Was ist SCADA-Proxy
Cybersecurity für industrielle Anwendungen: SCADA-Proxy ist ein Application Layer Gateway (Layer 7) mit Deep Packet Inspection (DPI) und ein Protokollkonverter. SCADA-Proxy ist ein Werkzeug für die rechnergestützte Messdatenverarbeitung und Sensorik. Es wird für den Empfang und die Verteilung von Daten verwendet. Jede gewünschte Messgröße oder Datenquelle, jedes gewünschte Protokoll konnte der SCADA-Proxy bislang anbinden. SCADA-Proxy ermöglicht die Erfassung, Weiterleitung, Vorverarbeitung und Auswertung aller Daten und übergibt diese im richtigen Format an den gewünschten Empfänger. Der SCADA-Protokollkonverter ist als Software-Prozess oder als Hardware-Appliance verfügbar. Daten werden vor Ort verarbeitet, weitergeleitet, zentralisiert, verteilt, föderiert. Das empfohlene Schichtenmodell zur Isolation der Layer in kritischen und industriellen Infrastrukturen wird durch SCADA-Proxy praktisch überhaupt erst vorgabengetreu umgesetzt.
Was kann SCADA-Proxy
SCADA-Proxy kann in verteilten und eigenständigen Anwendungen implementiert werden. SCADA-Proxy ist so konstruiert, dass zuverlässig die Chronologie von Ereignissen aufgezeichnet wird, wenn einzelne Anwendungen temporär oder über längere Zeiträume offline sind. Einzigartig ist die Verbindung mit GEO-Daten-Protokollen. Diese ermöglichen eine präzise örtliche Zuordnung von Datenreihen bei mobilen, aber auch bei verteilten, stationären Messwert-Erfassungen. SCADA-Proxy ist verfügbar auf dem Einplatinenrechner bis zum gestandenen, virtualisierten Server im Datacenter.
Anwendungsbeispiele
Vom Industrie-PC, über den Einplatinenrechner bis zum gestandenen, virtualisierten Server im Datacenter. SCADA-Proxy kann immer eingesetzt werden, wenn zwischen Protokollen übersetzt werden soll, wenn die Performance oder die Anbindung einer Datenquelle nicht ausreicht oder wenn ein Signal zwischen mehreren Quellen und Senken verteilt werden soll. Darüber hinaus kann der Prozess eingesetzt werden, um Netze effektiv von einander zu trennen. Der Datenverkehr zwischen den Netzen kann kontrolliert und reguliert werden. Mit dem Protokollkonverter lassen sich binnen kürzester Zeit neue Lösungen schaffen um Datenströme zu lenken und zu verteilen. Der Protokollwandler kann zum Datenexport über Webservices, in Datenbanken, in CSV-, Excel- und XML-Dateien verwendet werden.
- IEC-60870 Gateway: Messwerterfassung und Verarbeitung, Weitergabe von Steuerbefehlen
- SCADA-Firewall zur exakten Definition der durchgeleiteten Datenpunkte
- SCADA-Firewall mit Deep Packet Inspection (Level 7/Layer 7/Anwendungsebene) für die Plausibilitätsprüfung der übertragenen Daten
- Anomalie-Detektion in Echtzeit
- Simulation von Datenquellen, Messgeräten und Gegenstellen auf Basis von historischen Zeitreihen
- Simulation von Datenquellen, Messgeräten und Gegenstellen auf Basis von erwarteten Daten
- Simulation von Datenquellen, Messgeräten und Gegenstellen auf Basis Datenfusion alternativer Datenquellen
- Simulation von Messgeräten und Gegenstellen auf Basis von historischen Zeitreihen
- Modbus-Anbindung: Auslesen und Steuern von Modbus-Komponenten
- IoT-Knoten: Auswertung und Vorverarbeitung von Informationen vor Ort, sammeln und übertragen von Daten, flexible Fernsteuerung von verteilten Komponenten
- Protokollkonverter: Vermitteln zwischen verschiedenen Feldbus-, SCADA- und IT-Protokollen
- REST zu Feld-Konverter: SCADA und Feldbus Messdaten werden via REST-Interface ausgeliefert oder bereit gestellt, Steuerung-Befehle werden auf der REST-Schnittstelle gegeben und an die Anlage übertragen
- Vorverarbeitung und Filterung vom Messwerten, zum Beispiel mit Kalman-Filter, Eingangsüberwachung via Watchdog, messwertbasierte logische Fehlerdiagnose
- Signalisierung von Informationen in die Leitwartentechnik und in das SCADA von Kabelnetzbetreibern
- Konsolidierung vieler Gegenstellen, Protokolle und Formate in eine einheitliche Datenpunkt-basierte SCADA-Gegenstelle
- Sicherheit: Isolation von Netzwerk-Infrastrukturen, zum Beispiel IT/OT-Integration unter Einhaltung der BDEW-Empfehlungen zur Isolation von Netzebenen
Unsere Leistungen
Sicherheit
SCADA-Proxy ist eine SCADA-Firewall. SCADA-Proxy wird nur mit notwendigen Fähigkeiten installiert. Filter auf Datenpunkten/Datenobjekten und Inhalten sind verfügbar. Beliebige Regeln und Überwachungen lassen sich schnell und sicher etablieren.
IT-Prozessoptimierung
SCADA-Proxy stellt sichere Verbindungen über Netz- und Organisationsgrenzen her, die ansonsten nur mit aufwendigen und teuren Integrations-Lösungen umgesetzt werden können.
Monitoring
Bei erhöhten Anforderungen an die Verfügbarkeit, wird SCADA-Proxy permanent überwacht, so dass sich abzeichnende Ausnahme-Situationen umgehend eskaliert und bearbeitet werden können. Für diesen Zweck stehen neben eigenen SCADA-Datenpunkten verschiedene Nagios / Icinga-Checks zur Verfügung, die in die IT-Infrastruktur des Betreibers integriert werden können.
Betrieb
SCADA-Proxy ist in allen Formen für den unbeaufsichtigten Betrieb (24/7) bestimmt. Redundante Installation und selbst die Verbindung von Gegenstellen mit unterschiedlicher Redundanzinterpretationen wird unterstützt. SCADA-Proxy vereinfacht den Betrieb in verteilten Systemen.
Maintenance
SCADA-Proxy wird abhängig von den Anforderungen an die Verfügbarkeit einer regelmäßigen Maintenance unterzogen. Dazu gehören: Auswertung der Protokoll-Dateien, Zustand des Host-Betriebssystems, Zustand der Host-Hardware, Überprüfung der verwendeten Plugins. Produktaktualisierungen werden im Rahmen der Maintenance eingespielt. Komplette Produkt-Upgrades werden auf kritischen Systemen mit Downtimes von unter 5 Sekunden realisiert.
Streaming
Über Plugins werden kontinuierlich Informationen in Echtzeit verarbeitet. Berechnete Informationen können weiter übermittelt werden, um nahtlos in verfügbaren Infrastrukturen verwendet zu werden. Bereits eine einzelne SCADA-Proxy-Instanz skaliert bis zu mehreren Millionen Ereignissen pro Minute. Verteilung, Föderation und Parallelisierung, Cluster sind möglich.
Archivierungs-Funktionen
SCADA-Proxy kann SCADA-Daten erfassen und über die GEO-Daten diese Daten verorten. Über eine Archivierungs-Funktionen in relationalen und Big Data Datenbanken können beliebige Zeitreihen pro Datenpunkt und pro GEO-Objekt archiviert werden. Damit bildet SCADA-Proxy die ideale Brücke vom operativen Feld (OT) in die Welt von IT und Business Intelligence (BI).
Security
SCADA-Proxy kann als Entkopplung von operativen (OT) und nicht operativen (IT) Netzen eingesetzt werden. Dies ermöglicht die Übertragung von Echtzeitdaten in ein anders oder weniger sicher eingestuftes Netz, ohne das jeweils andere Netz zu kompromittieren. SCADA-Proxy kann als Content-basierte Firewall zwischen Netzen eingesetzt werden. Die weltweit in der Praxis bewährte modulare Software-Architektur erhöht die Sicherheit durch Stripping nicht benötigter Funktionen.
Skalierbarkeit
SCADA-Proxy zeichnet durch sein sehr weitgehende Skalierbarkeit aus. SCADA-Proxy arbeitet massiv parallel. Durch Verteilung, Redundanz und Föderation der SCADA-Proxy-Instanzen kann praktisch jede beliebige Lastanforderung bedient werden. Der Kern des SCADA-Proxy kann mehrere Millionen Ereignisse pro Minute auf einer konventionellen Hardware verarbeiten. Die Übertragung zu Big Data/Zeitreihen-Datenbanken gehört zu den Grundfunktionen des SCADA-Proxy.
Plattformunabhängigkeit
Der SCADA-Proxy kann auf einer großen Bandbreite von Betriebssystemen und Plattformen eingesetzt werden. Darunter: Microsoft Windows (XP, 7, 8, 10, 2008, 2012 etc.), Linux und Derivate (Gentoo, RedHat, CentOS, SUSE, Debian, Ubuntu, OS-X, etc.), Rechenzentrum-Hardware, Workstation, Laptop bis hinunter zu ARM-Hardware.
Plugins
SCADA-Proxy ist über Plugins erweiterbar, leicht und sicher konfigurierbar. Viele Standardfunktionen sind über heute verfügbare Plugins realisiert. Spezifische Funktionen können schnell und sicher integriert werden. Plugins sind in Bibliotheks-Dateien abgelegt und können so selektiv aktiviert oder deaktiviert (gestrippt) werden.
SCADA-Proxy für kollaboratives Engineering
Mit SCADA-Proxy können beliebige Messgrößen, Daten und Informationen aus eigenen und fremden Datenquellen zusammen geführt werden (Fusion). Die Bevorratung von Daten aus industriellen Prozessen ist heute die Grundlage für Innovation und Prozessoptimierung. Unsere kollaborativen Werkzeuge erlauben die interaktive Auswertung von Daten und die Zusammenarbeit über Abteilungs- und Unternehmensgrenzen hinweg. SCADA-Proxy ist dabei, wenn Forschungsprojekte Daten erheben und wenn Laufzeitdaten aus Serienprodukten erfasst und ausgewertet werden sollen. Dabei können wir zu jedem Zeitpunkt – von R&D bis zur Verwendung in der Serie – dynamische Festlegungen zur individuellen und wirtschaftlichen Datenerhebung umsetzen. Cybersecurity haben wir dabei in den Genen. SCADA-Proxy ist als gehärtetes Application-Layer-Gateway verfügbar und wird auch zur Absicherung von kritischen Infrastrukturen eingesetzt.
Unterstützte Protokolle – Out Of The Box
SCADA- und IT-Schnittstellen
| SCADA Protokoll | Empfangen | Versenden | TCP-Client | TCP-Server | |
|---|---|---|---|---|---|
| IEC 60870-5.104 | ✓ | ✓ | ✓ | ✓ | |
| VHPReady | ✓ | ✓ | ✓ | ✓ | VHPReady 3.0 über IEC 60870-5.104 |
| IEC 60870-5.101 | ✓ | ✓ | - | - | Wandlung mittels 104/101 Medienkonverter |
| IEC 61850 | ✓ | ✓ | ✓ | ✗ | |
| EN 62053-31 | ✓ | ✓ | - | - | S0-Bus am Zähler; senden via Digital Out |
| DNP3 | ✓ | ✓ | ✓ | ✓ | |
| MQTT | ✓ | ✓ | ✓ | ✓ | |
| Modbus | ✓ | ✗ | ✓ | ✗ | |
| WAGO-Knoten | ✓ | ✗ | ✓ | ✗ | Anbindung von WAGO-Hutschienen-Komponenten |
| Beckhoff-Knoten | ✓ | ✗ | ✓ | ✗ | Anbindung von Beckhoff-Hutschienen-Komponenten |
| Phoenix-Contact-Knoten | ✓ | ✗ | ✓ | ✗ | Anbindung von Phoenix-Contaxt-Hutschienen-Komponenten |
| weitere Protokolle | ✓ | ✓ | ✓ | ✓ | Anbindung an beliebige standardisierte und proprietäre Protokolle |
| Digital In/Out | ✓ | ✓ | - | - | via DIN-Rail WAGO Knoten |
| Analog In/Out | ✓ | ✓ | - | - | via DIN-Rail WAGO Knoten |
| PT100, 4..20mA, 0..20mA | ✓ | ✓ | - | - | via DIN-Rail WAGO Knoten |
| DTS/DSTS/DVS-Formate | ✓ | ✓ | ✓ | ✓ | verschiedene Hersteller faseroptischer Messgeräte |
| Datenbank-Tabelle | ✓ | ✓ | ✓ | ✗ | JDBC & ODBC auf relationale Datenbanken |
| Datenbank-Archiv | ✓ | ✓ | ✓ | ✗ | Aufzeichnung von Messwerthistorien |
| Big Data Datenbank | ✓ | ✓ | ✓ | ✓ | Annahme, Übertragung, Konvertierung, Routing |
| Cassandra | ✗ | ✓ | ✓ | ✗ | Zeitreihen speichern |
| InfluxDB, Grafana | ✗ | ✓ | ✓ | ✗ | Zeitreihen speichern und visualisieren |
| SAP HANA | ✓ | ✓ | ✓ | ✓ | Übertragungen in die und aus der Cloud. |
| ReportServer | ✗ | ✓ | ✓ | ✗ | Bereitstellung für Business Intelligence Tools |
| JasperReports | ✗ | ✓ | ✓ | ✗ | Bereitstellung für Business Intelligence Tools |
| REST: XML & JSON | ✓ | ✓ | ✓ | ✓ | Übertragung per http/https als Webservice |
| WITSML | ✓ | ✓ | ✓ | ✓ | Datei-basierte Verarbeitung, TCP-basierte Übertragung, als Webservice |
| MQTT | ✓ | ✓ | ✓ | ✓ | |
| SFTP, SCP, FTP | ✓ | ✓ | ✓ | ✓ | |
| CSV, XLS, JSON, TXT, ... | ✓ | ✓ | - | - | Ablage von Dateien im Filesystem |
| Status-Info und Visualisierung | ✗ | ✓ | - | ✓ | browserbasierte Bereitstellung unter http/https |
| Proaktive Status-Mitteilungen | ✗ | ✓ | ✓ | ✗ | Belieferung von REST-Schnittstellen |
| Icinga/Nagios | ✗ | ✓ | ✗ | ✓ | Anbindung an das Monitoring mit Icinga/Nagios |
Wer wir sind
Die OKIT GmbH hat als Fraunhofer Spin-off die Wurzeln in der angewandten Forschung. Wir setzen als Dienstleister für Anlagen- und Maschinenbauer auf die Möglichkeiten der Vernetzung. Durch die Verbindung mit IKT-Anwendungen werden vorhandene Produkte oder Anwendungen intelligenter gemacht. Produktionsprozesse werden flexibler, die Wertschöpfung steigt und Innovationszyklen werden beschleunigt. OKIT stärkt gleichermaßen Ihre Wettbewerbsfähigkeit als Produktionsunternehmen sowie der Betriebe, die diese „smarten Anlagen“ einsetzen.