Надежность и безопасность по АСУТП
Автор: Осипов Иван Сергеевич
Журнал: Горные науки и технологии @gornye-nauki-tekhnologii
Статья в выпуске: 3, 2014 года.
Бесплатный доступ
В настоящей статье рассмотрены основные проблемы надежности и безопасности ПО АСУ ТП. Приведена статистика по обнаруженным уязвимостям, описаны характерные для промышленных ИТ-систем риски. Для обеспечения безопасности и надежности ПО АСУ ТП предложено использование технологии виртуализации OpenVZ, а также программного комплекса CRIU.
Надежность по асу тп, безопасность по асу тп
Короткий адрес: https://sciup.org/140230058
IDR: 140230058
Текст научной статьи Надежность и безопасность по АСУТП
До недавнего времени вопросу обеспечения безопасности и резервирования программного обеспечения АСУТП уделялось не так много внимания и этому способствовали следующие предпосылки:
на промконтроллерах используются операционные системы собственной разработки производителя – QNX (реже – Linux) или DOS, информация о которых доступна ограниченному кругу лиц;
промышленные сети обычно изолированы не только от сетей общего пользования, но и от внутренних сетей предприятия, в них применяется очень специфическое оборудование, все процессы чётко регламентированы.
Таким образом, в целом IT-инфраструктуры АСУТП считались достаточно хорошо защищенными и надежными. Данное ошибочное, как оказалось, представление пришлось пересмотреть с обнаружением принципиально нового вредоносного ПО – компьютерного червя Stuxnet.
В процессе решения задачи обеспечения безопасности ПО АСУТП осуществляется создание модели угроз и модели потенциального злоумышленника.
По данным Positive Technologies, наибольшее количество уязвимостей (42) за отчетный период было обнаружено в компонентах АСУ ТП производства компании Siemens. На втором месте — системы Broadwin/Advantech (22 уязвимости). На третьем — Schneider Electric (18). Как в любых IТ-системах, в случае с АСУ ТП наибольшее количество уязвимостей обнаруживается в самых распространенных решениях. При это наибольший интерес для злоумышленников могут представлять такие составляющие АСУ ТП, как системы SCADA и человеко-машинного интерфейса (HMI), в которых обнаружено 87 и 49 уязвимостей соответственно. В программируемых логических контроллерах различных производителей за отчетный период нашли 20 уязвимостей [1].
В настоящее время для АСУ ТП характерны следующие риски:
-
V Архитектура сетей не всегда позволяет обеспечить безопасную передачу данных. На многих предприятиях используются незащищенные беспроводные соединения;
-
V Кардинально изменить архитектуру сети передачи данных работающей АСУ ТП затруднительно или невозможно вовсе;
-
V Часто удаленный доступ к промышленным системам осуществляется без авторизации;
-
V Возможность нецелевого использования вычислительных ресурсов промышленных ИТ-систем;
-
V Отсутствует проверка подлинности управляющих команд;
V Недостаточное количество инструментов для обнаружения подозрительной активности и расследования инцидентов ИБ.
Специалисты по информационной безопасности компании Cisco Systems отмечают, что можно повысить общий уровень надежности и безопасности АСУ ТП, прибегнув к следующим мерам:
V Кластеризация или дублирование компонентов АСУ ТП, позволяющих осуществлять установку обновлений без простоя АСУ ТП;
V Полное резервирование информации, а также реализация резервных тестовых платформ [2].
Для реализации описанных выше мер целесообразно прибегнуть к использованию виртуализации на уровне ОС с использованием технологии OpenVZ, которая базируется на ядре Linux. OpenVZ позволяет на одном физическом сервере запускать множество изолированных копий операционной системы, называемых «виртуальные частные серверы». Виртуализация на уровне операционной системы в OpenVZ даёт лучшую производительность, масштабируемость, плотность размещения, динамическое управление ресурсами, а также лёгкость в администрировании, чем у альтернативных решений. Согласно информации, представленной на официальном сайте OpenVZ, накладные расходы на виртуализацию очень малы, и падение производительности составляет всего 1-3 %, по сравнению с обычными Linux-системами [3].
Каждая виртуальная среда по сути — отдельная сущность: имеет свои собственные файлы, пользователи и группы, дерево процессов, сеть, устройства и объекты межпроцессорного взаимодействия (разделяемая память, семафоры, сообщения).
Преимущества использования виртуализации:
изоляция систем;
возможность осуществлять обновления ядра ОС и ПО без перезагрузки системы при помощи технологии «Checkpoint-restore in userspace».
Возможности технологии Checkpoint-restore in userspace»:
«Живая» миграция систем;
Ускорение старта тяжелых приложений;
Обновление ядра “без перезагрузки” (многие промышленные ИТ-системы не обновляются годами, поскольку для вступления обновлений в силу необходима перезагрузка , которую невозможно осуществить при непрерывном производственном цикле). Проблема заключается в том, что устаревшее ПО имеет достаточное количество известных уязвимостей, эксплуатируя которые можно нарушить работоспособность всей системы.
Обновление прикладного ПО «на лету» (например, для корректировки алгоритмов);
Снимки состояний рабочей среды (использование с целью резервного копирования);
Балансирование нагрузки в распределенной вычислительной системе.
На сегодняшний день поддерживается единственная архитектура — x86-64 и следующие объекты ОС Linux:
V Процессы, их иерархия, PID, идентификаторы пользователя и группы (uid, euid, sid, …), системные права.
V Память приложений, включая отображенные файлы и разделяемые участки.
-
V Открытые файлы.
-
V Pipes, включая FIFO.
-
V Сокеты Unix.
-
V Сокеты TCP/IP (в том числе и в состоянии ESTABLISHED).
-
V System VIPC.
-
V Таймеры [4].
В настоящий момент виртуализация не используется в промышленных ИТ-системах в таком виде. Checkpoint-restore in userspace — новая открытая технология, которая была представлена публике относительно недавно.
Список литературы Надежность и безопасность по АСУТП
- Интернет-источник: Безопасность промышленных систем в цифрах. Материалы исследования экспертов компании Positive Technologies. -Режим доступа: http://ptsecurity.ru/download/SCADA_analytics_russian.pdf.
- Интернет-источник: Материалы выступления бизнес-консультанта по безопасности компании Cisco Systems А.В. Лукацкого на XI Ежегодной Всероссийской конференции «Обеспечение информационной безопасности. Региональные аспекты. ИнфоБЕРЕГ-2012» -Режим доступа: http://www.slideshare.net/lukatsky/ss-14279925.
- Интернет-источник: Официальный сайт технологии виртуализации OpenVZ. -Режим доступа: http://openvz.org/Main_Page.
- Интернет-источник: Официальный сайт разработчиков технологии CRIU. -Режим доступа: http://criu.org/Main_Page.