Оценка уязвимостей автоматизированных систем управления технологическими процессами
Анализ нормативных подходов к обеспечению информационной безопасности автоматизированных систем управления технологическими процессами. Выявление сложностей их обеспечения. Систематизация рисков уязвимости. Рассмотрение разработок в области их оценки.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | русский |
| Дата добавления | 30.04.2018 |
| Размер файла | 18,2 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Оценка уязвимостей автоматизированных систем управления технологическими процессами
Вериго А.А.1, Цапко Г.П.2, Каташев А.С.3
1Аспирант, кафедра автоматики и компьютерных систем, 2Доктор технических наук, профессор, 3Аспирант, кафедра автоматики и компьютерных систем, Национальный исследовательский Томский политехнический университет
Аннотация
информационный безопасность автоматизированный уязвимость
Определены факторы и специфика использования автоматизированных систем управления технологическими процессами в Российской Федерации. Проведен анализ основных нормативных подходов к обеспечению информационной безопасности автоматизированных систем управления технологическими процессами. Выявлены сложности обеспечения информационной безопасности при использовании автоматизированных систем управления технологическими процессами. Проведена систематизация рисков уязвимости автоматизированных систем управления технологическими процессами. Приведены примеры практических разработок в области оценки уязвимости автоматизированных систем управления технологическими процессами на промышленных предприятиях в различных отраслях экономики.
Ключевые слова: автоматизированная система управления технологическими процессами, промышленный объект, риск, уязвимость, информационная безопасность.
The factors and the specific use of automated process control systems in the Russian Federation. The analysis of the main regulatory approaches to information security of automated process control systems. Revealed the complexity of ensuring information security in the use of automated process control systems. The systematization of the risks of vulnerability of automated process control systems. Examples of practical developments in the field of assessing the vulnerability of automated process control systems in industrial enterprises in various sectors of the economy.
Keywords: automated process control system, industrial object, risk, vulnerability, information security.
В современных условиях широкое развитие при осуществлении производственной деятельности получили автоматизированные системы управления технологическими процессами (АСУ ТП). Ранее данное понятие применялось в основном для характеристики деятельности крупных промышленных предприятий, однако сегодня технический прогресс привел к тому, что АСУ ТП используются не только на производстве, но и в различных системах, не имеющих прямого отношения к производству (например, системы жизнеобеспечения зданий и сооружений, системы управления энергообеспечением и др.), активно утверждаясь в повседневной жизни современного человека.
Ядром АСУ ТП выступает программное обеспечение (ПО), которое использует информацию специализированных контроллеров, датчиков и исполнительных механизмов с применением диспетчеризации управления на основе коммутационных сетей. Особенность современных АСУ ТП заключается в том, что они выступают не закрытой и изолированной от внешнего воздействия системой, а широко используют общие технологии передачи информации (TCP/IP со специализированными прикладными протоколами верхнего уровня).
Благодаря развитию прикладных ИТ-решений и интернет-технологий АСУ ТП в последнее время вышли на принципиально новый уровень своего развития. Вместе с тем, новый этап автоматизации технологических процессов породил и появление определенных проблем, связанных с возникновением серьезных уязвимостей АСУ ТП. В результате сегодня АСУ ТП часто становятся объектом для различного рода злоумышленников и проведения кибератак.
Во многом это объясняется тем, что программные компоненты систем, управляющих производством, транспортом, водоснабжением и энергообеспечением, находятся в свободном доступе в сети Интернет. Кроме этого увеличение количества организаций, внедряющих АСУ ТП, при ограниченном числе производителей приводит к ситуации, когда одна и та же базовая платформа может применяться для управления технологическими процессами различных объектов в самых разных отраслях экономики.
Поэтому важной и актуальной выступает задача оценки уязвимости АСУ ТП и обеспечения ее защиты от внешних и внутренних угроз. Сложность решения данной задачи обусловлена рядом факторов и спецификой использования АСУ ТП в России:
невозможностью локализации АСУ ТП от общей информационной инфраструктуры предприятия, что приводит к отсутствию возможности полной изоляции системы от внешних воздействий, напрямую несвязанных с организацией и управлением технологическими процессами;
универсальностью используемых в различных АСУ ТП технологий и протоколов, а значит, широкими возможностями нарушителя по изучению возможностей и способов проникновения;
широким использование на отечественных предприятиях иностранных разработок и ПО, а также применением отдельных элементов АСУ ТП, содержащихся в открытом доступе в сети Интернет, что не позволяет в полной мере контролировать вопросы технического обеспечения безопасности системы и увеличивает риски взлома со стороны внешних нарушителей.
При этом важно учитывать, что в случае возникновения аварийных ситуаций на технологических системах ввиду внутренних сбоев и внешних воздействий стоимость ущерба будет значительной, что требует анализа угроз безопасности информации в действующей сети управления технологическими процессами и постоянного совершенствования защиты АСУ ТП.
В отношении определения требований к обеспечению защиты информации в АСУ ТП критически важных и потенциально опасных объектов, а также промышленных объектов, которые представляют повышенную опасность для жизни или здоровья людей и для окружающей природной среды наиболее важным выступает приказ ФСТЭК России от 14 марта 2014 года № 31 [1]. Данный документ определяет трехуровневую классификацию АСУ ТП, что полностью совпадает с принятой на критически важных объектах трехуровневой классификацией уровней опасности, уровней антитеррористической защищенности и т.п.
Кроме этого вопросы защиты информации, отраженные во внутренних документах, разрабатываемых на конкретном промышленном предприятии, должны охватывать, в том числе, и области анализа угроз безопасности информации в АСУ ТП и соответствующих рисков их реализации.
Сложности обеспечения информационной безопасности в АСУ ТП можно представить следующим образом:
1) технические:
структурные, определяемые набором элементов АСУ ТП;
инфраструктурные, определяемые спецификой организации информационной сети;
2) организационные:
возможности обеспечения допуска внутренних пользователей и контроля их действий;
возможности обеспечения допуска внешних пользователей и контроля их действий;
возможности контроля отдельных операций, которые могут быть отданы на аутсорсинг (особенно актуально для облачных вычислений);
3) юридические: соответствие национальному (международному) законодательству, действующим нормативным требованиям и стандартам;
4) специфические, определяемые конкретным технологическим процессом, деятельностью предприятия, отношением к определенной отрасли экономики и др.
Анализ различных экспертных мнений [2-5] позволил систематизировать основные риски уязвимости АСУ ТП, в том числе и при использовании облачных структур (таблица).
Таблица 1 - Риски уязвимости АСУ ТП (включая использование структуры облачных вычислений)
|
Риск |
Последствия |
Противодействие |
|
|
Использование открытых компонентов, в том числе и иностранных производителей |
Высокий риск внешнего вторжения, низкая защищенность системы |
Тщательный подход к выбору компонентов, выбор производителя, аутсорсинг при организации АСУ ТП |
|
|
«Привязка» к определенной системе компонентов или производителю |
Невозможность или сложность использования других компонентов, зависимость от конкретного производителя компонентов |
Тщательный подход к выбору компонентов и производителя, создание собственных компонентов |
|
|
Потеря контроля над данными / инфраструктурой |
Отсутствие возможности обеспечения должного уровня безопасности |
Проведение аудитов безопасности, мониторинг угроз и инцидентов |
|
|
Инсайдеры внешние |
Кража и/или изменение информации, вирусная атака |
Многофакторная аутентификация, шифрование данных и др. |
|
|
Инсайдеры внутренние |
Кража и/или изменение информации |
Ограничение доступа, шифрование данных, обезличивание / маскирование информации и др. |
|
|
Деятельность облачного провайдера и других пользователей |
Несанкционированный доступ к информации, остановка технологических и бизнес-процессов и др. |
Тщательный подход к выбору провайдера |
|
|
Распределенная атака на отказ в обслуживании (DDoS) |
Невозможность получить доступ к сервисам, остановка бизнес-процессов |
Выбор DDoS-устойчивого провайдера, работа с несколькими провайдерами |
Необходимо отметить, что на сегодняшний день уже существуют отдельные практические разработки в области оценки уязвимостей АСУ ТП на различных отечественных предприятиях в разных отраслях экономики. Так, например, С.В. Кирсанов [6] предлагает метод оценки угроз информационной безопасности АСУ ТП газовой отрасли на основе использования системы оценки уязвимостей CVSS. Данное предложение нашло практическое применение в деятельности ООО «Газпром трансгаз Томск».
Несомненно, что в дальнейшем поиск возможностей оценки уязвимости АСУ ТП различных промышленных объектов, прежде всего, критически важных и потенциально опасных объектов, а также тех, которые представляют повышенную опасность для жизни или здоровья людей и для окружающей природной среды, будет привлекать внимание как отечественных теоретиков, так и практиков.
Таким образом, нами определены факторы и специфика использования АСУ ТП в Российской Федерации, проведен анализ основных нормативных подходов к обеспечению информационной безопасности АСУ ТП. В процессе исследования выявлены сложности обеспечения информационной безопасности при использовании АСУ ТП, а также проведена систематизация рисков уязвимости АСУ ТП. Приведены примеры практических разработок в области оценки уязвимости АСУ ТП на промышленных предприятиях в различных отраслях экономики.
Список литературы
Приказ ФСТЭК России от 14.03.2014 № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» // Российская газета. - 2014. - 6 августа.
Анализ защищенности промышленных систем (АСУ ТП, SCADA) // Digital Security. URL: https://dsec.ru/services/audit/asutp (дата обращения 07.10.2016).
Грицай Г. [и др.] Безопасность промышленных систем в цифрах v1* / Г. Грицай, А. Тиморин, Ю. Гольцев, Р. Ильин, С. Гордейчик, А. Карпин // Positive Technologies. URL: https://www.ptsecurity.ru/download/SCADA_analytics_russian.pdf (дата обращения 07.10.2016).
Обеспечение информационной безопасности автоматизированных систем управления технологическими процессами (АСУ ТП) // ООО «УЦСБ». URL: https://goo.gl/pKOWuu (дата обращения 07.10.2016).
Шахновский Г. Безопасность Систем SCADA и АСУТП // Мост Безопасности. URL: https://goo.gl/UiilzQ (дата обращения 07.10.2016).
Кирсанов С.В. Метод оценки угроз информационной безопасности АСУ ТП газовой отрасли // Доклады ТУСУР. - 2013. - № 2(28). - С. 112-115.
Размещено на Allbest.ru
...Подобные документы
Характеристика кислородно-конвертерного производства. Структура и функции автоматизированных систем управления технологическими процессами доводки металла. Модернизация АСУ ТП УДМ-4 ОАО "Северсталь", техническое, аппаратное и программное обеспечение.
дипломная работа [662,8 K], добавлен 29.08.2014Информационные и автоматизированные системы управления технологическими процессами на промышленных предприятиях. Базы данных в автоматизированных системах управления. Системы планирования ресурсов предприятия, сбора и аналитической обработки данных.
контрольная работа [486,7 K], добавлен 29.10.2013Изучение вопросов, связанных с проектированием и эксплуатацией автоматизированных систем управления технологическими объектами. Разработка оптимального управления технологическим объектом управления - парогенератором. Выбор закона регулирования.
курсовая работа [5,2 M], добавлен 18.01.2015Стандартизация подходов к управлению бизнес-процессами. Модель BMM для исследования взаимодействий и управления бизнес-процессами предприятия. Методологии моделирования и управления бизнес-процессами. Способы реализации поставленных перед системой задач.
курсовая работа [232,3 K], добавлен 12.05.2014Развитие информационных систем. Современный рынок финансово-экономического прикладного программного обеспечения. Преимущества и недостатки внедрения автоматизированных информационных систем. Методы проектирования автоматизированных информационных систем.
дипломная работа [1,5 M], добавлен 22.11.2015SCADA — программный пакет, предназначенный для разработки систем сбора, обработки, отображения и архивирования информации об объекте мониторинга. RealFlex - интегрированный пакет для создания прикладных систем управления технологическими процессами.
реферат [53,5 K], добавлен 11.07.2013Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.
курсовая работа [57,4 K], добавлен 13.11.2009Изучение особенностей работы универсальной системы RTWin, которая представляет собой мощный и гибкий инструмент для проектирования систем контроля и управления технологическими процессами. Характеристика Delphi - системы быстрой разработки приложений.
реферат [452,8 K], добавлен 11.06.2010Анализ информационных связей, выявление наиболее существенных недостатков и резервов в области экономики и управления предприятием. Обоснование проектных подходов к разработке автоматизированных информационных систем для решения управленческих проблем.
курсовая работа [64,4 K], добавлен 13.05.2013Основные сведения о предприятии: производственная структура, управление технологическими процессами. Состав технических средств обработки данных и используемого программного обеспечения. Характеристика автоматизированной системы управления "Кадры".
отчет по практике [1009,4 K], добавлен 28.04.2009Анализ нормативно-правовой базы, обоснование направлений создания обеспечения комплексной защиты информации в автоматизированных системах. Разработка методики оценки, выбор путей повышения эффективности защитных мероприятий в автоматизированных системах.
дипломная работа [368,5 K], добавлен 17.09.2009Жизненный цикл автоматизированных информационных систем. Основы методологии проектирования автоматизированных систем на основе CASE-технологий. Фаза анализа и планирования, построения и внедрения автоматизированной системы. Каскадная и спиральная модель.
курсовая работа [1,1 M], добавлен 20.11.2010Основные цели и задачи построения систем распознавания. Построение математической модели системы распознавания образов на примере алгоритма идентификации объектов военной техники в автоматизированных телекоммуникационных комплексах систем управления.
дипломная работа [332,2 K], добавлен 30.11.2012Принципы организации системы, состоящей из персонала и комплекса средств автоматизации его деятельности. Проектирование корпоративных автоматизированных информационных систем. Структура, входные и выходные потоки, ограничения автоматизированных систем.
презентация [11,3 K], добавлен 14.10.2013Организационная структура предприятия, его программное обеспечение, принцип обработки данных. Автоматизированные системы управления технологическими и производственными процессами, ресурсами. Система SAP R/3б ее архитектура и особенности навигации.
отчет по практике [3,8 M], добавлен 23.07.2012Эволюция технического обеспечения. Основные требования, применение и характеристики современных технических средств автоматизированных информационных систем. Комплексные технологии обработки и хранения информации. Создание базы данных учета и продажи.
курсовая работа [127,1 K], добавлен 01.12.2010Анализ рисков информационной безопасности. Идентификация уязвимостей активов. Оценка существующих и планируемых средств защиты. Комплекс проектируемых нормативно-правовых и организационно-административных средств обеспечения информационной безопасности.
дипломная работа [1,1 M], добавлен 03.04.2013Анализ существующих автоматизированных систем управления торговой деятельностью. Проектирование структуры программного обеспечения. Определение требований к аппаратному обеспечению, информационно-программной совместимости и программной документации.
дипломная работа [1,4 M], добавлен 02.03.2010Цели и задачи информационных систем (ИС). Выбор, требования, оценка эффективности внедрения ИС. Оценка эффективности внедрения ИС. ERP-cистема управления бизнес-процессами промышленного предприятия. Сравнение ERP-системы LAWSON M3.
реферат [518,9 K], добавлен 07.08.2007Систематизация теоретических и практических знаний в области проектирования автоматизированных систем объектов нефтегазовой отрасли. Выбор датчиков: уровнемера, сигнализатора, расходомера, температуры и вибрации. Нормирование погрешности канала измерения.
курсовая работа [1,1 M], добавлен 07.06.2015
