Kommunikation Innerhalb Einer Zone; Kommunikation Zwischen Den Zonen - Siemens SICAM CP-8050 Administrator Security-Handbuch

Vorschau ausblenden Andere Handbücher für SICAM CP-8050:

Handbuch (954 Seiten)

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

Seite von 212

/ 212
Inhalt
Inhaltsverzeichnis
Lesezeichen

2.1.3

Kommunikation innerhalb einer Zone

Sicherheitsgerichtete Kommunikation im Sinne der funktionalen bzw. Anlagensicherheit sollte nur

innerhalb abgeschlossener, aus dedizierten Hardwarekomponenten aufgebauten

Netzwerksegmenten erfolgen. Möglichkeiten zur Konfiguration der Parameter der funktionalen

bzw. Anlagensicherheit über Netzwerkzugriffe sollten generell vermieden werden. Werden diese

zwingend benötigt, sollten sie nur über die o.g. abgeschlossenen Netzwerksegmente zugänglich

sein.

2.1.4

Kommunikation zwischen den Zonen

Für Datenschnittstellen zu Fremdsystemen oder internen Netzen und Systemen, die in erhöhtem

Maße externen Sicherheitsbedrohungen ausgesetzt sind (z.B. ein Büro-LAN mit Internetnutzung,

dezentrale Anlagen mit vermindertem physikalischem Zugangsschutz etc.), sollte die Funktion

einer DMZ vorgesehen werden.

Hierbei sollte immer die Regel gelten, dass DMZ-Komponenten keinen Zugriff auf interne

Systemkomponenten in den Zonen mit höherem Sicherheitslevel haben dürfen. Die

Kommunikationsrichtung sollte immer vom hohen Sicherheitslevel zum geringeren gerichtet sein.

Betriebsführungs-/ Leitsysteme und Systembetrieb

Insbesondere an Netzwerkübergängen von systeminternen Netzwerken (z.B. Leitsystem-LAN) zu

weiteren internen Netzwerken und zu WAN-Netzen (z.B. zur Prozessankopplung) sollte eine

DMZ-Struktur und die Installation von Firewallfunktionalitäten vorgesehen werden.

Übertragungstechnik / Sprachkommunikation

Wo möglich, sollte betriebseigene Infrastruktur verwendet werden. Bei Fremdanbietern sollte die

Einhaltung von Sicherheitsstandards vertraglich eingefordert und ggf. überprüft werden. Es sollte

geprüft werden, ob die Kommunikation im Fremdnetz durch ein eigenbetriebenes VPN

abgesichert werden muss.

Sekundär-, Automatisierungs- und Fernwirktechnik

An Übergängen von lokalen Netzwerken (z.B. Stations- oder Anlagen-LAN) zu weiteren

Netzwerken (z.B. Leitstellen oder benachbarte Stationen/Anlagen) sollte die Installation von

Firewallfunktionalitäten vorgesehen werden.

Eine Trennung unterschiedlicher Funktionen ist generell zu empfehlen. So sollten bei

leittechnischen Anwendungen Terminal- und Anlagennetzwerk durch getrennte

Netzwerkkomponenten realisiert werden. Die direkte Anbindung von Schutzgeräten an das

allgemeine Automatisierungsnetz sollte vermieden werden, falls eine direkte Kommunikation mit

anderen Automatisierungskomponenten funktional nicht notwendig ist. Gegebenenfalls sollte eine

Segmentierung mit VLANs geprüft werden.

Die direkte Kopplung unterschiedlicher Anlagen, Systeme und Anwendungen über ein

gemeinsames Anlagennetzwerk sollte vermieden werden. Ein systemübergreifender Zugriff auf

Komponenten am Anlagennetzwerk sollte statt dessen über gehärtete Gatewaykomponenten

realisiert werden.

SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager

ADMINISTRATOR Security-Handbuch

DC0-114-2.15, Ausgabe 12.2017

Typische Anlagenkonfigurationen

Inhaltsverzeichnis

Quicklinks anzeigen

Quicklinks ausblenden:

Kapitel

Diese Anleitung auch für:

Sicam cp-8000 Sicam ak 3 Sicam ak Sicam cp-8021 Sicam tm Sicam toolbox ii ... Alle anzeigen