Upload
-
View
558
Download
12
Embed Size (px)
Citation preview
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Решения Cisco для обеспечения кибербезопасности промышленных сетейАлексей ЛукацкийБизнес-консультант по безопасности20 апрель 2016 г.
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Wireless MESHIndustrial WirelessWiFi
Ethernet
Fibre subringFibre backbone
Non-wired backup
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Cisco IE коммутаторы: обзор портфолиоФУНКЦИИ
§ Layer 2§ Small Form Factor§ IP30 and IP67§ CC*§ DLR (only Stratix)§ Profinet MRP§ Layer 2 NAT§ IEEE 1588 PTP§ PoE/PoE+
§ Layer 2 and 3(IP services)
§ Small Form Factor§ PRP§ IEEE 1588 PTP & Power Profile
§ PoE/PoE+
Cisco® IE2000 Series
Cisco IE 2000USeries
§ Layer 2 or 3(IP services)
§ Modular§ Up to 24 ports§ IEEE 1588 PTP§ PoE/PoE+
§ Layer 2 or 3(IP services)
§ 1RU§ 2 GE combo uplinks§ 8 PoE and 16 SFP or 24 copper
§ Power profile (CGS2520)
§ PoE/PoE+
Cisco IE 3000Series
Cisco IE 3010Series CiscoCGS-2520
Доступ
Лучшие в классеCisco IE 4000 Series
Агрегация
1 Gbps
§ Designed for all industries
§ Layer 2 or 3(IP services)
§ 4-port GE uplinks§ Up to 20 ports GE§ IEEE 1588 PTP & power profile
§ Layer 2 NAT
§ Up to 8 PoE/PoE+
§ Dying Gasp§ TrustSec® SGT HW ready
§ MACsec § FNF HW ready§ Time Sensitive Network (TSN) HW ready
2014 Control Engineering Award
2014 Interop Tokyo
IoT Award
10/100 Mbps
‘*’ –Selected Models
Cisco IE 5000 Series
§ Designed for all industries
§ Layer 2 or 3(IP services)
§ 4-port 10GE or GE uplinks
§ 24 ports GE§ IEEE 1588 PTP & power profile
§ Layer 2 NAT
§ Up to 12 PoE/PoE+§ Dying Gasp§ TrustSec® SGT HW ready
§ MACsec HW ready§ FNF hardware ready
§ Time Sensitive Network (TSN) HW ready
§ CC*10 Gbps
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Точки доступа Cisco Aironet Outdoor Access Points
1530 1550H 1570
• Низкопрофильная• 11n, 2G: 3x3:3;; 5G: 2x3:2• Внутр/внеш. антенны
• Гибкая по интерфейсам подключения• 11n, 2x3:2 (Tx/Rx/SS)• Внутр/внеш. антенны
• Лучшая в семействе• 11ac, 4x4:3 (Tx/Rx/SS)• Внутр/внеш. антенны• Модули расширения
IW3700
• Компактная• 11ac, 4x4:3 (Tx/Rx/SS)• Внешние антенны
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Cell/Area ZoneУровни 0-2
Индустриальнаязона
Уровень 3
Буфернаязона(DMZ)
Контроль в реальном времени
Конвергенция
Multicast Traffic
Простота использования
СегментацияМультисервисные сетиБезопасность приложений и управления
Контроль доступа
Защита от угроз
Сеть предприятияУровни 4-5
Gbps Link for Failover Detection
Firewall & IPS
Firewall & IPS
Application ServersCisco
Catalyst Switch
Network Services
Cisco Catalyst6500/4500
Cisco Cat. 3750StackWise Switch Stack
Patch ManagementTerminal ServicesApplication Mirror
AV Server
Cell/Area #1(Redundant Star Topology)
Drive
Controller
HMI Distributed I/O
Controller
DriveDrive
HMI
Distributed I/O
HMI
Cell/Area #2(Ring Topology)
Cell/Area #3(Bus/Star Topology)
Controller
Интеграция в сеть предприятияUCWirelessApplication Optimization
Web Apps DNS FTP
Internet
Identity Services Engine
Архитектура Ethernet-to-the-Factory (ETTF)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Новая сертификация CCNA Industrial
20.04.16
© 2015 Cisco and/or its affiliates. All rights reserved.
6
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
Cisco Connected Industries Business Unit
Ruggedized Wireless AP
IndustrialRouters & Switches
Industrial Security
Продукты в защищенном исполнении
Converged Plant
Road & Rail Network
InfrastructureMachine Builder
Connected Vehicle
Connected MachineSmart Solution
Pervasive Security
Scalable Routing
Deterministic Ethernet
Big Data Management
GuaranteedDeliveryДрайверы IoE Time
Sync
Process Mfg. Oil & Gas TransportationDiscrete
Mfg.Machine toMachine
Отрасли
ПартнерыAdvanced Services
+
Hardened Mobile M2M Gateway
Connected Vehicle
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Почему нельзя начинать с продуктов?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Из чего состоит решение по защите промышленной сети?
Уровень реализации
Логический уровень
Концептуальный уровень
Люди Политики Технологии
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Эталонная архитектура в ИБ промышленной сетиОбщая политика, управление и учет контекста в области IoT-безопасности
Конвергированная структура политик (IT/OT)
Управление политиками на оконечных устройствах
Управление идентификацией
Конфигурация и управление обновлениями
Инициализация
Управление учетными данными
Нормативное соответствие
AAA
Агрегация контекста и совместное использование
Облачная безопасность Защита приложений Открытые и партнерские API-интерфейсы
Обнаружение уязвимостей и вредоносного ПО
Сбор телеметрии и анализ угроз
Управление журналами/SIEM и их
сохранение
Экспертиза (напр. Что произошло?)
Мониторинг и контроль приложений IoE
с сохранением состояния
Детализованное управление доступом (Гость/подрядчик, сотрудник и вещи)
Удаленный доступ для обслуживания устройств, процессов
и систем управления
Профилирование IoT-устройств и оценка
защищенности
Аутентификация и управление ключами доступа802.1X, MAB, Гостевые
(в т.ч. устаревшие), 802.11i, 802.15.4Транспортное шифрование(802.11i, TLS, 802.1AE…)
Исследования, анализ и защита от угроз (в т.ч. в облаке)
Применение политик (Сеть)
Безопасность на транспортном уровне
Сообщество Intel
Сетевая безопасность IoT-устройств (FW/IPS/VPN)
Безопасность на физическом уровне
Обнаружение Мониторинг
РеагированиеАнализ
Безопасность устройств TPM, HSM, аттестаты безопасности, безопасное хранение
Архитектура безопасности
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Смена парадигмы в кибербезопасности промышленной сети
• Принимаемые организационные и технические меры защиты информации должны обеспечивать доступность обрабатываемой в АСУ ТП (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации)
• Организационные и технические меры защиты информации должны быть согласованы с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности АСУ ТП и управляемого (контролируемого) объекта и (или) процесса и не должны оказывать отрицательного (мешающего) влияния на штатный режим функционирования АСУ ТП
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Из чего состоит решение по защите промышленной сети?
Уровень реализации
Логический уровень
Концептуальный уровень
Люди Политики Технологии
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Иерархическая модель управления в промышленной сети
Зона EnterpriseMES, CRM, SCM, ERP
DMZ
Зона производстваSCADA
Cell/Area Zone
I/O, HMI, PAC/PLC
Demilitarized Zone — Shared Access
Enterprise Network Level 5
Site Business Planning and Logistics Network Level 4
Site Manufacturing Operations and Control Level 3
Area Control Level 2
Basic Control Level 1
Process Level 0
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Характерные приложения и системыMES— Manufacturing Execution System измеряет и контролирует параметры производства;; отслеживает и измеряет ключевые операционные критерии, такие как продукты, оборудование, инвентарь, дефекты, задания и тд – ключевой интерфейс для систем уровня Enterprise.
Historian – Собирает исторические данные с уровня производства и производит отчеты в разных форматах. Level 3
SCADA—Supervisory Control and Data Acquisition;; Широкомасштабная распределенная система измерения и контроля, накрывает географические локации
PAC (или PLC)—Программируемый контроллер автоматики;; контролирует часть производственной ячейки, функциональную линию и связанные устройства
HMI—Human Machine Interfaces изображает операционный статус персоаналу и может предоставить бизнес-функционал (начать/остановить процесс)
I/O—Input/Output устройства;; устройств измерения или контроля ключевых функций или аспектов процесса производства;; Level 0
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
Уровень 5
Уровень 4
Уровень 3
Уровень 2
Уровень 1
Level 0
DMZ
Терминальные сервисы Управление патчами Антивирусныйсервер
Зеркало приложений Управление Web Серверприложений
Корпоративная сеть
Сеть логистики и бизнес-планированияE-Mail, Intranet и т.д.
Клиент
Пакетныйконтроль
Дискретныйконтроль
DriveControl
Непрерывныйконтроль
Контрользащиты
Сенсоры Моторы Исп.устройства Роботы
Серверприложений Factory Directory ПК инженера Контроллер
домена
Клиент
Operator Interface Engineering Workstation Operator Interface
WebE-MailCIP
Area SupervisoryControl
Basic Control
Process
Зоны кибербезопасности в промышленной сети
Активная защитаIPS, МСЭ, контроль приложений, безопасность контента, защита от вредоносов и т.д.
Активная защитаIPS, МСЭ, защита от вредоносного ПО и т.д.
Гибридная активная/пассивная защитаIDS, зонирование, контроль приложений, защита от вредоносного ПО и т.д.
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
Ключевые положения кибербезопасности промышленной сети
• Целостность и доступность промышленной сети – главные задачи!• Контроль трафика между разными уровнями промышленной сети• Недопущение прямых связей сети производства и корпоративной сетью• Ограничение real-time трафика производства зоной Manufacturing• Аутентификация и авторизация по ролям сетевого доступа к сети• Контроль доступа в промышленную сеть на коммутаторах доступа• Защита от сетевых атак, начиная с Layer 2• Защищенный удаленный доступ к промышленной сети• Соединения должны инициироваться либо из зоны Enterprise либо Manufacturing и терминироваться в DMZ, инициирование соединений из DMZ только в исключительных случаях
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
Cisco SAFE for PCN
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
Как может выглядеть архитектура промышленного предприятия?
Бесперебойность функционирования технологических процессов
Видимость приложений и протоколов, контроль доступа и управление угрозами
Работа в реальных ситуациях - Cisco Validated Design (CVD)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
Архитектура ИБ производства от Cisco
WWWПриложения
DNS FTP
Интернет
Гигабитный канал для определения аварийного переключения
Межсетевой экран
(активный)
Межсетевой экран(режим ожидания)
Серверы производствен
ных приложений
Коммутатор уровня доступа
Сетевые сервисы
Коммутаторы уровня ядра
Коммутаторуровня агрегации
Управление исправлениямиСервисы для терминального оборудованияЗеркало приложенийАнтивирусный сервер
Ячейка/зона 1(Резервная топология типа «Звезда»)
Диск
Контроллер
HMI Распределенный ввод-вывод
Контроллер
ДискДиск
HMI
Распределенный ввод-вывод
HMI
Ячейка/зона 2(Топология типа «Кольцо»)
Ячейка/зона 3(Линейная топология)
Коммутатор уровня доступа 2
Контроллер
Ячейка/зонаУровни 0-2
Производственная зонаУровень 3
Демилитаризованная зонаУровень 3.5
Корпоративная сетьУровни 4-5
Усиленный межсетевой экранУсиленная система предотвращения вторжений (IPS)Удаленный мониторинг и наблюдениеУправление ПО, конфигурацией и активами
VPN и сервисы удаленного доступаМежсетевой экран нового поколенияСистема предотвращения вторжений (IPS)
Защита от угроз в облакеПрименение политик для всей сетиКонтроль доступа (на уровне приложений)
Межсетевой экран с сохранением состоянияЗащита и определение вторжений (IPS/IDS)Системы управления физическим доступом
Сервисы идентиф
икации
ISE
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
Cisco Connected Factory 3.5.0 – беспроводная инфраструктура
Продукты решения
Бизнес результат
Ключевые параметры
Уменьшение затрат
Factory Mobility• Mobile Controls visibility• Wireless tooling, I/O• Asset Tagging• Mobile video• Mobile Apps
• 1552 AP, 2600 AP, WLC• Stratix 5100 AP• Ent Mobility Svs Platform• IOE Site surveys
CVD от Ноября‘14Cell / Area Zone Level 0 – 2
Enterprise Zone Level 4 - 5
Industrial Zone Level 3
Industrial Demilitarized Zone
Catalyst 3750X
Catalyst4500/6500
ASA 55xx-X(Active)
ASA 55xx-X(Standby)
• Wide Area Network (WAN)• Physical or Virtualized Servers• ERP, Email• Active Directory (AD), AAA – Radius• Call Manager, etc.
Plant Firewalls:• Inter-zone traffic segmentation• ACLs, IPS and IDS• VPN Services – Remote Site Access• Portal and Terminal Server proxy
Web DNS FTP
CatalystSwitch Internet
Cisco 5500 WLC
Cisco WLCAnchor
Cisco WLC
Industrial Wireless CPWE 3.5.0
Catalyst2960-X
Catalyst2960-X
Catalyst2960-X
Catalyst2960-X
Failover
Outside
DMZ
DMZ
Inside
Active Directory Fedrated ServicesISE 34xx PAN, MnT, IPN
SiSi SiSi
Patch ManagementTerminal Services
Data ShareCisco Video Surveillance Data Share
Application ServerAV ServerFactoryTalk AssetCentre
FactoryTalk View Server, Clients & View StudioFactoryTalk Batch
FactoryTalk HistorianRSLinx Enterprise
FactoryTalk Security ServerCisco Video Surveillance Manager
1588 Precision Time Protocol ServiceActive Directory Federated Services
Remote Access ServerStudio 5000
Cisco 5500 WLC (redundancy option)
Controller
HMI
I/O I/O
WGB
I/O
Drive
WGB
Controller
I/O I/O
A P
A P
WGB
XWGB
Roaming I/OCell/Area #(Wireless Topology)
A P
A P
ISE Policy Service Node
БЛВС производства
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22
Архитектура ИБ транспортного блока от Cisco
PTC
IPICSVSMS / VSOM
IP/MPLSДомен
UCS
WAN/ Ядро
Центр управления
Трансп. зона
Усиленный межсетевой экранУсил. система обнаружения вторжений (IDS)Удаленный мониторинг и наблюдениеУправление ПО, конфигурацией и активами
VPN и сервисы удаленного доступаМежсетевой экран нового поколенияСистема предотвращения вторжений (IPS)
Защита от угроз в облакеПрименение политик для всей средыКонтроль доступа на уровне приложений
Межсетевой экран с сохранением состоянияСистема обнаружения вторжений (IDS)Системы управления физическим доступом
Сервисы идентификации
Сети безопасности и управления процессами
Offload
VSMS
PTC 3000
TMC
ОборудованиеМультисервисные сети
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23
Архитектура ИБ железнодорожного транспорта от Cisco
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24
Суб-архитектуры ИБ для железнодорожного транспорта
• Конвергентная сеть в вагонах и голове состава
• Поддержка Wi-Fi
• Предоставление расширенных сервисов пассажирам
• От SDN кMPLS/IP
• Конвергентная сеть
• Высокая пропускная способность для новых приложений
• Конвергентная сеть станции
• Поддержка Wi-Fi
• Предоставление расширенных сервисов пассажирам
Решение Connected Rail© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
1:05PM
Passenger Services Safety & Security Station Operations
PoE PoE
PoE ""
CIS SMS
Connected Train Connected Trackside Connected Station
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25
Архитектура ИБ аэропорта от Cisco
Multitenant Network
Cisco Connected Airport – Reference Architecture (Issued V1)For More Information: Ted Nugent – BDM Aviation [email protected] Enabling Airports to Create a Sustainable Infrastructure
WAN Aggregation
Operations ControlTerminalHangar or Warehouse
Primary Data Centre
Internet EdgeTeleworker/Mobile Worker
Network Management
Freight / Cargo operations
Airport Admin/Tenants
M & E Infrastructure Passenger, Airport Staff & Airline WiFi
Cloud Services
IP Soft PhoneTelePresence MOVI Video ConferencingVirtual DesktopWAAS Mobile
Anyconnect VPN Client
Video Communication Server (VCS) Expressway
TelePresence
TelePresence
Ironport Email SecurityAnti-‐Spam, Anti-‐Virus
Data Loss Prevention (DLP)
Ironport Web SecurityAcceptable Use Policy (AUP)
Malware Prevention
IP Phone WiFi Access PointSCADA
Door Access ControlVideo Surveillance
Digital Signage
IP Video Phone WiFi Access Point
Door Access Control
Video Surveillance
TelePresence
Digital Signage
IP Video Phone WiFi Access Point
Door Access Control
Video Surveillance
ASA5500Firewall
Intrusion Prevention (IPS)Virtual Private Network (VPN)
Door Access Control
Analogue Camera
ISR G2 RouterVPN
FirewallWireless
ASR1000 RouterWebEx Node
WAN Optimisation (WAAS)
Catalyst 6500 VSSServices Layer
FirewallServer Load Balancing (ACE)
Network Application Monitoring (NAM)
Catalyst 6500 VSSCore Switch
Door Access Control
WiFi Access Point Video SurveillanceVirtual Matrix
IP Phone Console
MDS 9500SAN Switch
Storage
SAN
Unified Computing System (UCS) Blade
Unified Computing System (UCS) Blade
Nexus 5000Switch
Nexus 5000Switch
Unified Computing System (UCS) Blade
Nexus 2000Switch
Nexus 2000Switch
Nexus 7000Core/Aggregation Switch
Nexus 7000Core/Aggregation Switch
Catalyst 6500 VSSServices Layer
FirewallServer Load Balancing (ACE)
Network Application Monitoring (NAM)
MDS 9500SAN Switch
Push-‐To-‐Talk Radio (IPICS)
Digital Signage
IP Video Phone
WiFi Access Point
Door Access Control
Storage
TelePresence
Tenant 2 WiFi Access Point
Unified Computing System (UCS) Rack
Digital SignageVideo Wall
Video Surveillance
Unified Computing System (UCS) Rack
Unified Computing System (UCS) Rack
Nexus 2000Switch
Nexus 5000Switch
Door Access Control
IP Video Phone
VXC/Tablet (Virtual Desktop)
VXC/Tablet (Virtual Desktop)
Digital SignagePC/Tablet (Virtual Desktop)
Catalyst 3850Switch ClusterPoE Energywise
Catalyst 6500 VSSCore Switch
Wireless LANController
(Guest Access)
Video Surveillance
TelePresence
Tenant 1WiFi Access Point
Door Access Control
IP Video Phone
Digital SignagePC/Tablet (Virtual Desktop)
Video Surveillance
TelePresence
Tenant 1 WiFi Access Point
Tenant 2
IP Video Phone
Digital SignagePC/Tablet (Virtual Desktop)
Video Surveillance
WiFi Access Point
Door Access Control
IP Video Phone Digital Signage
PC/Tablet (Virtual Desktop)
Video Surveillance
BuildingManagementSystem (BMS)HVAC/Lights
HypervisorNexus 1000v
Virtual Machines
HypervisorNexus 1000v
Virtual Machines
HypervisorDesktop Virtualisation
Software
Virtual MachinesCommunication Manager (CUCM)Unity Connection
(CUC)
Jabber (Presence)
Contact Centre (UCCX)
Meeting Place
Attendant Console
OS
OS
OS
OS
OS
OS
Digital Media Manager (DMM)Show & Share
Server
Webex Social
Network Management
TelePresence Ctrl Server (TCS)
TelePresence Manager (TMS)
OS
OS
OS
OS
OS
OS
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
WAN Optimisation (WAAS)
Wireless LANController
IPICS Server
Physical Access Manager (PAM)
Video Surveillance Operations ManagerVideo Surveillance
Media Server (VSMS)
Mobility Services Engine (MSE)
Media Exchange Engine (MXE)
Video Comms Server (VCS)
PSTNISR G2
PSTN GatewayVoice/Video DSPPrime
Cisco Security Manager (CSM)
Data Centre Network Manager (DCNM)
Network Control Systems (NCS)
LAN Management System (LMS)
Identity Service Engine (ISE)
Network Analysis Module (NAM)
Collaboration Manager (CM)
Fibre Channel over Ethernet (FCoE)Fibre Channel Storage Links
Ethernet
VXC/Tablet (Virtual Desktop)
Rugged Mobile Computer Connected Field Staff
Cisco Connected Airport – Reference Architecture © Copyright 2011-‐13 Cisco Systems, Inc. All Rights Reserved.
Industrial Ethernet via Cisco Rugged Switches and Routers (CGS-‐2520, IE2000, CGR-‐2010) support SCADA communications through hierarchical segmentation. This results in reduced cost and complexity with increased efficiency, scale, resilience, policy enforcement and defence-‐in-‐depth security.
The quality and collaboration capabilities of TelePresence are far beyond typical Video Conferencing. The realism and quality enhances the communication value of meetings enabling users to catch every comment and nuance of the conversation. At the same time, Rail Infrastructure Managers can save money, time and energy wherever it is used.
Standards based Wireless Mesh via the Cisco Field Area Router (FAR) supports connectivity of sensors for pro-‐active monitoring, control and general telemetry of the Network. Data can be collected and processed locally on the router enabling distributed intelligence. Secure wireless access for field staff ensures “always-‐on” network connectivity.
Cisco Video Surveillance solutions use the IP network to deliver and receive live and recorded video surveillance media. The IP cameras are feature-‐rich digital cameras that enable surveillance in a wide variety of environments available in standard and high definition; wired and wireless offering efficient network utilisation while providing high-‐quality video.
Virtual Desktop Infrastructure (VXI) centralises employee desktops, applications and data in the data centre. It provides unprecedented control of the desktop and laptop environment and helps IT to secure compute, network and data resources. VXI frees end users from the constraints of a specific device and reduces long-‐term costs by simplifying management of the desktop environment.
Cisco Physical Access Control is a cost-‐effective IP-‐based solution that uses the IP network for integrated security operations. It works with existing card readers, locks and biometric devices and is integrated with Cisco Video Surveillance and IP Interoperability and Collaboration System (IPICS) for a comprehensive, holistic enterprise-‐wide safety and security solution.
Cisco Digital Media Suite (DMS) enables companies to learn, grow, communicate and collaborate through webcasting and video sharing, digital signage and business IP TV applications. DMS allows quick and effective display of information include training for live/on-‐demand video broadcasts, emergency messaging, schedules and news; extending the overall reach of corporate communications.Cisco Voice and Unified Communications develops interactive collaboration by combining all forms of business communications into a single, unified solution, it will help employees, customers, supplies and partners to communicate with each other, quickly and easily without obstacles.
Cisco Security solutions protect assets and empowers the workforce. Context-‐aware
security provides high level intelligence, policy governance, and enforcement capabilities.
Significantly enhancing the accuracy, effectiveness, and timeliness of any
organisation's security implementation.
The Mobile TeleWorker gains flexibility and productivity. Cisco delivers a suite of teleworking solutions with a cost-‐effective approach that preserves business security and agility, increases productivity, and reduce costs by continuously connecting the TeleWorker, anytime, from every location at home or on the road.
Cloud Services can offer savings in IT resources such as computing storage and application services. “The Cloud” can provide theses services as elastic resources that are suitable for use in existing or new applications without a large investment in capital resources and ongoing maintenance costs. WebEx delivers online meetings and easy-‐to-‐use web collaboration tools to the entire workforce. Scansafe keeps malware off the corporate network and more effectively controls and secures web usage.
Cisco Unified Fabric Data Centre provides flexible, agile, high-‐performance, non-‐stop operations; self-‐integrating information technology, reduced staff costs with increased uptime through automation, and more rapid return on investment. It accelerates virtualisation and enables automation to extend the lifecycle of mission-‐critical resources to support evolving needs. Rail companies can reduce their total cost of ownership (TCO) and increase business agility—both critical to combating the server sprawl and inefficiency inherent in many data centres today.
Wide Area Application Services (WAAS) is a comprehensive WAN optimization solution that accelerates applications over the WAN, delivers video to the branch office, and provides local hosting of branch-‐office IT services. Cisco WAAS allows IT departments to centralize applications and storage in the Data Centre while maintaining LAN-‐like application performance.
IP/MPLS in the WAN enables converged secure link virtualisation. It reduces overall costs by supporting multiple logical networks across a single physical infrastructure.
Physical Security
ASR 1000 Router ASR 1000 Router
Enterprise Content Delivery Sys (EDCS)
TPresence Multipoint Control Unit (MCU)
Mobile PhoneAnyconnect VPN Client
Internet
CGR-‐2010 Rugged
Router with VPN/
Firewall
Fire service
Gatelink
Mobile Workfo
rce
IP Phone
IE2000
MPLS Layer
Optical Layer
P Router
PE Router
Operational Network
Facilities Management
Voice Services
RTU
PMR &Tetra
Catalyst 3850
Video Gateway
IP CameraVehicle/Passenger Tracking
Mast
Retail
Passenger services
Customer Information Screens
Help-‐point Phone
Telephony
Security Systems
Video Surveillance
InternetAccess
GPRS/3G/LTE
VG350IP PhoneIP Phone IP Phone
CGS-‐2520Rugged Switch
RTU
BuildingManagementSystem (BMS)HVAC/Lights
Catalyst 3850Switch ClusterPoE Energywise
Runway lighting Maintenance Passenger services Operations
Analogue Camera
IP Phone
Video Gateway
IP Camera
Mast
ISR G2 Router
IPICS
CGS-‐2520Rugged Switch
IPICSIPICS
Kiosks
Mast
NAV Aids
ISR/3850
MET
819 Router
GPRS/3G/LTE
CGS-‐2520Rugged Switch
Control points
IP Camera
IP Phone
819 Router
ISR G2 Router
RTU
Baggage Handling
IP CameraWiFi Access Point
RFID Tag
Check-‐in
Catalyst 3850Switch ClusterPoE Energywise
Catalyst 3850Switch ClusterPoE Energywise
Catalyst 3850Switch ClusterPoE Energywise
Catalyst 3850Switch ClusterPoE Energywise
Digital Signage
BMS HVAC/Lights
RFID TagASR 9000
Bus
Field Area M2M Router3G/LTE
Vehicule tracking
Field Area M2M Router3G/LTE Vehicule tracking
Barcode Readers
PublicAnnoucement
Catalyst 3850 ISR G2 RouterISR G2 Router
Catalyst 3850
Fire/Rescue
Ambulance
Barcode Readers
Tenants and Airlines
ISR G2 Router(WAAS, VPN)
ISR G2 Router(WAAS)
WiFi Access PointIP Video Phone
PC/Tablet (Virtual Desktop)
Catalyst 3850
Outdoor WirelessMesh
Fire/Rescue
ISR/3850ISR/3850ISR/3850
WiFi Access Point
GSECargo
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27
Как может выглядеть архитектура цифровой подстанции с учетом требований регуляторов?
Сегментирование сети и определение области для аудита
Видимость приложений и протоколов, контроль доступа и управление угрозами
Работа в реальных ситуациях - Cisco Validated Design (CVD)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28
Сеть агрегации FANЗОНА 2
Мультисервисная шинаЗОНА 3
Сеть NERC CIPЗОНА 1
Сеть подстанций
Станционная шина IEC 61850
Шина процессов IEC 61850
Архитектура ИБ цифровой подстанции от Cisco
Физическая безопасность
Взаимодействие с сотрудниками
Серийные, C37.94, E&M
Периметр электронной безопасности (ESP)
PT ПрерывательCT CTPT
Периметр физической безопасности (PSP)
ПрерывательIEDMU
РаспределенныйконтроллерHMI
УстаревшаяRTU
PT CT
АппаратныйI/O
Сенсор
УстаревшеерелеРТЗ
Прерыватель
Частный WiMax или LTE для полевой сети
Точка электронного доступа
Аренд. транспорт пост. услуг Частн. энерг. б/п сеть MPLS/IP
Центр управлениядоступом
ДМЗЦентр
обработкиданных
HMISCADA FEPEMS
CPAMVSOM
Аналитикаист. данныхSIEMPACS
ACSCALDAP
HMI
Контроллерсоединения RTU Защитное
релеПроцессор
коммуникацийPMUPDC
РелеРТЗ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29
Управление ибезопасностьУровень 1
УстройствоУровень 0
ЦентруправленияУровень 3
УстаревшаяRTU
Сети безопасности и управления процессами Мультисервисные сети
Ист. данные HMI
Отсек питания
Безопасность
Процесс
Питание
Процесс
Контроллер Контроллер Контроллер
Серийные и неразъемные соед.
Ethernet-процессыEthernet-мультисервисы
WANБеспроводн. соед.
ТранспортRFID
SIEM
Сенсор Движок Клапан Драйвер Насос Прерыватель Мониторпитания
Стартер Выключатель
Системы
безопасности
Принтер
Оборудование
SIEMСистема SCADAГоловная станция
Рабочие станцииоператора и разработчика
Сервер автоматизации процессов системы
SIEM
SIEM
Обработка и распред. ист. данных
Серверы приложений
Операционныебизнес-системы
SIEM
SIEM
SIEM
Надежность ибезопасность
Система управленияпроизводством (MES)
SIEM
SIEMРаспределенная система управления (DCS)
SIEM
SIEM
Контроллердоменов
Корп. сетьУровни 4-5
Ист. данныеSIEM
Анти-вирус
WSUS
SIEM
SIEMСервер удаленнойразработки
SIEM
Сервертерминального оборудования
SIEMДМЗ
Уровень 3.5
Телекоммуникации на операционном уровне
Беспроводн. сети
Интернет
КонтрольУровень 2
Системы видеонаблюдения
Контрольдоступа
Голос
Мобильные сотрудники
Беспроводн. сенсор
Контроллер
Сенсор Выключатель
Безопасность
Архитектура ИБ нефтеперерабатывающего завода от Cisco
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30
CorporateISP
BRAS
Voice
PLCPLC RT I/O
Архитектура ИБ нефтедобывающей компании от Cisco
Периметр
Транспортная сеть
Ядро сети
Скважина БуроваяMobile Field Connectivity
Micro Seismic Applications
RF-ID Asset TrackingOperational Video Surveillance
Real Time Control
Transparent QoS TaggingLow Latency – Low Jitter
Gigabit Data Capacity BackboneEnd-to-End Oil Field Coverage
IE-3000L-3 Switch
RDL-3000mNomadic Radio
IE-3000L-3 Switch
Elte-MTATEX-2 Radio
RDL-3000Base Station
RDL-5000PTP-Microwave
Сервера управления
IE 3000Industrial Switches
NetworkServices
Subsurface Modeling
Video Management ServerCollaboration Server
Routing & QoS Definitions
Operations and Control
M2MI/O Server
Corp VPN
ASR-1000 ASA-5500Switch
Network Security
RDL-3000Base Station
1552EWi-Fi AP
RF-ID MobileWorkers
VoIPVideoSurveillance
HMIRTU Real Time
I/O Controller
VideoSurveillance
Access Control
NMS/EMS
Cisco Video Surveillance MGR
Cisco Unified Comms Server
Cisco Wireless Controller
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31
SCAD
A"&"Ope
ra?o
nal"
Busin
ess"S
ystems"
Physical"Security
"
Wire
less"
Voice"&"Incide
nt"
Respon
se"
Indu
stria
l"DMZ"
Control$Cen
tre$(xN)$
Network"
Services"
Process,"Safety,"Pow
er"
Mul?service"
Fog"Co
mpu
te"
The$Secure$Pipeline$
Level$0$
Level$1$
Level$2$
Level$2.5$
Physical$Security$Opera3ons$Mgr$
SIEM
SIEM
SIEM
SIEM
Physical$$Access$Mgr$
Video$$Surveillance$Mgr$
Incident$$Response$
WLAN$Controller$
Call$$Manager$
Voicemail$Mobility$&$Tracking$
Applica3ons$
SIEM
Engineer$Worksta3ons$
Metering$
SCADA$Primary$
Energy$Mgt$
Historian$
Repor3ng$Operator$Worksta3ons$
SIEM
SIEM
SIEM
SIEM SIEM
SIEM
SCADA$Backup$
SIEM
SIEM
Remote$Access$
Patch$Mgt$
An3\virus$
NonNWired"WAN"3G/LTE,"Satellite,"WiMAX,"RF"Mesh,""
Microwave"
Virtua
lized
$
SIEM
RTU/Controller$
Wireless$AP$ Wireless$AP$Wireless$AP$Stra3x$Switches$ Stra3x$Switch$
Radio$
Mobile$Worker$
Voice$
CCTV$&$Access$Control$
RFID$
Fog$Node$
Master$MTU$
Level$3$&$3.5$
Level$4$&$5$
Enterprise"WAN"
Leak"Detec?on" Pipeline"Op?miza?on"Batch"Management" Physical"Security" Mobility"Industrial"Wireless" Analy?cs"Voice"&"Video"Metering"
Visualiza?on" Asset"Management"Historian" Opera?ons"Intelligence"Condi?on"Monitoring" Energy"Management" Collabora?ve"Workspace"
Asset"&"People"Tracking"
Op?miza?on" Security"
WAN$&$Security$
Office$
Domain$
Internet"3rd$Party$
Compressor(/(Pum
p(Sta9
on(
Meter/PIG/Terminal(Sta9o
n(
Block(Va
lve(Sta9
on(
Instrumenta3on$
WAN$&$Security$WAN$&$Security$ WAN$&$Security$
Instrumenta3on$ Instrumenta3on$ Instrumenta3on$
Stra3x$Switch$
Wired"WAN"Ethernet,"DWDM,"MPLS"
WAN,$Security,$&$Op3miza3on$
SIEM
Alarm$Mgt$
Batch$Control$
SIEM
SIEM
Ethernet"Serial"WiFi"
Industrial"Wireless"
RTU/Controller$
Instrumenta3on$
Stra3x$Switches$
Instrumenta3on$
RTU/Controller$RTU/Controller$ RTU/Controller$
Архитектура ИБ трубопровода от Cisco и RockwellСовместная функциональная архитектура целостной трубопроводной инфраструктуры.
§Гибкий, модульный подход, подерживающий этапную трансформацию Нефте-Газового трубопровода
§Виртуализация контрольной комнаты
§Конвергентное WAN операционное взаимодействие
§Проводные и беспроводные сети трубопровода
§Интегрированные мульти-Сервисные системы
§IEC 62443 / ISA99 Модель безопасности
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32
SIEM
Process'Control' Power'Management' Safety'Systems'
Compressor'/'Pump'Sta7on'
Mul7service'Domain'Sta7on'WAN'&'Security'
Process'Domain'
Metering'/'PIG'Sta7on'
Metering'
PIG'System
s'
Gas'Q
uality'
Mul7service'Domain'Sta7on'WAN'&'Security'
Process'Domain'
SCADA'&'Opera7onal'Business'Systems!SIEM
Engineer'Worksta7ons'
Applica7on''Servers'
Domain''Controller'
Instrumenta7on' Instrumenta7on' Instrumenta7on' Instrumenta7on'
Quantum' Quantum' MiCom'c264'
SIL3!Controller! SIL3!Controller!
GTW' RI/O' GTW' RI/O!
Historian' Operator'Sta7on'
Historian' PACIS'Operator''
Historian' Operator'Sta7on'
HMI'
Ethernet'Network' Ethernet'Network' Safe'Ethernet'Network'
Ethernet'Network''Safe'Ethernet'Network'
Wireless'AP'
Mobile!Worker!
IP!Voice!
Access'Control'
CCTV'
RFID!
Ethernet'Network'
Wireless'AP'
Mobile!Worker!
IP!Voice!
Access'Control'
CCTV'
RFID!
Ethernet!Network!
Wireless!AP!
Controller' Controller' Controller'
Ethernet'Network'
Historian' Historian' Historian'
HMI' HMI'
Router' Firewall' Switch' Router' Firewall' Switch'
Converged'OT'&'IT'Opera7onal'Field'Telecoms'
SCADA''Primary'
RAS''
Leak''Detec7on'
Physical'Security'
Operator'Worksta7ons'
SCADA''Backup'
Training'Server'
Historian'
Repor7ng'
Metering''Systems'
Main'Control'Center'
Video''Opera7ons'
Access''Opera7ons'
Video''Storage'
Incident''Response'
IP/Ethernet'
DWDM'
IP/MPLS'
(virtua
lized
/non
/virtua
lized
)1
(virtua
lized
/non
/virtua
lized
)1
Backup'Control'Center'
MCC
'WAN
'&'Security
'
BCC'WAN
'&'Security
'
Mul7service'Domain'
Mobile!Worker!
IP!Voice!
Access'Control'
CCTV'
RFID!
Ethernet'Network'
Wireless'AP'
Process'Domain'
Router'Firewall'
Switch'
Sta7on'WAN'&'Security'
Block'Valve'Sta7on'
Quantum'
Instrumenta7on'
Centralized'Opera7ons' Office'/'Business'Domain' Internet'Edge'Internet' 3rd'Party'
Support'
Voice'
Wireless'
WLAN'Controller'
Call'Manager'
Voicemail'
Engineer'Worksta7ons'
Applica7on''Servers'
Domain''Controller'
SCADA''Primary'
Leak''Detec7on'
Operator'Worksta7ons'
SCADA''Backup'
Historian'
Repor7ng'
Metering''Systems'
Incident''Response'
(virtua
lized
/non
/virtua
lized
)1
(virtua
lized
/non
/virtua
lized
)1
Wireless'
WLAN'Controller'
Call'Manager'
Voicemail'
SCADA'&'Opera7onal'Business'Systems! Physical'Security' Voice'
Magelis'
ION'Metering'
SEPAM'Protec7on'
TeSys'T'Motor'Mgt'
Al7var'Drive'
MiCOM'Feeder''
Protec7on'
Magelis'
Video''Opera7ons'
Access''Opera7ons'
Video''Storage'
(Red
unda
nt1
Op5
ons)1
(Red
unda
nt1
Op5
ons)1
(Red
unda
nt1
Op5
ons)1
SIEM SIEM
SIEM SIEM SIEM
Switch'
SIEM SIEM SIEM SIEM
SIEM SIEM SIEM SIEM SIEM
SIEM SIEM
SIEM SIEM
SIEM SIEM SIEM SIEM SIEM SIEM SIEM
SIEM SIEM SIEM SIEM SIEM SIEM
RI/O!
ScadaPack'
SIL3'Op7on'No'SIL'Op7on'
Wireless!opAon!
3G/LTE,'WiMax'900Mhz'RF'Mesh'
Satellite,'Microwave'
ROADM' ROADM' ROADM'
Crew!Welfare!/!Infotainment!
SIEM
IDMZ'
TIming'Server'
SIEM
AAA'
TIming'Server'RAS''
SIEM
SIEM
AAA'
WAN'Networks'
IDMZ'
Архитектура ИБ трубопровода от Cisco и SchneiderСовместная функциональная архитектура целостной трубопроводной инфраструктуры.
§Гибкий, модульный подход, подерживающий этапную трансформацию Нефте-Газового трубопровода
§Виртуализация контрольной комнаты
§Конвергентное WAN операционное взаимодействие
§Проводные и беспроводные сети трубопровода
§Интегрированные мульти-Сервисные системы
§IEC 62443 / ISA99 Модель безопасности
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 33
BigЛогическая структура промышленной сети в контексте ИБ
Зона DMZ регламентирует доступ между Enterprise и Manufacturingзонами.
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 34
DMZ #1 Реплики Historian
DMZ #2Управление патчами
DMZ #NТерминальных серверов
Уровень 4,5 Корпоративная сеть
Уровень 3 - Производственная площадка
Функциональные зоны
Граница соединения
Запрет прямых соединений
Зонирование и внутри DMZ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 35
В данном примере данные собираются и передаются в бизнес систему в Enterprise зоне
Данные не хранятся и не используются в зоне Manufacturing, таким образом отказ зоны DMZ не влияет на процесс производства
Данные IACS должны буфферизоваться на тот случай если не будет связи с DMZ.
Потоки трафика в зоне DMZ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 36
Топологии и внедрение зоны DMZ
МСЭ предприятия должен работать в HA режиме Active/Active либо Active/Standby
Рекомендуется топология с двумя МСЭ, данное разделение в том числе позволяет разным организациям контролировать потоки данных между зонами
DMZ <-> Manufacturing и DMZ <-> Enterprise
Рекомендуемые уровни безопасности:
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 37
1) Использовать стандартный Enterprise уровня удаленный доступ IPSEC с аутентификацией через Radius.
2) Ограничить возможность удаленных пользователей соединяться к DMZ только через HTTPS.
3) Соединиться с порталом в DMZ https.4) Установить VPN сессию через SSL и ограничить
использование приложений, например только RDP до терминального сервера.
5) Использовать IPS/IDS системы для отслеживания атак и червей от удаленных пользователей.
6) Ограничить количество терминальных приложений, которые пользователь может запустить, иметь систему аутентификации/авторизации каждого приложения.
7) Ограничить количество доступных функций в приложении для пользователя.
8) Выделить сервер удаленного доступа в отдельный VLAN и убедиться в прохождении его трафика через Firewall и IPS/IDS.
Пример работы удаленного доступа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 38
Где найти вертикальную специфику?
www.cisco.com/go/industry
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 39
Где найти описание архитектур, включая ИБ?
www.cisco.com/go/cvd www.cisco.com/go/safe
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 40
Продукты по промышленной ИБ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 41
Из чего состоит решение по защите промышленной сети?
Уровень реализации
Логический уровень
Концептуальный уровень
Люди Политики Технологии
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 42
Безопасность промышленных сетей от Cisco
IE Portfolio
ISEIR Portfolio 3000 and 6000 Series WDR IP Cameras
ASA H ICPAM Physical Access Control
OT-centricSecurity
IoT Network As a Sensor and Enforcer
IoTPhysical Security
Fog Data Services
ISA 3000
IoT Security Services
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 43
Безопасность – это часть промышленных сетевых устройств
Функции
Cisco® IE2000 Cisco IE2000U Cisco IE3000 Cisco IE4000
LAN Lite (Layer 2 Lite)
LAN Base (Layer 2)
Enhanced LAN Base
(Layer 2)
LAN Base(Layer 2) IP Services LAN Base
(Layer 2)IP Services(Full Layer 3)
LAN Base (Layer 2)
IP Services(Full Layer 3)
Layer 2 Features P R R R R R R R R
IPv6 O P P P P P R P R
Security P R R R R R R R R
QoS O P P R R R R R R
Multicast P P P P P P R R R
Manageability R R R R R R R R RUtility Enhancements O O O R R O O R R
IE Enhancements P R R P P R R R R
Layer 3 Features O P P P P P R P R
ФункцииLAN Lite
(Layer 2 Lite)LAN Base (Layer 2)
Enhanced LAN Base
(Layer 2)LAN Base(Layer 2) IP Services LAN Base
(Layer 2)IP Services(Full Layer 3)
LAN Base (Layer 2)
IP Services(Full Layer 3)
IE2000 IE2000U IE3000 IE4000R Full support P Limited features support O No supportLegend:
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 44
BigИспользование управляемых коммутаторов
Преимущества
• Возможность диагностики• Функции безопасности• Сегментация сети• Предотвращение петель, отказоустойчивость• Приоритезация промышленного трафика• Precise time synchronization (e.g. PTP)• Улучшенные контроль, диагностика, настройка•Управление multicast трафиком
Недостатки
• Дороже• Требует настройки
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 45
ResiliencyProtocol
Mixed Vendor Ring Redundant
StarNet Conv>250 ms
Net Conv50-100 ms
Net Conv> 1 ms Layer 3 Layer 2
STP (802.1D) X X X X
RSTP (802.1w) X X X X X
MSTP (802.1s) X X X X X
PVST+ X X X X
REP X X X
EtherChannel(LACP 802.3ad) X X X X
Flex Links X X X
DLR(IEC & ODVA) X X X X
StackWise X X X X X
HSRP X X X X
GLBP X X X X
VRRP(IETF RFC 3768) X X X X X
Отличия протоколов для корпоративного и промышленного применения
Net Conv: Network Convergence
Процессы и информация
Критичные к задержкам
Движение
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 46
Ключ к решениям Cisco по ИБ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 47
Мы должны сегментировать промышленную сеть
Взгляд со стороны инфраструктуры
Это буква «В»в модели BDA (выстраивание
системы отражения вторжений)
ДОКонтроль
Применениеполитик
Сдерживание
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 48
Взгляд со стороны эксплуатации
Не забывать про непрерывность защиты
Это буквы «D» и «А»модели BDA
(выстраивание системы реагирования на инциденты)
Обнаружение Блокировка Защита
ВО ВРЕМЯ ПОСЛЕОхват
ИзоляцияУстранение
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 49
Обзор решений Cisco по безопасности АСУТП
§ Cisco ASA Firewall для сегментации (и в промышленном исполнении)
§ Cisco FirePower NGIPS с набором сигнатур для промышленных систем
§ Cisco AMP for Endpoints для защиты от Malware угроз и угроз нулевого дня с ретроспективным анализом
§ Cisco AnyConnect для контроля доступа и оценки состояния NAC
§ Cisco ISE для идентификации и контроля доступа устройств и обнаружении неавторизованных подключений, оценка состояния и управление доступом.
§ Cisco Trustsec и VRF-lite – создание виртуальных сегментированных топологий с сервисами сквозной авторизации
§ Cisco Cyber Threat Defense (CTD)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 50
VPN
VDI
WSA
IPS
NGFW
FW
ISE
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Level 3½
Enterprise Zone
DMZ
PCD / Manufacturing Zone
PCN /Cell / Area Zone
?
?
Компоненты Cisco для защиты индустриальной сети
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 51
Потребность в специализированных МСЭ/IPS
Для промышленного применения, АСУ ТП, подстанций и т.п. требуется небольшой, монтируемый DIN-rail-type форм-фактор, способный работать в экстремальной окружающей среде
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 52
Пассивная защита в промышленной сети
Сложности Ответ Cisco
• Пассивное профилирование сети• Отсутствие задержек между устройствами и системами, требующими реального времени• «Белые списки» ожидаемого, предупреждения по аномалиями
• ICS означают статичность, но часто нет возможности проверить это • ICS построены с минимальным объемом системных ресурсов• Типичные ИТ-методы идентификации устройств могут привести к выходу из строя индустриальные системы
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 53
Новые модели Cisco ASA with FirePOWER Services
Desktop Model IntegratedWireless AP
Выше производительность Для АСУ ТП
100% NGFW -поставляется с AVC
Wi-Fi может управляться локально или через
Cisco WLC
1RU;; новая платформа –лучшее сочетание цены и производительности
NGFW для критичных инфраструктур и
объектов
5506-X 5506W-X 5508-X5516-X
5506H-X
Идеальна для
заменыCisco®ASA 5505
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 54
«Настольная» модель Cisco ASA 5506-X
7.92 x 8.92 x 1.73 in.
Параметр Значение
CPU Многоядерный
RAM 4 Гб
Ускоритель Да
Порты 8x GE портов данных, 1 порт управления с10/100/1000 BASE-T
Консольный порт RJ-45, Mini USB
USB-порт Type ‘A’ supports 2.0
Память 64-GB mSata
Охлаждение Convection
Питание AC external, No DC
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 55
Cisco ASA 5506H-X в защищенном исполнении
*** Конфигурация Cisco® ASA 5506-H идентична Desktop ASA 5506-X, исключая следующие параметры:
9 x 9.2 x 2.5 in.
Параметр Значение
Порты 4 x портов данных
Управление 1 порт, 10/100/1000BASE-T, 100BASE-FX, 1000BASE-X, SFP
Напряжение 5V (*** 5506 is 12V)
Диапазон температур От –20 до 60°C (рабочий)От -40 до 85°C (обычный)
Монтаж Wall-Mount, Horizontal Desk, Rack-Mount и DIN rail-mount
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 56
Специальные сертификаты на Cisco ASA 5506H-X
Сертификаты соответствия
9 x 9.2 x 2.5 in.
IP40 per IEC 60529KN22IEC 61850-3IEC 61000-6-5IEC 61000-5IEC 611000-4-18IEEE 1613.1IEEE C62.412IEC 1613IEC 61850-3IEC 60068-2
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 57
Промышленный МСЭ/IDS Cisco ISA 3000
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 58
Основные характеристики Cisco ISA 3000
§ Производительность: 2 Gbps
§ Кол-во IPSec/SSL VPN: 25
§ IPv4 MAC Security ACE: 1000
§ Кол-во интерфейсов: 4x1GE или 2xGE, 2xFiber (SFP)§ Медный: 4x10/100/1000BaseT
§ Оптический: 2x1GbE (SFP), 2x10/100/1000BaseT
§ 4 ядра Intel Rangely, SSD 64 GB
§ 8 GB DRAM, 16 GB Flash
§ Питание DC
§ Исполнение: -40C до 60C без обдува;; -40C до 70C с 40LFM;; -34C до 74C с 200LFM
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 59
Тип Стандарт
EMI /EMC Key standards
v EN-61850-3 / IEEE1613 (Power Substation)v EN 50155, EN 50121-4, EN 50121-3-2 (Railway)v EN 60945 / IEC 60533 (Marinev EN 61131-2 (Industrial Controls)v EN 61326 (Electrical Controls)v EN 61000-4-2 (Electro Static Discharge), 8KV Air / 15KV contactv EN 61000-4-3 (Electro Magnetic field, 10 and 20V/m)v EN 61000-4-4 (Fast Transients – 4 KV power line, 4 KV, data linev EN 61000-4-5 (Surge- 4 KV/2 KV)v EN 61000-4-6 (Conducted Immunity, 10V / emf)v EN 61000-4-8 (Power Frequency MFI 40A / m, 1000A / m (1s))v EN 61000-4-9 (Pulse MFI ) v EN 61000-4-10 (Oscillatory Magnetic Field Immunity)v EN 61000-4-11 (AC power Voltage Immunity) – AC PS (50 ms)v EN 61000-4-17 (Ripple on DC power port- for DC PS only)v EN 61000-4-29 (Voltage Dips Immunity- 10ms hold up time)v EN 61000-6-2 (Immunity for Industrial Environments)v EN 61000-6-4 (Emissions for Industrial environments)v EN 61000-6-1 (Immunity for Light Industrial Environments)
Промышленные сертификации
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 60
Варианты внедрений
§ Вне полосы§ Видимость§ Ограничено воздействие на трафик
§ В полосе§ Видимость§ Возможность блокировать атаки
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 61
Защитный функционал ASA 5506H-X / ISA 3000
Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений
Система гранулярного мониторинга и контроля приложений (Cisco® AVC)
Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER
Фильтрация URL-адресов на основе репутации и классификации
Система Advanced Malware Protection с функциями ретроспективной защиты
Система управления уязвимостями и SIEM
Cisco ASA
VPN и политики аутентификации
Фильтрация URL-адресов(по подписке)
FireSIGHTАналитика и автоматизация
Advanced Malware Protection
(по подписке)
Мониторинг иконтроль приложенийМежсетевой экран
Маршрутизация и коммутация
Кластеризация и высокая доступность
Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI
Встроенное профилирование сети
Предотвращение вторжений (по подписке)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 62
Поддержка промышленных протоколов
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 63
§ Препроцессоры для промышленных протоколов, например, для Modbus, DNP3
§ Возможность написания собственных сигнатур
§ Свыше сотни встроенных сигнатур
CitectSCADAOMRON
Kingview
IGSS
Tecnomatix
RealWin IconicsGenesis
Siemens
IntelliCom
Cogent
RSLogixDAQFactory
Beckhoff
Measuresoft
ScadaPro
BroadwinProgea Movicon
Microsys
Sunway
Moxa
GESielcoScadaTecSinapsiDATAC
WellinTech
Tridium
Schneider Electric
CODESYS
Отражение атак на промышленные системы
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 64
Множество встроенных сигнатур и правил корреляции(1:29202) PROTOCOL-SCADA Modbus read coil status response - too many coils(1:29203) PROTOCOL-SCADA Modbus read fifo response invalid byte count(1:29204) PROTOCOL-SCADA Modbus read holding register response - invalid byte count(1:29205) PROTOCOL-SCADA Modbus read input registers response invalid byte count(1:29206) PROTOCOL-SCADA Modbus read write register response - invalid byte count(1:29317) PROTOCOL-SCADA Modbus invalid exception message(1:29318) PROTOCOL-SCADA Modbus invalid encapsulated interface response(1:29319) PROTOCOL-SCADA Modbus invalid encapsulated interface request(1:29505) PROTOCOL-SCADA IGSS dc.exe file execution directory traversal attempt(1:29515) PROTOCOL-SCADA ScadaTec Procyon Core server password overflow attempt(1:29534) PROTOCOL-SCADA CODESYS Gateway-Server invalid memory access attempt(1:29954) PROTOCOL-SCADA CODESYS Gateway-Server heap buffer overflow attempt(1:29959) PROTOCOL-SCADA Siemens SIMATIC WinCC flexible runtime stack buffer overflow attempt(1:29960) PROTOCOL-SCADA Siemens SIMATIC WinCC flexible runtime DoS attempt(1:29964) PROTOCOL-SCADA Siemens SIMATIC WinCC flexible runtime directory traversal attempt(1:15071) PROTOCOL-SCADA Modbus exception returned(1:15074) PROTOCOL-SCADA Modbus user-defined function code - 65 to 72(1:15075) PROTOCOL-SCADA Modbus user-defined function code - 100 to 110(1:15389) PROTOCOL-SCADA OMRON-FINS memory area write attempt(1:15390) PROTOCOL-SCADA OMRON-FINS memory area fill attempt(1:15391) PROTOCOL-SCADA OMRON-FINS memory area transfer attempt(1:15713) PROTOCOL-SCADA DNP3 device trouble(1:15714) PROTOCOL-SCADA DNP3 corrupt configuration(1:15715) PROTOCOL-SCADA DNP3 event buffer overflow error(1:15716) PROTOCOL-SCADA DNP3 parameter error(1:15717) PROTOCOL-SCADA DNP3 unknown object error(1:15718) PROTOCOL-SCADA DNP3 unsupported function code error(1:15719) PROTOCOL-SCADA DNP3 link service not supported(1:17782) PROTOCOL-SCADA Modbus write multiple registers from external source(1:17783) PROTOCOL-SCADA Modbus write single register from external source(1:17784) PROTOCOL-SCADA Modbus write single coil from external source(1:17785) PROTOCOL-SCADA Modbus write multiple coils from external source(1:17786) PROTOCOL-SCADA Modbus write file record from external source(1:17787) PROTOCOL-SCADA Modbus read discrete inputs from external source(1:17788) PROTOCOL-SCADA Modbus read coils from external source(1:17789) PROTOCOL-SCADA Modbus read input register from external source(1:17790) PROTOCOL-SCADA Modbus read holding registers from external source(1:17791) PROTOCOL-SCADA Modbus read/write multiple registers from external source
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 65
Сигнатуры для АСУ ТП – можно и самостоятельноID сигнатурыСообщение Unauthorized communications with HMI
Сигнатура alert tcp192.168.0.97 any <> ! [192.168.0.3,192.168.10.21] any (msg:"HMItalking to someone other than PLC or RTU -NOT ALLOWED"; priority:1; sid:1000000; rev:1;)
Резюме Попытка неавторизованнои системы подключиться к HMI
Воздеиствие Компрометация системы
Информация
Подверженные системы PLC;RTU;HMI;DMZ-Web
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 66
Сигнатуры для АСУ ТП – можно и самостоятельноID сигнатурыСообщение Unauthorized to RTU Telnet/FTP
Сигнатура alert tcp!$PCS_HOSTS any -> 192.168.0.3 23 (msg:”Unauthorized connection attempt to RTU Telnet”; flow:from_client,established; content:”GET”; offset:2; depth:2; reference:DHSINLroadshow- IDStoHMI1;classtype:misc-activity; sid:1000003; rev:1; priority:1;)
Резюме Узел в контролируемои ЛВС попытлся подключиться к RTU Telnet-серверу
Воздеиствие СканированиеКомпрометация системы управления
Информация
Подверженные системы RTU
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 67
Сигнатуры для АСУ ТП – можно и самостоятельноID сигнатурыСообщение Yokogawa CENTUM CS 3000 stack buffer overflow attempt
Сигнатура alert tcp $EXTERNAL_NET any -> $HOME_NET 20171 (msg:"SCADA Yokogawa CENTUM CS 3000 stack buffer overflow attempt";; flow:to_server,established;; content:"|64 A1 18 00 00 00 83 C0 08 8B 20 81 C4 30 F8 FF FF|";; fast_pattern:only;; metadata:policy balanced-ips drop, policy security-ips drop;; reference:cve,2014-0783;; reference:url,www.yokogawa.com/dcs/security/ysar/YSAR-14-0001E.pdf;; classtype:attempted-admin;; sid:30562;; rev:1;; )
Резюме Вызов переполнения буфера для извлечения команд привилегированного режима
Воздеиствие Извлечение неавторизованных команд
Информация http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2014-0783
Подверженные системы Yokogawa CENTUM CS 3000 R3.09.50
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 68
Сигнатуры для АСУ ТП – можно и самостоятельноID сигнатурыСообщение PROTOCOL-SCADA Siemens SIMATIC WinCC flexible runtime DoS attempt
Сигнатура alert tcp $EXTERNAL_NET any -> $HOME_NET [2308,50523] (msg:"PROTOCOL-SCADA Siemens SIMATIC WinCC flexible runtime DoS attempt";; flow:to_server,established;; content:"|00 04 03|";; depth:3;; byte_test:4,>,0x410,23,little;; isdataat:1025;; reference:cve,2011-4877;; reference:url,www.exploit-db.com/exploits/18166/;; classtype:attempted-admin;; sid:29963;; rev:1;; )
Резюме Атака отказа в обслуживание, недоступность оборудования, останов тех. процесса
Воздеиствие Отказ в обслуживании
Информация www.exploit-db.com/exploits/18166/
Подверженные системы Siemens SIMATIC PCS
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 69
Сигнатуры для АСУ ТП – можно и самостоятельноID сигнатурыСообщение Modbus TCP -Unauthorized Write Request to a PLC
Сигнатура alert tcp !$MODBUS_CLIENT any -> $MODBUS_SERVER 502 (flow:from_client,established;; content:”|00 00|”;; offset:2;; depth:2;; pcre:”/[\S\s]3(\x05|\x06|\x0F| \x10|\x15|\x16)/iAR”;; msg:”Modbus TCP – Unauthorized Write Request to a PLC”;; reference:scada,1111007.htm;; classtype:bad- unknown;; sid:1111007;; rev:1;; priority:1;;)
Резюме Неавторизованныи Modbus-клиент попытался записать информацию на PLC или иное устроиства
Воздеиствие Целостность системы Отказ в обслуживании
Информация
Подверженные системы PLC и другие устроиства с Modbus TCP сервером
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 70
Подрядчик
Когда Что Где Как
9:00-17:00 ноутбук Ячейка 1 Проводн.
Традиционный RBAC и политики
HMIRockwell Automation
Stratix 8000Коммутатор доступа уровня 2
Ввод-вывод
Контроллер
Диск
Ячейка/зона 1
Ввод-вывод
HMI
Контроллер
Volt
PTP
Коммутатор уровня доступа 2
иПротокол REP
Ячейка/зона 2
Роль Авторизация
Контр. Ячейка 2:Разр. CIPРазр. httpЯчейка 1:Запрет
IED IED
Заводская шина
IED IED
Шина процессов
Завод
Операции SCADAинж
АКТИВЫинж
Планиро-ваниеинж
Удаленное управление
R
Подтв. авар. сигн. RТочечная разметка RТочка ручного обновл.
R
Откр/Закр HMI R R RВыход HMI R R R
Мониторинг и контроль операцийВозможности для инноваций
ISE + промышл. коммутаторыОтслеживание
Безопасный доступ для локальных пользователей
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 71
Безопасный доступ для локальных пользователей
Сеть доступа
Контроллер
Мультисервисная шинаПроизводственная сетьПолевая сетьБуровая площадкаТрансп. зонаУмные города
Беспроводная IPS
OMSdACLVLAN
Тег группы безопасности
XРоль ИТ-персонал Поставщик
Когда 9:00-17:00 ВТ
Что Ноутбук Ноутбук
Где Центробработкиданных
Трансп. зона
Как Wi-FiПроводн.
Wi-FiПроводн.
Аутенти-фикация
КамерыIP-телефоны
WWW
Согласованная политикадоступа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 72
Мониторинг и контроль доступа устройств и механизмов• Безопасность портов и централизованное управление• Реестр сетевых индустриальных систем• Идентификация и профилирование IoT-устройств
IoT-сети
Соотв. MAC
MACIP
ACL
00:00:23:67:89:ab 10.1.1.1 ABB Сайт1
dc:05:75:92:cd:bd 10.1.2.3 Siemens Сайт2
e4:90:69:34:9d:ab 10.1.2.5 Rockwell Сайт3
Контроллер CIP ABB Сайт1
RTU DNP Siemens Сайт1
IED Modbus Rockwell Сайт2
HMI OCP GE Сайт2
CAУправл.
Реестр — номер 1 среди 20 критических методов управления безопасностью
Сенсор IoT-устройств(в будущем)
802.1xКлиент
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 73
Политики ИБ дляпромышленной сети
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 74
Из чего состоит решение по защите промышленной сети?
Уровень реализации
Логический уровень
Концептуальный уровень
Люди Политики Технологии
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 75
Системные исправления
Сегментациясети
Антивирусная защита
Реагированиена инциденты
Проактивный мониторинг
Мониторинг безопасности
IPS /сигнатуры
Защитаот угроз
Аварийноевосстановление
Резервное копирование
и восстановление
Непрерывноесовершенствование
Организация Стабилизация Обнаружение РеагированиеЗащита
Белые и черные списки Черные списки
Сбор и управление журналами безопасности
Обнаружениеаномалий
Обнаружениевредоносного
ПО
Обнаружение вторжений
Политика безопасности
Виртуализация
Шифрование
KPI и аналитика
Учет местонахождения
Реестр процессов
Оценка
Управление изменениями
Обучение и пониманиеПанели
управления и отчеты
Фокус на ключевых векторах атаки в рамках сети управления процессами за счет организации необходимого контроля при помощи лучших современных практик в области безопасности
Доступ и управление PCN
Физическая безопасность
Промышленныебеспроводные
сети
Безопасность портативныхустройств
До Во время После
ПЛАНИРОВАНИЕ СОЗДАНИЕ ВЫПОЛНЕНИЕ МОНИТОРИНГ УПРАВЛЕНИЕ
Защищенноехранилище
Реестр и управление активами
Сегментациясети
Доступ и управление PCN
Защищенноехранилище
Разработка политик по ИБ для промышленной сети
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 76
Управление промышленной ИБ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 77
Из чего состоит решение по защите промышленной сети?
Уровень реализации
Логический уровень
Концептуальный уровень
Люди Политики Технологии
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 78
Системные исправления
Сегментациясети
Антивирусная защита
Реагированиена инциденты
Проактивный мониторинг
Мониторинг безопасности
IPS /сигнатуры
Защитаот угроз
Аварийноевосстановление
Резервное копирование
и восстановление
Непрерывноесовершенствование
Организация Стабилизация Обнаружение РеагированиеЗащита
Белые и черные списки Черные списки
Сбор и управление журналами безопасности
Обнаружениеаномалий
Обнаружениевредоносного
ПО
Обнаружение вторжений
Политика безопасности
Виртуализация
Шифрование
KPI и аналитика
Учет местонахождения
Реестр процессов
Оценка
Управление изменениями
Обучение и пониманиеПанели
управления и отчеты
Фокус на ключевых векторах атаки в рамках сети управления процессами за счет организации необходимого контроля при помощи лучших современных практик в области безопасности
Доступ и управление PCN
Физическая безопасность
Промышленныебеспроводные
сети
Безопасность портативныхустройств
До Во время После
ПЛАНИРОВАНИЕ СОЗДАНИЕ ВЫПОЛНЕНИЕ МОНИТОРИНГ УПРАВЛЕНИЕ
Защищенноехранилище
Реестр и управление активами
Сегментациясети
Доступ и управление PCN
Защищенноехранилище
Управление ИБ с помощью Cisco Secure Ops
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 79
Архитектура Cisco SecureOps
Server
Firewall
Switch
RouterHypervisor
Identity Services
Patching
Anti-Virus
AAA/TACACS
ComplianceReporting
ProactiveMonitoring
NetworkHealth
Dashboard
Active Directory
Terminal Services
Log Collection
Servers
Firewall
SecureCenter(Ops or Data Center)
SecureSite(Substation, Rig, Plant Floor)
Hypervisor
Asset Inventory
Patching
Anti-Virus
Proactive Monitoring
Event Log Collection
Secure File DeliveryВладеет или управляет Cisco
Гибкий provisioning
Одна или несколько площадок
Обеспечение SLA’s
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 80
Иные ИБ-сервисы
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 81
А также тесты на проникновения и аудиты промышленных сетей
Device Security Security Hardware Hardware Security Software Security
Moving Target Security Cryptography Penetration Testing Operational Security
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 82
Аутсорсинг ИБАнализ угроз
Operations
Продукты по ИБ Архитектура ИБ
Исследования Консалтинг«Разведка»
И иные сервисы ИБ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 83
Соответствиетребованиям
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 84
Приказ ФСТЭК 31 по защите АСУ ТП
• 31 от 14.03.2014 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»
• Все новые и модернизируемые системы должны создаваться по новому приказу, а не по документам ФСТЭК для КСИИ 2007-го и последующих годовВ тех случаях, если КСИИ управляют технологическими процессамиОстальные типы КСИИ продолжают подчиняться требованиям ФСТЭК к ключевым системами информационной инфраструктуры
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 85
Отличия в оценке соответствия
Особенность Приказ 21 Приказ 17 Приказ 31Оценка соответствия В любой форме (нечеткость
формулировки и непонятное ПП-330)
Только сертификация в системах сертификации ФСТЭК или ФСБ
В любой форме (всоответствии с ФЗ-184)
Аттестация Коммерческий оператор -на выбор оператораГосоператор - аттестация
Обязательна Возможна, но не обязательна
Контроль и надзор Прокуратура – всеФСТЭК/ФСБ – только госоператоры (РКН не имеет полномочий проверять коммерческих операторов ПДн)
ФСТЭК ФСБ и ФОИВ, ответственный за безопасность КИИ (определяется в настоящий момент)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 86
~600 ФСБ НДВ 34 123Сертификатов ФСТЭК на
продукцию Cisco
Сертифицировала решения Cisco
(совместно с С-Терра СиЭсПи)----
Ждем еще ряд важных анонсов
Отсутствуют в ряде продуктовых линеек Cisco
----На сертификацию поданы новые продукты
Линейки продукции Cisco
прошли сертификацию по схеме «серийное производство»
Продуктовых линеек Cisco
сертифицированы во ФСТЭК
Сертификация решений Cisco по требованиям ИБ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 87
Первые в РФ сертификаты ФСТЭК на промышленные МСЭ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 88
Резюме
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 89
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 90
Архитектура ИБ Cisco
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 91
Cisco IoT System Security в действии
Подрядчик пытается
вывести из строя АСУ ТП на подстанции
Защита на базе контекста предотвращает ущерб
системе
АСУ ТП защищена
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 92
Как мы соответствует требованиям регуляторов?
• Решения Cisco позволяют выполнить многие требования приказа ФСТЭК 31 по защите автоматизированных систем управления технологическими процессами
• Эти решения могут быть применены как в самом промышленном сегменте, так и на стыке с корпоративной сетью или Интернет
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 93
Дополнительная информация
Раздел «Брошюры» на сайте www.cisco.ru
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 94
Дополнительная информация
• Converged Plant-Wide Ethernet DIG
• Planning for a Converged Plant-wide Ethernet
Architecture – ARC Group
• Secure Wireless Plant
• Industrial Intelligence Architecture
• Securing Manufacturing Computer and
Controller Assets
• Achieving Secure Remote Access to Plant Floor
Applications
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 95
Пишите на security-[email protected]
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussiahttp://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/postshttp://www.cisco.ru/
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 96
Благодарюза внимание