Průmyslová bezpečnost na platformě Connected Enterprise

Průmyslová bezpečnost na platformě Connected Enterprise Vytváření bezpečných infrastruktur

Minimalizujte rizika pro

Connected Enterprise

Ochrana proti interním a externím hrozbám Kyberzločinci cílící na různé společnosti nebo hrozby pramenící od dodavatelů, smluvních partnerů nebo zaměstnanců jsou hlavním zdrojem obav v dnešním výrobním prostředí. ll

ll

ll

ll

Detekce neoprávněných zásahů Detekujte a zaznamenávejte nežádoucí aktivitu a úpravy v rámci aplikací Bezpečná síťová architektura Řiďte přístup k síti a detekujte neoprávněný přístup a aktivity Ochrana obsahu Zajistěte ochranu proti neoprávněnému zobrazení, úpravám a použití specifických částí obsahu řídicího systému Řízení přístupu a správa pravidel Řiďte, kdo a kdy má k čemu povolen přístup, k jakým aplikacím a zařízením

Jak vám společnost Rockwell Automation může pomoci Společnost Rockwell Automation vám může pomoci spravovat průmyslovou bezpečnost prostřednictvím svého uceleného portfolia produktových řešení, partnerů a poradenství ohledně jejich implementace. Vedle toho je navíc k dispozici celá řada bezpečnostních služeb zajišťujících přístup k vaší síťové infrastruktuře, její implementaci a správu.

Bezpečnostní aspekty hodné uvážení ll

Efektivní a účinné řízení rizik

ll

Řízení zdrojů

ll

Udržení provozní dostupnosti systémů

ll

Integrita ochrany operací a bezpečnosti personálu

ll

Interní a externí hrozby

ll

Kontrola kritických dat a duševního vlastnictví

Zabezpečení vaší sítě a vašeho podnikání Platforma Connected Enterprise umožňuje výrobcům a dodavatelům sdílet data chytře a bezpečně. Zajištění přístupu k odpovídající úrovni dat pro oprávněné osoby je kritické a vyžaduje zabezpečenou síť. ll

Pro dodavatele strojních a dalších zařízení • Umožněte zabezpečení duševního vlastnictví k účelu ochrany vašich zdrojů • Zabezpečte přístup ke svým strojům, který vám umožní nabízet vzdálenou podporu vašich zákazníků

ll

ll

Pro tovární provozy Můžeme vám pomoci vyhodnotit, navrhnout, zavést a auditovat kompletní program a architekturu ochrany podle bezpečnostních standardů. Pro podniky Máme k dispozici robustní řešení pro uchování zabezpečení vaší sítě při současné optimalizaci vaší produktivity.

Průmyslová bezpečnostní infrastruktura ZPŘÍSTUPNĚNÍ PLATFORMY CONNECTED ENTERPRISE

1 2

Vyhodnocujte a inventarizujte systém

• Automatizujte inventarizaci svých aktiv pomocí nástroje FactoryTalk AssetCentre • Vykonejte komplexní vyhodnocení prostřednictvím našich síťových a bezpečnostních služeb • Asistence při zavádění doporučených bezpečnostních řešení

Podniková zóna úrovně 4 a 5

Průmyslová demilitarizovaná zóna (IDMZ) úroveň 3,5 Tovární firewally

Internet Oddělte od sebe podnikovou a výrobní úroveň

• Stanovte hranici na základě průmyslové demilitarizované zóny • Zavádějte prověřené síťové architektury od společností Cisco a Rockwell Automation • Využívejte zakázková, předpřipravená řešení a řídicí služby, jako například průmyslová výpočetní střediska • Integrujte do systému hotová podniková bezpečnostní kontrolní řešení, jako například SourceFire a další aplikace

A Externí demilitarizovaná zóna/firewall

• Segmentace provozu mezi zónami • ACL, IPS a IDS • VPN služby • Proxy server portálových služeb a vzdálené plochy

Provoz na pracovišti úroveň 3 Aktivní bezdrátový síťový procesor 5500 (WLC)

Pohotovostní režim

F

E

B

Fyzické nebo virtualizované servery

1, 4, 7, 9

USC ISE (AAA) server

• Aplikační servery FactoryTalk – FactoryTalk Historian, View, Security, AssetCentre – Software MES • Síťové služby – DNS, Active Directory, DHCP, AAA • Správce volání

C

Definujte řízení přístupu k aplikaci

• Řiďte oprávnění uživatelů pomocí zabezpečení na základě uživatelských úloh v nástroji FactoryTalk Security • Integrujte správu uživatelských účtů pomocí složky aktivních uživatelů • Zajistěte ochranu kódu před změnou pomocí Add-On instrukcí s vysokou integritou • Omezte používání tagů pomocí řízení přístupu k datům • Blokujte nežádoucí provoz v síti pomocí bran firewall

VLAN – 203

Úrovně 0–2

PanelView Plus 7 Performance

Stratix 5100

Failover Detection Link

Stratix 5410

Stratix 5100

Stratix 5900

Fyzické zabezpečení

6

Zvýšení odolnosti zařízení proti nežádoucímu přístupu

7

Detekce změn a detekce hrozeb

8

Vzdálený přístup a připojitelnost

9

Obnovení po incidentech

POINT I/O

3

Armor Stratix 5700

Přístrojové vybavení

Switche Stratix na architektuře Dual Ring – Resilient Ethernet Protocol (REP)

Autonomní bezdrátová síť LAN s lineární/ sběrnicovou/ hvězdicovou topologií

POINT Guard I/O

MobileView

Softstartér

Catalyst 6500/4500

ArmorBlock I/O IP kamera

ASA 5500

C

ArmorBlock Guard I/O

5, 6 Catalyst 2960 2,4 GHz

PowerFlex 525

PanelView Plus 7 Performance

Wide Area Network (WAN) Fyzické nebo virtualizované servery • ERP, e-mail • Active Directory (AD), AAA – Radius • Správce volání?

Fyzické nebo virtualizované servery • Správa záplat • AV server • Zrcadlová aplikace • Server brány vzdálené plochy

Zóna v rozsahu buňky/oblasti úrovně 0–2 CompactLogix

8, 9

Stratix 5400 Směrování v zóně v rozsahu buňky/oblasti

ControlLogix

3

3, 7

4

VLAN – 200

Úrovně 0–2

Armor GuardLogix

Firewall (aktivní)

• Rozšiřte bezpečnostní kontrolu na základě konfigurovatelných přepínačů, jako například Stratix 5400 a Stratix 5700 • Omezte odchozí provoz pomocí segmentace sítí VLAN • Segmentujte síťový provoz na základě pravidel řízení přístupu (Access Control Lists – ACL) • Řiďte přístup k síti pomocí protokolu 802.1x, nástroje Identity Services Engineer (ISE) a zabezpečení portů • Minimalizujte dopady událostí Denial of Service (DoS) na základě zajištění Quality of Service (QoS) • Zamezte neoprávněným úpravám paketů zpráv využitím komunikace přes VPN v šasi 1756-EN2TSC a mezi buňkami/oblastmi

Zóna v rozsahu buňky/oblasti

HSRP (Hot Standby Routing Protocol)

B

Segmentujte svou síť (zóny v rozsahu buněk/oblastí)

Zóna v rozsahu buňky/oblasti

Server vzdáleného přístupu

B

Firewall (pohotovostní provoz)

Internet

3

2, 4

Výrobní zóna úrovně 0–3

5

Stroj 1

Stratix 5700 s NAT

VLAN – 201

Stratix 5950

Stroj 2

Stratix 5700 s NAT

VLAN – 202

POINT I/O

A Switche řady Cisco 37 B C D E

Firewall řady Cisco 5500 Switche Cisco Stackwise VMWare Server Cisco ISE

F Zabezpečený vzdálený přístup

– Ustavte zabezpečené vzdálené připojení přes VPN – Bezpečné směrování na bránu vzdáleného přístupu v průmyslové demilitarizované zóně – Připojení RAG na server vzdáleného přístupu v průmyslové zóně – Používejte tzv. tenké klienty k přístupu k aplikacím na serveru RAS – Možnost sledování operací u aplikací na serveru RAS

Zóna v rozsahu buňky/oblasti Úrovně 0–2

Zóna v rozsahu buňky/oblasti Úrovně 0–2 VLAN 301

PowerFlex 525

PanelView Plus 7 Performance

CompactLogix

POINT I/O

192.168.1.5

192.168.1.6

192.168.1.7

PowerFlex 525 192.168.1.8

PanelView Plus 7 Performance

CompactLogix

POINT I/O

192.168.1.5

192.168.1.6

192.168.1.7

PowerFlex 525 192.168.1.8

• Omezuje přístup pouze na autorizovaný personál • Implementujte blokování portů, zámky kabelů a uzamykání ovládacích panelů od společnosti Panduit

• Minimalizujte rizika manipulace s počítačem pomocí našich prostředků na základě Microsoft Patch Qualification • Zamezte spouštění nežádoucích aplikací na počítačích díky využití řešení od našich partnerů, například seznamů povolených aplikací • Zabezpečte platný firmware pomocí digitálních podpisů • Zamezte změnám konfigurace uvedením procesorů do režimu chodu

• Sledujte aktivity uživatelů pomocí nástroje FactoryTalk Audit • Detekujte změny konfigurací zařízení pomocí nástroje FactoryTalk AssetCentre • Detekujte změny procesorů pomocí nástroje Controller Change • Odhalte a pomozte snížit síťové hrozby pomocí zařízení Stratix 5950 • Využijte hloubkovou inspekci paketů pro zavedení pravidel na úrovni protokolu se zařízením Stratix 5950

• Zajistěte bezpečný vzdálený přístup do svého systému na základě ověřených referenčních architektur od společností Rockwell Automation a Cisco • Využijte řízené služby pro vzdálený přístup prostřednictvím nástroje Virtual Support Engineer

• Automatizujte a naplánujte proces zálohování pro automatizační zařízení pomocí nástroje FactoryTalk AssetCentre • Naplánujte zálohování souborových složek na počítači • Spravujte verze klíčových konfiguračních souborů v centralizovaném úložišti pomocí nástroje FactoryTalk AssetCentre

Rockwell Automation, Inc. (NYSE:ROK), světově největší společnost zaměřená na průmyslovou automatizaci a informační technologie, zajišťuje vyšší produktivitu svých zákazníků a vyšší stupeň udržitelnosti světového vývoje. Na celém světě jsou naše prémiové produkty značek Allen-Bradley® a Rockwell Software® uznávány díky inovačnímu potenciálu, vynikající kvalitě a výsledkům. Sledujte společnost ROKAutomation na sítích Facebook a Twitter.  

  Spojte se s námi v síti LinkedIn.

Připojte se přes sociální média Pro další informace o našich průmyslových bezpečnostních řešeních navštivte stránky: www.rockwellautomation.com/global/products-technologies/security-technology

Publikace SECUR-BR004A-CS-P – červenec 2016

Copyright © 2016 Rockwell Automation, Inc. Všechna práva vyhrazena. Vytištěno v Evropě.