Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Безопасность Интернета вещей

8,470 views

Published on

Безопасность Интернета вещей - непростая тема и имеет очень много проблем, обусловленных, в первую очередь, большим количеством применений IoT и, как следствие, большим количество стандартов (и их проектов), не всегда связанных между собой

Published in: Technology
  • Follow the link, new dating source: ❶❶❶ http://bit.ly/2Q98JRS ❶❶❶
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Dating direct: ❶❶❶ http://bit.ly/2Q98JRS ❶❶❶
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Безопасность Интернета вещей

  1. 1. Информационная безопасность Интернета вещей: от кофеварки до атомной электростанции Лукацкий Алексей, консультант по безопасности
  2. 2. Первый в мире Интернет-тостер – 1990 год!!! •  Sunbeam Deluxe Automatic Radiant Control Toaster •  1990 год – выставка Interop •  Симон Хакетт •  Подключение по TCP/IP –  Контроль с помощью SNMP •  Функции –  Включение через Интернет –  Контроль времени работы •  В 1991-м году добавили кран, управляемый через Интернет, который по команде подавал хлеб в тостер
  3. 3. ИНТЕРНЕТ ВЕЩЕЙ – ЧТО ЭТО?
  4. 4. Типы всеобъемлющего Интернета (IoE) ТИП СОЕДИНЕНИЯ МАШИНА-С-МАШИНОЙ (M2M) §  Данные посылаются / получаются от одного устройства (вещи) к другому §  Часто называется «Интернетом вещей» («Internet of Things») $7.4 ТРИЛЛИОНА МАШИНА-С-ЧЕЛОВЕКОМ (M2P) §  Данные посылаются / получаются от одного устройства (вещи) к человеку §  Часто называется «данные и аналитика» $4.6 ТРИЛЛИОНА ЧЕЛОВЕК-С-ЧЕЛОВЕКОМ (P2P) §  Данные посылаются / получаются от одного человека к другому §  Часто называется «взаимодействие» («обычный Интернет») $7.0 ТРИЛЛИОНА ОБЪЕМ РЫНКА (2013-2022)
  5. 5. 7.2 6.8 7.6 Всеобъемлющий Интернет (Internet of Everything) уже существует Лавинообразный рост внедрений цифровых технологий: В 5 раз быстрее, чем в электроэнергетике или телефонии 50Миллиардов “Умных устройств” 50 2010 2015 2020 0 40 30 20 10 Миллиардыустройств 25 12.5 Критическая точка Годы Население земли
  6. 6. ПРИМЕРЫ ИНТЕРНЕТА ВЕЩЕЙ
  7. 7. Промышленная АСУ ТП на объектах ТЭК – это IoT. Индустриальный IoT Добыча / генерация Транспортировка Переработка / хранение
  8. 8. И это тоже Интернет вещей, но мы его не будем рассматривать J
  9. 9. Система управления вооружениями – это тоже IoT J
  10. 10. Что для нас всеобъемлющий Интернет, кроме…?
  11. 11. Как скрестить корову и Интернет?..
  12. 12. МАРШРУТ ЦЕНТР УПРАВЛЕНИЯ ПЕРЕСЕЧЕНИЕ ГРАНИЦЫ ЗОНЫ (контроль через GPS) Как украсть / спасти миллион!?
  13. 13. Автобус в Абердине под контролем
  14. 14. «Подключенный бульвар» в Ницце
  15. 15. «Умная» рисоварка качает рецепты из Интернет
  16. 16. «Умная» рисоварка качает рецепты из Интернет
  17. 17. «Умная» рисоварка качает рецепты из Интернет
  18. 18. Кстати, о питомцах… памперсы, шлющие твиты
  19. 19. Интернет-вещей в санузле
  20. 20. «Умная» зубная щетка
  21. 21. Мы все ближе к самым интимным сторонам, в которые проникает IoE •  We Vibe 3 – это самый популярный вибратор для семейных пар •  Продано более 10 миллионов •  Беспроводное дистанционное управление •  Смерть от непрерывного…?
  22. 22. Умный бюстгальтер
  23. 23. Asthmapolis для удаленного контроля астматиков
  24. 24. Облачный AdhereTech для слежения за приемом лекарств
  25. 25. Кто это?
  26. 26. Чем известен Барнаби Джек? •  Удаленная команда кардиостимулятору на выпуск разряда в 800 вольт –  Интернет-дефибриллятор •  Червь, распространяющийся через кардиостимуляторы –  Что насчет массового убийства? •  Дистанционный взлом инсулиновых помп
  27. 27. IoE-стельки с навигатором
  28. 28. Домашняя АСУ ТП Cisco Home Energy Controller (CGH-100) •  Экран Touch screen •  Поддержка WiFi / Ethernet •  Smart Energy Profile certified Zigbee interface •  Управление из облака
  29. 29. Умный дом - это тоже Интернет вещей Использование Термостат Как экономить? Реакция на потребности Счет Контроль техники
  30. 30. Контроль статических устройств сети энергоснабжения в Гонконге
  31. 31. ЕСТЬ ЛИ У НАС ОБЩИЙ ЗНАМЕНАТЕЛЬ?
  32. 32. За «вещами» скрывается сложная инфраструктура
  33. 33. Варианты взаимодействия устройств между собой: с высоты птичьего полета Внутреннее сетевое •  Взаимодействие осуществляется через внутренние сети (корпоративные или индустриальные) Внешнее сетевое •  Взаимодействие осуществляется через Интернет или иные каналы связи общего пользования Персональное •  Локальный обмен данными через протокол Bluetooth, ZigBee, NFC и т.п. •  Взаимодействие может быть как однонаправленным, так и двунаправленным
  34. 34. Протоколы индустриального Интернета вещей (АСУ ТП) •  70-е годы – последовательные коммуникации (serial) –  Многие протоколы разработаны для них •  90-е года – начало перехода на TCP/IP-коммуникации •  ANSI X3.28 •  BBC 7200 •  CDC Types 1 и 2 •  Conitel 2020/2000/3000 •  DCP 1 •  DNP 3.0 •  Gedac7020 •  ICCP •  Landis & Gyr8979 •  Modbus •  OPC •  ControlNet •  DeviceNet •  DH+ •  ProfiBus •  Tejas3 и 5 •  TRW 9550 •  UCA •  …
  35. 35. Универсальных протоколов нет даже в АСУ ТП. Несмотря на десятилетия их существования Электроэнергетика • IEC 60870-5 • DNP3 • FOUNDATION Fieldbus • ICCP • Modbus Нефтегаз • IEC 60870-5 • DNP3 • Modbus Водоснабжение • DNP3 • Modbus Автоматизация зданий • LonWorks (or LonTalk, or ANSI/ CEA 709.1-B) • DyNet • INSTEON, X10, ZigBee, X-Wave и KNX/Konnex Промышленность • DF1 • FOUNDATION Fieldbus • Profibus • PROFINET IO • CC-Link • CIP • ControlNet • DeviceNet • Ethernet/IP • EtherCAT • EGD • FINS • Host Link • SERCOS • SRTP • Sinec H1
  36. 36. Множество участников в стандартизации IoT CEN 3GPP IETF GISFI OGC ETSI IEEEGS1 OASIS W3C CASAGARAS IIC Thread Group YPR ECMA ISO TIA GSM IEC ЕС ITU-T OMA ANEC BUEC AllSeen OIC OMG 25+ групп по стандартизации! Кто главный? А еще есть Apple HomeKit и HealthKit!
  37. 37. Фрагментированные усилия по стандартизации L
  38. 38. Множество проектов по стандартизации IoT •  Joint Coordination Activity on Internet of Things (JCA-IoT) при ITU-T –  Создана в феврале 2011-го года –  Преемница JCA-NID (с 2006 года) •  Опубликован консолидированный отчет почти по всем мировым инициативам по стандартизации Интернета вещей –  122 (!) страницы –  250+ (!) стандартов, рекомендаций и их проектов, касающихся Интернета вещей –  Всего 5 (!) относится к защите информации –  http://www.itu.int/en/ITU-T/jca/iot/Pages/ default.aspx
  39. 39. Кто все-таки задает тон в стандартизации – ITU или IEEE? •  IEEE P2413 – Standard for an Architectural Framework for the Internet of Things •  Опирается на 140 существующих IEEE стандартов, имеющих отношение к IoT •  Ориентирован на различные вертикали IoT (транспорт, медицина и т.п.) •  Включает также и раздел по безопасности (security, safety, privacy) •  Будет стремиться взаимодействовать с другими органами по стандартизации
  40. 40. Пока лучше не становится…
  41. 41. ПРИ ОТСУТСТВИИ ЕДИНСТВА ЧТО У НАС С ЗАЩИТОЙ?
  42. 42. Безопасность Интернета вещей – мы только в начале пути •  Персональный Интернет вещей сегодня практически никак не защищен –  Отсутствие серьезного ущерба –  Отсутствие стандартов не только защиты, но и взаимодействия –  Безопасность может быть реализована только на уровне производителя, который пока не понимает (не заинтересован) в решении данного вопроса –  Со временем ситуация должна измениться
  43. 43. Не думайте, что у атомных электростанций ситуация лучше L •  Диссертация Eireann P. Leverett – проанализировано 10000 систем SCADA, доступных онлайн через Shodan –  Июнь 2011
  44. 44. Атаки на системы управления транспортом и сам транспорт
  45. 45. Традиционные навесные средства защиты не готовы •  Готовы ли традиционные средства защиты работать в условиях длительного автономного питания? –  А что насчет агрессивных сред? Специфическая климатика? Взрыво-, влаго-, пыле- защищенность? •  Готовы ли традиционные средства защиты поддерживать задержку в 10-6 сек? –  На многих индустриальных объектах стандарты переданных данных требуют именно таких задержек •  Есть ли защищенные протоколы работы в реальном времени? –  А они поддерживаются используемым оборудованием? –  А когда у вас заканчивается жизненный цикл оборудования?
  46. 46. Традиционные навесные средства защиты не готовы •  Готовы ли традиционные средства защиты аутентифицировать одновременной 50000 устройств IoT в условиях каскадного сбоя? –  Как вообще аутентифицировать удаленные датчики и исполнительные устройства? –  А как управлять сертификатами и ключами при таком количестве одновременных запросов? •  Готовы ли традиционные средства защиты работать с «однобитовыми» пакетами? –  12 бит данных (а то и вовсе 1 бит) от устройств IoT и 160 бит (DSA) или 256 бит (ГОСТ) – готова ли пропускная способность каналов к такому росту сетевой нагрузки?
  47. 47. Кто знает, что еще придумают… Все объединено в единую сеть «Интернет вещей» (M2M) Корпоративные сети ЦОД / Облако
  48. 48. Что объединяет всех?! СЕТЬ Видимость всего трафика Маршрутизация всех запросовИсточники всех данных Контроль всех потоков Управление всеми устройствами Контроль всех пользователей Контроль всех потоков
  49. 49. Наиболее перспективно в настоящий момент реализовывать защиту на сетевом уровне Уровень приложений Уровень поддержки сервисов и приложений Уровень сети Устройства Шлюзы Управление Безопасность Производителям сейчас не до того Производителям сейчас не до того Производителям сейчас не до того Производителям сейчас не до того Невозможно без стандартизации всех уровней Невозможно без стандартизации всех уровней
  50. 50. Попробовать защитить можно, но не всю цепочку IoT Зависит от IoT-приложений В данный момент на данном участке возможно применение традиционных средств защиты При условии использования стандартных сетевых протоколов
  51. 51. Primary Data Center Internet Edge Prime Voice Services Rail Yard Но при правильном построении защищенной сети Enterprise Network GPRS/3G/LTE …“The Cloud” can provide these services as elastic resources that are suitable for use in existing or new applications without a large investment in capital resources and ongoing maintenance costs. WebEx delivers online meetings and easy-to-use web collaboration tools to the entire workforce. Scansafe keeps malware off the corporate network and more effectively controls and secures web usage. Cisco Security solutions protect assets and empowers the workforce. Context- aware security provides high level intelligence, policy governance, and enforcement capabilities. Significantly enhancing the accuracy, effectiveness, and timeliness of any organization's security implementation. Cloud Services Teleworker/Mobile Worker IP Soft Phone TelePresence MOVI Video Conferencing Virtual Desktop WAAS Mobile Anyconnect VPN Client ISR G2 Router VPN Firewall Wireless Trackside Electrical Substation: SCADA RTU Video Surveillance IP Phone SCADA CGS-2520 Rugged Switch Guest Wi-Fi Access Door Access Control WiFi Access Point CGR-2010 Rugged Router with VPN/Firewall Earth Protection RTU RTU IE2000 IE2000 CGS2520 CGS2520 ASR 901 Router GSM-R ASR 901 Router Mast PTCS Positive Train Control 3G Mast 220 MHz Mast ASR 901 Router IE2000 IE2000 220 MHz Train Unit Wayside Messaging Server Traffic Management IP Phone Remote Interface IE-3010 Rugged Switch 819h Router Modular Interlocking IE2000 IE2000 For$More$Informa,on:www.cisco.com/go/designzone$Enabling Rail Network Operators Infrastructure Internet$Edge Video$Communica,on$ Server$(VCS)$ Expressway Ironport$Email$Security An,ESpam,$An,EVirus Data$Loss$Preven,on$(DLP) Ironport$Web$Security Acceptable$Use$Policy$(AUP) Malware$Preven,on ASA5500 Firewall Intrusion$Preven,on$(IPS) Virtual$Private$Network$ (VPN) ASR1000$Router WebEx$Node Wireless$LAN Controller (Guest$Access) Rail$Yard 819H$Router Digital$Signage WiFi$Access$Point Door$Access$Control IE3010 PoE Video$Surveillance VXC/Tablet$ (Virtual$Desktop) PSTN HQ$Campus WiFi$Access$Point Door$Access$ Control IP$Video$ Digital$SignagePC/Tablet$ (Virtual$Desktop) Catalyst$3750X Switch$Cluster PoE$Energywise Catalyst$3750X Switch$Cluster PoE$Energywise Catalyst$3750X Switch$Cluster PoE$Energywise Catalyst$3750X Switch$Cluster PoE$Energywise Catalyst$6500$VSS Core$Switch TelePresence WiFi$Access$Point Door$Access$ Control IP$Video$ Phone Digital$SignagePC/Tablet$ (Virtual$Desktop) Video$Surveillance TelePresence WiFi$Access$Point Door$Access$ Control IP$Video$ Phone Digital$SignagePC/Tablet$ (Virtual$Desktop) Video$Surveillance WiFi$Access$Point Door$Access$ Control IP$Video$ Phone Digital$Signage PC/Tablet$ (Virtual$Desktop) Video$Surveillance PSTN ISR$G2 PSTN$Gateway Voice/Video$DSP Building Management System$(BMS) HVAC/Lights Network$ Building Mediator Network$Management Prime Cisco$Security$ Manager$(CSM) Data$Centre$ Network$Manager$ (DCNM) Network$ Control$ Systems$(NCS) LAN$Management$ System$(LMS) Energywise$ Iden,ty$Service$ Network$Analysis$ Collabora,on$ Cisco*Physical*Access*Control*is*a*costBeffecDve* IPBbased*soluDon*that*uses*the*IP*network*for* integrated*security*operaDons.*It$works$with$ exis,ng$card$readers,$locks$and$biometric$ devices$and$is$integrated$with$Cisco$Video$ Surveillance$and$IP$Interoperability$and$ Collabora,on$System$(IPICS)$for$a$ comprehensive,$holis,c$enterpriseEwide$safety$ and$security$solu,on. Cisco*Security*soluDons*protect*assets*and* empowers*the*workforce.*ContextEaware$ security$provides$high$level$intelligence,$policy$ governance,$and$enforcement$capabili,es.$ Significantly$enhancing$the$accuracy,$ effec,veness,$and$,meliness$of$any$ organisa,on's$security$implementa,on. Cloud*Services*can*offer*savings*in*IT* resources*such*as*compuDng*storage*and* applicaDon*services.*“The$Cloud”$can$provide$ theses$services$as$elas,c$resources$that$are$ suitable$for$use$in$exis,ng$or$new$applica,ons$ without$a$large$investment$in$capital$resources$ and$ongoing$maintenance$costs.$WebEx* delivers$online$mee,ngs$and$easyEtoEuse$web$ collabora,on$tools$to$the$en,re$workforce.$ Scansafe$keeps$malware$off$the$corporate$ network$and$more$effec,vely$controls$and$ secures$web$usage. Cloud$Services Teleworker/Mobile$Worker IP$Sog$Phone TelePresence$MOVI$ Video$Conferencing Virtual$Desktop WAAS$Mobile Anyconnect$VPN$Client ISR$G2$Router VPN Firewall Wireless Mobile$Phone Anyconnect$ VPN$Client Internet Regional$Control$Centre TelePresence ISR$G2$Router Catalyst$6500$VSS Core$Switch Door$Access$ Control WiFi$Access$Point Video$Surveillance Virtual$Matrix IP$Phone$ Console Unified$Compu,ng$ System$(UCS)$Rack Digital$Signage Video$Wall VXC/Tablet$ (Virtual$Desktop) IP$Phone Remote$Interface 819h Router IEE3010 Rugged$Switch Traffic Management WAN$Aggrega,on Primary$Data$Centre WAN$ Op,misa,on$ (WAAS) Catalyst$6500$VSS Services$Layer Firewall Server$Load$Balancing$(ACE) Network$Applica,on$Monitoring$(NAM) MDS$9500 SAN$Switch Storage SAN Unified$Compu,ng$ System$(UCS)$Blade Unified$Compu,ng$ System$(UCS)$Blade Nexus$5000 Switch Nexus$5000 Switch Unified$Compu,ng$ System$(UCS)$Blade Nexus$2000 Switch Nexus$2000 Switch Nexus$7000 Core/Aggrega,on$Switch Nexus$7000 Core/Aggrega,on$Switch Catalyst$6500$VSS Services$Layer Firewall Server$Load$Balancing$(ACE) Network$Applica,on$Monitoring$(NAM) MDS$9500 SAN$Switch Storage Unified$Compu,ng$ System$(UCS)$Rack Unified$Compu,ng$ System$(UCS)$Rack Nexus$2000 Switch Nexus$5000 Switch Hypervisor Nexus*1000v Virtual*Machines Hypervisor Nexus*1000v Virtual*Machines HypervisorDesktop* VirtualisaDon* SoQware Virtual*MachinesCommunicaDon* Manager*(CUCM) Unity*ConnecDon* (CUC) Jabber*(Presence) Contact*Centre* (UCCX) MeeDng*Place AWendant* S S S S S Digital*Media* Manager*(DMM) Show*&*Share* Server QUAD Network* Management TelePresence*Ctrl* Server*(TCS) TelePresence* S S S S S OS App OS App OS App OS App OS App OS App OS App OS App OS App OS OS OS WAN$ Op,misa,on$ (WAAS) Wireless$LAN Controller IPICS*Server Physical*Access* Manager*(PAM) Video*Surveillance* OperaDons*Manager Video*Surveillance* Media*Server*(VSMS) Mediator*Manager Mobility*Services* Engine*(MSE) Media*Exchange* Engine*(MXE) Video*Comms*Server* (VCS) PSTN ISR$G2 PSTN$Gateway Voice/Video$DSP Fibre$Channel$over$Ethernet$(FCoE) Fibre$Channel$Storage$Links Ethernet Cisco*Unified*Fabric*Data*Centre*provides*flexible,*agile,*highB performance,*nonBstop*operaDons;**selfBintegraDng*informaDon* technology,*reduced*staff*costs*with*increased*upDme*through* automaDon,*and*more*rapid*return*on*investment.$It$ accelerates$virtualisa,on$and$enables$automa,on$to$extend$the$ lifecycle$of$missionEcri,cal$resources$to$support$evolving$needs.$ Rail$companies$can$reduce$their$total$cost$of$ownership$(TCO)$ Wide*Area*ApplicaDon*Services*(WAAS)*is*a*comprehensive* WAN*opDmizaDon*soluDon*that*accelerates*applicaDons* over*the*WAN,$delivers$video$to$the$branch$office,$and$ provides$local$hos,ng$of$branchEoffice$IT$services.$Cisco$ WAAS$allows$IT$departments$to$centralize$applica,ons$and$ storage$in$the$Data$Centre$while$maintaining$LANElike$ applica,on$performance. IP/MPLS*in*the*WAN*enables*converged*secure*link* virtualisaDon.$It$reduces$overall$costs$by$suppor,ng$mul,ple$ logical$networks$across$a$single$physical$infrastructure.$ ASR$1000$Router ASR$1000$Router Voice$Services Converged*plantBwide*Ethernet*via*Cisco* Rugged*Switches*and*Routers*(CGSB2520,* IE2000,*CGRB2010)$support$SCADA$ communica,ons$through$hierarchical$ segmenta,on.$This$results$in$reduced$cost$and$ complexity$with$increased$efficiency,$scale,$ resilience,$policy$enforcement$and$defenceEinE depth$security. Local$Signal$Box Digital$Signage IP$Video$ Phone WiFi$Access$Point Door$Access$ Control Video$Surveillance ASR$903$Router VXC/Tablet$ (Virtual$Desktop) 3750x PTC$%$Posi)ve$Train$Control Earth$Protec,on IE2000 CGS2520 RTU RTU IE2000 CGS2520 ASR$903$Router Sta,on TelePresence Digital$Signage IP$Video$ Phone WiFi$Access$Point Door$Access$ Control Video$Surveillance ISR$G2$Router 3750x Retailers Retail$Comms Customer$ Informa,on$ Screens HelpEpoint$ Phone Telephony Security$Systems Video$Surveillance Internet Access Enterprise$Network IP$Phone WiFi$Access$Point CGSE2520 Rugged$Switch SCADA Door$Access$ControlVideo$Surveillance CGRE2010Rugged$Router$with$ VPN/Firewall Guest$WiFi$AccessRTU Trackside$Electrical$Substa,on$E$SCADA MPLS Layer Optical Layer P$Router PE$Router Opera,onal$Network Door$Access$ Control Analogue$Camera Level$Crossing 819$Router IP$Phone IE2000 Video$Gateway IP$Camera Connected$Rail$Architecture Trackside$&$Train$WiFi 819H$Router 3G/LTE Rugged$Mobile$Computer$ Connected$Field$Staff Train/Shore Mobile$Workforce Site$Connec,vity Modular Interlocking Mast ASR$901$Router GSMER Signal IE$2000IE$2000 Component Control Point Machine Axel Counter IE$2000 IE$2000 3G$ Mast ASR$901$ Router 220Mhz$Mast 220MHz$ Train$Unit Wayside$Messaging$ Server GPRS/3G/LTE For$More$Informa,on:www.cisco.com/go/designzone$Enabling Rail Network Operators Infrastructure Internet$Edge Video$Communica,on$ Server$(VCS)$ Expressway ASA5500 Firewall Intrusion$Preven,on$(IPS) Virtual$Private$Network$ (VPN) ASR1000$Router WebEx$Node Rail$Yard 819H$Router PSTN HQ$Campus Catalyst$3750X Switch$Cluster PoE$Energywise Catalyst$3750X Switch$Cluster PoE$Energywise Catalyst$6500$VSS Core$Switch W Vid W Vid P Vo Cisco*Physical*Access*Control*is*a*costBeffecDve* IPBbased*soluDon*that*uses*the*IP*network*for* integrated*security*operaDons.*It$works$with$ exis,ng$card$readers,$locks$and$biometric$ devices$and$is$integrated$with$Cisco$Video$ Surveillance$and$IP$Interoperability$and$ Collabora,on$System$(IPICS)$for$a$ comprehensive,$holis,c$enterpriseEwide$safety$ and$security$solu,on. Cisco*Security*soluDons*protect*assets*and* empowers*the*workforce.*ContextEaware$ security$provides$high$level$intelligence,$policy$ governance,$and$enforcement$capabili,es.$ Significantly$enhancing$the$accuracy,$ effec,veness,$and$,meliness$of$any$ organisa,on's$security$implementa,on. Cloud*Services*can*offer*savings*in*IT* resources*such*as*compuDng*storage*and* applicaDon*services.*“The$Cloud”$can$provide$ theses$services$as$elas,c$resources$that$are$ suitable$for$use$in$exis,ng$or$new$applica,ons$ without$a$large$investment$in$capital$resources$ and$ongoing$maintenance$costs.$WebEx* delivers$online$mee,ngs$and$easyEtoEuse$web$ collabora,on$tools$to$the$en,re$workforce.$ Scansafe$keeps$malware$off$the$corporate$ rvices er/Mobile$Worker Phone ce$MOVI$ erencing esktop Mobile VPN$Client ISR$G2$Router VPN Firewall Wireless Mobile$Phone Anyconnect$ VPN$Client Internet Regional$Contro ISR$G2$Router Cata C Door$Access$ Control IP$Phone Remote$Interface 819h Router IEE3010 Rugged$Switch Traffic Management WAN$Aggrega,on Primary$Data$Centre WAN$ Op,misa,on$ (WAAS) Catalyst$6500$VSS Services$Layer Firewall Server$Load$Balancing$(ACE) Network$Applica,on$Monitoring$(NAM) MDS$9500 SAN$Switch SAN Nexus$7000 Core/Aggrega,on$Switch Nexus$7000 Core/Aggrega,on$Switch Catalyst$6500$VSS Services$Layer Firewall Server$Load$Balancing$(ACE) Network$Applica,on$Monitoring$(NAM) MDS$9500 SAN$Switch WAN$ Op,misa,on$ (WAAS) Wireless$LAN Controller Fibre$Channel$over$Ethernet$(FCoE) Fibre$Channel$Storage$Links Ethernet Wide*Area*ApplicaDon*Services*(WAAS)*is*a*comprehensive* WAN*opDmizaDon*soluDon*that*accelerates*applicaDons* over*the*WAN,$delivers$video$to$the$branch$office,$and$ provides$local$hos,ng$of$branchEoffice$IT$services.$Cisco$ WAAS$allows$IT$departments$to$centralize$applica,ons$and$ storage$in$the$Data$Centre$while$maintaining$LANElike$ applica,on$performance. IP/MPLS*in*the*WAN*enables*converged*secure*link* virtualisaDon.$It$reduces$overall$costs$by$suppor,ng$mul,ple$ logical$networks$across$a$single$physical$infrastructure.$ ASR$1000$Router ASR$1000$Router Voice$Services Converged*plantBwide*Ethernet*via*Cisco* Rugged*Switches*and*Routers*(CGSB2520,* IE2000,*CGRB2010)$support$SCADA$ communica,ons$through$hierarchical$ segmenta,on.$This$results$in$reduced$cost$and$ complexity$with$increased$efficiency,$scale,$ resilience,$policy$enforcement$and$defenceEinE depth$security. Local$Signal$Box Digital$Signage IP$Video$ Phone WiFi$Access$Point Door$Access$ Control Video$Surveillance ASR$903$Router VXC/Tablet$ (Virtual$Desktop) 3750x PTC$%$Posi)ve$Train$Control tec,on RTU IE2000 CGS2520 R$903$Router Sta,on TelePresence IP$Video$ Phone Video$Surveillance 3750x Retailers Retail$Comm Customer$ Informa,on$ Screens Telephony Internet Access Enterprise$Network one WiFi$Access$Point 520 witch DA Door$Access$Controlrveillance CGRE2010Rugged$Router$with$ VPN/Firewall Guest$WiFi$AccessTU $Electrical$Substa,on$E$SCADA MPLS Layer Optical Layer P$Router PE$Router Opera,onal$Network Door$Access$ Control Analogue$Camera Level$Crossing 819$Router IP$Phone IE2000 Video$Gateway IP$Camera Connected$Rail$Architecture Trackside$&$Train$WiFi 819H$Router 3G/LTE Rugged$Mobile$Computer$ Connected$Field$Staff Train/Shore Mobile$Workforce Site$Connec,vity Modular Interlocking ASR$901$Router Signal IE$2000IE$2000 Component Control Point Machine Axel Counter IE$2000 IE$2000 3G$ Mast ASR$901$ Router 220Mhz$Mast 220MHz$ Train$Unit Wayside$Messaging$ Server GPRS/3G/LTE Signal Point Machine Axel Counter Component Control Converged plant-wide Ethernet via Cisco Rugged Switches and Routers (CGS-2520, IE 2000, CGR-2010) Support SCADA communications through hierarchical segmentation. This results in reduced cost and complexity with increased efficiency, scale, resilience, policy enforcement and defense in depth security. Trackside and Train WiFi 918h Router 3G/LTE Rugged Mobile Computer Connected Field Staff Train/Shore Site Connectivity Mobile Workforce Level Crossing IP Phone IE2000 Video Gateway 819 Router Analogue Camera IP Camera Door Access Control Local Signal Box Cisco physical Access Control in a cost-effective IP-based solution that uses the IP network for integrated security operations. It works with existing card readers, locks and biometric devices and is integrated with Cisco Video Surveillance and IP Interoperability and Collaboration System (IPICS) for a comprehensive, holistic enterprise-wide safety and security solution. Video Surveillance Door Access Control Digital Signage VXC/Tablet (Virtual Desktop) IP Video Phone 3750x WiFi Access Point ASR 901 Router Station Retail Comms Retailers Video Surveillance Digital Signage TelePresence Door Access Control IP Video Phone WiFi Access Point 3750x ISR G2 Router Customer Information Screens Help-point Phone Telephony Security Systems Internet Access Video Surveillance Regional Control Centre Door Access Control IP Phone Console TelePresence Digital Signage Video Wall WiFi Access Point Video Surveillance Virtual Matrix ISR G2 Router VXC/Tablet (Virtual Desktop) Unified Computing System (UCS) Rack Catalyst 6500 VSS Core Switch 819H Router WiFi Access PointIC3010 PoCDoor Access Control Video Surveillance Digital Signage VXC/Tablet (Virtual Desktop) PSTN HQ Campus Building Management System (BMS) HVAC/LightsISR G2 PSTN Gateway Voice/Video DSP PCTablet (Virtual Desktop) TelePresence IP Video Phone Digital Signage PCTablet (Virtual Desktop) TelePresence IP Video Phone Digital Signage PCTablet (Virtual Desktop) TelePresence IP Video Phone Digital Signage PCTablet (Virtual Desktop) Network Building Mediator IP Video Phone Digital Signage PSTN Video Surveillance WiFi Access Point Door Access Control Video Surveillance WiFi Access Point Door Access Control Video Surveillance WiFi Access Point Door Access Control Video Surveillance WiFi Access Point Door Access Control WAN Aggregation Wide Area Applications Services (WAAS) is a comprehensive WAN optimization solution that accelerates applications over the WAN, delivers video to the branch office, and provides local hosting of branch-office IT services. Cisco WAAS allows IT departments to centralize applications and storage in the Data Centre while maintaining LAN-like application performance. IP/MLPS in the WAN enables converged secure link virtualization. It reduces overall costs by supporting multiple logical networks across a single physical infrastructure. Wireless LAN Controller WAN Optimization (WAAS) WAN Optimization (WAAS) Unified Computing System (UCS) Blade Unified Computing System (UCS) Blade Unified Computing System (UCS) Blade Nexus 2000 Switch Nexus 2000 Switch Unified Computing System (UCS) Blade Unified Computing System (UCS) Blade ISR G2 PSTN Gateway Voice/Video DSP PSTN Nexus 2000 Switch SAN MDS 9500 SAN Switch MDS 9500 SAN Switch StorageStorage Cisco Unified Fabric Data Center provides flexible, agile, high-performance, non-stop operations; self-integrating information technology, reduced staff costs with increased uptime through automation, and more rapid return on investment. It accelerates virtualization and enables automation to extend the lifecycle of mission-critical resources to support evolving needs. Rail companies can reduce their total cost of ownership (TCO) and increase business agility—both critical to combating the server sprawl and inefficiency inherent in many data centers today. Virtual Machines Communication Manager (CUCM)S Unity Connection (CUC)S Jabber (Presence)S Contact Center (UCCX)S Meeting PlaceS Attendant ConsoleS Virtual Machines Digital Media Manager (DMM)S Show and Share ServerS QUADS Network ManagementS TelePresence Ctrl Server (TCS)S TelePresence Manager (TMS)S Hypervisor Nexus 1000v Hypervisor Nexus 1000v Hypervisor Desktop Virtualization Software Virtual Machines OS OS OS OS App App App App OS OS OS OS App App App App OS OS OS OS App App App App IPICS Server Physical Access Manager (PAM) Video Surveillance Operations Manager Video Surveillance Media Server (VSMS) Enterprise Content Delivery Sys (EDCS) Mediator Manager Mobility Services Engine (MSE) Media Exchange Engine (MXE) Video Comms Server (VCS) Tpresence Multipoint Control Unit (MCU) Ethernet Fiber Channel over Ethernet (FCoE) Fiber Channel Storage Links Internet Edge ASR 1000 Router WebEx Node ASA 5500 Firewall Intrusion Prevention (IPS) Virtual Private Network (VPN) Video Communications Server (VCS) Expressway Ironport Email Security Anti-Spam, Anti-Virus Data Loss Prevention (DLP) Ironport Web Security Acceptable Use Policy (AUP) Malware Prevention Wireless LAN Controller (Guest Access) Cisco Security Manager (CSM) Energywise Orchestrator Data Center Network Manager (DCNM) Identity Services Engine (ISE) Network Control Systems (NCS) Network Analysis Module (NAM) LAN Management System (LMS) Collaboration Manager (CM) Internet Mobile Phone Anyconnect VPN Client Catalyst 6500 VSS Core Switch Catalyst 3750X Switch Cluster PoE Energywise Catalyst 3750X Switch Cluster PoE Energywise Catalyst 3750X Switch Cluster PoE Energywise Catalyst 3750X Switch Cluster PoE Energywise Catalyst 6500 VSS Services Layer Firewall Server Load Balancing (ACE) Network Application Monitoring (NAM) ASR 1000 Router ASR 1000 Router Nexus 5000 Switch Nexus 5000 Switch Nexus 5000 Switch Catalyst 6500 VSS Services Layer Firewall Server Load Balancing (ACE) Network Application Monitoring (NAM) Nexus 7000 Core/Aggregation Switch Nexus 7000 Core/Aggregation Switch Optical Layer MLPS Layer Operational Network PE Router P Router
  52. 52. © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация CiscoBRKSEC-1065 53 Спасибо security-request@cisco.com

×