• ОБЯЗАТЕЛЬНО заполнить свой профиль НА РУССКОМ ЯЗЫКЕ КИРИЛЛИЦЕЙ.
  • НЕ НУЖНО писать свой вопрос в первую попавшуюся тему, а вместо этого создать НОВУЮ тему.
  • Дублирование сообщений приравнивается к спаму.
  • Рекламу мы не размещаем ни на каких условиях.

Развязка корпоративной и АСУ сетей.

Ответить

Автор темы
HabarovPD
здесь недавно
здесь недавно
Сообщения: 2
Зарегистрирован: 08 фев 2018, 07:48
Имя: Павел

Развязка корпоративной и АСУ сетей.

Сообщение HabarovPD » 08 фев 2018, 08:00

День добрый.
Ситуация я думаю довольно распространенная. Из сети АСУ в корпоративную сеть необходимо оперативно передавать данные для отчетов.
Для сбора и хранения данный используется сервер БД. В данный момент на сервере установлено две сетевых карты, одна подключена в сеть АСУ, вторая в корп сети.
Какие более надежные способы решения данной задачи существуют?
Слышал про связь сервер БД- Сервер БД. Но как это организовано, хотя-бы в общих чертах?

Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 1253
Зарегистрирован: 15 авг 2011, 20:36
Имя: Пупков Сергей Викторович
Благодарил (а): 20 раз
Поблагодарили: 34 раза

Развязка корпоративной и АСУ сетей.

Сообщение Serex » 08 фев 2018, 20:19

Сеть АСУ от сервера БД отделить аппаратным файрволом, на котором настроить только порт для SQL (?) запросов.
В текущем варианте, если злоумышленник получит доступ к серверу БД, то он сразу попадает в сеть АСУ.
Можно еще сервер БД отделить файрволом от корпоративной, но тут уже надо обсуждать насколько значимы отчетные данные.

Аватара пользователя

Никита
почётный участник форума
почётный участник форума
Сообщения: 3147
Зарегистрирован: 20 янв 2010, 22:23
Имя: Никита
Откуда: Мурманск
Благодарил (а): 12 раз
Поблагодарили: 74 раза

Развязка корпоративной и АСУ сетей.

Сообщение Никита » 08 фев 2018, 23:32

Сия проблема не имеет подробного описания, ибо относится к средствам обеспечения безопасности, а эти решения публикации не подлежат. Но вообще, традиционный вариант - DMZ-сервер, зажатый между двух экранов.
Опыт - это когда на смену вопросам: "Что? Где? Когда? Как? Почему?" приходит единственный вопрос: "Нахрена? "

Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 1253
Зарегистрирован: 15 авг 2011, 20:36
Имя: Пупков Сергей Викторович
Благодарил (а): 20 раз
Поблагодарили: 34 раза

Развязка корпоративной и АСУ сетей.

Сообщение Serex » 09 фев 2018, 18:11

У продвинутых коммутаторов можно настроить VPN, чтобы если кто-то воткнется в вашу сетку где-нибудь, кроме коммутаторов, то он ничего не получит.
На коммутаторах тоже можно настроить на какой физический порт может быть назначен IP-адрес. Т.е. если в назначенный порт воткнуть что-то с другим IP-адресом, то это работать не будет. Аналогично можно настроить MAC адрес на каждый порт.
Неиспользуемые порты на коммутаторе отключить.
А на коммутатор поставить пароль 7-сложности ))

А так то я не понял вопроса автора

Что такое надежно организовать связь между сетью АСУ и сервером БД. ?


Автор темы
HabarovPD
здесь недавно
здесь недавно
Сообщения: 2
Зарегистрирован: 08 фев 2018, 07:48
Имя: Павел

Развязка корпоративной и АСУ сетей.

Сообщение HabarovPD » 16 фев 2018, 10:43

Всем спасибо.
Что такое надежно организовать связь между сетью АСУ и сервером БД. ?

Нужна максимально защищенная, изолированная развязка сетей, которая предоставит доступ на чтение некоторых данных из БД АСУ (отчетность) в КОРП. сеть, исключит запись данных в сеть АСУ

Пока представляю себе развязку примерно так:

сеть асу ------ (сервер БД АСУ) --------- изолированный порт маршрутизатора -----------(сервер БД КОРП СЕТИ)------- корп сеть

т.е. БД сервера по отдельным сетевым связать через маршрутизатор вторые сетевые в соответствующие сети.. м/у БД обмен данными средствами репликаций, причем КОРП - только чтение из АСУ.. порты маршрутизатора изолировать

Возможно есть другие более простые/надежные варианты.

Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 1253
Зарегистрирован: 15 авг 2011, 20:36
Имя: Пупков Сергей Викторович
Благодарил (а): 20 раз
Поблагодарили: 34 раза

Развязка корпоративной и АСУ сетей.

Сообщение Serex » 17 фев 2018, 01:28

Что значит изолировать порты? Настроить маршруты для разных IP по разному на одном маршрутизаторе? Или межсетевой экран настроить?

В любом случае надежнее - одна функция - одно устройство.

Аватара пользователя

Jackson
администратор
администратор
Сообщения: 10087
Зарегистрирован: 17 июн 2008, 15:01
Имя: Евгений свет Брониславович
Благодарил (а): 138 раз
Поблагодарили: 164 раза
Контактная информация:

Развязка корпоративной и АСУ сетей.

Сообщение Jackson » 17 май 2018, 23:21

Для начала следует определиться и указать, защищённый ОТ ЧЕГО должен быть канал. Выписать в столбик список угроз, актуальных для объекта. Справа в столбик пометить, какие из угроз уже исключены. Ещё правее в столбик - какие меры уже приняты. И только потом, когда останутся два списка угроз (незащищаемых никак и защищаемых частично), станет ясно от чего конкретно защищаться, а от этого можно и средства конкретные выбирать.

А всё что происходит сейчас - гадание.
По вопросам работы Форума можно обратиться по этим контактам.

Ответить

Вернуться в «Безопасность»