Контакты
Подписка 2023
Статьи по информационной безопасности

Межсетевой экран UserGate X1 для защиты АСУ ТП и IIoT

Иван Чернов, 11/02/21

В России, как и во всем мире, наблюдается уверенный рост количества интеллектуальных устройств, обслуживающих промышленные системы, причем многие их них находятся в категории “необслуживаемые объекты”. Проблема обеспечения кибербезопасности подобных объектов в условиях развития технологий промышленного Интернета вещей (IIoT – Industrial Internet of Things) является крайне актуальной.

Автор: Иван Чернов, менеджер партнерского отдела UserGate

Функциональные возможности используемых в промышленности устройств продолжают интенсивно развиваться. При этом для обслуживания и обеспечения безопасности таких объектов в большинстве случаев не применяется комплексный подход, то есть используемые решения не обеспечивают комплексную безопасность и устойчивое функционирование инфраструктуры в целом.

Кроме того, критически важная промышленная инфраструктура, включая АСУ ТП, зачастую работает в устаревших сетях1, которые раньше были изолированы от корпоративного сегмента. Но в настоящее время растет необходимость удаленного подключения к ней, и в результате объекты инфраструктуры оказываются уязвимыми перед внешними атаками: более 70% уязвимостей в АСУ ТП, обнаруженных в первой половине 2020 г., возможно использовать удаленно2.

Для решения проблемы обеспечения кибербезопасности промышленных объектов компания UserGate выпустила межсетевой экран UserGate X13.

Основа решения UserGate X1

UserGate X1 является комплексным решением, способным гарантировать защиту промышленных объектов от атак, попыток взлома и вредоносного кода, а также обеспечить их управление и мониторинг. В решении поддерживается возможность настройки автоматизированной системы управления технологическим производством (АСУ ТП, SCADA) и управления ей. Это позволяет автоматизировать основные операции технологического процесса, сохраняя при этом возможность контроля, а при необходимости – вмешательства человека.

Соответствие используемых решений требованиям регуляторов является необходимым для промышленных предприятий. Все аппаратные и виртуальные устройства UserGate сертифицированы ФСТЭК России по классам "межсетевой экран" и "система обнаружения вторжений". Использование UserGate X1 позволит заказчикам из различных отраслей промышленности обеспечить соответствие эксплуатируемых и внедряемых решений АСУ ТП приказу No 31 ФСТЭК России и 187-ФЗ, регламентирующим требования к информационной защите критически важных производственных объектов.

Задания правил работы с АСУ ТП

В обновленной версии операционной системы UGOS, используемой в UserGate X1, появилась возможность настройки автоматизированной системы управления технологическим производством (АСУ ТП, SCADA) и управления ей. Таким образом, администратор ИБ может контролировать трафик, настроив правила обнаружения, блокировки и журналирования событий.

С помощью правил АСУ ТП администратор может контролировать прохождение трафика автоматизированных систем управления технологическим производством через межсетевой экран. Поддерживается контролирование следующих протоколов АСУ ТП:

  • ГОСТ Р МЭК 60870-5-104;
  • Modbus;
  • DNP3;
  • MMS.

Администратор имеет возможность задать интересующие его профили АСУ ТП, в которых будет указан необходимый набор протоколов и команд, и использовать их в правилах.

Для начала работы UserGate X1 с АСУ ТП необходимо:

  1. Разрешить сервис SCADA для зоны, со стороны которой будет инициирован трафик АСУ ТП.
  2. Создать необходимые профили АСУ ТП – набор элементов, каждый из которых состоит из определенной команды АСУ ТП и адреса.
  3. Создать требуемые правила АСУ ТП, определяющие действие для выбранного типа трафика, который будет проверяться модулем АСУ ТП в соответствии с назначенными профилями.

Правила АСУ ТП определяют трафик, к которому применяется профиль АСУ ТП, и действие, которое UserGate Х1 должен предпринять при срабатывании правила.

Защита объектов КИИ и интеграция с ГосСОПКА

Федеральный закон 187-ФЗ от 26.07.2017 г. "О безопасности КИИ" накладывает ряд требований по обеспечению безопасности объектов, относящихся к критической информационной инфраструктуре. Используемые на объектах КИИ системы должны соответствовать этим требованиям, а также обеспечивать взаимодействие с системой ГосСОПКА.

Главной целью обеспечения безопасности объектов КИИ является их устойчивое функционирование, в том числе при проведении в отношении них кибератак, а также их предотвращение. UserGate X1 является сертифицированным средством, обеспечивающим безопасность информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, принадлежащих субъектам КИИ. Кроме этого UserGate X1 обеспечивает сбор и хранение информации о произошедших на объекте инцидентах безопасности для последующей передачи этих данных в используемую систему SIEM и систему ГосСОПКА.

Функциональные возможности UserGate X1, соответствие требованиям 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и требованиям ФСТЭК России делают его широко востребованным организациями из таких сфер, как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, ТЭК, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность и др.

Возможность повышения отказоустойчивости

Функция высокой отказоустойчивости (High Availability) позволяет кардинально снизить риски, возникающие в связи с возможными сбоями в работе аппаратного обеспечения. Она позволяет устанавливать систему на парных узлах и автоматически переключать между ними нагрузку в случае сбоев. В решении реализована поддержка кластеризации в режимах active-active и active-passive. Кластеризация дает возможность применять к разным нодам единые настройки, политики, библиотеки, сертификаты, серверы авторизации, группы пользователей и т.д.

Особенности исполнения и работы UserGate X1

Работа в экстремальных условиях

Программно-аппаратный комплекс UserGate X1, в отличие от других устройств линейки, рассчитан на работу в самых суровых условиях, при температурах от -40 °C до +70 °C и относительной влажности от 5 до 95%. Модель обладает компактными размерами, весит около 1 кг и имеет настенное крепление или крепление на DIN-рейку. Все это делает возможным ее применение для защиты промышленных, транспортных и других объектов, расположенных на открытом воздухе.

Комплексная безопасность

Работа модели UserGate X1 основана на тех же технологиях, что используются в решениях UserGate для защиты корпоративных сетей. С ее помощью можно использовать функциональность межсетевого экрана нового поколения (NGFW, Next Generation Firewall), обеспечить защиту от атак (IDPS, Intrusion Detection and Prevention System), блокирование опасных скриптов и приложений, защиту от вирусов, а также оптимизировать другие функции безопасности. UserGate X1 обрабатывает трафик со скоростью до 300 Мбит/с в режиме межсетевого экрана и до 10–15 Мбит/с в режиме с включенными функциями безопасности (предотвращение вторжений, защита от угроз и т.д).

UserGate X1 использует собственную операционную систему UGOS, что гарантирует высокую скорость устранения неполадок и возможность оперативной доработки системы даже для самых сложных бизнес-требований.

Безопасное подключение по VPN

UserGate X1 поддерживает VPN (Virtual Private Network) – создание логических сетей поверх другой сети (например, Интернета) для защищенного соединения различных объектов. При этом одно устройство UserGate Х1 выступает в качестве сервера, а другое – в роли клиента, инициирующего соединение. Такое подключение позволяет объединить удаленные сети предприятия в единую логическую сеть и применять к ним единые настройки безопасности без лишних усилий.

Для создания туннелей используется протокол Layer 2 Tunnelling Protocol (L2TP), а для защиты передаваемых данных – протокол IPSec.

Соответствие регламентирующим документам

UserGate X1 полностью соответствует требованиям РФ к функциональности и информационной защите критически важных производственных объектов: он способен контролировать передачу блока ASDU, описанного в документе ГОСТ Р МЭК 60870-5-104, и гарантирует соответствие эксплуатируемых и внедряемых решений АСУ ТП приказу No 31 ФСТЭК России.

Наличие сертификата ФСТЭК России

Межсетевой экран UserGate X1 сертифицирован ФСТЭК России по требованиям к межсетевым экранам (4-й класс, профили А и Б) и к системам обнаружения вторжений (4-й класс), а также по 4-му уровню доверия. Таким образом, UserGate Х1 может использоваться в составе автоматизированных систем (АС) до класса защищенности 1Г, значимых объектов КИИ I категории, а также в информационных системах персональных данных (ИСПДн) 1-го уровня защищенности, государственных информационных системах (ГИС) 1-го класса защищенности, автоматизированных системах управления технологическими процессами 1-го класса защищенности и информационных системах общего пользования 2-го класса.

  1. https://www.itsec.ru/news/kolichestvo-iot-ustroystv-i-scada-sistem-bez-sootvetstvuyushih-mer-bezopasnosti-prodolzhayetia-uvelichivatsia 
  2. https://www.itsec.ru/news/bolee-70-uyazvimostey-v-asu-tp-mogut-bit-proexpluatirovani-udalionno 
  3. https://www.usergate.com/ru/products/usergate-x 
Темы:КИИIIoTмежсетевые экраныUserGateАСУ ТПЖурнал "Информационная безопасность" №6, 2020

Импортозамещение ИТ-решений и ПО в ключевых отраслях

22 июня 2023
Жми для участия
22 июня 2023. Импортозамещение ИТ-решений и ПО
22 июня 2023. Импортозамещение ИТ-решений и ПО в госсекторе и ключевых отраслях
Жми, чтобы участвовать
Статьи по той же темеСтатьи по той же теме

  • Повышение защищенности автоматизированных систем управления технологическими процессами
    Валерий Конявский, д.т.н., зав. кафедрой "Защита информации" МФТИ
    В большинстве технологических процессов используется программно-управляемое оборудование, выполняющее программы, поступающие из центра управления по каналам связи. При этом центр управления может быть значительно удален от конечного оборудования, а в качестве каналов связи могут использоваться любые физические линии с любыми протоколами. Все это создает предпосылки для возможного вмешательства в технологический процесс извне.
  • Решение для киберзащиты без потери автономности сегмента АСУ ТП
    Вячеслав Половинко, Руководитель направления собственных продуктов АМТ-ГРУП
    Повышение автономности АСУ ТП вовсе не означает ее изоляцию в информационном плане, а лишь определяет границы ее функционирования, повышая надежность за счет исключения непрогнозирумых вторжений злоумышленников
  • Дмитрий Курашев: UserGate 2023 будет не обычной конференцией
    Дмитрий Курашев, директор-сооснователь UserGate
    27 апреля 2023 года в конгресс-центре отеля Хаятт Ридженси Москва Петровский парк состоится ежегодная конференция одного из ведущих ИБ разработчиков – компании UserGate
  • Новая UGOS 7.0 для реагирования на инциденты в экосистеме UserGate SUMMA
    Иван Чернов, Менеджер партнерского отдела UserGate
    C выходом UGOS 7.0 UserGate Log Analyzer стал сочетать в себе функционал SIEM и IRP
  • Тренды развития SIEM-решений в России
    Вячеслав Половинко, Руководитель направления собственных продуктов АМТ-ГРУП
    Внедрение SIEM в рамках КИИ, особенно при наличии сегмента АСУ ТП, имеет целый ряд особенностей, которые рассматриваются в статье.
  • Эволюция экосистемы решений UserGate SUMMA
    Иван Чернов, Менеджер партнерского отдела UserGate
    SUMMA является не только технологическим, но и философским подходом с точки зрения дальнейшего развития технологий

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Безопасные российские СУБД и защита от утечек
20.06.23. Безопасные российские СУБД и защита от утечек
Жми, чтобы участвовать

More...
Форум ITSEC 2023: информационная и кибербезопасность России
Форум ITSEC 11-20 апреля 2023: информационная и кибербезопасность России
Жми, чтобы участвовать
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2023, ООО "ГРОТЕК"