Журнал "Information Security/ Информационная безопасность" #5, 2025

Промышленный межсетевой экран. В чем особенности? Все начинается с требований регуля- тора. Для таких устройств у ФСТЭК России есть специальный свод правил – профиль защиты для МЭ уровня про- мышленной сети – ИТ.МЭ.Дx.ПЗ, или просто "тип Д". Он включает шесть клас- сов, где с каждым шагом требования ужесточаются. Профиль защиты описы- вает необходимую функциональность. В свою очередь, профиль типа Д, напри- мер, если сравнивать с типом А (МЭ уровня сети), делает особый акцент на фильтрации промышленных прото- колов на уровне команд, отказоустой- чивости и сервисных режимах. Зада- ча – обеспечить полный контроль инфор- мационных потоков, фильтрацию про- мышленных протоколов, резервирование устройства – и все это, конечно, без ущерба для доступности технологиче- ской сети. И, как это часто бывает, дья- вол кроется в деталях. Отказоустойчивость и резервирование: не опция, а необходимость Требования по резервированию есть и в типе А, и в типе Д. Но для промыш- ленной сети переключение на резерв, длящееся дольше цикла опроса, – это уже не отказоустойчивость, а авария. 5–10 секунд простоя для ИТ-сети – мелочь. Для технологической сети, где время опроса контроллеров измеряется миллисекундами, – это уже авария с реальными финансовыми потерями. Но одного быстрого переключения мало, оконечные промышленные устройства не должны зависеть от таких инцидентов, и лучше это сделать максимально бес- шовно. Как этого достичь? Один из приемов – создание отказоустойчивой пары устройств. Пара МЭ резервируют друг друга, для них используется один виртуальный IP- и один виртуальный MAC-адрес. Если одно устройство "пада- ет", то другое подхватывает нагрузку так, что остальное оборудование даже не замечает подмены. Возникает вопрос: зачем в промыш- ленной сети дополнительно нужен вир- туальный MAC, а не только IP? Все упи- рается в специфику. Устройства в своих ARP-кэшах помнят шлюз по связке IP- MAC. Общий виртуальный MAC позволяет резервному МЭ сразу принять трафик, не дожидаясь обновления ARP-кэша на всех узлах. Это и обеспечивает быстрое, предсказуемое переключение, критичное для технологического процесса. Фильтрация протоколов: защитить, не сломав Двинемся дальше и перейдем к более фокусным инструментам. Основа каждой технологической сети передачи данных – промышленный протокол. У нас по- прежнему в ходу "дедушка" Modbus, жив-здоров IEC 104, а кое-где еще встре- чается и своенравный S7comm. Эти про- токолы создавались в другую эпоху, без мыслей о защите. Исправить это – зада- ча МЭ типа Д. Но как фильтровать тра- фик, не нарушив процесс? Возьмем тот же IEC 104 – это протокол для энергетики, часто – для связи между объектами. Защищать его нужно через инспекцию и анализ трафика. Но вот в чем загвоздка: это не просто набор дан- ных, это своя сессия на прикладном уровне. Если мы просто отбросим "плохой" пакет, мы разорвем сессию протокола – нарушится порядок сообщений. Полу- чится ситуация, словно технолог, кото- рый при обнаружении брака в одной детали останавливает весь конвейер. Да, угроза заблокирована, но и про- изводство встало. Наша же задача, не остановить кон- вейер, а аккуратно изъять бракованную деталь из потока. Именно этот принцип и лежит в основе умной инспекции тра- фика для промышленных протоколов. Проверяются команды внутри протокола без прерывания общей сессии обмена, то есть не ломая сам процесс обмена технологическими данными. Гибкость и применимость такого подхода гораздо выше. Аппаратная часть: железо должно быть надежным Аппаратная часть промышленного МЭ должна быть промышленной – это одно- значное правило. В различных отраслях набор требований может отличаться, но общими являются: пассивное охлажде- ние, расширенный температурный диа- пазон, устойчивость к вибрациям и элек- тромагнитным помехам, резервирование питания. Такой МЭ – не просто бонус, а стра- ховка от дорогостоящих простоев. А установка оборудования офисного класса с активным охлаждением в про- мышленной среде – это сознательное создание точки отказа. И еще один важный штрих: логирование Вся информация, логи устройства и события безопасности должны быть не просто понятными, а однозначными для эксплуатирующих АСУ ТП инжене- ров. Очень здорово, когда в устройстве есть отдельный журнал событий АСУ ТП с внятной детализацией. Если же из-за сложной подачи инфор- мации идентификация событий затруд- нена, ее полезность сводится на нет. Система логирования должна быть адап- тирована под персонал, который с ней работает. Заключение Промышленный МЭ – это не просто корпоративный файрвол в металличе- ском корпусе. Это устройство, в котором отказоустойчивость, умная фильтрация промышленных протоколов и надежная аппаратная часть работают вместе с еди- ной целью – защитить данные в техно- логическом процессе, не нарушив их доступность. l 58 • ТЕХНОЛОГИИ Безопасность без нарушения доступности: особенности промышленных межсетевых экранов ащита сети промышленного объекта – это комплексная зада- ча, не имеющая единого простого решения. Однако несмотря на сложный и многоуровневый подход, одним из ключевых элементов такой системы защиты по-прежнему остается меж- сетевой экран (МЭ). Но не обычный, а промышленный. З Сергей Воробьев, менеджер продукта RTT Рис. 1. МЭ RTT-M300F для защиты промышленных сетей Фото: Русьтелетех Фото: Русьтелетех На правах рекламы