• О проекте
  • Контакты
Четверг, 2 февраля, 2023
  • Вход
  • Зарегистрироваться
No Result
View All Result
АСУТП.ru
Средства и системы
промышленной автоматизации
  • Новости
  • События
  • Публикации
  • Компании
  • Рынки и продукты
    • Системы управления производством
    • Программно-технические комплексы
    • Программное обеспечение
    • Промышленные сети
    • Промышленные компьютеры/PLC
    • Электротехническое оборудование
    • КИП
  • Новости
  • События
  • Публикации
  • Компании
  • Рынки и продукты
    • Системы управления производством
    • Программно-технические комплексы
    • Программное обеспечение
    • Промышленные сети
    • Промышленные компьютеры/PLC
    • Электротехническое оборудование
    • КИП
No Result
View All Result
АСУТП.ru
No Result
View All Result
Реклама
Главная Публикации

Как защитить промышленную сетевую инфраструктуру систем ОТ и ИТ

от admin
05.08.2021
в Публикации
0 0
AA
0
0
SHARES

Во всем мире растет число объединённых систем ОТ и ИТ, что чаще всего объясняется необходимостью в повышении операционной эффективности бизнеса. Например, SCADA система теперь не просто управляет добычей и транспортировкой нефти, но и предоставляет необходимые данные для систем расчета ценообразования товаров и выставления счетов.

Сбор и обработка большого объема данных позволяет компаниям с большей точностью прогнозировать не только объемы добычи и производства нефти, но и ожидаемые доходы в будущем. Однако, интеграция систем ОТ и ИТ приносит не только преимущества. К недостаткам таких систем можно отнести повышенную вероятность возникновения кибератак на системы безопасности ОТ.

Еще больше усугубляет эту сложную проблему использование устаревшего ПО. Об этом можно узнать из интервью генерального директора IDC Taiwan в видео Security Talks Episode 3. Хакеры могут воспользоваться уязвимостями Windows и атаковать недостаточно защищенные системы.

Похожие публикации

EtherCAT модуль четырехкоординатного управления шаговыми двигателями ECAT-2094DS

Ряд устройств Eltex получили статус ТОРП

EMP-2848M – компактный EtherCAT Master контроллер

Поскольку в системах ОТ возникает все больше инцидентов, связанных с кибербезопасностью, владельцы предприятий и регулирующие органы стремятся найти решения, которые повысят уровень промышленной кибербезопасности и позволят предприятиям нормально функционировать.

В этой статье мы расскажем о концепции Defense-in-depth или глубокой многоуровневой защите, которая позволяет предприятиям использовать существующую сетевую инфраструктуру для построения сетевой защиты, а также обсудим особенности промышленных систем предотвращения вторжений.

Концепция многоуровневой безопасности

Чтобы повысить уровень кибербезопасности важно понимать, как различные промышленные системы обмениваются данными внутри инфраструктуры и как они связаны с ИТ системами. В самом идеальном сценарии каждая система вплоть до отдельного модуля должна быть отделена от других и иметь свою политику безопасности, которая обеспечивает фильтрацию трафика, аутентификацию и авторизацию пользователей. Однако создание таких политик безопасности между каждым устройством становится нереальной задачей, поскольку требует значительных затрат и часто негативно сказывается на эффективности работы сетевых коммуникаций. Именно поэтому инженеры по кибербезопасности рекомендуют разделить ОТ систему на несколько основных зон с различными политиками безопасности, что позволит найти оптимальный баланс между расходами и приемлемым уровнем риска.

Пример построения многоуровневой границы безопасности для защиты производственных линий от различных киберинцидентов.

Подход Defense-in-depth рекомендован стандартом кибербезопасности IEC 62443, который широко используется в различных отраслях промышленности и обеспечивает непрерывность выполнения технологических процессов.

Обеспечение безопасности критически важных активов является одной из самых важных задач на предприятии, потому что они выполняют основную роль в бизнесе. Исходя из этого целесообразно принять дополнительные меры по обеспечению безопасности, например, установить несколько уровней защиты, чтобы лучше обезопасить критически важные активы.

Концепция безопасности Defense-in-depth основана на создании нескольких уровней защиты для повышения безопасности всей системы.

Как построить многоуровневую систему безопасности

Существует несколько подходов для построения многоуровневой системы безопасности, рассмотрим основные из них.

Сегментация сети на физическом уровне

При физической сегментации сети у нас есть 2 физически изолированных друг от друга сети. Это позволяет обеспечить хороший уровень безопасности, однако, на современных предприятиях такое решение все труднее организовать из-за возрастающих требований бизнеса и сложности эксплуатации.

Сегментация каналов передачи данных (OSI уровень 2/3)

Поскольку промышленные системы управления могли быть построены несколько десятилетий назад, то одним из основных требований при построении системы безопасности является возможность использования существующей инфраструктуры. Одним из часто применяемых подходов для разделения каналов передачи данных — это настройка виртуальной локальной сети (VLAN), которая является одной из встроенных функций управляемых Ethernet коммутаторов.

Некоторые Ethernet коммутаторы имеют встроенную функцию для создания списков управления доступа (ACL) на уровне портов, что может повысить уровень безопасности VLAN по мере поступления данных на коммутатор. Альтернативным решением является развертывание нескольких межсетевых экранов, особенно когда необходимо работать с трафиком в сетях третьего уровня.

Реклама

Сегментация сетей на уровне проверки пакетов (OSI уровень 4-7)

Дальнейшая сегментация сети может быть основана на глубокой проверке пакетов (DPI). DPI обеспечивает детальный контроль над сетевым трафиком и помогает фильтровать промышленные протоколы в соответствии с установленными требованиями. Например, в одной сети работает несколько устройств, которые имеют возможность общаться друг с другом. Однако может существовать такой сценарий, когда контроллер должен общаться с роботизированной рукой только в определенное время. Вот тут технология DPI поможет инженерам настроить глубокие политики безопасности, разрешить выполнять команды чтения/записи в определённое время или запретить трафик с других направлений.

Микросегментация сети

В некоторых ситуациях необходима дополнительная защита критически важных активов, и одним из способов достижения этой цели является применение микросегментации сети и установки системы предотвращения вторжений IPS. Микросегментация сети особенно подходит для промышленных сетей, когда нужно дополнительно защитить небольшой участок подсети.

Еще одним преимуществом такого подхода является наличие в IPS функции виртуального исправления уязвимостей, что исключит риск использования уже известных уязвимостей. Например, некоторые объекты могут работать под управлением Windows XP, для которой Microsoft уже больше не выпускает обновления безопасности. На таком объекте, даже несмотря на наличие известных уязвимостей, обновление системы безопасности может оказаться нецелесообразным.

Безопасный удаленный доступ

По мнению экспертов по кибербезопасности, плохо настроенные протоколы удаленного доступа используют для распространения вредоносных программ или осуществления несанкционированной деятельности. Поскольку удаленные подключения становятся все более распространенными из-за необходимости повышения эффективности работы и необходимости быстрого устранения неполадок, неудивительно, что о создании границ безопасности между объектами говорят всё чаще. Вместо использования программного обеспечения для создания удаленного доступа, специалисты настоятельно рекомендуют создавать VPN-туннели для обеспечения надежного функционирования механизмов контроля доступа.

Типичные сценарии

Промышленное производство

Различные производственные сети должны быть правильно сегментированы для обеспечения безопасности всей системы. Кроме того, для обеспечения доступности и непрерывности работы системы управления необходимо предусмотреть возможность резервирования сети. Пример такой схемы представлен на рисунке ниже.

Безопасный мониторинг на подстанции

Энергосистеме, охватывающей огромную территорию, просто необходимы сертифицированные по стандарту МЭК 61850 VPN-решения для мониторинга удаленных интеллектуальных электронных устройств (ИЭУ). Кроме этого, на подстанции должно быть развернуто несколько уровней защиты для обеспечения кибербезопасности и предотвращения потери доступа к объекту.

Можно ли все требования совместить в одном устройстве?

Одним из вариантов такого устройства можно считать EDR-G9010. Он представляет собой универсальный межсетевой экран с функциями NAT, VPN, коммутатора и маршрутизатора. Применение EDR-G9010 не только поможет повысить уровень кибербезопасности, но и позволит использовать уже существующую сетевую инфраструктуру.

Источник: https://moxa.pro/articles/articles/kak-zashchitit-promyshlennuyu-setevuyu-infrastrukturu-sistem-ot-i-it/

Tags: кибербезопасностьНовости Moxaпромышленные сети
ShareTweetShareShareОтправить Отправить
Реклама
Реклама

Рекомендуемое

Онлайн-семинар «Мониторинг интернета вещей IoT и IIoT с PRTG от Paessler AG».

2 года тому назад

Вебинар «Интеграция EPLAN Electric и PROJECT COMPLETE. Инструмент по подбору компонентов от Phoenix Contact»

3 года тому назад

Популярные новости

  • Просто о стандартах OPC DA и OPC UA

    Просто о стандартах OPC DA и OPC UA

    0 shares
    Share 0 Tweet 0
  • IoT промышленные компьютеры XINJE XSA330-W на платформах CODESYS, WINDOWS и LINUX

    0 shares
    Share 0 Tweet 0
  • Компактный защищенный планшетный компьютер M101EK от компании Winmate

    0 shares
    Share 0 Tweet 0
  • Группа «Рексофт» создает Центр развития технологий — АСУТП и цифровизации производства

    0 shares
    Share 0 Tweet 0
  • Компания «КРУГ» сообщает о выходе новой версии 4.4 SCADA КРУГ-2000

    0 shares
    Share 0 Tweet 0

Подписка на новости

Рубрики

  • Компании
  • Новости
  • Программно-технические комплексы
  • Программное обеспечение
  • Промышленные компьютеры/PLC
  • Публикации
  • Рынки и продукты

О проекте

Портал АСУТП.ру - популярный интернет-ресурс, который предназначен для профессионалов, работающих в сфере автоматизации производства.
Подробнее...

  • О проекте
  • Контакты

Copyright © 2000 - 2020 ASUTP.ru. Авторские права охраняются.
Воспроизведение материалов или их частей в любом виде без письменного разрешения запрещено.

No Result
View All Result
  • Главная
  • Новости
  • События
  • Публикации
  • Компании
  • Рынки и продукты
    • Системы управления производством
    • Программно-технические комплексы
    • Программное обеспечение
    • Промышленные сети
    • Промышленные компьютеры/PLC
    • Электротехническое оборудование
    • КИП
  • Вход
  • Зарегистрироваться

Copyright © 2000 - 2020 ASUTP.ru. Авторские права охраняются.
Воспроизведение материалов или их частей в любом виде без письменного разрешения запрещено.

С возвращением!

Войдите в свой аккаунт

Забыт пароль? Зарегистрироваться

Создание нового профиля

Заполните поля формы для регистрации

Все поля должны быть заполнены. Вход

Получить пароль

Пожалуйста, введите имя пользователя или e-mail, чтобы сбросить пароль.

Вход
Дорогие посетители, сайт ASUTP.ru использует файлы cookies.