День добрый.
Ситуация я думаю довольно распространенная. Из сети АСУ в корпоративную сеть необходимо оперативно передавать данные для отчетов.
Для сбора и хранения данный используется сервер БД. В данный момент на сервере установлено две сетевых карты, одна подключена в сеть АСУ, вторая в корп сети.
Какие более надежные способы решения данной задачи существуют?
Слышал про связь сервер БД- Сервер БД. Но как это организовано, хотя-бы в общих чертах?
- Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
- Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
- Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
- За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
- Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
- Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
- Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.
Развязка корпоративной и АСУ сетей.
Модератор: Глоб.модераторы
-
- здесь недавно
- Сообщения: 2
- Зарегистрирован: 08 фев 2018, 07:48
- Имя: Павел
- Страна: Россия
- город/регион: Хакасия, Черногорск
-
- эксперт
- Сообщения: 2099
- Зарегистрирован: 15 авг 2011, 21:36
- Имя: Пупков Сергей Викторович
- Страна: Россия
- город/регион: Москва
- Благодарил (а): 138 раз
- Поблагодарили: 174 раза
Развязка корпоративной и АСУ сетей.
Сеть АСУ от сервера БД отделить аппаратным файрволом, на котором настроить только порт для SQL (?) запросов.
В текущем варианте, если злоумышленник получит доступ к серверу БД, то он сразу попадает в сеть АСУ.
Можно еще сервер БД отделить файрволом от корпоративной, но тут уже надо обсуждать насколько значимы отчетные данные.
В текущем варианте, если злоумышленник получит доступ к серверу БД, то он сразу попадает в сеть АСУ.
Можно еще сервер БД отделить файрволом от корпоративной, но тут уже надо обсуждать насколько значимы отчетные данные.
-
- почётный участник форума
- Сообщения: 3971
- Зарегистрирован: 20 янв 2010, 22:23
- Имя: Никита
- Страна: РФ
- город/регион: Мурманск
- Благодарил (а): 21 раз
- Поблагодарили: 229 раз
Развязка корпоративной и АСУ сетей.
Сия проблема не имеет подробного описания, ибо относится к средствам обеспечения безопасности, а эти решения публикации не подлежат. Но вообще, традиционный вариант - DMZ-сервер, зажатый между двух экранов.
Опыт - это когда на смену вопросам: "Что? Где? Когда? Как? Почему?" приходит единственный вопрос: "Нахрена? "
-
- эксперт
- Сообщения: 2099
- Зарегистрирован: 15 авг 2011, 21:36
- Имя: Пупков Сергей Викторович
- Страна: Россия
- город/регион: Москва
- Благодарил (а): 138 раз
- Поблагодарили: 174 раза
Развязка корпоративной и АСУ сетей.
У продвинутых коммутаторов можно настроить VPN, чтобы если кто-то воткнется в вашу сетку где-нибудь, кроме коммутаторов, то он ничего не получит.
На коммутаторах тоже можно настроить на какой физический порт может быть назначен IP-адрес. Т.е. если в назначенный порт воткнуть что-то с другим IP-адресом, то это работать не будет. Аналогично можно настроить MAC адрес на каждый порт.
Неиспользуемые порты на коммутаторе отключить.
А на коммутатор поставить пароль 7-сложности ))
А так то я не понял вопроса автора
Что такое надежно организовать связь между сетью АСУ и сервером БД. ?
На коммутаторах тоже можно настроить на какой физический порт может быть назначен IP-адрес. Т.е. если в назначенный порт воткнуть что-то с другим IP-адресом, то это работать не будет. Аналогично можно настроить MAC адрес на каждый порт.
Неиспользуемые порты на коммутаторе отключить.
А на коммутатор поставить пароль 7-сложности ))
А так то я не понял вопроса автора
Что такое надежно организовать связь между сетью АСУ и сервером БД. ?
-
- здесь недавно
- Сообщения: 2
- Зарегистрирован: 08 фев 2018, 07:48
- Имя: Павел
- Страна: Россия
- город/регион: Хакасия, Черногорск
Развязка корпоративной и АСУ сетей.
Всем спасибо.
Нужна максимально защищенная, изолированная развязка сетей, которая предоставит доступ на чтение некоторых данных из БД АСУ (отчетность) в КОРП. сеть, исключит запись данных в сеть АСУ
Пока представляю себе развязку примерно так:
сеть асу ------ (сервер БД АСУ) --------- изолированный порт маршрутизатора -----------(сервер БД КОРП СЕТИ)------- корп сеть
т.е. БД сервера по отдельным сетевым связать через маршрутизатор вторые сетевые в соответствующие сети.. м/у БД обмен данными средствами репликаций, причем КОРП - только чтение из АСУ.. порты маршрутизатора изолировать
Возможно есть другие более простые/надежные варианты.
Что такое надежно организовать связь между сетью АСУ и сервером БД. ?
Нужна максимально защищенная, изолированная развязка сетей, которая предоставит доступ на чтение некоторых данных из БД АСУ (отчетность) в КОРП. сеть, исключит запись данных в сеть АСУ
Пока представляю себе развязку примерно так:
сеть асу ------ (сервер БД АСУ) --------- изолированный порт маршрутизатора -----------(сервер БД КОРП СЕТИ)------- корп сеть
т.е. БД сервера по отдельным сетевым связать через маршрутизатор вторые сетевые в соответствующие сети.. м/у БД обмен данными средствами репликаций, причем КОРП - только чтение из АСУ.. порты маршрутизатора изолировать
Возможно есть другие более простые/надежные варианты.
-
- эксперт
- Сообщения: 2099
- Зарегистрирован: 15 авг 2011, 21:36
- Имя: Пупков Сергей Викторович
- Страна: Россия
- город/регион: Москва
- Благодарил (а): 138 раз
- Поблагодарили: 174 раза
Развязка корпоративной и АСУ сетей.
Что значит изолировать порты? Настроить маршруты для разных IP по разному на одном маршрутизаторе? Или межсетевой экран настроить?
В любом случае надежнее - одна функция - одно устройство.
В любом случае надежнее - одна функция - одно устройство.
-
- администратор
- Сообщения: 18758
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1854 раза
Развязка корпоративной и АСУ сетей.
Для начала следует определиться и указать, защищённый ОТ ЧЕГО должен быть канал. Выписать в столбик список угроз, актуальных для объекта. Справа в столбик пометить, какие из угроз уже исключены. Ещё правее в столбик - какие меры уже приняты. И только потом, когда останутся два списка угроз (незащищаемых никак и защищаемых частично), станет ясно от чего конкретно защищаться, а от этого можно и средства конкретные выбирать.
А всё что происходит сейчас - гадание.
А всё что происходит сейчас - гадание.
По вопросам работы Форума можно обратиться по этим контактам.