Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

Biztonságos ICS architektúra-modell

Rövid ismertető a Purdue nagyvállalati architektúra modellen alapuló biztonságos ICS arhictektúráról

2016. szeptember 03. - icscybersec

A biztonságos ICS architektúrát leíró tanulmány 2015-ben készült és a SANS Reading Room ICS whitepaper publikációi között érhető el. Alapját az 1990-ben a Purdue egyetemen kidolgozott nagyvállalati referencia architektúra ISA-99 bizottsága által készített vezérlési hierarchia-modellje adja. A vezérlési hierarchia Purdue modellje 4 zónát és 5 szintet különböztet meg (egy gyártóvállalat példáján keresztül):

Vállalati zóna
  5. szint: Vállalat
  Ebben a zónában helyezkednek el a vállalati IT infrastruktúra elemei, a különböző IT rendszerek és alkalmazások. Ebben a zónában mindennaposnak számítanak a VPN-en keresztüli távoli elérések és az Internet használata (pl. egyes alkalmazásszerverek licenc-ellenőrzése folyamatos Internet-kapcsolatot igényel). Az ebben a zónában elhelyezkedő rendszerek számára nem ajánlott közvetlen kommunikációs lehetőséget biztosítani az ICS rendszerekkel, ehelyett célszerű egy belső DMZ-n keresztül lehetővé tenni a hozzáférést az ICS rendszerek hálózatához.
 
  4. szint: Helyszíni üzleti tervezés és logisztika
  A 4. szint nagyon gyakran az 5. szintből kerül kialakításra, itt üzemelnek azok az üzleti rendszerek, amelyek fontos belső folyamatokat támogatnak (ilyenek lehetnek többek között kapacitás-tervezésben, készlet-nyilvántartásban, stb. érintett rendszerek).
 
Gyártási zóna
  3. szint: Helyszíni gyártási műveletek és vezérlés
  Ezen a szinten üzemelnek azok a rendszerek, amik a gyártási folyamatok üzemirányításának támogatását biztosítják (pl. hálózati fájlszerverek, általános IT szolgáltatások, mint a DNS, DHCP, NTP, stb., a mérnöki munkahelyek, történeti adatokat tároló rendszerek, jelentések előállítását és ütemezéseket végző rendszerek, stb.). Az ezen a szinten üzemelő rendszerek egy DMZ-n keresztül kommunikálnak a Vállalati zóna szintjein működő rendszerekkel - a DMZ-t megkerülő direkt eléréseket célszerű kerülni.
  Továbbá a 3. szinten található rendszerek kommunikálhatnak az 1. és 0. szinten található rendszerekkel is (pl. hálózati időszinkronizálás vagy DNS névfeloldás miatt erre szükség lehet).
 
Ipari zóna
  2. szint: Ipari felügyelet és vezérlés
  A 2. szinten működő rendszerek közé olyanok tartoznak, amelyek jellemzően az 1. szinten található rendszerekkel kell kommunikálniuk (ilyenek pl. a vezérlőtermi munkaállomások), illetve amik interfészként szolgálnak az 1. szintű eszközök és a gyártási vagy vállalati zónákban található rendszerek között (pl. monitoring és riasztó rendszerek vagy HMI-k).
 
  1. szint: Alapvető vezérlés
  Ezen a szinten olyan eszközök találhatóak, amelyek feladata a folyamatvezérlés biztosítása. Ezek az eszközök fogadják és dolgozzák fel a különböző szenzoroktól érkező adatokat. Ezek az eszközök (többnyire DCS-ek, PLC-k, RTU-k) felelősek a folyamatos, szekvenciális, kötegelt és diszkrét vezérlésekért. Ezek az eszközök jellemzően gyártó-specifikus operációs rendszereket/firmware-eket futtatnak és a mérnöki munkaállomásokról lehet őket programozni és konfigurálni.
 
  0. szint: Folyamatok
  A 0. szinten üzemelnek azok a szenzorok és műszerek, amelyek az ipari folyamatok közvetlen ellenőrzését végzik. Ezeket az eszközök az 1. szinten működő rendszerek vezérlik.
 
Biztonsági (safety) zóna
  Ebben a zónában olyan rendszerek működnek, amelyek az ipari folyamatok biztonsági ellenőrzését végzik és az előre bekonfigurált határértékek elérése vagy átlépése esetén az operátor értesítése mellett beavatkozik a biztonságos állapot helyreállítása érdekében. Ezeket a rendszerek az esetek többségében teljesen izolálják minden más rendszertől.
 
A tanulmány a referencia architektúra-modellen túl részletes javaslatokat is tartalmaz, amik minden ICS rendszerek kiberbiztonságáért, üzemeltetéséért és fejlesztéséért felelős szakembernek hasznosak lehetnek. Az eredeti, angol nyelvű tanulmány a SANS Reading Roomban érhető el: https://www.sans.org/reading-room/whitepapers/ICS/secure-architecture-industrial-control-systems-36327

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr4710423300

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása