CC BY
80
МЕТОДИКА АНАЛИЗА ЗАЩИЩЕННОСТИ ОБЪЕКТОВ ПРОМЫШЛЕННОЙ АВТОМАТИЗАЦИИ
Д. И. Правиков, к. т. н., ведущий научный сотрудник ЦИБ ФСБ РФ.
Р. А. Хади, к. т. н., директор Р. Н. Селин, зав. лаб.
(863)201-28-17, [email protected] ФГНУ НИИ «Спецвузавтоматика»
This paper presents a novel technique of security analysis and a method of security rate measurement for networks of industrial automation objects. The proposed technique is based on use of software vulnerability scanners.
В статье предлагается методика анализа защищенности сетей объектов промышленной автоматизации при помощи программных сканеров уязвимостей, а так же способ расчета показателя защищенности.
Ключевые слова: безопасность, уязвимость, анализ защищенности, АСУ
Keywords: security, vulnerability, security analysis, industrial automation
Введение
В настоящее время различные террористические и криминальные структуры интенсивно совершенствуют методы и способы использования информационных технологий и средств для выполнения вредоносных действий. Такое событие прошедшего года как появления вируса Stux-net свидетельствует о том, что сфера промышленной автоматизации так же не является исключением. Проблемы обеспечения БИ а АСУ ТП связанны, с наличием сетевого взаимодействия между компонентами, приводящему к возможности реализации сетевых атак и других видов деструктивных информационных воздействий на компоненты АСУ ТП и сетевую инфраструктуру.
Наиболее общими задачами по обеспечению безопасности информации в таких системах АСУ ТП являются:
- определение угроз БИ и выявление уязвимостей в программном и аппаратном обеспечении АСУ ТП;
- формирование оценки защищенности для сопоставления разных конфигураций сети после принятия мер по устранению обнаруженных уязвимостей.
Автоматизированные системы управления технологическими процессами обладают рядом естественных особенностей, однако наличие типовых операционных систем и сетевого взаимодействия устройств по стандартизированным протоколам канального уровня и сетевого уровней на базе стека семейства TCP/IP позволяет для сбора информации и анализа уязвимостей применять подходы, свойственные анализу сетей, операционных систем и приложений в целом. Для этого применяются сканеры сетей, сканеры уязвимостей и т.д.(например NESSUS, SCADA-аудитор, NMAP).
В соответствии с задачами выполнение оценки защищенности производится в два этапа:
- выполнение тестирования элементов АСУ ТП с целью сбора технических данных об элементах сети АСУ ТП и выявления наиболее полного перечня уязвимостей;
- расчет оценки защищенности, характеризующей наличие и уровень опасности уязвимостей программно-аппаратного обеспечения, которые могут быть использованы для реализации деструктивных воздействий на компоненты АСУ ТП.
Модель нарушителя и принципы выполнения сканирования
Потенциального нарушителя можно отнести к одной из трех групп (под нарушителем может пониматься и вредоносное ПО, запущенное с соответствующими правами в системе):
Гости - пользователи сети, без прав доступа к ресурсам и узлам ИВС.
Пользователи - пользователи, обладающие правами на доступ к некоторым ресурсам и узлам ИВС, однако не имеющие права изменять настройки операционных систем, отвечающих за безопасность, и модифицировать настройки СЗИ.
Администраторы - пользователи, имеющие возможность изменять все параметры технических средств АС или некоторые из них, которые отвечают за безопасность и конфигурирование параметров работы ТС и СЗИ АСУ ТП.
Кроме того нарушитель может действовать как снаружи так и изнутри анализируемой сети. Объектами воздействия могут быть любые сетевые узлы ИВС и программное обеспечение, установленное на них.
Зоны безопасности
Для определения порядка выполнения сканирования необходимо разбить сеть АСУ ТП на зоны безопасности. Под зоной безопасности понимается множество узлов ИВС, находящихся в одной или нескольких 1Р -подсетях, для которых характерна доступность всех узлов между собой, и к которым применяется одинаковые требования политики безопасности. Разбиение на зоны проводится на основании документации о структуре ИВС, результатов работы с администратором ИВС, получения информации о количестве подсетей в ИВС и адресном пространстве каждой из них. Две или более подсети ИВС можно объединить в одну зону безопасности, если между ними функционируют средства маршрутизации, на шлюзах отсутствуют средства разграничения доступа и, при этом, для узлов данных подсетей действуют одинаковые требования политики безопасности.
Для каждой зоны безопасности уточняются:
1. Адреса граничных шлюзов в каждой из подсетей и типы СЗИ, установленные на них.
2. Имена и пароли учетных записей представителей групп безопасности «Администраторы» и «Пользователи» для каждой из зон безопасности. Достаточно получить по одному представителю каждой группы в каждой зоне.
3. Имена и пароли учетных записей пользователей баз данных с административным уровнем привилегий, в случае наличия в рамках зоны безопасности серверов СУБД.
Поскольку в предлагаемой «модели нарушителя» присутствуют как внешний, так и внутренний нарушитель, то тестирование каждой зоны ИВС следует производить снаружи и изнутри.
При сканировании зоны безопасности ИВС изнутри будут выявлены уязвимости, которые доступны для реализации внутреннему злоумышленнику, или внешнему злоумышленнику, получившему доступ во внутреннюю сеть. По результатам сканирования зоны безопасности ИВС снаружи, можно будет судить о доступности узлов исследуемой подсети для внешнего злоумышленника, оценить корректность настройки СЗИ на шлюзах, а так же соответствие принятых мер по защите требованиям действующей политики безопасности.
Процедуру сканирования следует повторить для каждого типа пользователя, представленного в модели нарушителя. В процессе выполнения сканирования исследуемой ИВС АСУ ТП, получаются наборы отчетов сканеров, выполненных снаружи и изнутри сети с разными пользовательскими полномочиями. Перечень обнаруженных уязвимостей существенным образом будет зависеть от типа выполняемого сканирования (изнутри/снаружи) и уровнем полномочий пользователя, от имени которого выполняется сканирование (Администратор, Пользователь, Гость). Соответственно злоумышленнику, в зависимости от его возможных «полномочий», будут доступны для реализации угроз разные уязвимости, что в свою очередь обосновывает использование предлагаемой модели нарушителя.
Оценка результатов сканирования
В результатах выполненного сканирования, сетевые сканеры дают оценку каждой из обнаруженных уязвимостей, характеризующей степень опасности данной уязвимостей. Будем называть её коэффициентом опасности уязвимости. Для сканера №88Ш этот коэффициент принимает значения от 1 до 5 (чем больше, тем опаснее уязвимость). Для удобства будем использовать нормированное представления этого показателя в промежутке [0,1] (0 - уязвимость отсутствует, 1 - уязвимость позволяет получить полный контроль над узлом)
Уровнем уязвимости узла ИВС АСУ ТП называется числовой показатель, характеризующий степень опасности всех обнаруженных в нем уязвимостей, которые могут быть использованы для нарушения его работы или организации ДИВ на атакуемый узел или другие узлы ИВС.
Уровень уязвимости узла ИВС в рамках зоны может различаться в зависимости от полномочий, которыми обладает злоумышленник (и с которыми производится сканирование), его значение рассчитывается отдельно для каждой комбинации следующих факторов:
- уровень прав доступа к элементу ИВС АСУ ТП, которыми обладает злоумышленник или вредоносное ПО, запущенное им (администратор, пользователь, гость);
- вид сканирования (снаружи зоны / изнутри зоны).
Для каждой из возможных комбинаций уровень уязвимости элемента ИВС определяется как максимальный коэффициент опасности уязвимостей, обнаруженных при тестировании данного элемента.
Уровнем критичности узла ИВС называется числовой показатель, находящийся в промежутке [0,1], и отражающий степень влияния нарушения работы исследуемого элемента ИВС АСУ ТП на выполнение критических функций АСУ ТП в целом. Значение уровня критичности узла ИВС выбирается из соображений степени влияния этого узла на безопасность выполнения технологического процесса в АСУ ТП (задается экспертным путем).
В качестве показателя защищенности для отдельной зоны безопасности будем принимать набор значений, состоящий из шести компонент ™ . с с Е. здесь 2 -
множество зон безопасности ИВС.
- оценка уровня защищенности зоны г при заданном типе сканирования и уровне доступа пользователя (см. таблицу 1)
Таблица 1
Обозначение компонент вектора защищенности зоны безопасности
Внутри зоны безопасности I Снаружи зоны безопасности г
Администратор Пользователь Гость Администратор Пользователь Гость
53 ^5
Показателем уровня защищенности ИВС АСУ ТП в целом будет набор векторов по одному для каждой зоны безопасности.
Показатель защищенности строится по принципу «самого слабого звена».
Пусть уровень уязвимости узла ИВС - это максимальный из всех коэффициентов опасности уязвимостей, обнаруженных сканером на данном узле. Обозначим его через РА. Аналогично ££ Ь pL.Il уровень критичности узла.
Уровень защищенности сетевого узла определим как йкА = 1 — VI. • (2Г.
Значения промежутков для интерпретации результатов сканирования выбираются исходя из эмпирических соображений для равномерного покрытия пространства значений показателя
В целом, полученную оценку следует трактовать следующим образом:
«Низкий уровень защищенности» (значения от 0 до 0.5) - в подсети ИВС есть один или несколько узлов, имеющих наиболее опасные уязвимости, эксплуатация которых может привести к получению полного контроля на атакуемым узлом сети или получению контроля над определен ным приложением (работающим в контексте ограниченного пользователя), запущенном на атакуем узле. При этом нарушение работы атакуемого узла может сильно сказаться на функционировании АСУ ТП, в том числе и привести к развитию критической ситуации.
- «Средний уровень защищенности» (значения от 0,51 до 0,85) - в подсети ИВС отсутствуют узлы, выполняющие критически важные функции и, при этом, имеющие опасные уязвимости. Однако могут существовать узлы, не критичные с точки зрения обеспечения функционирования АСУ ТП, и, при этом, имеющие уязвимости, которые позволят несущественным образом нарушить их работу. Допускается наличие серьезных уязвимостей у сетевых узлов, входящих в состав ИВС, но никак не влияющих на ход технологических процессов.
- «Высокий уровень защищенности» (значения от 0.86 до 1) - в подсети ИВС отсутствуют узлы, выполняющие критически важные функции и, при этом, имеющие опасные уязвимости и уязвимости, которые могут приводить к незначительному нарушению работы узлов.
Уровень защищенности всей зоны безопасности с фиксированными параметрами сканирования, состоящей из множества сетевых узлов, определяется как минимальный из уровней всех узлов, входящих в зону.
защищенности и целесообразности построения данной
ЄУ
еь 0,00 0,25 0,50 0,75 1,00
0,00 1,00 1,00 1,00 1,00 1,00
0,25 1,00 0,94 0,88 0,81 0,75
0,50 1,00 0,88 0,75 0,63 0,50
0,75 1,00 0,81 0,63 0,44 0,25
1,00 1,00 0,75 0,50 0,25 0,00
Использование и охрана природных ресурсов
Выводы
Авторы считают, что в данной работе новыми являются следующие положения и результаты:
1.Методика выполнения сканирования сети с учетом модели угроз, подразумевающей наличие нескольких типов пользователей (полномочий пользователей) и их различное расположение.
2.Метод расчета оценки защищенности, характеризующей наличие реальных уязвимостей, присущих элементам ИВС АСУ ТП и учитывающий роль узлов ИВС АСУ ТП с точки зрения обеспечения безопасности технологического процесса.
Однако следует отметить, что предлагаемый подход имеет и определенный недостаток, заключающийся в принципе сбора информации: у сканеров безопасности существует ряд тестов (как дополнительная опция), которые категорически запрещается выполнять на эксплуатируемых объектах, поскольку это может приводить к отказу в обслуживании или нарушению работы уязвимых программных средств. В этом случае выполнение мероприятий сканированию ИВС АСУ ТП следует выполнять либо на стадии разработки объектов, либо в специальные интервалы, предназначенные для выполнения ремонтных или других регламентных работ, когда это не приведет к нарушению работы всей системы.
Кроме того, предлагаемая оценка защищенности не является универсальной и её не следует использовать для сравнения уровня защищенности разных сетей. Однако, она будет полезной для сравнения состояния сети до и после принятия мер по устранению уязвимостей и принятию соответствующих мер по защите.
Литература
1.Руководящий документ ФСТЭК России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», 1992.
2.Руководящий документ ФСТЭК России «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий», 2002.
УДК 621.6: 621.311: 519.6
ВЫЧИСЛИТЕЛЬНАЯ СИСТЕМА РАСЧЕТА И ОПТИМИЗАЦИИ ТЕХНОЛОГИЧЕСКИХ РЕЖИМОВ РАБОТЫ МНОГОВЕТОЧНЫХ НЕФТЕПРОВОДОВ И ТЕПЛОВЫХ СЕТЕЙ КРУПНОГО ГОРОДА
В. В. Шалай, ректор Тел.: (3812) 65 33 89, e-mail: [email protected] Р. Т. Файзуллин, проректор Тел.: (3812) 65 33 89, e-mail: [email protected] Омский государственный технический университет, http://www.omgtu.ru
The algorithm and codes for simulation and optimization of regimes for multibranch hydrosystems tacking into consideration on the limitations on pressure and order of working pumps are developed.
Рассмотрен программный комплекс расчета и поиска оптимальных по цене технологических режимов работы гидравлических систем с учетом ограничений по давлению по трассе и с выбором оптимального распределения дросселирования на насосных.
Ключевые слова: нефтепровод, тепловые сети, моделирование, оптимизация, насосы, параллельные вычисления
Keywords: oil-pipe line, heat transfer system, simulation, optimization, pumps, parallel computations
