Защита информации при межмашинном взаимодействии M2M по сетям поколения 3G

Установка отечественных ТС, установка сертифицированных СЗИ

Программные инъекции

Виртуальная

Внешний

Отправка сетевого запроса на выполнение уже заложенных команд

Управляющее устройство

Конфиденциальность, доступность

Аудит кода

Установка стороннего ПО на терминалы управления

Виртуальная

Внутренний

Установка стороннего ПО на устройство с ПО ИС

Программное приложение

Конфиденциальность

Разграничение доступа сотрудников

Непреднамеренная модификация /уничтожение информации

Виртуальная

Внутренний

Ошибка при выполнении работы

Программное приложение

Целостность, доступность

Разграничение доступа сотрудников

Непреднамеренное отключение средств защиты

Виртуальная

Внутренний

Ошибка при выполнении работы

Управляющее устройство

-

Разграничение доступа сотрудников

Периферийное оборудование, системы обеспечения и проектирование ИС (канал периферии)

Отсутствие информации о цепи поставок

Физическая

Внешний

-

Датчик

-

Использование доверенных компаний-поставщиков

Неправильное

задание требований по ЗИ

Физическая

Внутренний

Ошибка в проектировании системы ЗИ интегратором

Все компоненты

-

Привлечение экспертов в области ИБ для составления требований к ЗИ

Перегрузка каналов БС

Виртуальная

Внутренний, внешний

Множественное подключение пользователей к БС

Средство телекоммуникаций

Доступность

Приоритизация трафика операторами связи

Отключение БС

Физическая, виртуальная

Внутренний, внешний

Вывод из строя БС или ограничение сервиса

Средство телекоммуникаций

Доступность

Резервный канал связи

Сбой системы электроснабжения

Физическая

Внешний

Вывод из строя питающих элементов

Датчик, агрегатор

Доступность

Резервное питание

Доступ через периферийное оборудование и системы связи

Физическая, виртуальная

Внутренний, внешний

Подключение к защищаемому объекту через внешнее оборудование

-

-

Однонаправленное соединение, аутентифицирующие механизмы

Машинные носители информации (канал МНИ)

Кража ключей (токенов) доступа и атрибутов доступа

Физическая

Внешний

Похищение ключа (токена) у сотрудника

Программное приложение

Конфиденциальность

Меры физической защиты

Потеря ключей (токенов) доступа

Физическая

Внутренний

Потеря ключей доступа сотрудником

Программное приложение

Конфиденциальность

Организационные меры

Кража носителей информации (с любыми данными)

Физическая

Внутренний, внешний

Похищение МНИ

-

Конфиденциальность

Организационные меры, меры физической защиты

Штатные программно-аппаратные средства ИС (канал штатных средств)

Несанкционированное отключение СЗИ

Физическая, виртуальная

Внутренний

Отключение СЗИ

Программное приложение

Конфиденциальность

Установка сертифицированных СЗИ

Несанкционированное использование специфических функций датчика

Виртуальная

Внешний

Перехват данных, подключение к устройству

Датчик

Конфиденциальность

Установка сертифицированных СЗИ

Технические каналы утечки информации (канал ТКУИ)

Утечка информации по каналам ПЭМИН

Физическая

Внешний

Перехват ПЭМИН

Средство телекоммуникаций

Конфиденциальность

Определение зоны снятия информации

Незащищенные каналы связи (пассивный и активный мониторинг средств телекоммуникаций) (канал связи)

Сетевая атака

Виртуальная

Внешний

Использование программных инъекций

Агрегатор

Конфиденциальность

Аудит кода, установка СЗИ

Перехват трафика

Виртуальная

Внешний

Использование анализатора трафика

Средство телекоммуникаций

Конфиденциальность

Шифрование

Перехват трафика в пределах контролируемой зоны

Виртуальная

Внутренний, внешний

Использование оборудования радиомониторинга или анализатора трафика

Средство телекоммуникаций

Конфиденциальность

Шифрование

Доступ к кэшу трафика у оператора связи

Виртуальная

Внешний

Использование прав доступа оператора связи

Средство телекоммуникаций

Конфиденциальность

Шифрование

Затор (Jamming)

Физическая

Внешний

Создание помех в электромагнитном поле

Средство телекоммуникаций

Доступность

Организационные меры

Геолокация

Виртуальная

Внешний

Триангуляция, трассировка (tracking), извлечение «гео-тега»,

Датчик

-

Меры физической защиты датчика

Подмена местонахождения (Location Spoofing)

Виртуальная

Внешний

Использование ретрансляторов

Датчик

-

Шифрование, аутентифицирующие механизмы

Перевод датчика на сеть поколения 2G

Физическая

Внешний

Создание шума на частотах работы 3G и 4G

Средство телекоммуникаций

Конфиденциальность

Шифрование

Сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций, топологии сети, открытых портов и служб, открытых соединений и др.

Виртуальная

Внешний

Использование сканеров сети

Средство телекоммуникаций

Конфиденциальность

Шифрование

Выявление паролей по сети

Виртуальная

Внешний

Использование сканеров сети

Средство телекоммуникаций

Конфиденциальность

Шифрование

Навязывание ложного маршрута сети

Виртуальная

Внешний

Подмена данных трафика

Средство телекоммуникаций

Конфиденциальность

Шифрование

Подмена доверенного объекта в сети

Виртуальная

Внешний

Подмена данных трафика

Средство телекоммуникаций

Конфиденциальность

Аутентификация

Внедрение ложного объекта

Виртуальная

Внешний

Подмена данных трафика

Средство телекоммуникаций

Конфиденциальность

Аутентификация

Внедрения по сети вредоносных программ

Виртуальная

Внешний

Внедрение вредоносного кода

Программное приложение

Конфиденциальность

Шифрование

Затопление (Flooding)

Виртуальная

Внешний

Переполнение системы данными

Агрегатор

Доступность

Средства защиты от DoS и DDoS-атак

2.2 Оценка ущерба от реализации угроз M2M в сетях 3G с помощью метода анализа иерархий

Для построения системы защиты информации на ИС, необходимо рассчитать риски ИБ, в процессе чего будет определён размер ущерба при реализации конкретной угрозы. В данной работе будет проведена оценка ущерба от реализации угроз по каналам, перечисленным в модели M2M для сети 3G. Оценка ущерба будет произведена по методу анализа иерархий (МАИ), разработанным Т. Саати [15]. МАИ позволяет структурировать модель в виде набора критериев (компонентов) и альтернатив. Иерархия оценки угроз ИС представлена на рис 2.1.

Рис. 2.1 - Иерархия оценки угроз M2M

На каждом уровне иерархии эксперт, в роли которого в данном случае выступает автор дипломной работы, должен произвести парные сравнения узлов (компонентов) уровня по отношению к их воздействию на общую характеристику ущерба (цель), который может быть нанесён ИС. Используемая шкала оценок приведена в табл. 2.2.

Таблица 2.2

Шкала экспертных оценок для определения значимости компонента (критерия)

Шкала интенсивности	Качественные суждения
1	Равная важность для эксперта компонентов модели
3	Умеренное превосходство одного компонента над другими
5	Существенное превосходство одного компонента над другим
7	Значительное превосходство одного компонента над другим
9	Очень сильное превосходство одного компонента над другим
2, 4, 6, 8	Соответствующие промежуточные значения

В случае если компоненту (объекту) i при сравнении с компонентом (объектом) j соответствует число из шкалы интенсивности, то компоненту (объекту) j при сравнении с i приписывается обратное значение.

Так как мнение эксперта может быть субъективным и меняться со временем, в МАИ используют ряд математических вычислений для оценки правильности выбора эксперта. МАИ допускает несогласованность, поскольку она является частью метода. Используют отношение согласованности (ОС), отражающее отношение индекса согласованности (ИС) - степени нарушения согласованности эксперта - и величины, называемой случайным индексом (СИ), которая получилась бы при случайной генерации элементов матрицы парных сравнений на базе 100 случайных выборок, указанной в табл. 2.3 [16].



Таблица 2.3

Средние значения случайного индекса

Порядок матрицы	1	2	3	4	5	6	7	8	9	10
СИ	0,00	0,00	0,58	0,9	1,12	1,24	1,32	1,41	1,45	1,49

Значение ИС рассчитывается по формуле:

, (2.1)

где - наибольшее собственное значение матрицы;

n - количество угроз для данного ресурса.

Значение ОС рассчитывается по формуле:

. (2.2)

В рамках дипломной работы будем считать приемлемым значение общего индекса согласованности не более 0,1. Значение ОС меньшее 0,2 будем считать достаточным.

Матрица парных сравнений для определения типа нарушителя (источника угрозы), наиболее опасного, т.е. значимого для ИС приведена в табл. 2.4, где Н1 - внешний злоумышленник/нарушитель, Н2 - комбинированный тип злоумышленника/нарушителя (внешний + внутренний), Н3 - внутренний злоумышленник/нарушитель. При выставлении значений учитывалось, что для SCADA внешний и внутренний нарушители имеют равную опасность с поправкой на оснащённость. Для других случаев чаще всего наиболее опасным является внутренний нарушитель.

Вес критерия рассчитывается по формуле:

, (2.1)

где - корень из произведения элементов n^-й строки (i и j).

Проверка согласованности локальных приоритетов собственных значений матрицы производится по формуле:

. (2.2)

Таблица 2.4

Матрица парных сравнений для определения значимости типа нарушителя

	Н1	Н2	Н3	Вес компонента
Н1	1	1/6	1	0,125
Н2	6	1	6	0,750
Н3	4	1/6	1	0,125
	3
ИС	0
ОС	0

Матрицы парных сравнений для определения предполагаемого уровня подготовки нарушителей приведены:

- для внешнего злоумышленника/нарушителя - в табл. 2.5;

- для комбинированного злоумышленника/нарушителя - в табл. 2.6;

- для внутреннего злоумышленника/нарушителя в табл. 2.7.

В таблицах использованы следующие обозначения:

- П1 - высокий потенциал нарушителя;

- П2 - средний потенциал нарушителя;

- П3 - низкий потенциал нарушителя.



Таблица 2.5

Определение значимости потенциала внешнего нарушителя

	П1	П2	П3	Вес компонента
П1	1	5	9	0,735
П2	1/5	1	5	0,207
П3	1/9	1/5	1	0,058
	3,121
ИС	0,061
ОС	0,105

Таблица 2.6

Определение значимости потенциала комбинированного нарушителя

	П1	П2	П3	Вес компонента
П1	1	3	7	0,751
П2	1/3	1	7	0,205
П3	1/7	1/7	1	0,044
	3,141
ИС	0,070
ОС	0,121

Таблица 2.7

Определение значимости потенциала внутреннего нарушителя

	П1	П2	П3	Вес компонента
П1	1	5	9	0,711
П2	1/5	1	5	0,243
П3	1/9	1/5	1	0,046
	3,121
ИС	0,061
ОС	0,105

Таким образом, все нарушители имеют высокий потенциал.

Матрицы парных сравнений для определения предполагаемого уровня ущерба от реализации угроз нарушителем, имеющим высокий потенциал, приведены:

- по внешним нарушителем - в табл. 2.8;

- комбинированным - в табл. 2.9;

- внутренним - в табл. 2.10.

В таблицах использованы следующие обозначения:

- К1 - угрозы, реализуемые через канал непосредственного (физического) доступа к объекту;

- К2 - угрозы, реализуемые через канал виртуального (удалённого) доступа к объекту;

- К3 - угрозы, реализуемые через канал периферийного оборудования, систем обеспечения ИС и обеспечения проектно-конструкторских работ;

- К4 - угрозы, реализуемые через канал машинных носителей информации (МНИ);

- К5 - угрозы, реализуемые через канал штатных средств ИС;

- К6 - угрозы, реализуемые через технический канал утечки информации;

- К7 - угрозы, реализуемые через канал связи.

Таблица 2.8

Определение значимости ущерба от внешнего нарушителя с высоким потенциалом

	К1	К2	К3	К4	К5	К6	К7	Вес компонента
К1	1	3	3	3	3	3	3	0,310
К2	1/3	1	3	3	3	3	1	0,184
К3	1/3	1/3	1	2	3	3	1/3	0,110
К4	1/3	1/3	1/2	1	3	3	1/3	0,091
К5	1/3	1/3	1/3	1/3	1	3	1/3	0,064
К6	1/3	1/3	1/3	1/3	1/3	1	1/5	0,044
К7	1/3	1	3	3	3	5	1	0,196
	7,672
ИС	0,112
ОС	0,085

Таблица 2.9

Определение значимости ущерба от комбинированного нарушителя с высоким потенциалом

	К1	К2	К3	К4	К5	К6	К7	Вес компонента
К1	1	1	2	2	2	2	2	0,223
К2	1	1	1	1	2	3	1	0,177
К3	1/2	1	1	1	1	2	1	0,134
К4	1/2	1	1	1	1	3	1	0,145
К5	1/2	1/2	1	1	1	2	1	0,122
К6	1/2	1/3	1/2	1/3	1/2	1	1	0,076
К7	1/2	1	1	1	1	1	1	0,124
	7,190
ИС	0,032
ОС	0,024

Таблица 2.10

Определение значимости ущерба от внутреннего нарушителя с высоким потенциалом

	К1	К2	К3	К4	К5	К6	К7	Вес компонента
К1	1	3	3	3	3	3	3	0,323
К2	1/3	1	3	3	3	3	1	0,207
К3	1/3	1/3	1	1	1	1	1	0,089
К4	1/3	1/3	1	1	1	2	1	0,099
К5	1/3	1/3	1	1	1	2	1	0,099
К6	1/3	1/3	1	1/2	1/2	1	1	0,075
К7	1/3	1	1	1	1	1	1	0,108
	7,286
ИС	0,048
ОС	0,036

Матрицы парных сравнений для определения предполагаемого уровня ущерба от реализации угроз нарушителем, имеющим средний потенциал, приведены:

- ущерб от внешнего нарушителя - в табл. 2.11;

- ущерб от комбинированного нарушителя - в табл. 2.12;

- ущерб от внутреннего нарушителя- в табл. 2.13.

Таблица 2.11

Определение значимости ущерба от внешнего нарушителя со средним потенциалом

	К1	К2	К3	К4	К5	К6	К7	Вес компонента
К1	1	5	5	3	5	5	2	0,358
К2	1/5	1	5	5	5	7	1	0,234
К3	1/5	1/5	1	5	5	6	1	0,142
К4	1/3	1/5	1/5	1	6	7	2	0,104
К5	1/5	1/5	1/5	1/6	1	2	1/2	0,035
К6	1/5	1/7	1/6	1/7	1/2	1	1/3	0,026
К7	1/2	1	1	1/2	2	3	1	0,100
	8,540
ИС	0,257
ОС	0,194

Таблица 2.12

Определение значимости ущерба от комбинированного нарушителя со средним потенциалом

	К1	К2	К3	К4	К5	К6	К7	Вес компонента
К1	1	3	3	2	3	3	5	0,313
К2	1/3	1	4	1	1	1	5	0,195
К3	1/3	1/4	1	1	1	1	5	0,103
К4	1/3	1	1	1	1	1	5	0,123
К5	1/3	1	1	1	1	1	5	0,123
	К1	К2	К3	К4	К5	К6	К7	Вес компонента
К6	1/5	1/5	1/5	1/5	1/5	1/5	1	0,030
К7	1/2	1/3	1	1	1	1	5	0,112
	7,419
ИС	0,070
ОС	0,053



Таблица 2.13

Определение значимости ущерба от внутреннего нарушителя со средним потенциалом

	К1	К2	К3	К4	К5	К6	К7	Вес компонента
К1	1	3	3	2	3	7	5	0,326
К2	1/3	1	5	5	5	7	1	0,263
К3	1/3	1/5	1	1	2	8	1	0,099
К4	1/2	1/5	1	1	3	7	1	0,115
К5	1/3	1/5	1/2	1/3	1	5	1	0,069
К6	1/7	1/7	1/7	1/7	1/5	1	1/5	0,022
К7	1/5	1	1	1	1	5	1	0,106
	7,786
ИС	0,131
ОС	0,099

Матрицы парных сравнений для определения предполагаемого уровня ущерба от реализации угроз нарушителем, имеющим низкий потенциал, приведены: внешним нарушителем - в табл. 2.14, комбинированным - в табл. 2.15, внутренним - в табл. 2.16.

Таблица 2.14

Определение значимости ущерба от внешнего нарушителя с низким потенциалом

	К1	К2	К3	К4	К5	К6	К7	Вес критерия
К1	1	9	8	2	8	8	8	0,508
К2	1/9	1	3	2	3	8	1	0,142
К3	1/8	1/3	1	1	2	4	2	0,086
К4	1/2	1/2	1	1	2	5	1	0,106
К5	1/8	1/3	1/2	1/2	1	5	1	0,059
К6	1/8	1/8	1/4	1/5	1/5	1	1/5	0,022
К7	1/8	1	1/2	1	1	5	1	0,078
	7,540759
ИС	0,127
ОС	0,096

Таблица 2.15

Определение значимости ущерба от комбинированного нарушителя с низким потенциалом

	К1	К2	К3	К4	К5	К6	К7	Вес критерия
К1	1	5	6	5	5	9	4	0,438
К2	1/5	1	3	2	5	9	1	0,180
К3	1/6	1/3	1	1	3	5	1	0,096
К4	1/5	1/2	1	1	2	6	1	0,096
К5	1/5	1/5	1/3	1/2	1	7	1	0,068
К6	1/9	1/9	1/5	1/6	1/7	1	1/6	0,020
К7	1/4	1	1	1	1	6	1	0,102
	7,576
ИС	0,096
ОС	0,073

Таблица 2.16

Определение значимости ущерба от внутреннего нарушителя с низким потенциалом

	К1	К2	К3	К4	К5	К6	К7	Вес критерия
К1	1	7	2	7	7	8	7	0,466
К2	1/7	1	2	3	2	8	1	0,143
К3	1/2	1/2	1	4	2	5	1	0,137
К4	1/7	1/3	1/4	1	1	4	1	0,062
К5	1/7	1/2	1/2	1	1	4	1	0,069
К6	1/8	1/8	1/5	1/4	1/4	1	1/8	0,023
К7	1/7	1	1	1	1	8	1	0,100
	7,599
ИС	0,100
ОС	0,076

В результате проведённых расчётов можно сделать вывод, что суждения эксперта согласованы в достаточной степени.

Общий индекс согласованности равен 0,052, что менее допустимого значения 0,1.

В результате обработки матриц попарных сравнений получены веса общего ранжирования альтернатив, отражающие значимость угроз (рис. 2.2).

Рис. 2.2 - Значимость угроз в модели М2М

В результате применения МАИ были выделены наиболее потенциальные векторы атак, даны оценки реализации злоумышленником разной степени подготовки атаки по каналам угроз.

Из рис.2.1 и таблиц 2.4 - 2.16 видно, что наиболее вероятным с точки зрения эксперта будет попытка реализации злоумышленником атаки через канал физического доступа к защищаемому объекту. Атаки через каналы виртуального доступа являются более предпочтительными для нарушителей со средним и низким потенциалами. Наименее предпочтительным для злоумышленника является использование технических каналов утечки информации.

Оценку ущерба выразим в вероятности наступления события, при котором ИС будет нанесён определённый ущерб. Вероятность наступления события примем равной значению весов, отражающих значимость угроз (табл. 2.17).

Таблица 2.17

Вероятность наступления события

№ п/п	Канал угроз	Вероятность события, %
	Физический	28,1
	Виртуальный	18,8
	Периферии	11,8
	МНИ	12,6
	Штатных средств	10,8
	ТКУИ	5,6
	Каналы связи	12,4

Таким образом, с помощью предложенного метода показано, что вероятность наступления наиболее значимых угроз составляет 28%, 18,8% и 12,6%.

Следовательно, необходимо предпринимать первоочередные меры по перекрытию физического канала угроз, угроз, связанных с машинными носителями информации и угроз, реализуемых через канал виртуального (удалённого) доступа к объекту. Угрозы через каналы удаленного доступа к объекту и угрозы каналов связи предотвращаются в первую очередь методами защиты информации в сетях 3G и 4G, рассмотренными в главе 1.

Далее рассмотрим организацию комплексного решения по безопасности в SCADA решениях.

3  Анализ решений безопасности M2M

3.1 Общие решения безопасности в SCADA при M2M взаимодействии

Как отмечалось в главе 2, M2M решения в SCADA имеют множество угроз и их нейтрализация должна носить комплексный характер. В организации, использующей SCADA, должна быть упрощена инфраструктура настолько, насколько это возможно. Должна быть составлена модель угроз безопасности и оценены соответствующие риски. Разработанная документация должна соответствовать фактическому состоянию системы безопасности, что упростит проведение аудита.

Ключевой особенностью SCADA является сетевое управление системой, что требует эшелонированной системы защиты. Наиболее важным в SCADA является обеспечение доступности и целостности передаваемой информации. С этой целью будет рассмотрены конкретные механизмы защиты для типовых элементов архитектуры безопасности M2M. Учитывая большое разнообразие методов реализации атак и методов защиты для каждого компонента в отдельности, будет рассмотрено укрупнённое представление защиты в SCADA для беспроводной сенсорной сети (БСС), подключённой к SCADA, передающей информацию о чём-либо от сенсорных датчиков по сетям 3G.

Обязательным условием является использование физических средств и систем безопасности сенсорных датчиков. Физические системы безопасности могут быть представлены в следующем виде:

- наличие или соответствие классов защиты корпуса, креплений или внутренних компонентов датчика географическим и прочим особенностям территории, на которой он расположен. Должны учитываться возможные воздействия стихийного характера;

- наличие технических сооружений и охранных систем, препятствующих умышленному или случайному физическому воздействию на датчики со стороны человека. Примерами технических сооружений являются стены, двери, решётки, пуленепробиваемые стёкла, ограждающие заборы, противотаранные барьеры и т. п. Охранные системы обычно представлены в виде сигнализации (в случае вторжения), либо в виде систем идентификации для разграничения доступа;

- наличие систем аварийного энергоснабжения сенсорных датчиков и систем связи.

Физическая защита должна применяться и для других компонентов SCADA, учитывая особенности конкретной системы. Защищаемый элемент или системы связи с этим элементов (или инфраструктурой в целом) могут быть расположены в месте, доступ в которое ограничен только с помощью замка (устройством фиксации), что зачастую является недостаточным.

Защита сенсорных датчиков должна учитывать аппаратно-программную составляющую: используемое оборудование устаревает и может не иметь встроенных средств защиты. Разработчики датчика и сопровождающего ПО даже при проведении собственных аудитов безопасности могут не выявить все имеющиеся уязвимости, а низкая скорость выпуска обновлений и отсутствие системы оповещения о наличии проблем безопасности может сделать использование устаревшего оборудования крайне опасным для функционирования системы. Однако использование оборудования, которое имеет техническую поддержку у производителя, выполняющего проверку безопасности для своих продуктов, является необходимым.

Встроенные средства защиты (например, дополнительные защищённые микросхемы) позволяют проводить идентификацию устройств в системе и аутентифицировать их с серверами на аппаратном уровне.

Управляющая программа микросхемы (далее - прошивка) может быть модифицирована злоумышленником, что позволит ему реализовать атаку. Модификация прошивки может не требовать физического доступа к датчику, поскольку многие датчики предусматривают возможность удалённого доступа. Для критических информационных инфраструктур особенно важным видится использование криптографических подписей для низкоуровневых аппаратно-программных компонентов, что может предотвратить использование устройства с изменёнными злоумышленником характеристиками.

В ряде случаев одним из методов защиты будет использование однонаправленного соединения, когда датчик сможет только передавать информацию. В других случаях наилучшим решением видится периодическое обновление, например один раз в месяц.

Обновление (патч) прошивки датчика должно производиться в кратчайшие сроки после выпуска разработчиком патча. С этой целью предлагается использование централизованного опроса датчиков об используемых ими версиях прошивки и автоматического обновления при выпуске обновления. Для ряда информационных инфраструктур порядок обновления, однако, может изменяться в связи с возможной ошибкой при обновлении и вывода датчика из строя на некоторое время. В связи с этим возможно обновление только части имеющихся датчиков для проверки стабильности патча, а запуск процесса обновления должен быть подтверждён несколькими ответственными за безопасность лицами.

Очень важным является единый мониторинг данных, отправляемых со всех датчиков: в случае достаточного большого их числа и раздельной функциональности, когда в рамках одной организации информацию с разных датчиков получают разные подразделения. Всплеск передачи данных на сторонние сетевые адреса свидетельствует о перехвате управления и требует незамедлительных действий сотрудников, ответственных за безопасность системы. Чаще всего всплески передачи данных свидетельствуют о том, что устройства несанкционированно используются в распределённой атаке типа «отказ в обслуживании» (Distributed Denial of Service, DDoS). Сенсорные датчики весьма маломощны и низкопроизводительны, но они могут использоваться злоумышленником для атаки на внутренние ресурсы организации, либо быть частью атакующих устройств на внешние объекты. Известно, что злоумышленники, реализующие DDoS-атаки, постепенно осваивают использование устройств IoT, с помощью чего мощность атак может превышать 1 Тбит/с [17]. Является желательным составление дополнительных соглашений с оператором связи о качестве предоставления услуг и обеспечения дополнительной безопасности информации.

Рассмотренные механизмы защиты должны в различных вариациях использоваться и для других типовых компонентов. Должен учитываться принцип «самого слабого звена»: прорыв системы защиты одного элемента может привести к нарушению безопасности всей системы.

Для приложений существуют отдельные угрозы, реализуемые исключительно в виртуальной среде. Основной угрозой для всех приложений является вредоносное ПО, при использовании которого, самой опасной является реализация уязвимости нулевого дна (0day), против которой ещё не разработаны защитные механизмы.

Важным условиям обеспечения безопасности SCADA является снижение сложности конечной системы. Поскольку в сложных распределённых системах SCADA, которые могут состоять из нескольких тысяч систем, даже сотрудники, отвечающие за информационную безопасность, могут испытывать определённые трудности с получением всей необходимой информации о работе систем защиты и функционирования отдельных элементов SCADA, возможны сценарии совершения успешных атак, которые останутся незамеченными до момента их завершения, а в ряде случаев, и после. Поэтому межмашинное взаимодействие элементов SCADA по сетям 3G должно быть сегментировано, а также подвергаться мониторингу. Взаимодействие сегментов между собой должно быть минимально необходимым.

Отправляемые данные с датчиков по сетям 3G чаще всего являются открытыми и рассмотренные в предыдущих разделах встроенные механизмы безопасности 3G позволяют обеспечить достаточный уровень защиты при передаче данных (рис.3.1), а межсетевой экран защищает SCADA от внешних сетевых атак.

Рис. 3.1 - Структура взаимодействия БСС и SCADA

Дополнительно к встроенным механизмам безопасности сети 3G может применяться шифрование трафика, реализуемое в виде технологии виртуальной частной сети (Virtual Private Network, VPN). Пример VPN-туннеля представлен на рис.3.2.

Рис. 3.1 - Структура взаимодействия БСС и SCADA при реализации технологии VPN



3.2 Шифрование информации при межмашинном взаимодействии в SCADA

Технология VPN в сетях 3G основана на шифровании информации и используется для обеспечения защищённого сетевого соединения, позволяя с достаточной степенью надёжности обеспечивать конфиденциальность и целостность передаваемой информации. С этой целью на терминальном уровне применяется протокол L2TP/IPSec.

Шифрование трафика при межмашинных коммуникациях производится при передаче информации от сенсорного датчика по открытым сетям связи 3G к удалённому терминалу (Remote Terminal Unit, RTU) SCADA и на диспетчерский пункт управления (Master Terminal Unit, MTU) SCADA (рис.3.3). RTU может быть представлен как в виде компьютера, так и в виде программируемого логического контроллера (Programmable Logic Controller, PLC), MTU может быть представлен в виде SCADA-сервера.

Рис. 3.3 - Структура взаимодействия в SCADA при использовании датчиками сети 3G

Данная конфигурация шифрования трафика отличается от типовой структуры (рис. 3.3), поскольку передача по сетям 3G происходит непосредственно с сенсорного датчика, а не с RTU.



Рис. 3.3 - Типовая структура взаимодействия в SCADA

Поскольку SCADA является частью Автоматизированной системы управления технологическими процессами (АСУ ТП), при описании процессов шифрования мы будем исходить из идентичности данных понятий. В России SCADA может являться частью критической информационной инфраструктуры, относясь к критически важным объектам, чья защита регулируется государственными структурами. Это приводит к необходимости одновременно с техническим проектом M2M системы разрабатывать проект системы защиты информации на объекте ввода [18], а также использовать сертифицированные средства защиты информации, в частоности, средства криптозащиты. Таким образом, средство криптозащиты должно использовать стандарт симметричного блочного шифрования ГОСТ 28147-89.

Рассматривая сертифицированные средства криптозащиты для M2M устройств, можно выделить новые требования к сенсорным датчикам, которые являются сложнореализуемыми при шифровании M2M трафика непосредственно с датчиков: поддержка датчиком возможности установки операционной системы (Android, IOS, Windows, MacOS), либо поддержка датчиком дополнительных модулей приктозащиты. Из-за ограниченной вычислительной мощности датчика и ограниченного объема памяти, зачастую невозможна установка дополнительных криптомодулей (не использующих собственные вычислительные ресурсы) и операционной системы на сенсорные датчики, и в целях безопасности применяются упрощённые криптографические библиотеки, не требовательные к ресурсам памяти устройства.

Таким образом, использование топологии сети, при которой данные шифруются непосредственно на сенсорных датчиках, а не на RTU, является нетривиальной задачей и в практической деятельности вопрос целесообразности шифрования информации на сенсорном датчике должен рассматриваться отдельно.

Модель использования шифрования M2M трафика по сетям 3G с RTU до MTU позволяет использовать специализированные сертифицированные средства и обеспечивать защищённое соединение. Для практической реализации приведём пример использования в SCADA сертифицированного по требованиям Федеральной службы безопасности России криптомодуля ОАО «ИнфоТеКС» ViPNet SIES Pack, являющегося целостным устройством и поддерживающим различные интерфейсы передачи данных

К каждому RTU сети SCADA подключается криптомодуль ViPNet SIES Pack, а на MTU устанавливается специализированный криптомодуль, либо используется решение в виде интегрированных криптографических библиотек. Для реализации шифрования к SCADA подключается Удостоверяющий центр, выпускающий и сопровождающий сертификаты ключей электронной подписи с целью подтверждения подлинности ключей шифрования. Модель защиты информации при передаче информации от PLC к SCADA-серверу с использованием сертифицированного модуля ViPNet SIES представлена на рис 3.4, модель защиты информации при передаче информации от SCADA-сервера на PLC на представлена на рис 3.5.



Рис. 3.4 - Передача информации от PLC к SCADA-серверу

Рис. 3.5 - Передача информации от SCADA-сервера на PLC

При использовании технологии VPN в сети 3G может возникнуть уменьшение пропускной способность канала, что может негативно отразиться на передаче M2M трафика. Решением данной проблемы является тщательный выбор оборудования (например, межсетевой экран), в сопроводительной документации к которому должна быть указана допустимая скорость передачи информации при реализации VPN.

В результате использования сертифицированных средств защиты информации, допустимо использовать рассмотренную модель на объектах критической важности.

Основываясь на представленных направлениях атак и защитных мероприятиях можно выделить укрупнённую группу решений, которую следует применять для защиты межмашинного взаимодействия в SCADA. Указанная группа решений приведена в табл. 3.1 Взятые по отдельности решения или их комбинации должны значительно снизить риск информационных вторжений.

Таблица 3.1

Решения безопасности для SCADA, использующих сети 3G

	Требуемое решение безопасности	Описание решения безопасности
	Физическая защита датчиков	-
	Взаимная аутентификация	Взаимная проверка подлинности M2M устройств и систем SCADA (серверов) перед получением команд или обновлений
	Идентификация датчиков	Система SCADA должна с достаточной надёжностью считать доверенным датчик, присылающий телеметрические данные
	Туннелирование соединения	Требуется шифрование трафика при передаче по сетям 3G
	Ограничение функциональности датчиков	Требуется отказаться от всех дополнительных услуг оператора связи и функций датчика, не связанн...

Подобные документы

• Методы и средства защиты информации в сетях

  Проблема защиты информации. Особенности защиты информации в компьютерных сетях. Угрозы, атаки и каналы утечки информации. Классификация методов и средств обеспечения безопасности. Архитектура сети и ее защита. Методы обеспечения безопасности сетей.
  
  дипломная работа [225,1 K], добавлен 16.06.2012
  

• Защита информации как часть информационной безопасности информационных систем

  Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.
  
  реферат [51,5 K], добавлен 20.01.2014
  

• Методы защиты информации в телекоммуникационных сетях

  Проблемы защиты информации в информационных и телекоммуникационных сетях. Изучение угроз информации и способов их воздействия на объекты защиты информации. Концепции информационной безопасности предприятия. Криптографические методы защиты информации.
  
  дипломная работа [255,5 K], добавлен 08.03.2013
  

• Организация защиты информации в локальной вычислительной сети (на примере ОАО "Марийский машиностроительный завод")

  Организация компьютерной безопасности и защиты информации от несанкционированного доступа на предприятиях. Особенности защиты информации в локальных вычислительных сетях. Разработка мер и выбор средств обеспечения информационной безопасности сети.
  
  дипломная работа [1,6 M], добавлен 26.05.2014
  

• Методы и средства защиты информации в сетях

  Понятие защиты умышленных угроз целостности информации в компьютерных сетях. Характеристика угроз безопасности информации: компрометация, нарушение обслуживания. Характеристика ООО НПО "Мехинструмент", основные способы и методы защиты информации.
  
  дипломная работа [135,3 K], добавлен 16.06.2012
  

• Механизмы защиты информации в вычислительных сетях

  Механизмы обеспечения информационной безопасности корпоративных сетей от угроз со стороны сети Интернет. Механизм защиты информации на основе использования межсетевых экранов. Принципы построения защищенных виртуальных сетей (на примере протокола SKIP).
  
  реферат [293,2 K], добавлен 01.02.2016
  

• Анализ угроз и разработка предложений по обеспечению информационной безопасности Российской Федерации в правоохранительной и судебной сферах

  Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.
  
  курсовая работа [57,4 K], добавлен 13.11.2009
  

• Изучение и анализ методов управления средствами сетевой безопасности

  Рассмотрение основных понятий защиты информации в сетях. Изучение видов существующих угроз, некоторых особенностей безопасности компьютерных сетей при реализации программных злоупотреблений. Анализ средств и методов программной защиты информации.
  
  дипломная работа [1,5 M], добавлен 19.06.2015
  

• Системы физической защиты информации (СФЗИ)

  Анализ проблемных аспектов построения и функционирования системы физической защиты информации предприятия. Модель угроз информационной безопасности. Разработка и обоснование модели и процедур выбора средств СФЗИ на основе метода анализа иерархий.
  
  дипломная работа [2,6 M], добавлен 01.07.2011
  

• Совершенствование системы информационной безопасности в помещениях ОАО "Расчет"

  Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
  
  дипломная работа [4,5 M], добавлен 19.12.2012
  

• Защита информации

  Понятие государственной и коммерческой тайны. Основные нормативные документы по оценке информационной безопасности. Потенциальные угрозы безопасности информации в локальных вычислительных сетях. Криптография и ее применение. Защита от удаленных атак.
  
  курсовая работа [37,3 K], добавлен 24.03.2013
  

• Проблемы защиты информации в компьютерных сетях

  Проблема выбора между необходимым уровнем защиты и эффективностью работы в сети. Механизмы обеспечения защиты информации в сетях: криптография, электронная подпись, аутентификация, защита сетей. Требования к современным средствам защиты информации.
  
  курсовая работа [32,1 K], добавлен 12.01.2008
  

• Изучение проблемы обеспечения информационной безопасности предприятия

  Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.
  
  курсовая работа [269,0 K], добавлен 24.04.2015
  

• Защита информации

  Основные свойства информации. Операции с данными. Данные – диалектическая составная часть информации. Виды умышленных угроз безопасности информации. Классификация вредоносных программ. Основные методы и средства защиты информации в компьютерных сетях.
  
  курсовая работа [41,4 K], добавлен 17.02.2010
  

• Методы и средства защиты информации в сетях

  Основные положения теории защиты информации. Сущность основных методов и средств защиты информации в сетях. Общая характеристика деятельности и корпоративной сети предприятия "Вестел", анализ его методик защиты информации в телекоммуникационных сетях.
  
  дипломная работа [1,1 M], добавлен 30.08.2010
  

• Комплексные системы информационной безопасности

  Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
  
  реферат [30,0 K], добавлен 15.11.2011
  

• Методы защиты информации в телекоммуникационных сетях

  Сущность проблемы и задачи защиты информации в информационных и телекоммуникационных сетях. Угрозы информации, способы их воздействия на объекты. Концепция информационной безопасности предприятия. Криптографические методы и средства защиты информации.
  
  курсовая работа [350,4 K], добавлен 10.06.2014
  

• Сущность и улучшение системы защиты информации

  Классификация и описание угроз и возможного ущерба информационной безопасности. Общие требования к системе защиты информации предприятия, определение требуемого класса защищенности. Алгоритм и характеристика разработанной программы разграничения доступа.
  
  дипломная работа [3,2 M], добавлен 21.10.2011
  

• Технологии защиты информации в Wi-Fi сетях

  Определение в процессе исследования эффективного способа защиты информации, передающейся по Wi-Fi сети. Принципы работы Wi-Fi сети. Способы несанкционированного доступа к сети. Алгоритмы безопасности беспроводных сетей. Нефиксированная природа связи.
  
  курсовая работа [2,3 M], добавлен 18.04.2014
  

• Анализ угроз и разработка политики безопасности информационной системы отделения Пенсионного фонда Российской Федерации

  Разработка структурной и инфологической моделей информационной системы госучреждения. Перечень и анализ угроз, объекты нападения, типы потерь, масштабы ущерба, источники. Охрана базы данных конфиденциальной информации и разработка политики безопасности.
  
  курсовая работа [64,2 K], добавлен 15.11.2009
  

• главная
• рубрики
• по алфавиту
• вернуться в начало страницы
• вернуться к началу текста
• вернуться к подобным работам