• بيت
  • أخبار
  • تقسيم شبكة OT باستخدام مناطق وقنوات ISA-99: الدليل العملي لشنييدر M580 وباخمان M1

تقسيم شبكة OT باستخدام مناطق وقنوات ISA-99: الدليل العملي لشنييدر M580 وباخمان M1

OT Network Segmentation Using ISA-99 Zones and Conduits: Schneider M580 and Bachmann M1 Practical Guide

المشكلة الحقيقية مع شبكات OT المسطحة

تعمل معظم المنشآت الصناعية التي بُنيت قبل عام 2015 على شبكة إيثرنت مسطحة حيث وحدة التحكم المنطقية القابلة للبرمجة Modicon M580 من شنايدر إلكتريك، ووحدة تحكم الأتمتة Bachmann M1، وسجل SCADA، ونظام تخطيط موارد المؤسسات (ERP) الخاص بالشركة، يشتركون في نفس نطاق البث في الطبقة الثانية. أولاً، هذا يعني أن هجوم الفدية الذي يدخل عبر شبكة الشركة يصل إلى وحدة المعالجة المركزية M580 دون المرور عبر أي نقطة تحكم في الوصول. ثانيًا، يمكن لمحطة عمل تم تكوينها بشكل خاطئ وتبث عواصف ARP أن تشبع منفذ إيثرنت لوحدة المعالجة المركزية M580 BM•P 58•2020 — حيث يعالج منفذ إيثرنت لوحدة المعالجة المركزية M580 طلبات ARP على مستوى البرمجيات بحد أقصى 500 حزمة في الثانية. ثالثًا، تستغل الثغرات في البروتوكولات التي تستهدف منفذ Modbus TCP رقم 502 أو منفذ EtherNet/IP رقم 44818 بحرية عبر الشبكة المسطحة. لذلك، فإن هيكلية المناطق والقنوات وفقًا لمعيار ISA-99 / IEC 62443 ليست اختيارية — بل هي الإطار المثبت الوحيد الذي يضيف حماية على مستوى الشبكة دون تعطيل استراتيجية التحكم.

هيكلية المناطق والقنوات وفقًا لـ ISA-99: تحديد الهيكل

يقسم معيار ISA-99 (IEC 62443-3-3) الشبكة الصناعية إلى مستويات أمان (SL) ويخصص الأصول إلى مناطق بناءً على عواقب الاختراق. أولاً، حدد مناطقك قبل تعديل أي إعدادات للمفاتيح. ثانيًا، حدد كل جهاز في شبكة المصنع وخصصه إلى واحدة من أربع مناطق:

  • المنطقة 1 — السلامة (SIL): وحدات التحكم المنطقية القابلة للبرمجة الخاصة بالسلامة فقط. بالنسبة لمعظم المصانع، يشمل هذا أنظمة ICS Triplex أو Triconex TMR. لا يدخل أي حركة مرور عامة إلى هذه المنطقة. يسمح القناة إلى المنطقة 2 فقط بقراءة Modbus TCP لأغراض عرض SCADA.
  • المنطقة 2 — التحكم (SL-2): وحدات المعالجة المركزية Schneider M580، وحدات تحكم Bachmann M1، شبكات الإدخال/الإخراج، إدارة أجهزة الحقل. تبقى حركة مرور EtherNet/IP وModbus TCP داخل هذه المنطقة. الوصول الخارجي فقط عبر قناة IDMZ.
  • المنطقة 3 — الإشراف (SL-1): خوادم SCADA، سجل DCS، محطات عمل المشغلين. تصل هذه المنطقة إلى المنطقة 2 عبر قناة محددة من خلال جدار حماية حالة — وليس اتصالًا مسطحًا.
  • المنطقة 4 — المؤسسة (SL-0): نظام تخطيط موارد المؤسسات (ERP) الخاص بالشركة، الدليل النشط (Active Directory)، خوادم البريد الإلكتروني. لا يوجد وصول مباشر إلى المنطقة 2 أو المنطقة 1. يتم تبادل جميع البيانات عبر IDMZ فقط.

علاوة على ذلك، تقع منطقة DMZ الصناعية (IDMZ) بين المنطقة 3 والمنطقة 4. تحتوي IDMZ على خوادم تكرار البيانات — مثل OSIsoft PI، Wonderware Historian، أو بوابة OPC DA/UA. لا تعبر حركة المرور IDMZ من طرف إلى طرف — تتصل كل من المنطقة 3 والمنطقة 4 بخوادم IDMZ ولكن لا تتصلان ببعضهما البعض مباشرة. هذه هي مبدأ التحكم في الحدود الأساسية في ISA-99.

تكوين VLAN وجدار الحماية لشبكات Schneider M580

تستخدم وحدة التحكم Modicon M580 من شنايدر بروتوكول EtherNet/IP على منفذ إيثرنت اللوحة الخلفية لوحدة المعالجة المركزية (سلسلة BMEP58•020) ومنفذ إيثرنت مخصص لشبكة الإدخال/الإخراج لإسقاطات Ethernet RIO. أولاً، قم بتعيين منفذ إدارة وحدة المعالجة المركزية إلى VLAN 20 (منطقة التحكم) على المفتاح المُدار الخاص بك. ثانيًا، قم بتعيين جميع إسقاطات الإدخال/الإخراج البعيدة (BMECRA31210 RIO drops) إلى VLAN 21 (المنطقة الفرعية للإدخال/الإخراج). ثالثًا، أنشئ قائمة تحكم بالوصول (ACL) على المفتاح لحظر كل حركة المرور بين VLAN 21 وأي منطقة فوق المستوى 2.

على مفتاح Cisco IE4000 أو Cisco IE3400 المُدار، قم بتكوين التوجيه بين VLAN مع قواعد جدار الحماية التالية:

  • الخطوة 1: أنشئ VLAN 20 (التحكم) وVLAN 21 (RIO). عيّن منفذ وحدة المعالجة المركزية M580 إلى وضع وصول VLAN 20. عيّن جميع منافذ إسقاط BMECRA31210 إلى وضع وصول VLAN 21.
  • الخطوة 2: طبق ACL على SVI الخاص بـ VLAN 20: السماح بـ TCP من أي مصدر إلى 192.168.20.0/24 على المنفذ 44818 (EtherNet/IP CIP). السماح بـ TCP من أي مصدر إلى 192.168.20.0/24 على المنفذ 502 (Modbus TCP). رفض أي حركة IP أخرى مع تسجيل. هذا يسمح فقط للبروتوكولات المطلوبة بالوصول إلى M580.
  • الخطوة 3: حظر كل الوصول الخارجي إلى VLAN 21 على مفتاح الطبقة 3 — رفض أي حركة IP إلى 192.168.21.0/24. يجب ألا تكون حركة RIO متاحة أبدًا من المنطقة 3 أو المنطقة 4.
  • الخطوة 4: قم بتكوين جدار حماية حالة بين المنطقة 2 والمنطقة 3 للسماح فقط بمنفذ OPC UA 4840 من خادم SCADA إلى بوابة OPC UA في المنطقة 3. حظر منفذ Modbus TCP 502 بين المنطقة 3 والمنطقة 2 — يقرأ SCADA من بوابة OPC UA وليس من M580 مباشرة.
  • الخطوة 5: فعّل أمان المنفذ على جميع منافذ مفاتيح M580 وBMECRA — قفل على عنوان MAC للمرسل. اضبط وضع انتهاك أمان المنفذ على "تقييد" (وليس "إيقاف التشغيل") لتوليد تنبيه دون قطع شبكة الإدخال/الإخراج.

ومع ذلك، فإن منفذ إيثرنت لوحدة المعالجة المركزية M580 لا يدعم وسم VLAN 802.1Q بشكل أصلي — فهو يعمل فقط كمنفذ وصول VLAN. لذلك، يجب على المفتاح التعامل مع كل وسم VLAN. هذه قيد تصميم شائع لشبكة M580 يتجاهله المهندسون عند تصميم التقسيم.

تقسيم وحدة تحكم Bachmann M1 والتحكم في حدود OPC UA

تستخدم وحدات تحكم Bachmann M1 شبكة إيثرنت MIO (الإدخال/الإخراج المعياري) الخاصة بها على واجهة مخصصة منفصلة عن منفذ البرمجة. أولاً، قم بتعيين شبكة MIO الخاصة بـ Bachmann M1 إلى VLAN 22 — منفصلة عن VLAN التحكم Schneider M580 20. هذا يمنع عواصف البث عبر البروتوكولات. ثانيًا، تدعم Bachmann M1 وظيفة خادم OPC UA أصليًا في بيئة برمجة SolutionCenter الخاصة بها. قم بتكوين خادم OPC UA ليكشف فقط العلامات المطلوبة للمنطقة 3 — لا تكشف عن مساحة أسماء المتغيرات الكاملة لـ M1.

في Bachmann SolutionCenter، اضبط وضع أمان OPC UA على "SignAndEncrypt" وسياسة الأمان على "Basic256Sha256". ارفض كل الاتصالات المجهولة — واطلب المصادقة القائمة على الشهادات. هذا يتوافق مع متطلبات مستوى الأمان 2 في IEC 62443-3-3 لمنطقة التحكم. علاوة على ذلك، اضبط مساحة عناوين خادم OPC UA في M1 لنشر العلامات المدرجة فقط في قائمة علامات SCADA المعتمدة — استخدم تكوين Bachmann OPC UA NodeManager لإدراج عقد المتغيرات المحددة في القائمة البيضاء. احظر كل العقد الأخرى على مستوى خادم OPC UA، وليس فقط على جدار الحماية.

  • الخطوة 1: في Bachmann SolutionCenter، انتقل إلى تكوين خادم OPC UA ضمن وحدة "الاتصالات".
  • الخطوة 2: اضبط وضع الأمان على "SignAndEncrypt". اضبط سياسة الأمان على "Basic256Sha256". عطل سياسات "None" و"Sign".
  • الخطوة 3: استورد شهادة خادم SCADA إلى مخزن الشهادات الموثوقة في Bachmann M1. فقط عملاء SCADA الحاملون للشهادة يمكنهم الاتصال.
  • الخطوة 4: فعّل وظيفة جدار الحماية في Bachmann M1 — السماح فقط بـ TCP 4840 (OPC UA) من عنوان IP خادم SCADA 192.168.30.10. حظر كل الاتصالات الواردة الأخرى على منفذ OPC UA.
  • الخطوة 5: اضبط مهلة الجلسة على 30 ثانية. تُغلق أي جلسة SCADA غير نشطة لمدة 30 ثانية تلقائيًا — لمنع تراكم الجلسات القديمة في جدول جلسات M1.
  • الخطوة 6: سجّل كل أحداث اتصال OPC UA في سجل النظام الخاص بـ Bachmann M1 — وقم بتكوين إعادة توجيه السجل إلى خادم SIEM في IDMZ للمراقبة الأمنية.

تصميم IDMZ: تكرار البيانات بدون عبور مباشر للمناطق

تحتوي IDMZ على نوعين فقط من الخوادم: خادم تكرار سجل البيانات وخادم القفز للوصول عن بُعد. أولاً، يعمل OSIsoft PI Relay أو Honeywell Uniformance PHD في IDMZ. يدفع السجل في المنطقة 3 البيانات إلى مرسل IDMZ باستخدام منفذ TCP رقم 5450 (واجهة PI-to-PI). يسحب السجل المؤسسي في المنطقة 4 البيانات من مرسل IDMZ باستخدام نفس المنفذ. لا تنتقل بيانات العمليات مباشرة بين المنطقة 3 والمنطقة 4. ثانيًا، يوفر خادم القفز للوصول عن بُعد في IDMZ وصول RDP لمهندسي الصيانة. قم بتكوين خادم القفز للسماح باتصالات RDP فقط من نقطة نهاية VPN محمية بالمصادقة متعددة العوامل (MFA) — لا تسمح أبدًا باتصال RDP مباشر من المنطقة 4 إلى المنطقة 2 أو المنطقة 1.

علاوة على ذلك، طبق قواعد جدار الحماية التالية بين المنطقة 4 وIDMZ: السماح بـ TCP 5450 (PI) فقط من سجل المنطقة 4 إلى مرسل IDMZ. رفض كل حركة المرور الأخرى من المنطقة 4 إلى IDMZ. بين IDMZ والمنطقة 3: السماح بـ TCP 5450 من مرسل IDMZ إلى سجل المنطقة 3. السماح بـ RDP (TCP 3389) من خادم القفز IDMZ إلى محطات عمل SCADA في المنطقة 3 فقط — مع فرض MFA عند بوابة خادم القفز.

الخلاصة ونصائح العمل

تقسيم المناطق والقنوات وفقًا لـ ISA-99 لشبكات Schneider M580 وBachmann M1 هو مهمة هندسية، وليس مشروع أمان تكنولوجيا المعلومات. أولاً، حدد مناطقك الأربع وارسم مخطط القنوات قبل تعديل أي مفتاح. ثانيًا، خصص شبكات وحدة المعالجة المركزية M580 وشبكات MIO الخاصة بـ M1 إلى VLANs مخصصة مع قوائم تحكم بالوصول تمنع كل البروتوكولات غير المطلوبة. ثالثًا، طبق OPC UA SignAndEncrypt على Bachmann M1 واستخدم المصادقة القائمة على الشهادات من اليوم الأول. رابعًا، أنشئ IDMZ كمرسل بيانات حقيقي — بدون مسارات مباشرة بين المنطقة 3 والمنطقة 4. خامسًا، فعّل أمان المنفذ على جميع منافذ مفاتيح VLAN التحكم لمنع اتصالات الأجهزة غير المصرح بها. وأخيرًا، اختبر تقسيمك بمحاولة فحص المنافذ من محطة عمل في المنطقة 4 نحو عناوين المنطقة 2 — إذا رأيت أي منافذ مفتوحة على M580 أو M1 من المنطقة 4، فإن قواعد القنوات غير مكتملة. أصلح كل منفذ مفتوح قبل إعلان اكتمال التقسيم.

العودة إلى بلوق
عرض الكل
مشاركات المدونة
عرض الكل
Batch Sequence Control Using DCS Sequential Function Charts: Emerson DeltaV SFC Configuration and Woodward EasyGen 3200 Synchronization Interlock
Liu Yang

التحكم في تسلسل الدُفعات باستخدام مخططات الوظائف التسلسلية في نظام التحكم الموزع: تكوين Emerson DeltaV SFC وقفل التزامن في Woodward EasyGen 3200

يمنع التحكم في العمليات الدُفعية باستخدام هياكل مخطط الوظائف التسلسلي الرسمية IEC 61131-3 في Emerson DeltaV حالات الجمود في آلة الحالة ويُبسط الامتثال لتدقيق ISA-88. يغطي هذا الدليل مبادئ تصميم منطق المرحلة DeltaV SFC، وتخطيط سجلات Modbus TCP لجهاز Woodward EasyGen 3200 لتشابك تزامن المولد، وتصميم مسارات الإيقاف والإنهاء، وتشخيص أكثر أربعة أنماط فشل شائعة في دفعات SFC.
Foundation Fieldbus H1: Segment Design and Commissioning
Weijia Chen

فيلدباص الأساس H1: تصميم القطاع والتشغيل

يقوم نظام Foundation Fieldbus H1 بتنفيذ كتل وظائف التحكم داخل أجهزة الحقل، مما يحافظ على التحكم حتى عند فشل الاتصال بالمضيف — وهي ميزة رئيسية لحلقات SIL-2 وSIL-3. يغطي هذا الدليل حساب ميزانية الطاقة لنظام FF H1، وتحليل هبوط الجهد، وحماية بدء التشغيل الناعم من التيار الزائد، وإجراء تكليف مكون من 5 خطوات، وجدولة كتل الوظائف، وتشخيص الأعطال المنهجي لفشل القطاع، وانقطاعات الأجهزة المتقطعة، وأخطاء مقاومة الإنهاء.
PROFINET IO Communication Fault Diagnosis: ABB AC500 CM575-PNIO and Phoenix Contact AXL F DI16 Field Troubleshooting
Chen Hao

تشخيص أعطال اتصال PROFINET IO: استكشاف أخطاء ABB AC500 CM575-PNIO و Phoenix Contact AXL F DI16 الميدانية وإصلاحها

تعد فشل اتصالات PROFINET IO بين ABB AC500 CM575-PNIO وPhoenix Contact Axioline F الموزعة I/O مصدرًا شائعًا للتوقف غير المخطط له. يغطي هذا الدليل فحوصات كابلات الطبقة الفيزيائية، والتحقق من إصدار GSDML، وحل تعارض أسماء الأجهزة، وضبط مراقب AR، وإجراء عزل الأخطاء في ست خطوات باستخدام تعيين بتات سجل DIAG_STATUS وتنبيهات تشخيص القناة.
قائمة المنتجات الموصى بها
بطاقة تشارم معزولة Emerson KL3105X1-LS1 12P6551X032
بطاقة تشارم معزولة Emerson KL3105X1-LS1 12P6551X032

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
وحدة إدخال تماثلي هارت Emerson DeltaV KL3021X1-LS1 CHARM، 4–20 مللي أمبير
وحدة إدخال تماثلي هارت Emerson DeltaV KL3021X1-LS1 CHARM، 4–20 مللي أمبير

Emerson
إيمرسون دلتا في KL3003X1-BA1 وحدة اتصال جاف DI 24 فولت تيار مستمر CHARM
إيمرسون دلتا في KL3003X1-BA1 وحدة اتصال جاف DI 24 فولت تيار مستمر CHARM

Emerson
إيمرسون دلتا في KL3005X1-LS1 وحدة شيرم إدخال رقمي معزول
إيمرسون دلتا في KL3005X1-LS1 وحدة شيرم إدخال رقمي معزول

Emerson
KL4510X1-EA1 | Emerson DeltaV | محطة عنوان I.S. CHARM
KL4510X1-EA1 | Emerson DeltaV | محطة عنوان I.S. CHARM

Emerson
إيمرسون دلتا في وحدة طرفية مقاومة للانفجار PN: KL4510X1-DA1
إيمرسون دلتا في وحدة طرفية مقاومة للانفجار PN: KL4510X1-DA1

Emerson
وحدة طاقة إيمرسون دلتا في KL1501X1-BA1 CSLS
وحدة طاقة إيمرسون دلتا في KL1501X1-BA1 CSLS

Emerson
KL3003X1-LS1 | إيمرسون دلتا في | LS DI 24 فولت تيار مستمر تلامس جاف شارم
KL3003X1-LS1 | إيمرسون دلتا في | LS DI 24 فولت تيار مستمر تلامس جاف شارم

Emerson
إيمرسون KL3031X1-BA1 وحدة CHARM لإدخال مقاومة/RTD
إيمرسون KL3031X1-BA1 وحدة CHARM لإدخال مقاومة/RTD

Emerson
وحدة PLC صغيرة من سلسلة GE Fanuc IC693UAA003 90
وحدة PLC صغيرة من سلسلة GE Fanuc IC693UAA003 90

GE
وحدة إخراج منطق إيجابي GE Fanuc RX3i IC694MDL730 12/24 فولت تيار مستمر
وحدة إخراج منطق إيجابي GE Fanuc RX3i IC694MDL730 12/24 فولت تيار مستمر

GE