Использование однонаправленных шлюзов/диодов данных в сетях АСУ ТП
•Transferir como PPTX, PDF•
0 gostou•4,886 visualizações
Семинар КРОК 25 февраля 2016 г. «Информационная безопасность промышленных систем» Доклад «Использование однонаправленных шлюзов/диодов данных в сетях АСУ ТП» Антон Голубков, системный инженер направления информационной безопасности КРОК Подробнее http://www.croc.ru/action/webinars/59878/
Recomendados
Recomendados
Mais conteúdo relacionado
Mais procurados
Mais procurados (20)
Destaque
Destaque (20)
Semelhante a Использование однонаправленных шлюзов/диодов данных в сетях АСУ ТП
Semelhante a Использование однонаправленных шлюзов/диодов данных в сетях АСУ ТП (20)
Mais de КРОК
Mais de КРОК (20)
Использование однонаправленных шлюзов/диодов данных в сетях АСУ ТП
- 1. Москва, 25 февраля 2016 Голубков Антон Системный инженер ИСПОЛЬЗОВАНИЕ ОДНОНАПРАВЛЕННЫХ ШЛЮЗОВ/ДИОДОВ ДАННЫХ В СЕТЯХ АСУ ТП
- 2. /122 • Мифы о воздушном зазоре • Обзор решений класса «Дата диоды» • Практические аспекты внедрения СОДЕРЖАНИЕ
- 3. /123 Воздушный зазор между сегментами ИТ и АСУ: + Повышение уровня безопасности за счет исключения сетевых угроз - Появление побочных информационных потоков - Отсутствие возможности оперативной выгрузки данных бизнес пользователям и производителям ВОЗДУШНЫЙ ЗАЗОР
- 4. /124 Использование дата диода между сегментами АСУ и ИТ: + Исключение возможности сетевых атак на сегмент АСУ + Обеспечение сетевого канала связи для оперативной выгрузки данных из сегмента АСУ + Одновременное выполнение требований бизнеса и ИБ ДАТА ДИОДЫ
- 5. /125 Типовая архитектура решения ПРИНЦИП РАБОТЫ
- 7. /127 Функциональные возможности дата диодов: • Гальваническая развязка сегментов АСУ и ИТ • Поддержка множества прикладных протоколов: CIFS/SMB, FTP, SMTP, Syslog, Modbus, OPC и др. • Возможность передачи сырого трафика со SPAN порта • Передача данных между сегментами в реальном времени на скорости до 1 Гбитс • Встроенные механизмы контроля целостности передаваемой информации ОСНОВНЫЕ ВОЗМОЖНОСТИ
- 8. /128 ПРАКТИЧЕСКИЕ АСПЕКТЫ ВНЕДРЕНИЯ Ревизия и анализ всех существующих информационных потоков между АСУ и ИТ
- 9. /129 ПРАКТИЧЕСКИЕ АСПЕКТЫ ВНЕДРЕНИЯ Построение целевой схемы информационных потоков между АСУ и ИТ
- 10. /1210 ПРАКТИЧЕСКИЕ АСПЕКТЫ ВНЕДРЕНИЯ Построение целевой схемы информационных потоков между АСУ и ИТ Анализ возможности и необходимости применения решения по однонаправленной передаче данных
- 11. /1211 ВЕДУЩИЕ ПРОИЗВОДИТЕЛИ Отечественные: • АПК Диод • Атликс Шлюз • Secure Diode Сертификация ФСТЭК и Министерства обороны на НДВ и НСД Зарубежные: • Waterfall • Owl • FoxIT
- 12. Антон Голубков Системный инженер 111033, Москва, ул. Волочаевская, д.5, к.1 Т: (495) 974 2274 | Ф: (495) 974 2277 E-mail: agolubkov@croc.ru croc.ru СПАСИБО ЗА ВНИМАНИЕ!
Notas do Editor
- Коллеги, добрый день! Меня зовут Голубков Антон, я являюсь системным инженером компании КРОК и хочу представить вашему вниманию обзор такого класса решений как однонаправленные диоды данных.
- ::: СЕГОДНЯ МЫ ПОГОВОРИМ О ВОЗДУШН :::: Я РАССКАЖУ О ТОМ ЧТО ТАКОЕ ДАТА ДИОДЫ И КАК ОНИ РАБОТАЮТ :::: И РАССМОТРИМ ОСНОВНЫЕ АСПЕКТЫ ВНЕДРЕНИЯ РЕШЕНИЯ ДАННОГО КЛАССА
- ::: КЛАССИЧЕСКОЙ + ЧТО ТАКОЕ ЗАЗОР::: Классической моделью обеспечения информационной безопасности сегмента АСУ является создания так называемого «воздушного зазора» между сетевыми сегментами ИТ и АСУ. Т.е. отсутствие сетевой связности между сегментами АСУ и ИТ ::: НАЛИЧИЕ ЗАЗОРА У МНОГИХ РЕГЛАМЕНТИРОВАНО ВНУТРЕННИМИ ТРЕБОВАНИЯМИ ИБ:: Исторически сложилось ::: ТЕХНОЛОГИИ НЕ СТОЯТ НА МЕСТЕ – НЕОБХОДИМОСТЬ ОПЕРАТИВНОГО ОБМЕНА ДАННЫМИ МЕЖДУ СЕГМЕНТАМИ::: ::: НЕОБХОДИМОСТЬ ТРАСНФОРМИРУЕТСЯ В БИЗНЕСС ТРЕБОВАНИЯ + ВЫГРУЗКА ДАННЫХ ОБЪЕМ ПЕРЕКАЧЕННОЙ НЕФТИ ЗА ВРЕМЯ::: ::: ПОЛУЧАЕМ КОНФЛИКТ В ОБЕСПЕЧЕНИИ ИБ – БЕЗОПАСНОСТЬ И УДОБСТВО ::: ::: С ОДНОЙ СТОРОНЫ ИБ, С ДРУГОЙ БИЗНЕС ::: ::: СЛЕД СЛАЙД::: У многих предприятий наличие данного воздушного зазора регламентировано внутренними требованиями информационной безопасности. Однако, технологии не стоят на месте и активно развиваются, в связи с чем появляется дополнительная необходимость оперативного обмена данными между сегментами АСУ и ИТ. Со временем, данная необходимость трансформируется в определенные бизнес требования к функционированию системы АСУ – например оперативная выгрузка данных об объеме перекаченной нефти зарубежным партнерам за определенный отрезок времени для высшего руководства компании. В конечном результате, мы получаем классический конфликт в обеспечении информационной безопасности – одновременное обеспечение удобства и безопасности. С одной стороны мы должны удовлетворить требования безопасности по наличию воздушного зазора между сегментами АСУ и ИТ, с другой стороны выполнить бизнес требования и обеспечить возможность передачи данных между данными сегментами.
- Решением данной проблемы является использование однонаправленных шлюзов – дата диодов. ::: РАЗМЕЩЕНИЕ + ОБЕСПЕЧИВАЕТ ПЕРЕДАЧУ + СОХРАНЯЕТ УРОВЕНЬ ЗАЩИЩЕННОСТИ ::: Дата диод размещается на границе локальных сетей АСУ и ИТ и выполняет однонаправленную передачу данных из АСУ в ИТ, что обеспечивает создание сетевого канала связи для выгрузки данных из сегмента АСУ, в тоже время сохраняя уровень защищенности ЛВС АСУ от внешних сетевых воздействий. :::ВОЗМОЖНОСТЬ ФУНКЦИОНИРОВАНИЕ МЕХАНИЗМОВ ДЛЯ БИЗНЕСА + НЕ ВЛИЯЕТ НА УРОВЕНЬ ЗАЩИЩЕННОСТИ СЕГМЕНТА АСУ ::: ::: ВЫПОЛНЯЕМ ТРЕБОВАНИЯ БИЗНЕСА И БЕЗОПАСНОСТИ ::: Таким образом достигается возможность функционирования механизмов, необходимых для обеспечения бизнес процессов, которая в свою очередь никак не влияет на уровень сетевой защищенности сегмента АСУ от внешних сетевых атак.
- Все производители решений данного класса избрали единый подход к реализации задач однонаправленной передачи. ::: СОСТАВ ::: ::: ПРИНЦИП РАБОТЫ ::: ::: НАПРАВЛЕНИЕ ПРИМЕНЕНИЯ ::: ::: РЯД КЕЙСОВ – В ОБРАТНУЮ СТОРОНУ::: НЕ РЕКОМЕНДУЕМ, ПОТОМУ ЧТО ::: ОБРАТНЫЙ ПОТОК – ЗЛОУМЫШЛЕННИК :::
- :::: АРХИТЕКТУРЫ – ЕДИНЫЙ НАБОР КОМПОНЕНТ, АРХИТЕКТУРА РАЗНАЯ :::: :::: ПЕРЕЧЕНЬ АРХИТЕКТУР – 4 КОМПОНЕНТА, ПО ПРИНАДЛЕЖНОСТИ К СЕГМЕНТУ, ПО ФУНКЦИОНАЛЬНОМУ ::: :::: ВАРИАНТЫ ИСПОЛНЕНИЯ – СТОЕЙЧНЫЙ, НАСТОЛЬНЫЙ, ПРОМЫШЛЕННЫЙ ДЛЯ МОНТАЖА НА DIN РЕЙКУ ::: :::: ПЕРЕХОД К ФУНКЦИЯМ (СЛЕД СЛАЙД) ::: Ведущие производители решений однонаправленных диодов используют единую концепцию в наборе компонент для построения решения, однако целевая архитектура решения может быть вариантивная. Классическая архитектура построения однонаправленного диода данных представляет собой 4 независимых устройства, каждое из которых выполняет только одну функцию Наиболее «компактной» архитектурой является решение, где модули совмещены в один узел по признаку их принадлежности к сегменту передачи данных. Модуль АСУ обеспечивает преобразование и передачу информации из сегмента АСУ, в то время как модуль ИТ обеспечивает приём и обратное преобразование информации для дальнейшей передачи на конечный сервер сегмента ИТ Также распространена архитектура компоновки элементов по функциональному признаку. В данном варианте модули конвертации выполнены в виде отдельных устройств, однако модули приема и передачи информации объединены в один узел – модуль передачи данных. Кроме различных архитектур, дата диоды также отличаются различными вариантами исполнения. Диоды данных могут выпускаться в стоейчном и настольном форм-факторе, а также есть специализированные варианты для монтажа на DIN рейку. Кроме особенностей архитектуры и исполнения решений также хотелось бы обратить внимание на функциональные возможности данного класса решений.
- В реализации любого дата диода обязательно используется гальваническая развязка. :: рассказать как реализована:: :: ПЕРЕЧЕНЬ ПРОТОКОЛОВ + SQL И ORACLE + ВОЗМОЖНОСТЬ КАСТОМИЗАЦИИ ПОД НУЖДЫ ЗАКАЗЧИКА :: :: СЫРОЙ ТРАФИК – КЕЙС С МОНИТОРИНГОМ SPAN ПОРТА ЧТОБЫ НЕ БЫЛО ВОЗДЕЙСТВИЯ :: :: ПЕРЕДАЧА БЕЗ ЗАДЕРЖКЕ, 1 ГБИТ\С :: диоды данных обладают собственными уникальными механизмами контроля целостности передачи информации :: ДОСТАВКУ БЕЗ ПОТЕРИ ЧАСТИ ДАННЫХ ИЛИ ИХ ИЗМЕНЕНИЯ, ЕСЛИ ОШИБКА – ТО ОПОВЕЩЕНИЕ ::
- ДЛЯ ПРАВИЛЬНОГО И ЭФФЕКТИВНОГО ВНЕДРЕНИЯ решения по однонаправленной передачи данных необходимо выполнить ряд подготовительных действи: :::: РЕВИЗИЯ СУЩЕСТВУЮЩИХ ИНФОРМАЦИОННЫХ ПОТОКОВ – СЕТЕВЫЕ И НЕСЕТЕВЫЕ (ВЫГРУЗКА СТАТИСТИКИ НА USB) + ОБХОДНЫЕ ВЗАИМОДЕЙСТВИЯ::: :::: АГРЕГАЦИЯ ИНФОРМАЦИИ – СХЕМА ПОТОКОВ + НАГЛЯДНО ::::
- :::: СЛЕДУЮЩИЙ ШАГ – ПОСТРОЕНИЕ ЦЕЛЕВОЙ КАРТИНЫ ::: :::: АНАЛИЗ СУЩЕСТВУЮЩЕЙ И ЦЕЛЕВОЙ КАРТИНЫ - УВИДЕТЬ ВСЕ ВЗАИМОДЕЙСТВИЯ - ОТСЛЕДИТЬ ЛИШНИЕ И НЕУЧТЕННЫЕ - СФОРМИРОВАТЬ ПОДХОД К ОБЕСПЕЧЕНИЮ ИБ :::: ПОМОЖЕТ ОПЕРЕДЕЛИТЬ МЕСТА УСТАНОВКИ ДИОДА (СЛЕД СЛАЙД):::: В случае создания или модернизации существующей инфраструктуры в обязательном порядке необходимо создать целевую «карту» информационных потоков. Анализ существующей и целевой картины позволят наглядно увидеть все взаимодействия между защищаемыми сегментами, отследить лишние или неучтенные взаимодействия, а также сформировать правильных подход к комплексному обеспечению информационной безопасности. Когда у нас появляется полное понимание и описание всех информационных потоков, необходимо проанализировать возможность и целесообразность применения решения по однонаправленной передачи данных. И только после выполнения всего комплекса предварительных процедур возможно переходить к этапу проектирования и внедрения. Разделить на два слайда - текущие , целевые и целвые + диод, на каждом нарисовать картинку
- :::: КРАСНЫМИ ТОЧКАМИ ОТМЕЧЕНЫ МЕСТА УСТАНОВКИ :::: :::: ОБЯЗАТЕЛЬНО КОНТРОЛИРОВАТЬ ДОП КАНАЛЫ :::: :::: ПРИМЕР НЕЦЕЛЕСООБРАЗНОЙ УСТАНОВКИ (РЯДОМ ОБРАТНЫЙ КАНАЛ):::: :::: КЕЙСЫ - МОНИТОРИНГ ВЕНДОРА - УДАЛЕННЫЙ ДОСТУП НА ЧТЕНИЕ - ПЕРЕДАЧА СТАТИСТИЧЕСКОЙ ИНФОРМАЦИИ ДЛЯ БИЗНЕСА
- И В КОНЦЕ СВОЕГО ВЫСТУПЛЕНИЯ Я ХОТЕЛ БЫ ПОДВЕСТИ КРАТКОЕ РЕЗЮМЕ :::ИСПОЛЬЗОВАНИЕ ДИОДОВ ТОЛЬКО ДЛЯ ПЕРЕДАЧИ В СТОРОНУ ИТ :::ВЫПОЛНИТЬ ПОЛНЫЙ КОМПЛЕКС ПРЕДВАРИТЕЛЬНЫХ МЕРОПРИЯТИЙ ПО АНАЛИЗУ ВСЕХ ИНФОРМАЦИОННЫХ ПОТОКОВ ПЕРЕД ВНЕДРЕНИЕМ :::ПРИМЕНЯТЬ КОМПЛЕКСНЫЙ ПОДХОД К ОБЕСПЕЧЕНИЮ ИБ И ОСУЩЕСТВЛЯТЬ КОНТРОЛЬ ВСЕХ ПОТОКОВ С ПРИМЕНЕНИЕМ ДРУГИХ РЕШЕНИЙ ПО БЕЗОПАСНОСТИ Надеюсь, краткий обзор решений по однонаправленной передач данных был вас интересен. Спасибо за внимание. Готов ответить на Ваши вопросы.