Bezpieczeństwo sieci przemysłowych staje się coraz istotniejsze, ponieważ sieci te wychodzą z dawnej, typowej dla nich izolacji. Sieci oraz zawarte w nich dane stają się dostępne poprzez protokół TCP/IP dla systemów informatycznych z warstwy zarządzania przedsiębiorstw i/lub poprzez Internet. W związku z czym stają ?twarzą w twarz? z zagrożeniami towarzyszącymi tym technologiom.
Pojawia się pytanie, w jaki sposób użytkownicy mogą uzyskać zdalny dostęp do sieci, bez narażania się na zagrożenia ze strony nieupoważnionych intruzów? Aby rozpocząć udoskonalanie zabezpieczeń menadżerowie, inżynierowie automatycy oraz administratorzy systemów muszą w pierwszej kolejności rozpatrywać sieć jako jedną całość i mieć świadomość rozległości infrastruktur informatycznych w skali firmy. Warto dosłownie rozrysować sobie całą sieć; spisać wszystko, co jest do sieci podłączone, po czym zadać sobie pytania: ?czy ta sieć jest podłączona do firmowego Internetu lub Intranetu?? oraz ?czy wszystkie elementy sieci są do niej podpięte sztywno, czy też występują w niej elementy (?elastyczne? łącza) bezprzewodowe?? Następnie menadżerowie powinni sprawdzić, jakie środki bezpieczeństwa są aktualnie dostępne oraz upewnić się, że są one sprawne i właściwie stosowane.
Zasady dotyczące routerów
Niewątpliwie najważniejszym narzędziem dla zwiększania bezpieczeństwa jest posiadanie routera/firewalla (ściany ogniowej) pomiędzy siecią lokalną a większymi systemami, szczególnie tymi podpiętymi do Internetu. Podczas gdy switche działają w warstwie łącza danych (warstwa 2), routery generalnie działają na poziomie warstwy sieci (warstwa 3); przy czym większość z nich przetwarza komunikaty TCP/IP. Router/firewall dopasowuje prywatne adresy internetowe do żądań danych, przepuszczając jedynie określone komunikaty. Poprzez router może przedostać się minimalna ilość nieautoryzowanych komunikatów.
Bezpieczeństwo sieci ? lista rzeczy do zrobienia:
|
A oto inne pytanie z dziedziny bezpieczeństwa: ?Czy wysoce powtarzalne, acz znaczne strumienie danych z produkcji będą w stanie skutecznie przebrnąć ?nie zatykając i nie przeciążając systemu? przy istniejącej wielkości i pasmach przenoszenia transferu danych w systemach IT na poziomie korporacji?? Aby zarządzać tą komunikacją wielu użytkowników stosuje switche wyposażone w możliwości kontrolowania prób nadmiernych transmisji, blokujących transmisje danych z tych portów, na których występują nadmierne obciążenia.
Ponadto switche te przyporządkowują nieznacznie zróżnicowane szerokości pasma dla dostępu do każdego portu w sieci. Gwarantuje to, że każde urządzenie otrzymuje tyko te komunikaty, które ma otrzymać.
Sieci VLAN
Oprócz instalowania podstawowych routerów niektórzy użytkownicy wdrażają wirtualne sieci lokalne komputerowe (Virtual Local Area Networks ? VLAN) pomiędzy sieciami produkcyjnymi a systemami biurowymi. Zaimplementowane w warstwie sprzętowej przełączników (switchy) takie sieci wirtualne blokują nieautoryzowane komunikaty pomiędzy portami sieci.
W rzeczywistości dwie sieci VLAN, które do pewnego stopnia pokrywają się, mogą współużytkować dane, jeśli na przykład urządzenie w hali fabrycznej znajduje się również w korporacyjnej sieci VLAN. To wystawia na potencjalne zagrożenia tylko jedno urządzenie, zapewniając ochronę innym.
Jeszcze inna, dostępna tu opcja polega po prostu na zainstalowaniu dodatkowego routera pomiędzy dwoma lokalizacjami, który może być przeznaczony tylko i wyłącznie do przesyłania danych pomiędzy nimi.Ta strategia bezpieczeństwa nie maskuje adresów, ale również pozwala na przysyłanie tylko wybranych informacji pomiędzy adresami produkcyjnymi a biurowymi. Metoda ta jest podobna do VLAN, z tą różnicą że posługuje się routerem.
O tym, jak ważne jest bezpieczeństwo danych, nie trzeba już dziś nikogo przekonywać. Firma Contemporary Controls integruje w swoich sieciowych urządzeniach przemysłowych funkcje zwiększające bezpieczny transfer danych w sieciach ogólnozakładowych oraz na styku z Internetem. Zarządzalne switche wyposażone są w możliwość budowy sieci wirtualnych (VLAN) oraz monitoringu wielkości transferu danych. Routery mają wbudowany, konfigurowalny firewall oraz możliwość podłączenia modemu analogowego, ISDN, GSM lub xDSL dla dostępu zdalnego. Szereg funkcji uwierzytelniających w nich zawartych wyklucza nieautoryzowany dostęp do sieci. Navi-Service, jako dystrybutor, oferuje również wstępną lub docelową konfigurację urządzeń u klienta oraz sprawdzenie bezpieczeństwa całej sieci przemysłowej.
Sebastian Tryk, Navi-Service sp. z o.o. |
Sprawdzenie podłączonych PC-tów
Od strony infrastruktury menadżerowie zarządzający sieciami muszą również uważać na to, jakie urządzenia na produkcji mogą wykorzystywać dostępną szerokość pasma. Switche ethernetowe są zaprojektowane w taki sposób, że zachęcają do podłączenia się, ale ktoś wpinający się do portu RJ-45 może potencjalnie zakłócić lub uszkodzić proces produkcyjny, poprzez spowodowanie nieupoważnionego lub nieprzetestowanego ruchu w sieci.
Tak więc, oprócz sprawdzania bezpieczeństwa własnych sieci, menadżerowie muszą również uważać na protokoły stosowane w PC-tach i laptopach, które mogą podłączać się do switchy w sieci na poziomie warstwy obsługi produkcji. Menedżerowie mogą testować nowe oprogramowanie czy urządzenia poprzez uruchamianie sieci produkcyjnej w trybie bezpieczeństwa lub też poprzez konstruowanie małych bezpiecznych sieci.
Bennet Levine, menedżer działu R&D w firmie Contemporary Controls, www.ccontrols.com.
Dystrybutorami firmy Contemporary Controls w Polsce są firmy: Astor i Navi Service.
Artykuł pod redakcją Adama Majczaka