Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Id de Actividad: E02
1
CASO SURFACE MINING S.A.
I. Contexto
2
Figura 1: Producción cobre refinado. (Fuente:)
A la red de Control (Redes Industriales PLC, DCS), es una red segregada lógica y
físicamente, solo los operadores autorizados (cuatro por turno) pueden acceder a ella
y usar las estaciones de trabajo, así como ingenieros (dos) y soporte interno y soporte
del vendor del sistema se sensores y monitoreo (una conexión VPN provista por
nuestra compañía, perfil restringido).
De momento SURFACE MINIG S.A, desarrolla este proceso de forma aislada de la red
IT de la compañía dado que no ha logrado implementar segregación por medio de una
DMZ Industrial.
En corto plazo la compañía estará implementando en sus instalaciones mina una DMZ
industrial, de tal forma de poder integrar tanto las faces operativas y la información
que estas producen, con las funciones administrativas y de gestión, trasmitiendo un
flujo de información desde la red OT hacia la IT, pasando a través de la DMZ; para ello
se ha estado trabajando en un diseño que habilite la segregación tanto física como
lógica de la red corporativa/Enterprise, a la red de procesos.
3
III. Diagrama de Red de Alto Nivel
4
IV. Tecnología (Ejemplo)
Centro de Operaciones
File Server
Jump Host
estación Engineer
Canti dad: 2
5
6
Planta
Canti dad: 20
Canti dad: 4
Canti dad:2
Canti dad:2
Rockwell
Canti dad: 2
1756-EN2T/D Ethernet
ControlLogix
Canti dad:2
Communicati on
7
8
I. Descripción System under Consideration SuC
9
o Diagrama Alto Nivel
10
II. Descripción Detallada del Sistema
Vamos a describir el diagrama de alto nivel de nuestra plataforma desde las zonas de
campo hasta el proveedor de servicios de dicha plataforma. Nuestra plataforma de
monitoreo cuenta en Zona de Campo – Lvl0, con sensores de monitoreo de
condiciones de piezas rotativas (vibración, rotación, temperatura) de las correas
transportadoras de mineral bruto sin procesar, cabe señalar que estas correas tienen
asignado según la operación distintos niveles de criticidad, las correas más críticas son
monitoreadas una vez al día, en cambio las menos críticas para la operación son
monitoreadas una vez cada tres días. Los equipos que acceden a esta información son,
ingenieros de campo, operarios de mina y planta, supervisores y superintendentes
operación mina.
Entre Zona de Campo – Lvl0 y Zona de Control Básico, tenemos el conducto L1-L0 o
red de campo, el cual cuenta con un Switch Industrial Hirschmann. En la Zona de
control Básico, tenemos nuestros concentradores de datos del proveedor (Emerson),
que acumula los datos de muestra de campo provisto por los sensores.
En la Zona de Procesos - Lvl2, podemos apreciar la arquitectura del conducto L2-L1 red
de supervisión, conformado por Firewal industrial (Cisco ASA 5525-x), un router
industrial (Cisco IE-1000-8P2S-LM) y un switch industrial (Hirschmann Mach 1000). En
esta zona también podremos encontrar plataforma virtualizada con VMware/VSphere,
una estación de Ingeniería (Estándar Emerson), un usuario red OT (VM), el DCS
(PowerEdge) del proceso transporte correas, un servidor de aplicación OT, y un
servidor Base de Datos SQL OT.
Por medio del Conducto L3-Z0 (DMZ IT/OT), nuestro proveedor usando nuestra VPN
puede acceder a la plataforma por la cual nos entrega servicio de monitoreo de
condiciones de piezas rotativas.
11
zona de cumplimiento de requisitos de seguridad, de acuerdo a nuestra evaluación y
madurez nuestro nivel de security level es ‘Target’, y el valor de seguridad es 2 (SL-T
=SL2).
12
Inventario HW, Centro Operaciones y Planta (Lvl3-Lvl0)
Servidor DB vendor
Estaciones de
Ingeniería
Estaciones de
Operación
Canti dad: 3
Canti dad: 2
Red de Supervisión
Red de Administración
Canti dad: 2
13
REQUISITOS DE CIBERSEGURIDAD DE PROYECTO
14
de nivel 0
Componentes de la zona
Componente:
Sensor vibración
Instrumentación
Unidades : 1
de proceso
FR1 - IAC
15
Requisitos de ciberseguridad para la zona Zona Campo
16
Requisitos de ciberseguridad para la zona Zona Campo
FR2 - UC
17
Requisitos de ciberseguridad para la zona Zona Campo
proceso de auditoria
FR3 - SI
18
Requisitos de ciberseguridad para la zona Zona Campo
FR4 - DC
SR 4.1 - Confidencialidad de la
Sensor vibración,
información
FR5 - RDF
SR 5.4 - Particionamiento de
Sensor vibración,
aplicaciones
FR6 - TRE
FR7 - RA
19
Requisitos de ciberseguridad para la zona Zona Campo
20
Requisitos de ciberseguridad para la zona Zona Campo
Zona
Zona de
Zona Control Basico
componentes
Zona Control concentradores de datos del proveedor (Emerson)
de nivel 1 y
nivel 2
Componentes de la zona
Componente:
Concentrador MHC6500
Controlador
Unidades : 1
de proceso
21
Requisitos de ciberseguridad para la zona Zona Control Basico
requisito
FR1 - IAC
22
Requisitos de ciberseguridad para la zona Zona Control Basico
FR2 - UC
23
Requisitos de ciberseguridad para la zona Zona Control Basico
FR3 - SI
24
Requisitos de ciberseguridad para la zona Zona Control Basico
FR4 - DC
SR 4.1 - Confidencialidad de la
Concentrador MHC6500,
información
FR5 - RDF
SR 5.4 - Particionamiento de
Concentrador MHC6500,
aplicaciones
FR6 - TRE
25
Requisitos de ciberseguridad para la zona Zona Control Basico
FR7 - RA
26
Requisitos de ciberseguridad para la zona Zona Control Basico
Zona
Zona de Procesos
Zona de
proceso transporte correas, un servidor de aplicación OT, y un
componentes
servidor Base de Datos SQL OT
de nivel 2
Componentes de la zona
27
Componentes de la zona
Componente:
DCS
Servidor
Unidades : 1
SCADA
Compone
nte: Servidor App Vendor
Servidor Unidades : 1
OT
Componente: Servidor DB
Servidor BD Unidades : 1
28
Integridad Disponibilidad Confidencialidad
Criticidad del
componente:
Media Alta Baja
FR1 - IAC
29
Requisitos de ciberseguridad para la zona Zona de Procesos
FR2 - UC
30
Requisitos de ciberseguridad para la zona Zona de Procesos
31
Requisitos de ciberseguridad para la zona Zona de Procesos
FR3 - SI
FR4 - DC
32
Requisitos de ciberseguridad para la zona Zona de Procesos
FR5 - RDF
SR 5.2 RE (1) Denegar por defecto, Estacion Ingenieria, DCS, Servidor App
permitir por excepción Vendor, Servidor DB,
SR 5.3 - Restricción en
Estacion Ingenieria, DCS, Servidor App
comunicaciones persona a persona
Vendor, Servidor DB,
de propósitos generales
FR6 - TRE
33
Requisitos de ciberseguridad para la zona Zona de Procesos
FR7 - RA
SR 7.1 RE (1) Gestionar la carga en las Estacion Ingenieria, DCS, Servidor App
comunicaciones Vendor, Servidor DB,
34
Requisitos de ciberseguridad para la zona Zona de Procesos
Componentes de la zona
35
Componentes de la zona
Componente: MES
Servidor MES Unidades : 1
Criticidad del
Integridad Disponibilidad Confidencialidad
componente:
36
Baja Baja Baja
FR1 - IAC
37
Requisitos de ciberseguridad para la zona Zona Supervisión
FR2 - UC
38
Requisitos de ciberseguridad para la zona Zona Supervisión
FR3 - SI
39
Requisitos de ciberseguridad para la zona Zona Supervisión
FR4 - DC
40
Requisitos de ciberseguridad para la zona Zona Supervisión
FR5 - RDF
SR 5.2 RE (1) Denegar por defecto, Servidor App , Usuario Operacion OT,
permitir por excepción MES,
FR6 - TRE
FR7 - RA
41
Requisitos de ciberseguridad para la zona Zona Supervisión
SR 7.1 RE (1) Gestionar la carga en las Servidor App , Usuario Operacion OT,
comunicaciones MES,
42
Requisitos de ciberseguridad para la zona Zona Supervisión
Zona
Zona
corporativa Zona Red Corporativa
con red corporativa
componentes
de nivel 4
Componentes de la zona
Componente: Estaciones
Estación IT Unidades : 1-5
43
Componente: CMR
Servidor IT Unidades : 1
Criticidad del
componente:
Componente: Servidor DB
Servidor BD Unidades : 1
FR1 - IAC
44
Requisitos de ciberseguridad para la zona Zona Red Corporativa
45
Requisitos de ciberseguridad para la zona Zona Red Corporativa
humanos
SR 1.8 - Certificados de
Estaciones, CMR, Servidor DB,
infraestructura de clave publica
FR2 - UC
46
Requisitos de ciberseguridad para la zona Zona Red Corporativa
47
Requisitos de ciberseguridad para la zona Zona Red Corporativa
FR3 - SI
48
Requisitos de ciberseguridad para la zona Zona Red Corporativa
SR 3.3 - Verificación de
Estaciones, CMR, Servidor DB,
funcionalidades de seguridad
49
Requisitos de ciberseguridad para la zona Zona Red Corporativa
FR4 - DC
SR 4.1 - Confidencialidad de la
Estaciones, CMR, Servidor DB,
información
SR 4.2 - Persistencia de la
Estaciones, CMR, Servidor DB,
información
FR5 - RDF
50
Requisitos de ciberseguridad para la zona Zona Red Corporativa
SR 5.3 - Restricción en
comunicaciones persona a persona Estaciones, CMR, Servidor DB,
de propósitos generales
SR 5.4 - Particionamiento de
Estaciones, CMR, Servidor DB,
aplicaciones
FR6 - TRE
FR7 - RA
SR 7.4 - Restauración y
Estaciones, CMR, Servidor DB,
reconstitución del sistema de control
51
Requisitos de ciberseguridad para la zona Zona Red Corporativa
Zona
Zona de
Red Publica Internet
proveedor con
Red publica
componentes
de nivel 4
Conductos
Conducto
Conducto L1- red campo
L0
Criticidad del
conducto Disponibilidad Integridad Confidencialidad
52
Patrón:260 - Integridad (Media) Disponibilidad (Alta)
Patrón de
Confidencialidad (Baja) IAC[ 2 ] UC[ 2 ] SI[ 2 ] DC[ 1 ] RDF[ 2 ]
ciberseguridad
TRE[ 2 ] RA[ 3 ]
FR1 - IAC
53
Requisitos de ciberseguridad para el conducto Conducto L1-L0
FR2 - UC
54
Requisitos de ciberseguridad para el conducto Conducto L1-L0
FR3 - SI
55
Requisitos de ciberseguridad para el conducto Conducto L1-L0
FR4 - DC
SR 4.1 - Confidencialidad de la
SW000,
información
56
Requisitos de ciberseguridad para el conducto Conducto L1-L0
FR5 - RDF
SR 5.4 - Particionamiento de
SW000,
aplicaciones
FR6 - TRE
FR7 - RA
57
Requisitos de ciberseguridad para el conducto Conducto L1-L0
Conducto
Conducto L2- Red Supervisión
L1
58
Disponibilidad Integridad Confidencialidad
Criticidad del
conducto
Alta Media Baja
59
SW001 1
FR1 - IAC
60
Requisitos de ciberseguridad para el conducto Conducto L2-L1
SR 1.8 - Certificados de
FW001, RT001, SW001,
infraestructura de clave publica
FR2 - UC
61
Requisitos de ciberseguridad para el conducto Conducto L2-L1
FR3 - SI
62
Requisitos de ciberseguridad para el conducto Conducto L2-L1
SR 3.3 - Verificación de
FW001, RT001, SW001,
funcionalidades de seguridad
FR4 - DC
SR 4.1 - Confidencialidad de la
FW001, RT001, SW001,
información
FR5 - RDF
63
Requisitos de ciberseguridad para el conducto Conducto L2-L1
redes
SR 5.3 - Restricción en
comunicaciones persona a persona FW001, RT001, SW001,
de propósitos generales
SR 5.4 - Particionamiento de
FW001, RT001, SW001,
aplicaciones
FR6 - TRE
FR7 - RA
64
Requisitos de ciberseguridad para el conducto Conducto L2-L1
Conducto
Conducto L3- Red Operación
L2
65
Disponibilidad Integridad Confidencialidad
Criticidad del
conducto
66
TRE[ 2 ] RA[ 3 ]
FR1 - IAC
67
Requisitos de ciberseguridad para el conducto Conducto L3-L2
SR 1.8 - Certificados de
RT002, SW002, FW002,
infraestructura de clave publica
FR2 - UC
68
Requisitos de ciberseguridad para el conducto Conducto L3-L2
FR3 - SI
69
Requisitos de ciberseguridad para el conducto Conducto L3-L2
SR 3.3 - Verificación de
RT002, SW002, FW002,
funcionalidades de seguridad
FR4 - DC
SR 4.1 - Confidencialidad de la
RT002, SW002, FW002,
información
FR5 - RDF
70
Requisitos de ciberseguridad para el conducto Conducto L3-L2
SR 5.3 - Restricción en
comunicaciones persona a persona RT002, SW002, FW002,
de propósitos generales
SR 5.4 - Particionamiento de
RT002, SW002, FW002,
aplicaciones
FR6 - TRE
FR7 - RA
71
Requisitos de ciberseguridad para el conducto Conducto L3-L2
sistemas o redes
Conducto
Conducto Z4- Red de Gestión
L3
72
Disponibilidad Integridad Confidencialidad
Criticidad del
conducto
Alta Media Baja
73
SW003 1-5
FR1 - IAC
SR 1.1 - Identificación y
DMZ, RT003, SW003, FW003,
autenticación de usuarios humanos
74
Requisitos de ciberseguridad para el conducto Conducto Z4-L3
SR 1.8 - Certificados de
DMZ, RT003, SW003, FW003,
infraestructura de clave publica
75
Requisitos de ciberseguridad para el conducto Conducto Z4-L3
FR2 - UC
76
Requisitos de ciberseguridad para el conducto Conducto Z4-L3
FR3 - SI
SR 3.3 - Verificación de
DMZ, RT003, SW003, FW003,
funcionalidades de seguridad
77
Requisitos de ciberseguridad para el conducto Conducto Z4-L3
FR4 - DC
SR 4.1 - Confidencialidad de la
DMZ, RT003, SW003, FW003,
información
FR5 - RDF
SR 5.3 - Restricción en
comunicaciones persona a persona DMZ, RT003, SW003, FW003,
de propósitos generales
SR 5.4 - Particionamiento de
DMZ, RT003, SW003, FW003,
aplicaciones
FR6 - TRE
78
Requisitos de ciberseguridad para el conducto Conducto Z4-L3
FR7 - RA
SR 7.4 - Restauración y
reconstitución del sistema de DMZ, RT003, SW003, FW003,
control
79
Requisitos de ciberseguridad para el conducto Conducto Z4-L3
Conducto
Conducto L3- DMZ a Red Pública
Z0
80