הפרדת רשתות תקשורת

שילוב רשתות מערכת הבקרה ברצפת הייצור עם הרשת העסקית בארגון הוא שילוב טבעי ומתבקש מאליו. שילוב כזה מועיל רבות לעניין השליטה וניהול הייצור, התחזוקה, שדרוג מערכות הבקרה מרחוק וצמצום העלויות. יחד עם זאת, השילוב בין הרשתות כרוך בסיכונים. הפופולאריות של האינטרנט ברשת העסקית מגדילה את חשיפת הרשת לאיומי התקפות וחדירות של וירוסים ושל האקרים. קיימים סיכונים רבים שלא תמיד המשתמשים מודעים להם. מצב זה נכון בעיקר כאשר רשת שלה גישה חיצונית יכולה להוות שער גישה לשרתים רגישים, למשל על-ידי פתיחת Telnet. כמו כן, תמיד קיים הסיכון ששרת במערכת הבקרה עשוי לספק גישה לבסיס נתונים רגיש. למשל, על-ידי שימוש ב-DB Link. זאת ועוד, מידע כגון תיעוד של תהליכי יצור חסויים ורגישים הנמצאים על מחשבי מערכת הבקרה, עשוי להיגנב על-ידי גורם עוין לארגון.

כאשר ניגשים לשלב את מערכת הבקרה עם מערכת הרשת העסקית מוטב לעבוד בשלבים עד שמגיעים לרמת האבטחה הרצויה. על רמה זו להיות מאופיינת כראוי, מתועדת ומצויה תחת פיקוח ואכיפה, כאשר כל גורמי הסיכון והערכות הפגיעות נמדדו.

בשלב הראשון באבטחת מערכת הבקרה יש ליצור מדיניות אבטחה מוגדרת. מדיניות זו מהווה כלי חיוני להגנת הרשת הארגונית. הרמה הניהולית בארגון, יחד עם מחלקת IT, צריכות להגדיר במשותף את מדיניות האבטחה, את המשאבים הדרושים ליישומה ואת רמת הבקרה הנדרשת להטמעה ולאכיפה. יש להגדיר בבירור מספר אלמנטים:

  • תפקידים, הגדרת תפקידים ותחומי אחריות של הגורמים שקשורים ליישום.
  • סוג ההרשאות, הפעולות והפעילויות המותרות בחתך של מתקני הייצור, המחלקות ועומק הגישה. כלומר, חשוב לקבוע למי יש הרשאה לגישה לניטור/צפייה בנתוני הייצור, לשינוי פרמטרים במתקנים, שינויי תהליכי ייצור וכדומה.
  • אכיפת המדיניות.

השלב השני הוא הערכת פגיעות/סיכונים. ההיבט של הערכת רמת החשיפה של המפעל לפגיעות ולסיכונים חשוב ביותר בשלב קביעת מדיניות האבטחה. מטרת הערכת הפגיעות היא לזהות את הסיכונים האפשריים בהקשר של היבטים שונים של מערכת הבקרה ושל תשתיות IT, ובנוסף לציין את העדיפות של היבטים אלה. העדיפויות יוצגו באופן היררכי, כאשר כל שלב בתורו יצביע על הפגיעות זאת כדי לתת כלים לעריך את רמת הסיכון.

הערכת פגיעות מהווה מנגנון מצוין לזיהוי פגמים, או “חורים”, בתכנון מבנה הרשת וכמובן, איתור נקודות בתוך המערכת העלולות לייצר איומים.

לאחר מיפוי ותיעוד של כל ציוד הבקרה שברצפת היצור, המחשוב והתקשורת, יש להציג דיאגרמה, תרשים שמתאר את התשתית בהתאם למיפוי הציוד.

בשלב השלישי מתבצע תכנון חלוקת הרשתות. באופן כללי יש לבצע את ההפרדה כאשר מצד אחד נמצאות מערכות הבקרה ומהצד השני נמצאת רמת המידע המפעלית והרשת העסקית.

תכנון הרשת – שאף לתכנן רשת פשוטה ((KIS – Keep It Simple

יש לתכנן את הרשת כך שתהיה פשוטה ככל שניתן ולצמצם את נקודות מפגש בין הרשתות למינימום.

בעוד שמוצר פופולארי בשם “קיר אש” (Firewall) מאפשר גישה מהאינטרנט באופן מאובטח, נדרשות לעתים, לצורך ניתור, שליטה ותחזוקה ממרחק, מערכות בקרה שאליהן מחוברים מודמים המאפשרים גישה מרחוק.. לעיתים מערכות בקרה אלה מחוברות ישירות לבקרים המתוכנתים ולציוד חכם, כמו מכשור אנליטי שברצפת הייצור. מכאן יש לדאוג שהגישה מרחוק תהיה מאובטחת בהתאם, או לחלופין, למנוע לחלוטין את הגישה, כל זה על פי שיקול דעתה של ההנהלה.

שכבות האבטחה ברשת משולבת


נגדיר חמש שכבות אבטחה ברשת המשולבת:

השכבה הפיזית (Physical security) – הגבלה של הגישה הפיזית לנכסי המפעל (חדרי בקרה, בקרים, חדרי תקשורת, כבלים) למורשים בלבד. ברמה הזאת, למשל, יש לצרף ליווי לכל מבקר לא מורשה במפעל.

שכבת הרשת (Network security) – הגנה ברמת תשתיות הרשת, לדוגמה: חומת-אש עם מנגנון זיהוי חדירות ומערכות למניעת חדירות (intrusion prevention systems (IDS/IPS)).

שכבת המחשב (Computer security) – הקשחת המחשבים על-ידי ניהול עדכוני תוכנה/אבטחה, תכנת אנטי-וירוס, הסרה של תוכניות, פרוטוקולים ושירותים שאינם בשימוש.

שכבת האפליקציה (Application security) – זיהוי משתמשים, הרשאות משתמשים ותוכנת לניטור פעולות האפליקציה (Audit).

שכבת התקנים (Device security) – ניהול שינויים והגבלת הגישה.

Firewall

Firewall הינו משפחה של מוצרים שממוקמים בשרתיGateway ברשת ותפקידן להגן על משאבי הרשת הפרטית ממשתמשים ברשתות אחרות.

ארגונים המאפשרים לעובדים לגשת לרשת הרחבה של האינטרנט, מתקינים firewall בכדי למנוע מגורמים חיצוניים לארגון מלגשת לנתונים הפרטיים של הארגון, ומצד שני

חשוב להטמיעFirewall מאובטח בין הרשת העסקית לאינטרנט ולהקפיד שזה יהיה החיבור היחיד IN-OUT המקשר את הרשת הארגונית בכללותה עם הרשת החיצונית, כלומר עם האינטרנט.

יש חשיבות עליונה, כמובן, להגנה על מערכות הבקרה. לשם כך יש להטמיע Firewall מאובטח נוסף בין הרשת העסקית לבין רשת הבקרה.

כדי לאפשר חיבור מרחוק, יוגדר חיבור VPN (Virtual Private Network), המאפשר חיבור מאובטח ומוצפן של משתמשים מהרשת החיצונית (אינטרנט) אל רשת הבקרה. חיבור מאובטח זה משמש כהגנה מפני איומים שמקורם ברשת החיצונית ומסכנים את הרשת הארגונית בכלל ואת רשת הבקרה בפרט.

כדי להוסיף שכבת אבטחה בתעבורה בין התחנות של רשת הבקרה לרשת העסקית, ניתן להעביר את המידע ב-IP Security (IPsec)

IPsec הינו סט פרוטוקולים המאפשר העברת נתונים בצורה מוצפנת ומספק זיהוי של השולח, וידוא שלמות של חבילות IP, הצפנת תוכן החבילות, מניעת שליחה מחדש של חבילות ישנות והגנה נגד ניתוח התעבורה ברשת.

שיטה נוספת להוספת שכבת אבטחה היא שימוש במוצר לאבטחתGATEWAY באופן חד כיווני (Unidirectional Security Gateways ).

במקום ה-firewall המפריד בין רשת הבקרה לרשת העסקית, ניתן להשתמש במוצרי אבטחת מידע מתקדמים על בסיס טכנולוגיית העברת מידע חד-כיוונית למניעת דלף מידע ולהגנה על תשתיות הרשת.

פתרון ההגנה של Waterfall עומד בסטנדרטים גבוהים ובקריטריונים מחמירים להגנה על המידע. באמצעות שימוש במערכת הטכנולוגית של Waterfall נמנע מצב של תקיפת רשת הבקרה הרגישה של התשתית הקריטית, וזאת ללא פגיעה בחיבוריות הנדרשת למערכות מידע ועסקים הפתוחות לרשת הארגונית. הפתרון מתבסס על אלמנטים ייחודיים של חומרה ומשלב אפליקציות תוכנה מגוונות, המתאימות למגוון רחב של דרישות אבטחה ורגולציה.

במערכות SCADA עבור תשתיות לאומיות קריטיות, כגון: חשמל, מים, גז, דלק, תקשורת וכדומה. המידע במערכות הללו נשלח מהבקרים הפזורים בשטח אל חדרי בקרה שברצפת היצור ואל משתמשים אחרים בארגון, לדבר משנה חשיבות באותם המתקנים בהם יש מערכות שליטה מסוג History הנפוץ בארץ מסוג PI. האיומים על מערכות SCADA מגוונים ונרחבים כאשר הפתרון של Waterfall נותן מענה לדילמת הקישוריות בין הרשתות השונות, על כל האיומים הגלומים בה.

רצפת הייצור ומערכות כלל ארגוניות – ERP, MES, Historian

מצאנו כי במפעלים המוגדרים כחיוניים למשק, מגדירות הרשויות באופן ברור את ההפרדה. ההגדרה היא הגדרה פיזית בין רצפת הייצור לשאר העולם. אולם מצאנו גם כי מפעלים רבים לא מסוגלים להפריד בין שני העולמות. בעיקר בשל הצורך לחבר מערכות כלל ארגוניות ERP אל רצפת הייצור דרך מערכות לניהול הייצור MES ולפחות יכולת קריאת נתוני היסטוריה Historian Information.

בתכנון נכון, בהחלת נהלי עבודה קפדניים ובעיקר בהתקנתFirewall מיוחד – הבנוי מרכיבי חומרה שמאפשרים רק קריאת נתונים מרצפת הייצור ללא יכולת לבצע שינויים – ניתן להימנע משורה של נזקים למערכות האוטומציה והבקרה שבמפעל.

רצפת הייצור ומערכות כלל ארגוניות - ERP, MES, Historian

Demilitarized Zones (DMZ) שיטת “האזור המפורז”

Demilitarized Zones (DMZ) שיטת האזור המפורז

שיטת Demilitarized Zones , או איזור מפורז, הינה שיטה מומלצת ונפוצה בהפרדת הרשתות. משמעותה מבטאת ביצירת חיץ בין הרשת העסקית ו/או החיצונית (אינטרנט) לבין הרשת שנדרשת להיות בטוחה – רשת הבקרה, זאת באמצעות שימוש ב-Firewall נוסף.

טופולוגיות רשת עבור אזורים ברצפת הייצור

טופולוגיות רשת עבור אזורים ברצפת הייצור- קונטאל

שיקולים לבחירת הטופולוגיה:

  • מתווה השטח והציוד שאותו צריך לחבר.
  • רמת הדטרמיניסטיות שאותה רוצים להשיג (הדבר תלוי בכמות מתגים ובכמות יחידות הקצה).
  • טופולוגיה בעלת יתירות מוסיפה גמישות לרשת.
  • זמן ההתאוששות הנדרש לאחר נפילת הרשת.
Device Level Ring Contel

תכונות של מתג המוטמעות ברמת ציוד הקצה, מאפשרות מימוש של טופולוגיה זו.

זמן התאוששות הרשת קטן מ-1ms עבור טבעת עם עד 50 יחידות קצה.

תעדוף בתעבורת הרשת מאפשר הגעה מהירה של מידע קריטי.

סטנדרט פתוח – נקבע ומנוהל על-ידי ODVA.

טופולוגיות רשת גמישות

טופולוגיות רשתות גמישות- קונטאל

Asset Management ואבטחת מידע

חברתRockwell Automation מציעה ללקוחות החברה מחשב/שרת המחובר לרשת רצפת הייצור, עם יכולת ניהול גיבויים אוטומטי וניהול הרשאות מדהים. הניהול מתאפשר עד לרמה של קטעי תוכנה בבקר המתוכנת, כך שניתן להגביל אדם בביצוע פעולות בבקר, להרשות צפייה בלבד, או לחלופין, לבצע שינויים בקטעי תוכנה ספציפיים שהוגדרו מראש.

זאת ועוד, הפתרון כולל ביצוע גיבוי אוטומטי לפני ואחרי השינוי והוספת טקסט קצר המתאר את מהות השינוי עם חתימה אלקטרונית של האדם המבצע, וכן את הסיבה לביצוע השינוי.

יישום ההפרדה בעזרת מתגי STRATIX

חברת סיסקו וחברת רוקוול השכילו לשלב כוחות על מנת לפתח וליצור סדרת מתגים תעשייתיים משותפת באיכות מעולה. בעזרת פיתוח זה, ניתן לשלב בפעם הראשונה בין יישומי בקרה לבין רשתות האטרנט ללא צורך באחזקת מערכות נפרדות הנשענות על רשתות הארגון.

מערכי המתגים החדשים משלבים טופולוגיות ליניאריות (כוכב, עץ) וטופולוגיות טבעת (Ring, MESH), כמו גם סדרות של מתגים לא מנוהלים.

מערך המתגים, המתקדם מסוגו, מאפשר לראשונה לנטר את מצב הרשת הישר במערכות הבקרה התעשייתיות. ניתן לבצע את הגדרת המתג כבר מתוך תוכנת הבקר, בדיוק באותה דרך שבה מגדירים כרטיס כניסות או יציאות בבוקר. החיוויים השונים של המתג ושל הרשת ניתנים לשילוב בקלות בתוך דיאגרמת הסולם של הבקר. כל זאת ללא צורך בביצוע של עבודת התאמה כלשהי.

בקרי Allen Bradley

סדרת מתגים תעשייתיים מנוהלים זו הינה הראשונה מסוגה. היא כוללת תכונות מותאמות עבור סביבות IT וסביבות ייצור ומשלבת את המיטב של סיסקו ורוקוול אוטומיישן בסדרת מתגי אטרנט תעשייתיים.

המערך המלא מותאם לשימוש ביישומי Ethernet/IP הנפוצים בתעשייה הישראלית. המתגים עושים שימוש במערכת ההפעלה רבת העוצמה של סיסקו (IOS).

סדרת המתגים האמורה משתמשת במערכת הפעלה של סיסקו, מצוידת בממשק מערכת ומשתמש, וגורמת למומחי ה-IT להרגיש בבית. במקביל, היא מספקת התקנה קלה ביותר ומידע דיאגנוסטיקה מקיף בתוך ארכיטקטורת רוקוול אוטומיישן המשולבת.

המתגים משתמשים בטכנולוגית ה- CIP המוכרת של רוקוול ובמסכי תצוגה מתוך תוכנת הבקרים הפופולארית – RSLogix 5000. כמו כן, למתגים הותאמו faceplates לשם דיאגנוסטיקה עבור יישומי FactoryTalk, שהינה הדרך המועדפת לשילוב התקנים מרושתים ליישומי בקרה.

סדרת המוצרים הינה מודולארית ומוקשחת ברמה תעשייתית, מתרחבת מ- 6 עד 26 מבואות (Ports) עבור נחושת וסיב אופטי כדי לתת מענה למגוון יישומים. המתגים הקבועים המנוהלים מצוידים בתצורות התקנה ומחדל פשוטות עבור Ethernet/IP. הסימן IP משמעוIndustrial Protocol . המתגים תוכננו כדי לעזור בהקלת פריסה של רשתות אטרנט ברצפת הייצור. הם משלבים מידע, התקנה ודיאגנוסטיקה לתוך תוכנת הבקר בשימוש בפרוטוקול ה-CIP.

המידות הקטנות של ההתקן מספקות 4 או 8 מבואות נחושת עם אופציה עבור Uplink סיב אופטי, הסיב לרשתות ברמה גבוהה יותר או טבעת לגיבוי. המתג הינו אידיאלי עבור מכונות והתעשייה התהליכית, כמו גם עבור יישומים עם שירותים מרושתים קטנים או מבוזרים ביותר.

עבור טופולוגיה ליניארית וטופולוגיות Ring משבצת רוקוול טכנולוגיית מתגי אטרנט ישירות בציוד המוצע, וזאת כדי לעזור לספק בחירות תצורה טובה יותר עבור יישומי Ethernet/IP, כמו Daisy-chain ו- Ring. הטכנולוגיה מאפשרת יכולות “טבעת” עתירות ביצועים (Make/break< 1ms) המושלמת עם דיאגנוסטיקה. תכונות אלה כוללות סינכרוני זמן IEEE-1588, איכות שירות – QoS (עדיפות), SFTP עבור תצורות טבעת (אל-כשל), IGMP snooping ו- Cut- Through.

מודול עצמאי בעל 3 מבואות יהיה זמין עם השחרור הראשוני של מוצרי הסדרה, ויאפשר למכשירי אטרנט בעלי מבוא אחד להשתתף בטיפולוגיות החדשות. את מערך המוצרים משלימים מתגים ומדיה לא מנוהלים, שהינם מוצרים ברמה תעשייתית עם 4 עד 8 מבואות, המציעים מגוון של אופציות נחושת וסיב אופטי. מוצרים אלה יהיו זמינים גם עבור יישומים תובעניים יותר עם IP67.

הפרדת רשתות תקשורת- קונטאל
כללי