Az irodai hálózat tetején található ipari szegmens lehetséges

előzőa következő

Mindig úgy gondoltam, hogy az ipari és az irodai szegmensek egymástól és az irodahálózattól fizikailag egymástól elválaszthatók, ezért nem érdemes átvinni az ipari alkalmazások forgalmát az OPC, a Modbus, a DNP3, stb. Protokollok segítségével. De itt, az automatizált folyamatirányító rendszer biztonságára vonatkozó képzésre való felkészülés során egy érdekes ügyet találtam a Boeing-ről, amelyben két, korábban fizikailag elválasztott szegmens integrálása volt a feladat.

A múltban az ipari szegmensek a tervezés, a konvergencia, a megbízhatóság, a hibatűrés, stb. Szempontjából kiemelkedtek. A Cisco még külön útmutatóval rendelkezik. melyet a Rockwell Automationrel együtt dolgoztunk ki ebben a témában - több mint 600 oldal részletes utasításokat és ajánlásokat.

Az irodai hálózat tetején található ipari szegmens lehetséges


Az ilyen tervek általános lényege az ipari és irodai hálózat szegmentálása és szétválasztása.

Az irodai hálózat tetején található ipari szegmens lehetséges


De nyilvánvaló, hogy egy ilyen részleg számos nehézséget hordoz magában. Íme néhány közülük:

  • VLAN-ok kezelése
  • Konfigurációkezelés
  • Az SCS sokszorosítása
  • Értéknövelés
  • A hibák számának növekedése.

Természetesen van vágyunk az ipari forgalomnak az irodai hálózaton keresztüli átvitelére. De ez sem csodaszer. Egy tipikus irodai hálózat kisebb biztonságot nyújt a szükségesnél. Nos, az ipari és az irodai protokollok összeférhetetlenségéről, és nem tudok beszélni. Ez a Boeing hátterében áll a projektben, hogy megteremtse a 777. helyet, és úgy döntött, hogy továbbra is csökkenti költségeit és összekapcsolja a két hálózatot.

Az átfedő hálózatok elképzelésére alapozva, amelyet aktívan támogatnak a hálózati funkciók, a programozható (SDN) hálózatok virtualizációjával kapcsolatban stb. De a megvalósításhoz nem volt elegendő csupán a különböző típusú forgalomra vonatkozó címkék lógása - a kompatibilitás és a biztonság kérdése továbbra is fennmaradt.

Az irodai hálózat tetején található ipari szegmens lehetséges


Aztán Boeing, aki meghívta az ipari információbiztonsági piac híres szereplőjét, a Tofino társaságot. egy speciális letölthető biztonsági modult (LMS) fejlesztett ki a tűzfalhoz (Tofino Security Appliance). A termék kifejlesztése - valójában egyfajta védő ACS TP transzponder volt, amelynek feladata:

  • az ipari protokollok áthelyezése az irodai hálózaton keresztül a kapszulázás miatt
  • az ACS TP elkülönítése az irodai hálózattól egyszerű ipari ITU segítségével
  • A HOLD-azonosító protokoll (HIP) használatával működő relék közötti kommunikáció védelme.

Az irodai hálózat tetején található ipari szegmens lehetséges


A megoldás (LSM) nyílt forráskódú megoldásokon alapuló nyílt architektúrán valósult meg. Tofino tervei közé tartozik az LSM integrálása a végpontok szintjéhez (HMI, DB, OPC szerver stb.), Vagy közvetlenül a vezérlő szintjén.

Itt van egy érdekes megoldás. Meg kell jegyezni, hogy a 31. számú FSTEC nemrégiben regisztrált rendje szerint ez a megközelítés hazánkban lehetséges. Csak itt a döntést végrehajtó döntések szinte semmi. Bár a hagyományos megközelítést támogatom az ipari és az irodai hálózatok fizikai, nem logikus szétválasztása mellett.

előzőa következő