В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
В одной из предыдущих статей*, рассказывалось о системе одностороннего взаимодействия Fox-IT, которая находит применение в промышленных сетях АСУ ТП. Принцип работы данной системы основан на использовании двух прокси-серверов и аппаратного оптрона между ними, обеспечивающих однонаправленный транспорт ТСР/IР-протоколов.
Когда дело касается передачи данных журналов событий Syslog, передачи любых обновлений в файловом виде, то все, в общем, просто и ограничений почти нет. Но если речь идет о трансляции промышленных протоколов, то возникает ряд проблем:
В контексте передачи данных АСУ ТП и промышленных протоколов системы одностороннего межсетевого взаимодействия оптимально использовать для систем мониторинга SCADA, позволяющих вынести копии (зеркала) SCADA Historian серверов. Суть задачи - исключить любое внешнее воздействие на системы АСУ ТП, но предоставить операторам, подрядчикам, внешним обслуживающим или контролирующим организациям возможность безопасного мониторинга параметров производственных процессов вне ЛВС АСУ ТП.
В рамках данной статьи описывается один из вариантов подобного решения, реализованного в лаборатории "АМТ-ГРУП". Схема реализовывалась специалистами по безопасности и инженерами АСУ ТП в рамках пилотного стенда для планируемой реализации на объекте энерговырабатывающей компании.
Решение основывается на системе одностороннего межсетевого взаимодействия Fox-IT DataDiode и компонентах MatriconOPC. Основной задачей является трансляция данных из промышленного сегмента для формирования зеркала ОРС HDA (Historian Data Access) на стороне корпоративной сети.
В рамках лабораторного стенда (см. рис.) была протестирована схема репликации данных ОРС DA посредством преобразования данных (тегов) ОРС в файловый формат на стороне ЛВС АСУ ТП, передачи данных в файловом формате через комплекс Fox-IT Data-Diode (протокол FTP), далее выполняется обратная процедура восстановления данных в формат ОРС (и реализация сервиса ОРС HDA) на стороне корпоративной сети.
MatrikonOPC Simulation Server - сервер генерации данных ОРС. Эта компонента формирует ОРС-деревья с изменяемыми переменными типа Boolean, Integer и др. Данные переменные эмулируют ОРС-теги, то есть изменяемые параметры производственных процессов.
MatrikonOPC Buffer - сервер сбора и буферизации данных ОРС. В нашем случае от этой компоненты требуется принять поток ОРС-тегов и преобразовать его в формат файла ОРС для последующей передачи через DataDiode.
Fox-IT DataDiode - система одностороннего межсетевого взаимодействия. В данном сценарии реализует транспорт протокола FTP для передачи ОРС-файлов.
MatrikonOPC File Collector - программная компонента, преобразовывающая данные из ОРС-файла в формат ОРС-тегов.
Matrikon Desktop Historian - сервер сбора и хранения данных ОРС.
Схема показала свою работоспособность, что значительно расширяет возможности использования систем одностороннего межсетевого взаимодействия в АСУ ТП. Данная схема была реализована со следующими параметрами:
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2013