Универсальная защищённая интеграционная шина для применения в АСУ КВО
- 1. Универсальная защищённая интеграционная шина для применения в АСУ КВО полевая и сервисная шина предприятия обеспечение кибербезопасности путём импортозамещения Подольный В.П.
- 2. Задача УЗИШ • Создать открытую независимую экосистему для Российских потребителей, разработчиков и поставщиков АСУ КВО; • Обеспечить использование интегрированных/сертифицированных механизмов кибербезопасности АСУ КВО; • Обеспечить импортозамещение компонентов АСУ КВО; • Снизить влияние монополий вокруг бизнеса АСУ КВО, которые тормозят развитие технологий; • Обеспечить совместимость программного и аппаратного обеспечение компонентов АСУ КВО; • Обеспечить программную совместимость ПО АСУ КВО с смежными системами АСУП, СПР, БА и др.
- 3. УЗИШ. Типовая структура сети АСУ КВО Контур шлюзовой Внешний контур Неоперативный контур Оперативный контур ЭКП Сервер Сервер РС РС РС Станционная сетьСтанционная сеть Удалённый доступ Рабочие станции Стойки низовой автоматики Контур низовой автоматики Мобильные устройства
- 4. УЗИШ. Функции • Обеспечение доступности данных в режиме реального времени (РВ); • Поддержка необходимых протоколов подключения оборудования и низовой автоматики; • Поддержка актуального слепка данных в режиме РВ на требуемых узлах; • Обеспечение надёжности, дублирования и резервирования информации; • Обеспечение сервис-ориентированной архитектуры сопряжения с внешним ПО (SOAP); • Гарантированное применение интегрированных/сертифицированных механизмов информационной безопасности
- 5. УЗИШ. Состав (версия 1.0) • Объектно-ориентированная распределенная СУБД реального времени; • База знаний (big data, не структурированные, плохо связные данные); • Подсистема репликации и синхронизация; • Подсистема конфигурации и настройки; • Подсистема визуализации (человеко-машинный интерфейс); • Подсистема генерации отчетных материалов; • Подсистема удаленного мониторинга и управления качеством обслуживания; • Подсистема мониторинга кибербезопасности (SIEM); • ППИ для взаимодействия с подсистемами; • Интегрированная подсистема информационной безопасности;
- 6. БИТ, совместимость оборудования и ПО Базовая операционная система Интегрированная подсистема безопасности Ядро УЗИШ СУБД РВ Адаптеры УЗИШ
- 7. УЗИШ. Синхронизация и репликация Сервер Сервер УЗИШ. Синхронизация данных, резервирование ПО оператора Расчётное ПО Архив Агент Агент • наличие различных схем репликации (MapReduce, p2p, mc, звезда); • возможность синхронизации в реальном масштабе времени; • динамическое добавление реплик (узлов, участвующих в репликации); • высокая надёжность (задаваемая при моделировании проекта 10-4-10-7)
- 8. Схема сети с адаптерами расширений Драйвер SOAP Драйвер JSON Драйвер OPC Драйвер Profibus … Драйвер SNMP Драйвер Modbus Агент архиватор Сервер архивный Агент резервный Сервер резервныйСервер основной Агент основной УЗИШ
- 9. УЗИШ. Адаптеры интеграции АСУ ТП • АСУ оперативного управления: • АСУ технологических процессов (АСУ ТП, I&C); • АСУ производством (АСУ П, MES); • АСУ планирования ресурсов (ERP); • ИС бизнес анализа (BI); • Средства оперативного управления: • видеоконференцсвязь и видео телефония; • средства электронного документооборота; • Средства безопасности • СКУД;
- 10. УЗИШ. Адаптеры интеграции • АСУ процессами: • АСУ предприятием (АСУП); • АСУ инвентаризации/складского учёта (WMS); • АСУ цепочками поставок/логистики (SCM); • АСУ планирование потребности в материалах (MRP); • АСУ управления обучением (LMS); • АСУ проектирования; • АСУ управления жизненным циклом продукции (PLM); • АСУ управления данными об изделии (PDM); • САПР (CAD, CAE, ADS, GIS);
- 11. УЗИШ. Облачная архитектура Компоненты УЗИШ могут размещаться в облаке как: • SaaS (ПО как услуга); • DaaS (Рабочий стол (оператора) как услуга); • DBaaS (БД как услуга); • PaaS (Платформа как услуга) • IaaS (Инфраструктура как услуга) Датацентр Серверы на предприятии
- 12. Комплексные методы обеспечения безопасности АСУ КВО • Автоматизированная система управления технологической информационной безопасностью (АСУ ТИБ) • Комплекс средств защиты сети и компонентов АСУ (ТП), обеспечение доверия; • Концепция применения однонаправленных шлюзов, межсетевые экраны; • Обеспечение доверия трафика, маркировка трафика; • Обеспечение доверия источников трафика, оборудования; • Аппаратная маркировка трафика, шифрование, кодирование; • Защита видеонаблюдения (доверие видеопотока, маркировка видеопотока); • Комплекс средств аутентификации и контроля доступа; • Средства сопряжения системы разграничения доступа (СРД) ПО базовой АСУ с СКУД (АСУЗ); • Аппаратная СРД (СРД, имеется в виду не только для персонала, но и для контроллеров, чтобы лишние потоки данных не плодить, это больше вопрос экономии трафика); • Мониторинг перемещений персонала на объекте (замыкание на ПО/СРД, СКУД);
- 13. Комплексные методы обеспечения безопасности АСУ КВО • Комплекс средств сопряжения компонентов технологической и информационной безопасности (ТБ и ИБ); • Средства идентификации аномалий, атак и вторжений; • Средства мониторинга качества работы ПО в базовой (защищаемыми) АСУ; • Средства управления политиками ИБ; • Системы поддержки принятия решений (СППР, деревья решений); • Средства сопряжения с БД инцидентов ТБ; • Средства сопряжения с БД инцидентов ИБ; • Средства сопряжения с модельными данными; • Средства сопряжения тревог с базовыми АСУ;
- 14. Комплексные методы обеспечения безопасности АСУ КВО • Комплекс средств виртуализации компонентов АСУ; • Виртуализация классическая; • Средства резервирования и аварийного восстановления; • Средства отвлечения внимания нарушителя (Honey Pot); • Системы мониторинга и управления • АРМ управления АСУ ТИБ; • BI система мониторинга АСУ ТИБ; • Комплекс средств тематических исследований на НСД и НДВ для сертификации оборудования и ПО (нагрузка, фаззинг, атаки); • Модель отработки нештатных ситуация (НШС);