Nguyên tắc thiết kế hệ thống bảo mật cho mạng SCADA

Thiết kế giải pháp bảo mật tổng thể cho mạng SCADA, cũng như kết nối mạng SCADA và mạng IT cần đáp ứng cả về thiết bị và giải pháp, các nguyên tắc chính như sau:

  • Đảm bảo sự an toàn của thiết bị mạng SCADA và giao diện kết nối giữa mạng IT và SCADA:
    • Có tách biệt vật lý giữa các bộ điều khiển vận hành theo thời gian thực của SCADA và mạng khác (Corporate Network – mạng IT của doanh nghiệp, SCADA Monitoring Network – mạng giám sát SCADA).
    • Đặt các thiết bị bảo mật Gateway tại kết nối giữa các mạng, đảm bảo chỉ có lưu lượng truy cập được xác thực và cho phép vào/ra khỏi mạng. Việc xác nhận này phải được thực hiện trên tất cả các giao tiếp, giao thức, phương pháp, truy vấn và phản hồi và payloads bằng tường lửa, kiểm soát ứng dụng, IPS và antivirus.
    • Sử dụng giải pháp chống các cuộc tấn công dạng Bot nhằm giải quyết các phần mềm độc hại có thể đã xâm nhập và nằm trong mạng thiết bị.
    • Ứng dụng công nghệ sandboxing (ảo hóa phần mềm) giúp cách ly/ xác định và xử lý các phần mềm độc hại được nhúng trong các tệp tin ứng dụng như Excel, Word, Power Point, PDF, EXE…

  • Đảm bảo rằng tất cả máy trạm được sử dụng để quản lý và bảo dưỡng không có phần mềm độc hại và tuân theo yêu cầu sau:
    • Sử dụng máy trạm riêng biệt cho phần mềm quản lý SCADA.
    • Với các máy trạm hoạt động ở cả mạng IT, SCADA và cả Internet thì có chính sách rõ ràng với người dùng, với phần mềm và cấu hình máy và cần giám sát lưu lượng/file cũng như tải của hệ thống theo thời gian thực.
    • Tất cả các máy trạm đều phải được kiểm soát bởi các thiết bị đầu cuối bao gồm tường lửa, điều khiển ứng dụng, điều khiển cổng, xác thực/mã hóa truyền thông, IPS và antivirus.

Giải pháp bảo mật cho mạng SCADA

Mô hình giải pháp bảo mật tổng thể đề xuất cho hệ thống mạng SCADA và mạng IT của khách hàng.

Giải pháp bảo mật gồm 2 nhiệm vụ chính:

  • Cung cấp giải pháp bảo mật giữa mạng SCADA và mạng liên quan (mạng IT doanh nghiệp, mạng giám sát hệ thống SCADA). Như vậy, tại mỗi gateway giữa các mạng, cũng như trước các thiết bị SCADA có đặt các thiết bị bảo vệ mạng.
  • Thiết bị bảo mật được thiết kế đảm bảo khả năng hoạt động trong môi trường công nghiệp. Các tính năng bảo mật chính được active trên thiết bị bao gồm: FW, IPS, application control, Identity Awareness, Antibot & Anti Virus, điều này cho phép các các traffic hợp pháp được trao đổi giữa các thành phần khác nhau của hệ thống SCADA, đồng thời cho phép phát hiện các bots trong hệ thống SCADA (post-infection) và từ đó ngăn chặn các kết nối đó ra ngoài Internet.

Các thiết bị bảo mật cần phải có bao gồm:

  • Firewall bảo vệ biên mạng SCADA
    • Được thiết kế với chức năng bảo mật cho các thiết bị SCADA như bộ điều khiển các trạm, các tủ điều khiển…, tùy theo mức độ quan trọng của thiết bị, có thể thiết lập chế độ Standalone hay High Availability.
    • Thiết bị không chỉ được thiết kế hoạt động trong môi trường công nghiệp khắc nghiệp mà còn được thiết kế hỗ trợ bảo mật toàn diện cho hệ thống SCADA. Thiết bị có thiết kế vật lý chắc chắn. Phải tuân thủ các quy định về bụi, nhiệt độ cực đại, độ ẩm và độ rung để đảm bảo độ bền vật lý.
    • Thiết bi cần đảm bảo mức MTBF cực kỳ cao (thời gian trung bình giữa các lỗi) và các phụ kiện quạt và ổ đĩa cứng có độ tin cậy cao, đảm bảo sử dụng lâu dài mà ít phải bảo dưỡng, sửa chữa hay thay thế.
  • Firewall bảo vệ mạng trung tâm giám sát và các trạm điện ở các mức hoạt động L3.5 đến L4.5. Thiết bị có đầy đủ tính năng bảo mật và chống lại các hiểm họa cho mạng SCADA và mạng liên quan, có thông lượng xử lý lớn đảm bảo tốc độ xử lý cho các ứng dụng điều khiển và ứng dụng quản lý vận hành. Với mức độ quan trọng, tường lửa này được thiết lập ở chế độ ưu tiên cao High Availability, Cluster hay Active-Standby.
  • Thiết bị quản lý tập trung
    • Quản lý tất cả các thiết bị tường lửa bảo mật, cung cấp chức năng quản lý tổng thể, thống nhất về trạng thái, log và chính sách bảo mật của tất cả các tường lửa kết nối trên mạng IT và mạng SCADA để đảm bảo tính thống nhất của các chính sách, phản ứng nhanh với các sự kiện, sự cố an toàn thông tin.
    • Vì an ninh của các tổ chức bao gồm nhiều lớp, điều quan trọng là phải có một cái nhìn duy nhất về tất cả sự cố an ninh ở một nơi. Chuẩn hóa và thống nhất các giải pháp bảo mật có thể cho phép sử dụng các chuyên gia đã có mặt trong tổ chức và cung cấp cái nhìn toàn cảnh tốt hơn về thái độ bảo mật trên các thiết bị bảo mật, các thiết bị bảo mật hệ thống IT và các máy tính đầu cuối.

Link phần 1: https://techinsight.com.vn/bao-mat-thong-mang-scada-phan-1/

Song Phương

Tin liên quan: