Обеспечение безопасности технических сетей в промышленных системах Текст научной статьи по специальности «Электротехника, электронная техника, информационные технологии»

УДК 004.056.53

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ТЕХНИЧЕСКИХ СЕТЕЙ В ПРОМЫШЛЕННЫХ СИСТЕМАХ

С.С. Титчев, В.А. Селищев

Рассмотрены основные угрозы и способы защиты технических сетей предприятия от возможных внешних деструктивных воздействий.

Ключевые слова: защита информации, системы безопасности, IP- видеокамера, узел контроля сети, программно-аппаратный комплекс.

Обеспечение безопасности технических сетей в промышленных системахот внешних угроз не менее важно, чем защита пользовательской локальной сети. Техническая сеть состоит из различных оконечных сетевых устройств. Оконечное сетевое устройство, или узел, является отдельной компьютерной системой, т.е. устройством, позволяющим выступать в роли клиента. К наиболее распространённым сетевым оконечным устройствам в промышленныхсистемах и системах безопасности предприятия относятсясетевые промышленные контроллеры, интерфейсные преобразователи, IP-видеокамеры. Если не сформировать должным образомзащиту оконечных устройств, никакие меры безопасности не гарантируют полной защиты конфиденциальной информации предприятия и бесперебойного функционирования производства.

Все современные системы безопасности, как автоматизированные системы управления технологическими процессами, строятся на основе общих принципов. Системы подразделяются на три уровня. Нижний уровень подразумевает аппаратные средства - охранно-пожарные извещатели, приводы и исполнительные устройства, приемно-контрольные приборы. На среднем уровне находятся интерфейсные преобразователи, промышленные контроллеры и IP-видеокамеры. Верхним уровнемявляются рабочие станции, серверы и автоматизированные клиентские рабочие места.

Практически любая IP-видеокамера, расположенная снаружи на фасаде здания, может быть использована злоумышленником в качестве точки доступа к кабельной локальной линии для проникновения в корпоративную сеть, а также соответственно к серверу и клиентам системы видеонаблюдения.

В данном случае перехват трафика может быть осуществлен с помощью небольшой микросхемы крестообразной формы Throwing Star LAN Tap (рис. 1), которая не требует дополнительного питания.

Проблема возникает в случае, когда это устройство невозможно отследить программными средствами, так как это обыкновенный переходник, который никак себя не раскроет. При этом IP-видеокамера будет по-прежнему работать и транслировать картинку.

И

м

Рис. 1. Вид микросхемы Throwing Star LAN Tap

138

Следует отметить, что беспроводная сеть еще больше подвержена угрозам несанкционированного проникновения, чем кабельная.

Получить доступ к передаваемой информации, а также повлиять на действующий канал передачи данных злоумышленнику не составит особого труда. Следует только разместить специальное устройство в зоне покрытия сети.

Одно из таких устройств отображено на рис.2, им может быть USB-адаптер ALFA AWUS036NHA. Это устройство позволит перехватить и прослушать трафик между узлами и получить непосредственный доступ к корпоративной сети.

*

Рис. 2. USB-адаптер ALFA AWUS036NHA

Перечисленные примеры угроз могут иметь тяжелые последствия для бизнеса и послужить причиной неработоспособности всего здания в целом, а также хищения и уничтожения конфиденциальной информации, что неминуемо приведет к банкротству-предприятия.

Для обеспечения безопасности сетевой инфраструктуры предприятия необходимо провести дополнительные меры по защите информации с учетом действующих основных методов, а именно: внедрить программно-аппаратное устройство с автономным источником питания, способное круглосуточно осуществлять узкий круг задач для мониторинга и контроля за сетевыми оконечными узлами с возможностью оперативного отключения от линии одного устройства или группы устройств, повлекших за собой проникновение злоумышленника в сеть.

Организационные меры позволят исключить или существенно затруднить возможность неправомерного захвата конфиденциальной информации путем доступа к сети и возникновения внутренних и внешних угроз, так как являются составной частью в реализации защиты информации.

Для наиболее эффективного контроля применяемых сетевых соединений и обеспечения защиты от несанкционированного доступа следует все распределительные коробки, расположенные на внешних неохраняемых и потенциально уязвимых участках оборудовать концевыми выключателями, выходы которых требуется вывести на приемно-контрольные приборы или узлы контроля сетидля получения тревожных сигналов. Этот метод позволит исключить вероятность несанкционированного доступа к сетевому соединению, а именно к сети, и оповестить о возможном проникновении в систему.

Для повышения уровня защищенности технической сети необходимо учесть количество сетевых устройств, их месторасположения, предназначение и структурную привязку к действующей системе. Во избежание появления бесконтрольных сетевых устройств следует внести новый порядок работы сети. Для этой цели,как показано на рис.3, требуется разместить специализированные узлы контроля сети (УКС).

С помощью действующих технических средств предоставляется возможность вести мониторинг за сетевыми устройствами, проводить проверки и испытания на отказоустойчивость оборудования и управлять узлами УКС как локально, так и удаленно по выделенному сетевому каналу с применением зашифрованного протокола.

139

Узел контроля сети является в некоторой степени модулем узкой функциональной направленности с возможностями микрошлюза и имеет автономный источник питания, способный оставаться в активном рабочем режиме около 10 часов. УКС состоит из программной и аппаратной частей.

В состав программной части входит:

- операционная система DebianLinux,

- язык программирования - Python,

- сканер сети Nmap,

- сетевой анализатор Wireshark,

- интерактивный монитор сети Iptraf,

- система мониторинга Zabbix.

Объект №1 Сетевые устройтсва для системы №1

С-

О Vlan 1005 УКС-1

с- 192.168.11.Х

о 192.16S.U.1

Объект

щ ш

192.168.10.Х

Сетевой шлюз

Сетевые устройтсва для системы NB2

Рис. 3. Схема сети с узлами контроля сети

В состав аппаратной части входит:

- резервированный источник питания РИП 12 исп.01,

- микрокомпьютер RaspberryPi-3 b+,

- аккумулятор Delta 12В 17А*ч,

- конвертер постоянного напряжения USB с 12 до 5В,

- микро^В-кабель с пропускным током до 3000мА.

Для того чтобы обеспечить наиболее надлежащий контроль сети, следует задействовать один или несколько узлов УКС, по возможным рискам безопасности определить и применить тонкую настройку маршрутизации для каждого IP-устройства в зависимости от количества оконечных узлов.

Удаленное управление узлами УКС осуществляется по выделенному сетевому каналу с использованием шифрованного протокола. Все последующие действия осуществляются центральным узлом контроля сети (ЦУКС).

Центральный узел создан на базе персонального компьютера с установленной операционной системой DebianLinux и выполняет роль сервера как главного устройства по контролю и управлению узлами УКС в сети, что позволяет централизованно координировать работу каждого IP-устройства или группу устройств в отдельном порядке.

В случаеприменениямикрокомпьютера Raspberry Pi-3 в составе с резервированным источником питания и операционной системы DebianLinux удастся создать бюджетный мобильный программно-аппаратный комплекс, способный осуществлять постоянный сетевой контроль за сетевыми устройствами предприятия. Следуетотме-тить, что Raspberry Pi-3 не требует дополнительных затрат на комплектующие, так как является единой электронной платой, как показано на рис.4.

140

Используемые программы соответствуют стандартам Open Source и являются открытым программным обеспечением, доступным и размещенным на официальном сайте разработчика.

Рис. 4. RaspberryPi-3 одноплатный микрокомпьютер

Для внедрения данной полезной модели нужно учесть основные преимущества и недостатки в настройке и отладке системы узла контроля сети.

К преимуществам относятся:

- переносная мобильная конструкция, позволяющая установить плату в малогабаритный корпус и разместить на стене или под столом,

- низкое энергопотребление (5 В), позволяющее держать микрокомпьютер постоянно включённым или запитывать от небольшого аккумулятора,

- отсутствие движущихся частей системы охлаждения,

- низкая цена системы по сравнению с персональным компьютером,

- легкая открытая операционная система, основанная на ядре Linux,

- наличие стандартных разъемов для подключения средств ввода и вывода.

К недостаткам относятся:

- ограничение количества сканируемых узлов, не более 50 устройств в сети,

- наличие базовых знаний компьютерных сетей,

- умение работы с Unix-подобными операционными системами.

С помощью микрокомпьютера Raspberry Pi-3 существует возможность создать бюджетную модель, которая выполнит задачи по мониторингу, исключит вероятность появления несанкционированных точек доступа и при обнаружении выявит возможные уязвимости и автоматически отключит атакованный участок сети. Необходимо приэтом учитывать, что данная модель не является панацеей в защите информации, так как выполняет узкий круг задач. Поэтому данный способ следует рассматривать как один из наиболее возможных бюджетных вариантов.

Можно с уверенностью сказать, что в результате правильной разработки методов защиты информации и внедрения новых технических средств любое предприятие при наличии собственных ресурсов существенно может уменьшить вероятность возникновения угроз. Это будет способствовать сохранности материального и интеллектуального капитала предприятия, а также повысит степень защиты конфиденциальной информации.

Список литературы

1. Баранова Е.К.,Бабаш А.В. Информационная безопасность и защита информации: учеб. пособие. 3-е изд. перераб. и доп.М.: РИОР; ИНФРА-М, 2017. 322 с.

2. Бондарев В.В. Введение в информационную безопасность автоматизированных систем:учеб. пособие. М.: Изд-во МГТУ им. Н. Э. Баумана, 2016. 250 с.

141

3. Бирюков А.А.Информационная безопасность: защита и нападение.2-е изд.перераб. и доп. М.: ДМК Пресс, 2017.434с.

4. Цыгичко В.Н.,Черешкин Д.С., Смолян Г.Л. Безопасность критических инфраструктур. М.: Изд-во Ленанд, 2019. 200с.

5. Почему защита АСУ ТП сегодня стала критически важной? [Электронный ресурс]. Информационный портал по безопасности, автор Андрей Заикин, руководитель направления информационной безопасности компании КРОК https://www.securitylab.ru/analytics/484730.php (дата обращения 10.01.19).

6. Вирусная атака или акт войны? [Электронный ресурс] CRN/RE издание об ИТ-бизнесе, автор статьи Константин Геращенко https://www.crn.ru/numbers/spec-numbers/detail.php?ID=119981 (дата обращения 10.01.19).

7. Great Scott Gadgets / Метательная Звезда LAN Tap/ https://greatscottgadgets.com/throwingstar/ (дата обращения 10.01.2019)

8. Батраков А.Ю. Механизм обновления защищенных микрокомпьютеров МКТ / Мобильный компьютер с аппаратной защитой доверенной операционной системы / Режим доступа: http://izdat.ntckompas.ru/ (дата обращения 10.01.2019).

Селищев Валерий Анатольевич, канд. техн. наук, доцент, sel648val@rambler.ru, Россия, Тула, Тульский государственный университет,

Титчев Сергей Сергеевич, магистрант, sereny89@mail.ru, Россия, Тула, Тульский государственный университет

SECURITY TECHNOLOGY NETWORKS IN INDUSTRIAL APPLICATIONS

S.S. Titchev, V.A. Selishchev

The main threats and ways of protection of technical networks of the enterprise from possible external destructive influences are considered.

Key words: information protection, security systems, IP-videocamera, network control unit, hardware and software complex.

Selishchev Valery Anatolyevich, candidate of technical science, docent, sel648val@rambler. ru, Russia, Tula, Tula State University,

Titchev Sergey Sergeevich, undergraduate, sereny89@mail. ru, Russia, Tula, Tula State University