Weitere ähnliche Inhalte Ähnlich wie Решения Cisco для обеспечения кибербезопасности промышленных систем автоматизации и управления (20) Mehr von Компания УЦСБ (20) Решения Cisco для обеспечения кибербезопасности промышленных систем автоматизации и управления1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Решения Cisco для обеспечения
кибербезопасности
промышленных сетей
Алексей Лукацкий
Бизнес-консультант по безопасности
20 апрель 2016 г.
2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Wireless MESH
Industrial Wireless
WiFi
Ethernet
Fibre subring
Fibre backbone
Non-wired backup
3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Cisco IE коммутаторы: обзор портфолиоФУНКЦИИ
§ Layer 2
§ Small Form Factor
§ IP30 and IP67
§ CC*
§ DLR (only Stratix)
§ Profinet MRP
§ Layer 2 NAT
§ IEEE 1588 PTP
§ PoE/PoE+
§ Layer 2 and 3
(IP services)
§ Small Form Factor
§ PRP
§ IEEE 1588 PTP
& Power Profile
§ PoE/PoE+
Cisco® IE
2000 Series
Cisco IE 2000U
Series
§ Layer 2 or 3
(IP services)
§ Modular
§ Up to 24 ports
§ IEEE 1588 PTP
§ PoE/PoE+
§ Layer 2 or 3
(IP services)
§ 1RU
§ 2 GE combo uplinks
§ 8 PoE and 16 SFP
or 24 copper
§ Power profile
(CGS2520)
§ PoE/PoE+
Cisco IE 3000
Series
Cisco IE 3010
Series Cisco
CGS-2520
Доступ
Лучшие в классе
Cisco IE 4000 Series
Агрегация
1 Gbps
§ Designed for all
industries
§ Layer 2 or 3
(IP services)
§ 4-port GE uplinks
§ Up to 20 ports GE
§ IEEE 1588 PTP &
power profile
§ Layer 2 NAT
§ Up to 8
PoE/PoE+
§ Dying Gasp
§ TrustSec® SGT
HW ready
§ MACsec
§ FNF HW ready
§ Time Sensitive
Network (TSN)
HW ready
2014 Control
Engineering
Award
2014 Interop
Tokyo
IoT Award
10/100 Mbps
‘*’ –Selected Models
Cisco IE 5000 Series
§ Designed for all
industries
§ Layer 2 or 3
(IP services)
§ 4-port 10GE or
GE uplinks
§ 24 ports GE
§ IEEE 1588 PTP &
power profile
§ Layer 2 NAT
§ Up to 12 PoE/PoE+
§ Dying Gasp
§ TrustSec® SGT
HW ready
§ MACsec HW ready
§ FNF hardware
ready
§ Time Sensitive
Network (TSN) HW
ready
§ CC*
10 Gbps
4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Точки доступа CiscoAironet OutdoorAccess Points
1530 1550H 1570
• Низкопрофильная
• 11n, 2G: 3x3:3;; 5G: 2x3:2
• Внутр/внеш. антенны
• Гибкая по интерфейсам
подключения
• 11n, 2x3:2 (Tx/Rx/SS)
• Внутр/внеш. антенны
• Лучшая в семействе
• 11ac, 4x4:3 (Tx/Rx/SS)
• Внутр/внеш. антенны
• Модули расширения
IW3700
• Компактная
• 11ac, 4x4:3 (Tx/Rx/SS)
• Внешние антенны
5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Cell/Area Zone
Уровни 0-2
Индустриальная
зона
Уровень 3
Буферная
зона
(DMZ)
Контроль в реальном
времени
Конвергенция
Multicast Traffic
Простота использования
Сегментация
Мультисервисные сети
Безопасность приложений и
управления
Контроль доступа
Защита от угроз
Сеть предприятия
Уровни 4-5
Gbps Link for Failover
Detection
Firewall &
IPS
Firewall & IPS
Application Servers
Cisco
Catalyst Switch
Network Services
Cisco Catalyst
6500/4500
Cisco Cat. 3750
StackWise Switch Stack
Patch Management
Terminal Services
Application Mirror
AV Server
Cell/Area #1
(Redundant Star Topology)
Drive
Controller
HMI Distributed I/O
Controller
DriveDrive
HMI
Distributed I/O
HMI
Cell/Area #2
(Ring Topology)
Cell/Area #3
(Bus/Star Topology)
Controller
Интеграция в сеть предприятия
UC
Wireless
Application Optimization
Web Apps DNS FTP
Internet
Identity Services Engine
Архитектура Ethernet-to-the-Factory (ETTF)
6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Новая сертификация CCNA Industrial
20.04. © 2015 Cisco and/or its affiliates. 6
7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
Cisco Connected Industries Business Unit
Ruggedized
Wireless AP
Industrial
Routers & Switches
Industrial
Security
Продукты в
защищенном
исполнении
Converged
Plant
Road & Rail
Network
Infrastructure
Machine
Builder
Connected
Vehicle
Connected
MachineSmart Solution
Pervasive
Security
Scalable
Routing
Deterministic
Ethernet
Big Data
Management
Guaranteed
DeliveryДрайверы IoE
Time
Sync
Process Mfg.
Oil & Gas Transportation
Discrete
Mfg.
Machine to
Machine
Отрасли
Партнеры
Advanced
Services
+
Hardened Mobile
M2M Gateway
Connected
Vehicle
8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Почему нельзя начинать с продуктов?
9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Из чего состоит решение по защите промышленной сети?
Уровень реализации
Логический уровень
Концептуальный уровень
Люди Политики Технологии
10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Эталонная архитектура в ИБ промышленной сети
Общая политика,
управление и учет
контекста в области
IoT-безопасности
Конвергированная структура
политик (IT/OT)
Управление политиками на
оконечных устройствах
Управление идентификацией
Конфигурация
и управление обновлениями
Инициализация
Управление учетными
данными
Нормативное соответствие
AAA
Агрегация контекста
и совместное
использование
Облачная безопасность Защита приложений Открытые и партнерские
API-интерфейсы
Обнаружение уязвимостей и
вредоносного ПО
Сбор телеметрии
и анализ угроз
Управление
журналами/SIEM и их
сохранение
Экспертиза
(напр. Что произошло?)
Мониторинг и контроль
приложений IoE
с сохранением состояния
Детализованное управление доступом
(Гость/подрядчик, сотрудник и вещи)
Удаленный доступ для
обслуживания устройств, процессов
и систем управления
Профилирование
IoT-устройств и оценка
защищенности
Аутентификация и управление ключами доступа
802.1X, MAB, Гостевые
(в т.ч. устаревшие), 802.11i, 802.15.4
Транспортное шифрование
(802.11i, TLS, 802.1AE…)
Исследования, анализ и защита от угроз (в т.ч. в облаке)
Применение политик (Сеть)
Безопасность на транспортном уровне
Сообщество Intel
Сетевая безопасность IoT-устройств (FW/IPS/VPN)
Безопасность на физическом уровне
Обнаружение Мониторинг
РеагированиеАнализ
Безопасность устройств TPM, HSM, аттестаты безопасности, безопасное
хранение
12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Смена парадигмы в кибербезопасности промышленной сети
• Принимаемые организационные и технические меры защиты информации должны
обеспечивать доступность обрабатываемой в АСУ ТП (исключение неправомерного
блокирования информации), ее целостность (исключение неправомерного уничтожения,
модифицирования информации), а также, при необходимости, конфиденциальность
(исключение неправомерного доступа, копирования, предоставления или распространения
информации)
• Организационные и технические меры защиты информации должны быть согласованы с
мерами по промышленной, физической, пожарной, экологической, радиационной
безопасности, иными мерами по обеспечению безопасности АСУ ТП и управляемого
(контролируемого) объекта и (или) процесса и не должны оказывать отрицательного
(мешающего) влияния на штатный режим функционирования АСУ ТП
13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Из чего состоит решение по защите промышленной сети?
Уровень реализации
Логический уровень
Концептуальный уровень
Люди Политики Технологии
14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Иерархическая модель управления в промышленной сети
Зона Enterprise
MES, CRM, SCM, ERP
DMZ
Зона производства
SCADA
Cell/Area Zone
I/O, HMI, PAC/PLC
Demilitarized Zone — Shared Access
Enterprise Network Level 5
Site Business Planning and Logistics Network Level 4
Site Manufacturing Operations and Control Level 3
Area Control Level 2
Basic Control Level 1
Process Level 0
15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Характерные приложения и системы
MES — Manufacturing Execution System измеряет и контролирует параметры
производства;; отслеживает и измеряет ключевые операционные критерии, такие как
продукты, оборудование, инвентарь, дефекты, задания и тд – ключевой интерфейс
для систем уровня Enterprise.
Historian – Собирает исторические данные с уровня производства и производит
отчеты в разных форматах. Level 3
SCADA—Supervisory Control and Data Acquisition;; Широкомасштабная
распределенная система измерения и контроля, накрывает географические локации
PAC (или PLC)— Программируемый контроллер автоматики;; контролирует часть
производственной ячейки, функциональную линию и связанные устройства
HMI—Human Machine Interfaces изображает операционный статус персоаналу и
может предоставить бизнес-функционал (начать/остановить процесс)
I/O—Input/Output устройства;; устройств измерения или контроля ключевых
функций или аспектов процесса производства;; Level 0
16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
Уровень 5
Уровень 4
Уровень 3
Уровень 2
Уровень 1
Level 0
DMZ
Терминальные сервисы Управление патчами Антивирусный
сервер
Зеркало приложений Управление Web Сервер
приложений
Корпоративная сеть
Сеть логистики и бизнес-планированияE-Mail, Intranet и т.д.
Клиент
Пакетный
контроль
Дискретный
контроль
Drive
Control
Непрерывный
контроль
Контроль
защиты
Сенсоры Моторы Исп.устройства Роботы
Сервер
приложений
Factory Directory ПК инженера
Контроллер
домена
Клиент
Operator Interface Engineering Workstation Operator Interface
Web
E-Mail
CIP
Area Supervisory
Control
Basic Control
Process
Зоны кибербезопасности в промышленной сети
Активная защита
IPS, МСЭ, контроль приложений, безопасность контента, защита от вредоносов и т.д.
Активная защита
IPS, МСЭ, защита от вредоносного ПО и т.д.
Гибридная активная/пассивная защита
IDS, зонирование, контроль приложений, защита от вредоносного ПО и т.д.
17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
Ключевые положения кибербезопасности промышленной сети
• Целостность и доступность промышленной сети – главные задачи!
• Контроль трафика между разными уровнями промышленной сети
• Недопущение прямых связей сети производства и корпоративной сетью
• Ограничение real-time трафика производства зоной Manufacturing
• Аутентификация и авторизация по ролям сетевого доступа к сети
• Контроль доступа в промышленную сеть на коммутаторах доступа
• Защита от сетевых атак, начиная с Layer 2
• Защищенный удаленный доступ к промышленной сети
• Соединения должны инициироваться либо из зоны Enterprise либо Manufacturing и
терминироваться в DMZ, инициирование соединений из DMZ только в
исключительных случаях
18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
Cisco SAFE for PCN
19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
Как может выглядеть архитектура промышленного
предприятия?
Бесперебойность
функционирования
технологических процессов
Видимость приложенийи
протоколов, контроль
доступа и управление
угрозами
Работа в реальных ситуациях
- Cisco Validated Design
(CVD)
20. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
Архитектура ИБ производства от Cisco
WWW Прило
жения
DNS FTP
Интернет
Гигабитный канал
для определения
аварийного
переключения
Межсетевой
экран
(активный)
Межсетевой
экран
(режим
ожидания)
Серверы
производствен
ных
приложений
Коммутатор
уровня доступа
Сетевые сервисы
Коммутаторы уровня
ядра
Коммутатор
уровня
агрегации
Управление
исправлениями
Сервисы для
терминального
оборудования
Зеркало приложений
Антивирусный сервер
Ячейка/зона 1
(Резервная топология типа «Звезда»)
Диск
Контроллер
HMI Распределенный
ввод-вывод
Контроллер
ДискДиск
HMI
Распределенный
ввод-вывод
HMI
Ячейка/зона 2
(Топология типа
«Кольцо»)
Ячейка/зона 3
(Линейная топология)
Коммутатор
уровня доступа 2
Контроллер
Ячейка/зона
Уровни 0-2
Производственная зона
Уровень 3
Демилитаризованная зона
Уровень 3.5
Корпоративная сеть
Уровни 4-5
Усиленный межсетевой экран
Усиленная система предотвращения
вторжений (IPS)
Удаленный мониторинг и наблюдение
Управление ПО, конфигурацией и активами
VPN и сервисы удаленного доступа
Межсетевой экран нового поколения
Система предотвращения вторжений (IPS)
Защита от угроз в облаке
Применение политик для всей сети
Контроль доступа
(на уровне приложений)
Межсетевой экран с сохранением
состояния
Защита и определение вторжений (IPS/IDS)
Системы управления физическим
доступом
Сервисы идентификации
ISE
21. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
Cisco Connected Factory 3.5.0 – беспроводная инфраструктура
Продукты решения
Бизнес результат
Ключевые параметры
Уменьшение затрат
Factory Mobility
• Mobile Controls visibility
• Wireless tooling, I/O
• Asset Tagging
• Mobile video
• Mobile Apps
• 1552 AP, 2600 AP, WLC
• Stratix 5100 AP
• Ent Mobility Svs Platform
• IOE Site surveys
CVD от Ноября‘14Cell / Area Zone Level 0 – 2
Enterprise Zone Level 4 - 5
Industrial Zone Level 3
Industrial Demilitarized Zone
Catalyst 3750X
Catalyst
4500/6500
ASA 55xx-X
(Active)
ASA 55xx-X
(Standby)
• Wide Area Network (WAN)
• Physical or Virtualized Servers
• ERP, Email
• Active Directory (AD), AAA – Radius
• Call Manager, etc.
Plant Firewalls:
• Inter-zone traffic segmentation
• ACLs, IPS and IDS
• VPN Services – Remote Site Access
• Portal and Terminal Server proxy
Web DNS FTP
Catalyst
Switch
Internet
Cisco 5500 WLC
Cisco WLC
Anchor
Cisco WLC
Industrial Wireless CPWE 3.5.0
Catalyst
2960-X
Catalyst
2960-X
Catalyst
2960-X
Catalyst
2960-X
Failover
Outside
DMZ
DMZ
Inside
Active Directory Fedrated Services
ISE 34xx PAN, MnT, IPN
SiSi SiSi
Patch Management
Terminal Services
Data Share
Cisco Video Surveillance Data Share
Application Server
AV Server
FactoryTalk AssetCentre
FactoryTalk View Server, Clients & View Studio
FactoryTalk Batch
FactoryTalk Historian
RSLinx Enterprise
FactoryTalk Security Server
Cisco Video Surveillance Manager
1588 Precision Time Protocol Service
Active Directory Federated Services
Remote Access Server
Studio 5000
Cisco 5500 WLC (redundancy option)
Controller
HMI
I/O I/O
WGB
I/O
Drive
WGB
Controller
I/O I/O
A P
A P
WGB
X
WGB
Roaming I/OCell/Area #
(Wireless Topology)
A P
A P
ISE Policy Service Node
БЛВС
производства
22. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22
Архитектура ИБ транспортного блока от Cisco
PTC
IPICSVSMS / VSOM
IP/MPLS
Домен
UCS
WAN/ Ядро
Центр управления
Трансп. зона
Усиленный межсетевой экран
Усил. система обнаружения вторжений
(IDS)
Удаленный мониторинг и наблюдение
Управление ПО, конфигурацией
и активами
VPN и сервисы удаленного доступа
Межсетевой экран нового поколения
Система предотвращения вторжений (IPS)
Защита от угроз в облаке
Применение политик для всей среды
Контроль доступа на уровне приложений
Межсетевой экран с сохранением
состояния
Система обнаружения вторжений (IDS)
Системы управления физическим
доступом
Сервисы идентификации
Сети безопасности
и управления
процессами
Offload
VSMS
PTC 3000
TMC
Оборудование
Мультисервисные сети
23. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23
Архитектура ИБ железнодорожного транспорта отCisco
24. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24
Суб-архитектуры ИБ для железнодорожного транспорта
• Конвергентная сеть в
вагонах и голове состава
• Поддержка Wi-Fi
• Предоставление
расширенных сервисов
пассажирам
• От SDN к MPLS/IP
• Конвергентная сеть
• Высокая пропускная
способность для новых
приложений
• Конвергентная сеть
станции
• Поддержка Wi-Fi
• Предоставление
расширенных сервисов
пассажирам
Решение Connected Rail
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
1:05PM
Passenger ServicesSafety & Security Station Operations
PoE PoE
PoE
""
CISSMS
Connected Train Connected Trackside Connected Station
25. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25
Архитектура ИБ аэропорта от Cisco
Multitenant
Network
Cisco
Connected
Airport
–
Reference
Architecture
(Issued
V1)
For
More
Information:
Ted
Nugent
–
BDM
Aviation
runugent@cisco.com
Enabling
Airports
to
Create
a
Sustainable
Infrastructure
WAN
Aggregation
Operations
ControlTerminalHangar
or
Warehouse
Primary
Data
Centre
Internet
Edge
Teleworker/Mobile
Worker
Network
Management
Freight
/
Cargo
operations
Airport
Admin/Tenants
M
&
E
Infrastructure Passenger,
Airport
Staff
&
Airline
WiFi
Cloud
Services
IP
Soft
Phone
TelePresence
MOVI
Video
Conferencing
Virtual
Desktop
WAAS
Mobile
Anyconnect
VPN
Client
Video
Communication
Server
(VCS)
Expressway
TelePresence
TelePresence
Ironport
Email
Security
Anti-‐Spam,
Anti-‐Virus
Data
Loss
Prevention
(DLP)
Ironport
Web
Security
Acceptable
Use
Policy
(AUP)
Malware
Prevention
IP
Phone WiFi
Access
Point
SCADA
Door
Access
ControlVideo
Surveillance
Digital
Signage
IP
Video
Phone WiFi
Access
Point
Door
Access
Control
Video
Surveillance
TelePresence
Digital
Signage
IP
Video
Phone WiFi
Access
Point
Door
Access
Control
Video
Surveillance
ASA5500
Firewall
Intrusion
Prevention
(IPS)
Virtual
Private
Network
(VPN)
Door
Access
Control
Analogue
Camera
ISR
G2
Router
VPN
Firewall
Wireless
ASR1000
Router
WebEx
Node
WAN
Optimisation
(WAAS)
Catalyst
6500
VSS
Services
Layer
Firewall
Server
Load
Balancing
(ACE)
Network
Application
Monitoring
(NAM)
Catalyst
6500
VSS
Core
Switch
Door
Access
Control
WiFi
Access
Point Video
Surveillance
Virtual
Matrix
IP
Phone
Console
MDS
9500
SAN
Switch
Storage
SAN
Unified
Computing
System
(UCS)
Blade
Unified
Computing
System
(UCS)
Blade
Nexus
5000
Switch
Nexus
5000
Switch
Unified
Computing
System
(UCS)
Blade
Nexus
2000
Switch
Nexus
2000
Switch
Nexus
7000
Core/Aggregation
Switch
Nexus
7000
Core/Aggregation
Switch
Catalyst
6500
VSS
Services
Layer
Firewall
Server
Load
Balancing
(ACE)
Network
Application
Monitoring
(NAM)
MDS
9500
SAN
Switch
Push-‐To-‐Talk
Radio
(IPICS)
Digital
Signage
IP
Video
Phone
WiFi
Access
Point
Door
Access
Control
Storage
TelePresence
Tenant
2 WiFi
Access
Point
Unified
Computing
System
(UCS)
Rack
Digital
Signage
Video
Wall
Video
Surveillance
Unified
Computing
System
(UCS)
Rack
Unified
Computing
System
(UCS)
Rack
Nexus
2000
Switch
Nexus
5000
Switch
Door
Access
Control
IP
Video
Phone
VXC/Tablet
(Virtual
Desktop)
VXC/Tablet
(Virtual
Desktop)
Digital
SignagePC/Tablet
(Virtual
Desktop)
Catalyst
3850
Switch
Cluster
PoE
Energywise
Catalyst
6500
VSS
Core
Switch
Wireless
LAN
Controller
(Guest
Access)
Video
Surveillance
TelePresence
Tenant
1 WiFi
Access
Point
Door
Access
Control
IP
Video
Phone
Digital
SignagePC/Tablet
(Virtual
Desktop)
Video
Surveillance
TelePresence
Tenant
1 WiFi
Access
Point
Tenant
2
IP
Video
Phone
Digital
SignagePC/Tablet
(Virtual
Desktop)
Video
Surveillance
WiFi
Access
Point
Door
Access
Control
IP
Video
Phone Digital
Signage
PC/Tablet
(Virtual
Desktop)
Video
Surveillance
Building
Management
System
(BMS)
HVAC/Lights
Hypervisor
Nexus
1000v
Virtual
Machines
Hypervisor
Nexus
1000v
Virtual
Machines
Hypervisor
Desktop
Virtualisation
Software
Virtual
MachinesCommunication
Manager
(CUCM)
Unity
Connection
(CUC)
Jabber
(Presence)
Contact
Centre
(UCCX)
Meeting
Place
Attendant
Console
O
S
O
S
O
S
O
S
O
S
O
S
Digital
Media
Manager
(DMM)
Show
&
Share
Server
Webex
Social
Network
Management
TelePresence
Ctrl
Server
(TCS)
TelePresence
Manager
(TMS)
O
S
O
S
O
S
O
S
O
S
O
S
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
WAN
Optimisation
(WAAS)
Wireless
LAN
Controller
IPICS
Server
Physical
Access
Manager
(PAM)
Video
Surveillance
Operations
Manager
Video
Surveillance
Media
Server
(VSMS)
Mobility
Services
Engine
(MSE)
Media
Exchange
Engine
(MXE)
Video
Comms
Server
(VCS)
PSTN
ISR
G2
PSTN
Gateway
Voice/Video
DSPPrime
Cisco
Security
Manager
(CSM)
Data
Centre
Network
Manager
(DCNM)
Network
Control
Systems
(NCS)
LAN
Management
System
(LMS)
Identity
Service
Engine
(ISE)
Network
Analysis
Module
(NAM)
Collaboration
Manager
(CM)
Fibre
Channel
over
Ethernet
(FCoE)
Fibre
Channel
Storage
Links
Ethernet
VXC/Tablet
(Virtual
Desktop)
Rugged
Mobile
Computer
Connected
Field
Staff
Cisco
Connected
Airport
–
Reference
Architecture
©
Copyright
2011-‐13
Cisco
Systems,
Inc.
All
Rights
Reserved.
Industrial
Ethernet
via
Cisco
Rugged
Switches
and
Routers
(CGS-‐2520,
IE2000,
CGR-‐2010)
support
SCADA
communications
through
hierarchical
segmentation.
This
results
in
reduced
cost
and
complexity
with
increased
efficiency,
scale,
resilience,
policy
enforcement
and
defence-‐in-‐depth
security.
The
quality
and
collaboration
capabilities
of
TelePresence
are
far
beyond
typical
Video
Conferencing.
The
realism
and
quality
enhances
the
communication
value
of
meetings
enabling
users
to
catch
every
comment
and
nuance
of
the
conversation.
At
the
same
time,
Rail
Infrastructure
Managers
can
save
money,
time
and
energy
wherever
it
is
used.
Standards
based
Wireless
Mesh
via
the
Cisco
Field
Area
Router
(FAR)
supports
connectivity
of
sensors
for
pro-‐active
monitoring,
control
and
general
telemetry
of
the
Network.
Data
can
be
collected
and
processed
locally
on
the
router
enabling
distributed
intelligence.
Secure
wireless
access
for
field
staff
ensures
“always-‐on”
network
connectivity.
Cisco
Video
Surveillance
solutions
use
the
IP
network
to
deliver
and
receive
live
and
recorded
video
surveillance
media.
The
IP
cameras
are
feature-‐rich
digital
cameras
that
enable
surveillance
in
a
wide
variety
of
environments
available
in
standard
and
high
definition;
wired
and
wireless
offering
efficient
network
utilisation
while
providing
high-‐quality
video.
Virtual
Desktop
Infrastructure
(VXI)
centralises
employee
desktops,
applications
and
data
in
the
data
centre.
It
provides
unprecedented
control
of
the
desktop
and
laptop
environment
and
helps
IT
to
secure
compute,
network
and
data
resources.
VXI
frees
end
users
from
the
constraints
of
a
specific
device
and
reduces
long-‐
term
costs
by
simplifying
management
of
the
desktop
environment.
Cisco
Physical
Access
Control
is
a
cost-‐effective
IP-‐based
solution
that
uses
the
IP
network
for
integrated
security
operations.
It
works
with
existing
card
readers,
locks
and
biometric
devices
and
is
integrated
with
Cisco
Video
Surveillance
and
IP
Interoperability
and
Collaboration
System
(IPICS)
for
a
comprehensive,
holistic
enterprise-‐wide
safety
and
security
solution.
Cisco
Digital
Media
Suite
(DMS)
enables
companies
to
learn,
grow,
communicate
and
collaborate
through
webcasting
and
video
sharing,
digital
signage
and
business
IP
TV
applications.
DMS
allows
quick
and
effective
display
of
information
include
training
for
live/on-‐demand
video
broadcasts,
emergency
messaging,
schedules
and
news;
extending
the
overall
reach
of
corporate
communications.
Cisco
Voice
and
Unified
Communications
develops
interactive
collaboration
by
combining
all
forms
of
business
communications
into
a
single,
unified
solution,
it
will
help
employees,
customers,
supplies
and
partners
to
communicate
with
each
other,
quickly
and
easily
without
obstacles.
Cisco
Security
solutions
protect
assets
and
empowers
the
workforce.
Context-‐aware
security
provides
high
level
intelligence,
policy
governance,
and
enforcement
capabilities.
Significantly
enhancing
the
accuracy,
effectiveness,
and
timeliness
of
any
organisation's
security
implementation.
The
Mobile
TeleWorker
gains
flexibility
and
productivity.
Cisco
delivers
a
suite
of
teleworking
solutions
with
a
cost-‐effective
approach
that
preserves
business
security
and
agility,
increases
productivity,
and
reduce
costs
by
continuously
connecting
the
TeleWorker,
anytime,
from
every
location
at
home
or
on
the
road.
Cloud
Services
can
offer
savings
in
IT
resources
such
as
computing
storage
and
application
services.
“The
Cloud”
can
provide
theses
services
as
elastic
resources
that
are
suitable
for
use
in
existing
or
new
applications
without
a
large
investment
in
capital
resources
and
ongoing
maintenance
costs.
WebEx
delivers
online
meetings
and
easy-‐to-‐use
web
collaboration
tools
to
the
entire
workforce.
Scansafe
keeps
malware
off
the
corporate
network
and
more
effectively
controls
and
secures
web
usage.
Cisco
Unified
Fabric
Data
Centre
provides
flexible,
agile,
high-‐
performance,
non-‐stop
operations;
self-‐integrating
information
technology,
reduced
staff
costs
with
increased
uptime
through
automation,
and
more
rapid
return
on
investment.
It
accelerates
virtualisation
and
enables
automation
to
extend
the
lifecycle
of
mission-‐critical
resources
to
support
evolving
needs.
Rail
companies
can
reduce
their
total
cost
of
ownership
(TCO)
and
increase
business
agility—both
critical
to
combating
the
server
sprawl
and
inefficiency
inherent
in
many
data
centres
today.
Wide
Area
Application
Services
(WAAS)
is
a
comprehensive
WAN
optimization
solution
that
accelerates
applications
over
the
WAN,
delivers
video
to
the
branch
office,
and
provides
local
hosting
of
branch-‐office
IT
services.
Cisco
WAAS
allows
IT
departments
to
centralize
applications
and
storage
in
the
Data
Centre
while
maintaining
LAN-‐like
application
performance.
IP/MPLS
in
the
WAN
enables
converged
secure
link
virtualisation.
It
reduces
overall
costs
by
supporting
multiple
logical
networks
across
a
single
physical
infrastructure.
Physical
Security
ASR
1000
Router ASR
1000
Router
Enterprise
Content
Delivery
Sys
(EDCS)
TPresence
Multipoint
Control
Unit
(MCU)
Mobile
Phone
Anyconnect
VPN
Client
Internet
CGR-‐2010
Rugged
Router
with
VPN/
Firewall
Fire
service
Gatelink
Mobile
Workforce
IP
Phone
IE2000
MPLS Layer
Optical
Layer
P
Router
PE
Router
Operational
Network
Facilities
Management
Voice
Services
RTU
PMR
&Tetra
Catalyst
3850
Video
Gateway
IP
Camera
Vehicle/Passenger
Tracking
Mast
Retail
Passenger
services
Customer
Information
Screens
Help-‐point
Phone
Telephony
Security
Systems
Video
Surveillance
Internet
Access
GPRS/3G/LTE
VG350IP
PhoneIP
Phone IP
Phone
CGS-‐2520
Rugged
Switch
RTU
Building
Management
System
(BMS)
HVAC/Lights
Catalyst
3850
Switch
Cluster
PoE
Energywise
Runway
lighting Maintenance Passenger
services Operations
Analogue
Camera
IP
Phone
Video
Gateway
IP
Camera
Mast
ISR
G2
Router
IPICS
CGS-‐2520
Rugged
Switch
IPICS
IPICS
Kiosks
Mast
NAV
Aids
ISR/3850
MET
819
Router
GPRS/3G/LTE
CGS-‐2520
Rugged
Switch
Control
points
IP
Camera
IP
Phone
819
Router
ISR
G2
Router
RTU
Baggage
Handling
IP
Camera
WiFi
Access
Point
RFID
Tag
Check-‐in
Catalyst
3850
Switch
Cluster
PoE
Energywise
Catalyst
3850
Switch
Cluster
PoE
Energywise
Catalyst
3850
Switch
Cluster
PoE
Energywise
Catalyst
3850
Switch
Cluster
PoE
Energywise
Digital
Signage
BMS
HVAC/Lights
RFID
Tag
ASR
9000
Bus
Field
Area
M2M
Router
3G/LTE
Vehicule
tracking
Field
Area
M2M
Router
3G/LTE Vehicule
tracking
Barcode
Readers
Public
Annoucement
Catalyst
3850 ISR
G2
Router
ISR
G2
Router
Catalyst
3850
Fire/Rescue
Ambulance
Barcode
Readers
Tenants
and
Airlines
ISR
G2
Router
(WAAS,
VPN)
ISR
G2
Router
(WAAS)
WiFi
Access
Point
IP
Video
Phone
PC/Tablet
(Virtual
Desktop)
Catalyst
3850
Outdoor
Wireless
Mesh
Fire/Rescue
ISR/3850ISR/3850ISR/3850
WiFi
Access
Point
GSE
Cargo
26. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26
27. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27
Как может выглядеть архитектура цифровой подстанции с
учетом требований регуляторов?
Сегментированиесети и
определение области для
аудита
Видимость приложенийи
протоколов, контроль
доступа и управление
угрозами
Работа в реальных ситуациях
- Cisco Validated Design
(CVD)
28. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28
Сеть агрегации FAN
ЗОНА 2
Мультисервисная шина
ЗОНА 3
Сеть NERC CIP
ЗОНА 1
Сеть подстанций
Станционная
шина IEC
61850
Шина
процессов
IEC 61850
Архитектура ИБ цифровой подстанции от Cisco
Физическая
безопасность
Взаимодействие
с сотрудниками
Серийные, C37.94, E&M
Периметр электронной безопасности (ESP)
PT ПрерывательCT CTPT
Периметр физической безопасности (PSP)
Прерыватель
IEDMU
Распределенный
контроллерHMI
Устаревшая
RTU
PT CT
Аппаратный
I/O
Сенсор
Устаревшее
реле
РТЗ
Прерыватель
Частный WiMax или LTE
для полевой сети
Точка электронного доступа
Аренд. транспорт пост. услуг Частн. энерг. б/п сеть MPLS/IP
Центр
управления
доступом
ДМЗ
Центр
обработки
данных
HMI
SCADA FEP
EMS
CPAM
VSOM
Аналитика
ист. данных
SIEM
PACS
ACS
CA
LDAP
HMI
Контроллер
соединения
RTU
Защитное
реле
Процессор
коммуникаций
PMU
PDC
Реле
РТЗ
29. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29
Управление и
безопасность
Уровень 1
Устройство
Уровень 0
Центр
управления
Уровень 3
Устаревшая
RTU
Сети безопасности и управления процессами Мультисервисные сети
Ист. данные HMI
Отсек питания
Безопасность
Процесс
Питание
Процесс
Контроллер Контроллер Контроллер
Серийные и неразъемные соед.
Ethernet-процессы
Ethernet-мультисервисы
WAN
Беспроводн. соед.
ТранспортRFID
SIEM
Сенсор Движок Клапан Драйвер Насос Прерыватель
Монитор
питания
Стартер Выключатель
Системы
безопасности
Принтер
Оборудование
SIEM
Система SCADA
Головная станция
Рабочие станции
оператора и разработчика
Сервер автоматизации
процессов системы
SIEM
SIEM
Обработка
и распред. ист. данных
Серверы приложений
Операционные
бизнес-системы
SIEM
SIEM
SIEM
Надежность и
безопасность
Система управления
производством (MES)
SIEM
SIEM
Распределенная система
управления (DCS)
SIEM
SIEM
Контроллер
доменов
Корп. сеть
Уровни 4-5
Ист. данные
SIEM
Анти-
вирус
WSUS
SIEM
SIEM
Сервер удаленной
разработки
SIEM
Сервер
терминального
оборудования
SIEM
ДМЗ
Уровень 3.5
Телекоммуникации на операционном уровне
Беспроводн. сети
Интернет
Контроль
Уровень 2
Системы
видеонаблюдения
Контроль
доступа
Голос
Мобильные
сотрудники
Беспроводн.
сенсор
Контроллер
Сенсор Выключатель
Безопасность
Архитектура ИБ нефтеперерабатывающего завода от Cisco
30. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30
Corporate
ISP
BRAS
Voice
PLCPLC RT
I/O
Архитектура ИБ нефтедобывающей компании от Cisco
Периметр
Транспортная сеть
Ядро сети
Скважина Буровая
Mobile Field Connectivity
Micro Seismic Applications
RF-ID Asset Tracking
Operational Video Surveillance
Real Time Control
Transparent QoS Tagging
Low Latency – Low Jitter
Gigabit Data Capacity Backbone
End-to-End Oil Field Coverage
IE-3000
L-3 Switch
RDL-3000m
Nomadic Radio
IE-3000
L-3 Switch
Elte-MT
ATEX-2 Radio
RDL-3000
Base Station
RDL-5000
PTP-Microwave
Сервера управления
IE 3000
Industrial
Switches
Network
Services
Subsurface
Modeling
Video Management Server
Collaboration Server
Routing & QoS Definitions
Operations and Control
M2M
I/O Server
Corp VPN
ASR-1000 ASA-5500
Switch
Network Security
RDL-3000
Base Station
1552E
Wi-Fi AP
RF-ID Mobile
Workers
VoIPVideo
Surveillance
HMI
RTU Real Time
I/O Controller
Video
Surveillance
Access Control
NMS/EMS
Cisco Video Surveillance MGR
Cisco Unified Comms Server
Cisco Wireless Controller
31. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31
SCADA"&"Opera?onal"
Business"Systems"
Physical"Security"
Wireless"
Voice"&"Incident"
Response"
Industrial"DMZ"
Control$Centre$(xN)$
Network"
Services"
Process,"Safety,"Power"
Mul?service"
Fog"Compute"
The$Secure$
Pipeline$
Level$0$Level$1$Level$2$Level$2.5$
Physical$Security$
Opera3ons$Mgr$
SIEM
SIEM
SIEM
SIEM
Physical$$
Access$Mgr$
Video$$
Surveillance$Mgr$
Incident$
$Response$
WLAN$Controller$
Call$$
Manager$
Voicemail$Mobility$&$
Tracking$
Applica3ons$
SIEM
Engineer$
Worksta3ons$
Metering$
SCADA$
Primary$
Energy$
Mgt$
Historian$
Repor3ng$Operator$
Worksta3ons$
SIEM
SIEM
SIEM
SIEM SIEM
SIEM
SCADA$
Backup$
SIEM
SIEM
Remote$
Access$
Patch$Mgt$
An3virus$
NonNWired"WAN"
3G/LTE,"Satellite,"WiMAX,"RF"Mesh,""
Microwave"
Virtualized$
SIEM
RTU/Controller$
Wireless$AP$ Wireless$AP$Wireless$AP$Stra3x$Switches$ Stra3x$Switch$
Radio$
Mobile$Worker$
Voice$
CCTV$&$Access$Control$
RFID$
Fog$Node$
Master$MTU$
Level$3$&$3.5$Level$4$&$5$
Enterprise"
WAN"
Leak"Detec?on" Pipeline"Op?miza?on"Batch"Management" Physical"Security" Mobility"Industrial"Wireless" Analy?cs"Voice"&"Video"Metering"
Visualiza?on" Asset"Management"Historian" Opera?ons"Intelligence"Condi?on"Monitoring" Energy"Management" Collabora?ve"Workspace"
Asset"&"People"Tracking"
Op?miza?on" Security"
WAN$&$Security$
Office$
Domain$
Internet"3rd$Party$
Compressor(/(Pump(Sta9on(
Meter/PIG/Terminal(Sta9on(
Block(Valve(Sta9on(
Instrumenta3on$
WAN$&$Security$WAN$&$Security$ WAN$&$Security$
Instrumenta3on$ Instrumenta3on$ Instrumenta3on$
Stra3x$Switch$
Wired"WAN"
Ethernet,"DWDM,"MPLS"
WAN,$Security,$&$Op3miza3on$
SIEM
Alarm$Mgt$
Batch$
Control$
SIEM
SIEM
Ethernet"
Serial"
WiFi"
Industrial"Wireless"
RTU/Controller$
Instrumenta3on$
Stra3x$Switches$
Instrumenta3on$
RTU/Controller$
RTU/Controller$ RTU/Controller$
Архитектура ИБ трубопровода от Cisco и Rockwell
Совместная функциональная
архитектура целостной
трубопроводной
инфраструктуры.
§Гибкий, модульный подход,
подерживающий этапную
трансформацию Нефте-Газового
трубопровода
§Виртуализация контрольной
комнаты
§Конвергентное WAN
операционное взаимодействие
§Проводные и беспроводные сети
трубопровода
§Интегрированные мульти-
Сервисные системы
§IEC 62443 / ISA99 Модель
безопасности
32. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32
SIEM
Process'Control' Power'Management' Safety'Systems'
Compressor'/'Pump'Sta7on'
Mul7service'
Domain'Sta7on'WAN'&'Security'
Process'Domain'
Metering'/'PIG'Sta7on'
Metering'
PIG'Systems'
Gas'Quality'
Mul7service'
Domain'Sta7on'WAN'&'Security'
Process'Domain'
SCADA'&'Opera7onal'Business'Systems!
SIEM
Engineer'
Worksta7ons'
Applica7on'
'Servers'
Domain''
Controller'
Instrumenta7on' Instrumenta7on' Instrumenta7on' Instrumenta7on'
Quantum' Quantum' MiCom'
c264'
SIL3!Controller! SIL3!Controller!
GTW' RI/O' GTW' RI/O!
Historian' Operator'
Sta7on'
Historian' PACIS'
Operator''
Historian' Operator'
Sta7on'
HMI'
Ethernet'Network' Ethernet'Network' Safe'Ethernet'Network'
Ethernet'Network'
'Safe'Ethernet'Network'
Wireless'
AP'
Mobile!Worker!
IP!Voice!
Access'Control'
CCTV'
RFID!
Ethernet'
Network'
Wireless'
AP'
Mobile!Worker!
IP!Voice!
Access'Control'
CCTV'
RFID!
Ethernet!
Network!
Wireless!
AP!
Controller' Controller' Controller'
Ethernet'Network'
Historian' Historian' Historian'
HMI' HMI'
Router' Firewall' Switch' Router' Firewall' Switch'
Converged'OT'&'IT'Opera7onal'Field'Telecoms'
SCADA'
'Primary'
RAS''
Leak''
Detec7on'
Physical'Security'
Operator'
Worksta7ons'
SCADA'
'Backup'
Training'
Server'
Historian'
Repor7ng'
Metering''
Systems'
Main'Control'Center'
Video''
Opera7ons'
Access''
Opera7ons'
Video''
Storage'
Incident'
'Response'
IP/Ethernet'
DWDM'
IP/MPLS'
(virtualized/non/virtualized)1
(virtualized/non/virtualized)1
Backup'Control'Center'
MCC'WAN'&'Security'
BCC'WAN'&'Security'
Mul7service'
Domain'
Mobile!Worker!
IP!Voice!
Access'Control'
CCTV'
RFID!
Ethernet'
Network'
Wireless'
AP'
Process'Domain'
Router'Firewall'
Switch'
Sta7on'WAN'&'Security'
Block'Valve'Sta7on'
Quantum'
Instrumenta7on'
Centralized'Opera7ons' Office'/'Business'Domain' Internet'Edge'
Internet'
3rd'Party'
Support'
Voice'
Wireless'
WLAN'Controller'
Call'Manager'
Voicemail'
Engineer'
Worksta7ons'
Applica7on'
'Servers'
Domain''
Controller'
SCADA'
'Primary'
Leak''
Detec7on'
Operator'
Worksta7ons'
SCADA'
'Backup'
Historian'
Repor7ng'
Metering''
Systems'
Incident'
'Response'
(virtualized/non/virtualized)1
(virtualized/non/virtualized)1
Wireless'
WLAN'Controller'
Call'Manager'
Voicemail'
SCADA'&'Opera7onal'Business'Systems! Physical'Security' Voice'
Magelis'
ION'
Metering'
SEPAM'
Protec7on'
TeSys'T'
Motor'Mgt'
Al7var'
Drive'
MiCOM'
Feeder''
Protec7on'
Magelis'
Video''
Opera7ons'
Access''
Opera7ons'
Video''
Storage'
(Redundant1
Op5ons)1
(Redundant1
Op5ons)1
(Redundant1
Op5ons)1
SIEM SIEM
SIEM SIEM SIEM
Switch'
SIEM SIEM SIEM SIEM
SIEM SIEM SIEM SIEM SIEM
SIEM SIEM
SIEM SIEM
SIEM SIEM SIEM SIEM SIEM SIEM SIEM
SIEM SIEM SIEM SIEM SIEM SIEM
RI/O!
ScadaPack'
SIL3'Op7on'
No'SIL'Op7on'
Wireless!opAon!
3G/LTE,'WiMax'
900Mhz'RF'Mesh'
Satellite,'Microwave'
ROADM' ROADM' ROADM'
Crew!Welfare!/!
Infotainment!
SIEM
IDMZ'
TIming'
Server'
SIEM
AAA'
TIming'
Server'RAS''
SIEM
SIEM
AAA'
WAN'
Networks'
IDMZ'
Архитектура ИБ трубопровода от Cisco и Schneider
Совместная функциональная
архитектура целостной
трубопроводной
инфраструктуры.
§Гибкий, модульный подход,
подерживающий этапную
трансформацию Нефте-Газового
трубопровода
§Виртуализация контрольной
комнаты
§Конвергентное WAN
операционное взаимодействие
§Проводные и беспроводные сети
трубопровода
§Интегрированные мульти-
Сервисные системы
§IEC 62443 / ISA99 Модель
безопасности
33. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 33
Big
Логическая структура промышленной сети в контексте ИБ
Зона DMZ
регламентирует
доступ между
Enterprise и
Manufacturing
зонами.
34. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 34
DMZ #1
Реплики Historian
DMZ #2
Управление патчами
DMZ #N
Терминальных серверов
Уровень 4,5 Корпоративная сеть
Уровень 3 - Производственная площадка
Функциональные
зоны
Граница
соединения
Запрет прямых
соединений
Зонирование и внутри DMZ
35. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 35
В данном примере данные собираются и
передаются в бизнес систему в Enterprise
зоне
Данные не хранятся и не используются в
зоне Manufacturing, таким образом отказ
зоны DMZ не влияет на процесс
производства
Данные IACS должны буфферизоваться
на тот случай если не будет связи с DMZ.
Потоки трафика в зоне DMZ
36. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 36
Топологии и внедрение зоны DMZ
МСЭ предприятия должен работать в HA режиме Active/Active либо Active/Standby
Рекомендуется топология с двумя МСЭ, данное разделение в том числе позволяет разным организациям
контролировать потоки данных между зонами
DMZ <-> Manufacturing и DMZ <-> Enterprise
Рекомендуемые уровни безопасности:
37. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 37
1) Использовать стандартный Enterprise уровня удаленный
доступ IPSEC с аутентификацией через Radius.
2) Ограничить возможность удаленных пользователей
соединяться к DMZ только через HTTPS.
3) Соединиться с порталом в DMZ https.
4) Установить VPN сессию через SSL и ограничить
использование приложений, например только RDP до
терминального сервера.
5) Использовать IPS/IDS системы для отслеживания атак и
червей от удаленных пользователей.
6) Ограничить количество терминальных приложений,
которые пользователь может запустить, иметь систему
аутентификации/авторизации каждого приложения.
7) Ограничить количество доступных функций в приложении
для пользователя.
8) Выделить сервер удаленного доступа в отдельный VLAN и
убедиться в прохождении его трафика через Firewall и
IPS/IDS.
Пример работы удаленного доступа
38. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 38
Где найти вертикальную специфику?
www.cisco.com/go/industry
39. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 39
Где найти описание архитектур, включая ИБ?
www.cisco.com/go/cvd www.cisco.com/go/safe
40. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 40
Продукты по промышленной ИБ
41. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 41
Из чего состоит решение по защите промышленной сети?
Уровень реализации
Логический уровень
Концептуальный уровень
Люди Политики Технологии
42. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 42
Безопасность промышленных сетей от Cisco
IE Portfolio
ISEIR Portfolio 3000 and 6000 Series
WDR IP Cameras
ASA H
ICPAM
Physical Access Control
OT-centric
Security
IoT Network As a
Sensor and Enforcer
IoT
Physical Security
Fog Data Services
ISA 3000
IoT Security Services
43. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 43
Безопасность – это часть промышленных сетевых устройств
Функции
Cisco® IE2000 Cisco IE2000U Cisco IE3000 Cisco IE4000
LAN Lite
(Layer 2 Lite)
LAN Base
(Layer 2)
Enhanced LAN
Base
(Layer 2)
LAN Base
(Layer 2)
IP Services
LAN Base
(Layer 2)
IP Services
(Full Layer 3)
LAN Base
(Layer 2)
IP Services
(Full Layer 3)
Layer 2
Features P R R R R R R R R
IPv6 O P P P P P R P R
Security P R R R R R R R R
QoS O P P R R R R R R
Multicast P P P P P P R R R
Manageability R R R R R R R R R
Utility
Enhancements O O O R R O O R R
IE
Enhancements P R R P P R R R R
Layer 3 Features O P P P P P R P R
Функции
LAN Lite
(Layer 2 Lite)
LAN Base
(Layer 2)
Enhanced LAN
Base
(Layer 2)
LAN Base
(Layer 2)
IP Services
LAN Base
(Layer 2)
IP Services
(Full Layer 3)
LAN Base
(Layer 2)
IP Services
(Full Layer 3)
IE2000 IE2000U IE3000 IE4000
R Full support P Limited features support O No supportLegend:
44. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 44
Big
Использование управляемых коммутаторов
Преимущества
• Возможность диагностики
• Функции безопасности
• Сегментация сети
• Предотвращение петель,
отказоустойчивость
• Приоритезация промышленного
трафика
• Precise time synchronization (e.g.
PTP)
• Улучшенные контроль,
диагностика, настройка
•Управление multicast трафиком
Недостатки
• Дороже
• Требует настройки
45. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 45
Resiliency
Protocol
Mixed
Vendor
Ring
Redundant
Star
Net Conv
>250 ms
Net Conv
50-100 ms
Net Conv
> 1 ms
Layer 3 Layer 2
STP (802.1D) X X X X
RSTP (802.1w) X X X X X
MSTP (802.1s) X X X X X
PVST+ X X X X
REP X X X
EtherChannel
(LACP 802.3ad)
X X X X
Flex Links X X X
DLR
(IEC & ODVA)
X X X X
StackWise X X X X X
HSRP X X X X
GLBP X X X X
VRRP
(IETF RFC 3768)
X X X X X
Отличия протоколов для корпоративного и промышленного
применения
Net Conv: Network Convergence
Процессы и информация
Критичные к задержкам
Движение
46. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 46
Ключ к решениям Cisco по ИБ
47. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 47
Мы должны сегментировать промышленную сеть
Взгляд со стороны
инфраструктуры
Это буква «В»
в модели BDA
(выстраивание
системы отражения
вторжений)
ДО
Контроль
Применение
политик
Сдерживание
48. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 48
Взгляд со стороны
эксплуатации
Не забывать про непрерывность защиты
Это буквы «D» и «А»
модели BDA
(выстраивание системы
реагирования на
инциденты)
Обнаружение
Блокировка
Защита
ВО ВРЕМЯ ПОСЛЕ
Охват
Изоляция
Устранение
49. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 49
Обзор решений Cisco по безопасности АСУТП
§ Cisco ASA Firewall для сегментации (и в промышленном исполнении)
§ Cisco FirePower NGIPS с набором сигнатур для промышленных систем
§ Cisco AMP for Endpoints для защиты от Malware угроз и угроз нулевого дня с
ретроспективным анализом
§ Cisco AnyConnect для контроля доступа и оценки состояния NAC
§ Cisco ISE для идентификации и контроля доступа устройств и обнаружении
неавторизованных подключений, оценка состояния и управление доступом.
§ Cisco Trustsec и VRF-lite – создание виртуальных сегментированных топологий
с сервисами сквозной авторизации
§ Cisco Cyber Threat Defense (CTD)
50. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 50
VPN
VDI
WSA
IPS
NGFW
FW
ISE
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Level 3½
Enterprise Zone
DMZ
PCD /
Manufacturing Zone
PCN /
Cell / Area Zone
?
?
Компоненты Cisco для защиты индустриальной сети
51. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 51
Потребность в специализированных МСЭ/IPS
Для промышленного
применения, АСУ ТП,
подстанций и т.п. требуется
небольшой, монтируемый DIN-
rail-type форм-фактор,
способный работать в
экстремальной окружающей
среде
52. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 52
Пассивная защита в промышленной сети
Сложности Ответ Cisco
• Пассивное
профилирование сети
• Отсутствие задержек
между устройствами и
системами, требующими
реального времени
• «Белые списки»
ожидаемого,
предупреждения по
аномалиями
• ICS означают статичность,
но часто нет возможности
проверить это
• ICS построены с
минимальным объемом
системных ресурсов
• Типичные ИТ-методы
идентификации устройств
могут привести к выходу
из строя индустриальные
системы
53. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 53
Новые модели Cisco ASAwith FirePOWER Services
Desktop Model
Integrated
Wireless AP
Выше
производительность
Для АСУ ТП
100% NGFW -
поставляется с AVC
Wi-Fi может управляться
локально или через
Cisco WLC
1RU;; новая платформа –
лучшее сочетание цены
и производительности
NGFW для критичных
инфраструктур и
объектов
5506-X 5506W-X 5508-X
5516-X
5506H-X
Идеальна
для
замены
Cisco®
ASA 5505
54. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 54
«Настольная» модель CiscoASA5506-X
7.92 x 8.92 x 1.73 in.
Параметр Значение
CPU Многоядерный
RAM 4 Гб
Ускоритель Да
Порты 8x GE портов данных,
1 порт управления с
10/100/1000 BASE-T
Консольный порт RJ-45, Mini USB
USB-порт Type ‘A’ supports 2.0
Память 64-GB mSata
Охлаждение Convection
Питание AC external, No DC
55. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 55
CiscoASA5506H-X в защищенном исполнении
*** Конфигурация Cisco® ASA 5506-H идентична Desktop ASA 5506-X, исключая следующие параметры:
9 x 9.2 x 2.5 in.
Параметр Значение
Порты 4 x портов данных
Управление 1 порт, 10/100/1000BASE-
T, 100BASE-FX,
1000BASE-X, SFP
Напряжение 5V (*** 5506 is 12V)
Диапазон температур От –20 до 60°C (рабочий)
От -40 до 85°C (обычный)
Монтаж Wall-Mount, Horizontal
Desk, Rack-Mount и DIN
rail-mount
56. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 56
Специальные сертификаты на CiscoASA5506H-X
Сертификаты соответствия
9 x 9.2 x 2.5 in.
IP40 per IEC 60529
KN22
IEC 61850-3
IEC 61000-6-5
IEC 61000-5
IEC 611000-4-18
IEEE 1613.1
IEEE C62.412
IEC 1613
IEC 61850-3
IEC 60068-2
57. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 57
Промышленный МСЭ/IDS Cisco ISA3000
58. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 58
Основные характеристики Cisco ISA3000
§ Производительность: 2 Gbps
§ Кол-во IPSec/SSL VPN: 25
§ IPv4 MAC Security ACE: 1000
§ Кол-во интерфейсов: 4x1GE или 2xGE, 2xFiber (SFP)
§ Медный: 4x10/100/1000BaseT
§ Оптический: 2x1GbE (SFP), 2x10/100/1000BaseT
§ 4 ядра Intel Rangely, SSD 64 GB
§ 8 GB DRAM, 16 GB Flash
§ Питание DC
§ Исполнение: -40C до 60C без обдува;; -40C до 70C с 40LFM;; -34C до 74C с
200LFM
59. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 59
Тип Стандарт
EMI /EMC Key
standards
v EN-61850-3 / IEEE1613 (Power Substation)
v EN 50155, EN 50121-4, EN 50121-3-2 (Railway)
v EN 60945 / IEC 60533 (Marine
v EN 61131-2 (Industrial Controls)
v EN 61326 (Electrical Controls)
v EN 61000-4-2 (Electro Static Discharge), 8KV Air / 15KV contact
v EN 61000-4-3 (Electro Magnetic field, 10 and 20V/m)
v EN 61000-4-4 (Fast Transients – 4 KV power line, 4 KV, data line
v EN 61000-4-5 (Surge- 4 KV/2 KV)
v EN 61000-4-6 (Conducted Immunity, 10V / emf)
v EN 61000-4-8 (Power Frequency MFI 40A / m, 1000A / m (1s))
v EN 61000-4-9 (Pulse MFI )
v EN 61000-4-10 (Oscillatory Magnetic Field Immunity)
v EN 61000-4-11 (AC power Voltage Immunity) – AC PS (50 ms)
v EN 61000-4-17 (Ripple on DC power port- for DC PS only)
v EN 61000-4-29 (Voltage Dips Immunity- 10ms hold up time)
v EN 61000-6-2 (Immunity for Industrial Environments)
v EN 61000-6-4 (Emissions for Industrial environments)
v EN 61000-6-1 (Immunity for Light Industrial Environments)
Промышленные сертификации
60. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 60
Варианты внедрений
§ Вне полосы
§ Видимость
§ Ограничено
воздействие
на трафик
§ В полосе
§ Видимость
§ Возможность
блокировать
атаки
61. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 61
Защитный функционал ASA5506H-X / ISA3000
► Самый популярный межсетевой экран
ASA корпоративного класса с функцией
контроля состояния соединений
► Система гранулярного мониторинга и
контроля приложений (Cisco® AVC)
► Ведущая в отрасли система
предотвращения вторжений
следующего поколения (NGIPS) с
технологией FirePOWER
► Фильтрация URL-адресов на основе
репутации и классификации
► Система Advanced Malware Protection с
функциями ретроспективной защиты
► Система управления уязвимостями и SIEM
Cisco ASA
VPN и политики
аутентификации
Фильтрация URL-адресов
(по подписке)
FireSIGHT
Аналитика и
автоматизация
Advanced Malware
Protection
(по подписке)
Мониторинг и
контроль приложенийМежсетевой экран
Маршрутизация и
коммутация
Кластеризация и
высокая доступность
Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI
Встроенное
профилирование сети
Предотвращение
вторжений (по
подписке)
62. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 62
Поддержка промышленных протоколов
63. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 63
§ Препроцессоры для промышленных протоколов, например, для Modbus, DNP3
§ Возможность написания собственных сигнатур
§ Свыше сотни встроенных сигнатур
CitectSCADA
OMRON
Kingview
IGSS
Tecnomatix
RealWin Iconics
Genesis
Siemens
IntelliCom
Cogent
RSLogix
DAQFactory
Beckhoff
Measuresoft
ScadaPro
Broadwin
Progea Movicon
Microsys
Sunway
Moxa
GE
Sielco
ScadaTec
Sinapsi
D
ATAC
WellinTech
Tridium
Schneider Electric
CODESYS
Отражение атак на промышленные системы
64. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 64
Множество встроенных сигнатур и правил корреляции
(1:29202) PROTOCOL-SCADA Modbus read coil status response - too many coils
(1:29203) PROTOCOL-SCADA Modbus read fifo response invalid byte count
(1:29204) PROTOCOL-SCADA Modbus read holding register response - invalid byte count
(1:29205) PROTOCOL-SCADA Modbus read input registers response invalid byte count
(1:29206) PROTOCOL-SCADA Modbus read write register response - invalid byte count
(1:29317) PROTOCOL-SCADA Modbus invalid exception message
(1:29318) PROTOCOL-SCADA Modbus invalid encapsulated interface response
(1:29319) PROTOCOL-SCADA Modbus invalid encapsulated interface request
(1:29505) PROTOCOL-SCADA IGSS dc.exe file execution directory traversal attempt
(1:29515) PROTOCOL-SCADA ScadaTec Procyon Core server password overflow attempt
(1:29534) PROTOCOL-SCADA CODESYS Gateway-Server invalid memory access attempt
(1:29954) PROTOCOL-SCADA CODESYS Gateway-Server heap buffer overflow attempt
(1:29959) PROTOCOL-SCADA Siemens SIMATIC WinCC flexible runtime stack buffer overflow attempt
(1:29960) PROTOCOL-SCADA Siemens SIMATIC WinCC flexible runtime DoS attempt
(1:29964) PROTOCOL-SCADA Siemens SIMATIC WinCC flexible runtime directory traversal attempt
(1:15071) PROTOCOL-SCADA Modbus exception returned
(1:15074) PROTOCOL-SCADA Modbus user-defined function code - 65 to 72
(1:15075) PROTOCOL-SCADA Modbus user-defined function code - 100 to 110
(1:15389) PROTOCOL-SCADA OMRON-FINS memory area write attempt
(1:15390) PROTOCOL-SCADA OMRON-FINS memory area fill attempt
(1:15391) PROTOCOL-SCADA OMRON-FINS memory area transfer attempt
(1:15713) PROTOCOL-SCADA DNP3 device trouble
(1:15714) PROTOCOL-SCADA DNP3 corrupt configuration
(1:15715) PROTOCOL-SCADA DNP3 event buffer overflow error
(1:15716) PROTOCOL-SCADA DNP3 parameter error
(1:15717) PROTOCOL-SCADA DNP3 unknown object error
(1:15718) PROTOCOL-SCADA DNP3 unsupported function code error
(1:15719) PROTOCOL-SCADA DNP3 link service not supported
(1:17782) PROTOCOL-SCADA Modbus write multiple registers from external source
(1:17783) PROTOCOL-SCADA Modbus write single register from external source
(1:17784) PROTOCOL-SCADA Modbus write single coil from external source
(1:17785) PROTOCOL-SCADA Modbus write multiple coils from external source
(1:17786) PROTOCOL-SCADA Modbus write file record from external source
(1:17787) PROTOCOL-SCADA Modbus read discrete inputs from external source
(1:17788) PROTOCOL-SCADA Modbus read coils from external source
(1:17789) PROTOCOL-SCADA Modbus read input register from external source
(1:17790) PROTOCOL-SCADA Modbus read holding registers from external source
(1:17791) PROTOCOL-SCADA Modbus read/write multiple registers from external source
65. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 65
Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение Unauthorized communications with HMI
Сигнатура alert tcp192.168.0.97 any <> ! [192.168.0.3,192.168.10.21] any (msg:"HMItalking to someone
other than PLC or RTU -NOTALLOWED"; priority:1; sid:1000000; rev:1;)
Резюме Попытка неавторизованной системы подключиться к HMI
Воздействие Компрометация системы
Информация
Подверженные системы PLC;RTU;HMI;DMZ-Web
66. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 66
Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение Unauthorized to RTU Telnet/FTP
Сигнатура alert tcp!$PCS_HOSTS any -> 192.168.0.3 23 (msg:”Unauthorized connection attempt to RTU
Telnet”; flow:from_client,established; content:”GET”; offset:2; depth:2;
reference:DHSINLroadshow- IDStoHMI1;classtype:misc-activity; sid:1000003;
rev:1; priority:1;)
Резюме Узел в контролируемой ЛВС попытлся подключиться к RTU Telnet-серверу
Воздействие Сканирование
Компрометация системы управления
Информация
Подверженные системы RTU
67. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 67
Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение Yokogawa CENTUM CS 3000 stack buffer overflow attempt
Сигнатура alert tcp $EXTERNAL_NET any -> $HOME_NET 20171 (msg:"SCADA Yokogawa
CENTUM CS 3000 stack buffer overflow attempt";; flow:to_server,established;;
content:"|64 A1 18 00 00 00 83 C0 08 8B 20 81 C4 30 F8 FF FF|";; fast_pattern:only;;
metadata:policy balanced-ips drop, policy security-ips drop;; reference:cve,2014-0783;;
reference:url,www.yokogawa.com/dcs/security/ysar/YSAR-14-0001E.pdf;;
classtype:attempted-admin;; sid:30562;; rev:1;; )
Резюме Вызов переполнения буфера для извлечения команд привилегированного режима
Воздействие Извлечение неавторизованных команд
Информация http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2014-0783
Подверженные системы Yokogawa CENTUM CS 3000 R3.09.50
68. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 68
Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение PROTOCOL-SCADA Siemens SIMATIC WinCC flexible runtime DoS attempt
Сигнатура alert tcp $EXTERNAL_NET any -> $HOME_NET [2308,50523]
(msg:"PROTOCOL-SCADA Siemens SIMATIC WinCC flexible runtime DoS
attempt";; flow:to_server,established;; content:"|00 04 03|";; depth:3;;
byte_test:4,>,0x410,23,little;; isdataat:1025;; reference:cve,2011-4877;;
reference:url,www.exploit-db.com/exploits/18166/;; classtype:attempted-admin;;
sid:29963;; rev:1;; )
Резюме Атака отказа в обслуживание, недоступность оборудования, останов тех.
процесса
Воздействие Отказ в обслуживании
Информация www.exploit-db.com/exploits/18166/
Подверженные системы Siemens SIMATIC PCS
69. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 69
Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение Modbus TCP -Unauthorized Write Request to a PLC
Сигнатура alert tcp !$MODBUS_CLIENT any -> $MODBUS_SERVER 502
(flow:from_client,established;; content:”|00 00|”;; offset:2;; depth:2;;
pcre:”/[Ss]{3}(x05|x06|x0F| x10|x15|x16)/iAR”;; msg:”Modbus TCP – Unauthorized
Write Request to a PLC”;; reference:scada,1111007.htm;; classtype:bad- unknown;;
sid:1111007;; rev:1;; priority:1;;)
Резюме Неавторизованный Modbus-клиент попытался записать информацию на PLC или
иное устройства
Воздействие Целостность системы Отказ в обслуживании
Информация
Подверженные системы PLC и другие устройства с Modbus TCP сервером
70. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 70
Подрядчик
Когда Что Где Как
9:00-17:00 ноутбук Ячейка 1 Проводн.
Традиционный RBAC и
политики
HMI
Rockwell Automation
Stratix 8000
Коммутатор доступа уровня 2
Ввод-
вывод
Контроллер
Диск
Ячейка/зона 1
Ввод-
вывод
HMI
Контроллер
Volt
PTP
Коммутатор
уровня доступа 2
и
Протокол REP
Ячейка/зона 2
Роль Авторизация
Контр. Ячейка 2:
Разр. CIP
Разр. http
Ячейка 1:
Запрет
IED IED
Заводская шина
IED IED
Шина процессов
Завод
Операции SCADA
инж
АКТИВЫ
инж
Планиро-
вание
инж
Удаленное
управление
R
Подтв. авар. сигн. R
Точечная разметка R
Точка ручного
обновл.
R
Откр/Закр HMI R R R
Выход HMI R R R
Мониторинг
и контроль
операций
Возможности
для инноваций
ISE + промышл. коммутаторы
Отслеживание
Безопасный доступ для локальных пользователей
71. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 71
Безопасный доступ для локальных пользователей
Сеть доступа
Контроллер
Мультисервисная шина
Производственная сеть
Полевая сеть
Буровая площадка
Трансп. зона
Умные города
Беспроводная
IPS
OMS
dACL
VLAN
Тег группы
безопасности
XРоль ИТ-персонал Поставщик
Когда 9:00-17:00 ВТ
Что Ноутбук Ноутбук
Где Центр
обработки
данных
Трансп. зона
Как Wi-Fi
Проводн.
Wi-Fi
Проводн.
Аутенти-
фикация
Камеры
IP-телефоны
WWW
Согласованная
политика
доступа
72. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 72
Мониторинг и контроль доступа устройств и механизмов
• Безопасность портов и централизованное управление
• Реестр сетевых индустриальных систем
• Идентификация и профилирование IoT-устройств
IoT-сети
Соотв. MAC
MAC
IP
ACL
00:00:23:67:89:ab 10.1.1.1 ABB Сайт1
dc:05:75:92:cd:bd 10.1.2.3 Siemens Сайт2
e4:90:69:34:9d:ab 10.1.2.5 Rockwell Сайт3
Контроллер CIP ABB Сайт1
RTU DNP Siemens Сайт1
IED Modbus Rockwell Сайт2
HMI OCP GE Сайт2
CAУправл.
Реестр — номер 1 среди
20 критических методов
управления
безопасностью
Сенсор IoT-устройств
(в будущем)
802.1x
Клиент
73. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 73
Политики ИБ для
промышленной сети
74. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 74
Из чего состоит решение по защите промышленной сети?
Уровень реализации
Логический уровень
Концептуальный уровень
Люди Политики Технологии
75. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 75
Системные
исправления
Сегментация
сети
Антивирусная
защита
Реагирование
на инциденты
Проактивный
мониторинг
Мониторинг
безопасности
IPS /
сигнатуры
Защита
от угроз
Аварийное
восстановление
Резервное
копирование
и восстановление
Непрерывное
совершенствование
Организация Стабилизация Обнаружение РеагированиеЗащита
Белые
и черные списки
Черные списки
Сбор
и управление
журналами
безопасности
Обнаружение
аномалий
Обнаружение
вредоносного
ПО
Обнаружение
вторжений
Политика
безопасности
Виртуализация
Шифрование
KPI и аналитика
Учет
местонахождения
Реестр
процессов
Оценка
Управление
изменениями
Обучение
и понимание
Панели
управления
и отчеты
Фокус на ключевых
векторах атаки в рамках
сети управления
процессами за счет
организации необходимого
контроля при помощи
лучших современных
практик в области
безопасности
Доступ и
управление PCN
Физическая
безопасность
Промышленные
беспроводные
сети
Безопасность
портативных
устройств
До Во время После
ПЛАНИРОВАНИЕ СОЗДАНИЕ ВЫПОЛНЕНИЕ МОНИТОРИНГ УПРАВЛЕНИЕ
Защищенное
хранилище
Реестр и
управление
активами
Сегментация
сети
Доступ
и управление PCN
Защищенное
хранилище
Разработка политик по ИБ для промышленной сети
76. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 76
Управление промышленной ИБ
77. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 77
Из чего состоит решение по защите промышленной сети?
Уровень реализации
Логический уровень
Концептуальный уровень
Люди Политики Технологии
78. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 78
Системные
исправления
Сегментация
сети
Антивирусная
защита
Реагирование
на инциденты
Проактивный
мониторинг
Мониторинг
безопасности
IPS /
сигнатуры
Защита
от угроз
Аварийное
восстановление
Резервное
копирование
и восстановление
Непрерывное
совершенствование
Организация Стабилизация Обнаружение РеагированиеЗащита
Белые
и черные списки
Черные списки
Сбор
и управление
журналами
безопасности
Обнаружение
аномалий
Обнаружение
вредоносного
ПО
Обнаружение
вторжений
Политика
безопасности
Виртуализация
Шифрование
KPI и аналитика
Учет
местонахождения
Реестр
процессов
Оценка
Управление
изменениями
Обучение
и понимание
Панели
управления
и отчеты
Фокус на ключевых
векторах атаки в рамках
сети управления
процессами за счет
организации необходимого
контроля при помощи
лучших современных
практик в области
безопасности
Доступ и
управление PCN
Физическая
безопасность
Промышленные
беспроводные
сети
Безопасность
портативных
устройств
До Во время После
ПЛАНИРОВАНИЕ СОЗДАНИЕ ВЫПОЛНЕНИЕ МОНИТОРИНГ УПРАВЛЕНИЕ
Защищенное
хранилище
Реестр и
управление
активами
Сегментация
сети
Доступ
и управление PCN
Защищенное
хранилище
Управление ИБ с помощью Cisco Secure Ops
79. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 79
Архитектура Cisco SecureOps
Server
Firewall
Switch
Router
Hypervisor
Identity
Services
Patching
Anti-Virus
AAA/
TACACS
Compliance
Reporting
Proactive
Monitoring
Network
Health
Dashboard
Active
Directory
Terminal
Services
Log
Collection
Servers
Firewall
SecureCenter
(Ops or Data Center)
SecureSite
(Substation, Rig, Plant Floor)
Hypervisor
Asset
Inventory
Patching
Anti-Virus
Proactive
Monitoring
Event Log
Collection
Secure File
Delivery
Владеет или управляет Cisco
Гибкий provisioning
Одна или несколько площадок
Обеспечение SLA’s
80. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 80
Иные ИБ-сервисы
81. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 81
А также тесты на проникновения и аудиты промышленных
сетей
Device Security Security Hardware Hardware Security Software Security
Moving Target Security Cryptography Penetration Testing Operational Security
82. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 82
Аутсорсинг ИБАнализ угроз
Operations
Продукты по
ИБ Архитектура ИБ
Исследования Консалтинг
«Разведка»
И иные сервисы ИБ
83. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 83
Соответствие
требованиям
84. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 84
Приказ ФСТЭК №31 по защите АСУ ТП
• №31 от 14.03.2014 «Об утверждении требований к обеспечению
защиты информации в автоматизированных системах управления
производственными и технологическими процессами на
критически важных объектах, потенциально опасных объектах, а
также объектах, представляющих повышенную опасность для
жизни и здоровья людей и для окружающей природной среды»
• Все новые и модернизируемые системы должны создаваться по
новому приказу, а не по документам ФСТЭК для КСИИ 2007-го и
последующих годов
В тех случаях, если КСИИ управляют технологическими процессами
Остальные типы КСИИ продолжают подчиняться требованиям ФСТЭК к
ключевым системами информационной инфраструктуры
85. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 85
Отличия в оценке соответствия
Особенность Приказ №21 Приказ №17 Приказ №31
Оценка соответствия В любой форме (нечеткость
формулировки и непонятное ПП-
330)
Только
сертификация в
системах
сертификации
ФСТЭК или ФСБ
В любой форме (в
соответствии с ФЗ-184)
Аттестация Коммерческий оператор -
на выбор оператора
Госоператор - аттестация
Обязательна Возможна, но не
обязательна
Контроль и надзор Прокуратура – все
ФСТЭК/ФСБ – только
госоператоры (РКН не имеет
полномочий проверять
коммерческих операторов ПДн)
ФСТЭК ФСБ и ФОИВ,
ответственный за
безопасность КИИ
(определяется в настоящий
момент)
86. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 86
~600 ФСБ НДВ 34 123
Сертификатов
ФСТЭК на
продукцию Cisco
Сертифицировала
решения Cisco
(совместно с С-Терра
СиЭсПи)
----
Ждем еще ряд важных
анонсов
Отсутствуют в
ряде продуктовых
линеек Cisco
----
На сертификацию
поданы новые
продукты
Линейки
продукции Cisco
прошли
сертификацию по
схеме «серийное
производство»
Продуктовых линеек
Cisco
сертифицированы во
ФСТЭК
Сертификация решений Cisco по требованиям ИБ