Журнал "Information Security/ Информационная безопасность" #2, 2023

• 19 Защита аСУ тП и IOT www.itsec.ru У главных инженеров автоматизиро- ванных систем КИИ (как бы ни называ- лась их должность) есть незабываемый опыт подбора различных (вроде бы типо- вых) инструментов для применения в их КИИ, в ходе которого неизменно оказы- валось, что все серийные инструменты создаются для офисного применения и адаптировать их к применению на специ- фичных для КИИ технических средствах, в специфичных для КИИ условиях (тряски, пыли, расположения в трубе или на столбе и т.д.) невозможно или стоит неразумных денег (конечно, по совершенно объектив- ным причинам – мелкая серия, сертифи- кация и пр.). Варианта развития событий два: использовать то, что плохо подходит, а значит, плохо работает и ломается (то, что предназначено для работы в одних условиях, точно плохо работает и лома- ется в других), или делать самому то, что подходит. Примеров таких инструментов масса, и часто они хорошие. Однако стоит все же помнить о том, что это выбор из двух зол. В вопросе защиты сетевой комму- никации в КИИ больше этот выбор делать не надо. На рынке представлено решение, спроектированное именно для КИИ, с учетом основной технологической особенности таких систем – разнообра- зия и, скажем так, своеобразия форми- рующих их технических средств. Это одноплатный микрокомпьютер с аппа- ратной защитой данных m-TrusT. Конструктивно этот компьютер Новой гарвардской архитектуры включает в себя док-станцию, которая стацио- нарно включается в состав элемента КИИ, и подключаемый к ней универ- сальный по своему аппаратному испол- нению модуль – мезонин (m в названии микрокомпьютера – это именно "мезо- нин"). Док-станция предназначена для того, чтобы корректно подключить m-Trust к тому или иному конкретному элементу КИИ, поэтому ее конструктивное реше- ние и набор портов могут существенно различаться, ведь такими элементами могут быть самые разные объекты, от локомотивов до банкоматов, от газовых счетчиков до терминалов управления АЭС. Очевидно, что на таких объектах оборудование, защищенное сетевое взаимодействие которого нужно обес- печить, не просто имеет существенные особенности, но и является зачастую уникальным, то есть предъявляет жест- кие требования к аппаратной адаптации средства защиты. Поэтому в случае, если не подходит ни один из ранее раз- работанных вариантов, док-станция про- ектируется для конкретного оборудо- вания. m-TrusT – это платформа СКЗИ-ready с заранее созданными условиями обес- печения среды функционирования крип- тографии на класс КС3. Есть опыт сер- тификации СКЗИ в варианте исполнения на m-TrusT на классы КС2 и КС3. Важно, что это именно платформа. На основе m- TrusT строятся различные решения, и строятся не только нами, но и интег- раторами и даже непо- средственно эксплуати- рующими организациями. Непосредственно нами на базе m-TrusT выпус- кается, например, TrusT- in-Motion – криптошлюз для систем с подвижными объектами в четырех вари- антах исполнения аппарат- ной платформы. Каждый вариант может поставлять- ся с предустановленным СКЗИ или СКЗИ-ready, если заказчику нужно установить СКЗИ по свое- му усмотрению. В линейке также есть продукт fin- TrusT – криптошлюз для банкоматов, МЭ-TrusT – межсетевой экран объекто- вого уровня. Предпосылкой к такому свободному управлению криптографическим моду- лем является как раз таки его модуль- ность: та часть, которая является пред- метом сертификационных исследований как обеспечивающая среду исполнения криптографии, – постоянная, а адапти- руется под разнообразие технических средств интерфейсная плата, на которую вынесены порты и коммуникации. Параметры мезонина m-TrusT: Процессор: ARM64 RockChip RK3399 Количество ядер: 6 (2 ядра ARM Cor- tex-A72 + 4 ядра ARM Cortex-A53) Частота: 2 ГГц Объем ОЗУ: 4 Гбайт Объем ПЗУ: 16 Гбайт (может быть расширен до 64 Гбайт) Видеоадаптер: Mali-T860MP4 GPU, поддержка OpenGL ES1.1/2.0/3.0, Open- CL1.2, DirectX11.1 Видеовыход: mini-HDMI Встроенный модуль РКБ: аппаратный генератор случайных чисел, защищенное ключевое хранилище, возможность хра- нения неизвлекаемого ключа. В m-TrusT предустановлено СДЗ уров- ня BIOS, сертифицированное ФСТЭК России, средство разграничения доступа, Новая гарвардская архитектура обес- печивает вирусный иммунитет. Для иллюстрации приведем варианты исполнения в виде TrusT-in-Motion: 2, 4 или 12 портов М12, Ethernet – Female Ethernet 100 Мбит/с или 1 Гбит/с; или 2 порта RJ-45 1 Гбит/с, корпус металли- ческий или пластиковый на din-рейку или серверный в стойку, внешние или встроенные блоки питания на 110 В (DC) или 220 D (AC), разная потребляе- мая мощность. А для тех инженеров, которые все же уверены, что лучше всего сделают сами, мы поставляем m-TrusT вообще без док-станции, в виде мезонина, с тем чтобы его можно было исполь- зовать как встроенный модуль в неко- тором устройстве. Разработка решения под свои задумки – это свободный выбор, а не вынужденная мера, когда есть из чего выбирать и есть что использовать в своем решении. Сейчас для защиты сетевой коммуникации в КИИ есть m-TrusT. Можно использо- вать. l Построение защиты объектов КИИ: использовать неподходящее или делать самому? т убеждения тем сложнее отказаться, чем более тяжелым опытом это убеждение сформировано. К сожалению, убеждение “Хочешь, чтобы было сделано хорошо, – сделай сам" относится к тем, которые вырабатываются наиболее болезненно. О АДРЕСА И ТЕЛЕФОНЫ "ОКБ САПР" см. стр. 52 NM Реклама