Что такое RTI Connext DDS Secure

Наш продукт Connext DDS Secure вызывает беспрецедентный интерес. Мы редко видим такой спрос и интерес к продукту. Это особенно необычно, потому что продукт все еще находится в стадии бета-тестирования, но клиенты, тем не менее, планируют выпустить его в ближайшее время. Я подумал, что отвечу на несколько самых распространенных вопросов.

Во-первых, новый стандарт безопасности DDS определяет архитектуру и модель безопасности. Стандарт Beta был принят в марте компанией OMG. Мы (RTI) возглавляем комитет по финализации; он должен быть окончательным в следующем году. RTI первым поддерживает новый стандарт. Я уверен, что другие поставщики DDS также будут внедрять его, но еще ни у кого нет продукта.

DDS Security уникален в области промежуточного программного обеспечения по нескольким причинам. Во-первых, он решает вопросы безопасности более полно, чем другие стандарты. Спецификация охватывает аутентификацию, контроль доступа, конфиденциальность, целостность, неотказуемость и ведение журнала. Во-вторых, он имеет "плагин" дизайн. Спецификация определяет набор стандартных подключаемых компонентов и спецификацию совместимых проводов. Но вы можете определить свои собственные алгоритмы для плагинов. Наконец, он защищает «темы» DDS, а не узлы или соединения. Таким образом, он предлагает точный контроль и может адаптироваться к уникальным требованиям промышленного Интернета вещей (IIoT). Это первый стандарт безопасности, ориентированный на сети IIoT между устройствами и устройствами в облако, а не на архитектуры, ориентированные на человека или серверы.

Возможно, это прояснит пример. Рассмотрим эту (очень) простую систему:

Безопасность DDS

Здесь «PMU» представляет датчик (единица измерения фазы, обычная для управления мощностью). Компонент анализа CBM (техническое обслуживание на основе состояния) отслеживает систему и ищет проблемы ее работоспособности. Простая работа этой системы:датчик PMU записывает состояние, система управления считывает это состояние и записывает заданное значение. CBM считывает состояние и записывает аварийные сигналы. Оператор может контролировать систему.

В DDS эту систему легко настроить как поток данных между темами. Конечно, DDS определяет скорость передачи данных, требования к надежности и многое другое.

Чтобы защитить эту систему с помощью Connext DDS Secure, вы должны создать файл конфигурации, который передает следующее:

 PMU:Состояние (w) CBM:Состояние (r); Аварийные сигналы (w) Управление:состояние (r), уставка (w) Оператор:* (r), уставка (w) 

Это просто говорит о том, что PMU может писать только State. Control может только читать State и записывать SetPoint. CBM может только читать состояние и устанавливать аварийные сигналы. И оператор может читать что угодно и записывать SetPoint (возможно, для выключения системы). Connext DDS Secure напрямую обеспечивает соблюдение этих очень логичных системных ограничений.

Концептуально это действительно так просто. Конечно, вам все равно придется распространять сертификаты и файл конфигурации. Но эта «тематическая» безопасность намного более интуитивно понятна для систем IIoT, чем конструкции, основанные на блокировании протоколов, изоляции узлов или ограничении доступа на основе ролей пользователей. Connext DDS Secure напрямую и просто воздействует на сам поток данных.

Важно отметить, что наш продукт Connext DDS Secure также не требует изменения кода приложения. Вы настраиваете и вперед. Connext DDS Secure предлагает практичную, интуитивно понятную защиту для существующих систем.

Конечно, никакая защита не является надежной. Таким образом, почти все практические системы безопасности сочетают защиту (предотвращение плохих вещей) с обнаружением (обнаружением и локализацией нарушений). Это, например, причина того, что на вашем ноутбуке есть брандмауэр (защита) и сканер вирусов (обнаружение). Вместе защита и обнаружение обеспечивают гораздо более безопасные системы.

DDS, будучи программным обеспечением "DataBus", также позволяет легко контролировать. Мы использовали это с PNNL для реализации теста безопасности «дооснащения» для энергосистемы, заменив старую линию DNP3 на безопасную линию DDS, тем самым реализовав защиту. Подключившись к трафику DataBus и потоку мета-трафика, мы могли бы добавить возможность создания сценариев (у нас есть отличный компонент Lua). Затем простые скрипты могут обнаружить множество потенциальных атак, включая взломанные системы, атаки типа «злоумышленник посередине» и т. Д.

Создал безопасную систему промышленного управления с Connext DDS »

Итак, DDS позволяет сочетать защиту (стандарт) с обнаружением (через DataBus). Оба варианта относительно просты в реализации.

В настоящее время наш продукт находится в стадии раннего доступа. Однако он уже проходит огневые испытания. Вот одно очень обширное тестовое задание:

Испытательный стенд кибербезопасности USS SECURE является результатом сотрудничества между Агентством национальной безопасности, Министерством обороны, отделом безопасности информации в Квантико, отделом боевых систем, направлением деятельности Dam Neck, NSWCDD, NSWC Carderock / Philadelphia, Управлением военно-морских исследований, Прикладной физикой Университета Джонса Хопкинса. Lab и Real Time Innovations Inc. Испытательный стенд USS SECURE определяет лучшую комбинацию технологий киберзащиты для защиты военно-морского бойца, не влияя на установленные в реальном времени установленные сроки выполнения требований.

Как видите, наш продукт безопасности ожидает очень требовательных клиентов. Мы не можем много рассказать об этих тестах по понятным причинам. Однако могу сказать, что очень горжусь нашим продуктом Connext DDS Secure. На этом и многих других сайтах он оказывается чрезвычайно эффективным.

RTI Connext DDS Secure станет общедоступным в следующем году. Если у вас есть вопросы, обратитесь к местному представителю ...