Acqua nella NuvolaSistema di Telecontrollo in “Cloud” per Sistema
Idrico“Proof-Of-Concept” per Acquedotto
Multiutility
Enzo M. TieghiServiTecno/GE-Intelligent Platforms
[email protected] www.telecontrollo.biz www.ourwatercounts.org
Enzo Maria Tieghi• Amministratore Delegato di ServiTecno
(da oltre 20 anni software industriale)
• Consigliere AIIC, attivo in associazioni e gruppi di studio per la cyber security industriale (ISA s99 member)
• In Advisory Board, gruppi e progetti internazionali su Industrial Security e CIP (Critical Infrastructure Protection)
• Co-autore ed autore pubblicazioni, articoli e memorie
2
Enzo Maria Tieghi• Amministratore Delegato di ServiTecno
(da oltre 20 anni software industriale)
• Consigliere AIIC, attivo in associazioni e gruppi di studio per la cyber security industriale (ISA s99 member)
• In Advisory Board, gruppi e progetti internazionali su Industrial Security e CIP (Critical Infrastructure Protection)
• Co-autore ed autore pubblicazioni, articoli e memorie
3
Requisiti del Sistema:
• Acquisizione dati distribuiti sul territorio• Semplicità di deployment e scalabilità• Alta Disponibilità• Vincoli di costo per implementazione e
manutenzione (TCO ridotto)• Accesso multi-dispositivo ai dati (BYOD)• Contestualizzazione di grandi volumi di
dati storicizzati e real time (B.I./Big Data)
SCADAServer
Client Scada-Historian-KPI
1
3
4
67
Mobile BI- KPI/ Allarmi
RTU su APN Privata/Pubbli
ca
2
5
Datacenter/HistorianServer
KPI/ALM Server
RTU su APN Privata/Pubbli
ca
SCADAServer
1
RTU su APN Privata/Pubbli
ca
SCADAServer
1
1 – Connessione RTU-SCADA su APN Privata o Pubblica• Ogni modulo/RTU dispone di indirizzo IP Pubblico (o
Privato)• SCADA dispone di un indirizzo IP Pubblico (o Privato)• A tempo (o su evento) ogni modulo/RTU invia a
SCADA i dati collezionati/Allarmi• Comunicazione avviene su porta UDP• Il traffico non è cifrato. RTU e SCADA sono però
“autenticati”. • Per maggiore security si utilizza APN Privata• su APN Pubblica non è possibile vpn tra RTU e SCADA
SCADAServer
2Datacenter/Historian
Server
2 – Connessione SCADA-Historian• Connessione tra SCADA e Historian richiede
collegamento TCP/IP (si seleziona porta).• su rete Pubblica, è possibile una vpn.• Comunicazione su porta TCP• Il traffico non viene cifrato• Si può utilizzare “tunnelling” • Si può utilizzare “Diodo” (Data-Diode)
SCADAServer
Client Scada-Historian-KPI
3
3 – Connessione Client-Scada (iFix)
• La connessione tra Client e Scada iFix richiede collegamento TCP/IP, con suo protocollo
• Su rete pubblica, è possibile usare vpn.• La comunicazione avviene su porta TCP• Il traffico può essere criptato• Client: Fat-client tradizionale, Thin-Client o
WebSpace
Client Scada-Historian-KPI
4
Datacenter/HistorianServer
4 – Connessione Client-Historian• Tra Client Historian-Server Historian collegamento
TCP/IP.• Su rete pubblica con vpn.• Comunicazione su porta TCP• Protocollo proprietario• Traffico può essere cifrato• Client possibili: Web Client, Client iFix/Pulse, API,
Excel add-in, OleDB, XML, ecc.
5
Datacenter/HistorianServer
KPI/ALM Server
5 – Connessione Historian-KPI• Connessione Historian-KPI via TCP/IP.• su rete pubblica, è possibile usare una vpn• Comunicazione su porta TCP• Il traffico può essere cifrato• VisualKPI è a tutti gli effetti un client “ONE-WAY” di
Historian
Client Scada-Historian-KPI
67
Mobile BI- KPI/ Allarmi
KPI/ALM Server
6/7 – Connessione Client-KPI• Connessione Client-KPI via http(s) (HTML5) • Client solo in consultazione • Autenticazione User/Mobile device (certificati)• Gestione di livelli differenti di accesso ai dati• SMS, email e Messaggistica per
Operatori/Allarmi/dati
SCADAServer
Client Scada-Historian-KPI
1
3
4
67
Mobile BI- KPI/ Allarmi
RTU su APN Privata/Pubbli
ca
2
5
Datacenter/HistorianServer
KPI/ALM Server
Zones & Conduits (ISA99/IEC62443)
DataServer
File/PrintServer
App.Server
WorkstationLaptop computer
Router
Plant A Zone
Controller Controller
I/O I/O
App.Server
DataServer
Maint.Server
Plant A Control ZoneFirewall
DataServer
File/PrintServer
App.Server
WorkstationLaptop computer
Router
Plant B Zone
DataServer
File/PrintServer
App.Server
WorkstationLaptop computer
Router
Plant C Zone
MainframeWorkstationLaptop computer Server Server
Enterprise Zone
Firewall
Enterprise Conduit
Plant Control Conduit
Controller Controller
I/O I/O
App.Server
DataServer
Maint.Server
Plant B Control ZoneFirewall
Firewall
Plant Control Conduit
Controller Controller
I/O I/O
App.Server
DataServer
Maint.Server
Plant C Control ZoneFirewall
Firewall
Plant Control Conduit
AIIC – Associazione Italiana esperti Infrastrutture Critiche
AIIC – Associazione Italiana esperti Infrastrutture Critiche
AIIC – Associazione Italiana esperti Infrastrutture Critiche
AIIC: verso un Security/Resilience Maturity Model
AIIC – Associazione Italiana esperti Infrastrutture Critiche
WORK-IN-PROGRESS
• GdL "Sicurezza dei Sistemi Idrici", coordinatori Roberto Setola e Enzo Maria Tieghi• GdL "Sicurezza dei Sistemi SCADA", coordinatore Stefano Panzieri
www.infrastrutturecritiche.it
Top Related