Надежность и безопасность по АСУТП

Автор: Осипов Иван Сергеевич

Журнал: Горные науки и технологии @gornye-nauki-tekhnologii

Статья в выпуске: 3, 2014 года.

Бесплатный доступ

В настоящей статье рассмотрены основные проблемы надежности и безопасности ПО АСУ ТП. Приведена статистика по обнаруженным уязвимостям, описаны характерные для промышленных ИТ-систем риски. Для обеспечения безопасности и надежности ПО АСУ ТП предложено использование технологии виртуализации OpenVZ, а также программного комплекса CRIU.

Надежность по асу тп, безопасность по асу тп

Короткий адрес: https://sciup.org/140230058

IDR: 140230058

Текст научной статьи Надежность и безопасность по АСУТП

До недавнего времени вопросу обеспечения безопасности и резервирования программного обеспечения АСУТП уделялось не так много внимания и этому способствовали следующие предпосылки:

на промконтроллерах используются операционные системы собственной разработки производителя – QNX (реже – Linux) или DOS, информация о которых доступна ограниченному кругу лиц;

промышленные сети обычно изолированы не только от сетей общего пользования, но и от внутренних сетей предприятия, в них применяется очень специфическое оборудование, все процессы чётко регламентированы.

Таким образом, в целом IT-инфраструктуры АСУТП считались достаточно хорошо защищенными и надежными. Данное ошибочное, как оказалось, представление пришлось пересмотреть с обнаружением принципиально нового вредоносного ПО – компьютерного червя Stuxnet.

В процессе решения задачи обеспечения безопасности ПО АСУТП осуществляется создание модели угроз и модели потенциального злоумышленника.

По данным Positive Technologies, наибольшее количество уязвимостей (42) за отчетный период было обнаружено в компонентах АСУ ТП производства компании Siemens. На втором месте — системы Broadwin/Advantech (22 уязвимости). На третьем — Schneider Electric (18). Как в любых IТ-системах, в случае с АСУ ТП наибольшее количество уязвимостей обнаруживается в самых распространенных решениях. При это наибольший интерес для злоумышленников могут представлять такие составляющие АСУ ТП, как системы SCADA и человеко-машинного интерфейса (HMI), в которых обнаружено 87 и 49 уязвимостей соответственно. В программируемых логических контроллерах различных производителей за отчетный период нашли 20 уязвимостей [1].

В настоящее время для АСУ ТП характерны следующие риски:

  • V    Архитектура сетей не всегда позволяет обеспечить безопасную передачу данных. На многих предприятиях используются незащищенные беспроводные соединения;

  • V    Кардинально изменить архитектуру сети передачи данных работающей АСУ ТП затруднительно или невозможно вовсе;

  • V    Часто удаленный доступ к промышленным системам осуществляется без авторизации;

  • V    Возможность нецелевого использования вычислительных ресурсов промышленных ИТ-систем;

  • V Отсутствует проверка подлинности управляющих команд;

V Недостаточное количество инструментов для обнаружения подозрительной активности и расследования инцидентов ИБ.

Специалисты по информационной безопасности компании Cisco Systems отмечают, что можно повысить общий уровень надежности и безопасности АСУ ТП, прибегнув к следующим мерам:

V Кластеризация или дублирование компонентов  АСУ ТП, позволяющих осуществлять установку обновлений без простоя АСУ ТП;

V Полное резервирование информации, а также  реализация резервных тестовых платформ [2].

Для реализации описанных выше мер целесообразно прибегнуть к использованию виртуализации на уровне ОС с использованием технологии OpenVZ, которая базируется на ядре Linux. OpenVZ позволяет на одном физическом сервере запускать множество изолированных копий операционной системы, называемых «виртуальные частные серверы». Виртуализация на уровне операционной системы в OpenVZ даёт лучшую производительность, масштабируемость, плотность размещения, динамическое управление ресурсами, а также лёгкость в администрировании, чем у альтернативных решений. Согласно информации, представленной на официальном сайте OpenVZ, накладные расходы на виртуализацию очень малы, и падение производительности составляет всего 1-3 %, по сравнению с обычными Linux-системами [3].

Каждая виртуальная среда по сути — отдельная сущность: имеет свои собственные файлы, пользователи и группы, дерево процессов, сеть, устройства и объекты межпроцессорного взаимодействия (разделяемая память, семафоры, сообщения).

Преимущества использования виртуализации:

изоляция систем;

возможность осуществлять обновления ядра ОС и ПО без перезагрузки системы при помощи технологии «Checkpoint-restore in userspace».

Возможности технологии Checkpoint-restore in userspace»:

«Живая» миграция систем;

Ускорение старта тяжелых приложений;

Обновление ядра “без перезагрузки” (многие промышленные ИТ-системы не обновляются годами, поскольку для вступления обновлений в силу необходима перезагрузка , которую невозможно осуществить при непрерывном производственном цикле). Проблема заключается в том, что устаревшее ПО имеет достаточное количество известных уязвимостей, эксплуатируя которые можно нарушить работоспособность всей системы.

Обновление прикладного ПО «на лету» (например, для корректировки алгоритмов);

Снимки состояний рабочей среды (использование с целью резервного копирования);

Балансирование нагрузки в распределенной вычислительной системе.

На сегодняшний день поддерживается единственная архитектура — x86-64 и следующие объекты ОС Linux:

V Процессы, их иерархия, PID, идентификаторы пользователя и группы (uid, euid, sid, …), системные права.

V Память приложений, включая отображенные файлы и разделяемые участки.

  • V    Открытые файлы.

  • V    Pipes, включая FIFO.

  • V    Сокеты Unix.

  • V    Сокеты TCP/IP (в том числе и в состоянии ESTABLISHED).

  • V    System VIPC.

  • V    Таймеры [4].

В настоящий момент виртуализация не используется в промышленных ИТ-системах в таком виде. Checkpoint-restore in userspace — новая открытая технология, которая была представлена публике относительно недавно.

Список литературы Надежность и безопасность по АСУТП

  • Интернет-источник: Безопасность промышленных систем в цифрах. Материалы исследования экспертов компании Positive Technologies. -Режим доступа: http://ptsecurity.ru/download/SCADA_analytics_russian.pdf.
  • Интернет-источник: Материалы выступления бизнес-консультанта по безопасности компании Cisco Systems А.В. Лукацкого на XI Ежегодной Всероссийской конференции «Обеспечение информационной безопасности. Региональные аспекты. ИнфоБЕРЕГ-2012» -Режим доступа: http://www.slideshare.net/lukatsky/ss-14279925.
  • Интернет-источник: Официальный сайт технологии виртуализации OpenVZ. -Режим доступа: http://openvz.org/Main_Page.
  • Интернет-источник: Официальный сайт разработчиков технологии CRIU. -Режим доступа: http://criu.org/Main_Page.
Статья научная