Применение мобильных технологий в нефтегазовой отрасли и их безопасность

Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 1

BYOD, М2М, Cloud… Есть ли шанс защитить корпоративные данные?!

Алексей Лукацкий

Бизнес-консультант по безопасности

Cisco Russia and CIS

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2

•  Рост стоимости материалов и производства, требуется рост эффективности процессов и более активное использование имеющихся активов и ресурсов

•  Требования охраны труда и безопасности персонала требуют вовлечения меньшего числа людей, тратящих меньше времени в опасном окружении

•  Масштабирование и потребность бизнеса в доступе в реальном времени к сенсорам/датчикам и индустриальной инфраструктуре


•  Полевые устройства и инструмента повышения эффективности работы функционируют в разных инфраструктурах

•  Затратное по деньгам и времени масштабирование индустриальной кабельной инфраструктуры

•  Неэффективное управление активами из-за отсутствия контроля в реальном времени

•  Невозможность планирования и предсказания профилактических работ

•  Невидимость состояния оборудования в системе мониторинга

•  Большое разнообразие протоколов и интерфейсов


•  Снижение продуктивности и негибкое управление активами

•  Зависимость от дорогих проприетарных технологий

•  Высокий OPEX из-за большого разнообразия

•  Высокие затраты на разработку и поддержку требуют поддержки разных сетей для разных целей

•  Снижение эффективности газовых станций

•  Высокие риски и инциденты в опасном окружении

•  Отсутствие гибкости в реализации бизнес-задач

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5 © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5

Нефтегазовая индустрия многообразна

Добыча Транспортировка Переработка


Разведка Разработка Добыча

Морские платформы

Обработка Транспорт

Хранение & Транспорт

Торговля

Очистка Маркетинг

Маркетинг

Исследования & Разработка, Инжиниринг, Высокопроизводительные вычисления

Source: Cisco IBSG Oil & Gas Team, May 2011- in collaboration with Global Oil & Gas BDMs Note- excludes alternative energy such as wind etc

Gas Oil Key

Офисное оборудование, Call Center, ЦОДы

Добыча Хранение и транспорт Переработка


Индустриальное взаимодействие

Enterprise Wide Connectivity

Здоровье

Отдых

Взаимодействие экспертов

Управление активами

Охрана труда

Взаимодействие на платформе /

буровой

Управление инцидентами

Удаленные эксперты

Удаленные операции

Контроль процессов

Множество устройств

Мобильность

Обучение / Распределение лучших практик

Взаимодействие с руководством

Быстрое реагирование

Сенсоры

Безопасность


Enterprise Wide Connectivity

Индустриальное взаимодействие

Здоровье

Отдых

Взаимодействие экспертов

Управление активами

Охрана труда

Взаимодействие на платформе /

буровой

Управление инцидентами

Удаленные эксперты

Удаленные операции

Контроль процессов

Множество устройств

Мобильность

Обучение / Распределение лучших практик

Взаимодействие с руководством

Быстрое реагирование

Сенсоры




Cisco Confidential 11 © 2011 Cisco and/or its affiliates. All rights reserved.

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12 12 12

Switch Switch

Router Router

VSAT Telco

Internal IT

VSAT VSAT

NetModem NetModem

Полевые условия

Узел связи

Contended BW Pool 600-1200ms latency

Корпоративная сеть

Very Small Aperture Terminal Терминал спутниковой связи


Switch Switch

Router Router

VSAT Telco

Internal IT

VSAT VSAT

NetModem NetModem

Полевые условия

Узел связи


Field User Gateway Корпоративная сеть

VPN

Very Small Aperture Terminal Терминал спутниковой связи


Switch

Router

VSAT Telco

Internal IT

Switch Switch

Router Router DMVPN

VSAT VSAT

NetModem NetModem

Field Teleport


Corporate

Switch

Router


Switch

VSAT

Switch

VSAT

VoIP Gateway VoIP Phones

NetModem

Router

NetModem

Router LOM

Analog Phones

Operators

Intranet

Gateway Vendors

Field User

Contractors

Employees

D&M Expert

Geo Expert

WS Expert

Support User

Support User

Call Manager

Intra-Site


Switch

VSAT

Switch

VSAT


WAAS

NetModem

Router

NetModem

Router LOM

Analog Phones

Operators

App (RTDS)

App (RTDS)

App (G&G)

App (E&A)

Digitizer

Digitizer

Digitizer

Aggregation Sensor

Sensor

Sensor

Encapsulation Server TX Intra-Site

Helpdesk

Intranet

Call Manager

WAAS

Gateway

Helpdesk

Vendors

Field User

Contractors

Data Center

WAAS

Employees

D&M Expert

Geo Expert

WS Expert

Support User

Support User

WAAS

WITS-ML 1.4.1 (Drilling) OPC XML DA (Drilling / Production) OPC UA (Drilling / Production) PROD-ML (Production) LDF / RLDF (Seismic) VDI / VXI (VMWare), ICA / HDX (Citrix) Virtualized desktop KPI Metric Assurance (customer monitoring)

KPI Monitoring - Time: All Channels Updating Update Frequency (1/5 Hz) Latency (1min)

KPI Monitoring - Depth: Close behind bit depth

Dataset gaps Correct UoM Correct Sensor Specification


Switch

VSAT

Switch

VSAT


WAAS WAAS

NetModem

Router

NetModem

Router LOM

Analog Phones

Server TX Aggregation Digitizer Sensor Encapsulation Data Center

Operators

App (RTDS)

App (RTDS)

App (G&G)

App (E&A)

Digitizer Sensor

Digitizer Sensor

Intra-Site

Helpdesk

Intranet

Call Manager

WAAS

Gateway

Helpdesk

Vendors

Field User

Contractors

WAAS

Employees

D&M Expert

Geo Expert

WS Expert

Support User

Support User

App (RTDS)

App (G&G)

App (E&A)


Switch

VSAT

Switch

VSAT


WAAS WAAS

Auto AP

NetModem

Router

NetModem

Router LOM

Analog Phones

iPhones WiFi Laptops WiFi Cameras WiFi Sensors


Operators

App (RTDS)

App (RTDS)

App (G&G)

App (E&A)

Digitizer Sensor

Digitizer Sensor

Intra-Site

Helpdesk

Intranet

Call Manager

WAAS

Gateway

Helpdesk

Vendors

Field User

Contractors

WCS

WAAS

Employees

Expert User

Expert User

Expert User

Support User

Support User

D&M Expert

Geo Expert

WS Expert


Switch

VSAT

Switch

VSAT


WAAS WAAS

WLC LWAPP RAP

Auto AP

NetModem

Router

NetModem

Router LOM

LWAPP MAP 802.11n Mesh

LWAPP MAP

Analog Phones



Operators

App (RTDS)

App (RTDS)

App (G&G)

App (E&A)

Digitizer Sensor

Digitizer Sensor

Intra-Site

Helpdesk

Intranet

Call Manager

WAAS

Gateway

Helpdesk

Vendors

Field User

Contractors

WCS

WAAS

Employees

Expert User

Expert User

Expert User

Support User

Support User

Expert User

Expert User

Expert User

D&M Expert

Geo Expert

WS Expert


Switch

VSAT

Switch

VSAT

Video TX Cameras


WAAS WAAS

WLC LWAPP RAP

Auto AP

NetModem

Router

NetModem

Router LOM


LWAPP MAP

Analog Phones



Operators

App (RTDS)

App (RTDS)

App (G&G)

App (E&A)

Digitizer Sensor

Digitizer Sensor

Intra-Site

Helpdesk

Intranet

Video RX

Call Manager

WAAS

Gateway

Helpdesk

Vendors

Field User

Contractors

WCS

WAAS

Employees

Expert User

Expert User

Expert User

Support User

Support User

Expert User

Expert User

Expert User

D&M Expert

Geo Expert

WS Expert


Switch

VSAT

Switch

VSAT

Video TX Cameras


WAAS WAAS

WLC LWAPP RAP

Auto AP

NetModem

Router

NetModem

Router LOM


LWAPP MAP

Analog Phones



Operators

App (RTDS)

App (RTDS)

App (G&G)

App (E&A)

Digitizer Sensor

Digitizer Sensor

CEBT / PA

Intra-Site

Helpdesk

Intranet

Video RX

Call Manager

WAAS

Gateway

Helpdesk

Vendors

Field User

Contractors

WCS

WAAS

Employees

Expert User

Expert User

Expert User

Support User

Support User


Периметр

Сеть распределения

Ядро сети

Wellhead Automation Smart drilling Rig

Полевая мобильность

Микросейсмические приложения

Отслеживание активов RFID

Видеонаблюдение

Контроль в реальном времени

Прозрачный QoS Низкие задержки

Гигабитная магистраль

Полное покрытие

IE-3000 L-3 Switch

RDL-3000m Nomadic Radio

IE-3000 L-3 Switch

Elte-MT ATEX-2 Radio

RDL-3000 Base Station

RDL-5000 PTP-Microwave

Control Servers

Cisco IE-3000 Industrial Switches

Network Services

Subsurface Modeling

Видео-сервер Сервер взаимодействия

Определение Routing & QoS

Управление и контоль

M2M I/O Server

Corp VPN

ASR-1000 ASA-5500 Cisco Switch


RDL-3000 Base Station

1552 APGateway

RF-ID Mobile Workers

VoIP Video Surveillance

HMI

RTU Real Time I/O Controller

Video Surveillance

Access Control

NMS/EMS

Cisco Video Surveillance MGR

Cisco Unified Comms Server

Cisco Wireless Controller



Разведка Морская добыча

Трубопровод

Береговая добыча

Control Center

Переработка

Wired Wireless

Морская доставка

Хранение

Control/Field

Plant/IT SCADA/Process

Control Center

Fiber Wireless Mesh

Control/Field


Control Center

Fiber Wireless Mesh

Control/Field


Control Center

Fiber

Control/Field


Control Center

Fiber Wireless Mesh

Control/Field


Control Center

Fiber Wireless Mesh

Control/Field


Control/Field SCADA/Process

Предварительная

Control Center

Fiber Wireless

Mesh Control/Field


WAN

Центры контроля и управления


Router

ESC Experion Server

Safety Manager

Terminal Server

Domain Controller

ESF PHD Server

Firewall

Enterprise Switch

Level 3

Level 3.5 DMZ

Level 4

Terminal Server

Patch Mgmt Server

Anti Virus Server

Level 2

Level 1

Топология типичной индустриальной сети Сегмент Характеристики Технологии

Заводы/ИТ

•  COTS •  Обычный Wireless •  МСЭ •  Обычный L2/L3 Switching и

Routing •  Богатый функционал

Процесс/SCADA

•  Надежные & COTS •  Отказоустойчивый •  DIN или Rack

mounted

•  Стандартные СКС, Ethernet/IP •  Обычный Wireless •  Функции L2/L3 •  МСЭ/ИБ

Контроль/”Поле”

•  Надежный, •  Отказоустойчивый и резкрвирный

•  DIN и rack mounted •  Защитный кожух •  Срок жизни 10-20 лет

•  Минимальное вмешательство

•  Просто & прочно •  Детерминированно

•  Кабеля – оптика и медь •  Разные стандарты Ethernet и не-Ethernet (e.g. Modbus, Hart, Profinet)

•  L2, без маршрутизации •  Фиксированные адреса, нет

DHCP •  Только мониторинг: Wireless

Sensors (e.g. ISA 100, WiHart) •  Преобразование протоколов


ДЕТЕРМИНИЗМ

“Non-Deterministic”

Информация

Вход/Выход

Перемещение

Управление в замкнутом контуре

“More Deterministic” “Very Deterministic” “Strictly Deterministic”

UNMANAGED 10Mb/s, Half-Duplex,

slow convergence

MANAGED 10/100Mbs, 802.11 a/b/g, QoS,

RSTP Fast Convergence (s), IGMP, Full-Duplex, Wirelss Mesh

REAL TIME Gb/s, IEEE 1588 PTP, 802.11n,

Low-latency, CleanAir, Very Fast Convergence (ms)

DETERMINISTIC ETHERNET 10 Gb/s, Low Jitter, Precise Scheduling,

Loss-less Convergence, Multi-path switching

ПРИЛОЖЕНИЯ

Беспроводные

Проводные

Будущее Критические


•  Отслеживание производительности – контроль роста качества, производство и общая эффективность оборудования

•  ERP и взаимодействие с производственными системами •  Предсказуемая поддержка оборудования, Отслеживание активов и Поддержка удаленных экспертов

DCS


для опасных применений •  Class 1, Division 2/Zone 2 •  Class 1, Division 1/Zone 1 •  CSA Hazardous Location certification for US and

Canada: Class I, Division 2 (AIR-LAP1552Hz-A/N-K9). Power Entry Module, Groups A,B,C,D with T5 (120 deg C) temp code

•  ATEX certification for worldwide deployment: Class I, Zone 2 (AIR-LAP1552HZ-E-K9). Power Entry Module, Groups IIC, IIB, IIA with T5 (120 deg C) temp code

•  Сертифицировано с антеннами



•  API Security Guidelines for the Petroleum Industry

•  API 1164 «SCADA Security»

•  American Gas Association (AGA) 12 Cryptographic Protection of SCADA Communications (4 части)

•  Стандарт ISA SP99

•  Стандарты IEC

•  Стандарты по ИБ Газпрома

•  Документы ФСТЭК по КСИИ


Источник: SCADA System Cyber Security – A Comparison of Standards


Security


Cell/Area Zone Уровни 0-2

Индустриальная зона

Уровень 3

Буферная зона

(DMZ)

Контроль в реальном времени

Конвергенция

Multicast Traffic

Простота использования

Сегментация Мультсервисные сети Безопасность приложений и управления

Контроль доступа

Защита от угроз

Сеть предприятия Уровни 4-5

Gbps Link for Failover Detection

Firewall & IPS

Firewall & IPS

Application Servers

Cisco Catalyst Switch

Network Services

Cisco Catalyst 6500/4500

Cisco Cat. 3750 StackWise Switch Stack

Patch Management Terminal Services Application Mirror

AV Server

Cell/Area #1 (Redundant Star Topology)

Drive

Controller

HMI Distributed I/O

Controller

Drive Drive

HMI

Distributed I/O

HMI

Cell/Area #2 (Ring Topology)

Cell/Area #3 (Bus/Star Topology)

Controller

Интеграция в сеть предприятия UC Wireless Application Optimization Web Apps DNS FTP

Internet

Identity Services Engine


Защита сети


Защита мобильности

Защита контента

Информировать, защищать и реагировать

Level 5

Level 4

Level 3

Level 2

Level 1

Level 0

Terminal Services

Patch Management

AV Server

Application Mirror

Web Services Operations

Application Server

Enterprise Network

Site Business Planning and Logistics Network E-Mail, Intranet, etc.

FactoryTalk Application

Server FactoryTalk

Directory Engineering Workstation

Domain Controller

FactoryTalk Client

Operator Interface

FactoryTalk Client

Engineering Workstation

Operator Interface

Batch Control

Discrete Control

Drive Control

Continuous Process Control

Safety Control

Sensors Drives Actuators Robots

Enterprise Zone

DMZ

Manufacturing Zone

Cell/Area Zone

Web E-Mail

CIP

Firewall

Firewall

Site Manufacturing Operations and Control

Area Supervisory Control

Basic Control

Process

•  Рост требований к индустриальной ИБ требует интеграции с общей ИБ предприятия

•  Безопасность должна быть интегрированной в инфраструктуру сети

•  Регулирование ИБ КВО


•  Индустриальный МСЭ (уровни 0-2) •  DIN Rail Mountable •  Требования по надежности (IP20) •  Единые подходы по управлению •  Контроль приложений, пользователей и устройств (applications, micro-applications, role-based, group-based)

•  Контроль состояния •  Identity firewall •  Контроль приложений •  Deep Packet Inspection •  Поддержка индустриальных протоколов •  Поддержка сигнатур для индустриальных протоколов в IPS

•  Свои сигнатуры


Компактный Надежный

Функциональный

Предназначен для работы в агрессивной климатике – вибрация, влажность, пыль,

температура

IOS-Based – Совместим с ISR, встроенная защита SMS и

поддержка GPS

Наиболее компактный и защищенный M2M шлюз с

двумя SIM-картами

ПРЕИМУ-ЩЕСТВА:

Простота инсталляции и снижение TCO

Cisco ISR 819

Отказоустойчивость и надежность

Удаленное управление и мониторинг

Mobile IP and IPv6 Ready




Контроль людей / активов

Безопасность процессов / физическая

Мобильные коммуникации

Самоорганизующиеся сети

Mobile Worker

Classic & Hart I/O

H1, DP, DeviceNet, etc


Проблемы заказчика

•  Подземные пробки с тяжело груженым передвижным оборудованием приводили к простоям

•  Коммуникации с подземными работниками и отслеживание их местоположения •  Ручной ввод данных в ERP-систему об отгрузке

Решение

•  Внедрение : •  Cisco Unified Secure Wireless solution •  RFID technologies от Aeroscout •  Cisco Unified Communications for Voice & Collaboration.

•  Отслеживание оборудования - снижение времени контроля •  Подземные мобильные коммуникации - Возможность оперативного принятия решения и быстрая реакция на инциденты

•  Автоматическая загрузка данных в ERP систему – Расчеты в реальном времени

•  Контроль движения транспортных средств и исключение пробок – рост продуктивности

•  Рост продуктивности сотрудников и эффективности производства

Результаты


Сложности •  Люди работают в опасном окружении •  Необходимость отправки большого количества людей для помощи друг другу

•  Необходимость мониторинга состояния здоровья и безопасность в реальном времени без дополнительных человеческих ресурсов

Решение •  Определение местоположения людей по RFID •  Мониторинг условий труда в реальном времени

Результаты •  Определение местоположения людей и активов в реальном времени и удаленно

•  Автоматизация уведомлений и сигнализации •  Управление множеством точек и снижение TCO •  Информация попадает в корпоративные приложения

Технологии •  Cisco Industrial Wireless Network •  AeroScout Tags, Industrial Scientific Gas Detector •  Accenture System Integration

Контроль местоположения людей и активов


МАРШРУТ ЦЕНТР УПРАВЛЕНИЯ

ПЕРЕСЕЧЕНИЕ ГРАНИЦЫ ЗОНЫ

(контроль через GPS)


Проблемы • Мониторинг интенсивности труда • Полоса пропускания и задержки на спутниковых каналах

• Множество кабелей во всех местоположениях • Необходимость круглосуточного взаимодействия и нехватка обслуживающего персонала

Результаты •  Снижение простоев и посещений площадок •  Рост безопасности персонала в связи со снижением числа визитов «на места»

•  Принятие решений в реальном времени

Решение • Надежная, отказоустойчивая архитектура • Удаленная диагностика снижает физические визиты

• Удаленная поддержка для ускоренного принятия решений

Технологии •  Cisco Wireless mesh and access techniques •  Cisco IP video cameras for monitoring and remote

visual inspection •  Cisco ISP based Session Continuity

Распределенная инфраструктура



Проблемы

•  Отслеживание персонала на морской платформе и нефтяной вышке

•  Контроль перемещения персонала в контролируемые зоны

•  Безопасность персонала и посетителей

Решение •  Cisco Unified Secure Wireless Network •  Cisco MSE with Context-Aware software integrated with

company’s on board access control and maintenance application •  Cisco CCX Tags - Intrinsically safe tags

Преимущества

•  Улучшение охраны труда и безопасности персонала

•  Инвентаризация в реальном времени (что особенно актуально для труднодоступных морских платформ)

•  Аудит перемещения персонала по платформе


Судно добычи

Береговой актив

Судно снабжения

LTE

LTE

Wireless Mesh

LTE

LTE

VSAT


Root APs

Mesh APs 3750G


Проблемы • Старение оборудование, рост OPEX • Рост регулятивных требований • Доступность экспертов и затраты на командировки

Результаты • Рост доступности оборудования • Снижение затрат на командировки • Рост безопасности персонала

Сценарии

1

3 4

2

Решение • Мобильные двусторонние коммуникации • Центральные эксперты для поддержки на местах • Средства взаимодействия «show & share»

Технологии • Cisco Wireless mesh network • Librestream HD mobile IP video camera • Telepresence Integration – including Cyviz • Cisco Show & share and knowledge base

Удаленный эксперт


Обмен опытом с экспертами в разных местах

Создание видео-архива лучших практик

Захват & Показ видео с удаленных площадок

Доступность удаленных мест без физического посещения

Взаимодействие с ключевыми людьми


Проблемы •  Взаимодействие персонала, принятие решений •  Снижение работоспособности из-за сложных операций бурения

•  Взаимодействие с центральной командой с любого места на платформе

Решение •  Cisco First Mile Wireless и Cisco Unified

Communications suite •  Решение Cisco по безопасности

Результаты •  Снижение простоев, давшее $9М экономии ежегодно

•  Улучшение процесса принятия решений


Проблемы • Рост доходов, доли на рынке и маржи • Клиенты требовали большей функциональности на АЗС

• Потребность в дополнительных сервисах • Потребность в быстром, качественном обслуживании и получении нового опыта Решение • Стандартизация инфраструктуры взаимодействия

• Ускорение внедрения новых сервисов Результаты • Снижение затрат + рост доходов = лучшие финансовые показатели

• Создание новых сервисов для будущего роста доходов

• Удаленная поддержка и управление коммуникациями Технологии • Cisco IRS for connectivity and services • Cisco Security и wireless products

Public Voice Communications In-Store Advertising

Internet Kiosk: Data, Voice, Music and Video

WiFi Hotspot: Public Internet Access

Credit Card Authorization

Loyalty system

Centralized Physical Security

IP-enabled CCTV

Corporate Communications

Retail Inventory & Stock Ordering

Fuel Logistics

RFID Inventory Management

Vehicle Plate Recognition

Оснащение АЗС


•  Контроль трубопровода в реальном времени (замедленная реакция на простои трубопровода может обойтись в свыше $1M в час)

•  Соответствие требования по безопасности и защите окружающей среды (Более высокие риски в результате невозможности реагировать на чрезвычайные ситуации)

•  Рост рисков безопасности ввиду недостатка полноценного удаленного мониторинга


Проблемы •  Большая протяженность (2500 км) и устаревшая технология SDH

•  Удаленный мониторинг трубопровода и контролируемых зон вдоль него (задвижки)

•  Снижение затрат на поддержку и повышение надежности

Решение •  Сеть как платформа безопасности •  Cisco Video surveillance/Physical security •  Миграция на Ethernet (SDH как backup) •  Комбинация оптики + спутника + microwave + 3G для многоуровневой отказоустойчивости SCADA


Защита периметра


IP Video Surveillance & Video Analytics

IP-телефония

Wireless


Сокращение простоев Сокращение накладных расходов на поддержку Проактивный мониторинг Защита персонала Оперативная уверенность Эффективные коммуникации Безопасность активов Проактивный анализ рабочих процесов Рост срока жизни оборудования Взаимодействие друг с другом Снижение текучки кадров на местах Рост доли рынка и экспансия Качество, охрана труда, безопасность и экология Техническое лидерство и инновации

БЫСТРЕЕ ПОЛУЧИТЬ ПРИБЫЛЬ

БЕЗОПАСНОСТЬ И ЗАЩИТА ОТ ПОТЕРЬ

ЛИДИРУЮЩИЕ ПОЗИЦИИ


Все объединено в единую сеть «Интернет вещей» (M2M)

Корпоративные сети

ЦОД / Облако


ERP, etc.

Уровень станции

ИТ-сеть станции

Manufacturing Router

Distribution Routers

IT Servers

Core Routers

Корпорация Automation and Control Applications

Automation and Control Devices

Wi-Fi сеть станции

Sensor Mesh Network

Удаленно

Access Switches

Ethernet

Индустриальный коммутатор

Cell/Area Сеть беспроводных сенсоров

SiSiSiSi

SiSiSiSi

Партнеры

Wi-Fi Mesh and Location Receivers

Wi-Fi Voice

Industrial Video

Location Chokepoint

Location Tags

DMZ станции

Wireless Controller

Location Engine

Управление сетью и безопасностью

Terminal Server

Видео

Голос

Wireless, Video and Voice Servers

Wide Area Network

Internet

Менеджеры



Вопросы

Technology

Применение мобильных технологий в нефтегазовой отрасли и их безопасность