Решения Cisco для обеспечения кибербезопасности промышленных систем автоматизации и управления

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Решения Cisco для обеспечения
кибербезопасности
промышленных сетей
Алексей Лукацкий
Бизнес-консультант по безопасности
20 апрель 2016 г.

Wireless MESH
Industrial Wireless
WiFi
Ethernet
Fibre subring
Fibre backbone
Non-wired backup

Cisco IE коммутаторы: обзор портфолиоФУНКЦИИ
§ Layer 2
§ Small Form Factor
§ IP30 and IP67
§ CC*
§ DLR (only Stratix)
§ Profinet MRP
§ Layer 2 NAT
§ IEEE 1588 PTP
§ PoE/PoE+
§ Layer 2 and 3
(IP services)
§ Small Form Factor
§ PRP
§ IEEE 1588 PTP
& Power Profile
§ PoE/PoE+
Cisco® IE
2000 Series
Cisco IE 2000U
Series
§ Layer 2 or 3
(IP services)
§ Modular
§ Up to 24 ports
§ IEEE 1588 PTP
§ PoE/PoE+
§ Layer 2 or 3
(IP services)
§ 1RU
§ 2 GE combo uplinks
§ 8 PoE and 16 SFP
or 24 copper
§ Power profile
(CGS2520)
§ PoE/PoE+
Cisco IE 3000
Series
Cisco IE 3010
Series Cisco
CGS-2520
Доступ
Лучшие в классе
Cisco IE 4000 Series
Агрегация
1 Gbps
§ Designed for all
industries
§ Layer 2 or 3
(IP services)
§ 4-port GE uplinks
§ Up to 20 ports GE
§ IEEE 1588 PTP &
power profile
§ Layer 2 NAT
§ Up to 8
PoE/PoE+
§ Dying Gasp
§ TrustSec® SGT
HW ready
§ MACsec
§ FNF HW ready
§ Time Sensitive
Network (TSN)
HW ready
2014 Control
Engineering
Award
2014 Interop
Tokyo
IoT Award
10/100 Mbps
‘*’ –Selected Models
Cisco IE 5000 Series
§ Designed for all
industries
§ Layer 2 or 3
(IP services)
§ 4-port 10GE or
GE uplinks
§ 24 ports GE
§ IEEE 1588 PTP &
power profile
§ Layer 2 NAT
§ Up to 12 PoE/PoE+
§ Dying Gasp
§ TrustSec® SGT
HW ready
§ MACsec HW ready
§ FNF hardware
ready
§ Time Sensitive
Network (TSN) HW
ready
§ CC*
10 Gbps

Точки доступа CiscoAironet OutdoorAccess Points
1530 1550H 1570
• Низкопрофильная
• 11n, 2G: 3x3:3;; 5G: 2x3:2
• Внутр/внеш. антенны
• Гибкая по интерфейсам
подключения
• 11n, 2x3:2 (Tx/Rx/SS)
• Лучшая в семействе
• 11ac, 4x4:3 (Tx/Rx/SS)
• Модули расширения
IW3700
• Компактная
• 11ac, 4x4:3 (Tx/Rx/SS)
• Внешние антенны

Cell/Area Zone
Уровни 0-2
Индустриальная
зона
Уровень 3
Буферная
зона
(DMZ)
Контроль в реальном
времени
Конвергенция
Multicast Traffic
Простота использования
Сегментация
Мультисервисные сети
Безопасность приложений и
управления
Контроль доступа
Защита от угроз
Сеть предприятия
Уровни 4-5
Gbps Link for Failover
Detection
Firewall &
IPS
Firewall & IPS
Application Servers
Cisco
Catalyst Switch
Network Services
Cisco Catalyst
6500/4500
Cisco Cat. 3750
StackWise Switch Stack
Patch Management
Terminal Services
Application Mirror
AV Server
Cell/Area #1
(Redundant Star Topology)
Drive
Controller
HMI Distributed I/O
Controller
DriveDrive
HMI
Distributed I/O
HMI
Cell/Area #2
(Ring Topology)
Cell/Area #3
(Bus/Star Topology)
Controller
Интеграция в сеть предприятия
UC
Wireless
Application Optimization
Web Apps DNS FTP
Internet
Identity Services Engine
Архитектура Ethernet-to-the-Factory (ETTF)

Новая сертификация CCNA Industrial
20.04. © 2015 Cisco and/or its affiliates. 6

Cisco Connected Industries Business Unit
Ruggedized
Wireless AP
Industrial
Routers & Switches
Industrial
Security
Продукты в
защищенном
исполнении
Converged
Plant
Road & Rail
Network
Infrastructure
Machine
Builder
Connected
Vehicle
Connected
MachineSmart Solution
Pervasive
Security
Scalable
Routing
Deterministic
Ethernet
Big Data
Management
Guaranteed
DeliveryДрайверы IoE
Time
Sync
Process Mfg.
Oil & Gas Transportation
Discrete
Mfg.
Machine to
Machine
Отрасли
Партнеры
Advanced
Services
+
Hardened Mobile
M2M Gateway
Connected
Vehicle

Почему нельзя начинать с продуктов?

Из чего состоит решение по защите промышленной сети?
Уровень реализации
Логический уровень
Концептуальный уровень
Люди Политики Технологии

Эталонная архитектура в ИБ промышленной сети
Общая политика,
управление и учет
контекста в области
IoT-безопасности
Конвергированная структура
политик (IT/OT)
Управление политиками на
оконечных устройствах
Управление идентификацией
Конфигурация
и управление обновлениями
Инициализация
Управление учетными
данными
Нормативное соответствие
AAA
Агрегация контекста
и совместное
использование
Облачная безопасность Защита приложений Открытые и партнерские
API-интерфейсы
Обнаружение уязвимостей и
вредоносного ПО
Сбор телеметрии
и анализ угроз
Управление
журналами/SIEM и их
сохранение
Экспертиза
(напр. Что произошло?)
Мониторинг и контроль
приложений IoE
с сохранением состояния
Детализованное управление доступом
(Гость/подрядчик, сотрудник и вещи)
Удаленный доступ для
обслуживания устройств, процессов
и систем управления
Профилирование
IoT-устройств и оценка
защищенности
Аутентификация и управление ключами доступа
802.1X, MAB, Гостевые
(в т.ч. устаревшие), 802.11i, 802.15.4
Транспортное шифрование
(802.11i, TLS, 802.1AE…)
Исследования, анализ и защита от угроз (в т.ч. в облаке)
Применение политик (Сеть)
Безопасность на транспортном уровне
Сообщество Intel
Сетевая безопасность IoT-устройств (FW/IPS/VPN)
Безопасность на физическом уровне
Обнаружение Мониторинг
РеагированиеАнализ
Безопасность устройств TPM, HSM, аттестаты безопасности, безопасное
хранение

Архитектура безопасности

Смена парадигмы в кибербезопасности промышленной сети
• Принимаемые организационные и технические меры защиты информации должны
обеспечивать доступность обрабатываемой в АСУ ТП (исключение неправомерного
блокирования информации), ее целостность (исключение неправомерного уничтожения,
модифицирования информации), а также, при необходимости, конфиденциальность
(исключение неправомерного доступа, копирования, предоставления или распространения
информации)
• Организационные и технические меры защиты информации должны быть согласованы с
мерами по промышленной, физической, пожарной, экологической, радиационной
безопасности, иными мерами по обеспечению безопасности АСУ ТП и управляемого
(контролируемого) объекта и (или) процесса и не должны оказывать отрицательного
(мешающего) влияния на штатный режим функционирования АСУ ТП

Иерархическая модель управления в промышленной сети
Зона Enterprise
MES, CRM, SCM, ERP
DMZ
Зона производства
SCADA
Cell/Area Zone
I/O, HMI, PAC/PLC
Demilitarized Zone — Shared Access
Enterprise Network Level 5
Site Business Planning and Logistics Network Level 4
Site Manufacturing Operations and Control Level 3
Area Control Level 2
Basic Control Level 1
Process Level 0

Характерные приложения и системы
MES — Manufacturing Execution System измеряет и контролирует параметры
производства;; отслеживает и измеряет ключевые операционные критерии, такие как
продукты, оборудование, инвентарь, дефекты, задания и тд – ключевой интерфейс
для систем уровня Enterprise.
Historian – Собирает исторические данные с уровня производства и производит
отчеты в разных форматах. Level 3
SCADA—Supervisory Control and Data Acquisition;; Широкомасштабная
распределенная система измерения и контроля, накрывает географические локации
PAC (или PLC)— Программируемый контроллер автоматики;; контролирует часть
производственной ячейки, функциональную линию и связанные устройства
HMI—Human Machine Interfaces изображает операционный статус персоаналу и
может предоставить бизнес-функционал (начать/остановить процесс)
I/O—Input/Output устройства;; устройств измерения или контроля ключевых
функций или аспектов процесса производства;; Level 0

Уровень 5
Уровень 4
Уровень 3
Уровень 2
Уровень 1
Level 0
DMZ
Терминальные сервисы Управление патчами Антивирусный
сервер
Зеркало приложений Управление Web Сервер
приложений
Корпоративная сеть
Сеть логистики и бизнес-планированияE-Mail, Intranet и т.д.
Клиент
Пакетный
контроль
Дискретный
контроль
Drive
Control
Непрерывный
контроль
Контроль
защиты
Сенсоры Моторы Исп.устройства Роботы
Сервер
Factory Directory ПК инженера
Контроллер
домена
Клиент
Operator Interface Engineering Workstation Operator Interface
Web
E-Mail
CIP
Area Supervisory
Control
Basic Control
Process
Зоны кибербезопасности в промышленной сети
Активная защита
IPS, МСЭ, контроль приложений, безопасность контента, защита от вредоносов и т.д.
Активная защита
IPS, МСЭ, защита от вредоносного ПО и т.д.
Гибридная активная/пассивная защита
IDS, зонирование, контроль приложений, защита от вредоносного ПО и т.д.

Ключевые положения кибербезопасности промышленной сети
• Целостность и доступность промышленной сети – главные задачи!
• Контроль трафика между разными уровнями промышленной сети
• Недопущение прямых связей сети производства и корпоративной сетью
• Ограничение real-time трафика производства зоной Manufacturing
• Аутентификация и авторизация по ролям сетевого доступа к сети
• Контроль доступа в промышленную сеть на коммутаторах доступа
• Защита от сетевых атак, начиная с Layer 2
• Защищенный удаленный доступ к промышленной сети
• Соединения должны инициироваться либо из зоны Enterprise либо Manufacturing и
терминироваться в DMZ, инициирование соединений из DMZ только в
исключительных случаях

Cisco SAFE for PCN

Как может выглядеть архитектура промышленного
предприятия?
Бесперебойность
функционирования
технологических процессов
Видимость приложенийи
протоколов, контроль
доступа и управление
угрозами
Работа в реальных ситуациях
- Cisco Validated Design
(CVD)

Архитектура ИБ производства от Cisco
WWW Прило
жения
DNS FTP
Интернет
Гигабитный канал
для определения
аварийного
переключения
Межсетевой
экран
(активный)
Межсетевой
экран
(режим
ожидания)
Серверы
производствен
ных
Коммутатор
уровня доступа
Сетевые сервисы
Коммутаторы уровня
ядра
уровня
агрегации
исправлениями
Сервисы для
терминального
оборудования
Зеркало приложений
Антивирусный сервер
Ячейка/зона 1
(Резервная топология типа «Звезда»)
Диск
HMI Распределенный
ввод-вывод
ДискДиск
HMI
Распределенный
ввод-вывод
HMI
(Топология типа
«Кольцо»)
(Линейная топология)
уровня доступа 2
Ячейка/зона
Уровни 0-2
Производственная зона
Уровень 3
Демилитаризованная зона
Уровень 3.5
Корпоративная сеть
Уровни 4-5
Усиленный межсетевой экран
Усиленная система предотвращения
вторжений (IPS)
Удаленный мониторинг и наблюдение
Управление ПО, конфигурацией и активами
VPN и сервисы удаленного доступа
Межсетевой экран нового поколения
Система предотвращения вторжений (IPS)
Защита от угроз в облаке
Применение политик для всей сети
Контроль доступа
(на уровне приложений)
Межсетевой экран с сохранением
состояния
Защита и определение вторжений (IPS/IDS)
Системы управления физическим
доступом
Сервисы идентификации
ISE

Cisco Connected Factory 3.5.0 – беспроводная инфраструктура
Продукты решения
Бизнес результат
Ключевые параметры
Уменьшение затрат
Factory Mobility
• Mobile Controls visibility
• Wireless tooling, I/O
• Asset Tagging
• Mobile video
• Mobile Apps
• 1552 AP, 2600 AP, WLC
• Stratix 5100 AP
• Ent Mobility Svs Platform
• IOE Site surveys
CVD от Ноября‘14Cell / Area Zone Level 0 – 2
Enterprise Zone Level 4 - 5
Industrial Zone Level 3
Industrial Demilitarized Zone
Catalyst 3750X
Catalyst
4500/6500
ASA 55xx-X
(Active)
ASA 55xx-X
(Standby)
• Wide Area Network (WAN)
• Physical or Virtualized Servers
• ERP, Email
• Active Directory (AD), AAA – Radius
• Call Manager, etc.
Plant Firewalls:
• Inter-zone traffic segmentation
• ACLs, IPS and IDS
• VPN Services – Remote Site Access
• Portal and Terminal Server proxy
Web DNS FTP
Catalyst
Switch
Internet
Cisco 5500 WLC
Cisco WLC
Anchor
Cisco WLC
Industrial Wireless CPWE 3.5.0
Catalyst
2960-X
Catalyst
2960-X
Catalyst
2960-X
Catalyst
2960-X
Failover
Outside
DMZ
DMZ
Inside
Active Directory Fedrated Services
ISE 34xx PAN, MnT, IPN
SiSi SiSi
Patch Management
Terminal Services
Data Share
Cisco Video Surveillance Data Share
Application Server
AV Server
FactoryTalk AssetCentre
FactoryTalk View Server, Clients & View Studio
FactoryTalk Batch
FactoryTalk Historian
RSLinx Enterprise
FactoryTalk Security Server
Cisco Video Surveillance Manager
1588 Precision Time Protocol Service
Active Directory Federated Services
Remote Access Server
Studio 5000
Cisco 5500 WLC (redundancy option)
Controller
HMI
I/O I/O
WGB
I/O
Drive
WGB
Controller
I/O I/O
A P
A P
WGB
X
WGB
Roaming I/OCell/Area #
(Wireless Topology)
A P
A P
ISE Policy Service Node
БЛВС
производства

Архитектура ИБ транспортного блока от Cisco
PTC
IPICSVSMS / VSOM
IP/MPLS
Домен
UCS
WAN/ Ядро
Центр управления
Трансп. зона
Усиленный межсетевой экран
Усил. система обнаружения вторжений
(IDS)
Удаленный мониторинг и наблюдение
Управление ПО, конфигурацией
и активами
VPN и сервисы удаленного доступа
Межсетевой экран нового поколения
Система предотвращения вторжений (IPS)
Защита от угроз в облаке
Применение политик для всей среды
Контроль доступа на уровне приложений
Межсетевой экран с сохранением
состояния
Система обнаружения вторжений (IDS)
Системы управления физическим
доступом
Сервисы идентификации
Сети безопасности
и управления
процессами
Offload
VSMS
PTC 3000
TMC
Оборудование
Мультисервисные сети

Архитектура ИБ железнодорожного транспорта отCisco

Суб-архитектуры ИБ для железнодорожного транспорта
• Конвергентная сеть в
вагонах и голове состава
• Поддержка Wi-Fi
• Предоставление
расширенных сервисов
пассажирам
• От SDN к MPLS/IP
• Конвергентная сеть
• Высокая пропускная
способность для новых
• Конвергентная сеть
станции
• Поддержка Wi-Fi
• Предоставление
расширенных сервисов
пассажирам
Решение Connected Rail
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
1:05PM
Passenger ServicesSafety & Security Station Operations
PoE PoE
PoE
""
CISSMS
Connected Train Connected Trackside Connected Station

Архитектура ИБ аэропорта от Cisco
Multitenant
Network
Cisco
Connected
Airport
–
Reference
Architecture
(Issued
V1)
For
More
Information:

Ted
Nugent
–
BDM
Aviation
runugent@cisco.com

Enabling
Airports
to
Create
a
Sustainable
Infrastructure
WAN
Aggregation
Operations
ControlTerminalHangar
or
Warehouse
Primary
Data
Centre
Internet
Edge
Teleworker/Mobile
Worker
Network
Management
Freight
/
Cargo
operations
Airport
Admin/Tenants
M
&
E
Infrastructure Passenger,
Airport
Staff

&
Airline
WiFi
Cloud
Services
IP
Soft
Phone
TelePresence
MOVI

Video
Conferencing
Virtual
Desktop
WAAS
Mobile
Anyconnect
VPN
Client
Video
Communication

Server
(VCS)

Expressway
TelePresence
TelePresence
Ironport
Email
Security
Anti-‐Spam,
Anti-‐Virus
Data
Loss
Prevention
(DLP)
Ironport
Web
Security
Acceptable
Use
Policy
(AUP)
Malware
Prevention
IP
Phone WiFi
Access
Point
SCADA
Door
Access
ControlVideo
Surveillance
Digital
Signage
IP
Video
Phone WiFi
Access
Point
Door
Access
Control
Video
Surveillance
TelePresence
Digital
Signage
IP
Video
Phone WiFi
Access
Point
Door
Access
Control
Video
Surveillance
ASA5500
Firewall
Intrusion
Prevention
(IPS)
Virtual
Private
Network
(VPN)
Door
Access

Control
Analogue
Camera
ISR
G2
Router
VPN
Firewall
Wireless
ASR1000
Router
WebEx
Node
WAN
Optimisation

(WAAS)
Catalyst
6500
VSS
Services
Layer
Firewall
Server
Load
Balancing
(ACE)
Network
Application
Monitoring
(NAM)
Catalyst
6500
VSS
Core
Switch
Door
Access
Control
WiFi
Access
Point Video
Surveillance
Virtual
Matrix
IP
Phone
Console
MDS
9500
SAN
Switch
Storage
SAN
Unified
Computing

System
(UCS)
Blade
Unified
Computing

System
(UCS)
Blade
Nexus
5000
Switch
Nexus
5000
Switch
Unified
Computing

System
(UCS)
Blade
Nexus
2000
Switch
Nexus
2000
Switch
Nexus
7000
Core/Aggregation
Switch
Nexus
7000
Core/Aggregation
Switch
Catalyst
6500
VSS
Services
Layer
Firewall
Server
Load
Balancing
(ACE)
Network
Application
Monitoring
(NAM)
MDS
9500
SAN
Switch
Push-‐To-‐Talk
Radio

(IPICS)
Digital
Signage
IP
Video
Phone
WiFi
Access
Point
Door
Access
Control
Storage
TelePresence
Tenant
2 WiFi
Access
Point
Unified
Computing

System
(UCS)
Rack
Digital
Signage
Video
Wall
Video
Surveillance
Unified
Computing

System
(UCS)
Rack
Unified
Computing

System
(UCS)
Rack
Nexus
2000
Switch
Nexus
5000
Switch
Door
Access
Control
IP
Video
Phone
VXC/Tablet

(Virtual
Desktop)
VXC/Tablet

(Virtual
Desktop)
Digital
SignagePC/Tablet

(Virtual
Desktop)
Catalyst
3850
Switch
Cluster
PoE
Energywise
Catalyst
6500
VSS
Core
Switch
Wireless
LAN
Controller
(Guest
Access)
Video
Surveillance
TelePresence
Tenant
1 WiFi
Access
Point
Door
Access
Control
IP
Video
Phone
Digital
SignagePC/Tablet

(Virtual
Desktop)
Video
Surveillance
TelePresence
Tenant
1 WiFi
Access
Point
Tenant
2
IP
Video
Phone
Digital
SignagePC/Tablet

(Virtual
Desktop)
Video
Surveillance
WiFi
Access
Point
Door
Access
Control
IP
Video
Phone Digital
Signage
PC/Tablet

(Virtual
Desktop)
Video
Surveillance
Building
Management
System
(BMS)
HVAC/Lights
Hypervisor
Nexus
1000v
Virtual
Machines
Hypervisor
Nexus
1000v
Virtual
Machines
Hypervisor
Desktop
Virtualisation

Software
Virtual
MachinesCommunication

Manager
(CUCM)
Unity
Connection

(CUC)
Jabber
(Presence)
Contact
Centre

(UCCX)
Meeting
Place
Attendant

Console
O
S
O
S
O
S
O
S
O
S
O
S
Digital
Media

Manager
(DMM)
Show
&
Share

Server
Webex
Social
Network

Management
TelePresence
Ctrl

Server
(TCS)
TelePresence

Manager
(TMS)
O
S
O
S
O
S
O
S
O
S
O
S
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
WAN
Optimisation

(WAAS)
Wireless
LAN
Controller
IPICS
Server
Physical
Access

Manager
(PAM)
Video
Surveillance

Operations
Manager
Video
Surveillance

Media
Server
(VSMS)

Mobility
Services

Engine
(MSE)
Media
Exchange

Engine
(MXE)
Video
Comms
Server

(VCS)
PSTN
ISR
G2
PSTN
Gateway
Voice/Video
DSPPrime
Cisco
Security

Manager
(CSM)
Data
Centre
Network

Manager
(DCNM)
Network
Control

Systems
(NCS)
LAN
Management

System
(LMS)
Identity
Service

Engine
(ISE)
Network
Analysis

Module
(NAM)
Collaboration

Manager
(CM)
Fibre
Channel
over
Ethernet
(FCoE)
Fibre
Channel
Storage
Links
Ethernet
VXC/Tablet

(Virtual
Desktop)
Rugged
Mobile
Computer

Connected
Field
Staff
Cisco
Connected
Airport
–
Reference
Architecture
©
Copyright
2011-‐13
Cisco
Systems,
Inc.
All
Rights
Reserved.
Industrial

Ethernet
via
Cisco
Rugged
Switches

and
Routers
(CGS-‐2520,
IE2000,
CGR-‐2010)

support
SCADA
communications
through

hierarchical
segmentation.
This
results
in

reduced
cost
and
complexity
with
increased

efficiency,
scale,
resilience,
policy
enforcement

and
defence-‐in-‐depth
security.
The
quality
and
collaboration
capabilities
of

TelePresence
are
far
beyond
typical
Video

Conferencing.
The
realism
and
quality
enhances

the
communication
value
of
meetings
enabling

users
to
catch
every
comment
and
nuance
of
the

conversation.
At
the
same
time,
Rail

Infrastructure
Managers
can
save
money,
time

and
energy
wherever
it
is
used.
Standards
based
Wireless
Mesh
via
the
Cisco

Field
Area
Router
(FAR)
supports
connectivity

of
sensors
for
pro-‐active
monitoring,
control

and
general
telemetry
of
the
Network.
Data
can

be
collected
and
processed
locally
on
the
router

enabling
distributed
intelligence.
Secure
wireless

access
for
field
staff
ensures
“always-‐on”

network
connectivity.
Cisco
Video
Surveillance
solutions
use
the
IP

network
to
deliver
and
receive
live
and

recorded
video
surveillance
media.
The
IP

cameras
are
feature-‐rich
digital
cameras
that

enable
surveillance
in
a
wide
variety
of

environments
available
in
standard
and
high

definition;
wired
and
wireless
offering
efficient

network
utilisation
while
providing
high-‐quality

video.
Virtual
Desktop
Infrastructure
(VXI)
centralises

employee
desktops,
applications
and
data
in

the
data
centre.
It
provides
unprecedented

control
of
the
desktop
and
laptop
environment

and
helps
IT
to
secure
compute,
network
and

data
resources.
VXI
frees
end
users
from
the

constraints
of
a
specific
device
and
reduces
long-‐
term
costs
by
simplifying
management
of
the

desktop
environment.
Cisco
Physical
Access
Control
is
a
cost-‐effective

IP-‐based
solution
that
uses
the
IP
network
for

integrated
security
operations.
It
works
with

existing
card
readers,
locks
and
biometric

devices
and
is
integrated
with
Cisco
Video

Surveillance
and
IP
Interoperability
and

Collaboration
System
(IPICS)
for
a

comprehensive,
holistic
enterprise-‐wide
safety

and
security
solution.
Cisco
Digital
Media
Suite
(DMS)
enables
companies
to
learn,
grow,
communicate

and
collaborate
through
webcasting
and
video
sharing,
digital
signage
and

business
IP
TV
applications.
DMS
allows
quick
and
effective
display
of
information

include
training
for
live/on-‐demand
video
broadcasts,
emergency
messaging,

schedules
and
news;
extending
the
overall
reach
of
corporate
communications.
Cisco
Voice
and
Unified
Communications
develops
interactive
collaboration
by

combining
all
forms
of
business
communications
into
a
single,
unified
solution,
it

will
help
employees,
customers,
supplies
and
partners
to
communicate
with
each

other,
quickly
and
easily
without
obstacles.
Cisco
Security
solutions
protect
assets
and

empowers
the
workforce.
Context-‐aware

security
provides
high
level
intelligence,
policy

governance,
and
enforcement
capabilities.

Significantly
enhancing
the
accuracy,

effectiveness,
and
timeliness
of
any

organisation's
security
implementation.
The
Mobile
TeleWorker
gains
flexibility
and

productivity.
Cisco
delivers
a
suite
of

teleworking
solutions
with
a
cost-‐effective

approach
that
preserves
business
security

and
agility,
increases
productivity,
and

reduce
costs
by
continuously
connecting
the

TeleWorker,
anytime,
from
every
location
at

home
or
on
the
road.
Cloud
Services
can
offer
savings
in
IT
resources

such
as
computing
storage
and
application

services.
“The
Cloud”
can
provide
theses

services
as
elastic
resources
that
are
suitable

for
use
in
existing
or
new
applications
without

a
large
investment
in
capital
resources
and

ongoing
maintenance
costs.
WebEx
delivers

online
meetings
and
easy-‐to-‐use
web

collaboration
tools
to
the
entire
workforce.

Scansafe
keeps
malware
off
the
corporate

network
and
more
effectively
controls
and

secures
web
usage.
Cisco
Unified
Fabric
Data
Centre
provides
flexible,
agile,
high-‐
performance,
non-‐stop
operations;

self-‐integrating

information
technology,
reduced
staff
costs
with
increased

uptime
through
automation,
and
more
rapid
return
on

investment.
It
accelerates
virtualisation
and
enables
automation

to
extend
the
lifecycle
of
mission-‐critical
resources
to
support

evolving
needs.
Rail
companies
can
reduce
their
total
cost
of

ownership
(TCO)
and
increase
business
agility—both
critical
to

combating
the
server
sprawl
and
inefficiency
inherent
in
many

data
centres
today.
Wide
Area
Application
Services
(WAAS)
is
a
comprehensive

WAN
optimization
solution
that
accelerates
applications

over
the
WAN,
delivers
video
to
the
branch
office,
and

provides
local
hosting
of
branch-‐office
IT
services.
Cisco
WAAS

allows
IT
departments
to
centralize
applications
and
storage

in
the
Data
Centre
while
maintaining
LAN-‐like
application

performance.
IP/MPLS
in
the
WAN
enables
converged
secure
link

virtualisation.
It
reduces
overall
costs
by
supporting
multiple

logical
networks
across
a
single
physical
infrastructure.

Physical
Security
ASR
1000
Router ASR
1000
Router
Enterprise
Content

Delivery
Sys
(EDCS)
TPresence
Multipoint

Control
Unit
(MCU)
Mobile
Phone
Anyconnect

VPN
Client
Internet
CGR-‐2010

Rugged

Router
with

VPN/
Firewall
Fire
service
Gatelink

Mobile
Workforce
IP
Phone
IE2000
MPLS Layer
Optical
Layer
P
Router
PE
Router
Operational
Network
Facilities

Management
Voice
Services
RTU
PMR
&Tetra
Catalyst
3850
Video
Gateway
IP
Camera
Vehicle/Passenger
Tracking
Mast
Retail
Passenger
services
Customer

Information

Screens
Help-‐point

Phone
Telephony
Security
Systems
Video
Surveillance
Internet
Access
GPRS/3G/LTE
VG350IP
PhoneIP
Phone IP
Phone
CGS-‐2520
Rugged
Switch
RTU
Building
Management
System
(BMS)
HVAC/Lights
Catalyst
3850
Switch
Cluster
PoE
Energywise
Runway
lighting Maintenance Passenger
services Operations
Analogue
Camera
IP
Phone
Video
Gateway
IP
Camera
Mast
ISR
G2
Router
IPICS
CGS-‐2520
Rugged
Switch
IPICS
IPICS
Kiosks
Mast
NAV
Aids
ISR/3850
MET
819
Router
GPRS/3G/LTE
CGS-‐2520
Rugged
Switch
Control
points
IP
Camera
IP
Phone
819
Router
ISR
G2
Router
RTU
Baggage
Handling
IP
Camera
WiFi
Access
Point
RFID
Tag
Check-‐in
Catalyst
3850
Switch
Cluster
PoE
Energywise
Catalyst
3850
Switch
Cluster
PoE
Energywise
Catalyst
3850
Switch
Cluster
PoE
Energywise
Catalyst
3850
Switch
Cluster
PoE
Energywise
Digital
Signage
BMS
HVAC/Lights
RFID
Tag
ASR
9000
Bus
Field
Area
M2M

Router
3G/LTE
Vehicule
tracking
Field
Area
M2M

Router
3G/LTE Vehicule
tracking
Barcode
Readers
Public
Annoucement
Catalyst
3850 ISR
G2
Router
ISR
G2
Router
Catalyst
3850
Fire/Rescue
Ambulance
Barcode
Readers
Tenants
and
Airlines
ISR
G2
Router
(WAAS,
VPN)
ISR
G2
Router
(WAAS)
WiFi
Access
Point
IP
Video
Phone
PC/Tablet

(Virtual
Desktop)
Catalyst
3850
Outdoor
Wireless
Mesh
Fire/Rescue
ISR/3850ISR/3850ISR/3850
WiFi
Access
Point
GSE
Cargo

Как может выглядеть архитектура цифровой подстанции с
учетом требований регуляторов?
Сегментированиесети и
определение области для
аудита
Видимость приложенийи
протоколов, контроль
доступа и управление
угрозами
Работа в реальных ситуациях
- Cisco Validated Design
(CVD)

Сеть агрегации FAN
ЗОНА 2
Мультисервисная шина
ЗОНА 3
Сеть NERC CIP
ЗОНА 1
Сеть подстанций
Станционная
шина IEC
61850
Шина
процессов
IEC 61850
Архитектура ИБ цифровой подстанции от Cisco
Физическая
безопасность
Взаимодействие
с сотрудниками
Серийные, C37.94, E&M
Периметр электронной безопасности (ESP)
PT ПрерывательCT CTPT
Периметр физической безопасности (PSP)
Прерыватель
IEDMU
Распределенный
контроллерHMI
Устаревшая
RTU
PT CT
Аппаратный
I/O
Сенсор
Устаревшее
реле
РТЗ
Прерыватель
Частный WiMax или LTE
для полевой сети
Точка электронного доступа
Аренд. транспорт пост. услуг Частн. энерг. б/п сеть MPLS/IP
Центр
доступом
ДМЗ
Центр
обработки
данных
HMI
SCADA FEP
EMS
CPAM
VSOM
Аналитика
ист. данных
SIEM
PACS
ACS
CA
LDAP
HMI
соединения
RTU
Защитное
реле
Процессор
коммуникаций
PMU
PDC
Реле
РТЗ

Управление и
Уровень 1
Устройство
Уровень 0
Центр
Уровень 3
Устаревшая
RTU
Сети безопасности и управления процессами Мультисервисные сети
Ист. данные HMI
Отсек питания
Безопасность
Процесс
Питание
Процесс
Контроллер Контроллер Контроллер
Серийные и неразъемные соед.
Ethernet-процессы
Ethernet-мультисервисы
WAN
Беспроводн. соед.
ТранспортRFID
SIEM
Сенсор Движок Клапан Драйвер Насос Прерыватель
Монитор
питания
Стартер Выключатель
Системы
безопасности
Принтер
Оборудование
SIEM
Система SCADA
Головная станция
Рабочие станции
оператора и разработчика
Сервер автоматизации
процессов системы
SIEM
SIEM
Обработка
и распред. ист. данных
Серверы приложений
Операционные
бизнес-системы
SIEM
SIEM
SIEM
Надежность и
Система управления
производством (MES)
SIEM
SIEM
Распределенная система
управления (DCS)
SIEM
SIEM
доменов
Корп. сеть
Уровни 4-5
Ист. данные
SIEM
Анти-
вирус
WSUS
SIEM
SIEM
Сервер удаленной
разработки
SIEM
Сервер
терминального
оборудования
SIEM
ДМЗ
Уровень 3.5
Телекоммуникации на операционном уровне
Беспроводн. сети
Интернет
Контроль
Уровень 2
Системы
видеонаблюдения
Контроль
доступа
Голос
Мобильные
сотрудники
Беспроводн.
сенсор
Сенсор Выключатель
Архитектура ИБ нефтеперерабатывающего завода от Cisco

Corporate
ISP
BRAS
Voice
PLCPLC RT
I/O
Архитектура ИБ нефтедобывающей компании от Cisco
Периметр
Транспортная сеть
Ядро сети
Скважина Буровая
Mobile Field Connectivity
Micro Seismic Applications
RF-ID Asset Tracking
Operational Video Surveillance
Real Time Control
Transparent QoS Tagging
Low Latency – Low Jitter
Gigabit Data Capacity Backbone
End-to-End Oil Field Coverage
IE-3000
L-3 Switch
RDL-3000m
Nomadic Radio
IE-3000
L-3 Switch
Elte-MT
ATEX-2 Radio
RDL-3000
Base Station
RDL-5000
PTP-Microwave
Сервера управления
IE 3000
Industrial
Switches
Network
Services
Subsurface
Modeling
Video Management Server
Collaboration Server
Routing & QoS Definitions
Operations and Control
M2M
I/O Server
Corp VPN
ASR-1000 ASA-5500
Switch
Network Security
RDL-3000
Base Station
1552E
Wi-Fi AP
RF-ID Mobile
Workers
VoIPVideo
Surveillance
HMI
RTU Real Time
I/O Controller
Video
Surveillance
Access Control
NMS/EMS
Cisco Video Surveillance MGR
Cisco Unified Comms Server
Cisco Wireless Controller

SCADA"&"Opera?onal"
Business"Systems"
Physical"Security"
Wireless"
Voice"&"Incident"
Response"
Industrial"DMZ"
Control$Centre$(xN)$
Network"
Services"
Process,"Safety,"Power"
Mul?service"
Fog"Compute"
The$Secure$
Pipeline$
Level$0$Level$1$Level$2$Level$2.5$
Physical$Security$
Opera3ons$Mgr$
SIEM
SIEM
SIEM
SIEM
Physical$$
Access$Mgr$
Video$$
Surveillance$Mgr$
Incident$
$Response$
WLAN$Controller$
Call$$
Manager$
Voicemail$Mobility$&$
Tracking$
Applica3ons$
SIEM
Engineer$
Worksta3ons$
Metering$
SCADA$
Primary$
Energy$
Mgt$
Historian$
Repor3ng$Operator$
Worksta3ons$
SIEM
SIEM
SIEM
SIEM SIEM
SIEM
SCADA$
Backup$
SIEM
SIEM
Remote$
Access$
Patch$Mgt$
An3virus$
NonNWired"WAN"
3G/LTE,"Satellite,"WiMAX,"RF"Mesh,""
Microwave"
Virtualized$
SIEM
RTU/Controller$
Wireless$AP$ Wireless$AP$Wireless$AP$Stra3x$Switches$ Stra3x$Switch$
Radio$
Mobile$Worker$
Voice$
CCTV$&$Access$Control$
RFID$
Fog$Node$
Master$MTU$
Level$3$&$3.5$Level$4$&$5$
Enterprise"
WAN"
Leak"Detec?on" Pipeline"Op?miza?on"Batch"Management" Physical"Security" Mobility"Industrial"Wireless" Analy?cs"Voice"&"Video"Metering"
Visualiza?on" Asset"Management"Historian" Opera?ons"Intelligence"Condi?on"Monitoring" Energy"Management" Collabora?ve"Workspace"
Asset"&"People"Tracking"
Op?miza?on" Security"
WAN$&$Security$
Oﬃce$
Domain$
Internet"3rd$Party$
Compressor(/(Pump(Sta9on(
Meter/PIG/Terminal(Sta9on(
Block(Valve(Sta9on(
Instrumenta3on$
WAN$&$Security$WAN$&$Security$ WAN$&$Security$
Instrumenta3on$ Instrumenta3on$ Instrumenta3on$
Stra3x$Switch$
Wired"WAN"
Ethernet,"DWDM,"MPLS"
WAN,$Security,$&$Op3miza3on$
SIEM
Alarm$Mgt$
Batch$
Control$
SIEM
SIEM
Ethernet"
Serial"
WiFi"
Industrial"Wireless"
RTU/Controller$
Instrumenta3on$
Stra3x$Switches$
Instrumenta3on$
RTU/Controller$
RTU/Controller$ RTU/Controller$
Архитектура ИБ трубопровода от Cisco и Rockwell
Совместная функциональная
архитектура целостной
трубопроводной
инфраструктуры.
§Гибкий, модульный подход,
подерживающий этапную
трансформацию Нефте-Газового
трубопровода
§Виртуализация контрольной
комнаты
§Конвергентное WAN
операционное взаимодействие
§Проводные и беспроводные сети
§Интегрированные мульти-
Сервисные системы
§IEC 62443 / ISA99 Модель

SIEM
Process'Control' Power'Management' Safety'Systems'
Compressor'/'Pump'Sta7on'
Mul7service'
Domain'Sta7on'WAN'&'Security'
Process'Domain'
Metering'/'PIG'Sta7on'
Metering'
PIG'Systems'
Gas'Quality'
Mul7service'
Domain'Sta7on'WAN'&'Security'
Process'Domain'
SCADA'&'Opera7onal'Business'Systems!
SIEM
Engineer'
Worksta7ons'
Applica7on'
'Servers'
Domain''
Controller'
Instrumenta7on' Instrumenta7on' Instrumenta7on' Instrumenta7on'
Quantum' Quantum' MiCom'
c264'
SIL3!Controller! SIL3!Controller!
GTW' RI/O' GTW' RI/O!
Historian' Operator'
Sta7on'
Historian' PACIS'
Operator''
Historian' Operator'
Sta7on'
HMI'
Ethernet'Network' Ethernet'Network' Safe'Ethernet'Network'
Ethernet'Network'
'Safe'Ethernet'Network'
Wireless'
AP'
Mobile!Worker!
IP!Voice!
Access'Control'
CCTV'
RFID!
Ethernet'
Network'
Wireless'
AP'
Mobile!Worker!
IP!Voice!
Access'Control'
CCTV'
RFID!
Ethernet!
Network!
Wireless!
AP!
Controller' Controller' Controller'
Ethernet'Network'
Historian' Historian' Historian'
HMI' HMI'
Router' Firewall' Switch' Router' Firewall' Switch'
Converged'OT'&'IT'Opera7onal'Field'Telecoms'
SCADA'
'Primary'
RAS''
Leak''
Detec7on'
Physical'Security'
Operator'
Worksta7ons'
SCADA'
'Backup'
Training'
Server'
Historian'
Repor7ng'
Metering''
Systems'
Main'Control'Center'
Video''
Opera7ons'
Access''
Opera7ons'
Video''
Storage'
Incident'
'Response'
IP/Ethernet'
DWDM'
IP/MPLS'
(virtualized/non/virtualized)1
Backup'Control'Center'
MCC'WAN'&'Security'
BCC'WAN'&'Security'
Mul7service'
Domain'
Mobile!Worker!
IP!Voice!
Access'Control'
CCTV'
RFID!
Ethernet'
Network'
Wireless'
AP'
Process'Domain'
Router'Firewall'
Switch'
Sta7on'WAN'&'Security'
Block'Valve'Sta7on'
Quantum'
Instrumenta7on'
Centralized'Opera7ons' Oﬃce'/'Business'Domain' Internet'Edge'
Internet'
3rd'Party'
Support'
Voice'
Wireless'
WLAN'Controller'
Call'Manager'
Voicemail'
Engineer'
Worksta7ons'
Applica7on'
'Servers'
Domain''
Controller'
SCADA'
'Primary'
Leak''
Detec7on'
Operator'
Worksta7ons'
SCADA'
'Backup'
Historian'
Repor7ng'
Metering''
Systems'
Incident'
'Response'
Wireless'
WLAN'Controller'
Call'Manager'
Voicemail'
SCADA'&'Opera7onal'Business'Systems! Physical'Security' Voice'
Magelis'
ION'
Metering'
SEPAM'
Protec7on'
TeSys'T'
Motor'Mgt'
Al7var'
Drive'
MiCOM'
Feeder''
Protec7on'
Magelis'
Video''
Opera7ons'
Access''
Opera7ons'
Video''
Storage'
(Redundant1
Op5ons)1
(Redundant1
Op5ons)1
(Redundant1
Op5ons)1
SIEM SIEM
SIEM SIEM SIEM
Switch'
SIEM SIEM SIEM SIEM
SIEM SIEM SIEM SIEM SIEM
SIEM SIEM
SIEM SIEM
SIEM SIEM SIEM SIEM SIEM SIEM SIEM
SIEM SIEM SIEM SIEM SIEM SIEM
RI/O!
ScadaPack'
SIL3'Op7on'
No'SIL'Op7on'
Wireless!opAon!
3G/LTE,'WiMax'
900Mhz'RF'Mesh'
Satellite,'Microwave'
ROADM' ROADM' ROADM'
Crew!Welfare!/!
Infotainment!
SIEM
IDMZ'
TIming'
Server'
SIEM
AAA'
TIming'
Server'RAS''
SIEM
SIEM
AAA'
WAN'
Networks'
IDMZ'
Архитектура ИБ трубопровода от Cisco и Schneider
Совместная функциональная
архитектура целостной
трубопроводной
инфраструктуры.
§Гибкий, модульный подход,
подерживающий этапную
трансформацию Нефте-Газового
§Виртуализация контрольной
комнаты
§Конвергентное WAN
операционное взаимодействие
§Проводные и беспроводные сети
§Интегрированные мульти-
Сервисные системы
§IEC 62443 / ISA99 Модель

Big
Логическая структура промышленной сети в контексте ИБ
Зона DMZ
регламентирует
доступ между
Enterprise и
Manufacturing
зонами.

DMZ #1
Реплики Historian
DMZ #2
Управление патчами
DMZ #N
Терминальных серверов
Уровень 4,5 Корпоративная сеть
Уровень 3 - Производственная площадка
Функциональные
зоны
Граница
соединения
Запрет прямых
соединений
Зонирование и внутри DMZ

В данном примере данные собираются и
передаются в бизнес систему в Enterprise
зоне
Данные не хранятся и не используются в
зоне Manufacturing, таким образом отказ
зоны DMZ не влияет на процесс
производства
Данные IACS должны буфферизоваться
на тот случай если не будет связи с DMZ.
Потоки трафика в зоне DMZ

Топологии и внедрение зоны DMZ
МСЭ предприятия должен работать в HA режиме Active/Active либо Active/Standby
Рекомендуется топология с двумя МСЭ, данное разделение в том числе позволяет разным организациям
контролировать потоки данных между зонами
DMZ <-> Manufacturing и DMZ <-> Enterprise
Рекомендуемые уровни безопасности:

1) Использовать стандартный Enterprise уровня удаленный
доступ IPSEC с аутентификацией через Radius.
2) Ограничить возможность удаленных пользователей
соединяться к DMZ только через HTTPS.
3) Соединиться с порталом в DMZ https.
4) Установить VPN сессию через SSL и ограничить
использование приложений, например только RDP до
терминального сервера.
5) Использовать IPS/IDS системы для отслеживания атак и
червей от удаленных пользователей.
6) Ограничить количество терминальных приложений,
которые пользователь может запустить, иметь систему
аутентификации/авторизации каждого приложения.
7) Ограничить количество доступных функций в приложении
для пользователя.
8) Выделить сервер удаленного доступа в отдельный VLAN и
убедиться в прохождении его трафика через Firewall и
IPS/IDS.
Пример работы удаленного доступа

Где найти вертикальную специфику?
www.cisco.com/go/industry

Где найти описание архитектур, включая ИБ?
www.cisco.com/go/cvd www.cisco.com/go/safe

Продукты по промышленной ИБ

Безопасность промышленных сетей от Cisco
IE Portfolio
ISEIR Portfolio 3000 and 6000 Series
WDR IP Cameras
ASA H
ICPAM
Physical Access Control
OT-centric
Security
IoT Network As a
Sensor and Enforcer
IoT
Physical Security
Fog Data Services
ISA 3000
IoT Security Services

Безопасность – это часть промышленных сетевых устройств
Функции
Cisco® IE2000 Cisco IE2000U Cisco IE3000 Cisco IE4000
LAN Lite
(Layer 2 Lite)
LAN Base
(Layer 2)
Enhanced LAN
Base
(Layer 2)
LAN Base
(Layer 2)
IP Services
LAN Base
(Layer 2)
IP Services
(Full Layer 3)
LAN Base
(Layer 2)
IP Services
(Full Layer 3)
Layer 2
Features P R R R R R R R R
IPv6 O P P P P P R P R
Security P R R R R R R R R
QoS O P P R R R R R R
Multicast P P P P P P R R R
Manageability R R R R R R R R R
Utility
Enhancements O O O R R O O R R
IE
Enhancements P R R P P R R R R
Layer 3 Features O P P P P P R P R
Функции
LAN Lite
(Layer 2 Lite)
LAN Base
(Layer 2)
Enhanced LAN
Base
(Layer 2)
LAN Base
(Layer 2)
IP Services
LAN Base
(Layer 2)
IP Services
(Full Layer 3)
LAN Base
(Layer 2)
IP Services
(Full Layer 3)
IE2000 IE2000U IE3000 IE4000
R Full support P Limited features support O No supportLegend:

Big
Использование управляемых коммутаторов
Преимущества
• Возможность диагностики
• Функции безопасности
• Сегментация сети
• Предотвращение петель,
отказоустойчивость
• Приоритезация промышленного
трафика
• Precise time synchronization (e.g.
PTP)
• Улучшенные контроль,
диагностика, настройка
•Управление multicast трафиком
Недостатки
• Дороже
• Требует настройки

Resiliency
Protocol
Mixed
Vendor
Ring
Redundant
Star
Net Conv
>250 ms
Net Conv
50-100 ms
Net Conv
> 1 ms
Layer 3 Layer 2
STP (802.1D) X X X X
RSTP (802.1w) X X X X X
MSTP (802.1s) X X X X X
PVST+ X X X X
REP X X X
EtherChannel
(LACP 802.3ad)
X X X X
Flex Links X X X
DLR
(IEC & ODVA)
X X X X
StackWise X X X X X
HSRP X X X X
GLBP X X X X
VRRP
(IETF RFC 3768)
X X X X X
Отличия протоколов для корпоративного и промышленного
применения
Net Conv: Network Convergence
Процессы и информация
Критичные к задержкам
Движение

Ключ к решениям Cisco по ИБ

Мы должны сегментировать промышленную сеть
Взгляд со стороны
инфраструктуры
Это буква «В»
в модели BDA
(выстраивание
системы отражения
вторжений)
ДО
Контроль
Применение
политик
Сдерживание

Взгляд со стороны
эксплуатации
Не забывать про непрерывность защиты
Это буквы «D» и «А»
модели BDA
(выстраивание системы
реагирования на
инциденты)
Обнаружение
Блокировка
Защита
ВО ВРЕМЯ ПОСЛЕ
Охват
Изоляция
Устранение

Обзор решений Cisco по безопасности АСУТП
§ Cisco ASA Firewall для сегментации (и в промышленном исполнении)
§ Cisco FirePower NGIPS с набором сигнатур для промышленных систем
§ Cisco AMP for Endpoints для защиты от Malware угроз и угроз нулевого дня с
ретроспективным анализом
§ Cisco AnyConnect для контроля доступа и оценки состояния NAC
§ Cisco ISE для идентификации и контроля доступа устройств и обнаружении
неавторизованных подключений, оценка состояния и управление доступом.
§ Cisco Trustsec и VRF-lite – создание виртуальных сегментированных топологий
с сервисами сквозной авторизации
§ Cisco Cyber Threat Defense (CTD)

VPN
VDI
WSA
IPS
NGFW
FW
ISE
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Level 3½
Enterprise Zone
DMZ
PCD /
Manufacturing Zone
PCN /
Cell / Area Zone
?
?
Компоненты Cisco для защиты индустриальной сети

Потребность в специализированных МСЭ/IPS
Для промышленного
применения, АСУ ТП,
подстанций и т.п. требуется
небольшой, монтируемый DIN-
rail-type форм-фактор,
способный работать в
экстремальной окружающей
среде

Пассивная защита в промышленной сети
Сложности Ответ Cisco
• Пассивное
профилирование сети
• Отсутствие задержек
между устройствами и
системами, требующими
реального времени
• «Белые списки»
ожидаемого,
предупреждения по
аномалиями
• ICS означают статичность,
но часто нет возможности
проверить это
• ICS построены с
минимальным объемом
системных ресурсов
• Типичные ИТ-методы
идентификации устройств
могут привести к выходу
из строя индустриальные
системы

Новые модели Cisco ASAwith FirePOWER Services
Desktop Model
Integrated
Wireless AP
Выше
производительность
Для АСУ ТП
100% NGFW -
поставляется с AVC
Wi-Fi может управляться
локально или через
Cisco WLC
1RU;; новая платформа –
лучшее сочетание цены
и производительности
NGFW для критичных
инфраструктур и
объектов
5506-X 5506W-X 5508-X
5516-X
5506H-X
Идеальна
для
замены
Cisco®
ASA 5505

«Настольная» модель CiscoASA5506-X
7.92 x 8.92 x 1.73 in.
Параметр Значение
CPU Многоядерный
RAM 4 Гб
Ускоритель Да
Порты 8x GE портов данных,
1 порт управления с
10/100/1000 BASE-T
Консольный порт RJ-45, Mini USB
USB-порт Type ‘A’ supports 2.0
Память 64-GB mSata
Охлаждение Convection
Питание AC external, No DC

CiscoASA5506H-X в защищенном исполнении
*** Конфигурация Cisco® ASA 5506-H идентична Desktop ASA 5506-X, исключая следующие параметры:
9 x 9.2 x 2.5 in.
Параметр Значение
Порты 4 x портов данных
Управление 1 порт, 10/100/1000BASE-
T, 100BASE-FX,
1000BASE-X, SFP
Напряжение 5V (*** 5506 is 12V)
Диапазон температур От –20 до 60°C (рабочий)
От -40 до 85°C (обычный)
Монтаж Wall-Mount, Horizontal
Desk, Rack-Mount и DIN
rail-mount

Специальные сертификаты на CiscoASA5506H-X
Сертификаты соответствия
9 x 9.2 x 2.5 in.
IP40 per IEC 60529
KN22
IEC 61850-3
IEC 61000-6-5
IEC 61000-5
IEC 611000-4-18
IEEE 1613.1
IEEE C62.412
IEC 1613
IEC 61850-3
IEC 60068-2

Промышленный МСЭ/IDS Cisco ISA3000

Основные характеристики Cisco ISA3000
§ Производительность: 2 Gbps
§ Кол-во IPSec/SSL VPN: 25
§ IPv4 MAC Security ACE: 1000
§ Кол-во интерфейсов: 4x1GE или 2xGE, 2xFiber (SFP)
§ Медный: 4x10/100/1000BaseT
§ Оптический: 2x1GbE (SFP), 2x10/100/1000BaseT
§ 4 ядра Intel Rangely, SSD 64 GB
§ 8 GB DRAM, 16 GB Flash
§ Питание DC
§ Исполнение: -40C до 60C без обдува;; -40C до 70C с 40LFM;; -34C до 74C с
200LFM

Тип Стандарт
EMI /EMC Key
standards
v EN-61850-3 / IEEE1613 (Power Substation)
v EN 50155, EN 50121-4, EN 50121-3-2 (Railway)
v EN 60945 / IEC 60533 (Marine
v EN 61131-2 (Industrial Controls)
v EN 61326 (Electrical Controls)
v EN 61000-4-2 (Electro Static Discharge), 8KV Air / 15KV contact
v EN 61000-4-3 (Electro Magnetic field, 10 and 20V/m)
v EN 61000-4-4 (Fast Transients – 4 KV power line, 4 KV, data line
v EN 61000-4-5 (Surge- 4 KV/2 KV)
v EN 61000-4-6 (Conducted Immunity, 10V / emf)
v EN 61000-4-8 (Power Frequency MFI 40A / m, 1000A / m (1s))
v EN 61000-4-9 (Pulse MFI )
v EN 61000-4-10 (Oscillatory Magnetic Field Immunity)
v EN 61000-4-11 (AC power Voltage Immunity) – AC PS (50 ms)
v EN 61000-4-17 (Ripple on DC power port- for DC PS only)
v EN 61000-4-29 (Voltage Dips Immunity- 10ms hold up time)
v EN 61000-6-2 (Immunity for Industrial Environments)
v EN 61000-6-4 (Emissions for Industrial environments)
v EN 61000-6-1 (Immunity for Light Industrial Environments)
Промышленные сертификации

Варианты внедрений
§ Вне полосы
§ Видимость
§ Ограничено
воздействие
на трафик
§ В полосе
§ Видимость
§ Возможность
блокировать
атаки

Защитный функционал ASA5506H-X / ISA3000
► Самый популярный межсетевой экран
ASA корпоративного класса с функцией
контроля состояния соединений
► Система гранулярного мониторинга и
контроля приложений (Cisco® AVC)
► Ведущая в отрасли система
предотвращения вторжений
следующего поколения (NGIPS) с
технологией FirePOWER
► Фильтрация URL-адресов на основе
репутации и классификации
► Система Advanced Malware Protection с
функциями ретроспективной защиты
► Система управления уязвимостями и SIEM
Cisco ASA
VPN и политики
аутентификации
Фильтрация URL-адресов
(по подписке)
FireSIGHT
Аналитика и
автоматизация
Advanced Malware
Protection
(по подписке)
Мониторинг и
контроль приложенийМежсетевой экран
Маршрутизация и
коммутация
Кластеризация и
высокая доступность
Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI
Встроенное
профилирование сети
Предотвращение
вторжений (по
подписке)

Поддержка промышленных протоколов

§ Препроцессоры для промышленных протоколов, например, для Modbus, DNP3
§ Возможность написания собственных сигнатур
§ Свыше сотни встроенных сигнатур
CitectSCADA
OMRON
Kingview
IGSS
Tecnomatix
RealWin Iconics
Genesis
Siemens
IntelliCom
Cogent
RSLogix
DAQFactory
Beckhoff
Measuresoft
ScadaPro
Broadwin
Progea Movicon
Microsys
Sunway
Moxa
GE Sielco ScadaTec Sinapsi D
ATAC
WellinTech
Tridium
Schneider Electric
CODESYS
Отражение атак на промышленные системы

Множество встроенных сигнатур и правил корреляции
(1:29202) PROTOCOL-SCADA Modbus read coil status response - too many coils
(1:29203) PROTOCOL-SCADA Modbus read fifo response invalid byte count
(1:29204) PROTOCOL-SCADA Modbus read holding register response - invalid byte count
(1:29205) PROTOCOL-SCADA Modbus read input registers response invalid byte count
(1:29206) PROTOCOL-SCADA Modbus read write register response - invalid byte count
(1:29317) PROTOCOL-SCADA Modbus invalid exception message
(1:29318) PROTOCOL-SCADA Modbus invalid encapsulated interface response
(1:29319) PROTOCOL-SCADA Modbus invalid encapsulated interface request
(1:29505) PROTOCOL-SCADA IGSS dc.exe file execution directory traversal attempt
(1:29515) PROTOCOL-SCADA ScadaTec Procyon Core server password overflow attempt
(1:29534) PROTOCOL-SCADA CODESYS Gateway-Server invalid memory access attempt
(1:29954) PROTOCOL-SCADA CODESYS Gateway-Server heap buffer overflow attempt
(1:29959) PROTOCOL-SCADA Siemens SIMATIC WinCC flexible runtime stack buffer overflow attempt
(1:29960) PROTOCOL-SCADA Siemens SIMATIC WinCC flexible runtime DoS attempt
(1:29964) PROTOCOL-SCADA Siemens SIMATIC WinCC flexible runtime directory traversal attempt
(1:15071) PROTOCOL-SCADA Modbus exception returned
(1:15074) PROTOCOL-SCADA Modbus user-defined function code - 65 to 72
(1:15075) PROTOCOL-SCADA Modbus user-defined function code - 100 to 110
(1:15389) PROTOCOL-SCADA OMRON-FINS memory area write attempt
(1:15390) PROTOCOL-SCADA OMRON-FINS memory area fill attempt
(1:15391) PROTOCOL-SCADA OMRON-FINS memory area transfer attempt
(1:15713) PROTOCOL-SCADA DNP3 device trouble
(1:15714) PROTOCOL-SCADA DNP3 corrupt configuration
(1:15715) PROTOCOL-SCADA DNP3 event buffer overflow error
(1:15716) PROTOCOL-SCADA DNP3 parameter error
(1:15717) PROTOCOL-SCADA DNP3 unknown object error
(1:15718) PROTOCOL-SCADA DNP3 unsupported function code error
(1:15719) PROTOCOL-SCADA DNP3 link service not supported
(1:17782) PROTOCOL-SCADA Modbus write multiple registers from external source
(1:17783) PROTOCOL-SCADA Modbus write single register from external source
(1:17784) PROTOCOL-SCADA Modbus write single coil from external source
(1:17785) PROTOCOL-SCADA Modbus write multiple coils from external source
(1:17786) PROTOCOL-SCADA Modbus write file record from external source
(1:17787) PROTOCOL-SCADA Modbus read discrete inputs from external source
(1:17788) PROTOCOL-SCADA Modbus read coils from external source
(1:17789) PROTOCOL-SCADA Modbus read input register from external source
(1:17790) PROTOCOL-SCADA Modbus read holding registers from external source
(1:17791) PROTOCOL-SCADA Modbus read/write multiple registers from external source

Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение Unauthorized communications with HMI
Сигнатура alert tcp192.168.0.97 any <> ! [192.168.0.3,192.168.10.21] any (msg:"HMItalking to someone
other than PLC or RTU -NOTALLOWED"; priority:1; sid:1000000; rev:1;)
Резюме Попытка неавторизованной системы подключиться к HMI
Воздействие Компрометация системы
Информация
Подверженные системы PLC;RTU;HMI;DMZ-Web

Сообщение Unauthorized to RTU Telnet/FTP
Сигнатура alert tcp!$PCS_HOSTS any -> 192.168.0.3 23 (msg:”Unauthorized connection attempt to RTU
Telnet”; flow:from_client,established; content:”GET”; offset:2; depth:2;
reference:DHSINLroadshow- IDStoHMI1;classtype:misc-activity; sid:1000003;
rev:1; priority:1;)
Резюме Узел в контролируемой ЛВС попытлся подключиться к RTU Telnet-серверу
Воздействие Сканирование
Компрометация системы управления
Подверженные системы RTU

Сообщение Yokogawa CENTUM CS 3000 stack buffer overflow attempt
Сигнатура alert tcp $EXTERNAL_NET any -> $HOME_NET 20171 (msg:"SCADA Yokogawa
CENTUM CS 3000 stack buffer overflow attempt";; flow:to_server,established;;
content:"|64 A1 18 00 00 00 83 C0 08 8B 20 81 C4 30 F8 FF FF|";; fast_pattern:only;;
metadata:policy balanced-ips drop, policy security-ips drop;; reference:cve,2014-0783;;
reference:url,www.yokogawa.com/dcs/security/ysar/YSAR-14-0001E.pdf;;
classtype:attempted-admin;; sid:30562;; rev:1;; )
Резюме Вызов переполнения буфера для извлечения команд привилегированного режима
Воздействие Извлечение неавторизованных команд
Информация http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2014-0783
Подверженные системы Yokogawa CENTUM CS 3000 R3.09.50

Сообщение PROTOCOL-SCADA Siemens SIMATIC WinCC flexible runtime DoS attempt
Сигнатура alert tcp $EXTERNAL_NET any -> $HOME_NET [2308,50523]
(msg:"PROTOCOL-SCADA Siemens SIMATIC WinCC flexible runtime DoS
attempt";; flow:to_server,established;; content:"|00 04 03|";; depth:3;;
byte_test:4,>,0x410,23,little;; isdataat:1025;; reference:cve,2011-4877;;
reference:url,www.exploit-db.com/exploits/18166/;; classtype:attempted-admin;;
sid:29963;; rev:1;; )
Резюме Атака отказа в обслуживание, недоступность оборудования, останов тех.
процесса
Воздействие Отказ в обслуживании
Информация www.exploit-db.com/exploits/18166/
Подверженные системы Siemens SIMATIC PCS

Сообщение Modbus TCP -Unauthorized Write Request to a PLC
Сигнатура alert tcp !$MODBUS_CLIENT any -> $MODBUS_SERVER 502
(flow:from_client,established;; content:”|00 00|”;; offset:2;; depth:2;;
pcre:”/[Ss]{3}(x05|x06|x0F| x10|x15|x16)/iAR”;; msg:”Modbus TCP – Unauthorized
Write Request to a PLC”;; reference:scada,1111007.htm;; classtype:bad- unknown;;
sid:1111007;; rev:1;; priority:1;;)
Резюме Неавторизованный Modbus-клиент попытался записать информацию на PLC или
иное устройства
Воздействие Целостность системы Отказ в обслуживании
Подверженные системы PLC и другие устройства с Modbus TCP сервером

Подрядчик
Когда Что Где Как
9:00-17:00 ноутбук Ячейка 1 Проводн.
Традиционный RBAC и
политики
HMI
Rockwell Automation
Stratix 8000
Коммутатор доступа уровня 2
Ввод-
вывод
Диск
Ввод-
вывод
HMI
Volt
PTP
уровня доступа 2
и
Протокол REP
Роль Авторизация
Контр. Ячейка 2:
Разр. CIP
Разр. http
Ячейка 1:
Запрет
IED IED
Заводская шина
IED IED
Шина процессов
Завод
Операции SCADA
инж
АКТИВЫ
инж
Планиро-
вание
инж
Удаленное
управление
R
Подтв. авар. сигн. R
Точечная разметка R
Точка ручного
обновл.
R
Откр/Закр HMI R R R
Выход HMI R R R
Мониторинг
и контроль
операций
Возможности
для инноваций
ISE + промышл. коммутаторы
Отслеживание
Безопасный доступ для локальных пользователей

Безопасный доступ для локальных пользователей
Сеть доступа
Мультисервисная шина
Производственная сеть
Полевая сеть
Буровая площадка
Умные города
Беспроводная
IPS
OMS
dACL
VLAN
Тег группы
XРоль ИТ-персонал Поставщик
Когда 9:00-17:00 ВТ
Что Ноутбук Ноутбук
Где Центр
обработки
данных
Как Wi-Fi
Проводн.
Wi-Fi
Проводн.
Аутенти-
фикация
Камеры
IP-телефоны
WWW
Согласованная
политика
доступа

Мониторинг и контроль доступа устройств и механизмов
• Безопасность портов и централизованное управление
• Реестр сетевых индустриальных систем
• Идентификация и профилирование IoT-устройств
IoT-сети
Соотв. MAC
MAC
IP
ACL
00:00:23:67:89:ab 10.1.1.1 ABB Сайт1
dc:05:75:92:cd:bd 10.1.2.3 Siemens Сайт2
e4:90:69:34:9d:ab 10.1.2.5 Rockwell Сайт3
Контроллер CIP ABB Сайт1
RTU DNP Siemens Сайт1
IED Modbus Rockwell Сайт2
HMI OCP GE Сайт2
CAУправл.
Реестр — номер 1 среди
20 критических методов
безопасностью
Сенсор IoT-устройств
(в будущем)
802.1x
Клиент

Политики ИБ для
промышленной сети

Системные
исправления
сети
Антивирусная
защита
Реагирование
на инциденты
Проактивный
мониторинг
IPS /
сигнатуры
Защита
от угроз
Аварийное
восстановление
Резервное
копирование
и восстановление
Непрерывное
совершенствование
Организация Стабилизация Обнаружение РеагированиеЗащита
Белые
и черные списки
Черные списки
Сбор
и управление
журналами
аномалий
вредоносного
ПО
вторжений
Политика
Виртуализация
Шифрование
KPI и аналитика
Учет
местонахождения
Реестр
процессов
Оценка
изменениями
Обучение
и понимание
Панели
и отчеты
Фокус на ключевых
векторах атаки в рамках
сети управления
процессами за счет
организации необходимого
контроля при помощи
лучших современных
практик в области
Доступ и
управление PCN
Промышленные
беспроводные
сети
портативных
устройств
До Во время После
ПЛАНИРОВАНИЕ СОЗДАНИЕ ВЫПОЛНЕНИЕ МОНИТОРИНГ УПРАВЛЕНИЕ
Защищенное
хранилище
Реестр и
активами
сети
Доступ
и управление PCN
хранилище
Разработка политик по ИБ для промышленной сети

Управление промышленной ИБ

Системные
исправления
сети
Антивирусная
защита
Реагирование
на инциденты
Проактивный
мониторинг
IPS /
сигнатуры
Защита
от угроз
Аварийное
восстановление
Резервное
копирование
и восстановление
Непрерывное
совершенствование
Организация Стабилизация Обнаружение РеагированиеЗащита
Белые
и черные списки
Черные списки
Сбор
и управление
журналами
аномалий
вредоносного
ПО
вторжений
Политика
Виртуализация
Шифрование
KPI и аналитика
Учет
местонахождения
Реестр
процессов
Оценка
изменениями
Обучение
и понимание
Панели
и отчеты
Фокус на ключевых
векторах атаки в рамках
сети управления
процессами за счет
организации необходимого
контроля при помощи
лучших современных
практик в области
Доступ и
управление PCN
Промышленные
беспроводные
сети
портативных
устройств
До Во время После
ПЛАНИРОВАНИЕ СОЗДАНИЕ ВЫПОЛНЕНИЕ МОНИТОРИНГ УПРАВЛЕНИЕ
хранилище
Реестр и
активами
сети
Доступ
и управление PCN
хранилище
Управление ИБ с помощью Cisco Secure Ops

Архитектура Cisco SecureOps
Server
Firewall
Switch
Router
Hypervisor
Identity
Services
Patching
Anti-Virus
AAA/
TACACS
Compliance
Reporting
Proactive
Monitoring
Network
Health
Dashboard
Active
Directory
Terminal
Services
Log
Collection
Servers
Firewall
SecureCenter
(Ops or Data Center)
SecureSite
(Substation, Rig, Plant Floor)
Hypervisor
Asset
Inventory
Patching
Anti-Virus
Proactive
Monitoring
Event Log
Collection
Secure File
Delivery
Владеет или управляет Cisco
Гибкий provisioning
Одна или несколько площадок
Обеспечение SLA’s

Иные ИБ-сервисы

А также тесты на проникновения и аудиты промышленных
сетей
Device Security Security Hardware Hardware Security Software Security
Moving Target Security Cryptography Penetration Testing Operational Security

Аутсорсинг ИБАнализ угроз
Operations
Продукты по
ИБ Архитектура ИБ
Исследования Консалтинг
«Разведка»
И иные сервисы ИБ

Соответствие
требованиям

Приказ ФСТЭК №31 по защите АСУ ТП
• №31 от 14.03.2014 «Об утверждении требований к обеспечению
защиты информации в автоматизированных системах управления
производственными и технологическими процессами на
критически важных объектах, потенциально опасных объектах, а
также объектах, представляющих повышенную опасность для
жизни и здоровья людей и для окружающей природной среды»
• Все новые и модернизируемые системы должны создаваться по
новому приказу, а не по документам ФСТЭК для КСИИ 2007-го и
последующих годов
В тех случаях, если КСИИ управляют технологическими процессами
Остальные типы КСИИ продолжают подчиняться требованиям ФСТЭК к
ключевым системами информационной инфраструктуры

Отличия в оценке соответствия
Особенность Приказ №21 Приказ №17 Приказ №31
Оценка соответствия В любой форме (нечеткость
формулировки и непонятное ПП-
330)
Только
сертификация в
системах
сертификации
ФСТЭК или ФСБ
В любой форме (в
соответствии с ФЗ-184)
Аттестация Коммерческий оператор -
на выбор оператора
Госоператор - аттестация
Обязательна Возможна, но не
обязательна
Контроль и надзор Прокуратура – все
ФСТЭК/ФСБ – только
госоператоры (РКН не имеет
полномочий проверять
коммерческих операторов ПДн)
ФСТЭК ФСБ и ФОИВ,
ответственный за
безопасность КИИ
(определяется в настоящий
момент)

~600 ФСБ НДВ 34 123
Сертификатов
ФСТЭК на
продукцию Cisco
Сертифицировала
решения Cisco
(совместно с С-Терра
СиЭсПи)
----
Ждем еще ряд важных
анонсов
Отсутствуют в
ряде продуктовых
линеек Cisco
----
На сертификацию
поданы новые
продукты
Линейки
продукции Cisco
прошли
сертификацию по
схеме «серийное
производство»
Продуктовых линеек
Cisco
сертифицированы во
ФСТЭК
Сертификация решений Cisco по требованиям ИБ

Решения Cisco для обеспечения кибербезопасности промышленных систем автоматизации и управления

Решения Cisco для обеспечения кибербезопасности промышленных систем автоматизации и управления

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Destaque

Destaque (20)

Semelhante a Решения Cisco для обеспечения кибербезопасности промышленных систем автоматизации и управления

Semelhante a Решения Cisco для обеспечения кибербезопасности промышленных систем автоматизации и управления (20)

Mais de Компания УЦСБ

Mais de Компания УЦСБ (20)

Último

Último (9)

Решения Cisco для обеспечения кибербезопасности промышленных систем автоматизации и управления