1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

Организация интерфейса средний-верхний уровень

RS-485, ProfiBUS, 4-20 mA, Wi-Fi, GSM и так далее

Модератор: Глоб.модераторы

Ответить
Аватара пользователя

Автор темы
Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Организация интерфейса средний-верхний уровень

Сообщение Jackson »

Доброе время!

Есть у меня в работе проект. Средний уровень имеет такую архитектуру.
571476 Сапфир PMS однолинейные схемы p2.pdf
Не суть что за контроллеры. Интересует только помеченное красным - это интерфейс Ethernet ModBUS-TCP на верхний уровень. Верхний уровень обозначен ACMS, его поставляем не мы. Наша задача: обеспечить один резервированный канал Ethernet для ACMS.
В этой части на приложенной схеме показано по простому, не резервировано (просто две линии с одного свича).

Есть отягчающее обстоятельство. Коллеги (верхний уровень) посмотрели и сказали, что вот так запросто делать нельзя ибо есть регламенты по информационной безопасности, поэтому нужны как минимум два навороченных маршрутизатора вместо этого одного свича.

Второе отягчающее обстоятельство: с каждого контроллера порт Etnernet только один, причём они все - в одной подсети. Почему - не спрашивайте, объяснять придется долго и от этого ничего не изменится.

ACMS (верхний уровень) - там своя подсеть, какая - мы пока не знаем, адреса мы должны установить какие скажут. ACMS должна опрашивать каждый мой контроллер.

Объект - пароход, большой и навороченный.

Вопросы:
1) что это за регламенты ИБ, распространяющиеся на водный транспорт?
2) Как организовать сеть для ACMS с учётом всех этих требований? Пока я не понимаю, что специального должно быть в маршрутизаторах.

За мысли спасибо!
У вас нет необходимых прав для просмотра вложений в этом сообщении.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

petr2off
эксперт
эксперт
Сообщения: 1737
Зарегистрирован: 06 янв 2016, 19:45
Имя: Петров В.Л.
Страна: Россия
город/регион: Красноярск
Благодарил (а): 78 раз
Поблагодарили: 235 раз

Организация интерфейса средний-верхний уровень

Сообщение petr2off »

Сталкивался с похожими требованиями для подстанций, Там требовался протокол RPR - это 2 парадельные сетки. Есть целый ряд устройств, у которых уже предусмотренно 2 порта для 2-х сеток. Но часть устройств не обладала 2-м портом, и для них применялось оборудование RedBox - у этой штуки в минимальном варианте предусмотреннол 3 порта, на одни садится устройство, а 2 других это 2 внешних порта (т.е. снаружи устройствао с одним портом смотрится как устройство с 2-мя портами). У moxa есть более продвинутые девайсы, которые могут несколько устройств с одним портом подключить к 2-м сеткам, например PT-G510-4GTX4GSFP-PHR-HV.
Ценник правда радует. Короче нужно подобопть устройства поддерживающие RPR протокол.
Аватара пользователя

kirillio
И жнец, и чтец...
И жнец, и чтец...
Сообщения: 1405
Зарегистрирован: 26 май 2022, 09:48
Имя: Кирилл
Страна: РФ
город/регион: Москва
Благодарил (а): 411 раз
Поблагодарили: 353 раза

Организация интерфейса средний-верхний уровень

Сообщение kirillio »

Jackson,
что это за регламенты ИБ, распространяющиеся на водный транспорт?
Как организовать сеть для ACMS с учётом всех этих требований?
Евгений Брониславович, тут мне суфлерит одна мастерица ИТ дел, мол, пытайте тот офис, который с вас это требует, ибо в разных конторах регламенты разные.

ИМХО, запрос вида "...сиим письмом просим пояснить: это ваша дичь или вам её кто-то нашептал?" способен пролить свет.

PS Готов сделать ставку: в требованиях будет Layer3, транк канала и схема апаратного резервирования 2N.

PPS Estella спасибо.
Зри в корень!

leon78
эксперт
эксперт
Сообщения: 1146
Зарегистрирован: 25 июл 2008, 10:06
Имя: Леонид
Страна: РФ
Благодарил (а): 49 раз
Поблагодарили: 134 раза

Организация интерфейса средний-верхний уровень

Сообщение leon78 »

kirillio писал(а): 24 май 2024, 09:23 Евгений Брониславович, тут мне суфлерит одна мастерица ИТ дел, мол, пытайте тот офис, который с вас это требует, ибо в разных конторах регламенты разные.
Сталкивался с ситуацией, когда при проверке ИБ выставляют замечания о несоответствии регламенту ИБ предприятия. Но сам регламент ИБ не показывают, т.к. это документ с грифом "Коммерческая тайна"
Хард - это то, что можно швырнуть об стенку, а софт - это то, что можно лишь обматерить.
Аватара пользователя

kirillio
И жнец, и чтец...
И жнец, и чтец...
Сообщения: 1405
Зарегистрирован: 26 май 2022, 09:48
Имя: Кирилл
Страна: РФ
город/регион: Москва
Благодарил (а): 411 раз
Поблагодарили: 353 раза

Организация интерфейса средний-верхний уровень

Сообщение kirillio »

[+]
leon78 писал(а): 24 май 2024, 10:27 Но сам регламент ИБ не показывают
Да, я сталкивался с таким. Тупейшая ситуация. На вопрос "А как тогда нам работать для вас?" более идиотского выражения на лицах заказчиков я нигде и никогда не встречал; впрочем, как и более идиотских ответов не слышал.
В итоге: компрометация - это то, с чего начинается утро; анархия внутри структур - рабочее состояние отделов; а положение болта на регаменты - рабочий метод. Зато всё под грифом, красивым и ооочень важным. :)
Отправлено спустя 21 минуту 58 секунд:
update
Jackson писал(а): 23 май 2024, 11:18 что это за регламенты ИБ
MSC-FAL.1/Circ.3 5 July 2017
4 BEST PRACTICES FOR IMPLEMENTATION OF CYBER RISK MANAGEMENT
4.2 Additional guidance and standards may include, but are not limited to:*
.1 The Guidelines on Cyber Security Onboard Ships produced and supported by ICS, IUMI, BIMCO, OCIMF, INTERTANKO, INTERCARGO, InterManager, WSC and SYBAss.
.2 Consolidated IACS Recommendation on cyber resilience (Rec 166).
.3 ISO/IEC 27001 standard on Information technology – Security techniques – Information security management systems – Requirements. Published jointly by the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC).
.4 United States National Institute of Standards and Technology's Framework for Improving Critical Infrastructure Cybersecurity (the NIST Framework).
в дополнение:
IACS Rec. No. 166 (Apr 2020)
Раздел 6,7
PS на стороне РФ эти требования отзеркалены в
«Руководство по обеспечению кибербезопасности» (НД № 2-030101-040)
п.4.2 ТРЕБОВАНИЯ К ОБОРУДОВАНИЮ
Последний раз редактировалось kirillio 24 май 2024, 11:24, всего редактировалось 1 раз.
Зри в корень!

Parliament74
авторитет
авторитет
Сообщения: 865
Зарегистрирован: 16 ноя 2016, 11:33
Имя: Максим Владимирович
Страна: Россия
город/регион: Магнитогорск
Благодарил (а): 16 раз
Поблагодарили: 223 раза

Организация интерфейса средний-верхний уровень

Сообщение Parliament74 »

Надо, прежде всего, уточнить, какой смысл скрыт здесь:
petr2off писал(а): 23 май 2024, 12:42 обеспечить один резервированный канал Ethernet для ACMS.
если я правильно понимаю, это должны быть в итоге две независимые сети вида (условно): 10.0.79.хх и 10.0.80.хх с масками 255.255.0.0, между которыми не должно образовываться петель снизу, иначе всей сети станет плохо.
Но если у контроллеров физически только один сетевой интерфейс, то надо уже думать.

Похожая схема в нефтегазе есть, там, на нижнем уровне стоят условные резервированные S7-400H с коммуникационными процессорами CP443-1 (или в новых системах S7-1515R-2PN), от них резервированные линии Modbus TCP (в контроллерах настроены Modbus-серверы) идут уже в маршрутизаторы Cisco (Level 3), которые между собой уже связаны кольцом и Мастер-система сама определяет, по какому маршруту стучаться к Modbus-серверам.
Попытки вендора, который поставил обычные 1500-е вместо резервированных ПЛК сделать некое "резервированное подключение" Modbus TCP, закончились фиаско (когда один IP-адрес контроллера) в обеих сетях становится виден, начинается сетевой шторм и всему сразу плохеет.
Аватара пользователя

petr2off
эксперт
эксперт
Сообщения: 1737
Зарегистрирован: 06 янв 2016, 19:45
Имя: Петров В.Л.
Страна: Россия
город/регион: Красноярск
Благодарил (а): 78 раз
Поблагодарили: 235 раз

Организация интерфейса средний-верхний уровень

Сообщение petr2off »

RPR и есть 2 независимые сетки, там никаких петель нет.
В этом его крутизна - не тратится вроемя на переключение, потому что его нет.
В работу берется пакет, который пришел первым.
Минус - удвоение коммунмикационного оборудования.

Parliament74
авторитет
авторитет
Сообщения: 865
Зарегистрирован: 16 ноя 2016, 11:33
Имя: Максим Владимирович
Страна: Россия
город/регион: Магнитогорск
Благодарил (а): 16 раз
Поблагодарили: 223 раза

Организация интерфейса средний-верхний уровень

Сообщение Parliament74 »

Parliament74 писал(а): 24 май 2024, 11:20 RPR и есть 2 независимые сетки, там никаких петель нет.
Это уже ТС надо уточнять у заказчика, чего им надо: RPR или что-то другое, мы здесь только гадать можем.
Аватара пользователя

Автор темы
Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Организация интерфейса средний-верхний уровень

Сообщение Jackson »

Parliament74 писал(а): 24 май 2024, 11:58 Это уже ТС надо уточнять у заказчика
Именно так. Буду уточнять, пока просто теоретически готовлюсь.
kirillio писал(а): 24 май 2024, 11:12 PS на стороне РФ эти требования отзеркалены
Собственно, Морским Регистром и выпущены. Всё-таки добрались и до сюда. :icon_rant:

Спасибо!
kirillio писал(а): 24 май 2024, 11:12 п.4.2 ТРЕБОВАНИЯ К ОБОРУДОВАНИЮ
Не. Самое интересное там в первой части.
1.1.1 Руководство по обеспечению кибербезопасности содержит рекомендации по проектированию, изготовлению, обслуживанию и проведению испытаний судовых компьютеризированных систем, а также рекомендации, применимые к системам управления безопасностью (СУБ).

1.1.2 Рекомендации Руководства направлены на реализацию положений резолюции ИМО MSC.428(98) «Управление киберрисками в морской отрасли в рамках систем управления безопасностью», в соответствии с которыми, не позднее чем во время первой ежегодной проверки Документа о соответствии компании (ДСК) после 1 января 2021 года необходимо учитывать киберриски в СУБ согласно
положениям циркуляра ИМО MSC-FAL.1/Circ.3 «Руководство по управлению киберрисками в морской отрасли» (Guidelines on maritime cyber risk management).

1.1.3 Руководство применяется к судам, контракт на постройку которых заключен 01.01.2021 или после этой даты, если не указано иное в отдельных положениях Руководства.

1.1.4 Руководство является дополнением к другим требованиям Российского морского регистра судоходства (РС), применимым в соответствии с символом класса и назначением судна
Во-1-х, у меня пароход постарше 2021 года рождения. Во-2-х, это всего лишь рекомендации, а не требования. В-3-х, надо ещё посмотреть РМРС в части объёма освидетельствования от года издания не сегодняшнего, а даты заключения контракта на постройку. Так что может удастся и съехать с этой темы.

Отправлено спустя 13 секунд:
Огромное спасибо!
По вопросам работы Форума можно обратиться по этим контактам.
Ответить

Вернуться в «Интерфейсы, протоколы, связь»