Обеспечение требований по информационной безопасности для комплексной автоматизированной системы диспетчерского управления: создание демилитаризованной зон

Тип работы:
Реферат
Предмет:
ТЕХНИЧЕСКИЕ НАУКИ


Узнать стоимость

Детальная информация о работе

Выдержка из работы

Системы автоматики в метрополитенах
УДК 625. 42
Д. Г. Никулин,
К. А. Бутузов
Кафедра «Автоматика и телемеханика на железных дорогах»,
Петербургский государственный университет путей сообщения Императора Александра I
ОБЕСПЕЧЕНИЕ ТРЕБОВАНИЙ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ КОМПЛЕКСНОЙ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ДИСПЕТЧЕРСКОГО УПРАВЛЕНИЯ: СОЗДАНИЕ ДЕМИЛИТАРИЗОВАННОЙ ЗОНЫ
Введение
Исторически система КАС ДУ создавалась без учета требований информационной безопасности. Начиная с 2013 г., в соответствии с приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» [1], системе КАС ДУ был присвоен 4-й класс защищенности и разработано техническое задание (ТЗ) [2] на мероприятия обеспечения безопасности для соответствия этому классу.
Часть мероприятий на момент публикации уже реализованы. Часть находится в разработке. В данной статье рассматривается одно из пока не реализованных мероприятий по обеспечению информационной безопасности.
1. Создание демилитаризованной зоны
На данный момент серверы системы КАС ДУ напрямую соединены с сетью КАС ДУ и через межсетевой экран — с сетью метрополитена [2, 3] (рис. 1). Помимо специфичных собственных серверов, работающих с внутренней сетью КАС ДУ, есть также web-серверы, которые отображены в сети метрополитена. Следует отметить, что все серверы реализованы в виде виртуальных машин, запущенных под управлением ОС VM Ware на одном блэйд-сервере.
Сеть метрополитена
Блэйд-сервер

Технологическая сеть КАСДУ
Рис. 1. Существующая схема сети КАС ДУ
59
Проблемы безопасности и надежности микропроцессорных комплексов
Такая структура, согласно современным требованиям безопасности, является потенциально опасной. Независимо от того, как защищен web-сервер, рано или поздно он подвергнется атаке. А если атакующий получит возможность управления web-сервером, он сможет нарушить как работу как внешних служб КАС ДУ, таких как АСУАРЛМ, так и внутренних технологических процессов. Следовательно, необходимо защитить сервер от атак, минимизировать ущерб от возможного вторжения и обеспечить быстрое его восстановление.
В соответствии с требованиями нормативных документов сервер (серверы) системы КАС ДУ необходимо поместить в так называемую демилитаризованную зону (ДМЗ). ДМЗ — сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных [4]. В качестве общедоступного сервиса в данном случае выступают серверы КАС ДУ, предоставляющие web-сервис для сети метрополитена.
При формировании ДМЗ КАС ДУ создаются две физически разделенные сети: одна для серверов, доступных из внешней сети (в данном случае сеть метрополитена), другая — для внутренних серверов и других компонентов КАС ДУ. Существуют несколько схем ДМЗ. В зависимости от типа ДМЗ и числа используемых сетевых экранов применяется та или иная политика маршрутизации для каждой из сетей. В КАС ДУ необходимо контролировать доступ между:
¦ сетью метро и ДМЗ-
¦ ДМЗ и внутренней сетью КАС ДУ.
Главное преимущество использования ДМЗ вместо классического межсетевого экрана состоит в том, что при атаке на web-сервер из сети метро риск компрометации внутренних серверов снижается, поскольку общедоступные и внутренние серверы отделены друг от друга. Если скомпрометированный сервер находится в ДМЗ, злоумышленник не сможет напрямую атаковать другие серверы и объекты, расположенные во внутренней сети. Второй межсетевой экран блокирует любые попытки компьютеров из ДМЗ подсоединиться к компьютерам внутренней сети, за исключением специально разрешенных соединений.
Кроме того, применение ДМЗ дает ряд преимуществ при обеспечении безопасности:
1. ДМЗ позволит контролировать исходящий трафик так, что можно будет остановить распространение различных «червей», которые используют web-сервер для взлома других компьютеров, и атакующие не смогут задействовать Trivial FTP (TFTP) на web-сервере.
2. Появляется возможность обнаружения вторжений, фильтрации содержимого и мониторинга на уровне приложений. Это возможно реализовать на сетевых экранах нового поколения. Таким образом, сетевой экран
60
Системы автоматики в метрополитенах
обеспечивает защиту внутренней сети от атак не только из внешней сети, но и с подвергшихся нападению компьютеров из ДМЗ. Если скомпрометированный компьютер находится в ДМЗ, а не во внутренней сети, атакующий попытается пройти брандмауэр вновь для получения доступа к внутренней сети.
3. ДМЗ обеспечивает дополнительный уровень защиты от атак, при которых злоумышленники пытаются получить доступ через любые порты, оставленные открытыми на общедоступных серверах.
4. ДМЗ защищает серверы от атак типа подмены адресов (spoofing) с использованием протокола Address Resolution Protocol (ARP).
Несмотря на все преимущества, ДМЗ обладает и рядом очевидных недостатков. Это, в первую очередь, снижение общей производительности вследствие медленной работы межсетевых экранов. Данный недостаток может и не проявляться при низкой загрузке системы, а может стать «узким местом» при высокой. На выбор более производительного сетевого экрана влияет стоимость.
2. Проблема безопасности
Какие же трудности существуют при создании ДМЗ в системе КАС ДУ? При создании системы КАС ДУ не произведено разделение на внутренние и внешние серверы, т. е. не была учтена проблема безопасности. Кроме того, база данных (системы АСУАРЛМ) является общей для внутренних и внешних серверов. Пополнение базы осуществляется в реальном времени из внутренней сети КАС ДУ. Успешная атака на базу данных выведет из строя систему АСУАРЛМ и может уничтожить архивные данные. С учетом сказанного и других требования обеспечения безопасности [2], таких как необходимость внедрения системы обнаружения вторжений (СОВ) [5], предлагается следующая схема организации ДМЗ для КАС ДУ (рис. 2).
Сеть метрополитена
Технологическая сеть КАСДУ
э
Зона ДМЗ
Рис. 2. Схема организации ДМЗ для КАСДУ
61
Проблемы безопасности и надежности микропроцессорных комплексов
В данной структуре предусматривается разделение серверов на внутренние и внешние. Создается новый сервер, условно называемый «Зеркало». На этом сервере создается копия базы данных с основного сервера АСУАРЛМ, ее актуальность поддерживается с помощью служб репликации. На этом сервере располагаются все web-сервисы для внешней сети. Данная структура позволяет применить межсетевой экран 1, совмещенный с системой обнаружения вторжений. Кроме того, по отношению к другим вариантам создания ДМЗ уменьшаются требования пропускной способности экрана 2, так как через него осуществляется только репликация базы данных, которая не требует «мгновенного отклика». Вся работа с базой данных из сети метро осуществляется на сервере «Зеркало». В случае успешной атаки на сервер злоумышленники смогут уничтожить только копию базы данных. Основная база данных при такой структуре будет недоступна.
Заключение
Предлагаемый вариант создания ДМЗ не является единственно возможным. Он соответствует критериям защиты, минимизации ущерба и быстроте восстановления. Выбор между этим и другими вариантами будет осуществляться по критериям трудозатрат на создание, стоимости оборудования и требований к защите информации.
Библиографический список
1. Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. № 17, Москва // Российская Газета. — 2013. — Федеральный выпуск 26 июня, № 6112 [Электронный ресурс]. — Режим доступа: http: //www. rg. ru/gazeta/rg/2013/06/26. html.
2. КАС ДУ. Техническое задание. Петербургский метрополитен. — СПб., [б. г.].
3. Комплексная автоматизированная система диспетчерского управления работой линии метрополитена. КАС ДУ. ЦКЖТ ПГУПС, 2015 [Электронный ресурс]. — Режим доступа: http: //crtc. ru/kas. php. — Загл. с экрана.
4. Сергеев А. Настройка сетей Microsoft дома и в офисе: учеб. курс / А. Сергеев. -СПб.: ИД «Питер». — 312 с.
5. СОВ Материал из Википедии — свободной энциклопедии [Электронный ресурс]. -Режим доступа: https: //ru. wikipedia. org/wiki. — Загл. с экрана.
Email: crtc@crtc. spb. ru
62

ПоказатьСвернуть
Заполнить форму текущей работой