Применение систем одностороннего межсетевого взаимодействия в АСУ ТП: транспорт промышленного протокола ОРС

Алексей
Мальнев

Начальник отдела защиты КСИИ "АМТ-ГРУП"

Андрей
Лежнин

Ведущий инженер АСУ ТП "АМТ-ГРУП"

В одной из предыдущих статей*, рассказывалось о системе одностороннего взаимодействия Fox-IT, которая находит применение в промышленных сетях АСУ ТП. Принцип работы данной системы основан на использовании двух прокси-серверов и аппаратного оптрона между ними, обеспечивающих однонаправленный транспорт ТСР/IР-протоколов.

Когда дело касается передачи данных журналов событий Syslog, передачи любых обновлений в файловом виде, то все, в общем, просто и ограничений почти нет. Но если речь идет о трансляции промышленных протоколов, то возникает ряд проблем:

• не все промышленные протоколы имеют однонаправленную природу на прикладном уровне;
• зачастую крайне критичными являются вопросы возникающих задержек.

Что из этого следует?

В контексте передачи данных АСУ ТП и промышленных протоколов системы одностороннего межсетевого взаимодействия оптимально использовать для систем мониторинга SCADA, позволяющих вынести копии (зеркала) SCADA Historian серверов. Суть задачи - исключить любое внешнее воздействие на системы АСУ ТП, но предоставить операторам, подрядчикам, внешним обслуживающим или контролирующим организациям возможность безопасного мониторинга параметров производственных процессов вне ЛВС АСУ ТП.

В рамках данной статьи описывается один из вариантов подобного решения, реализованного в лаборатории "АМТ-ГРУП". Схема реализовывалась специалистами по безопасности и инженерами АСУ ТП в рамках пилотного стенда для планируемой реализации на объекте энерговырабатывающей компании.

Решение основывается на системе одностороннего межсетевого взаимодействия Fox-IT DataDiode и компонентах MatriconOPC. Основной задачей является трансляция данных из промышленного сегмента для формирования зеркала ОРС HDA (Historian Data Access) на стороне корпоративной сети.

В рамках лабораторного стенда (см. рис.) была протестирована схема репликации данных ОРС DA посредством преобразования данных (тегов) ОРС в файловый формат на стороне ЛВС АСУ ТП, передачи данных в файловом формате через комплекс Fox-IT Data-Diode (протокол FTP), далее выполняется обратная процедура восстановления данных в формат ОРС (и реализация сервиса ОРС HDA) на стороне корпоративной сети.

Основные компоненты решения

MatrikonOPC Simulation Server - сервер генерации данных ОРС. Эта компонента формирует ОРС-деревья с изменяемыми переменными типа Boolean, Integer и др. Данные переменные эмулируют ОРС-теги, то есть изменяемые параметры производственных процессов.

MatrikonOPC Buffer - сервер сбора и буферизации данных ОРС. В нашем случае от этой компоненты требуется принять поток ОРС-тегов и преобразовать его в формат файла ОРС для последующей передачи через DataDiode.

Fox-IT DataDiode - система одностороннего межсетевого взаимодействия. В данном сценарии реализует транспорт протокола FTP для передачи ОРС-файлов.

MatrikonOPC File Collector - программная компонента, преобразовывающая данные из ОРС-файла в формат ОРС-тегов.

Matrikon Desktop Historian - сервер сбора и хранения данных ОРС.

Схема показала свою работоспособность, что значительно расширяет возможности использования систем одностороннего межсетевого взаимодействия в АСУ ТП. Данная схема была реализована со следующими параметрами:

• производительность: <1000 тегов/с (рассматриваются варианты масштабирования до 100 000 тегов/с);
• отказоустойчивость и кластеризация Fox-IT DataDiode реализовывается при помощи сетевых балансировщиков;
• частота обновлений ОРС-файлов: раз в две секунды.