1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

Киберзащита АСУ ТП

Модератор: Глоб.модераторы

Ответить
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1467
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 46 раз
Поблагодарили: 105 раз

Киберзащита АСУ ТП

Сообщение CHANt »

Я не про панацею, я про девайс класса Д для RS-232/485 )))
--------------------------------------------------------------------------------------------
Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 2099
Зарегистрирован: 15 авг 2011, 21:36
Имя: Пупков Сергей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 138 раз
Поблагодарили: 174 раза

Киберзащита АСУ ТП

Сообщение Serex »

Василий Иванович писал(а): Вот у них не помогло даже полное разделение сетей:
А при чем тут файрволл и АСУТП? Человек с привилегированным доступом занес вирус в корпоративную сеть, который уничтожил офисные данные. Это написано во втором абзаце.
Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 2099
Зарегистрирован: 15 авг 2011, 21:36
Имя: Пупков Сергей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 138 раз
Поблагодарили: 174 раза

Киберзащита АСУ ТП

Сообщение Serex »

CHANt писал(а): Я не про панацею, я про девайс класса Д для RS-232/485 )))
У меня ассоциация с DP/DP coupler... Но так-то можно и до гальванической развязки дойти ))
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4929
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 245 раз
Поблагодарили: 427 раз

Киберзащита АСУ ТП

Сообщение VADR »

Serex писал(а):
CHANt писал(а): Я не про панацею, я про девайс класса Д для RS-232/485 )))
У меня ассоциация с DP/DP coupler... Но так-то можно и до гальванической развязки дойти ))
А тут можно и без смайлов. Представим контроллер, в который напрямую приходит кабель Profibus, подключенный к оборудованию где-то в другом помещении и идущий по трассе, доступной для постороннего вмешательства. Если кто-то по пути кабеля его вскроет и подаст 220В - какова вероятность грохнуть контроллер полностью, если нет гальванической развязки?
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1467
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 46 раз
Поблагодарили: 105 раз

Киберзащита АСУ ТП

Сообщение CHANt »

Я про межсетевой экран спросил, для протоколов Modbus, Profibus, CAN, Hart, к серийному производству которых ФСТЭК предъявляет требования ))) И где такой продается? )))
VADR писал(а): Представим контроллер, в который напрямую приходит кабель Profibus, подключенный к оборудованию где-то в другом помещении и идущий по трассе, доступной для постороннего вмешательства. Если кто-то по пути кабеля его вскроет и подаст 220В - какова вероятность грохнуть контроллер полностью, если нет гальванической развязки?
VADR, ну это же не ИБ, это вредительство! А вот если подключится, расшифрует и начнет управлять турбиной - это ИБ! Для этого и нужен сетевой экран. А Вы упрощаете все
— Теперь люди думают, что мы на всю голову отмороженные.
— А раньше не думали?
— Раньше думали, что мы не на всю голову отмороженные, а теперь думают, что на всю!
Жмурки ©
--------------------------------------------------------------------------------------------

Степа
осмотрелся
осмотрелся
Сообщения: 158
Зарегистрирован: 25 окт 2010, 10:30
Имя: Капуста Степан Степанович
Поблагодарили: 7 раз

Киберзащита АСУ ТП

Сообщение Степа »

Михайло писал(а): Без обоснования.
Вы хочите обоснования? Их есть у меня.
Итак, речь идет вот об этом заявлении:
Кстати, со времен Стукснета Сименс реально пересмотрел свой подход к безопасности и теперь прежние шуточки просто так не выйдут, если использовать новый софт и железо. Конечно, не исключено, что специально для спецслужб Сименс оставил лазейки, хотя для меня это звучит дико. На такой способны только отдельные работники Сименса, но не генеральный директор.
Итак, поехали.
1. Откуда ты можешь знать, как изменился подход к безопасности в Сименс? Тем более уровень изменения? Есть документы в открытом доступе? Есть реальное описание "как было" и "как стало"?
2. Откуда ты знаешь, что прежние шуточки не пройдут? Ты это проверял? Или можешь привести веские доказательства? Просто слова, пусть даже и генерального директора Siemens - ни разу не доказательство: в наше время нельзя верить никому, порой даже самому себе.
3. Не пройдут старые - пройдут новые: работающего ПО без ошибок не бывает.
4. "Звучит дико" только для впервые услышавшего про информационную безопасность. Ибо даже самый начинающий без проблем найдет /или уже встречал/ нечто подобное:
В каждом iPhone и любом другом iOS-гаджете Apple оставила специальные сервисы для сбора информации о владельце.
Почему шифрование в Windows 8.1 не пугает спецслужбы
Bloomberg: Apple уже предоставляла спецслужбам бэкдор для iOS 8
И это я еще не особо упираясь...
5. "На такое способны только отдельные работники" разве что в твоей с понтом проектантской конторе, где с "проектами" полный бардак, все делается "на коленке" и "проекты" часто не выдерживают даже поверхностной проверки. В хотя бы минимально уважающей себя конторе есть перекрестный контроль документации, ПО, отладка идет не на живых объектах... Возможности "отдельных работников" с ростом зрелости процессов разработки стремятся к нулю. А с ростом размеров коллектива, задействованного на разработке - растет и уровень того, кто может приказать воткнуть лазеечку и "не заметить" ее на тестировании.
Так что невеликого опыта заявитель... Если быть кратким: дилетант.

Речь не идет за криптографию и прочую математику: реально в таких вопросах очень немногие разбираются, а накосячить - как два пальца. И убедиться в наличии/отсутствии косяка не так-то просто. Тут вполне может хватить усилий одного человека - найти ошибку в даже относительно простом алгоритме весьма и весьма непросто /для желающих попробовать - Масленников М. "Криптография и свобода", алгоритм "Ангстрем"/.
CHANt писал(а): А дайте плиз ссылку на продаваемый межсетевой экран для
http://www.prosoft.ru/products/brands/h ... 21/503800/
МСЭ именно для RS-232/RS-422/RS-485 - это навряд ли... Разве что что-то типа "диода данных" на базе RS-232: не три провода в кабеле распаяно, а только два: земля и один из информационных. Тогда данные по-любому "пойдут" только в одну сторону. RS-422 аналогичным способом можно развязать. RS-485, CAN - так просто не получится...
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1467
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 46 раз
Поблагодарили: 105 раз

Киберзащита АСУ ТП

Сообщение CHANt »

Степа писал(а): МСЭ именно для RS-232/RS-422/RS-485 - это навряд ли...
Тогда для чего "отмороженные" выпускают такие тех. требования к МСЭ? ))) Хотя, ответ и не нужен...Если маркетинг запущен, то мерчандайзинг сварганят и на профибас, подумаешь по IP - на всю ведь голову отмороженные, а раньше были не на всю... )))
--------------------------------------------------------------------------------------------

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5811
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 683 раза
Поблагодарили: 860 раз

Киберзащита АСУ ТП

Сообщение Ryzhij »

Степа писал(а): Вы хочите обоснования? Их есть у меня.
Итак, речь идет вот об этом заявлении:
Кстати, со времен Стукснета Сименс реально пересмотрел свой подход к безопасности и теперь прежние шуточки просто так не выйдут, если использовать новый софт и железо. Конечно, не исключено, что специально для спецслужб Сименс оставил лазейки, хотя для меня это звучит дико. На такой способны только отдельные работники Сименса, но не генеральный директор.
Итак, поехали.
Кто-то думает, что на Stuxnet всё закончилось и теперь в Siemens всё тип-топ?
Информация к размышлению:
https://habrahabr.ru/post/302276/
Что-то мне подсказывает, что TIA-portal и S-1200 появились позже Stuxnet.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18839
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 993 раза
Поблагодарили: 1875 раз

Киберзащита АСУ ТП

Сообщение Jackson »

CHANt писал(а): Хотя, на мой взгляд, это слабая компетентность того кто готовил материал к этой статье
Так уже ж говорили, что о промышленной автоматике все эти люди имеют весьма отдалённое представление.
Степа писал(а): Ну, например, обычная такая газовая печурка даже не очень больших размеров /с небольшой садовый домик примерно/, у которой просто остановили ПЛК
Знаете, эта проблема уже частично решена. Например тем, что существуют узкоспециализированные контроллеры под такие задачи. Во-первых их не остановить. Напакостить конечно можно, если есть интерфейс во внешний мир, но для этого надо знать как.
Один случай когда Симатик применяется от частной газовой котельной до ядерных центрифуг и и там и здесь сработает один и тот же метод. Совсем другой случай когда контроллер узкоспециализированный, не программируемый, да ещё и адресное пространство каждый раз разное. А если еще и от внешнего мира систему отрезать, потому как ей ни на чёрта не сдался этот внешний мир, только мешает. Да, такие системы управления создавать некомфортно. по шаблону не получится на 100%, но ведь что угодно требует затрат, в том числе и безопасность. Попробуйте к примеру взломать ОВЕНовский ТРМ. И это еще вопрос, какие вложения в безопасность меньше: вложение на создание нетиповых закрытых систем или вложения в кибербезопасность. Тем более что такую систему нужно создать всего один раз, а всю эту кухню безопасности надо допиливать постоянно под новые возможности злоумышленников и вновь обнаруженные дыры. А ведь число дыр и ошибок в коде никогда не равно нулю, и значит этот процесс допиливания такой же бесконечный, как обновления Windows.

У нас например есть такие системы. Да, они проигрывают в стоимости и трудоемкости создания и ПНР, но зато безопасность, в том числе и технологическая (нет шансов даже специально сделать катастрофические изменения в коде). И у создателей таких систем все эти разговоры про безопасность вызывают просто улыбку.

Всё же просто: пользуешься чем-то массовым - значит кто-то ещё тоже знает как с этим работать, и среди толпы таких же профессионалов может быть и злодей.

Ярчайший пример. Что нужно из внешнего мира знать об электростанции? То что она работает, с какой мощностью и какой резерв. Зачем для этого расшаривать в интернет всю автоматику, когда можно организовать простейшую отдельную систему диспетчерского учёта, никак не связанную ни с чем кроме внешнего мира? Проще говоря, любой замок рано или поздно можно сломать - так зачем тогда вообще делать ворота, которые он запирает?
По вопросам работы Форума можно обратиться по этим контактам.

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Киберзащита АСУ ТП

Сообщение Василий Иванович »

Ryzhij писал(а):Кто-то думает, что на Stuxnet всё закончилось и теперь в Siemens всё тип-топ?
Информация к размышлению:
https://habrahabr.ru/post/302276/
Что-то мне подсказывает, что TIA-portal и S-1200 появились позже Stuxnet.
Ну вот, пришло время и неизбежное случилось. Я у Лангнера за обедом на одном из его семинаров поинтересовался года четыре назад, почему он не говорит, что ПЛК-вирусы - проблема вполне реальная, знаете что он мне ответил? Он сказал, что он не хочет распространять панику.

Излишне говорить, что Симатик надо защищать паролями. Вот тогда жизнь вирусу резко осложняется. Жаль ключики отменили, это они погорячились.

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Киберзащита АСУ ТП

Сообщение Василий Иванович »

TEB писал(а):Ярчайший пример. Что нужно из внешнего мира знать об электростанции? То что она работает, с какой мощностью и какой резерв. Зачем для этого расшаривать в интернет всю автоматику, когда можно организовать простейшую отдельную систему диспетчерского учёта, никак не связанную ни с чем кроме внешнего мира? Проще говоря, любой замок рано или поздно можно сломать - так зачем тогда вообще делать ворота, которые он запирает?
Ну это элементарно. Электростанция сама часто не в силах обеспечить техподдержку промышленного софта, и для проведения плановых и неплановых работ вынуждена обеспечить доступ к контроллерам специалистам разработчика системы. Которые живут хрен знает где и добраться могут только к послезавтрему. А баблос из-за простоя уходит нехилый. Там тысячи, может даже миллионы убытков могут накапать. Вот и делают удалённый доступ и обвязывают его мерами безопасности. Так выгоднее

Степа
осмотрелся
осмотрелся
Сообщения: 158
Зарегистрирован: 25 окт 2010, 10:30
Имя: Капуста Степан Степанович
Поблагодарили: 7 раз

Киберзащита АСУ ТП

Сообщение Степа »

CHANt писал(а): Тогда для чего "отмороженные" выпускают такие тех. требования к МСЭ?
Modbus, Profibus уже давно могут "гулять" не только по RS-232/RS-485, но и по Ethernet - Modbus TCP и Profinet соответственно. CAN и HART - не слышал, но скорее всего нет. Если CAN и HART - сети, в общем-то, как правило защищенные*, то асушный сегмент Ethernet с тем же Profinet`ом вполне могут подключить /и скорее всего подключат/ к офисному сегменту, в котором есть все... В том числе и пакеты, посланные с недобрыми намерениями. Обычным МСЭ можно несколько осложнить жизнь таким недобрым пакетам. МСЭ с поддержкой промышленных протоколов сделают эту жизнь еще более сложной.
Элемент защиты, не более.

--------------------
* Термин по ГОСТ Р 8.654 - тут смысл несколько другой: сеть, где все абоненты наперед известны.
Ryzhij писал(а): Кто-то думает, что на Stuxnet всё закончилось и теперь в Siemens всё тип-топ?
Есть такие... Даже прямо здесь. И ссылочка на автора есть прямо перед цитатой.
TEB писал(а): Напакостить конечно можно, если есть интерфейс во внешний мир, но для этого надо знать как.
Ну я в общем-то так и говорил: останов ПЛК - самый простой способ напакостить. И самый тупой. Нагадить можно куда более интересно...
И это... Практика показывает, что секретность - не самый лучший способ обезопасить себя от атаки. Тот же стукснет - принципиальные схемы и прочие детали проекта этих самых центрифуг не публиковались в интернете...
TEB писал(а): А если еще и от внешнего мира систему отрезать, потому как ей ни на чёрта не сдался этот внешний мир, только мешает.
А вот тут начинаются проблемы: чаще всего нужен внешний мир. Там, во внешнем мире, очень желают знать, как работает система, ее текущие параметры, ее состояние и т.п.
TEB писал(а): И у создателей таких систем все эти разговоры про безопасность вызывают просто улыбку.
А вот это зря. Очень зря.
Сегодня пока никто не будет заморачиваться с теми же ТРМ - есть цели и повкуснее. Но когда там все будет плохо /в смысле для атакующего/, то... Уже прошел слушок, что через кофеварку можно получить доступ к информации на смартфоне.

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Киберзащита АСУ ТП

Сообщение Василий Иванович »

Степа писал(а):1. Откуда ты можешь знать, как изменился подход к безопасности в Сименс? Тем более уровень изменения? Есть документы в открытом доступе? Есть реальное описание "как было" и "как стало"?
2. Откуда ты знаешь, что прежние шуточки не пройдут? Ты это проверял? Или можешь привести веские доказательства? Просто слова, пусть даже и генерального директора Siemens - ни разу не доказательство: в наше время нельзя верить никому, порой даже самому себе.

Не надо быть таким недоверчивым к Сименс. Они всё-таки становятся лучше, пусть и не столь быстро, зато врядли медленнее других. Об изменении подхода к безопасности можно судить хотя бы по тому, что они образовали отдельное подразделение занимающееся этими вопросами. Свежие версии софта стали поставляться с подробным руководством по обеспечению безопасности при построении систем. Да попробуйте хотя бы получить доступ к базе данных WinCC, как это делал Stuxnet, через стандартный пароль разработчика - ничего не выйдет!
Здесь же, на форуме, лет пять назад писал человек из Positive Technologies, с просьбой покритиковать вот этот свой отчёт.
http://www.ptsecurity.ru/download/SCADA ... ussian.pdf
Тут его в основном осмеивали за малосведущесть в АСУТП, но тем не менее это неплохая программистская контора, и своё дело они знают хорошо. Они получили заказ от Сименс по поиску дыр в своих продуктах, результаты были опубликованы, Сименс накатал несколько апдейтов (они блин ставятся дольше, чем сам продукт!).

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Киберзащита АСУ ТП

Сообщение Василий Иванович »

Степа писал(а):Modbus, Profibus уже давно могут "гулять" не только по RS-232/RS-485, но и по Ethernet - Modbus TCP и Profinet соответственно. CAN и HART - не слышал, но скорее всего нет. Если CAN и HART - сети, в общем-то, как правило защищенные*, то асушный сегмент Ethernet с тем же Profinet`ом вполне могут подключить /и скорее всего подключат/ к офисному сегменту, в котором есть все... В том числе и пакеты, посланные с недобрыми намерениями.
Если бы они хотели бы написать Profinet вместо Profibus - они написали бы. И не указывали отдельным протоколом Industrial Ethernet (хотя по правде говоря это и не протокол вовсе). Здесь явно взяли список протоколов не Ethernet и раздвинули на них требования контроля и фильтрации.
Я вообще не понимаю, как должны функционировать контроль-фильтрация в протоколе с одним мастером. Не говоря уже о цели такой фильтрации. Запретить передачу запретных команд или данных?
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1467
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 46 раз
Поблагодарили: 105 раз

Киберзащита АСУ ТП

Сообщение CHANt »

Василий Иванович писал(а): Я вообще не понимаю, как должны функционировать контроль-фильтрация в протоколе с одним мастером. Не говоря уже о цели такой фильтрации. Запретить передачу запретных команд или данных?
Так вот суть этой полемики была - мужики, специалисты по ИБ, Вы говорите что есть у Вас люди обученные, в теме понимающие, так дайте им готовить статьи, обзоры или с нами "пообщаться". А то сплошные ляпы в статьях, непонятные взломы специализированных устройств, загадочные намеки на шифраторы пром. протоколов, теперь вот еще и МСЭ не понять на что ))) да еще и в нормативных документах ФСТЭК ))) Так вот, Василий Иванович, проще Вас и коллег по форуму спросить, чем получить ответ от "профессионалов ИБ". Ведь масса технических требований отраслевых, которые мы обязаны выполнять и в процессе проектирования, и в ходе эксплуатации, а тут нарисовались друзья со своим уставом (не предложениями), и давай загадочные нормы, аппараты, суперпродукты всякие нам "рекламировать/нормировать". ))) Вся тема в чушь свалилась. Ни один специалист в теме не оспаривает необходимость ИБ! Наоборот! Но все что нам предлагают это прочитать, взять на вооружение то что является сырым материалом, не выдерживающим никакой критики, а то и вообще является фантастикой. ))) Хочу конструктива! ))) Вот тебе мероприятия, вот тебе рынок устройств/систем, вот тебе порядок контроля, периодичность обслуживания, вот тебе виды проектной/эксплуатационной документации и все! Выполнишь - все защищено, иди честно за зарплатой. )))
--------------------------------------------------------------------------------------------

Степа
осмотрелся
осмотрелся
Сообщения: 158
Зарегистрирован: 25 окт 2010, 10:30
Имя: Капуста Степан Степанович
Поблагодарили: 7 раз

Киберзащита АСУ ТП

Сообщение Степа »

Василий Иванович писал(а): Не надо быть таким недоверчивым к Сименс.
В наше время нельзя верить никому. Порой даже самому себе. (с)
Василий Иванович писал(а): Они всё-таки становятся лучше, пусть и не столь быстро, зато врядли медленнее других.
У них просто нет другого выбора.
Василий Иванович писал(а): Я вообще не понимаю, как должны функционировать контроль-фильтрация в протоколе с одним мастером. Не говоря уже о цели такой фильтрации. Запретить передачу запретных команд или данных?
1. В сети с одним мастером однажды может оказаться и два мастера... Ethernet это позволяет легко и непринужденно. Даже в RS-485 - преобразователи Ethernet/RS-485 не редкость, а они могут настраиваться на использование одного порта несколькими желающими. Т.е. порт-то физически один, но мастеров через тот порт может быть больше одного.
2. Цель: запретить прохождение определенных команд. От греха... Правда, как отличать запрос от одного мастера от такого же, но от другого мастера - я даже не догадываюсь.

В среднем же, при нормальном проектировании системы управления зачем на МСЭ разбирать промышленные протоколы - не знаю. Ибо проблема 1 устраняется нормальной настройкой преобразователя и обычным МСЭ на границе сети /если эта же сеть и наверх смотрит; лучше, конечно, наверх другую сеть заводить/. Проблема 2 устраняется нормальной работой программистов, отвечающих за обмен данными: если они неправильных команд не запрограммируют, то их и не будет. А кто этого не понимает - пинком под ж..пу: это в любом случае дешевле будет. А больше... А больше некому свинячить во внутренней сети АСУ.

Кстати, за шифраторы. Походу, взлом WEP /насколько помнится, и WPA тоже по той же схеме разобрали/ никого ничему не научил: пока еще не довелось увидеть устройства с беспроводной связью и с нормальной системой обмена ключами. Надо к каждому подойти и ручками... Что будет делаться не каждое десятилетие: при настройке задали /скорее всего будет что-то типа "0000" - кому охота набивать длинные последовательности, при этом не всегда находясь в удобной позе?/ и забыли навсегда. Вроде и не страшный секрет это...
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18839
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 993 раза
Поблагодарили: 1875 раз

Киберзащита АСУ ТП

Сообщение Jackson »

Василий Иванович писал(а): Ну это элементарно. Электростанция сама часто не в силах обеспечить техподдержку промышленного софта, и для проведения плановых и неплановых работ вынуждена обеспечить доступ к контроллерам специалистам разработчика системы. Которые живут хрен знает где и добраться могут только к послезавтрему. А баблос из-за простоя уходит нехилый. Там тысячи, может даже миллионы убытков могут накапать. Вот и делают удалённый доступ и обвязывают его мерами безопасности. Так выгоднее
Сомнительная перспектива.
Во-1-х, если это ТЭЦ мощностью в сотню-другую мегаватт - никто этим не занимается. Как вы себе представляете: вы нажимаете кнопку сидя в Петербурге например, и где-то за тысячи километров запускается агрегат в десятки мегаватт? ДА там столько регламентных операций при пуске что делает это всегда персонал. А значит там есть КИПовцы и связь. Есть такие станции в нашем списке. Там люди подключаются к контроллеру, сливают параметры с логами и присылают. Для перепрошивки мы им туда прошивку - они льют.

Но во-2-х, вообще-то говоря, на работающей станции нечего обслуживать, никакой софт там менять не надо. Уйма станций работает по неизменному алгоритму и 10 и 20 и более лет. Надо было нормально делать с первого раза чтобы потом не мучиться с перепрошивкой. Для этого и существуют узкоспециализированные закрытые средства автоматики с чёткой спецификацией алгоритма. сделанной ещё при проектировании и может чуть подправленной при ПНР. Зачем делать работу, которую потом надо будет переделывать?

Ну и в-3-х, если там что-то катастрофически встало и убытки льются тысячами зелёных в час, то на фоне этих убытков экономить на дороге на станцию - все равно что экономить на спичках. Хотя на таких важных объектах местный персонал достаточно квалифицирован для того чтобы устранять аварии на месте или по крайней мере знать у кого спросить.

Отправлено спустя 4 минуты 19 секунд:
Степа писал(а): А вот тут начинаются проблемы: чаще всего нужен внешний мир.
Да ничего подобного. Давайте быть честным. "чаще всего" надо заменить на "я не могу это доказать, но мне хотелось бы чтобы было так" Так вот не надо лукавить. Чаще всего внешний мир как раз ни на чёрта не сдался для управления.

Отправлено спустя 4 минуты 51 секунду:
В случае с той же средних размеров ТЭЦ: начерта там удалённый доступ из внешнего мира, если абсолютно все операции на ТЭЦ делаются по согласованию диспетчерского персонала со смежными службами по телефону с обязательной записью в оперативный журнал? Зачем? Только ради того чтобы дать возможность обойти эти согласования? Если так то это приличным словом не называется. Это называется "создать проблему, а потом героически её преодолевать". Чем пока и занимаются в АСУТП специалисты по ИБ.

Отправлено спустя 2 минуты 56 секунд:
Степа писал(а): А вот это зря. Очень зря.
Сегодня пока никто не будет заморачиваться с теми же ТРМ - есть цели и повкуснее.
Ничего не зря.
Если система сделана по-человечески, то есть абсолютно ничего лишнего, никаких рюшечек, только необходимое - здесь всё будет в порядке, потому что лишних средств доступа в ней просто нет.
По вопросам работы Форума можно обратиться по этим контактам.

Михайло
эксперт
эксперт
Сообщения: 3651
Зарегистрирован: 10 ноя 2009, 04:58
Имя: Толмачев Михаил Алексеевич
город/регион: г. Чехов, МО
Благодарил (а): 8 раз
Поблагодарили: 287 раз

Киберзащита АСУ ТП

Сообщение Михайло »

Я еще на 5-й странице темы предлагал завершить перетолки, сейчас уже точно холивар раздулся...

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Киберзащита АСУ ТП

Сообщение Василий Иванович »

Степа писал(а): Т.е. порт-то физически один, но мастеров через тот порт может быть больше одного.
Да хоть десять мастеров! Только каждый мастер общается только со своими слэйвами, а не с чужими. Иначе будет распознан конфликт на шине. Совершенно штатными средствами.
преобразователи Ethernet/RS-485 не редкость
Не съезжайте с темы.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18839
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 993 раза
Поблагодарили: 1875 раз

Киберзащита АСУ ТП

Сообщение Jackson »

Нееее. Холивар - это когда уже перешли на личности. Тема-то резиновая. :) Интересно, те специалисты по ИБ её не почитывают? Тут столько почвы для фантазий.

Отправлено спустя 2 минуты 16 секунд:
Василий Иванович писал(а): Только каждый мастер общается только со своими слэйвами, а не с чужими.
А как же, например ModBuS+Plus ?
По вопросам работы Форума можно обратиться по этим контактам.

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Киберзащита АСУ ТП

Сообщение Василий Иванович »

TEB писал(а):Во-1-х, если это ТЭЦ мощностью в сотню-другую мегаватт - никто этим не занимается. ...

Но во-2-х, вообще-то говоря, на работающей станции нечего обслуживать, никакой софт там менять не надо.
У вас, Евгений, ограниченный опыт.
Ну и в-3-х, если там что-то катастрофически встало и убытки льются тысячами зелёных в час, то на фоне этих убытков экономить на дороге на станцию
Экономится не билет на паровоз, а время на путешествие, т.е. продолжительность простоя. А это большие деньги.

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Киберзащита АСУ ТП

Сообщение Василий Иванович »

TEB писал(а):А как же, например ModBuS+Plus ?
А он не на RS-485 ходит, у него вообще проприетарная шина!
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18839
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 993 раза
Поблагодарили: 1875 раз

Киберзащита АСУ ТП

Сообщение Jackson »

А почему вы так упёрлись в 485-й? А как же ModBUS-TCP?
По вопросам работы Форума можно обратиться по этим контактам.

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Киберзащита АСУ ТП

Сообщение Василий Иванович »

Это не я упёрся, это создатели предписаний упёрлись. А под TCP можно много чего навертеть, кто б сомневался. Тот же Modbus-TCP - это уже не мастер-слейв, а клиент-сервер протокол со всеми вытекающими.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18839
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 993 раза
Поблагодарили: 1875 раз

Киберзащита АСУ ТП

Сообщение Jackson »

Василий Иванович писал(а): У вас, Евгений, ограниченный опыт.
Вообще-то звучит оскорбительно, ввиду отсутствия аргументации. Я привожу конкретные примеры, а вы без всяких доказательств заявляете такие вещи. Нехорошо.

Может не ограниченный, а просто такой, при котором создаются вещи на века, чего другим сделать не под силу?
По вопросам работы Форума можно обратиться по этим контактам.
Ответить

Вернуться в «Информационная безопасность»