CC BY
19Научная статья Original article
Средства информационной безопасности в управлении
цифровыми системами
Розендаль К.А.*, Пермякова К.С., Трифонов А.О.
Уральский государственный экономический университет, г. Екатеринбург, Россия Автор-корреспондент: rosendal_ka@mail.ru
Аннотация: Механизмы безопасности цифровых систем по-прежнему слабы. Пока цифровые системы
существовали в локальных сетях, они были хорошо защищены, так как физический доступ к ним был ограничен, но в последнее время все больше цифровых систем подключается к всемирной сети интернет, что ведет к облегчению доступа к ним, из-за чего понижается их безопасность. В этой статье описаны наиболее распространение проблемы безопасности и их причины, а также доказывается важность применения IDS в промышленных сетях.
Ключевые слова: Система обнаружения вторжений, промышленная сеть, механизмы безопасности.
Для цитирования: Розендаль К.А., Пермякова К.С., Трифонов А.О. Средства информационной безопасности в управлении цифровыми системами. Умная цифровая экономика. 2022. Т.2, №1, с. 52-57
Information security tools in the management of digital systems
Rozendal K.A.*, Permyakova K.S., Trifonov A.O.
Ural State University of Economics, Yekaterinburg, Russia Corresponding author: rosendal_ka@mail.ru
Abstract:
The security mechanisms of digital systems are still weak. While digital systems existed in local area networks, they were well protected, since physical access to them was limited, but recently more and more digital systems are connected to the worldwide Internet, which leads to easier access to them, which lowers them. security. This article describes the most common security problems and their causes, and also proves the importance of using IDS in industrial networks.
Keywords: Intrusion detection system, industrial network, security mechanisms.
For citaion: Rozendal K.A., Permyakova K.S., Trifonov A.O. Means of information security in the management
of digital systems. Smart Digital Economy. 2022. T.2, №1, pp. 52-57
Введение
При переходе к цифровой экономике резко изменяется ландшафт автоматизации производственных процессов. В конкурентном промышленном мире компании должны быть рентабельными и эффективными, что привело к повышению спроса на цифровые системы управления. Во многих производственных отраслях цифровизация широко распространилась за счет повышения производительности, экономии время и сокращения расходов. В
том 2 №1 2022 УМНАН ЦИФРОВАЯ ЭКОНОМИКА Voi2№1.2022
SMART DIGITAL ECO N 0 MY
научный электронный журнал
технологической сфере влияние цифровизации быстро растет как на уровне программного/аппаратного обеспечения, так и на машинном уровне.
Цифровые системы состоят из нескольких датчиков (S) и исполнительных механизмов (A), блоков управления, человеко-машинные интерфейсы, компьютеры и, возможно, другие устройства. Промышленная сеть (fieldbus) соединяет датчики и исполнительные механизмы к этим устройствам и к системе управления технологическим процессом (PCS) [3]. Схема цифровой системы представлена на рисунке 1.
Производственный процесс начинается с датчиков, которые передают свои значения в блок управления. В большинстве случаев блок управления представляет собой программируемый логический контроллер (ПЛК). ПЛК - это устройство, запрограммированное на управляющее оборудованием, такое как насосы, клапаны, роботы и т. д, для автоматического вмешательства в производственную линию [3]. Вмешательство по заранее определенным правилам происходит на основе информации, полученной от датчиков. В зависимости от значений датчиков блок управления автоматически переключает: клапаны включаются или выключаются, изменяет скорость насоса или движения роботов, или делает что-либо еще, чтобы повлиять на процесс таким образом, чтобы он соответствовал его предопределенным параметрам. Блок управления дополнительно отправляет информацию о текущем процессе в систему управления и получает от нее команды. Таким образом, на состояние цифровых систем влияет блок управление технологическим процессом или производственной линией и состояние датчиков.
Злоумышленники могут произвести атаку, которая может быть представлена в виде злонамеренной команды или изменения показателей датчиков, что может запускать события, которые приведу к замедлению производства или поломке оборудования. Для того чтобы не допустить этого в промышленную сеть необходимо внедрять системы обнаружения вторжений (IDS), которые позволяют выявить вмешательство в систему управления и предотвратить его.
Рисунок 1. Схема цифровой системы.
Системы обнаружения вторжений
Цифровые системы необходимы для современного общества, поскольку они используются для всех видов управления производством и технологическими процессами, а также в критически важных инфраструктурах, которые являются важнейшими системами
снабжения. Неисправность цифровых систем может иметь серьезные последствия, так как можно произвести атаку, даже если имеются самые современные механизмы безопасности [2]. Для критически важных инфраструктур или для защиты ценных активов полезно дополнительно установить систему обнаружения вторжений (IDS).
Системы обнаружения вторжений для цифровых систем необходимы и сложны во многих аспектах. Работа цифровых систем, однако, отличается от работы обычных IT-систем. В отличие от обычных IT-систем, в цифровых системах важную роль играет время так как непрерывные процессы требуют постоянной доступности данных [3]. Поток информации должен быть быстрым с низким временем отклика; необходимо избегать сбоев и перезагрузок. Это гарантирует безопасность, доступность и защиту оборудования в любое время. Большинство доступных продуктов IDS были разработаны для работы по протоколам на основе IP.
Доступные в настоящее время микроконтроллеры, используемые в цифровых устройствах, обладают достаточной вычислительной мощностью для запуска простых настраиваемых систем обнаружения вторжений. Можно предположить, что вычислительная мощность увеличивается, а энергопотребление микроконтроллеров еще больше снижается с появлением новых технологий. Это позволяет создавать более сложные системы обнаружения вторжений, но для передовых решений по обнаружению вторжений необходимы дополнительные исследований.
Методы обнаружения IDS
Идеальная система обнаружения вторжений имеет 100% уровень обнаружения атак и не создает ложные срабатывания. На самом деле, все IDS зависят от используемого метода обнаружения, но не один из этих методов не может гарантировать 100% безопасность и работу без ложных срабатываний. Большинство используемых механизмов обнаружения для существующих IDS основаны на правилах обнаружения или сигнатурах обнаружения -обнаружения на основе аномалий (на основе поведения).
Система обнаружения вторжений на основе правил использует известные сигнатуры (или шаблоны) для обнаружения вредоносных программ, или схемы атак по предопределенным правилам или фильтрам [3]. Сетевой трафик постоянно сканируется, чтобы найти сигнатуры идентичные известным и проанализированным вредоносным программам или схемам атак. IDS, основанная на правилах, постоянно нуждается в правке или обновлениях. Множество доступных в настоящее время IDS для связи на основе Ethernet используют IDS на основе правил.
IDS на основе правил хорошо работают против известных атак с низким уровнем ложных тревог [3]. Они также создают более высокий ложноотрицательный результат для новых атак, потому что они не могут обнаружить новые атаки, если их сигнатура не похожа на известные. Это связано с тем, что набор сигнатур никогда не является актуальным, потому что новые инциденты или вредоносные программы сначала должны быть проанализированы
Том 2 №1 2022
УМНАЯ ЦИФРОВАЯ ЭКОНОМИКА SMART DIGITAL ECONOMY
научный электронный журнал
Vol 2 №1, 2022
поставщиком или компанией для обновления базы данных. IDS необходимо часто обновлять, чтобы программа была подготовлена к последним вредоносным атакам.
Существует огромное количество различных IDS на основе аномалий, таких как обнаружение аномалий на основе статистики, методы на основе познания, методы, основанные на технологиях машинного обучения. IDS на основе аномалий непрерывно анализирует сетевой трафик, используя модель обнаружения нестандартного поведения. Входящий трафик сравнивается с моделью, которая создается на основе шаблона поведения, что необходимо для обнаружения отклонений в потоке данных. Для обнаружения аномалий не нужны заранее определенные правила или сигнатуры, потому что IDS на основе аномалий может адаптироваться к изменениям сетевого поведения. Поэтому она может обнаруживать новые атаки без обновлений.
IDS на основе аномалий, кажется, очень хорошо подходят для IDS в цифровых системах, потому что их поведение известно априори. Это означает, что обнаружение отклонений от шаблона поведения очень просто определить и благодаря этому достичь работы без ложных срабатываний. Любое изменение указывает на возникшую проблему; если это не атака, значит это сбой цифровой системы вызвавший срабатывание IDS, что в любом случае означает критическую ситуацию.
Блоки управления в цифровых системах непрерывно собирают информацию о процессе с помощью датчиков и управляют производственным процессом, приводя в действие исполнительные механизмы, следуя заранее определенным правилам. Блоки управления могут работать должным образом только в том случае, если выполняются следующие требования:
1. Все предопределенные правила и параметры процесса в достаточной степени характеризуют работу процесса.
2. Управляющая программа блока управления (ПЛК) была правильно реализована и в каждом случае соответствует заданным правилам и параметрам процесса.
3. Подключенные датчики и исполнительные механизмы передают правильные и точные значения в ПЛК.
4. Все подключенные датчики и исполнительные механизмы ведут себя так, как ожидается программатор ПЛК (в соответствии со спецификацией).
5. Значения и команды, поступающие и исходящие от ПЛК, не изменяются на пути между датчиками, ПЛК и исполнительными механизмами.
6. Значения и команды передаются достаточно быстро для управления процессом (время реакции цифровых систем должно быть меньше времени реакции контролируемого процесса).
Если какое-либо из вышеперечисленных требований не выполняется, есть вероятность того, что процесс не может контролироваться должным образом. Каждый из вышеперечисленных пунктов требует узкоспециализированных знаний о производственном процессе, цифровых системах и Т1-инфраструктуре. В следующих строках дается обзор
Предварительные условия IDS
@0J)
возможных угроз способных нарушить одно из перечисленных требований и вызвать поломку в блоке управления:
1. Вредоносное ПО изменяет предопределенные параметры процесса, чтобы нарушить производственный процесс.
2. Блок управления перепрограммирован вредоносной прошивкой.
3. Датчик или исполнительный механизм заражен вредоносной программой и теперь выдает неверные значения.
4. Вредоносное устройство изменяет значения датчиков или команды.
5. Вредоносное ПО нарушает работу внутренней сети.
Система обнаружения вторжений для цифровой системы способна обнаруживать измененное поведение устройств, наблюдая за измененными значениями датчиков, командами управления или необычными попытками доступа в зависимости от структуры сети, но не может определить, было ли устройство заражено или в настоящее время происходит атака [3]. Вывод о том, что устройство было заражено вредоносным программным обеспечением или произошла атака, все равно должен исходить от пользователя.
Система обнаружения вторжений должна работать точно для обнаружения любых заражённых устройств, потому что одного захваченного устройства может быть достаточно для серьезной атаки на сеть.
Ограничения систем обнаружения вторжений
Поскольку IDS непрерывно сканирует весь сетевой трафик, всегда возможно перегрузить его огромным количеством запросов. Поэтому все системы обнаружения вторжений уязвимы для DDoS-атак. IDS должны быть достаточно быстрыми, чтобы сканировать сетевой трафик, иначе возникнет ошибка в его потоке. Хотя количество ошибок в промышленных сетях должно быть низким, они постоянно возникают и создают шум трафика в сети. Распространенные частоты битовых ошибок в проводных сетях составляют от 10- до 10- , что означает, что один из 1012-1015 битов является ошибочным. В беспроводных сетях частота битовых ошибок от 10-3 до 10-6, что приводит к значительному увеличению шума трафика [3].
Описание поведения, необходимое для работы IDS, не может быть точным на 100%, поскольку оно основано либо на недостаточных знаниях о возможных атаках, либо на неполных исторических данных о предыдущих атаках [1]. Из-за этого неидеального описания поведения и ошибок в сетевом трафике, количество атак может быть значительно ниже, чем частота ложных тревог.
Вывод
Требуется уделять достаточно времени для обеспечения безопасности цифровых систем. Потому что число атак на цифровые системы увеличивается с каждым днем, дополнительные механизмы безопасности, такие как системы IDS необходимы для цифровых систем, в частности, для стратегически важных инфраструктур. Для разных цифровых систем необходимо выбирать различные методы IDS в зависимости от их специфики и мощностей,
Том 2 №1 2022
УМНАЯ ЦИФРОВАЯ ЭКОНОМИКА SMART DIGITAL ECONOMY
научный электронный журнал
Vol 2 №1, 2022
которыми обладает цифровая система. Добиться абсолютной безопасности для цифровой системы практически невозможно, так как IDS всегда сталкивается с ограничениями, также возникают новые типы атак, которые IDS не может обнаружить. Данная проблема требует дальнейших исследований в области IDS, но важно понимать, что при всех недостатках своего функционала IDS является наилучшим механизмом безопасности, применяемым в цифровых системах.
Список литературы
1. Abowd, G. D., & Mynatt, E. D. (2000). Charting past, present, and future research in ubiquitous computing. ACM Transactions on Computer-Human Interaction, 7(1), 29-58. doi:10.1145/344949.344988
2. Bloch, M., & Barros, J. (2011). Physical-layer security: From information theory to security engineering. Physical-layer security: From information theory to security engineering (pp. 1-329) doi:10.1017/CB09780511977985
3. Foster, I. (2005). Globus toolkit version 4: Software for service-oriented systems doi:10.1007/11577188_2
4. He, H., & Garcia, E. A. (2009). Learning from imbalanced data. IEEE Transactions on Knowledge and Data Engineering, 21(9), 1263-1284. doi:10.1109/TKDE.2008.239
5. Mason, W., & Suri, S. (2012). Conducting behavioral research on amazon's mechanical turk. Behavior Research Methods, 44(1), 1-23. doi:10.3758/s13428-011-0124-6
6. Meyer, F., Paarmann, D., D'Souza, M., Olson, R., Glass, E. M., Kubal, M., . . . Edwards, R. A. (2008). The metagenomics RAST server - A public resource for the automatic phylogenetic and functional analysis of metagenomes. BMC Bioinformatics, 9 doi:10.1186/1471-
7. Najafabadi, M. M., Villanustre, F., Khoshgoftaar, T. M., Seliya, N., Wald, R., & Muharemagic, E. (2015). Deep learning applications and challenges in big data analytics. Journal of Big Data, 2(1) doi:10.1186/s40537-014-0007-7
8. Plamondon, R., & Srihari, S. N. (2000). On-line and off-line handwriting recognition: A comprehensive survey. IEEE Transactions on Pattern Analysis and Machine Intelligence, 22(1), 63-84. doi:10.1109/34.824821
9. Scarani, V., Bechmann-Pasquinucci, H., Cerf, N. J., Dusek, M., Lutkenhaus, N., & Peev, M. (2009). The security of practical quantum key distribution. Reviews of Modern Physics, 81(3), 1301-1350. doi:10.1103/RevModPhys.81.1301
10. Zeng, S., Baillargeat, D., Ho, H. -., & Yong, K. -. (2014). Nanomaterials enhanced surface plasmon resonance for biological and chemical sensing applications. Chemical Society Reviews, 43(10), 3426-3452. doi:10.1039/c3cs60479a
© Розендаль К.А., Пермякова К.С., Трифонов А.О., 2022. Умная цифровая экономика. 2022. Т.2, №1
2105-9-386
