Fabrikautomatisierung
Datensicherheit für Steuerungs- und Regelungsnetzwerke
13. Februar 2014, 14:16 Uhr |
Martin Jenkner, Moxa Europe
Diesen Artikel anhören
Fortsetzung des Artikels von Teil 4
Hindernisse bei der Implementierung von Defense-in-Depth-Cyber-Sicherheit
Der kritischste Bereich des ISA-99-Sicherheitsmodells ist der Conduit, der durch einen Secure Router geschützt wird und eine Vielzahl von Verantwortlichkeiten besitzt:
- Hohe Netzwerkleistung: Als Kontaktpunkt zwischen den Netzwerkzonen muss der Secure Router die nötige Netzwerkleistung haben, um den gesamten Datenverkehr zeitgerecht filtern und liefern zu können, so dass die Netzwerkleistung nicht beeinträchtigt wird. Jedes Gerät, das Sub-Netzwerke verbindet, erfährt ein hohes Datenaufkommen. ANSI/ISA-99-Conduit-Geräte sind effektiv Backbone-Geräte, die verschiedene Subnetzwerke verbinden. Moderne Steuerungs- und Regelungsnetzwerke benötigen eine immer größere Bandbreite, um fortschrittliche Anwendungen wie Video zu unterstützen. Zusätzlich dazu erfordern manche DCS-Netzwerke (Distributed Control System, verteilte Steuerungs- und Regelungsnetzwerke) Gigabit-basierte Netzwerke für die effiziente Kommunikation. Um die Netzwerkverfügbarkeit zu erhalten, muss ein Zonen-Conduit stets den nötigen Service bieten, während er als Firewall fungiert und unpassende Daten ohne Kompromisse bei der Leistung filtert.
- Deep Packet Inspection: Als Hüter der Sicherheit zwischen benachbarten Zonen muss der Secure Router in der Lage sein, den Inhalt der Datenpakete von Industrieprotokollen akkurat auf Abnormitäten und Sicherheitsbedrohungen zu untersuchen. Eine herkömmliche Firewall reicht nicht für die besonderen Kommunikationsanforderungen eines Steuerungs- und Regelungsnetzwerks aus, weil sie für die Inhalte industrieller Kommunikationsprotokolle (wie Modbus TCP) blind ist. Dies ist ein besonders kritisches Problem, da industrielle Kommunikationsprotokolle im Allgemeinen nur eine schlechte Sicherheit bieten. Industriegeräte antworten einfach auf jedes Paket, das sie erhalten, einschließlich Abfragen, Ausschaltbefehlen, Firmware-Updates und Steuerbefehlen. Der Netzwerk-Conduit muss den Inhalt eines Pakets kennen, um sichere Pakete wie das Lesen von Abfragen zu unterscheiden von potenziell unsicheren Paketen wie Ausschalt- oder Löschbefehlen.
- Komplexe Installation: Die Installationsdichte von Secure Routern für gut geschützte Steuerungs- und Regelungsnetzwerke erfordert einen zusätzlichen Aufwand in der Wartung von Ethernet Switches (für die Netzwerkinfrastruktur) und Secure Routern (für die Firewall). Die herkömmliche Methode zur Installation von Cyber-Sicherheit in Steuerungs- und Regelungsnetzwerken ist das Hinzufügen von Secure Routern oder Firewalls, die als sichere Conduits fungieren, also ein Zusatz zur bestehenden Netzwerk-Hardware, etwa zu Layer-2-Switches. Um eine Produktionsfläche zu schützen, reichen ein oder zwei Hochleistungs-Secure-Router aus, während der Schutz aller Netzwerkzonen schnell das Zehnfache an Routern erfordern kann. Nun schreibt vorbildliche Cyber-Sicherheit vor, dass die Sicherheit auf Geräte-Zellen-Ebene implementiert werden muss. Das bedeutet, dass unter Umständen Hunderte von Routern oder Firewalls auf der Feldebene installiert werden müssen. Eine solche Gerätestruktur zu installieren und zu verwalten, erfordert nicht nur hohe Kosten, sondern auch einen herkulischen Aufwand.
- Datensicherheit für Steuerungs- und Regelungsnetzwerke
- Schutz gegen externe Eindringlinge
- Schutz gegen versehentlich hervorgerufene Störungen
- Herausforderungen bei der Installation industrieller Netzwerke
- Hindernisse bei der Implementierung von Defense-in-Depth-Cyber-Sicherheit
- Die Herausforderungen annehmen
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
B&R/Wibu-Systems
Automatisierungs- und Security-Technik »verheiratet«
Automatisieren
Schutz industrieller Anlagen mit integrierter Sicherheit
