Подписка
МЕНЮ
Подписка

Представляйте свои решения и делитесь опытом на конференциях: 6 июня. Цифровая логистика: управление и оптимизация цепей поставок 7 июня. AgroTech: интеллектуальные технологии в сельском хозяйстве 8 июня. Умное видеонаблюдение на базе AI и компьютерного зрения 9 июня. Автоматизация бизнес-процессов в условиях импортозамещения Нажмите ЗДЕСЬ, чтобы выбрать интересующее вас мероприятие

Удаленный доступ к автоматизированным технологическим системам. Часть 2

Ярослав Мироненко, 30/06/20

В первой части статьи мы остановились на том, что для организации подключения к виртуальному рабочему столу и соблюдения законодательных требований по защите доступа к определенным технологическим сетям необходимо создать VPN-подключение. VPN (от англ. Virtual Private Network – виртуальная частная сеть) -- это название технологий, позволяющих включать в закрытий контур сети элемент, который инфраструктурно связан с ней через другие сети, например Интернет.

Создавайте главное отраслевое издание вместе с нами!

При VPN-подключении данные между удаленным клиентом и технологической сетью будут идти через открытую сеть, но при этом для их защиты будет использоваться весь доступный инструментарий криптографии. VPN можно организовать как на программном, так и на аппаратном уровне.

VPN: программный уровень

VPN может быть организован путем установки специального программного обеспечения. Наиболее распространенная программа – OpenVPN, либо можно воспользоваться встроенными средствами операционной системы. Достаточно иметь простейший роутер на входе в сеть (SOHO-устройство).

Очевидный недостаток такого подхода в том, что вся вычислительная нагрузка на шифрование, туннелирование и прочее ложится на вашу технологическую сеть. Но есть различные платные сервисы, которые предлагают более совершенные алгоритмы шифрования, использование дополнительных вычислительных мощностей и поддержку сложных протоколов. Еще один минус – довольно низкая надежность подключения при большой нагрузке.

В целом решение выглядит достаточно интересным для редких удаленных сеансов ограниченной группы пользователей. Идеально для сравнительно небольшой технологической сети.

Безопасность мест с массовым пребыванием людей. ОПИСАНИЕ ПРОЕКТА. ЗАЯВКА НА УЧАСТИЕ

VPN: аппаратный уровень

Организация VPN на аппаратном уровне требует, исходя из названия, покупки/наладки/обслуживания определенного оборудования. Это дорогостоящий инструмент, отличающийся практически неограниченной безопасностью, эффективностью и масштабируемостью. В данном случае нагрузка на создание VPN ложится на специальные межсетевые экраны, поддерживающие протоколы IPSEC, которые выпускаются такими компаниями, как Cisco, Palo Alto, Juniper и др. Экраны ставятся на вход в сеть. На клиентской стороне устанавливается специальное программное обеспечение, поставляемое совместно с оборудованием, оно может скачиваться при обращении к устройству. Например, для большинства межсетевых экранов производства компании Cisco используется программа Cisco AnyConnect.

Использование таких аппаратных средств, помимо перечисленных ранее общих преимуществ VPN, позволит снизить вычислительную нагрузку на технологическую сеть и даст доступ к современным технологиям и функциям безопасности, которые производители закладывают в свое оборудование, таким как разделение туннелей трафика (корпоративного и личного), шифрование трафика отдельных приложений для снижения нагрузки на криптографию, автоматическая проверка клиентского АРМ на соответствие общим требованиям безопасности и т.д.

it-konsalting

Многофакторная аутентификация

Отдельно можно обратить внимание на аутентификацию при VPN-соединении. Понятно, что даже самая простая программа имеет логин и пароль для опознавания подключающегося клиента. Другой вопрос, считает ли клиент такой способ аутентификации надежным для подключения к важной сети. Более интересное решение – использование многофакторной аутентификации. Самый распространенный и надежный инструмент – подтверждение личности клиента двумя способами: через стандартную процедуру "логин/пароль" и закрытый ключ аппаратного устройства, которым может служить USB-токен или мобильный телефон с ПИН-кодом. Также распространена, но менее надежна двухфакторная аутентификация с СМС-кодом. Есть варианты с подтверждением по корпоративной электронной почте, но они представляются наименее интересными и доступными. Во-первых, часто логин и пароль к корпоративной почте являются также логином/паролем к рабочей станции, что при использовании e-mail с открытой сети, скажем, не совсем безопасно. А во-вторых, на некоторых предприятиях доступ к почте не из корпоративной сети просто закрыт.

Еще один важный момент: само по себе подключение к VPN не даст вам выход к виртуальному рабочему столу, это просто защищенный вход в технологическую сеть. Для удаленного подключения к рабочему столу в этом случае можно воспользоваться тем же RDP (его надежность, соответственно, существенно вырастет), либо использовать комплексное предложение, которое, помимо программы для организации VPN, включает в себя и виртуальный рабочий стол, и дополнительную многофакторную аутентификацию, и динамический контроль доступа, и прокси-сервер, и журналы действий пользователей, и многое другое, что позволяет организовать безопасное удаленное подключение для большого числа пользователей, применяющих самое разное оборудование – от моноблоков на РЕД ОС до мобильных устройств. На рынке сейчас достаточно много подобных предложений.

Узнайте о возможностях лидогенерации и продвижении через контент

Создание облачного сервера сети

Пожалуй, самым высокотехнологичным и радикальным инструментом организации доступа к технологической сети является создание облачного сервера сети. Все подключения к нему будут априори носить удаленный характер. Не потребуется никакого дополнительного программного обеспечения и серьезной вычислительной мощности на клиентской стороне. Существующие сервисы просто ломятся от запатентованных технологий аутентификации, шифрования, защищенного подключения, контроля трафика, регистрации действий пользователей и прочего. К серверу можно будет безопасно подключиться из любой точки мира, база данных и конфигурация станут постоянно резервироваться, а на страже контура будут самые современные технологии информационной безопасности.

Крупнейшие в мире производители промышленного технологического оборудования (Siemens, General Electric, SAP и др.) активно развивают направление SaaS, а мы пока остановимся на очевидных минусах.

Во-первых, на сегодняшний день это не просто дорого, а очень дорого.

Во-вторых, технологическую сеть на базе облачного сервиса надо еще создать, что подразумевает затраты на соответствующую сетевую инфраструктуру на стороне оборудования и очень дорогую наладку. Выходом в определенной мере является использование специализированных облачных сервисов, которые представляют те же производители оборудования и разработчики ПО, но они, как правило, являются иностранными компаниями, что несколько противоречит 187-ФЗ.

Обычный 3G-модем

На практике распространенным среди инженеров на объектах способом является предоставление удаленного доступа к оборудованию сверхзащищенной сети через обычный 3G-модем, несанкционированно установленный на сервере. Логика простая: от безопасников и сисадминов ничего не дождешься, а работу выполнять надо, тем более что это только один раз. Ну максимум два. Понятно, что эти действия чаще всего предпринимаются на постоянной основе и могут похоронить всю выстраиваемую на корпоративном уровне политику информационной безопасности и иметь необратимые последствия на технологическом уровне: нередки случаи, когда управление целыми заводами останавливалось из-за вируса-шифровальщика, случайно занесенного на сервер АСУ ТП. Однако в таких вопросах вина нередко действительно лежит на сотрудниках отделов информационной безопасности, которые вместо организации нормального удаленного доступа предпочитают "завинтить гайки" и отрезать любой доступ к технологической сети. А ведь задачу информирования персонала и организационной работы с ним тоже никто не отменял.

Выступить на онлайн-конференции | представить свои решения

Доступ к оборудованию полевого уровня

Все описанное напрямую относится ко входу в технологическую сеть, но при этом задача предоставления удаленного доступа может быть более узконаправленной и относиться только к конкретному сетевому элементу, оборудованию полевого уровня. В России до сих пор в географически распределенных автоматизированных системах часто применяют GSM-терминалы для удлинения интерфейса RS-485 (особенно в электроэнергетических системах, системах учета, технологического мониторинга). Оставим в стороне вопрос безопасного использования беспроводной связи в технологических сетях, это тема отдельной дискуссии, и просто примем ее наличие как свершившийся факт. В этом случае получение удаленного доступа к конечному устройству на полевом уровне фактически не затрагивает технологическую сеть, а для подключения достаточно знать номер сим-карты терминала, связной номер устройства, пароль для доступа (необходимого для данной операции уровня) и, желательно, расписание опроса терминала с информационного уровня технологической сети (для отсутствия пересечений с основным технологическим процессом). Очень удобный метод для вынужденной конфигурации оборудования или мониторинга его работы. Но за удобство, как это часто бывает, расплачиваются безопасностью.

Во-первых, никакой аутентификации пользователей в этом случае не предусмотрено. Во-вторых, злоумышленное использование даже такой элементарной информации, как номер сим-карты, может обрушить работу сети на данном участке: достаточно постоянно занимать линию и вы до прибора учета никогда не дозвонитесь. Ну и в-третьих, доступ к оборудованию полевого уровня может быть интересен некоторым лицам на постоянной основе. Ваши конкуренты с удовольствием будут получать данные со счетчиков готовой продукции, а смежная электросетевая компания спит и видит, как получить возможность собственной синхронизации времени установленных на границе приборов учета электроэнергии.

Наиболее логичным шагом будет просто запретить такой доступ и хранить в тайне все адреса и пароли, но это не всегда возможно. Технических средств, которые позволят создать логичную структуру информационной безопасности, также нет (не считать же таковым активный разветвитель интерфейса с еще одним модемом на приоритетном порте). Таким образом, остаются только организационные мероприятия, которые можно кратко сформулировать следующим образом:

* не давайте пароль высокого уровня для простых операций (если пароля низкого уровня нет, создайте его, благо такая функция есть практически на всех типах устройств);

  • всегда меняйте пароль после его использования третьими лицами;
  • тщательно выверяйте расписание опроса устройств по GSM-каналу;
  • регулярно меняйте связные номера устройств, пароли;
  • осуществляйте мониторинг подключений к устройству в первое время после предоставления данных для организации удаленного доступа;
  • задумайтесь об организации проводных каналов связи там, где это возможно.

Указанные меры могут выглядеть несколько излишними, но даже их частичное применение позволит существенно увеличить безопасность в отношении устройств на GSM-каналах. Оборудование, включенное в технологическую сеть по физическим каналам, также может опрашиваться и конфигурироваться без использования виртуального рабочего стола сервера сети, но для этого АРМ с конфигурационным программным обеспечением должен получить вход в сеть, а дальше смотрите параграф про VPN.

СКУД. Описание проекта и заявка на участие в обзоре >> 

8 важных выводов

Так выглядит в очень простом изложении практически весь доступный инструментарий для организации безопасного удаленного доступа до элементов технологической сети. Резюмируем все вышесказанное:

  1. Вопрос создания безопасного удаленного доступа к технологическим сетям в большинстве случаев является первостепенным для обеспечения нормального функционирования технологического оборудования компании.
  2. Наиболее практичным инструментом для организации удаленного доступа является VPN.
  3. В зависимости от имеющегося бюджета можно организовать VPN-сеть с защитой как на программном, так и на аппаратном уровне, причем последняя дороже, но эффективнее.
  4. Прямой доступ к отдельным элементам технологической сети также лучше организовать через VPN.
  5. Чем больше современных технологий вы используете, тем более безопасным, медленным и дорогим становится соединение.
  6. Одной из проверенных и надежных технологий, направленных на создание безопасного удаленного подключения, является многофакторная аутентификация.
  7. Использование незащищенных RDP-подключений и беспроводных модемов недопустимо, но для того, чтобы исключить такие случаи, надо организовать нормальный удаленный доступ к технологической сети.
  8. Самая технически безопасная сеть может оказаться уязвимой, если в компании отсутствует внятная политика информационной безопасности и не ведется работа с персоналом.

Я же надеюсь, что мне как автору статьи удалось показать, что информационная безопасность при удаленном доступе – это не нечто сложное и малодоступное, а вполне логичная и понятная сфера, которую обязательно надо развивать, причем не в ущерб основному производству.

Опубликовано в журнале "Системы безопасности" №3/2020

Редакция советует

В статье обоснована актуальность вопросов удаленного доступа к технологическим сетям, описаны требования к информационной безопасности, варианты предоставления удаленного доступа к сети в зависимости от задач (контроль или управление).

Решение по удаленному доступу предоставляют партнеры проекта "Информационная безопасность": ОКБ САПР – российский разработчик программно-аппаратных средств защиты информации (СЗИ) от несанкционированного доступа (НСД), и Perimetrix – разработчик уникальных решений для реализации режима конфиденциальности данных, которые обеспечивают защиту документов ограниченного доступа на всех этапах жизненного цикла, мониторинг каналов коммуникаций и аудит электронных операций.

О чем будем писать в 2023 году >>

Темы:Информационная безопасностьИдентификацияПрограммное обеспечениеУдаленный доступИТ-инфраструктураЖурнал "Системы безопасности" №3/2020Виртуальный рабочий стол
Статьи по той же темеСтатьи по той же теме

Хотите сотрудничать?

Выберите вариант!

 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ
ВЫСТУПИТЬ НА ТБ ФОРУМЕ 2021
ПОСЕТИТЬ ТБ ФОРУМ 2021
СТАТЬ РЕКЛАМОДАТЕЛЕМ
Комментарии

More...