Russia

Добро пожаловать на сайт Schneider Electric

Добро пожаловать на наш сайт.

Вы можете выбрать другую страну для просмотра доступных продуктов или перейти на наш глобальный сайт для получения информации о компании.

Выбрать другую страну или регион

  • Концепция кибернетической безопасности в АСУ ТП Foxboro Evo

Cyber Security graphic

Компания Schneider Electric предлагает полномасштабное решение по обеспечению информационной безопасности промышленного предприятия, которое охватывает обеспечение безопасности на уровне сети управления Mesh АСУ ТП Foxboro Evo (предыдущее название системы – Foxboro I/A Series), а также на уровне внешней информационной сети. Вместе с применением аппаратных средств, таких как, например, межсетевые экраны, а также работами по внедрению это решение получило название «Концепция Invensys по кибернетической безопасности (cybersecurity)».

Инфраструктура системы управления Foxboro Evo предполагает централизованное обеспечение информационной защиты и включает в себя следующие основные элементы: 

    • антивирусное сканирование и обновление файлов антивирусных данных     McAfee или Symantec,
    • обнаружение несанкционированного вторжения McAfee (HIDS),
    • унифицированная платформа управления безопасностью McAfee (ePO),
    • система предотвращения потери данных McAfee (DLP),
    • сервис администрирования Windows - доменных сетей, Microsoft Active     Directory (A/D),
    • процедура повышения «прочности» операционной системы (Harden OS),
    • политика «белых» списков используемого программного обеспечения     (Whitelisting),
    • инструментарий для оценки состояния станций Foxboro (SAT),
    • система резервного хранения и восстановления (BESR).

Антивирусное сканирование и обновление файлов антивирусных данных McAfee

В качестве антивирусного программного обеспечения применяется программный продукт McAfee «VirusScan with AntiSpyware Enterprise», который устанавливается на рабочих станциях и серверах, входящих в состав системы управления Foxboro Evo, и выполняет непрерывное сканирование станций на наличие вирусов, вредоносного и шпионского программного обеспечения. Файлы с подписями вирусов и шпионского программного обеспечения регулярно обновляются McAfee.

Указанное сканирование обнаруживает, предотвращает проникновение и удаляет вредоносное программное обеспечение, включая, но не только: системные и компьютерные вирусы и «черви», троянские программы, шпионское программное обеспечение и рекламное ПО. Обнаружение и предотвращение угроз на ранней стадии позволяет свести к минимуму возможность повреждения оборудования, входящего в состав системы, и повышает безопасность ведения технологического процесса.


Обнаружение несанкционированного вторжения McAfee (HIDS)

Управляющая система обнаружения несанкционированного вторжения отслеживает и анализирует функционирование компьютерной системы. Установленная на сервере система отслеживает все или только часть динамического поведения и состояния компьютерной системы. Кроме этого, может опционально проводиться динамическая проверка сетевых пакетов, нацеленных на определенный хост-компьютер. В качестве примера: может отслеживаться неожиданное и необъяснимое модифицирование со стороны текстового редактора системной базы данных паролей. Также отслеживается состояние системы и хранящаяся информация (в ОЗУ, в файловой системе, файлах журналов и т.д.), на предмет возможного изменения извне. Систему HIDS можно рассматривать как агента, отслеживающего внешние или внутренние нарушения системной политики безопасности. Она блокирует известные атаки и защищает против несанкционированного просмотра, копирования, изменения и удаления информации и соответствующих системных и сетевых ресурсов и приложений, получающих и хранящих информацию. Она является конфигурируемым брэндмауэром для управления доступа к программным портам TCP и UDP.

Система позволяет блокировать определенные приложения. При этом приложения, находящиеся в «белом» списке, могут выполняться, в то время как приложения, находящиеся в «черном» списке, блокируются. Также отслеживаются сообщения, когда неизвестные устройства подключаются к сети управления Mesh.

Унифицированная платформа управления безопасностью McAfee (ePO)

Унифицированная открытая платформа управления безопасностью ePolicy Orchestrator® дает возможность пользователям централизованно отслеживать и управлять другими продуктами безопасности McAfee с использованием заранее определенных и заданных пользователем отчетов и инструментальных панелей. В то время как некоторые инструменты не требуют использования ePO (VirusScan with AntiSpyware Enterprise), другие требуют, например, система обнаружения несанкционированного вторжения и система управления устройствами (Device Control).

Платформа управления безопасностью предлагает много возможностей даже тогда, когда ее применение не является обязательным. Например, ePO может использоваться для обновления файлов подписей вирусов (DAT файлов) из одного источника. Также предоставляется возможность автоматической установки со станции контроллера домена продуктов безопасности McAfee на рабочие станции и серверы в сети управления Mesh, которые находятся в домене Active Directory системы управления Foxboro Evo. Также возможно управление политиками этих продуктов и опциями и их распределением через консоль ePO.


Система предотвращения потери данных McAfee (DLP)

Системы предотвращения потери данных позволяют компаниям понизить корпоративный риск ненамеренного раскрытия конфиденциальной информации. Системы идентифицируют, отслеживают и защищают конфиденциальные данные, которые находятся в использовании, перемещении, хранении, используя глубокую инспекцию содержания, контекстуального анализа на предмет безопасности передачи. При этом используется инфраструктура централизованного управления.

С использованием приложения для управления устройствами (Device Control) обеспечивается контроль за доступом к аппаратным портам, таким как различные типы дисководов, включая CD/DVD или USB порты рабочих станций системы управления Foxboro Evo.

Сервис администрирования Windows - доменных сетей, Microsoft Active Directory (A/D)

Сервис Active Directory разработан компанией Microsoft® для администрирования Windows® - доменных сетей и включается в серверные операционные системы Windows Server. Этот сервис позволяет централизовать администрирование сети и управлять функциями безопасности. Сервис Active Directory производит аутентификацию и авторизацию всех пользователей и компьютеров в Windows – доменной сети, а также присваивает и применяет политики безопасности для всех компьютеров, производит установку и обновление программного обеспечения. Использование сервиса A/D в системе управления Foxboro Evo позволяет привязать политики унифицированной платформы управления безопасностью ePO к процессу загрузки программного обеспечения в системе управления Foxboro Evo, а также к управлению учетными записями пользователей системы управления.

Сервер, на котором выполняется сервис Active Directory и размещается платформа управления безопасностью ePO, называется контроллером домена сети. Начиная с версии системного программного обеспечения 8.8, этот сервер может находиться не только в составе сети управления Mesh, но и вне ее на внешней информационной сети. Таким образом обеспечивается централизованное администрирование сразу нескольких сетей, не ограничиваясь только сетью управления Mesh системы управления Foxboro Evo. Для повышения надежности, помимо первичного контроллера домена сети, рекомендуется использовать резервный сервер в качестве вторичного контроллера домена сети. При стандартной установке программного обеспечения по умолчанию создаются организационные единицы, группы безопасности и групповые политики безопасности. Возможна адаптация и изменение конфигурации контроллеров домена, которое должно выполняться квалифицированным персоналом. Серверы первичного и вторичного контроллеров домена сети должны быть выделены исключительно для выполнения сервиса Active Directory и платформы управления безопасностью ePolicy Orchestrator® и не должны использоваться для выполнения других системных приложений системы управления Foxboro Evo.

Процедура повышения «прочности» операционной системы (Harden OS)

Процедура повышения «прочности» операционной системы предназначена для повышения ее устойчивости и безопасности. Как правило, при стандартной установке ОС фокус делается более на простоте работы, нежели чем на безопасности. При использовании этой заводской процедуры удаляются неиспользуемые сервисы Windows и элементы программного обеспечения, производятся безопасные изменения BIOS, отключаются неиспользуемые порты и сервисы.

Политика «белых» списков используемого программного обеспечения (Whitelisting)

«Белые» списки содержат только то программное обеспечение, которое может выполняться на сервере или рабочей станции в составе системы управления Foxboro Evo. Таким образом исключается возможность установки и выполнения запрещенного, неопознанного и нерекомендуемого к применению программного обеспечения. Для динамического обновления и поддержания «белых» списков может использоваться пакет программного обеспечения для «контроля целостности» (Integrity Control Package), входящий в семейство продуктов безопасности McAfee. Этот пакет также предотвращает неавторизованные изменения в системе. Пакет «контроля целостности» конфигурируется с использованием консоли унифицированной платформы управления безопасностью ePO.

Инструментарий для оценки состояния станций Foxboro (SAT)

Инструментарий для оценки состояния станций – это Windows совместимое системное приложение, которое автоматически устанавливается на все серверы и рабочие станции, подключенные к сети Mesh системы управления Foxboro Evo, начиная с версии 8.5 и выше. Инструментарий позволяет собирать, просматривать и сравнивать с использованием контрольных точек информацию о состоянии рабочих станций и серверов системы управления. К собираемой информации относятся: системный идентификатор станции, версия системного программного обеспечения, список и состояние выполняемых сервисов, список установленных «заплат» системного программного обеспечения, список установленных обновлений ОС Windows, список установленных программных пакетов, список установленных «заплат» программного обеспечения третьих компаний, включая Microsoft, информация о сервисе администрирования Active Directory.

Система резервного хранения и восстановления (BESR)

Система резервного хранения и восстановления построена с использованием пакета программного обеспечения Symantec System Recovery и позволяет управлять резервным копированием и восстановлением рабочих станций и серверов системы управления Foxboro Evo. Поддерживается резервное копирование по расписанию или при возникновении определенного события, а также производится шифрование данных для обеспечения безопасного хранения критически важной информации.

Для рабочих станций и серверов в составе системы управления Foxboro Evo в настоящее время используются следующие операционные системы Microsoft: Windows 7 и Windows Server 2008. Все перечисленные выше компоненты системы кибернетической безопасности полностью интегрированы с этими операционными системами, а также с системным программным обеспечением Foxboro Evo версии 8.5 и Foxboro Control Software (FCS) версии 3.0 и выше и поставляются комплектно с системным программным обеспечением.

Системное программное обеспечение Foxboro Evo и FCS также поддерживает: 

    • изменяемые пароли для входа в систему;
    • индивидуальные пароли пользователей;
    • блокирование пароля после сконфигурированного пользователем числа     неудачных попыток входа в систему и безопасный механизм для сброса     имени пользователя;
    • старение пароля, требующее изменение пароля на периодической основе;
    • поддержка в пароле цифро-буквенных и символьных знаков как это     принято Microsoft;
    • защита файла с паролями;
    • отслеживание создания, удаления и модификации учетных записей     пользователей;
    • отслеживание входа/выхода пользователей в/из системы;

Для достижения максимально высокой степени защиты и обеспечения компьютерной и сетевой информационной безопасности рекомендуется использовать самые свежие версии системного программного обеспечения; в настоящий момент это версии Foxboro I/A Series 9.1 и Foxboro Control Software 6.0.

Кроме вышесказанного, контроллеры АСУ ТП Foxboro Evo поставляются со встроенным программным образом, который предназначен для защиты контроллеров FCP 280 (Field Control Processor 280) от коммуникационных атак. В случае применения всех перечисленных элементов концепции кибернетической безопасности АСУ ТП Foxboro Evo отвечает уровню 1 стандартов ISASecureTM, который в свою очередь базируется на стандартах ISA99.

Наша компания проводит обследование промышленных объектов и совместно с нашими заказчиками вырабатывает оптимальную стратегию обеспечения кибернетической безопасности.

Более подробное описание компонентов системы кибернетической безопасности АСУ ТП Foxboro Evo приведено в соответствующих руководствах пользователя.

Nos conseillers sont disponibles pour répondre à vos questions de 8h00 à 18h00 du lundi au vendredi toute l'année.