Безопасный обмен данными управления системами за пределами вашей сети возможен!

Безопасный обмен данными управления системами за пределами вашей сети возможен!

Безопасный обмен данными управления системами за пределами вашей сети возможен!

Необходимость обмена данными о процессе работы между производственными площадками, перарабатывающими, нефтехимическими, газовыми и обслуживающими предприятиями растет в течение последнего десятилетия. Эти заводы и производственные площадки, как правило, расположены в одном месте и имеют необходимость обмена запасами и другими ресурсами, такими как водород, электричество, вода, пар, и топливный газ, что создало требование для обмена данными между системами учета и измерения потребления ресурсов на производствах.

С жесткой политикой сетевой безопасности различных компаний в химической, нефтяной и газовой промышленности и коммунальных услуг, стало значительно более сложной задачей интегрировать системы сторонних производителей.

Integration Objects разработали решение на основе OPC, позволяющее упростить такую интеграцию при соблюдении стандартов безопасности сети ISA 99 и политики различных заинтересованных сторон. Такие системы уже успешно развернуты и интегрированы в нефтеперерабатывающие, обслуживающие,  газо- и нефтестабилизирующие и газовые заводы.

Компании со строгой политикой кибербезопасности защищают свои активы управления технологическими процессами путем внедрения демилитаризованной зоны (ДМЗ), физически разделяющей и устраняющей прямую связь между предприятием и сетями управления.

Проблема заключается в том, как продолжить обмен критически важными для систем бухгалтерского учета, безопасности и управления данными с системами сторонних производителей без введения угрозы безопасности и при минимальных затратах.
                                                                                                                                                                                                                                                                                                                                                      
Решение для безопасности Integration Objects на основе OPC для DMZ позволяет пользователям обмениваться критически важными данными с третьими лицами в режиме реального времени, и в то же время:

Придерживаться политики безопасности всех заинтересованных сторон и обеспечивать конфиденциальность своих данных,
Извлекать выгоду из интерфейса OPC UA, позволяя приложениям на уровне предприятий также безопасно отправлять данные обратно в систему управления через DMZ
Развертывать легко поддерживаемую архитектуру, обеспечивая устойчивость к сбоям сети и быстро настраиваемое графическое окружение с помощью всего лишь нескольких кликов
Избегать значительных капитальных вложений с тем, как решение использует преимущества существующей классической инфраструктуры на основе OPC.

DMZ решение для безопасности на основе OPC - Архитектура

Примечание: Учитывая критический характер такого приложения и число компаний, участвующих в реализации этого решения и их политики в области безопасности, мы не смогли получить общее разрешение, чтобы раскрыть историю успеха. Ниже приводится цитата менеджера проекта, одной из заинтересованных сторон:

"Наш проект по интеграции наших систем в сети сторонних компаний была задержана на девять месяцев, потому что мы не смогли найти решение, которое работает и соответствует нашей политике сети и политикам всех третьих сторон. Мы были приятно удивлены, когда увидели, что Integration Objects обеспечили не только весьма надежное решение, но и безопасное на основе OPC".

Бесшовные поток данных

Безопасная DMZ обладает буфером, который не имеет никаких возможностей для  чтения или записи и включает в себя только те теги, которые необходимы для конкретного обмена данными. Безопасная передача между серверами, расположенная в каждой стороне, будет собирать данные из буфера DMZ по мере необходимости, а затем передавать их на OPC-сервер, расположенный в сети управления технологическим процессом (PCN) и наоборот.

Усиление безопасности без усложнения конфигурации шифрования всех передаваемых данных нужно для для обеспечения целостности и конфиденциальности данных. Таким образом, данные будут защищены от вредоносных атак, так как она не допустит подмену, sniffing или взлом. Кроме того, доступ к данным требует аутентификации пользователя с уровня буферного сервера до уровня тега:

Аутентификация пользователя основана на Active Directory для того, чтобы подтвердить личность пользователя, пытающегося подключиться и получить доступ к данным. Этот механизм предотвращает несанкционированный доступ, который может быть выдан либо внутри, либо из внешней сети.
Гранулированные права доступа настраиваются с помощью пользовательских профилей и, указав набор разрешений, который определяет, какие теги пользователям разрешено просматривать или переписывать, или производить чтение / запись.
Брандмауэры выполнены таким образом, что только один TCP-порт авторизован. Этот порт может измениться в любое время по усмотрению команды сетевой безопасности каждой компании. Все эти функции безопасности легко настраиваются с помощью интуитивно понятного графического интерфейса. Кроме того, они не требуют провайдера публичного сертификата или доступ к Интернету.
Преимущества
DMZ решение для безопасности на основе OPC имеет следующие основные преимущества:

Ни одна из DMZ не обходится. Все коммуникации с PCN инициируются из DMZ.
Удаленные коммуникации не основаны на классическом OPC / DCOM.
Обмен данными между различными компонентами в пределах той же стороны или между различными сторонами будет восстановлен автоматически после восстановления от сетевых сбоев.
Нет потери данных, когда сетевые коммуникации перестают работать. Это обеспечивается решением для буферизации данных для подхвата истории данных.

Только один порт TCP должен быть открытым в брандмауэре. Этот порт настраивается и не является публичным или известным портом. Кроме того, каждая сторона может использовать другой порт для связи с их PCN и не должна раскрывать эту информацию третьим лицам.
Данные шифруются и, следовательно, они является невидимыми для хакеров, так как система не допускает подмены или sniffing’а.

Благодаря интерфейсу OPC UA приложения на уровне предприятия, такие как планирование производства или оптимизация активов также могут безопасно обмениваться данными с системой управления через DMZ.

Удаленные коммуникации могут быть настроены из различных доменов по VPN и через VSAT и WAN. Пользователи также могут настраивать таймауты коммуникаций и параметры сжатия данных для более высокой производительности передачи данных через их сети.

DMZ решение для безопасности на основе OPC позволило интегрировать нефтеперерабатывающие, нефте- и газостабилизирующие, а также заводы по производству природного газа путем обмена данными процесса в режиме реального времени в безопасном режиме. Он реализует открытую архитектуру без ущерба для безопасности, пользуясь преимуществом классической OPC инфраструктуры и Active Directory и до сих пор извлекает выгоду из текущих отраслевых стандартов в частности OPC UA и ISA 99.

Рассказать друзьям:

Читайте также

Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie, пользовательских данных (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) в целях функционирования сайта, проведения ретаргетинга и проведения статистических исследований и обзоров. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.