1.5 Базовый уровень сети АСУ ТП и кибербезопасности

Плоская сетевая архитектура значительно увеличивает риски. Критически важно, чтобы в случае компрометации ноутбука офисного сотрудника (например, из-за фишингового письма) работа программируемых логических контроллеров (ПЛК) оставалась безопасной. Основная цель кибербезопасности АСУ ТП — не просто соответствие IT-требованиям, а обеспечение непрерывности производственного процесса. Сегментация сети необходима для ограничения потенциального воздействия возможных инцидентов.

Минимально жизнеспособная архитектура (зоны VLAN)

Рекомендуется придерживаться модели сегментации (модифицированная модель Purdue). Системы следует изолировать по функциональному назначению, а не по физическому расположению.

Уровень 4: Корпоративная сеть (VLAN для бизнес-систем/ERP)

• Профиль риска: Высокий (электронная почта, веб-доступ, фишинг).
• Подключение: Разрешен доступ в Интернет.

Уровень 3.5: Промышленная демилитаризованная зона (DMZ)

• Профиль риска: Средний (прокси-сервисы, шлюзы).
• Подключение: Единственный разрешенный канал связи между корпоративной сетью и производственным периметром.

Уровень 3: Сеть операционного уровня (VLAN для серверов MES/SCADA)

• Профиль риска: Низкий.
• Подключение: Доступ в Интернет запрещен. Связь разрешена только с DMZ и уровнем 2.

Уровни 0-2: Сеть управления (VLAN для ПЛК, ЧПУ, роботов)

• Профиль риска: Критический.
• Подключение: Только локальные соединения в пределах сегмента. Рекомендуется блокировать шлюз по умолчанию.

Логика сегментации

• Трафик, исходящий из уровня 4 (корпоративная сеть) и направленный на уровни 0-2 (ПЛК), должен отбрасываться межсетевым экраном. Ключевой принцип данной архитектуры заключается в том, что финансовому модулю ERP не требуется прямое подключение к сервоприводу.
• Когда системе MES требуются данные от ERP, следует использовать контролируемый механизм обмена данными через прокси-сервер в DMZ. Прямая маршрутизация трафика недопустима.

Назначение DMZ и основные правила

DMZ — это не маршрутизатор, а буферная зона для завершения соединений. Трафик не должен транзитом проходить через DMZ; сеансы связи должны разрываться и инициироваться заново (принцип разрыва соединения).

• Размещение: Располагается архитектурно или логически между межсетевым экраном ИТ-сети и межсетевым экраном АСУ ТП.
• Правило: Запрещается пропускать через DMZ общие протоколы (такие как SMB/RPC).
• Механизм: Следует применять принцип “разрыва протокола”.
  • Недопустимо: Прямая маршрутизация трафика базы данных (порт 1433) от уровня 4 к уровню 3.
  • Рекомендуется: Уровень 3 отправляет данные (например, в формате JSON) в брокер сообщений, размещенный в DMZ; уровень 4 подписывается на этого брокера для их получения.

Зона риска

Если поставщик оборудования или ПО утверждает, что для работы его решения необходима плоская сеть или прямой доступ в Интернет к контроллеру, это создает значительную угрозу безопасности. Рекомендуется изолировать такое оборудование в выделенной VLAN с жесткими правилами межсетевого экрана.

Политика доступа через промежуточный хост и для поставщиков

Удаленный доступ является основным вектором атак, включая программы-вымогатели. Использование неконтролируемых инструментов удаленного доступа (таких как TeamViewer или AnyDesk) должно быть исключено.

Промежуточный хост (бастион)

• Расположение: Размещается в демилитаризованной зоне (DMZ).
• Доступ: Разрешен только по протоколам RDP/SSH.
• Контроль доступа: Многофакторная аутентификация является обязательной.
• Гигиена данных: Рекомендуется отключать функции общего буфера обмена и передачи файлов. Если необходимо передать код или файлы, их следует предварительно проверить в изолированной среде (“станция для проверки файлов”).

Политика временного (“точечного”) доступа для поставщиков

Поставщики не являются постоянными пользователями сети. Их доступ должен быть временным и строго контролируемым.

1. Без постоянных VPN-подключений.
2. Протокол запроса: Поставщик запрашивает конкретное временное окно для доступа (например, вторник с 14:00 до 16:00).
3. Одобрение: Администратор АСУ ТП активирует учетную запись только на утвержденный период.
4. Наблюдение: При подключении поставщика к критической системе архитектура должна поддерживать сессию наблюдения, позволяющую внутреннему инженеру в реальном времени контролировать его действия.
5. Прекращение доступа: Учетная запись должна автоматически блокироваться по истечении утвержденного временного окна (например, в 16:01).

Ведение журналов и обнаружение угроз

Угрозу, которую нельзя увидеть, невозможно предотвратить. Ведение журналов событий (логирование) необходимо для обнаружения признаков атаки на ранних стадиях.

• Журналы отказов МЭ: Внезапный всплеск событий с типом “Отказ” часто указывает на зараженный хост, сканирующий сеть на наличие открытых портов. Настройка оповещений на такое поведение крайне важна.
• Ошибки аутентификации: Рекомендуется настроить систему на генерацию оповещения высокого приоритета (уровень 1) при трех или более неудачных попытках входа на промежуточный хост.
• Изменения режима ПЛК: При удаленном переключении ключа-переключателя ПЛК из режима “Работа” в режим “Программа” система должна немедленно генерировать тревогу. Это действие часто является признаком сложных целевых атак.

---

Резюме: Ключевые требования кибербезопасности АСУ ТП

Параметр / Зона	Ключевое требование	Допустимые соединения	Критическое правило
Уровни 0-2 (ПЛК, ЧПУ)	Блокировка шлюза по умолчанию.	Только локальные в сегменте.	Запрет прямого доступа из Ур.4 (корп.сеть).
Уровень 3.5 (DMZ)	Принцип разрыва соединения.	Единственный канал между Ур.4 и Ур.3/0-2.	Запрет транзитного трафика и протоколов SMB/RPC.
Промежуточный хост	Многофакторная аутентификация (обязательно).	Только RDP/SSH из DMZ.	Отключение общего буфера обмена/передачи файлов.
Доступ поставщиков	Временное окно (точечный доступ).	Без постоянных VPN.	Сессия наблюдения и автоблокировка по таймеру.
Мониторинг угроз	Оповещение на отказы МЭ и ошибки аутентификации.	—	Немедленная тревога при переключении ПЛК в “Программа”.