13/02/2017
Безопасный обмен данными управления системами за пределами вашей сети возможен!
===============================
Необходимость обмена данными о процессе работы между производственными площадками, перарабатывающими, нефтехимическими, газовыми и обслуживающими предприятиями растет в течение последнего десятилетия. Эти заводы и производственные площадки, как правило, расположены в одном месте и имеют необходимость обмена запасами и другими ресурсами, такими как водород, электричество, вода, пар, и топливный газ, что создало требование для обмена данными между системами учета и измерения потребления ресурсов на производствах.
С жесткой политикой сетевой безопасности различных компаний в химической, нефтяной и газовой промышленности и коммунальных услуг, стало значительно более сложной задачей интегрировать системы сторонних производителей.
Integration Objects разработали решение на основе OPC, позволяющее упростить такую интеграцию при соблюдении стандартов безопасности сети ISA 99 и политики различных заинтересованных сторон. Такие системы уже успешно развернуты и интегрированы в нефтеперерабатывающие, обслуживающие, газо- и нефтестабилизирующие и газовые заводы.
Компании со строгой политикой кибербезопасности защищают свои активы управления технологическими процессами путем внедрения демилитаризованной зоны (ДМЗ), физически разделяющей и устраняющей прямую связь между предприятием и сетями управления.
Проблема заключается в том, как продолжить обмен критически важными для систем бухгалтерского учета, безопасности и управления данными с системами сторонних производителей без введения угрозы безопасности и при минимальных затратах.
Решение для безопасности Integration Objects на основе OPC для DMZ позволяет пользователям обмениваться критически важными данными с третьими лицами в режиме реального времени, и в то же время:
🔹Придерживаться политики безопасности всех заинтересованных сторон и обеспечивать конфиденциальность своих данных,
🔹Извлекать выгоду из интерфейса OPC UA, позволяя приложениям на уровне предприятий также безопасно отправлять данные обратно в систему управления через DMZ
🔹Развертывать легко поддерживаемую архитектуру, обеспечивая устойчивость к сбоям сети и быстро настраиваемое графическое окружение с помощью всего лишь нескольких кликов
🔹Избегать значительных капитальных вложений с тем, как решение использует преимущества существующей классической инфраструктуры на основе OPC.
DMZ решение для безопасности на основе OPC - Архитектура
---------------------------------------------------------------------------------------
Примечание: Учитывая критический характер такого приложения и число компаний, участвующих в реализации этого решения и их политики в области безопасности, мы не смогли получить общее разрешение, чтобы раскрыть историю успеха. Ниже приводится цитата менеджера проекта, одной из заинтересованных сторон:
"Наш проект по интеграции наших систем в сети сторонних компаний была задержана на девять месяцев, потому что мы не смогли найти решение, которое работает и соответствует нашей политике сети и политикам всех третьих сторон. Мы были приятно удивлены, когда увидели, что Integration Objects обеспечили не только весьма надежное решение, но и безопасное на основе OPC".
Бесшовные поток данных
---------------------------------------------
Безопасная DMZ обладает буфером, который не имеет никаких возможностей для чтения или записи и включает в себя только те теги, которые необходимы для конкретного обмена данными. Безопасная передача между серверами, расположенная в каждой стороне, будет собирать данные из буфера DMZ по мере необходимости, а затем передавать их на OPC-сервер, расположенный в сети управления технологическим процессом (PCN) и наоборот.
Усиление безопасности без усложнения конфигурации шифрования всех передаваемых данных нужно для для обеспечения целостности и конфиденциальности данных. Таким образом, данные будут защищены от вредоносных атак, так как она не допустит подмену, sniffing или взлом. Кроме того, доступ к данным требует аутентификации пользователя с уровня буферного сервера до уровня тега:
🔹Аутентификация пользователя основана на Active Directory для того, чтобы подтвердить личность пользователя, пытающегося подключиться и получить доступ к данным. Этот механизм предотвращает несанкционированный доступ, который может быть выдан либо внутри, либо из внешней сети.
🔹Гранулированные права доступа настраиваются с помощью пользовательских профилей и, указав набор разрешений, который определяет, какие теги пользователям разрешено просматривать или переписывать, или производить чтение / запись.
Брандмауэры выполнены таким образом, что только один TCP-порт авторизован. Этот порт может измениться в любое время по усмотрению команды сетевой безопасности каждой компании. Все эти функции безопасности легко настраиваются с помощью интуитивно понятного графического интерфейса. Кроме того, они не требуют провайдера публичного сертификата или доступ к Интернету.
Преимущества
----------------------------
DMZ решение для безопасности на основе OPC имеет следующие основные преимущества:
🔹Ни одна из DMZ не обходится. Все коммуникации с PCN инициируются из DMZ.
🔹Удаленные коммуникации не основаны на классическом OPC / DCOM.
🔹Обмен данными между различными компонентами в пределах той же стороны или между различными сторонами будет восстановлен автоматически после восстановления от сетевых сбоев.
🔹Нет потери данных, когда сетевые коммуникации перестают работать. Это обеспечивается решением для буферизации данных для подхвата истории данных.
🔹Только один порт TCP должен быть открытым в брандмауэре. Этот порт настраивается и не является публичным или известным портом. Кроме того, каждая сторона может использовать другой порт для связи с их PCN и не должна раскрывать эту информацию третьим лицам.
🔹Данные шифруются и, следовательно, они является невидимыми для хакеров, так как система не допускает подмены или sniffing’а.
🔹Благодаря интерфейсу OPC UA приложения на уровне предприятия, такие как планирование производства или оптимизация активов также могут безопасно обмениваться данными с системой управления через DMZ.
🔹Удаленные коммуникации могут быть настроены из различных доменов по VPN и через VSAT и WAN. Пользователи также могут настраивать таймауты коммуникаций и параметры сжатия данных для более высокой производительности передачи данных через их сети.
DMZ решение для безопасности на основе OPC позволило интегрировать нефтеперерабатывающие, нефте- и газостабилизирующие, а также заводы по производству природного газа путем обмена данными процесса в режиме реального времени в безопасном режиме. Он реализует открытую архитектуру без ущерба для безопасности, пользуясь преимуществом классической OPC инфраструктуры и Active Directory и до сих пор извлекает выгоду из текущих отраслевых стандартов в частности OPC UA и ISA 99.
—--------------------------—
#новоститехники
Больше новостей »> https://vk.com/digitalangel_ru
