- Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
- Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
- Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
- За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
- Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
- Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
- Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.
Киберзащита АСУ ТП
Модератор: Глоб.модераторы
-
- эксперт
- Сообщения: 1467
- Зарегистрирован: 25 июл 2008, 10:25
- Имя: Эдуард Владимирович
- Страна: СССР
- город/регион: Оренбург
- Благодарил (а): 46 раз
- Поблагодарили: 105 раз
Киберзащита АСУ ТП
Я не про панацею, я про девайс класса Д для RS-232/485 )))
--------------------------------------------------------------------------------------------
-
- эксперт
- Сообщения: 2099
- Зарегистрирован: 15 авг 2011, 21:36
- Имя: Пупков Сергей Викторович
- Страна: Россия
- город/регион: Москва
- Благодарил (а): 138 раз
- Поблагодарили: 174 раза
Киберзащита АСУ ТП
А при чем тут файрволл и АСУТП? Человек с привилегированным доступом занес вирус в корпоративную сеть, который уничтожил офисные данные. Это написано во втором абзаце.
-
- эксперт
- Сообщения: 2099
- Зарегистрирован: 15 авг 2011, 21:36
- Имя: Пупков Сергей Викторович
- Страна: Россия
- город/регион: Москва
- Благодарил (а): 138 раз
- Поблагодарили: 174 раза
Киберзащита АСУ ТП
У меня ассоциация с DP/DP coupler... Но так-то можно и до гальванической развязки дойти ))
-
- администратор
- Сообщения: 4915
- Зарегистрирован: 25 июл 2008, 07:12
- Имя: Диев Александр Васильевич
- Страна: Россия
- город/регион: г. Сегежа, Карелия
- Благодарил (а): 238 раз
- Поблагодарили: 426 раз
Киберзащита АСУ ТП
А тут можно и без смайлов. Представим контроллер, в который напрямую приходит кабель Profibus, подключенный к оборудованию где-то в другом помещении и идущий по трассе, доступной для постороннего вмешательства. Если кто-то по пути кабеля его вскроет и подаст 220В - какова вероятность грохнуть контроллер полностью, если нет гальванической развязки?
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
-
- эксперт
- Сообщения: 1467
- Зарегистрирован: 25 июл 2008, 10:25
- Имя: Эдуард Владимирович
- Страна: СССР
- город/регион: Оренбург
- Благодарил (а): 46 раз
- Поблагодарили: 105 раз
Киберзащита АСУ ТП
Я про межсетевой экран спросил, для протоколов Modbus, Profibus, CAN, Hart, к серийному производству которых ФСТЭК предъявляет требования ))) И где такой продается? )))
VADR, ну это же не ИБ, это вредительство! А вот если подключится, расшифрует и начнет управлять турбиной - это ИБ! Для этого и нужен сетевой экран. А Вы упрощаете всеVADR писал(а): Представим контроллер, в который напрямую приходит кабель Profibus, подключенный к оборудованию где-то в другом помещении и идущий по трассе, доступной для постороннего вмешательства. Если кто-то по пути кабеля его вскроет и подаст 220В - какова вероятность грохнуть контроллер полностью, если нет гальванической развязки?
— Теперь люди думают, что мы на всю голову отмороженные.
— А раньше не думали?
— Раньше думали, что мы не на всю голову отмороженные, а теперь думают, что на всю!
Жмурки ©
--------------------------------------------------------------------------------------------
-
- осмотрелся
- Сообщения: 158
- Зарегистрирован: 25 окт 2010, 10:30
- Имя: Капуста Степан Степанович
- Поблагодарили: 7 раз
Киберзащита АСУ ТП
Вы хочите обоснования? Их есть у меня.
Итак, речь идет вот об этом заявлении:
Итак, поехали.Кстати, со времен Стукснета Сименс реально пересмотрел свой подход к безопасности и теперь прежние шуточки просто так не выйдут, если использовать новый софт и железо. Конечно, не исключено, что специально для спецслужб Сименс оставил лазейки, хотя для меня это звучит дико. На такой способны только отдельные работники Сименса, но не генеральный директор.
1. Откуда ты можешь знать, как изменился подход к безопасности в Сименс? Тем более уровень изменения? Есть документы в открытом доступе? Есть реальное описание "как было" и "как стало"?
2. Откуда ты знаешь, что прежние шуточки не пройдут? Ты это проверял? Или можешь привести веские доказательства? Просто слова, пусть даже и генерального директора Siemens - ни разу не доказательство: в наше время нельзя верить никому, порой даже самому себе.
3. Не пройдут старые - пройдут новые: работающего ПО без ошибок не бывает.
4. "Звучит дико" только для впервые услышавшего про информационную безопасность. Ибо даже самый начинающий без проблем найдет /или уже встречал/ нечто подобное:
В каждом iPhone и любом другом iOS-гаджете Apple оставила специальные сервисы для сбора информации о владельце.
Почему шифрование в Windows 8.1 не пугает спецслужбы
Bloomberg: Apple уже предоставляла спецслужбам бэкдор для iOS 8
И это я еще не особо упираясь...
5. "На такое способны только отдельные работники" разве что в твоей с понтом проектантской конторе, где с "проектами" полный бардак, все делается "на коленке" и "проекты" часто не выдерживают даже поверхностной проверки. В хотя бы минимально уважающей себя конторе есть перекрестный контроль документации, ПО, отладка идет не на живых объектах... Возможности "отдельных работников" с ростом зрелости процессов разработки стремятся к нулю. А с ростом размеров коллектива, задействованного на разработке - растет и уровень того, кто может приказать воткнуть лазеечку и "не заметить" ее на тестировании.
Так что невеликого опыта заявитель... Если быть кратким: дилетант.
Речь не идет за криптографию и прочую математику: реально в таких вопросах очень немногие разбираются, а накосячить - как два пальца. И убедиться в наличии/отсутствии косяка не так-то просто. Тут вполне может хватить усилий одного человека - найти ошибку в даже относительно простом алгоритме весьма и весьма непросто /для желающих попробовать - Масленников М. "Криптография и свобода", алгоритм "Ангстрем"/.
http://www.prosoft.ru/products/brands/h ... 21/503800/
МСЭ именно для RS-232/RS-422/RS-485 - это навряд ли... Разве что что-то типа "диода данных" на базе RS-232: не три провода в кабеле распаяно, а только два: земля и один из информационных. Тогда данные по-любому "пойдут" только в одну сторону. RS-422 аналогичным способом можно развязать. RS-485, CAN - так просто не получится...
-
- эксперт
- Сообщения: 1467
- Зарегистрирован: 25 июл 2008, 10:25
- Имя: Эдуард Владимирович
- Страна: СССР
- город/регион: Оренбург
- Благодарил (а): 46 раз
- Поблагодарили: 105 раз
Киберзащита АСУ ТП
Тогда для чего "отмороженные" выпускают такие тех. требования к МСЭ? ))) Хотя, ответ и не нужен...Если маркетинг запущен, то мерчандайзинг сварганят и на профибас, подумаешь по IP - на всю ведь голову отмороженные, а раньше были не на всю... )))
--------------------------------------------------------------------------------------------
-
- почётный участник форума
- Сообщения: 5793
- Зарегистрирован: 07 окт 2011, 09:12
- Имя: Гаско Вячеслав Эриевич
- Страна: Россия
- город/регион: Рязань
- Благодарил (а): 674 раза
- Поблагодарили: 846 раз
Киберзащита АСУ ТП
Кто-то думает, что на Stuxnet всё закончилось и теперь в Siemens всё тип-топ?Степа писал(а): Вы хочите обоснования? Их есть у меня.
Итак, речь идет вот об этом заявлении:Итак, поехали.Кстати, со времен Стукснета Сименс реально пересмотрел свой подход к безопасности и теперь прежние шуточки просто так не выйдут, если использовать новый софт и железо. Конечно, не исключено, что специально для спецслужб Сименс оставил лазейки, хотя для меня это звучит дико. На такой способны только отдельные работники Сименса, но не генеральный директор.
Информация к размышлению:
https://habrahabr.ru/post/302276/
Что-то мне подсказывает, что TIA-portal и S-1200 появились позже Stuxnet.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
-
- администратор
- Сообщения: 18777
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 974 раза
- Поблагодарили: 1856 раз
Киберзащита АСУ ТП
Так уже ж говорили, что о промышленной автоматике все эти люди имеют весьма отдалённое представление.
Знаете, эта проблема уже частично решена. Например тем, что существуют узкоспециализированные контроллеры под такие задачи. Во-первых их не остановить. Напакостить конечно можно, если есть интерфейс во внешний мир, но для этого надо знать как.
Один случай когда Симатик применяется от частной газовой котельной до ядерных центрифуг и и там и здесь сработает один и тот же метод. Совсем другой случай когда контроллер узкоспециализированный, не программируемый, да ещё и адресное пространство каждый раз разное. А если еще и от внешнего мира систему отрезать, потому как ей ни на чёрта не сдался этот внешний мир, только мешает. Да, такие системы управления создавать некомфортно. по шаблону не получится на 100%, но ведь что угодно требует затрат, в том числе и безопасность. Попробуйте к примеру взломать ОВЕНовский ТРМ. И это еще вопрос, какие вложения в безопасность меньше: вложение на создание нетиповых закрытых систем или вложения в кибербезопасность. Тем более что такую систему нужно создать всего один раз, а всю эту кухню безопасности надо допиливать постоянно под новые возможности злоумышленников и вновь обнаруженные дыры. А ведь число дыр и ошибок в коде никогда не равно нулю, и значит этот процесс допиливания такой же бесконечный, как обновления Windows.
У нас например есть такие системы. Да, они проигрывают в стоимости и трудоемкости создания и ПНР, но зато безопасность, в том числе и технологическая (нет шансов даже специально сделать катастрофические изменения в коде). И у создателей таких систем все эти разговоры про безопасность вызывают просто улыбку.
Всё же просто: пользуешься чем-то массовым - значит кто-то ещё тоже знает как с этим работать, и среди толпы таких же профессионалов может быть и злодей.
Ярчайший пример. Что нужно из внешнего мира знать об электростанции? То что она работает, с какой мощностью и какой резерв. Зачем для этого расшаривать в интернет всю автоматику, когда можно организовать простейшую отдельную систему диспетчерского учёта, никак не связанную ни с чем кроме внешнего мира? Проще говоря, любой замок рано или поздно можно сломать - так зачем тогда вообще делать ворота, которые он запирает?
По вопросам работы Форума можно обратиться по этим контактам.
-
- авторитет
- Сообщения: 878
- Зарегистрирован: 21 авг 2009, 14:25
- Имя: Василий Иванович
- Благодарил (а): 1 раз
- Поблагодарили: 3 раза
Киберзащита АСУ ТП
Ну вот, пришло время и неизбежное случилось. Я у Лангнера за обедом на одном из его семинаров поинтересовался года четыре назад, почему он не говорит, что ПЛК-вирусы - проблема вполне реальная, знаете что он мне ответил? Он сказал, что он не хочет распространять панику.Ryzhij писал(а):Кто-то думает, что на Stuxnet всё закончилось и теперь в Siemens всё тип-топ?
Информация к размышлению:
https://habrahabr.ru/post/302276/
Что-то мне подсказывает, что TIA-portal и S-1200 появились позже Stuxnet.
Излишне говорить, что Симатик надо защищать паролями. Вот тогда жизнь вирусу резко осложняется. Жаль ключики отменили, это они погорячились.
-
- авторитет
- Сообщения: 878
- Зарегистрирован: 21 авг 2009, 14:25
- Имя: Василий Иванович
- Благодарил (а): 1 раз
- Поблагодарили: 3 раза
Киберзащита АСУ ТП
Ну это элементарно. Электростанция сама часто не в силах обеспечить техподдержку промышленного софта, и для проведения плановых и неплановых работ вынуждена обеспечить доступ к контроллерам специалистам разработчика системы. Которые живут хрен знает где и добраться могут только к послезавтрему. А баблос из-за простоя уходит нехилый. Там тысячи, может даже миллионы убытков могут накапать. Вот и делают удалённый доступ и обвязывают его мерами безопасности. Так выгоднееTEB писал(а):Ярчайший пример. Что нужно из внешнего мира знать об электростанции? То что она работает, с какой мощностью и какой резерв. Зачем для этого расшаривать в интернет всю автоматику, когда можно организовать простейшую отдельную систему диспетчерского учёта, никак не связанную ни с чем кроме внешнего мира? Проще говоря, любой замок рано или поздно можно сломать - так зачем тогда вообще делать ворота, которые он запирает?
-
- осмотрелся
- Сообщения: 158
- Зарегистрирован: 25 окт 2010, 10:30
- Имя: Капуста Степан Степанович
- Поблагодарили: 7 раз
Киберзащита АСУ ТП
Modbus, Profibus уже давно могут "гулять" не только по RS-232/RS-485, но и по Ethernet - Modbus TCP и Profinet соответственно. CAN и HART - не слышал, но скорее всего нет. Если CAN и HART - сети, в общем-то, как правило защищенные*, то асушный сегмент Ethernet с тем же Profinet`ом вполне могут подключить /и скорее всего подключат/ к офисному сегменту, в котором есть все... В том числе и пакеты, посланные с недобрыми намерениями. Обычным МСЭ можно несколько осложнить жизнь таким недобрым пакетам. МСЭ с поддержкой промышленных протоколов сделают эту жизнь еще более сложной.
Элемент защиты, не более.
--------------------
* Термин по ГОСТ Р 8.654 - тут смысл несколько другой: сеть, где все абоненты наперед известны.
Есть такие... Даже прямо здесь. И ссылочка на автора есть прямо перед цитатой.
Ну я в общем-то так и говорил: останов ПЛК - самый простой способ напакостить. И самый тупой. Нагадить можно куда более интересно...
И это... Практика показывает, что секретность - не самый лучший способ обезопасить себя от атаки. Тот же стукснет - принципиальные схемы и прочие детали проекта этих самых центрифуг не публиковались в интернете...
А вот тут начинаются проблемы: чаще всего нужен внешний мир. Там, во внешнем мире, очень желают знать, как работает система, ее текущие параметры, ее состояние и т.п.
А вот это зря. Очень зря.
Сегодня пока никто не будет заморачиваться с теми же ТРМ - есть цели и повкуснее. Но когда там все будет плохо /в смысле для атакующего/, то... Уже прошел слушок, что через кофеварку можно получить доступ к информации на смартфоне.
-
- авторитет
- Сообщения: 878
- Зарегистрирован: 21 авг 2009, 14:25
- Имя: Василий Иванович
- Благодарил (а): 1 раз
- Поблагодарили: 3 раза
Киберзащита АСУ ТП
Степа писал(а):1. Откуда ты можешь знать, как изменился подход к безопасности в Сименс? Тем более уровень изменения? Есть документы в открытом доступе? Есть реальное описание "как было" и "как стало"?
2. Откуда ты знаешь, что прежние шуточки не пройдут? Ты это проверял? Или можешь привести веские доказательства? Просто слова, пусть даже и генерального директора Siemens - ни разу не доказательство: в наше время нельзя верить никому, порой даже самому себе.
Не надо быть таким недоверчивым к Сименс. Они всё-таки становятся лучше, пусть и не столь быстро, зато врядли медленнее других. Об изменении подхода к безопасности можно судить хотя бы по тому, что они образовали отдельное подразделение занимающееся этими вопросами. Свежие версии софта стали поставляться с подробным руководством по обеспечению безопасности при построении систем. Да попробуйте хотя бы получить доступ к базе данных WinCC, как это делал Stuxnet, через стандартный пароль разработчика - ничего не выйдет!
Здесь же, на форуме, лет пять назад писал человек из Positive Technologies, с просьбой покритиковать вот этот свой отчёт.
http://www.ptsecurity.ru/download/SCADA ... ussian.pdf
Тут его в основном осмеивали за малосведущесть в АСУТП, но тем не менее это неплохая программистская контора, и своё дело они знают хорошо. Они получили заказ от Сименс по поиску дыр в своих продуктах, результаты были опубликованы, Сименс накатал несколько апдейтов (они блин ставятся дольше, чем сам продукт!).
-
- авторитет
- Сообщения: 878
- Зарегистрирован: 21 авг 2009, 14:25
- Имя: Василий Иванович
- Благодарил (а): 1 раз
- Поблагодарили: 3 раза
Киберзащита АСУ ТП
Если бы они хотели бы написать Profinet вместо Profibus - они написали бы. И не указывали отдельным протоколом Industrial Ethernet (хотя по правде говоря это и не протокол вовсе). Здесь явно взяли список протоколов не Ethernet и раздвинули на них требования контроля и фильтрации.Степа писал(а):Modbus, Profibus уже давно могут "гулять" не только по RS-232/RS-485, но и по Ethernet - Modbus TCP и Profinet соответственно. CAN и HART - не слышал, но скорее всего нет. Если CAN и HART - сети, в общем-то, как правило защищенные*, то асушный сегмент Ethernet с тем же Profinet`ом вполне могут подключить /и скорее всего подключат/ к офисному сегменту, в котором есть все... В том числе и пакеты, посланные с недобрыми намерениями.
Я вообще не понимаю, как должны функционировать контроль-фильтрация в протоколе с одним мастером. Не говоря уже о цели такой фильтрации. Запретить передачу запретных команд или данных?
-
- эксперт
- Сообщения: 1467
- Зарегистрирован: 25 июл 2008, 10:25
- Имя: Эдуард Владимирович
- Страна: СССР
- город/регион: Оренбург
- Благодарил (а): 46 раз
- Поблагодарили: 105 раз
Киберзащита АСУ ТП
Так вот суть этой полемики была - мужики, специалисты по ИБ, Вы говорите что есть у Вас люди обученные, в теме понимающие, так дайте им готовить статьи, обзоры или с нами "пообщаться". А то сплошные ляпы в статьях, непонятные взломы специализированных устройств, загадочные намеки на шифраторы пром. протоколов, теперь вот еще и МСЭ не понять на что ))) да еще и в нормативных документах ФСТЭК ))) Так вот, Василий Иванович, проще Вас и коллег по форуму спросить, чем получить ответ от "профессионалов ИБ". Ведь масса технических требований отраслевых, которые мы обязаны выполнять и в процессе проектирования, и в ходе эксплуатации, а тут нарисовались друзья со своим уставом (не предложениями), и давай загадочные нормы, аппараты, суперпродукты всякие нам "рекламировать/нормировать". ))) Вся тема в чушь свалилась. Ни один специалист в теме не оспаривает необходимость ИБ! Наоборот! Но все что нам предлагают это прочитать, взять на вооружение то что является сырым материалом, не выдерживающим никакой критики, а то и вообще является фантастикой. ))) Хочу конструктива! ))) Вот тебе мероприятия, вот тебе рынок устройств/систем, вот тебе порядок контроля, периодичность обслуживания, вот тебе виды проектной/эксплуатационной документации и все! Выполнишь - все защищено, иди честно за зарплатой. )))
--------------------------------------------------------------------------------------------
-
- осмотрелся
- Сообщения: 158
- Зарегистрирован: 25 окт 2010, 10:30
- Имя: Капуста Степан Степанович
- Поблагодарили: 7 раз
Киберзащита АСУ ТП
В наше время нельзя верить никому. Порой даже самому себе. (с)
У них просто нет другого выбора.
1. В сети с одним мастером однажды может оказаться и два мастера... Ethernet это позволяет легко и непринужденно. Даже в RS-485 - преобразователи Ethernet/RS-485 не редкость, а они могут настраиваться на использование одного порта несколькими желающими. Т.е. порт-то физически один, но мастеров через тот порт может быть больше одного.
2. Цель: запретить прохождение определенных команд. От греха... Правда, как отличать запрос от одного мастера от такого же, но от другого мастера - я даже не догадываюсь.
В среднем же, при нормальном проектировании системы управления зачем на МСЭ разбирать промышленные протоколы - не знаю. Ибо проблема 1 устраняется нормальной настройкой преобразователя и обычным МСЭ на границе сети /если эта же сеть и наверх смотрит; лучше, конечно, наверх другую сеть заводить/. Проблема 2 устраняется нормальной работой программистов, отвечающих за обмен данными: если они неправильных команд не запрограммируют, то их и не будет. А кто этого не понимает - пинком под ж..пу: это в любом случае дешевле будет. А больше... А больше некому свинячить во внутренней сети АСУ.
Кстати, за шифраторы. Походу, взлом WEP /насколько помнится, и WPA тоже по той же схеме разобрали/ никого ничему не научил: пока еще не довелось увидеть устройства с беспроводной связью и с нормальной системой обмена ключами. Надо к каждому подойти и ручками... Что будет делаться не каждое десятилетие: при настройке задали /скорее всего будет что-то типа "0000" - кому охота набивать длинные последовательности, при этом не всегда находясь в удобной позе?/ и забыли навсегда. Вроде и не страшный секрет это...
-
- администратор
- Сообщения: 18777
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 974 раза
- Поблагодарили: 1856 раз
Киберзащита АСУ ТП
Сомнительная перспектива.Василий Иванович писал(а): Ну это элементарно. Электростанция сама часто не в силах обеспечить техподдержку промышленного софта, и для проведения плановых и неплановых работ вынуждена обеспечить доступ к контроллерам специалистам разработчика системы. Которые живут хрен знает где и добраться могут только к послезавтрему. А баблос из-за простоя уходит нехилый. Там тысячи, может даже миллионы убытков могут накапать. Вот и делают удалённый доступ и обвязывают его мерами безопасности. Так выгоднее
Во-1-х, если это ТЭЦ мощностью в сотню-другую мегаватт - никто этим не занимается. Как вы себе представляете: вы нажимаете кнопку сидя в Петербурге например, и где-то за тысячи километров запускается агрегат в десятки мегаватт? ДА там столько регламентных операций при пуске что делает это всегда персонал. А значит там есть КИПовцы и связь. Есть такие станции в нашем списке. Там люди подключаются к контроллеру, сливают параметры с логами и присылают. Для перепрошивки мы им туда прошивку - они льют.
Но во-2-х, вообще-то говоря, на работающей станции нечего обслуживать, никакой софт там менять не надо. Уйма станций работает по неизменному алгоритму и 10 и 20 и более лет. Надо было нормально делать с первого раза чтобы потом не мучиться с перепрошивкой. Для этого и существуют узкоспециализированные закрытые средства автоматики с чёткой спецификацией алгоритма. сделанной ещё при проектировании и может чуть подправленной при ПНР. Зачем делать работу, которую потом надо будет переделывать?
Ну и в-3-х, если там что-то катастрофически встало и убытки льются тысячами зелёных в час, то на фоне этих убытков экономить на дороге на станцию - все равно что экономить на спичках. Хотя на таких важных объектах местный персонал достаточно квалифицирован для того чтобы устранять аварии на месте или по крайней мере знать у кого спросить.
Отправлено спустя 4 минуты 19 секунд:
Да ничего подобного. Давайте быть честным. "чаще всего" надо заменить на "я не могу это доказать, но мне хотелось бы чтобы было так" Так вот не надо лукавить. Чаще всего внешний мир как раз ни на чёрта не сдался для управления.
Отправлено спустя 4 минуты 51 секунду:
В случае с той же средних размеров ТЭЦ: начерта там удалённый доступ из внешнего мира, если абсолютно все операции на ТЭЦ делаются по согласованию диспетчерского персонала со смежными службами по телефону с обязательной записью в оперативный журнал? Зачем? Только ради того чтобы дать возможность обойти эти согласования? Если так то это приличным словом не называется. Это называется "создать проблему, а потом героически её преодолевать". Чем пока и занимаются в АСУТП специалисты по ИБ.
Отправлено спустя 2 минуты 56 секунд:
Ничего не зря.
Если система сделана по-человечески, то есть абсолютно ничего лишнего, никаких рюшечек, только необходимое - здесь всё будет в порядке, потому что лишних средств доступа в ней просто нет.
По вопросам работы Форума можно обратиться по этим контактам.
-
- эксперт
- Сообщения: 3644
- Зарегистрирован: 10 ноя 2009, 04:58
- Имя: Толмачев Михаил Алексеевич
- город/регион: г. Чехов, МО
- Благодарил (а): 8 раз
- Поблагодарили: 286 раз
Киберзащита АСУ ТП
Я еще на 5-й странице темы предлагал завершить перетолки, сейчас уже точно холивар раздулся...
-
- авторитет
- Сообщения: 878
- Зарегистрирован: 21 авг 2009, 14:25
- Имя: Василий Иванович
- Благодарил (а): 1 раз
- Поблагодарили: 3 раза
Киберзащита АСУ ТП
Да хоть десять мастеров! Только каждый мастер общается только со своими слэйвами, а не с чужими. Иначе будет распознан конфликт на шине. Совершенно штатными средствами.Степа писал(а): Т.е. порт-то физически один, но мастеров через тот порт может быть больше одного.
Не съезжайте с темы.преобразователи Ethernet/RS-485 не редкость
-
- администратор
- Сообщения: 18777
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 974 раза
- Поблагодарили: 1856 раз
Киберзащита АСУ ТП
Нееее. Холивар - это когда уже перешли на личности. Тема-то резиновая. :) Интересно, те специалисты по ИБ её не почитывают? Тут столько почвы для фантазий.
Отправлено спустя 2 минуты 16 секунд:
Отправлено спустя 2 минуты 16 секунд:
А как же, например ModBuS+Plus ?
По вопросам работы Форума можно обратиться по этим контактам.
-
- авторитет
- Сообщения: 878
- Зарегистрирован: 21 авг 2009, 14:25
- Имя: Василий Иванович
- Благодарил (а): 1 раз
- Поблагодарили: 3 раза
Киберзащита АСУ ТП
У вас, Евгений, ограниченный опыт.TEB писал(а):Во-1-х, если это ТЭЦ мощностью в сотню-другую мегаватт - никто этим не занимается. ...
Но во-2-х, вообще-то говоря, на работающей станции нечего обслуживать, никакой софт там менять не надо.
Экономится не билет на паровоз, а время на путешествие, т.е. продолжительность простоя. А это большие деньги.Ну и в-3-х, если там что-то катастрофически встало и убытки льются тысячами зелёных в час, то на фоне этих убытков экономить на дороге на станцию
-
- авторитет
- Сообщения: 878
- Зарегистрирован: 21 авг 2009, 14:25
- Имя: Василий Иванович
- Благодарил (а): 1 раз
- Поблагодарили: 3 раза
Киберзащита АСУ ТП
А он не на RS-485 ходит, у него вообще проприетарная шина!TEB писал(а):А как же, например ModBuS+Plus ?
-
- администратор
- Сообщения: 18777
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 974 раза
- Поблагодарили: 1856 раз
Киберзащита АСУ ТП
А почему вы так упёрлись в 485-й? А как же ModBUS-TCP?
По вопросам работы Форума можно обратиться по этим контактам.
-
- авторитет
- Сообщения: 878
- Зарегистрирован: 21 авг 2009, 14:25
- Имя: Василий Иванович
- Благодарил (а): 1 раз
- Поблагодарили: 3 раза
Киберзащита АСУ ТП
Это не я упёрся, это создатели предписаний упёрлись. А под TCP можно много чего навертеть, кто б сомневался. Тот же Modbus-TCP - это уже не мастер-слейв, а клиент-сервер протокол со всеми вытекающими.
-
- администратор
- Сообщения: 18777
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 974 раза
- Поблагодарили: 1856 раз
Киберзащита АСУ ТП
Вообще-то звучит оскорбительно, ввиду отсутствия аргументации. Я привожу конкретные примеры, а вы без всяких доказательств заявляете такие вещи. Нехорошо.
Может не ограниченный, а просто такой, при котором создаются вещи на века, чего другим сделать не под силу?
По вопросам работы Форума можно обратиться по этим контактам.