• обязательно заполнить свой профиль на русском языке кириллицей
  • не писать свой вопрос в первую попавшуюся тему - вместо этого создать новую тему
  • дублирование сообщений приравнивается к спаму
  • за поиск и предложение пиратского ПО - бан без предупреждения
  • рекламу и частные объявления мы не размещаем ни на каких условиях

Развязка корпоративной и АСУ сетей.

Ответить

Автор темы
HabarovPD
здесь недавно
здесь недавно
Сообщения: 2
Зарегистрирован: 08 фев 2018, 07:48
Имя: Павел
Страна: Россия
город/регион: Хакасия, Черногорск

Развязка корпоративной и АСУ сетей.

Сообщение HabarovPD »

День добрый.
Ситуация я думаю довольно распространенная. Из сети АСУ в корпоративную сеть необходимо оперативно передавать данные для отчетов.
Для сбора и хранения данный используется сервер БД. В данный момент на сервере установлено две сетевых карты, одна подключена в сеть АСУ, вторая в корп сети.
Какие более надежные способы решения данной задачи существуют?
Слышал про связь сервер БД- Сервер БД. Но как это организовано, хотя-бы в общих чертах?

Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 1617
Зарегистрирован: 15 авг 2011, 20:36
Имя: Пупков Сергей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 54 раза
Поблагодарили: 90 раз

Развязка корпоративной и АСУ сетей.

Сообщение Serex »

Сеть АСУ от сервера БД отделить аппаратным файрволом, на котором настроить только порт для SQL (?) запросов.
В текущем варианте, если злоумышленник получит доступ к серверу БД, то он сразу попадает в сеть АСУ.
Можно еще сервер БД отделить файрволом от корпоративной, но тут уже надо обсуждать насколько значимы отчетные данные.

Аватара пользователя

Никита
почётный участник форума
почётный участник форума
Сообщения: 3345
Зарегистрирован: 20 янв 2010, 22:23
Имя: Никита
Страна: РФ
город/регион: Мурманск
Благодарил (а): 13 раз
Поблагодарили: 136 раз

Развязка корпоративной и АСУ сетей.

Сообщение Никита »

Сия проблема не имеет подробного описания, ибо относится к средствам обеспечения безопасности, а эти решения публикации не подлежат. Но вообще, традиционный вариант - DMZ-сервер, зажатый между двух экранов.
Опыт - это когда на смену вопросам: "Что? Где? Когда? Как? Почему?" приходит единственный вопрос: "Нахрена? "

Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 1617
Зарегистрирован: 15 авг 2011, 20:36
Имя: Пупков Сергей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 54 раза
Поблагодарили: 90 раз

Развязка корпоративной и АСУ сетей.

Сообщение Serex »

У продвинутых коммутаторов можно настроить VPN, чтобы если кто-то воткнется в вашу сетку где-нибудь, кроме коммутаторов, то он ничего не получит.
На коммутаторах тоже можно настроить на какой физический порт может быть назначен IP-адрес. Т.е. если в назначенный порт воткнуть что-то с другим IP-адресом, то это работать не будет. Аналогично можно настроить MAC адрес на каждый порт.
Неиспользуемые порты на коммутаторе отключить.
А на коммутатор поставить пароль 7-сложности ))

А так то я не понял вопроса автора

Что такое надежно организовать связь между сетью АСУ и сервером БД. ?


Автор темы
HabarovPD
здесь недавно
здесь недавно
Сообщения: 2
Зарегистрирован: 08 фев 2018, 07:48
Имя: Павел
Страна: Россия
город/регион: Хакасия, Черногорск

Развязка корпоративной и АСУ сетей.

Сообщение HabarovPD »

Всем спасибо.
Что такое надежно организовать связь между сетью АСУ и сервером БД. ?

Нужна максимально защищенная, изолированная развязка сетей, которая предоставит доступ на чтение некоторых данных из БД АСУ (отчетность) в КОРП. сеть, исключит запись данных в сеть АСУ

Пока представляю себе развязку примерно так:

сеть асу ------ (сервер БД АСУ) --------- изолированный порт маршрутизатора -----------(сервер БД КОРП СЕТИ)------- корп сеть

т.е. БД сервера по отдельным сетевым связать через маршрутизатор вторые сетевые в соответствующие сети.. м/у БД обмен данными средствами репликаций, причем КОРП - только чтение из АСУ.. порты маршрутизатора изолировать

Возможно есть другие более простые/надежные варианты.

Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 1617
Зарегистрирован: 15 авг 2011, 20:36
Имя: Пупков Сергей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 54 раза
Поблагодарили: 90 раз

Развязка корпоративной и АСУ сетей.

Сообщение Serex »

Что значит изолировать порты? Настроить маршруты для разных IP по разному на одном маршрутизаторе? Или межсетевой экран настроить?

В любом случае надежнее - одна функция - одно устройство.

Аватара пользователя

Jackson
администратор
администратор
Сообщения: 11544
Зарегистрирован: 17 июн 2008, 15:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 219 раз
Поблагодарили: 457 раз

Развязка корпоративной и АСУ сетей.

Сообщение Jackson »

Для начала следует определиться и указать, защищённый ОТ ЧЕГО должен быть канал. Выписать в столбик список угроз, актуальных для объекта. Справа в столбик пометить, какие из угроз уже исключены. Ещё правее в столбик - какие меры уже приняты. И только потом, когда останутся два списка угроз (незащищаемых никак и защищаемых частично), станет ясно от чего конкретно защищаться, а от этого можно и средства конкретные выбирать.

А всё что происходит сейчас - гадание.
По вопросам работы Форума можно обратиться по этим контактам.

Ответить

Вернуться в «Безопасность»