Werbung
2.3.8
Substation Zone mit Out Of Band Fernwartung
Mit dem Konzept der „Out Of Band Fernwartung" soll eine klare Trennung zwischen dem
„Prozess-Datenstrom" und dem „Engineering-Datenstrom" erreicht werden.
Mit der Unterbrechung aller „Engineering-Datenströme", die in der angegebenen Konfiguration
mittels Hardware (Switch wird ausgeschalten, Meldekontakt zeigt eingeschaltenen Engineering-
Datenstrom an) realisiert ist, kann nahezu ausgeschlossen werden, dass ein Angreifer sich ohne
bemerkt zu werden in ein Gerät der Substation Zone einwählt.
Da das Netzwerk des Prozess-Datenstromes nun keine Engineering-Daten (Parametrierung und
Diagnose) mehr übertragen muss, können die Firewalls des Prozessdatenstromes restriktiver
parametriert werden.
Auch der Einsatz von „Hardware-Based Application-Layer-Firewalls" wird praktikabler, da die
Einschränkung der direkten IP-Zugriffe für Fernparametrierung und Ferndiagnose auf Geräte
hinter der „Hardware-Based Application-Layer-Firewall" entfällt.
Vorteile:
•
Regelung der Parametrierzugänge aus der Ferne auf das Substation LAN
•
Netzwerktechnischer Schutz vor „nicht vom Betriebspersonal autorisierten
Gerätezugängen" möglich
•
Einfache, gut überwachbare Lösung: Im Vergleich zu komplexer Firewallparametrierung
wird einfach der Strom einer Netzwerkkomponente abgeschalten.
Nachteile:
•
Kosten der Firewallfunktionalität
•
Kosten der „Out Of Band" – WAN Verbindung
•
mehr Aufwände bei Einrichtung und Änderungen
SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager
ADMINISTRATOR Security-Handbuch
DC0-114-2.15, Ausgabe 12.2017
Typische Anlagenkonfigurationen
37
Quicklinks ausblenden:
Werbung
Kapitel
