Embed Size (px)
Citation preview
Информационная безопасность Интернета вещей: от кофеварки до
атомной электростанции
Лукацкий Алексей, консультант по безопасности
Первый в мире Интернет-тостер – 1990 год!!!
• Sunbeam Deluxe Automatic Radiant Control Toaster
• 1990 год – выставка Interop • Симон Хакетт • Подключение по TCP/IP
– Контроль с помощью SNMP • Функции
– Включение через Интернет – Контроль времени работы
• В 1991-м году добавили кран, управляемый через Интернет, который по команде подавал хлеб в тостер
ИНТЕРНЕТ ВЕЩЕЙ – ЧТО ЭТО?
Типы всеобъемлющего Интернета (IoE)
ТИП СОЕДИНЕНИЯ
МАШИНА-С-МАШИНОЙ (M2M) § Данные посылаются / получаются от одного устройства (вещи) к другому § Часто называется «Интернетом вещей» («Internet of Things»)
$7.4 ТРИЛЛИОНА
МАШИНА-С-ЧЕЛОВЕКОМ (M2P) § Данные посылаются / получаются от одного устройства (вещи) к человеку § Часто называется «данные и аналитика»
$4.6 ТРИЛЛИОНА
ЧЕЛОВЕК-С-ЧЕЛОВЕКОМ (P2P) § Данные посылаются / получаются от одного человека к другому § Часто называется «взаимодействие» («обычный Интернет»)
$7.0 ТРИЛЛИОНА
ОБЪЕМ РЫНКА (2013-2022)
7.2 6.8 7.6
Всеобъемлющий Интернет (Internet of Everything) уже существует
Лавинообразный рост внедрений цифровых
технологий: В 5 раз быстрее, чем в электроэнергетике или
телефонии
50 Миллиардов
“Умных устройств”
50
2010 2015 2020
0
40
30
20
10
Миллиарды
устройств
25
12.5
Критическая точка
Годы
Население земли
ПРИМЕРЫ ИНТЕРНЕТА ВЕЩЕЙ
Промышленная АСУ ТП на объектах ТЭК – это IoT. Индустриальный IoT
Добыча / генерация Транспортировка Переработка / хранение
И это тоже Интернет вещей, но мы его не будем рассматривать J
Система управления вооружениями – это тоже IoT J
Что для нас всеобъемлющий Интернет, кроме…?
Как скрестить корову и Интернет?..
МАРШРУТ ЦЕНТР УПРАВЛЕНИЯ
ПЕРЕСЕЧЕНИЕ ГРАНИЦЫ ЗОНЫ
(контроль через GPS)
Как украсть / спасти миллион!?
Автобус в Абердине под контролем
«Подключенный бульвар» в Ницце
«Умная» рисоварка качает рецепты из Интернет
«Умная» рисоварка качает рецепты из Интернет
«Умная» рисоварка качает рецепты из Интернет
Кстати, о питомцах… памперсы, шлющие твиты
Интернет-вещей в санузле
«Умная» зубная щетка
Мы все ближе к самым интимным сторонам, в которые проникает IoE
• We Vibe 3 – это самый популярный вибратор для семейных пар
• Продано более 10 миллионов
• Беспроводное дистанционное управление
• Смерть от непрерывного…?
Умный бюстгальтер
Asthmapolis для удаленного контроля астматиков
Облачный AdhereTech для слежения за приемом лекарств
Кто это?
Чем известен Барнаби Джек?
• Удаленная команда кардиостимулятору на выпуск разряда в 800 вольт – Интернет-дефибриллятор
• Червь, распространяющийся через кардиостимуляторы – Что насчет массового убийства?
• Дистанционный взлом инсулиновых помп
IoE-стельки с навигатором
Домашняя АСУ ТП
Cisco Home Energy Controller (CGH-100)
• Экран Touch screen • Поддержка WiFi / Ethernet • Smart Energy Profile certified
Zigbee interface • Управление из облака
Умный дом - это тоже Интернет вещей
Использование Термостат Как экономить?
Реакция на потребности Счет Контроль техники
Контроль статических устройств сети энергоснабжения в Гонконге
ЕСТЬ ЛИ У НАС ОБЩИЙ ЗНАМЕНАТЕЛЬ?
За «вещами» скрывается сложная инфраструктура
Варианты взаимодействия устройств между собой: с высоты птичьего полета
Внутреннее сетевое
• Взаимодействие осуществляется через внутренние сети (корпоративные или индустриальные)
Внешнее сетевое
• Взаимодействие осуществляется через Интернет или иные каналы связи общего пользования
Персональное
• Локальный обмен данными через протокол Bluetooth, ZigBee, NFC и т.п.
• Взаимодействие может быть как однонаправленным, так и двунаправленным
Протоколы индустриального Интернета вещей (АСУ ТП)
• 70-е годы – последовательные коммуникации (serial) – Многие протоколы разработаны для них
• 90-е года – начало перехода на TCP/IP-коммуникации • ANSI X3.28 • BBC 7200 • CDC Types 1 и 2 • Conitel 2020/2000/3000 • DCP 1 • DNP 3.0 • Gedac7020 • ICCP • Landis & Gyr8979 • Modbus
• OPC • ControlNet • DeviceNet • DH+ • ProfiBus • Tejas3 и 5 • TRW 9550 • UCA • …
Универсальных протоколов нет даже в АСУ ТП. Несмотря на десятилетия их существования
Электроэнергетика
• IEC 60870-5 • DNP3 • FOUNDATION Fieldbus
• ICCP • Modbus
Нефтегаз
• IEC 60870-5 • DNP3 • Modbus
Водоснабжение
• DNP3 • Modbus
Автоматизация зданий
• LonWorks (or LonTalk, or ANSI/CEA 709.1-B)
• DyNet • INSTEON, X10, ZigBee, X-Wave и KNX/Konnex
Промышленность
• DF1 • FOUNDATION Fieldbus
• Profibus • PROFINET IO • CC-Link • CIP • ControlNet • DeviceNet • Ethernet/IP • EtherCAT • EGD • FINS • Host Link • SERCOS • SRTP • Sinec H1
Множество участников в стандартизации IoT
CEN
3GPP
IETF
GISFI
OGC
ETSI
IEEE GS1
OASIS
W3C
CASAGARAS
IIC
Thread Group
YPR
ECMA
ISO
TIA
GSM
IEC
ЕС
ITU-T
OMA
ANEC
BUEC
AllSeen
OIC
OMG
25+ групп по стандартизации! Кто главный?
А еще есть Apple HomeKit и HealthKit!
Фрагментированные усилия по стандартизации L
Множество проектов по стандартизации IoT
• Joint Coordination Activity on Internet of Things (JCA-IoT) при ITU-T – Создана в феврале 2011-го года – Преемница JCA-NID (с 2006 года)
• Опубликован консолидированный отчет почти по всем мировым инициативам по стандартизации Интернета вещей – 122 (!) страницы – 250+ (!) стандартов, рекомендаций и их проектов, касающихся Интернета вещей
– Всего 5 (!) относится к защите информации
– http://www.itu.int/en/ITU-T/jca/iot/Pages/default.aspx
Кто все-таки задает тон в стандартизации – ITU или IEEE?
• IEEE P2413 – Standard for an Architectural Framework for the Internet of Things
• Опирается на 140 существующих IEEE стандартов, имеющих отношение к IoT
• Ориентирован на различные вертикали IoT (транспорт, медицина и т.п.)
• Включает также и раздел по безопасности (security, safety, privacy)
• Будет стремиться взаимодействовать с другими органами по стандартизации
Пока лучше не становится…
ПРИ ОТСУТСТВИИ ЕДИНСТВА ЧТО У НАС С ЗАЩИТОЙ?
Безопасность Интернета вещей – мы только в начале пути
• Персональный Интернет вещей сегодня практически никак не защищен – Отсутствие серьезного ущерба – Отсутствие стандартов не только защиты, но и взаимодействия – Безопасность может быть реализована только на уровне производителя, который пока не понимает (не заинтересован) в решении данного вопроса
– Со временем ситуация должна измениться
Не думайте, что у атомных электростанций ситуация лучше L
• Диссертация Eireann P. Leverett – проанализировано 10000 систем SCADA, доступных онлайн через Shodan – Июнь 2011
Атаки на системы управления транспортом и сам транспорт
Традиционные навесные средства защиты не готовы
• Готовы ли традиционные средства защиты работать в условиях длительного автономного питания? – А что насчет агрессивных сред? Специфическая климатика? Взрыво-, влаго-, пыле- защищенность?
• Готовы ли традиционные средства защиты поддерживать задержку в 10-6 сек? – На многих индустриальных объектах стандарты переданных данных требуют именно таких задержек
• Есть ли защищенные протоколы работы в реальном времени? – А они поддерживаются используемым оборудованием? – А когда у вас заканчивается жизненный цикл оборудования?
Традиционные навесные средства защиты не готовы
• Готовы ли традиционные средства защиты аутентифицировать одновременной 50000 устройств IoT в условиях каскадного сбоя? – Как вообще аутентифицировать удаленные датчики и исполнительные устройства?
– А как управлять сертификатами и ключами при таком количестве одновременных запросов?
• Готовы ли традиционные средства защиты работать с «однобитовыми» пакетами? – 12 бит данных (а то и вовсе 1 бит) от устройств IoT и 160 бит
(DSA) или 256 бит (ГОСТ) – готова ли пропускная способность каналов к такому росту сетевой нагрузки?
Кто знает, что еще придумают…
Все объединено в единую сеть «Интернет вещей» (M2M)
Корпоративные сети
ЦОД / Облако
Что объединяет всех?!
СЕТЬ
Видимость всего трафика
Маршрутизация всех запросов Источники всех данных
Контроль всех потоков
Управление всеми устройствами
Контроль всех пользователей
Контроль всех потоков
Наиболее перспективно в настоящий момент реализовывать защиту на сетевом уровне
Уровень приложений Уровень поддержки
сервисов и приложений
Уровень сети
Устройства Шлюзы
Управление
Безопасность
Производителям сейчас не до того Производителям
сейчас не до того
Производителям сейчас не до того Производителям
сейчас не до того
Невозможно без стандартизации всех уровней
Невозможно без стандартизации всех уровней
Попробовать защитить можно, но не всю цепочку IoT
Зависит от IoT-приложений
В данный момент на данном участке возможно применение традиционных
средств защиты
При условии использования стандартных
сетевых протоколов
Primary Data Center
Internet Edge Prime
Voice Services
Rail Yard
Но при правильном построении защищенной сети
Enterprise Network
GPRS/3G/LTE
…“The Cloud” can provide these services as elastic resources that are suitable for use in existing or new
applications without a large investment in capital resources and ongoing maintenance costs. WebEx
delivers online meetings and easy-to-use web collaboration tools to the entire workforce. Scansafe keeps malware off the corporate network and more
effectively controls and secures web usage.
Cisco Security solutions protect assets and empowers the workforce. Context-
aware security provides high level intelligence, policy governance, and
enforcement capabilities. Significantly enhancing the accuracy, effectiveness,
and timeliness of any organization's security implementation.
Cloud Services
Teleworker/Mobile Worker
IP Soft Phone TelePresence MOVI Video Conferencing
Virtual Desktop WAAS Mobile
Anyconnect VPN Client
ISR G2 Router VPN
Firewall Wireless
Trackside Electrical Substation: SCADA
RTU
Video Surveillance
IP Phone
SCADA
CGS-2520 Rugged Switch
Guest Wi-Fi Access
Door Access Control
WiFi Access Point
CGR-2010 Rugged Router with VPN/Firewall
Earth Protection
RTU RTU
IE2000 IE2000
CGS2520 CGS2520
ASR 901 Router
GSM-R
ASR 901 Router Mast
PTCS Positive Train Control
3G Mast 220 MHz Mast
ASR 901 Router
IE2000 IE2000
220 MHz Train Unit
Wayside Messaging
Server
Traffic Management
IP Phone
Remote Interface
IE-3010 Rugged Switch
819h Router
Modular Interlocking
IE2000 IE2000
For$More$Informa,on:www.cisco.com/go/designzone$Enabling Rail Network Operators Infrastructure
Internet$Edge
Video$Communica,on$Server$(VCS)$Expressway
Ironport$Email$SecurityAn,ESpam,$An,EVirus
Data$Loss$Preven,on$(DLP)
Ironport$Web$SecurityAcceptable$Use$Policy$(AUP)
Malware$Preven,on
ASA5500Firewall
Intrusion$Preven,on$(IPS)Virtual$Private$Network$
(VPN)
ASR1000$RouterWebEx$Node
Wireless$LANController
(Guest$Access)
Rail$Yard
819H$Router
Digital$Signage
WiFi$Access$Point
Door$Access$Control
IE3010PoE
Video$Surveillance
VXC/Tablet$(Virtual$Desktop)
PSTN
HQ$Campus
TelePresence
WiFi$Access$Point
Door$Access$Control
IP$Video$Phone
Digital$SignagePC/Tablet$(Virtual$Desktop)
Catalyst$3750XSwitch$ClusterPoE$Energywise
Catalyst$3750XSwitch$ClusterPoE$Energywise
Catalyst$3750XSwitch$ClusterPoE$Energywise
Catalyst$3750XSwitch$ClusterPoE$Energywise
Catalyst$6500$VSSCore$Switch
Video$Surveillance
TelePresence
WiFi$Access$Point
Door$Access$Control
IP$Video$Phone
Digital$SignagePC/Tablet$(Virtual$Desktop)
Video$Surveillance
TelePresence
WiFi$Access$Point
Door$Access$Control
IP$Video$Phone
Digital$SignagePC/Tablet$(Virtual$Desktop)
Video$Surveillance
WiFi$Access$Point
Door$Access$Control
IP$Video$Phone
Digital$Signage
PC/Tablet$(Virtual$Desktop)
Video$Surveillance
PSTNISR$G2PSTN$GatewayVoice/Video$DSP
BuildingManagementSystem$(BMS)HVAC/Lights
Network$BuildingMediator
Network$ManagementPrime
Cisco$Security$Manager$(CSM)
Data$Centre$Network$Manager$
(DCNM)
Network$Control$
Systems$(NCS)
LAN$Management$System$(LMS)
Energywise$Orchestrator
Iden,ty$Service$Engine$(ISE)
Network$Analysis$Module$(NAM)
Collabora,on$Manager$(CM)
Cisco*Connected*Rail*–*Reference*Architecture*©*Copyright*2012*Cisco*Systems,*Inc.*All*Rights*Reserved.
Cisco*Physical*Access*Control*is*a*costBeffecDve*IPBbased*soluDon*that*uses*the*IP*network*for*integrated*security*operaDons.*It$works$with$exis,ng$card$readers,$locks$and$biometric$devices$and$is$integrated$with$Cisco$Video$Surveillance$and$IP$Interoperability$and$Collabora,on$System$(IPICS)$for$a$comprehensive,$holis,c$enterpriseEwide$safety$and$security$solu,on.
Cisco*Security*soluDons*protect*assets*and*empowers*the*workforce.*ContextEaware$
security$provides$high$level$intelligence,$policy$governance,$and$enforcement$capabili,es.$
Significantly$enhancing$the$accuracy,$effec,veness,$and$,meliness$of$any$
organisa,on's$security$implementa,on.
Cloud*Services*can*offer*savings*in*IT*resources*such*as*compuDng*storage*and*applicaDon*services.*“The$Cloud”$can$provide$theses$services$as$elas,c$resources$that$are$suitable$for$use$in$exis,ng$or$new$applica,ons$without$a$large$investment$in$capital$resources$and$ongoing$maintenance$costs.$WebEx*delivers$online$mee,ngs$and$easyEtoEuse$web$collabora,on$tools$to$the$en,re$workforce.$Scansafe$keeps$malware$off$the$corporate$network$and$more$effec,vely$controls$and$secures$web$usage.
Cloud$Services
Teleworker/Mobile$Worker
IP$Sog$PhoneTelePresence$MOVI$Video$ConferencingVirtual$DesktopWAAS$Mobile
Anyconnect$VPN$Client
ISR$G2$RouterVPN
FirewallWireless
Mobile$PhoneAnyconnect$VPN$Client
Internet
Regional$Control$Centre
TelePresence
ISR$G2$Router Catalyst$6500$VSSCore$Switch
Door$Access$Control
WiFi$Access$Point Video$SurveillanceVirtual$Matrix
IP$Phone$Console
Unified$Compu,ng$System$(UCS)$Rack
Digital$SignageVideo$Wall
VXC/Tablet$(Virtual$Desktop)
IP$Phone
Remote$Interface
819hRouter
IEE3010Rugged$Switch
TrafficManagement
WAN$Aggrega,on
Primary$Data$Centre
WAN$Op,misa,on$
(WAAS)
Catalyst$6500$VSSServices$Layer
FirewallServer$Load$Balancing$(ACE)
Network$Applica,on$Monitoring$(NAM)MDS$9500SAN$Switch
Storage
SAN
Unified$Compu,ng$System$(UCS)$Blade
Unified$Compu,ng$System$(UCS)$Blade
Nexus$5000Switch
Nexus$5000SwitchUnified$Compu,ng$
System$(UCS)$Blade Nexus$2000Switch
Nexus$2000Switch
Nexus$7000Core/Aggrega,on$Switch
Nexus$7000Core/Aggrega,on$Switch
Catalyst$6500$VSSServices$Layer
FirewallServer$Load$Balancing$(ACE)
Network$Applica,on$Monitoring$(NAM)MDS$9500SAN$Switch
Storage
Unified$Compu,ng$System$(UCS)$Rack
Unified$Compu,ng$System$(UCS)$Rack
Nexus$2000Switch
Nexus$5000Switch
HypervisorNexus*1000v
Virtual*Machines
HypervisorNexus*1000v
Virtual*Machines
HypervisorDesktop*VirtualisaDon*SoQware
Virtual*MachinesCommunicaDon*Manager*(CUCM)Unity*ConnecDon*
(CUC)Jabber*(Presence)
Contact*Centre*(UCCX)
MeeDng*PlaceAWendant*ConsoleS
S
S
S
S
SDigital*Media*
Manager*(DMM)Show*&*Share*
ServerQUAD
Network*Management
TelePresence*Ctrl*Server*(TCS)TelePresence*
Manager*(TMS)S
S
S
S
S
SOSApp
OSApp
OSApp
OSApp
OSApp
OSApp
OSApp
OSApp
OSApp
OSApp
OSApp
OSApp
WAN$Op,misa,on$
(WAAS)
Wireless$LANController
IPICS*ServerPhysical*Access*Manager*(PAM)
Video*Surveillance*OperaDons*ManagerVideo*Surveillance*
Media*Server*(VSMS)
Mediator*ManagerMobility*Services*Engine*(MSE)
Media*Exchange*Engine*(MXE)
Video*Comms*Server*(VCS)
PSTNISR$G2PSTN$GatewayVoice/Video$DSP
Fibre$Channel$over$Ethernet$(FCoE)Fibre$Channel$Storage$Links
Ethernet
Cisco*Unified*Fabric*Data*Centre*provides*flexible,*agile,*highBperformance,*nonBstop*operaDons;**selfBintegraDng*informaDon*technology,*reduced*staff*costs*with*increased*upDme*through*automaDon,*and*more*rapid*return*on*investment.$It$accelerates$virtualisa,on$and$enables$automa,on$to$extend$the$lifecycle$of$missionEcri,cal$resources$to$support$evolving$needs.$Rail$companies$can$reduce$their$total$cost$of$ownership$(TCO)$and$increase$business$agility—both$cri,cal$to$comba,ng$the$server$sprawl$and$inefficiency$inherent$in$many$data$centres$today.
Wide*Area*ApplicaDon*Services*(WAAS)*is*a*comprehensive*WAN*opDmizaDon*soluDon*that*accelerates*applicaDons*over*the*WAN,$delivers$video$to$the$branch$office,$and$provides$local$hos,ng$of$branchEoffice$IT$services.$Cisco$WAAS$allows$IT$departments$to$centralize$applica,ons$and$storage$in$the$Data$Centre$while$maintaining$LANElike$applica,on$performance.
IP/MPLS*in*the*WAN*enables*converged*secure*link*virtualisaDon.$It$reduces$overall$costs$by$suppor,ng$mul,ple$logical$networks$across$a$single$physical$infrastructure.$
ASR$1000$Router ASR$1000$Router
Enterprise*Content*Delivery*Sys*(EDCS)
TPresence*MulDpoint*Control*Unit*(MCU)
Voice$Services
Converged*plantBwide*Ethernet*via*Cisco*Rugged*Switches*and*Routers*(CGSB2520,*IE2000,*CGRB2010)$support$SCADA$communica,ons$through$hierarchical$segmenta,on.$This$results$in$reduced$cost$and$complexity$with$increased$efficiency,$scale,$resilience,$policy$enforcement$and$defenceEinEdepth$security.
Local$Signal$Box
Digital$Signage
IP$Video$Phone
WiFi$Access$Point
Door$Access$Control
Video$Surveillance
ASR$903$Router
VXC/Tablet$(Virtual$Desktop)
3750x
PTC$%$Posi)ve$Train$Control
Earth$Protec,on
IE2000
CGS2520
RTU RTU
IE2000
CGS2520
ASR$903$Router
Sta,on
TelePresence
Digital$Signage
IP$Video$Phone WiFi$Access$Point
Door$Access$Control
Video$Surveillance
ISR$G2$Router3750x
Retailers
Retail$Comms
Customer$Informa,on$Screens
HelpEpoint$Phone
Telephony Security$Systems
Video$Surveillance
InternetAccess
Enterprise$Network
IP$Phone WiFi$Access$Point
CGSE2520Rugged$Switch
SCADA
Door$Access$ControlVideo$Surveillance
CGRE2010Rugged$Router$with$VPN/Firewall
Guest$WiFi$AccessRTU
Trackside$Electrical$Substa,on$E$SCADA
MPLS Layer
Optical Layer
P$Router
PE$Router
Opera,onal$Network
Door$Access$Control
Analogue$Camera
Level$Crossing
819$Router
IP$Phone
IE2000
Video$Gateway
IP$Camera
Connected$Rail$Architecture
Trackside$&$Train$WiFi
819H$Router3G/LTE
Rugged$Mobile$Computer$Connected$Field$Staff
Train/Shore
Mobile$Workfo
rce
Site$Connec,vity
Modular Interlocking
Mast
ASR$901$Router
GSMER
Signal
IE$2000IE$2000
Component Control
Point Machine
Axel Counter
IE$2000 IE$2000
3G$Mast
ASR$901$Router
220Mhz$Mast
220MHz$Train$Unit
Wayside$Messaging$Server
GPRS/3G/LTE
For$More$Informa,on:www.cisco.com/go/designzone$Enabling Rail Network Operators Infrastructure
Internet$Edge
Video$Communica,on$Server$(VCS)$Expressway
Ironport$Email$SecurityAn,ESpam,$An,EVirus
Data$Loss$Preven,on$(DLP)
Ironport$Web$SecurityAcceptable$Use$Policy$(AUP)
Malware$Preven,on
ASA5500Firewall
Intrusion$Preven,on$(IPS)Virtual$Private$Network$
(VPN)
ASR1000$RouterWebEx$Node
Wireless$LANController
(Guest$Access)
Rail$Yard
819H$Router
Digital$Signage
WiFi$Access$Point
Door$Access$Control
IE3010PoE
Video$Surveillance
VXC/Tablet$(Virtual$Desktop)
PSTN
HQ$Campus
TelePresence
WiFi$Access$Point
Door$Access$Control
IP$Video$Phone
Digital$SignagePC/Tablet$(Virtual$Desktop)
Catalyst$3750XSwitch$ClusterPoE$Energywise
Catalyst$3750XSwitch$ClusterPoE$Energywise
Catalyst$3750XSwitch$ClusterPoE$Energywise
Catalyst$3750XSwitch$ClusterPoE$Energywise
Catalyst$6500$VSSCore$Switch
Video$Surveillance
TelePresence
WiFi$Access$Point
Door$Access$Control
IP$Video$Phone
Digital$SignagePC/Tablet$(Virtual$Desktop)
Video$Surveillance
TelePresence
WiFi$Access$Point
Door$Access$Control
IP$Video$Phone
Digital$SignagePC/Tablet$(Virtual$Desktop)
Video$Surveillance
WiFi$Access$Point
Door$Access$Control
IP$Video$Phone
Digital$Signage
PC/Tablet$(Virtual$Desktop)
Video$Surveillance
PSTNISR$G2PSTN$GatewayVoice/Video$DSP
BuildingManagementSystem$(BMS)HVAC/Lights
Network$BuildingMediator
Network$ManagementPrime
Cisco$Security$Manager$(CSM)
Data$Centre$Network$Manager$
(DCNM)
Network$Control$
Systems$(NCS)
LAN$Management$System$(LMS)
Energywise$Orchestrator
Iden,ty$Service$Engine$(ISE)
Network$Analysis$Module$(NAM)
Collabora,on$Manager$(CM)
Cisco*Connected*Rail*–*Reference*Architecture*©*Copyright*2012*Cisco*Systems,*Inc.*All*Rights*Reserved.
Cisco*Physical*Access*Control*is*a*costBeffecDve*IPBbased*soluDon*that*uses*the*IP*network*for*integrated*security*operaDons.*It$works$with$exis,ng$card$readers,$locks$and$biometric$devices$and$is$integrated$with$Cisco$Video$Surveillance$and$IP$Interoperability$and$Collabora,on$System$(IPICS)$for$a$comprehensive,$holis,c$enterpriseEwide$safety$and$security$solu,on.
Cisco*Security*soluDons*protect*assets*and*empowers*the*workforce.*ContextEaware$
security$provides$high$level$intelligence,$policy$governance,$and$enforcement$capabili,es.$
Significantly$enhancing$the$accuracy,$effec,veness,$and$,meliness$of$any$
organisa,on's$security$implementa,on.
Cloud*Services*can*offer*savings*in*IT*resources*such*as*compuDng*storage*and*applicaDon*services.*“The$Cloud”$can$provide$theses$services$as$elas,c$resources$that$are$suitable$for$use$in$exis,ng$or$new$applica,ons$without$a$large$investment$in$capital$resources$and$ongoing$maintenance$costs.$WebEx*delivers$online$mee,ngs$and$easyEtoEuse$web$collabora,on$tools$to$the$en,re$workforce.$Scansafe$keeps$malware$off$the$corporate$network$and$more$effec,vely$controls$and$secures$web$usage.
Cloud$Services
Teleworker/Mobile$Worker
IP$Sog$PhoneTelePresence$MOVI$Video$ConferencingVirtual$DesktopWAAS$Mobile
Anyconnect$VPN$Client
ISR$G2$RouterVPN
FirewallWireless
Mobile$PhoneAnyconnect$VPN$Client
Internet
Regional$Control$Centre
TelePresence
ISR$G2$Router Catalyst$6500$VSSCore$Switch
Door$Access$Control
WiFi$Access$Point Video$SurveillanceVirtual$Matrix
IP$Phone$Console
Unified$Compu,ng$System$(UCS)$Rack
Digital$SignageVideo$Wall
VXC/Tablet$(Virtual$Desktop)
IP$Phone
Remote$Interface
819hRouter
IEE3010Rugged$Switch
TrafficManagement
WAN$Aggrega,on
Primary$Data$Centre
WAN$Op,misa,on$
(WAAS)
Catalyst$6500$VSSServices$Layer
FirewallServer$Load$Balancing$(ACE)
Network$Applica,on$Monitoring$(NAM)MDS$9500SAN$Switch
Storage
SAN
Unified$Compu,ng$System$(UCS)$Blade
Unified$Compu,ng$System$(UCS)$Blade
Nexus$5000Switch
Nexus$5000SwitchUnified$Compu,ng$
System$(UCS)$Blade Nexus$2000Switch
Nexus$2000Switch
Nexus$7000Core/Aggrega,on$Switch
Nexus$7000Core/Aggrega,on$Switch
Catalyst$6500$VSSServices$Layer
FirewallServer$Load$Balancing$(ACE)
Network$Applica,on$Monitoring$(NAM)MDS$9500SAN$Switch
Storage
Unified$Compu,ng$System$(UCS)$Rack
Unified$Compu,ng$System$(UCS)$Rack
Nexus$2000Switch
Nexus$5000Switch
HypervisorNexus*1000v
Virtual*Machines
HypervisorNexus*1000v
Virtual*Machines
HypervisorDesktop*VirtualisaDon*SoQware
Virtual*MachinesCommunicaDon*Manager*(CUCM)Unity*ConnecDon*
(CUC)Jabber*(Presence)
Contact*Centre*(UCCX)
MeeDng*PlaceAWendant*ConsoleS
S
S
S
S
SDigital*Media*
Manager*(DMM)Show*&*Share*
ServerQUAD
Network*Management
TelePresence*Ctrl*Server*(TCS)TelePresence*
Manager*(TMS)S
S
S
S
S
SOSApp
OSApp
OSApp
OSApp
OSApp
OSApp
OSApp
OSApp
OSApp
OSApp
OSApp
OSApp
WAN$Op,misa,on$
(WAAS)
Wireless$LANController
IPICS*ServerPhysical*Access*Manager*(PAM)
Video*Surveillance*OperaDons*ManagerVideo*Surveillance*
Media*Server*(VSMS)
Mediator*ManagerMobility*Services*Engine*(MSE)
Media*Exchange*Engine*(MXE)
Video*Comms*Server*(VCS)
PSTNISR$G2PSTN$GatewayVoice/Video$DSP
Fibre$Channel$over$Ethernet$(FCoE)Fibre$Channel$Storage$Links
Ethernet
Cisco*Unified*Fabric*Data*Centre*provides*flexible,*agile,*highBperformance,*nonBstop*operaDons;**selfBintegraDng*informaDon*technology,*reduced*staff*costs*with*increased*upDme*through*automaDon,*and*more*rapid*return*on*investment.$It$accelerates$virtualisa,on$and$enables$automa,on$to$extend$the$lifecycle$of$missionEcri,cal$resources$to$support$evolving$needs.$Rail$companies$can$reduce$their$total$cost$of$ownership$(TCO)$and$increase$business$agility—both$cri,cal$to$comba,ng$the$server$sprawl$and$inefficiency$inherent$in$many$data$centres$today.
Wide*Area*ApplicaDon*Services*(WAAS)*is*a*comprehensive*WAN*opDmizaDon*soluDon*that*accelerates*applicaDons*over*the*WAN,$delivers$video$to$the$branch$office,$and$provides$local$hos,ng$of$branchEoffice$IT$services.$Cisco$WAAS$allows$IT$departments$to$centralize$applica,ons$and$storage$in$the$Data$Centre$while$maintaining$LANElike$applica,on$performance.
IP/MPLS*in*the*WAN*enables*converged*secure*link*virtualisaDon.$It$reduces$overall$costs$by$suppor,ng$mul,ple$logical$networks$across$a$single$physical$infrastructure.$
ASR$1000$Router ASR$1000$Router
Enterprise*Content*Delivery*Sys*(EDCS)
TPresence*MulDpoint*Control*Unit*(MCU)
Voice$Services
Converged*plantBwide*Ethernet*via*Cisco*Rugged*Switches*and*Routers*(CGSB2520,*IE2000,*CGRB2010)$support$SCADA$communica,ons$through$hierarchical$segmenta,on.$This$results$in$reduced$cost$and$complexity$with$increased$efficiency,$scale,$resilience,$policy$enforcement$and$defenceEinEdepth$security.
Local$Signal$Box
Digital$Signage
IP$Video$Phone
WiFi$Access$Point
Door$Access$Control
Video$Surveillance
ASR$903$Router
VXC/Tablet$(Virtual$Desktop)
3750x
PTC$%$Posi)ve$Train$Control
Earth$Protec,on
IE2000
CGS2520
RTU RTU
IE2000
CGS2520
ASR$903$Router
Sta,on
TelePresence
Digital$Signage
IP$Video$Phone WiFi$Access$Point
Door$Access$Control
Video$Surveillance
ISR$G2$Router3750x
Retailers
Retail$Comms
Customer$Informa,on$Screens
HelpEpoint$Phone
Telephony Security$Systems
Video$Surveillance
InternetAccess
Enterprise$Network
IP$Phone WiFi$Access$Point
CGSE2520Rugged$Switch
SCADA
Door$Access$ControlVideo$Surveillance
CGRE2010Rugged$Router$with$VPN/Firewall
Guest$WiFi$AccessRTU
Trackside$Electrical$Substa,on$E$SCADA
MPLS Layer
Optical Layer
P$Router
PE$Router
Opera,onal$Network
Door$Access$Control
Analogue$Camera
Level$Crossing
819$Router
IP$Phone
IE2000
Video$Gateway
IP$Camera
Connected$Rail$Architecture
Trackside$&$Train$WiFi
819H$Router3G/LTE
Rugged$Mobile$Computer$Connected$Field$Staff
Train/Shore
Mobile$Workfo
rce
Site$Connec,vity
Modular Interlocking
Mast
ASR$901$Router
GSMER
Signal
IE$2000IE$2000
Component Control
Point Machine
Axel Counter
IE$2000 IE$2000
3G$Mast
ASR$901$Router
220Mhz$Mast
220MHz$Train$Unit
Wayside$Messaging$Server
GPRS/3G/LTE
Signal Point Machine
Axel Counter
Component Control
Converged plant-wide Ethernet via Cisco Rugged Switches and Routers (CGS-2520, IE 2000, CGR-2010) Support SCADA
communications through hierarchical segmentation. This results in reduced cost and complexity with increased efficiency, scale,
resilience, policy enforcement and defense in depth security.
Trackside and Train WiFi
918h Router 3G/LTE
Rugged Mobile Computer Connected
Field Staff
Train/Shore
Site Connectivity
Mobile Workforce
Level Crossing
IP Phone
IE2000
Video Gateway
819 Router
Analogue Camera
IP Camera
Door Access Control
Local Signal Box
Cisco physical Access Control in a cost-effective IP-based solution that uses the IP network for integrated security operations. It works with existing card readers, locks and
biometric devices and is integrated with Cisco Video
Surveillance and IP Interoperability and Collaboration System (IPICS)
for a comprehensive, holistic enterprise-wide safety and
security solution.
Video Surveillance
Door Access Control
Digital Signage
VXC/Tablet (Virtual Desktop)
IP Video Phone
3750x
WiFi Access Point
ASR 901 Router
Station
Retail Comms
Retailers
Video Surveillance
Digital Signage
TelePresence Door Access Control
IP Video Phone
WiFi Access Point
3750x ISR G2 Router
Customer Information
Screens
Help-point Phone
Telephony Security Systems
Internet Access
Video Surveillance
Regional Control Centre
Door Access Control
IP Phone Console
TelePresence Digital Signage Video Wall
WiFi Access Point
Video Surveillance Virtual Matrix
ISR G2 Router
VXC/Tablet (Virtual Desktop)
Unified Computing System (UCS) Rack
Catalyst 6500 VSS Core
Switch
819H Router
WiFi Access Point IC3010 PoC Door Access Control
Video Surveillance Digital
Signage VXC/Tablet (Virtual Desktop)
PSTN
HQ Campus Building
Management System (BMS) HVAC/Lights ISR G2
PSTN Gateway Voice/Video DSP
PCTablet (Virtual Desktop) TelePresence
IP Video Phone Digital Signage
PCTablet (Virtual Desktop) TelePresence
IP Video Phone Digital Signage
PCTablet (Virtual Desktop) TelePresence
IP Video Phone Digital Signage
PCTablet (Virtual Desktop)
Network Building Mediator
IP Video Phone Digital Signage
PSTN
Video Surveillance
WiFi Access Point
Door Access Control
Video Surveillance
WiFi Access Point
Door Access Control
Video Surveillance
WiFi Access Point
Door Access Control
Video Surveillance
WiFi Access Point
Door Access Control
WAN Aggregation Wide Area Applications Services (WAAS) is a comprehensive WAN optimization solution that accelerates applications over
the WAN, delivers video to the branch office, and provides local hosting of branch-office IT services. Cisco WAAS allows IT
departments to centralize applications and storage in the Data Centre while maintaining LAN-like application performance.
IP/MLPS in the WAN enables converged secure link virtualization. It reduces overall costs by supporting multiple logical networks across
a single physical infrastructure.
Wireless LAN Controller
WAN Optimization (WAAS)
WAN Optimization (WAAS)
Unified Computing System (UCS) Blade
Unified Computing System (UCS) Blade
Unified Computing System (UCS) Blade
Nexus 2000 Switch Nexus 2000 Switch
Unified Computing System (UCS) Blade
Unified Computing System (UCS) Blade
ISR G2 PSTN Gateway Voice/Video
DSP
PSTN
Nexus 2000 Switch
SAN
MDS 9500 SAN Switch
MDS 9500 SAN Switch
Storage Storage
Cisco Unified Fabric Data Center provides flexible, agile, high-performance, non-stop operations; self-integrating
information technology, reduced staff costs with increased uptime through automation, and more rapid return on investment. It accelerates virtualization and enables automation to extend the lifecycle of mission-critical
resources to support evolving needs. Rail companies can reduce their total cost of ownership (TCO) and increase business agility—both critical to combating the server
sprawl and inefficiency inherent in many data centers today.
Virtual Machines Communication
Manager (CUCM) S
Unity Connection (CUC) S
Jabber (Presence) S
Contact Center (UCCX) S
Meeting Place S
Attendant Console S
Virtual Machines Digital Media
Manager (DMM) S
Show and Share Server S
QUAD S
Network Management S
TelePresence Ctrl Server (TCS) S
TelePresence Manager (TMS) S
Hypervisor
Nexus 1000v
Hypervisor
Nexus 1000v
Hypervisor
Desktop Virtualization Software
Virtual Machines
OS
OS
OS
OS
App
App
App
App
OS
OS
OS
OS
App
App
App
App
OS
OS
OS
OS
App
App
App
App
IPICS Server
Physical Access Manager (PAM)
Video Surveillance Operations Manager Video Surveillance
Media Server (VSMS) Enterprise Content
Delivery Sys (EDCS)
Mediator Manager
Mobility Services Engine (MSE)
Media Exchange Engine (MXE) Video Comms Server (VCS)
Tpresence Multipoint Control Unit (MCU)
Ethernet
Fiber Channel over Ethernet (FCoE)
Fiber Channel Storage Links
Internet Edge
ASR 1000 Router WebEx Node
ASA 5500 Firewall
Intrusion Prevention (IPS) Virtual Private Network (VPN)
Video Communications Server (VCS) Expressway
Ironport Email Security Anti-Spam, Anti-Virus Data
Loss Prevention (DLP)
Ironport Web Security Acceptable Use Policy (AUP)
Malware Prevention
Wireless LAN Controller (Guest Access)
Cisco Security Manager (CSM)
Energywise Orchestrator
Data Center Network Manager
(DCNM)
Identity Services Engine (ISE)
Network Control Systems (NCS)
Network Analysis Module (NAM)
LAN Management System (LMS)
Collaboration Manager (CM)
Internet
Mobile Phone Anyconnect VPN Client
Catalyst 6500 VSS
Core Switch
Catalyst 3750X Switch Cluster
PoE Energywise
Catalyst 3750X Switch Cluster
PoE Energywise
Catalyst 3750X Switch Cluster
PoE Energywise
Catalyst 3750X Switch Cluster
PoE Energywise
Catalyst 6500 VSS Services Layer Firewall
Server Load Balancing (ACE) Network Application Monitoring (NAM)
ASR 1000 Router
ASR 1000 Router
Nexus 5000 Switch Nexus 5000 Switch Nexus 5000 Switch
Catalyst 6500 VSS Services Layer Firewall
Server Load Balancing (ACE) Network Application Monitoring (NAM)
Nexus 7000 Core/Aggregation Switch
Nexus 7000 Core/Aggregation Switch
Optical Layer
MLPS Layer Operational Network
PE Router
P Router
© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 53
Спасибо
