В решениях по автоматизации на базе сетей Ethernet вопросам безопасности до сих пор уделялось мало внимания. Но по мере роста числа присоединений производственных сетей к офисным все более необходимым становится регулирование их взаимного доступа и степени воздействия друг на друга. Как и при разработке промышленных коммутаторов, оборудование должно соответствовать требованиям автоматизации в отношении надежности и удобства использования, а кроме того, поддерживать соответствующие стандарты ИТ.
Цель каждого решения по автоматизации — повышение производительности. При этом особое значение придается робототехнике. Роботы становятся все быстрее и сложнее, требования к точности совершаемых действий постоянно растут. Для коммуникационных систем это означает увеличение пропускной способности, ускорение коммуникационных процессов, а также внедрение технологий интеллектуальных датчиков и приводных механизмов.
ВАЖНЫЕ ТЕНДЕНЦИИ В АВТОМАТИЗАЦИИ
Помимо вовлечения в производственный процесс роботов, для снижения общих затрат требуется упрощение инженерных решений и, как следствие — беспроблемная коммуникация на всех уровнях предприятия, для чего используемая техника должна быть однотипной. Именно по этой причине такие вендоры, как Phoenix Contact, интегрировали многочисленные подходы из сферы ИТ в продукты для автоматизации, что обеспечивает сквозной поток информации от сенсора до уровней управления предприятием и Web.
В начале 1980-х гг. началось победное шествие программируемых логических контроллеров (ПЛК). Центральные устройства считывают сигналы, получаемые от сотен сенсоров, и, исходя из этой информации, управляют акторикой. Это имеет далеко идущие практические следствия: длинные кабельные линии и проблемы с инсталляцией до сих пор являются причиной отказа систем автомизации в 80% случаев.
СИСТЕМЫ АВТОМАТИЗАЦИИ РАБОТАЮТ ДЕЦЕНТРАЛИЗОВАННО
В начале 1990-х гг. появились системы полевых шин, в частности Interbus, позволившие децентрализованно устанавливать периферийные устройства, к примеру, карты ввода/вывода, соединяя их друг с другом при помощи единственного кабеля (см. Рисунок 1).
Децентрализованный подход дает сразу несколько преимуществ: он позволяет осуществлять проверку отдельных частей установки, а кроме того, облегчает обнаружение и ускоряет устранение неполадок, поскольку одиночный кабель проще исследовать на предмет повреждений и заменить, чем если бы он являлся частью пучка проводов.
В области активной инфраструктуры действует аналогичный принцип, поскольку децентрализованный подход закрепился и в решениях на основе сетей Ethernet, например, при установке коммутаторов.
ПРИНЦИПЫ ЭФФЕКТИВНОЙ БЕЗОПАСНОСТИ
Использование решений безопасности в производственных сетях определяется следующими
факторами:
-
взаимодействие и обоюдная ответственность администраторов ИТ и инженеров;
-
специфические технические требования системы автоматизации, такие как детерминированность, функционирование в режиме реального времени и доступность;
-
уровень знаний специальных дисциплин у сотрудников, отвечающих за состояние инфраструктуры;
-
наличие надежного оборудования, пригодного для использования в системах автоматизации.
С учетом перечисленных обстоятельств предлагаемые продукты безопасности имеют различные формы реализации:
-
инфраструктура с механической блокировкой доступа;
-
коммутаторы второго уровня с функциями безопасности, соответствующими требованиям IEEE;
-
пригодные для промышленного применения устройства обеспечения безопасности, в которых оборудование точно рассчитано на используемое программное обеспечение и на планируемое применение.
ЗАЩИТНАЯ ФУНКЦИЯ
Защитная функция препятствует несанкционированному доступу к сетям. Если в управляемых коммутаторах второго уровня эта функция активируется посредством ПО, то простые механические устройства блокировки могут эффективно защищать как от несанкционированного, так и от непреднамеренного доступа: открытые порты RJ45 блокируются, а подключенные коммутационные шнуры можно извлечь только с помощью специального инструмента (см. Рисунок 2).
УПРАВЛЯЕМЫЕ КОММУТАТОРЫ ВТОРОГО УРОВНЯ
Управляемые коммутаторы второго уровня содержат функции безопасности для регулирования прав доступа, блокирования нежелательного обмена данными и предотвращения прослушивания. К этим функциям относятся: сегментация с помощью коммутаторов, создание виртуальных локальных сетей (Virtual Local Area Network, VLAN), специальные механизмы фильтрации многоадресных рассылок, а также ограничение доступа посредством функции Port Based Security. Правда, для их активации коммутатор требуется настроить, для этого предусмотрены инструменты конфигурации или управление на основе технологий Web (Web-Based Management, WBM), причем необходимо наличие экспертных знаний и предварительное планирование сети. На практике эти требования часто не выполняются, поэтому функции безопасности оборудования используются редко.
Большая часть вредоносных программ, парализующих системы автоматизации, поступает из внутрикорпоративной сети, а не извне, поскольку выход в Internet обычно защищен брандмауэром предприятия. Среднестатистический ущерб, наносимый компьютерными вирусами и червями, составляет около 1,5 млн евро — такие данные приводятся консалтинговой компанией в области управления систем и технологий PA Consulting Group в своем недавнем отчете (http://www.paconsulting.com). Эту угрозу следует принимать во внимание при разработке стратегии безопасности на производственных предприятиях. Количество случаев нарушения и выявленных пробелов в системе безопасности, согласно данным института CERT, с 2000 г. ежегодно увеличивается на 50-100%.
РАЗРУШИТЕЛЬНЫЕ ПОСЛЕДСТВИЯ
Отказ оборудования в производственной сфере приводит к гораздо более тяжелым последствиям, чем неполадки в офисной сети. В большинстве случаев многочасовой простой производственной линии обходится гораздо дороже, чем вред, наносимый отказом персональных компьютеров. Опытные взломщики могут обойти внешние системы безопасности, защищающие корпоративную сеть в целом. Внештатные специалисты по обслуживанию техники, использующие свои ноутбуки, как правило, в пределах сети, находятся, как и все сотрудники офиса, уже за центральными брандмауэрами предприятия. Поэтому так называемая «защита по периметру» на границе сетей или на стыках между ними не обеспечивает достаточную безопасность производственных сегментов. Необходимы действенные децентрализованные концепции, так называемая «глубоко эшелонированная защита» (Defense in Depth) или «защита конечной точки» (Endpoint Security), а кроме того, системы обеспечения безопасности конечных устройств. В принципе могут использоваться архитектуры с более крупными централизованными или небольшими распределенными системами безопасности.
УСТРОЙСТВА ОБЕСПЕЧЕНИЯ СЕТЕВОЙ БЕЗОПАСНОСТИ
Для индивидуальной защиты производственных сегментов промышленные брандмауэры, например, FL-m-Guard от Phoenix Contact (см. Рисунок 3), поддерживают децентрализованно распределенную архитектуру. Как заявляет производитель, они разработаны специально для использования в промышленном окружении, совмещают функции брандмауэра на базе технологии контекстной проверки (Stateful Inspection Firewall), контролирующего входящие и исходящие пакеты данных в соответствии с заранее заданными правилами, и опции для шифруемой аутентифицированной коммуникации через виртуальную частную сеть (Virtual Private Network, VPN), и, кроме того, обладают высокой доступностью благодаря избыточности маршрутизатора.
Пригодность выделенных устройств безопасности для промышленного использования должна подразумевать интеграцию как в промышленные системы управления и обслуживания, так и в связанные со станками и машинными комплексами сети, а также обеспечивать их соответствие важным промышленным стандартам.
Такой брандмауэр может интегрироваться в сеть в качестве самостоятельной системы, чтобы защищать подсеть, один промышленный сегмент или одно устройство автоматизации. Преимуществом этой концепции является отсутствие обратного воздействия брандмауэра на защищаемую систему.
СОБЛЮДЕНИЕ ПРОМЫШЛЕННЫХ СТАНДАРТОВ
Запатентованный компанией Innominate Security Technologies принцип, называемый также Stealth Mode Firewall, действует без вмешательства в защищаемую систему и в случае модернизации. В результате, обновление существующих систем происходит без каких-либо проблем.
В режиме маршрутизатора с функцией преобразования адресов (Network Address Translation, NAT) устройства могут использоваться в рамках еще одного типичного сценария для безопасного подключения многочисленных производственных сегментов с одним идентичным внутренним адресным пространством.
Выделенные устройства предлагают интегрируемую защиту на основе брандмауэра, к примеру, для промышленных ПК и роботов, управляющие модули которых часто базируются на стандартных системах ПК.
Компактный брандмауэр в формате карты PCI снабжается электричеством по шине PCI ведущей системы (см. Рисунок 4). Как и все устройства соответствующего семейства от Phoenix Contact, брандмауэр не нуждается в драйверах, т. е. обмена данными по шине PCI не происходит, к тому же он может использоваться прозрачно и без обратного воздействия. При наличии драйвера устройство работает как комбинированная сетевая карта и брандмауэр.
ЗАЩИТА ПОСРЕДСТВОМ ДЕЦЕНТРАЛИЗОВАННЫХ РЕШЕНИЙ
Промышленные установки и производственные системы всё чаще связываются с окружающим миром посредством сети Ethernet. Стандартные сетевые интерфейсы, а также доступ к сети предприятия и Internet делают их как никогда уязвимыми.
Эффективное решение для обеспечения достаточной безопасности может быть реализовано на базе децентрализованных устройств защиты с распределенной архитектурой.
При этом важны не только техника и работающие в фоновом режиме системы, но и пользовательский интерфейс: чтобы расширенная инфраструктура безопасности не привела к усложнению управления, требуются дополнительные централизованные и легко обслуживаемые системы администрирования и назначения прав доступа.
Торстен Рёссель — директор отдела по развитию бизнеса компании Innominate Security Technologies. Оливер Пульс — руководитель отдела сетевых технологий и систем автоматизации деловых процессов компании Phoenix Contact.
Пути технического сотрудничества согласованы
рамках долгосрочного технического сотрудничества, о котором стороны договорились на Ганноверской ярмарке 2007, Phoenix Contract и Innominate Security Technologies займутся совместной разработкой решений по обеспечению безопасности для промышленных приложений.
На первом этапе компания Phoenix Contract, специализирующаяся в области автоматизации, берет на себя продвижение определенных устройств Innominate. C помощью решений по обеспечению безопасности она намерена расширить набор собственных средств Ethernet. По словам производителя, пользователь сможет получить «из одних рук» полное решение по автоматизации, основанное на Ethernet.
© AWi Verlag