результате
которой произошло разрушение, уничтожение информации, носителя информации или технических средств системы;
– использование специальных программных воздействий на информацию (вредоносных программ, программных закладок и компьютерных вирусов), вызывающих модифицирование (искажение, подмену), уничтожение информации или блокирование доступа к ней;
– использование специальных программных воздействий на программное обеспечение технических компонентов АС (вредоносных программ, программных закладок и компьютерных вирусов), вызывающих блокирование доступа к информации, сбои в работе системы;
– внедрение в АС закладочных устройств, вызывающих блокирование доступа к информации, сбои в работе системы или функционировании носителя информации;
– преднамеренное силовое электромагнитное воздействие с применением технических средств, вызывающее разрушение, уничтожение информации или сбои в работе АС или функционировании носителя информации: по сети электропитания на порты электропитания постоянного и переменного тока, по проводным
СибАДИ
28
линиям связи на порты ввода-вывода и порты связи, по металлоконструкциям на порты заземления и порты связи;
– радиоэлектронное подавление систем телекоммуникации и связи с применением технических средств, вызывающее модифицирование (искажение, подмену) или уничтожение информации, передаваемой по каналам связи.
К непреднамеренным угрозам относятся: – явления техногенного характера (непреднамеренное
электромагнитное облучение ТСОИ, радиационное облучение ТСОИ, сбои, отказы и аварии систем обеспечения ОИ);
– природные явления, стихийные бедствия (пожары, наводнения, землетрясения, грозовые разряды и т.д.);
– дефекты, сбои, отказы, аварии ТСОИ; – дефекты, сбои и отказы программного обеспечения ТСОИ; – ошибки обслуживающего персонала ОИ (ошибки при
эксплуатации ТСОИ и программных средств ТСОИ, ошибки при эксплуатации средств и систем защиты информации).
По характеру воздействия угроз безопасности могут быть пассивными и активными.
Пассивным воздействием на распределенную вычислительную систему можно назвать воздействие, которое не оказывает непосредственного влияния на работу системы, но способно нарушать ее политику безопасности. Именно отсутствие непосредственного влияния на работу распределенной АС приводит к тому, что пассивное удаленное воздействие практически невозможно обнаружить. Примером типового пассивного удаленного воздействия служит прослушивание канала связи в сети.
Под активным воздействием на распределенную АС понимается воздействие, оказывающее непосредственное влияние на работу системы и нарушающее принятую в ней политику безопасности. Практически все типы удаленных атак на систему являются активными воздействиями. Очевидным отличием активного воздействия от пассивного является принципиальная возможность его обнаружения, так как в результате его осуществления в системе происходят определенные изменения.
По цели воздействия на АС различают получение несанкционированного доступа к информации и нарушение работоспособности системы.
Существуют две возможности несанкционированного доступа к информации: перехват и искажение. Перехват – это получение информации без возможности ее искажения. Примером перехвата
СибАДИ
29
может служить прослушивание канала в сети. Такая атака является пассивным воздействием и ведет к нарушению конфиденциальности информации. Искажение информации означает полный контроль над информационным потоком между объектами системы или возможность передачи сообщений от имени другого объекта. Очевидно, что искажение информации ведет к нарушению ее целостности, то есть представляет собой активное воздействие.
Принципиально иной целью нарушителей безопасности АС является нарушение работоспособности системы использованием специальных программных воздействий (атак) на информацию: вредоносных программ, программных закладок и компьютерных вирусов. В этом случае основная цель ─ добиться, чтобы автоматизированная система на атакованном объекте вышла из строя и, следовательно, для всех остальных объектов системы доступ к ресурсам данного объекта был бы невозможен. Примером удаленной атаки, целью которой является нарушение работоспособности системы, может служить типовая атака "отказ в обслуживании".
Удаленное воздействие, как и любое другое, может начать осуществляться только при определенных условиях. В распределенных АС существуют три вида таких условий:
– атака после запроса от атакуемого объекта; – атака после наступления ожидаемого события на атакуемом
объекте; – безусловная атака. В первом случае взломщик ожидает передачи от потенциальной
цели атаки запроса определенного типа, который и будет условием начала осуществления воздействия. Примером подобных сообщений в ОС Novell NetWare может служить запрос SAP , а в Интернете – запросы DNS и ARP.
Во втором случае злоумышленник осуществляет постоянное наблюдение за состоянием операционной системы объекта атаки и при возникновении определенного события в этой системе начинает воздействие. Как и в предыдущем случае, инициатором начала атаки выступает сам атакуемый объект. Примером такого события может быть прерывание сеанса работы пользователя с сервером в ОС Novell NetWare без выдачи команды LOGOUT.
При безусловной атаке ее начало не зависит от состояния системы атакуемого объекта, то есть воздействие осуществляется немедленно. Следовательно, в этом случае его инициатором является атакующий.
Под условиями воздействия можно считать наличие обратной связи с атакуемым объектом, когда взломщику требуется получить
СибАДИ
30
ответ на некоторые запросы, переданные на объект воздействия. В этом случае между атакующим и объектом устанавливается обратная связь, которая позволяет адекватно реагировать на изменение ситуации. Инициатор удаленной атаки без обратной связи, напротив, не реагирует ни на какие изменения, происходящие на атакуемом объекте.
Воздействие данного вида обычно осуществляется передачей на атакуемый объект одиночных запросов, ответы на которые атакующему не нужны. Примером подобных атак – их можно назвать однонаправленными – является типовая атака "отказ в обслуживании".
По расположению субъекта атаки относительно атакуемого объекта можно выделить внутрисегментное и межсегментное воздействие. Для осуществления удаленного воздействия чрезвычайно важно, как по отношению друг к другу располагаются субъект и объект атаки, то есть в одном или в разных сегментах распределенной системы они находятся. В случае внутрисегментной атаки, как следует из названия, субъект и объект атаки находятся в одном сегменте, а при межсегментной – в разных. Данный классификационный признак позволяет судить о так называемой степени удаленности атаки. На практике межсегментное воздействие осуществить значительно труднее, чем внутрисегментное, но и опасность оно представляет большую. В таком случае объект и субъект атаки могут находиться на большом расстоянии друг от друга, что существенно усложняет возможность непосредственного обнаружения атакующего и адекватной реакции на атаку.
Угрозы от непредумышленных воздействий на распределенную систему определяют технологическую безопасность распределенных АС. Источник угроз, который с точки зрения размера ущерба может быть отнесён к одному из самых распространённых – непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих автоматизированные системы. Иногда такие ошибки являются угрозами (неправильно введенные данные, ошибка в программе), а иногда они создают уязвимости, которыми могут воспользоваться злоумышленники – таковы обычно ошибки администрирования и предоставления доступа. Большинство потерь – следствие непреднамеренных ошибок из-за компьютерной неграмотности и безответственности сотрудников компаний и пользователей АС. Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками – максимальная автоматизация информационных процессов, системы программной и технической «защиты от дурака» (Fool Proof), эффективное обучение персонала, неукоснительное следование положениям политики
СибАДИ
31
информационной безопасности и строгий процедурный контроль правильности совершаемых действий.
2.3. Кибератаки
Характеризуя угрозы безопасности распределенным системам по
расположению субъекта атаки относительно атакуемого объекта, следует особо остановиться на так называемых сетевых или удалённых атаках, в последнее время чаще называемых кибератаками. Они характеризуются тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта, и тем, что нападению может подвергаться не конкретный компьютер, а информация, передающаяся по сетевым соединениям. С развитием локальных и глобальных сетей именно удалённые атаки становятся лидирующими как по количеству попыток, так и по успешности их применения и, соответственно, обеспечение безопасности распределенной системы с точки зрения противостояния удалённым атакам приобретает первостепенное значение.
Под кибератакой понимается преднамеренная и организованная совокупность действий, направленная на нанесение экономического, технического или информационного ущерба организациям, предприятиям и компаниям, использующим компьютерные сети. Злоумышленники используют вирусы, черви и другие вредоносные программы, чтобы взять под контроль Интернет-серверы и целые системы с целью кражи информации. Использование Интернета для проведения атак на автоматизированные системы критически важных объектов, таких как атомные станции, химические производства, международные газопроводы и т.п., могут привести к долгосрочной остановке производства, серьезным экономическим потерям, ущербу окружающей среде, общественной угрозе, в том числе и гибели людей.
Успехи хакеров против таких известных компаний, как Citigroup, Google, RSA и государственных подрядчиков, таких как Lockheed Martin [11], проведенные через Интернет, поражают специалистов по информационной безопасности своими возможностями и используемыми технологиями. Хакеры используют технологии, которые позволяют им атаковать компании, банки, магазины, осуществлять кражу пользовательских данных, включая номера кредиток, идентификационные коды, а затем успешно заметать следы. Один из самых распространенных на практике методов кибератак заключается в том, что злоумышленники для того, чтобы избежать
СибАДИ
32
обнаружения атакуют плохо защищенные компьютеры и прокси-сервера, а затем через них производят атаки по всему миру. Они научились осторожно тестировать защиту компьютеров и серверов так, чтобы это не было обнаружено системами безопасности и, найдя уязвимости, атакуют. Такие атаки носят международный характер, что затрудняет работу правоохранительных органов.
Наиболее зловредное в настоящее время воздействие на распределенную автоматизированную систему являются кибератаки, результатам которых является внедрение в программное обеспечение системы вредоносных программ и компьютерных вирусов (Virus, Worm) и всевозможных видов практически бесполезной информации, рассылаемой абонентам электронной почты (Spam). Программа подобно «троянскому коню» (Trojan Horse) незаметно для владельца может быть установлена на его компьютер, затем так же незаметно функционировать на нем. Распространенным типом атак являются действия, направленные на выведение из строя того или иного узла сети. Эти атаки получили название «отказа в обслуживании» (Denial of Service – DoS). Известно более сотни различных вариантов этих действий, последствия которых могут быть очень серьезными. Например, выведение из строя сервера транзакционной системы крупной корпорации или банка приводит к невозможности осуществления платежей и, как следствие, к большим прямым и косвенным финансовым и рейтинговым потерям.
Любая атака может быть разбита на два этапа. Первый включает сбор информации об атакуемой системе и организацию атаки, второй — проведение самой атаки. На первом этапе разрабатывается план для всех участников атаки с информацией о том, что следует делать в определенных обстоятельствах во время проведения атаки. На втором этапе атаки противник стремится получить доступ к уязвимым точкам, через которые наносится ущерб, а затем скрывает следы атаки, чтобы предотвратить обвинения против атакующих. Так атакуется автоматизированная система с помощью эксплойтов. Эксплойт – это программный код, использующий уязвимости системного и прикладного ПО. Этапы использования эксплойтов заключаются в следующем [12].
1) Drive-by загрузка. Вас завлекают на некий сайт, откуда при помощи эксплойта сканируют браузер на предмет наличия уязвимостей. С помощью найденных уязвимостей заражают компьютер. Этот метод широко применяется при массовых атаках для достижения максимального эффекта поражения. Примерно в трети случаев атакующий сайт оказывается легитимным в какой-нибудь уважаемой
СибАДИ
33
организации, который взломали и внедрили специальный вредоносный код.
2) Пользователь запускает зараженный файл (например, PDF), который сканирует установленное ПО (в данном случае Adobe Reader) на предмет уязвимостей и заражает через них компьютер. Сам файл может быть доставлен самыми разными путями – e-mail, файловый архив на сайте, флэш-накопители и т.д. Этот метод чаще всего применяется для т.н. «целевых атак» на конкретных людей и организации и отличается применением продвинутой социальной инженерии.
Таким образом, при организации атаки на распределенные системы необходим механизм интеграции программных компонентов вредоносной программы, для которой необходимы коммуникации и скрытые каналы от средств защиты. Примером такой интеграции может быть компьютерный червь Stuxnet, представляющей собой сложную многокомпонентную потенциально вредоносную компьютерную программу для платформы Win32 с объемом кода основной библиотеки в распакованном виде примерно 1,18 Мбайт. Предположительно [13] схема атаки (рис. 2.1) выглядит следующим образом.
Stuxnet проник в закрытую сеть иранского ядерного центра в Натанзе (Natanz) через сменный накопитель (типа USB-Flash) и смог инфицировать диспетчерские компьютеры, работающие под управлением SCADA-системы WinCC. По крайней мере, с одного из таких компьютеров с установленной системой Step 7 произошло несанкциониро-ванное перепрограммирование работы контроллеров PLC, которые через частотно-регулирующие приводы управляют скоростью вращения двигателями центрифуг, осуществляющими обогащение ядерных материалов. Активизация новой программы произошла не сразу, а спустя некоторое время, когда удалось «перепрошить» максимальное количество контроллеров. Все это время червь Stuxnet осуществлял запись данных в нормальном режиме работы центрифуг. Затем, при активизации новой программы на всех PLC, мощные двигатели, следуя командам на резкие изменения скорости вращения, вывели около 1000 центрифуг из строя. Одновременно с «раскачиванием» центрифуг Stuxnet воспроизводил для диспетчеров предварительно записанные нормальные данные о процессе с тем, чтобы диспетчеры подняли тревогу как можно позже и не смогли остановить работу центрифуг в ручном режиме до их повреждения и/или разрушения.
СибАДИ
34
Рис. 2.1. Схема распространения атаки червя Stuxnet
Так была осуществлена «точечная» диверсионная атака на иранский ядерный центр в Натанзе, отодвинувшая сроки получения обогащенного урана для его ядерной программы по некоторым оценкам не менее чем на два года. Stuxnet – компьютерный вирус в настоящее время признан IT-специалистами первым образцом мощных средств нового этапа кибервойн. Он включает в себя многие функции распространения, маскировки и атаки, которые невозможно создать одиночному разработчику вредоносных программ. Однако самое
СибАДИ
35
неприятное состоит в том, что целевым результатом работы данного компьютерного червя является не просто искажение информации, кража пароля или денежных средств, а реальное физическое воздействие, которое разрушает или выводит из строя дорогостоящее оборудование стратегического назначения. Потенциально такие атаки способны привести к катастрофическим последствиям. Stuxnet мог быть создан командой высококвалифицированных профессионалов при финансовой поддержке и с одобрения суверенного государства.
2.4. Уязвимости распределенных систем
Уязвимость – это внутренние свойства объекта, создающие восприимчивость к воздействию источника риска, которое может привести к какому-либо последствию (ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения). Восприимчивость к возмущающим воздействиям распределенных автоматизированных систем приводит к утечке конфиденциальной информации и нарушению функционирования. Возникновение уязвимостей связано с особенностями и недостатками используемых программных, коммуникационных средств, а также и средств защиты информации, которые используются для реализации угроз безопасности.
Причинами возникновения уязвимостей могут быть: – ошибки при проектировании и разработке системного и
прикладного программного обеспечения; – неправильное конфигурирование и настройка программно-
технических средств системы и средств защиты; – внедрение вредоносных программ; – сбои в работе программно-аппаратных средств, вызванные
сбоями в электропитании, воздействиями электростатических и электромагнитных полей и т.п.
По результатам исследований компании Positive Technologies, в 2014 году 94% исследованных информационных систем (из 18 систем крупных государственных и коммерческих российских и зарубежных компаний) содержали уязвимости, позволяющие получить полный контроль над критически важными ресурсами систем [14]. При этом в 67% случаев получение полного контроля над важнейшим ресурсом стало возможно от лица внешнего злоумышленника, в 27% случаев достаточно было иметь доступ к пользовательскому сегменту внутренней сети. Почти все исследованные системы оказались подвержены уязвимостям высокой степени риска; в частности, почти
СибАДИ
36
все содержали критические уязвимости, связанные с недостатками конфигурации. Практически в каждой информационной системе (89%) выявлены уязвимости, связанные с ошибками в коде WEB -приложений. Большинство систем (78%) содержали критические уязвимости, связанные с использованием устаревших версий ПО. По выводам Positive Technologies, основными причинами нарушения информационной безопасности считаются недостатки в системе защиты информационных систем:
– недостатки защиты сетевого периметра; – недостатки защиты внутренней сети; – недостатки осведомленности сотрудников. Недостатки защиты сетевого периметра приводят к
несанкционированному доступу нарушителя к узлам внутренней сети. При этом в 60% случаев вектор проникновения во внутреннюю сеть основывается на уязвимостях в коде WEB-приложений. Так, уязвимость типа «Внедрение операторов SQL» встречается в 67% систем, а «Загрузка произвольных файлов» – в 40%. Наиболее распространенные уязвимости на сетевом периметре – это доступные из Интернета интерфейсы управления сетевым оборудованием и серверами, а также использование словарных паролей, в том числе установленных по умолчанию и пустых, – 87%.
Недостатки защиты внутренней сети приводят к получению несанкционированного привилегированного доступа сотрудников пользовательского сегмента сети к критически важным ресурсам. В 78% случаев внутренний нарушитель может получить полный контроль над всей информационной инфраструктурой организации. Наиболее распространенной уязвимостью ресурсов внутренней сети является использование слабых паролей, при этом в каждой системе выявлены простые пароли администраторов длиной до 6 символов.
Следующая по распространенности уязвимость внутренних сетей — это недостаточный уровень защиты привилегированных учетных записей. Например, при атаке Kerberos Golden Ticket злоумышленник, однажды получив высокие привилегии в домене, впоследствии может обращаться к нему с максимальным уровнем доступа от имени произвольной учетной записи – за счет использования недостатков архитектуры протокола Kerberos, при этом отслеживание действий атакующего крайне затруднительно.
Недостатки осведомленности сотрудников с принятой в организации политикой информационной безопасности. Например, нарушение положений политики при работе с WEB-приложениям могут
СибАДИ
37
быть причинами внедрения в информационные системы зараженных файлов и нарушения работы системы и средств защиты.
Для реагирования на нарушения режима безопасности в автоматизированных системах важна своевременная реакция на вновь обнаруженные уязвимости в ПО – эксплойты. Компании, занимающиеся разработкой сетевого оборудования и средств защиты информации, создают специальные базы данных эксплойтов, которые постоянно пополняются для использования в средствах анализа защищенности систем и сетевых сканеров. Эти базы данных могут использоваться и злоумышленниками. Своевременное устранение сотрудниками компаний брешей в ПО лишает злоумышленников возможности их эксплуатации в своих целях.
Для распределенных автоматизированных систем появление уязвимостей обусловлено особенностями и недостатками используемых программно-технических средств сетевого взаимодействия: коммуникационных протоколов вычислительных и промышленных сетей, цифровых телефонных сетей и т. п.
Особенности и недостатки стека протоколов TCP/IP Стек TCP/IP используется в качестве основных протоколов
межсетевого взаимодействия в региональных и глобальных сетях. Протоколы обладают высокой совместимостью как с различными по физической природе и скоростным характеристикам каналами, так и с широким кругом аппаратных платформ. Совокупность этих характеристик делает протокол TCP/IP уникальным средством для интеграции больших распределенных гетерогенных информационных систем.
Атаки злоумышленников на автоматизированные системы используют уязвимости протоколов TCP/IP, обусловленные ограничениями на размеры буфера, недостатками аутентификации принимаемых сообщений и данных, отсутствием проверок правильности служебной информации и др.
На прикладном уровне внедрение вредоносных программных кодов осуществляется, используя особенности коммуникационной связи протокола HTTP с приложениями информационной системы. Например, атаки типа SQL Injection (Внедрение операторов SQL) использует особенности SQL запросов к базе данных с WEB-сервера. Если СУБД не имеет достаточно надежных защитных механизмов, или используемая версия содержит ошибки, можно сформировать
СибАДИ
38
SQL-запрос, приводящий к несанкционированному изменению базы данных системы и нарушающий работу СУБД.
Классическим примером использования уязвимостей стека TCP/IP являются атаки switch spoofing (подмена). В заголовках пакетов стека указывается адрес отправителя, злоумышленник использует этот адрес в своих пакетах для организации атак. Злоумышленник добавляет в заголовок пакета номер своего хоста, имитируя коммутатор (switch), и пытается создать канал передачи данных между собой и коммутатором на основе протоколов передачи файлов FTP.
Протокол передачи файлов FTP (File Transfer Protocol) рассматривается как один из методов работы с удаленными сетями. Доступ пользователей к FTP-серверу ограничен паролями, которые могут передаваться по сети в текстовом виде. Эта слабая сторона протокола может быть использована для перехвата данных учетной записи зарегистрированных пользователей и получения удаленного доступа к хостам. Атака Man in the Middle (человек посредине) – реализация подобной уязвимости. Злоумышленник внедряется между двумя взаимодействующими сторонами по виртуальному TCP-каналу и перехватывает конфиденциальную информацию.
Для реализации атаки SYN Flood (поток) используются особенности процедуры установки TCP - соединения, состоящей из трех последовательных шагов. Первый шаг, клиент посылает на удаленную систему запрос на установление соединения, пакет запроса синхронизации (synchronization request SYN). Удаленная система, получив пакет SYN, посылает в ответ пакет подтверждения синхронизации (synchronization acknowledgment packet SYN/ACK) и ожидает подтверждение установки соединения от клиента. Получив пакет SYN/ACK, клиент посылает на удаленную систему пакет подтверждения установки соединения (ACK). При реализации этого вида атаки посылается на удаленную систему множество пакетов SYN, обычно с ложными адресами отправителя, инициируя тем самым установление множества TCP-соединений. Удаленная система посылает в ответ пакеты подтверждения синхронизации SYN/ACK и ожидает пакетов подтверждения установки соединения, которых она никогда не получит. Это приводит к замедлению работы, полному останову системы либо недоступности определенных сетевых сервисов.
Наиболее известные примеры использования уязвимостей протоколов TCP/IP для организации атак на информационные системы [15] представлены ниже.
Denial of Service (отказ службы). Протокол Internet Control Message Protocol (ICMP) – протокол управления сообщениями об
СибАДИ
39
ошибках сети, например о недоступности компьютера или целой части сети в случае какого-либо сбоя. ICMP поддерживает функцию “эхо”, при которой пакеты пересылаются по кругу между двумя компьютерами. Ping ─ общеизвестная утилита для тестирования сетей, основана на этой особенности. Ping передает серию пакетов, измеряя время их обращения и подсчитывая процент потерь. Атака Denial of Service осуществляется путем использования команды ping для непрерывной посылки пакетов ICMP echo request на атакуемую систему с одного или нескольких удаленных компьютеров. В результате атакуемая система тратит большую часть своего процессорного времени, посылая ответы на ложные запросы, что приводит к замедлению работы системы и недоступности ее сетевых ресурсов.
Протокол ARP используется для преобразования IP-адресов в Ethernet адреса (МАС – адреса). Для этого используется ARP-таблица. В соответствии с протоколом ARP хост формирует запрос для проверки IP-адреса другого хоста клиента. Получив ответ хост-хакера, заносит ответ в свою локальную ARP-таблицу. Так как ARP-протокол не предусматривает аутентификации информации, то можно сформировать ложный ответ по адресу клиента.
Служба сетевых имен DNS (Domain Name System) преобразует символьные имена пользователей в IP-адреса и локализацию базы данных адресов в домене. Уязвимости службы связаны с отсутствием средств проверки аутентификации полученных данных, вследствие чего DNS-сервер используется для получения имен доверенных пользователей.
Уязвимость протокола управления удаленным терминалом telnet - слабая аутентификация (пароли пересылаются в незашифрованном виде). Уязвимость дает возможность перехвата данных учетной записи доверенных пользователей.
Протокол управления удаленным терминалом (TELNET) употребляется для подключения к удаленным системам. При использовании этого протокола пользователи должны регистрироваться на сервере TELNET , вводя свое имя и пароль. После аутентификации рабочая станция пользователя функционирует в режиме терминала, подключенного к внешнему хосту. С терминала пользователь может вводить команды, которые обеспечивают ему доступ к файлам и запуск программ. Подключившись к серверу, злоумышленник может сконфигурировать его программу таким образом, чтобы она могла записывать имена и пороли пользователей.
Простой протокол передачи электронной почты SMTP (Simple Mail Transfer Protocol) позволяет осуществлять почтовую транспортную
СибАДИ
40
службу. Одна из проблем безопасности, связанная с этим протоколом, заключается в том, что пользователь не может проверить адрес отправителя в заголовке сообщения электронной почты. В результате злоумышленник может послать во внутреннюю сеть большое количество почтовых сообщений (Spam), что приведет к перегрузке и блокированию работы почтового сервера.
Уязвимости протоколов промышленных систем
Создание единой инфраструктуры промышленных и
вычислительных сетей АСУТП и SCADA-систем повысила степень «открытости» распределенных систем, увеличив опасность внешних проникновений и распространения вредоносных кодов (вирусов, червей, троянов), а также атак хакеров и кибертеррористов, вызывающих отказы в обслуживании, которые способны привести к непредвиденным и весьма опасным последствиям. Многочисленные каналы управления, использующие беспроводные или специально выделенные линии, проходящие по коммерческим телекоммуникациям в IP-сетях, являются слабым звеном в защите передаваемых данных для этих систем. IP-сеть – это сеть, построенная в рамках стека протоколов TCP/IP, используемая в распределенных системах вместе с промышленными сетями, такими как LonWorks, ModBus, Profibus, и последовательными интерфейсами RS-232 или RS-485. В связи с этим типичные для информационных систем уязвимости находят своё применение и в отношении современных промышленных систем: уязвимости WEB-приложений, СУБД, компоненты операционных систем.
Примером эксплуатации уязвимостей IP-сетей может служить уязвимость типа «SQL-инъекция в модуле авторизации пользователя для доступа в систему», обнаруженная специалистами НТЦ «Станкоинформзащита» [16] в системах: ITS SCADA, Broadwin SCADA, ICSCADA (Outlaw Automation). Появление подобных уязвимостей связано с использованием в промышленных системах WEB-сервера (см. рис.1.5), предоставляющего канал связи с WEB-клиентами и промышленной сетью.
По сравнению с протоколами стека TCP/IP, имеющими свои слабые места, протоколы промышленных сетей, используемых в АСУ ТП и SCADA, не обладают достаточной устойчивостью к некорректным входным пакетам, поэтому они более уязвимы к снифингу и спуфингу. Примером могут служить уязвимости протокола HART.
Промышленный протокол HART (Highway Addressable Remote Transducer Protocol) – протокол передачи данных интеллектуальных
СибАДИ
41
полевых устройств. Протокол предназначен для сбора показаний датчиков, а также для управления датчиками и исполнительными устройствами с использованием модулированных сигналов, которые накладываются на токовую несущую традиционной аналоговой токовой петли. Специалисты компании Digital Security выяснили, что в системах, использующих протокол HART, существуют множественные уязвимости. Согласно опубликованным Digital Security данным, внедрение в программное обеспечение, работающее с протоколом HART, специальным образом сформированных пакетов, способно вызвать отказ в обслуживании как самого ПО, так и драйверов последовательных портов операционной системы. Наряду с этим обнаружены уязвимости в программной реализации технологии Field Device Tool/Device Type Manager (FDT/DTM), обеспечивающей дистанционную параметризацию полевых устройств, а также в сервере HART OPC Server. Потенциальные злоумышленники, получившие физический доступ к токовой петле, с которой работают HART-датчики, могут фальсифицировать их показания, вызвать отказ в обслуживании системы мониторинга и даже получить доступ к корпоративным информационным системам через уязвимости в DTM-компонентах. Все это может повлечь за собой сбои в технологических процессах таких крупных промышленных объектов, как электростанции или химические заводы.
Оборудование и программное обеспечение ряда АСУ ТП и SCADA способны работать только с ОС Microsoft Windows, что приводит к повышенным рискам информационной безопасности. Поэтому безопасность функционирования серверов SCADA, OPC, PLC-контроллеров и других компонентов систем автоматизированного управления в сильной степени определяется свойствами операционной системы. Так, эксплуатация уязвимости «Неавторизированное исполнение кода» в продуктах CitectSCADA, RealWin SCADA Server 2.0 и GE Fanuc Real Time Information Portal 2.6 стала возможной при использовании платформ Windows.
Другие примеры использования уязвимостей ОС – это организация доступа к функциям программируемых логических контроллеров PLC на прикладном уровне с помощью сценария для СУБД MS SQL, с которой может быть сопряжена среда Simatic WinCC/STEP7 [13].
• Проникновение на систему и исполнение зловредных функций с помощью эксплуатации уязвимости из подключаемой DLL.
• Проверка наличия ПО Simatic WinCC в программном окружении целевой системы.
СибАДИ
42
• Использование специального «обработчика» (wrapper) для вызова функций DLL Simatic WinCC для взаимодействия с PLC «7 otbxdx.dll».
• Использование штатного «защитного» пороля Simatic WinCC для подключения СУБД Microsoft SQL Server и выполнения обращения к базе данных: «Server=.\WinCC;uid=WinCCConnect;pwd=2WSXcder».
• Отправка данных центру управления: – информация о версии OC Microsoft Windows; – имя компьютера (хостнейм»; – имя сетевой группы компьютера; – фдаг, показывающий наличие ПО WinCC на целевой системе; – сетевые IP-адреса всех доступных интерфейсов.
• Программная «закладка» для PLC-устройства в системе диспетчеризации:
– взаимодействие с сервером управления; – установление соединения с БД WinCC/STEP7: – поиск файлов проектов WinCC/STEP7; – поиск файлов GracS; – взаимодействие с PLC.
Основным методом распространения вредоносных кодов являлось применение отделяемых носителей (USB-flash, Compact-Flash, сторонние съёмные носители информации), которые могут использовать операторы для управления проектами технологических процессов, обмена информацией между собой.
Часто используется способ заражения PLC-контроллеров при конфигурировании сетевой структуры системы. Например, для ответственных SCADA-приложений часто используют так называемую резервируемую конфигурацию, когда параллельно с основным сервером SCADA ставят второй, резервный компьютер с тем же самым приложением. Эта резервная станция SCADA также подключена к ПЛК, как и основной сервер системы. В нормальном режиме работ диспетчерское управление осуществляется только через основной компьютер, а второй работает «на подхвате», осуществляя лишь визуализацию процесса. В редких случаях аппаратного или программного сбоя основного компьютера управление переходит на резервный компьютер. Таким образом, большую часть времени этот мощный резервный компьютер работает «вхолостую». Часто этот постоянно работающий компьютер, подключенный к контроллерам, используют также в качестве инженерной станции, через которую по мере совершенствования технологического процесса осуществляется программирование, отладка и модернизация ПО контроллеров. Вот с
СибАДИ
43
такого компьютера вредоносная программа вполне может осуществить перепрограммирование ПЛК. Так был внедрен вредоносный код Stuxnet. Очевидно, что следует серьезно опасаться клонов Stuxnet всем, кто эксплуатирует системы Siemens WinCC и Step 7, подключенные к ПЛК S7-315 через шину Profibus.
Современная система безопасности организации, где функционирует АС, включает охранную, пожарную сигнализацию, средства контроля и управления доступом или видеонаблюдения, а также средства телефонной связи. Среда передачи данных этих средств отличается от системы к системе – это, например, сеть LonWorks, шина Modbus или интерфейсы RS-485.
При проектировании протоколов информационного обмена в подобных средствах требования по информационной безопасности либо учитывают частично, либо просто игнорируют. Например [17], связь периферии с охранной панелью известной российской системы осуществляется по RS-485, связь охранной панели с компьютером – по RS-232. Протокол, конечно, закрыт. Злоумышленник приобретает систему, собирает статистику передаваемых сообщений, выясняет структуру протокола – "запрос/ответ". Защита примитивная, не криптостойкая. Злоумышленник легко восстанавливает структуру пакетов данных, коды событий. Получив доступ (например, атакой на "человеческий фактор") к линиям передачи данных в рабочее время (помещения сняты с охраны), осуществляет установку специального модуля в разрыв линии, который до специальной радиокоманды не вмешивается в коммуникации периферии с панелью. Ночью активирует модуль, проникает на объект − тревожные сигналы не поступают на охранную панель.
Уязвимости систем связи
Задачи защиты информации в телефонных сетях общего пользования, используемых в организациях и предприятиях, отличаются от задач обеспечения информационной безопасности АС. Это связано с тем, что задачи обеспечения информационной безопасности сети связи – сохранить целостность передаваемых данных абонентов. Абонентом телефонной сети в распределенной АС может быть: АРМ персонала АСУ ТП, терминал банковского терминала, компьютер пользователя и т. п. Введенные абонентом в сеть сообщения, несущие информацию, должны поступить адресату или его доверенному лицу без искажений, задержек и подмены – это гарантии поставщика услуг связи. В каком виде представлена информация абонента – открытая или закрытая кодированием, шифрованием или
СибАДИ
44
скремблированием для поставщика услуг не имеет существенного значения. Иначе говоря, задача обеспечения конфиденциальности передаваемой информации должна решаться абонентом сети. Доступность каналов связи общего пользования различными абонентами телефонной сети – одна из уязвимостей распределенных систем, использующих каналы передачи телефонных сетей. С переходом телефонных сетей на цифровые технологии (сети сотовой связи, сети VoIP, ISDN) появились уязвимости, характерные для вычислительных сетей, среди которых можно выделить:
– уязвимости цифровых АТС; – уязвимости общеканальной сигнальной системы ОКС-7 (SS7). Проблемы уязвимости и обеспечение информационной
безопасности в цифровых АТС [4] связаны с тем, что АТС – это программируемая информационная система с множеством внешних связей, несущих угрозы нарушения работоспособности телефонной сети, основные из которых:
– атаки через АРМ администратора АТС; – несанкционированный вход в АРМ администратора; – модификации системного или программного обеспечения
администрирования узла связи; – заражения файлов компьютерными вирусами; – прослушивание и модификация трафика; – модификация аппаратной части АРМ, АТС и линейной
аппаратуры (вставка постороннего устройства); – атаки через систему удаленного программирования и
диагностики; – атаки через систему сигнализации и управления; – атаки наведенным сигналом; – атаки по абонентским линиям; – атаки через сеть электропитания; – атаки через системы тарификации и записи переговоров. Входы в программное обеспечение АТС могут быть легальными и
нелегальными. К легальным входам относятся связи с системой удаленного программирования и диагностики и с локальной системой программирования и тарификации. Остальные входы – нелегальные. При этом в современных АТС вход удаленного программирования может быть заблокирован парольной защитой или физическим отключением. В интеллектуальных сетях указанный вход функционален и отключен быть не может.
СибАДИ
45
Наибольшую опасность представляет вход удаленного программирования и диагностики АТС, функционально предназначенный для непосредственного вмешательства в ПО АТС.
Вход локального программирования и тарификации также очень опасен для ПО, однако доступ к нему ограничен персоналом станции и безопасность может быть обеспечена организационными мерами.
Нападение по абонентским и соединительным линиям, а также со стороны системы сигнализации может быть произведено через включение в ПО "закладок", открывающих по кодовому сигналу доступ к ПО АТС с указанных направлений.
Нападение наведенным сигналом (например, с космического объекта) может быть осуществлено через аппаратурные закладки совместно с программными закладками.
Особой разновидностью может быть "внутреннее" направление, обеспеченное закладкой в ПО, срабатывающее от счетчика, даты или других внутренних факторов.
Уязвимости общеканальной сигнальной системы ОКС-7 (SS7) влияют на безопасность функционирования телефонной сети в связи с тем, что эта система соединяет большинство существующих, построенных с использованием разных технологий, будь то традиционная телефония, интеллектуальные сети, сети сотовой связи, сети VoIP, ATM или ISDN. Использование системы ОКС-7 в сетях связи определено международными стандартами. При построении сетей ОКС-7 реализация функций обеспечения безопасности в протоколах смещена в сторону создания замкнутой инфраструктуры при соединении сетевых элементов на всех уровнях вплоть до кабельных соединений.
За время эксплуатации сетей ОКС-7 были зафиксированы случаи выхода из строя, вызванные сбоями в работе вследствие перегрузок и распространения отказов по сети сигнализации. Причина возникновения перегрузок состоит в том, что структура протокола ОКС-7 в реальном оборудовании реализована в виде системы очередей, шин, внутренних матриц и процессоров. Любая из подсистем протокола может подвергнуться перегрузке при чрезмерном трафике. Анализ показывает, что основными причинами перегрузок являются запросы на изменение маршрута сигнального трафика, когда трафик с отказавшего звена направляется на резервное звено, а также в случае пиковых нагрузок во время социально значимых событий. Непреднамеренные нарушения безопасности сети ОКС-7, вызванные перегрузками, могут привести к ошибкам управления сетью, к повреждениям передаваемых сообщений, к процедурным ошибкам при замене ПО и т.д.
СибАДИ
46
С развитием сетей ОКС-7 и увеличением числа программных приложений сеть перестала быть замкнутой. Увеличение же числа и повышение сложности интерфейсов увеличило и степень подверженности внешним атакам. Каждый интерфейс, являясь точкой доступа в сеть ОКС-7, представляет потенциальный источник угроз нарушения ее безопасности. Растущая взаимозависимость между сетями ОКС-7 и сетями IP постоянно увеличивает степень подверженности внешним атакам. Любой, кто способен сформировать сообщение ОКС-7, может в той или иной степени нарушить работу сети общего пользования. Например, хакер, имеющий со своего компьютера доступ к местной АТС по цифровой линии ISDN (или даже по обычной аналоговой линии через модем) может подставить ложный адрес источника и ввести в сеть пакеты, содержащие сфабрикованные сообщения ISUP, что может при некоторых условиях нарушить работу межстанционных связей. Каждый элемент сети ОКС-7 рассчитан на обслуживание определенной нагрузки. Хакер может вызвать перегрузку звена сигнализации или всего пункта сигнализации, направив в его адрес чрезмерное количество сообщений непосредственно со своего терминала, или опосредованно, изменив сначала данные в маршрутных таблицах соседних пунктов таким образом, чтобы весь трафик от них «пошел» в его направлении. Снизив возможности атак через разговорный канал, сети ОКС-7 создали другие уязвимые точки.
В условиях же конвергенции сетей и услуг традиционные операторы и операторы сотовых сетей вынуждены предоставлять доступ к своим сетям интернет-провайдерам (ISP), выделенным коммерческим сетям и учрежденческим АТС. Присоединенные операторы (будь то обычной или IP-телефонии) зачастую не имеют никаких средств контроля доступа к сети со стороны своих абонентов, что создает угрозы возможности проведения атак со стороны пользователей этих сетей. Имея доступ к сети ОКС-7, атакующий может анализировать, модифицировать, удалять и/или фабриковать отдельные сигнальные сообщения и последовательности сообщений. Каждая из перечисленных видов угроз может иметь очевидные последствия: изменение типа или перенаправление вызовов, нарушение маршрутных таблиц, изменение абонентских данных или информации о начисляемой плате и т.п. Специфические атаки могут быть проведены в отношении оконечных пунктов сигнализации (АТС, АМТС, MSC), транзитных пунктов сигнализации (STP), сетевых баз данных (SCP, HLR). Представители административного персонала местных, междугородных и международных сетей, которые зачастую первыми идут на компромисс при согласовании условий подключения, менее других знают о том, что их собственные клиенты и абоненты подвержены риску, связанному с неадекватными мерами по обеспечению безопасности в сети присоединенного оператора.
СибАДИ
47
Технические недостатки узлов сети ОКС-7, связанные с отсутствием в протоколе средств контроля доступа, превентивным обнаружением перегрузок, проверки прав доступа могут быть в некоторой степени сглажены административными процедурами в присоединенной сети. Однако применение одних лишь административных мер зачастую влечет дорогостоящие процедурные ошибки, так как приходится надеяться на то, что каждый человек, привлеченный к разработке, все время принимает правильные решения.
Уязвимости сетей сотовой связи, используемые в составе распределенных систем, также могут быть причинами нарушения безопасности.
Исследователи компании Positive Technologies [18] обнаружили ряд уязвимостей, содержащихся в инфраструктуре сетей сотовой связи, которые позволяют перехватывать и блокировать GPRS-трафик, подключаться к Интернету под видом другого абонента и определять местонахождение абонента. Под угрозой оказались не только мобильные телефоны, но и различные устройства, оснащенные сотовыми модемами: банкоматы, платежные терминалы, различные автоматизированные транспортные и промышленные системы, средства сбора данных и т.д. Согласно исследованию компании, большое число устройств, функционирующих в сотовых сетях 2G и 3G, доступны через Интернет посредством GTP-портов и по открытым протоколам передачи данных (FTP, Telnet, HTTP). Уязвимости в этих интерфейсах могут позволить злоумышленнику подключаться к узлам оператора мобильной связи и отправлять управляющие команды.
Подключившись к сети оператора, злоумышленники получают доступ к сети GRX (Global Roaming eXchange, глобальный роуминговый обмен), объединяющей всех операторов и использующейся для предоставления доступа к Интернету абонентам, находящимся в роуминге. В результате хакер может проводить различные атаки на абонентов любого оператора. Перечень возможных атак включает поиск валидных идентификаторов абонентов (IMSI), получение данных об абоненте по заданному IMSI (в том числе данных о его местоположении), отключение абонентов от Интернета и блокировку их доступа к нему, подключение к Интернету под видом другого абонента, перехват трафика абонента.
Некоторые атаки выполняются по протоколу GTP (GPRS Tunneling Protocol, протокол туннелирования GRPS), использующемуся в сетях GSM и UMTS. Данный протокол применяется для передачи как пользовательской, так и служебной информации между конечными точками и узлами 2G-сети. Чтобы получить доступ к незашифрованному трафику абонентов, злоумышленникам нужно атаковать GGSN, шлюзовые узлы сотовой сети. Определить их IP-адреса можно с помощью сканеров вроде Shodan.io. Часть из обнаруживаемых узлов имеют открытые GTP-порты, что позволяет злоумышленнику
СибАДИ
48
подключиться и передать управляющие пакеты, которые GGSN воспринимает как пакеты от легитимных устройств операторской сети. По данным Positive Technologies, в Интернете насчитывается более 207 тыс. устройств с открытыми GTP-портами. Порядка 500 из них являются узлами сотовых сетей. Часть обнаруженных узлов оказались доступны по протоколам общего пользования, таким как Telnet, FTP, SSH, HTTP, и т.д. Если использовать имеющиеся в них уязвимости (например, стандартные пароли), можно модифицировать настройки узла и получить доступ к сети оператора. По заключению специалистов Positive Technologies, часть проблем лежит в некорректной настройке многих узлов сотовых сетей. К примеру, часть сервисов, включенных производителем устройства по умолчанию, должна быть выключена при установке, но это делают не всегда. Новые стандарты связи, как отмечается в отчете, не обеспечат безопасности от такого рода атак прежде всего потому, что операторы сотовой связи не могут отказаться от 2G-сетей, которые являются основой для сетей 3G. Протокол GTP также используется и в новейшем стандарте LTE, а значит, эти сети могут столкнуться с теми же угрозами.
Вопросы для самоконтроля и задания
1. Что такое безопасность распределенных автоматизированных
систем? 2. Дайте определение угрозе безопасности АС. 3. Какие виды угроз безопасности информации актуальны для
распределенных систем? 4. Какие виды возмущающих воздействий влияют на
работоспособность распределенных АС? 5. Что такое кибератака? 7. Как уязвимость распределенных АС влияет на безопасность
функционирования? 8. Назовите причины появления уязвимостей в системе защиты
распределенных АС. 9. Дайте характеристику основным видам атак на информационные
системы. 10. Какую роль в задачах обеспечения информационной безопасности
играют телефонные сети общего пользования? 11. Какие виды угроз безопасности распределенным системам несут
недостатки в средствах защиты телефонных сетей? 12. Перечислите основные особенности промышленных сетей,
влияющие на информационную безопасность распределенной системы.
СибАДИ
49
3. НАДЕЖНОСТЬ И БЕЗОПАСНОСТЬ РАСПРЕДЕЛЕННЫХ СИСТЕМ
3.1. Требования к архитектуре программно-технического
комплекса
Одна из основных составляющих информационной безопасности АС — доступность персонала и пользователей системы к функциям и предоставляемым сервисам на все время жизненного цикла системы. Высокая доступность в распределенных системах достигается высокими показателями надежности всех компонентов технического и программного обеспечения, характеризующих конкретную архитектуру АС. Только сфокусированная на безопасность архитектура АС способна сделать эффективным объединение сервисов, обеспечить управляемость системы, ее способность развиваться и противостоять новым угрозам при сохранении таких свойств, как высокая производительность, простота и удобство использования [2]. Для того чтобы выполнить эти требования, архитектура АС должна строиться, по крайней мере, на следующих принципах.
1) Проектирование АС должно основываться на стандартах открытых систем. Следование признанным стандартам, использование апробированных решений, иерархическая организация системы с небольшим числом сущностей на каждом уровне – все это способствует прозрачности и хорошей управляемости.
2) Непрерывность защиты в пространстве и времени, невозможность преодолеть защитные средства, исключение спонтанного или вызванного перехода в небезопасное состояние – при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ в систему или ее часть.
3) Усиление самого слабого звена, минимизация привилегий доступа, разделение функций обслуживающих сервисов и обязанностей персонала. Минимизации привилегий предписывают выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей, что позволяет уменьшить ущерб от случайных или умышленных некорректных действий пользователей и администраторов.
4) Распределение ролей и ответственности между персоналом и пользователями должно быть организовано так, чтобы один человек не мог нарушить критически важный для организации процесс или создать брешь в защите по неведению или заказу злоумышленников.
СибАДИ
50
5) Эшелонирование обороны, разнообразие использования защитных средств. Эшелонирование обороны предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией – управление доступом, протоколирование и аудит и т. д. Разнообразие защитных средств предполагает создание различных по своему характеру оборонительных рубежей, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками.
6) Простота и управляемость АС в целом и защитных средств в особенности. Только в простой и управляемой системе можно проверить согласованность конфигурации различных компонентов и осуществлять централизованное администрирование. В этой связи важно отметить интегрирующую роль Web-сервиса, скрывающего разнообразие обслуживаемых объектов и предоставляющего единый, наглядный интерфейс. Соответственно, если объекты некоторого вида (например, таблицы базы данных) доступны через Интернет, необходимо заблокировать прямой доступ к ним, поскольку в противном случае система будет уязвимой, сложной и плохо управляемой.
7) Продуманная и упорядоченная структура программных средств и баз данных. Топология внутренних и внешних связей непосредственно отражается на достигаемом качестве и безопасности АС, а также на трудоемкости их разработки. При строгом соблюдении правил структурного построения значительно облегчается достижение высоких показателей качества и безопасности, так как сокращается число возможных ошибок в реализующих программах, отказов и сбоев оборудования, упрощается их диагностика и локализация. В хорошо структурированной системе с четко выделенными компонентами контрольные точки выделяются достаточно четко, что решает задачу доказательства достаточности применяемых средств защиты и обеспечения невозможности обхода этих средств потенциальным нарушителем.
При создании сложных, распределенных автоматизированных систем, проектировании их архитектуры, инфраструктуры, выборе компонентов и связей между ними необходимо учитывать ряд специфических концептуальных требований, направленных на обеспечение безопасности функционирования системы:
СибАДИ
51
• архитектура системы должна быть достаточно гибкой, т.е. должна допускать относительно простое, без коренных структурных изменений, развитие инфраструктуры и изменение конфигурации используемых средств, наращивание функций и ресурсов в соответствии с расширением сфер и задач ее применения;
• должны быть обеспечены безопасность функционирования системы при различных видах угроз и надежная защита данных от ошибок проектирования, разрушения или потери информации, а также авторизация пользователей, управление рабочей загрузкой, резервированием данных и вычислительных ресурсов, максимально быстрым восстановлением функционирования;
• следует обеспечить комфортный, максимально упрощенный доступ пользователей к сервисам и результатам функционирования АС на основе современных графических средств, мнемосхем и наглядных пользовательских интерфейсов;
• систему должна сопровождать актуализированная, комплектная документация, обеспечивающая квалифицированную эксплуатацию и возможность развития АС.
Высокие требования, предъявляемые к формированию архитектуры и инфраструктуры на стадии проектирования АС, определяются тем, что именно на этой стадии можно в значительной степени минимизировать число уязвимостей, связанных с непредумышленными дестабилизирующими факторами, которые влияют на безопасность программных средств, баз данных и систем коммуникации.
Анализ безопасности распределенных АС при отсутствии злоумышленных факторов базируется на модели взаимодействия основных компонентов системы. В качестве объектов уязвимости рассматриваются:
– системное, прикладное и специальное ПО, автоматизирующие процессы обработки данных, подготовки решений и выработки управляющих воздействий;
– средства коммуникаций, включающие средства вычислительных, промышленных сетей, а также средства связи общего пользования;
– информация, накопленная в базах данных.
СибАДИ
52
3.2. Принципы описания надежности распределенных систем Под надежностью понимается в соответствии с ГОСТ 27.002-89
свойство системы сохранять во времени в установленных пределах значения всех параметров, характеризующих способность выполнять требуемые функции в заданных режимах и условиях применения, технического обслуживания и транспортирования.
Под безопасностью АС понимается состояние защищенности системы от потенциально и реально существующих угроз или отсутствие таких угроз. Система находится в состоянии безопасности, если действие внешних и внутренних факторов не приводит к ухудшению или невозможности ее функционирования. Здесь под угрозами понимаются угрозы информационной безопасности и физического разрушения системы.
Программно-технические компоненты АС не могут быть абсолютно надежными, так как причинами возникновения отказов при эксплуатации систем могут быть сбои от воздействий различных помех, от ошибок в программах или непредумышленных действий персонала и многих других случайных факторов.
Нарушение безопасности компонентов системы, осуществляющих обработку информации, может состоять как в преднамеренных действиях злоумышленников, вызывающих отказ в работе, изменение функций, так и в несанкционированном доступе к информации (НСД).
Таким образом, проблемы надежности и безопасности во многом родственны и эти проблемы приводят к вмешательству в процесс функционирования системы.
Функции распределенной системы определяются целевым ее назначением. Вследствие воздействия возмущающих воздействий система может находиться в разных состояниях, обеспечивающих выполнение заданных ей функций. Однако в каждом таком состоянии качество выполнения системой функций не будет одинаковым. Например, чем больше отклонение выходных параметров, характеризующих выполняемую функцию от заданных, тем менее качественно работает система, т.е. система менее эффективна. Под эффективностью системы понимают вероятность выполнения системой заданных функций при определенных значениях параметров и условий эксплуатации.
Обобщенное количественное значение надежности системы в большинстве случаев трудно непосредственно получить из первичной информации, кроме того, она не позволяет оценить влияние различных этапов разработки и эксплуатации системы, поэтому надежность
СибАДИ
53
целесообразно рассматривать по трем главным составляющим, которые являются свойствами системы и могут характеризоваться как качественно, так и количественно:
– безотказность; – восстанавливаемость (ремонтопригодность); – готовность. Безотказность – свойство системы сохранять работоспособность
в течение требуемого интервала времени непрерывно без вынужденных перерывов.
Безотказность системы является одной из главных и определяю-щих составных частей надежности АС.
Для фиксированного интервала времени безотказной работы и заданных условий эксплуатации АС может находиться в одном из двух состояний: работоспособном и неработоспособном (состояние системы, при котором значение хотя бы одного параметра не находится в указанных пределах).
Эти состояния системы представляют противоположные события, поэтому для них справедливо равенство
p (t)+ q(t)=1, (3.1)
где p(t) – вероятность безотказной работы системы; q(t) – вероятность возникновения отказа.
Восстанавливаемость – свойство системы, заключающееся в ее приспособленности к предупреждению, обнаружению и устранению причин возникновения отказов, а также поддержанию и восстановлению работоспособного состояния путем проведения технического обслуживания и ремонтов.
К невосстанавливаемым относят системы, восстановление которых непосредственно после отказа считается нецелесообразным или невозможным, а к восстанавливаемым – системы, в которых производится восстановление непосредственно после отказа.
Под количественным значением восстанавливаемости системы понимается вероятность того, что параметры ее будут восстановлены до требуемых значений за данный интервал времени обслуживающим персоналом определенной квалификации при заданных окружающих условиях.
Готовность – свойство системы выполнять возложенные на нее функции в любой произвольно выбранный момент времени в установившемся процессе эксплуатации. Количественно определяется
СибАДИ
54
как отношение времени предоставления сервиса к общему времени работы системы.
Количественные характеристики надежности АС определяются показателями надежности системы.
Для невосстанавливаемых систем, как правило, ограничиваются показателями безотказности. Эти же показатели описывают системы, подлежащие восстановлению после отказов, свойства которых после отказа не изменились. К их числу, например, можно отнести системы, чьи отказы чрезвычайно редки и вызывают особо тяжелые последствия.
К основным показателям надежности АС относятся: – наработка на отказ; – вероятность безотказной работы; – среднее время безотказной работы или средняя наработка до
отказа; – интенсивность отказов. Наработка на отказ Т – случайная величина, представляющая
собой длительность работы невосстанавливаемой системы до наступления отказа. Для большей части систем наработка до отказа измеряется единицами времени, но она может измеряться и числом включений, срабатываний, циклов. Очевидно, что для систем, работающих без отключений (кроме отказов), наработка до отказа совпадает с временем безотказной работы.
Показателем для количественной оценки безотказности элемента, аппаратуры и АС является вероятность безотказной работы P(t) в заданном интервале времени наработки t.
Показатель P(t) полностью определяет безотказность невосстанавливаемых элементов, но применим также и к восстанавливаемым элементам до первого отказа. Вероятность безотказной работы статистически определяется отношением числа элементов ni, безотказно проработавших до момента времени t, к числу элементов N, работоспособных в начальный момент времени. Pi*=ni /N. (3.2)
При значительном увеличении числа элементов N статистическая вероятность Pi* сходится к вероятности Р (t).
Среднее время безотказной работы Тср представляет собой ма-тематическое ожидание времени работы устройства, системы до отказа
dttРTср ∫∞
=0
)( . (3.3)
Интенсивностью отказов λ(t) называют отношение плотности распределения времени исправной работы к вероятности безотказной
СибАДИ
55
работы невосстанавливаемого устройства, которая взята для одного и того же момента времени t , λ(t)=-dP/dt/P.
Для автоматизированных систем, компоненты которых до использования в системах проходят различные виды испытаний и имеют экспериментально подтвержденные показатели, для анализа надежности чаще всего используется экспоненциальный закон распределения времени отказов
tetP λ−=)( . (3.4)
Для экспоненциального закона Тср=1/λ для начальных условий Р(0)=1; Q(0)=0, т. е. отсчет времени t начинается с момента выявления исправности изделия. Средняя интенсивность отказа системы, состоящей из n элементов:
λc(t)= λ1(t)+ λ2(t)+ λ3(t)+···+ λn(t). (3.5) Интенсивность отказов является наиболее удобной
характеристикой безотказности систем и элементов. Как показывает опыт обработки статистических данных по эксплуатации различного оборудования, интенсивность отказов АС, а также отдельных ее компонентов (элементов) не может быть аппроксимирована аналитической зависимостью, соответствующей только одному закону изменения случайной величины. Поэтому в характеристиках надежности элементов АС или системы в целом чаще всего оперируют с экспериментальными данными или данными, полученными при испытаниях или эксплуатации АС. По данным компании Positive Technologies, усредненные показатели надежности современных систем АСУ ТП различных производителей составляют:
– среднее времени восстановления Tвост = 12 ч; – среднее время между двумя последовательными отказами
Tот=60 000 ч; – среднее время системы до возникновения отказа
Тср= Tот - Tвост = 59 988 ч; – коэффициент готовности Кгот=100× Tот /( Tот+ Tвост )=99,98%.
3.3. Методы повышения надежности АС
Основным методом повышения надежности АС является внесение
избыточности (элементной, структурной, информационной, алгоритмической) в конфигурацию аппаратных и программных средств системы.
В распределенной АС, вследствие наличия большого числа аппаратных и программных компонентов, снижаются средние
СибАДИ
56
показатели надежности. В соответствии с формулой (3.5) интенсивность отказов системы зависит от отказов отдельных компонентов системы. Однако в сетевой архитектуре системы при наличии высоконадежных компонентов, какими являются, например, серверы, можно в ряде случаев обеспечить работоспособность при отказах отдельных (слабых) компонентов или сохранить, в крайнем случае, ограниченную функциональность. Это достигается разработкой специальных алгоритмов, реагирующих на изменение архитектуры программных и аппаратных компонентов и возможные сбои в работе системы. Существует два подхода [1] к разработке специальных алгоритмов для распределенных систем:
– построение отказоустойчивых алгоритмов; – построение стабилизирующих алгоритмов. В отказоустойчивых алгоритмах каждый шаг каждого процесса
предпринимается с достаточной осторожностью, чтобы гарантировать, что, несмотря на сбои, правильные процессы выполняют только правильные шаги. В стабилизирующих алгоритмах правильные процессы могу быть подвержены сбоям, но алгоритм в целом гарантирует исправление ошибок.
Отказоустойчивые алгоритмы разработаны так, чтобы учитывать возможность сбоев в некоторых процессах (относительно небольшом их количестве) и гарантировать при этом правильность выполнения процессов, в которых не произошло сбоев. Эти алгоритмы используют такие стратегии, как голосование, вследствие чего процесс воспримет только такую информацию извне, о получении которой объявит достаточно много других процессов. Однако процесс никогда не должен ждать получения информации от всех процессов, потому что может возникнуть тупик, если при выполнении какого-либо процесса произойдет сбой.
Устойчивые алгоритмы защищают систему против отказов ограниченного числа узлов. Остающиеся работоспособными узлы поддерживают правильное (хотя возможно менее эффективное) поведение во время восстановления и реконфигурации системы. Следовательно, устойчивые алгоритмы должны использоваться, когда невозможно временное прерывание работы.
Стабилизирующие алгоритмы предлагают защиту против временных сбоев, то есть временного аномального поведения компонентов системы. Эти сбои могут происходить в больших частях распределенной системы, когда физические условия временно достигают критических значений, стимулируя ошибочное поведение памяти и процессоров.
СибАДИ
57
Примером может быть система управления космической станцией, когда станция подвергается сильному космическому излучению, а также системы, в которых на многие компоненты одновременно воздействуют неблагоприятные природные условия. Когда воздействие этих условий исчезает, процессы восстанавливают свою работоспособность и функционируют на основе программ. Однако из-за их временного аномального поведения глобальное результирующее состояние системы может быть непредвиденным. Свойство стабилизации гарантирует сходимость к требуемому поведению.
Внесение структурной избыточности – это меры по обеспечению отказоустойчивости распределенных систем, направленные на достижение "живучести" отдельных аппаратных и программных компонентов. Типичные примеры подобных мер – использование различных типов резервирования активного сетевого оборудования и кластеризация, т.е. создание многомашинных комплексов и возможность переключения решаемых задач между компонентами кластера в случае их отказов.
По способу включения в систему резервных элементов различают постоянное резервирование и резервирование замещением отказавшего элемента.
При постоянном резервировании резервные элементы соединены параллельно с основными элементами в течение всего времени работы. Так резервируются ответственные устройства системы, например серверы системы, сетевое оборудование. Расчеты показателей надежности для этого вида резервирования проводятся из условий, что вероятность отказа параллельно соединенных m элементов равна произведению вероятностей отказа каждого элемента:
qc(t) = q1(t) q2(t) q3(t) ··· qm(t). Вероятность безотказной работы, в соответствии с (3.1),
pc(t)=1- qc(t). При резервировании замещением отключается основной элемент
и включается резервный элемент. Эта операция может выполняться автоматически или вручную. Различают «горячее» и «холодное» резервирование, в зависимости от того во включенном или выключенном состоянии находится резервный элемент до появления отказа. Плюсы постоянного резервирования – простота и отсутствие перерывов в работе, недостатки – повышенный расход ресурса резервных элементов, так как резервные элементы находятся в рабочем нагруженном режиме.
В критически важных системах необходимый уровень надежности достигается, как правило, путем многократного «горячего» или
СибАДИ
58
«холодного» резервирования всех компонентов, что существенно отражается на их стоимости.
Для информационных систем достижение необходимого уровня надежности обеспечивается методами, в первую очередь, направленными на сохранение данных при отказах, в том числе и при возможных авариях и катастрофах.
Наиболее оптимальной схемой построения отказоустойчивой и катастрофоустойчивой информационной системы является кластеризация [19], т.е. создание многомашинных комплексов с разделяемой массовой памятью и возможностью переключения приложений между членами кластера в случае их отказов (failover). Поскольку такой кластер может строиться из (недорогих) машин общего назначения, и при этом достигается достаточно высокая отказоустойчивость (непрерывность предоставления сервиса), с точки зрения затрат эта схема считается оптимальной.
Кластер объединяет несколько серверов, соединенных между собой специальным коммуникационным каналом, часто называемым также «системной сетью». Неотъемлемой частью кластера является специальное программное обеспечение, которое, собственно, и решает проблему восстановления узла в случае отказа, а также решает другие задачи, например, изменяет IP-адрес сервера приложений, если он вышел из строя и выполнение переложено на другой узел. Программное обеспечение кластера обычно имеет несколько заранее заданных сценариев восстановления работоспособности системы, а также может предоставлять администратору возможности настройки таких сценариев. Восстановление после отказов может поддерживаться как для узла в целом, так и для отдельных его компонентов — приложений, дисковых томов и т.д. Эта функция автоматически инициируется в случае системного отказа, а также может быть запущена администратором, если ему, например, необходимо отключить один из узлов для реконфигурации. Резервирование программ и данных может выполняться многими способами – за счет зеркалирования дисков, резервного копирования и восстановления, репликации баз данных.
Для повышения надежности сетевой составляющей кластерной системы используется топология сетей FDDI с двумя маркерными кольцами.
СибАДИ
59
Рис. 3.1. Организация кластера с использованием двух магистралей FDDI
При реализации схемы резервирования возможны несколько вариантов подключения оборудования к каналам связи (подключение устройств к первичному кольцу, резервному, к двум сразу и комбинация различных вариантов подключения).
В качестве критерия живучести используется функция F(S,L), характеризующая вероятность того, что в системе с топологией S при отказе L каналов связи будут продолжать взаимодействовать как минимум один сервер и один дисковый массив. Результаты расчета вероятности единичного отказа в зависимости от класса надежности и способов организации кластера (без чередования и с чередованием) приведены в табл. 3.1.
Таблица 3.1 Вероятность единичного отказа
Класс систем
Показатель живучести
Вероятность единичного отказа для кластера
без чередования с чередованием 1 0,9 0,667321 0,749895 2 0,99 0,473295 0,562341 3 0,999 0,325734 0,421697 4 0,9999 0,215128 0,316228 5 0,99999 0,135678 0,237137
Расчеты показали, что при размещении оборудования с
чередованием (при обходе магистрали FDDI сервера и дисковые массивы подключаются через один) система остается работоспособной при более высокой вероятности единичного отказа в магистралях, чем при подключении без чередования. Следовательно, подключение с
СибАДИ
60
чередованием оборудования обеспечивает большую степень надежности кластерной системы.
Таким образом, при проектировании автоматизированной системы всегда приходится искать компромисс между различными факторами, т.е. решать оптимизационную задачу. Ее суть в том, что можно обеспечить любую требуемую надежность системы, но увеличение надежности, а следовательно и безопасности, сопровождается увеличением ее стоимости. Причем увеличивается как стоимость проектирования и реализации, так и стоимость эксплуатации, связанная с профилактическими и регламентными работами.
Вопросы для самоконтроля и задания 1. Как надежность АС влияет на безопасность функционирования? 2. Какие требования к архитектуре АС повышают надежность? 3. Какие виды угроз информационной безопасности
распределенной системы могут быть причинами отказов аппаратуры? 4. Какие виды возмущающих воздействий влияют на надежность
функционирования АС? 5. Дайте определение показателям надежности системы. 7. Почему при расчетах показателей надежности АС используется
нормальный закон распределения вероятности? 8. Какие методы применяются для повышения надежности АС? 9. Почему кластеризация является оптимальной схемой
построения отказоустойчивой информационной системы? 10. Как при проектировании систем закладывается необходимый
уровень надежности и чем он ограничен? Си
бАДИ
61
4. ПРОГРАММНО-АППАРАТНЫЕ МЕРЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
4.1. Нормативно-методическая база информационной
безопасности распределенных систем Вопросам информационной безопасности распределенных систем
посвящено большое число исследований, нашедших отражения в различных международных и национальных стандартах. Наиболее общие требования к распределенным системам как системам с развитой сетевой архитектурой были отражены в технической спецификации X.800 «Архитектура безопасности для взаимодействия открытых систем», что можно считать развитием стандарта Министерства обороны США "Критерии оценки доверенных компьютерных систем" ("Оранжевая книга"). Рекомендации Х.800, созданные тематической группой IETF (Internet Engineering Task Force ), предлагают развитый набор сервисов и механизмов безопасности. Выделяют следующие сервисы информационной безопасности, нашедшие отражение в создании практических рекомендаций в системах защиты АС.
Аутентификация. Данный сервис обеспечивает проверку подлинности партнеров по общению и проверку подлинности источника данных. Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной).
Управление доступом. Этим сервисом обеспечивается защита от несанкционированного использования ресурсов системы, которые могут быть доступны пользователями по сети.
Конфиденциальность данных. Обеспечивает защиту от несанкционированного получения информации. Отдельно упоминается конфиденциальность трафика (это защита информации, которую можно получить, анализируя сетевые потоки данных).
Целостность данных подразделяется на подвиды в зависимости от того, какой тип общения используют партнеры – с установлением соединения или без него, защищаются ли все данные или только отдельные поля, обеспечивается ли восстановление в случае нарушения целостности.
Неотказуемость (невозможность отказаться от совершенных действий) обеспечивает два вида услуг:
– неотказуемость с подтверждением подлинности источника данных;
СибАДИ
62
– неотказуемость с подтверждением доставки. Побочным продуктом неотказуемости является аутентификация
источника данных. Рекомендации Х.800 и "Критерии оценки доверенных
компьютерных систем" послужили основой создания Руководящих документов (РД) Гостехкомиссии России, играющих роль стандартов в области информационной безопасности автоматизированных систем (АС). В частности, «Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» устанавливает деление АС на соответствующие классы по условиям их функционирования в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации. Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.
Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС. Информация размещена на носителях одного уровня конфиденциальности. Группа содержит два класса 3Б и 3А.
Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС. Информация обрабатывается и (или) хранится на носителях различного уровня конфиденциальности. Группа содержит два класса – 2Б и 2А. Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов – 1Д, 1Г, 1В, 1Б и 1А.
В общем случае комплекс программно-технических средств и организационных (процедурных) решений по защите информации от
СибАДИ
63
НСД реализуется в рамках системы защиты, условно состоящей из четырех подсистем (управление доступом, регистрация и учет, криптографическая, обеспечение целостности).
Сводная таблица требований к классам защищенности АС по подсистемам представлена в табл. 4.1.
Таблица 4.1
Требования к классам защищенности АС
Подсистемы и требования Классы
3Б 3А 2Б 2А 1Д 1Г 1В 1Б 1А 1 2 3 4 5 6 7 8 9 10
1. Подсистема управления доступом 1.1. Идентификация, проверка подлинности и контроль доступа субъектов: в систему;
+ + + + + + + + +
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ;
- - - + - + + + +
к программам; - - - + - + + + + к томам, каталогам, файлам, записям, полям записей
- - - + - + + + +
1.2. Управление потоками информации. - - - + - - + + + 2. Подсистема регистрации и учета 2.1. Регистрация и учет: входа/выхода субъектов доступа в/из системы (узла сети);
+ + + + + + + + +
выдачи печатных (графических) выходных документов;
- + - + - + + + +
запуска/завершения программ и процессов (заданий, задач);
- - - + - + + + +
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;
- - - + - + + + +
изменения полномочий субъектов доступа; - - - - - - + + + создаваемых защищаемых объектов доступа - - - + - - + + + 2.2. Учет носителей информации. + + + + + + + + + 2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей.
- + - + - + + + +
2.4. Сигнализация попыток нарушения защиты - - - - - - + + +
СибАДИ
64
Окончание табл. 4.1
1 2 3 4 5 6 7 8 9 10 3. Криптографическая подсистема 3.1. Шифрование конфиденциальной информации.
- - - + - - - + +
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах.
- - - - - - - - +
3.3. Использование аттестованных (сертифицированных) криптографических средств
- - - + - - - + +
4. Подсистема обеспечения целостности 4.1. Обеспечение целостности программных средств и обрабатываемой информации.
+ + + + + + + + +
4.2. Физическая охрана средств вычислительной техники и носителей информации.
+ + + + + + + + +
4.3. Наличие администратора (службы защиты) информации в АС.
- - - + - - + + +
4.4. Периодическое тестирование СЗИ НСД. + + + + + + + + + 4.5. Наличие средств восстановления СЗИ НСД. + + + + + + + + + 4.6. Использование сертифицированных средств защиты
- + - + - - + + +
В таблице отмечено: "-" нет требований к данному классу; "+" есть
требования к данному классу; "СЗИ НСД" – система защиты информации от несанкционированного доступа.
Развитие рекомендаций Х.800 в сфере обеспечения сетевой безопасности нашло отражение в РД Гостехкомиссии «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».
Под сетями ЭВМ, распределенными автоматизированными системами (АС) в данном документе, понимаются соединенные каналами связи системы обработки данных, ориентированные на конкретного пользователя. Межсетевые экраны (МЭ) представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.
СибАДИ
65
Устанавливается пять классов защищенности МЭ. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.
Самый низкий класс защищенности – пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый – для 1Г, третий – 1В, второй – 1Б, самый высокий – первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой.
При включении МЭ в АС определенного класса защищенности класс защищенности совокупной АС не должен понижаться.
Для АС класса 3Б, 2Б должны применяться МЭ не ниже 5 класса. Для АС класса 3А, 2А в зависимости от важности обрабатываемой информации должны применяться МЭ следующих классов:
– при обработке информации с грифом “секретно” – не ниже 3 класса;
– при обработке информации с грифом “совершенно секретно” – не ниже 2 класса;
– при обработке информации с грифом “особой важности” – не ниже 1 класса.
Требования к показателям защищенности МЭ в зависимости от класса представлены в табл. 4.2.
Таблица 4.2 Требования к показателям защищенности МЭ
Показатели защищенности Классы
защищенности 5 4 3 2 1
Управление доступом (фильтрация данных и трансляция адресов) + + + + =
Идентификация и аутентификация - - + = + Регистрация - + + + = Администрирование: идентификация и аутентификация + = + + + Администрирование: регистрация + + + = = Администрирование: простота использования - - + = + Целостность + = + + + Восстановление + = = + + Тестирование + + + + + Руководство администратора защиты + = = = = Тестовая документация + + + + + Конструкторская (проектная) документация + = + = +
СибАДИ
66
Непосредственное отношение к базе нормативных документов, регламентирующих требования к созданию и эксплуатации распределенных АС, имеют комплекс национальных стандартов "Информационная технология. Комплекс стандартов на автоматизированные системы" в части порядка создания автоматизированных систем в защищенном исполнении. В частности, ГОСТ Р 51583-2014 устанавливает содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных систем в защищенном исполнении, содержание и порядок выполнения работ по защите информации о создаваемой (модернизируемой) автоматизированной системе в защищенном исполнении.
Обеспечение безопасности распределенных АС представляет собой комплексную проблему, которая решается в направлениях совершенствования правового регулирования применения информационных технологий (ИТ), совершенствования методов и средств их разработки, развития системы сертификации, обеспечения соответствующих организационно-технических условий эксплуатации. Выработке требований, критериев и показателей для оценки уровня безопасности ИТ посвящены международные стандарты ГОСТ Р ИСО/МЭК 15408.
ГОСТ Р ИСО/МЭК 15408-1 устанавливает общий подход к формированию требований и оценке безопасности (функциональные и доверия), основные конструкции (профиль защиты, задание по безопасности) представления требований безопасности в интересах потребителей, разработчиков и оценщиков продуктов и систем ИТ. Требования безопасности объекта оценки (ОО) по методологии Общих критериев определяются исходя из целей безопасности, которые, в свою очередь, основываются на анализе назначения ОО и условий среды его использования (угроз, предположений, политики безопасности).
ГОСТ Р ИСО/МЭК 15408-2 содержит универсальный систе-матизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определенным правилам.
ГОСТ Р ИСО/МЭК 15408-3 включает в себя систе-матизированный каталог требований доверия, определяющих меры, которые должны быть приняты на всех этапах жизненного цикла продукта или системы ИТ для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям. Здесь же содержатся оценочные уровни доверия, определяющие шкалу требований, которые позволяют с возрастающей степенью полноты и строгости оценить проектную, тестовую и эксплуатационную
СибАДИ
67
документацию, правильность реализации функций безопасности ОО, уязвимости продукта или системы ИТ, стойкость механизмов защиты и сделать заключение об уровне доверия к безопасности объекта оценки.
Критерии оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты, отражены в международном стандарте ISO/IEC 17799:2000 «Практические правила управления информационной безопасностью». Практические правила разбиты на десять разделов.
1. Политика безопасности. 2. Организация защиты. 3. Классификация ресурсов и их контроль. 4. Безопасность персонала. 5. Физическая безопасность. 6. Администрирование компьютерных систем и сетей. 7. Управление доступом. 8. Разработка и сопровождение информационных систем. 9. Планирование бесперебойной работы организации. 10. Контроль выполнения требований политики безопасности. В этих разделах содержится описание механизмов безопасности,
реализация которых в государственных и коммерческих организациях помогает решать задачи безопасной эксплуатации автоматизированных систем различного назначения.
4.2. Безопасность распределенной информационной системы
Распределенные информационные системы используются на
различных предприятиях, организациях и компаниях разной производственной направленности. Целевое назначение любой информационной системы (ИС) состоит в обеспечении пользователей необходимой информацией в режиме «On Line» для выполнения определенных технологических или производственных задач. В зависимости от решаемых этими системами задач и требований по защите информационных активов строится архитектура этих систем и комплекс средств защиты. Нормативно-методическая база построения архитектуры распределенных систем определяет следующие сервисы или функции комплексов средств защиты, необходимые для достижения заданных показателей защищенности:
• аутентификация или проверка подлинности пользователей и источника данных;
• управление доступом или защита от несанкционированного использования ресурсов системы;
СибАДИ
68
• конфиденциальность данных; • целостность данных; • неотказуемость ( невозможность отказаться от совершенных
действий). Для реализации перечисленных функций в комплексе средств
защиты современной ИС используется стандартный набор следующих программно-аппаратных компонентов [3]:
• средства обеспечения надежного хранения информации с использованием технологии защиты на файловом уровне;
• средства авторизации и разграничения доступа к информационным ресурсам, а также защита от НСД к информации с использованием систем биометрической авторизации и технологии токенов (смарт-карты, touch-memory, ключи для USB-портов, крытые цифровые маркеры и т.п.);
• средства защиты от внешних угроз при подключении к общедоступным сетям связи, а также средства управления доступом из Интернета с использованием технологии межсетевых экранов (Firewall) и содержательной фильтрации (Content Inspection);
• средства защиты от вирусов с использованием специализированных комплексов антивирусной профилактики;
• средства обеспечения конфиденциальности, целостности, доступности и подлинности информации, передаваемой по открытым каналам связи с использованием технологии защищенных виртуальных частных сетей (VPN);
• средства обеспечения активного исследования защищенности информационных ресурсов с использованием технологии обнаруже-ния атак (Intrusion Detection);
• средства обеспечения централизованного управления системой информационной безопасности в соответствии с согла-сованной и утвержденной «Политикой безопасности компании».
Средства авторизации, разграничения доступа и защита
информации на файловом уровне Эти технологии позволяют скрыть конфиденциальную
информацию пользователя на жестком диске компьютера или на сетевых дисках путем кодирования содержимого файлов, каталогов и дисков. Доступ к данной информации осуществляется по предъявлению ключа, который может вводиться с клавиатуры, храниться и предоставляться со смарт-карты, HASP-ключей или USB-ключей и прочих токенов. Помимо вышеперечисленных функций указанные
СибАДИ
69
средства позволяют мгновенно «уничтожить» информацию при подаче сигнала «тревога» и при «входе под принуждением», а также блокировать компьютер в перерывах между сеансами работы.
Технологии токенов (смарт-карты, touch-memory, ключи для USB-портов, скрытые цифровые маркеры). Электронные ключи-жетоны (Token) являются средством повышения надежности защиты данных на основе гарантированной идентификации пользователя. Токены являются «контейнерами» для хранения персональных данных пользователя системы и некоторых его паролей. Основное преимущество токена заключается в том, что персональная информация всегда находится на носителе (смарт-карте, ключе и т.д.) и предъявляется только во время доступа к системе или компьютеру. Эта система находит всё новых и новых приверженцев, так как она позволяет унифицировать правила доступа и поместить на одном персональном электронном носителе систему паролей для доступа на различные устройства и системы кодирования и декодирования информации.
В настоящее время получают распространение токены с системой персональной аутентификации на базе биометрической информации, которая считывается с руки пользователя. Таким «ключом» может воспользоваться только тот пользователь, на которого настроен этот ключ. Скрытые цифровые маркеры представляют собой специальные программы, которые встраиваются в защищаемый объект, индивидуализируют его, защищая тем самым от подмены или исправления, или выполняют общие защитные функции от несанкционированного чтения или копирования.
Межсетевые экраны
Межсетевой экран (брандмауэр, Firewall) – программно-
аппаратная система межсетевой защиты, которая отделяет одну часть сети от другой и реализует набор правил для прохождения данных из одной части в другую. Границей является раздел между корпоративной локальной сетью и внешними интернет-сетями или различными частями локальной распределенной сети. Экран фильтрует текущий трафик, пропуская одни пакеты информации и отсеивая другие.
Межсетевой экран (МЭ) является одним из основных компонентов защиты сетей. Наряду с интернет-протоколом межсетевого обмена (Internet Security Protocol – IPSec) МЭ является
СибАДИ
70
одним из важнейших средств защиты, осуществляя надежную аутентификацию пользователей и защиту от НСД.
Настройки МЭ, т.е. решение пропускать или отсеивать пакеты информации, зависят от топологии распределенной сети и принятой политики информационной безопасности. В связи с этим политика реализации межсетевых экранов определяет правила доступа к ресурсам внутренней сети. Эти правила базируются на двух общих принципах – запрещать всё, что не разрешено в явной форме, и разрешать всё, что не запрещено в явной форме. Использование первого принципа дает меньше возможностей пользователям и охватывает жёстко очерченную область сетевого взаимодействия. Политика, основанная на втором принципе, является более мягкой, но во многих случаях она менее желательна, так как она предоставляет пользователям больше возможностей «обойти» МЭ и использовать запрещенные сервисы через нестандартные порты (User Data Protocol – UDP), которые не запрещены политикой безопасности.
Функциональные возможности МЭ охватывают следующие разделы реализации информационной безопасности:
– настройку правил фильтрации; – администрирование доступа во внутренние сети; – фильтрацию на сетевом уровне; – фильтрацию на прикладном уровне; – средства сетевой аутентификации; – ведение журналов и учет. Программно-аппаратные компоненты МЭ можно отнести к одной
из трёх категорий: фильтрующие маршрутизаторы, шлюзы сеансового уровня и шлюзы уровня приложений. Эти компоненты МЭ – каждый отдельно и в различных комбинациях – отражают базовые возможности МЭ и отличают их один от другого.
Фильтрующий маршрутизатор (Filter Router – FR) фильтрует IP-пакеты по параметрам полей заголовка пакета: IP-адрес отправителя, IP-адрес адресата, TCP/UDP-порт отправителя и TCP/UDP-порт адресата.
Фильтрация направлена на безусловное блокирование соединений с определенными хостами и/или портами – в этом случае реализуется политика первого типа.
Формирование правил фильтрации является достаточно сложным делом, к тому же обычно отсутствуют стандартизированные средства тестирования правил и корректности их исполнения. Возможности FR по реализации эффективной защиты ограничены, так как на сетевом
СибАДИ
71
уровне эталонной модели OSI обычно он проверяет только IP-заголовки пакетов.
К достоинствам применения FR можно отнести невысокую стоимость, гибкость формирования правил, незначительную задержку при передаче пакетов. Недостатки FR:
– отсутствует аутентификация конкретного пользователя; – указанную выше аутентификацию по IP-адресу можно
«обойти» путем замещения информации пользователя информацией злоумышленника, использующего нужный IP-адрес;
– внутренняя сеть «видна» из внешней; – правила фильтрации сложны в описании и верификации, они
требуют высокой квалификации администратора и хорошего знания протоколов TCP/UDP;
– нарушение работы ФМ приводит к полной незащищенности всех компьютеров, которые находятся за этим МЭ.
Шлюз сеансового уровня (Session Level Gateway – SLG) – активный транслятор TCP соединения. Шлюз принимает запрос авторизованного клиента на предоставление услуг, проверяет допустимость запрошенного сеанса (Handshaking), устанавливает нужное соединение с адресом назначения внешней сети и формирует статистику по данному сеансу связи.
После установления факта, что доверенный клиент и внешний хост являются «законными» (авторизованными) участниками сеанса, шлюз транслирует пакеты в обоих направлениях без фильтрации. При этом часто пункт назначения оговаривается заранее, а источников информации может быть много (соединение «один-ко-многим») – это, например, типичный случай использования внешнего Web-ресурса.
Используя различные порты, можно создавать разные конфигурации соединений, обслуживая одновременно всех пользователей, имеющих право на доступ к ресурсам сети. Существенным недостатком SLG является то, что после установления связи пакеты фильтруются только на сеансовом уровне модели OSI без проверки их содержимого на уровне прикладных программ. Авторизованный злоумышленник может спокойно транслировать вредоносные программы через такой шлюз. Таким образом, реализация защиты осуществляется в основном на уровне квитирования (Handshaking).
Шлюз уровня приложений (Application Layer Gateway – ALG). Для компенсации недостатков FR и SLG шлюзов в межсетевые экраны встраивают прикладные программы для фильтрации пакетов при соединениях с такими сервисами, как Telnet и FTP и пр. Эти
СибАДИ
72
приложения называются Proxy-службами, а устройство (хост), на котором работает служба, называется шлюзом уровня приложений. Шлюз исключает прямое взаимодействие между авторизованным пользователем и внешним хостом. Зафиксировав сетевой сеанс, шлюз останавливает его и вызывает уполномоченное приложение для реализации запрашиваемой услуги – Telnet, FTP, WWW или E-mail. Внешний пользователь, который хочет получить услугу соединения в сети, соединяется вначале с ALG, а затем, пройдя предусмотренные политикой безопасности процедуры, получает доступ к нужному внутреннему узлу (хосту). Преимущества такой технологии:
– уполномоченные приложения вызывают только те службы, которые прописаны в сфере их действия, исключая все остальные, которые не отвечают требованиям информационной безопасности в контексте запрашиваемой услуги;
– уполномоченные приложения обеспечивают фильтрацию протокола – например, некоторые ALG могут быть настроены на фильтрацию FTP соединения и запрещают при этом выполнение команды <FTP put>, что однозначно не позволяет передавать информацию на анонимный FTP-сервер;
– шлюзы прикладного уровня, как правило, фиксируют в специальном журнале выполняемые сервером действия и в случае необходимости сообщают сетевому администратору о возможных коллизиях и попытках проникновения;
– структура внутренней сети не видна из интернет-сети, шлюз осуществляет надежную аутентификацию и регистрацию, правила фильтрации просты, так как экран пропускает прикладной трафик, предназначенный только для шлюза прикладного уровня, блокируя весь остальной.
Как показывает практика, защита на уровне приложений позволяет дополнительно осуществлять другие проверки в системе защиты информации, а это снижает опасность «взлома» системы, имеющей «прорехи» в системе безопасности.
На рис. 4.1 показан вариант защиты локальной сети на базе программно-аппаратного решения – межсетевого экрана Cisko 2610 & PIX Firewall 520 компании Cisco Systems.
Отличительной особенностью этого варианта является специальная ОС реального времени, а высокая производительность реализуется на базе алгоритма адаптивной безопасности (Adaptive Security Algorithm – ASA).
СибАДИ
73
Рис. 4.1. Использование комплекса «маршрутизатор-файервол» Приведенное решение имеет несомненные достоинства: – высокая производительность и пропускная способность до 4
Гб/с; – возможность поддержки до 256 тысяч одновременных сессий; – объединение преимуществ пакетного и прикладного шлюзов,
простота и надежность в установке и эксплуатации, возможность сертификации.
Антивирусные средства
К вредоносному программному обеспечению относятся сетевые
черви, файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.
Сетевые черви. Основным признаком, по которому типы червей различаются между собой, является способ распространения червя – каким способом он передает свою копию на удаленные компьютеры. Другими признаками различия червей между собой являются способы запуска копии червя на заражаемом компьютере, методы внедрения в систему, а также полиморфизм и прочие характеристики, присущие и другим типам вредоносного ПО. Например, к категории почтовых червей ( E-mail-Worm) относят те из них, которые для своего распространения используют электронную почту.
Классические компьютерные вирусы. К данной категории относятся программы, распространяющие свои копии по ресурсам
СибАДИ
74
локального компьютера с целью последующего запуска своего кода при каких-либо действиях пользователя или дальнейшего внедрения в другие ресурсы компьютера. В отличие от червей, вирусы не используют сетевых сервисов для проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если зараженный объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:
– при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
– вирус скопировал себя на съёмный носитель или заразил файлы на нем;
– пользователь отослал электронное письмо с зараженным вложением.
Многие табличные и графические редакторы, системы проектирования, текстовые процессоры имеют свои макроязыки (макросы) для автоматизации выполнения повторяющихся действий. Эти макроязыки часто имеют сложную структуру и развитый набор команд. Макровирусы являются программами на макроязыках, встроенных в такие системы обработки данных. Для своего размножения вирусы этого класса используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие.
Скрипт-вирусы являются подгруппой файловых вирусов, созданных на различных скрипт-языках (VBS, JS, BAT, PHP и т.д.). Они либо заражают другие скрипт-программы (командные и служебные файлы MS Windows или Linux), либо являются частями многокомпонентных вирусов. Также данные вирусы могут заражать файлы других форматов (например, HTML), если в них возможно выполнение скриптов.
Троянские программы. В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и её передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях. Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для массированных DoS-атак на удалённые ресурсы сети).
СибАДИ
75
Хакерские утилиты и прочие вредоносные программы К данной категории относятся: – утилиты автоматизации создания вирусов, червей и троянских
программ (конструкторы); – программные библиотеки, разработанные для создания
вредоносного ПО; – хакерские утилиты сокрытия кода зараженных файлов от
антивирусной проверки (шифровальщики файлов); – «злые шутки», затрудняющие работу с компьютером; – программы, сообщающие пользователю заведомо ложную
информацию о своих действиях в системе; – прочие программы, тем или иным способом намеренно
наносящие прямой или косвенный ущерб компьютерам ИС. К прочим вредоносным относятся разнообразные программы,
которые не представляют угрозы непосредственно компьютеру, на котором исполняются, а разработаны для создания других вирусов или троянских программ, организации DoS-атак на удаленные серверы, взлома других компьютеров и т. п.
Для защиты от всех видов вредоносного ПО в России используются главным образом два проверенных качественных антивирусных пакета: Dr.WEB и «Антивирус Касперского». Эти продукты имеет свою линейку, ориентированную на разные сферы применения, – для использования на локальных компьютерах, для малого и среднего бизнеса, для крупных корпоративных клиентов, для защиты локальных сетей, для почтовых, файловых серверов, серверов приложений.
Системное применение лицензионных антивирусных средств существенно уменьшает опасность «вирусного» заражения.
Защищенные виртуальные частные сети
Для защиты информации, передаваемой по открытым каналам
связи, поддерживающим протоколы TCP/IP, существует ряд программных продуктов, предназначенных для построения защищенных виртуальных частных сетей (Virtual Private Network – VPN) на основе международных стандартов IPSec. Виртуальные сети создаются чаще всего на базе арендуемых и коммутируемых каналов связи в сетях общего пользования (Интернет). Для небольших и средних компаний они являются хорошей альтернативой изолированным корпоративным сетям, так как обладают очевидными преимуществами: высокая гарантированная надёжность, изменяемая
СибАДИ
76
топология, простота конфигурирования, лёгкость масштабирования, контроль всех событий и действий в сети, относительно невысокая стоимость аренды каналов и коммуникационного оборудования. Продукты работают в операционных системах Windows и Solaris и обеспечивают:
– защиту (конфиденциальность, подлинность и целостность) передаваемой по сетям информации;
– контроль доступа в защищаемый периметр сети; – идентификацию и аутентификацию пользователей сетевых
объектов; – централизованное управление политикой корпоративной
сетевой безопасности. Организация защиты с использованием технологии
виртуальных частных сетей (Virtual Private Network – VPN) подразумевает формирование защищенного «виртуального туннеля» между узлами открытой сети, доступ в который невозможен для потенциального злоумышленника. Преимущества этой технологии очевидны: аппаратная реализация довольно проста, нет необходимости создавать или арендовать дорогие выделенные физические сети, можно использовать открытый дешевый Интернет, скорость передачи данных по туннелю такая же, как по выделенному каналу.
В настоящее время существует четыре вида архитектуры организации защиты информации на базе применения технологии VPN.
Локальная сеть VPN (Local Area Network-VPN). Обеспечивает защиту потоков данных и информации от НСД внутри сети компании, информационную безопасность на уровне разграничения доступа, системных и персональных паролей, безопасности функционирования ОС, ведение журнала коллизий, шифрование конфиденциальной информации.
Внутрикорпоративная сеть VPN (Intranet-VPN). Обеспечивает безопасные соединения между внутренними подразделениями распределенной компании. Для такой сети подразумевается:
– использование мощных криптографических средств шифрования данных;
– обеспечение надежности работы критически важных транзакционных приложений, СУБД, электронной почты, Telnet, FTP;
– скорость и производительность передачи, приема и использования данных;
– гибкость управления средствами подключения новых пользователей и приложений.
СибАДИ
77
Сети VPN с удаленным доступом (Internet-VPN) обеспечивает защищенный доступ удаленных подразделений распределённой компании и мобильных сотрудников и отделов через открытое пространство Интернета. Такая сеть организует:
– адекватную систему идентификации и аутентификации удалённых и мобильных пользователей;
– эффективную систему управления ресурсами защиты, находящимися в географически распределенной информационной системе.
Межкорпоративная сеть VPN (Extranet-VPN) обеспечивает эффективный защищённый обмен информацией с поставщиками, партнёрами, филиалами корпорации в других странах. Предусматривает использование стандартизированных и надёжных VPN-продуктов, работающих в открытых гетерогенных средах и обеспечивающих максимальную защищенность конфиденциального трафика, включающего аудио- и видеопотоки информации – конфиденциальные телефонные переговоры и телеконференции с клиентами.
Можно выделить два основных способа технической реализации виртуальных туннелей:
– построение совокупности соединений (Frame Relay или Asynchronous Transfer Mode) между двумя нужными точками единой сетевой инфраструктуры, надежно изолированной от других пользователей механизмом организации встроенных виртуальных каналов;
– построение виртуального IP-туннеля между двумя узлами сети на базе использования технологии туннелирования, когда каждый пакет информации шифруется и «вкладывается» в поле нового пакета специального вида (конверт), который и передается по IP-туннелю – при этом пакет протокола более низкого уровня помещается в поле данных пакета более высокого уровня.
VPN-туннель обладает всеми свойствами защищенной выделенной линии, проходящей через открытое пространство Интернета. Особенность технологии туннелирования состоит в том, что она позволяет зашифровать не только поле данных, а весь исходный пакет, включая заголовки. Это важная деталь, так как из заголовка исходного пакета злоумышленник может извлечь данные о внутренней структуре сети – например, информацию о количестве локальных сетей и узлов и их IP-адресах. Зашифрованный пакет инкапсулируется в другой пакет с открытым заголовком, который транспортируется по соответствующему туннелю. При достижении
СибАДИ
78
конечной точки туннеля из внешнего пакета извлекается внутренний, расшифровывается, и его заголовок используется для дальнейшей передачи во внутренней сети или подключенному к локальной сети мобильному пользователю (рис. 4.2).
Рис. 4.2. Туннельная схема организации VPN-сети Средства построения защищенной VPN достаточно
разнообразны. Они могут включать маршрутизаторы с механизмом фильтрации пакетов (Filtering Router), многофункциональные межсетевые экраны (Multifunction Firewall), промежуточные устройства доступа в сеть (Proxy Server), программно-аппаратные шифраторы (Firmware Cryptograph). По технической реализации можно выделить следующие основные виды средств формирования VPN:
– специализированные программные решения, дополняющие стандартную ОС функциями VPN;
– программно-аппаратное устройство на базе специа-лизированной ОС реального времени, имеющее два или несколько сетевых интерфейсов и аппаратную криптографическую поддержку;
– средства VPN, встроенные в стандартный маршрутизатор или коммутатор;
– расширение охвата защищаемой зоны канала передачи и приёма данных за счет дополнительных функций межсетевого экрана.
Туннели VPN создаются для различных типов конечных пользователей: это может быть локальная сеть (Local Area Network – LAN) со шлюзом безопасности (Security Gateway) или отдельные компьютеры удаленных или мобильных пользователей с сетевым
СибАДИ
79
программным обеспечением для шифрования и аутентификации трафика – клиенты VPN.
Через шлюз безопасности проходит весь трафик для внутренней корпоративной сети. Адрес шлюза VPN указывается как внешний адрес входящего туннелируемого пакета, а расшифрованный внутренний адрес пакета является адресом конкретного хоста за шлюзом.
Наиболее простым и относительно недорогим способом организации VPN-канала является схема, в соответствии с которой защищенный туннель прокладывается только в открытой сети для транспортировки зашифрованных пакетов. В качестве конечных точек туннеля выступают провайдеры интернет-сети или пограничные межсетевые экраны (маршрутизаторы) локальной сети. Защищенный туннель формируется компонентами виртуальной сети, функционирующими на узлах, между которыми он создается. В настоящее время активно функционирует рынок VPN-средств и используемых решений для различных программных продуктов.
VPN на базе сетевых операционных систем. Для формирования виртуальных защищённых туннелей в IP-сетях сетевая операционная система Windows использует протокол PPTP (Point-to-Point Transfer Protocol). Туннелирование информационных пакетов производится инкапсулированием и шифрованием (криптоалгоритм RSA RC4) стандартных блоков данных фиксированного формата (РРР Data Frames) в IP-дейтаграммы, которые и передаются в открытых IP-сетях. Данное решение является недорогим, и его можно эффективно использовать для формирования VPN-каналов внутри локальных сетей, домена Windows систем или для построения Internet- и Extranet- VPN для компаний малого и среднего бизнеса.
В России лидером на рынке VPN-продуктов является компания Cisko Systems. Для организации туннеля маршрутизаторы Cisko используют протокол L2TP канального уровня эталонной модели OSI, разработанного на базе «фирменных» протоколов Cisko L2F и Microsoft PPTP, а также протокола сетевого уровня IPSec, созданного ассоциацией «Проблемная группа проектирования Интернет (Internet Engineering Task Force – IETF). Эффективно применяется Cisko VPN Client, который предназначен для создания защищенных соединений Point-to Point между удаленными рабочими станциями и маршрутизаторами Cisko, что позволяет построить практически все виды VPN-соединений в сетях.
VPN на базе межсетевых экранов. Эта технология считается наиболее сбалансированной и оптимальной с точки зрения обеспечения комплексной безопасности КИС и её защиты от атак из
СибАДИ
80
внешней открытой сети. В России нашел широкое применение программный продукт Check Point Firewall-1/VPN-1 компании Check Point Software Technologies. Это решение позволяет построить глубоко комплексную эшелонированную систему защиты ИС. В состав продукта входят: Check Point Firewall-1, набор средств для формирования корпоративной виртуальной частной сети Check Point VPN-1, средства обнаружения атак и вторжений Real Secure, средства управления полосой пропускания информационных пакетов Flood Gate, средства VPN-1 Secure Remote, VPN-1 Appliance и VPN-1 Secure Client для последовательного построения Localnet/Intranet/Internet/Extranet VPN-каналов. Весь набор продуктов Check Point VPN-1 построен на базе открытых стандартов IPSec, имеет развитую систему идентификации и аутентификации пользователей, взаимодействует с внешней системой распределения открытых ключей PKI, поддерживает цетрализованную систему управления и аудита.
На российском рынке можно указать два продукта, получивших достаточно широкую известность, – это криптографический комплекс «Шифратор IP-пакетов» производства объединения МО ПН ИЭИ и ряд программных продуктов ЗАСТАВА компании ЭЛВИС+. Самым быстрорастущим сегментом рынка систем информационной безопасности, по исследованиям IDC, Price Waterhouse Cooper и Gartner Group, являются системы блокировки корпоративных каналов связи. Быстрее всего растут продажи систем защиты от утечек внутренней информации (Intrusion Detection and Prevention – IDP), которые позволяют контролировать трафик электронной почты и доступ к внешним Интернет-ресурсам.
Системы шифрования с открытым криптографическим
интерфейсом Системы шифрования с открытым криптографическим
интерфейсом позволяют использовать различные реализации криптографических средств защиты в ИС. Это даёт возможность использования продуктов в любой стране мира в соответствии с принятыми национальными стандартами.
Криптографические средства позволяют реализовать следующие функции информационной защиты:
• идентификация (отождествление) объекта или субъекта информационной системы;
СибАДИ
81
• аутентификация (проверка подлинности) объекта или субъекта сети;
• контроль/разграничение доступа к ресурсам системы; • обеспечение и контроль целостности данных. Общая схема простой (симметричной) криптосистемы показана на
рис. 4.3.
Рис. 4.3. Схема симметричной криптосистемы с закрытым ключом
Отправитель сообщения генерирует открытый текст сообщения
<М> для передачи по незащищенному каналу связи. Для того чтобы передаваемый текст невозможно было прочитать, отправитель преобразует (шифрует) его с помощью алгоритма обратимого преобразования <Еk>, формируя зашифрованный текст (криптограмму) <С=Еk(М)>. Адресат, получив криптограмму, применяет известное ему обратное преобразование <D=Еk
-1 > и получает исходный открытый текст М: <Dk (c) = Еk
-1 (Еk(М)) = M>. Множество преобразований {Ек}i образуют семейства криптоалгоритмов {Еk}N. Параметр К, с помощью которого производится преобразование текста сообщения, называется ключом. Такой ключ, по сути, является уникальным параметром – только его владелец (группа владельцев) может использовать этот ключ. Таким образом, криптографическая система по определению – это однопараметрическое семейство {Ek}k k→K обратимых преобразований <Ek: M → C> из пространства {М} сообщений открытого текста в пространство {С} зашифрованных текстов.
Параметр шифрования К (ключ) выбирается из конечного множества {К}, называемого пространством ключей.
Существует два класса криптосистем – симметричные (с одним ключом) и асимметричные (с двумя ключами). Симметричные криптосистемы (см. рис. 4.3) используют один и тот же ключ в процедурах шифрования и расшифровки текста, и поэтому такие системы называются системами с секретным ключом. Ключ должен быть известен только тем, кто занимается отправкой и получением
СибАДИ
82
сообщений. Таким образом, задача обеспечения конфиденциальности сводится к обеспечению конфиденциальности ключа. Передача такого ключа от адресата пользователю может быть выполнена только по защищенному каналу связи, что является существенным недостатком симметричной системы шифрования. Такой вид шифрования наиболее часто используется в закрытых локальных сетях, в том числе входящих в ИС, для предотвращения НСД в отсутствие владельца ресурса. Таким способом можно шифровать как отдельные тексты и файлы, так и логические и физические диски.
Асимметричные криптосистемы используют различные ключи (рис. 4.4):
– открытый ключ К1 используется для шифрования данных и вычисляется по параметрам секретного ключа К2;
– секретный ключ К2 используется для расшифровки информации, зашифрованной с помощью парного ему открытого ключа К1.
Рис.4.4. Обобщенная схема асимметричной криптосистемы
с открытым ключом
Открытый и секретный ключи и К2 генерируются попарно, при этом ключ К2 остается у его владельца и должен быть надежно защищен от НСД. Копии ключа К1 распространяются среди пользователей сети, с которыми обменивается информацией обладатель секретного ключа К2. Таким образом, в асимметричной криптосистеме ключ К1 свободно передается по открытым каналам связи, а секретный ключ К2 хранится на месте его генерации.
Криптографические методы позволяют надежно контролировать целостность как отдельных порций данных, так и их наборов (таких как поток сообщений); определять подлинность источника данных; гарантировать невозможность отказаться от совершенных действий ("неотказуемость").
СибАДИ
83
В основе криптографического контроля целостности лежат два понятия:
– хэш-функция; – электронная цифровая подпись (ЭЦП). Хэш-функция – это трудно обратимое преобразование данных
(односторонняя функция), реализуемое средствами шифрования со связыванием блоков. Результат шифрования последнего блока (зависящий от всех предыдущих) и служит результатом хэш-функции.
Контроль целостности данных сводится к проверке равенства h(T') = h(T), (4.1)
где h – хэш-функция, вычисленный результат ее применения к исходным данным (дайджест); T' – проверяемые данные. Если равенство (4.1) выполняется, то T' = T.
Алгоритм формирования электронной цифровой подписи (ЭЦП) основан на том, что в качестве данных для трудно обратимого преобразования используется документ. Криптостойкость такого метода шифрования состоит в невозможности подобрать документ T', который обладал бы требуемым значением хэш-функции. Параметры вычисления хэш-функции h являются семейством ключей {К}N.
Наиболее известными симметричными алгоритмами шифрования в настоящее время являются DES (Data Encryption Standard), IDEA (International Data Encryption Algorithm), RC2, RC5, CAST, Blowfish. Асимметричные алгоритмы – RSA (Rivest, Shamir, Adleman), алгоритм Эль Гамаля, криптосистема ЕСС на эллиптических кривых, алгоритм открытого распределения ключей Диффи-Хеллмана. Алгоритмы, основанные на применении хэш-функций – MD4 (Message Digest 4), MD5 (Message Digest 5), SHA (Secure Hash Algorithm).
В России установлен единый алгоритм криптографических преобразований данных для систем обработки и передачи данных в сетях, который установлен стандартом ГОСТ 28147-89. Другой российский стандарт – ГОСТ Р 34.11-94 – определяет алгоритм и процедуру вычисления хэш-функций для любых последовательностей двоичных символов, используемых в криптографических методах защиты информации. Отечественный стандарт ГОСТ Р 34.10-94 является стандартом, определяющим алгоритм формирования ЭЦП.
СибАДИ
84
Технологии обнаружения атак (Intrusion Detection) Постоянное изменение сети (появление новых рабочих
станций, реконфигурация программных средств и т.п.) может привести к появлению новых уязвимых мест, угроз и возможностей атак на информационные ресурсы и на саму систему защиты. В связи с этим особенно важно своевременное их выявление и внесение изменений в соответствующие настройки информационного комплекса и его подсистем и, в том числе в подсистему защиты. Это означает, что рабочее место администратора системы должно быть укомплектовано специализированными программными средствами обследования сетей и выявления уязвимых мест (наличия «дыр») для проведения атак «извне» и «снаружи», а также комплексной оценки степени защищенности от атак нарушителей. Например, в состав продуктов ЭЛВИС+, Net Pro VPN входят наиболее мощные среди обширного семейства коммерческих пакетов продукты компании Internet Security Systems (Internet Scanner и System Security Scanner). В продукты компании Cisco Systems – система обнаружения несанкционированного доступа NetRanger и сканер уязвимости системы безопасности NetSonar (www.extrim.ru/instruments_vpn.asp).
Инфраструктура открытых ключей (PKI – Public Key
Infrastruture)
Основными функциями PKI являются: поддержка жизненного цикла цифровых ключей и сертификатов (т.е. их генерация, распределение, отзыв и пр.), поддержка процесса идентификации и аутентификации пользователей и реализация механизма интеграции существующих приложений и всех компонентов подсистемы безопасности. Несмотря на существующие международные стандарты, определяющие функционирование системы PKI и способствующие ее взаимодействию с различными средствами защиты информации, к сожалению, не каждое средство информационной защиты, даже если его производитель декларирует соответствие стандартам, может работать с любой системой PKI.
Распределение ключей – ответственный процесс в управлении ключами. К нему предъявляются следующие требования:
– оперативность и точность распределения; – скрытность распределяемых ключей.
Распределение ключей между пользователями ИС реализуется двумя способами :
СибАДИ
85
– использованием одного или нескольких центров распределения ключей;
– прямым обменом сеансовыми ключами между пользователями сети.
Недостаток первого подхода состоит в том, что центру распре- деления ключей известно, кому и какие ключи распределены, и это позволяет читать все сообщения, передаваемые по сети. Возможные злоупотребления существенно влияют на защиту. При втором подходе проблема состоит в том, чтобы надежно удостоверить подлинность субъектов сети. В обоих случаях должна быть обеспечена подлинность сеанса связи. Это можно осуществить, используя механизм запроса - ответа или механизм отметки времени. Механизм запроса - ответа заключается в следующем.
Пользователь А включает в посылаемое сообщение (запрос) для пользователя В непредсказуемый элемент (например, случайное число). При ответе пользователь В должен выполнить некоторую операцию с этим элементом (например, добавить единицу), что невозможно осуществить заранее, поскольку неизвестно, какое случайное число придет в запросе. После получения результата действий пользователя В (ответ) пользователь А может быть уверен, что сеанс является подлинным.
Механизм отметки времени предполагает фиксацию времени для каждого сообщения. Это позволяет каждому субъекту сети оп- ределить, насколько старо пришедшее сообщение, и отвергнуть его, если появится сомнение в его подлинности. При использовании отметок времени необходимо установить допустимый временной интервал задержки.
В обоих случаях для защиты элемента контроля используют шифрование, чтобы быть уверенным, что ответ отправлен не зло- умышленником и не изменен штемпель отметки времени.
Следующий этап – подтверждение подлинности участников. На этом этапе осуществляется обмен удостоверяющими сообще- ниями, чтобы иметь возможность выявить любую подмену или по- втор одного из предыдущих вызовов.
При использовании асимметричных методов шифрования (и, в частности, электронной цифровой подписи) необходимо иметь гарантию подлинности пары (имя пользователя, открытый ключ пользователя). Для решения этой задачи используются цифровые сертификаты и удостоверяющие центры.
Удостоверяющий центр – это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами
СибАДИ
86
пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.
Цифровые сертификаты обладают следующими свойствами: – любой пользователь, знающий открытый ключ удостоверяющего
центра, может узнать открытые ключи других клиентов центра и проверить целостность сертификата;
– никто, кроме удостоверяющего центра, не может модифи-цировать информацию о пользователе без нарушения целостности сертификата.
Процедура генерации криптографических ключей и управления ими могут порождаться любым из следующих способов:
– ключи может генерировать сам пользователь. В таком случае секретный ключ не попадает в руки третьих лиц, однако нужно решать задачу безопасной связи с удостоверяющим центром;
– ключи генерирует доверенное лицо. В таком случае приходится решать задачи безопасной доставки секретного ключа владельцу и предоставления доверенных данных для создания сертификата;
– ключи генерируются удостоверяющим центром. В таком случае остается только задача безопасной передачи ключей владельцу.
Подсистема информационной безопасности КИС Распределенная информационная система предприятия,
организации или компании, чаще называемая корпоративной информационной системой (КИС), состоит из ряда функциональных подсистем: подсистема сбора данных, подсистема технологической обработки данных, информационно-аналитическая подсистема или подсистема поддержки принятия решения и т. д. Организация защиты информации, разграничение прав пользователей, организация доступа пользователей из внешних сетей к ресурсам КИС – все это задачи подсистемы информационной безопасности (подсистемы ИБ). При построении КИС необходимо интегрировать данные подсистемы в единый программно-аппаратный комплекс, обеспечивающий эффективное решение всех целевых задач.
Структура подсистемы информационной безопасности, интегрированная в программно-аппаратные средства КИС, может быть представлена в виде четырехуровневой технологической модели подсистемы ИБ [3], изображенной на рис. 4.5.
СибАДИ
87
Рис. 4.5. Структура модели подсистемы информационной безопасности
Нижний уровень подсистемы ИБ базируется на средствах
защиты серверов, рабочих станций, персональных компьютеров, коммуникационных устройствах, обеспечивающих защиту внутренней среды КИС от внешних воздействий и несанкционированного доступа к ресурсам системы. Здесь могут использоваться защитные средства операционных систем, антивирусные пакеты, средства и устройства аутентификации пользователя, средства криптографической защиты паролей и данных прикладного уровня. Для государственных структур на этом уровне используются сертифицированные программно-аппаратные комплексы защиты, такие как Secret Net («Информзащита»), Dallas Lock («Конфидент»), «Аккорд» (ОКБ САПР), электронные замки «Соболь» («Информзащита»), USB-токены («Аладдин») и прочие.
Средства информационной защиты второго уровня – это средства разграничения доступа и защита внутренней сети КИС. Эти средства, как правило, включают:
• средства безопасности сетевых ОС; • средства аутентификации пользователей; • средства физического и программного разграничения доступа
к распределенным и разделяемым информационным ресурсам; • средства защиты домена локальной сети; • средства промежуточного доступа (Proxy Server) и межсетевые
экраны (Firewall); • средства организации виртуальных локальных подсетей
(Virtual Local Area Network – VLAN); • средства обнаружения атаки и уязвимостей в системе
защиты локальных сетей. На третьем уровне защиты КИС используются технологии
защищенных виртуальных сетей (Virtual Private Networks –VPN). VPN-технологии часто интегрируются со средствами первого и второго
СибАДИ
88
уровней. Такой защищенный VPN-канал может простираться не только до маршрутизаторов доступа и пограничных межсетевых экранов, но и до серверов и рабочих станций локальной сети.
Четвертый уровень защиты КИС – организация защищенного межкорпоративного обмена в среде электронного бизнеса (eBusiness). Методологической и технологической основой такой защиты являются методы и технологии управления публичными ключами и сертификатами криптографической защиты (Public Key Infrastructure – PKI). Суть этих технологий состоит в реализации двух глобальных функций: генерации и корректном распространении ключей и сертификатов и отслеживании их жизненного цикла. Базой для реализации средств защиты будут электронная цифровая подпись (Electronic Digital Signature – EDS) и VPN-технологии.
Два нижних уровня защиты являются достаточно традиционными, так как они предназначены для обеспечения безопасности конкретной физически реализованной КИС. Верхние два уровня относятся к обеспечению безопасности передачи данных и электронного бизнеса, который осуществляется уже не в физическом, а в виртуальном пространстве, при этом VPN-технологии обеспечивают защищенный обмен данными в межкорпоративном пространстве, а PKI-технологии обеспечивают VPN-устройства ключами и сертификатами.
Вариант реализации подсистемой ИБ функций разграничения доступа к информационным и вычислительным ресурсам КИС [20] представлен на рис. 4.6 .
На клиентском уровне вход в систему и защита ресурсов рабочего места пользователя в этом варианте обеспечиваются защитными средствами ОС MS Windows.
На уровне разграничения доступа и защиты внутренней сети используется сервер доступа (Access Server). Сервер реализует функции аутентификации программными средствами Kerberos, протоколирование сеансов, контроль доступа к информационным и вычислительным ресурсам системы.
Средствами VPN (VPN1,VPN2) обеспечивается отделение подсети пользователей от уровня серверов доступа и приложений.
СибАДИ
89
Рис.4.6. Схема разграничения доступа к информационным
и вычислительным ресурсам КИС Верхний уровень представленной структуры подсистемы ИБ
включает: – Web-серверы для связи пользователей в незащищенной сети; – серверы приложений (application servers), обеспечивающих
унифицированные средства представления информации и функционирование всех других подсистем информационной системы предприятия;
– сервера базы данных (SBO), реализующего функции управления архивом базы данных (Date Base Archive).
Представленная архитектура позволяет скрыть и тем самым обезопасить от конечного пользователя сложность внутренней структуры системы и максимально оптимизировать загрузку вычислительных средств КИС.
В зависимости от масштаба деятельности предприятия, государственного учреждения или компании, свойств информационных активов методы и средства обеспечения ИБ в распределенных ИС могут различаться. Комплексное и избирательное применение всех имеющихся на рынке программно-аппаратных средств может дать эффективные способы решения задачи защиты информации, отвечающие на любые угрозы безопасности распределенным информационным системам.
СибАДИ
90
4.3. Информационная безопасность ERP-систем
В ERP-системе как в разновидности распределенной автоматизированной системы предприятия сосредоточено большое количество информации, необходимой для повседневной деятельности сотрудников ( финансовая информация, данные о клиентах, кадровые данные и прочее). Очевидно, что многие из этих данных являются конфиденциальной информацией и их раскрытие может принести предприятию значительные убытки. Касаясь вопросов информационной безопасности в ERP -системах, можно выделить следующие цели и задачи [6]:
• уменьшение рисков потери/раскрытия информации; • соответствие государственным и внутрикорпоративным нормам
защиты информации; • защита целостности данных; • гарантия конфиденциальности внутренней информации
предприятия. Как и какими средствами решать перечисленные задачи, зависит
от специфики архитектуры ERP-систем. Как уже отмечалось ранее, типичная ERP-система имеет трехуровневую клиент-серверную архитектуру – это:
– уровень базы данных (БД); – уровень приложений; – уровень представления (пользовательский). Хранение данных осуществляется в базе данных (уровень БД), их
обработка — на сервере приложений (уровень приложений) и, наконец, непосредственное взаимодействие с пользователем происходит через программу «Клиент» с графическим интерфейсом (уровень представления). В роли такой клиентской программы часто используется WEB-браузер.
Обеспечение той или иной степени защищенности информации возможно на каждом из этих уровней, вопрос лишь в требованиях, предъявляемых к конечной системе. Связующей средой для компонентов, находящихся на различных архитектурных уровнях ERP, является сетевая инфраструктура. В подсистеме информационной безопасности условно можно выделить следующие основные аспекты:
– сетевая безопасность; – безопасность БД; – безопасность на уровне сервера приложений; – защита информации на клиентском компьютере.
СибАДИ
91
Сетевая безопасность ERP Многие современные ERP-системы, например SAP NetWeaver или
Oracle e-Business Suite, применяют WEB-стандарты для построения взаимодействия своих компонентов. В этом случае для защиты трафика можно использовать протокол HTTPS. Дополнительно к шифрованию трафика HTTPS обеспечит аутентификацию пользователя на основе цифровых сертификатов.
SAP NetWeaver и Oracle e-Business Suite позволяют привязывать сертификат к учетной записи пользователя ERP-системы. Таким образом, аутентификация пользователей в ERP может быть построена на основе уже имеющейся на предприятии инфраструктуры PKI. Когда речь заходит о криптографии, встает вопрос о том, какие именно криптографические алгоритмы следует использовать. Для многих предприятий этот вопрос решается однозначно — в соответствии с юридическими требованиями необходимо применять алгоритмы ГОСТ и, следовательно, российские сертифицированные криптографические средства защиты.
Для использования HTTPS на основе западных алгоритмов (DES, RSA и т. д.), как правило, достаточно встроенных средств операционной системы. Так, в MS Windows уже имеется встроенная поддержка HTTPS на основе DES, RSA и других западных алгоритмов. В штатную поставку многих ERP-систем не входят российские сертифицированные средства защиты информации, так как большая часть ERP-систем создается зарубежными компаниями — SAP, Oracle и др. Если в ERP-системах зарубежного производства требуется российская криптография, то необходимо дополнительное программное обеспечение. На отечественном рынке представлено несколько подобных решений. Например, решения компании ЛИССИ (рис.4. 7):
На рис. 4.7 обозначено: – LISSI-CSP — поддержка криптографии в ОС Windows; – LISSI-SChannel — поддержка HTTPS на основе ГОСТ в ОС
Windows; – LIRSSL — поддержка криптографии на основе OpenSSL; – LIRJAVA — поддержка криптографии и протокола TLSv1 на
платформе JAVA.
СибАДИ
92
Рис.4.7. Вариант использования криптографических средств в ERP-системе
На платформе SAP NetWeaver помимо HTTPS для защиты трафика
и аутентификации пользователей также может быть предусмотрен протокол Secure Network Communication (SNC). На российском рынке представлено решение LISSI-SNC, обеспечивающее аутентификацию пользователей по ГОСТ Р 34.10-2001, а также шифрование и контроль целостности трафика в соответствии с ГОСТ 28147-89.
Безопасность баз данных
Одним из важнейших компонентов ERP-системы можно считать
базу данных. Базы данных для ERP-системы можно разместить на том же физическом сервере, на котором работает и сервер приложений, но, как правило, для БД выделяется один или несколько отдельных серверов. Целесообразно программно и физически изолировать эти серверы от остальной компьютерной инфраструктуры компании. Для сетевой изоляции следует выделить все серверы БД в один изолированный сегмент локальной корпоративной сети и предоставить доступ к этому сегменту только серверам приложений. Таким образом, исключается возможность доступа по сети напрямую к БД системы.
СибАДИ
93
Операционная система, под которой работает СУБД, должна быть настроена таким образом, чтобы доступ к БД был открыт только серверу приложений. Ни один пользователь ERP не должен иметь прямого доступа к базе данных. Технические компоненты сервера БД необходимо поместить в отдельное помещение с контролем доступа.
Безопасность на уровне сервера приложений
«Сердце» ERP-системы — это сервер приложений. Именно на нем
происходит обработка данных, и именно сервер приложений обеспечивает авторизацию пользователей, то есть запрещает или разрешает доступ к различным информационным объектам ERP-системы. Например, для каждого пользователя SAP R/3 в системе хранится своя учетная запись. Эта запись, помимо идентификатора и пароля, персональных данных и другой дополнительной информации, хранит роли, присвоенные данному пользователю. На основе назначенных пользователю ролей сервер приложений дает доступ к выполнению различных программ (транзакций в терминах SAP R/3). Но детализация авторизации не ограничивается доступом к одним транзакциям и запретом доступа к другим. Ведь в рамках одной и той же транзакции можно получать доступ к различным данным. К примеру, пользователь может иметь доступ к бухгалтерской отчетности своего отдела, но не чужого, хотя доступ к этим данным происходит через одну и ту же транзакцию.
Назначенная пользователю роль состоит из набора полномочий, и наличие необходимых полномочий проверяет сервер во время выполнения транзакции. Таким образом, наличие полномочий позволяет достичь необходимого уровня детализации в разграничении доступа. Следует заметить, что необходимые роли и соответствующие им полномочия должны быть основаны на четко определенной организационной структуре и бизнес-процессах, которые предприятие стремится автоматизировать за счет внедрения ERP-системы. Поэтому данные об организационной структуре должны быть доступны до начала проектирования набора необходимых ролей для пользователей.
СибАДИ
94
Защита информации на клиентском компьютере Последняя линия защиты информации в ERP-системе — это
непосредственно рабочее место пользователя, то есть клиентский компьютер. Статистика говорит, что большинство преступлений в сфере информационных технологий совершается самими сотрудниками фирмы, а не внешними злоумышленниками. Зачем ломиться через брандмауэр, пытаться установить различные троянские программы, если украсть информацию непосредственно на рабочем месте значительно проще?
Существует несколько потенциальных каналов утечки информации, которыми может воспользоваться злоумышленник, – это, например, устройства ввода/вывода информации и электронная почта.
Для выполнения каких – либо действий в ERP-системе пользователю необходимо войти сначала в операционную систему, а затем и в саму систему. Если злоумышленнику удалось войти в ERP- систему и он нашел нужные данные, ему требуется их скопировать или куда-то передать. Передать похищенную информацию можно через сеть, например, через электронную почту. Следовательно, для противодействия действиям злоумышленника необходима эффективная системы контроля доступа пользователей к средствам обработки и передачи информации.
Традиционная система предполагает, что у пользователя есть имя и пароль для входа в ОС, а также имя и пароль для входа в ERP-систему. Такой подход является преградой для злоумышленника, но имеет такие недостатки, как возможность подсмотреть пароль и то, что сложные пароли трудно держать в памяти. Такие пароли пользователи часто записывают на рабочем месте и найти их не составит труда для злоумышленника.
Альтернативой традиционному подходу в ERP-системе может быть использована аутентификация пользователя с помощью цифровых сертификатов на основе PKI и концепция Single Sign On (единый вход в систему), которая подразумевает, что для входа в систему пользователь проходит процедуру аутентификации только один раз.
Аутентификация пользователя при таком подходе выдвигает проблему хранения закрытого ключа к своему сертификату. Хранить его на рабочем компьютере? Но тогда доступ к нему может получить другой человек, не говоря уже о том, что в современных ERP-системах пользователь не привязан к рабочему месту и может работать, используя различные терминалы.
СибАДИ
95
Для хранения закрытого ключа используют специальные запоминающие устройства (токен), которые пользователь носит с собой. В роли таких устройств выступают, например, eToken, ruToken или «Шипка». В этом случае аутентификация является двухфакторной. Наличие двух факторов аутентификации заключается в том, что, с одной стороны, пользователю необходимо иметь при себе свой токен для входа в систему, а с другой – ему требуется знать PIN-код для доступа к закрытому ключу на токене. Если злоумышленник подсмотрел пароль пользователя, он все равно не войдет в систему без токена. Точно так же если злоумышленник украл токен, то надо еще узнать PIN-код. Таким образом, появляется дополнительный фактор защиты.
При входе в OC пользователь предъявляет свой цифровой сертификат и вводит пароль или PIN-код для доступа к закрытому ключу. Затем тот же самый сертификат (или другой, находящийся на том же электронном ключе) используется и для входа в ERP-систему, причем повторный ввод PIN-кода уже не требуется.
Применение решений на основе PKI позволяет интегрировать идентификацию пользователей в ERP с другими информационными системами компании. В частности, такой подход позволяет избегать дублирования процедур аутентификации. В качестве примера подобных решений, представленных на российском рынке, можно привести продукты компании Aladdin — eToken SecurLogon для SAP R/3, eToken SecurLogon для Oracle E-Business Suite.
Защита терминальных устройств
Для защиты устройств ввода/вывода существуют различные
дополнительные программные средства, устанавливаемые непосредственно на клиентский компьютер. К числу таких программных средств относится, например, «Страж-НТ». Эта система позволяет контролировать доступ пользователя ко всем устройствам ввода/вывода информации — дисководам, принтерам, USB-портам. Можно обойтись и вообще без дополнительного ПО, просто не предусматривая установку дисководов и подобных устройств на клиентских терминалах. Перечисленные выше механизмы обеспечения защиты должны составлять основу системы безопасности ERP. Эти средства обеспечивают защиту на системном уровне — на уровне отдельных компонентов структуры ERP.
СибАДИ
96
Архитектурная безопасность
Архитектурная безопасность ERP-систем должна предусмотреть решение программно-техническим комплексом следующих задач:
– обеспечение необходимого уровня надежности; – управление средствами защиты; – исключение утечки информации по техническим каналам; – защита электронных документов. Большинство ERP-систем на предприятиях и компаниях должны
непрерывно работать и выполнять свои функции в течение 24 часов или как минимум в течение рабочего времени сотрудников. Простои в работе системы – это простой бизнес-процесса, который неизбежно приводит к материальным и финансовым потерям. Отсюда и высокие требования к надежности компонентов и ERP-системы в целом. Поскольку ни один производитель ПО или аппаратных средств не дает 100%-ной гарантии надежности своих средств, следует предусматривать процедуры восстановления работоспособности системы после сбоев или отказов. Необходимой частью проектов внедрения ERP-систем является разработка стратегий резервного копирования, восстановления после сбоев, горячей замены оборудования и т. д. Все эти процедуры должны быть определены до момента эксплуатации системы. Также необходимо прогнозировать объемы данных, накапливаемых в системе для предотвращения перегрузки в работе серверов и устройств, обеспечивающих ввод и вывод информации.
Так как ERP-системы представляют собой сложные системы с большим количеством пользователей, то основой эффективности управления безопасностью должна служить возможность централизованно изменять параметры политики безопасности, такие, например, как создание и удаление пользователей, присвоение прав пользователям, обновление ПО на клиентских компьютерах и т. д.
Централизованная система управления полномочиями
Учитывая то, что ERP-система чаще строится не как отдельная
монолитная система с одним сервером приложений, а как распределенный набор отдельных систем, необходимо иметь средство централизованного управления полномочиями пользователей. Например, в системе SAP R/3 предусмотрен специальный механизм CUA (Central User Administration) для централизованного управления полномочиями пользователей. Центр CUA позволяет выполнять следующие функции:
СибАДИ
97
– унификацию учетных записей; – назначение прав пользователям; – ведение локальных и глобальных свойств в учетных записях. В последнее время в ERP, так же как и во многих других
комплексных программных системах, используются портальные технологии. Портал — это точка доступа к различным разнородным информационным системам. Портал также может выполнять аутентификацию пользователей. В этом случае автоматически достигается централизация системы управления пользователями.
Какие задачи подсистемы ИБ можно решать с помощью централизованного управления?
Прежде всего, необходимо контролировать действия пользователей, чтобы предотвращать преднамеренные и непреднамеренные утечки информации. Очевидно, что в ERP-системах существуют различные средства контроля и аудита действий пользователей. Как на основе этих средств построить систему контроля, которая позволит узнать и предупредить утечки информации?
Для каждого конкретного проекта внедрения ERP в зависимости от текущих внутренних и внешних требований используются свои решения и подходы:
– определение целей контроля и стратегии отслеживания рисков; – анализ рисков; – определение средств контроля; – нахождение соответствующих средств контроля для каждого из
рисков; – мониторинг и аудит работы системы контроля. На первом этапе построения системы контроля определяется
стратегия, основанная на внутренних и внешних требованиях к информационной безопасности. На втором этапе составляется набор рисков, которые будут отслеживаться. На третьем этапе определяются все доступные в данной ERP-системе механизмы контроля. Для примера в SAP R/3 в качестве средств контроля может использоваться системный журнал, в который заносятся следующие события:
– открытие/закрытие сессии пользователем; – запрос на доступ к защищаемому ресурсу; – создание и уничтожение объекта; – действия по изменению правил разграничения доступа. Существуют также средства выборочного ознакомления с этой
регистрационной информацией. На четвертом этапе для каждого из идентифицированных ранее рисков подбирается средство его
СибАДИ
98
отслеживания. Пятый этап – непосредственно эксплуатация разработанной системы контроля.
Защита электронных документов
Защита электронных документов в ERP-системе основана на
электронной цифровой подписи – ЭЦП. В современных системах существуют интерфейсы для подключения средств ЭЦП. В SAP NetWeaver, к примеру, таким интерфейсом является Secure Store & Forward (SSF). Данный механизм позволяет добавлять одну или несколько цифровых подписей к любому набору данных, будь то файл или таблица в базе данных системы. Также SSF предоставляет средства для шифрования и защиты целостности данных в системах SAP. Используя возможности SSF, можно «обертывать» объекты с данными в специальные защищенные форматы (PKCS#7), перед тем как эти данные будут сохранены на отчуждаемые носители (например, дискету) или переданы по открытым каналам связи — в частности, при помощи обычной электронной почты. При этом можно конвертировать данные в безопасный формат не только для их экспорта, но и для защищенного хранения внутри системы.
Широко известна так называемая «проблема системного администратора» – как защитить информацию от системного администратора, если у него в силу его обязанностей есть все привилегии для доступа к любым данным? С помощью механизма SSF можно найти решение для этой задачи. Например, самые важные финансовые данные могут шифроваться при помощи SSF, и ключ к ним будет храниться на токене только тех пользователей, которым необходима для работы данная информация. Функции SSF используют концепции цифровых подписей и так называемых цифровых конвертов для защиты электронных документов. Цифровая подпись однозначно идентифицирует того, кто поставил подпись, обеспечивает «неотказуемость» и гарантирует целостность данных. Любые изменения подписанных данных неизбежно будут выявлены при проверке подписи. Как и в случае с бумажными документами, подписанный электронный документ уже нельзя изменить! Цифровые конверты дают гарантию, что защищаемые данные будут доступны только тому, для кого они предназначены.
Итак, применение SSF для обеспечения электронного документооборота в приложениях SAP позволяет добиться следующих целей:
СибАДИ
99
– гарантированной идентификации людей или компонентов, участвующих в делопроизводстве;
– «неотказуемости»; – целостности данного документа; – пересылки и хранения зашифрованных данных. Использование SSF в приложениях SAP позволяет полностью
отказаться от бумажных документов и подписей ручкой в пользу автоматизированного электронного документооборота, защищенного при помощи цифровых подписей и цифровых конвертов.
В качестве примера использования SSF в ERP-системах SAP на российском рынке можно привести решение «Электронный архив», разработанное компанией «Докфлоу Бест Практис». Компаниями ЛИССИ и «Докфлоу Бест Практис» реализован совместный проект по обеспечению поддержки ЭЦП на основе российской криптографии, на платформе SAP NetWeaver. В качестве модуля генерации и проверки ЭЦП используется программный продукт LISSI-SSF.
4.4. Безопасность АСУ ТП и SCADA-систем
Информационной безопасности промышленных систем
автоматизации в настоящее время уделяется повышенное внимание, поскольку число угроз и уязвимостей в подобных системах стремительно растет [16]. В компании «Информзащита» отмечают, что к наиболее часто встречающимся инцидентам безопасности в АСУ ТП относятся:
– сбои программно-аппаратного обеспечения в результате непреднамеренных действий пользователей АСУ ТП или ошибок в программном обеспечении;
– заражение вредоносным кодом; – неисправности исполнительных устройств объекта управления
вследствие программных и аппаратных сбоев; – отключение оборудования АСУ ТП из-за обесточивания, отказы
сетевого оборудования и нарушения в работе каналов связи. В АСУ ТП наиболее широко распространены инциденты,
связанные с нарушениями правил безопасности их операторами, а также инженерами-разработчиками. Следует учитывать и чреватые непредвиденными последствиями риски предоставления удаленного доступа к системам АСУ ТП производителям продуктов автоматизации, а также системным интеграторам из Интернета.
Эти и другие инциденты, которые способны привести к аварийным прерываниям производственных процессов, могут быть
СибАДИ
100
вызваны действиями возможных злоумышленников, а также пользователей и обслуживающего персонала.
Специфика АСУ ТП
По результатам исследований российской компании Positive
Technologies, специализирующейся на разработке ПО в области информационной безопасности, было отмечено, что одной из основных задач защиты АСУ ТП является сохранение непрерывности технологического процесса, что обеспечивается целостностью информационных ресурсов и ПО, доступностью персонала выполнять функции по управлению системой. Информационные ресурсы подобных систем в основном содержат входные данные от датчиков технологических параметров объекта управления, выходные данные для формирования команд управления на исполнительные механизмы, значения планируемых показателей и числовые уставки технологического процесса и т.д. Нарушение технологических процессов способно нести серьезный ущерб и в наихудших случаях стать причиной техногенных катастроф. Такую возможность следует учитывать при проектировании и внедрении средств защиты, которые, выполняя возложенные на них функции, не должны при этом оказывать отрицательного влияния на стабильность и непрерывность технологического процесса.
При учете специфики АСУ ТП применимы все стандартные методы и средства в области информационной безопасности, которые используются в распределенных корпоративных информационных системах. При этом в системах промышленной автоматизации следует учитывать множество дополнительных факторов:
• Линии связи и промышленные протоколы гораздо более уязвимы к снифингу и спуфингу сетевых пакетов, нежели компоненты современных корпоративных систем, а промышленные контроллеры и зачастую и вся SCADA-система не обладают достаточной устойчивостью к некорректным входным пакетам.
• Оборудование и программное обеспечение многих АСУ ТП разработано и внедрено довольно давно, существуют системы SCADA, которые способны работать только со старыми ОС, типа Windows NT, что приводит к повышенным рискам информационной безопасности.
Такие риски можно снизить при помощи современных технологий виртуализации, но отнюдь не всегда и не везде. Поэтому серверы SCADA и OPC (OLE for Process Control), PLC-контроллеры и другие
СибАДИ
101
компоненты систем автоматизированного управления должны быть, по возможности, изолированы от Интернета.
Следует учитывать также, что использование беспроводных технологий позволяет потенциальному злоумышленнику проникнуть с применением направленной антенны в АСУ ТП, находясь от нее на значительном удалении. Поэтому обеспечение и информационной, и физической безопасности, то есть ограничение доступа к компонентам АСУ ТП и линиям связи, является очень важной задачей.
К традиционным механизмам безопасности, нашедшим применение в АСУ ТП и SCADA, можно отнести: средства обеспечения отказоустойчивости и восстановления в случае сбоев, использование ролевой модели управления доступом на основе технологии разделения обязанностей, применение стойких к атакам механизмов аутентификации и авторизации, изоляцию пользователей от интерфейсов «нижележащей» ОС и другие средства.
Основные направления в создании защищенных АСУ ТП
Подход к обеспечению информационной безопасности АСУТП,
как и для других распределенных систем, должен быть комплексным, предполагающим проведение оценки угроз, разработки политики безопасности и применение современных технологий защиты. При этом необходимо учитывать многоуровневую структуру программно-технических средств системы и специфику задач, решаемых на этих уровнях:
– верхний уровень, уровень визуализации, диспетчеризации и сбора данных;
– средний уровень, уровень инженерных станций и контроллеров, реализующий алгоритмы управления технологическим оборудованием и связь с верхним уровнем;
– нижний уровень, уровень контрольно-измерительного оборудования и исполнительных механизмов, непосредственно взаимодействующих с оборудованием технологического объекта.
Наиболее критичные уровни с точки зрения защиты – это верхний и средний уровни АСУ ТП. Это связано с тем, что нижний уровень в большинстве случаев использует изолированную среду передачи данных (RS-232, RS-485 и т.д.) и относительно малоизвестен для среднестатистического злоумышленника.
Верхний уровень критичен потому, что чаще всего представляет собой единую точку управления и мониторинга АСУ ТП и, как правило,
СибАДИ
102
взаимодействует с внешним миром. Средний уровень обрабатывает и непосредственно влияет на наиболее критичный тип данных АСУ ТП – контрольно-измерительную информацию и исполнительные механизмы.
Для защиты сегмента АСУ ТП от попыток НСД со стороны корпоративного сегмента ЛВС и сохранения при этом информационного взаимодействия применяются системы одностороннего межсетевого взаимодействия, например Fox-IT DataDiode [21]. Данное решение использовалось в информационных системах НАТО и потом нашло свое применение в АСУ ТП.
Технология однонаправленного контроля использует специальные протоколы связи, которые в режиме реального времени обеспечивают защищенную, однонаправленную передачу данных от серверов и приложений АСУ ТП в информационные (коммерческие) сети. Таким способом исключается возможность удаленных атак из незащищенных сетей. Принцип реализации контроля однонаправленного соединения в оптоволоконном канале показан на рис. 4.8.
Рис. 4.8. Экранирование в оптоволоконном канале
В качестве передатчика (Transmitter) используется лазерный
источник излучения, а приемник (Receiver) представляет собой фотоэлемент. Специальное разделительное оборудование DataDiode (DD), однонаправленный межсетевой экран, реализует алгоритмы необходимого взаимодействия. Пример использования дву-направленной схемы одностороннего межсетевого взаимодействия приведен на рис. 4.9.
Рис. 4.9. Схема взаимодействия сетей верхнего и среднего уровня
Например, одностороннее межсетевое взаимодействие
необходимо для периодической отсылки данных из сегмента
Transmitter Receiver DD
Сегмент корпоративной
сети
Сегмент промышленной
сети
DD
DD
СибАДИ
103
промышленной сети в сегмент корпоративной для мониторинга и анализа по протоколам CIFS, SMTP и FTP.
Системы безопасности не часто внедряют на уровне контроллеров. Иногда используются системы обнаружения и предотвращения атак со специализированным для АСУ ТП набором сигнатур атак. Либо устанавливаются традиционные для корпоративных сетей межсетевые экраны, на которых настраиваются правила доступа для протоколов АСУ ТП с инспекцией на сетевом уровне TCP/IP (например, открывается доступ по порту TCP 502 (Modbus TCP)).
В некоторых случаях на уровне контроллеров целесообразно использовать специализированные промышленные полевые межсетевые экраны (Field Firewalls, Industrial Firewalls). Суть задачи в том, чтобы контролировать сессии промышленных протоколов не только на сетевом уровне (что реализовано почти во всех межсетевых экранах), но и на прикладном уровне (это реализовано в некоторых системах предотвращения атак, но в крайне ограниченном наборе сигнатур и с рядом других ограничений). Простейший пример – определять разрешаемый набор кодов функций на чтение и запись в протоколе Modbus, таким образом мы получаем полноценную инспекцию промышленных протоколов на уровне приложений. Именно эта информация является наиболее критичной в АСУ ТП. Промышленные межсетевые экраны поддерживают все основные протоколы АСУ ТП: Modbus TCP, DNP3, ОРС, МЭК 60870-5-104, CIP и десятки других.
Возможности фильтрации трафика между различными частями локальной распределенной сети, пропуская одни пакеты информации и отсеивая другие, дает возможность строить многоуровневую систему защиты. Межсетевые экраны (МЭ), установленные перед каждым требующим защиты устройством или группы устройств, позволяет применить стратегию «глубокой защиты». Если вирусу или злоумышленнику удается проникнуть сквозь главный корпоративный брандмауэр, они столкнутся с другими МЭ, фильтрующие свойства которых наиболее избирательно настраиваются для данной точки промышленной сети.
Компания MODCON, специализирующаяся в области создания систем промышленной автоматизации, предлагает ряд технических решений подобной стратегии применения МЭ, обеспечивающих нормальное и безопасное функционирование каждого элемента системы. Интеграция МЭ в архитектуру системы основывается на технологии однонаправленного контроля потока информации по принципу «Изнутри наружу». Схема управления защитным оборудованием SCADA представлена на рис. 4.10.
СибАДИ
104
Центральная платформа управления СМР конфигурирует и настраивает защитные модули системы. Функции защиты модуля конфигурируются под типы устройств SCADA: человеко-машинные интерфейсы (HMI), программируемые логические контроллеры и другие интеллектуальные устройства промышленных сетей.
Рис. 4.10. Схема управления защитным оборудованием
Платформа управления СМР внутри корпоративной сети с
использованием VPN в незащищенных сетях дает возможность, кроме управления и конфигурирования защитным оборудованием, осуществлять мониторинг и формирование отчетов об инцидентах и нештатных ситуациях. Все это дает возможность управлять функциями безопасности распределенных систем промышленной автоматизации, таких систем как АСУ ТП и SCADA, из единого центра.
Для защиты систем промышленной автоматизации интеграторы стремятся разработать типовые решения и сформировать портфель предложений. Активное участие в этой деятельности принимают такие компании, как «АМТ Груп», «Крок», «Инфосистемы Джет», «Информзащита», ЛАНИТ, НИИ систем обеспечения комплексной безопасности, «РТСофт», «Уральский центр систем безопасности» и ряд других организаций. Формируется сегмент аудита и анализа защищенности АСУ ТП. Кроме интеграторов, традиционно проводящих предпроектные обследования предприятий, в этой области работают компании Digital Security, Group-IB, Positive Techologies, «Перспективный мониторинг».
МЭ
Switch/Router
МЭ
МЭ
PPLC-контроллеры
HMI CMP
МЭ
Switch
СибАДИ
105
Вопросы для самоконтроля и задания 1. В каком случае АС считается защищенной? 2. Каким образом архитектура распределенной системы может
способствовать общей информационной безопасности и почему? 3. Назовите основные сервисы или механизмы безопасности
распределенной АС. 4. Какими путями осуществляется стандартизация подходов к
обеспечению информационной безопасности распределенных систем? 5. Какие уровни реализуются в технологической модели
подсистемы информационной безопасности? 6. С какой целью производится шифрование данных и
информации и на каком уровне работы с информацией это применяется?
7. Чем отличается схема симметричной криптосистемы с закрытым ключом от схемы асимметричной криптосистемы с открытым ключом?
8. Что такое VPN и для каких целей используются эти технологии?
9. Каким общим требованиям должно удовлетворять антивирусное ПО?
10. Какие средства защиты информации применяются в ERP- системах?
11. Какие задачи подсистемы ИБ можно решать с помощью централизованного управления?
12. Какие средства информационной безопасности применяются в системах промышленной автоматизации?
13. В чем заключается комплексность использования программно-аппаратных средств защиты? Си
бАДИ
106
5. ФИЗИЧЕСКИЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ
5.1. Физическая защита Физическая защита информации объединяет силы и средства
противодействия стихийным явлениям природы, авариям и катастрофам и проникновению к источникам защищаемой информации злоумышленников. Основу такого противодействия составляют комплексы инженерной защиты источников информации и программно-аппаратные средства охраны. Инженерные конструкции создают преграды, которые задерживают источники угроз на пути их движения или распространения к источникам информации. Для обеспечения защиты информации необходимо нейтрализовать угрозы раньше времени воздействия злоумышленников и стихийных сил на источник с защищаемой информацией. Для этого угроза должна быть обнаружена и предотвращена силами и средствами нейтрализации. Следовательно, для эффективной физической защиты необходимо обеспечить высокую вероятность обнаружения источников угроз, их задержку на время, превышающее время прибытия к месту проникновения сил и средств нейтрализации угроз [15].
Физическая защита информационных ресурсов распределенной автоматизированной системы требует применение сил и средств нейтрализации на всех производственных площадках в течение всего жизненного цикла системы с обязательным учетом всех возможных видов угроз (несанкционированный доступ, съем информации, терроризм, пожар, стихийные бедствия и т.п.). При решении подобной задачи необходимо учитывать и особенности функционирования средств физической защиты:
• Средства обнаружения источников угроз распределены по большой длине периметра, что требует использования надежных коммуникаций и обеспечения электропитания электронных устройств на сотни и тысячи метров.
• Программно-аппаратные средства работают в жестких климатических условиях на открытом воздухе под воздействием механических и электромагнитных помех.
Разработка средств физической защиты с учетом условий их эксплуатации реализуется в рамках систем обеспечения безопасности. Такая система безопасности представляет собой совокупность программно-аппаратных средств контроля и управления доступом, охранной, пожарной сигнализации, системы оповещения, управления
СибАДИ
107
противопожарной автоматикой, систем телевизионного наблюдения и др. Типичная структура программно-аппаратных средств физической защиты охраняемого объекта представлена на рис. 5.1 [3].
Рис. 5.1. Структура физической защиты объекта
Состав программно-аппаратных компонентов определяется с учетом вида рубежа, способов обнаружения злоумышленника и пожара, а также значений конкретных тактико-технических характеристик средств охраны.
Система управления доступом
Система управления доступом сотрудников и посетителей позволяет контролировать и при необходимости ограничивать вход и выход сотрудников и посетителей. Контролироваться может все здание
СибАДИ
108
организации, предприятия или компании, а также отдельные помещения, например, те, где расположены серверы, коммуникационная аппаратура, трансформаторные подстанции и т.п.
Средства физического управления доступом – это двери с замками, перегородки, решетки на окнах, датчики движения и разнообразные извещатели: дверные контакты, кнопки вызова, считыватели карт, электрические защелки и многое другое. Тип извещателя выбирается с учетом вида охраняемого рубежа или зоны, их размеров и конфигурации, вида воздействий злоумышленника и помех на преграду, затрат на приобретение, установку (строительство) и эксплуатацию инженерных конструкций и технических средств.
Количество извещателей и соединительных линий (шлейфов) на каждом рубеже охраны определяется его конфигурацией и протяженностью. Чем больше количество участков разделяет рубеж, тем с большей точностью определяется местоположение злоумышленника и тем эффективнее можно организовать его нейтрализацию. При этом пропорционально возрастает число шлейфов.
Для охраны периметра организации и зданий рекомендуются следующие участки: фасад, тыл, правая и левая сторона с контролем каждого участка отдельным извещателем со шлейфом. Отдельными шлейфами могут быть соединены извещатели, установленные в охраняемых зонах (переходах, коридорах) на объектах охраны сложной конфигурации.
При выборе средств физического управления доступом неоходимо оптимизировать их состав по критерию стоимость/эффективность, учитывать появление технических новинок, стараясь максимально автоматизировать их функционирование.
Система оповещения Система оповещения включает аварийно – охранную и
пожарную сигнализацию, что является основой системы безопасности охраняемого объекта, позволяющей фиксировать любые угрозы.
Охранная сигнализация фиксирует попытку проникновения, тревожная сигнализация – это система экстренного вызова помощи на случай внезапного нападения, пожарная – регистрирует появление первых признаков пожара, аварийная – извещает об утечке газа, протечках воды и т. п.
Задачей пожарной сигнализации являются получение, обработка, передача и представление в заданном виде потребителям при помощи технических средств информации о пожаре на охраняемых объектах
СибАДИ
109
(обнаружение очага пожара, определение места его возникновения, подача сигналов для систем автоматического пожаротушения и дымоудаления). Задача охранной сигнализации – своевременное оповещение о проникновении или попытке проникновения на охраняемый объект с фиксацией факта, места и времени нарушения рубежа охраны.
Основной задачей системы оповещения является обеспечение моментального реагирования с предоставлением точной информации о месте и характере события.
В состав системы оповещения входят: – датчики или извещатели, реагирующие на тревожное событие ; – приемно-контрольные приборы (контроллеры); – исполнительные устройства. Извещатели (датчики) действуют по принципу регистрации
изменений окружающей среды. Это устройства, предназначенные для определения наличия угрозы безопасности охраняемого объекта и передачи тревожного сообщения для своевременного реагирования. Условно их можно разделить на объемные, линейные и локальные.
Объемные позволяют контролировать пространство, линейные, или поверхностные, – периметры территорий и зданий, локальные, или точечные, – для контроля отдельных предметов.
По принципу формирования информационного сигнала о проникновении на объект или пожаре извещатели охранно-пожарной сигнализации подразделяются на активные (сигнализация генерирует в охраняемой зоне сигнал и реагирует на изменение его параметров) и пассивные (реагируют на изменение параметров окружающей среды).
Широко используются такие типы охранных извещателей, как инфракрасные пассивные, магнитоконтактные извещатели разбития стекла, периметральные активные извещатели, комбинированные активные извещатели. В системах пожарной сигнализации применяются тепловые, дымовые, световые, ионизационные, комбинированные и ручные извещатели.
Приемно-контрольные приборы – устройства, которые получают сигнал тревоги от извещателей и осуществляют управление по заданному алгоритму исполнительными устройствами. В простейшем случае контроль за работой сигнализации состоит из включения и выключения датчиков, фиксации сигналов тревоги. В сложных, разветвленных системах сигнализации контроль и управление датчиками, а также установка настроек осуществляются при помощи контроллеров. Сигналы с датчиков поступают на контроллер с
СибАДИ
110
помощью проводных линий или радиостанций при значительном удалении от поста охраны.
Исполнительные устройства – агрегаты, которые обеспечивают выполнение заданного алгоритма действий системы в ответ на то или иное тревожное событие (подача сигнала оповещения, включение механизмов пожаротушения, автодозвон по заданным номерам телефонов и т. п.).
Телевизионные системы опознания и наблюдения
Телевизионные системы опознавания и наблюдения используют
несколько телевизионных камер и видеорегистраторов, устанавливаемых в различных местах охраняемого объекта с целью обнаружения несанкционированных действий, нештатных ситуаций и идентификации нарушителей. Современные системы видеонаблюдения – это интеллектуальные системы с центральным процессорным модулем (видеоконтроллером), реализующие различные сценарии аналитической обработки видеоизображений, задания алгоритмов регистрации событий, запись на видеомагнитофон злоумышленника при его появлении в поле зрения камер или срабатывания датчика движения, датчика открывания двери.
В отдельные группы выделяются видеокамеры, обеспечивающие: – охрану периметра объекта; – охрану подходов к зданиям внутри периметра и подходов к
дверям здания; – охрану ответственных мест внутри помещений. Каждая из групп видеокамер выводит на монитор дежурного поста
охраны, как правило, в мультиэкранном режиме (изображения от нескольких видеокамер на одном мониторе). Сигналы от видеокамер, поступающие на видеоконтроллер, записываются на видеомагнитофон или дисковые накопители для создания базы данных изображений, реализующей режим обнаружения движения в поле зрения каждой камеры. В случае обнаружения движения система опознания и наблюдения выдает сигнал тревоги, на мониторе дежурного появляется сигнал с указанием тревожной камеры, производится запись выделенного изображения в режиме реального времени и формируются команды, необходимые для принятия экстренных мер.
Установка видеонаблюдения в рамках охранной системы позволяет полностью контролировать происходящее на всех рубежах объекта, для чего она может быть связана с другими системами
СибАДИ
111
физической защиты – системой сигнализации, системой контроля доступа, охраны периметра.
Современные системы видеонаблюдения, основанные на цифровых технологиях, получившие название "IP-видеонаблюдение" по одному из протоколов сетевого взаимодействия стека TCP/IP, отличаются высокой скоростью передачи и высоким качеством изображения. В состав таких систем входят сетевые камеры или IP-камеры, программно-аппаратные комплексы для анализа видеоизображения и для обработки и хранения сигнала – видеосерверы.
Системы IP-видеонаблюдения позволяют объединить видеокамеры посредством существующей сети организации, обращение к камере с компьютера центрального поста возможно напрямую c указанием IP-адреса камеры. Для IP-камер выпускаются специальные кожухи в антивандальном исполнении для работы в условиях повышенной влажности, низких температур, действий промышленных помех и злоумышленников.
Центральный пост охраны объекта
Центральный пост охраны любой организации – это ответствен-
ный узел связи, интегрирующий различные средства аварийной, пожарной, тревожной сигнализации, средства оповещения (мониторы, громкоговорители, сирены) и служебную связь с подразделениями внутренней охраны и местными силовыми структурами: полиция, МЧС и т.д. Пост охраны состоит из автоматизированного рабочего места (АРМ) информационной системы предприятия или его филиала и аппаратных средств проводной и беспроводной связи. Для обеспечения непрерывной работы центрального поста АРМ оператора и система питания резервируются.
Оборонительная система защиты
Оборонительная система защиты – это средства нейтрализации
угроз. Подразделение охраны этой системы, оснащенное всеми средствами реагирования на угрозы, выполняет функции по отражению действий нарушителей режима безопасности на предприятии и принятия мер по уменьшению материальных потерь от пожара, аварий, катастроф и т.д. Средства системы защиты объединяют инженерные конструкции, средства управления доступом людей и транспортом, средства видеонаблюдения и дежурное освещение, средства пожаротушения.
СибАДИ
112
5.2. Защита полевого оборудования В системах промышленной автоматизации оборудование нижнего
функционального уровня или так называемого полевого уровня может находиться в жестких климатических условиях эксплуатации под воздействием умышленных и неумышленных угроз. Требования по физической защите полевых устройств АСУ ТП и SCADA направлены на защиту от воздействий окружающей среды, предотвращение вандализма и случайных угроз разрушения при авариях, строительных работах и т.д.
Для предупреждения и предотвращения разрушительных воздействий используются специальные меры защиты:
– системы оповещения несанкционированных действий злоумышленников;
– системы контроля целостности оборудования АС и технологического объекта управления.
Для предупреждения и предотвращения повреждений подземных коммуникаций системы оповещения способны контролировать, распознавать подозрительные действия в зоне расположения полевых устройств, проводить анализ и инициировать сигнал тревоги. Например, в зоне нефти и газа трубопроводов, используя телевизионную съемку с беспилотных летающих аппаратов, можно идентифицировать подозрительную деятельность злоумышленников.
Системы контроля целостности оборудования АС и объекта управления используют специальную аппаратуру контроля и мониторинга состояния полевых устройств и их окружения в режиме реального времени. Такие системы включают:
– чувствительные элементы (датчики) или сенсорные блоки, установленные в непосредственной близости от устройств и коммуникаций АСУ ТП или SCADA;
– центр контроля и мониторинга; – средства связи для передачи сигналов от датчиков в
компьютеры центра контроля и мониторинга. В качестве чувствительных элементов могут использоваться
контактные и емкостные датчики, акселерометры, закапываемые в зоне коммуникаций и местах доступа к полевому оборудованию, и многое другое.
Например, сенсорный блок компании MODCON состоит из датчиков сейсмических сигналов (геофонов), цифрового анализатора сигналов (процессорного блока), помещенного в герметический контейнер и соединенного бронированными кабелями с датчиками. Для
СибАДИ
113
передачи данных в центр контроля и мониторинга может быть использована проводная или беспроводная связь. Процессорный блок содержит автономный источник питания и флэш-память для детального анализа.
При значительном удалении полевого оборудования от центров сбора и обработки данных часто в распределенных системах используется радиоканал. Преимущества использования этой схемы сбора данных с датчиков – снижение стоимости за счет сокращения кабельной продукции и простотой монтажа – в сильной степени ограничиваются условиями эксплуатации. Недостатки связаны с возможностью перехвата сообщений внешними приемниками и возможностью постановки преднамеренной помехи. Электромагнитная обстановка в зоне полевого оборудования также может влиять на стабильность передачи информации.
Все отмеченные обстоятельства требуют проведения специального анализа при выборе средств физической защиты в каждом конкретном случае и оптимизации структуры средств защиты с учетом критерия качество – стоимость.
5.3. Интегральная безопасность АС
В связи с многообразием задач, решаемых средствами
безопасности и разнообразием программно-аппаратных средств, реализующих физическую защиту, сформировалось три основных подхода осуществления безопасности [3]:
1. Частный подход основывается на решении локальных задач обеспечения информационной безопасности. Этот подход является малоэффективным, но достаточно часто используется, так как не требует больших финансовых и интеллектуальных затрат.
2. Комплексный подход реализуется решением совокупности локальных задач по единой программе. Этот подход в настоящее время применяется наиболее часто.
3. Интегральный подход основан на объединении различных технологических подсистем, подсистем связи и подсистем обеспечения безопасности в единую информационную систему с общими техническими средствами, каналами связи, программным обеспечением и базами данных.
Интегральный подход базируется на создании многоуровневой автоматизированной системы управления, средствами связи и периферийным оборудованием, предназначенным для сбора и обработки информации от различных датчиков, в том числе от
СибАДИ
114
извещателей пожарной и охранной сигнализации и управления различными средствами реагирования и нейтрализации угроз (оповещение, противопожарная автоматика и пожаротушение, инженерные системы и т.д.).
Необходимость такого подхода особенно важна для автоматизированных систем управления технологическими процессами опасных производственных объектов, таких как трубопроводы газа и нефти, химические производства и т. д. Все компоненты АСУ ТП опасных производственных объектов должны реализовываться с учетом обеспечения безопасности и непрерывности технологического процесса. Согласно требованиям "Общих правил взрывобезопасности для взрывопожароопасных химических, нефтехимических и нефтеперерабатывающих производств", утвержденных приказом Федеральной службы по экологическому, технологическому и атомному надзору № 96 от 11 марта 2013 г., АСУ ТП должна обеспечивать:
– постоянный контроль параметров технологического процесса и управление режимами для поддержания их регламентированных значений;
– регистрацию срабатывания и контроль работоспособного состояния средств противоаварийной защиты;
– постоянный анализ изменения параметров в сторону критических значений и прогнозирование возможной аварии;
– срабатывание средств управления и противоаварийной защиты, прекращающих развитие опасной ситуации;
– срабатывание средств локализации и ликвидации аварий, выбор и реализацию оптимальных управляющих воздействий;
– проведение операций безаварийного пуска, остановки и всех необходимых для этого переключений;
– выдачу информации о состоянии безопасности на объекте в вышестоящую систему управления.
При интеграции средств безопасности в архитектуру АСУ ТП должен проводиться анализ рисков от возможных угроз и аварий в соответствии с методикой ГОСТ Р МЭК 61508-1-2007 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью». В составе системы должны использоваться резервированные программно-аппаратные компоненты:
– модули ввода/вывода, – платы контроллеров, – сетевые интерфейсы,
СибАДИ
115
– источники питания, – датчики технологических параметров. Вариант архитектуры, интегрированной АСУ ТП, отвечающий
требованиям нормативных документов, представлен на рис. 5.2 [22]. Обязательным условием для системы противоаварийной
защиты является наличие надежной диагностики вышеуказанных компонентов. Данные обстоятельства позволят существенно снизить вероятность как безопасного отказа – ложного срабатывания системы безопасности, так и опасного отказа – неспособности системы защиты выполнить свои функции в случае регистрации аварийной ситуации.
К шкафам системы противоаварийной защиты должны быть подключены сигналы, по которым происходит запуск алгоритмов останова технологического оборудования, а также:
– оборудование светового и звукового аварийного оповещения; – оборудование вытяжной вентиляции и системы откачки утечек
(при наличии); – цепи контроля состояния и аварийного отключения (закрытия,
открытия) основных технологических агрегатов, вспомогательных систем и задвижек.
При возникновении аварийной ситуации система противоаварийной защиты должна перевести оборудование технологического процесса в безопасное состояние с обязательной передачей сообщения в систему управления для исключения совместной несогласованной работы.
При наличии автономной системы пожаротушения соответствующая информация должна передаваться в систему противоаварийной защиты для останова технологического процесса.
Для повышения надежности хранения и удобства работы с информацией обработка данных выполняется на резервируемых промышленных серверах в корпусах для монтажа в стойку (19-дюймовый шкаф). Операторские рабочие станции также должны быть выполнены на базе промышленных ПК в корпусах для монтажа в стойку. Использование специализированных шкафов позволяет защитить оборудование системы от влаги и пыли, перепадов температуры и несанкционированного доступа.
Для реализации сети передачи данных верхнего уровня, служащей для обмена информацией между контроллерами, серверами и операторскими рабочими станциями, применяются промышленные коммутаторы, поддерживающие топологию самовосстанавливающего кольца.
СибАДИ
116
Рис. 5.2. Архитектура программно- аппаратных средств интегрированной АСУ ТП
Для реализации сети передачи данных верхнего уровня,
служащей для обмена информацией между контроллерами, серверами и операторскими рабочими станциями, применяются промышленные коммутаторы, поддерживающие топологию самовосстанавливающего кольца.
На серверах и операторских рабочих станциях устанавливаются 64-битные операционные системы Windows, что дает возможность в
СибАДИ
117
полном объеме использовать аппаратные средства и обеспечить максимально возможное быстродействие.
В качестве SCADA-системы используется 64-битная SCADA-система, поддерживающая клиент-серверную технологию и реализацию интерфейса по WEB-интерфейсу. Применение технологии "клиентских" АРМ даст возможность подключать к ним любое число АРМ без значительного увеличения стоимости лицензирования, а использование WEB-технологий позволит контролировать технологический процесс системы через стандартный браузер, выступающий в роли "тонкого" клиента. Такой вариант построения подсистемы верхнего уровня является менее дорогостоящим с точки зрения лицензирования прикладного программного обеспечения с одновременным повышением надежности системы и удобства работы с данными, так как вся информация должна будет храниться на двух резервируемых серверах.
Таким образом, включение в состав АСУ ТП средств физической и противоаварийной защиты повышает безопасность ведения технологического процесса.
Вопросам обеспечения интегральной безопасности АС различных промышленных предприятий, кредитных организаций и фирм уделяется большое внимание многими зарубежными и отечественными разработчиками и производителями. Среди них Всемирная академия наук комплексной безопасности, Научно-исследовательский центр «Охрана» МВД РФ, Научно-производственная фирма «Сигма –ИС» и многие другие.
СибАДИ
118
Вопросы для самоконтроля и задания 1. Что понимается под термином «физическая защита»? 2. Каким образом архитектура распределенной системы может
влиять на безопасность функционирования и почему? 3. Назовите основные программно-аппаратные средства системы
безопасности распределенной АС. 4. Как осуществляется охрана периметра контролируемого
объекта? 5. Как осуществляется контроль управления доступом к
программно-техническим компонентам АС и помещениям, где они расположены?
6. Какую роль в физической защите играет вычислительная сеть предприятия, организации или компании?
7. Чем отличаются средства физической защиты информационной системы от средств АСУ ТП и SCADA-систем?
8. Какие подходы к обеспечению безопасности АС используются в настоящее время?
9. Что такое интегрированные системы безопасности? 10. Какие средства защиты применяются для физической защиты
полевого оборудования в АСУ ТП? 11. Какие требования по обеспечению безопасности
функционирования выдвигаются для автоматизированных систем управления критически важных технологических объектов?
12. Как вы понимаете критерий оптимальности качество – стоимость при проектировании физической защиты?
СибАДИ
119
Библиографический список 1. Миков, А.И. Распределенные системы и алгоритмы [Электронный
ресурс] /А.И. Миков, Е.Б. Замятина.– URL:litvik.ru›…ai-mikov-eb-zamyatina-raspredelennye, свободный. – Загл. с экрана (дата обращения к ресурсу: 11.08.2016).
2. Зайцев, А.П. Программно-аппаратные средства обеспечения информацион-ной безопасности : учебное пособие /А.П. Зайцев, И.В. Голубятников, Р.В. Мещеряков, А.А. Шелупанов. – Изд. 2-е.– М. : Машиностроение-1, 2006. − 260 с.
3. Барабанова, М.И. Информационные технологии: открытые системы, сети, безопасность в системах и сетях : учебное пособие /М.И. Барабанова, В.И. Кияев.– СПб. : Изд-во СПбГУЭФ, 2010.– 267 с.
4. Информационная безопасность в сетях телефонной связи [Электронный ресурс].– URL: http://mirtelecoma.ru/magazine/elektronnaya-versiya/23/, свободный. – Загл. с экрана (дата обращения к ресурсу: 16.12.2016).
5. Шокин, Ю.И. Распределенные информационные системы [Электронный ресурс] / Ю.И. Шокин. – URL: http://www.sbras.ru/win/gis/publ/inf_sys.html, свободный. – Загл. с экрана (дата обращения к ресурсу: 14.11.2016).
6. Зырянов, Юрий. Информационная безопасность ERP-систем [Электрон-ный ресурс] / Юрий Зырянов. – URL: http;//citforum.ru/gazeta/49/, свободный. – Загл. с экрана (дата обращения к ресурсу: 2.10.2016).
7. Протоколы связи в АСУ ТП [Электронный ресурс]. – URL: http://plcsystems. by/articles/651, свободный. – Загл. с экрана (дата обращения к ресурсу: 12.10.2016).
8. Гарбук, С. В. Обзор инцидентов информационной безопасности АСУ ТП зарубежных государств [Электронный ресурс] / С.В. Гарбук. – URL: http://itdefence.ru, свободный. – Загл. с экрана (дата обращения к ресурсу: 15.11.2016).
9. Хореев, А.А. Угрозы безопасности информации / А.А. Хореев // Специальная техника [Электронный ресурс]. – 2010. – №1. – URL: http://www.bnti.ru/showart.asp? aid=955&lvl=04.03, свободный. – Загл. с экрана (дата обращения к ресурсу: 04.11.2016).
10. Классификация угроз безопасности распределенных вычислительных систем [Электронный ресурс]. – URL: http://www.sources.ru/security/attack2/03-01.html, свободный. – Загл. с экрана (дата обращения к ресурсу: 4.11.2016).
11. Алпеев, А.С. Терминология безопасности: Кибербезопасность, Информационная безопасность [Электронный ресурс]/ А.С. Алпеев. – URL: http://cyberrus.com/ wp-content/uploads/2015/02/vkb_08_06.pdf , свободный. – Загл. с экрана (дата обращения к ресурсу: 04.11.2016).
12. Касперский, Е. Эксплойты, зеродеи, их опасность и её профилактика [Электронный ресурс] / Е. Касперский. – URL: http://e-kaspersky.livejournal.com /113537.html, свободный. – Загл. с экрана (дата обращения к ресурсу: 04.12.2016).
13. Фрейдман, А.В. Stuxnet и промышленная безопасность [Электронный ресурс] / А.В. Фрейдман. – URL: http://phocus-scada.com/rus/pub/Stuxnet& IndustrialSecurity. html, свободный. – Загл. с экрана (дата обращения к ресурсу: 11.12.2016).
14. Главные уязвимости корпоративных информационных систем в 2014 году: веб-приложения, пароли и сотрудники [Электронный ресурс]. – URL:
СибАДИ
120
http://habrahabr.ru/company/pt/blog/255681/, свободный. – Загл. с экрана (дата обращения к ресурсу: 09.12.2016).
15. Торокин, А.А. Инженерно-техническая защита информации : учебное пособие для студентов, обучающихся по специальностям в обл. информ. безопасности / А.А. Торокин. – М. : Гелиос АРВ, 2005. – 960 с.
16. Чернобровцев, Алексей. Информационная безопасность промышленных предприятий [Электронный ресурс] / Алексей Чернобровцев. – URL: http://www.osp.ru/news/ articles/ 2013/ 44/13038544/, свободный. – Загл. с экрана (дата обращения к ресурсу: 18.12.2016).
17. Рыбаков, Г. IP-сети в безопасности - безопасность в IP-сетях / Г. Рыбаков //Алгоритм безопасности [Электронный ресурс]. – 2014. – №5. – URL: http://www. security-bridge.com/biblioteka/stati_ po_bezopasnosti/ipseti_v_ bezopasnosti_ bezopasnost_v_ipsetyah/, свободный. – Загл. с экрана (дата обращения к ресурсу: 14.11.2015).
18. Уязвимости сетей сотовой связи [Электронный ресурс]. – URL: https://wp.me/p3AjPO-1An, свободный. – Загл. с экрана (дата обращения к ресурсу: 07.01.2016).
19. Сутягин, М.В. Анализ катастрофоустойчивости кластерных вычислительных систем [Электронный ресурс] / М.В. Сутягин. – URL: http://magazine.stankin.ru/arch, свободный. – Загл. с экрана (дата обращения к ресурсу: 24.01.2016).
20. Лаптев, В.С. Распределенные информационные системы с защищенным санкционированным доступом к информационно-вычислительным ресурсам [Электронный ресурс] / В.С. Лаптев. – URL: http://www.relarn.ru/conf/conf2001/ report_41.html, свободный. – Загл. с экрана (дата обращения к ресурсу: 04.11.2016).
21. Мальнев, Алексей. Защита АСУ ТП: От теории к практике / Алексей Мальнев //Information Security //Информационная безопасность [Электронный ресурс]. – 2012. – №6. – URL: http://citforum.ru/gazeta/49/, свободный. – Загл. с экрана (дата обращения к ресурсу: 14.02.2016).
22. Солдатов, С.С. Системы управления и противоаварийной защиты в состав АСУ ТП. Аспекты реализации /С.С. Солдатов, И.В. Кузнецов, О.А. Супрун // Автоматизация, телемеханизация и связь в нефтяной промышленности. – 2012. – №4.
23. Надеждин, Ю. М. Безопасность АСУ ТП критически важных объектов / Ю.М. Надеждин // Системы безопасности [Электронный ресурс]. – 2014. – №2.– URL: http:// www.secuteck.ru/articles2/security-director/bezopasnost-asu-tp-kriticheski-vazhnyh-obektov, свободный. – Загл. с экрана (дата обращения к ресурсу: 17.02.2016).
СибАДИ
