«Черные ящики» АСУ ТП
Технология Boeing позволяет безопасно и эффективно связывать между собой промышленные сети
Компания Boeing предложила способ безопасного объединения между собой сетей для АСУТП (Industrial-Control System, ICS), что позволит повысить эффективность работы и получить дополнительные преимущества за счет совместного использования информации при производстве. Ранее эти сети существовали только в виде разрозненных сетей отдельных предприятий.
Подход, внедренный на некоторых авиационных заводах концерна, вылился в разработку нового стандарта Trusted Computing Group (TCG). Этот стандарт претендует на то, чтобы стать революционным способом построения сетей VPN, который можно применять не только для промышленных сетей, но и для так называемого Интернета вещей. Но это значит также, что все, от электрооборудования или систем регулирования дорожного движения до медицинских приборов в больницах, станет объектом доступа через Интернет, а следовательно, объектом хакерских атак.
Предлагаемый стандарт, в значительной степени основанный на работах Boeing, будет называться IF-MAP Metadata for ICS Security. Он описывает применение другого, уже существующего стандарта TCG, известного как Interface for Metadata Access Points (IF-MAP) и касающегося промышленных сетей.
Протокол IF-MAP используется сейчас для развертывания базы данных, содержащей информацию о безопасности, управлении устройствами и об уязвимостях. Эта информация собирается с любых систем обеспечения безопасности и затем агрегируется. В качестве таких систем могут выступать, например, системы обнаружения проникновения и противопожарные системы, поддерживающие IF-MAP. Промышленные сети традиционно поддерживаются как полностью автономные системы, они часто работают не на базе TCP/IP или соединяются по выделенным линиям. Как в этом случае интегрировать их в высокоскоростные сети информационных систем для бизнеса, которые обычно соединяются по Интернету?
Как отметил Крейг Даплер, технический партнер отдела исследований и технологий Boeing, в компании понимали природу рисков. Но было также ясно, что преимущества от использования традиционных сетей для связи фрагментов промышленных сетей будут очень велики. Поэтому несколько лет назад разработчики концерна, имеющие опыт в сфере сетевой безопасности, предложили решения, представляющие собой своего рода «черные ящики», которые в числе других стандартов поддерживают протокол IF-MAP. Фактически они играют роль прокси для защиты оборудования промышленных сетей путем своеобразной оркестровки систем, с которыми эти сети могут соединяться, будь то другая сеть или какое-либо устройство. Они предоставляют средства для поддержки шифрования на базе политик или идентификационной информации. Такая структура позволяет ИТ-отделам управлять устройствами, не относящимися к ИТ, по бизнес-сети, при этом функции управления получает группа, отвечающая за эксплуатацию промышленных сетей.