Защита сети промышленного объекта – это комплексная задача, не имеющая единого простого решения. Однако несмотря на сложный и многоуровневый подход, одним из ключевых элементов такой системы защиты по-прежнему остается межсетевой экран (МЭ). Но не обычный, а промышленный.
Автор: Сергей Воробьев, менеджер продукта RTT
Промышленный межсетевой экран. В чем особенности?
Все начинается с требований регулятора. Для таких устройств у ФСТЭК России есть специальный свод правил – профиль защиты для МЭ уровня промышленной сети – ИТ.МЭ.Дx.ПЗ, или просто "тип Д". Он включает шесть классов, где с каждым шагом требования ужесточаются. Профиль защиты описывает необходимую функциональность. В свою очередь, профиль типа Д, например, если сравнивать с типом А (МЭ уровня сети), делает особый акцент на фильтрации промышленных протоколов на уровне команд, отказоустойчивости и сервисных режимах. Задача – обеспечить полный контроль информационных потоков, фильтрацию промышленных протоколов, резервирование устройства – и все это, конечно, без ущерба для доступности технологической сети. И, как это часто бывает, дьявол кроется в деталях.
Отказоустойчивость и резервирование: не опция, а необходимость
Требования по резервированию есть и в типе А, и в типе Д. Но для промышленной сети переключение на резерв, длящееся дольше цикла опроса, – это уже не отказоустойчивость, а авария. 5–10 секунд простоя для ИТ-сети – мелочь. Для технологической сети, где время опроса контроллеров измеряется миллисекундами, – это уже авария с реальными финансовыми потерями. Но одного быстрого переключения мало, оконечные промышленные устройства не должны зависеть от таких инцидентов, и лучше это сделать максимально бесшовно. Как этого достичь? Один из приемов – создание отказоустойчивой пары устройств. Пара МЭ резервируют друг друга, для них используется один виртуальный IP- и один виртуальный MAC-адрес. Если одно устройство "падает", то другое подхватывает нагрузку так, что остальное оборудование даже не замечает подмены.
Возникает вопрос: зачем в промышленной сети дополнительно нужен виртуальный MAC, а не только IP? Все упирается в специфику. Устройства в своих ARP-кэшах помнят шлюз по связке IP-MAC. Общий виртуальный MAC позволяет резервному МЭ сразу принять трафик, не дожидаясь обновления ARP-кэша на всех узлах. Это и обеспечивает быстрое, предсказуемое переключение, критичное для технологического процесса.
Фильтрация протоколов: защитить, не сломав
Двинемся дальше и перейдем к более фокусным инструментам. Основа каждой технологической сети передачи данных – промышленный протокол. У нас по-прежнему в ходу "дедушка" Modbus, жив-здоров IEC 104, а кое-где еще встречается и своенравный S7comm. Эти протоколы создавались в другую эпоху, без мыслей о защите. Исправить это – задача МЭ типа Д. Но как фильтровать трафик, не нарушив процесс?
Возьмем тот же IEC 104 – это протокол для энергетики, часто – для связи между объектами. Защищать его нужно через инспекцию и анализ трафика. Но вот в чем загвоздка: это не просто набор данных, это своя сессия на прикладном уровне.
Если мы просто отбросим "плохой" пакет, мы разорвем сессию протокола – нарушится порядок сообщений. Получится ситуация, словно технолог, который при обнаружении брака в одной детали останавливает весь конвейер. Да, угроза заблокирована, но и производство встало.
Наша же задача, не остановить конвейер, а аккуратно изъять бракованную деталь из потока. Именно этот принцип и лежит в основе умной инспекции трафика для промышленных протоколов. Проверяются команды внутри протокола без прерывания общей сессии обмена, то есть не ломая сам процесс обмена технологическими данными. Гибкость и применимость такого подхода гораздо выше.
Аппаратная часть: железо должно быть надежным
Аппаратная часть промышленного МЭ должна быть промышленной – это однозначное правило. В различных отраслях набор требований может отличаться, но общими являются: пассивное охлаждение, расширенный температурный диапазон, устойчивость к вибрациям и электромагнитным помехам, резервирование питания.
Такой МЭ – не просто бонус, а страховка от дорогостоящих простоев. А установка оборудования офисного класса с активным охлаждением в промышленной среде – это сознательное создание точки отказа.
И еще один важный штрих: логирование
Вся информация, логи устройства и события безопасности должны быть не просто понятными, а однозначными для эксплуатирующих АСУ ТП инженеров. Очень здорово, когда в устройстве есть отдельный журнал событий АСУ ТП с внятной детализацией.
Если же из-за сложной подачи информации идентификация событий затруднена, ее полезность сводится на нет. Система логирования должна быть адаптирована под персонал, который с ней работает.
Заключение
Промышленный МЭ – это не просто корпоративный файрвол в металлическом корпусе. Это устройство, в котором отказоустойчивость, умная фильтрация промышленных протоколов и надежная аппаратная часть работают вместе с единой целью – защитить данные в технологическом процессе, не нарушив их доступность.
Реклама: ООО «Русьтелетех». ИНН 7731635182. Erid: 2SDnjc8bJmE