Segmentul industrial asu pe rețeaua de birouri este posibil

Întotdeauna am crezut că segmentele industriale și de birou ar trebui să fie separate fizic între ele și în rețeaua de birouri. Nu merită transferat traficul aplicațiilor industriale folosind protocoalele OPC, Modbus, DNP3 etc. Dar aici, pregătindu-mă pentru instruirea privind siguranța sistemului automatizat de control al proceselor, am dat peste un caz interesant din partea lui Boeing, în care sarcina era de a integra două segmente separate anterior fizic.

În trecut, segmentele industriale s-au remarcat în ceea ce privește designul, convergența, fiabilitatea, toleranța la erori și așa mai departe. Cisco are chiar un ghid separat. dezvoltat în colaborare cu Rockwell Automation pe această temă - peste 600 de pagini cu instrucțiuni detaliate și recomandări.

Segmentul industrial asu pe rețeaua de birouri este posibil


Esența generală a unor astfel de proiecte este segmentarea și separarea rețelei industriale și de birou.

Segmentul industrial asu pe rețeaua de birouri este posibil


Dar este evident că o astfel de împărțire implică o serie de dificultăți. Iată doar câteva dintre ele:

  • Gestionarea VLAN-urilor
  • Gestionarea configurației
  • Dublarea SCS
  • Creșterea valorii
  • Creșterea numărului de erori.

Destul de natural, există dorința de a transfera traficul industrial în rețeaua de birouri. Dar nici asta nu este un panaceu. O rețea tipică de birouri oferă o securitate mai mică decât este necesar. Ei bine, despre incompatibilitatea protocoalelor industriale și de birou și nu pot vorbi. Asta e pe fondul lui Boeing în proiectul de creare a modelului 777 și a decis să-și reducă în continuare costurile și să combine cele două rețele.

Bazat pe ideea rețelelor suprapuse, care este acum activ promovată în legătură cu virtualizarea funcțiilor de rețea, a rețelelor programabile (SDN) etc. Dar pentru punerea sa în aplicare nu a fost suficient doar să atârna etichete pe diferite tipuri de trafic - problema compatibilității și a securității a rămas în continuare.

Segmentul industrial asu pe rețeaua de birouri este posibil


Apoi, Boeing, care a invitat pe celebrul jucător al pieței de securitate industrială a informației, compania Tofino. a comandat dezvoltarea unui modul special de securitate descărcabil (LMS) pentru firewall-ul său (Tofino Security Appliance). Produsul a fost dezvoltat - în realitate sa dovedit a fi un tip de transponder protector ACS TP, sarcinile cărora au fost:

  • transferul protocoalelor industriale în rețeaua de birouri din cauza încapsirii
  • izolarea ACS TP de la rețeaua de birouri utilizând o ITU industrială simplă
  • Protecția comunicațiilor între relee utilizând Protocolul de identificare a gazdei (HIP).

Segmentul industrial asu pe rețeaua de birouri este posibil


Soluția (LSM) a fost implementată ca o arhitectură deschisă bazată pe soluții open source. Printre planurile lui Tofino se numără integrarea LSM fie la nivelul punctelor finale (HMI, DB, serverul OPC etc.), fie direct la nivelul controlerului.

Iată o soluție interesantă. Trebuie remarcat faptul că, conform ordinului FSTEC nr. 31 recent înregistrat, această abordare este posibilă în țara noastră. Numai aici deciziile de punere în aplicare a acestei scheme, nu avem aproape nimic. Deși susțin o abordare tradițională, cu o separare fizică, mai degrabă decât logică, a rețelelor industriale și de birou.