SecFlow2013 Slide 1 RAD SecFlow. Оборудование и решения для промышленного Ethernet повышенной надежности Январь 2014 г.

Презентация:



Advertisements
Похожие презентации
Megaplex 4100 Slide 1 Решения для надежных сетей предприятий.
Advertisements

Ожидаемые новинки оборудования класса Industrial Ethernet.
Криптографический шлюз К -. Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность.
Введение Последние годы развития GSM-связи на рынке показали существенный рост объема передаваемых данных. В этом росте есть и заслуга беспроводных систем,
Криптографический шлюз К -. Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность.
Виртуальные частные сети. Истинная частная сеть Центральный офис Филиал Собственный закрытый канал связи.
© 2007 Cisco Systems, Inc. All rights reserved.SMBE v Cisco SMB University for Engineers Настройка маршрутизаторов Cisco с интегрированными услугами.
Ожидаемые новинки оборудования класса Industrial Ethernet.
Коммутатор D-LINK DES Подготовила: Нагорнова Т.Е., СГАСУ.
Мультисервисные решения на базе оборудования Sigrand SG-17 Это - Единая платформа для множества задач.
NetAXS IP-контроллер для систем контроля и управления доступом и комплексных интегрированных систем безопасности Honeywell Access Systems.
Встраиваемые интеллектуальные преобразователи RS-232/422/485 в Ethernet.
Виды сетей Локальная сеть. Локальная сеть. Локальная сеть. Локальная сеть. Региональная (городская) сеть. Региональная (городская) сеть. Региональная.
© 2007 Cisco Systems, Inc. All rights reserved.SMBE v Cisco SMB University for Engineers Маршрутизаторы с интегрированными услугами (ISR) класса.
Принципы построения сетей Связь компьютера с ПУ. Связь двух ПК.
1 Новые функциональные возможности универсальной оптической платформы xWDM.
Дисциплина: Технология физического уровня передачи данных Журкин Максим Сергеевич Лекция 8 Технологии беспроводной передачи данных Практическая работа.
ЗАО «Связь инжиниринг». Устройство имеет следующие порты: Шесть (6) входов общего назначения для приема сигналов типа «сухой контакт». Признаком наличия.
Фильтрация пакетов. Маршрутизатор. Борисов В.А. КАСК – филиал ФГБОУ ВПО РАНХ и ГС Красноармейск 2011 г.
1 БЛОК ПИТАНИЯ БП220/5-100 Описание: Блок питания БП220/5-100 вырабатывает стабилизированное напряжение + 5 В при токе потребления до 20 А и обеспечивает.
Транксрипт:

SecFlow2013 Slide 1 RAD SecFlow. Оборудование и решения для промышленного Ethernet повышенной надежности Январь 2014 г.

SecFlow2013 Slide 2 Современные сети промышленной связи

SecFlow2013 Slide 3 Тенденции развития сетей промышленной связи Промышленные сети связи в массовом порядке переходят на протоколы IP/Ethernet : – Старые контроллеры SCADA с сериальными портами заменяются новыми на базе IP ( протоколы МЭК-104, IP DNP3…) –Новые подстанции переходят на связь по технологии IEC 61850, используемые в рамках локальных сетей и сетей АСУ Решения промышленного Ethernet используются в решениях для работы вне помещений, таких как: –Подключение контроллеров, счетчиков и датчиков в нефтегазовой промышленности и на водоканале. –Подключение видеонаблюдения и систем безопасности на транспорте –Системы «умный и безопасный город». Военные охранные системы. Решения защиты данных в сетях – наиболее важный аспект. –Необходимость защиты данных в рамках сети предприятия –Защита от проникновений в сети связи извне

SecFlow2013 Slide 4 Системы промышленной связи, мигрирующие на Ethernet –Промышленные системы управления, используемые для мониторинга и удаленного управления критических производственных процессов: – Системы SCADA –Распределенные контрольные системы (DCS) –Программируемые логические контроллеры (PLC) Специализированные по назначению Разнесенные географически Основная роль –централизованное управление Испольуются в отраслях промышленности: –Нефте- и-газдобыча –Энергетика –Транспорт А так же в военных и охранных структурах

SecFlow2013 Slide 5 Системы SCADA –SCADA : система сбора, обработки, отображения и архивирования информации об объекте мониторинга или управления. Реализуeтся на Ethernet/IP. Может являться частью АСУ ТП, АСКУЭ, системы экологического мониторинга, научного эксперимента, автоматизации здания и т.д. Компоненты: -Центральная диспетчерская служба : система наблюдения, опроса и, сбора данных о технологическом процессе –Удаленные устройства Программируемый логический контроллеры (PLC) и дистанционные терминаыл (RTU). Подключены к датчикам, преобразуют сигналы датчиков в цифровые данные и передают эти данные на систему контроля. Интеллектуальные электронные устройства (IED) - Микропроцессорнные блоки управления для поддержки функции автоматизации технологического процесса. SCADA-системы могут быть уязвимы для хакерских атак, так, в 2010 году с использованием вируса Stuxnet была осуществлена атака на центрифуги для обогащения урана в Иране

SecFlow2013 Slide 6 Структурная схема системы SCADA Протоколы SCADA: Modbus DNP3 IEC101, IEC104 RTUs PLCs IEDs

SecFlow2013 Slide 7 Сравнение протоколов передачи данных, используемых SCADA Параметр Протокол ModbusМЭК-101/103/104DNP3 Линии связи RS-232/485/422 TCP/IP (Modbus TCP) RS-232/485/422 TCP/IP (104) RS-232/485/422 TCP/IP АрхитектураКлиент – сервер Принцип передачи данныхОбмен индексированными точками данных Спорадическая передача данных НетДа Семантическая модель данных Нет Нет Базовая (103) Да Передача данных в режиме реального времени Нет Данные протоколы связи успешно реализуют задачи диспетчерского управления / интеграции данных в системы управления, но не работают в режиме реального времени

SecFlow2013 Slide 8 Протокол МЭК Международный стандарт для систем автоматизации подстанций, разработанный для создания открытой коммуникационной среды МЭК обеспечивает взаимодействие устройств на подстанции на базе высокоскоростной сети Ethernet МЭК состоит из 10 отдельных стандартов МЭК до МЭК В основе стандарта лежат три положения: 1. Он является технологически независимым, то есть вне зависимости от технологического прогресса стандарт должен подвергаться минимальным изменениям. 2. Он является гибким, то есть допускает решение различных задач с использованием одних и тех же стандартизованных механизмов. 3.Он является расширяемым. Широко внедряется на современных промышленных сетях

SecFlow2013 Slide 9 Задача 1. Миграция с традиционных магистралей и протоколов на Ethernet Объединение устройств с традиционными сериальными интерфейсами по Ethernet возможно тремя способами : –Туннелирование между устройствами с сериальными портами Поток Байтов / Битов Поддержка схемы «точка-многоточка» Защита туннелей с распознаванием сервисов –Шлюзы, подключающие устройства с сериальными портами к устройствам Ethernet Поддержка протоколов Modbus, IEC101/104, TG809/IEC104, DNP3 –Терминальный сервер, подключающий компьютеры к устройствам с сериальными портами RS-232/RS-485 Ethernet Туннельный сервис Шлюзовой сервис Преобразователь протоколов Преобразователь протоколов Преобразователь протоколов Преобразователь протоколов

SecFlow2013 Slide 10 Контроллер 1 Задача 2. Защита сетей промышленной связи Контрольный центр АСУ Кольцо с резервированием Техническое обслуживание Объект 1 Объект 2 Коммутатор с защитой Направления атак: Проникновение в центре управления Нарушение работы филиалов Передача информации на носителе Удаленные атаки через сети общего пользования Мероприятия по защите Защитные экраны на каждый сервис Распределенные защитные экраны Шифрование данных Защищенный удаленный доступ Промышл. устройства Контроллер 2 Промышл. устройства Коммутатор с защитой

SecFlow2013 Slide 11 Решения SecFlow для сетей промышленной связи

SecFlow2013 Slide 12 Основные свойства решений SecFlow Промышленный дизайн: Металлический корпус Монтаж на DIN- рейку IP30 -40°C.. +75°C без вентиляторов ЭМС категории А IEC IEEE 1613 EN Мультисервис- ность Порты Ethernet и сериальные интерфейсы Сериальные туннели по Ethernet Преобразование IEC101 в IEC104 TG800 в IEC104 Механизмы защиты Фильрация MAC/IP адресов на порту Защитные экран ы с распознаванием сервисов Защищенный удаленный доступ на базе IPsec Резервирование Кольца Ethernet согласно ITU-T G.8032 RSTP, MSTP Связь по мобильным сетям 2G/3G как резервный канал

SecFlow2013 Slide 13 Обзор оборудования SecFlow для промышленных сетей связи SecFlow – компактные устройства оптимизации промышленного Ethernet с распознаванием сервисов SCADA: –SecFlow-1 – Компактный конвертер интерфейсов и протоколов –SecFlow-2 – Компактный коммутатор-маршрутизатор –SecFlow-4 – Модульный (7 слотов) коммутатор –маршрутизатор

SecFlow2013 Slide 14 Сетевые и пользовательские интерфейсы в SecFlow-2 Порт USB для обновления ПО «Сухие контакты» Питание (основное и резервное) Консольный порт Fast Ethernet FE 0/1-8 1,3,5,7 0- c POE RS 232 Слот 1 порты SIM -карта, порты 1,2 GPRS- антенна SFP GE 0/9-10

SecFlow2013 Slide 15 Сервисы LAN в SecFlow-2 WAN L2 | L3 LAN Источник синхронизации 1588 DI / DO POE IP / MAC 232 FO SM | MM COPPER FE GPRS | UMTS Магистральная сеть 8032

SecFlow2013 Slide 16 SecFlow-4- модульные коммутаторы с защитой для промышленных сетей Промышленный дизайн Модульная конструкция на DIN-рейку 7 слотов под модули Работа в тяжелых условиях - IP30, - 40 ÷ +75° C, IEC EMI Модули с интрефейсами ETH и RS-232/RS-485 Резервирование питания. Сетевые возможности Интеллектуальная коммутация Ethernet и IP - маршрутизация Туннелирование сериальных портов по Ethernet Физические магистральные интерфейсы : UTP– Fast Ethernet / Gigabit Ethernet Оптика – одномод/многомод. Модемы xDSL Встроенные механизмы защиты : Фильтрация адресов MAC/IP на каждом порту Шлюзы Firewall на каждом сервисе Защита внещнего и локального доступа

SecFlow2013 Slide 17 SecFlow-4. Поддерживаемые интерфейсы Консольное управление : RS-232,RJ45. RS-485 : RS-485 2w,DB-9. RS-232 : RS-232 2w,RJ45. Fast Ethernet : RJ 45 UTP или SFP. Gigabit Ethernet : SFP. Оптика : SFP. E1 : Используются конверторы E1 по Ethernet RAD MiTOP Питание: Съемные клеммы под винт «Сухие контакты» : Съемные клеммы под винт POE : RJ45. SHDSL – выделенные медные пары (разъем под винт) GPRS/UMTS –антенна сотовой связи

SecFlow2013 Slide 18 Интерфейсы «сухих контактов» ( на SecFlow -2 и на модуле Application SecFlow-4 ) Модуль Аpplication имеет 2 интерфейса «сухих контактов» с разъемами входа и выхода на каждом. Каждый интерфейс отвечает за отдельный сервис, передаваемый в режиме туннелирования по своему IP-адресу назначения в удаленную точку. Вход : –1 = vDC. Выход: –AC : Max 250v, 37.5vA. –DC : Max 220v,30 watt.

SecFlow2013 Slide 19 SecFlow-1 – Упрощенный вариант SF-2 для небольших объектов Компактные размеры Удобен для установке в уличных боксах Те же функции по преобразованию протоколов и защите, что и у SF-2 Интерфейсы: - 1 x ETH 10/100BaseT –1 x ETH100/1000 SFP (в будущих версиях) –1 x RS-232/RS x RS-232 – 2 SIM-карты для спутниковых модемов 2G/3G –2+2 портов «сухие контакты» Новые приложения Подключение небольших объектов (подстанций) с небольшим количеством сервисов по невысокой цене.

SecFlow2013 Slide 20 Три уровня надежности SecFlow Мульти-сервисыРезервированиеРабота в жестких условиях Защищенный доступ Разрешение сервисов Управление сервисами Простота использования Встроенные механизмы защиты Мощная защищенная инфраструктура

SecFlow2013 Slide 21 Алгоритмы защиты в SecFlow 802.1X - стандарт IEEE для защиты доступа к портам, аутентификация и защита от DoS-атак Список контроля доступа (Acces Control List) - фильтрация трафика по различным критериям на уровнях L 2/3/4 Аутентификация и авторизация пользователей на основе протоколов RADIUS и TACACS + Шифрование в туннелях L2/L3 VPN, на основе IPSEC Определяемое пользователем шифрование трафика с использованием алгоритмов IKE, AES или 3DES Безопасный доступ через Telnet, с использованием SSH SCADA –ориентированные брандмауэры на портах (с поддержкой протоколов Modbus, МЭК-104, DNP3.0)

SecFlow2013 Slide 22 Встроеные механизмы защиты информации в SecFlow Мощные механизмы защиты с распознаванием отдельных сервисов на аппаратном уровне Простая организация защиты «на всю глубину» решения Распознавание сервисов Удаленный доступ VPN внутри предприятия Контроль доступа Шлюз с распознаванием сервисов Шлюз SSH Туннель IPSec Фильтры L2/L3

SecFlow2013 Slide 23 Контроллеры Сервис-ориентированные защитные экраны для трафика SCADA Сервис-ориентированный контроль трафика для каждой точки подключения Установка правил для потоков трафика SCADA : легализация потоков, позволенные команды и параметры, правила работы в экстремальных режимах и при авариях ) Заголовок протокола Код функциональ- ности Параметры функции Заголовок Ethernet & IP

SecFlow2013 Slide 24 Как защитный экран анализирует пакеты, приходящие из сети IP IP-адреса источника и назначения пакета должны соотвествовать определенному сервису Порт Пакет должен иметь допустимый номер порта TCP/UDP (например - МЭК 104 :2404 ; Modbus : TCP 502 ;SNMP :UDP161) Адрес Проверка адресов устройств в соотвествии с их протоколом (Источник адреса ;Адрес магистрального устройства ; общие адреса ASDU ;адреса оконечных объектов) Содержи- мое Содержимое пакета проверяется на соотвествие с правилами, установленными для каждого защитного экрана. Правила устанавливаются для каждого сервиса или для пары сервисов, работающих друг напротив друга Пароль Разграничение доступа к информации о нарушении правил защитных экранов и попыткам незаконных вторжений

SecFlow2013 Slide 25 Пример логики защитного экрана при работе с интеллектуальными счетчиками Ситуация: Внешняя атака со стороны сети Smart-Grid на удаленные интеллектуальные счетчики Решение Защитный экран сервисов с протоколом IEC104 позволяет только мониторить информацию с удаленных счетчиков. Центр обработки данных Контрольный центр

SecFlow2013 Slide 26 Защищенный удаленный доступ Использование защищенных SSH-туннелей, организуемых на защищаемой стороне Установка прав доступа для каждого пользователя с использованием RADIUS. Журнал событий с фиксацией сессий доступа для проверки и расследований Proxy-шлюз, скрывающий сессии доступа внутри локальной сети Контроллер Меню приложений, разрешенных пользователю Обслуживающий персонал 104 RTU | Port x | IP x IED | Port y | IP y 101 Server | serial port 5 | 2.. Определенные заранее допустимые пользователи Опеределенное заранее время сессий для пользователя Аутентификация пользователей Интернет

SecFlow2013 Slide 27 VPN для защищенных соединений DM VPN (layer-3) между оброудованием SecFlow и оброудованием других производителей на стороне концентрации трафика ( например, Plao Alto, Fortigate, Cisco и т.д.) Сети IPsec VPN между оборудованием Secflow

SecFlow2013 Slide 28 Организация защищенного VPN по сетям связи общего пользования Соединение частных подсетей по сети общедоступной связи Удаленное использование соединения сайта через туннели «точка- многоточка» Использование IPSec для шифрования в туннелях Сертификаты для аутентифицикации удаленных подключений Доступные режимы L2 или L3 VPN Сервис-провайдер #1 NAT router Основная SIM-карта Резервная SIM-карта ACTIVE OFF INTERNET Туннель IPSec Сервис-провайдер #2 Туннель IPSec

SecFlow2013 Slide 29 Механизмы защиты. Обобщение Проверка сервисов - сервис-ориентированные сетевые экраны для трафика SCADA Аутентификация удаленного доступа – поддержка защищенного доступа по протоколу reverse SSH Сохранность данных – сети VPN и шифрование данных

SecFlow2013 Slide 30 Мультисервисная транспортная сеть по разным магистралям Промышленные сети не могут быть 100% на оптике SecFlow поддерживает альтернативные магистрали –GPRS/UMTS – Работа через 2х операторов мобильной связи –SHDSL – каналы по медным парам Используется вместе с механизмами защиты Сеть Ethernet Сеть мобильной связи SecFlow 2 Оптика Кольцо Ethernet с защитой, по разным магистралям Оптика Медь Транспортная «наземная» сеть Ethernet/IP Сеть Ethernet Предприятие A Предприятие Б

SecFlow2013 Slide 31 SecFlow 4 Преобразование интерфейсов и протоколов в SecFlow IEC 104 UDP/IP SSH (T. Server) 104- клиент Modbus - клиент Центр Транспортная сеть Ethernet/IP SCADA IEC 101 ID 11 Удаленный объект A Modbus TCP Сист. управле ния IEC 104 Контроллеры Modbus IEC 104 Датчик IEC 101 ID 12 ID 13 SecFlow 2 Контроллеры Modbus Датчик Удаленный объект B Оборудование контрольного центра работает по Ethernet/IP Оборудование удаленных объектов работает по Ethernet/IР, или имеет сериальные интерфейсы RS-232/RS-485 SecFlow поддерживает механизмы: Терминальный сервер «Прозрачное» туннелирование сериального трафика по сети IP Преобразование протоколов МЭК 104/101 и МЭК 61850/104 (в будущих версиях)

SecFlow2013 Slide 32 SecFlow для смешанных приложений SCADA Сеть связи Контро льный Центр Телефония и данные Управление устройствами Комната связи Технологическое оборудование на шине Мультисервисная шина МЭК Оборудование преобразования и передачи электроэнергии Камеры Контроллеры VoIP телефония Управление сетью SNMP Арендованные каналы IP/Ethernet МЭК Мультиплексор MP Каналы SDH (частные или арендованные) SF Интерфейсы:E1, G k, V11/RS 435, C37.94, V24 Удаленные объекты МЭК или -104 МЭК SF Контроллеры, Датчики и т.д

SecFlow2013 Slide 33 МЭК SNMP IEC SF МЭК IEC МЭК or -104 Ethernet/RS-232/485 SecFlow для приложений SCADA на базе протокола МЭК Сеть связи Контро льный Центр Телефония и данные Управление устройствами Управление сетью Удаленные объекты Арендованные каналы IP/Ethernet Камеры Контроллеры VoIP телефония Комната связи Технологическое оборудование на шине Оборудование преобразования и передачи электроэнергии с контроллерами физических параметров SF

SecFlow2013 Slide 34 Типовые схемы применения SecFlow

SecFlow2013 Slide 35 Перспективные области применения решений SecFlow Передача и распределение электроэнергии (Сети Smart-Grid, автоматизация подстанций) «Умный город», надежность и защита сетей Интеллектуальные сети на транспорте (Железные дороги, автомагистрали) Перспективные направления, нуждающиеся в защите сетей

SecFlow2013 Slide 36 Сетевая структура в энергетике «интеллектуальные энергетические сети» и счетчики Интенсивно развиваются Только проектируются Производство электроэнергии Передача электроэнергии Распределение электроэнергии Интенсивно развиваются

SecFlow2013 Slide 37 Интеллектуальная сеть Smart-Grid Основные компоненты сетей Smart-Grid –Подключение и опрос «интеллектуальных» счетчиков –Автоматизаиця распределения электроэнергии Подстанции нового поколения –Обслуживают низковольтные и средневольтные каналы передачи и распределения электроэнергии –Содержат интеллектуальные устройства, работающие в режиме связи реального времени

SecFlow2013 Slide 38 Сеть Smart-Grid для распределения электроэнергии Отвечает требованиям к современным подстанциям Туннели с шифрованием для доступа в сети общего пользования Защитные экраны для протоколов в магистрали(IEC104, IEC61850, Modbus) Шлюзы с сериальными портами для подключения интеллектуального оборудования энергетики Компактные коммутаторы SecFlow включают в себя эти функции Новые интеллектуальные подстанции с автоматизированным измерением, учетом и распределением электроэнергии Датчики Мониторин электроэнергии Концентратор счетчиков PLC Подстанция Сеть связи Антенна моб.связи Автоматизированный контрольный центр ЦОД измерений SecFlow 2

SecFlow2013 Slide 39 Миграция SCADA на подстанциях на IP Подключение подстанций к контрольному центру с IP SCADA –Защитные экраны для потоков с протоколамипрмышленной связи –Защищенные терминальные сесии для технического обслуживания –Туннели беспрводной связи с шифрованием –Объединение устройств с сериальными портами и Ethernet Контрольный центр Подстанция RS-232 IEC-101 ETH Счетчики IP SCADA Сеть управления Контроллеры Кольцо с защитой

SecFlow2013 Slide 40 Сети связи на подстанциях. Текущая ситуация. Связь в существующей сети Оборудование SCADA сязано с контроллерами и датчиками «напрямую». Локальный технический персонал имеет прямой доступ: –К другим подстанциям –ЦОДам –Контроллерам и датчикам Удаленное техническое обслуживание имеет доступ ко всему оборудованию всех подстанций Все подстанции имеют доступ к данным других подстанций Требуется унифицированное, защищенное решение связи для подстанций Сеть связи SDH/IP Подстанция Контрольный центр Датчики SCADA ЦОД Локальное техническое обслуживание Удаленное техническое обслуживание Internet Контроллеры Телеметрия

SecFlow2013 Slide 41 SecFlow 4 Коммутатор с защитой – для подключения подстьанции к сети связи Сегментация сети с организацийе подсетей и VLANs Аппартный защитный экран для каждого устройства или группы Защищенны удаленный доступ Шлюзы между оборудованием с сериальными портами и Ethernet Internet Контроллеры и датчики Сети связи на подстанциях. Эволюция. Контрольный центр SCADA ЦОД Удаленное техническое обслуживание Сеть связи SDH/IP Подстанция Локальное техническое обслуживание

SecFlow2013 Slide 42 Сеть системы безопасности на метрополитене Требуется объединение большого количесва устройств контроля, связи и видеонаблюдения в на станциях в единую сеть. –Сеть на коммутаторах Ethernet, подключенных к магистралям IP/MPLS, с разделением сервисов по VLANs –Связь устройств Ethernet, устройств с сериальными и дискретными портами «сухие контакты» с защитой доступа с помошью защищенных сетевых экранов по протоколу ModBus –Связь мобильных объектов («состав-состав», «состав-станция» ) и контрольных центров с аутентификацией соединений. Коммутаторы SecFlow используются для подключения к магистрали на каждой станции Магистраль IP/MPLS Контрольный центр Центр измерений и ЦОД Датчики Контроллеры

SecFlow2013 Slide 43 «Умный город». Информационные сети и безопасность. Компактные промышленные коммутаторы для установки в боксах на открытом воздухе – Поддержка электропитания по Ethernet ( PoE) –Подключение устройств с сериальными и дискретными портами –Различные способы связи в сети: Доступ по WiFi Работа через операторов мобильной связи через канал с резервированием (модем с двумя SIM-картами) Оптические кольца Ethernet c защитой (G.8032) работа по медным парам (SHDSL) –Встроенные механизмы защиты Каналы IPSec VPN Защитные экраны для SCADA Радио- канал P2P & P2MP Оптика Канал 2G/3G с резервированием Точка доступа WiFi RS-232 ETH PoE ETH Dry Contact Информационное табло SecFlow 2 Светофоры Датчики вскрытия бокса Видеонаблюдение

SecFlow2013 Slide 44 Сеть широкомасштабного контроля на транспорте Такая сеть выдвигает следующие требования: –Кольца Ethernet для доступа в магистральную сеть – Набор внешних устройств с портами Ethernet, сериальными и «сухими контактами» –Поддержка PoE s для камер видеонаблюдения Поддержка протокола IEEE 15888v2 для синхронизации систем радиосвязи –Поддержка QoS и брандмауэров для защиты SCADA при работе с сервисами, к которым вероятна угроза несанкционированного доступа Компактные коммутаторы SEcFlow удовлетворяют всем этим требованиям

SecFlow2013 Slide 45 Кольцо Ethernet Защищенная сеть контроля на транспорте на базе SecFlow. Проект «Autostrada». Италия Источник синхронизации 1588 Центральный диспетчерский узел Кольцо 1 Кольцо 6 RS-232/485 На каждом крупном перекрестке Контроль трафика Видеонаблю дение Базовые станции системыTetra Информационные табло PoE Синхронизация 1588 QoS Кольцо 7 Кольцо 12 RS-232/485 На каждом крупном перекрестке Контроль трафика Видеонаблю дение Базовые станции системыTetra Информационные табло PoE Синхронизация 1588 QoS Кольцо Ethernet

SecFlow2013 Slide 46 Пример проекта технологической сети связи для трубопроводов (нефтепроводы, газопроводы, водопроводы). Центр управления (работа по протоколу IEC 104 ) Резервный канал оператора мобильной связи Преимущества решения SecFlow : Передача трафика IP SCADA по туннелям с шифрованием IPsec Защитные, протокольно-ориентированные экраны для трафика SCADA Резервирование оптического канала связи по каналу оператора мобильной связи Заказчики: centerpoint energy gas (US), Veolia water, קצצ " א (Israel) RTU SF-2 ETH RS-232 Передача IP SCADA VPN Основной канал связи по ВОЛС Собственная сеть IP/ETH SF-4 Сеть IP общего пользования (аренда канала) Ethernet

SecFlow2013 Slide 47 Выводы Современные сети помышленной связи все активнее используют Ethernet –Увеличение информационной емкости сетей промышленной связи делает вопросы безопасности и надежности все более актуальными –Необходима эволюционная миграция на Ethernet, с минимальной заменой оконечного оброудования Защита в сетях промышленной связи является не опциональной, а необходимой фунцией Промышленные коммутаторы SeciFlow с защитой трафика, преобразованием протоколов и возможностью работы в тяжелых условиях, предлагают уникальное комбинированное решение в виде коммутаторов-маршрутизаторов и средств многоуровневой защиты от кибер-атак.

SecFlow2013 Slide 48 Приложение. Технические характеристики SF-2/4

SecFlow2013 Slide 49 SecFlow-2/4 Основные характеристики СвойстваОписаниеВыгода для заказчика и примечания Интерфейсы SecFlow-2 Ethernet 2×100/1000BaseFX до 16×10/100BaseT Подержка ккольцевых топологий с защитой Сериальные до 4×RS-232 Мультисервисность в компактном устройстве Мобильной связи Сотовый модем с 2-мя SIM –картами GPRS/UMTS Резервирование магистрали по каналу сотовой связи Интерфейсы SecFlow-4 Модули Ethernet SF4-M-4GbE 4×100/1000BaseT, optional PoE 4×100/1000BaseFX Поддержка до 28 портов GE в шасси Модули с сериальными портами SF4-M-Serial 4×RS-232 Подержка до 28 портов RS-232 в шасси Модуль центрального процессора SF4-M-MNG Модуль центральногго процессора, управляемый с локального терминала Модуль поддерживает в SF-4 функции коммутации на уровне L2 Сервисный модуль SF4-M-Service (Опционально) Поддержка функций защиты трафика и преобразования интерфейсов. Поддержка «сухих контактов». Маршрутизация L3, защиита трафика, туннелирование и т.д.

SecFlow2013 Slide 50 СвойстваОписаниеВыгода для заказчика и примечания Протокольный шлюз Конверсия команд МЭК-101 в МЭК 104 В будущих версиях –конверсия МЭК 101/ МЭК 104/ МЭК Соченание в одной сети старых и новых устройств с миграцией на сети Ethernet/IP Шлюз на уровне команд SCADA Распознавание команд SCADA, их селекция и разрешение Поддержка потоколов SCADA МЭК- 04, Modbus и DNP 3.0 Защитные экраны для портов МЭК 104 по протоколу Syslog Защита отдельных фрагментов сети на основе определяемых администаторами правил Шлюз VPN с с использолванием IPSec Layer 2 GRE VPN Layer 3 GRE Dynamic Multipoint-VPN по схеме «точка-многоточка» Layer 3 IPSec VPN Шифрование IPSec по алгоритмам 3DES или AES Сертификация X.509 с ключами SHA256,SHA512 Phase1/Phase2 с поддержкой AES 256 Возможность работы через сетио бщего пользователя с защитой трафика Качество сервисов QoS На уровне порта Контроль входящего и исходящего трафика Приоритезация трафика Поддержка распределения нагрузки по алгоритму Weighted Round Robin (WRR) 8 очередей с разделением приоритетов трафика от наивысшего к низшему позволяет регилировать загрузку сети и разделять сервисы по их важности SecFlow-2/4 Основные характеристики. Продолжение.

SecFlow2013 Slide 51 СвойстваОписаниеВыгода для заказчика и примечания Ethernet OAM ОАМ на одном канале OAM IEEE (бывший 802.3ah) OAM «из конца в конец» на базе IEEE 802 Мониторинг качества сервиса «из конца в конец» на базе ITU T Y Гарантия договоренностей SLA Взаимодействие с оборудованием других вендоров на основе стандартных сообщений ОАМ Облегчение диагностики и управления Большие кадры (Jumbo Frames) SecFlow-2 поддерживает кадры до 9К SecFlow-4 поддерживает кадры до 12K Повышенное качество при работе по сетям GE Кольцевое резервирование Ethernet Кольцо Ethernet с защитой на базе G.8032v2 Кольцо с защитой на базе RSTP (Rapid Spanning Tree Protocol) и MSTP (Multiple Spanning Tree Protocol) на базе IEEE 802.1D Повышение надежности каналов Задержка при переключении на резервное направление до 50 мс Агрегация канала На основе протокола 802.3ad с настраиваемым LACP до 8 LAGs до 8 портов в группе LAG Увеличение пропускной способности канала Автоматизация резервирования с использованием LACP Терминальный сервер и туннели сериальных каналов по IP Встроенный терминальный сервер «Прозрачное» туннелирование сериального трафика по сети IP Взаимодействие устройств с сериальными интерфейсами по сети IP в схемах «точка-точка» и «точка-многоточка» Поддержка PoE Програмное включение/выключение PoE Мощность до 30Вт на порт Максимальная мощность до 120W на устройство с питанием от – 48В или ~220В Максимальная мощность до 80W на устройство с питанием от 24В пост. тока Питание внешних устройств по Ethernet, в том числе устройств AirMUX SecFlow-2/4 Основные характеристики. Продолжение.

SecFlow2013 Slide 52 СвойстваОписаниеВыгода для заказчика и примечания Контроль доступа (Access Control List) Контроль с помощью различных критериев на уровнях Layer-2, -3 и -4 Механизм ACL позволяет фильтровать трафик по различным критериям для повышения надежности и защищенности решения. Сетевое управление SNMP: V1,V2,V3 (V3 – только в SecFlow-2) RADview SecFlow Network Manager SSH: V2.0 CLI RADIUS, TACACS TFTP Client Syslog, SNTP Широкие возможностипо управлению сетью включая не только SecFlow, но и другое оборудование. Коммутация Ethernet Автоматическое распознавание приема- передачи в линии Автоопределение скоростей на порту( IEEE 802.3ab) Контрольдоступа по каждому порту (PNAC) в соотвествии с IEEE 802.1x Таблицы MAC -адресов Выделение и коммутация VLAN IEEE 802.1q, 4000 VLANs Multicast (несколько групп) Процесс отслеживания сетевого трафика IGMP v1,v2,v3 Ограничение MAC –адресов на порт LLDP, DHCP client, DHCP relay, option 82 Функции коммутации L2, достаточные для простых промышленных сетей Ethernet SecFlow-2/4 Основные характеристики. Продолжение.

SecFlow2013 Slide 53 СвойстваОписаниеВыгода для заказчика и примечания Синхронизация Установка местного времени NTP v2 Синхроный Ethernet с поддержкой 1588v2 Гибкие режимы синхронизации IP-Маршрутизация IPv4 Статическая OSPF v2, v3 RIPv2 Коммутатор L2 и маршрутизатор L3 в одном устройстве Диагностика Статистика по каждому порту Светодиодная индикация на портах (Alarm |Run | Ethernet) Светодиодная индикация активности магистральных портов (Cellular | Serial ) Ping Trace route «Отзеркаливание» порта RMON v1 Обеспечивает обширные диагностические возможности для оказания помощи операторам в мониторинге неисправностей SecFlow-2/4 Основные характеристики. Окончание.

SecFlow2013 Slide 54 Спасибо за внимание!