symanitron secure

no problem — just solution!

Symanitron SecureАлексей Петухов

Руководитель направления безопасных промышленных систем передачи данных

Форум. SYMANITRON:

Российские промышленные

системы передачи данных.

© NGS Distribution – http://ngsec.ru 2

Супер решение

Мега тренд в

Системах передачи данных

Информационной безопасности

Symanitron Secure


ПОЧЕМУ?


Комплексный подход

Богатый функционал

Уникальные возможности

Symanitron Secure


Не много подробней…

Современное предприятие


Распределённая IT-инфраструктуры

Интеграция офисной и технологических сетей

Сложная IT инфраструктура

Удалённый доступ

Проблематика


Угрозы сбоев производства, связанные с

информационными технологиями:

Специализированная атака

Ошибка пользователя

Вредоносное ПО

Риски сбоев производства, связанные со

сложностью ИТ инфраструктуры

Особенности


Специальные требования к

техническим характеристикам устройств

функциональным возможностям решений

условиям обслуживания и эксплуатации

надёжности


Каким же должно быть

идеальное устройство для

защиты промышленной сети?


Должен быть набор функций:

VPN (IPSec, SSH …)

Firewall

IPS (deep inspection SCADA протоколов)

Radius / TACACS и т.п.

Фильтры L2/L3

VPN


Должно соответствовать требованиям к

сетям:МЭК 61850 IEEE 1613

МЭК 60870 EN 50121

IEC 101/104 DNP3

Modbus TG

Должно поддерживать

специализированные протоколы:


… и лучше

если это будет

на базе промышленного коммутатора


Должно соответствовать требованиям:

Отказоустойчивость (минимальная сходимость)

ITU-T G.8032 (Ethernet кольца)

RSTP и MSTP (Ethernet деревья)

Промышленное исполнение

Отсутствие вентиляторов

Крепление на Din-рейку

-40 .. + 75

DC : 24 - 270 V

AC : 90 - 250 V

Разнообразие интерфейсов ввода/вывода

(медные, оптические, SFP, последовательные)


Symanitron Secure

всё в одном устройстве

Ethernet

Последовательныеинтерфейсы

Дискретные В/В

Оптические порты

Сотовая связь

xDSL

Маршрутизация / Коммутация

Deep inspection

Firewall

VPN


SEWM-DF-S300

SEWM-DF-S500

SEWM-DF-S200

Symanitron Secure


SEWM-DF-S200

1 x Ethernet

2xRS 2321xRS232+1xRS485

2xSIM-карты

GPRS/G3

Дополнительный SFP-порт

Питание

• 24 vDC

• 48 vDC


SEWM-DF-S300

8/16 x порты Fast Ethernet4xRS 232

2 x SIM-карты

GPRS/G3

2xSFP

Питание

• 24 или 48vDC

• 110-220vAC

• 110-220vDC


• Модульный коммутатор с креплением на DIN-рейку

• 7 x слотов Ввода/Вывода

• Порты Ethernet или RS-232/RS-485

• До 28 гигабитных портов

• До 24 последовательных портов

• Резервированное питание

• 24/48VDC

• 110VAC/220VAC

SEWM-DF-S500


Промышленное исполнение

Крепление на DIN-рейку

- 40 до +75 °C

МЭК 61850-3,

МЭК 60870

IEEE 1613

EN50121-4

Symanitron Secure


Богатый функционал защиты информации

Firewall

Deep Inspection (Modbus, IEC101/104, DNP3)

Защита от DoS-атак

Включение/отключение портов

Аутентификация пользователей

Журнал активности пользователей

VPN

Symanitron Secure


Полный сетевой функционал:

Коммутация

Маршрутизация

Шлюз протоколов

Symanitron Secure

Время восстановления в кольце менее 50 мс

QoS

PTP

… и многое другое


Широкий выбор интерфейсов:

Витая пара

Оптика (SFP)

GSM модуль

LTE модуль

RS-232 / RS-485

USB-порт (для экстренного восстановления конфигурации)

Клеммная колодка для вывода сигнализации

Дискретные входы

Дискретные выходы для оповещения

Symanitron Secure

РоЕ


Sycon


Sycon

Работа в режиме клиент-сервер

Графическое представление топологии сети

Автоопределение компонентов сети

Система для настройки Ethernet-колец

Планирование правил безопасности

Диагностические инструменты

Ведение журнала событий и ошибок


Удобство работы и управления

Symanitron Secure


Чуть подробней о

информационной безопасности…


Контроль трафика

IP• Повышенные требования к пакетам, предназначенным для служебных объектов

(IP-адрес отправки/назначения)

Порт• Номер TCP/UDP-порта

(например: IEC 104 :2404 ; Modbus : TCP 502 ;SNMP :UDP161)

Адрес• Проверка адресов устройств

(Исходящий адрес; Адрес назначения; ASDU; объекты IO)

Пакет

• Углубленные проверки полезной нагрузки пакета с соответствии с правилами.

• Правила брандмауэра настраиваются между каждой парой абонентов

Жур.• Визуальное отображение нарушений и их протоколирование


Безопасный удаленный доступ

RTU

Меню пользовательского приложения

Technician

• 104 RTU | Порт x | IP x• 61850 IED | Порт y | IP y• 101 Server | Последовательный порт 5 | 2

• Заранее утвержденные пользователи• Заранее утвержденное время для связи• Аутентификация

Интернет

Использование reverse-SSH туннелей с шифрованием из безопасных мест

Доступ к правам с сервера RADIUS.

Журнал операций для аудита и экспертизы

Устройства в качестве прокси сервера для скрытия локальной сети


VPN для защищенного соединения

VPN (Уровень 3) между продуктами Symanitron Secure и

продуктами других производителей (Plao Alto, Fortigate,

Cisco и др.)


Минимум рисков от избыточности

оборудования в сети

Максимум надёжности и

безопасности сети

Symanitron Secure


Построение безопасных сетей

Станции АСУ ТП

Удаленные датчики

Интернет

Станция управления

Контроллеры удаленных датчиков

Индивидуальный сетевой экран

VPN Agent

Шлюз последовательного порта

Кольцо Ethernet с резервированием

Экран системы управления

Система мониторинга

Контроллеры

Преимущество Symanitron Secure:

Отдельная защита каждого сервиса

Эмуляция последовательных каналов

Общая система управления сетью

Контроллеры удаленных датчиков


Пару примеров


Безопасность на подстанции

Подстанция

IEDШлюз

VoIP

ETH RTU Мониторинг

электроэнергии

RTU

RS-232

SEWM-DF-S300

SEWM-DF-S300

Интернет

УдаленныйпользовательЦентр автоматизации

MPLS/Ethernet

Центр измерений

Сегментирование

сети средствами

VLAN/Масок

Брандмауэр на

каждом

порту/устройстве

Защищенный

удаленный доступ

Шлюз Serial-в-

Ethernet

Пользовательна подстанции

SEWM-DF-S300


Подключение второй подстанции

Центр измеренийЦентр автоматизации

PLC

RTUМониторинг

электроэнергии

SEWM-DF-S300

Концентраторизмерений

RS - 232

ETH

ETH

Сотоваясеть

Вторая подстанция

Зашифрованные туннели через

сотовую сеть

Firewall для протоколов SCADA

(IEC104, IEC61850, Modbus)

Шлюз для последовательных

устройств IED


Умный город

Беспроводная сеть

Резервная сотовая сеть

Control Center


Сетевая инфраструктура города


Одно устройство

–

множество решений

Symanitron Secure

symanitron secure

Devices & Hardware