16+
Регистрация
РУС ENG
http://www.eprussia.ru/epr/234/15588.htm
Газета "Энергетика и промышленность России" | № 22 (234) ноябрь 2013 года

Защита промышленных сетей в системах автоматизации

Производство для энергетики Денис ЗОЗУЛЯ, менеджер по продукции Control and Industry Solutions ООО «Феникс Контакт РУС» 2863

Автоматизация опасных производств и объектов инфраструктуры требует соблюдения комплекса мер для обеспечения безопасности технологического процесса. Технологическая авария может привести как к серьезным финансовым потерям, так и к экологической катастрофе.

Для обеспечения безопасности технологического процесса на уровне АСУ ТП применяется комплекс мер, таких, как резервирование и повышенная надежность компонентов.

Современные системы автоматизации строятся с применением сетевых технологий. Но даже промышленные сети Industial Ethernet так же уязвимы, как и ИТ-сети. Но в отличие от офисных, защите промышленных сетей не всегда уделяется должное внимание.



Специфика промышленных решений информационной безопасности

В чем же специфика систем информационной безопасности в АСУ ТП? Во-первых, системы защиты должны соответствовать промышленным требованиям по механике и климатическому исполнению. Отличается и специ­фика работы систем. Промышленные решения должны быть необслуживаемыми, устанавливаются они один раз; обновление ПО, плановые перезагрузки и прочие сервисные действия не предусмотрены. Промышленные системы работают круглые сутки без перерыва и должны обеспечивать безотказную работу. Замена оборудования в случае неисправности должна производиться в считанные минуты.



Фундаментальное отличие защиты сети АСУ ТП

Архитектура построения сетей ИТ и АСУ ТП также различна. На территории объекта ИТ-сеть имеет одну или несколько серверных. Все точки подключения сопряжены всего лишь с несколькими коммутаторами. Промышленная сеть распределена по всему предприятию, и каждый шкаф АСУ ТП обычно имеет свой коммутатор. Поэтому точек входа в промышленную сеть на порядок больше. В одной сети также могут находиться оборудование и системы от различных производителей, и при обслуживании своей установки сервисный персонал может иметь неограниченный доступ к смежным системам.

Очень важным отличием офисных и промышленных решений является предназначение системы защиты. Офисные решения предназначены для защиты данных – персональной или коммерческой информаций. Промышленные решения предназначены для обеспечения безопасности технологического процесса и безаварийной работы системы.



Защита промышленных сетей решениями FL MGUARD от Phoenix Contact

Главная уязвимость промышленных систем – это возможность неавторизованного доступа к системе управления. Очень часто сеть АСУ ТП опасного производства распределена по большой территории. И даже если доступ к центральному управляющему контроллеру закрыт физически, то сетевой доступ к нему, подчиненным системам, рабочим местам и серверам СКАДА можно получить из любой точки сети. Многие современные контроллеры имеют возможность удаленного программирования через Ethernet и поддерживают связь со СКАДА-системами по открытым протоколам. Если сеть АСУ ТП подключена к сети предприятия без межсетевого экрана, то к системам управления возможен неавторизованный доступ и контроллер можно перепрограммировать, остановить выполнение программы, изменить уставки или передать сигнал управления с помощью любого компьютера в сети всего предприятия.

Рассмотрим способы защиты системы автоматизации от неавторизованного доступа с помощью решений компании Phoenix Contact. Необходимо разделить сети верхнего, среднего и нижнего уровней межсетевыми экранами. Для обеспечения максимальной информационной безопасности межсетевой экран следует установить на Ethernet-интерфейсы управляющего контроллера. Таким образом мы ограничиваем доступ к локальным системам управления из внешних сетей и защищаем контроллер. Для получения доступа к данным системы, передачи команд или программирования системы в межсетевом экране FL MGUARD устанавливаются правила доступа. Межсетевой экран перед контроллером настраивается на блокировку портов для программирования, а коммуникация со СКАДА-системой открывается только для IP-адресов основных и резервных серверов. Контроллер теперь полностью защищен от неавторизованного доступа. Перепрограммирования возможны только при непосредственном прямом подключении, а команды управления могут передавать только СКАДА-серверы.

Но что делать, если необходим временный сетевой доступ к контроллеру для перепрограммирования или отладки коммуникации? Для данных задач нет необходимости перенастраивать права доступа на межсетевом экране. Решения информационной безопасности FL MGUARD от Phoenix Contact поддерживают функцию пользовательского межсетевого экрана. Данная функция позволяет создать динамические права доступа к определенным частям системы АСУ ТП. Для доступа необходима аутентификация на самом межсетевом экране по заранее созданным учетным записям на самом устройстве или RADIUS-сервере. Пользователю необходимо просто зайти по IP-адресу межсетевого экрана на его WEB-интерфейс, ввести логин и пароль. Межсетевой экран открывает заранее настроенные порты и дает нужный доступ к контроллеру.

В свою очередь для оптимизации информационной защиты вся коммуникация по сбору данных и передачи сигналов управления в нормальном режиме должна быть открыта только для СКАДА-серверов. На АРМ-операторах используется клиент-серверная архитектура. Клиенты СКАДА-системы могут находиться в любой сети предприятия, и защита доступа реализуется с помощью аутентификации как в клиенте СКАДА-системы, так и через пользовательский межсетевой экран.



Интеграция систем защиты без изменения архитектуры сети

Если существующая сетевая архитектура не имеет функций фильтрации трафика, авторизации пользователей и фильтрации пакетов, замена оборудования невозможна, а установка межсетевых экранов сопряжена с изменением параметров сети, то для защиты подобных систем возможно использовать режим невидимости в межсетевом экране. Устройства FL MGUARD от Phoenix Contact с функцией невидимости (Stealth) могут быть заранее настроены на ограничение определенных пакетов данных и ограничение доступа. При установке межсетевого экрана перед защищаемым устройством требуется просто установить его между контроллером и сетевой инфраструктурой. Режим невидимости позволяет производить подключение средства защиты без перенастройки параметров сети. Межсетевой экран становится невидимым и непроницаемым барьером для неавторизованного доступа к системе управления.



Заключение

Информационная безопасность АСУ ТП – это новая и перспективная тенденция в современных системах автоматизации. Внедрение системы защиты – это инвестирование в безопасность людей, экологию и защиту от финансовых потерь из‑за сбоев в работе сетевой инфраструктуры или неавторизованного доступа к системам управления. Решения информационной безопасности от Phoenix Contact позволяют просто и быстро защитить как новые системы АСУ ТП, так и внедрить системы защиты в уже существующие.

Кабельная арматура, Сети , Система автоматизации,

Защита промышленных сетей в системах автоматизацииКод PHP" data-description="Автоматизация опасных производств и объектов инфраструктуры требует соблюдения комплекса мер для обеспечения безопасности технологического процесса. Технологическая авария может привести как к серьезным финансовым потерям, так и к экологической катастрофе.<br /> &lt;br&gt;" data-url="https://www.eprussia.ru/epr/234/15588.htm"" data-image="https://www.eprussia.ru/upload/iblock/0f7/0f7b84d12035f3e9a30a2f1853e09054.jpg" >

Отправить на Email


Похожие Свежие Популярные

Войти или Зарегистрироваться, чтобы оставить комментарий.