Безопасность АРМ АСУ ТП

[cypherpunks01]

Здравствуйте ! Подскажите, какие первоочередные меры, не требующие вложений , можно применить для защиты компьютеров пользователей АСУТП ? Есть ли что-то типа стандарта на эту тему ?
Прошу прощения, если вопрос покажется примитивным.

Я вижу так:
- отключить АРМ от интернета
- заблокировать USB
- опечатать системный блок
- ограничить в правах учётную запись оператора.

[andrmur]

добавьте к этому:
- не писать пароль на бумажках, приклеенных на рабочем месте.
- убрать системный блок в специальный шкаф или тумбу, закрытую на замок (периферию вынести на стол через KVM-удлинитель).
- деинсталлировать игры и прочие лишние программы

Стандарта на эту тему не существует, но есть общепризнанные консалтинговые компании, которые разрабатывают специальные программные средства кибер-защиты и проводят обследования, обучают, выдают рекомендации и т.п.
Среди них и наша компания - Инвенсис. У нас есть русскоязычные сертифицированные специалисты по кибер-безопасности.

В области сертификации по кибер-защите самая известная это Wurldtech:
http://www.wurldtech.com/product_servic ... ification/

[cypherpunks01]

GSM заблокировать в помещении, например.

[DelSnos]

Самая главная мера защиты компонентов АСУТП- это прежде всего, как это смешно не звучало, защитить систему от самого себя, т.е. от подрядчика )) Именно они чаще и заносят заразу.
А вот если у вас еще есть точки сопряжения со смежными системами или веб-сервер :), тут уже задуматься надо не только чрезмерным параноикам )

[doza]

Паролить та зачем, достаточно оградить помещение оператора от проходной, запрет на запуск программ кроме необходимых, запрет к допуску дискам, с рабочего стола все очистить оставив ссылки необходимых.

[DelSnos]

Паролить та зачем, достаточно оградить помещение оператора от проходной, запрет на запуск программ кроме необходимых, запрет к допуску дискам, с рабочего стола все очистить оставив ссылки необходимых.

В наших реалиях организационные мероприятия работают плохо. Что-то кого-то ограничить, запретить, когда к друг-другу на "Васильич, Петрович" трудно. А если операторная уже построена у проходной?
Мы обычно в стандартной асутпешке оператору на даем доступ к среде Windows, а если нужны какие-то приложения, то вызываем со скады. А если нужен выход в винду, то прохожу специальным подготовленным reg файлом, который все чикает. :)

[DelSnos]

Мы обычно в стандартной асутпешке оператору на даем доступ к среде Windows

В большинстве SCADA и HMI такая защита существует по умолчанию (с блокировкой горячих клавиш). Ее достаточно просто включить. :)

Естественно! Об этом и речь!

[DelSnos]

Сторонние приложения (типа Офис) на рабочих станциях- плохой путь. Ибо вечные дырки, вечные заплатки...и зачем оно там? Винду вообще нужно от интернета отлучить принципиально. Кроме всех прочих своих "прелестей" с безопасностью, она любит без особых предупреждений качать апдейты и перегружаться.

В идеале, конечно, да. Чем больше дрелей, тьфу, приложений, тем больше дырок :) Но бывает, что тот же офис бывает нужным. А винду обновлять только офлайном, типа WSUS Offline Update или качать совместимые KBшки.

[Василий Иванович]

Как зачем Винду обновлять? Вирусов не боитесь? Ведь если дажи закрыть USB и прочее, АРМ в подавляющем количестве случаев в сети находится, откуда всякая хрень может прилететь, и файрволлы при этом не являются стопроцентной гарантией.
Поэтому обновлять нужно. Я понимаю, что это вносит определенную степень риска, но все же это лучше, чем если бы весь завод встал из-за вируса (что уже кстати случалось).
Чтобы получить возможность не обновлять систему без того, чтобы рисковать схлопотать вирус, нужно обеспечить целостность системы, т.е. защитить ее от модификации зловредным кодом. Для этого уже давно существует специальный софт, подробности находятся гуглением слова "whitelisting".

[Василий Иванович]

Обсуждаемый вариант - без доступа к Интернету, а не без доступа к внешней сети. Да и от флешки системного инженера как отказаться, если например хотфикс нужно в асушный софт добавить? Поэтому заплатки Винды по-прежнему на повестке дня.

[Василий Иванович]

А вот whitelisting Стакснет обошел.

Нет, у них не было там whitelisting! Он не способен это обходить, он ведь сименсовскую родную DLL-ку подменяет, никак это у него не получится! Что Стакснет обошел - так это антивирусы. Ибо они бессильны против свежих вирусов (как впрочем и заплатки Винды). Против еще не обнаруженного вируса эта вся метода с физическим выдиранием из сети не работает, если только этот АРМ не на*бнется сразу после апдейта.

[Василий Иванович]

Ну так ведь не Стакснетом они там офис ломали, а чем-то другим. И уж тем более я не думаю, что у них там на Тайване в офисе был whitelisting. Эта штука в офисе плохо приживается. Это надо ставить там, где обновления редки.

[SaNNy]

На самом деле все проще. Нужно не использовать windows.

[DelSnos]

На самом деле все проще. Нужно не использовать windows.

На самом деле не использовать винду и есть самое тяжелое. тогда на каком софте вы пишете и на чем крутятся ваше ПО? :)

[SaNNy]

На самом деле все проще. Нужно не использовать windows.

На самом деле не использовать винду и есть самое тяжелое. тогда на каком софте вы пишете и на чем крутятся ваше ПО? :)

Почему тяжелое? Все познается в сравнении. А винда не самый лучший вариант ОС для автоматизации. Но к сожалению, самый востребованный.

[DelSnos]

На самом деле все проще. Нужно не использовать windows.

На самом деле не использовать винду и есть самое тяжелое. тогда на каком софте вы пишете и на чем крутятся ваше ПО? :)

Почему тяжелое? Все познается в сравнении. А винда не самый лучший вариант ОС для автоматизации. Но к сожалению, самый востребованный.

В том то и дело, что вендоры в свое время сами себя подсадили на мелкомягких, а нас уже во вторую очередь. Куда деваться? Может и рады использовать, но заказчик против, то реализация функционала в тех.рамки упирается или вот спецов нету... много факторов предостерегающие не наступить себе же на ****. Есть у кого реальные примеры АСУТП не на винде? Правда интересно.
Хотя в последнее время присутствует вектор развития именно к кроссплатформенности: OPC UA, WinCC OA, тут вот еще целый список: http://linuxscada.ru/. Кстати, что еще?

[Василий Иванович]

Альтернативные ОС в плане безопасности - это неуловимый Джо. Как только какая-нибудь из них займет более-менее значимый кусок рынка - так и у них появятся вирусы и прочее. Что мы имеем возможность и наблюдать.

[SaNNy]

Альтернативные ОС в плане безопасности - это неуловимый Джо. Как только какая-нибудь из них займет более-менее значимый кусок рынка - так и у них появятся вирусы и прочее. Что мы имеем возможность и наблюдать.

Это если потребительский рынок займет. А если использовать ее в автоматизации, то вероятность появления вируса ничтожно мала.

[SaNNy]

В том то и дело, что вендоры в свое время сами себя подсадили на мелкомягких, а нас уже во вторую очередь. Куда деваться? Может и рады использовать, но заказчик против, то реализация функционала в тех.рамки упирается или вот спецов нету... много факторов предостерегающие не наступить себе же на ****. Есть у кого реальные примеры АСУТП не на винде? Правда интересно.
Хотя в последнее время присутствует вектор развития именно к кроссплатформенности: OPC UA, WinCC OA, тут вот еще целый список: http://linuxscada.ru/. Кстати, что еще?

Да, мы в свое время делали автоматизацию на QNX. Но в плане удобства разработки она конечно сильно уступает windows.

[Василий Иванович]

История показала, что суперпупернавороченные специальные ОС уступают рынок автоматизации тем, кто приходит с потребительского рынка.

[Василий Иванович]

Уже лет пятнадцать, как все эти клоны юниксов отвалились, а ностальгия и по сей день у некоторых жива.

[SaNNy]

История показала, что суперпупернавороченные специальные ОС уступают рынок автоматизации тем, кто приходит с потребительского рынка.

Вот это то и плохо. Для автоматизации плохо. А для поддержки - лучше, проще найти специалистов, проще в обучении и тп.

[SaNNy]

Уже лет пятнадцать, как все эти клоны юниксов отвалились, а ностальгия и по сей день у некоторых жива.

Нет, не ностальгия. Но в плане безопасности она на голову выше windows

[Василий Иванович]

Да тупо по деньгам выгодней, потому что эти Ваши "проще" - это ведь на самом деле "дешевле".

[Василий Иванович]

Первый в мире вирус появился именно на Юниксе. Неуловимый Джо.