Trang Chủ-Hệ thống thanh toán-Hệ thống ngăn chặn xâm nhập (hệ thống IPS). Bảo vệ máy tính của bạn khỏi bị truy cập trái phép

Hệ thống ngăn chặn xâm nhập (hệ thống IPS). Bảo vệ máy tính của bạn khỏi bị truy cập trái phép

Ngày nay có vô số loại phần mềm độc hại khác nhau. Các chuyên gia chống vi-rút nhận thức rõ rằng các giải pháp chỉ dựa trên cơ sở dữ liệu chữ ký vi-rút không thể có hiệu quả chống lại một số loại mối đe dọa nhất định. Nhiều loại virus có khả năng thích ứng, thay đổi kích thước, tên của các tệp, quy trình và dịch vụ.

Nếu bạn không thể phát hiện ra mối nguy hiểm tiềm ẩn của một tệp bằng các dấu hiệu bên ngoài của nó, bạn có thể xác định tính chất độc hại của nó bằng hành vi của nó. Đó là Hệ thống ngăn chặn xâm nhập máy chủ (HIPS) xử lý phân tích hành vi.

HIPS là phần mềm chuyên dụng giám sát các tệp, quy trình và dịch vụ để tìm hoạt động đáng ngờ. Nói cách khác, bảo vệ chủ động HIPS được sử dụng để chặn phần mềm độc hại dựa trên việc thực thi mã nguy hiểm. Việc sử dụng công nghệ cho phép bạn duy trì bảo mật hệ thống tối ưu mà không cần cập nhật cơ sở dữ liệu.

HIPS và tường lửa là những thành phần có quan hệ mật thiết với nhau. Trong khi tường lửa kiểm soát lưu lượng truy cập vào và ra dựa trên một tập hợp các quy tắc, HIPS kiểm soát việc khởi chạy và hoạt động của các quy trình dựa trên các thay đổi được thực hiện đối với máy tính theo các quy tắc kiểm soát.

Mô-đun HIPS bảo vệ máy tính của bạn khỏi các loại mối đe dọa đã biết và chưa biết. Khi một chương trình độc hại hoặc kẻ tấn công thực hiện các hành động đáng ngờ, HIPS sẽ chặn hoạt động này, thông báo cho người dùng và đề xuất các giải pháp khác. HIPS đang xem xét những thay đổi nào?

Dưới đây là danh sách sơ bộ về các hoạt động mà HIPS đang theo dõi chặt chẽ ngay từ đầu:

Quản lý các chương trình đã cài đặt khác. Ví dụ: gửi email bằng ứng dụng email tiêu chuẩn hoặc khởi chạy các trang nhất định trong trình duyệt mặc định của bạn;

Cố gắng thực hiện các thay đổi đối với các mục nhập nhất định trong sổ đăng ký hệ thống để chương trình bắt đầu trên các sự kiện nhất định;

Hoàn thành các chương trình khác. Ví dụ, tắt trình quét chống vi-rút;

Cài đặt các thiết bị và trình điều khiển chạy trước các chương trình khác;

Quyền truy cập bộ nhớ của bộ xử lý cho phép đưa mã độc hại vào một chương trình đáng tin cậy

Điều gì mong đợi từ một HIPS thành công?

HIPS phải có đủ quyền hạn để ngăn chặn hoạt động của phần mềm độc hại. Nếu yêu cầu xác nhận của người dùng để dừng một chương trình nguy hiểm, hiệu quả của hệ thống sẽ thấp. Một hệ thống phòng chống xâm nhập phải có một bộ quy tắc cụ thể mà người dùng có thể áp dụng. Các thao tác tạo quy tắc mới nên có sẵn (mặc dù phải có một số ngoại lệ nhất định). Người dùng làm việc với HIPS phải hiểu rõ ràng hậu quả của những thay đổi của họ. Nếu không, có thể xảy ra xung đột phần mềm và hệ thống. Để biết thêm thông tin về cách thức hoạt động của hệ thống ngăn chặn xâm nhập, vui lòng truy cập các diễn đàn chuyên biệt hoặc tệp trợ giúp chống vi-rút.

Thông thường, công nghệ HIPS hoạt động khi quá trình bắt đầu. Nó làm gián đoạn các hành động trong khi chúng đang được thực hiện. Tuy nhiên, có những sản phẩm HIPS có khả năng phát hiện sơ bộ, khi nguy cơ tiềm ẩn của một tệp thực thi được xác định ngay cả trước khi nó thực sự được khởi chạy.

Có rủi ro không?

Các rủi ro liên quan đến HIPS là dương tính sai và quyết định không chính xác của người dùng. Hệ thống chịu trách nhiệm về những thay đổi nhất định do các chương trình khác thực hiện. Ví dụ: HIPS luôn theo dõi đường dẫn đăng ký HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, chịu trách nhiệm khởi động các chương trình khi khởi động hệ thống.

Rõ ràng, nhiều chương trình an toàn sử dụng mục đăng ký này để khởi động tự động. Khi các thay đổi được thực hiện trong khóa này, HIPS sẽ hỏi người dùng về hành động tiếp theo: cho phép hoặc từ chối các thay đổi. Thông thường, người dùng chỉ cần nhấp vào cho phép mà không tìm hiểu kỹ thông tin, đặc biệt nếu họ đang cài đặt phần mềm mới vào thời điểm đó.

Một số HIPS thông báo cho người dùng khác về các giải pháp tương tự, tuy nhiên, với một số lượng nhỏ, chúng không liên quan và có thể đánh lừa người dùng. Hy vọng rằng hầu hết người dùng đã lựa chọn đúng trước bạn. Hệ thống hoạt động hiệu quả trong việc xác định nguy cơ tiềm ẩn và hiển thị thông báo báo động. Hơn nữa, ngay cả khi HIPS xác định chính xác mối đe dọa, người dùng có thể thực hiện sai hành động và do đó lây nhiễm sang PC.

Sự kết luận: HIPS là một yếu tố thiết yếu của bảo mật nhiều lớp. Cũng nên sử dụng các mô-đun bảo vệ khác cùng với hệ thống. Để HIPS hoạt động tối ưu và hiệu quả, người dùng phải có kiến ​​thức và trình độ nhất định.

Dựa trên Malwarebytes Unpacked Blog

Tìm thấy một lỗi đánh máy? Đánh dấu và nhấn Ctrl + Enter

Hệ thống phát hiện và ngăn chặn xâm nhập

Hệ thống ngăn chặn xâm nhập(IDS / IPS, Hệ thống phát hiện xâm nhập / Hệ thống ngăn chặn xâm nhập) được thiết kế để phát hiện, ghi nhật ký và ngăn chặn các cuộc tấn công độc hại vào máy chủ, các dịch vụ tích hợp (thư, trang web, v.v.) và mạng cục bộ được bảo vệ bởi cổng Internet.

Các quy tắc chặn lưu lượng bao gồm ngăn chặn hoạt động của Trojan, phần mềm gián điệp, mạng botnet, ứng dụng khách p2p và torrent-trình soát, vi rút, mạng ĐKTC(được sử dụng để bỏ qua các quy tắc lọc), ẩn danh và hơn thế nữa.

Bạn có thể định cấu hình dịch vụ trên tab Quy tắc - Phòng chống xâm nhập:

Bằng cách chọn hoặc bỏ chọn " Bật IDS / IPS"bạn có thể bật / tắt dịch vụ ngăn chặn xâm nhập tương ứng.

Trong lĩnh vực " Danh sách mạng con cục bộ"thêm các mạng cục bộ do UTM phục vụ. Theo quy luật, đây là các mạng của giao diện UTM cục bộ và cũng có thể có các mạng thuộc các phân đoạn từ xa của mạng cục bộ của doanh nghiệp bạn được định tuyến tới chúng. Không được chỉ định mạng thuộc giao diện mạng UTM bên ngoài và mạng bên ngoài trong bất kỳ trường hợp nào. Các mạng được liệt kê ở đây tham gia vào các quy tắc của Dịch vụ Ngăn chặn Xâm nhập với tư cách cục bộ, đặc trưng cho lưu lượng truy cập đến / từ các mạng cục bộ. Lưu lượng truy cập xuyên phân đoạn cục bộ không bị loại trừ khỏi kiểm tra hệ thống.

Lựa chọn " Giữ các mục nhật ký"cho phép bạn chọn thời gian lưu trữ nhật ký hệ thống: 1, 2 hoặc 3 tháng.

Khi sử dụng hệ thống phòng chống xâm nhập, không nên sử dụng các máy chủ DNS nội bộ cho các máy tính trong mạng. hệ thống phân tích các yêu cầu DNS đi qua nó và xác định các thiết bị bị nhiễm đang sử dụng chúng. Trong trường hợp sử dụng miền AD nội bộ, bạn nên chỉ định máy chủ DNS Ideco UTM làm máy chủ DNS duy nhất trên máy tính và chỉ định vùng Chuyển tiếp cho miền cục bộ trong cài đặt máy chủ DNS cho UTM.

Tạp chí

Bạn có thể xem 100 dòng cuối cùng của nhật ký cảnh báo Hệ thống ngăn chặn xâm nhập trong nhật ký.


Nhật ký hệ thống đầy đủ nằm trên máy chủ trong thư mục: / var / log / suricata

drop.log - Thông tin về các gói bị rơi.

fast.log - nhật ký cảnh báo.

suricata.log - nhật ký dịch vụ.

Nhật ký cảnh báo cho biết nhóm (Phân loại) mà quy tắc được kích hoạt thuộc về, ID quy tắc và thông tin bổ sung.

Quy tắc

Trong tab Quy tắc có sẵn để xem và bật / tắt một nhóm các quy tắc của Hệ thống Ngăn chặn Xâm nhập.


Khi bạn bật / tắt một nhóm quy tắc, các cài đặt sẽ được áp dụng ngay lập tức mà không cần phải khởi động lại dịch vụ.

Ngoại lệ

Có thể vô hiệu hóa một số quy tắc hệ thống ngăn chặn xâm nhập trong trường hợp dương tính giả hoặc các lý do khác.


Trên tab "Ngoại lệ", bạn có thể thêm ID quy tắc (số của quy tắc, xem ví dụ về phân tích nhật ký bên dưới).

Chú ý! ID quy tắc có thể thay đổi theo thời gian khi cơ sở dữ liệu được cập nhật.

Một ví dụ về phân tích nhật ký

ví dụ 1

04/04/2017-19: 31: 14.341627 [**] Yêu cầu ping ET P2P BitTorrent DHT [**] (UDP) 10.130.0.11:20417 -> 88.81.59.137:61024

Giải mã các trường:

04/04/2017-19: 31: 14.341627 - ngày và giờ diễn ra sự kiện.

Hành động hệ thống, Drop - gói tin bị chặn, bất kỳ thông tin nào khác trong trường này có nghĩa là Cảnh báo, thông báo.

[1: 2008581: 3] - ID của quy tắc trong nhóm (ID được chứa giữa các dấu ":"). Nếu quy tắc cần được thêm vào các trường hợp ngoại lệ, hãy thêm số 2008581 vào đó.

[**] ET CINS Active Threat Intelligence Poor Reputation IP nhóm 3 [**] (UDP) 24.43.1.206:10980 -> 192.168.10.14:32346

Để có phân tích chi tiết hơn về nhật ký từ máy tính IP 192.168.10.14 trong bảng điều khiển máy chủ, hãy chạy lệnh:

grep "10.80.1.13:" /var/log/suricata/fast.log

Chúng tôi nhận được một số lượng khá lớn các đường dây có kết nối chặn đến các địa chỉ IP được phân loại theo các loại nguy hiểm khác nhau.

Theo kết quả phân tích phần mềm, một chương trình phần mềm quảng cáo đã được phát hiện và loại bỏ trên máy tính mà chương trình chống vi-rút được cài đặt cục bộ không phản hồi.

Yêu cầu kỹ thuật

Hệ thống ngăn chặn xâm nhập yêu cầu tài nguyên máy tính đáng kể để hoạt động. Bộ vi xử lý đa lõi (4 lõi trở lên) được ưu tiên hơn. Dung lượng RAM tối thiểu để sử dụng hệ thống: 8 GB.

Sau khi bật hệ thống, bạn nên kiểm tra xem bộ xử lý của bạn có đủ sức mạnh để kiểm tra lưu lượng tiếp theo qua cổng hay không.

Trong chuong Giám sát - Tài nguyên hệ thống... Thông số trung bình tải (tải trung bình trong 1, 5 và 15 phút) không được nhiều hơn số lõi vật lý của bộ xử lý được cài đặt.

Trong bài viết này, bạn sẽ tìm hiểu một số đặc điểm được biết đến rộng rãi và ít được biết đến của các hệ thống phòng chống tấn công.

Hệ thống phòng chống tấn công là gì

Hệ thống ngăn chặn xâm nhập (IPS) là một sự phát triển của Hệ thống phát hiện xâm nhập (IDS). IDS ban đầu chỉ phát hiện các mối đe dọa bằng cách lắng nghe lưu lượng truy cập trên mạng và trên các máy chủ, sau đó gửi cảnh báo đến quản trị viên theo nhiều cách khác nhau. IPS hiện chặn các cuộc tấn công ngay khi chúng được phát hiện, mặc dù chúng có thể hoạt động ở chế độ IDS chỉ bằng cách thông báo về các vấn đề.

Đôi khi chức năng IPS được hiểu là hoạt động chung của IDS và tường lửa trong một thiết bị. Điều này thường là do một số IPS có các quy tắc tích hợp để chặn các gói dựa trên địa chỉ nguồn và đích. Tuy nhiên, đây không phải là một bức tường lửa. Trong tường lửa, việc chặn lưu lượng truy cập phụ thuộc hoàn toàn vào khả năng thiết lập quy tắc của bạn và trong IPS, vào khả năng lập trình viên của nhà sản xuất trong việc viết các thuật toán không có lỗi để tìm kiếm các cuộc tấn công trong lưu lượng truy cập qua mạng. Có một "điểm tương đồng" khác: công nghệ tường lửa, được gọi là kiểm tra trạng thái, rất giống với một trong những công nghệ được sử dụng trong IPS để xác định xem các kết nối khác nhau có thuộc cùng một giao thức mạng hay không, và ở đây nó được gọi là cổng theo sau. Có nhiều sự khác biệt hơn, ví dụ, Tường lửa không thể phát hiện đường hầm của giao thức này sang giao thức khác, nhưng IPS thì có thể.

Một sự khác biệt khác giữa lý thuyết xây dựng IPS và tường lửa là khi một thiết bị bị lỗi, IPS phải PASS lưu lượng truy cập qua và tường lửa phải CHẶN lưu lượng. Để hoạt động ở chế độ thích hợp, một mô-đun được gọi là bỏ qua được tích hợp vào IPS. Nhờ đó, ngay cả khi bạn vô tình tắt nguồn IPS, lưu lượng truy cập sẽ tự do lưu thông qua thiết bị. Đôi khi IPS cũng được cấu hình để chặn lưu lượng trong trường hợp bị lỗi - nhưng đây là những trường hợp đặc biệt, thường được sử dụng nhất khi hai thiết bị được sử dụng ở chế độ Khả năng sẵn sàng cao.
IPS là thiết bị phức tạp hơn nhiều so với tường lửa. IPS được sử dụng cho các mối đe dọa mà sau này không thể đối phó được. IPS chứa kiến ​​thức tập trung của một số lượng lớn các chuyên gia bảo mật, những người đã xác định, tìm ra các mẫu và sau đó lập trình mã để phát hiện các vấn đề dưới dạng các quy tắc để phân tích nội dung truyền qua mạng.

IPS trong mạng công ty là một phần của bảo vệ nhiều lớp vì chúng tích hợp với các hệ thống phòng thủ khác: tường lửa, máy quét bảo mật, hệ thống quản lý sự cố và thậm chí cả chương trình chống vi-rút. Do đó, đối với mỗi cuộc tấn công bây giờ có cơ hội không chỉ để xác định nó, sau đó thông báo cho quản trị viên hoặc chặn nó mà còn để tiến hành phân tích đầy đủ về sự cố: thu thập các gói đến từ kẻ tấn công, bắt đầu điều tra và loại bỏ lỗ hổng bảo mật bằng cách sửa đổi gói.

Kết hợp với hệ thống quản lý bảo mật phù hợp, có thể kiểm soát hành động của chính quản trị viên mạng, người không chỉ phải loại bỏ lỗ hổng bảo mật, chẳng hạn bằng cách cài đặt bản vá mà còn phải báo cáo cho hệ thống về công việc đã thực hiện. Nói chung, điều đó đã mang lại ý nghĩa hữu hình cho công việc của những hệ thống như vậy. Có ích gì khi nói về các vấn đề mạng nếu không có ai phản hồi và không chịu trách nhiệm về nó? Mọi người đều biết vấn đề muôn thuở này: người chịu thiệt hại do hệ thống máy tính bị gián đoạn và người bảo vệ hệ thống này là hai người khác nhau. Nếu bạn không xem xét một trường hợp cực đoan, ví dụ, một máy tính gia đình được kết nối với Internet.

Giao thông chậm trễ

Một mặt, thật tốt là có thể không chỉ nhận được thông tin về cuộc tấn công đang diễn ra mà còn có thể chặn nó bằng chính thiết bị. Nhưng ở phía bên kia của hệ thống phòng chống tấn công, bạn phải cài đặt cổng chuyển đổi không phải trên cổng SPAN, mà chuyển trực tiếp tất cả lưu lượng mạng qua chính thiết bị bảo vệ, điều này chắc chắn dẫn đến sự chậm trễ trong việc truyền gói tin qua mạng. Và trong trường hợp của VoIP, điều này rất quan trọng, mặc dù nếu bạn định phòng thủ trước các cuộc tấn công vào VoIP, thì không có cách nào khác để bảo vệ trước các cuộc tấn công như vậy.

Do đó, một trong những đặc điểm mà bạn cần để đánh giá hệ thống phòng chống tấn công mua hàng là độ trễ mạng mà các hệ thống đó chắc chắn sẽ gây ra. Theo quy định, thông tin này có thể được lấy từ chính nhà sản xuất, nhưng bạn có thể đọc các nghiên cứu của các phòng thí nghiệm kiểm tra độc lập, chẳng hạn như NSS. Tin tưởng vào nhà sản xuất là một chuyện, nhưng tự mình kiểm tra lại là một chuyện khác.

Số lần dương tính giả

Đặc điểm thứ hai cần xem xét là số lần dương tính giả. Giống như việc chúng tôi cảm thấy khó chịu vì thư rác, các thông báo xác thực sai tạo ra ấn tượng chính xác cho các quản trị viên bảo mật. Cuối cùng, các quản trị viên, để bảo vệ tâm lý của họ, chỉ cần ngừng phản hồi tất cả các thông báo từ hệ thống và việc mua nó sẽ trở thành một sự lãng phí tiền bạc. SNORT là một ví dụ điển hình của một hệ thống có một số lượng lớn các kết quả dương tính giả. Để cấu hình hệ thống này đầy đủ hơn hoặc ít hơn một cách cụ thể đối với các mối đe dọa trong mạng của bạn, bạn cần phải dành nhiều thời gian.

Một số hệ thống phát hiện và ngăn chặn xâm nhập có các phương pháp tương quan tích hợp để xếp hạng các cuộc tấn công theo mức độ nghiêm trọng dựa trên thông tin từ các nguồn khác, chẳng hạn như máy quét bảo mật. Ví dụ: nếu máy quét bảo mật thấy rằng máy tính đang chạy SUN Solaris và Oracle, thì chúng ta có thể chắc chắn một trăm phần trăm rằng cuộc tấn công sâu Slammer (nhắm mục tiêu vào MS SQL) sẽ không hoạt động trên máy chủ này. Do đó, các hệ thống tương quan như vậy đánh dấu một số cuộc tấn công là không thành công, điều này tạo thuận lợi rất nhiều cho công việc của quản trị viên.

Tính hiện đại của công nghệ bảo vệ

Đặc điểm thứ ba là các phương pháp phát hiện (đồng thời ngăn chặn) các cuộc tấn công và khả năng điều chỉnh chúng theo yêu cầu của mạng của bạn. Ban đầu, có hai cách tiếp cận khác nhau: IPS dựa trên chữ ký tìm kiếm các cuộc tấn công dựa trên các khai thác đã tìm thấy trước đó và IPS với phân tích giao thức tìm kiếm các cuộc tấn công dựa trên kiến ​​thức về các lỗ hổng đã tìm thấy trước đó. Nếu bạn viết một cách khai thác mới cho cùng một lỗ hổng, thì IPS của lớp đầu tiên sẽ không phát hiện và chặn nó, nhưng lớp thứ hai sẽ phát hiện và chặn. Các IPS lớp II hiệu quả hơn nhiều vì chúng chặn được toàn bộ các lớp tấn công. Do đó, một nhà cung cấp cần 100 chữ ký để phát hiện tất cả các kiểu tấn công giống nhau, trong khi nhà cung cấp khác chỉ cần một quy tắc phân tích lỗ hổng của giao thức hoặc định dạng dữ liệu được sử dụng bởi tất cả các kiểu tấn công này. Gần đây, thuật ngữ bảo vệ phòng ngừa đã xuất hiện. Nó cũng bao gồm khả năng bảo vệ trước các cuộc tấn công chưa được biết đến và khả năng bảo vệ chống lại các cuộc tấn công đã được biết trước nhưng nhà sản xuất vẫn chưa tung ra bản vá. Nói chung, từ "phòng ngừa" chỉ là một chủ nghĩa khác của Mỹ. Có một thuật ngữ tiếng Nga hơn: "kịp thời" - biện pháp bảo vệ hoạt động trước khi chúng ta bị tấn công hoặc bị lây nhiễm, chứ không phải sau đó. Những công nghệ như vậy đã tồn tại và nên được sử dụng. Hãy hỏi nhà sản xuất khi mua: họ sử dụng những công nghệ bảo vệ phòng ngừa nào và bạn sẽ hiểu mọi thứ.

Thật không may, vẫn chưa có hệ thống nào sử dụng đồng thời hai phương pháp phân tích tấn công nổi tiếng: phân tích giao thức (hoặc chữ ký) và phân tích hành vi. Do đó, để được bảo vệ đầy đủ, bạn sẽ phải cài đặt ít nhất hai thiết bị trên mạng. Một thiết bị sẽ sử dụng các thuật toán để tìm kiếm lỗ hổng bảo mật bằng cách sử dụng chữ ký và phân tích giao thức. Những người khác sẽ sử dụng các phương pháp thống kê và phân tích để phân tích sự bất thường trong hành vi của các luồng mạng. Phương pháp chữ ký vẫn được sử dụng trong nhiều hệ thống để phát hiện và ngăn chặn các cuộc tấn công, nhưng tiếc là chúng không tự biện minh cho chính mình. Họ không cung cấp sự bảo vệ chủ động vì cần phải có một khai thác để giải phóng chữ ký. Tại sao bạn cần chữ ký ngay bây giờ nếu bạn đã bị tấn công và mạng đã bị phá vỡ? Các thuốc chống vi-rút đặc trưng hiện không thể đối phó với các loại vi-rút mới vì lý do tương tự - phản ứng của sự bảo vệ. Do đó, phương pháp phân tích tấn công tiên tiến nhất hiện nay là phân tích giao thức đầy đủ. Ý tưởng đằng sau phương pháp này là nó không phải là một cuộc tấn công cụ thể được phân tích, nhưng một dấu hiệu của việc kẻ tấn công khai thác lỗ hổng được tìm kiếm trong chính giao thức. Ví dụ, hệ thống có thể theo dõi xem trước khi bắt đầu gói TCP bị tấn công, có sự trao đổi ba gói để thiết lập kết nối TCP (các gói có cờ SYN, SYN + ACK, ACK) hay không. Nếu trước khi thực hiện một cuộc tấn công cần thiết lập một kết nối, thì hệ thống phân tích giao thức sẽ kiểm tra xem có bất kỳ kết nối nào không và nếu một gói tin bị tấn công không kết nối, nó sẽ thấy rằng một cuộc tấn công như vậy là không thành công, vì không có sự liên quan. Và hệ thống chữ ký sẽ cho kết quả dương tính giả, vì nó không có chức năng như vậy.

Hệ thống hành vi hoạt động theo một cách hoàn toàn khác. Họ phân tích lưu lượng mạng (ví dụ: khoảng một tuần) và nhớ những luồng mạng nào thường chạy. Ngay khi lưu lượng truy cập phát sinh không tương ứng với hành vi đã ghi nhớ, rõ ràng là có điều gì đó mới đang xảy ra trên mạng: ví dụ: sự lây lan của một loại sâu mới. Ngoài ra, các hệ thống như vậy được kết nối với trung tâm cập nhật và mỗi giờ một lần hoặc hơn thường xuyên nhận được các quy tắc hành vi mới cho sâu và các bản cập nhật khác, chẳng hạn như danh sách các trang web lừa đảo, cho phép chúng bị chặn ngay lập tức hoặc danh sách các máy chủ lưu trữ quản lý mạng bot, ngay lập tức cho phép phát hiện sự lây nhiễm. một số máy chủ lưu trữ ngay khi nó cố gắng kết nối với trung tâm điều khiển botnet, v.v.

Ngay cả sự xuất hiện của một máy chủ mới trên mạng cũng là một sự kiện quan trọng đối với hệ thống hành vi: bạn cần tìm hiểu loại máy chủ lưu trữ là gì, những gì được cài đặt trên đó, liệu nó có lỗ hổng hay không, hoặc có thể bản thân máy chủ mới sẽ là một kẻ tấn công. Đối với nhà cung cấp, các hệ thống hành vi như vậy rất quan trọng vì chúng cho phép họ theo dõi những thay đổi trong "lưu lượng hàng hóa", vì điều quan trọng là nhà cung cấp phải đảm bảo tốc độ và độ tin cậy của việc phân phối gói tin, và nếu đột nhiên vào buổi sáng, tất cả lưu lượng truy cập đi qua một kênh và không phù hợp với kênh đó, và phần còn lại Vì một số kênh đến Internet thông qua các nhà cung cấp khác không được sử dụng, điều này có nghĩa là cài đặt đã bị sai ở đâu đó và cần phải bắt đầu cân bằng và phân phối lại tải.
Đối với chủ sở hữu của một mạng nhỏ, điều quan trọng là những kẻ tấn công không được vào bên trong, để mạng không bị đưa vào danh sách đen là những kẻ gửi thư rác, để những kẻ tấn công không làm tắc nghẽn toàn bộ kênh Internet bằng rác. Nhưng đối với kênh Internet và lưu lượng bạn phải trả tiền cho nhà cung cấp. Mọi giám đốc của một công ty đều muốn phát hiện và ngăn chặn kịp thời việc chi tiền cho những lưu lượng truy cập vô ích cho doanh nghiệp.

Các giao thức và định dạng dữ liệu được phân tích

Nếu chúng ta đang nói về các chuyên gia kỹ thuật quyết định lựa chọn hệ thống phòng chống tấn công, thì họ nên đặt câu hỏi về các giao thức cụ thể mà hệ thống phân tích. Có lẽ bạn quan tâm đến điều gì đó cụ thể: ví dụ: phân tích các cuộc tấn công trong javascript hoặc phản ánh các nỗ lực tiêm sql, hoặc các cuộc tấn công DDoS, hoặc bạn thường có SCADA (hệ thống quản lý và điều khiển cảm biến) và cần phân tích các giao thức của hệ thống chuyên biệt của bạn hoặc điều quan trọng là bạn phải bảo vệ các giao thức VoIP vốn đã có lỗ hổng triển khai do tính phức tạp của chúng.
Ngoài ra, không phải ai cũng biết rằng các sự kiện IPS không chỉ có loại "tấn công", còn có các loại "kiểm toán" và "trạng thái". Ví dụ, IPS có thể bắt các kết nối và tất cả các thông báo ICQ. Nếu ICQ bị cấm trong chính sách bảo mật của bạn, thì việc sử dụng ICQ là một cuộc tấn công. Nếu không, thì bạn có thể chỉ cần theo dõi tất cả các kết nối và ai đang giao tiếp với ai. Hoặc chỉ cần vô hiệu hóa chữ ký này nếu bạn cho rằng nó không thực tế.

Chuyên gia

Câu hỏi đặt ra: tìm ở đâu những chuyên gia như vậy, những người hiểu những gì cần mua, và những người sau đó sẽ biết cách phản ứng với từng thông báo của hệ thống phòng chống tấn công và thậm chí có thể tùy chỉnh nó. Rõ ràng là bạn có thể tham gia các khóa học về cách quản lý một hệ thống như vậy, nhưng trên thực tế, một người trước tiên phải hiểu các giao thức mạng, sau đó là các cuộc tấn công mạng và sau đó là các phương pháp ứng phó. Và không có khóa học nào như vậy. Kinh nghiệm là cần thiết ở đây. Có những công ty cung cấp dịch vụ thuê ngoài để quản lý và phân tích các thông điệp từ bảng điều khiển bảo mật. Trong nhiều năm, các chuyên gia đã làm việc với họ, những người hiểu và hiểu sâu sắc về bảo mật Internet và họ cung cấp biện pháp bảo vệ hiệu quả, và do đó, bạn sẽ thoát khỏi cơn đau đầu trong việc tìm kiếm nhân sự thông thạo tất cả các phương tiện bảo vệ hiện có, từ VPN để chống vi-rút. Ngoài ra, việc thuê ngoài liên quan đến việc giám sát 24/7, vì vậy việc bảo vệ hoàn tất. Và thường thì bạn chỉ có thể thuê một chuyên viên làm việc từ thứ hai đến thứ sáu từ 9 giờ đến 18 giờ, và đôi khi anh ta ốm đau, học hành, đi hội nghị, đi công tác và đôi khi anh ta nghỉ việc đột xuất.

Hỗ trợ sản phẩm

Điều quan trọng là phải nhấn mạnh một điểm như vậy trong IPS là sự hỗ trợ của các sản phẩm của họ bởi nhà sản xuất. Thật không may, các bản cập nhật cho các thuật toán, chữ ký và quy tắc vẫn cần thiết vì các công nghệ và kẻ tấn công không đứng yên và các lớp lỗ hổng bảo mật mới trong các công nghệ mới cần phải liên tục được đóng lại. Hàng nghìn lỗ hổng bảo mật được tìm thấy mỗi năm. Chắc chắn phần mềm và phần cứng của bạn có chứa một số trong số chúng. Làm thế nào bạn phát hiện ra các lỗ hổng trong đó và làm thế nào để bạn tự bảo vệ mình sau đó? Nhưng bạn cần theo dõi liên tục mức độ liên quan của việc bảo vệ. Do đó, một thành phần quan trọng là sự hỗ trợ thường xuyên của các công cụ bảo vệ mà bạn đã giao phó cho việc bảo mật công ty của mình: có một đội ngũ chuyên nghiệp liên tục theo dõi các lỗ hổng mới và viết các kiểm tra mới kịp thời, tự tìm kiếm các lỗ hổng để được trước những kẻ tấn công. Vì vậy, khi mua một hệ thống phức tạp như IPS, hãy xem nhà sản xuất cung cấp những hỗ trợ nào. Không phải là sai khi tìm hiểu xem anh ta đã đối phó tốt như thế nào và đúng lúc với các cuộc tấn công đã xảy ra trong quá khứ.

Bảo vệ chống lại các phương pháp bỏ qua IPS

Bản thân IPS rất khó bị tấn công vì nó không có địa chỉ IP. (IPS được quản lý thông qua một cổng quản lý riêng.) Tuy nhiên, có những phương pháp để vượt qua IPS cho phép nó bị "lừa" tấn công các mạng mà nó bảo vệ. Các tài liệu phổ biến mô tả chi tiết các phương pháp này. Ví dụ, phòng thí nghiệm kiểm tra NSS sử dụng rộng rãi các giải pháp thay thế để xác nhận IPS. Rất khó để các nhà sản xuất IPS có thể chống lại các phương pháp này. Và cách nhà cung cấp giải quyết các kỹ thuật trốn tránh là một đặc điểm thú vị khác của hệ thống phòng chống tấn công.

Tầm quan trọng của việc sử dụng IPS trong các mạng doanh nghiệp từ lâu đã chín muồi, các công nghệ phòng ngừa mới bảo vệ tổ chức khỏi các cuộc tấn công mới đã được phát triển, vì vậy tất cả những gì còn lại là cài đặt và vận hành chúng một cách chính xác. Để làm cho tổng quan về các thuộc tính IPS không thiên vị nhất có thể, tên của các nhà sản xuất đã không được nêu tên cụ thể trong bài viết.

Dmitry Volkov
Trưởng phòng Điều tra Sự cố CNTT, Group-IB

Sự phát triển IPS hiện đại

Hệ thống Ngăn chặn Xâm nhập Mạng (IPS) có thể vừa là một công cụ hữu hiệu cho những người làm bảo mật vừa là một phần cứng đắt tiền đang tích tụ bụi. Để một hệ thống IPS không trở thành một sự thất vọng, ít nhất nó phải đáp ứng các yêu cầu sau đây phải được xem xét khi lựa chọn nó.

Hệ thống phải:

  1. có một loạt các mô hình đáp ứng yêu cầu của cả văn phòng khu vực nhỏ và doanh nghiệp chính với mạng đa gigabit;
  2. hỗ trợ không chỉ phân tích chữ ký, mà còn phân tích giao thức bất thường, và tất nhiên, phân tích hành vi;
  3. cung cấp một hình ảnh rõ ràng về mạng và các thiết bị được kết nối với nó;
  4. cung cấp công việc trong chế độ IDS, thực hiện phân tích hành vi, có các công cụ để thực hiện điều tra;
  5. có quyền quản lý tập trung các hệ thống IPS / IDS đã cài đặt;
  6. có công cụ phân tích tốt để cải thiện hiệu quả các chính sách bảo mật.

Hệ thống IDS / IPS thường được kết nối nhiều nhất ở những nơi có tài nguyên quan trọng. Nhưng bên cạnh việc ngăn chặn các cuộc tấn công vào các tài nguyên này, bạn nên liên tục theo dõi chúng, cụ thể là: để biết tài nguyên nào trong số này dễ bị tấn công, hành vi của chúng trong mạng thay đổi như thế nào. Do đó, cần bổ sung chức năng bổ sung cho các hệ thống IDS / IPS, cho phép chúng bảo vệ các tài nguyên cần thiết một cách đáng tin cậy hơn, đồng thời giảm chi phí sở hữu. Vì vậy, việc bảo vệ có thể được thực hiện theo ba giai đoạn - IPS, Adaptive IPS, Enterprise Threat Management. Chức năng của mỗi giai đoạn tiếp theo bao gồm tất cả các chức năng từ giai đoạn trước và được xây dựng với những chức năng mới hơn.


Giai đoạn 1. Bạn có thể kiểm soát và / hoặc chặn các cuộc tấn công khai thác hàng nghìn lỗ hổng, đó là các cảm biến IPS tiêu chuẩn và các trung tâm điều khiển của chúng.

Giai đoạn 2. Có thể khám phá mạng, ưu tiên các sự kiện và tự động hóa cấu hình IPS.

Giai đoạn 3. Có đầy đủ chức năng có thể để bảo vệ mạng công ty trước, trong và sau cuộc tấn công.

ETM là hiện thân đầu tiên của nhận thức rằng bạn cần phải làm việc thông minh hơn, không phải chăm chỉ hơn, trong việc bảo vệ tài nguyên thông tin. Về mặt công nghệ, ETM là sự kết hợp của bốn công nghệ quản lý mối đe dọa và lỗ hổng bảo mật được kết hợp thành một giải pháp duy nhất, được quản lý tập trung. Do đó, giải pháp này cung cấp nhiều lựa chọn hơn so với một trong hai sản phẩm. Như được hiển thị trong hình. 3, ETM bao gồm Hệ thống ngăn chặn xâm nhập (IPS), Phân tích hành vi mạng (NBA), Kiểm soát truy cập mạng (NAC), Phân tích lỗ hổng bảo mật (VA), Hệ thống con giao tiếp và Quản lý tập trung.

So sánh các nhà sản xuất IPS

Trong bộ lễ phục. 4 cho thấy nhà sản xuất hệ thống IPS nào đang dẫn đầu. Tuy nhiên, không bị ràng buộc với Gartner, hãy xem mỗi nhà sản xuất có chức năng gì.

Như bạn có thể thấy, một số bị thiếu các tính năng quan trọng như điều tra cấp độ hàng loạt và xem và tạo quy tắc. Nếu không có những khả năng như vậy, đôi khi hoàn toàn không thể hiểu được tại sao hệ thống lại đưa ra cảnh báo, và sẽ mất nhiều thời gian để tìm ra nguyên nhân của những cảnh báo này.

Việc thiếu một cơ chế để tạo ra các chính sách tuân thủ cũng đặt ra những hạn chế nhất định. Ví dụ, trong một cuộc đánh giá bên ngoài, sẽ rất hữu ích nếu bạn chứng minh được các chính sách của bạn đang thực sự được thực hiện như thế nào. Nhận xét thêm là không cần thiết, vì tình trạng thực sự của vấn đề sẽ chỉ trở nên rõ ràng sau khi triển khai thực tế trong môi trường công nghiệp.

Cần phải nhớ rằng đảm bảo an ninh mạng là một nhiệm vụ phức tạp và các giải pháp khác nhau không phải lúc nào cũng đảm bảo tính toàn vẹn của nhận thức và dẫn đến chi phí bổ sung.

Đánh giá ngắn

hệ thống Cisco

Các giải pháp đáng tin cậy, có hỗ trợ tuyệt vời, nhưng khó định cấu hình, phân tích chữ ký cho nhiều sai lệch, giao diện quản lý cho một số lượng lớn các sự kiện không cho phép phân tích cú pháp đầy đủ các sự kiện đã ghi. Để hoạt động đầy đủ, cần phải đầu tư thêm vào Hệ thống Giám sát, Phân tích và Ứng phó An ninh của Cisco (CS-MARS).

Điểm tới hạn

Hệ thống từ nhà sản xuất này rất dễ cấu hình và cài đặt. Chúng có giao diện điều khiển tốt, nhưng chúng chỉ có thể được kết nối trong một khoảng trống, tức là không bị phát hiện thụ động. Chúng không cho phép mở rộng chức năng và chỉ là một hệ thống IDS / IPS.

Tại một cuộc gọi hội nghị, người phát ngôn của TippingPoint cho biết phần cứng của họ có thể bị cài đặt và quên - và đó là chiến lược phòng thủ của họ.

Có lẽ ai đó chia sẻ cô ấy, nhưng tôi thấy khó đồng ý với cô ấy. Mọi thiết bị an ninh phải được kiểm soát, nếu không bạn sẽ không bao giờ nhận được lợi nhuận xứng đáng từ nó. Ví dụ: nếu ai đó vẫn cố gắng hack cổng đối tác của bạn và anh ta không làm được điều đó trong hai lần đầu tiên nhờ hệ thống IPS, thì lần thứ ba anh ta sẽ thành công và nếu không có quyền kiểm soát đối với hệ thống IPS, bạn sẽ không nhận ra điều này và ngăn chặn những nỗ lực tiếp theo. bạn sẽ không thành công.

Juniper Networks

Cho dù các nhà phân tích từ Gartner hay các ấn phẩm khác viết gì đi nữa, thì cũng khó có thể nói điều gì tốt về sản phẩm của họ. Hệ thống này rất phức tạp để thiết lập. Bảng điều khiển quản lý NSM rất hạn chế. Kết quả được hiển thị theo cách mà có vẻ như các nhà phát triển đã cố gắng đảm bảo rằng họ nhìn vào nó ít nhất có thể và hy vọng rằng các cuộc tấn công thực sự bị đẩy lùi.

Nguồn lửa

Có lẽ là hệ thống tốt nhất. Mọi thứ đều thuận lợi. Chức năng rất rộng. Ngoài ra, hệ thống đã có sẵn các khả năng thu thập chi tiết dữ liệu về các nút bị tấn công và bị tấn công, chứ không chỉ địa chỉ IP và MAC, giúp giảm đáng kể thời gian phân tích và phân tích cú pháp các sự kiện. Thông tin này bao gồm lịch sử của các kết nối, đã mở và sau đó
các cổng đã đóng, loại địa chỉ được truyền, tên người dùng, ví dụ, nếu có chuyển qua FTP hoặc e-mail, và tất nhiên, chính địa chỉ e-mail đó. Trong các mạng lớn, nó có thể là một phương tiện bảo vệ không thể thiếu. Họ đã phát hành các giải pháp của mình từ năm 2001, nhưng gần đây họ mới thâm nhập vào thị trường Nga.

Sự kết luận

Tránh giới thiệu một loạt các sản phẩm mới chỉ giải quyết một vấn đề. Kiểm soát an ninh tĩnh không thể bảo vệ một môi trường động. Bạn cần tiết kiệm thời gian và công sức của nhân viên. Hãy để chúng hoạt động tốt hơn chứ không phải vất vả hơn. Giảm chi phí duy trì môi trường không đồng nhất. Giảm thời gian bạn dành để phân tích dữ liệu từ nhiều bảng điều khiển và báo cáo. Hãy tiêu tiền một cách khôn ngoan trước khi hệ thống bảo mật khiến bạn phải trả giá cao hơn những rủi ro mà bạn bảo vệ khỏi.

trên trang web của Cục ESG và trên tạp chí CAD và Đồ họa. I. Fertman - Chủ tịch Hội đồng quản trị của Văn phòng ESG,
A. Tuchkov - Giám đốc kỹ thuật của Cục ESG, Tiến sĩ,
A. Ryndin - Phó Giám đốc Thương mại của Cục ESG.

Trong các bài báo của mình, các nhân viên của Phòng ESG đã nhiều lần đề cập đến chủ đề hỗ trợ thông tin cho các giai đoạn khác nhau của vòng đời sản phẩm. Thời gian tự điều chỉnh, gây ra bởi sự phát triển không ngừng của công nghệ thông tin và nhu cầu hiện đại hóa các giải pháp đã thực hiện. Mặt khác, hiện nay có một xu hướng rõ ràng là sử dụng các công cụ phần mềm đáp ứng các yêu cầu của khuôn khổ pháp lý trong nước và các quy trình sản xuất được áp dụng ở nước ta. Chính những thực tế đó, cũng như kinh nghiệm tích lũy được trong quá trình tự động hóa hoạt động của các doanh nghiệp thiết kế đã thôi thúc chúng tôi viết bài này.

Hiện trạng tự động hóa các hoạt động thiết kế, sản xuất và hỗ trợ thông tin cho các giai đoạn tiếp theo của vòng đời sản phẩm

Cục ESG có nhiều kinh nghiệm trong việc triển khai các hệ thống lưu trữ điện tử, PDM, PLM, hệ thống quản lý dữ liệu kỹ thuật trong các ngành khác nhau: đóng tàu (Baltiysky Zavod OJSC - Rosoboronexport, Sevmash OJSC, TsNII Ship Mechanical Engineering CJSC), cơ khí (JSC SPb "Red October" ), xây dựng công nghiệp và dân dụng (PF "Soyuzproektverf", Công ty cổ phần "Giprospetsgaz"), công nghiệp hạt nhân (Công ty cổ phần "Atomproekt", Công ty cổ phần "Roszheldorproekt") và tại nhiều doanh nghiệp và tổ chức khác, danh sách này không được đưa vào mục tiêu và mục tiêu của bài báo.

Chúng tôi nhấn mạnh rằng việc triển khai được thực hiện dựa trên việc sử dụng các hệ thống phần mềm khác nhau: TDMS, Search, SmartPlant Fondation, Autodesk Vault và các hệ thống khác, bao gồm cả thiết kế của riêng chúng tôi. Việc sử dụng một môi trường phần mềm cụ thể được xác định bởi ngành, những thách thức phía trước và các yếu tố khác. Chính kinh nghiệm dày dặn mà Cục ESG tích lũy được trong các lĩnh vực trên cho phép chúng tôi phác thảo bức tranh chung về việc triển khai các hệ thống lưu trữ điện tử, hệ thống quản lý tài liệu PDM và PLM tại các doanh nghiệp Nga.

Không thể tưởng tượng được thiết kế hiện đại, các hoạt động sản xuất, hỗ trợ vận hành, hiện đại hóa và xử lý sản phẩm nếu không sử dụng các loại hệ thống tự động: CAD (CAD), CAM, PDM, hệ thống chuẩn bị công nghệ sản xuất, hệ thống PLM. Hình ảnh chung được minh họa trong Hình. một.

Cơm. 1. Bức tranh chung về tự động hóa

Theo quy luật, tất cả các công cụ tự động hóa được liệt kê và không được liệt kê chỉ hiện diện ở một mức độ nào đó, thường xuyên hơn ở các giai đoạn đầu của chu kỳ sống của sản phẩm - hoạt động thiết kế và sản xuất. Ở các giai đoạn tiếp theo của vòng đời, mức độ hỗ trợ thông tin cho các quá trình đôi khi rất thấp. Đây chỉ là một số ví dụ điển hình về các giai đoạn tự động nhất của vòng đời, minh họa cho bức tranh thực tế.

Các tuyên bố về "sự ra đời của công nghệ PDM hoặc PLM" trong thực tế thường chỉ là sự ra đời của một hệ thống quản lý tài liệu và lưu trữ điện tử cho CD và TD, TDM, và không có gì khác. Nguyên nhân:

  • "Chơi chữ" là khi một hệ thống PDM đắt tiền được sử dụng để tạo ra chức năng của một kho lưu trữ điện tử và luồng tài liệu của CD và TD (thường được hiểu là "sự ra đời của công nghệ PDM", mặc dù không có điều đó, có chỉ là sự ra đời của một kho lưu trữ điện tử và / hoặc TDM sử dụng phần mềm - PDM -systems);
  • thay thế các khái niệm - khi chữ viết tắt "PDM" hoặc "PLM" xuất hiện trong tên của một công cụ phần mềm, nhưng hệ thống không phải như vậy theo bản chất của các nhiệm vụ được giải quyết và, một lần nữa, tốt nhất, nó giải quyết được hai vấn đề, nhưng thường xuyên hơn một trong hai:
  • quản lý công việc của các nhà thiết kế ở cấp độ tài liệu và đôi khi là các mô hình 3D,
  • quản lý kho lưu trữ CD, TD điện tử.
Đây là một ví dụ: kinh nghiệm của Cục ESG, bao gồm cả công việc tạo ra một mô hình mô hình thông tin của một tàu chiến, cho thấy rằng ở giai đoạn vòng đời vận hành, than ôi, không phải thông tin của nhà thiết kế và nhà chế tạo. là quan trọng nhất, nhưng tài liệu vận hành, sổ tay kỹ thuật điện tử tương tác (IETM). Ở giai đoạn của vòng đời vận hành, việc hỗ trợ hậu cần là vô cùng cần thiết, cho phép bổ sung phụ tùng thay thế trong thời gian ngắn nhất có thể. Rất thường xuyên, không có một hệ thống đơn lẻ nào, được nhà sản xuất định vị là PLM, giải quyết "theo mặc định" các nhiệm vụ vận hành, mặc dù, chúng tôi sẽ không phủ nhận, một hệ thống như vậy có thể được sử dụng với các sửa đổi thích hợp, ví dụ, để giải quyết các vấn đề hậu cần . Lưu ý rằng về hiệu quả và cường độ lao động dành cho việc sửa đổi, cách tiếp cận này tương đương với việc sử dụng hệ thống kế toán hoặc ERP để quản lý các hoạt động thiết kế hoặc trình soạn thảo văn bản để phát triển các bản vẽ thiết kế.

Cố gắng khách quan trong các đánh giá của mình, chúng tôi sẽ không phóng đại thêm nữa, nhưng chỉ cần lưu ý:

  • tự động hóa hiện đại các hoạt động thiết kế, sản xuất, hỗ trợ cho các giai đoạn tiếp theo của chu kỳ sống của sản phẩm thường chỉ bao gồm các yếu tố PDM và PLM;
  • thường sự ra đời của PDM và PLM không gì khác ngoài việc tạo ra một kho lưu trữ điện tử và quy trình làm việc của CD và TD;
  • Còn quá sớm để nói về việc triển khai đầy đủ công nghệ PLM cho tất cả các giai đoạn của vòng đời sản phẩm.

Lý do chuyển sang nền tảng mới

Mặc dù kết luận của phần trước của bài viết, chúng tôi lưu ý rằng rất thường xuyên trong một doanh nghiệp nơi lưu trữ điện tử, quy trình thiết kế, hệ thống tự động để chuẩn bị công nghệ sản xuất, các yếu tố PDM / PLM được thực hiện, công việc mà không có các công cụ được triển khai là không còn có thể. Đây là chỉ số chính của việc thực hiện. Trong công việc của công ty chúng tôi, đã có trường hợp xảy ra lỗi trong mạng LAN của Khách hàng mà không phải do lỗi của chúng tôi, máy chủ của kho lưu trữ điện tử của một doanh nghiệp chế tạo máy không khả dụng. Thời gian từ lần gặp lỗi đầu tiên đến lần gọi đầu tiên từ doanh nghiệp đến văn phòng của chúng tôi đến các chuyên gia hỗ trợ kỹ thuật chưa đầy một phút. Đồng thời, tất cả các tuyên bố tình cảm đều thống nhất với nhau bởi một điều - "không có quyền truy cập vào cơ sở dữ liệu, doanh nghiệp không thể hoạt động." Theo chúng tôi, đây là chỉ số thực tế có ý nghĩa nhất vượt qua mọi tính toán lý thuyết.

Các lý do cho việc chuyển đổi sang các công nghệ và nền tảng mới, cũng như việc mở rộng các chức năng được triển khai có thể là do một số nhóm.

Phát triển công nghệ và công cụ thiết kế
Một trong những yếu tố quan trọng trong việc chuyển đổi sang công nghệ mới, giải pháp phần mềm và mở rộng chức năng được triển khai của hệ thống quy trình thiết kế, hệ thống tự động chuẩn bị công nghệ sản xuất, các yếu tố PDM / PLM ở các giai đoạn công việc của nhà thiết kế và sản xuất là sự xuất hiện của các công cụ thiết kế ba chiều và khung lập pháp xác định công việc với các mô hình điện tử.

Như đã đề cập, trong hầu hết các trường hợp "thực hiện PDM và PLM", chúng ta đang nói về TDM, kho lưu trữ điện tử và luồng tài liệu của CD và TD. Các giải pháp như vậy (bất kể môi trường mà chúng được tạo ra) trên thực tế, như một quy luật, hoạt động với CD và TD hai chiều. Về mặt lịch sử, tại hầu hết các doanh nghiệp đã triển khai các nguyên tắc và cách tiếp cận làm việc với thiết kế hai chiều và tài liệu công nghệ thường "chuyển đổi" sang các hệ thống mới, với một số "hiện đại hóa" cho các tài liệu hai chiều điện tử. Ví dụ, theo GOST 2.501-2006, các thay đổi đối với tài liệu điện tử được đưa vào phiên bản mới. GOST 2.503-90, mô tả việc giới thiệu các thay đổi "trên giấy", cho phép bạn thực hiện các thay đổi trực tiếp đối với bản vẽ (gạch ngang, tẩy xóa (rửa trôi), sơn màu trắng, nhập dữ liệu mới) hoặc tạo tài liệu mới, trang tính của chúng bằng tài liệu thay thế của bản gốc, trên thực tế, tạo ra phiên bản. Ví dụ minh họa rằng "nâng cấp" không quá quan trọng và quy trình làm việc với tài liệu điện tử hai chiều thực tế giống như làm việc với giấy.

Có, và chính các phương tiện quản lý tài liệu và lưu trữ điện tử của CD và TD, được giới thiệu thành công vào thời của họ, rất thường đơn giản là không hỗ trợ các phương pháp tiếp cận để làm việc với mô hình 3D, và hệ thống thông tin được giới thiệu trước đây, như một quy luật, đã lỗi thời và không chứa các cơ chế tích hợp hiện đại cho phép làm lại hiệu quả.

Tích hợp và tối ưu hóa các quy trình sản xuất
Yếu tố tiếp theo là sự tích hợp và tối ưu hóa quy trình sản xuất. Thông thường, khách hàng của chúng tôi có mong muốn chính đáng là tự động hóa toàn bộ chuỗi sản xuất càng nhiều càng tốt. Ví dụ, một điều khá hợp lý là đối với việc viết các quy trình kỹ thuật, rất hữu ích cho một nhà công nghệ có quyền truy cập vào kết quả công việc của nhà thiết kế. Không nghi ngờ gì nữa, tôi muốn có một số loại môi trường tích hợp duy nhất, và cách một môi trường như vậy được xây dựng hoàn toàn không quan trọng - trong khuôn khổ của một hoặc một số hệ thống. Điều chính là sự chuyển giao dữ liệu đầu cuối giữa những người tham gia vào quy trình sản xuất, sử dụng và hỗ trợ thông tin cập nhật.
Tạo ra các môi trường phân tán theo địa lý tích hợp
Thông thường, các hệ thống đã triển khai trước đây không chứa các chức năng cần thiết và các phương tiện mở rộng tích hợp của nó không cho phép đạt được mong muốn - mở rộng chức năng hoặc tổ chức tương tác tích hợp cần thiết với các hệ thống khác. Phòng thiết kế và cơ sở sản xuất thường cách biệt nhau về mặt địa lý. Đôi khi các công cụ hiện có không tương ứng với những ý tưởng hiện đại về tự động hóa hiệu quả. Ví dụ, để trao đổi thông tin giữa các hệ thống trong đóng tàu, các tệp trao đổi (mảng vận tải) được sử dụng. Thông thường, chỉ có công nghệ COM là một phương tiện tổ chức tương tác tích hợp. Đồng thời, các hệ thống hiện đại giúp tổ chức hiệu quả cơ sở dữ liệu phân tán theo địa lý, làm việc với dữ liệu kỹ thuật, trao đổi chúng giữa các phòng thiết kế từ xa, phòng thiết kế và sản xuất.
Lý do kinh tế
Không nghi ngờ gì nữa, trong bất kỳ điều kiện nào, thành phần kinh tế của quá trình chuyển đổi sang sử dụng các nền tảng mới không phải là mới, nhưng ngày nay nó có hai thành phần chính:
  • đầu tư vào một nền tảng mới sẽ mang lại lợi ích kinh tế;
  • khách hàng bày tỏ mong muốn giảm đầu tư và không phụ thuộc vào các nhà sản xuất nước ngoài trong một số ngành công nghiệp.

Hệ thống IPS

Vì một số lý do, chúng tôi sẽ không tập trung vào các công cụ tự động hóa nổi tiếng của phương Tây. Trong phần này, chúng tôi sẽ cố gắng liệt kê các giải pháp: các hệ thống lưu trữ thiết kế điện tử, quản lý tài liệu, PDM, PLM, thực sự thích ứng với các quy trình trong nước, khuôn khổ quy định hiện hành của Liên bang Nga cho các phòng thiết kế và sản xuất, một mặt, và tính đến trạng thái hiện tại và tính khả dụng của các hệ thống tự động hóa thiết kế, DBMS, thiết bị mạng và khả năng tương tác, mặt khác. Với sự bảo lưu ở trên, sự lựa chọn, than ôi, không phải là quá tuyệt vời - có lẽ ai đó sẽ phản đối một cách hợp lý (mà chúng tôi biết ơn trước), nhưng chỉ có ba giải pháp được hiển thị trên thị trường trong nước:
  • Hệ thống IPS do Intermech sản xuất;
  • Hệ thống LOTSMAN: PLM do Ascon sản xuất;
  • Hệ thống T¬Flex do Top Systems sản xuất.
Mục đích của bài viết hoàn toàn không phải là sự so sánh chính thức hóa ba hệ thống này theo nguyên tắc "có hoặc không có" của một chức năng cụ thể. Kinh nghiệm của chúng tôi cho thấy rằng trong hầu hết các trường hợp, cách tiếp cận như vậy rất chủ quan và không chính xác. Về vấn đề này, hôm nay chúng ta sẽ giới hạn chỉ mô tả một hệ thống IPS.
Chức năng chung
Hệ thống là giải pháp mô-đun tự động hóa các công việc thiết kế và sản xuất - công việc nhóm của người thiết kế, quy trình thiết kế, triển khai hệ thống lưu trữ điện tử, chuẩn bị công nghệ sản xuất, tổ chức tích hợp tương tác với các hệ thống khác của Doanh nghiệp.

Cấu trúc chung của hệ thống IPS được trình bày trong Hình. 2.

Cơm. 2. Cấu trúc chung của IPS

Tính không đồng nhất của môi trường IPS
Không có gì bí mật khi phần lớn các công cụ như vậy được phát triển bởi các nhà sản xuất hệ thống CAD. Đồng thời, mỗi nhà sản xuất bước đầu giải quyết bài toán tiếp thị thu hút khách hàng làm việc bằng một bộ sản phẩm phần mềm của “họ”. Nhân tiện, khái niệm này vốn có trong các giải pháp phần mềm không chỉ trong lĩnh vực tự động hóa các hoạt động thiết kế và sản xuất và không chỉ ở nước ta, mà thể hiện xu hướng toàn cầu. Cách đây một thời gian, cách tiếp cận này đã có những thay đổi và ngày nay, theo quy luật, bất kỳ nhà sản xuất hệ thống PDM / PLM nào cũng sẽ đưa ra câu trả lời khẳng định cho câu hỏi liệu có sự tương tác giữa phần mềm với các hệ thống CAD không có nguồn gốc từ nó hay không.

Cần lưu ý rằng hệ thống IPS không được tạo ra ban đầu từ một hệ thống CAD “nguyên bản” cho nó. Khái niệm IPS có thể được đặc trưng bởi biệt ngữ "ăn tạp", đặc trưng chính xác nhất về mối quan hệ của nó với các công cụ thiết kế được sử dụng trong KB. Đồng thời, việc triển khai IPS phản ánh xu hướng phổ biến của các doanh nghiệp là có nhiều hệ thống CAD. Đồng thời, chúng tôi lưu ý rằng đôi khi "lượng công cụ thiết kế phong phú" như vậy trong một số trường hợp chỉ là "tiếng vọng của kỷ nguyên tự động hóa tự phát", và trong một số trường hợp - kết quả của một chính sách kinh tế hợp lý, đến lượt nó , đến độ phức tạp và phạm vi của các sản phẩm được thiết kế. IPS hoạt động tốt như nhau với các hệ thống CAD sau:

  • AutoCAD;
  • Nhà phát minh Autodesk;
  • BricsCAD;
  • Catia;
  • Pro / ENGINEER / PTC Creo Parametric;
  • Cạnh rắn;
  • SolidWorks;
  • KOMPAS-3D;
  • KOMPAS-Đồ thị.
Và bên cạnh đó - với các hệ thống thiết kế bảng mạch in của sản phẩm điện tử (ECAD): Mentor Graphics và Altium Designer.
Các tùy chọn tùy chỉnh chức năng
Nền tảng IPS cho phép bạn tùy chỉnh chức năng một cách linh hoạt. Các công cụ tích hợp có thể được sử dụng để cài đặt (không cần lập trình). Để triển khai cùng một chức năng duy nhất, môi trường lập trình bên ngoài có thể được sử dụng để viết các chương trình bổ trợ.

Một khía cạnh quan trọng của tự động hóa thiết kế, các hoạt động sản xuất, sự ra đời của một kho lưu trữ điện tử, các công nghệ PDM / PLM trong một doanh nghiệp hiện đại là bạn phải bắt đầu lại từ đầu. Ngoài ra, theo quy luật, việc lưu trữ thông tin dưới dạng điện tử (kho lưu trữ điện tử) đã được tổ chức ở mức độ này hay mức độ khác và thường có những triển khai thành công của quy trình công việc thiết kế, các phần tử PDM và PLM. Trong các trường hợp "nâng cao" hơn, có một không gian thông tin duy nhất, sự tương tác giữa các hệ thống được tổ chức. Đồng thời, một mặt, các phương tiện được triển khai và vận hành thành công đòi hỏi phải hiện đại hóa gắn với việc chuyển đổi sang công nghệ mới (ví dụ, khi giới thiệu các hệ thống CAD ba chiều). Mặt khác, cơ sở dữ liệu tích lũy trước đây, các phương pháp tiếp cận kỹ thuật và tổ chức nên và có thể được áp dụng khi giới thiệu công nghệ mới. Ví dụ: cơ sở dữ liệu tài liệu "hai chiều" cho các sản phẩm được sản xuất trước đây không mất đi tính liên quan khi chuyển sang sử dụng hệ thống 3D-CAD (các sản phẩm được vận hành, hiện đại hóa, sản xuất lại, bất kể chúng được thiết kế như thế nào - "trên máy bay" hoặc "trên giấy").

Tổ chức công việc được phân bổ theo địa lý
Chúng tôi nói thêm rằng hệ thống IPS cho phép bạn triển khai các giải pháp phân tán theo địa lý trong khuôn khổ một giai đoạn của vòng đời sản phẩm, ví dụ: khi thiết kế với một hoặc một số phòng thiết kế và trong các giai đoạn khác nhau. Trong trường hợp này, có thể, ví dụ, thiết kế một sản phẩm với một hoặc một số phòng thiết kế và sự tiếp cận từ xa của các nhà công nghệ từ một hoặc một số ngành riêng biệt đến kết quả công việc của các nhà thiết kế, tự động hóa quá trình chuẩn bị công nghệ sản xuất bằng cách sử dụng Các mô-đun IPS. Cơ chế xuất bản tài liệu và mô hình cho phép một doanh nghiệp ở xa phòng thiết kế có thể tạo chú thích, bắt đầu thay đổi, làm việc trong một môi trường phân tán theo địa lý duy nhất.

Cấu trúc chung của tổ chức công việc IPS phân tán được trình bày trong Hình. 3.

Cơm. 3. Tổ chức công việc IPS phân tán theo địa lý

Ví dụ về chuyển đổi KB sang sử dụng IPS
Hãy đưa ra một ví dụ thực tế về việc dịch từ một hệ thống lưu trữ điện tử đã được triển khai trước đó, luồng tài liệu với các phần tử PDM và PLM tại một trong những phòng thiết kế lớn. Những lý do chính của công việc:
  • chuyển đổi các phòng thiết kế sang thiết kế ba chiều;
  • thiếu khả năng kỹ thuật để hỗ trợ công việc với các hệ thống 3D-CAD trong hệ thống lưu trữ điện tử và luân chuyển tài liệu CD với các phần tử PDM và PLM;
  • kiến trúc lỗi thời của hệ thống hiện có và không thể mở rộng thêm nữa;
  • yêu cầu đối với sự tương tác phân tán về mặt địa lý của phòng thiết kế với các phòng thiết kế và sản xuất khác.
Kết quả công việc:
  • xây dựng các vấn đề di chuyển dữ liệu từ hệ thống hiện có sang IPS;
  • nghiên cứu các vấn đề chuyển đổi quy trình từ hệ thống hiện có sang IPS;
  • giải pháp phần mềm - một hệ thống con tương tác giao diện giữa hệ thống hiện có và IPS để đảm bảo sự tương tác tích hợp của các hệ thống, cho phép "chuyển đổi suôn sẻ";
  • thành phần tổ chức của quá trình chuyển đổi sang sử dụng hệ thống mới được xây dựng, có tính đến việc tối ưu hóa chi phí thời gian và nguồn lực.
Giai đoạn đầu tiên - sự phát triển của công nghệ và các giải pháp phần mềm và phần cứng - được thực hiện trên một sản phẩm "thí điểm" đã được thiết kế trước đó.

Hiện tại, theo lịch trình làm việc, các chuyên gia của công ty chúng tôi đang thực hiện công đoạn tiếp theo dựa trên kết quả đạt được trước đó: hỗ trợ thiết kế hai sản phẩm thực là hệ thống 3D-CAD và hệ thống IPS.

Sự kết luận

  • Thông thường, các giai đoạn tự động hóa của các phòng thiết kế và doanh nghiệp, được định vị là triển khai thực sự của công nghệ PDM / PLM, đại diện cho việc tạo ra các kho lưu trữ điện tử, hệ thống quản lý tài liệu cho CD và TD, TDM (thường là đối với các tài liệu hai chiều). Trong hầu hết các trường hợp, chúng ta chỉ có thể nói về việc triển khai thực sự của các yếu tố PDM và PLM;
  • với việc chuyển đổi sang thiết kế ba chiều, các hệ thống lưu trữ điện tử và luân chuyển tài liệu CD và TD đã được triển khai trước đây, các yếu tố được giới thiệu của PDM và PLM không phải lúc nào cũng đáp ứng các yêu cầu mới;
  • Việc chuyển sang các nền tảng mới của hệ thống quản lý tài liệu và lưu trữ điện tử của các phần tử CD và TD, PDM và PLM không phải là một nhiệm vụ dễ dàng, nhưng hoàn toàn có thể giải quyết được, đòi hỏi một cách tiếp cận có hệ thống do Cục ESG phát triển, chỉ được đề cập một phần trong bài báo.

Thư mục

  1. Turetskiy O., Tuchkov A., Chikovskaya I., Ryndin A. Phát triển mới của công ty InterCAD - một hệ thống lưu trữ tài liệu và mô hình 3D // REM. Năm 2014. số 1.
  2. Tuchkov A., Ryndin A. Về cách tạo hệ thống quản lý dữ liệu kỹ thuật // REM. Năm 2014. số 1.
  3. Kazantseva I., Ryndin A., Reznik B. Hỗ trợ thông tin và quy định cho vòng đời hoàn chỉnh của một con tàu. Kinh nghiệm của Phòng ESG // Korabel.ru. 2013. Số 3 (21).
  4. Tuchkov A., Ryndin A. Thiết kế hệ thống quản lý dữ liệu trong lĩnh vực xây dựng công nghiệp và dân dụng: kinh nghiệm và hiểu biết của chúng tôi // CAD và đồ họa. 2013. số 2.
  5. Galkina O., Korago N., Tuchkov A., Ryndin A. Hệ thống lưu trữ điện tử D'AR là bước đầu tiên hướng tới xây dựng hệ thống quản lý dữ liệu thiết kế // CAD và đồ họa. 2013. Số 9.
  6. Ryndin A., Turetskiy O., Tuchkov A., Chikovskaya I. Tạo kho lưu trữ các mô hình và tài liệu 3D khi làm việc với hệ thống CAD 3D // CAD and Graphics. 2013. Số 10.
  7. Ryndin A., Galkina O., Blagodyr A., ​​Korago N. Tự động hóa các luồng tài liệu là một bước quan trọng để tạo ra một không gian thông tin thống nhất cho một doanh nghiệp // REM. Năm 2012. Số 4.
  8. Petrov V. Kinh nghiệm tạo không gian thông tin thống nhất ở St.Petersburg OJSC "Krasny Oktyabr" // CAD và đồ họa. Năm 2012. Số 11.
  9. Malashkin Yu., Shatskikh T., Yukhov A., Galkina O., Karago N., Ryndin A., Fertman I. Có kinh nghiệm phát triển hệ thống quản lý tài liệu điện tử tại Giprospetsgaz // CAD and graphics. 2011. Số 12.
  10. Sanev V., Suslov D., Smirnov S. Sử dụng công nghệ thông tin trong Công ty Cổ phần “Viện Nghiên cứu Chế tạo Tàu thủy Trung ương // CADmaster. 2010. Số 3.
  11. Vorobiev A., Danilova L., Ignatov B., Ryndin A., Tuchkov A., Utkin A., Fertman I., Scheglov D. Kịch bản và cơ chế tạo một không gian thông tin duy nhất // CADmaster. 2010. Số 5.
  12. Danilova L., Shcheglov D. Phương pháp luận để tạo ra một không gian thông tin thống nhất cho ngành tên lửa và vũ trụ // REM. 2010. Số 6.
  13. Galkina O.M., Ryndin A.A., Ryaben'kiy L.M., Tuchkov A.A., Fertman I.B. Mô hình thông tin điện tử của các sản phẩm đóng tàu ở các giai đoạn khác nhau của vòng đời // CADmaster. Năm 2007. Số 37a.
  14. Ryndin A.A., Ryaben'kiy L.M., Tuchkov A.A., Fertman I.B. Các công nghệ đảm bảo chu kỳ sống của sản phẩm // Máy tính-THÔNG TIN. 2005. Số 11.
  15. Ryndin A.A., Ryaben'kiy L.M., Tuchkov A.A., Fertman I.B. Các giai đoạn triển khai công nghệ IPI // Đóng tàu. 2005. số 4.
Các ấn phẩm tương tự: