Hợp Nhất Group

Giải pháp bảo mật hệ thống mạng SCADA

Các hệ thống quản lý ngành công nghiệp, sản xuất và cung cấp dịch vụ tiện ích như điện, dầu, nước… được vận hành bởi các thiết bị điện – điện tử, cơ khí, thủy lực và các loại thiết bị chuyên dụng khác. Do đặc thù của ngành, các hệ thống này được vận hành liên tục 24/7, tự động và có cơ chế tự điều khiển theo các tình huống giả định được thiết lập sẵn. Do vậy, các hệ thống này thông thường được vận hành và giám sát bởi các hệ thống máy tính chuyên dụng được gọi là bộ điều khiển và cảm biến. Tích hợp với các hệ thống quản lý, chúng cung cấp các giải pháp của SCADA (Hệ thống Thu thập dữ liệu và Điều khiển giám sát), cho phép thu thập và phân tích dữ liệu hiệu quả và giúp tự động kiểm soát các thiết bị chuyên dụng trong hệ thống như máy bơm, van và rơle.

SCADA: Supervisory Control And Data Acquisition – Hệ thống Thu thập dữ liệu và Điều khiển giám sát

Sử dụng trong các hệ thống yêu cầu mức độ tin cậy cao, hoạt động liên tục trong môi trường công nghiệp khắc nghiệt, không dễ dàng trong thay thế, lắp đặt, nên các thiết bị trong giải pháp SCADA phải đảm bảo yếu tố bền vững và bền bỉ trong thời gian dài, từ 5 năm hay thậm chí hơn 10 năm.

Với tầm quan trọng và ảnh hưởng tới cộng đồng và xã hội, các cơ sở cung cấp dịch vụ công cộng, các hệ thống kiểm soát giao thông đô thị, đã trở thành mục tiêu tấn công và gần đây đã bị tấn công bởi hàng loạt các vi phạm mạng, trộm cắp dữ liệu và từ chối dịch vụ… Tất nhiên, chúng ta nhận biết việc này nhiều nhất qua truyện và phim ảnh của Hollywood, nhưng thực sự nó đã xảy ra trong thực tế.

Ở Việt Nam, bề ngoài, đó là việc hacker tấn công và chiếm quyền điều khiển hệ thống hiển thị màn hình ở sân bay. Nhưng thực sự, hệ thống CSDL khách hàng của hàng không có còn đảm bảo an toàn, toàn vẹn?

Với thực tế như vậy, bên cạnh vấn đề đảm bảo yêu cầu cung cấp liên tục của dịch vụ xã hội, tính toàn vẹn dữ liệu, chính xác trong kiểm soát giao thông đường không/đường bộ, điều kiện tiên quyết là chúng ta cần giải quyết triệt để những lo ngại về bảo mật của hệ thống SCADA, với đặc thù thiết bị vận hành lâu dài, sử dụng các thiết bị, hệ thống và công nghệ có tuổi đời từ 5-10 năm trước. Còn công nghệ thế giới đang được nghiên cứu, phát triển và ứng dụng với tốc độ phi mã. Quả là 1 cuộc chiến không cân sức.

Đặc thù mạng SCADA và yêu cầu bảo mật

Mặc dù việc thiết kế và chế tạo các bộ điều khiển SCADA cũng như thiết bị cài đặt hệ thống quản lý là theo yêu cầu riêng của người dùng tùy theo yêu cầu hệ thống, nhưng vẫn không tách rời thực tế là sử dụng trên nền tảng các máy trạm làm việc (workstation) cài đặt hệ điều hành chuẩn được tùy biến (Windows/Linux hay Unix), cùng với các ứng dụng phần mềm, các giao thức truyền thông và đăng nhập phổ thông.

Do đó, dù có vẻ khác biệt, các hệ thống SCADA sẽ gặp đủ các vấn đề như hệ thống IT thông thường, các lỗ hổng, khác biệt giữa các sản phẩm được kiểm tra, backdoor, thiếu chứng thực và mã hóa, chưa cập nhật các bản vá và lưu trữ mật khẩu yếu sẽ cho phép kẻ tấn công truy cập vào hệ thống. Như vậy nguy cơ dẫn đến thiết bị có thể gây treo hoặc dừng chúng và can thiệp vào những quy trình quan trọng được kiểm soát bởi chúng, chẳng hạn như việc mở và đóng van, gây rối loạn hệ thống điều khiển giao thông.

Tuy vậy, do nhiệm vụ, mạng SCADA được tách biệt về mặt vật lý với các mạng IT của doanh nghiệp/tổ chức, hay sử dụng cùng một mạng IT (LAN và WAN) nhưng mã hóa lưu lượng mạng SCADA của họ trên một cơ sở hạ tầng chia sẻ. Và, cả 2 mạng có sự trao đổi để truy xuất thông tin dữ liệu cũng như gửi yêu cầu vận hành giữa chúng.

Bên cạnh yếu tố là 1 mạng kết nối với mạng IT, các thiết bị và mạng SCADA có thêm các đặc điểm khác biệt so với các thiết bị và mạng IT:

  • Lắp đặt ở các vị trí không tiện cho nhân công lắp đặt (tháp, trên giàn khoan dầu, robot đang hoạt động, nhà máy điện/nước/dầu, cột đèn giao thông), yêu cầu về môi trường hơn các hệ thống CNTT thông thường (ví dụ như ngoài trời, nhiệt độ quá cao, môi trường có độ acid/kiềm hóa cao, xung lắc) hoặc yêu cầu đầu vào/đầu ra đặc thù.
  • Sử dụng các hệ điều hành thông thường, nhưng được tùy biến/nhúng để tương thích với hệ thống, nhưng lại ít để ý tới sự an toàn về an ninh.
  • Phần mềm được thiết kế riêng, ưu tiến tính tới sự sẵn sàng, bền bỉ của hệ thống, do đó, lại ít được cập nhật hoặc vá lỗi thường xuyên, do hạn chế truy cập hay e ngại sự ảnh hưởng khi phải gián đoạn cho nâng cấp hệ thống.
  • Sử dụng các giao thức độc quyền hoặc đặc biệt như MODBUS, DNP3.

Các đơn vị cung cấp dịch vụ bảo mật với nhiều kinh nghiệm trong việc bảo vệ mạng IT trước vấn đề hiểm họa đe dọa hệ thống ngày càng tăng theo cấp số, từ lỗi của hệ điều hành, lỗ hổng phần mềm ứng dụng hay sự không tương thích giữa phần cứng-phần mềm tới firmware, liên tục tối ưu, phát triển các quy trình cho phép xậy dựng hệ thống tiệm cận mức vận hành một cách an toàn.

Việc tái sử dụng tri thức, liên tục nghiên cứu, áp dụng công nghệ phát triển qua nhiều năm có thể xây dựng một hệ thống an toàn, đồng thời tiết kiệm thời gian và chi phí. Điều này chỉ có khi đạt được điều kiện cần là hiểu và đánh giá được sự khác biệt giữa SCADA và môi trường IT, trước khi ứng dụng dụng các thực tiễn và công nghệ bảo mật chuyên biệt như là một phần của giải pháp.

Nguyên tắc thiết kế hệ thống bảo mật cho mạng SCADA

Thiết kế giải pháp bảo mật tổng thể cho mạng SCADA, cũng như kết nối mạng SCADA và mạng IT cần đáp ứng cả về thiết bị và giải pháp, các nguyên tắc chính như sau:

  • Đảm bảo sự an toàn của thiết bị mạng SCADA và giao diện kết nối giữa mạng IT và SCADA:
    • Có tách biệt vật lý giữa các bộ điều khiển vận hành theo thời gian thực của SCADA và mạng khác (Corporate Network – mạng IT của doanh nghiệp, SCADA Monitoring Network – mạng giám sát SCADA).
    • Đặt các thiết bị bảo mật Gateway tại kết nối giữa các mạng, đảm bảo chỉ có lưu lượng truy cập được xác thực và cho phép vào/ra khỏi mạng. Việc xác nhận này phải được thực hiện trên tất cả các giao tiếp, giao thức, phương pháp, truy vấn và phản hồi và payloads bằng tường lửa, kiểm soát ứng dụng, IPS và antivirus.
    • Sử dụng giải pháp chống các cuộc tấn công dạng Bot nhằm giải quyết các phần mềm độc hại có thể đã xâm nhập và nằm trong mạng thiết bị.
    • Ứng dụng công nghệ sandboxing (ảo hóa phần mềm) giúp cách ly/ xác định và xử lý các phần mềm độc hại được nhúng trong các tệp tin ứng dụng như Excel, Word, Power Point, PDF, EXE…

  • Đảm bảo rằng tất cả máy trạm được sử dụng để quản lý và bảo dưỡng không có phần mềm độc hại và tuân theo yêu cầu sau:
    • Sử dụng máy trạm riêng biệt cho phần mềm quản lý SCADA.
    • Với các máy trạm hoạt động ở cả mạng IT, SCADA và cả Internet thì có chính sách rõ ràng với người dùng, với phần mềm và cấu hình máy và cần giám sát lưu lượng/file cũng như tải của hệ thống theo thời gian thực.
    • Tất cả các máy trạm đều phải được kiểm soát bởi các thiết bị đầu cuối bao gồm tường lửa, điều khiển ứng dụng, điều khiển cổng, xác thực/mã hóa truyền thông, IPS và antivirus.

Giải pháp bảo mật cho mạng SCADA

Mô hình giải pháp bảo mật tổng thể đề xuất cho hệ thống mạng SCADA và mạng IT của khách hàng.

Giải pháp bảo mật gồm 2 nhiệm vụ chính:

  • Cung cấp giải pháp bảo mật giữa mạng SCADA và mạng liên quan (mạng IT doanh nghiệp, mạng giám sát hệ thống SCADA). Như vậy, tại mỗi gateway giữa các mạng, cũng như trước các thiết bị SCADA có đặt các thiết bị bảo vệ mạng.
  • Thiết bị bảo mật được thiết kế đảm bảo khả năng hoạt động trong môi trường công nghiệp. Các tính năng bảo mật chính được active trên thiết bị bao gồm: FW, IPS, application control, Identity Awareness, Antibot & Anti Virus, điều này cho phép các các traffic hợp pháp được trao đổi giữa các thành phần khác nhau của hệ thống SCADA, đồng thời cho phép phát hiện các bots trong hệ thống SCADA (post-infection) và từ đó ngăn chặn các kết nối đó ra ngoài Internet.

Các thiết bị bảo mật cần phải có bao gồm:

  • Firewall bảo vệ biên mạng SCADA
    • Được thiết kế với chức năng bảo mật cho các thiết bị SCADA như bộ điều khiển các trạm, các tủ điều khiển…, tùy theo mức độ quan trọng của thiết bị, có thể thiết lập chế độ Standalone hay High Availability.
    • Thiết bị không chỉ được thiết kế hoạt động trong môi trường công nghiệp khắc nghiệp mà còn được thiết kế hỗ trợ bảo mật toàn diện cho hệ thống SCADA. Thiết bị có thiết kế vật lý chắc chắn. Phải tuân thủ các quy định về bụi, nhiệt độ cực đại, độ ẩm và độ rung để đảm bảo độ bền vật lý.
    • Thiết bi cần đảm bảo mức MTBF cực kỳ cao (thời gian trung bình giữa các lỗi) và các phụ kiện quạt và ổ đĩa cứng có độ tin cậy cao, đảm bảo sử dụng lâu dài mà ít phải bảo dưỡng, sửa chữa hay thay thế.
  • Firewall bảo vệ mạng trung tâm giám sát và các trạm điện ở các mức hoạt động L3.5 đến L4.5. Thiết bị có đầy đủ tính năng bảo mật và chống lại các hiểm họa cho mạng SCADA và mạng liên quan, có thông lượng xử lý lớn đảm bảo tốc độ xử lý cho các ứng dụng điều khiển và ứng dụng quản lý vận hành. Với mức độ quan trọng, tường lửa này được thiết lập ở chế độ ưu tiên cao High Availability, Cluster hay Active-Standby.
  • Thiết bị quản lý tập trung
    • Quản lý tất cả các thiết bị tường lửa bảo mật, cung cấp chức năng quản lý tổng thể, thống nhất về trạng thái, log và chính sách bảo mật của tất cả các tường lửa kết nối trên mạng IT và mạng SCADA để đảm bảo tính thống nhất của các chính sách, phản ứng nhanh với các sự kiện, sự cố an toàn thông tin.
    • Vì an ninh của các tổ chức bao gồm nhiều lớp, điều quan trọng là phải có một cái nhìn duy nhất về tất cả sự cố an ninh ở một nơi. Chuẩn hóa và thống nhất các giải pháp bảo mật có thể cho phép sử dụng các chuyên gia đã có mặt trong tổ chức và cung cấp cái nhìn toàn cảnh tốt hơn về thái độ bảo mật trên các thiết bị bảo mật, các thiết bị bảo mật hệ thống IT và các máy tính đầu cuối.



Câu hỏi thường gặp trước khi mua hàng

✓ Trả lời: Dải sản phẩm thiết bị mạng chính hãng tồn kho phong phú đủ chủng loại, Chúng tôi đáp ứng nhu cầu của mọi đối tượng khách hàng. Với chính sách bán hàng linh hoạt và nhiều ưu đãi.
✓ Trả lời: Tất cả sản phẩm do chúng tôi phân phối được nhập khẩu chính hãng thiết bị mạng, đầy đủ giấy tờ CO,CQ do thiết bị mạng cung cấp. Hợp Nhất luôn tâm niệm chữ Tín quý hơn Vàng. Chúng tôi cam kết hỗ trợ khách hàng tối đa các công cụ kiểm tra hàng giả, hàng nhái để khách hàng tự bảo vệ mình.
✓ Trả lời: Đội ngũ kỹ thuật và kỹ sư bán hàng của chúng tôi luôn hỗ trợ bạn mọi lúc mọi nơi tất cả các ngày trong tuần 24/7.
✓ Trả lời: Hợp Nhất là nhà phân phối sản phẩm thiết bị mạng chính hãng uy tín danh tiếng tại thị trường Việt Nam. Hợp Nhất luôn tiên phong cung cấp các giải pháp tích hợp trước và sau bán hàng nhằm giúp khách hàng tối ưu hóa chi phí, hiệu quả và tiết kiệm thời gian. Với kinh nghiệm lâu năm trong lĩnh vực phân phối thiết bị mạng chúng tôi luôn mang đến các sản phẩm, dịch vụ chất lượng tốt nhất với phong cách phục vụ chuyên nghiệp, tận tâm đã được hàng ngàn khách hàng trên cả nước hợp tác và tín nhiệm.
✓ Trả lời: Cho dù bạn ở đâu? chúng tôi luôn sẵn sàng được phục vụ nhu cầu của bạn với chế độ giao hàng và thanh toán linh hoạt.