- 30 Mar 2019
- 614
- 200
KICS For Nodes Ve KICS For Networks: Modern Elektrik Trafo Merkezinde Dağıtım Örneği
Güvenli koruma ve kontrol sistemi, halka topolojisinin iki LAN segmentini
içerir. Elektrik trafo merkezinin ilk segmenti, IED'ler arasında iletişim sağlayan
santral veri yoludur (IEC 61850 standardına göre). Ayrıca trafo veri yolu, trafo
denetleyicileri ve uzaktan ölçüm ağ geçitleri, dağıtım kontrolünün daha üst
düzeyleriyle bilgi amaçlı etkileşim sağlar. LAN segmenti, mühendislik yazılımı
aracılığıyla koruma ve kontrol sistemi ekipmanına erişim sağlar. Hizmet erişimi
hem yerel olarak hem de uzaktan sağlanabilir. Yerel hizmet erişimi, doğrudan
IED'lere veya santral veri yolu LAN'ına bağlı bir dizüstü bilgisayar kullanılarak
sağlanır. Hizmet erişimi, uzak bir iş istasyonundan da yapılabilir. Stabil çalışma
sırasında ağ düğümleri arasındaki hızlı iletişim IEC 61850*MMS protokolüne göre
gerçekleşir. Koruma ve kontrol sistemi cihazlarının parametrelendirilmesiyle ilgili
hizmet iletişimleri, ekipman üreticisinin dahili uygulama protokolleri kapsamında
sağlanır.
Veri yolunun fiziksel LAN segmenti, iki bağlı anahtardan oluşan halka ağdır.
Tüm cihazlar, anahtarlara çift düğüm noktası (DAN) olarak bağlanır. Bu nedenle
segmentte daha yüksek düzeyde ağ güvenilirliği sağlayan tek arıza noktası
yoktur. IED'ler, dahili anahtarlarla donatılmıştır ve zincirler halinde birleştirilmiştir.
Zincirlerin uçları, halka ağ anahtarlarına bağlanır. Dolayısıyla bir zincirin cihazları
arasındaki trafik, halka ağ anahtarları aracılığıyla iletilmez. Halka topolojisi ağ
kontrolü, RSTP kullanılarak yürütülür. Ağ anahtarı, bir VPN aracılığıyla endüstriyel
ağa uzaktan hizmet erişimi sağlamak için eklenmiştir.
İkinci segment (operatör ağı segmenti), operatör iş istasyonları ve süreç kontrol
sistemi sunucusunun etkileşimi için tasarlanmış bir halka ağ topolojisi ile temsil
edilir.
Ağ Kontrol Merkezi ve Sistem Operatörü ile etkileşim, doğrudan otomasyon
sistemine bağlı bir trafo merkezi denetleyicisi aracılığıyla sağlanır
Bilgi alışverişi, IEC 60870-5-104 protokolü aracılığıyla gerçekleştirilir.
KICS for Networks kurulumu, teknolojik ağ altyapısının tam olarak izlenmesi için seçili
ağ segmentlerinin her birinde gereklidir. Dolayısıyla belirtilen şema için üç adet
KICS for*Networks sunucusu kurulmalıdır. Bu sunuculardan birisi santral veri yolu
segmenti, diğeri operatör ağ segmenti ve sonuncusu daha yüksek kontrol
düzeylerine iletişim hattı için kurulmalıdır. KICS for*Networks çözümünü altyapı
sunucularına bağlamak için her ağ segmentindeki SPAN trafiğinin tamamını ilgili
sunucuya iletmek üzere anahtarlama ekipmanının yeniden yapılandırılması
gereklidir.
KICS for Networks sunucusu, ağ anahtarlarının SPAN bağlantı noktalarına bağlanır.
Bu yapılandırma, endüstriyel süreçleri etkilemeden yalnızca endüstriyel trafiği
alma imkanı sunar. KICS for Networks, endüstriyel trafiği işler ve şüpheli olayları
tespit eder. Kayıtlı olaylarla ilgili veriler şifrelenir ve güvenli bir şekilde depolanır.
Ayrıca olaylar şifreli bir kanal aracılığıyla Kaspersky Security Center çözümüne
iletilir ve güvenlik uzmanlarına tespit edilen olayların nihai listesi sunulur.
KICS for Nodes yazılımı, Windows işletim sistemini kullanan bilgisayar altyapısını
korumak için her endüstriyel ana bilgisayara kurulmalıdır. KICS for Nodes, aynı
zamanda tespit edilen olayları Kaspersky Security Center sunucusuna gönderir.
Endüstriyel ana bilgisayarlar, kontrol ağı segmentine bağlanmak için ek bir ağ
arabirimi içermelidir.
Tüm kontrol ağı iletişimleri şifrelenir. Kontrol ağı hatası durumunda, KICS for
Networks ve KICS for Nodes bileşenleri bağımsız modda çalışmaya devam eder.
Ağ segmenti çalışması düzeltildikten sonra toplanan veriler Kaspersky Security
Center sunucusuna iletilir.
KICS, SIEM sistemleriyle entegrasyonu destekler. Kaspersky Security Center, SIEM
sistemi ile şifreli bir kanal düzenler ve yapılandırılan olayları SIEM sistemine (HP
ArcSite, IBM*QRadar Syslog formatı aracılığıyla diğerleri) aktarır. Bildirimler,
ayrıca e-posta ve SMS aracılığıyla gönderilebilir.
Kaspersky Industrial CyberSecurity bileşenleri Dağıtımı
Son düzenleme:
