Workshop Safety & Security

Documenti analoghi
Sicurezza per le reti Ethernet: Safety e Security su un unico bus di campo PROFINET. Roberto Pessina Siemens Spa

Micaela Caserza Magro Università degli Studi di Genova

Aspetti normativi. Decreto legislativo 81/2008 Tutela della salute e della sicurezza nei luoghi di lavoro Articolo 15 Misure generali di tutela

Wireless Ethernet: tecnologie e possibili applicazioni

Fieldbus Foundation e la sicurezza

La sicurezza sui fieldbus: anche la comunicazione è sicura. Micaela Caserza Magro Università di Genova

SIMATIC NET: Ethernet

Autore: Bandiera Roberto 2016


Fieldbus Foundation e la sicurezza

Dispositivi per il controllo

Proteggere la rete I FIREWALL (seconda parte)

Disciplina: Sistemi e reti Classe: 5A Informatica A.S. 2015/16 Docente: Barbara Zannol ITP: Alessandro Solazzo

Manuale Utente Impostazione router Tele-assistenza

Industrial Automation Forum 2008 Il valore della tracciabilità nella sicurezza alimentare

L evoluzione normativa dei sistemi di comando

Prima prova parziale traccia della soluzione

Sicuri ma quanto? Introduzione alla Sicurezza Funzionale nei sistemi impieganti azionamenti elettrici ed alla normativa di riferimento.

Corsi Industrial Ethernet

Sicurezza macchine, tutto da rifare

Sistemi e Tecnologie per il Telecontrollo nelle reti WAN. Ing. Davide Crispino - Siemens S.p.A.

Lo stato dell arte della tecnologia visto dai fornitori di componenti e sistemi Safety

EcoRemote SISTEMA DI GESTIONE DI UNA STAZIONE DI MONITORAGGIO DELLA QUALITÀ DELL ARIA. Ingegneria dei sistemi

Comune di Cesena. MAN e Videosorveglianza Progetto lotto 1 Anello

Integrazione di rete di campo PROFIBUS in reti di fabbrica di tipo Ethernet

SERVIZIO MOBILE INTERNET 4G/LTE

Transparent Networking e tecnologie di virtualizzazione della rete. M. Caberletti (INFN-CNAF) A. Brunengo (INFN Genova)

Tipici ambienti lavorativi Rischi elevati per gli operatori

SERVIZI ULL INTERNET

Infrastruttura per reti industriali Stratix: panoramica

La sicurezza funzionale vista da vicino: che cosa è il SIL. Micaela Caserza Magro Università di Genova

Corsi Industrial Ethernet

La visione di PROFINET e PROFIBUS

Integrazione di rete di campo PROFIBUS in reti di fabbrica di tipo Ethernet

Assemblatore e riparatore di personal computer e installatore di reti locali

Sicurezza nella pneumatica ed elettropneumatica

- Dispensa VI - RETI DI CALCOLATORI

Il tuo Partner Tecnologico. Soluzioni per tecnologie Informatiche e Telecomunicazioni facili da gestire, utilizzare e far crescere.

INDICE INTRODUZIONE E SCOPO DEL DOCUMENTO ORGANIZZAZIONE DEL DOCUMENTO. Introduzione e scopo del documento SICUREZZA... 8

Guida rapida all utilizzo del sistema Sevio basato su piattaforma TIA Portal di Siemens

YABC - ESAME DI STATO DI ISTITUTO TECNICO INDUSTRIALE

Le reti rete La telematica telematica tele matica Aspetti evolutivi delle reti Modello con mainframe terminali Definizione di rete di computer rete

Nuove norme per la sicurezza delle macchine

IL CLOUD AL SERVIZIO DELLA CONTABILIZZAZIONE per un monitoraggio continuo e per la consapevolezza dei consumi

Informazione Tecnica. Barriere di sicurezza, interfacce di sicurezza, Mosaic, sensori magnetici, barriere di misura

Access Point WiFi Wireless N per esterno da 300 Mbps con 2T2R da 5Ghz - POE

Internetworking V anno

Guida rapida all utilizzo del sistema Sevio basato su piattaforma Step 7 di Siemens

L'EVOLUZIONE DELLA DOMOTICA. Dai primi interfacciamenti tra sistemi alle moderne integrazioni

PIANO DI LAVORO ANNO SCOLASTICO I.T.S.O.S C. E. GADDA Sede di Langhirano MATERIA DI INSEGNAMENTO: SISTEMI E RETI PROF.

La Cyber Security quale elemento strategico dell approccio Industry 4.0. Ing. Raffaele Esposito

Guida rapida all utilizzo di Sevio Elco Elettronica. Document ID: sv_elco_elettronica_it_v17_05

1: Generalità sulle reti di trasmissione numeriche

SIMATIC Safety Integrated per l automazione di processo

Securing Site-to-Site Connectivity

OpenFlow GARR virtual test-bed

la protezione internet per la scuola italiana

Dimensionamento Rete e Configurazione Del Firewall Cliente - Requisiti Tecnici

Elle Servizi Company Profile

Tecnico installatore e manutentore di reti locali

Infrastruttura per reti industriali Stratix: panoramica

Guida rapida all utilizzo di Sevio con Omron. Document ID: sv_omron_it_v17_05

Guida rapida all utilizzo di Sevio - Eaton. Document ID: sv_eaton_it_v17_05

Manuale istruzioni. art Manuale per l'installatore

Guida rapida all utilizzo di Sevio con i controllori Saia PCD di Saia Burgess Controls

CENNI A SISTEMI DI COMANDO PER LA SICUREZZA DELLE MACCHINE

Proline Promass E 200

COLLEGAMENTI INTERNET WIRELESS

3 parte: L automazione della casa PREDISPORRE LA CASA E L EDIFICIO ALL AUTOMAZIONE CHORUS. (Nicola Perico)

Guida rapida all utilizzo di Sevio Schneider Electric

Diffusione di qualsiasi tipo di annuncio.

Guida rapida all utilizzo di Sevio Mitsubishi Electric

Stazione di monitoraggio centrale PSTN/IP

VEDI, PARLI, CONTROLLI, PROTEGGI

Reti. insieme di computer (host) interconnessi. Token evita conflitti di trasmissione Rete più o meno affidabile

L'innovazione digitale del fisco. 25 maggio 2017

RELIABILITY MADE EASY

LE RETI DI COMPUTER. Il modello ISO/OSI Prima parte

Via B.M. de Mattias, Roma - Tel CAPITOLATO TECNICO

Reti Locali (LAN) e Reti Locali Virtuali (VLAN)

Dispositivi di Rete. Prof. Francesco Accarino IIS Altiero Spinelli Sesto San Giovanni

Nota Tecnica UBIQUITY 7 TN0023. Il documento descrive le novità introdotte con la versione 7 della piattaforma software ASEM Ubiquity.

SERVIZI FIBRA - FTTx INTERNET

ROMA, 14 MAGGIO Ing. Gino Zampieri e Ing. Stefano Piccagli

1 PRINCIPI FONDAMENTALI DI BASE PER ESEGUIRE IMPIANTI DI COMUNICAZIONE SU RETE DI TIPO BUS SERIALE: RS-485

RS232/IP ponte. Il Passaporto. Il numero di riferimento del dispositivo

TS TERMINAZIONE DI UTENTE (NTU) SHDSL STAND ALONE 4 COPPIE 2 PORTE ETHERNET

SICUREZZA RIELLO CONNECT. Tecnologie utilizzate dalla soluzione Riello Connect per mantenere al sicuro i vostri dati

di Alessandro Guaragni Sviluppo applicazioni Windows

SaeetNet division. Soluzioni Tecnologiche e Informatiche per Comunicazioni, Internet e Sicurezza

Switch Gestito L2 a 10 Porte Gigabit Ethernet / 8 porte RJ45 e 2 slot SFP in fibra - Commutatore Montabile a Rack

Una rete di computer e': Una rete di computer permette:

MATERIALI PER LA DISCUSSIONE

Reti - Concetti di base

CATALOGO GENERALE 2015/2016 INTEGRAZIONE AUTOMATION BUILDING ANTINTRUSIONE FILARE ANTINTRUSIONE WIRELESS ANTINCENDIO DIGITALE CONVENZIONALE

Connessione ad Internet

NORME ARMONIZZATE AI SENSI DELLA DIRETTIVA MACCHINA 98/37/CE CEI EN

CPX-FB40 Ethernet POWERLINK

NOTA: I prezzi disponibili non sono comprensivi di IVA né di costi di Setup* SERVIZI CLOUD. IntactMail Posta Sicura

DeviceNet Safety Una soluzione per integrare sicurezza ed automazione

Transcript:

Workshop Safety & Security

Programma 1 2 3 4 5 Safety vs. Security Safety in ambiente industriale Safety & Profibus/Profinet: il profilo PROFIsafe Security in ambiente industriale Security & Profinet 2

Safety vs. Security SAFETY = Sicurezza SECURITY = Sicurezza SAFETY = SECURITY? 3

Safety vs. Security Safety Definizione tratta dalla Guida ISO/IEC n.51 ʺFreedom from unacceptable risksʺ Safety: protezione degli uomini dalle macchine Calandoci nelle realtà di macchine e impianti industriali possiamo meglio specificare la definizione di ʺSafetyʺ come ʺcapacità di macchine o impianti di svolgere la propria funzione, essere trasportate, installate, regolate, mantenute, smantellate ed eliminate senza provocare lesioni o danniʺ 4

Safety vs. Security Security Definizione inclusa nella specifica tecnica IEC/TS 62443-1-1:2009 ʺIndustrial Communication Networks Network and System Security Part 1-1: Terminology, concepts and modelsʺ: Security: protezione delle macchine dagli uomini ʺPrevenzione di accessi illegali o non voluti o di interferenze nello specifico e previsto funzionamento di un sistema di comando e controllo per l automazione industriale 5

Safety in ambiente industriale I requisiti essenziali di sicurezza per applicazioni di tipo industriale sono definiti in leggi specifiche (nella UE spesso costituite dalla trasposizione di Direttive Comunitarie quali ad esempio Direttiva Macchine, Direttiva Bassa tensione, Direttiva Compatibilità Elettromagnetica,.) Al fine di raggiungere gli obiettivi di sicurezza fissati in tali leggi, particolarmente utile risulta il ricorso a Norme Tecniche emesse da Istituti di Certificazione internazionale (IEC, ISO,.) Le norme armonizzate conferiscono la cosiddetta presunzione di conformità 6

Safety in ambiente industriale Norme tecniche attinenti Macchinario Processo 7

Safety in ambiente industriale Le norme di sicurezza che più interessano la gestione di funzioni di sicurezza su reti di automazione industriale sono le norme attinenti la cosiddetta Sicurezza Funzionale La Sicurezza Funzionale è quella parte dell intera sicurezza che dipende dal corretto funzionamento dei sistemi di sicurezza elettrici, elettronici, programmabili, da altre tecnologie e da strumenti esterni di riduzione del rischio 8

Safety in ambiente industriale All interno di tali norme si fa riferimento alla cosiddetta "integrità di sicurezza" definita come la probabilità che un sistema di controllo sicuro esegua in modo soddisfacente le funzioni prescritte relative alla sicurezza, in tutte le condizioni dichiarate L integrità di sicurezza viene classificata, a seconda delle norme utilizzate, in Performance Level (PL) o Safety Integrity Level (SIL) Più elevato è il valore del PL o del SIL, minore è la probabilità che il sistema di controllo sicuro non esegua correttamente la richiesta funzionalità di sicurezza 9

Safety in ambiente industriale Parametri da considerare per il calcolo del Performance Level di una funzione di sicurezza (norma ISO 13849-1) Categorie di Sicurezza (vincoli architetturali) Mean Time To Failure dangeorus (MTTFd) del canale di sicurezza (sensore+ logica + attuatore) Diagnostic Coverage (DC) Common Cause Failure (CCF) 10

Safety in ambiente industriale Nel calcolo del Safety Integrity Level di una funzione di sicurezza (serie di norme IEC 61508 e relative norme applicative) la gestione è burocraticamente più complessa in quanto oltre alla medesima valutazione di vincoli architetturali, integrità di sicurezza e probabilità di guasto casuale dell hardware, la norma richiede la predisposizione di un vero e proprio piano di gestione della Functional Safety a copertura di tutte le fasi del ciclo di vita della sicurezza 11

Safety in ambiente industriale La serie di norme base per la gestione della Sicurezza Funzionale (IEC 61508) include anche la definizione delle misure tecnologiche che, se correttamente implementate, permettono la gestione di funzioni di sicurezza anche mediante l utilizzo di logica elettronica/elettronica programmabile e di bus di campo (reti) 12

Safety & Profibus/Profinet: il profilo PROFIsafe Il profilo per la gestione di segnali attinenti Funzioni di Sicurezza su reti e/o 13

Safety & Profibus/Profinet: il profilo PROFIsafe PROFIsafe Layer aggiuntivo al di sopra dei protocolli PROFIBUS e PROFINET Riduce la probabilità di errore di una trasmissione tra dispositivi di sicurezza Permette coesistenza di segnali safety e standard sullo stesso mezzo trasmissivo Supporta come mezzi trasmissivi rame, fibra ottica, wireless e backplane È certificato fino a SIL3 ai sensi di IEC 61508 14

Safety & Profibus/Profinet: il profilo PROFIsafe 15

Safety & Profibus/Profinet: il profilo PROFIsafe Il fatto che: il profilo PROFIsafe sia un layer aggiuntivo al di sopra del protocollo PROFINET l utilizzo della tecnologia Black Channel rende lo scambio di pacchetti dati indipendente dal mezzo fisico utilizzato i pacchetti dati PROFINET possono essere trasferiti in modo trasparente utilizzando le tecnologie wireless Bluetooth o WLAN consente di veicolare segnali di sicurezza anche in modalità wireless 16

Safety & Profibus/Profinet: il profilo PROFIsafe Layer di comunicazione sopra Profibus e Profinet CERTIFICATO SIL 3 17

Safety & Profibus/Profinet: il profilo PROFIsafe 18

Safety & Profibus/Profinet: il profilo PROFIsafe I/O remoti I/O remoti Dispositivi di sicurezza Sensori ottici Sensori per gas e fuoco Sensori di livello Factory Automation Processo F-Gateway Safety Drive Dispositivi PA Valvole ESD Robot Sensori di pressione 19

Security in ambiente industriale 20

Security in ambiente industriale Con fieldbus su base seriale e macchina non interconnessa, le preoccupazioni dei progettisti di automazione nei confronti della security si limitavano al predisporre opportune misure e/o modalità operative tali da evitare accessi al progetto installato sul sistema di controllo Questo al fine di evitare modifiche dello stesso con possibili conseguenze che avrebbero potuto coinvolgere la responsabilità dell installatore o del produttore del macchinario 21

Security in ambiente industriale La diffusione di protocolli a base Industrial Ethernet ha ancor più favorito l integrazione della rete di macchina nella piramide di comunicazione con scambi da/verso sistemi ERP/MES e con l accesso a tale rete anche da remoto: la Security diventa un esigenza imprescindibile anche per i progettisti di automazione industriale 22

Security in ambiente industriale Quali le possibili conseguenze di una non adeguata protezione di una rete Ethernet in ambito industriale? Qualche esempio. Lista (purtroppo) non esaustiva. 23

Security in ambiente industriale 24

Security in ambiente industriale Misure e soluzioni tecnologiche per garantire un adeguato livello di Security di una rete andranno quindi scelte in funzione delle esigenze specifiche Tra tali misure possiamo elencare un opportuna segmentazione di rete con adeguata protezione (routing/firewall) dei punti di segmentazione, una corretta gestione delle prerogative di accesso locale alla rete e un efficace protezione degli accessi da remoto (VPN, firewall, security cloud) L utilizzo di strumenti di monitoraggio continuo di rete permetterà anche la rilevazione immediata di tentativi di intrusioni non autorizzate 25

Security & Profinet Come i principi di Security possono trovare applicazione in una rete? Per il concetto di segmentazione della rete può essere utile fare riferimento alla serie di norme IEC 62433, all interno della quale vengono esplicitati i concetti di zone (anche dette celle o isole ) e percorsi Una zona è definita come un insieme di dispositivi appartenenti a una rete che condividono medesime necessità di security Ogni scambio dati tra diverse zone deve seguire un ben determinato percorso Ogni percorso deve essere adeguatamente protetto (Routing/Firewall/VPN) 26

Security & Profinet Remote Service Zone Customer Monitoring System DMZ Zone Percorsi Local HMIs Remote HMIs Customer DCS Dispositivi di protezione dei percorsi 27

Security & Profinet Per la segmentazione in celle si possono sfruttare le cosiddette Virtual Local Area Network (VLAN) Prevedendo nell infrastruttura di rete PROFINET degli switch di tipo managed è possibile creare delle sottoreti virtuali (le VLAN) Attraverso questa segmentazione sarà possibile definire anche delle adeguate politiche di accesso 28

Security & Profinet Internet WAN Un altra forma di segmentazione è quella che utilizza la cosiddetta Demilitarized Zone (acronimo DMZ) Server aziendali (sito Internet, posta elettronica, ) Questo consente la creazione di una sottorete separata protetta in accesso da Firewall, all interno della quale è possibile disporre dispositivi più sensibili dal punto di visto della protezione dei dati Classici dispositivi dotati di porta DMZ sono i cosiddetti security router 29

Security & Profinet LAN WAN Un Firewall (dispositivo hardware e/o firmware) ideale permette la comunicazione solo da una rete protetta (rete LAN) verso l esterno (rete WAN, normalmente non sicura), impedendo accessi in senso opposto 30

Security & Profinet 192.168.0.2 WAN Port: 80 LAN Dispositivi dotati di Firewall configurabile permettono l accesso WAN -> LAN solo secondo regole ben precise 31

Security & Profinet Encryption Decryption Trusted Untrusted Network Trusted VPN Client Encrypted Data VPN Gateway Un tunnel VPN consente una comunicazione crittografata e quindi sicura attraverso una rete ʺinsicuraʺ (ad esempio Intenet) 32

Security & Profinet Come proteggere al meglio una rete PROFINET seguendo il concetto di segmentazione della IEC 62433? Quali le conseguenze delle scelte decisionali relativamente alle modalità di segmentazione sulla funzionalità della rete? 33

Security & Profinet Separazione tra rete di produzione e rete office Il percorso tra le due reti sarà adeguatamente protetto (ad esempio per mezzo di security router con firewall) La rete di produzione potrà poi a sua volta essere suddivisa in celle di automazione 34

Security & Profinet Esempio di scomposizione in quattro celle, a due a due appartenenti a linee di produzione differenti 35

Security & Profinet Se necessaria una comunicazione di Layer 2 tra due celle di una medesima linea (per esempio per assegnare il nome a dispositivi PROFINET), la stessa può essere realizzata mediante l utilizzo di switch Messaggi multicast possono raggiungere dispositivi di entrambe le celle 36

Security & Profinet Se è invece necessaria una comunicazione IP-based (quindi di Layer3), diventa necessario l utilizzo di un router La comunicazione di Layer 2 tra le due linee non è possibile e non è quindi possibile l uso completo dei servizi PROFINET 37

Security & Profinet Per separare in modo efficace la rete di produzione dalla rete IT, può essere utilizzato un Firewall che possa almeno definire delle regole basate su indirizzi IP e numero di porte 38

Security & Profinet L utilizzo di Firewall in ingresso a ogni cella permette una maggiore flessibilità nella definizione delle regole di accesso e accresce, di conseguenza, il livello di protezione della rete 39

Security & Profinet Volendo consentire accessi da remoto, ad esempio per operazioni di teleassistenza, può essere previsto un collegamento via VPN Il gateway VPN è a monte del Firewall ci modo che anche il traffico che attraversa il tunnel VPN può accedere o meno alle celle in funzione delle regole di configurazione del Firewall 40

Security & Profinet Se infine sulla rete sono presenti tratti con dispositivi PROFIsafe, questi dispositivi devono essere raggruppati in celle dedicate L accesso a e tra tali celle deve prevedere adeguata protezione (security gate con VPN/Firewall) 41

GRAZIE per l attenzione

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back