1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

Опыт внедрения требований к КИИ в АСУТП

Модератор: Глоб.модераторы

Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Опыт внедрения требований к КИИ в АСУТП

Сообщение Jackson »

VADR писал(а): 25 окт 2023, 12:17 Жень, я не говорю о применении таких вещей внутри АСУТП.
Да, я ж понимаю. Это я уже загнул про разные системы ТП. Согласен.
VADR писал(а): 25 окт 2023, 12:17 Вот проложим мы отдельным кабелем свой выделенный контур, или запихаем в свободное волокно существующего, или уплотним в одно из волокон существующего вместе с ИТ - какая разница?
Принципиальная. Вот есть АСДОУ и есть АСУТП. Кто-то в АСДОУ отвечает за получение данных от АСУТП. И есть принципиальная разница между тем, что к ним в АСДОУ придёт отдельная нитка и тем что в нитку АСДОУ надо будет врезаться уплотнительным оборудованием чтобы вытянуть данные АСУТП.
Разница во-1-х в том, как гарантированно и очевидно, то есть наглядно, обеспечить обмен данными только в строго оговоренном объёме и по строго определённому регламенту (права доступа и прочее). И разница во-2-х в том, насколько очевидно это физическое разделение.
При отдельных нитках вот она линия из АСУТП, втыкай в коммутатор, рули там сетевым экраном так, чтобы лишнее не пролезало. А надо физически разобщить - выдерни кабель и всё, разобщил и обе сети отдельно работают
VADR писал(а): 25 окт 2023, 12:17 В конце концов: работают же системы обмена данными между предприятиями и всякими там МРСК. И везде это слишком далеко, чтобы тянуть свою оптику. То есть - используются арендованные у операторов связи каналы.
Так это уже проблемы операторов связи. Главное что в зону нашей ответственности приходит физически отдельная линия. Что у оператора связи - это его проблемы, к нему уже прикопаются. И если даже оператору связи придётся что-то переделывать - нас это никак не коснётся вообще.
Сказано же в требовании "физическое разделение". А не мы сами это физическое разделение каким-то образом сначала прячем в одну нитку, потом из неё достаём, как фокусники: хоп - смотри, две лини; опа - вот уже одна линия; а на том конце - оба, опять две. Что посередине - ну, это физика, фотоны.... Прямо магия. :)

Я прекрасно понимаю что ты хочешь сказать, я понимаю что это работоспособно и работает. И не против. Но я повторяю те вопросы, которые задал бы инспектор, если бы формально подошёл к вопросу. И это самый правильный подход когда речь идёт об ИБ - формальный. Меня за это не всегда жалуют - я задаю неудобные вопросы, которые портят всю картину, зато перед заказчиком ни разу не было ни стыдно ни некрасиво - всё чётко выполняется и без вопросов. Нет таких вопросов на которые не находятся достойные ответы - именно потому что вопросы уже задавались и ответы подготовлены.
Раз "физическое разделение" - значит требования и проверка их исполнения. Лучше если проверка будет происходить просто визуально. А с мультиплексированием это неочевидно. И всё о чём мы тут разговариваем придётся повторить тем кто будет проверять эти требования на исполнение, и так каждый раз новому человеку. Если б было в том нормативе описано "допускается мультиплексирование физически разделённых интерфейсов в одной физической линии передачи данных" (или как-то так) - без вопросов. Но такого же не сказано. Сказано "физически разделить" и точка. Придёт человек, спросит "покажи как ты разделил" - и ты покажешь ему одну нитку и начнёшь всё это объяснять про фотоны? Саш, ну не прокатит же.

Со всех сторон надо смотреть на вопрос. Не только с технической т.зр., но и с формальной, с субьективной и с прочих, жизнь многогранна.

Отправлено спустя 5 минут 54 секунды:
Ryzhij писал(а): 25 окт 2023, 13:18
VADR писал(а): 25 окт 2023, 12:17 Жень, я не говорю о применении таких вещей внутри АСУТП.
Вот тут-то и "порыта собака" - на сеть, которая не внутри АСУТП, можно смело наплевать. Речь именно о сетях АСУТП, по которым передаются соответствующие команды управления и информация АСУТП.
Давайте тогда уже наверняка конкретизируем вопрос. А было так, я же ничего не выдумываю:
VADR писал(а): 24 окт 2023, 12:23 А вот тут подумалось: если взять существующее волокно и в него затолкать несколько отдельных сетей со спектральным разделением каналов (CWDM или DWDM) - это будет считаться физически раздельными сетями? С одной стороны - волокно одно. С другой - трафик отдельных сетей не пересекается, т.к. разделяется на физическом уровне.
И нет речи о том, что это за сеть: АСУТП, АСДУ, АСКУ, офисная сеть - какая угодно. Из вводных есть две сети и есть требование их физически разделить. И всё.
Вопрос звучит так: "спектральное разделение каналов в одном волокне считается физическим разделением сетей или нет?"
Я считаю что технически - только частично да, а в полном объёме - нет. Для меня физическое разделение означает, что я порву одну линию связи, вторая останется целой и продолжит работать. В случае с мультиплексированием это не выполняется.

Отправлено спустя 4 минуты 18 секунд:
Как домашние телефоны, вспомните союз: были выделенные, параллельные и спаренные. Выделенные были не у всех, у кого были - считалось высшим шиком. Я прекрасно помню.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4909
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 236 раз
Поблагодарили: 425 раз

Опыт внедрения требований к КИИ в АСУТП

Сообщение VADR »

Ryzhij писал(а): 25 окт 2023, 13:18 Речь именно о сетях АСУТП, по которым передаются соответствующие команды управления и информация АСУТП.
Так. Варианты:
1. Сеть АСУТП => файрвол => общая сеть систем => интерфейсный узел АСОДУ для сбора данных. Передаваемые данные непосредственно в управлении не участвуют.
2. Сеть АСУТП узла 1 => файрвол => общая сеть систем => файрвол 2 => Сеть АСУТП узла 2. Передаваемые данные могут участвовать в управлении (например, регулятор расхода в одном цеху - измерение уровня в ёмкости в другом).
3. Всё это - одна общая сеть АСУТП с отдельными узлами в разных цехах, объединёнными сетью уровня предприятия. Данные непосредственно участвуют в управлении. Например - синхронизация генераторов, стоящих в разных цехах.
Я так понимаю, варианты 2 и 3 - однозначно низзя, а 1 - в принципе можно. А почему? Чем так глобально отличается поток фотонов в отдельном волокне от аналогичного, летящего вместе с другими, если смешаться с ними он не может? ОК, а если мы говорим не о CWDM и его до 18 шт каналов, а о "простом" WDM, где линия связи одна, волокно одно, и используются "одноглазые" трансиверы, работающие на разной длине волны на приём и передачу (в одну сторону 1310 нм, в другую - 1450). Тогда что? Тоже нельзя? У таких сетей, кстати, есть одно офигенное преимущество перед традиционной двухволоконной сетью (не считая экономии волокон): в двухволоконной схеме, если одно из волокон повреждено, а второе нет - активка на одной стороне видит обрыв, а на второй - не видит (определяется по наличию на приёмнике сигнала с другой стороны). В итоге, к примеру, RSTP серьёзно так сходит с ума.

Отправлено спустя 13 минут 51 секунду:
Jackson писал(а): 25 окт 2023, 13:31 Разница во-1-х в том, как гарантированно и очевидно, то есть наглядно, обеспечить обмен данными только в строго оговоренном объёме и по строго определённому регламенту (права доступа и прочее). И разница во-2-х в том, насколько очевидно это физическое разделение.
При отдельных нитках вот она линия из АСУТП, втыкай в коммутатор, рули там сетевым экраном так, чтобы лишнее не пролезало. А надо физически разобщить - выдерни кабель и всё, разобщил и обе сети отдельно работают
Jackson писал(а): 25 окт 2023, 13:31 Лучше если проверка будет происходить просто визуально.
Вариант 1. В распаечный бокс входит кабель, из него берутся 16 волокон, в боксе на сплайс-пластине распаиваются на 16 пигтейлов и выходят из бокса в виде 8 дуплексных проходных адаптеров.
Вариант 2. В распаечный бокс входит кабель, из него берётся 1 волокно, в боксе на спллайс-пластине распаивается на вход мультиплексора, лежащего в том же боксе, 16 выходов мультиплексора распаиваются на той же сплайс-пластине на 16 пигтейлов и выходят из бокса в виде 8 дуплексных проходных адаптеров.
Визуально - одинаково. При необходимости что-то отключить - можно отключить.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Опыт внедрения требований к КИИ в АСУТП

Сообщение Jackson »

VADR писал(а): 25 окт 2023, 14:00 Визуально - одинаково.
Да ни разу. Визуально берём и выдёргиваем из коннектора оптику уплотнённого канала - и оба канала падают. А должен упасть только какой-то один. Визуальная проверка уже не проходит.

Каналы не разделены физически. У них у всех один общий проводник - нитка оптоволокна одна. Обрыв в нитке положит сразу всё что там уплотнено. А физически разделённые каналы тем и хороши, что по одному хоть трактором проедь - второй останется цел и продолжит работать.

Вопрос был в физическом разделении, я его не вижу.

Если опускаться до уровня фотонов, то фотоны разных сетей будут ударяться о стенки одного и того же оптоволокна, проходить через одни и те же коммутаторы, коннекторы, муфты и прочее. Где физическое разделение-то? :-P
По вопросам работы Форума можно обратиться по этим контактам.
Ответить

Вернуться в «Флудилка обо всём»