Журнал "Системы безопасности" #5, 2019

О П С , П О Ж А Р Н А Я Б Е З О П А С Н О С Т Ь 89 шифрованием). С тех пор прошло более 20 лет, и информационный мир сильно изме- нился. Сейчас вряд ли мы задумываемся о выделении дополнительных вычислительных мощностей, а главным альтернативным решением описанной проблемы является повсеместное использование волоконно- оптических линий связи. Тем не менее имеет смысл при выборе кабеля для ЛВС просчитать различия между FTP и UTP и выбрать экрани- рованный (FTP), тем более что помимо информационной безопасности есть еще электромагнитная совместимость, вопросы которой очень актуальны для крупных элек- троэнергетических объектов (п. 3 в квалифи- кации рисков из первой части статьи). Пломбирование шкафов с оборудованием Следующим простейшим техническим решени- ем, направленным на обеспечение информа- ционной безопасности, является пломбирова- ние шкафов с оборудованием АС. Данная мера закреплена в ряде государственных стандартов, активно используется в системах коммерческо- го учета энергоресурсов, телемеханики. Но по сути своей она полезна только в качестве инструмента третьих лиц для надзора над экс- плуататором АС, то есть является мерой конт- роля, а не обеспечения безопасности. Другое дело более продвинутая версия пломбирования – сигнализация открытия двери шкафа или сня- тия крышки. При мгновенной передаче инфор- мации о данном событии в диспетчерский центр уровень защищенности АС существенно возрастает, а возможности злоумышленников незаметно подключиться к сети, соответственно, снижаются. Типовые решения по безопасности сети Теперь рассмотрим наиболее крупный кластер вопросов информационной безопасности, свя- занный с телекоммуникационной инфраструк- турой – сетью передачи данных АС. Здесь есть несколько непреложных правил, закрепленных практически во всех стандартах и логически вытекающих одно из другого. Рассмотрим их на примере стандарта СТО 56947007- 29.240.10.167–2014 "Информационно-техно- логическая инфраструктура подстанций. Типо- вые технические решения" ПАО "ФСК ЕЭС". Сегментация ЛВС АС Необходимо сегментировать ЛВС АС с учетом технических требований к организации взаимо- действия подсистем в составе телекоммуника- ционной инфраструктуры АС. В первую очередь сегментирование необходи- мо для возможности изолирования части сети, а именно проблем, возникших в рассматри- ваемом сегменте. Аналогичным образом решается вопрос доступа в различные подси- стемы, в зависимости от уровня допуска поль- зователя. Так, для систем коммерческого учета энергоресурсов, как правило, отдельно выде- ляется сегмент сети передачи данных на АРМ энергетиков. Он является наиболее подвер- женным различным угрозам из-за человече- ского фактора, но в то же время можно легко ограничить трафик в этот сегмент благодаря однотипности передаваемых по сети данных (запросы к системе управления базами дан- ных и соответствующие им данные по конкрет- ному разрешенному администратором АС перечню). Для того чтобы такой механизм работал, требу- ется отделить сегменты сети друг от друга и от внешнего информационного пространства на физическом уровне. Межсетевое экранирование ЛВС Необходимо обеспечить межсетевое экраниро- вание ЛВС с целью разделения подсетей или технологических информационных систем и ограничения передачи данных информацион- ных систем. Межсетевой экран позволит существенно повысить информационную безопасность АС за счет контроля всего входящего и исходящего трафика в конкретной точке сети. Действующий по набору строгих пра- вил межсетевой экран не только обеспечит требования п. 1, указанного выше, но и фактически станет ключевым звеном умной изоляции АС. Как правило, межсетевые экраны устанавливаются на входе/выходе сети из географических границ объекта (например, подстанции), на границах сег- ментов, а также в точках подключения сети АС к внешним сетям. Межсетевой экран необходим при подключении АС непосред- ственно к сети Интернет. Исходя из опыта можно сказать, что даже принудительное закрытие портов коммутационных устройств вкупе с установкой антивирусного ПО не является достаточной гарантией защиты от вредоносных атак. Как следует из названия, межсетевой экран доступен для установки в ключевых узловых точках между сегментами ЛВС АС и другими сетями. Для контроля безопасности внутри выделенного фрагмента используется другое техническое решение. Управляемые коммутаторы Все сетевые коммутаторы, входящие в состав информационно-технологической инфраструк- туры, должны быть управляемые, использова- ние неуправляемых коммутаторов (хабов) не допускается. Главная проблема хабов заключается в их неизбирательности: они транслируют инфор- мацию на все устройства, подключенные к ним, что создает гигантскую дыру в безопас- ности сети. В целях защиты необходимо осу- ществлять контроль и администрирование доступа к сети, что возможно только при использовании управляемых коммутаторов. Как правило, помимо общей настройки списка авторизованных устройств по MAC-адресу используется сигнализация о значимых собы- тиях в рассматриваемых сегментах сети, например ошибках аутентификации, отключе- нии и включении линии, новых MAC-адресах в сети, сбоях в работе самого коммутатора. Правильный анализ полученных сообщений сделает невозможным несанкционированное подключение к сети. В сетях передачи данных АС непосредствен- но на энергетических объектах вместо ком- мутаторов могут использоваться преобразо- ватели интерфейсов, функционал которых несколько отличается. Отказаться от исполь- зования данных устройств технологически невозможно, а опасность подключения к сети контроллеров RS-485 минимальна при отсутствии информации о связных номерах устройств в линии. Однако в сетях на инфор- мационно-вычислительных уровнях АС, которые зачастую находятся в электроуста- новках третьих лиц, использование хабов может стать фатальным для функционирова- ния системы. www.secuteck.ru октябрь – ноябрь 2019 В опрос обеспечения информационной безопасности автоматизирован- ных систем на энергообъектах в российских реалиях часто сводится к банальной изоляции рассматриваемой АС. Как показывает практика, с течением времени данное техническое решение все больше утрачи- вает свою эффективность www.rostec.ru

RkJQdWJsaXNoZXIy Mzk4NzYw