ИБ АСУ ТП non-stop. Второй сезон. Серия №7
TRANSCRIPT
Unrestricted © Siemens AG 2016 All rights reserved. siemens.com/answers
Информационная Безопасность
в АСУ ТП
Борис Федосеев Май 2016
23.08.2016 Стр. 2 Борис Федосеев / PD PA CI
Unrestricted © Siemens AG 2016 All rights reserved.
Общие принципы безопасности
АСУ ТП Раздел 1
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 3 Борис Федосеев / PD PA CI
Эшелонированная защита (Defense in Depth)
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 4 Борис Федосеев / PD PA CI
Эшелонированная защита (Defense in Depth)
Безопасность предприятия
Защита физического доступа
Безопасность сети
Системная целостность
Политики и руководства
Службы безопасности для
охраны производства
Защита периметра сети
Межсетевые экраны и VPN
Улучшение защищённости
Аутентификация и
авторизация пользователей
Своевременные обновления
Обнаружение атак
Интеграция защиты доступа
Принцип
Эшелонированной
защиты
Угрозы безопасности
23.08.2016 Стр. 5 Борис Федосеев / PD PA CI
Unrestricted © Siemens AG 2016 All rights reserved.
Возникновение
Информационных угроз
в АСУ ТП Раздел 2
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 6 Борис Федосеев / PD PA CI
Традиционная Автоматизированная Система
Управления Технологическим Процессом
SCADA
ПЛС
КИП
Исполнительные
устройства
Замкнутая и
изолированная АСУ ТП
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 7 Борис Федосеев / PD PA CI
Развитие АСУ ТП и появление Информационных
угроз
Удалённая
площадка
Офисная
сеть
MES
Интернет
Разъездной
инженер
Несанкционированное
подключение
23.08.2016 Стр. 8 Борис Федосеев / PD PA CI
Unrestricted © Siemens AG 2016 All rights reserved.
Информационный угрозы и
методы борьбы с ними Раздел 3
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 9 Борис Федосеев / PD PA CI
Защита от несанкционированного подключения с
привязкой к MAC адресам устройств
Несанкционированное
подключение
Таблица MAC
адресов устройств
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 10 Борис Федосеев / PD PA CI
Защита от несанкционированного подключения с
использованием протокола 802.1x
Несанкционированное
подключение
RADIUS
сервер
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 11 Борис Федосеев / PD PA CI
Ограничение доступа при помощи межсетевого
экрана (Firewall)
Разрешённый доступ Неразрешённый доступ Ограниченный доступ
Не доверяемая
зона
Доверяемая
зона
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 12 Борис Федосеев / PD PA CI
Ограничение доступа при помощи межсетевого экрана
(Firewall)
с демилитаризованной зоной (DMZ)
Не доверяемая
зона
Доверяемая
зона
Демилитаризованная зона (DMZ)
Сервер приложений
Разрешённый доступ Неразрешённый доступ Ограниченный доступ
Сервер базы данных
Офисная сеть
Производственная
сеть
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 13 Борис Федосеев / PD PA CI
Ограничение доступа при помощи межсетевого
экрана (Firewall) с созданием туннелей
Не доверяемая зона
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 14 Борис Федосеев / PD PA CI
Шифрованный туннель к удалённой площадке
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 15 Борис Федосеев / PD PA CI
Шифрованный туннель к удалённой площадке с
программным клиентом
23.08.2016 Стр. 16 Борис Федосеев / PD PA CI
Unrestricted © Siemens AG 2016 All rights reserved.
Продукты Siemens для защиты
ИБ АСУ ТП Раздел 4
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 17 Борис Федосеев / PD PA CI
Семейство коммутаторов SCALANCE X
Коммутаторы SCALANCE X
(300 и старше) поддерживают
безопасность на портах с
привязкой к MAC адресам
или с протоколом 802.1X
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 18 Борис Федосеев / PD PA CI
SCALANCE S602
FireWall (межсетевой экран) для
защиты сегментов локальных сетей с
разными требованиями к
безопасности.
2 порта Ethernet, один для
подключения к сегменту с более
высоким уровнем безопасности,
другой для подключения к сегменту
с менее высоким уровнем
безопасности.
Поддержка NAT.
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 19 Борис Федосеев / PD PA CI
SCALANCE S612
FireWall (межсетевой экран) для
защиты сегментов локальных сетей с
разными требованиями к
безопасности и для передачи данных
через сети проводных (Ethernet)
Интернет провайдеров.
2 порта Ethernet, один для
подключения к сегменту с более
высоким уровнем безопасности,
другой для подключения к сегменту
с менее высоким уровнем
безопасности.
Поддержка NAT, VPN (до 32
туннелей).
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 20 Борис Федосеев / PD PA CI
SCALANCE S623
FireWall (межсетевой экран) для
защиты сегментов локальных сетей с
разными требованиями к
безопасности и для передачи данных
через сети проводных (Ethernet)
Интернет провайдеров.
3 порта Ethernet, один для
подключения к сегменту с более
высоким уровнем безопасности,
другой для подключения к сегменту
с менее высоким уровнем
безопасности, третий DMZ.
Поддержка NAT, VPN (до 128
туннелей).
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 21 Борис Федосеев / PD PA CI
SCALANCE S627-2M
FireWall (межсетевой экран) для
защиты сегментов локальных сетей с
разными требованиями к
безопасности и для передачи данных
через сети проводных (Ethernet)
Интернет провайдеров.
3 встроенных порта Ethernet, и 2
слота для 2-х портовых модулей
расширения.
Поддержка NAT, VPN (до 128
туннелей).
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 22 Борис Федосеев / PD PA CI
SOFTNET SECURITY CLIENT
Программный VPN клиент
совместимый с WINDOWS 7
ULTIMATE, PROFESSIONAL
(32+64BIT), UND WINDOWS XP
PRO+SP3, (32 BIT) и одна лицензия.
Для создания VPN соединения к
продуктам SCALANCE S, SCALANCE
M и коммуникационным процессарам
CP x43-1, CP 1x43-1 и CP 1628
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 23 Борис Федосеев / PD PA CI
SCALANCE S615 LAN-ROUTER
Для передачи данных через сети
проводных (Ethernet) Интернет
провайдеров и для защиты
сегментов локальных сетей с
разными требованиями к
безопасности.
Встроенный 4-х портовый Ethernet
коммутатор для подключения к
локальной сети и один Ethernet порт
для подключения к Интернет
провайдеру.
Поддержка VPN, FireWall
(межсетевого экрана) и NAT.
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 24 Борис Федосеев / PD PA CI
SCALANCE M812-1 ADSL-ROUTER
Для передачи данных через сети
проводных (ADSL) Интернет
провайдеров.
Один порт Ethernet для подключения
к локальной сети и один ADSL порт
для подключения к Интернет
провайдеру.
Поддержка VPN, FireWall
(межсетевого экрана) и NAT.
Есть версии:
ADSL2T, ANNEX A (6GK5812-1AA00-
2AA2)
ADSL2+, ANNEX B (6GK5812-1BA00-
2AA2)
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 25 Борис Федосеев / PD PA CI
SCALANCE M816-1 ADSL-ROUTER
Для передачи данных через сети
проводных (ADSL) Интернет
провайдеров.
Встроенный 4-х портовый Ethernet
коммутатор для подключения к
локальной сети и один ADSL порт
для подключения к Интернет
провайдеру.
Поддержка VPN, FireWall
(межсетевого экрана) и NAT.
Есть версии:
ADSL2T, ANNEX A (6GK5816-1AA00-
2AA2)
ADSL2+, ANNEX B (6GK5816-1BA00-
2AA2)
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 26 Борис Федосеев / PD PA CI
SCALANCE M826-2 SHDSL-ROUTER
Для передачи данных по 2-х и 4-х
проводным телефонным кабелям, а
также через сети проводных (SHDSL)
Интернет провайдеров.
Встроенный 4-х портовый Ethernet
коммутатор для подключения к
локальной сети и два SHDSL порта
для соединений по 2-х проводным
кабелям или подключений к
Интернет провайдеру.
Работа или в режиме моста или в
режиме мершрутизатора с
поддержкой VPN, FireWall
(межсетевого экрана) и NAT.
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 27 Борис Федосеев / PD PA CI
SCALANCE M874-2 2.5G-ROUTER
Для передачи данных через сети
беспроводных сотовых операторов и
доступу к Интернет.
Встроенный 2-х портовый Ethernet
коммутатор для подключения к
локальной сети и разъём для
подключения антенны для связи с
сетью сотового оператора.
Поддержка VPN, FireWall
(межсетевого экрана) и NAT.
Поддержка сотовых сетей GPRS
(85,6 кбит/с) и eGPRS (236,8 кбит/с)
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 28 Борис Федосеев / PD PA CI
SCALANCE M874-3 3G-ROUTER
Для передачи данных через сети
беспроводных сотовых операторов и
доступу к Интернет.
Встроенный 2-х портовый Ethernet
коммутатор для подключения к
локальной сети и разъём для
подключения антенны для связи с
сетью сотового оператора.
Поддержка VPN, FireWall
(межсетевого экрана) и NAT.
Поддержка сотовых сетей GPRS
(85,6 кбит/с), eGPRS (236,8 кбит/с),
HSPA+ и UMTS (14,4 мбит/с “вниз” и
5,76 мбит/с “вверх”)
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 29 Борис Федосеев / PD PA CI
SCALANCE M876-3 3G-ROUTER
Для передачи данных через сети
беспроводных сотовых операторов и
доступу к Интернет.
Встроенный 4-х портовый Ethernet
коммутатор для подключения к
локальной сети и 2 разъёма для
подключения антенн для связи с
сетью сотового оператора.
Поддержка VPN, FireWall
(межсетевого экрана) и NAT.
Поддержка сотовых сетей GPRS
(85,6 кбит/с), eGPRS (236,8 кбит/с),
HSPA+, UMTS (14,4 мбит/с “вниз” и
5,76 мбит/с “вверх”) CDMA,
и EV-DO
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 30 Борис Федосеев / PD PA CI
SCALANCE M876-4 LTE(4G) EU
Для передачи данных через сети
беспроводных сотовых операторов и
доступу к Интернет.
Встроенный 4-х портовый Ethernet
коммутатор для подключения к
локальной сети и 2 разъёма для
подключения антенн для связи с
сетью сотового оператора.
Поддержка VPN, FireWall
(межсетевого экрана) и NAT.
Поддержка сотовых сетей GPRS
(85,6 кбит/с), eGPRS (236,8 кбит/с),
HSPA+, UMTS (14,4 мбит/с “вниз” и
5,76 мбит/с “вверх”) LTE (100 мбит/с
“вниз” и 50 мбит/с “вверх”)
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 31 Борис Федосеев / PD PA CI
KEY-PLUG SINEMA RC
Модуль вставляемый в SCALANCE
M874-2, M874-3, M876-4, M816-1 и
S615 для сохранения и переноса
конфигурации, а также для
активации функциональности
создания централизованно
управляемых VPN через продукты
серии SINEMA Remote Connect
(OpenVPN).
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 32 Борис Федосеев / PD PA CI
KEY-PLUG M800 SIEMENS REMOTE SERVICE
Модуль вставляемый в SCALANCE
M874-2, M874-3 и M816-1 для
сохранения и переноса
конфигурации, а также для
активации функциональности
SIEMENS REMOTE SERVICE, т.е.
соединения с платформой Siemens
Remote Service.
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 33 Борис Федосеев / PD PA CI
Коммуникационные процессоры со встроенными
средствами безопасности
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 34 Борис Федосеев / PD PA CI
COMMUNICATION PROCESSOR CP 1243-1
Коммуникационный процессор для
работы совместно с ПЛК семейства
SIMATIC S7-1200, для передачи
данных с подключением через
Ethernet интерфейс. Защита
передаваемых данных
осуществляется при помощи IPSec
VPN и FireWall.
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 35 Борис Федосеев / PD PA CI
COMMUNICATION PROCESSOR CP 1243-7 LTE EU
Коммуникационный процессор для
работы совместно с ПЛК семейства
SIMATIC S7-1200, для передачи
данных с подключением через
беспроводные сети сотовых
операторов. Защита передаваемых
данных осуществляется при помощи
IPSec VPN и FireWall.
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 36 Борис Федосеев / PD PA CI
COMMUNICATION PROCESSOR CP 1543-1
Коммуникационный процессор для
работы совместно с ПЛК семейства
SIMATIC S7-1500, для передачи
данных с подключением через
Ethernet интерфейс. Защита
передаваемых данных
осуществляется при помощи IPSec
VPN и FireWall.
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 37 Борис Федосеев / PD PA CI
COMMUNICATION PROCESSOR
CP 343-1 ADVANCED
Коммуникационный процессор для
работы совместно с ПЛК семейства
SIMATIC S7-300, для передачи
данных с подключением через
Ethernet интерфейс (2 порта Ethernet
PROFINET 10/100 MBIT/S и 1 порт
Gigabit Ethernet 10/100/1000 MBIT/S).
Защита передаваемых данных
осуществляется при помощи IPSec
VPN и FireWall.
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 38 Борис Федосеев / PD PA CI
COMMUNICATION PROCESSOR
CP 443-1 ADVANCED
Коммуникационный процессор для
работы совместно с ПЛК семейства
SIMATIC S7-400, для передачи
данных с подключением через
Ethernet интерфейс (4 порта Ethernet
10/100 MBIT/S и 1 порт Gigabit
Ethernet 10/100/1000 MBIT/S ).
Защита передаваемых данных
осуществляется при помощи IPSec
VPN и FireWall.
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 39 Борис Федосеев / PD PA CI
SINEMA Remote Connect
Набор продуктов для создания централизованно управляемых VPN
(OpenVPN) между клиентами SCALANCE S615 и SCALANCE M, а также с
программными клиентами SINEMA RC CLIENT.
SINEMA RC VIRTUAL-APPL. – п.о. для установки на сервер включая
возможность создания 4 VPN соединений.
SINEMA RC CLIENT – программный VPN клиент.
SINEMA RC SOFT-APPL./SINGLE 64VPN (256VPN, 1024VPN) расширения
на 64, 256 или 1024 VPN соединений.
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 40 Борис Федосеев / PD PA CI
SINEMA Remote Connect
Площадка B
Площадка A
Любой
маршрутизатор, на
котором настроен
port forwarding
Компьютер с
SINEMA RC Client
или с OpenVPN
Internet
Статический или
динамический
публичный адрес
Статический
приватный адрес
Адрес может быть и статическим, и
динамическим, и публичным и
приватным
SCALANCE M874
или
SCALANCE S615
Адрес может быть и статическим, и
динамическим, и публичным и
приватным
SINEMA Remote Connect Virtual Appliance V1.0
6GK1720-1AH01-0BV0
SINEMA Remote Connect Client V1.0
6GK1721-1XG01-0AA0
23.08.2016
Unrestricted © Siemens AG 2016 All rights reserved.
Стр. 41 Борис Федосеев / PD PA CI
Контактная информация
Boris Fedoseev
Field Application Consultant
RC-RU PD PA CI
Bolshaya Tatarskaya str., 9
115184 Moscow
Phone: +7(495) 737-4418
Fax: +7(495) 737-2483
www.dfpd.siemens.ru