ЖУРНАЛ «СТА» 4/2016

94 СТА 4/2016 АППАРАТНЫЕ СРЕДСТВА СЕТЕВОЕ ОБОРУДОВАНИЕ www.cta.ru В ВЕДЕНИЕ Разработка глубоко эшелонирован- ной системы сетевой безопасности яв- ляется одним из ключевых аспектов создания защищённых промышленных сетей. В отличие от простого односто- роннего подхода, например, примене- ния только межсетевого экрана на гра- нице между сетью предприятия и гло- бальной сетью WAN (Wide Area Net- work), такой подход предполагает ис- пользование нескольких средств и ме- тодик обеспечения безопасности, поз- воляющих создать многоуровневую си- стему защиты сети. Какими могут быть первые практиче- ские шаги на пути к реализации этой концепции? Прежде всего необходимо провести оценку и классификацию по степени опасности возможных угроз и рисков и разработать систему контрмер для их нейтрализации. Одновременно с этим нужно про- анализировать уже существующие воз- можности сети, которая должна иметь как минимум межсетевой экран, вы- полняющий функцию разделения за- щищённого и незащищённого сег- ментов сети, а также оценить возмож- ности используемых сетевых уст- ройств – насколько эффективно ис- пользуются встроенные в них механиз- мы защиты. Аппаратная часть современных ком- мутаторов достаточно функциональна и производительна, что позволяет реали- зовать во встроенном ПО ещё и функ- ции сетевой безопасности без риска снижения скорости обработки трафика. Подавляющее большинство управляе- мых коммутаторов имеют встроенные защитные механизмы, способные за- щитить как сами устройства, так и всю сетевую инфраструктуру, причём это не потребует дополнительных матери- альных затрат эксплуатирующей орга- низации. Рассмотрим некоторые подходы к обеспечению сетевой безопасности, до- ступные для реализации с применени- ем коммутаторов компании Hirschmann (рис. 1) – признанного мирового лиде- ра в производстве надёжного и безопас- ного сетевого оборудования. Следует отметить, что все управляе- мые коммутаторы Hirschmann мож- но настраивать как при помощи удоб- ного Web-интерфейса, так и через кон- соль, используя текстовые команды. Настройки графического интерфейса полностью дублируют текстовые ко- манды, и выбор того или иного способа администрирования полностью зависит от предпочтений пользователя. Новейшие коммутаторы Hirschmann обладают собственной операционной системой реального времени HiOS, в полной мере реализующей все меха- низмы сетевой безопасности. О ГРАНИЧЕНИЯ ПРОТОКОЛОВ Один из прямых методов защиты се- тевых устройств – ограничиться ис- пользованием только тех протоколов, которые действительно нужны для управления коммутаторами и сетевой инфраструктурой. В табл. 1 приведены рекомендуемые ограничения по приме- нению ряда протоколов управления, используемых в сетях АСУ ТП. Их при- менение должно быть ограничено или исключено вовсе для эффективной за- щиты сети. Управляемые коммутаторы Hirschmann: безопасность превыше всего Михаил Дормаков В статье на примере продукции Hirschmann описываются основные возможности управляемых коммутаторов, используемых для обеспечения сетевой безопасности. Рассматриваемые функции и способы их применения помогут оперативному персоналу промышленных предприятий эффективнее обеспечивать защиту промышленного IT-контура. Рис. 1. Управляемый коммутатор Hirschmann GREYHOUND 1040 с ПО HiOS 6.0