- Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
- Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
- Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
- За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
- Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
- Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
- Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.
Организация интерфейса средний-верхний уровень
Модератор: Глоб.модераторы
-
- администратор
- Сообщения: 18758
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1854 раза
Организация интерфейса средний-верхний уровень
Доброе время!
Есть у меня в работе проект. Средний уровень имеет такую архитектуру. Не суть что за контроллеры. Интересует только помеченное красным - это интерфейс Ethernet ModBUS-TCP на верхний уровень. Верхний уровень обозначен ACMS, его поставляем не мы. Наша задача: обеспечить один резервированный канал Ethernet для ACMS.
В этой части на приложенной схеме показано по простому, не резервировано (просто две линии с одного свича).
Есть отягчающее обстоятельство. Коллеги (верхний уровень) посмотрели и сказали, что вот так запросто делать нельзя ибо есть регламенты по информационной безопасности, поэтому нужны как минимум два навороченных маршрутизатора вместо этого одного свича.
Второе отягчающее обстоятельство: с каждого контроллера порт Etnernet только один, причём они все - в одной подсети. Почему - не спрашивайте, объяснять придется долго и от этого ничего не изменится.
ACMS (верхний уровень) - там своя подсеть, какая - мы пока не знаем, адреса мы должны установить какие скажут. ACMS должна опрашивать каждый мой контроллер.
Объект - пароход, большой и навороченный.
Вопросы:
1) что это за регламенты ИБ, распространяющиеся на водный транспорт?
2) Как организовать сеть для ACMS с учётом всех этих требований? Пока я не понимаю, что специального должно быть в маршрутизаторах.
За мысли спасибо!
Есть у меня в работе проект. Средний уровень имеет такую архитектуру. Не суть что за контроллеры. Интересует только помеченное красным - это интерфейс Ethernet ModBUS-TCP на верхний уровень. Верхний уровень обозначен ACMS, его поставляем не мы. Наша задача: обеспечить один резервированный канал Ethernet для ACMS.
В этой части на приложенной схеме показано по простому, не резервировано (просто две линии с одного свича).
Есть отягчающее обстоятельство. Коллеги (верхний уровень) посмотрели и сказали, что вот так запросто делать нельзя ибо есть регламенты по информационной безопасности, поэтому нужны как минимум два навороченных маршрутизатора вместо этого одного свича.
Второе отягчающее обстоятельство: с каждого контроллера порт Etnernet только один, причём они все - в одной подсети. Почему - не спрашивайте, объяснять придется долго и от этого ничего не изменится.
ACMS (верхний уровень) - там своя подсеть, какая - мы пока не знаем, адреса мы должны установить какие скажут. ACMS должна опрашивать каждый мой контроллер.
Объект - пароход, большой и навороченный.
Вопросы:
1) что это за регламенты ИБ, распространяющиеся на водный транспорт?
2) Как организовать сеть для ACMS с учётом всех этих требований? Пока я не понимаю, что специального должно быть в маршрутизаторах.
За мысли спасибо!
У вас нет необходимых прав для просмотра вложений в этом сообщении.
По вопросам работы Форума можно обратиться по этим контактам.
-
- эксперт
- Сообщения: 1737
- Зарегистрирован: 06 янв 2016, 19:45
- Имя: Петров В.Л.
- Страна: Россия
- город/регион: Красноярск
- Благодарил (а): 78 раз
- Поблагодарили: 235 раз
Организация интерфейса средний-верхний уровень
Сталкивался с похожими требованиями для подстанций, Там требовался протокол RPR - это 2 парадельные сетки. Есть целый ряд устройств, у которых уже предусмотренно 2 порта для 2-х сеток. Но часть устройств не обладала 2-м портом, и для них применялось оборудование RedBox - у этой штуки в минимальном варианте предусмотреннол 3 порта, на одни садится устройство, а 2 других это 2 внешних порта (т.е. снаружи устройствао с одним портом смотрится как устройство с 2-мя портами). У moxa есть более продвинутые девайсы, которые могут несколько устройств с одним портом подключить к 2-м сеткам, например PT-G510-4GTX4GSFP-PHR-HV.
Ценник правда радует. Короче нужно подобопть устройства поддерживающие RPR протокол.
Ценник правда радует. Короче нужно подобопть устройства поддерживающие RPR протокол.
-
- И жнец, и чтец...
- Сообщения: 1405
- Зарегистрирован: 26 май 2022, 09:48
- Имя: Кирилл
- Страна: РФ
- город/регион: Москва
- Благодарил (а): 411 раз
- Поблагодарили: 353 раза
Организация интерфейса средний-верхний уровень
Jackson,
ИМХО, запрос вида "...сиим письмом просим пояснить: это ваша дичь или вам её кто-то нашептал?" способен пролить свет.
PS Готов сделать ставку: в требованиях будет Layer3, транк канала и схема апаратного резервирования 2N.
PPS Estella спасибо.
что это за регламенты ИБ, распространяющиеся на водный транспорт?
Евгений Брониславович, тут мне суфлерит одна мастерица ИТ дел, мол, пытайте тот офис, который с вас это требует, ибо в разных конторах регламенты разные.Как организовать сеть для ACMS с учётом всех этих требований?
ИМХО, запрос вида "...сиим письмом просим пояснить: это ваша дичь или вам её кто-то нашептал?" способен пролить свет.
PS Готов сделать ставку: в требованиях будет Layer3, транк канала и схема апаратного резервирования 2N.
PPS Estella спасибо.
Зри в корень!
-
- эксперт
- Сообщения: 1146
- Зарегистрирован: 25 июл 2008, 10:06
- Имя: Леонид
- Страна: РФ
- Благодарил (а): 49 раз
- Поблагодарили: 134 раза
Организация интерфейса средний-верхний уровень
Сталкивался с ситуацией, когда при проверке ИБ выставляют замечания о несоответствии регламенту ИБ предприятия. Но сам регламент ИБ не показывают, т.к. это документ с грифом "Коммерческая тайна"
Хард - это то, что можно швырнуть об стенку, а софт - это то, что можно лишь обматерить.
-
- И жнец, и чтец...
- Сообщения: 1405
- Зарегистрирован: 26 май 2022, 09:48
- Имя: Кирилл
- Страна: РФ
- город/регион: Москва
- Благодарил (а): 411 раз
- Поблагодарили: 353 раза
Организация интерфейса средний-верхний уровень
Отправлено спустя 21 минуту 58 секунд:
update
update
в дополнение:MSC-FAL.1/Circ.3 5 July 2017
4 BEST PRACTICES FOR IMPLEMENTATION OF CYBER RISK MANAGEMENT
4.2 Additional guidance and standards may include, but are not limited to:*
.1 The Guidelines on Cyber Security Onboard Ships produced and supported by ICS, IUMI, BIMCO, OCIMF, INTERTANKO, INTERCARGO, InterManager, WSC and SYBAss.
.2 Consolidated IACS Recommendation on cyber resilience (Rec 166).
.3 ISO/IEC 27001 standard on Information technology – Security techniques – Information security management systems – Requirements. Published jointly by the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC).
.4 United States National Institute of Standards and Technology's Framework for Improving Critical Infrastructure Cybersecurity (the NIST Framework).
PS на стороне РФ эти требования отзеркалены вIACS Rec. No. 166 (Apr 2020)
Раздел 6,7
«Руководство по обеспечению кибербезопасности» (НД № 2-030101-040)
п.4.2 ТРЕБОВАНИЯ К ОБОРУДОВАНИЮ
Последний раз редактировалось kirillio 24 май 2024, 11:24, всего редактировалось 1 раз.
Зри в корень!
-
- авторитет
- Сообщения: 865
- Зарегистрирован: 16 ноя 2016, 11:33
- Имя: Максим Владимирович
- Страна: Россия
- город/регион: Магнитогорск
- Благодарил (а): 16 раз
- Поблагодарили: 223 раза
Организация интерфейса средний-верхний уровень
Надо, прежде всего, уточнить, какой смысл скрыт здесь:
Но если у контроллеров физически только один сетевой интерфейс, то надо уже думать.
Похожая схема в нефтегазе есть, там, на нижнем уровне стоят условные резервированные S7-400H с коммуникационными процессорами CP443-1 (или в новых системах S7-1515R-2PN), от них резервированные линии Modbus TCP (в контроллерах настроены Modbus-серверы) идут уже в маршрутизаторы Cisco (Level 3), которые между собой уже связаны кольцом и Мастер-система сама определяет, по какому маршруту стучаться к Modbus-серверам.
Попытки вендора, который поставил обычные 1500-е вместо резервированных ПЛК сделать некое "резервированное подключение" Modbus TCP, закончились фиаско (когда один IP-адрес контроллера) в обеих сетях становится виден, начинается сетевой шторм и всему сразу плохеет.
если я правильно понимаю, это должны быть в итоге две независимые сети вида (условно): 10.0.79.хх и 10.0.80.хх с масками 255.255.0.0, между которыми не должно образовываться петель снизу, иначе всей сети станет плохо.
Но если у контроллеров физически только один сетевой интерфейс, то надо уже думать.
Похожая схема в нефтегазе есть, там, на нижнем уровне стоят условные резервированные S7-400H с коммуникационными процессорами CP443-1 (или в новых системах S7-1515R-2PN), от них резервированные линии Modbus TCP (в контроллерах настроены Modbus-серверы) идут уже в маршрутизаторы Cisco (Level 3), которые между собой уже связаны кольцом и Мастер-система сама определяет, по какому маршруту стучаться к Modbus-серверам.
Попытки вендора, который поставил обычные 1500-е вместо резервированных ПЛК сделать некое "резервированное подключение" Modbus TCP, закончились фиаско (когда один IP-адрес контроллера) в обеих сетях становится виден, начинается сетевой шторм и всему сразу плохеет.
-
- эксперт
- Сообщения: 1737
- Зарегистрирован: 06 янв 2016, 19:45
- Имя: Петров В.Л.
- Страна: Россия
- город/регион: Красноярск
- Благодарил (а): 78 раз
- Поблагодарили: 235 раз
Организация интерфейса средний-верхний уровень
RPR и есть 2 независимые сетки, там никаких петель нет.
В этом его крутизна - не тратится вроемя на переключение, потому что его нет.
В работу берется пакет, который пришел первым.
Минус - удвоение коммунмикационного оборудования.
В этом его крутизна - не тратится вроемя на переключение, потому что его нет.
В работу берется пакет, который пришел первым.
Минус - удвоение коммунмикационного оборудования.
-
- авторитет
- Сообщения: 865
- Зарегистрирован: 16 ноя 2016, 11:33
- Имя: Максим Владимирович
- Страна: Россия
- город/регион: Магнитогорск
- Благодарил (а): 16 раз
- Поблагодарили: 223 раза
Организация интерфейса средний-верхний уровень
Это уже ТС надо уточнять у заказчика, чего им надо: RPR или что-то другое, мы здесь только гадать можем.
-
- администратор
- Сообщения: 18758
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 973 раза
- Поблагодарили: 1854 раза
Организация интерфейса средний-верхний уровень
Именно так. Буду уточнять, пока просто теоретически готовлюсь.
Собственно, Морским Регистром и выпущены. Всё-таки добрались и до сюда.
Спасибо!
Не. Самое интересное там в первой части.
Во-1-х, у меня пароход постарше 2021 года рождения. Во-2-х, это всего лишь рекомендации, а не требования. В-3-х, надо ещё посмотреть РМРС в части объёма освидетельствования от года издания не сегодняшнего, а даты заключения контракта на постройку. Так что может удастся и съехать с этой темы.1.1.1 Руководство по обеспечению кибербезопасности содержит рекомендации по проектированию, изготовлению, обслуживанию и проведению испытаний судовых компьютеризированных систем, а также рекомендации, применимые к системам управления безопасностью (СУБ).
1.1.2 Рекомендации Руководства направлены на реализацию положений резолюции ИМО MSC.428(98) «Управление киберрисками в морской отрасли в рамках систем управления безопасностью», в соответствии с которыми, не позднее чем во время первой ежегодной проверки Документа о соответствии компании (ДСК) после 1 января 2021 года необходимо учитывать киберриски в СУБ согласно
положениям циркуляра ИМО MSC-FAL.1/Circ.3 «Руководство по управлению киберрисками в морской отрасли» (Guidelines on maritime cyber risk management).
1.1.3 Руководство применяется к судам, контракт на постройку которых заключен 01.01.2021 или после этой даты, если не указано иное в отдельных положениях Руководства.
1.1.4 Руководство является дополнением к другим требованиям Российского морского регистра судоходства (РС), применимым в соответствии с символом класса и назначением судна
Отправлено спустя 13 секунд:
Огромное спасибо!
По вопросам работы Форума можно обратиться по этим контактам.