Подключение производственных сетей по Ethernet приобретает все большую популярность. То, что дополнительная инфраструктура требует особой защиты, не вызывает никаких сомнений, однако насколько пригодны традиционные для ИТ механизмы обеспечения безопасности?
Занимая доминирующее положение в области передачи в офисной среде, технология Ethernet приобретает все большее значение и при автоматизации производства. Преимущества, с одной стороны, заключаются в стандартизованной передаче данных, а с другой — в непрерывной инфраструктуре, простирающейся от рабочего стола в офисе до станка или датчика в производственном цехе (см. Рисунок 1). Таким образом, информация о процессах или производстве оказывается доступной на всех уровнях, включая охватывающие различные области системы сбора данных. Вместе с тем, пользователи соответствующих сетей все чаще сталкиваются с вопросами безопасности, которые до сих пор не попадали в их поле зрения. Решению проблемы должны способствовать разработанные специально для промышленности компоненты обеспечения безопасности.
|
| Рисунок 1. Ethernet позволяет реализовать сквозную передачу данных от рабочего стола в офисе до робота в производственном цеху. По этой причине возникают новые требования к безопасности сетей. |
Цифры говорят сами за себя: по данным исследования компании ARC Advisory Group от 2005 г., количество поставляемых оконечных устройств с интерфейсом Ethernet для использования в автоматизации будет увеличиваться на 50% ежегодно вплоть до 2009 г. Если тенденция будет в том же направлении развиваться и дальше, в обозримом будущем произойдет полная замена полевых шинных систем на Ethernet и IP. Из того же исследования можно сделать вывод, что пользователи промышленных систем ищут способы объединения пока еще разделенных производственных и офисных сетей, а также логического и конечно же безопасного их сегментирования.
Некоторые отчеты, к примеру Британского технологического института (British Columbia Institute of Technology, BCIT) и консалтинговой группы РА от 2003 г., обосновывают необходимость технического разделения из соображений безопасности на примерах конкретных происшествий.
ИСТОЧНИКИ ОПАСНОСТИ И СЦЕНАРИИ РЕШЕНИЯ
Поставщики машин либо оборудования для производства, к примеру, печатных станков или конвейеров, вынуждены считаться с тем, что их клиенты хотят получать информацию о производстве в реальном времени, т. е. путем прямого доступа к машине. Если эти обращения не будут регламентированы, то они порождают немалые риски — прежде всего на фоне существующих требований к гарантиям.
Тема удаленного обслуживания приобретает совершенно новое значение вследствие интеграции машин в пользовательские сети. Если в прошлом, чтобы специалист мог получить доступ к машине, сервис предоставлялся по прямым цифровым или аналоговым телефонным соединениям, которые в принципе связывали две области внутри компании, то сегодня приходится принимать в расчет используемую для этого пользовательскую сеть, и наоборот.
Основную головную боль администраторам предприятий доставляет объединение производственной и офисной сетей. В результате подключения прежде изолированных производственных сегментов к корпоративной сети, откуда, как правило, имеется выход в Internet, доступ к производственным сетям внезапно открывается для практически неограниченного количества потенциальных злоумышленников. В то же время теперь из производственного сегмента можно обращаться к централизованным корпоративным ресурсам электронной обработки данных.
Прежде всего в качестве источника опасности следует рассматривать доступность сетей для целей обслуживания (локальный доступ). На многих заводах внешние сотрудники при обслуживании или пуске оборудования в эксплуатацию получают неограниченный доступ к неиспользуемым портам Ethernet. Еще более серьезной ситуация становится, когда для удаленного обслуживания производственных систем применяются модемные соединения.
Даже допущенная без злого умысла ошибка, к примеру при вводе IP-адреса, может стать причиной того, что пользователь обратится не к той машине, которая ему нужна. Вместо этого неосознанно и неконтролируемо он будет производить по сети манипуляции, результаты которых могут иметь фатальные финансовые последствия или даже представлять угрозу жизни людей.
Еще одна — исходящая от авторизованного персонала — опасность заключается в распространении по сети вредоносного программного обеспечения. Так, к примеру, через используемый для сервисных целей ноутбук в производственную сеть могут попасть вирусы. В этом случае очаг инфекции расположен внутри сети. Реализация функций безопасности в демаркационной точке между корпоративной сетью и Internet или между производственной и офисной сетями помогает в подобном сценарии лишь условно.
В офисной среде защита обеспечивается средствами имеющейся инфраструктуры в виде брандмауэров и современных антивирусных сканеров, а также за счет установки обновлений для операционных систем на всех конечных устройствах. Однако в промышленных системах сквозное управление заплатами программного обеспечения чаще всего невозможно по причине наличия различных операционных систем в одной установке и недопустимости в большинстве случаев длительного отключения. Кроме того, во многих системах автоматизации отсутствует необходимая мощность для поддержки локальных технологий обеспечения безопасности.
В целях сокращения перечисленных рисков безопасности некоторые подходы к решению (например, архитектура обеспечения безопасности Hirschmann) предусматривают разделение промышленных сетей на независимые от топологии секции обеспечения безопасности (см. Рисунок 2). На вопрос об оптимальном размере такой секции или зоны безопасности ответить непросто. Очевидно, что одного-единственного решения безопасности на границе между офисной и производственной сетями во многих случаях недостаточно, поскольку огромное число потенциальных опасностей находится внутри сети.
|
| Рисунок 3. В сети можно защищать и отдельные системы автоматизации. На рисунке изображено специализированное устройство (слева), к которому подключены коммутатор и система управления. |
Другой крайний случай — защита каждого отдельного оконечного устройства при помощи инсталлированного на нем программного обеспечения безопасности (см. также Рисунок 3). К сожалению, в большинстве ситуаций и этот метод смысла не имеет. Причины заключаются в недостаточной мощности оконечных устройств, разных операционных системах и состояниях программного обеспечения, а также, конечно, в том факте, что соответствующие издержки на обслуживание производственной сети оказываются слишком высокими.
Следовательно, оптимальное решение обеспечения безопасности следует искать между названными предельными случаями, кроме того, оно должно подходить для каждой конкретной ситуации и быть принято обеими сторонами — отделом ИТ и инженерами.
Главным условием при планировании мер безопасности в сети является знание разрешенных коммуникационных отношений: «Кто может это делать, когда и где».
К сожалению, используемые различными приложениями и устройствами сетевые службы и протоколы в промышленной области известны лишь в редких случаях. Альянс открытых компьютерных сетей в области промышленной автоматизации (Industrial Automation Open Networking Alliance, IAONA) пытается устранить названный недочет при помощи спецификации безопасности (Security Data Sheet, SDS). Основная идея SDS заключается в том, чтобы на каждом работающем устройстве сохранялся коммуникационный профиль в виде файла XML. Таким образом, все необходимые для эксплуатации компонентов службы будут документироваться единообразно и предоставляться отвечающему за безопасность администратору для их планирования. В целях широкого распространения этого подхода пользователи должны требовать его поддержку от своих поставщиков систем. В существующих системах без анализа трафика данных, как правило, обойтись нельзя, дабы избежать невольного блокирования нужного трафика данных.
|
| Рисунок 4. Устройство из семейства продуктов Eagle от Hirschmann спроектированно специально для использования в промышленной области. Этот брандмауэр с поддержкой виртуальных частных сетей должен обеспечить надежную коммуникацию. |
Производители аппаратного обеспечения и соответствующих решений не оставляют эти требования без внимания: для упрощения проведения анализа существующей сети и последующего создания надлежащих правил для брандмауэра компании Hirschmann и Innominate предлагают итеративный и автоматизированный процесс для своего выделенного аппаратного брандмауэра (см. Рисунок 4).
Даже если после соответствующего анализа блокируются все ненужные службы, остается, конечно, некоторый риск, касающийся открытых портов. Он, в свою очередь, в значительной степени зависит от используемых протоколов. Однако и здесь клиент не почувствует себя брошенным на произвол судьбы: для оценки риска IAONA пытается предоставить необходимые средства. В рамках «Руководства IAONA по безопасности сетей» было оценено множество применяющихся в промышленности протоколов на возможность их неправомочного использования. Документ заслуживает по крайней мере того, чтобы его прочесть.
Ральф Каптур — менеджер по продуктам в области промышленных сетей компании Hirschmann Automation and Control.
С ним можно связаться по адресу: jos@lanline.awi.de.
Ресурсы Internet
Общемировой обзор промышленного Ethernet (Industrial Ethernet Worldwide Outlook), анализ рынка и прогнозы до 2009 г., ARC Advisory Group: http://www.arcweb.com.
Технологический институт Колумбии (Columbia Institute of Technology, BCIT) (http://www.bcit.ca), PA Consulting Group (PA): http://www.paconsulting.com.
Архитектура обеспечения безопасности для промышленных сетей (Sicherheitsarchitektur fur integrierte Industrienetze), White Paper Rev. 1.0, Hirschmann Automation & Control: http://www.hirschmann.com.
Руководство по безопасности IAONA (IAONA Handbook Security), Version 1.3, IAONA e.V. Magdeburg: http://iaona.org.
? AWi Verlag