А помимо фаервола в месте стыковки сети асутп и корпоративной

сети или vpn канала, чем еще обеспечивают защиту сети асутп? Лопачу гугл, инфы просто море, аж теряюсь.

Так от угроз зависит. IDS ставят, NTA/NDR, IAM, VPN...

VPN - имеете ввиду обкновенный vpn канал?

Имею ввиду VPN-шлюз для удаленного доступа или для соединения с центром. Зависит от задач и архитектуры

Ну вот как бы вы организовали архитектуру передачи данных ищ сети асутп в сеть mes (или асуп)? Если вам не трудно схемку накидать

Таких схемок на не одну сотню МБ. И все немного разные. Везде нюансы, связанные с тем, как устроена эта самая АСУТП и что с нее надо "поднимать" наверх, влияет ли "верх" на техпроцесс и т.д. и т.п.

Нет ли у вас таких схемок? Для расширения кругозора

Влияние верха на асутп разве к связи и сетям относится? Это больше внутрискадовое дело (разграничение прав на мнемосхемы, записи в тэги и т.д.), кмк

Еще плюсом - мониторинг (есть ил или нет, свой внутри АСУТП или будете мониторить из ЛВС (и как)), нужен удаленный доступ и для чего (телеком или на сервера и армы в т.ч.). Есть ли антивирусы, обновления ОС и т.д, откуда берутся, по сетке, руками, сервера внутри АСУТП или в обычной ЛВС. Все влияет на какие-то тонкости реализации.

К связи все относится.

Мониторинг чего?

Too much аббревиатур)

Зато смотрится дорого-богато

А то... Мы тоже долго без этих словес жили не тужили, а тут пришли новые времена, новые люди и понеслось. И ОС терь обновляем. И Касперы всякие и вот изим приснопамятный, випнеты пачками, дмз гроздьями, тунели в первопрестольную паутиной. Такая веселуха настала )

Что бы не выглядело, что заболтал тему, вот простейший стык, который приходилось самому поднимать несколько лет назад буквально на коленке. Имелась плоская сеть АСУТП, сто лет честно изолированная. Винда 2003 почти без патчей, куча всякой хери, пароли пустые или единичка, незапароленный телеком. Без антивирусов все, конечно. АСУШники костьми ложились, что ничего трогать нельзя. Мы не спорили. Шлюз посредник поставили. С АСУТП работает по какому-то пром. протоколу. Наверх отдает, допустим из базы. Упр. воздействий из ЛВС обычной не предусмотрено. Между ЛВС и этим сервером АСА. На сервере свой ФВ, достаточно жестко настроенный во всех направлениях, и на ИН и на ОУТ все минимально необходимое. Это бюджетный вариант, когда нет денег на ФВ между ним и АСУТП. В ЛВС пара серверов, которым нужны данные из этой АСУТП сети, они их получают, агрегируют, что-то считают, моделируют, хранят. Сервера в выделенном сегменте ЛВС, общение с ЛВС ограничено, сделано тоже бюджетно, без физ. сегментации, на Вланах, фильтрация в Л3 ядре сети. Пользователи получают хрень, мне неведомую, через веб. Веб к серверу-шлюза в АСУТП доступа не имеет. Сейчас пришли решения и от Каспера и от Позитивов, все усложнилось в плане телекома, появилась задача и журналы гонять в СИЕМ и обновы тянуть. Эту схему уже не дам и описывать не буду )))

Фильтрация по айпи адресам (или мак адреса)? Белый список?

Мак адреса видны в пределах л2 сегмента. Представьте, вас в гугле захотят забанить ))) По маку это сделают по вашему или по ип? Фильтрация на АСЕ по ип. При этом в ЛВС куча мер защитных, позволяющих избежать типичных атак Л2 уровня. Арп спуфинга и иже с ним. Это как-то отдаленно можно пристегнуть к вопросу о фильтрации по мак-ам. Это не фильтрация в строгом смысли и напрямую к стыку двух сетей не относится. Это общий подход в сетке, что бы все было строго на своих местах и любое несанкционированное подключение или попытка выдать себя за другой хост были максимально усложнены (даже в случае физ. досутпа злоумышленника куда не надо).

Что такое АСЕ?

ЛВС - Локальная Вычислительная Сеть

Контроль приложений от сиськи - Application Control Engine

Не. Это моя безграмотность. Это я така ASA склоняю.

Ааа, сорри :)

Старенькое, но приличное руководство, см. раздел Network Architectures https://www.cisa.gov/uscert/sites/default/files/recommended_practices/NCCIC_ICS-CERT_Defense_in_Depth_2016_S508C.pdf