Информационная безопасность в телемеханике.

Раздел:  --== Все разделы ==-- ------------------------------------------------------------- СДТУ - Общий раздел Телемеханика в электроэнергетике Оперативно-информационные комплексы Измерительные преобразователи Модемы и протоколы ТМ Каналы связи в электроэнергетике Высокочастотная связь по ЛЭП Цифровые системы связи и передачи данных О сайте и форуме Объявления Телемеханика и связь в энергетике / Телемеханика в электроэнергетике / Информационная безопасность в телемеханике.

Страницы: 1

Автор	Сообщение
marshal аксакал Группа: Участники Сообщений: 553	Добавлено: 03-04-2012 11:33
	Здравствуйте, коллеги! В современных реалиях встает вопрос об информационной безопасности в телемеханике: защита от несанкционированного доступа, политика администрирования, вирусная безопасность и т.д. Есть ли какие нормативные документы и собственные решения по такой "специфической" теме? Цитировать
Andrej аксакал Группа: Модераторы Сообщений: 592	Добавлено: 03-04-2012 15:20
	Нормативных документов не встречал. Вопрос весьма затратный, реализация которого требует некоторой перестройки существующей сети передачи данных. В идеале, сеть технологическая должна быть полностью отделена от корпоративной ЛВС. А на деле, ничего этого нет и в ближайшее время вряд ли предвидится (по крайней мере у нас). Ведь, по хорошему, защиту технологического сегмента сети надо поручать профессионалам. С разработкой масштабного проекта (и разработкой ТЗ как положено) в рамках филиала РСК или всего РСК в целом. В нынешних реалиях (я имею ввиду сложившуюся систему тендерного разбазаривания) в это как-то не верится. Цитировать
Andrew аксакал Группа: Участники Сообщений: 568	Добавлено: 03-04-2012 17:02
	В идеале, сеть технологическая должна быть полностью отделена от корпоративной ЛВС. А на деле, ничего этого нет Т.е. вы хотите сказать, что передачу данных ТМ в МЭК-104 делаете по корпоративной ЛВС? Цитировать
marshal аксакал Группа: Участники Сообщений: 553	Добавлено: 03-04-2012 18:47
	Спасибо за диалог! По телемеханике, действительно, таких нормативных документов сложно найти. Но можно использовать локальные нормативные документы по информационной безопасности и использованию телекоммуникационных ресурсов (у нас они так называются). Там есть упоминание про технологические системы (к ним можно отнести и ТМ), оборудование передачи данных и т.п. Вот. Кроме того, у нас есть бумага о запрете использования ЛВС для технологических систем (РЗА, ТМ, АСКУЭ) без выделения защищенного сегмента. На основании этой бумаги тот же МЭК-104 переводим в технологическую сеть ТМ. Для защиты от несанкционированного доступа в технологической сети ТМ используем списки контроля доступа (Access Control Lists). Цитировать
Andrej аксакал Группа: Модераторы Сообщений: 592	Добавлено: 03-04-2012 19:31
	Т.е. вы хотите сказать, что передачу данных ТМ в МЭК-104 делаете по корпоративной ЛВС? Да. Есть и такое. Там, где на сегодняшний момент невозможно организовать хотя бы выделенный сегмент сети (VLAN). А куда деваться? Цитировать
Andrej аксакал Группа: Модераторы Сообщений: 592	Добавлено: 03-04-2012 20:05
	Вообще, в мире уже есть масса наработок и технологий для реализации защиты технологического трафика: VLAN, VPN, шифрование и пр. Но что мы имеем: Во-первых, сеть передачи данных масштаба области. Каналы до объектов (ПС, РЭС, ПО) могут быть как собственными, так и арендованными (причем, у нескольких операторов одновременно). Наше, к примеру, предприятие РСК не в состоянии арендовать два выделенных потока (основной и резервный) для технологической и два потока для корпоративной сетей на каждый объект. Ибо дорого. По-этому, в каналах идут оба трафика (пусть и с разными VLAN). Во-вторых, не на каждом объекте мы имеем достаточно мощные маршрутизаторы для обеспечения разделения трафика (ладно, допустим, это временные трудности). В-третьих, мы даже не имеем достаточного количества рабочих станций у диспетчеров уровня РЭС и ПО, чтобы включить их отдельно в технологическую сеть. Сейчас, к примеру, ОИК имеет 2 сетевые карты (одна - технологическая сеть, другая - корпоративная), а рабочие станции диспетчера включены только в корпоративную сеть. И т.п. проблемы. Также, не стоит забывать и о защите на других уровнях. Чего стоит вся эта дорогая инфраструктура, если любой дурак может залезть на подстанцию и нажать "кнопку"? Или, если диспетчер вышел покурить, а в это время обиженный монтер взял, да и включил телеуправление на ПС? А еще необходимо, например, организовать антивирусную защиту и обновление операционных систем и пр.программных компонентов при отключенном доступе в интернет. Проблем много. Но все это решается в данный момент кое-как, "на коленках" собственными силами. Соответственно, и результат. Да, а еще из-за немаленького снижения зарплаты начали разбегаться толковые сисадмины... Цитировать
marshal аксакал Группа: Участники Сообщений: 553	Добавлено: 04-04-2012 08:45
	Вообще, в мире уже есть масса наработок и технологий для реализации защиты технологического трафика: VLAN, VPN, шифрование и пр. Но что мы имеем: Во-первых, сеть передачи данных масштаба области. Каналы до объектов (ПС, РЭС, ПО) могут быть как собственными, так и арендованными (причем, у нескольких операторов одновременно). Наше, к примеру, предприятие РСК не в состоянии арендовать два выделенных потока (основной и резервный) для технологической и два потока для корпоративной сетей на каждый объект. Ибо дорого. По-этому, в каналах идут оба трафика (пусть и с разными VLAN). Во-вторых, не на каждом объекте мы имеем достаточно мощные маршрутизаторы для обеспечения разделения трафика (ладно, допустим, это временные трудности). В-третьих, мы даже не имеем достаточного количества рабочих станций у диспетчеров уровня РЭС и ПО, чтобы включить их отдельно в технологическую сеть. Сейчас, к примеру, ОИК имеет 2 сетевые карты (одна - технологическая сеть, другая - корпоративная), а рабочие станции диспетчера включены только в корпоративную сеть. И т.п. проблемы. Также, не стоит забывать и о защите на других уровнях. Чего стоит вся эта дорогая инфраструктура, если любой дурак может залезть на подстанцию и нажать "кнопку"? Или, если диспетчер вышел покурить, а в это время обиженный монтер взял, да и включил телеуправление на ПС? А еще необходимо, например, организовать антивирусную защиту и обновление операционных систем и пр.программных компонентов при отключенном доступе в интернет. Проблем много. Но все это решается в данный момент кое-как, "на коленках" собственными силами. Соответственно, и результат. Да, а еще из-за немаленького снижения зарплаты начали разбегаться толковые сисадмины... По поводу рабочих станций дисптечера: как правило, у диспетчера 2 пк стоит. У нас один - в ЛВС предприятия, а другой - в технологической сети ТМ (шнурок из аппаратной ТМ брошен). На обоих ПК стоят АРМ Клиента ОИК. Тот же ОИК, к примеру,имеет уже 4 "сетевухи"..... А для защиты от "дурака-монтера" есть, к примеру, запароленная заставка ("окна"+L)..... Цитировать
Kazay Группа: Участники Сообщений: 4	Добавлено: 27-06-2012 13:03
	Вообще, в мире уже есть масса наработок и технологий для реализации защиты технологического трафика: VLAN, VPN, шифрование и пр. Но что мы имеем: Во-первых, сеть передачи данных масштаба области. Каналы до объектов (ПС, РЭС, ПО) могут быть как собственными, так и арендованными (причем, у нескольких операторов одновременно). Наше, к примеру, предприятие РСК не в состоянии арендовать два выделенных потока (основной и резервный) для технологической и два потока для корпоративной сетей на каждый объект. Ибо дорого. По-этому, в каналах идут оба трафика (пусть и с разными VLAN). Во-вторых, не на каждом объекте мы имеем достаточно мощные маршрутизаторы для обеспечения разделения трафика (ладно, допустим, это временные трудности). В-третьих, мы даже не имеем достаточного количества рабочих станций у диспетчеров уровня РЭС и ПО, чтобы включить их отдельно в технологическую сеть. Сейчас, к примеру, ОИК имеет 2 сетевые карты (одна - технологическая сеть, другая - корпоративная), а рабочие станции диспетчера включены только в корпоративную сеть. И т.п. проблемы. Также, не стоит забывать и о защите на других уровнях. Чего стоит вся эта дорогая инфраструктура, если любой дурак может залезть на подстанцию и нажать "кнопку"? Или, если диспетчер вышел покурить, а в это время обиженный монтер взял, да и включил телеуправление на ПС? А еще необходимо, например, организовать антивирусную защиту и обновление операционных систем и пр.программных компонентов при отключенном доступе в интернет. Проблем много. Но все это решается в данный момент кое-как, "на коленках" собственными силами. Соответственно, и результат. Да, а еще из-за немаленького снижения зарплаты начали разбегаться толковые сисадмины... Протокол VLAN разрабатывался не для обеспечения сетевой безопасности, а для ограничения широковещательного трафика внутри одной подсети и разделения потоков информации внутри предприятия, при этом единственная форма "безопасности" заключается в том, что из другого vlan'а в этот не "залезишь" потому что траффик теггируется да и то только в том случае если коммутаторы не подключены к роутеру, который маршрутезирует траффик между этими VLAN'ами. Да и технология Virtual Private Network служит совершенно другой цели!!! Вот такие протоколы как ACL относятся к сетевой защите. Все те протоколы, которые вы назвали из стека TCP/IP имеют к сетевой защите весьма косвенное отношение. И вообще этим занимаются профессионалы в сфере "сетевая безопасность" с узкими глазами и сертификатами CCNP/CCIE. Цитировать
marshal аксакал Группа: Участники Сообщений: 553	Добавлено: 27-06-2012 14:38
	Серъезный ответ! Цитировать
Andrej аксакал Группа: Модераторы Сообщений: 592	Добавлено: 27-06-2012 15:30
	Протокол VLAN разрабатывался не для обеспечения сетевой безопасности, а для ограничения широковещательного трафика ... Да и технология Virtual Private Network служит совершенно другой цели!!! Вот такие протоколы как ACL относятся к сетевой защите. Все те протоколы, которые вы назвали из стека TCP/IP имеют к сетевой защите весьма косвенное отношение. И вообще этим занимаются профессионалы в сфере "сетевая безопасность" с узкими глазами и сертификатами CCNP/CCIE. Наверное, Вы правы! Защитой технологических сетей энергетики должны заниматься не телемеханики, а специалисты сетевой безопасности. И проекты по организации каналов ТМ должны выполняться с учетом требований по защите сетей передачи данных. У нас, к сожалению, всё совсем не так. Телемеханики занимаются всем - от написания ТЗ (прерогатива проектной организации) и разработки проектов (прерогатива проектантов) до внедрения на объектах (прерогатива подрядчиков). ЗЫ: сейчас еще и пожарную сигнализацию на нас повесили . Цитировать
marshal аксакал Группа: Участники Сообщений: 553	Добавлено: 27-06-2012 16:03
	Протокол VLAN разрабатывался не для обеспечения сетевой безопасности, а для ограничения широковещательного трафика ... Да и технология Virtual Private Network служит совершенно другой цели!!! Вот такие протоколы как ACL относятся к сетевой защите. Все те протоколы, которые вы назвали из стека TCP/IP имеют к сетевой защите весьма косвенное отношение. И вообще этим занимаются профессионалы в сфере "сетевая безопасность" с узкими глазами и сертификатами CCNP/CCIE. Наверное, Вы правы! Защитой технологических сетей энергетики должны заниматься не телемеханики, а специалисты сетевой безопасности. И проекты по организации каналов ТМ должны выполняться с учетом требований по защите сетей передачи данных. У нас, к сожалению, всё совсем не так. Телемеханики занимаются всем - от написания ТЗ (прерогатива проектной организации) и разработки проектов (прерогатива проектантов) до внедрения на объектах (прерогатива подрядчиков). ЗЫ: сейчас еще и пожарную сигнализацию на нас повесили . Гы-гы, а на нас ещё охранную и видеонаблюдение....3,14...3...дец!!! Цитировать
Andrej аксакал Группа: Модераторы Сообщений: 592	Добавлено: 27-06-2012 20:40
	Осталось получить красные нарукавные повязки и гладкоствольные ружья. Будем заодно и объекты охранять. Цитировать
marshal аксакал Группа: Участники Сообщений: 553	Добавлено: 28-06-2012 08:58
	Осталось получить красные нарукавные повязки и гладкоствольные ружья. Будем заодно и объекты охранять. Ну да..... Кто везет, на том и пашут!!!!! Цитировать
Kazay Группа: Участники Сообщений: 4	Добавлено: 02-07-2012 10:31
	Да работать то можно во всех этих сферах! Вот только денех за это получать надо в три раза больше!!! Цитировать

Страницы: 1

Раздел:  --== Все разделы ==-- ------------------------------------------------------------- СДТУ - Общий раздел Телемеханика в электроэнергетике Оперативно-информационные комплексы Измерительные преобразователи Модемы и протоколы ТМ Каналы связи в электроэнергетике Высокочастотная связь по ЛЭП Цифровые системы связи и передачи данных О сайте и форуме Объявления Телемеханика и связь в энергетике / Телемеханика в электроэнергетике / Информационная безопасность в телемеханике.