Siemens Scalance S: промышленные firewall (межсетевые экраны)

В современных системах автоматизации широко используется сетевой обмен данными между отдельными компонентами автоматизации, между компонентами автоматизации и офисным уровнем предприятия, удаленный доступ к производственным данным через интернет. Использование сетевых технологий повышает открытость и гибкость системы управления производством, упрощает вопросы интеграции новых компонентов, позволяет быстро анализировать поступающие данные, принимать обоснованные решения, повышает конкурентоспособность предприятия.

Однако использования открытых систем связано с рисками кибератак, манипуляции данными, саботажа и промышленного шпионажа. Для надежной защиты от этих негативных воздействий необходимо использовать многоуровневую концепцию защиты производственных данных, которую можно разделить на три уровня:

• Обеспечение защиты на уровне предприятия. Базируется на организационных мерах по мониторингу и контролю доступа, а также внедрению процессов управления безопасностью.
• Обеспечение сетевой безопасности, предполагающей ограничение доступа к производственной сети.
• Обеспечение системной целостности, предполагающей контроль доступа и защиту целостности данных компонентов автоматизации.

Ключевым элементом этой концепции является сетевая безопасность. Она обеспечивается защитой доступа к сетям автоматизации и другим сетям, защитой от удаленного доступа через интернет, сементацией сетей.

Обеспечение сетевой безопасности в системах автоматизации SI-MATIC поддерживается на уровне:

• Аппаратуры серии SCALANCE S.
• Коммуникационных процессоров CP 343-1 Advanced/ CP 443-1 Advanced/ CP 1243-1/ CP 1543-1/ CP 1543SP-1 программируемых контроллеров S7-300/ S7-400/ S7-1200/ S7-1500/ ET 200SP соответственно.
• Коммуникационного процессора CP 1628 для компьютеров.
• Программного обеспечения SOFTNET Security Client для компьютеров.
• UMTS роутера SCALANCE M875.

Модули семейства SCALANCE S

Семейство SCALANCE S объединяет модули защиты данных в производственных и открытых сетях. Они обеспечивают защиту данных, передаваемых между системами автоматизации, защиту от ошибок операторов, от несанкционированного доступа, пре-дотвращают сбои в работе и перегрузку сети. Они способны вы-полнять аутентификацию партнеров по связи, шифровать данные и передавать их через VPN, защищая от шпионажа и манипуля-ций. Защищенный обмен данными не зависит от используемых протоколов и может выполняться через интернет.

Конфигурирование всех приборов семейства выполняется с помощью программного обеспечения STC (Security Configuration Tool). Применение аппаратуры SCALANCE S не требует внесения изменений в топологии существующих сетей.

Все модули семейства обеспечивают поддержку функций межсе-тевого экрана (firewall). Конфигурирование межсетевых экранов выполняется с использованием глобальных правил и символьных имен для IP адресов. В соответствии с этими правилами могут ус-танавливаться различные уровни прав доступа к сети.

Дополнительный набор поддерживаемых функций зависит от типа используемого модуля.

SCALANCE SC600

Модуль SCALANCE SC600 может использоваться в сетях со скоростью обмена данными 10/100/1000 Мбит/с. Дополнительно к режиму моста он способен выполнять и функции IP мршрутизатора, присваивать IP адреса внутренним сетевым узлам через встроенный DHCP сервер, обеспечивает поддержку протоколов NAT и NATP.

Он позволяет анализировать содержимое регистрационного журнала с помощью Syslog сервера, обеспечивает поддержку протокола SNMP и может интегрироваться в систему управления сетью, способен работать с динамическими IP адресами.

Поддержка функций VPN шлюза, обеспечивает защиту данных от шпионажа и несанкционированных манипуляций.

В сочетании с программным обеспечением SOFTNET Security Client и маршрутизаторами SCALANCE M UMTS модуль позволяет выполнять безопасный удаленный доступ через интернет с поддержкой функций IPSec VPN.

SCALANCE S615

Модуль SCALANCE S615 может использоваться в сетях со скоростью обмена данными 10/100 Мбит/с и обеспечивает поддержку всех функций модуля S612. Модуль позволяет свободно конфигурировать до пяти защищенных зон и межсетевых экранов между ними на один порт VLAN. Для удаленного доступа через интернет он позволяет использовать не только UMTS, но и GPRS/LTE мар-шрутизаторы SCALANCE M.

Модуль может быть легко подключен к SINEMA Remote Connect через автоматически конфигурируемый интерфейс (активируется при использовании KEY-PLUG SINEMA Remote Connect) с поддержкой функций OpenVNP.

SCALANCE SC632-2C

2x комбинированных порта, электрических или оптических; 10/100/1000 Мбит / с RJ45 или 100 Мбит / с SFP или 1000 Мбит / с SFP, брандмауэр, SINEMA RC (со встроенной лицензией уст-ройства).

SCALANCE SC636-2C

4x комбинированных порта, электрических или оптических; 10/100/1000 Мбит / с RJ45 или 100 Мбит / с SFP или 1000 Мбит / с SFP, брандмауэр, SINEMA RC (со встроенной лицензией уст-ройства).

SCALANCE SC642-2C

2x комбинированных порта, электрических или оптических, 10/100/1000 Мбит / с RJ45 или 100 Мбит / с SFP или 1000 Мбит / с SFP, брандмауэр, VPN, SINEMA RC (со встроенной лицензией устройства)

SCALANCE SC646-2C

4x порта, электрических 10/100/1000 Мбит / с RJ45 и 2x комби-нированных портов, электрические или оптические, 10/100/1000 Мбит / с RJ45 или 100 Мбит / с SFP или 1000 Мбит / с SFP, брандмауэр, VPN, SINEMA RC (со встроенной лицензией устройства)

Пакет SOFTNET Security Client является компонентом системы сетевой защиты данных программируемых контроллеров. Он утанавливается на компьютеры/ программаторы и выполняет функции VPN клиента, обеспечивающего защищенный доступ к системам автоматизации через LAN или WAN. Для использова-ния SOFTNET Security Client компьютер/ программатор должен быть оснащен 32-разрядной операционной системой Windows XP Professional SP3, 32- или 64-разрядной операционной систе-мой Windows 7 Professional/ Ulimate