Контакты
Подписка 2025

Межсетевой экран UserGate X1 для защиты АСУ ТП и IIoT

Иван Чернов, 11/02/21

В России, как и во всем мире, наблюдается уверенный рост количества интеллектуальных устройств, обслуживающих промышленные системы, причем многие их них находятся в категории “необслуживаемые объекты”. Проблема обеспечения кибербезопасности подобных объектов в условиях развития технологий промышленного Интернета вещей (IIoT – Industrial Internet of Things) является крайне актуальной.

Автор: Иван Чернов, менеджер партнерского отдела UserGate

Функциональные возможности используемых в промышленности устройств продолжают интенсивно развиваться. При этом для обслуживания и обеспечения безопасности таких объектов в большинстве случаев не применяется комплексный подход, то есть используемые решения не обеспечивают комплексную безопасность и устойчивое функционирование инфраструктуры в целом.

Кроме того, критически важная промышленная инфраструктура, включая АСУ ТП, зачастую работает в устаревших сетях1, которые раньше были изолированы от корпоративного сегмента. Но в настоящее время растет необходимость удаленного подключения к ней, и в результате объекты инфраструктуры оказываются уязвимыми перед внешними атаками: более 70% уязвимостей в АСУ ТП, обнаруженных в первой половине 2020 г., возможно использовать удаленно2.

Для решения проблемы обеспечения кибербезопасности промышленных объектов компания UserGate выпустила межсетевой экран UserGate X13.

Основа решения UserGate X1

UserGate X1 является комплексным решением, способным гарантировать защиту промышленных объектов от атак, попыток взлома и вредоносного кода, а также обеспечить их управление и мониторинг. В решении поддерживается возможность настройки автоматизированной системы управления технологическим производством (АСУ ТП, SCADA) и управления ей. Это позволяет автоматизировать основные операции технологического процесса, сохраняя при этом возможность контроля, а при необходимости – вмешательства человека.

Соответствие используемых решений требованиям регуляторов является необходимым для промышленных предприятий. Все аппаратные и виртуальные устройства UserGate сертифицированы ФСТЭК России по классам "межсетевой экран" и "система обнаружения вторжений". Использование UserGate X1 позволит заказчикам из различных отраслей промышленности обеспечить соответствие эксплуатируемых и внедряемых решений АСУ ТП приказу No 31 ФСТЭК России и 187-ФЗ, регламентирующим требования к информационной защите критически важных производственных объектов.

Задания правил работы с АСУ ТП

В обновленной версии операционной системы UGOS, используемой в UserGate X1, появилась возможность настройки автоматизированной системы управления технологическим производством (АСУ ТП, SCADA) и управления ей. Таким образом, администратор ИБ может контролировать трафик, настроив правила обнаружения, блокировки и журналирования событий.

С помощью правил АСУ ТП администратор может контролировать прохождение трафика автоматизированных систем управления технологическим производством через межсетевой экран. Поддерживается контролирование следующих протоколов АСУ ТП:

  • ГОСТ Р МЭК 60870-5-104;
  • Modbus;
  • DNP3;
  • MMS.

Администратор имеет возможность задать интересующие его профили АСУ ТП, в которых будет указан необходимый набор протоколов и команд, и использовать их в правилах.

Для начала работы UserGate X1 с АСУ ТП необходимо:

  1. Разрешить сервис SCADA для зоны, со стороны которой будет инициирован трафик АСУ ТП.
  2. Создать необходимые профили АСУ ТП – набор элементов, каждый из которых состоит из определенной команды АСУ ТП и адреса.
  3. Создать требуемые правила АСУ ТП, определяющие действие для выбранного типа трафика, который будет проверяться модулем АСУ ТП в соответствии с назначенными профилями.

Правила АСУ ТП определяют трафик, к которому применяется профиль АСУ ТП, и действие, которое UserGate Х1 должен предпринять при срабатывании правила.

Защита объектов КИИ и интеграция с ГосСОПКА

Федеральный закон 187-ФЗ от 26.07.2017 г. "О безопасности КИИ" накладывает ряд требований по обеспечению безопасности объектов, относящихся к критической информационной инфраструктуре. Используемые на объектах КИИ системы должны соответствовать этим требованиям, а также обеспечивать взаимодействие с системой ГосСОПКА.

Главной целью обеспечения безопасности объектов КИИ является их устойчивое функционирование, в том числе при проведении в отношении них кибератак, а также их предотвращение. UserGate X1 является сертифицированным средством, обеспечивающим безопасность информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, принадлежащих субъектам КИИ. Кроме этого UserGate X1 обеспечивает сбор и хранение информации о произошедших на объекте инцидентах безопасности для последующей передачи этих данных в используемую систему SIEM и систему ГосСОПКА.

Функциональные возможности UserGate X1, соответствие требованиям 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и требованиям ФСТЭК России делают его широко востребованным организациями из таких сфер, как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, ТЭК, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность и др.

Возможность повышения отказоустойчивости

Функция высокой отказоустойчивости (High Availability) позволяет кардинально снизить риски, возникающие в связи с возможными сбоями в работе аппаратного обеспечения. Она позволяет устанавливать систему на парных узлах и автоматически переключать между ними нагрузку в случае сбоев. В решении реализована поддержка кластеризации в режимах active-active и active-passive. Кластеризация дает возможность применять к разным нодам единые настройки, политики, библиотеки, сертификаты, серверы авторизации, группы пользователей и т.д.

Особенности исполнения и работы UserGate X1

Работа в экстремальных условиях

Программно-аппаратный комплекс UserGate X1, в отличие от других устройств линейки, рассчитан на работу в самых суровых условиях, при температурах от -40 °C до +70 °C и относительной влажности от 5 до 95%. Модель обладает компактными размерами, весит около 1 кг и имеет настенное крепление или крепление на DIN-рейку. Все это делает возможным ее применение для защиты промышленных, транспортных и других объектов, расположенных на открытом воздухе.

Комплексная безопасность

Работа модели UserGate X1 основана на тех же технологиях, что используются в решениях UserGate для защиты корпоративных сетей. С ее помощью можно использовать функциональность межсетевого экрана нового поколения (NGFW, Next Generation Firewall), обеспечить защиту от атак (IDPS, Intrusion Detection and Prevention System), блокирование опасных скриптов и приложений, защиту от вирусов, а также оптимизировать другие функции безопасности. UserGate X1 обрабатывает трафик со скоростью до 300 Мбит/с в режиме межсетевого экрана и до 10–15 Мбит/с в режиме с включенными функциями безопасности (предотвращение вторжений, защита от угроз и т.д).

UserGate X1 использует собственную операционную систему UGOS, что гарантирует высокую скорость устранения неполадок и возможность оперативной доработки системы даже для самых сложных бизнес-требований.

Безопасное подключение по VPN

UserGate X1 поддерживает VPN (Virtual Private Network) – создание логических сетей поверх другой сети (например, Интернета) для защищенного соединения различных объектов. При этом одно устройство UserGate Х1 выступает в качестве сервера, а другое – в роли клиента, инициирующего соединение. Такое подключение позволяет объединить удаленные сети предприятия в единую логическую сеть и применять к ним единые настройки безопасности без лишних усилий.

Для создания туннелей используется протокол Layer 2 Tunnelling Protocol (L2TP), а для защиты передаваемых данных – протокол IPSec.

Соответствие регламентирующим документам

UserGate X1 полностью соответствует требованиям РФ к функциональности и информационной защите критически важных производственных объектов: он способен контролировать передачу блока ASDU, описанного в документе ГОСТ Р МЭК 60870-5-104, и гарантирует соответствие эксплуатируемых и внедряемых решений АСУ ТП приказу No 31 ФСТЭК России.

Наличие сертификата ФСТЭК России

Межсетевой экран UserGate X1 сертифицирован ФСТЭК России по требованиям к межсетевым экранам (4-й класс, профили А и Б) и к системам обнаружения вторжений (4-й класс), а также по 4-му уровню доверия. Таким образом, UserGate Х1 может использоваться в составе автоматизированных систем (АС) до класса защищенности 1Г, значимых объектов КИИ I категории, а также в информационных системах персональных данных (ИСПДн) 1-го уровня защищенности, государственных информационных системах (ГИС) 1-го класса защищенности, автоматизированных системах управления технологическими процессами 1-го класса защищенности и информационных системах общего пользования 2-го класса.


  1. https://www.itsec.ru/news/kolichestvo-iot-ustroystv-i-scada-sistem-bez-sootvetstvuyushih-mer-bezopasnosti-prodolzhayetia-uvelichivatsia 
  2. https://www.itsec.ru/news/bolee-70-uyazvimostey-v-asu-tp-mogut-bit-proexpluatirovani-udalionno 
  3. https://www.usergate.com/ru/products/usergate-x 
Темы:Интернет вещей (IoT)КИИмежсетевые экраныUserGateАСУ ТПЖурнал "Информационная безопасность" №6, 2020NGFW

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Кибербезопасность инфраструктуры, информационных систем, данных и приложений | 7 марта 2025
Регистрация на конференцию →
Статьи по той же темеСтатьи по той же теме

  • "Находка" для критической информационной инфраструктуры
    Евгений Пугач, руководитель отдела по информационной безопасности ООО “ИТЭК”
    Cубъекты КИИ постоянно сталкиваются с необходимостью учитывать широкий спектр факторов: от изменений в законодательстве до анализа актуальных угроз. Эти данные необходимо не только собрать, но и структурировать, обрабатывать и постоянно обновлять, чтобы поддерживать соответствие требованиям и обеспечить надежную защиту – частью этой работы является ведение так называемой "бумажной" составляющей информационной безопасности.
  • Из истории одного проекта по замене NGFW
    Алексей Хмыров, руководитель отдела по развитию бизнеса АО “ЭЛВИС-ПЛЮС”
    Комплексный проект по созданию системы защиты объекта КИИ, о котором пойдет рассказ, стартовал до ввода в действие нормативно-правовой базы о технологической независимости, но к завершающей стадии проекта мы все же столкнулись с этими изменениями в законодательстве. Рассмотрим, каким образом удалось перестроить проект и преодолеть возникшие сложности в части использования решений класса NGFW.
  • Секреты эффективного взаимодействия NGFW и SOC
    Андрей Ларшин, руководитель направления NGFW, RED Security
    NGFW и SOC – это передовые инструменты для обеспечения безопасности корпоративных сетей. RED Security предлагает услуги собственного SOC в формате MSS-сервиса, а также ведет разработку собственных решений в области сетевой безопасности. Рассмотрим, основываясь на накопленном опыте, как эти технологии связаны между собой, как дополняют друг друга и какие сложности в связи с этим возникают.
  • Зарисовки о реагировании на инциденты в SOC UserGate
    Дмитрий Шулинин, руководитель SOC UserGate
    Основная задача SOC – своевременно обнаруживать и нейтрализовывать инциденты, предотвращая их дальнейшее распространение и минимизируя ущерб для бизнеса. Однако процесс реагирования требует не только высоких профессиональных навыков специалистов, но также инструментария и четкого алгоритма действий, выработанного специально для каждой инфраструктуры. Рассмотрим несколько аспектов реагирования на инциденты из опыта SOC UserGate.
  • Без паники, интегратор знает путь
    Сергей Мотовилов, операционный директор ООО “Глобал АйТи”
    В России насчитывается как минимум четыре десятка производителей NGFW с широким разбросом функциональных возможностей. Но сложность выбора лежит не только в технической плоскости, но и в адаптации понравившегося решения к задачам бизнеса. В такой ситуации партнерство с системным интегратором, обладающим опытом работы с отечественными продуктами, становится не просто желательной, а необходимой мерой.
  • Защита КИИ: уроки 2023 года
    Дмитрий Беляев, директор управления безопасности ООО “АБТ”
    2023 год стал годом значительных испытаний для российской критической инфраструктуры. Два крупных инцидента, произошедших в этот период, продемонстрировали уязвимость даже самых подготовленных организаций перед изощренными кибератаками. Эти случаи дают нам ценные уроки, которые помогут улучшить защиту КИИ в будущем.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
6 марта | Отечественные ИT-платформы и ПО для объектов КИИ | Онлайн
Регистрация →

More...
ТБ Форум 2025
6 марта | Отечественные ИT-платформы для объектов КИИ
Жми, чтобы участвовать

More...