Ver traducción automática
Esta es una traducción automática. Para ver el texto original en inglés haga clic aquí
#Libros blancos
{{{sourceTextContent.title}}}
Seguridad del ICS para los usos de aceite y de gas, parte 2 de 2
{{{sourceTextContent.subTitle}}}
Hoy, tomaremos una mirada más atenta en las zonas y los conductos y entonces repasar cómo eran se ejecuten en tres usos de aceite y de gas
{{{sourceTextContent.description}}}
Mi artículo anterior cubrió la parte de la presentación de Scott Howard en la seguridad del ICS para los usos de aceite y de gas del seminario relativo a este año del diseño. En ese artículo, repasamos algunos de los fundamentales de la seguridad del cyber discutidos por Scott.
Por ejemplo, examinamos el hecho de que la mayoría de las amenazas del cyber son inintencionales y originamos dentro de la red del control. También mirábamos el hecho de que una defensa de perímetro no es suficiente y que las soluciones no es apropiado en el piso de la planta.
En lugar, cuál es necesario es defensa profundizada, es decir, las capas múltiples de defensa que trabajan juntas para prevenir incidentes de la red o para contenerlos si ocurren. Una mejor práctica dominante para la defensa profundizada es ejecutar la zona y el modelo de los conductos según lo definido en el estándar del IEC 62443 del AIA. Mientras que no una regulación, este estándar proporciona la dirección práctica ésa lleva a una seguridad más robusta del cyber.
IEC 62443 del AIA en pocas palabras
Hay mucho a IEC 624431 del AIA, pero uno de los conceptos principales es las zonas y los conductos modelan. Este modelo proporciona un marco para la segmentación de la red que evita que los incidentes de la seguridad del cyber se separen.
En resumen, una zona de la seguridad agrupa los activos lógicos o físicos que comparten requisitos de seguridad común. Por ejemplo, su red podía tener una zona del regulador y una zona de supervisión. Cada zona tiene una frontera definida que pueda ser lógica o comprobación y delinea qué elementos son incluidos y se excluyen cuáles.
Las comunicaciones entre las zonas deben estar vía un conducto definido. Un conducto es cualquier camino de la comunicación que entra en o sale una zona de la seguridad.
Los conductos son los “puntos de estrangulación perfectos” donde podemos ejecutar medidas de seguridad, tales como cortafuegos industriales, para asegurarse de que solamente el tráfico necesario por la planta está permitido pasar. Estas medidas de seguridad compensan el hecho de que los dispositivos que protegen tienen seguridad incorporada escasa.
Además, el centrarse en la mitigación del conducto es típicamente lejos más rentable que teniendo que aumentar cada dispositivo o computadora en una zona para cumplir requisitos de seguridad. De hecho, no es a menudo incluso factible o posible aumentar los dispositivos industriales, tales como PLCs y RTUs, pues puede tardar los años para que las actualizaciones estén disponible para ellas. ¿Además, tales actualizaciones pueden a menudo solamente ser aplicadas durante una parada de planta? una ocurrencia infrecuente, que puede no ser fácil de alinearse con las actualizaciones necesarias de la seguridad.
Hechemos una ojeada cómo las zonas y los conductos se pueden utilizar para proteger tres diversos usos de aceite y de gas.
Seguridad industrial del Cyber para una plataforma costa afuera
Una plataforma costa afuera es una facilidad compleja con muchos dispositivos conectados. En la consideración de cómo acercarse al cyber relacionado con la seguridad procesamiento del aceite y del gas natural, algunos principios de la base eran resueltos:
PLCSs es activos críticos
Las PC (especialmente ésas con los seres humanos delante de ellos) son fuentes de la amenaza
Las redes que no controlamos son untrusted
Usando estos principios, el análisis de las zonas de un preliminar y de los conductos fue desarrollado.
Mientras que era directo determinar muchas de las zonas, una pregunta se presentó en cuanto a cómo manejar el servidor de la entrada-salida que conectó con la red del negocio y la red del control.
¿La solución era crear un “DMZ”? ¿eso es una “zona desmilitarizada”? cuál permite el acceso dual a un recurso compartido, pero no acceso directa con ella. Esto puede ser realizado usando dos 2 cortafuegos portuarios o un dispositivo del multi-puerto. El diagrama de red final está disponible en la presentación disponible para la transferencia directa en el extremo de este artículo.
Además, una nota de uso más detallada sobre este proyecto está también disponible.
Zonas y conductos en una refinería
Como la plataforma costa afuera, una refinería de petróleo es una operación compleja y en muchos de ellos más de un proceso está en curso en un momento dado. En nuestro ejemplo, cada proceso tiene su propia zona principal, con control de supervisión, básico y zonas del proceso dentro del amo.
Después de que un primer paso en la determinación de zonas y de los conductos, el plan propuesto fuera repasado otra vez y un análisis de riesgo fue realizado. Esto destacó el hecho de que uno de los riesgos principales que podrían llevar para procesar parada era el disparar accidental o intencional de una parada de emergencia.
De acuerdo con esta realización, las zonas y los conductos fueron revisados para incluir zonas separadas del sistema integrado de la seguridad (SIS) de la zona del sistema de control de proceso. El plan final de la zona y del conducto se demuestra en el diagrama abajo.
Un punto que usted está interesado probablemente adentro es cuánto costó para ejecutar las medidas de seguridad del cyber para esta facilidad. La red tenía activos >500 y el plan final incluyó 17 zonas y 22 conductos. El coste total para
análisis de riesgo
la fuente de los conductos (18 eran aplicaciones de la seguridad de Tofino y cuatro fueron protegidos ya por ELLA)
instalación
entrenamiento
era menos de $200.000.
Seguridad del Cyber para la infraestructura de la tubería
Un sistema de tubería incluye la tubería sí mismo, estaciones de bomba y conexiones a una o más redes de la amplia área (WANs). Hay generalmente varios puntos en el sistema donde ocurre la transferencia de la custodia del recurso, con el recurso que es medido con los metros de flujo.
Un acercamiento es centrarse en la sujeción de los activos críticos solamente. Por ejemplo, una aplicación de la seguridad de Tofino podía ser un conducto a la red del control en la estación de bomba.
Otro acercamiento sería considerar el hecho de que los metros de flujo conectan con dos redes para la transferencia de la custodia y una de esas redes no es una red confiada en. En esta situación, el metro de flujo se podía poner en un DMZ y todas las zonas separados con un cortafuego del ÁGUILA del multi-puerto.
¿Belden? s Tofino y los dispositivos de seguridad del ÁGUILA tienen diversas fuerzas para proporcionar seguridad plant-wide. Aquí está un resumen de sus usos y fuerzas.
La seguridad industrial del Cyber no tiene que ser dura
Siguiendo algunas pautas directas:
Haga un gravamen de riesgo
Ejecute la mejor práctica de zonas y de conductos según IEC 62443 del AIA
Realice la defensa profundizada a través de su facilidad
Usted estará en su manera a asegurar su facilidad.
Se proporciona abajo un acoplamiento para transferir la presentación entera de Scott, más acoplamientos a otros materiales que usted puede encontrar práctico.
{{medias[5376].description}}
{{medias[5377].description}}
{{medias[5378].description}}
{{medias[5379].description}}