image

Территория Нефтегаз № 4 2017

Автоматизация

»  01.04.2017 10:00 Как внедрить безопасную связь между производственными и бизнес-системами
Как обеспечить защищенный удаленный доступ? В рамках концепции «Единого предприятия» производители могут использовать удаленный доступ для обеспечения поддержки в режиме реального времени для производств, расположенных по всему миру. Промышленные операторы могут использовать его для мониторинга и поддержки удаленных активов, таких как скважины и насосные станции. Ознакомьтесь с основными шагами по обеспечению безопасного удаленного доступа и дополнительными ресурсами.
Открыть PDF


Основные шаги для реализации удаленного доступа к промышленным операциям

Удаленный доступ долгое время был широко распространен в корпоративных системах, однако в промышленной автоматизации и системах управления (IACS) он оставался проблемой. Переходу промышленности на удаленный доступ препятствовали проблемы с информационной безопасностью, недостаточно хорошая связь и слабое сотрудничество между ИТ-службами и технологическим персоналом. Эти проблемы становятся все более решаемыми, поскольку все больше организаций используют подход «Единого предприятия». Концепция «Единого предприятия» сближает сети ИТ и сети для технологических операций (OT), а также поддерживает принятие стандартных сетевых технологий, благодаря этому удаленный доступ в промышленности становится абсолютно реальной возможностью.

Image_003.jpg

На самом деле многие промышленные предприятия уже используют его для улучшения и даже для переопределения своих операций.

Операторы нефтегазовых месторождений дистанционно контролируют свое распределенное оборудование, и им не требуется наличие рабочих на буровых площадках или их перемещение между объектами. Производители используют удаленный доступ для подключения своих специалистов к заводам по всему миру. Это мгновенное сотрудничество позволяет оперативно реагировать на аварии, а также сократить транспортные расходы.

Удаленный доступ также дает компаниям возможность по-новому использовать поддержку и опыт поставщиков и извлекать из этого выгоду.

Например, одна ведущая биотехнологическая компания потратила годы на модернизацию сетевой инфраструктуры для интеграции своих производственных и корпоративных систем. При этом эта компания для обеспечения удаленной поддержки использовала стороннего поставщика. Такая удаленная поддержка не только предоставила компании доступ к услугам квалифицированного персонала, но и позволила уверенно воспользоваться опытом, необходимым для поддержания ее сложной сетевой архитектуры. 

Упрощение процесса

Доступен ряд отраслевых ресурсов, позволяющих производителям, промышленным операторам и производителям машин и оборудования построить безопасный удаленный доступ.

Одним из таких ресурсов является архитектура Converged Plantwide Ethernet (CPwE), которую совместно разрабатывают Cisco и Rockwell Automation.

Архитектура CPwE включает ряд документов, обеспечивающих использование передовых методов проектирования и построения объединенных сетевых инфраструктур. Документы, включающие проверенные эталонные архитектуры с руководствами по проектированию и внедрению, охватывают ключевые технологии, принципы и примеры для максимальной отдачи от этих сетевых инфраструктур, включая наилучший порядок построения удаленного доступа. 

Ключевые элементы управления безопасностью для удаленного доступа

Главной заботой любой промышленной организации, стремящейся обеспечить удаленный доступ через Интернет, является информационная безопасность. Доступ должен быть обеспечен только уполномоченному персоналу, и действия даже этого персонала должны соответствовать утвержденной политике и процедурам.

Для каждой промышленной операции рекомендуется комплексный подход к защите, который особенно важен для обеспечения безопасного удаленного доступа. Комплексный подход к защите основан на идее, что любая линия обороны может быть прорвана в определенной точке, и это вполне вероятная угроза. Вот почему для защиты от различных угроз используется несколько уровней безопасности и управления.

Некоторые элементы управления безопасностью, необходимые для обеспечения удаленного доступа, включают:

• «трехстороннее» развертывание межсетевого экрана (МСЭ) – это ключевая концепция в обеспечении возможности промышленного удаленного доступа. Это предотвращает прямой поток трафика между промышленной и корпоративной зонами сетевой инфраструктуры. Вместо этого весь трафик заканчивается в промышленной демилитаризованной зоне (IDMZ), которая действует как буфер и разрешает только авторизованный доступ к данным и системам между этими двумя зонами;

• система предотвращения вторжений (IPS) проверяет трафик, поступающий как из корпоративной, так и из внешних сетей, и может блокировать трафик, который, по ее оценке, является подозрительным;

• виртуальные локальные сети (VLAN) помогают сегментировать трафик конкретных устройств и портов в промышленной зоне. В приложениях удаленного доступа сегментация VLAN помогает контролировать входящий и исходящий трафик серверов удаленного доступа;

• службы идентификации с загружаемыми списками контроля доступа (dACL) используют список операторов «разрешить и запретить», которые применяются к пользователям, IP-адресам и протоколам. Они могут предотвратить проникновение неавторизованных пользователей и типов трафика в сетевую архитектуру. 

Image_006.jpg

Реализация безопасного удаленного доступа

Применяя восемь основных шагов, производственные компании могут эффективно внедрить комплексный подход к защите, в котором используются рекомендованные выше меры безопасности. Вот восемь основных шагов:

1) использование стандартного удаленного доступа на основе ИТ: сегодня наиболее широко используемыми технологиями удаленного доступа являются технологии, основанные на безопасности IP-адресов и сетях VPN с протоколами SSL/TLS. Они требуют использования служб идентификации для аутентификации, авторизации и учета (AAA), представляющих собой форму службы удаленного доступа для аутентификации удаленного доступа (RADIUS). Службы идентификации также предоставляют контроль доступа к сети (NAC) для проверки и оценки состояния системы удаленного пользователя, которая работает на определенном уровне кода или имеет ряд мер предосторожности;

2) ограничение доступа: при удаленном доступе к установленным ресурсам компании управление каждым удаленным пользователем должно осуществляться надлежащим образом. Например, политика доступа удаленного партнера явно должна быть ограничена, в то время как политика доступа удаленного сотрудника определяется принципами деятельности компании. При ограниченном наборе пользователей, IP-адресов и номеров портов транспортного уровня для управления уровнями доступа для этих удаленных пользователей должны быть установлены строгие списки контроля доступа (ACL) на основе служб идентификации;

3) использование защищенных веб-браузеров: удаленные пользователи, взаимодействующие с данными и приложениями на предприятиях, должны это делать только с помощью веб-браузеров, поддерживающих HTTPS. Эта важная функция безопасности обычно используется в интернет-приложениях и обеспечивает дополнительное шифрование и аутентификацию;

4) установление сеансов SSL VPN: даже при наличии защищенного со-
единения с браузером, чтобы обеспечить дополнительный уровень защиты, должны быть установлены сеансы VPN с защищенным уровнем сокетов (SSL). Эти сеансы используют шифрование для обеспечения безопасных транзакций между удаленным пользователем и промышленным IDMZ-брандмауэром. Удаленный пользователь проходит проверку подлинности, чтобы проверить службу, требуемую от сервера удаленного доступа, и брандмауэр подтверждает, что удаленный пользователь прошел проверку подлинности и авторизован для использования этой службы;

5) внедрение системы IPS: после установления удаленного сеанса критической задачей системы IPS является проверка входящего и исходящего трафика сервера удаленного доступа. Система остановит любые обнаруженные угрозы, не позволив им воздействовать на системы как в IDMZ-сегменте сети, так и в промышленной зоне;

6) использование удаленных терминальных сеансов: только разрешение протоколов дистанционных терминалов между удаленным клиентом и МСЭ IDMZ- сегмента сети может значительно снизить вероятность появления вирусов и атак из удаленных сеансов. Это можно сделать с использованием любого количества технологий терминальных сеансов, таких как протокол удаленного рабочего стола (RDP), который используется платформой ThinManager® (ThinManager является торговой маркой концерна Rockwell Automation, Inc.);

7) обеспечение безопасности приложений на основе адресов: приложения IACS должны быть реализованы на выделенном и безопасном сервере удаленного доступа. Это позволяет персоналу предприятия контролировать версии приложений, ограничивать действия, которые могут быть выполнены, и ограничивать доступ к устройствам;

8) сегментация и контроль трафика: следует сегментировать удаленный доступ в выделенной сети VLAN, чтобы жестко контролировать входящий и исходящий трафик. Если используется несколько серверов удаленного доступа, то они должны находиться в отдельных сетях VLAN. Каждая из этих сетей VLAN может затем получить доступ к определенному набору производственных сетей VLAN, тем самым ограничивая удаленному пользователю просмотр или доступ промышленной зоны. С помощью промышленного МСЭ проверяется трафик между серверами удаленного доступа и приложениями IACS.

Подробное руководство

Данные шаги помогут внедрить безопасный удаленный доступ, но это лишь краткое изложение ряда технических аспектов, которые необходимо учитывать на этапах проектирования, планирования и реализации.

Более подробная информация о безопасных системах и их проектировании имеется в официальных документах CPwE и руководствах по проектированию и внедрению, которые доступны для загрузки на веб-сайте Rockwell Automation.


Image_009.png

Rockwell Automation, LLC

115054, РФ, г. Москва, Б. Строченовский пер., д. 22/25, оф. 202

Тел.: +7 (495) 956-14-50 (колл-центр), +7 (495) 956-04-64 (ресепшен)

www.rockwellautomation.ru



← Назад к списку


im - научные статьи.