1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

Развязка корпоративной и АСУ сетей.

Модератор: Глоб.модераторы

Ответить

Автор темы
HabarovPD
здесь недавно
здесь недавно
Сообщения: 2
Зарегистрирован: 08 фев 2018, 07:48
Имя: Павел
Страна: Россия
город/регион: Хакасия, Черногорск

Развязка корпоративной и АСУ сетей.

Сообщение HabarovPD »

День добрый.
Ситуация я думаю довольно распространенная. Из сети АСУ в корпоративную сеть необходимо оперативно передавать данные для отчетов.
Для сбора и хранения данный используется сервер БД. В данный момент на сервере установлено две сетевых карты, одна подключена в сеть АСУ, вторая в корп сети.
Какие более надежные способы решения данной задачи существуют?
Слышал про связь сервер БД- Сервер БД. Но как это организовано, хотя-бы в общих чертах?
Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 2099
Зарегистрирован: 15 авг 2011, 21:36
Имя: Пупков Сергей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 138 раз
Поблагодарили: 174 раза

Развязка корпоративной и АСУ сетей.

Сообщение Serex »

Сеть АСУ от сервера БД отделить аппаратным файрволом, на котором настроить только порт для SQL (?) запросов.
В текущем варианте, если злоумышленник получит доступ к серверу БД, то он сразу попадает в сеть АСУ.
Можно еще сервер БД отделить файрволом от корпоративной, но тут уже надо обсуждать насколько значимы отчетные данные.
Аватара пользователя

Никита
почётный участник форума
почётный участник форума
Сообщения: 3971
Зарегистрирован: 20 янв 2010, 22:23
Имя: Никита
Страна: РФ
город/регион: Мурманск
Благодарил (а): 21 раз
Поблагодарили: 229 раз

Развязка корпоративной и АСУ сетей.

Сообщение Никита »

Сия проблема не имеет подробного описания, ибо относится к средствам обеспечения безопасности, а эти решения публикации не подлежат. Но вообще, традиционный вариант - DMZ-сервер, зажатый между двух экранов.
Опыт - это когда на смену вопросам: "Что? Где? Когда? Как? Почему?" приходит единственный вопрос: "Нахрена? "
Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 2099
Зарегистрирован: 15 авг 2011, 21:36
Имя: Пупков Сергей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 138 раз
Поблагодарили: 174 раза

Развязка корпоративной и АСУ сетей.

Сообщение Serex »

У продвинутых коммутаторов можно настроить VPN, чтобы если кто-то воткнется в вашу сетку где-нибудь, кроме коммутаторов, то он ничего не получит.
На коммутаторах тоже можно настроить на какой физический порт может быть назначен IP-адрес. Т.е. если в назначенный порт воткнуть что-то с другим IP-адресом, то это работать не будет. Аналогично можно настроить MAC адрес на каждый порт.
Неиспользуемые порты на коммутаторе отключить.
А на коммутатор поставить пароль 7-сложности ))

А так то я не понял вопроса автора

Что такое надежно организовать связь между сетью АСУ и сервером БД. ?

Автор темы
HabarovPD
здесь недавно
здесь недавно
Сообщения: 2
Зарегистрирован: 08 фев 2018, 07:48
Имя: Павел
Страна: Россия
город/регион: Хакасия, Черногорск

Развязка корпоративной и АСУ сетей.

Сообщение HabarovPD »

Всем спасибо.
Что такое надежно организовать связь между сетью АСУ и сервером БД. ?

Нужна максимально защищенная, изолированная развязка сетей, которая предоставит доступ на чтение некоторых данных из БД АСУ (отчетность) в КОРП. сеть, исключит запись данных в сеть АСУ

Пока представляю себе развязку примерно так:

сеть асу ------ (сервер БД АСУ) --------- изолированный порт маршрутизатора -----------(сервер БД КОРП СЕТИ)------- корп сеть

т.е. БД сервера по отдельным сетевым связать через маршрутизатор вторые сетевые в соответствующие сети.. м/у БД обмен данными средствами репликаций, причем КОРП - только чтение из АСУ.. порты маршрутизатора изолировать

Возможно есть другие более простые/надежные варианты.
Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 2099
Зарегистрирован: 15 авг 2011, 21:36
Имя: Пупков Сергей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 138 раз
Поблагодарили: 174 раза

Развязка корпоративной и АСУ сетей.

Сообщение Serex »

Что значит изолировать порты? Настроить маршруты для разных IP по разному на одном маршрутизаторе? Или межсетевой экран настроить?

В любом случае надежнее - одна функция - одно устройство.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Развязка корпоративной и АСУ сетей.

Сообщение Jackson »

Для начала следует определиться и указать, защищённый ОТ ЧЕГО должен быть канал. Выписать в столбик список угроз, актуальных для объекта. Справа в столбик пометить, какие из угроз уже исключены. Ещё правее в столбик - какие меры уже приняты. И только потом, когда останутся два списка угроз (незащищаемых никак и защищаемых частично), станет ясно от чего конкретно защищаться, а от этого можно и средства конкретные выбирать.

А всё что происходит сейчас - гадание.
По вопросам работы Форума можно обратиться по этим контактам.
Ответить

Вернуться в «Информационная безопасность»