Scada-система

Размещено на http://www.allbest.ru/

[Введите текст]

Введение

В настоящее время на объектах транспортной отрасли в основном используются типовые SCADA-системы и промышленные АСУ со стандартными протоколами обмена данными. С одной стороны использование типовых систем управления и сетевой передачи информации позволяет осуществить более легкий обмен данными между различными уровнями системы, что повышает ее эффективность, а с другой это приводит к увеличению вероятности осуществления сетевых угроз. И эта проблема требует решения в самые короткие сроки, но на создание и распространение новых защищенных SCADA-систем потребуется достаточно много времени, что приводит к необходимости искать и устранять бреши в безопасности информационных систем на данном этапе их развития.

За последние годы промышленные системы освоили такие сетевые технологии, как Ethernet и TCP/IP. Эти технологии широко используются в промышленных АСУ и SCADA-системах, создавая условия для более эффективной работы предприятий и делая системы контроля более доступными для пользователей. Но наряду с преимуществами они перенесли и проблему: объединение информационных сетей на различных уровнях предприятия в единое сквозное информационное пространство значительно повышает уязвимость системы со стороны внешних атак, сетевых «червей», вирусов и хакеров.



1. SCADA-система

1.1 Определение и общая структура SCADA

SCADA - это процесс сбора информации реального времени с удаленных объектов для обработки, анализа и возможного управление этими объектами.

В SCADA-системах в большей или меньшей степени реализованы основные принципы, такие, как работа в режиме реального времени, использование значительного объема избыточной информации (высокая частота обновления данных), сетевая архитектура, принципы открытых систем и модульного исполнения, наличие запасного оборудования, работающего в «горячем резерве» и др.

Все современные SCADA-системы включают три основных структурных компонента (рис.1).

Рисунок 1 - Основные структурные компоненты SCADA-системы

Remote Terminal Unit (RTU) - удаленный терминал, осуществляющий обработку задачи (управление) в режиме реального времени.

Системы реального времени бывает двух типов: системы жесткого реального времени и системы мягкого реального времени.

Системы жесткого реального времени не допускают никаких задержек.

Спектр воплощения RTU широк - от примитивных датчиков, осуществляющих съем информации с объекта, до специализированных многопроцессорных отказоустойчивых вычислительных комплексов, осуществляющих обработку информации и управление в режиме жесткого реального времени. Конкретная его реализация определяется конкретным применением. Использование устройств низкоуровневой обработки информации позволяет снизить требования к пропускной способности каналов связи с центральным диспетчерским пунктом.

Master Terminal Unit (MTU) - диспетчерский пункт управления (главный терминал); осуществляет обработку данных и управление высокого уровня, как правило, в режиме мягкого реального времени. Одна из основных функций - обеспечение интерфейса между человеком-оператором и системой. MTU может быть реализован в самом разнообразном виде - от одиночного компьютера с дополнительными устройствами подключения к каналам связи до больших вычислительных систем и/или объединенных в локальную сеть рабочих станций и серверов.

Communication System (CS) - коммуникационная система (каналы связи), необходима для передачи данных с удаленных точек (объектов, терминалов) на центральный интерфейс оператора-диспетчера и передачи сигналов управления на RTU.

1.2 Структура SCADA-системы TRACE MODE

TRACE MODE позволяет создавать резервированные многоуровневые АСУ ТП масштаба предприятия, включая уровень контроллеров.



Рисунок 2 - Структура многоуровневой АСУ ТП на базе SCADA-системы TRACE MODE

TRACE MODE (русское название - ТРЕЙС МОУД) - это программный комплекс, предназначенный для разработки, настройки и запуска в реальном времени систем управления технологическими процессами. Она включает в себя инструментальную систему разработки АСУ и исполнительные (runtime) модули. При помощи инструментальной системы осуществляется разработка всех проектов, создаваемых в ТРЕЙС МОУД. Исполнительные модули служат для запуска в реальном времени проектов, разработанных в инструментальной системе ТРЕЙС МОУД.

TRACE MODE позволяет создавать многоуровневые, иерархически организованные, резервированные АСУТП. Рассмотрим трехуровневую систему, включающую уровень контроллеров, диспетчерский уровень и административный уровень.

АСУТП уровня контроллеров создается на основе Микро-монитора реального времени (Микро-МРВ). Эта программа размещается в РС-контроллере и осуществляет сбор данных с объекта, программно-логическое управление технологическими процессами и регулирование параметров по различным законам, а также ведение локальных архивов. Программа ведет постоянный контроль работоспособности УСО, сетевых линий, и в случае их выхода из строя автоматически переходит на резервные средства. При помощи Микро-МРВ можно создавать дублированные или троированные системы с горячим резервом.

Основу диспетчерского уровня управления составляют Мониторы реального времени (МРВ). МРВ ТРЕЙС МОУД - это сервер реального времени, осуществляющий прием данных с контроллеров, управление технологическим процессом, перераспределение данных по локальной сети, визуализацию информации, расчет ТЭП и статистических функций, ведение архивов.

На административном уровне АСУТП используются модули Supervisor. Supervisor предоставляет руководителю информацию о ходе и ретроспективе технологического процесса, статистических и технико-экономических параметрах предприятия. Эта информация может обновляться в режиме, близком к реальному времени (задержка 10 - 30 с). Кроме того, Supervisor дает возможность просматривать ретроспективу (осуществлять «плейбек») процесса как фильм на видеомагнитофоне. Графический «плейбек» архива дает в руки руководителя инструмент контроля работы диспетчерского комплекса и всего предприятия в целом.

Инструментальная система ТРЕЙС МОУД состоит из двух систем: Редактора базы каналов и Редактора представления данных. В этих редакторах осуществляется разработка математической основы АСУ, графических экранных фрагментов для визуализации состояния технологического процесса и управления им.

Исполнительные модули (RUNTIME) - это программы, под управлением которых запускается АСУ, созданная в инструментальной системе. В группу исполнительных модулей входят следующие программы:

- Монитор реального времени - МРВ;

- Монитор реального времени - NetLink МРВ;

- Монитор реального времени - NetLink Light;

- Монитор создания АРМ администратора - SUPERVISOR;

- Монитор глобального архива - Глобальный регистратор;

- Микро монитор реального времени - Микро МРВ;

- Микро МРВ с поддержкой обмена через модем - Микро МРВ Модем +.

Монитор реального времени МРВ служит для запуска АРМ операторов, осуществляющих с его помощью супервизорный контроль и управление технологическим процессом.

Монитор реального времени NetLink МРВ может применяться только в составе систем управления, где обмен данными между узлами системы осуществляется по локальной сети.

Монитор реального времени NetLink Light МРВ позволяет создавать дополнительные рабочие места операторов. Он не поддерживает функций обработки данных и автоматического управления. Этот монитор является дополнительной графической консолью, которая может быть подключена с удаленного компьютера к запущенному МРВ. Таким образом, имея в сети один монитор реального времени, можно, используя NetLink Light, создать в сети требуемое количество рабочих мест, совершенно равноправных с МРВ по функциям отображения и супервизорного управления.

SUPERVISOR предназначен для создания АРМ администратора. Он может получать данные только из архивов. Это могут быть либо локальные архивы МРВ или NetLink МРВ, либо глобальные архивы, которые создает Глобальный регистратор. С помощью SUPERVISOR невозможно осуществлять оперативное управление процессом. По функциям организации представления данных SUPERVISOR похож на NetLink Light. Для него требуется только создание графической базы (dbg файлы). Существенное отличие SUPERVISOR заключается в том, что он получает от МРВ или Глобального регистратора архивные значения каналов, а NetLink Light - текущие данные.

Глобальный регистратор (ГР) - это специальный монитор ТРЕЙС МОУД, предназначенный для ведения глобального архива по всему проекту. Он архивирует данные посылаемые ему по сети мониторами реального времени. После сохранения данных в архив Глобальный регистратор может передавать их для просмотра мониторам SUPERVISOR. Архив Глобального регистратора реализует технологию хранилища данных. Он фиксирует значения технологических параметров при их изменении. В рамках одного проекта может поддерживаться только один такой архив.

Микро монитор реального времени (Микро МРВ) предназначен для управления задачами сбора данных и управления в контроллерах нижнего уровня АСУТП. Он может быть использован в любых IBM-совместимых контроллерах. По возможностям математической обработки, управления, обмена данными с другими мониторами ТРЕЙС МОУД Микро МРВ идентичен монитору реального времени. Однако для него не реализованы функции графического вывода информации. Задачи для Микро МРВ разрабатываются в редакторе базы каналов. Поэтому при использовании IBM-совместимых контроллеров в рамках ТРЕЙС МОУД реализуется единая линия программирования задач верхнего и нижнего уровней систем управления.

Микро МРВ Модем+ идентичен по функциям с Микро МРВ. Единственным его отличием является встроенная поддержка обмена данными с помощью модема по коммутируемым каналам, что позволяет использовать Микро МРВ для создания удаленных пунктов сбора информации, обменивающихся данными через телефонную сеть.

TRACE MODE создана в архитектуре клиент-сервер и основана на новейшей распределенной общей модели объектов - DCOM.

Связь между модулями TRACE MODE, с контроллерами, независимыми приложениями, базами данных осуществляется через стандартные интерфейсы: DCOM, OPC, DDE, SQL/ODBC.

Поэтому отдельные модули системы легко сопрягаются между собой, а АСУТП на базе TRACE MODE легко поддерживать, развивать и интегрировать в корпоративные информационные системы.

1.3 Функциональная структура SCADA

scada троянский программа структура

В названии SCADA присутствуют две основные функции, возлагаемые на системы этого класса:

- сбор данных о контролируемом процессе;

- управление технологическим процессом, реализуемое ответственными лицами на основе собранных данных и правил (критериев), выполнение которых обеспечивает наибольшую эффективность технологического процесса.

SCADA-системы обеспечивают выполнение следующих функций:

1. Прием информации о контролируемых технологических параметрах от контроллеров нижних уровней и датчиков.

2. Сохранение принятой информации в архивах.

3. Обработка принятой информации.

4. Графическое представление хода технологического процесса, а также принятой и архивной информации в удобной для восприятия форме.

5. Прием команд оператора и передача их в адрес контроллеров нижних уровней и исполнительных механизмов.

6. Регистрация событий, связанных с контролируемым технологическим процессом и действиями персонала, ответственного за эксплуатацию и обслуживание системы.

7. Оповещение эксплуатационного и обслуживающего персонала об обнаруженных аварийных событиях, связанных с контролируемым технологическим процессом и функционированием программно-аппаратных средств АСУТП с регистрацией действий персонала в аварийных ситуациях.

8. Формирование сводок и других отчетных документов на основе архивной информации.

9. Обмен информацией с автоматизированной системой управления предприятием.

10. Непосредственное автоматическое управление технологическим процессом в соответствии с заданными алгоритмами.

Данный перечень функций, выполняемых SCADA-системами, не является абсолютно полным, более того, наличие некоторых функций и объем их реализации сильно варьируется от системы к системе.

1.4 Особенности SCADA как процесса управления

Существует два типа управления удаленными объектами в SCADA-системах: автоматическое и инициируемое оператором системы.

Процесс управления в современных SCADA-системах имеет следующие особенности:

- процесс SCADA применяется в системах, в которых обязательно наличие человека (оператора, диспетчера);

- процесс SCADA был разработан для систем, в которых любое неправильное воздействие может привести к отказу объекта управления или даже катастрофическим последствиям;

- оператор несет, как правило, общую ответственность за управление системой, которая при нормальных условиях только изредка требует подстройки параметров для достижения оптимальной производительности;

- активное участие оператора в процессе управления происходит нечасто и в непредсказуемые моменты времени, обычно в случае наступления критических событий (отказы, нештатные ситуации и пр.);

- действия оператора в критических ситуациях могут быть жестко ограничены по времени (несколькими минутами или даже секундами).



2. Административный уровень SCADA-системы

Верхний уровень автоматической системы управления обеспечивает широкие возможности визуализации и взаимодействия системы АСУ ТП с человеком (диспетчером или оператором).

В первую очередь программное обеспечение и оборудование верхнего уровня реализует информационные функции (сбор, обработку, хранение и выдачу информации по требованию оператора). При этом в систему поступает не только информация о параметрах технологических процессов, и моментах срабатывания автоматики безопасности, но также информация о внешнем вмешательстве персонала в работу установки.

Кроме этого, с помощью программного обеспечения верхнего уровня осуществляется дистанционное управление оборудованием БСУ и настройка параметров системы управления.

Субстратом визуализации технологических процессов, которые происходят на предприятии, является система компьютеров и специализированных мониторов. На мониторах отображаются изменения параметров и этапы срабатывания оборудования.

Количество параметров, которые выводятся на мониторы, частота изменения данных на мониторах и другие параметры программируются индивидуально, в зависимости от потребностей конкретного производства.

Связь между узлами в распределенной АСУТП на базе Trace Mode может осуществляться с использованием протоколов TCP/IP, IPX/SPX, DCOM, DDE/NetDDE, OPC и офисными приложениями Excel, Access, MS SQL Server, Oracle, SyBase, BaseStar, R/3 на уровне АСУП.

Основу ПО диспетчерского уровня управления составляют модули реального времени (МРВ). МРВ Trace Mode - это сервер реального времени, осуществляющий прием данных с контроллеров, управление процессом, визуализацию информации, расчет ТЭП, ведение архивов.

Trace Mode содержит средства для разработки АРМ руководителя с помощью модулей Supervisor, которые предоставляют руководителю всю необходимую информацию о параметрах и состоянии технологического процесса.

Trace Mode позволяет создавать резервированные многоуровневые АСУ ТП масштаба предприятия на базе ведущих сетевых ОС с обменом по протоколу NetBios, NetBEUI, IPX/SPX, TCP/IP. Сетевые комплексы допускают структурирование с выделением следующих уровней: контроллерного, диспетчерского и административного.

Оформление отчетов о ходе технологического процесса осуществляется с помощью Сервера документирования. Сервер принимает данные от удаленных модулей и обрабатывает их в соответствии со сценариями. Готовые отчеты могут быть записаны в файл, выведены на печать, экспортированы в СУБД или представлены в Internet. Для обмена информацией по сети Internet используется Web-сервер TraceMode. Технология тонкого клиента позволяет осуществлять визуализацию процесса, формировать тренды и алармы, формировать управляющие воздействия с помощью Web-браузера.

Trace Mode поддерживает технологии телеуправления через GSM и SMS. GSM-активатор для Windows NT предоставляет пользователям на сотовые телефоны отчеты тревог, позволяет передавать с сотового телефона команды управления, получать информацию по запросу с сотового телефона.



3. Уязвимости SCADA-системы

Уязвимости могут прослеживаться на уровнях программного обеспечения технологических процессов (управление различными системами сбора информации с помощью радиолокационных систем). Для сопровождения работы различных технических устройств применяются программируемые контроллеры под управлением SCADA-систем с поддержкой промышленных протоколов обмена данными. В основном это протоколы CAN, HART, MODBUS. Каждый их них в сочетании с технологиями ХML, FDT и с учетом известных особенностей модели OSI можно использовать для нарушения устойчивого соединения подсистем. Для определения уязвимостей, способных повлиять на функционал автоматизированного управления, целесообразно рассмотреть структуру систем информационного сопровождения подразделений предприятий морской направленности в рамках принятой классификации подсистем на промышленных предприятиях.

Предварительно необходимо определить абстрактную архитектуру системы информационного сопровождения, применяемую предприятиями морской направленности. Центральным компонентом системы является сервер ОРС, решающий задачи управления и обеспечивающий трансляцию данных служебного характера. К нему подключаются на уровне клиентских приложений пользовательские интерфейсы, а также подсистемы сбора и хранения данных (СУБД). С другой стороны, к ОРС-серверу подключены котроллеры управления техническими устройствами (датчики, механизмы). Все приведенные части функционируют в рамках принятой повсеместно архитектуры сервер-клиент. Это уже создает возможность реализации широко распространенных сетевых угроз, поскольку за годы эксплуатации систем с этой архитектурой накоплен большой опыт в области нарушения работы серверных и клиентских модулей.

Особый интерес при рассмотрении проблем безопасности промышленных систем вызывает протокол HART (Highway Addressable Remote Transducer). В настоящее время стандарт HART поддерживается международной организацией HCF (HART Communication Foundation). В спецификации протокола указаны требования к аппаратуре каналов связи контроллеров, датчиков, управляющих систем, а задачи его реализации связаны с обеспечением работоспособности правил взаимодействия сетевых устройств на промышленных объектах.

Установка устройств под управлением рассматриваемого протокола дает возможность совместного применения HART-совместимых контроллеров и специализированного программного обеспечения. Технология HART предполагает, что начинает обмен данными контроллер. Он выдает запрос в виде цифрового сигнала, который принимается датчиком. Сигнал передается в аналоговой и цифровой форме. Он фильтруется и преобразуется программой с учетом погрешности при передаче в последовательность, состоящую из двоичных одиннадцатибитных слов, разделяемых стартовыми и стоповыми битами. Заданная последовательность передается через модем в интерфейсный блок.

Функциональность и масштаб систем HART может расширяться с помощью подключения сетей на основе других промышленных протоколов (Modbus, Profibus, Ethernet). Доступ к SCADA-системам информационного сопровождения и управления осуществляется через подключение, ориентированного на обработку протокольных данных сервера (HARTOPC сервера).

Используя стек протоколов TCP/IP можно осуществить множество атак на серверные службы АС, в том числе и стандартную атаку «Отказ в обслуживании», которая может оказаться одной из наиболее критичных угроз для функционирования промышленных сетей. Данная атака многогранна: она может реализовываться как по отношению к системам слоя информационного сопровождения и управления, так и непосредственно по отношению к программному комплексу контроллеров. Для реализации подобной атаки требуется использовать уязвимости системы. Одна из них делает возможным использование XML-кода файлов не только для поддержки процесса функционирования системы, но и для его нарушения.

Документы с кодом XML, используемые в системах стандарта HART, применяются в качестве управляющих сценариев, а также для промежуточного хранения данных. Взаимодействие системы с датчиками и контроллерами обеспечивает возможность создания запроса на изменение поля в протокольном файле. При обмене информационными пакетами в поля подобного файла могут вноситься посторонние данные, которые могут содержать ссылку на внесистемный код. Технология HART допускает возможность использования внешних ссылок для обработки XML-документа. Это является уязвимостью SCADA-системы, так как появление постороннего кода приведет систему к отказу. Таким образом, суть атаки заключается во внесении изменений в XML - код файлов SCADA - системы.

Создадим дерево уязвимостей, угроз и контрмер, чтобы определить наиболее проблемные области SCADA-системы на административном уровне.

Для построения дерева используются следующие параметры:

1) Vi - уязвимости

2) Ti,j - угрозы, эксплуатирующие уязвимости

3) Li,j - недостаток контрмер для угрозы

Значения параметров:

V1 - отсутствие защиты протокола TCP/IP

V2 - отсутствие политики безопасности

T1,1 - атаки на серверные службы АС

T2,1 - НСД

T2,2 - внедрение вредоносного ПО

T2,3 - утечка конфиденциальной информации по каналам связи



Рисунок 3 - Дерево уязвимостей, угроз и контрмер

Используя уязвимости TCP/IP и XML-кода файлов, может быть реализовано нападение по сценарию, приведённому в графе атаки (рис.4).

Рисунок 4 - Атака на SCADA-систему посредством стека протоколов TCP/IP

Для защиты SCADA-системы от подобных атак необходимо ввести меры противодействия.



4. Средство блокирования троянских программ

Для защиты SCADA-системы от атак, рассмотренных выше, используются различные антивирусные средства, одним из них является антивирусная утилита AVZ.

Антивирусная утилита AVZ является инструментом для исследования и восстановления системы, и предназначена для автоматического или ручного поиска и удаления:

SpyWare, AdvWare программ и модулей (это одно из основных назначений утилиты);

Руткитов и вредоносных программ, маскирующих свои процессы;

Сетевых и почтовых червей;

Троянских программ (включая все их разновидности, в частности Trojan-PSW, Trojan-Downloader, Trojan-Spy) и Backdoor (программ для скрытного удаленного управления компьютером);

Троянских программ-звонилок (Dialer, Trojan.Dialer, Porn-Dialer);

Клавиатурных шпионов и прочих программ, которые могут применяться для слежения за пользователем.

Утилита является прямым аналогом программ Trojan Hunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление AdWare, SpyWare и троянских программ.

Особенностями утилиты AVZ (помимо типового сигнатурного сканера) является: 

Микропрограммы эвристической проверки системы. Микропрограммы проводят поиск известных SpyWare и вирусов по косвенным признакам - на основании анализа реестра, файлов на диске и в памяти.

Обновляемая база безопасных файлов. В нее входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу "свой/чужой" - безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ);

Встроенная система обнаружения Rootkit. Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре "видит" маскируемые ключи и т.п. Антируткит снабжен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных особенностей системы противодействия RootKit является ее работоспособность в Win9X (распространеннное мнение об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно - известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием). Другой особенностью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1

Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger;

Нейроанализатор. Помино сигнатурного анализатора AVZ содержит нейроэмулятор, который позволяет производить исследование подозрительных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров.

Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита;

Встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов и загруженных библиотек, запущенных сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие - он "видит" маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;

Встроенная утилита для поиска файлов на диске. Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин

Встроенная утилита для поиска данных в реестре. Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом ключи реестра и может удалить их)

Встроенный анализатор открытых портов TCP/UDP. На него распространяется действие антируткита, в Windows XP для каждого порта отображается использующий порт процесс. Анализатор опирается на обновляемую базу портов известных троянских/Backdoor программ и известных системных сервисов. Поиск портов троянских программ включен в основной алгоритм проверки системы - при обнаружении подозрительных портов в протокол выводятся предупреждения с указанием, каким троянских программам свойственно использование данного порта

Встроенный анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в Nt/W2K/XP.

Встроенный анализатор Downloaded Program Files (DPF) - отображает элементы DPF, подключен ко всем сситемам AVZ.

Микропрограммы восстановления системы. Микропрограммы проводят восстановления настроек Internet Explorer, параметров запуска программ и иные системные параметры, повреждаемые вредоносными программами. Восстановление запускается вручную, восстанавливаемые параметры указываются пользователем.

Эвристическое удаление файлов. Суть его состоит в том, что если в ходе лечения удалялись вредоносные файлы и включена эта опция, то производится автоматическое исследование системы, охватывающее классы, BHO, расширения IE и Explorer, все доступные AVZ виды автозапуска, Winlogon, SPI/LSP и т.п. Все найденные ссылки на удаленный файл автоматически вычищаются с занесением в протокол информации о том, что конкретно и где было вычищено. Для этой чистки активно применяется движок микропрограмм лечения системы;

Проверка архивов. Начиная с версии 3.60 AVZ поддерживает проверку архивов и составных файлов. На настоящий момент проверяются архивы формата ZIP, RAR, CAB, GZIP, TAR; письма электронной почты и MHT файлы; CHM архивы

Проверка и лечение потоков NTFS. Проверка NTFS потоков включена в AVZ начиная с версии 3.75

Скрипты управления. Позволяют администратору написать скрипт, выполняющий на ПК пользователя набор заданных операций. Скрипты позволяют применять AVZ в корпоративной сети, включая его запуск в ходе загрузки системы.

Анализатор процессов. Анализатор использует нейросети и микропрограммы анализа, он включается при включении расширенного анализа на максимальном уровне эвристики и предназначен для поиска подозрительных процессов в памяти.

Система AVZGuard. Предназначена для борьбы с трудноудаляемыми вредоносными программами, может кроме AVZ защищать указанные пользователем приложения, например, другие антишпионские и антивирусные программы.

Система прямого доступа к диску для работы с заблокированными файлами. Работает на FAT16/FAT32/NTFS, поддерживается на всех операционных системах линейки NT, позволяет сканеру анализировать заблокированные файлы и помещать их в карантин.

Драйвер мониторинга процессов и драйверов AVZPM. Предназначен для отслеживания запуска и остановки процессов и загрузки/выгрузки драйверов для поиска маскирующихся драйверов и обнаружения искажений в описывающих процессы и драйверы структурах, создаваемых DKOM руткитами.

Драйвер Boot Cleaner. Предназначен для выполнения чистки системы (удаление файлов, драйверов и служб, ключей реестра) из KernelMode. Операция чистки может выполняться как в процессе перезагрузки компьютера, так и в ходе лечения.

Данная утилита была выбрана для устранения уязвимостей в SCADA-системе, так как в ней присутствует AVZGuard-технология, которая позволяет бороться с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечения компьютера. А так же наличие автоматических юзер-скриптов проверки, которые можно создать самостоятельно в соответствии с требованиями к системе и сети.



5. Способы защиты SCADA-системы

Для устранения уязвимостей SCADA-системы необходимо ввести меры противодействия.

Первым необходимым действием для обеспечения безопасности данных является модернизация политики безопасности SCADA-системы. Дискреционная политика позволяет дифференцированно распределять права доступа и ограничения, что необходимо при существующем уровне интеграции элементов SCADA, так как она имеет относительно простую реализацию соответствующих механизмов защиты, и в отличие от мандатной политики с меньшей долей вероятности создаст коллизии при отработке правил политики безопасности.

Вторым действием является включение в системе антируткита, в случае нарушения целостности политики безопасности (проверка по контрольному правилу). Существует другой способ применения антируткит-средств. В случае если политика безопасности не была нарушена, антируткит может включаться с периодичностью 10 минут. Примерами таких программ являются: Gmer 1.0, AVG Anti-Rootkit, Rootkit Unhooker.

И третьим является включение антивируса для возможности перехвата вируса сразу после его проникновения в систему (например, Kaspersky TOTAL Security).

При включении мер защиты на административном уровне сценарий развития атаки будет выглядеть следующим образом (рис.5).



Рисунок 5 - Граф с мерами усиления защиты SCADA-системы

Для усиления мер защиты информации и обеспечения контроля целостности в систему предлагается внести правила защиты SCADA-систем.

В данной модели защиты информации реализованы следующие функции:

функция загрузки существующих шаблонов;

функции, отслеживающие изменения;

функция создания нового шаблона;

функция сохранения изменений.

Функция загрузки существующих шаблонов находит в файле все существующие шаблоны политик контроля целостности и загружает их в выпадающий список.

Функция отслеживает изменения в выборе шаблона, произведенные пользователем.

Функция создания нового шаблона, создает новый шаблон, и записывает его в файл шаблонов, которым затем пользуется ядро программы.

Функция создания шаблона включает в себя и основные элементы функции сохранения изменений.

Множество объектов О, подлежащих контролю целостности можно описать как: O = {o1, o2, …, on}.

Множество всех возможных комбинаций параметров XML-файлов Т, по которым производится контроль целостности, описывается как T = {P1, P2,…,Pi,..., Pn,…,P256}.

Множество параметров Р, по которым возможно осуществлять контроль целостности (CRC32, хэш и т.д.) можно описать как: Pi = {p1, p2, …, p8}.

Количество всех возможных комбинаций параметров, по которым производится контроль целостности объектов, найдем по формуле (1).

,	(1)

где N - количество всех возможных комбинаций;

k - количество значений, которое может принимать параметр;

s - количество параметров, по которым осуществляется проверка целостности.

В нашем случае k=2, так как по каждому параметру проверка на целостность осуществляется или нет, следовательно N=28=256.

Ядро программы основано таким образом, что пользователь может создавать шаблоны контроля целостности и применять к объектам, подлежащим контролю целостности тот или иной шаблон. Множество шаблонов можно описать следующим образом:

Tt = {Tt1, Tt2, …, Tt256},

где Tt1 = {Pi},

Tt2 = {Pn}

Все остальные возможные варианты контроля по умолчанию заносятся в пользовательскую группу TU, которая описывается как:

TU=T \ Tt.

В пользовательской группе объекты могут проходить проверку на целостность по разным параметрам, а объекты, принадлежащие к какому-либо шаблону, проходят проверку на целостность по параметрам, присущим только данному шаблону.

Существует три операции, которые можно применить к шаблонам:

create - создание шаблона;

destroy - удаление шаблона;

replace - подмена шаблона;

Create (Tti, Pi) операция создания шаблона Tti с множеством параметров Pi контроля целостности. Условия выполнения:

;

;

.

Новое состояние системы после выполнения операции создания шаблона описывается как:

;

.

Destroy (Tti) операция удаления шаблона Tti. Условия выполнения:

;

;

.

Новое состояние системы после выполнения операции удаления шаблона описывается как:



;

.

При удалении шаблона, объекты, относящиеся к данному шаблону, перемещаются в пользовательскую группу контроля целостности, изменения параметров контроля не происходит.

Replace (Tti) операция подмены шаблона Tti. Условия выполнения:

.

Новое состояние системы после операции подмены шаблона с присвоением ему новых параметров контроля целостности описывается как:

.

При разработке модели защиты информации требуется определить допустимые значения:

- R - антируткит.

Функции, определяющие права доступа к файлу его владельца, группы пользователей, сопоставленной данному файлу и остальных групп:

- w - запись данных в файл;

- r - чтение файла;

- x - запуск файла на выполнение.

Правило защиты SCADA-системы: 

Для передачи данных в промышленных сетях чаще всего используется стандартный протокол FTP, предназначенный для передачи файлов по TCP - сетям использующий порт 21.

Правило 1. Проверка порта 21 на открытие.



if x netsh firewall add portopening TCP 21 system x R

Программа netsh firewall add portopening служит для открытия портов в командной строке ОС Windows.

Теперь построим дерево уязвимостей, угроз и контрмер при обследовании SCADA-системы после внедрения мер противодействия на административном уровне.

Для построения дерева используются следующие параметры:

1) Vi - уязвимости

2) Ti,j - угрозы, эксплуатирующие уязвимости

3) Ci,j - контрмера, нейтрализующая угрозу

Значения параметров:

V1 - отсутствие защиты протокола TCP/IP

V2 - отсутствие политики безопасности

T1,1 - атаки на серверные службы АС

T2,1 - НСД

T2,2 - внедрение вредоносного ПО

T2,3 - утечка конфиденциальной информации по каналам связи

C1,1 - антируткит

C1,2, С2,2 - антивирус

C2,1, C2,3 - политика безопасности

Рисунок 6 - Дерево уязвимостей, угроз и контрмер после внедрения мер противодействия

Сравнивая дерево угроз и уязвимостей до и после внедрения мер противодействия, видим, что все основные угрозы оказались перекрытыми введенными контрмерами нейтрализации угроз.

6. Разработка средств обнаружения и выполнения автоматического карантина файлов

Создадим скрипт обнаружения и выполнения автоматического карантина файлов, подобный данному правилу для защиты SCADA-системы на административном уровне, в антивирусной утилите AVZ.

begin

// Настройка AVZ

SetupAVZ('UseQuarantine=Y'); // Включить карантин подозрительных

SetupAVZ('Priority=-1'); // Пониженный приоритет

SetupAVZ('EvLevel=3'); // Эвристика на максимум

SetupAVZ('ExtEvCheck=Y'); // Расширенный анализ включен

// Активирование сторожевого таймера на 15 минут

ActivateWatchDog(60 * 15);

// Запуск сканирования

RunScan;

// Добавление данных об имени ПК

AddToLog('---------------');

AddToLog('Протокол с компьютера '+GetComputerName);

// Автокарантин

ExecuteAutoQuarantine;

// Генерация архива с собранными файлами

CreateQurantineArchive('c:\AVZ_Qurantine.zip');

// Сохранение протокола

SaveLog('c:\AVZ_Qurantine.log');

// Завершение работы AVZ

ExitAVZ;

end.



При запуске скрипта происходит настройка параметров, а именно, активация (включение) карантина, уровень чувствительности эвристического анализатора, расширенная эвристическая проверка, завершение работы через 15 минут. После этого запускается сканирование. Затем выполняется добавление данных об имени ПК в протокол. Далее выполняется автоматический карантин и затем формируется архив AVZ_Qurantine.zip, содержащий попавшие в карантин файлы. И для регистрации информации сохраняется протокол в файл AVZ_Qurantine.log.

Для запуска скрипта создается BAT файл CollectFiles.bat, содержащий команду следующего вида:

avz.exe HiddenMode=1 Script=CollectFiles.avz

Скрипт сохраняется в файле CollectFiles.avz, этот файл вместе с CollectFiles.bat лежат в том же каталоге, что и avz.exe.

Таким образом, введенное данное правило проверки прав пользователя для осуществления открытия портов, а также создания скриптов для поиска уязвимостей и удаления Rootkit направлено на усиление мер защиты информации и обеспечение контроля целостности на административном уровне SCADA-системы.



Заключение

В ходе работы были изучены SCADA-система и структура многоуровневой АСУ ТП на базе TRACE MODE. Так как TRACE MODE позволяет получать и передавать данные через распространённые стандарты обмена данными DDE/NetDDE и OPC как в качестве клиента, так и в качестве сервера. TRACE MODE имеет мощный инструментарий для разработки и отладки алгоритмов систем управления. Использует визуальные языки, созданные согласно международному стандарту IEC 61131-3. TRACE MODE содержит свыше 150 встроенных FBD-блоков с алгоритмами управления, разработанными ведущими экспертами по автоматике.

Также был подробно рассмотрен административный уровень, уязвимости в нем и были предложены меры противодействия для усиления защиты информации и обеспечения контроля целостности в SCADA-системе.

Использование различных средств защиты информации, таких как антивирусы, антируткиты, политики разграничения доступа и создание правил на их основе, а также написание скриптов для поиска уязвимостей и удаления Rootkit позволяет нам обеспечить защищенность от внедрения вредоносного кода в XML-файлы настройки и повысить в целом защищенность SCADA-системы предприятий морской направленности.



Список используемой литературы

1. Байрс Э. IT-безопасность в промышленности. Глубокий анализ пакетов данных для SCADA-систем // Современные технологии автоматизации.-2013.-№4. - с.12-16.

2. Котенко И. В. Многоагентные технологии анализа уязвимостей и обнаружения вторжений в компьютерных сетях // Новости искусственного интеллекта. - 2004. - № 1. - с. 56-72.

3. Подтопельный В. В. Особенности информационной защиты систем управления на промышленных объектах // III БАЛТИЙСКИЙ МОРСКОЙ ФОРУМ: материалы Международного морского форума. - Калининград: Изд-во БГАРФ,2015 г., c. 74-78.

4. Подтопельный В. В. Уязвимости системы информационного сопровождения судов // II БАЛТИЙСКИЙ МОРСКОЙ ФОРУМ: материалы Международного морского форума. - Калининград: Изд-во БГАРФ,2014 г., c. 70-74.

5. Щербаков А. Сеть CAN: популярные прикладные протоколы // ChipNews,1999, №5.

6. Зайцев О. В. ROOTKITS, SPYWARE/ADWARE, KEYLOGGERS & BACKDOORS: обнаружение и защита. - СПб.: БХВ-Петербург, 2006. - 304 с.



Приложение

1. Пример удаления троянской программы:

begin

// Шаг 1. Активируем AVZGuard

if SetAVZGuardStatus(True) then

AddToLog('AVZGuard успешно активирован')

else

AddToLog('AVZGuard - ошибка активации');

// Шаг 2. Удаляем файл

DeleteFile('c:\windows\system32\trojan.dll');

// Шаг 3. Чистка ссылок на удаленный файл

ExecuteSysClean;

// Шаг 4. Сохранение протокола

SaveLog('del_trojan.log');

// Шаг 5. Перезагрузка системы

RebootWindows(true);

end.

2. Скрипт для поиска уязвимостей в системе:

begin

// Функция возвращает TRUE, если на диске найден указанный файл.

if FileExists(GetAVZDirectory + 'log\avz_log.txt') then DeleteFile('log\avz_log.txt');

// Загрузка с настройкой

if DownloadFile ('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')

// Вывод текстового сообщения на экран

else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');

if FileExists(GetAVZDirectory + 'log\avz_log.txt')

// Запуск блокнота, и ожидается его завершение

then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);

// Завершение работы AVZ

ExitAVZ;

end.

Размещено на Allbest.ru