Развязка корпоративной и АСУ сетей.

Сообщение **HabarovPD** » 08 фев 2018, 08:00

День добрый.
Ситуация я думаю довольно распространенная. Из сети АСУ в корпоративную сеть необходимо оперативно передавать данные для отчетов.
Для сбора и хранения данный используется сервер БД. В данный момент на сервере установлено две сетевых карты, одна подключена в сеть АСУ, вторая в корп сети.
Какие более надежные способы решения данной задачи существуют?
Слышал про связь сервер БД- Сервер БД. Но как это организовано, хотя-бы в общих чертах?

Сообщение **Serex** » 08 фев 2018, 20:19

Сеть АСУ от сервера БД отделить аппаратным файрволом, на котором настроить только порт для SQL (?) запросов.
В текущем варианте, если злоумышленник получит доступ к серверу БД, то он сразу попадает в сеть АСУ.
Можно еще сервер БД отделить файрволом от корпоративной, но тут уже надо обсуждать насколько значимы отчетные данные.

Сия проблема не имеет подробного описания, ибо относится к средствам обеспечения безопасности, а эти решения публикации не подлежат. Но вообще, традиционный вариант - DMZ-сервер, зажатый между двух экранов.

Сообщение **Serex** » 09 фев 2018, 18:11

У продвинутых коммутаторов можно настроить VPN, чтобы если кто-то воткнется в вашу сетку где-нибудь, кроме коммутаторов, то он ничего не получит.
На коммутаторах тоже можно настроить на какой физический порт может быть назначен IP-адрес. Т.е. если в назначенный порт воткнуть что-то с другим IP-адресом, то это работать не будет. Аналогично можно настроить MAC адрес на каждый порт.
Неиспользуемые порты на коммутаторе отключить.
А на коммутатор поставить пароль 7-сложности ))

А так то я не понял вопроса автора

Что такое надежно организовать связь между сетью АСУ и сервером БД. ?

Сообщение **HabarovPD** » 16 фев 2018, 10:43

Всем спасибо.

Что такое надежно организовать связь между сетью АСУ и сервером БД. ?

Нужна максимально защищенная, изолированная развязка сетей, которая предоставит доступ на чтение некоторых данных из БД АСУ (отчетность) в КОРП. сеть, исключит запись данных в сеть АСУ

Пока представляю себе развязку примерно так:

сеть асу ------ (сервер БД АСУ) --------- изолированный порт маршрутизатора -----------(сервер БД КОРП СЕТИ)------- корп сеть

т.е. БД сервера по отдельным сетевым связать через маршрутизатор вторые сетевые в соответствующие сети.. м/у БД обмен данными средствами репликаций, причем КОРП - только чтение из АСУ.. порты маршрутизатора изолировать

Возможно есть другие более простые/надежные варианты.

Сообщение **Serex** » 17 фев 2018, 01:28

Что значит изолировать порты? Настроить маршруты для разных IP по разному на одном маршрутизаторе? Или межсетевой экран настроить?

В любом случае надежнее - одна функция - одно устройство.

Сообщение **Jackson** » 17 май 2018, 23:21

Для начала следует определиться и указать, защищённый ОТ ЧЕГО должен быть канал. Выписать в столбик список угроз, актуальных для объекта. Справа в столбик пометить, какие из угроз уже исключены. Ещё правее в столбик - какие меры уже приняты. И только потом, когда останутся два списка угроз (незащищаемых никак и защищаемых частично), станет ясно от чего конкретно защищаться, а от этого можно и средства конкретные выбирать.

А всё что происходит сейчас - гадание.