Инфо:Сайт находится в разработке. Размер графа безопасности ограничен динамически (текущее ограничение 50 ребер), в зависимости от наличия ресурсов в системе.

Термины и определения
Основные положения формальной модели безопасности
Уровни и зоны
Архитектура безопасности АСУ ТП АЭС
  1. Аспекты архитектуры безопасности
  2. Дифференцированный подход и разграничение доступа
  3. Архитектура безопасности RG – 5.71

Термины и определения

 
  • Инфо:Там, где это возможно, определения были заимствованы из источников, относящихся к АСУ традиционных отраслей промышленности (энергетика, транспортный комплекс, атомная промышленность). Некоторые определения следуют из более общих определений, используемых в индустрии информационных технологий, защиты информации и специальных областей теории информации и дискретной математики.
  • Граница (border)- Предел или рамки физической или логической зоны безопасности.
  • Шлюз (gate,gateway)- Коммуникационное устройство, которое подсоединено к двум (или более) компьютерным сетям, имеющим схожее назначение, но реализованным различным образом, и обеспечивает связь хост-компьютеров одной сети с хост-компьютерами другой сети.
  • Диод данных (Data diode)- Коммуникационное устройство в котором данные проходят только в одном направлении.
  • Сервер (server)- Устройство или приложение, которые предоставляют информацию или сервисы клиентским приложениям и устройствам.
  • Клиент (client)- Устройство или приложение, получающие или запрашивающие сервисы или информацию с приложения сервера.
  • Взвешенный граф — граф, каждому ребру которого поставлено в соответствие некое значение (вес ребра).
  • Граф безопасности (доступа) G = (S, O, E) - это конечный, помеченный ориентированный взвешенный граф доступов, описывающий состояние системы. Элементы множеств S и O являются вершинами графа, которые обозначают, соответственно, объекты и субъекты. Элементы множества E являются ребрами графа. Каждое ребро помечено непустым подмножеством множества видов прав доступа R .
  • В расширенной модели каждому ребру может быть приписано некоторое значение (вес). Вес — вещественное число в диапазоне 0-1 (по умолчанию 1). Вес ребра можно интерпретировать как субъективную вероятность того, что отношение соответствующее данному ребру будет реализована в течении жизненного цикла системы.
     
    Inf: Назначение веса ребру в графе не влияет на результаты как таковые, но влияет на то как этот результат будет показан пользователю. Результат имеющие больший вес (например пути распространений информации) будут показаны в верхней части списка.
  • Субъект - это активные вершины в графе доступа, например, чаще всего ими являются пользователи в системе. Они могут инициировать передачу информации или прав доступа другим объектам в системе, а так же применять правила изменения графа доступа
  • Объект - это пассивные вершины в графе доступа; ими например являются такие элементы в системе как буфера для хранения информации.
  • В графе доступа субъекты обозначаются как: и объекты как соответственно.
  • Множество прав доступа R = {r1, r2, r3, r4, ..., rn } U {r,w,t,g} - r [read] - право читать информацию, w [write] - право записывать информацию , t [take] - право брать "права доступа", g [grant] - право давать "права доступа", в системе кроме буквенного применяется так же цветовое кодирование ребер в графе доступа как: - {r,w,t,g}.
  • Остров (Island) - максимально связанный подграф в графе доступа с R = {r1, r2, r3, r4, ..., rn } U {t,g} состоящем только из субъектов.
    Принадлежащие одному острову субъекты обладают по отношению друг к другу симметричными правами.
    Каждый остров соответствует единственной зоне.
  • мост (Bridge) - упорядоченная последовательность ребер в графе доступа по которой возможна передача прав.
  • Предикат CAN_SHARE(a, x, y) истинен тогда и только тогда, когда - x может получить право доступа а к y.
  • Предикат CAN_STEAL(a, x, y) - истинен тогда и только тогда, когда - x может получить право доступа а к y, при условии что в исходном графе доступа такие права доступа отсутствуют. (in beta)
  • Предикат CAN_SNOOP - пусть существуют субъекты s1 и s2, а также объект o1, при этом субъект s1 имеет право на чтение o1, а s2 изначально такого права не имеет. Пусть при этом имеется ситуация такая, что в процессе чтения субъектом s1 информации из объекта o1 субъект s2 также получает возможность читать информацию из этого объекта («подглядывает через плечо»), но только до тех пор, пока s1 осуществляет доступ к o1. Для описания подобной ситуации введен предикат can_snoop (s2, o1), который в данном случае является истинным, пока s2 может осуществлять доступ к о1. По сути, предикат can_snoop является частным случаем can_steal, только с ограничением по времени.
  • Предикат CAN_KNOW(a, x, y) - истинен тогда и только тогда, когда - x может получить доступ к данным y по отношению а.
  • Зона (безопасности) (Zone) - Совокупность логических или физических объектов, к которым предъявляются общие требования безопасности.
    Примечание 1 – Термин «зона», употребляемый в настоящем документе, следует всегда относить к зоне безопасности.
    Примечание 2 - Зона имеет четкую границу с другими зонами. Политика безопасности зоны обычно определяется комбинацией механизмов как на периферии зоны, так и внутри нее. Зоны могут иметь иерархическую структуру в том смысле, что могут быть образованы совокупностью подзон.
    Концепция зоны предполагает также обязательную возможность равного доступа между субъектами, находящимся внутри зоне. В сервисе реализовано два типа разбиения на зоны.
    1. Информационная зона (зона de facto) - это набор вершин защитного графа G, такой что для каждой пары вершин x, y в наборе can_know(a,x,y), а ∈ {t,g,r,w}- верно.
    2. Зона по правам (зона de jure) - это набор вершин защитного графа G, такой что для каждой пары вершин x, y в наборе can_share(a,x,y), а ∈ {t,g,r,w}- верно.
     
    • Инфо: На практике, зона de jure используется редко, т.к. является частным случаем зоны de-facto. Если спецально не оговаривается тип зоны, то имеется ввиду информационная зона (de facto).
    Больше информации...
  • имущественный объект – Физический или логический объект, который принадлежит организации или относится к ней иным способом, представляя для нее ощущаемую или реальную ценность.
    Примечание – В случае систем промышленной автоматики и контроля физические объекты имущества, имеющие наибольшую ценность, измеримую непосредственно, представляют, например, оборудование, которым они управляют.
  • Физические объекты включают в себя любой физический компонент или группу компонентов, принадлежащих организации. В промышленной среде такие объекты могут включать в себя системы управления, физические компоненты сетей и среды прохождения сигналов, системы транспортировки, стены, помещения, здания, грунт или любые другие физические объекты, которые так или иначе участвуют в управлении, мониторинге или анализе производственных процессов или поддержании основной коммерческой деятельности. Наиболее значимые физические объекты составляют оборудование, которое управляется системой автоматизации.
    • Логические объекты носят информативный характер. Они могут включать в себя интеллектуальную собственность, алгоритмы, внутрифирменные методики, специализированную информацию или другие информационные элементы, которые воплощают способность организации функционировать или делать нововведения. Кроме того, объекты такого типа могут включать в себя репутацию в глазах общественности, доверие покупателей или другие показатели, снижение которых непосредственно отражается на бизнесе. Логические объекты могут быть в форме человеческой памяти, документов, информации, содержащейся на материальных носителях, или электронных записей, относящихся к информационному объекту. Логические объекты могут включать в себя также результаты испытаний, данные соответствия нормативным документам или любую другую информацию, которая считается важной или проприетарной, или может либо дать, либо обеспечить конкурентное преимущество. Утрата логических объектов часто чревата весьма длительными и вредоносными последствиями для организации.
    • Объекты автоматизации процессов. Процессы управления являются особой формой логических объектов. Они содержат логику автоматизации, применяемую при осуществлении промышленного процесса. Такие процессы сильно зависят от цикличной или непрерывной реализации точно определенных событий. Нарушение безопасности технологических объектов может осуществляться как физическими (к примеру, разрушение носителей), так и нефизическими (к примеру, несанкционированное изменение) средствами и приводить к некоторой потере целостности или доступности самого процесса.
  • Уровень ИБ (Level) — определенный комплекс операций, соответствующей одному из типов доступа {r,w,t,g}.в системе, доступный для выполнения субъектом или объектом над другим субъектом или объектом.
    Уровни могут назначаться по операциям относящимся собственно к передаче данных (Info) либо по передачи определенных прав (Share).
    Уровни так же могут рассматриваться как результат применения порядковой функции ( см. так же http://http://vscode.ru/prog-lessons/poryadkovaya-funktsiya-grafa.html) на ориентированном графе, образованном из исходного графа доступа путем выпоолнения операции транзитивного замыкания по выбранному подмножеству множества прав доступа. Применение порядковой функции разбивает множество вершин графа на непересекающиеся подмножества, упорядоченные так, что если вершина входит в подмножество с номером i, то следующая за ней вершина входит в подмножество с номером большим чем i. Полученные непересекающиеся подмножества будут уровнями ИБ.
    В контексте ИБ уровни, так же могут рассматриваться как определенная совокупность требований ИБ.
    Больше информации...
  • Уровни риска для субъектов в графе расчитываются в результате применения порядковой функции ( см. так же http://http://vscode.ru/prog-lessons/poryadkovaya-funktsiya-grafa.html) на ориентированном графе, образованном из исходного графа доступа путем выпоолнения операции транзитивного замыкания по выбранному подмножеству множества прав доступа. Применение порядковой функции разбивает множество вершин графа на непересекающиеся подмножества, упорядоченные так, что, если вершина входит в подмножество с номером i, то предыдущая за ней вершина входит в подмножество с номером большим чем i. Полученные непересекающиеся подмножества будут уровнями риска.
     
    • Инфо:Уровни риска тем больше, чем больше возможный вектор атаки на данный субъект со стороны других субъектов в графе доступа. Уровень риска с меньшим номером больше.
    • шлюз (gate,gateway) - Коммуникационное устройство, которое подсоединено к двум (или более) компьютерным сетям, имеющим схожее назначение, но реализованным различным образом, и обеспечивает связь хост-компьютеров одной сети с хост-компьютерами другой сети.
    • сервер (server) -Устройство или приложение, которые предоставляют информацию или сервисы клиентским приложениям и устройствам.
    • клиент (client) - Устройство или приложение, получающие или запрашивающие сервисы или информацию с приложения сервера.

Основные положения формальной модели безопасности

  • КиберБезопасность системы рассматривается с точки зрения возможности получения каким-либо субъектом прав доступа к определенному объекту (в начальном состоянии G такие права отсутствуют) при определенной кооперации субъектов путем последовательного изменения состояния системы на основе выполнения элементарных команд. Рассматриваются две ситуации – условия санкционированного, т.е. законного получения прав доступа, и условия «похищения» прав доступа.
  • Основная теорема безопасности: Система безопасна:
    • Если начальное состояние безопасно.
    • Каждое преобразование начинается в безопасном состоянии и заканчивается так же в безопасном состоянии.
  • Основная аксиома безопасности: Проблема безопасности описывается доступом субъекта к объекту.
  • Элементы модели с передачей прав доступа типа "take-grant"

    E = O ∪ S - имущественный объекты, где O - объекты, S - субъекты; Ra = {Read+, Write+, Take, Grant, Read, Write} - права доступа; G = (S, E, Ra ) – граф безопасности G(t) – состояние системы в момент времени t; G* множество всех возможных состояний системы; OP ={Create, Remove, Find, Post, Pass, Spy, Find} - набор элементарных правил преобразования. G(t) ├ op G(t+1) ∑(G*, OP) – модель системы
    Классическая модель Take-Grant ориентирована на анализ путей распространения прав доступа в системах дискреционного разграничения доступа. Порядок перехода системы модели Take-Grant из состояния состояние определяется правилами преобразования графа доступов, которые в классической модели носят название де-юре правил.
    В классической модели Take-Grant рассматриваются четыре де-юре правила преобразования графа, выполнение каждого их которых может быть инициировано только субъектом, являющимся активной компонентой системы:
    • take() - брать права доступа;
    • grant() - давать права доступа;
    • create() - создавать новый объект или субъект, при этом субъект-создатель может взять на созданный объект любые права доступа;
    • remove() - удалять права доступа.

    В расширенной модели Take-Grant рассматриваются пути возникновения информационных потоков в системах с дискреционным разграничением доступа. Помимо правил, рассматриваемых в классической модели, в расширенной модели дополнительно рассматриваются два права доступа - на чтение r (read) и на запись w (write), а также шесть правил преобразования графа доступов, называемых "правила де-факто": post, spy, find, pass и два правила без названия.

    Правила де-факто служат для поиска путей возникновения возможных информационных потоков в системе. Эти правила являются следствием уже имеющихся у объектов системы прав доступа и могут стать причиной возникновения информационного потока от одного объекта к другому без их непосредственного взаимодействия. В результате применения к графу доступов правил де-факто в него добавляются мнимые дуги, помечаемые r или w и изображаемые пунктиром. Вместе с дугами графа, соответствующими правам доступа r и w (реальными дугами), мнимые дуги указывают на направления информационных каналов в системе.

    Важно отметить, что к мнимым дугам нельзя применять правила де-юре преобразования графа доступов. Информационные каналы нельзя брать или передавать другим объектам системы.

Уровни и зоны

В сервисе реализована модель иерархической политики безопасности, котроая в зависимости от выбранных прав доступа {r,w}, ориентированна на сохранение конфиденциальности или целостности информации, соответственно.
 
  • Инфо:Формально, сервис позволяет рассматривать уровни по другим правам доступа ({t,g}). Однако на практике, права доступа отличные от {r,w} используются редко, т.к. {t,g} доступ является частным случаем доступа {r,w}.
Обычно, граф доступа является безопасным, если объект с более низким уровнем безопасности не может осуществить запись (для системы ориентированной на сохранение целостности) или чтение (для системы ориентированной на сохранение конфеденциальности) в объект с более высоким уровнем безопасности. Данные принципы известны как модель безопасности Белла — Лападулы . Для системы ориентированной на сохранении целостности модель Белла — Лападулы переформулирована в вмде модели Биба:
Основные принципы:
  • Субъект имеет доступ по чтению к объекту если: L(s) ≤ L(o)
  • *-Свойство: Субъект имеет доступ по записи к объекту если: L(o) ≤ L(s)
 
  • Инфо:Каждый уровень состоит из одной и более зон и каждая зона принадлежит тоько одному уровню.

Если пара вершин x, y графа доступа принадлежит одной зоне, по отношению а, то существует последовательность защитных графов , такая что G(t) ├ op G(t+n), когда can_know(a,x,y), так же пусть G- защитный граф, и пусть x и y - любые две вершины в G. x и y находятся в одной и той же зоне тогда и только тогда, когда есть допустимый путь между ними.

Определение. Две вершины субъекты x и y называются связаными, если can_know(a,x,y) - истина, can_know(a,y,x) - ложь.

Определение. В графе доступа скажем, что вершина x «выше», чем вторая вершина y, если для любого пути от x к y существуют вершины q и b, такие что can_use(a,x,q) и can_use(a,b,y) верны, и q связана c b. В этом случае говорят, что y «ниже», чем x.

Определение. Две вершины x и y находятся на одной высоте (или уровне), если x и y принадлежат одному уровню. Аналогично говорят, один rw-уровень L2 выше чем уровень L1 , если для каждой вершины l2 ∈ L2 и для каждой вершины l1 ∈ L1, l2 > l1. Аналогично для случая когда один уровень ниже другого.

Aрхитектура безопасности АСУ ТП АЭС

1. Аспекты архитектуры безопасности
Достигнутая реальная кибербезопасность для АСУ ТП АЭС, как объекта защиты, на этапе эксплуатации в большой мере зависит от той архитектуры безопасности, которая была реализована в ходе выполнения программы кибербезопасности. Для разработки, внедрения и обслуживания программы кибербезопасности предполагается реализация следующих действий:
  • анализ цифровых систем и локально-вычислительных сетей ядерных установок;
  • выявление и оценка критических ресурсов с точки зрения безопасности;
  • внедрение безопасной архитектуры в соответствии с определенными нормативами;
  • анализ потенциальных рисков нарушений кибербезопасности;
  • разработка детальной архитектуры кибербезопасности.
Архитектура кибербезопасности определяет связанную с кибербезопасностью структуру АСУ ТП АЭС, как системы систем, включая основные функции, класс и границы каждой системы, взаимосвязь или независимость систем, приоритетность целей, одновременно действующих в системе, и порядок взаимодействия между человеком и машиной. Архитектура безопасности также включает в себя план и набор правил, описывающие сервисы безопасности, которые должны обеспечивать защиту системы и ее пользователей, меры необходимые для реализации этих сервисов, требуемые показатели эффективности функционирования элементов [IEC/TS 62443-1-1 Терминология, концепции и модели. 2009].
Архитектура кибербезопасности охватывает такие аспекты как:
  1. рекомендуемые компоновки сетей передачи данных между элементами системы;
  2. рекомендуемые конфигурации межсетевого экрана;
  3. процедуры авторизации и аутентификации пользователей;
  4. барьеры между различными сетями управления процессами;
  5. использование беспроводных коммуникаций;
  6. управление обновлениями и патчами (включая аутентификацию при их проведении);
  7. управление средствами обеспечения кибербезопасности;
  8. усиление защиты систем за счет закрытия программных портов, блокировки или отказа от неиспользуемых или опасных сервисов и отказа от использования съемных накопителей данных;
  9. доступ к внешним сетям передачи данных за пределами АСУ ТП АЭС (включая Интернет);
  10. надлежащее использование средств электронной связи между персоналом (например, электронной почты).
Построение архитектуры безопасности АЭС проводится на основе системного подхода, при котором верхнеуровневые стратегические цели и принципы наследуются всеми функциями и активами объекта (включая персонал). Концептуально, это находит отражение в реализа-ции дифференцированного подхода к кибербезопасности и назначению уровней кибербез-опасности для активов АСУ ТП АЭС и интеграции уровней кибербезопасности в модель разграничения доступа, определяемой политикой безопасности системы.

2. Дифференцированный подход и разграничение доступа
Реализации архитектуры безопасности основывается на дифференцированном подходе, при котором критическим активам объекта назначаются уровни в соответствии с их критичностью для безопасности АЭС. Между классифицированными активами, согласно принципу глубоко эшелонированной защиты, реализуются соответствующие барьеры, препятствующие распространению угрозы. Каждому активу назначается набор мер для предупреждения, выявления и реагирования на кибератаки. Степень защиты каждого из активов должна соответствовать присвоенному для него уровню кибербезопасности.
Одной из проблем, которая решается при проектировании архитектуры безопасности АСУ ТП АЭС, является установление соответствия уровней кибербезопасности с иерархией (системой уровней) доступа. Уровень доступа, присваиваемый активу, однозначно определяется структурой информационных связей, существующих в системе. Правильно спроектированная системы должна иметь однозначное и прямое соответствие между уровнями кибербезопасности и доступа, что обеспечит отсутствие слабых мест в защите системы и, как соответствие, снижение риска кибербезопасности.
Существует два основных способа задания уровней доступа - это рассмотрение доминирования и информационных потоков. Для всех основных целей проектирования архитектуры кибербезопасности оба подхода фактически одинаковы и различаются лишь семантикой проблемы. Далее рассмотрим более понятный для специалистов АСУ ТП подход для информационных потоков.
В соответствии с подходом:
  • каждому активу присваивается уровень доступа (или метка безопасности) и передача информации между активами подразумевает передачу информации между соответствующими уровнями доступа;
  • определен оператор объединения уровней A⨁B = C, т.е. активы, содержащие информацию из уровней A и B, должны быть помечены уровнем C, определено отношение A → B, чтобы указать, что информация разрешена для потока от актива уровня доступа A до актива уровня доступа B.
Отношение A → B определяет отношение частичного упорядочения, посредством которого мы можем указать иерархию уровней доступа, и которое разбивает множество активов на непересекающиеся подмножества, упорядоченные так, что если актив входит в подмножество с номером i, то следующий за ним входит в подмножество с номером, большим чем i, такое отношение транзитивно и антисимметрично.
Определение 1. Полученные непересекающиеся подмножества называются уровнями доступа.
Определение 2. В системе скажем, что актив x «выше», чем актив y, если A → B верно, а и B → A ложно. В этом случае говорят, что B «ниже», чем A.
Определение 3. Два актива x и y находятся на одной высоте (или уровне), если x и y при-надлежат одному уровню. Аналогично говорят, уровень доступа L2 выше чем уровень L1, если для каждой вершины l2 ∈ L2 и для каждой вершины l1 ∈ L1, l2 > l1. Аналогично для случая когда один уровень ниже другого.
В основе известных архитектур безопасности [ФСТЭК России от 14.03.2014 № 31 (ред. От 23.032017) "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющую повышенную опас-ность для жизни и здоровья людей и для окружающей природной среды". Зарегистриро-вано в Минюсте России 30.06.2014 № 32919., U.S. Nuclear regulatory commission , Research regulatory guide 5.71 Cyber security programs for nuclear facilities. January 2010] АСУ ТП АЭС, в том числе и рассмотренной в следующей главе, лежит реализация иерархии уровней доступа в виде решетки для свойств целостности (модель Биба [Девянин П.Н. Модели безопасности компьютерных систем. // Москва. Academa. –. – 144 с. 2005]).

3. Архитектура безопасности RG – 5.71
Архитектура RG – 5.71 [19] получила широкое распространение, и основные ее положения повторяются во многих документах, посвященных кибербезопасности. Данная архитектура, фактически с момента появления, стала стандартной для атомной отрасли в международном масштабе. Она с небольшими вариациями повторена в документах МАГАТЭ и МЭК. Ос-новные изменения относятся к количеству уровней в системе и рекомендациям по менее строгому применению однонаправленных связей между активами на разных уровнях системы. Наличие различных вариантов обусловлено большой сложностью АСУ ТП АЭС как системы систем и сложившейся практикой работы.
Для архитектуры вводится 5 уровней компьютерной безопасности: уровни нумеруются с 4 по 0. Самый высокий (значимый) – 4, самый низкий – 0. Без ограничений поток данных разрешён с верхнего на более низкий уровень безопасности, передача данных с нижнего уровня на высший разрешена только для двух первых уровней кибербезопасности. Основной целью архитектуры кибербезопасности является сохранение целостности данных и предотвращение модификации информации системами нижнего уровня кибербезопасности в системах верхнего уровня. Для достижения данной цели фактичекски реализуется модель Биба для двух высших уровней кибербезопасности. Для низших уровней модель реализуется в ограниченном масштабе. Вводится запрет инициации соединения для нижнего уровня.
На Рисунке приведена возможная информационная модель архитектуры безопасности типа RG5.71. В модели для упрощения на каждом из уровней выделен единственный актив-субъект. Поток данных от верхнего уровня к нижнему определяется наличием доступа на запись (w) от субъекта, принадлежащего более высокому уровню, к низкому. Для безопасного доступа субъектов с уровня 0,1 к субъектам на более высоких уровнях 1,2 соответственно, применяется однонаправленный доступ по чтению (r) через буферные активы-объекты (6,7) соответственно. Применение буферных активов необходимо для того, чтобы запретить возможность инициации доступа с нижнего уровня на верхний.


Рисунок. Упрощенная информационная модель архитектуре безопасности RG5.71

Особенностью архитектуры RG 5.71 является наличие рекомендаций по формированию зональной модели, позволяющей группировать системы по важности для физической безопасности и безопасности объекта. При применении зональной модели рекомендуется соблюдать следующие рекомендации:
  • каждая зона включает системы, имеющие одинаковую или сопоставимую важность для физической безопасности и безопасности установки;
  • системы, относящиеся к одной зоне, имеют аналогичные потребности в отношении защитных мер;
  • различные компьютерные системы, принадлежащие одной зоне, образуют область надежной связи для внутренней коммуникации в пределах этой зоны;
  • зональные границы требуют механизмов развязки для потоков данных на основе политики, зависящей от конкретной зоны;
  • с целью улучшения конфигурации зоны могут быть разделены на субзоны.

В целом архитектура RG 5-71 является разумным сочетанием сложившейся практики построения АСУ ТП АЭС с требованиями по кибербезопасности для них

Дополнительная информация и литература ...