15 Июля, 2014

Индустриальный сегмент АСУ ТП поверх офисной сети: возможно ли?

Алексей Лукацкий
Всегда думал, что индустриальные и офисные сегменты должны быть физически разнесены между собой и по офисной сети ну никак не стоит передавать трафик индустриальных приложений по протоколам OPC, Modbus, DNP3 и т.п. Но тут, готовясь к тренингу по безопасности АСУ ТП, наткнулся на интересный кейс от Боинга, в котором как раз ставилась задача по интеграции двух ранее физически разнесенных сегментов.

Раньше индустриальные сегменты выделялись особо с точки зрения дизайна, требований по сходимости, надежности, отказоустойчивости и т.п. У Cisco даже есть отдельное руководство , разработанное совместно с Rockwell Automation по данной теме - свыше 600 страниц подробных инструкций и рекомендаций.


Общая суть таких дизайнов - сегментация и разделение индустриальной и офисной сети.


Но очевидно, что такое разделение несет с собой и ряд сложностей. Вот только ряд из них:

  • Управление VLAN
  • Управление конфигурацией
  • Дублирование СКС
  • Увеличение стоимости
  • Рост числа ошибок.

Вполне закономерно возникает желание передавать индустриальный трафик поверх офисной сети. Но это тоже не панацея, т.к. обычная офисная сеть предлагает меньшую, чем требуется, защищенность. Ну а про несовместимость индустриальных и офисных протоколов и говорить не приходится. Вот на таком фоне Боинг в проекте по созданию 777-го и решил все-таки снизить свои издержки и объединить две сети.

За основу была взята идея оверлейных сетей, которую сейчас активно продвигают в связи с виртуализацией сетевых функций, программируемых (SDN) сетей и т.п. Но для ее реализации мало было просто навесить метки на разные типы трафика - вопрос с совместимостью и защищенностью все равно оставался.



Тогда Боинг, пригласивший известного игрока рынка индустриальной ИБ, компанию Tofino , заказал разработку специального загружаемого модуля безопасности ( LMS ) для своего межсетевого экрана ( Tofino Security Appliance ). Продукт был разработан - получился по сути некий защитный АСУ ТП ретранслятор, в задачи которого входили:

  • передача индустриальных протоколов поверх офисной сети за счет инкапсуляции
  • изоляция АСУ ТП от офисной сети с помощью простого индустриального МСЭ
  • защита коммуникаций между ретрансляторами с помощью протокола Host Identity Protocol (HIP).



Решение (LSM) было реализовано в виде открытой архитектуры на базе open source решений. Среди планов Tofino - встроить LSM либо на уровень оконечных устройств (HMI, БД, OPC-сервера и т.п.), либо сразу на уровне контроллеров.

Вот такое интересное решение. Надо заметить, что согласно недавно зарегистрированному приказу ФСТЭК №31 такой подход возможен и у нас. Только вот решений, реализующих эту схему, у нас почти что и нет. Хотя я сторонник все-таки традиционного подхода с физическим, а не логическим разделением индустриальных и офисных сетей.

ЗЫ. Кстати, по поводу 31-го приказа мы (Cisco) проводим онлайн-семинар 24-го июля в 11 утра по московскому времени. Кому интересно, приходите