Информационная безопасность в телемеханике.

  Вход на форум   логин       пароль   Забыли пароль? Регистрация
On-line:  

Раздел: 
Телемеханика и связь в энергетике / Телемеханика в электроэнергетике / Информационная безопасность в телемеханике.

Страницы: 1  ответить новая тема

Автор Сообщение

аксакал
Группа: Участники
Сообщений: 553
Добавлено: 03-04-2012 11:33
Здравствуйте, коллеги! В современных реалиях встает вопрос об информационной безопасности в телемеханике: защита от несанкционированного доступа, политика администрирования, вирусная безопасность и т.д. Есть ли какие нормативные документы и собственные решения по такой "специфической" теме?

аксакал
Группа: Модераторы
Сообщений: 591
Добавлено: 03-04-2012 15:20
Нормативных документов не встречал. Вопрос весьма затратный, реализация которого требует некоторой перестройки существующей сети передачи данных. В идеале, сеть технологическая должна быть полностью отделена от корпоративной ЛВС. А на деле, ничего этого нет и в ближайшее время вряд ли предвидится (по крайней мере у нас).
Ведь, по хорошему, защиту технологического сегмента сети надо поручать профессионалам. С разработкой масштабного проекта (и разработкой ТЗ как положено) в рамках филиала РСК или всего РСК в целом. В нынешних реалиях (я имею ввиду сложившуюся систему тендерного разбазаривания) в это как-то не верится.

аксакал
Группа: Участники
Сообщений: 568
Добавлено: 03-04-2012 17:02
В идеале, сеть технологическая должна быть полностью отделена от корпоративной ЛВС. А на деле, ничего этого нет

Т.е. вы хотите сказать, что передачу данных ТМ в МЭК-104 делаете по корпоративной ЛВС?

аксакал
Группа: Участники
Сообщений: 553
Добавлено: 03-04-2012 18:47
Спасибо за диалог! По телемеханике, действительно, таких нормативных документов сложно найти. Но можно использовать локальные нормативные документы по информационной безопасности и использованию телекоммуникационных ресурсов (у нас они так называются). Там есть упоминание про технологические системы (к ним можно отнести и ТМ), оборудование передачи данных и т.п.
Вот. Кроме того, у нас есть бумага о запрете использования ЛВС для технологических систем (РЗА, ТМ, АСКУЭ) без выделения защищенного сегмента. На основании этой бумаги тот же МЭК-104 переводим в технологическую сеть ТМ. Для защиты от несанкционированного доступа в технологической сети ТМ используем списки контроля доступа (Access Control Lists).

аксакал
Группа: Модераторы
Сообщений: 591
Добавлено: 03-04-2012 19:31

Т.е. вы хотите сказать, что передачу данных ТМ в МЭК-104 делаете по корпоративной ЛВС?

Да. Есть и такое. Там, где на сегодняшний момент невозможно организовать хотя бы выделенный сегмент сети (VLAN). А куда деваться?

аксакал
Группа: Модераторы
Сообщений: 591
Добавлено: 03-04-2012 20:05
Вообще, в мире уже есть масса наработок и технологий для реализации защиты технологического трафика: VLAN, VPN, шифрование и пр. Но что мы имеем:
Во-первых, сеть передачи данных масштаба области. Каналы до объектов (ПС, РЭС, ПО) могут быть как собственными, так и арендованными (причем, у нескольких операторов одновременно). Наше, к примеру, предприятие РСК не в состоянии арендовать два выделенных потока (основной и резервный) для технологической и два потока для корпоративной сетей на каждый объект. Ибо дорого. По-этому, в каналах идут оба трафика (пусть и с разными VLAN).
Во-вторых, не на каждом объекте мы имеем достаточно мощные маршрутизаторы для обеспечения разделения трафика (ладно, допустим, это временные трудности).
В-третьих, мы даже не имеем достаточного количества рабочих станций у диспетчеров уровня РЭС и ПО, чтобы включить их отдельно в технологическую сеть. Сейчас, к примеру, ОИК имеет 2 сетевые карты (одна - технологическая сеть, другая - корпоративная), а рабочие станции диспетчера включены только в корпоративную сеть.
И т.п. проблемы. Также, не стоит забывать и о защите на других уровнях. Чего стоит вся эта дорогая инфраструктура, если любой дурак может залезть на подстанцию и нажать "кнопку"? Или, если диспетчер вышел покурить, а в это время обиженный монтер взял, да и включил телеуправление на ПС? А еще необходимо, например, организовать антивирусную защиту и обновление операционных систем и пр.программных компонентов при отключенном доступе в интернет. Проблем много. Но все это решается в данный момент кое-как, "на коленках" собственными силами. Соответственно, и результат.
Да, а еще из-за немаленького снижения зарплаты начали разбегаться толковые сисадмины...

аксакал
Группа: Участники
Сообщений: 553
Добавлено: 04-04-2012 08:45
Вообще, в мире уже есть масса наработок и технологий для реализации защиты технологического трафика: VLAN, VPN, шифрование и пр. Но что мы имеем:
Во-первых, сеть передачи данных масштаба области. Каналы до объектов (ПС, РЭС, ПО) могут быть как собственными, так и арендованными (причем, у нескольких операторов одновременно). Наше, к примеру, предприятие РСК не в состоянии арендовать два выделенных потока (основной и резервный) для технологической и два потока для корпоративной сетей на каждый объект. Ибо дорого. По-этому, в каналах идут оба трафика (пусть и с разными VLAN).
Во-вторых, не на каждом объекте мы имеем достаточно мощные маршрутизаторы для обеспечения разделения трафика (ладно, допустим, это временные трудности).
В-третьих, мы даже не имеем достаточного количества рабочих станций у диспетчеров уровня РЭС и ПО, чтобы включить их отдельно в технологическую сеть. Сейчас, к примеру, ОИК имеет 2 сетевые карты (одна - технологическая сеть, другая - корпоративная), а рабочие станции диспетчера включены только в корпоративную сеть.
И т.п. проблемы. Также, не стоит забывать и о защите на других уровнях. Чего стоит вся эта дорогая инфраструктура, если любой дурак может залезть на подстанцию и нажать "кнопку"? Или, если диспетчер вышел покурить, а в это время обиженный монтер взял, да и включил телеуправление на ПС? А еще необходимо, например, организовать антивирусную защиту и обновление операционных систем и пр.программных компонентов при отключенном доступе в интернет. Проблем много. Но все это решается в данный момент кое-как, "на коленках" собственными силами. Соответственно, и результат.
Да, а еще из-за немаленького снижения зарплаты начали разбегаться толковые сисадмины...


По поводу рабочих станций дисптечера: как правило, у диспетчера 2 пк стоит. У нас один - в ЛВС предприятия, а другой - в технологической сети ТМ (шнурок из аппаратной ТМ брошен). На обоих ПК стоят АРМ Клиента ОИК. Тот же ОИК, к примеру,имеет уже 4 "сетевухи"..... А для защиты от "дурака-монтера" есть, к примеру, запароленная заставка ("окна"+L).....


Группа: Участники
Сообщений: 4
Добавлено: 27-06-2012 13:03
Вообще, в мире уже есть масса наработок и технологий для реализации защиты технологического трафика: VLAN, VPN, шифрование и пр. Но что мы имеем:
Во-первых, сеть передачи данных масштаба области. Каналы до объектов (ПС, РЭС, ПО) могут быть как собственными, так и арендованными (причем, у нескольких операторов одновременно). Наше, к примеру, предприятие РСК не в состоянии арендовать два выделенных потока (основной и резервный) для технологической и два потока для корпоративной сетей на каждый объект. Ибо дорого. По-этому, в каналах идут оба трафика (пусть и с разными VLAN).
Во-вторых, не на каждом объекте мы имеем достаточно мощные маршрутизаторы для обеспечения разделения трафика (ладно, допустим, это временные трудности).
В-третьих, мы даже не имеем достаточного количества рабочих станций у диспетчеров уровня РЭС и ПО, чтобы включить их отдельно в технологическую сеть. Сейчас, к примеру, ОИК имеет 2 сетевые карты (одна - технологическая сеть, другая - корпоративная), а рабочие станции диспетчера включены только в корпоративную сеть.
И т.п. проблемы. Также, не стоит забывать и о защите на других уровнях. Чего стоит вся эта дорогая инфраструктура, если любой дурак может залезть на подстанцию и нажать "кнопку"? Или, если диспетчер вышел покурить, а в это время обиженный монтер взял, да и включил телеуправление на ПС? А еще необходимо, например, организовать антивирусную защиту и обновление операционных систем и пр.программных компонентов при отключенном доступе в интернет. Проблем много. Но все это решается в данный момент кое-как, "на коленках" собственными силами. Соответственно, и результат.
Да, а еще из-за немаленького снижения зарплаты начали разбегаться толковые сисадмины...


Протокол VLAN разрабатывался не для обеспечения сетевой безопасности, а для ограничения широковещательного трафика внутри одной подсети и разделения потоков информации внутри предприятия, при этом единственная форма "безопасности" заключается в том, что из другого vlan'а в этот не "залезишь" потому что траффик теггируется да и то только в том случае если коммутаторы не подключены к роутеру, который маршрутезирует траффик между этими VLAN'ами. Да и технология Virtual Private Network служит совершенно другой цели!!! Вот такие протоколы как ACL относятся к сетевой защите. Все те протоколы, которые вы назвали из стека TCP/IP имеют к сетевой защите весьма косвенное отношение. И вообще этим занимаются профессионалы в сфере "сетевая безопасность" с узкими глазами и сертификатами CCNP/CCIE.

аксакал
Группа: Участники
Сообщений: 553
Добавлено: 27-06-2012 14:38
Серъезный ответ!

аксакал
Группа: Модераторы
Сообщений: 591
Добавлено: 27-06-2012 15:30

Протокол VLAN разрабатывался не для обеспечения сетевой безопасности, а для ограничения широковещательного трафика ... Да и технология Virtual Private Network служит совершенно другой цели!!! Вот такие протоколы как ACL относятся к сетевой защите. Все те протоколы, которые вы назвали из стека TCP/IP имеют к сетевой защите весьма косвенное отношение. И вообще этим занимаются профессионалы в сфере "сетевая безопасность" с узкими глазами и сертификатами CCNP/CCIE.

Наверное, Вы правы! Защитой технологических сетей энергетики должны заниматься не телемеханики, а специалисты сетевой безопасности. И проекты по организации каналов ТМ должны выполняться с учетом требований по защите сетей передачи данных. У нас, к сожалению, всё совсем не так. Телемеханики занимаются всем - от написания ТЗ (прерогатива проектной организации) и разработки проектов (прерогатива проектантов) до внедрения на объектах (прерогатива подрядчиков).
ЗЫ: сейчас еще и пожарную сигнализацию на нас повесили
.

аксакал
Группа: Участники
Сообщений: 553
Добавлено: 27-06-2012 16:03

Протокол VLAN разрабатывался не для обеспечения сетевой безопасности, а для ограничения широковещательного трафика ... Да и технология Virtual Private Network служит совершенно другой цели!!! Вот такие протоколы как ACL относятся к сетевой защите. Все те протоколы, которые вы назвали из стека TCP/IP имеют к сетевой защите весьма косвенное отношение. И вообще этим занимаются профессионалы в сфере "сетевая безопасность" с узкими глазами и сертификатами CCNP/CCIE.

Наверное, Вы правы! Защитой технологических сетей энергетики должны заниматься не телемеханики, а специалисты сетевой безопасности. И проекты по организации каналов ТМ должны выполняться с учетом требований по защите сетей передачи данных. У нас, к сожалению, всё совсем не так. Телемеханики занимаются всем - от написания ТЗ (прерогатива проектной организации) и разработки проектов (прерогатива проектантов) до внедрения на объектах (прерогатива подрядчиков).
ЗЫ: сейчас еще и пожарную сигнализацию на нас повесили
.


Гы-гы, а на нас ещё охранную и видеонаблюдение....3,14...3...дец!!!


аксакал
Группа: Модераторы
Сообщений: 591
Добавлено: 27-06-2012 20:40
Осталось получить красные нарукавные повязки и гладкоствольные ружья. Будем заодно и объекты охранять.

аксакал
Группа: Участники
Сообщений: 553
Добавлено: 28-06-2012 08:58
Осталось получить красные нарукавные повязки и гладкоствольные ружья. Будем заодно и объекты охранять.


Ну да..... Кто везет, на том и пашут!!!!!


Группа: Участники
Сообщений: 4
Добавлено: 02-07-2012 10:31
Да работать то можно во всех этих сферах! Вот только денех за это получать надо в три раза больше!!!

Страницы: 1  ответить новая тема
Раздел: 
Телемеханика и связь в энергетике / Телемеханика в электроэнергетике / Информационная безопасность в телемеханике.

KXK.RU