huis-Betaalsystemen-Inbraakpreventiesystemen (IPS-systemen). Uw computer beschermen tegen ongeoorloofde toegang

Inbraakpreventiesystemen (IPS-systemen). Uw computer beschermen tegen ongeoorloofde toegang

Momenteel zijn er talloze verschillende soorten malware. Experts op het gebied van antivirussoftware zijn zich er terdege van bewust dat oplossingen die alleen zijn gebaseerd op databases met viruskenmerken, niet effectief kunnen zijn tegen bepaalde soorten bedreigingen. Veel virussen kunnen zich aanpassen, de grootte, namen van bestanden, processen en services wijzigen.

Als u het potentiële gevaar van een bestand niet kunt detecteren aan de hand van externe tekens, kunt u het schadelijke karakter ervan bepalen aan de hand van het gedrag ervan. Het is de gedragsanalyse die het Host Intrusion Prevention System (HIPS) inbraakpreventiesysteem doet.

HIPS is gespecialiseerde software die bestanden, processen en services controleert op zoek naar verdachte activiteiten. Met andere woorden, HIPS Proactive Protection blokkeert malware op basis van gevaarlijke code-uitvoering. Het gebruik van technologie zorgt voor een optimale systeembeveiliging zonder de noodzaak om databases bij te werken.

HIPS en firewalls zijn nauw verwante componenten. Terwijl de firewall inkomend en uitgaand verkeer beheert op basis van regelsets, beheert HIPS het opstarten en de werking van processen op basis van wijzigingen die aan de computer zijn aangebracht volgens controleregels.

HIPS-modules beschermen uw computer tegen zowel bekende als onbekende soorten bedreigingen. Wanneer een kwaadaardig programma of een aanvaller verdachte acties uitvoert, blokkeert HIPS deze activiteit, stelt het de gebruiker op de hoogte en biedt verdere oplossingen. Wat zijn precies de veranderingen waar HIPS naar kijkt?

Hier is een ruwe lijst van activiteiten die HIPS voornamelijk nauwlettend in de gaten houdt:

Beheer andere geïnstalleerde programma's. Bijvoorbeeld het verzenden van e-mails met een standaard e-mailclient of het starten van bepaalde pagina's in de standaardbrowser;

Een poging om wijzigingen aan te brengen in bepaalde vermeldingen in het systeemregister, zodat het programma bij bepaalde gebeurtenissen start;

Sluit andere programma's af. Bijvoorbeeld het uitschakelen van de antivirusscanner;

Apparaten en stuurprogramma's installeren die vóór andere programma's worden uitgevoerd;

Interprocessor geheugentoegang waardoor kwaadaardige code in een vertrouwd programma kan worden geïnjecteerd

Wat te verwachten van een succesvolle HIPS?

HIPS moet voldoende bevoegdheden hebben om malware-activiteiten te beëindigen. Als gebruikersbevestiging nodig is om een ​​gevaarlijk programma te stoppen, is het systeem niet erg effectief. Een inbraakpreventiesysteem moet een specifieke set regels hebben die de gebruiker kan toepassen. Bewerkingen voor het maken van nieuwe regels moeten beschikbaar zijn (hoewel er bepaalde uitzonderingen moeten zijn). De gebruiker die met HIPS werkt, moet de gevolgen van zijn wijzigingen goed begrijpen. Anders zijn software- en systeemconflicten mogelijk. Bezoek de speciale forums of het antivirus-helpbestand voor meer informatie over hoe het inbraakpreventiesysteem werkt.

Normaal gesproken werkt de HIPS-technologie wanneer het proces begint. Het onderbreekt acties terwijl ze worden uitgevoerd. Er zijn echter HIPS-producten met voordetectie, waarbij het potentiële gevaar van het uitvoerbare bestand al wordt bepaald voordat het direct wordt gelanceerd.

Zijn er risico's?

De risico's van HIPS zijn valse positieven en onjuiste gebruikersbeslissingen. Het systeem is verantwoordelijk voor bepaalde wijzigingen die door andere programma's zijn aangebracht. HIPS houdt bijvoorbeeld altijd het pad van het systeemregister bij HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, die verantwoordelijk is voor het automatisch laden van programma's bij het opstarten van het systeem.

Het is duidelijk dat veel veilige programma's deze registervermelding gebruiken om automatisch te starten. Wanneer er wijzigingen worden aangebracht aan deze sleutel, zal HIPS de gebruiker vragen om de volgende actie: wijzigingen toestaan ​​of weigeren. Heel vaak klikken gebruikers gewoon op toestaan ​​zonder in de informatie te duiken, vooral als ze op dat moment nieuwe software installeren.

Sommige HIPS informeren andere gebruikers over soortgelijke oplossingen, maar als het er weinig zijn, zijn ze niet relevant en kunnen ze de gebruiker misleiden. Het valt nog te hopen dat de meeste gebruikers voor u de juiste keuze hebben gemaakt. Het systeem werkt uitstekend bij het identificeren van potentieel gevaar en het weergeven van een alarmmelding. Verder, zelfs als HIPS de dreiging correct heeft geïdentificeerd, kan de gebruiker de verkeerde actie uitvoeren en daarmee de pc infecteren.

Gevolgtrekking: HIPS is een belangrijk element van meerlaagse bescherming. Het wordt ook aanbevolen om andere beveiligingsmodules samen met het systeem te gebruiken. Voor een optimale en efficiënte werking van HIPS moet de gebruiker over bepaalde kennis en vaardigheden beschikken.

Gebaseerd op Malwarebytes Unpacked Blog

Een typfout gevonden? Selecteer en druk op Ctrl + Enter

Inbraakdetectie- en preventiesysteem

Inbraakpreventiesysteem(IDS / IPS, Intrusion detection system / Intrusion Prevention System) is ontworpen om indringersaanvallen op de server, geïntegreerde services (mail, website, enz.) en het lokale netwerk dat wordt beschermd door de internetgateway, te detecteren, te loggen en te voorkomen.

Regels voor het blokkeren van verkeer omvatten het blokkeren van de activiteit van trojans, spyware, botnets, p2p-clients en torrent-trackers, virussen, netwerken TOR(gebruikt om filterregels te omzeilen), anonimiseringen en meer.

U kunt de service configureren op het tabblad Regels - Inbraakpreventie:

Door aan of uit te vinken " IDS/IPS inschakelen" kunt u de inbraakpreventieservice dienovereenkomstig in-/uitschakelen.

in veld " Lijst met lokale subnetten" voeg lokale netwerken toe die worden bediend door UTM. Meestal zijn dit netwerken van lokale UTM-interfaces, en het kunnen ook netwerken zijn van externe segmenten van het lokale netwerk van uw onderneming die ernaartoe zijn gerouteerd. Geef nooit netwerken op die behoren tot externe UTM-netwerkinterfaces en externe netwerken. De hier gespecificeerde netwerken nemen deel aan de regels van de Intrusion Prevention Service als lokale netwerken, die verkeer van/naar lokale netwerken karakteriseren. Lokaal verkeer tussen segmenten wordt niet uitgesloten van systeemcontroles.

Optie " Logboekvermeldingen bewaren" kunt u de opslagtijd voor systeemlogboeken selecteren: 1, 2 of 3 maanden.

Wanneer u een inbraakpreventiesysteem gebruikt, wordt het niet aanbevolen om interne DNS-servers te gebruiken voor computers in het netwerk, omdat: het systeem analyseert DNS-query's die er doorheen gaan en identificeert op basis daarvan geïnfecteerde apparaten. Als u een intern AD-domein gebruikt, wordt aanbevolen om de Ideco UTM DNS-server op te geven als de enige DNS-server op de computers, en de Forward-zone voor het lokale domein op te geven in de UTM DNS-serverinstellingen.

Tijdschrift

In het logboek kunt u de laatste 100 regels met waarschuwingslogboeken voor inbraakpreventie bekijken.


Volledige systeemlogboeken bevinden zich op de server in de map: /var/log/suricata

drop.log - informatie over gedropte pakketten.

fast.log - waarschuwingslogboeken.

suricata.log - logboeken voor servicebewerkingen.

De waarschuwingslogboeken geven de groep (Classificatie) aan waartoe de geactiveerde regel behoort, de regel-ID en aanvullende informatie.

Reglement

Op het tabblad Reglement zijn beschikbaar voor het bekijken en in-/uitschakelen van een groep systeemregels voor inbraakpreventie.


Wanneer u een groep regels in- of uitschakelt, worden de instellingen onmiddellijk toegepast, zonder dat u de service opnieuw hoeft te starten.

Uitzonderingen

Het is mogelijk om bepaalde systeemregels voor inbraakpreventie uit te schakelen in het geval van valse positieven of om andere redenen.


Op het tabblad "Uitzonderingen" kunt u een regel-ID toevoegen (het nummer ervan, zie het voorbeeld van een loganalyse hieronder).

Aandacht! Na verloop van tijd, wanneer databases worden bijgewerkt, kunnen regel-ID's veranderen.

Voorbeeld loganalyse

voorbeeld 1

04/04/2017-19:31:14.341627 [**] ET P2P BitTorrent DHT-pingverzoek [**] (UDP) 10.130.0.11:20417 -> 88.81.59.137:61024

Uitleg velden:

04/04/2017-19:31:14.341627 - datum en tijd van het evenement.

Systeemactie, Drop - het pakket is geblokkeerd, alle andere informatie in dit veld betekent Alert, informeren.

[ 1:2008581:3 ] - ID van de regel in de groep (de ID staat tussen de ":"-tekens). Als de regel moet worden toegevoegd aan de uitzonderingen, moet u daar het nummer 2008581 toevoegen.

[**] ET CINS Actieve bedreigingsinformatie Slechte reputatie IP-groep 3 [**] (UDP) 24.43.1.206:10980 -> 192.168.10.14:32346

Voor een meer gedetailleerde analyse van de logs van het IP-adres van de computer 192.168.10.14 in de serverconsole, voert u de opdracht uit:

grep "10.80.1.13:" /var/log/suricata/fast.log

We krijgen een vrij groot aantal lijnen met blokkerende verbindingen naar IP-adressen die zijn ingedeeld in verschillende gevarencategorieën.

Als resultaat van de software-analyse op de computer werd een adware-programma gedetecteerd en verwijderd, waarop de lokaal geïnstalleerde antivirus niet reageerde.

Technische benodigdheden

Een inbraakpreventiesysteem vereist aanzienlijke computerbronnen om te werken. Multi-core (4 of meer cores) processors hebben de voorkeur. De minimale hoeveelheid RAM om het systeem te gebruiken: 8 GB.

Na het inschakelen van het systeem is het wenselijk om te controleren of uw processorkracht voldoende is om het volgende verkeer door de gateway te controleren.

In hoofdstuk Monitoring - Systeembronnen. De belastingsgemiddelde parameter (gemiddelde belasting voor 1, 5 en 15 minuten) mag niet groter zijn dan het aantal fysieke cores van de geïnstalleerde processor.

In dit artikel leert u enkele van de algemeen bekende en minder bekende kenmerken van aanvalspreventiesystemen.

Wat is een aanvalspreventiesysteem?

Aanvalpreventiesystemen (Intrusion Prevention Systems of kortweg IPS) zijn een evolutie van inbraakdetectiesystemen (Intrusion Detection Systems of kortweg IDS). Aanvankelijk detecteerde IDS alleen bedreigingen door te luisteren naar verkeer op het netwerk en op hosts, en stuurde vervolgens op verschillende manieren waarschuwingen naar de beheerder. IPS blokkeert nu aanvallen zodra ze worden gedetecteerd, hoewel ze ook in IDS-modus kunnen werken - alleen meldingen over problemen.

Soms wordt de functionaliteit van IPS opgevat als de gezamenlijke werking van zowel IDS als firewall in één apparaat. Dit wordt vaak veroorzaakt door het feit dat sommige IPS's ingebouwde regels hebben voor het blokkeren van pakketten op basis van bron- en bestemmingsadressen. Dit is echter geen firewall. In een firewall hangt het blokkeren van verkeer volledig af van uw vermogen om regels in te stellen, en in IPS van het vermogen van de programmeurs van de fabrikant om foutloze algoritmen te schrijven voor het zoeken naar aanvallen in verkeer dat door het netwerk stroomt. Er is nog een "overeenkomst": de firewall-technologie, ook wel statefull-inspectie genoemd, lijkt erg op een van de technologieën die in IPS worden gebruikt om te bepalen of verschillende verbindingen tot hetzelfde netwerkprotocol behoren, en hier wordt het poortvolging genoemd. Er zijn veel meer verschillen, Firewall kan bijvoorbeeld geen tunneling van het ene protocol naar het andere detecteren, maar IPS wel.

Een ander verschil tussen de theorie van het bouwen van IPS en firewall is dat wanneer een apparaat faalt, IPS verkeer moet doorlaten en firewall verkeer moet BLOKKEN. Om in de juiste modus te werken, is er een zogenaamde bypass-module ingebouwd in de IPS. Dankzij hem zal het verkeer, zelfs als je per ongeluk de stroom van de IPS uitzet, vrij door het apparaat gaan. Soms is IPS ook geconfigureerd om verkeer bij storing te blokkeren - maar dit zijn speciale gevallen, die meestal worden gebruikt wanneer twee apparaten worden gebruikt in de modus Hoge beschikbaarheid.
IPS is een veel complexer apparaat dan een firewall. IPS wordt gebruikt voor bedreigingen die deze laatste niet aankon. IPS omvat de geconcentreerde kennis van een groot aantal beveiligingsprofessionals die patronen hebben geïdentificeerd, gevonden en vervolgens de probleemdetecterende code hebben geprogrammeerd in de vorm van regels voor het analyseren van inhoud die over het netwerk stroomt.

IPS in bedrijfsnetwerken maken deel uit van meerlaagse bescherming, omdat ze zijn geïntegreerd met andere beveiligingshulpmiddelen: firewalls, beveiligingsscanners, incidentbeheersystemen en zelfs antivirusprogramma's. Als gevolg hiervan zijn er nu voor elke aanval niet alleen mogelijkheden om deze te identificeren en vervolgens de beheerder op de hoogte te stellen of te blokkeren, maar ook om een ​​volledige analyse van het incident uit te voeren: pakketten verzamelen die afkomstig zijn van de aanvaller, een onderzoek starten en elimineer de kwetsbaarheid door het pakket aan te passen.

In combinatie met een goed beveiligingsbeheersysteem wordt het mogelijk om de acties van de netwerkbeheerder zelf te controleren, die niet alleen de kwetsbaarheid moet wegnemen door bijvoorbeeld een patch te plaatsen, maar ook aan het systeem moet rapporteren over de verrichte werkzaamheden. Dat was over het algemeen tastbaar in de werking van dergelijke systemen. Wat heeft het voor zin om over problemen in het netwerk te praten als niemand op deze problemen reageert en er niet verantwoordelijk voor is? Iedereen kent dit eeuwige probleem: degene die de verliezen draagt ​​van de storing van het computersysteem en degene die dit systeem beschermt, zijn verschillende mensen. Als u geen extreem geval overweegt, bijvoorbeeld een thuiscomputer die is aangesloten op internet.

Verkeersvertragingen

Enerzijds is het goed dat het mogelijk is geworden om niet alleen informatie over een lopende aanval te krijgen, maar ook om deze door het apparaat zelf te blokkeren. Maar aan de andere kant moet het aanvalspreventiesysteem niet op de SPAN-poort van de switch worden geïnstalleerd, maar om al het netwerkverkeer rechtstreeks door het beveiligingsapparaat zelf te laten gaan, wat onvermijdelijk vertragingen veroorzaakt bij de doorgang van pakketten door het netwerk. En in het geval van VoIP is dit van cruciaal belang, maar als u zich gaat verdedigen tegen aanvallen op VoIP, is er geen andere manier om uzelf tegen dergelijke aanvallen te beschermen.

Een van de kenmerken aan de hand waarvan u een aankooppreventiesysteem moet evalueren, is dus de hoeveelheid netwerkvertraging die dergelijke systemen onvermijdelijk met zich meebrengen. In de regel kan deze informatie bij de fabrikant zelf worden overgenomen, maar u kunt de onderzoeken van onafhankelijke testlaboratoria, zoals NSS, lezen. Vertrouwen op de fabrikant is één ding, het zelf controleren is een tweede.

Aantal valse positieven

Het tweede kenmerk om naar te kijken is het aantal valse positieven. Net zoals we geïrriteerd raken door spam, hebben valse positieven hetzelfde effect op beveiligingsbeheerders. Uiteindelijk stoppen beheerders, om hun psyche te beschermen, gewoonweg niet meer op alle systeemberichten te reageren en wordt de aankoop ervan weggegooid geld. Een typisch voorbeeld van een systeem met een groot aantal valse positieven is SNORT. Om dit systeem min of meer adequaat te configureren voor de bedreigingen in uw netwerk, moet u veel tijd besteden.

Sommige systemen voor het detecteren en voorkomen van aanvallen hebben ingebouwde correlatiemethoden die de gedetecteerde aanvallen sorteren op ernst met behulp van informatie uit andere bronnen, zoals een beveiligingsscanner. Als een beveiligingsscanner bijvoorbeeld zag dat een computer SUN Solaris en Oracle draaide, dan kan met honderd procent zekerheid worden gezegd dat de Slammer-wormaanval (die op MS SQL is gericht) deze server niet zal passeren. Dergelijke correlatiesystemen markeren dus sommige aanvallen als mislukt, wat het werk van de beheerder aanzienlijk vergemakkelijkt.

Moderniteit van beschermende technologieën

Het derde kenmerk zijn de methoden om aanvallen te detecteren (en tegelijkertijd te blokkeren) en de mogelijkheid om ze af te stemmen op de vereisten van uw netwerk. In eerste instantie zijn er twee verschillende benaderingen: op handtekeningen gebaseerde IPS zoekt naar aanvallen op basis van eerder gevonden exploits, en IPS met protocolanalyse zoekt naar aanvallen op basis van kennis van eerder gevonden kwetsbaarheden. Als u een nieuwe exploit schrijft voor dezelfde kwetsbaarheid, zal IPS van de eerste klasse deze niet detecteren en blokkeren, en de tweede klasse zal deze detecteren en blokkeren. Klasse 2 IPS's zijn veel effectiever omdat ze hele klassen van aanvallen blokkeren. Als gevolg hiervan heeft de ene fabrikant 100 handtekeningen nodig om alle varianten van dezelfde aanval te detecteren, de andere heeft slechts één regel nodig die de kwetsbaarheid analyseert van het protocol of het gegevensformaat dat al deze soorten aanvallen gebruiken. Onlangs is de term preventieve bescherming verschenen. Het omvat de mogelijkheid om te beschermen tegen aanvallen die nog onbekend zijn en bescherming tegen aanvallen die al bekend zijn, maar de fabrikant heeft nog geen patch uitgebracht. Over het algemeen is het woord 'preventief' een ander Amerikanisme. Er is een meer Russische term: "tijdig" - die bescherming die werkt voordat we werden gehackt of geïnfecteerd, en niet daarna. Dergelijke technologieën bestaan ​​al en moeten worden gebruikt. Vraag de fabrikant bij het kopen: welke preventieve beschermingstechnologieën ze gebruiken en u zult alles begrijpen.

Helaas zijn er nog geen systemen die tegelijkertijd twee bekende aanvalsanalysemethoden zouden gebruiken: protocolanalyse (of handtekeninganalyse) en gedragsanalyse. Daarom moet u voor volledige bescherming ten minste twee apparaten op het netwerk installeren. Eén apparaat gebruikt algoritmen voor het vinden van kwetsbaarheden met behulp van handtekeningen en protocolanalyse. De andere zal statistische en analytische methoden gebruiken om afwijkingen in het gedrag van netwerkstromen te analyseren. In veel systemen worden nog steeds handtekeningmethoden gebruikt voor het detecteren en voorkomen van aanvallen, maar deze rechtvaardigen zichzelf helaas niet. Ze bieden geen proactieve bescherming omdat het vrijgeven van de handtekening een exploit vereist. Waarom heb je nu een handtekening nodig als je al bent aangevallen en het raster is verbroken? Op handtekeningen gebaseerde antivirusprogramma's kunnen nu niet omgaan met nieuwe virussen om dezelfde reden - de reactiviteit van bescherming. Daarom zijn de meest geavanceerde aanvalsanalysemethoden nu volledige protocolanalyse. Het idee van deze methode is dat niet een specifieke aanval wordt geanalyseerd, maar in het protocol zelf wordt gezocht naar een teken van uitbuiting van de kwetsbaarheid door de aanvaller. Het systeem kan bijvoorbeeld volgen of er vóór het begin van het TCP-pakket met de aanval een uitwisseling van drie pakketten was om een ​​TCP-verbinding tot stand te brengen (pakketten met SYN-, SYN+ACK-, ACK-vlaggen). Als er een verbinding nodig is voor de aanval, dan zal het protocolanalysesysteem controleren of die er waren, en als een pakket met een verbindingsloze aanval arriveert, zal het vaststellen dat een dergelijke aanval niet succesvol is omdat er geen verbinding was. En het handtekeningsysteem zal een vals positief geven, omdat het dergelijke functionaliteit niet heeft.

Gedragssystemen werken op een heel andere manier. Ze analyseren netwerkverkeer (bijvoorbeeld ongeveer een week) en onthouden welke netwerkstromen meestal gaan. Zodra er verkeer is dat niet overeenkomt met het onthouden gedrag, is het duidelijk dat er iets nieuws aan de hand is op het netwerk: bijvoorbeeld de verspreiding van een nieuwe worm. Bovendien zijn dergelijke systemen verbonden met het updatecentrum en ontvangen ze eenmaal per uur of vaker nieuwe regels voor het gedrag van wormen en andere updates, bijvoorbeeld lijsten met phishing-sites, waardoor ze deze onmiddellijk kunnen blokkeren, of lijsten met botnets control hosts, waardoor infectie onmiddellijk kan worden gedetecteerd, een host, zodra deze verbinding probeert te maken met het botnet-controlecentrum, enz.

Zelfs het verschijnen van een nieuwe host op het netwerk is een belangrijke gebeurtenis voor een gedragssysteem: je moet uitzoeken wat voor soort host, wat erop is geïnstalleerd, of het kwetsbaarheden heeft, of misschien zal de nieuwe host zelf aanvallen. Voor providers zijn dergelijke gedragssystemen belangrijk omdat je hiermee veranderingen in het "vrachtverkeer" kunt volgen, omdat het voor de provider belangrijk is om de snelheid en betrouwbaarheid van pakketbezorging te garanderen, en als plotseling in de ochtend blijkt dat alle verkeer gaat via één kanaal en past daar niet in, en voor de rest worden meerdere kanalen naar het internet via andere providers niet gebruikt, dit betekent dat de instellingen ergens fout zijn gegaan en je te maken hebt met balanceren en herverdelen van de belasting.
Voor de eigenaar van een klein netwerk is het van belang dat aanvallers niet binnen opstarten, zodat het netwerk niet op de zwarte lijst komt van spammers, zodat aanvallers niet het hele internetkanaal met rommel verstoppen. Maar voor het internetkanaal en verkeer moet je wel geld betalen aan de provider. Elke bedrijfsleider zou graag op tijd geld aan verkeer dat nutteloos is voor het bedrijfsleven willen detecteren en stoppen.

Geanalyseerde protocollen en gegevensformaten

Als we het hebben over de technische mensen die de beslissing nemen om een ​​aanvalspreventiesysteem te kiezen, dan moeten ze vragen stellen over de specifieke protocollen die het systeem analyseert. Misschien ben je geïnteresseerd in iets specifieks: bijvoorbeeld het analyseren van aanvallen in javascript, of het afweren van sql-injectiepogingen, of DDoS-aanvallen, of je hebt een SCADA (sensor control and management system) in het algemeen en je moet de protocollen van je gespecialiseerde systeem, of het is van cruciaal belang voor u om VoIP-protocollen te beschermen, die vanwege hun complexiteit al kwetsbaarheden hebben bij de implementatie.
Bovendien weet niet iedereen dat IPS-evenementen niet alleen van het type "attack" zijn, maar ook van het type "audit" en "status". IPS kan bijvoorbeeld verbindingen en alle ICQ-berichten opvangen. Als u ICQ in uw beveiligingsbeleid heeft verboden, is het gebruik ervan een aanval. Zo niet, dan kunt u eenvoudig alle verbindingen volgen en met wie communiceren. Of schakel deze handtekening gewoon uit als u denkt dat deze onnauwkeurig is.

Specialisten

De vraag rijst: waar kunnen we zulke specialisten vinden die begrijpen wat er moet worden gekocht, en die vervolgens weten hoe ze op elk bericht van het aanvalspreventiesysteem moeten reageren en zelfs in staat zijn om het te configureren. Het is duidelijk dat je cursussen kunt volgen over het beheren van een dergelijk systeem, maar in feite moet een persoon eerst netwerkprotocollen begrijpen, dan netwerkaanvallen en vervolgens reactiemethoden. Zulke cursussen zijn er niet. Ervaring is hier vereist. Er zijn bedrijven die outsourcing aanbieden voor het beheren en analyseren van berichten van beveiligingsconsoles. Ze hebben al vele jaren specialisten in dienst die internetbeveiliging begrijpen en grondig begrijpen en ze bieden effectieve bescherming, en u op hun beurt verlost u van de hoofdpijn van het vinden van personeel dat de hele verscheidenheid aan beschikbare beveiligingshulpmiddelen begrijpt, van VPN tot antivirus. Daarnaast is outsourcing 24 uur per dag controle zonder vrije dagen en vakanties, zodat de bescherming compleet wordt. En je kunt meestal alleen een specialist inhuren om van maandag tot vrijdag van 9 tot 18 te werken, en dan wordt hij soms ziek, studeert, gaat naar conferenties, gaat op zakenreis en soms stopt hij onverwachts.

Product ondersteuning

Het is belangrijk om een ​​dergelijk punt in IPS als de ondersteuning van hun producten door de fabrikant te benadrukken. Helaas zijn updates van algoritmen, handtekeningen en regels nog steeds nodig, omdat technologieën en aanvallers niet stil staan, en nieuwe klassen van kwetsbaarheden in nieuwe technologieën voortdurend moeten worden gesloten. Jaarlijks worden enkele duizenden kwetsbaarheden gevonden. Hoogstwaarschijnlijk bevat uw software en hardware er meerdere. Hoe kwam je achter de kwetsbaarheden daarin en hoe verdedigde je jezelf later? Maar u moet voortdurend de relevantie van bescherming in de gaten houden. Een belangrijk onderdeel is dan ook de constante ondersteuning van de beschermende tools die u hebt toevertrouwd met de beveiliging van uw bedrijf: de aanwezigheid van een professioneel team dat voortdurend nieuwe kwetsbaarheden monitort en tijdig nieuwe controles schrijft, dat zelf kwetsbaarheden in om de aanvallers voor te zijn. Dus als je een systeem koopt dat zo complex is als een IPS, kijk dan wat voor soort ondersteuning de fabrikant biedt. Het is handig om te weten hoe goed en op tijd hij omging met de aanvallen die al in het verleden waren.

Bescherming tegen IPS-bypassmethoden

De IPS zelf is erg moeilijk aan te vallen omdat deze geen IP-adres heeft. (IPS wordt beheerd via een aparte beheerpoort.) Er zijn echter methoden die IPS omzeilen en het mogelijk maken om voor de gek te worden gehouden en de netwerken die ze beschermen aan te vallen. Deze methoden worden gedetailleerd beschreven in de populaire literatuur. Zo gebruikt het NSS-testlab actief workarounds om IPS te testen. Het is moeilijk voor IPS-fabrikanten om deze methoden tegen te gaan. En hoe de fabrikant omgaat met de bypass-methoden is een ander interessant kenmerk van het aanvalspreventiesysteem.

Het belang van het gebruik van IPS in bedrijfsnetwerken is al lang achterhaald, nieuwe preventieve technologieën die organisaties beschermen tegen nieuwe aanvallen zijn al ontwikkeld, dus het blijft alleen om ze correct te installeren en te bedienen. In het artikel werden de namen van fabrikanten niet specifiek genoemd om de beoordeling van IPS-eigenschappen zo onbevooroordeeld mogelijk te maken.

Dmitry Volkov
Hoofd IT-incidentonderzoek, Group-IB

Moderne ontwikkeling van IPS

Network Intrusion Prevention Systems (IPS) kunnen zowel een effectief hulpmiddel zijn voor mensen die betrokken zijn bij beveiliging, als een duur stuk ijzer dat stof staat te verzamelen. Om ervoor te zorgen dat een IPS-systeem niet tegenvalt, moet het minimaal voldoen aan de volgende eisen, waarmee rekening moet worden gehouden bij de keuze.

Het systeem moet:

  1. een breed scala aan modellen hebben die voldoen aan de eisen van zowel kleine regionale kantoren als de belangrijkste onderneming met multi-gigabit-netwerken;
  2. ondersteunt niet alleen handtekeninganalyse, maar ook analyse van afwijkende protocollen en natuurlijk gedragsanalyse;
  3. een duidelijk beeld geven van het netwerk en aangesloten apparaten;
  4. werk leveren in de IDS-modus, gedragsanalyse uitvoeren, tools hebben voor het uitvoeren van onderzoeken;
  5. hebben gecentraliseerd beheer van geïnstalleerde IPS/IDS-systemen;
  6. beschikken over goede analysetools voor een effectieve verbetering van het beveiligingsbeleid.

IDS / IPS-systemen worden meestal aangesloten op kritieke bronnen. Maar naast het feit dat het noodzakelijk is om aanvallen op deze bronnen te blokkeren, moet men ze constant in de gaten houden, namelijk: om te weten welke van deze bronnen kwetsbaar zijn, hoe hun gedrag op het netwerk verandert. Daarom moet er extra functionaliteit worden toegevoegd aan IDS / IPS-systemen, waardoor ze de benodigde bronnen betrouwbaarder kunnen beschermen en tegelijkertijd de eigendomskosten kunnen verlagen. De bescherming kan dus in drie fasen worden uitgevoerd: IPS, Adaptive IPS, Enterprise Threat Management. De functionaliteit van elke volgende fase omvat alle functies uit de vorige fase en wordt opgebouwd met nieuwe.


Fase 1. U kunt aanvallen controleren en / of blokkeren die duizenden kwetsbaarheden gebruiken, dat wil zeggen, dit zijn standaard IPS-sensoren en hun controlecentra.

Fase 2. Het wordt mogelijk om het netwerk te verkennen, gebeurtenissen te prioriteren en IPS-instellingen te automatiseren.

Fase 3. Volledige functionaliteit om het bedrijfsnetwerk te beschermen voor, tijdens en na de aanval.

ETM is de eerste belichaming van het besef dat het beschermen van informatiebronnen betekent slimmer werken, niet harder. Vanuit technologisch oogpunt is ETM een combinatie van vier technologieën voor dreigings- en kwetsbaarheidsbeheer, gecombineerd in één centraal beheerde oplossing. Als gevolg hiervan biedt deze oplossing meer opties dan elk afzonderlijk product. Zoals getoond in afb. 3, bestaat ETM uit een inbraakpreventiesysteem (IPS), netwerkgedragsanalyse (NBA), netwerktoegangscontrole (NAC), kwetsbaarheidsanalyse (VA), communicatiesubsysteem en gecentraliseerd beheer.

Vergelijking van IPS-fabrikanten

Op afb. 4 laat zien welke van de fabrikanten van IPS-systemen voorop loopt. Maar laten we, zonder aan Gartner gebonden te zijn, eens kijken naar welke functionaliteit elke fabrikant heeft.

Zoals u kunt zien, missen sommige belangrijke functies, zoals onderzoek op batchniveau, evenals het bekijken en maken van regels. Zonder dergelijke mogelijkheden is het soms volkomen onduidelijk waarom het systeem waarschuwingen geeft, en het zal lang duren om de reden voor deze waarschuwingen te achterhalen.

Het ontbreken van een mechanisme voor het creëren van nalevingsbeleid legt ook bepaalde beperkingen op. Bij een externe audit is het bijvoorbeeld handig om aan te tonen hoe de bepalingen van uw beleid daadwerkelijk worden uitgevoerd. Nadere opmerkingen zijn overbodig, aangezien de ware stand van zaken pas duidelijk wordt na echte implementatie in een industriële omgeving.

Er moet aan worden herinnerd dat het waarborgen van netwerkbeveiliging een complexe taak is en dat ongelijksoortige oplossingen niet altijd de integriteit van perceptie waarborgen en tot extra kosten leiden.

Korte beoordeling

Cisco-systemen

Betrouwbare oplossingen die uitstekende ondersteuning bieden, maar moeilijk te configureren zijn, handtekeninganalyse geeft veel valse positieven, de beheerinterface laat geen adequate parsering toe van geregistreerde gebeurtenissen met een groot aantal gebeurtenissen. Extra investering in Cisco Security Monitoring, Analysis and Response System (CS-MARS) is vereist voor volledige functionaliteit.

TippingPoint

De systemen van deze fabrikant zijn eenvoudig in te stellen en te installeren. Ze hebben een goede besturingsinterface, maar kunnen alleen worden aangesloten op de opening, dat wil zeggen zonder passieve detectie. Ze laten je niet toe om de functionaliteit uit te breiden en zijn slechts een IDS / IPS-systeem.

Op een van de conferenties zei een vertegenwoordiger van TippingPoint in zijn toespraak dat hun apparatuur kan worden geïnstalleerd en vergeten - en dat is hun beschermingsstrategie.

Misschien deelt iemand het, maar ik kan het er moeilijk mee eens zijn. Elke beveiligingstool moet worden gecontroleerd, anders krijg je er nooit het juiste rendement uit. Als iemand bijvoorbeeld hard probeert om uw partnerportal te hacken en de eerste twee keer is mislukt dankzij het IPS-systeem, zal het de derde keer lukken, en zonder het IPS-systeem te controleren, weet u dit niet en voorkomt u volgende pogingen het gaat je niet lukken.

Juniper-netwerken

Wat analisten van Gartner of andere publicaties ook schrijven, het is moeilijk om iets goeds over hun producten te zeggen. Het systeem is verschrikkelijk moeilijk op te zetten. De NSM-beheerconsole is zeer beperkt. De resultaten worden zo weergegeven dat het lijkt alsof de ontwikkelaars hebben geprobeerd het er zo zeldzaam mogelijk uit te laten zien en hopen dat de aanvallen echt worden afgeweerd.

bronvuur

Waarschijnlijk het beste systeem ooit. Alles is handig. De functionaliteit is ongelooflijk breed. Bovendien heeft het systeem al ingebouwde mogelijkheden voor gedetailleerde verzameling van gegevens over aanvallende en aangevallen knooppunten, en niet alleen over IP- en MAC-adressen, waardoor de tijd voor het analyseren en parseren van gebeurtenissen aanzienlijk wordt verkort. Dergelijke informatie omvat de geschiedenis van verbindingen, open en dan
gesloten poorten, soorten verzonden adressen, gebruikersnamen, als er bijvoorbeeld een overdracht heeft plaatsgevonden via FTP of e-mail, en natuurlijk het e-mailadres zelf. In grote netwerken kan het een onmisbaar beschermingsmiddel worden. Ze brengen hun oplossingen al sinds 2001 uit, maar zijn onlangs op de Russische markt gekomen.

Gevolgtrekking

Introduceer niet een hele reeks nieuwe producten die slechts één probleem oplossen. Statische beveiligingstools kunnen een dynamische omgeving niet beschermen. Het is noodzakelijk om de tijd van uw medewerkers en hun inspanningen te besparen. Laat ze beter werken, niet harder. Verlaag de kosten van het onderhouden van een heterogene omgeving. Verminder de tijd die besteed wordt aan het analyseren van gegevens van meerdere consoles en rapporten. Besteed uw geld verstandig voordat beveiligingssystemen u meer kosten dan de risico's waartegen u zich beschermt.

op de website van ESG Bureau en in het CAD en Graphics magazine. I. Fertman - Voorzitter van de Raad van Bestuur van het ESG Bureau,
A.Tuchkov - Technisch directeur van ESG Bureau, Ph.D.,
A. Ryndin - Adjunct-commercieel directeur van ESG Bureau.

In hun artikelen hebben medewerkers van het ESG Bureau herhaaldelijk het onderwerp informatieondersteuning voor verschillende stadia van de productlevenscyclus behandeld. De tijd maakt zijn eigen aanpassingen, veroorzaakt door de constante ontwikkeling van informatietechnologie en de noodzaak om de geïmplementeerde oplossingen te moderniseren. Aan de andere kant is er nu een duidelijke trend naar het gebruik van softwaretools die voldoen aan de vereisten van het nationale regelgevingskader en de productieprocessen die in ons land worden aangenomen. Het zijn deze realiteiten, evenals de opgebouwde ervaring met het automatiseren van de activiteiten van ontwerpondernemingen die ons ertoe hebben aangezet dit artikel te schrijven.

De huidige staat van automatisering van ontwerpactiviteiten, productie en informatieondersteuning voor de volgende fasen van de levenscyclus van producten

ESG Bureau heeft uitgebreide ervaring in het implementeren van elektronische archiefsystemen, PDM, PLM, engineering data management systemen in verschillende industrieën: scheepsbouw (OJSC Baltiysky Zavod - Rosoboronexport, OJSC Sevmash, CJSC Central Research Institute of Ship Engineering), machinebouw (JSC St. Petersburg Krasny Oktyabr), industriële en civiele bouw (PF Soyuzproektverf, JSC Giprospetsgaz), de nucleaire industrie (JSC Atomproekt, JSC Roszheldorproject) en vele andere ondernemingen en organisaties, waarvan de lijst niet is opgenomen in de doelen en doelstellingen van het artikel.

We benadrukken dat de implementaties zijn uitgevoerd op basis van het gebruik van verschillende softwaresystemen: TDMS, Search, SmartPlant Fondation, Autodesk Vault en andere, waaronder onze eigen ontwikkeling. Het gebruik van een bepaalde softwareomgeving wordt bepaald door de branche, uitdagingen en andere factoren. Dankzij de uitgebreide ervaring die het ESG-bureau op deze gebieden heeft opgedaan, kunnen we een algemeen beeld schetsen van de implementatie van elektronische archiefsystemen, PDM- en PLM-documentbeheersystemen in Russische ondernemingen.

Modern ontwerp, productieactiviteiten, ondersteuning van de werking, modernisering en verwijdering van producten zijn niet denkbaar zonder het gebruik van verschillende soorten geautomatiseerde systemen: CAD (CAD), CAM, PDM, systemen voor technologische voorbereiding van productie, PLM-systemen. Het algemene beeld wordt geïllustreerd in Fig. een.

Rijst. 1. Het algemene beeld van automatisering

In de regel zijn alle vermelde en niet-vermelde automatiseringstools slechts tot op zekere hoogte aanwezig, vaker in de beginfase van de levenscyclus van producten - ontwerpactiviteiten en productie. In de volgende fasen van de levenscyclus is de mate van informatieondersteuning voor processen soms extreem laag. Laten we slechts enkele voorbeelden geven die typerend zijn voor de meest geautomatiseerde stadia van de levenscyclus, ter illustratie van het echte beeld.

Uitspraken over “de introductie van PDM- of PLM-technologieën” blijken in de praktijk vaak slechts de introductie te zijn van een elektronisch archief- en documentbeheersysteem voor CD en TD, TDM en meer niet. Oorzaken:

  • "spel op woorden" is wanneer een duur PDM-systeem wordt gebruikt om de functionaliteit van een elektronisch archief en workflow van CD en TD te creëren (wat vaak wordt geïnterpreteerd als "de introductie van PDM-technologie", hoewel zoiets niet bestaat, is er alleen het invoeren van een elektronisch archief en/of TDM met behulp van software - PDM -systemen);
  • vervanging van concepten - wanneer de afkorting "PDM" of "PLM" aanwezig is in de naam van de software, maar het systeem is dat niet door de aard van de taken die worden opgelost en, nogmaals, het lost in het gunstigste geval twee problemen op, maar meer vaak een van de twee:
  • het werk van ontwerpers beheren op het niveau van documenten, en soms 3D-modellen,
  • beheer van elektronisch archief van CD en TD.
Laten we een voorbeeld geven: de ervaring van Bureau ESG, waarbij onder meer werd gewerkt aan het maken van een mock-up van een informatiemodel van een oorlogsschip, toonde aan dat in het stadium van de levenscyclus van de operatie het belangrijkste helaas niet de informatie van de ontwerper en bouwer, maar operationele documentatie, interactieve elektronische technische handleidingen (IETM). Het is uiterst noodzakelijk in het stadium van de levenscyclus van de operationele logistieke ondersteuning, waardoor reserveonderdelen in de kortst mogelijke tijd kunnen worden aangevuld. Heel vaak lost geen enkel systeem dat door de fabrikant is gepositioneerd als PLM de operationele taken "standaard" op, hoewel we niet zullen ontkennen dat een dergelijk systeem kan worden gebruikt met de nodige aanpassingen, bijvoorbeeld om logistieke problemen op te lossen. Merk op dat in termen van efficiëntie en arbeidsintensiteit die aan revisie wordt besteed, deze benadering gelijk staat aan het gebruik van een boekhoud- of ERP-systeem om ontwerpactiviteiten te beheren of een teksteditor om ontwerptekeningen te ontwikkelen.

We proberen objectief te zijn in onze beoordelingen, we zullen niet verder overdrijven, maar let op:

  • moderne automatisering van ontwerpactiviteiten, productie, ondersteuning voor volgende fasen van de levenscyclus van producten omvat vaak alleen elementen van PDM en PLM;
  • vaak is de introductie van PDM en PLM niets meer dan het creëren van een elektronisch archief en workflow van CD en TD;
  • het is voorbarig om te spreken over de volledige implementatie van PLM-technologie voor alle stadia van de productlevenscyclus.

Redenen om naar een nieuw platform te verhuizen

Ondanks de conclusies van het vorige gedeelte van het artikel, merken we op dat in een onderneming waar een elektronisch archief, ontwerpworkflow, een geautomatiseerd systeem voor technologische voorbereiding van productie, PDM / PLM-elementen zijn geïmplementeerd, werken zonder de geïmplementeerde tools niet langer mogelijk. Dit is de belangrijkste indicator van de uitvoering. In het werk van ons bedrijf was er een geval waarin, als gevolg van storingen in het LAN van de klant buiten onze schuld, de server van het elektronische archief van een machinebouwonderneming niet beschikbaar was. De tijd vanaf de eerste storing tot het eerste telefoontje van de onderneming naar ons kantoor voor technische ondersteuningsspecialisten was minder dan een minuut. Tegelijkertijd waren alle emotionele uitspraken verenigd door één ding: "zonder toegang tot de database kan de onderneming niet werken." Naar onze mening is dit de belangrijkste praktische indicator die alle theoretische berekeningen heeft overtroffen.

De redenen voor de overgang naar nieuwe technologieën en platforms, evenals de uitbreiding van de geïmplementeerde functionaliteit, kunnen worden toegeschreven aan verschillende groepen.

Ontwikkeling van technologieën en ontwerptools
Een van de belangrijke factoren bij de overgang naar nieuwe technologieën, softwareoplossingen en uitbreiding van de geïmplementeerde functionaliteit van het ontwerpworkflowsysteem, geautomatiseerd systeem voor technologische voorbereiding van productie, PDM / PLM-elementen in de werkfasen van ontwerpers en productie is de opkomst van driedimensionale ontwerptools en het wetgevend kader dat het werken met elektronische modellen bepaalt.

Zoals reeds vermeld, hebben we het in de meeste gevallen van "introductie van PDM en PLM" over TDM, elektronisch archief en workflow van CD en TD. Dergelijke oplossingen (ongeacht de omgeving waarin ze zijn gebouwd) werken in de praktijk in de regel met tweedimensionale CD en TD. Historisch gezien zijn in de meeste ondernemingen waar dergelijke implementaties zijn geïmplementeerd, de principes en benaderingen van het werken met tweedimensionaal ontwerp en technologische documentatie vaak "gemigreerd" naar nieuwe systemen met enkele "upgrades" voor elektronische tweedimensionale documenten. Volgens GOST 2.501-2006 worden bijvoorbeeld wijzigingen in elektronische documenten aangebracht in de nieuwe versie. GOST 2.503-90, waarin wordt beschreven hoe u wijzigingen "op papier" kunt aanbrengen, stelt u in staat om rechtstreeks wijzigingen in de tekening aan te brengen (door door te strepen, te wissen (uitwassen), in wit te schilderen, nieuwe gegevens in te voeren) of door nieuwe documenten te maken, hun bladen met de vervanging van de originele, in feite het creëren van versies. Het voorbeeld illustreert dat "moderniseringen" niet zo belangrijk zijn, en de procedure voor het werken met een tweedimensionaal elektronisch document herhaalt praktisch het werk "met papier".

En de middelen voor elektronisch archief- en documentbeheer van CD en TD, die in hun tijd met succes werden geïmplementeerd, ondersteunen vaak eenvoudigweg geen benaderingen om met een 3D-model te werken, en het eerder geïmplementeerde informatiesysteem is in de regel verouderd en bevat geen moderne integratiemechanismen die een efficiënte herziening mogelijk maken.

Integratie en optimalisatie van productieprocessen
De volgende factor is de integratie en optimalisatie van productieprocessen. Heel vaak hebben onze klanten een legitieme wens om de hele productieketen zoveel mogelijk te automatiseren. Het is bijvoorbeeld heel logisch dat het voor het schrijven van technische processen handig is voor een technoloog om toegang te hebben tot de resultaten van het werk van de ontwerper. Ongetwijfeld zou ik graag een soort uniforme geïntegreerde omgeving willen hebben, en het maakt helemaal niet uit hoe zo'n omgeving is gebouwd - binnen het kader van een of meerdere systemen. Het belangrijkste is de end-to-end overdracht van gegevens tussen deelnemers aan productieprocessen, het gebruik en de ondersteuning van up-to-date informatie.
Creëren van geïntegreerde geografisch verspreide omgevingen
Heel vaak bevatten eerder geïmplementeerde systemen niet de benodigde functionaliteit, en de ingebouwde tools voor de uitbreiding ervan laten u niet toe om het gewenste te bereiken - om de functionaliteit uit te breiden of de noodzakelijke integratie-interactie met andere systemen te organiseren. Vaak zijn ontwerpbureaus en productiefaciliteiten geografisch verspreid. Soms voldoen bestaande tools niet aan moderne ideeën over effectieve automatisering. Zo worden uitwisselingsbestanden (transportarrays) gebruikt om informatie uit te wisselen tussen systemen in de scheepsbouw. Vaak is alleen COM-technologie een middel om integratie-interactie te organiseren. Tegelijkertijd maken moderne systemen het mogelijk om geografisch verspreide databases effectief te organiseren, met engineeringgegevens te werken en deze uit te wisselen tussen externe ontwerpbureaus, ontwerpbureaus en productie.
Economische redenen
Ongetwijfeld is de economische component van de overgang naar het gebruik van nieuwe platforms onder alle omstandigheden niet nieuw, maar vandaag heeft het twee hoofdcomponenten:
  • investeringen in een nieuw platform moeten economische voordelen opleveren;
  • klanten spreken de wens uit om investeringen te verminderen en niet afhankelijk te zijn van buitenlandse fabrikanten in een aantal industrieën.

IPS-systeem

Om een ​​aantal redenen zullen we het niet hebben over bekende westerse automatiseringstools. In deze sectie zullen we proberen oplossingen op te sommen: elektronische ontwerparchiefsystemen, documentbeheersystemen, PDM, PLM, echt aangepast aan binnenlandse processen, het huidige regelgevende kader van de Russische Federatie voor ontwerpbureaus en productie enerzijds, en rekening houdend met de huidige staat en beschikbaarheid van ontwerpautomatiseringssystemen, DBMS, netwerkapparatuur en interoperabiliteit, anderzijds. Met het bovenstaande voorbehoud is de keuze helaas niet zo groot - misschien zal iemand met reden argumenteren (waarvoor we bij voorbaat dankbaar zijn), maar er zijn slechts drie oplossingen zichtbaar op de binnenlandse markt:
  • IPS-systeem vervaardigd door Intermech;
  • LOTSMAN:PLM-systeem vervaardigd door Ascon;
  • T-Flex systeem vervaardigd door Top Systems.
Het doel van het artikel is geenszins een geformaliseerde vergelijking van deze drie systemen volgens het principe van "aanwezigheid of afwezigheid" van een bepaalde functie. Onze ervaring leert dat deze benadering in de meeste gevallen zeer subjectief en onjuist is. In dit verband zullen we ons vandaag beperken tot het beschrijven van slechts één IPS-systeem.
Algemene functionaliteit
Het systeem is een modulaire oplossing die ontwerp- en productietaken automatiseert - groepswerk van ontwerpers, ontwerpworkflow, implementatie van een elektronisch archiefsysteem, technologische voorbereiding van productie, organisatie van integratie-interactie met andere systemen van de onderneming.

De algemene structuur van het IPS-systeem wordt getoond in Fig. 2.

Rijst. 2. Algemene structuur van IPS

Heterogeniteit van de IPS-omgeving
Het is geen geheim dat de overgrote meerderheid van dergelijke tools is ontwikkeld door CAD-systeemfabrikanten. Tegelijkertijd loste elke fabrikant in eerste instantie het marketingprobleem op om klanten aan te trekken om met een set 'eigen' softwareproducten te werken. Overigens is een dergelijk concept inherent aan softwareoplossingen, niet alleen op het gebied van automatisering van ontwerpactiviteiten en productie, en niet alleen in ons land, maar drukt een wereldwijde trend uit. Enige tijd geleden is deze benadering veranderd en tegenwoordig zal in de regel elke fabrikant van PDM / PLM-systemen de vraag bevestigend beantwoorden over de beschikbaarheid van software-interactie met "niet-native" CAD-systemen voor hem.

Er moet worden opgemerkt dat het IPS-systeem niet oorspronkelijk is gemaakt op basis van "een soort native" CAD-systeem ervoor. Het IPS-concept kan worden gekarakteriseerd door het "omnivore" jargon, dat de relatie met de ontwerptools die in KB worden gebruikt het nauwkeurigst weergeeft. Tegelijkertijd weerspiegelt de implementatie van IPS de huidige trend van het hebben van veel CAD-systemen in ondernemingen. Tegelijkertijd stellen we vast dat een dergelijke “overvloed aan ontwerptools” in sommige gevallen slechts een “echo van het tijdperk van spontane automatisering” is, en in sommige gevallen het resultaat van een economisch verantwoord beleid, vanwege, in wenden tot de complexiteit en het assortiment van producten die worden ontworpen. IPS werkt even goed met de volgende CAD-systemen:

  • AutoCAD;
  • Autodesk-uitvinder;
  • BricsCAD;
  • katia;
  • Pro/ENGINEER/PTC Creo Parametrisch;
  • Vaste rand;
  • vaste werken;
  • KOMPAS-3D;
  • KOMPAS-Grafiek.
En bovendien - met systemen voor het ontwerpen van printplaten van elektronische producten (ECAD): Mentor Graphics en Altium Designer.
Aanpassingsopties voor functionaliteit
Met het IPS-platform kunt u de functionaliteit flexibel aanpassen. Voor instellingen kunnen ingebouwde tools worden gebruikt (zonder te programmeren). Om dezelfde unieke functionaliteit te implementeren, kunnen externe programmeeromgevingen worden gebruikt om plug-in-programma's te schrijven.

Een belangrijk aspect van ontwerpautomatisering, productieactiviteiten, de introductie van elektronische archieven, PDM / PLM-technologieën in een moderne onderneming is dat je niet "vanaf nul" moet beginnen. Bovendien is de opslag van informatie in elektronische vorm (elektronisch archief) in de regel al tot op zekere hoogte georganiseerd en is succesvolle implementatie van ontwerpworkflow, PDM- en PLM-elementen niet ongebruikelijk. In meer "geavanceerde" gevallen is er een enkele informatieruimte, intersysteeminteractie wordt georganiseerd. Tegelijkertijd vereisen enerzijds de geïmplementeerde en succesvol gebruikte tools modernisering in verband met de overgang naar nieuwe technologieën (bijvoorbeeld bij de introductie van driedimensionale CAD-systemen). Aan de andere kant moeten en kunnen eerder opgebouwde databases, technische en organisatorische benaderingen worden toegepast bij de introductie van nieuwe technologieën. Zo verliest een database met "tweedimensionale" documentatie voor eerder vervaardigde producten zijn relevantie niet bij het overschakelen naar het gebruik van 3D-CAD-systemen (producten worden bediend, gemoderniseerd, opnieuw geproduceerd, ongeacht hoe ze zijn ontworpen - "in een vliegtuig" of "op papier").

Organisatie van geografisch verspreid werk
We voegen eraan toe dat het IPS-systeem het mogelijk maakt om geografisch verspreide oplossingen te implementeren, zowel binnen het kader van één fase van de levenscyclus van een product, bijvoorbeeld bij het ontwerpen van een of meerdere ontwerpbureaus, als binnen verschillende fasen. In dit geval is het bijvoorbeeld mogelijk om een ​​product te ontwerpen met een of meerdere ontwerpbureaus en toegang op afstand van technologen van een of meerdere producties op afstand tot de resultaten van het werk van ontwerpers, automatisering van de technologische voorbereiding van de productie met behulp van de juiste IPS-modules. Dankzij het mechanisme voor het publiceren van documenten en modellen kan een onderneming op afstand van het ontwerpbureau aantekeningen maken en wijzigingen initiëren terwijl ze in één geografisch verspreide omgeving werken.

De algemene structuur van de organisatie van het gedistribueerde werk van IPS wordt getoond in Fig. 3.

Rijst. 3. Organisatie van geografisch verspreid werk van IPS

Een voorbeeld van de overgang van KB naar het gebruik van IPS
Laten we een echt voorbeeld geven van een vertaling uit een eerder geïmplementeerd elektronisch archiefsysteem, een workflow met PDM- en PLM-elementen in een van de grote ontwerpbureaus. De belangrijkste redenen voor het werk:
  • overgang van ontwerpafdelingen naar driedimensionaal ontwerp;
  • het gebrek aan technische ondersteuning voor het werken met 3D-CAD-systemen in het bestaande systeem van elektronisch archief- en cd-documentbeheer met PDM- en PLM-elementen;
  • verouderde architectuur van het bestaande systeem en de onmogelijkheid van verdere schaalvergroting;
  • eisen voor territoriaal gescheiden interactie van ontwerpbureaus met andere ontwerpbureaus en productie.
Werkresultaten:
  • studie van kwesties van datamigratie van het bestaande systeem naar IPS;
  • uitwerking van de problematiek van procesmigratie van het bestaande systeem naar IPS;
  • softwareoplossing - een subsysteem van interface-interactie tussen het bestaande systeem en IPS om de integratie-interactie van systemen te verzekeren, waardoor een "soepele overgang" mogelijk wordt;
  • de organisatorische component van de overgang naar het gebruik van het nieuwe systeem wordt geformuleerd, rekening houdend met de optimalisatie van tijd- en resourcekosten.
De eerste fase - de ontwikkeling van technologie en software- en hardwareoplossingen - werd uitgevoerd op een eerder ontworpen "pilot"-product.

Op dit moment voeren de specialisten van ons bedrijf volgens het werkschema de volgende fase van het werk uit, gebaseerd op de eerder verkregen resultaten: ontwerpondersteuning voor het ontwerp van twee echte producten van 3D-CAD-systemen en het IPS-systeem.

Gevolgtrekking

  • Vaak zijn de stadia van automatisering van ontwerpbureaus en ondernemingen, gepositioneerd als echte implementaties van PDM / PLM-technologieën, het creëren van elektronische archieven, documentbeheersystemen voor CD en TD, TDM (vaker voor tweedimensionale documenten). In de meeste gevallen kunnen we alleen praten over de echte implementatie van PDM- en PLM-elementen;
  • met de overgang naar driedimensionaal ontwerp voldoen de eerder geïmplementeerde elektronische archief- en documentbeheersystemen voor CD en TD, de geïmplementeerde PDM- en PLM-elementen niet altijd aan de nieuwe eisen;
  • het overbrengen van elektronische archief- en documentbeheersystemen voor CD- en TD-, PDM- en PLM-elementen naar nieuwe platforms is geen gemakkelijke, maar redelijk oplosbare taak die een systematische aanpak vereist die is ontwikkeld door het ESG-bureau, en die in het artikel slechts gedeeltelijk wordt behandeld.

Bibliografie

  1. Turetsky O., Tuchkov A., Chikovskaya I., Ryndin A. Een nieuwe ontwikkeling van InterCAD - een systeem voor het opslaan van documenten en 3D-modellen / / REM. 2014. Nr. 1.
  2. Tuchkov A., Ryndin A. Over de manieren om technische gegevensbeheersystemen te maken // REM. 2014. Nr. 1.
  3. Kazantseva I., Ryndin A., Reznik B. Informatie en regelgevende ondersteuning van de volledige levenscyclus van het schip. Ervaring van ESG Bureau// Korabel.ru. 2013. Nr. 3 (21).
  4. Tuchkov A., Ryndin A. Ontwerp gegevensbeheersystemen op het gebied van industriële en civiele constructie: onze ervaring en begrip // CAD en grafische afbeeldingen. 2013. Nr. 2.
  5. Galkina O., Korago N., Tuchkov A., Ryndin A. Elektronisch archiefsysteem D'AR - de eerste stap naar het bouwen van een ontwerpgegevensbeheersysteem // CAD en afbeeldingen. 2013. nr. 9.
  6. Ryndin A., Turetsky O., Tuchkov A., Chikovskaya I. Creatie van een opslagplaats van 3D-modellen en documenten bij het werken met driedimensionale CAD//CAD en afbeeldingen. 2013. Nr. 10.
  7. Ryndin A., Galkina O., Blagodyr A., ​​​​Korago N. Documentatiestroomautomatisering is een belangrijke stap in de richting van het creëren van één enkele bedrijfsinformatieruimte // REM. 2012. nr. 4.
  8. Petrov V. Ervaring met het creëren van een enkele informatieruimte in St. Petersburg JSC "Krasny Oktyabr" // CAD en afbeeldingen. 2012. nr. 11.
  9. Malashkin Yu., Shatskikh T., Yukhov A., Galkina O., Karago N., Ryndin A., Fertman I. Ervaring met het ontwikkelen van een elektronisch documentbeheersysteem in OAO Giprospetsgaz // CAD en afbeeldingen. 2011. Nr. 12.
  10. Sanev V., Suslov D., Smirnov S. Het gebruik van informatietechnologie in CJSC "Central Research Institute of Ship Engineering / / CADmaster. 2010. nr. 3.
  11. Vorobyov A., Danilova L., Ignatov B., Ryndin A., Tuchkov A., Utkin A., Fertman I., Shcheglov D. Scenario en mechanismen voor het creëren van een enkele informatieruimte// CADmaster. 2010. nr. 5.
  12. Danilova L., Shcheglov D. Methodologie voor het creëren van een uniforme informatieruimte van de raket- en ruimtevaartindustrie// REM. 2010. nr. 6.
  13. Galkina OM, Ryndin AA, Ryabenky LM, Tuchkov AA, Fertman I.B. Elektronisch informatiemodel van scheepsbouwproducten in verschillende stadia van de levenscyclus// CADmaster. 2007. nr. 37a.
  14. Ryndin AA, Ryabenky L.M., Tuchkov AA, Fertman I.B. Technologieën om de levenscyclus van producten te verzekeren // Computer-INFORM. 2005. nr. 11.
  15. Ryndin AA, Ryabenky L.M., Tuchkov AA, Fertman I.B. Stadia van implementatie van FDI-technologieën// Scheepsbouw. 2005. nr. 4.
Gerelateerde berichten: