От информационной безопасности …...2017/09/03 · От...
TRANSCRIPT
От информационной безопасности корпоративных ИС к информационной безопасности АСУ ТП: практика применения СКЗИ
Дмитрий ГусевДмитрий ГусевДмитрий ГусевДмитрий Гусевзаместитель генерального директора, ОАО «ИнфоТеКС»
Тема:Практика Практика Практика Практика применения комплексных решений при создании применения комплексных решений при создании применения комплексных решений при создании применения комплексных решений при создании АСУ ТП АСУ ТП АСУ ТП АСУ ТП в нефтегазовой отрасли и вопросы в нефтегазовой отрасли и вопросы в нефтегазовой отрасли и вопросы в нефтегазовой отрасли и вопросы кибербезопасностикибербезопасностикибербезопасностикибербезопасности
Совместное заседание комитетов МДК«Безопасность предпринимательства» и «Информация и коммуникации»
©2017 ОАО «ИнфоТеКС»
О КОМПАНИИ
ОАО «ОАО «ОАО «ОАО «ИнфоТеКСИнфоТеКСИнфоТеКСИнфоТеКС» (Информационные технологии и коммуникационные системы)» (Информационные технологии и коммуникационные системы)» (Информационные технологии и коммуникационные системы)» (Информационные технологии и коммуникационные системы)
Основана в 1989 году. С 1991 года зарегистрирована среди первых акционерных обществ России. 25 лет в разработке СКЗИ и сетевых СЗИ.
Лидер отечественного рынка VPN-решений – более 1 млн. проданных лицензий на клиентское ПО и более 60 000 проданных серверных продуктов (ПО, ПАКи).
Секретарская компания ТК26 «Криптографическая защита информации»
700 50 7 3 200
Сотрудники Продукты Офисы Дочерние компании Партнеры
©2017 ОАО «ИнфоТеКС»
ПРОДУКТЫ КОМПАНИИ
Network Security
Public Key
Infrastructure
Mobile Security
Industrial Security
Endpointprotection
Threats Intelligence
VPN МСЭОбнаружение
вторжений
Криптобиблиотеки ЭП УЦ HSM
©2017 ОАО «ИнфоТеКС»
ПРИМЕРЫ ПРОДУКТОВ:КРИПТОШЛЮЗЫ/СЕТЕВЫЕ ЭКРАНЫ VVVVIIIIPNPNPNPNETETETET CCCCOORDINATOROORDINATOROORDINATOROORDINATOR HWHWHWHW
55 Мбит/сек
100 Мбит/сек
1 Гбит/сек
2,7 Гбит/сек5,5 Гбит/сек
HW100
HW1000
HW2000
HW50
HW5000
©2017 ОАО «ИнфоТеКС»
УСЛУГИ КОМПАНИИ
Учебный центр Учебный центр Учебный центр Учебный центр ИнфоТеКСИнфоТеКСИнфоТеКСИнфоТеКС (лицензия Минобразования)(лицензия Минобразования)(лицензия Минобразования)(лицензия Минобразования)
o очное и дистанционное обучение продуктам ViPNet
o учебные семинары на площадке заказчика
o общие курсы по ИБ
o программы взаимодействия с ВУЗами
Техническая Техническая Техническая Техническая поддержка продуктов поддержка продуктов поддержка продуктов поддержка продуктов ViPNetViPNetViPNetViPNet (прямая/партнерская, 24х7х365)(прямая/партнерская, 24х7х365)(прямая/партнерская, 24х7х365)(прямая/партнерская, 24х7х365)
o Установка ПО и ПАК
o Настройка под условия ИС заказчика
o Централизованный мониторинг работоспособности продуктов в сетях заказчиков
o Технический консалтинг
Проектирование Проектирование Проектирование Проектирование систем и комплексов в защищенном исполнении с использованием СКЗИсистем и комплексов в защищенном исполнении с использованием СКЗИсистем и комплексов в защищенном исполнении с использованием СКЗИсистем и комплексов в защищенном исполнении с использованием СКЗИ
Тематические Тематические Тематические Тематические исследования исследования исследования исследования СКЗИ (аккредитованная лаборатория ФСБ России)СКЗИ (аккредитованная лаборатория ФСБ России)СКЗИ (аккредитованная лаборатория ФСБ России)СКЗИ (аккредитованная лаборатория ФСБ России)
©2017 ОАО «ИнфоТеКС»
КОМПЛЕКСНОЕ ПРИМЕНЕНИЕ ПРОДУКТОВ КОМПАНИИ
o Централизованное управление и мониторинг
o Поддержка произвольных каналов связи
o Поддержка произвольных сетевых топологий
o Масштабирование до десятков тысяч узлов в одной защищенной сети
o Виртуализация сетевого уровня для объединения несогласованных по IP-адресам локальных сетей
o Предоставление криптографических сервисов прикладному ПО заказчика
©2017 ОАО «ИнфоТеКС»
НА ПУТИ К ИНТЕГРИРОВАННОЙ ИС: КОРПОРАТИВНЫЙ УРОВЕНЬ + АСУ ТП
©2017 ОАО «ИнфоТеКС»
ЗАЩИТА СЕТЕВОЙ ИНФРАСТРУКТУРЫ ИНТЕГРИРОВАННОЙ ИС
WAN
©2017 ОАО «ИнфоТеКС»
ПРОДУКТЫ ДЛЯ ЗАЩИТЫ АСУ ТП: VIPNET COORDINATOR IG
Защищенный канал VPN с поддержкой L2overIP (до 10 Мбит/с), межсетевой экран, резервирование
Индустриальное исполнение (-200… +600C, IP30, 10…30 V DC, DIN-рейка)
Маршрутизатор (DNS, DHCP, VLAN)
Беспроводные интерфейсы (3G, LTE, Wi-Fi)
Работа в режиме шлюза (Ethernet - RS-232/RS-485) и моста Modbus TCP - Modbus RTU
Дискретные порты ввода-вывода (GPIO) для подключения внешних датчиков/исполнительных устройств
©2017 ОАО «ИнфоТеКС»
КАК ЗАЩИЩАТЬ ПОЛЕВОЙ УРОВЕНЬ АСУ ТП?
Как?
Наложенные механизмы защиты
Средства инвентаризации
Промышленные IDS/IPS
Встраиваемые механизмы защиты
Криптографические
Безопасное ПО
Защищенные промышленные ОС
©2017 ОАО «ИнфоТеКС»
ВОЗМОЖНОСТИ ПРИМЕНЕНИЯ КРИПТОГРАФИИ В АСУ ТП
Защита данных и команд
• Целостность
• Конфиденциальность
• Защита от повторного навязывания
• Аутентичность
• Юридическая значимость
Авторизация и аутентификация персонала
• Многофакторная аутентификация
• Разделение секрета
©2017 ОАО «ИнфоТеКС»
VIPNET SIES CORE – КРИПТОГРАФИЯ НА ПОЛЕВОМ УРОВНЕ
o Встраиваемый в защищаемое устройство программно-аппаратный модуль (ПАК)
o Предоставляет базовые криптографические операции для реализации сценариев безопасности в виде простого API
o Управление и хранение ключевой информации
o Пассивное подключение к защищаемому устройству по техническим интерфейсам UART, SPI, USB, I2C
o Выполнен в виде SOM-модуля, 64x36 мм
o Индустриальное исполнение и питание: -40…+750C, 4 …17B DC, 0.7 Вт (при 5В)
или
o Набор программных библиотек для встраивания для ОС Windows/Linux и архитектур x86, ARM, MIPS (Байкал)
Ап
па
ра
тно
е и
спо
лн
ен
ие
ПО
©2017 ОАО «ИнфоТеКС»
VIPNET SIES SERVER – КРИПТОГРАФИЯ НА УРОВНЕ SCADA
Построен на базе ПАК ViPNet HSM(сертифицирован ФСБ России по классу КВ2)
Защищенное хранение ключевой информации и >10 000 криптоопераций/сек
Возможность резервирования
Полноценное (PKCS#11) и упрощенное криптоAPI для интеграции со SCADA-серверами
Исполнение в виде ПАК или виртуальной машины (Virtual Appliance)
©2017 ОАО «ИнфоТеКС»
ПРИМЕНЕНИЕ VIPNET SIES CORE/SERVER
©2017 ОАО «ИнфоТеКС»
ПРИМЕНЕНИЕ VIPNET SIES CORE/SERVER
©2017 ОАО «ИнфоТеКС»
ТЕКУЩИЕ РАБОТЫ ПО ЗАЩИТЕ ЭЛЕМЕНТОВ АСУ ТП
Интеграция криптозащиты в промышленные контроллерыИнтеграция криптозащиты в промышленные контроллерыИнтеграция криптозащиты в промышленные контроллерыИнтеграция криптозащиты в промышленные контроллеры
o Контроллеры ДЕКОНТ компании ДЭП (www.dep.ru)
o Контроллеры TREI-5B компании АО «ТРЭИ» (trei.biz)
o Контроллеры КАМ200 компании ООО «Акситех» (www.axitech.ru)
Интеграция криптозащиты в Интеграция криптозащиты в Интеграция криптозащиты в Интеграция криптозащиты в SCADASCADASCADASCADA
o MasterSCADA компании ООО «ИнСАТ» (www.insat.ru)
Интеграция криптозащиты в блоки РЗАИнтеграция криптозащиты в блоки РЗАИнтеграция криптозащиты в блоки РЗАИнтеграция криптозащиты в блоки РЗА ((((совместно с ОАО «НИПОМ», совместно с ОАО «НИПОМ», совместно с ОАО «НИПОМ», совместно с ОАО «НИПОМ», Н.НовгородН.НовгородН.НовгородН.Новгород))))
o Авторизация обслуживающего персонала по криптотокенам
o Криптографический контроль целостности пакетов для протокола GOOSE
©2017 ОАО «ИнфоТеКС»
ПРО ТК26
ПК1
Криптография под гостайну
ПК3
Криптография для платежных банковских
систем (НСПК)
ПК2
Криптография под конфиденциалку для
госнужд
ПК4
Массовая криптография, блокчейны и IoT/IIoT
ТК26
www.tc26.ru
Криптография для АСУ ТП
Спасибо за внимание!