SCADA, АСУ ТП, контроллеры – основная тематика журнала «ИСУП»
Журнал «Информатизация и Системы Управления в Промышленности» публикует тематические материалы посвященные SCADA, АСУ ТП, контроллерам, автоматизации в промышленности.

Создание защищенного удаленного доступа к промышленному объекту на основе оборудования Phoenix Contact

Промышленный маршрутизатор mGuard позволяет создать защищенный канал передачи данных в беспроводных сетях. Это единственный промышленный маршрутизатор, сертифицированный во ФСТЭК России. В статье описаны особенности функционирования и использования данного оборудования.

ООО «Феникс Контакт РУС», г. Москва

Phoenix-Contact.gif


В настоящее время практически все производственные процессы позволяют выполнять управление и мониторинг удаленно, без непосредственного присутствия человека на промышленном объекте. Но так как большинство удаленных подключений производится через Интернет, то при передаче данных в открытом виде существует огромная вероятность их подмены или кражи. На промышленном объекте подмена управляющих команд может повлечь за собой выход из строя высокотехнологического оборудования, экологические катастрофы или человеческие жертвы. Поэтому приходится задумываться о защищенности передаваемой информации. Чтобы обезопасить данные, не только создается защищенный канал, но и накладываются дополнительные ограничения на используемое оборудование, касающиеся окружающей среды объекта, специфического электрического питания, особенностей монтажа и т. д.


Защищенный канал передачи данных

Создание защищенного канала для мониторинга или управления промышленного объекта происходит путем установки необходимого оборудования на объекте и в то же время – программного или аппаратного оборудования для шифрования исходящего трафика и дешифрования входящего. Для усложнения задачи рассмотрим объект, который находится в труднодоступном месте и подвести к которому кабельную линию связи практически невозможно.

Для создания защищенного канала удаленного доступа к данному объекту используем промышленный маршрутизатор mGuard производства компании Phoenix Contact (рис. 1).

Ris.1.png

Рис. 1. Промышленные маршрутизаторы mGuard от Phoenix Contact

Данные маршрутизаторы крепятся на DIN-рейку и используют напряжение питания 24 V DC (с возможностью резервного питания). Также они поддерживают режим работы в расширенном диапазоне температур: от –40 до +70 °C.

Для реализации проекта на труднодоступных объектах возможно применение модельного ряда mGuard с поддержкой передачи информации посредством сетей GSM. Такие маршрутизаторы могут работать с двумя сим-картами одновременно (необходимо, чтобы это были сим-карты разных провайдеров). Создание защищенного канала передачи данных происходит с помощью технологии VPN (от англ. Virtual Private Network – виртуальная частная сеть), которая позволяет сервисному инженеру из центрального офиса подключаться к различным удаленным объектам с имитацией частного подключения (рис. 2).

Ris.2.png

Рис. 2. Подключение сервисного инженера через VPN

Инженер идентифицируется, авторизуется на промышленном марш­рутизаторе и только после этого получает доступ к необходимым сетевым ресурсам.

Аналогичным образом можно создать защищенный канал для мониторинга удаленного объекта. То есть система будет посылать всю нужную информацию на диспетчерский пункт (рис. 3).

Ris.3.png

Рис. 3. Подключение диспетчерского пункта к промышленному объекту

Важнейшими элементами при создании защищенного доступа являются шифрование, аутентификация и управление доступом.

Шифрование гарантирует защиту передаваемых данных от подмены при передаче через открытую сеть. Для этого в mGuard используются различные алгоритмы шифрования: DES, 3DES, SHA 128, 192 и 256 бит. Для применения ключа в 256 бит дополнительная сертификация не требуется, так как mGuard обладает нотификацией ФСБ, разрешающей использовать данный ключ шифрования.

Аутентификация необходима для идентификации взаимодействующих систем на различных концах VPN. Для аутентификации существует возможность использовать PSK-ключи шифрования или сертификаты.

Управление доступом требуется для предоставления пользователю сетевых объектов, разрешенных только для него. Для этого можно применить стандартные правила фильтрации по IP, адресу источника, адресу назначения или портам. Кроме того, в маршрутизаторах Phoenix Contact реализован доступ к ресурсам с авторизацией пользователя – User Firewall. То есть после установления шифрованного соединения пользователь должен на защищенном веб-интерфейсе mGuard ввести свои данные (логин и пароль); при успешной авторизации ему будет предоставлен доступ к ресурсам сети. Данные о пользователе могут храниться как на локальном промышленном маршрутизаторе, так и на RADIUS-сервере.


Вывод

Создание защищенного соединения необходимо для удаленного доступа к промышленному объекту. Это в высшей степени важная и необходимая составляющая сетевой безопасности, и пренебрегать ею крайне опасно. Также следует отметить, что компания Phoenix Contact сертифицирует промышленные маршрутизаторы mGuard во ФСТЭК России на соответствие 3‑му классу защищенности межсетевых экранов (МЭ) и 4‑му уровню контроля отсутствия недекларированных возможностей (НДВ). Данная сертификация будет получена ориентировочно в начале 2016 года. В итоге это будет единственный сертифицированный промышленный маршрутизатор в России.


Статья опубликована в журнале «ИСУП», № 5(59)_2015

Д. Э. Тойвонен, менеджер по продукции I/O and Networks,
ООО «Феникс Контакт РУС», г. Москва,
тел.: (495) 933-8548,