Семинар КРОК 25 февраля 2016 г. «Информационная безопасность промышленных систем»
Доклад «Использование однонаправленных шлюзов/диодов данных в сетях АСУ ТП»
Антон Голубков, системный инженер направления информационной безопасности КРОК
Подробнее http://www.croc.ru/action/webinars/59878/
Использование однонаправленных шлюзов/диодов данных в сетях АСУ ТП
1. Москва, 25 февраля 2016
Голубков Антон
Системный инженер
ИСПОЛЬЗОВАНИЕ
ОДНОНАПРАВЛЕННЫХ
ШЛЮЗОВ/ДИОДОВ
ДАННЫХ В СЕТЯХ АСУ ТП
2. /122
• Мифы о воздушном зазоре
• Обзор решений класса «Дата диоды»
• Практические аспекты внедрения
СОДЕРЖАНИЕ
3. /123
Воздушный зазор между сегментами
ИТ и АСУ:
+ Повышение уровня безопасности за
счет исключения сетевых угроз
- Появление побочных
информационных потоков
- Отсутствие возможности оперативной
выгрузки данных бизнес
пользователям и производителям
ВОЗДУШНЫЙ ЗАЗОР
4. /124
Использование дата диода между
сегментами АСУ и ИТ:
+ Исключение возможности сетевых
атак на сегмент АСУ
+ Обеспечение сетевого канала связи
для оперативной выгрузки данных из
сегмента АСУ
+ Одновременное выполнение
требований бизнеса и ИБ
ДАТА ДИОДЫ
7. /127
Функциональные возможности дата диодов:
• Гальваническая развязка сегментов АСУ и ИТ
• Поддержка множества прикладных протоколов:
CIFS/SMB, FTP, SMTP, Syslog, Modbus, OPC и др.
• Возможность передачи сырого трафика со SPAN порта
• Передача данных между сегментами в реальном времени
на скорости до 1 Гбитс
• Встроенные механизмы контроля целостности
передаваемой информации
ОСНОВНЫЕ ВОЗМОЖНОСТИ
10. /1210
ПРАКТИЧЕСКИЕ АСПЕКТЫ ВНЕДРЕНИЯ
Построение целевой схемы
информационных потоков
между АСУ и ИТ
Анализ возможности и
необходимости применения
решения по однонаправленной
передаче данных
12. Антон Голубков
Системный инженер
111033, Москва, ул. Волочаевская, д.5, к.1
Т: (495) 974 2274 | Ф: (495) 974 2277
E-mail: agolubkov@croc.ru
croc.ru
СПАСИБО
ЗА ВНИМАНИЕ!
Notas do Editor
Коллеги, добрый день! Меня зовут Голубков Антон, я являюсь системным инженером компании КРОК и хочу представить вашему вниманию обзор такого класса решений как однонаправленные диоды данных.
::: СЕГОДНЯ МЫ ПОГОВОРИМ О ВОЗДУШН
:::: Я РАССКАЖУ О ТОМ ЧТО ТАКОЕ ДАТА ДИОДЫ И КАК ОНИ РАБОТАЮТ
:::: И РАССМОТРИМ ОСНОВНЫЕ АСПЕКТЫ ВНЕДРЕНИЯ РЕШЕНИЯ ДАННОГО КЛАССА
::: КЛАССИЧЕСКОЙ + ЧТО ТАКОЕ ЗАЗОР:::
Классической моделью обеспечения информационной безопасности сегмента АСУ является создания так называемого «воздушного зазора» между сетевыми сегментами ИТ и АСУ.
Т.е. отсутствие сетевой связности между сегментами АСУ и ИТ
::: НАЛИЧИЕ ЗАЗОРА У МНОГИХ РЕГЛАМЕНТИРОВАНО ВНУТРЕННИМИ ТРЕБОВАНИЯМИ ИБ:: Исторически сложилось
::: ТЕХНОЛОГИИ НЕ СТОЯТ НА МЕСТЕ – НЕОБХОДИМОСТЬ ОПЕРАТИВНОГО ОБМЕНА ДАННЫМИ МЕЖДУ СЕГМЕНТАМИ:::
::: НЕОБХОДИМОСТЬ ТРАСНФОРМИРУЕТСЯ В БИЗНЕСС ТРЕБОВАНИЯ + ВЫГРУЗКА ДАННЫХ ОБЪЕМ ПЕРЕКАЧЕННОЙ НЕФТИ ЗА ВРЕМЯ:::
::: ПОЛУЧАЕМ КОНФЛИКТ В ОБЕСПЕЧЕНИИ ИБ – БЕЗОПАСНОСТЬ И УДОБСТВО :::
::: С ОДНОЙ СТОРОНЫ ИБ, С ДРУГОЙ БИЗНЕС :::
::: СЛЕД СЛАЙД:::
У многих предприятий наличие данного воздушного зазора регламентировано внутренними требованиями информационной безопасности. Однако, технологии не стоят на месте и активно развиваются, в связи с чем появляется дополнительная необходимость оперативного обмена данными между сегментами АСУ и ИТ. Со временем, данная необходимость трансформируется в определенные бизнес требования к функционированию системы АСУ – например оперативная выгрузка данных об объеме перекаченной нефти зарубежным партнерам за определенный отрезок времени для высшего руководства компании. В конечном результате, мы получаем классический конфликт в обеспечении информационной безопасности – одновременное обеспечение удобства и безопасности. С одной стороны мы должны удовлетворить требования безопасности по наличию воздушного зазора между сегментами АСУ и ИТ, с другой стороны выполнить бизнес требования и обеспечить возможность передачи данных между данными сегментами.
Решением данной проблемы является использование однонаправленных шлюзов – дата диодов.
::: РАЗМЕЩЕНИЕ + ОБЕСПЕЧИВАЕТ ПЕРЕДАЧУ + СОХРАНЯЕТ УРОВЕНЬ ЗАЩИЩЕННОСТИ :::
Дата диод размещается на границе локальных сетей АСУ и ИТ и выполняет однонаправленную передачу данных из АСУ в ИТ, что обеспечивает создание сетевого канала связи для выгрузки данных из сегмента АСУ, в тоже время сохраняя уровень защищенности ЛВС АСУ от внешних сетевых воздействий.
:::ВОЗМОЖНОСТЬ ФУНКЦИОНИРОВАНИЕ МЕХАНИЗМОВ ДЛЯ БИЗНЕСА + НЕ ВЛИЯЕТ НА УРОВЕНЬ ЗАЩИЩЕННОСТИ СЕГМЕНТА АСУ :::
::: ВЫПОЛНЯЕМ ТРЕБОВАНИЯ БИЗНЕСА И БЕЗОПАСНОСТИ :::
Таким образом достигается возможность функционирования механизмов, необходимых для обеспечения бизнес процессов, которая в свою очередь никак не влияет на уровень сетевой защищенности сегмента АСУ от внешних сетевых атак.
Все производители решений данного класса избрали единый подход к реализации задач однонаправленной передачи.
::: СОСТАВ :::
::: ПРИНЦИП РАБОТЫ :::
::: НАПРАВЛЕНИЕ ПРИМЕНЕНИЯ :::
::: РЯД КЕЙСОВ – В ОБРАТНУЮ СТОРОНУ:::
НЕ РЕКОМЕНДУЕМ, ПОТОМУ ЧТО
::: ОБРАТНЫЙ ПОТОК – ЗЛОУМЫШЛЕННИК :::
:::: АРХИТЕКТУРЫ – ЕДИНЫЙ НАБОР КОМПОНЕНТ, АРХИТЕКТУРА РАЗНАЯ ::::
:::: ПЕРЕЧЕНЬ АРХИТЕКТУР – 4 КОМПОНЕНТА, ПО ПРИНАДЛЕЖНОСТИ К СЕГМЕНТУ, ПО ФУНКЦИОНАЛЬНОМУ :::
:::: ВАРИАНТЫ ИСПОЛНЕНИЯ – СТОЕЙЧНЫЙ, НАСТОЛЬНЫЙ, ПРОМЫШЛЕННЫЙ ДЛЯ МОНТАЖА НА DIN РЕЙКУ :::
:::: ПЕРЕХОД К ФУНКЦИЯМ (СЛЕД СЛАЙД) :::
Ведущие производители решений однонаправленных диодов используют единую концепцию в наборе компонент для построения решения, однако целевая архитектура решения может быть вариантивная.
Классическая архитектура построения однонаправленного диода данных представляет собой 4 независимых устройства, каждое из которых выполняет только одну функцию
Наиболее «компактной» архитектурой является решение, где модули совмещены в один узел по признаку их принадлежности к сегменту передачи данных. Модуль АСУ обеспечивает преобразование и передачу информации из сегмента АСУ, в то время как модуль ИТ обеспечивает приём и обратное преобразование информации для дальнейшей передачи на конечный сервер сегмента ИТ
Также распространена архитектура компоновки элементов по функциональному признаку. В данном варианте модули конвертации выполнены в виде отдельных устройств, однако модули приема и передачи информации объединены в один узел – модуль передачи данных.
Кроме различных архитектур, дата диоды также отличаются различными вариантами исполнения. Диоды данных могут выпускаться в стоейчном и настольном форм-факторе, а также есть специализированные варианты для монтажа на DIN рейку.
Кроме особенностей архитектуры и исполнения решений также хотелось бы обратить внимание на функциональные возможности данного класса решений.
В реализации любого дата диода обязательно используется гальваническая развязка. :: рассказать как реализована::
:: ПЕРЕЧЕНЬ ПРОТОКОЛОВ + SQL И ORACLE + ВОЗМОЖНОСТЬ КАСТОМИЗАЦИИ ПОД НУЖДЫ ЗАКАЗЧИКА ::
:: СЫРОЙ ТРАФИК – КЕЙС С МОНИТОРИНГОМ SPAN ПОРТА ЧТОБЫ НЕ БЫЛО ВОЗДЕЙСТВИЯ ::
:: ПЕРЕДАЧА БЕЗ ЗАДЕРЖКЕ, 1 ГБИТ\С ::
диоды данных обладают собственными уникальными механизмами контроля целостности передачи информации
:: ДОСТАВКУ БЕЗ ПОТЕРИ ЧАСТИ ДАННЫХ ИЛИ ИХ ИЗМЕНЕНИЯ, ЕСЛИ ОШИБКА – ТО ОПОВЕЩЕНИЕ ::
ДЛЯ ПРАВИЛЬНОГО И ЭФФЕКТИВНОГО ВНЕДРЕНИЯ решения по однонаправленной передачи данных необходимо выполнить ряд подготовительных действи:
:::: РЕВИЗИЯ СУЩЕСТВУЮЩИХ ИНФОРМАЦИОННЫХ ПОТОКОВ – СЕТЕВЫЕ И НЕСЕТЕВЫЕ (ВЫГРУЗКА СТАТИСТИКИ НА USB) + ОБХОДНЫЕ ВЗАИМОДЕЙСТВИЯ:::
:::: АГРЕГАЦИЯ ИНФОРМАЦИИ – СХЕМА ПОТОКОВ + НАГЛЯДНО ::::
:::: СЛЕДУЮЩИЙ ШАГ – ПОСТРОЕНИЕ ЦЕЛЕВОЙ КАРТИНЫ :::
:::: АНАЛИЗ СУЩЕСТВУЮЩЕЙ И ЦЕЛЕВОЙ КАРТИНЫ
- УВИДЕТЬ ВСЕ ВЗАИМОДЕЙСТВИЯ
- ОТСЛЕДИТЬ ЛИШНИЕ И НЕУЧТЕННЫЕ
- СФОРМИРОВАТЬ ПОДХОД К ОБЕСПЕЧЕНИЮ ИБ
:::: ПОМОЖЕТ ОПЕРЕДЕЛИТЬ МЕСТА УСТАНОВКИ ДИОДА (СЛЕД СЛАЙД)::::
В случае создания или модернизации существующей инфраструктуры в обязательном порядке необходимо создать целевую «карту» информационных потоков. Анализ существующей и целевой картины позволят наглядно увидеть все взаимодействия между защищаемыми сегментами, отследить лишние или неучтенные взаимодействия, а также сформировать правильных подход к комплексному обеспечению информационной безопасности.
Когда у нас появляется полное понимание и описание всех информационных потоков, необходимо проанализировать возможность и целесообразность применения решения по однонаправленной передачи данных. И только после выполнения всего комплекса предварительных процедур возможно переходить к этапу проектирования и внедрения.
Разделить на два слайда - текущие , целевые и целвые + диод, на каждом нарисовать картинку
:::: КРАСНЫМИ ТОЧКАМИ ОТМЕЧЕНЫ МЕСТА УСТАНОВКИ ::::
:::: ОБЯЗАТЕЛЬНО КОНТРОЛИРОВАТЬ ДОП КАНАЛЫ ::::
:::: ПРИМЕР НЕЦЕЛЕСООБРАЗНОЙ УСТАНОВКИ (РЯДОМ ОБРАТНЫЙ КАНАЛ)::::
:::: КЕЙСЫ
- МОНИТОРИНГ ВЕНДОРА
- УДАЛЕННЫЙ ДОСТУП НА ЧТЕНИЕ
- ПЕРЕДАЧА СТАТИСТИЧЕСКОЙ ИНФОРМАЦИИ ДЛЯ БИЗНЕСА
И В КОНЦЕ СВОЕГО ВЫСТУПЛЕНИЯ Я ХОТЕЛ БЫ ПОДВЕСТИ КРАТКОЕ РЕЗЮМЕ
:::ИСПОЛЬЗОВАНИЕ ДИОДОВ ТОЛЬКО ДЛЯ ПЕРЕДАЧИ В СТОРОНУ ИТ
:::ВЫПОЛНИТЬ ПОЛНЫЙ КОМПЛЕКС ПРЕДВАРИТЕЛЬНЫХ МЕРОПРИЯТИЙ ПО АНАЛИЗУ ВСЕХ ИНФОРМАЦИОННЫХ ПОТОКОВ ПЕРЕД ВНЕДРЕНИЕМ
:::ПРИМЕНЯТЬ КОМПЛЕКСНЫЙ ПОДХОД К ОБЕСПЕЧЕНИЮ ИБ И ОСУЩЕСТВЛЯТЬ КОНТРОЛЬ ВСЕХ ПОТОКОВ С ПРИМЕНЕНИЕМ ДРУГИХ РЕШЕНИЙ ПО БЕЗОПАСНОСТИ
Надеюсь, краткий обзор решений по однонаправленной передач данных был вас интересен. Спасибо за внимание. Готов ответить на Ваши вопросы.