← Torna alla categoria Controllo e sistemi di processo

Controllo della produzione del sistema di sicurezza di rete

Fino a qualche anno fa la sicurezza della rete focalizzata su sistemi enterprise e basata su firewall per impedire ai virus di arrivo elettronicamente

Ora c'è una crescente consapevolezza che anche i sistemi di controllo della produzione devono essere protetti e che i virus possono essere caricati in molti modi. Industrie diverse come la produzione, la lavorazione, la raffinazione, la produzione di energia e la lavorazione di alimenti e bevande stanno tutti valutando modi per migliorare la sicurezza dei loro impianti e sistemi di controllo. John Browett di CLPA (CC-Link Partners Association) prende in considerazione la posizione attuale e osserva come mitigare le potenziali minacce.

Poiché Ethernet diventa la rete industriale di fatto di scelta, gli installatori e gli utenti possono essere sedotti dai vantaggi che la tecnologia apporta e non tengono in sufficiente considerazione la sicurezza della rete. Tuttavia, date alcune recenti situazioni di alto profilo, ora c'è una crescente consapevolezza che esiste la possibilità reale che le reti possano essere compromesse sia dall'importazione elettronica di un virus che dall'interno, accidentalmente o maliziosamente.

I problemi di hacking all'interno di un'azienda sono tanto un problema di sicurezza del personale quanto un problema di sicurezza generale della rete. Le considerazioni sulla sicurezza devono considerare sia gli atti deliberati di sabotaggio sia la possibilità che il personale compia un errore non intenzionale.

Inoltre, le aziende stanno sempre più adottando sistemi che permettono l'accesso remoto alle piante - e raccogliendo grandi benefici. Tuttavia, i processi di monitoraggio in genere utilizzano i browser Web standard, che aprono il sistema fino alla possibilità di abuso della rete da parte di terzi.

E 'ormai ben compreso che SCADA (controllo di supervisione e acquisizione dati) e di altri sistemi di controllo livello di impianto hanno punti deboli e le vulnerabilità quando si tratta di sicurezza. Pertanto molte aziende stanno rivalutando i loro metodi tradizionali per lo spostamento delle informazioni intorno tra l'impianto / crediti e al livello di impresa.

Il punto di attacco può essere a livello di sistema di impresa, il livello di controllo dell'impianto o anche il livello di dispositivo singolo campo. Attacchi di fascia alta sono stati in precedenza la preoccupazione principale, con il risultato che sono disponibili le misure di sicurezza molto sofisticati. Dispositivi di campo vulnerabili sono relativamente facili da proteggere con misure locali.

Tuttavia nella 'terra di mezzo' di controllo dell'impianto vediamo spesso i sistemi di controllo basati su PC con le misure di poca o nessuna sicurezza in vigore. Ci sono anche casi di alcune tecnologie ancora in fase di utilizzate nonostante vulnerabilità note.

I problemi di sicurezza a questo livello e al livello di dispositivo piano pianta sono aggravati dal fatto che vi è spesso limitata collaborazione tra una società del reparto IT e gli uffici tecnici di controllo. Inoltre, all'interno della comunità di controllo e di ingegneria, non c'è sempre un adeguato riconoscimento delle minacce e delle passività di sicurezza del sistema di automazione. In particolare, il business case per la sicurezza del sistema di automazione non è stabilito, e non vi è limitata comprensione dei fattori di rischio del sistema di automazione.

La spinta verso tecnologie di rete aperti in generale, e verso Ethernet, in particolare, come un mezzo per dare alle aziende la libertà vogliono scegliere tecnologie di controllo best-of-breed ha esacerbato la minaccia alla sicurezza. Gli utenti vogliono la normalizzazione, la flessibilità e la scelta, e questo è stato consegnato attraverso protocolli aperti standardizzati. Il trade-off, però, che è appena venuta da realizzare, è che questi protocolli aperti sono meno robusti e più suscettibile agli attacchi. Al contrario, le vecchie reti proprietarie erano estremamente robusto in virtù della loro non-standardizzazione, ma erano molto meno flessibili e scelta del prodotto alla fine hanno limitati.

Guardando poi a quello che la rete industriale ideale sarebbe offrire, possiamo costruire una lista dei desideri che offre la robustezza del vecchio combinata con la flessibilità del nuovo. La lista dei desideri potrebbe includere cablaggio comune, connettori standard, standard aperti, facilità di configurazione, la flessibilità, la massima sicurezza possibile, e ridotto la suscettibilità agli attacchi.

Guardando a come potremmo essere in grado di adattarsi Ethernet industriale per soddisfare i requisiti della presente lista dei desideri, vale la pena di rivisitare la nostra definizione di Ethernet, perché da nessuna parte in rete gergo ha una sola parola stato così abusato come un termine generico per tanti disparati standard, tecnologie e applicazioni. E il posto migliore per iniziare a che è con il modello OSI a sette strati sé.

Strato 1, il Physical Layer, definisce tutte le specifiche elettriche e fisiche dei dispositivi. In particolare, essa definisce la relazione tra un dispositivo e il supporto fisico. Strato 2 è il Data Link Layer, fornendo i mezzi funzionali e procedurali per trasferire i dati tra entità di rete e di individuare e correggere gli errori, eventualmente, che si possono verificare nel layer fisico. È qui che Ethernet è definito come un protocollo di rete secondo lo standard IEEE 802.3.

Nel corso degli anni, Ethernet è diventato sinonimo con la suite TCP / IP, ma non implica necessariamente l'altra. IP è definito sotto il livello di rete (Layer 3) del modello OSI. Questo strato fornisce i mezzi funzionali e procedurali per trasferire sequenze di dati a lunghezza variabile da una sorgente a una destinazione tramite una o più reti. Transport Layer (Layer 4) prevede il trasferimento trasparente di dati tra gli utenti finali, e definisce del calibro di TCP e UDP.

Il livello di sessione (Layer 5) controlla le connessioni tra i computer, mentre il Presentation Layer (Layer 6) trasforma i dati per fornire un'interfaccia standard per l'Application Layer (Layer 7) nella parte superiore del modello. E 'qui che si trova applicazioni tipiche come FTP, HTTP, RTP, SMTP, SNMP e altri. In breve, quando si tratta di operare come architettura di comunicazione in reti industriali, Ethernet è capace di molto poco senza gli strati che si trovano sopra di esso.

Non tutte le offerte Ethernet industriali implementano lo stack Ethernet nello stesso modo. All'interno di Application Layer le diverse organizzazioni Ethernet industriali implementano i propri kernel e protocolli che definiscono gran parte dei vantaggi funzionali delle loro tecnologie. Da un punto di vista della sicurezza, però, ciò che realmente interessa sono gli strati inferiori più vulnerabili.

Sotto il modello a sette strati, tutto quello che serve è per un livello a cadere ad un attacco prima che l'intero sistema di comunicazione è compromessa - potenzialmente senza gli altri livelli, anche nella consapevolezza che c'è un problema. La sicurezza è forte solo quanto l'anello più debole.

Ci sono una serie di prodotti per la sicurezza discreti disponibili, e queste funzionano bene, ma uno dei più grandi problemi in campo industriale si trova nella realizzazione di sistemi di sicurezza strettamente integrate senza incorrere in costi eccessivi e senza imporre un livello di complessità che rende il sistema difficile da mantenere e supporto. Inoltre, le soluzioni di sicurezza disponibili in commercio standard sono raramente fino ai rigori della vita in ambienti industriali difficili.

In termini di tecnologia di rete, molto lavoro è stato fatto per rendere strato 2 più sicuro, ma nelle implementazioni classiche industriale Ethernet poco è stato fatto per affrontare le debolezze del livello di rete (Layer 3) e Transport Layer (Layer 4). Come l'implementazione di Ethernet dell'ufficio, la maggior parte delle tecnologie Ethernet industriali sono ancora costruito intorno IP all'interno 3 layer e TCP / UCP all'interno strato 4.

La maggior parte delle installazioni di reti Ethernet industriali implementano la sicurezza perimetrale (servizi firewall) nei punti in cui si connettono ad altre reti per fornire protezione a questi livelli vulnerabili. I firewall filtrano sugli indirizzi IP di origine e di destinazione e sui numeri di porta del protocollo (ad esempio le porte TCP e UDP) per limitare ulteriormente il traffico autorizzato a entrare in una rete Ethernet. Il filtraggio dei pacchetti può essere implementato anche tra le comunità di rete note e, in alcuni casi, consente di filtrare le transazioni con indirizzi di dispositivi e porte applicative molto specifici per fornire un livello di sicurezza di accesso esclusivo a un dispositivo e un'applicazione collegati. Nonostante ciò, nelle classiche implementazioni Ethernet industriali, Layer 3 e Layer 4 sono ancora molto vulnerabili agli attacchi.

CC-Link IE, tuttavia, è diversa. CC-Link IE (Controllo e comunicazione Link Industrial Ethernet) è stato sviluppato dalla CLPA come la prima rete Gigabit Ethernet completamente integrato per l'automazione industriale, definisce la nuova soglia per gli standard aperti per Industrial Ethernet. CC-Link IE combina il meglio di molte tecnologie esistenti e le applica ad un sistema di rete industriale ottica o in rame in base con un'architettura ridondante che consente estremamente ad alta velocità e il trasferimento di dati affidabile tra dispositivi di campo e altri controller tramite link Ethernet. Il tasso di segnalazione di 1Gbps ridefiniranno le aspettative degli utenti e le capacità dei sistemi; essendo più che sufficiente per soddisfare il requisito di comunicazione in tempo reale delle industrie manifatturiere di oggi.

Ci sono varianti di CC-Link IE per affrontare le esigenze di controllo a tutti i livelli della rete di automazione. A livello di controllo, non vi è CC-Link IE controllo. A livello di dispositivo, vi è CC-Link IE Field e CC-Link IE Motion. E naturalmente c'è una stretta integrazione con il bus di campo CC-Link.

Ancora più importante, CC-Link IE è diversa da implementazioni convenzionali definendo un open "Real-Time Protocol" all'interno degli strati dello stack. Adottando questo approccio per l'attuazione di tali livelli all'interno dello stack Ethernet, CC-Link IE realizza i vantaggi della nostra lista dei desideri tecnologia di rete. Esso utilizza connettori standard Ethernet, è facile configurare ed è molto robusto. E 'anche uno standard aperto, così gli utenti hanno ancora che la libertà di scelta nella selezione delle tecnologie dei componenti best-of-breed. Ma soprattutto dal punto di vista della sicurezza, offre intrinsecamente la massima sicurezza ed è quindi meno suscettibile all'attacco. Questi sono vantaggi significativi rispetto implementazioni Ethernet industriali alternativi. Il fattore distintivo chiave è una base di conoscenze aperto, ma controllata per la tecnologia di rete. Quindi mentre le società in buona fede possono implementare la tecnologia su base aperta, sarà più difficile per i "cattivi" di infiltrarsi.

I requisiti di sicurezza per le reti Ethernet industriali continuano ad evolversi, con requisiti sempre più sofisticate migrazione da reti aziendali al controllo di processo e di altri ambienti industriali. Ovunque ci sono installazioni di rete, le aziende devono guardare la probabilità di attacchi alla rete, e il rischio associato a qualsiasi attacco. In ogni caso, la sicurezza diventa sempre più importante, le aziende devono trovare il modo di ridurre il rischio, ridurre il rischio o eliminare il rischio, se del caso all'interno di ogni ramo della topologia di rete. Con i suoi standard aperti approccio combinato con tecnologie di comunicazione di proprietà, l'implementazione CC-Link IE di Ethernet industriale rappresenta un'opzione estremamente interessante nel tentativo di massimizzare e ottimizzare la sicurezza della rete.

Process Industry Informer

Notizie correlate

Lascia un Commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati dei tuoi commenti.