Comments 19
Есть пример, как защитить аппаратную связку Arduino+исполнительные устройства? Например, если Arduino подключено к компьютеру лишь для получения информации (фактически с компьютера ничего с тех.процессом, управляемым Arduino не сделать)
Зачем тогда получать какую-то информацию с компьютера и зачем защищать аппаратную связку?
Есть исполнительное устройство, которое управляется контроллером. Контроллер получает информацию с датчиков. И контроллер выводит значения на компьютер через Serial. Есть вероятность того, что если с компьютера отправить поток мусора в com-порт, то контроллер будет занят разбором этого мусора, нежели слежением за датчиками. По идее, так можно саботировать его работу и нарушить производственный процесс, либо проспать повышение давления и не закрыть вентиль…
Это задачка из реальной жизни. Насосная станция. У оператора обычный ПК, который используется и для «вконтакте».
Это задачка из реальной жизни. Насосная станция. У оператора обычный ПК, который используется и для «вконтакте».
в контроллере ртос, которая разбирает «мусор» только строго определенное время и забыть про насосы не может
Вы определитесь либо вы ходите по вконтактам, либо вы следите за насосами :)
Выведите все ПК в отдельную подсеть, закройте её фаерволом от локальной сети самого производства. Пропускайте только доверенный, проверенный по источникам трафик.
Настройте в конце-концов нормально политику безопасности на Windows-машинах и тот же фаервол. На *nix следует «вырезать» всё лишнее слушающее сеть… это если вкратце.
Вы по ссылкам из статьи то ходили?
Если же прыгать от того, что «враг» уже на территории, то и ТЗ для железок и софта должно быть соответсвующее.
Выведите все ПК в отдельную подсеть, закройте её фаерволом от локальной сети самого производства. Пропускайте только доверенный, проверенный по источникам трафик.
Настройте в конце-концов нормально политику безопасности на Windows-машинах и тот же фаервол. На *nix следует «вырезать» всё лишнее слушающее сеть… это если вкратце.
Вы по ссылкам из статьи то ходили?
Если же прыгать от того, что «враг» уже на территории, то и ТЗ для железок и софта должно быть соответсвующее.
Я говорю про реальный проект из жизни, где на комп оператора воткнули «свисток». Естественно антивирус там и не предполагалось ставить, ибо нет сети и запрет флешек (на уровне инструкций).
В таком случае лучше убрать компьютер вовсе, а к контроллеру поставить дисплей.
И в реализации контроллера необходима автономность и переход на таймеры. Но это уже другая история…
В таком случае лучше убрать компьютер вовсе, а к контроллеру поставить дисплей.
И в реализации контроллера необходима автономность и переход на таймеры. Но это уже другая история…
Такие реальные проекты нужно прикрывать от беды подальше.
Естественно, что независимое устройство гораздо проще контролировать, но когда вам нужно получать информацию удаленно с десятков, а то из сотен датчиков и устройств, то без компьютерной сети не обойтись.
Т. е. даже свисток должен попадать сначала во внутреннюю сеть из таких «ПК+устройств», а не в Интернет. По уму надо арендовать APN у мобильных операторов для связи и тщательно фильтровать трафик в сети таких устройств.
Естественно, что независимое устройство гораздо проще контролировать, но когда вам нужно получать информацию удаленно с десятков, а то из сотен датчиков и устройств, то без компьютерной сети не обойтись.
Т. е. даже свисток должен попадать сначала во внутреннюю сеть из таких «ПК+устройств», а не в Интернет. По уму надо арендовать APN у мобильных операторов для связи и тщательно фильтровать трафик в сети таких устройств.
Выкиньте винды и соберите свой линукс. Отключите нахер udev, соберите всё скомпиленым в ядро, выкиньте rc-sysv, пропишите софт в inittab, удалите все шеллы. Получившееся будет реагировать на «свисток» примерно с тем же успехом, как и дырка в стенке.
А с виндами да, будете бороться до конца дней своих.
А с виндами да, будете бороться до конца дней своих.
Самое простое (и правильное, как мне кажется) решение данной задачи — это выдернуть сетевой провод из компьютера, если Интернет сотруднику для работы не нужен. Или же вывести ПК, с которых осуществляется управление техпроцессом, в отдельную сеть. Физически отдельную. Но это так, мечты безопасника + паранойя.
А если без этого- то вам уже ответили ниже.
А если без этого- то вам уже ответили ниже.
Добавлю ссылку на статью из своей коллекции:
В помощи поиска на некоторое время назад находили сотни промышленных устройств, включая контроллеры Siemens, ABB и др., подключенных к интернет напрямую. Сейчас этот сайт почему-то ек открывается, по крайней мере у меня.
В помощи поиска на некоторое время назад находили сотни промышленных устройств, включая контроллеры Siemens, ABB и др., подключенных к интернет напрямую. Сейчас этот сайт почему-то ек открывается, по крайней мере у меня.
Да, странно конечно. У нас на работе техтребования по информационной безопасности АСУТП под грифом «конфиденциально». Хотя внутри ничего страшного нет.
Security by obscurity ,))
Нет такого грифа — «конфиденциально», есть пометка «для служебного пользования».
Вообще же, распространение подобных документов действительно стоит ограничивать, что бы у потенциального нарушителя было как можно меньше каналов получения информации как о системе защиты, так и о информационной системе в общем. Так что, это просто разумная предосторожность. Ну, и на людей, не знакомых с нормативно-правовой базой в сфере ИБ даже такая, так сказать, пометка оказывает некоторое сдерживающее воздействие.
Вообще же, распространение подобных документов действительно стоит ограничивать, что бы у потенциального нарушителя было как можно меньше каналов получения информации как о системе защиты, так и о информационной системе в общем. Так что, это просто разумная предосторожность. Ну, и на людей, не знакомых с нормативно-правовой базой в сфере ИБ даже такая, так сказать, пометка оказывает некоторое сдерживающее воздействие.
По основной работе делаем АСУ ТП для Газпрома, читал их стандарт по Информационной безопасности, и постоянно боремся с теми методами его обеспечения, которые они рьяно пытаются согласно нему соблюдать. Бред сивой кобылы, ничем другим я этот стандарт назвать не могу — такое ощущение, что им все это писал школьник, любитель посидеть за папиным ноутбуком. А те системы безопасности, которые сейчас внедряются благодаря этому на объектах — смех сквозь слёзы, они порой не то что сами не работают как кто-то хотел чтобы они работали, так они еще и системам АСУ ТП мешают работать нормально. У нас всегда же так — начальство захотело «игрушку», приказало нижестоящим, те написали ахинею и закрепили за подписью начальства — ВСЕ, стандарт! А чтобы на эти работы нанять действительно специалистов именно в этой области вопроса, никому даже в голову же не приходит, а зачем, ведь тут все всем понятно.
Никогда не забуду, как «специалист» который конфигурировал одну из систем глобального файрвола для одной из станций Газпрома пялил на меня удивленные глаза, узнав от меня, что в сети Ethernet есть несколько видов широковещательных рассылок… Что такие «специалисты» по таким «стандартам» могут сделать — да ничего толкового, только очередное мертворожденное дитя для галочки в отчетах вышестоящих эшелонах руководства на очередных бла-бла-вещаниях о собственной крутости…
Никогда не забуду, как «специалист» который конфигурировал одну из систем глобального файрвола для одной из станций Газпрома пялил на меня удивленные глаза, узнав от меня, что в сети Ethernet есть несколько видов широковещательных рассылок… Что такие «специалисты» по таким «стандартам» могут сделать — да ничего толкового, только очередное мертворожденное дитя для галочки в отчетах вышестоящих эшелонах руководства на очередных бла-бла-вещаниях о собственной крутости…
Sign up to leave a comment.
Защита АСУ ТП по-американски