huis-Betaalsystemen-Inbraakpreventiesystemen (IPS-systemen). Uw computer beschermen tegen ongeoorloofde toegang

Inbraakpreventiesystemen (IPS-systemen). Uw computer beschermen tegen ongeoorloofde toegang

Er zijn tegenwoordig talloze verschillende soorten malware beschikbaar. Antivirusexperts zijn zich er terdege van bewust dat oplossingen die gebaseerd zijn op databases met viruskenmerken alleen niet effectief kunnen zijn tegen bepaalde soorten bedreigingen. Veel virussen kunnen zich aanpassen, de grootte, namen van bestanden, processen en services wijzigen.

Als u het potentiële gevaar van een bestand niet kunt herkennen aan de externe tekens, kunt u het schadelijke karakter ervan bepalen aan de hand van het gedrag. Het is het Host Intrusion Prevention System (HIPS) dat zich bezighoudt met gedragsanalyse.

HIPS is gespecialiseerde software die bestanden, processen en services controleert op verdachte activiteiten. Met andere woorden, HIPS proactieve bescherming wordt gebruikt om malware te blokkeren op basis van gevaarlijke code-uitvoering. Door het gebruik van technologie kunt u een optimale systeembeveiliging behouden zonder dat u de databases hoeft bij te werken.

HIPS en firewalls zijn nauw verwante componenten. Terwijl een firewall inkomend en uitgaand verkeer regelt op basis van een reeks regels, controleert HIPS het opstarten en de werking van processen op basis van wijzigingen die aan de computer zijn aangebracht volgens controleregels.

HIPS-modules beschermen uw computer tegen bekende en onbekende soorten bedreigingen. Wanneer een kwaadaardig programma of een aanvaller verdachte acties uitvoert, blokkeert HIPS deze activiteit, stelt het de gebruiker op de hoogte en stelt verdere oplossingen voor. Naar welke veranderingen kijkt HIPS?

Hier is een ruwe lijst van de activiteiten die HIPS in de eerste plaats nauwlettend in de gaten houdt:

Beheer van andere geïnstalleerde programma's. Bijvoorbeeld het verzenden van e-mails met een standaard e-mailclient of het starten van bepaalde pagina's in uw standaardbrowser;

Een poging om wijzigingen aan te brengen in bepaalde vermeldingen in het systeemregister, zodat het programma bij bepaalde gebeurtenissen start;

Voltooiing van andere programma's. Bijvoorbeeld het uitschakelen van de antivirusscanner;

Apparaten en stuurprogramma's installeren die vóór andere programma's worden uitgevoerd;

Interprocessor geheugentoegang waardoor kwaadaardige code in een vertrouwd programma kan worden geïnjecteerd

Wat te verwachten van een succesvolle HIPS?

De HIPS moet voldoende bevoegdheden hebben om malware-activiteiten te stoppen. Als gebruikersbevestiging nodig is om een ​​gevaarlijk programma te stoppen, is de effectiviteit van het systeem laag. Een inbraakpreventiesysteem moet een specifieke set regels hebben die de gebruiker kan toepassen. Bewerkingen voor het maken van nieuwe regels moeten beschikbaar zijn (hoewel er bepaalde uitzonderingen moeten zijn). De gebruiker die met HIPS werkt, moet de gevolgen van hun wijzigingen duidelijk begrijpen. Anders kunnen er software- en systeemconflicten zijn. Bezoek gespecialiseerde forums of het antivirus-helpbestand voor meer informatie over hoe het inbraakpreventiesysteem werkt.

Gewoonlijk werkt HIPS-technologie wanneer het proces begint. Het onderbreekt acties terwijl ze worden uitgevoerd. Er zijn echter HIPS-producten met voorlopige detectie, waarbij het potentiële gevaar van een uitvoerbaar bestand al wordt vastgesteld voordat het daadwerkelijk wordt gestart.

Zijn er risico's?

De risico's van HIPS zijn valse positieven en onjuiste gebruikersbeslissingen. Het systeem is verantwoordelijk voor bepaalde wijzigingen die door andere programma's zijn aangebracht. HIPS houdt bijvoorbeeld altijd het registerpad bij HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Uitvoeren, verantwoordelijk voor het opstarten van programma's bij het opstarten van het systeem.

Het is duidelijk dat veel veilige programma's deze registervermelding gebruiken om automatisch te starten. Wanneer er wijzigingen worden aangebracht in deze sleutel, zal HIPS de gebruiker vragen naar de volgende actie: wijzigingen toestaan ​​of weigeren. Heel vaak klikken gebruikers gewoon op toestaan ​​zonder in de informatie te duiken, vooral als ze op dat moment nieuwe software installeren.

Sommige HIPS informeren andere gebruikers over soortgelijke oplossingen, maar bij een klein aantal zijn ze niet relevant en kunnen ze de gebruiker misleiden. Hopelijk hebben de meeste gebruikers voor u de juiste keuze gemaakt. Het systeem werkt uitstekend bij het identificeren van potentieel gevaar en het weergeven van een alarmmelding. Verder, zelfs als HIPS de dreiging correct heeft geïdentificeerd, kan de gebruiker de verkeerde actie uitvoeren en daarmee de pc infecteren.

Conclusie: HIPS is een essentieel onderdeel van meerlaagse beveiliging. Het wordt ook aanbevolen om andere beveiligingsmodules in combinatie met het systeem te gebruiken. Om HIPS optimaal en effectief te laten functioneren, moet de gebruiker over bepaalde kennis en kwalificaties beschikken.

Gebaseerd op de Malwarebytes Unpacked Blog

Een typfout gevonden? Markeer en druk op Ctrl + Enter

Inbraakdetectie- en preventiesysteem

Inbraakpreventiesysteem(IDS / IPS, Intrusion detection system / Intrusion Prevention System) is ontworpen om kwaadaardige aanvallen op de server, geïntegreerde services (mail, website, enz.) en het lokale netwerk dat wordt beschermd door de internetgateway, te detecteren, te loggen en te voorkomen.

Regels voor het blokkeren van verkeer omvatten het blokkeren van de activiteit van Trojaanse paarden, spyware, botnets, p2p-clients en torrent-trackers, virussen, netwerken TOR(gebruikt om filterregels te omzeilen), anonimizers en nog veel meer.

U kunt de service configureren op het tabblad Regels - Inbraakpreventie:

Door aan of uit te vinken " IDS / IPS inschakelen"u kunt de inbraakpreventieservice dienovereenkomstig in-/uitschakelen.

in veld " Lokale subnetlijst"voeg lokale netwerken toe die worden bediend door UTM. In de regel zijn dit netwerken van lokale UTM-interfaces, en er kunnen ook netwerken van externe segmenten van het lokale netwerk van uw onderneming naar hen worden gerouteerd. Specificeer in geen geval netwerken die behoren tot externe UTM-netwerkinterfaces en externe netwerken. De hier vermelde netwerken nemen deel aan de regels van de Intrusion Prevention Service als lokaal, wat het verkeer van/naar lokale netwerken kenmerkt. Lokaal cross-segment verkeer wordt niet uitgesloten van systeemcontroles.

Optie " Journaalposten bewaren"Hiermee kunt u de opslagtijd voor de systeemlogboeken selecteren: 1, 2 of 3 maanden.

Bij gebruik van een inbraakpreventiesysteem wordt het gebruik van interne DNS-servers voor computers in het netwerk niet aanbevolen. het systeem analyseert DNS-verzoeken die er doorheen gaan en identificeert geïnfecteerde apparaten die ze gebruiken. In het geval van gebruik van een intern AD-domein, wordt aanbevolen om de Ideco UTM DNS-server als de enige DNS-server op de computers te specificeren en de Forward-zone voor het lokale domein op te geven in de DNS-serverinstellingen voor UTM.

Tijdschrift

U kunt de laatste 100 regels van de waarschuwingslogboeken van het Intrusion Prevention System in het logboek bekijken.


Volledige systeemlogboeken bevinden zich op de server in de map: / var / log / suricata

drop.log - Informatie over gedropte pakketten.

fast.log - waarschuwingslogboeken.

suricata.log - servicelogboeken.

De waarschuwingslogboeken geven de groep (Classificatie) aan waartoe de geactiveerde regel behoort, de regel-ID en aanvullende informatie.

reglement

Op het tabblad reglement zijn beschikbaar voor het bekijken en in-/uitschakelen van een groep Intrusion Prevention System-regels.


Wanneer u een groep regels in- of uitschakelt, worden de instellingen onmiddellijk toegepast, zonder dat u de service opnieuw hoeft te starten.

Uitzonderingen

Het is mogelijk om bepaalde systeemregels voor inbraakpreventie uit te schakelen in het geval van valse positieven of andere redenen.


Op het tabblad "Uitzonderingen" kunt u een regel-ID toevoegen (het nummer ervan, zie een voorbeeld van het analyseren van logboeken hieronder).

Aandacht! Regel-ID's kunnen in de loop van de tijd veranderen wanneer databases worden bijgewerkt.

Een voorbeeld van loganalyse

voorbeeld 1

04/04 / 2017-19: 31: 14.341627 [**] ET P2P BitTorrent DHT-pingverzoek [**] (UDP) 10.130.0.11:20417 -> 88.81.59.137:61024

Decodering van velden:

04/04 / 2017-19: 31: 14.341627 - datum en tijd van het evenement.

Systeemactie, Drop - het pakket is geblokkeerd, alle andere informatie in dit veld betekent Alert, informeren.

[1: 2008581: 3] - ID van de regel in de groep (de ID staat tussen de ":"-tekens). Als de regel moet worden toegevoegd aan de uitzonderingen, voegt u daar het nummer 2008581 toe.

[**] ET CINS Actieve bedreigingsinformatie Slechte reputatie IP-groep 3 [**] (UDP) 24.43.1.206:10980 -> 192.168.10.14:32346

Voor een meer gedetailleerde analyse van de logboeken van de computer IP 192.168.10.14 in de serverconsole, voert u de opdracht uit:

grep "10.80.1.13:" /var/log/suricata/fast.log

We krijgen een vrij groot aantal lijnen met blokkerende verbindingen naar IP-adressen, ingedeeld naar verschillende gevarencategorieën.

Als resultaat van software-analyse werd een adware-programma gedetecteerd en verwijderd op de computer, waarop de lokaal geïnstalleerde antivirus niet reageerde.

Technische benodigdheden

Inbraakpreventiesystemen vereisen aanzienlijke computerbronnen om te kunnen werken. Multi-core (4 of meer cores) processors hebben de voorkeur. De minimale hoeveelheid RAM om het systeem te gebruiken: 8 GB.

Na het inschakelen van het systeem is het raadzaam om te controleren of uw processor voldoende stroom heeft om het volgende verkeer door de gateway te controleren.

In hoofdstuk Monitoring - Systeembronnen... De belastingsgemiddelde parameter (gemiddelde belasting voor 1, 5 en 15 minuten) mag niet meer zijn dan het aantal fysieke kernen van de geïnstalleerde processor.

In dit artikel leert u enkele van de algemeen bekende en weinig bekende kenmerken van aanvalspreventiesystemen.

Wat is een aanvalspreventiesysteem?

Intrusion Prevention Systems (IPS) zijn een evolutie van Intrusion Detection Systems (IDS). IDS detecteerde aanvankelijk alleen bedreigingen door te luisteren naar verkeer op het netwerk en op hosts, en stuurde vervolgens op verschillende manieren waarschuwingen naar de beheerder. IPS blokkeert nu aanvallen zodra ze worden gedetecteerd, hoewel ze alleen in IDS-modus kunnen werken door op de hoogte te stellen van problemen.

Soms wordt de IPS-functionaliteit opgevat als de gezamenlijke werking van IDS en firewall in één apparaat. Dit is vaak te wijten aan het feit dat sommige IPS's ingebouwde regels hebben voor het blokkeren van pakketten op basis van bron- en bestemmingsadressen. Dit is echter geen firewall. In een firewall hangt het blokkeren van verkeer volledig af van uw vermogen om regels in te stellen, en in IPS van het vermogen van de programmeurs van de fabrikant om foutloze algoritmen te schrijven voor het zoeken naar aanvallen in verkeer dat door het netwerk gaat. Er is nog een "overeenkomst": de firewall-technologie, ook wel statefull-inspectie genoemd, lijkt erg op een van de technologieën die in IPS worden gebruikt om te bepalen of verschillende verbindingen tot hetzelfde netwerkprotocol behoren, en hier wordt het poortvolging genoemd. Er zijn veel meer verschillen, Firewall kan bijvoorbeeld geen tunneling van het ene protocol naar het andere detecteren, maar IPS wel.

Een ander verschil tussen de theorie van het bouwen van een IPS en een firewall is dat wanneer een apparaat faalt, de IPS het verkeer moet PASSEN en de firewall het verkeer moet BLOKKEREN. Om in de juiste modus te kunnen werken, is in de IPS een zogenaamde bypass-module ingebouwd. Dankzij dit, zelfs als u per ongeluk de IPS-stroom uitschakelt, stroomt het verkeer vrij door het apparaat. Soms is IPS ook geconfigureerd om verkeer te blokkeren in geval van storing - maar dit zijn speciale gevallen, die meestal worden gebruikt wanneer twee apparaten worden gebruikt in de modus Hoge beschikbaarheid.
IPS is een veel complexer apparaat dan een firewall. IPS wordt gebruikt voor bedreigingen die deze laatste niet heeft kunnen opvangen. IPS bevat de geconcentreerde kennis van een groot aantal beveiligingsexperts die codes hebben geïdentificeerd, gevonden en vervolgens geprogrammeerd om problemen op te sporen in de vorm van regels voor het analyseren van inhoud die over het netwerk reist.

IPS's in bedrijfsnetwerken maken deel uit van meerlaagse bescherming omdat ze integreren met andere verdedigingen: firewalls, beveiligingsscanners, incidentbeheersystemen en zelfs antivirusprogramma's. Als gevolg hiervan is er nu voor elke aanval een mogelijkheid om deze niet alleen te identificeren en vervolgens de beheerder op de hoogte te stellen of te blokkeren, maar ook om een ​​volledige analyse van het incident uit te voeren: verzamel pakketten die afkomstig zijn van de aanvaller, start een onderzoek en elimineer de kwetsbaarheid door het pakket aan te passen.

In combinatie met het juiste security management systeem wordt het mogelijk om de acties van de netwerkbeheerder zelf te sturen, die niet alleen de kwetsbaarheid moet wegnemen, bijvoorbeeld door het installeren van een patch, maar ook aan het systeem moet rapporteren over de verrichte werkzaamheden. Dat gaf in het algemeen tastbare betekenis aan het werk van dergelijke systemen. Wat heeft het voor zin om over netwerkproblemen te praten als niemand op deze problemen reageert en er niet verantwoordelijk voor is? Iedereen kent dit eeuwige probleem: degene die verliezen lijdt door de storing van het computersysteem en degene die dit systeem beschermt, zijn verschillende mensen. Als u geen extreem geval overweegt, bijvoorbeeld een thuiscomputer die is aangesloten op internet.

Verkeersvertragingen

Enerzijds is het goed dat het mogelijk is geworden om niet alleen informatie over de lopende aanval te krijgen, maar ook om deze met het apparaat zelf te blokkeren. Maar aan de andere kant van het aanvalspreventiesysteem moet u de switchpoort niet op de SPAN-poort installeren, maar al het netwerkverkeer rechtstreeks door het beveiligingsapparaat zelf leiden, wat onvermijdelijk vertragingen veroorzaakt bij de doorgang van pakketten over het netwerk. En in het geval van VoIP is dit van cruciaal belang, hoewel als je je gaat verdedigen tegen aanvallen op VoIP, er geen andere manier is om je tegen dergelijke aanvallen te verdedigen.

Een van de kenmerken aan de hand waarvan u een aankoopaanvalpreventiesysteem moet evalueren, is dus de hoeveelheid netwerklatentie die dergelijke systemen onvermijdelijk introduceren. In de regel kunt u deze informatie bij de fabrikant zelf opvragen, maar u kunt onderzoeken lezen van onafhankelijke testlaboratoria, bijvoorbeeld NSS. Vertrouwen op de fabrikant is één ding, maar jezelf controleren is een tweede.

Aantal valse positieven

Het tweede kenmerk om naar te kijken is het aantal valse positieven. Net zoals we geïrriteerd raken door spam, geven valse positieven exact dezelfde indruk aan beveiligingsbeheerders. Uiteindelijk stoppen beheerders, om hun psyche te beschermen, gewoonweg niet meer op alle berichten van het systeem te reageren en wordt de aankoop ervan weggegooid geld. SNORT is een typisch voorbeeld van een systeem met een groot aantal valse positieven. Om dit systeem min of meer specifiek af te stemmen op de dreigingen in uw netwerk, moet u veel tijd besteden.

Sommige systemen voor inbraakdetectie en -preventie hebben ingebouwde correlatiemethoden die aanvallen rangschikken op ernst op basis van informatie uit andere bronnen, zoals een beveiligingsscanner. Als de beveiligingsscanner bijvoorbeeld zag dat de computer SUN Solaris en Oracle draait, dan kunnen we met honderd procent zekerheid zeggen dat de Slammer-wormaanval (die gericht is op MS SQL) niet zal werken op deze server. Zo markeren dergelijke correlatiesystemen sommige aanvallen als mislukt, wat het werk van de beheerder aanzienlijk vergemakkelijkt.

Moderniteit van beschermende technologieën

Het derde kenmerk zijn de methoden om aanvallen te detecteren (en tegelijkertijd te blokkeren) en de mogelijkheid om ze af te stemmen op de vereisten van uw netwerk. In eerste instantie zijn er twee verschillende benaderingen: op handtekeningen gebaseerde IPS'en zoeken naar aanvallen op basis van eerder gevonden exploits, en IPS met protocolanalyse zoeken naar aanvallen op basis van kennis van eerder gevonden kwetsbaarheden. Als je een nieuwe exploit schrijft voor dezelfde kwetsbaarheid, dan zal IPS van de eerste klasse deze niet detecteren en blokkeren, maar de tweede klasse zal deze zowel detecteren als blokkeren. Klasse II IPS's zijn veel effectiever omdat ze hele klassen van aanvallen blokkeren. Als gevolg hiervan heeft de ene leverancier 100 handtekeningen nodig om alle varianten van dezelfde aanval te detecteren, terwijl een andere leverancier slechts één regel nodig heeft die de kwetsbaarheid van het protocol of het gegevensformaat dat door al deze soorten aanvallen wordt gebruikt, analyseert. Onlangs is de term preventieve bescherming verschenen. Het bevat ook de mogelijkheid om te beschermen tegen aanvallen die nog niet bekend zijn en bescherming tegen aanvallen die al bekend zijn, maar de fabrikant heeft nog geen patch uitgebracht. Over het algemeen is het woord 'preventief' gewoon een ander Amerikanisme. Er is een meer Russische term: "tijdig" - die bescherming die werkt voordat we werden gehackt of geïnfecteerd, en niet daarna. Dergelijke technologieën bestaan ​​al en moeten worden gebruikt. Vraag de fabrikant bij het kopen: welke preventieve beschermingstechnologieën ze gebruiken en u zult alles begrijpen.

Helaas zijn er nog steeds geen systemen die tegelijkertijd twee bekende aanvalsanalysemethoden zouden gebruiken: protocol- (of handtekening) analyse en gedragsanalyse. Daarom moet u voor volledige bescherming ten minste twee apparaten op het netwerk installeren. Eén apparaat zal algoritmen gebruiken om te zoeken naar kwetsbaarheden met behulp van handtekeningen en protocolanalyse. Anderen zullen statistische en analytische methoden gebruiken om afwijkingen in het gedrag van netwerkstromen te analyseren. In veel systemen worden nog steeds handtekeningmethoden gebruikt voor het detecteren en voorkomen van aanvallen, maar deze rechtvaardigen zichzelf helaas niet. Ze bieden geen proactieve bescherming omdat er een exploit nodig is om de handtekening vrij te geven. Waarom heb je nu een handtekening nodig als je al bent aangevallen en het net is verbroken? Signature antivirussen zijn nu niet in staat om om te gaan met nieuwe virussen om dezelfde reden - de reactiviteit van bescherming. Daarom is de meest geavanceerde aanvalsanalysemethode tegenwoordig volledige protocolanalyse. Het idee achter deze methode is dat niet een specifieke aanval wordt geanalyseerd, maar dat in het protocol zelf wordt gezocht naar een teken van misbruik door de aanvaller van de kwetsbaarheid. Het systeem kan bijvoorbeeld volgen of er vóór het begin van een TCP-pakket met een aanval een uitwisseling van drie pakketten was voor het tot stand brengen van een TCP-verbinding (pakketten met de vlaggen SYN, SYN + ACK, ACK). Als het vóór het uitvoeren van een aanval nodig is om een ​​verbinding tot stand te brengen, dan zal het protocolanalysesysteem controleren of die er was, en als een pakket met een verbindingsloze aanval gaat, zal het ontdekken dat een dergelijke aanval niet succesvol was, omdat er geen verbinding. En het handtekeningsysteem zal een vals positief geven, omdat het dergelijke functionaliteit niet heeft.

Gedragssystemen werken op een heel andere manier. Ze analyseren netwerkverkeer (bijvoorbeeld ongeveer een week) en onthouden welke netwerkstreams meestal lopen. Zodra er verkeer ontstaat dat niet overeenkomt met het onthouden gedrag, is het duidelijk dat er iets nieuws aan de hand is op het netwerk: bijvoorbeeld de verspreiding van een nieuwe worm. Bovendien zijn dergelijke systemen verbonden met het updatecentrum en ontvangen eenmaal per uur of vaker nieuwe gedragsregels voor wormen en andere updates, bijvoorbeeld lijsten met phishing-sites, waardoor ze onmiddellijk kunnen worden geblokkeerd, of lijsten met hosts voor het beheren van botnetwerken, waardoor een infectie onmiddellijk kan worden gedetecteerd, een host zodra deze verbinding probeert te maken met het botnetcontrolecentrum, enz.

Zelfs het verschijnen van een nieuwe host op het netwerk is een belangrijke gebeurtenis voor het gedragssysteem: je moet uitzoeken wat voor soort host is, wat erop is geïnstalleerd, of deze kwetsbaarheden heeft, of misschien is de nieuwe host zelf een aanvaller. Voor providers zijn dergelijke gedragssystemen belangrijk omdat ze veranderingen in het "vrachtverkeer" kunnen volgen, omdat het belangrijk is voor de provider om de snelheid en betrouwbaarheid van pakketbezorging te garanderen, en als plotseling in de ochtend blijkt dat alle verkeer gaat via het ene kanaal en past er niet in, en de rest. Omdat er geen gebruik wordt gemaakt van meerdere kanalen naar internet via andere providers, betekent dit dat de instellingen ergens fout zijn gegaan en het nodig is om te beginnen met balanceren en herverdelen van de belasting.
Voor de eigenaar van een klein netwerk is het van belang dat aanvallers niet binnenkomen, zodat het netwerk niet op de zwarte lijst komt te staan ​​als spammers, zodat de aanvallers niet het hele internetkanaal met rommel verstoppen. Maar voor het internetkanaal en verkeer moet je wel geld betalen aan de provider. Elke directeur van een bedrijf zou graag op tijd geld aan verkeer dat nutteloos is voor het bedrijfsleven willen detecteren en stoppen.

Geanalyseerde protocollen en gegevensformaten

Als we het hebben over technische specialisten die beslissen over de keuze van een aanvalspreventiesysteem, dan moeten ze vragen stellen over de specifieke protocollen die het systeem analyseert. Misschien bent u geïnteresseerd in iets specifieks: bijvoorbeeld analyse van aanvallen in javascript, of reflectie van sql-injectiepogingen, of DDoS-aanvallen, of u heeft over het algemeen SCADA (sensorcontrole- en beheersysteem) en moet de protocollen van uw gespecialiseerde systeem analyseren , of het is van cruciaal belang voor u om VoIP-protocollen te beschermen die vanwege hun complexiteit al kwetsbaarheden hebben bij de implementatie.
Bovendien weet niet iedereen dat IPS-evenementen niet alleen van het type "aanval" zijn, er zijn ook soorten "audit" en "status". IPS kan bijvoorbeeld verbindingen en alle ICQ-berichten opvangen. Als ICQ verboden is in uw beveiligingsbeleid, is het gebruik ervan een aanval. Zo niet, dan kunt u eenvoudig alle verbindingen volgen en met wie communiceren. Of schakel deze handtekening gewoon uit als u denkt dat het onpraktisch is.

Specialisten

De vraag rijst: waar kunnen zulke specialisten worden gevonden die begrijpen wat ze moeten kopen, en die dan weten hoe ze op elk bericht van het aanvalspreventiesysteem moeten reageren en het zelfs kunnen aanpassen. Het is duidelijk dat je cursussen kunt volgen om zo'n systeem te beheren, maar in feite moet een persoon eerst netwerkprotocollen begrijpen, dan netwerkaanvallen en vervolgens reactiemethoden. En zulke cursussen zijn er niet. Ervaring is hier vereist. Er zijn bedrijven die outsourcing aanbieden voor het beheer en de analyse van berichten van beveiligingsconsoles. Al vele jaren werken er specialisten in hen die internetbeveiliging begrijpen en diep begrijpen en ze bieden effectieve bescherming, en u op uw beurt verlost u van de hoofdpijn van het vinden van personeel dat vertrouwd is met alle verschillende beschikbare beschermingsmiddelen, van VPN naar antivirus. Daarnaast omvat outsourcing 24/7 monitoring, dus de bescherming is compleet. En meestal kun je alleen een specialist inhuren om van maandag tot en met vrijdag van 9 tot 18 uur te werken, en soms wordt hij ziek, studeert, gaat naar conferenties, gaat op zakenreis en soms stopt hij onverwachts.

Product ondersteuning

Het is belangrijk om een ​​dergelijk punt in IPS als de ondersteuning van hun producten door de fabrikant te benadrukken. Helaas zijn updates van algoritmen, handtekeningen en regels nog steeds nodig omdat technologieën en aanvallers niet stil staan ​​en nieuwe klassen van kwetsbaarheden in nieuwe technologieën voortdurend moeten worden gesloten. Jaarlijks worden enkele duizenden kwetsbaarheden gevonden. Uw software en hardware bevat er vast meerdere. Hoe kwam je achter de kwetsbaarheden daarin en hoe verdedigde je jezelf later? Maar u moet voortdurend de relevantie van bescherming in de gaten houden. Een belangrijk onderdeel is daarom de constante ondersteuning van de beschermende tools die u de beveiliging van uw bedrijf hebt toevertrouwd: een professioneel team hebben dat voortdurend nieuwe kwetsbaarheden monitort en tijdig nieuwe controles schrijft, dat zelf op zoek gaat naar kwetsbaarheden om voor aanvallers. Dus kijk bij het kopen van een systeem dat zo complex is als IPS welke ondersteuning de fabrikant biedt. Het is niet misplaatst om erachter te komen hoe goed en op tijd hij omging met de aanvallen die al in het verleden waren.

Bescherming tegen IPS-bypassmethoden

De IPS zelf is erg moeilijk aan te vallen omdat deze geen IP-adres heeft. (De IPS wordt beheerd via een aparte beheerpoort.) Er zijn echter methoden om de IPS te omzeilen, waardoor het kan worden "misleid" om de netwerken die het beschermt aan te vallen. De populaire literatuur beschrijft deze methoden in detail. Zo maakt het NSS-testlab uitgebreid gebruik van workarounds om IPS te valideren. Het is moeilijk voor IPS-fabrikanten om weerstand te bieden aan deze methoden. En hoe de verkoper omgaat met ontwijkingstechnieken is een ander interessant kenmerk van een aanvalspreventiesysteem.

Het belang van het gebruik van IPS in bedrijfsnetwerken is al lang rijp, nieuwe preventieve technologieën die organisaties beschermen tegen nieuwe aanvallen zijn al ontwikkeld, dus het enige dat overblijft is om ze correct te installeren en te bedienen. Om het overzicht van IPS-eigenschappen zo onbevooroordeeld mogelijk te maken, zijn de namen van fabrikanten niet specifiek genoemd in het artikel.

Dmitry Volkov
Hoofd IT-incidentonderzoek, Group-IB

Moderne IPS-ontwikkeling

Networked Intrusion Prevention Systems (IPS) kunnen zowel een effectief hulpmiddel zijn voor beveiligingsmensen als een duur stuk hardware dat stof ligt te verzamelen. Om ervoor te zorgen dat een IPS-systeem geen teleurstelling wordt, moet het minimaal voldoen aan de volgende eisen waarmee rekening moet worden gehouden bij de keuze.

Het systeem moet:

  1. een breed scala aan modellen hebben die voldoen aan de eisen van zowel kleine regionale kantoren als de belangrijkste onderneming met multi-gigabit-netwerken;
  2. ondersteunt niet alleen handtekeninganalyse, maar ook afwijkende protocolanalyse en natuurlijk gedragsanalyse;
  3. een duidelijk beeld geven van het netwerk en de daarop aangesloten apparaten;
  4. werk leveren in de IDS-modus, gedragsanalyse uitvoeren, tools hebben voor het uitvoeren van onderzoeken;
  5. hebben gecentraliseerd beheer van geïnstalleerde IPS / IDS-systemen;
  6. beschikken over goede analysetools om het beveiligingsbeleid effectief te verbeteren.

IDS / IPS-systemen worden meestal aangesloten op kritieke bronnen. Maar naast het feit dat het noodzakelijk is om aanvallen op deze bronnen te blokkeren, moet je ze constant in de gaten houden, namelijk: om te weten welke van deze bronnen kwetsbaar zijn, hoe hun gedrag in het netwerk verandert. Daarom is het noodzakelijk om extra functionaliteit toe te voegen aan IDS / IPS-systemen, waardoor ze de benodigde bronnen betrouwbaarder kunnen beschermen en tegelijkertijd de eigendomskosten kunnen verlagen. De bescherming kan dus in drie fasen worden uitgevoerd: IPS, Adaptive IPS, Enterprise Threat Management. De functionaliteit van elke volgende fase omvat alle functies uit de vorige fase en wordt opgebouwd met nieuwere.


Fase 1. U kunt aanvallen controleren en/of blokkeren die gebruikmaken van duizenden kwetsbaarheden, dat wil zeggen, dit zijn standaard IPS-sensoren en hun controlecentra.

Fase 2. Het wordt mogelijk om het netwerk te verkennen, gebeurtenissen te prioriteren en de IPS-configuratie te automatiseren.

Fase 3. Volledig mogelijke functionaliteit om het bedrijfsnetwerk te beschermen voor, tijdens en na de aanval.

ETM is de eerste belichaming van het besef dat je slimmer moet werken, niet harder, om informatiebronnen te beschermen. Technologisch gezien is ETM een combinatie van vier technologieën voor dreigings- en kwetsbaarheidsbeheer, gecombineerd in één centraal beheerde oplossing. Als gevolg hiervan biedt deze oplossing meer mogelijkheden dan elk product afzonderlijk. Zoals getoond in afb. 3, ETM bestaat uit Intrusion Prevention System (IPS), Network Behavioural Analysis (NBA), Network Access Control (NAC), Vulnerability Analysis (VA), Communication Subsystem en Centralized Management.

Vergelijking van IPS-fabrikanten

In afb. 4 laat zien welke van de fabrikanten van IPS-systemen voorop loopt. Maar laten we, zonder aan Gartner gebonden te zijn, eens kijken naar welke functionaliteit elke fabrikant heeft.

Zoals u kunt zien, missen sommige belangrijke functies, zoals onderzoek op batchniveau en het bekijken en maken van regels. Zonder dergelijke mogelijkheden is het soms volkomen onbegrijpelijk waarom het systeem waarschuwingen geeft, en het zal lang duren om de oorzaak van deze waarschuwingen te achterhalen.

Het ontbreken van een mechanisme voor het creëren van nalevingsbeleid legt ook bepaalde beperkingen op. Bij een externe audit is het bijvoorbeeld nuttig om aan te tonen hoe uw beleid daadwerkelijk wordt uitgevoerd. Nadere opmerkingen zijn overbodig, aangezien de werkelijke stand van zaken pas duidelijk zal worden na de daadwerkelijke implementatie in de industriële omgeving.

Er moet aan worden herinnerd dat het waarborgen van netwerkbeveiliging een complexe taak is en dat ongelijksoortige oplossingen niet altijd de integriteit van perceptie waarborgen en tot extra kosten leiden.

Korte beoordeling

Cisco-systemen

Betrouwbare oplossingen, uitstekende ondersteuning, maar moeilijk te configureren, handtekeninganalyse geeft veel valse positieven, de beheerinterface voor een groot aantal gebeurtenissen laat niet toe om geregistreerde gebeurtenissen adequaat te ontleden. Om volledig te kunnen functioneren, zijn extra investeringen in Cisco Security Monitoring, Analysis and Response System (CS-MARS) nodig.

TippingPoint

Systemen van deze fabrikant zijn eenvoudig te configureren en te installeren. Ze hebben een goede besturingsinterface, maar ze kunnen alleen in een opening worden aangesloten, dat wil zeggen zonder passieve detectie. Ze laten geen uitbreiding van de functionaliteit toe en zijn slechts een IDS / IPS-systeem.

Tijdens een telefonische vergadering zei een woordvoerder van TippingPoint dat hun hardware kon worden geïnstalleerd en vergeten - en dat was hun verdedigingsstrategie.

Misschien deelt iemand haar, maar ik kan het moeilijk met haar eens zijn. Elk beveiligingsapparaat moet worden gecontroleerd, anders krijg je er nooit het juiste rendement uit. Als iemand bijvoorbeeld volhardt in het hacken van uw partnerportal en dat de eerste twee keer niet is gelukt dankzij het IPS-systeem, dan zal het de derde keer wel lukken, en zonder controle over het IPS-systeem zult u dit niet herkennen en verdere pogingen te voorkomen, je zult niet slagen.

Juniper-netwerken

Wat analisten van Gartner of andere publicaties ook schrijven, het is moeilijk om iets goeds over hun producten te zeggen. Het systeem is verschrikkelijk ingewikkeld om op te zetten. De NSM Management Console is zeer beperkt. De resultaten worden zo weergegeven dat het lijkt alsof de ontwikkelaars hebben geprobeerd ervoor te zorgen dat ze er zo min mogelijk naar kijken en hopen dat de aanvallen echt worden afgeslagen.

Bronvuur

Misschien wel het beste systeem. Alles is handig. De functionaliteit is ongelooflijk breed. Bovendien heeft het systeem al ingebouwde mogelijkheden voor gedetailleerde verzameling van gegevens over aanvallende en aangevallen knooppunten, en niet alleen over IP- en MAC-adressen, waardoor de tijd voor het analyseren en parseren van gebeurtenissen aanzienlijk wordt verkort. Deze informatie omvat de geschiedenis van verbindingen, geopend en vervolgens
gesloten poorten, typen van het verzonden adres, gebruikersnamen, als er bijvoorbeeld een overdracht via FTP of e-mail heeft plaatsgevonden, en natuurlijk het e-mailadres zelf. In grote netwerken kan het een onmisbaar beschermingsmiddel zijn. Ze brengen hun oplossingen al sinds 2001 uit, maar zijn onlangs op de Russische markt gekomen.

Conclusie

Vermijd de introductie van een hele reeks nieuwe producten die slechts één probleem oplossen. Statische beveiligingsmaatregelen kunnen een dynamische omgeving niet beschermen. U moet de tijd en moeite van uw medewerkers besparen. Laat ze beter werken, niet harder. Verlaag de kosten van het onderhouden van een heterogene omgeving. Verminder de tijd die u besteedt aan het analyseren van gegevens van meerdere consoles en rapporten. Besteed uw geld verstandig voordat beveiligingssystemen u meer kosten dan de risico's waartegen u zich beschermt.

op de website van het ESG Bureau en in het CAD en Graphics magazine. I. Fertman - Voorzitter van de Raad van Bestuur van het ESG Bureau,
A. Tuchkov - Technisch directeur van het ESG Bureau, Ph.D.,
A. Ryndin - Adjunct-commercieel directeur van het ESG-bureau.

In hun artikelen hebben medewerkers van ESG Bureau herhaaldelijk het onderwerp informatieondersteuning voor verschillende stadia van de productlevenscyclus behandeld. De tijd maakt zijn eigen aanpassingen, veroorzaakt door de constante ontwikkeling van informatietechnologieën en de noodzaak om de geïmplementeerde oplossingen te moderniseren. Aan de andere kant is er nu een duidelijke trend naar het gebruik van softwaretools die voldoen aan de vereisten van het nationale regelgevingskader en de productieprocessen die in ons land worden aangenomen. Het zijn deze realiteiten, evenals de opgebouwde ervaring met het automatiseren van de activiteiten van ontwerpondernemingen, die ons ertoe hebben aangezet dit artikel te schrijven.

De huidige staat van automatisering van ontwerpactiviteiten, productie en informatieondersteuning van volgende stadia van de levenscyclus van producten

ESG Bureau heeft uitgebreide ervaring in het implementeren van elektronische archiefsystemen, PDM, PLM, engineering data management systemen in verschillende industrieën: scheepsbouw (Baltiysky Zavod OJSC - Rosoboronexport, Sevmash OJSC, TsNII Ship Mechanical Engineering CJSC), machinebouw (JSC SPb "Red October" ), industriële en civiele bouw (PF "Soyuzproektverf", JSC "Giprospetsgaz"), de nucleaire industrie (JSC "Atomproekt", JSC "Roszheldorproekt") en bij vele andere ondernemingen en organisaties, waarvan de lijst niet is opgenomen in de doelen en doelstellingen van het artikel.

We benadrukken dat de implementaties zijn uitgevoerd op basis van het gebruik van verschillende softwaresystemen: TDMS, Search, SmartPlant Fondation, Autodesk Vault en andere, waaronder ons eigen ontwerp. Het gebruik van een bepaalde softwareomgeving wordt bepaald door de branche, de uitdagingen die voor ons liggen en andere factoren. Het is de uitgebreide ervaring die het ESG-bureau op bovengenoemde gebieden heeft opgebouwd, die ons in staat stelt een algemeen beeld te schetsen van de implementatie van elektronische archiveringssystemen, PDM- en PLM-documentbeheersystemen bij Russische ondernemingen.

Modern ontwerp, productieactiviteiten, ondersteuning van de werking, modernisering en verwijdering van producten zijn niet denkbaar zonder het gebruik van verschillende soorten geautomatiseerde systemen: CAD (CAD), CAM, PDM, systemen voor technologische voorbereiding van productie, PLM-systemen. Het algemene beeld wordt geïllustreerd in Fig. 1.

Rijst. 1. Algemeen beeld van automatisering

In de regel zijn alle vermelde en niet-vermelde automatiseringstools slechts tot op zekere hoogte aanwezig, vaker in de beginfase van de levenscyclus van producten - ontwerpactiviteit en productie. In de volgende fasen van de levenscyclus is de mate van informatieondersteuning voor de processen soms extreem laag. Hier zijn slechts enkele voorbeelden die typerend zijn voor de meest geautomatiseerde stadia van de levenscyclus, ter illustratie van het echte plaatje.

Uitspraken over "de introductie van PDM- of PLM-technologieën" blijken in de praktijk vaak slechts de introductie te zijn van een elektronisch archief- en documentbeheersysteem voor CD en TD, TDM en meer niet. Oorzaken:

  • "Woorden spelen" is wanneer een duur PDM-systeem wordt gebruikt om de functionaliteit van een elektronisch archief en documentenstroom van CD en TD te creëren (wat vaak wordt geïnterpreteerd als "de introductie van PDM-technologie", hoewel zoiets niet bestaat, is er is alleen de invoering van een elektronisch archief en/of TDM met behulp van software - PDM -systemen);
  • vervanging van concepten - wanneer de afkorting "PDM" of "PLM" aanwezig is in de naam van een softwaretool, maar het systeem dat niet is door de aard van de taken die worden opgelost, en, nogmaals, het lost in het gunstigste geval twee problemen op, maar vaker een van de twee:
  • het werk van ontwerpers op documentniveau beheren, en soms 3D-modellen,
  • beheer van het elektronisch archief van CD en TD.
Hier is een voorbeeld: de ervaring van het ESG-bureau, waaronder het werk aan het maken van een model van een informatiemodel van een oorlogsschip, toonde aan dat in de levenscyclusfase van de operatie, helaas, niet de informatie van de ontwerper en de bouwer die is het belangrijkste, maar operationele documentatie, interactieve elektronische technische handleidingen (IETM). In het stadium van de levenscyclus van de operatie is het uiterst noodzakelijk om logistieke ondersteuning te hebben, waardoor reserveonderdelen in de kortst mogelijke tijd kunnen worden aangevuld. Heel vaak lost geen enkel systeem, door de fabrikant gepositioneerd als PLM, de operationele taken "standaard" op, hoewel, we zullen niet ontkennen, een dergelijk systeem heel goed kan worden gebruikt met de nodige aanpassingen, bijvoorbeeld om logistieke problemen op te lossen . Merk op dat in termen van efficiëntie en arbeidsintensiteit die aan revisie wordt besteed, deze benadering gelijk staat aan het gebruik van een boekhoud- of ERP-systeem voor het beheer van ontwerpactiviteiten of een teksteditor voor het ontwikkelen van ontwerptekeningen.

We proberen objectief te zijn in onze beoordelingen, we zullen niet verder overdrijven, maar let op:

  • moderne automatisering van ontwerpactiviteiten, productie, ondersteuning voor volgende fasen van de levenscyclus van producten omvat vaak alleen PDM- en PLM-elementen;
  • vaak is de introductie van PDM en PLM niets meer dan het creëren van een elektronisch archief en workflow van CD en TD;
  • Het is voorbarig om te spreken over de volledige implementatie van PLM-technologie voor alle stadia van de productlevenscyclus.

Redenen om naar een nieuw platform te verhuizen

Ondanks de conclusies van het vorige gedeelte van het artikel, merken we op dat in een onderneming waar een elektronisch archief, ontwerpworkflow, een geautomatiseerd systeem voor technologische voorbereiding van productie, PDM / PLM-elementen zijn geïmplementeerd, werken zonder de geïmplementeerde tools niet langer mogelijk. Dit is de belangrijkste indicator van de uitvoering. In het werk van ons bedrijf was er een geval waarin, in het geval van storingen in het LAN van de klant buiten onze schuld, de server van het elektronische archief van een machinebouwonderneming niet beschikbaar was. De tijd vanaf de eerste storing tot het eerste telefoontje van de onderneming naar ons kantoor naar de technische ondersteuningsspecialisten was minder dan een minuut. Tegelijkertijd waren alle emotionele uitspraken verenigd door één ding: "zonder toegang tot de database kan de onderneming niet werken." Dit is naar onze mening de belangrijkste praktische indicator die alle theoretische berekeningen overtreft.

De redenen voor de overgang naar nieuwe technologieën en platforms, evenals de uitbreiding van de geïmplementeerde functionaliteit, kunnen worden toegeschreven aan verschillende groepen.

Ontwikkeling van technologieën en ontwerptools
Een van de belangrijke factoren bij de overgang naar nieuwe technologieën, softwareoplossingen en de uitbreiding van de geïmplementeerde functionaliteit van het ontwerpworkflowsysteem, het geautomatiseerde systeem voor technologische voorbereiding van productie, PDM / PLM-elementen in de stadia van het werk van ontwerpers en productie is de opkomst van driedimensionale ontwerptools en een wettelijk kader dat het werken met elektronische modellen bepaalt.

Zoals reeds vermeld, hebben we het in de meeste gevallen van "implementatie van PDM en PLM" over TDM, elektronisch archief en documentenstroom van CD en TD. Dergelijke oplossingen (ongeacht de omgeving waarin ze zijn gebouwd) werken in de praktijk in de regel met tweedimensionale CD en TD. Historisch gezien zijn bij de meeste ondernemingen waar dergelijke implementaties zijn geïmplementeerd, de principes en benaderingen van het werken met tweedimensionaal ontwerp en technologische documentatie vaak "gemigreerd" naar nieuwe systemen, met enkele "moderniseringen" voor elektronische tweedimensionale documenten. Volgens GOST 2.501-2006 worden bijvoorbeeld wijzigingen in elektronische documenten in de nieuwe versie geïntroduceerd. GOST 2.503-90, die de introductie van wijzigingen "op papier" beschrijft, stelt u in staat om rechtstreeks wijzigingen in de tekening aan te brengen (doorhalen, wissen (uitwassen), schilderen met wit, nieuwe gegevens invoeren) of nieuwe documenten maken, hun vellen met de vervanging van het origineel, in feite een versie maken. Het voorbeeld illustreert dat "upgrades" niet zo belangrijk zijn, en de procedure voor het werken met een tweedimensionaal elektronisch document is praktisch hetzelfde als het werken met papier.

Ja, en de middelen voor elektronische archivering en documentbeheer van CD en TD, die in hun tijd met succes werden geïntroduceerd, ondersteunen vaak eenvoudigweg geen benaderingen om met een 3D-model te werken, en het eerder geïntroduceerde informatiesysteem is meestal verouderd en niet bevatten moderne integratiemechanismen die effectieve herbewerking mogelijk maken.

Integratie en optimalisatie van productieprocessen
De volgende factor is de integratie en optimalisatie van productieprocessen. Heel vaak hebben onze klanten een legitieme wens om de hele productieketen zoveel mogelijk te automatiseren. Het is bijvoorbeeld heel logisch dat het voor het schrijven van technische processen handig is voor een technoloog om toegang te hebben tot de resultaten van het werk van de ontwerper. Ik zou ongetwijfeld een soort van één geïntegreerde omgeving willen hebben, en het maakt helemaal niet uit hoe zo'n omgeving is gebouwd - binnen het raamwerk van een of meerdere systemen. Het belangrijkste is de end-to-end overdracht van gegevens tussen deelnemers aan productieprocessen, het gebruik en de ondersteuning van up-to-date informatie.
Creëren van geïntegreerde geografisch verspreide omgevingen
Heel vaak bevatten eerder geïmplementeerde systemen niet de benodigde functionaliteit, en de ingebouwde middelen van de uitbreiding maken het niet mogelijk om het gewenste te bereiken - de functionaliteit uitbreiden of de noodzakelijke integratie-interactie met andere systemen organiseren. Ontwerpbureaus en productiefaciliteiten zijn vaak geografisch gescheiden. Soms komen bestaande tools niet overeen met moderne ideeën over effectieve automatisering. Voor het uitwisselen van informatie tussen systemen in de scheepsbouw wordt bijvoorbeeld gebruik gemaakt van uitwisselingsbestanden (transportarrays). Vaak is alleen COM-technologie een middel om integratie-interactie te organiseren. Tegelijkertijd maken moderne systemen het mogelijk om geografisch verspreide databases effectief te organiseren, met engineeringgegevens te werken en deze uit te wisselen tussen externe ontwerpbureaus, ontwerpbureaus en productie.
Economische redenen
Ongetwijfeld is de economische component van de overgang naar het gebruik van nieuwe platforms onder alle omstandigheden niet nieuw, maar vandaag heeft het twee hoofdcomponenten:
  • investeringen in een nieuw platform moeten economische voordelen opleveren;
  • klanten spreken de wens uit om investeringen te verminderen en niet afhankelijk te zijn van buitenlandse fabrikanten in een aantal industrieën.

IPS-systeem

Om een ​​aantal redenen zullen we het niet hebben over bekende westerse automatiseringstools. In deze sectie zullen we proberen de oplossingen op te sommen: systemen van elektronisch ontwerparchief, documentbeheer, PDM, PLM, echt aangepast aan binnenlandse processen, het huidige regelgevende kader van de Russische Federatie voor ontwerpbureaus en productie, aan de ene kant, en anderzijds rekening houdend met de huidige staat en beschikbaarheid van ontwerpautomatiseringssystemen, DBMS, netwerkapparatuur en interoperabiliteit. Met het bovenstaande voorbehoud is de keuze helaas niet zo groot - misschien zal iemand redelijkerwijs bezwaar maken (waarvoor we bij voorbaat dankbaar zijn), maar er zijn slechts drie oplossingen zichtbaar op de binnenlandse markt:
  • IPS-systeem geproduceerd door Intermech;
  • LOTSMAN-systeem: PLM vervaardigd door Ascon;
  • T¬Flex systeem vervaardigd door Top Systems.
Het doel van het artikel is geenszins een geformaliseerde vergelijking van deze drie systemen volgens het principe van "aanwezigheid of afwezigheid" van een bepaalde functie. Onze ervaring leert dat een dergelijke benadering in de meeste gevallen zeer subjectief en onjuist is. In dit verband zullen we ons vandaag beperken tot het beschrijven van slechts één IPS-systeem.
Algemene functionaliteit
Het systeem is een modulaire oplossing die ontwerp- en productietaken automatiseert - groepswerk van ontwerpers, ontwerpworkflow, implementatie van een elektronisch archiefsysteem, technologische voorbereiding van productie, organisatie van integratie-interactie met andere systemen van de onderneming.

De algemene structuur van het IPS-systeem wordt getoond in Fig. 2.

Rijst. 2. Algemene structuur van IPS

Heterogeniteit van de IPS-omgeving
Het is geen geheim dat de overgrote meerderheid van dergelijke tools wordt ontwikkeld door fabrikanten van CAD-systemen. Tegelijkertijd loste elke fabrikant aanvankelijk het marketingprobleem op om klanten aan te trekken om met een set van "hun" softwareproducten te werken. Trouwens, dit concept is inherent aan softwareoplossingen, niet alleen op het gebied van automatisering van ontwerpactiviteiten en productie en niet alleen in ons land, maar drukt een wereldwijde trend uit. Enige tijd geleden heeft deze aanpak veranderingen ondergaan en tegenwoordig zal in de regel elke fabrikant van PDM / PLM-systemen een bevestigend antwoord geven op de vraag of er software-interactie is met CAD-systemen die er niet standaard in zijn.

Er moet worden opgemerkt dat het IPS-systeem niet oorspronkelijk is gemaakt op basis van een "native" CAD-systeem ervoor. Het concept van IPS kan worden gekarakteriseerd door het jargonisme "omnivoor", dat de relatie met de ontwerptools die in KB worden gebruikt het nauwkeurigst typeert. Tegelijkertijd weerspiegelt de implementatie van IPS de heersende tendens van ondernemingen om een ​​verscheidenheid aan CAD-systemen te hebben. Tegelijkertijd stellen we vast dat een dergelijke "overvloed aan ontwerptools" in sommige gevallen slechts een "echo is van het tijdperk van spontane automatisering", en in sommige gevallen - het resultaat van een economisch verantwoord beleid, dat op zijn beurt , tot de complexiteit en het aanbod van ontworpen producten. IPS werkt even goed met de volgende CAD-systemen:

  • AutoCAD;
  • Autodesk-uitvinder;
  • BricsCAD;
  • Catia;
  • Pro / INGENIEUR / PTC Creo Parametrisch;
  • Vaste rand;
  • SolidWorks;
  • KOMPAS-3D;
  • KOMPAS-Grafiek.
En bovendien - met systemen voor het ontwerpen van printplaten van elektronische producten (ECAD): Mentor Graphics en Altium Designer.
Aanpassingsopties voor functionaliteit
Met het IPS-platform kunt u de functionaliteit flexibel aanpassen. De ingebouwde tools kunnen gebruikt worden voor instellingen (geen programmering). Om dezelfde unieke functionaliteit te implementeren, kunnen externe programmeeromgevingen worden gebruikt om plug-in-programma's te schrijven.

Een belangrijk aspect van ontwerpautomatisering, productieactiviteiten, de introductie van een elektronisch archief, PDM / PLM-technologieën in een moderne onderneming is dat je helemaal opnieuw moet beginnen. Bovendien is de opslag van informatie in elektronische vorm (elektronisch archief) in de regel al tot op zekere hoogte georganiseerd en zijn er vaak succesvolle implementaties van ontwerpworkflow, PDM- en PLM-elementen. In meer "geavanceerde" gevallen is er een enkele informatieruimte, wordt een intersysteeminteractie georganiseerd. Tegelijkertijd vereisen enerzijds de geïmplementeerde en succesvol gebruikte middelen modernisering in verband met de overgang naar nieuwe technologieën (bijvoorbeeld bij de introductie van driedimensionale CAD-systemen). Aan de andere kant moeten en kunnen eerder opgebouwde databases, technische en organisatorische benaderingen worden toegepast bij de introductie van nieuwe technologieën. Zo verliest een database met "tweedimensionale" documentatie voor eerder vervaardigde producten zijn relevantie niet bij het overschakelen naar 3D-CAD-systemen (producten worden bediend, gemoderniseerd, opnieuw geproduceerd, ongeacht hoe ze zijn ontworpen - "op een vliegtuig" of "op papier").

Organisatie van geografisch verspreid werk
We voegen eraan toe dat u met het IPS-systeem geografisch verspreide oplossingen kunt implementeren, zowel binnen het kader van één fase van de productlevenscyclus, bijvoorbeeld bij het ontwerpen met een of meerdere ontwerpbureaus, als binnen verschillende fasen. In dit geval is het bijvoorbeeld mogelijk om een ​​product te ontwerpen met een of meer ontwerpbureaus en toegang op afstand van technologen uit een of meer afzonderlijke industrieën tot de resultaten van het werk van ontwerpers, automatisering van de technologische voorbereiding van de productie met behulp van de juiste IPS-modules. Dankzij het mechanisme voor het publiceren van documenten en modellen kan een onderneming op afstand van het ontwerpbureau aantekeningen maken, wijzigingen initiëren en werken in een enkele geografisch verspreide omgeving.

De algemene structuur van de organisatie van gedistribueerd IPS-werk wordt getoond in Fig. 3.

Rijst. 3. Organisatie van geografisch verspreid IPS-werk

Voorbeeld van KB-overgang naar het gebruik van IPS
Laten we een echt voorbeeld geven van vertaling uit een eerder geïmplementeerd elektronisch archiefsysteem, documentstroom met PDM- en PLM-elementen in een van de grote ontwerpbureaus. De belangrijkste redenen voor het werk:
  • overgang van ontwerpafdelingen naar driedimensionaal ontwerp;
  • gebrek aan technische bekwaamheid om het werken met 3D-CAD-systemen in het bestaande systeem van elektronische archivering en documentcirculatie van CD met PDM- en PLM-elementen te ondersteunen;
  • verouderde architectuur van het bestaande systeem en de onmogelijkheid van verdere schaalvergroting;
  • vereisten voor geografisch verspreide interactie van ontwerpbureaus met andere ontwerpbureaus en productie.
Werkresultaten:
  • het uitwerken van de problematiek van datamigratie van het bestaande systeem naar IPS;
  • studie van kwesties van migratie van processen van het bestaande systeem naar IPS;
  • softwareoplossing - een subsysteem van interface-interactie tussen het bestaande systeem en IPS om de integratie-interactie van systemen te verzekeren, waardoor een "soepele overgang" mogelijk wordt;
  • de organisatorische component van de overgang naar het gebruik van het nieuwe systeem wordt geformuleerd, rekening houdend met de optimalisatie van tijd- en resourcekosten.
De eerste fase - de ontwikkeling van technologie en software- en hardwareoplossingen - werd uitgevoerd op een eerder ontworpen "pilot"-product.

Momenteel voeren de specialisten van ons bedrijf volgens het werkschema de volgende fase van het werk uit, op basis van de eerder verkregen resultaten: ondersteuning voor het ontwerp van twee echte producten van 3D-CAD-systemen en een IPS-systeem.

Conclusie

  • Vaak vertegenwoordigen de stadia van automatisering van ontwerpbureaus en ondernemingen, gepositioneerd als echte implementaties van PDM / PLM-technologieën, het creëren van elektronische archieven, documentbeheersystemen voor CD en TD, TDM (vaker voor tweedimensionale documenten). In de meeste gevallen kunnen we alleen praten over de echte implementatie van PDM- en PLM-elementen;
  • met de overgang naar driedimensionaal ontwerp voldoen de eerder geïmplementeerde systemen van elektronische archivering en documentbeheer van CD en TD, de geïntroduceerde elementen van PDM en PLM niet altijd aan nieuwe eisen;
  • de overdracht naar nieuwe platforms van elektronische archivering en documentbeheersystemen van CD- en TD-, PDM- en PLM-elementen is geen gemakkelijke, maar volledig oplosbare taak, die een systematische aanpak vereist die is ontwikkeld door het ESG-bureau, en die slechts gedeeltelijk in het artikel wordt behandeld.

Bibliografie

  1. Turetskiy O., Tuchkov A., Chikovskaya I., Ryndin A. Nieuwe ontwikkeling van het bedrijf InterCAD - een systeem voor het opslaan van documenten en 3D-modellen // REM. 2014. Nr. 1.
  2. Tuchkov A., Ryndin A. Over de manieren om technische gegevensbeheersystemen te maken // REM. 2014. Nr. 1.
  3. Kazantseva I., Ryndin A., Reznik B. Informatie en regelgevende ondersteuning voor de volledige levenscyclus van een schip. ESG Bureau Ervaring // Korabel.ru. 2013. Nr. 3 (21).
  4. Tuchkov A., Ryndin A. Ontwerp gegevensbeheersystemen op het gebied van industriële en civiele constructie: onze ervaring en begrip // CAD en grafische afbeeldingen. 2013. Nr. 2.
  5. Galkina O., Korago N., Tuchkov A., Ryndin A. Het elektronische archiefsysteem D'AR is de eerste stap op weg naar het bouwen van een ontwerpgegevensbeheersysteem // CAD en grafische afbeeldingen. 2013. nr. 9.
  6. Ryndin A., Turetskiy O., Tuchkov A., Chikovskaya I. Creatie van opslag van 3D-modellen en documenten bij het werken met 3D CAD-systemen // CAD en Graphics. 2013. Nr. 10.
  7. Ryndin A., Galkina O., Blagodyr A., ​​​​Korago N. Automatisering van documentstromen is een belangrijke stap op weg naar het creëren van een uniforme informatieruimte voor een onderneming // REM. 2012. nr. 4.
  8. Petrov V. Ervaring met het creëren van een uniforme informatieruimte in St. Petersburg OJSC "Krasny Oktyabr" // CAD en afbeeldingen. 2012. nr. 11.
  9. Malashkin Yu., Shatskikh T., Yukhov A., Galkina O., Karago N., Ryndin A., Fertman I. Ervaring met het ontwikkelen van een elektronisch documentbeheersysteem bij Giprospetsgaz // CAD en grafische afbeeldingen. 2011. Nr. 12.
  10. Sanev V., Suslov D., Smirnov S. Gebruik van informatietechnologieën in JSC "Central Research Institute of Ship Engineering // CADmaster. 2010. nr. 3.
  11. Vorobiev A., Danilova L., Ignatov B., Ryndin A., Tuchkov A., Utkin A., Fertman I., Scheglov D. Scenario en mechanismen voor het creëren van een enkele informatieruimte // CADmaster. 2010. nr. 5.
  12. Danilova L., Shcheglov D. Methodologie voor het creëren van een uniforme informatieruimte voor de raket- en ruimtevaartindustrie // REM. 2010. nr. 6.
  13. Galkina OM, Ryndin AA, Ryaben'kiy LM, Tuchkov AA, Fertman I.B. Elektronisch informatiemodel van scheepsbouwproducten in verschillende stadia van de levenscyclus // CADmaster. 2007. nr. 37a.
  14. Ryndin AA, Ryaben'kiy L.M., Tuchkov AA, Fertman I.B. Technologieën om de levenscyclus van producten te verzekeren // Computer-INFORM. 2005. nr. 11.
  15. Ryndin AA, Ryaben'kiy L.M., Tuchkov AA, Fertman I.B. Stadia van implementatie van IPI-technologieën // Scheepsbouw. 2005. nr. 4.
Vergelijkbare publicaties: