Безопасность Интернета вещей - непростая тема и имеет очень много проблем, обусловленных, в первую очередь, большим количеством применений IoT и, как следствие, большим количество стандартов (и их проектов), не всегда связанных между собой
2. Первый в мире Интернет-тостер – 1990 год!!!
• Sunbeam Deluxe Automatic Radiant
Control Toaster
• 1990 год – выставка Interop
• Симон Хакетт
• Подключение по TCP/IP
– Контроль с помощью SNMP
• Функции
– Включение через Интернет
– Контроль времени работы
• В 1991-м году добавили кран,
управляемый через Интернет,
который по команде подавал хлеб
в тостер
4. Типы всеобъемлющего Интернета (IoE)
ТИП СОЕДИНЕНИЯ
МАШИНА-С-МАШИНОЙ (M2M)
§ Данные посылаются / получаются от одного устройства (вещи) к другому
§ Часто называется «Интернетом вещей» («Internet of Things»)
$7.4 ТРИЛЛИОНА
МАШИНА-С-ЧЕЛОВЕКОМ (M2P)
§ Данные посылаются / получаются от одного устройства (вещи) к человеку
§ Часто называется «данные и аналитика»
$4.6 ТРИЛЛИОНА
ЧЕЛОВЕК-С-ЧЕЛОВЕКОМ (P2P)
§ Данные посылаются / получаются от одного человека к другому
§ Часто называется «взаимодействие» («обычный Интернет»)
$7.0 ТРИЛЛИОНА
ОБЪЕМ РЫНКА (2013-2022)
5. 7.2
6.8
7.6
Всеобъемлющий Интернет (Internet of Everything)
уже существует
Лавинообразный рост
внедрений цифровых
технологий:
В 5 раз быстрее, чем в
электроэнергетике или
телефонии
50Миллиардов
“Умных устройств”
50
2010 2015 2020
0
40
30
20
10
Миллиардыустройств
25
12.5
Критическая
точка
Годы
Население
земли
21. Мы все ближе к самым интимным сторонам,
в которые проникает IoE
• We Vibe 3 – это
самый популярный
вибратор для
семейных пар
• Продано более 10
миллионов
• Беспроводное
дистанционное
управление
• Смерть от
непрерывного…?
27. Чем известен Барнаби Джек?
• Удаленная команда
кардиостимулятору на выпуск
разряда в 800 вольт
– Интернет-дефибриллятор
• Червь, распространяющийся
через кардиостимуляторы
– Что насчет массового
убийства?
• Дистанционный взлом
инсулиновых помп
29. Домашняя АСУ ТП
Cisco Home Energy
Controller (CGH-100)
• Экран Touch screen
• Поддержка WiFi / Ethernet
• Smart Energy Profile certified
Zigbee interface
• Управление из облака
30. Умный дом - это тоже Интернет вещей
Использование Термостат Как экономить?
Реакция на потребности Счет Контроль техники
34. Варианты взаимодействия устройств между
собой: с высоты птичьего полета
Внутреннее
сетевое
• Взаимодействие
осуществляется
через
внутренние сети
(корпоративные
или
индустриальные)
Внешнее сетевое
• Взаимодействие
осуществляется
через Интернет
или иные каналы
связи общего
пользования
Персональное
• Локальный
обмен данными
через протокол
Bluetooth, ZigBee,
NFC и т.п.
• Взаимодействие может быть как однонаправленным, так и
двунаправленным
35. Протоколы индустриального Интернета вещей (АСУ ТП)
• 70-е годы – последовательные коммуникации (serial)
– Многие протоколы разработаны для них
• 90-е года – начало перехода на TCP/IP-коммуникации
• ANSI X3.28
• BBC 7200
• CDC Types 1 и 2
• Conitel 2020/2000/3000
• DCP 1
• DNP 3.0
• Gedac7020
• ICCP
• Landis & Gyr8979
• Modbus
• OPC
• ControlNet
• DeviceNet
• DH+
• ProfiBus
• Tejas3 и 5
• TRW 9550
• UCA
• …
36. Универсальных протоколов нет даже в АСУ ТП. Несмотря
на десятилетия их существования
Электроэнергетика
• IEC 60870-5
• DNP3
• FOUNDATION
Fieldbus
• ICCP
• Modbus
Нефтегаз
• IEC 60870-5
• DNP3
• Modbus
Водоснабжение
• DNP3
• Modbus
Автоматизация
зданий
• LonWorks (or
LonTalk, or ANSI/
CEA 709.1-B)
• DyNet
• INSTEON, X10,
ZigBee, X-Wave и
KNX/Konnex
Промышленность
• DF1
• FOUNDATION
Fieldbus
• Profibus
• PROFINET IO
• CC-Link
• CIP
• ControlNet
• DeviceNet
• Ethernet/IP
• EtherCAT
• EGD
• FINS
• Host Link
• SERCOS
• SRTP
• Sinec H1
37. Множество участников в стандартизации IoT
CEN
3GPP
IETF
GISFI
OGC
ETSI
IEEEGS1
OASIS
W3C
CASAGARAS
IIC
Thread Group
YPR
ECMA
ISO
TIA
GSM
IEC
ЕС
ITU-T
OMA
ANEC
BUEC
AllSeen
OIC
OMG
25+ групп по
стандартизации! Кто главный?
А еще есть Apple HomeKit и HealthKit!
39. Множество проектов по стандартизации IoT
• Joint Coordination Activity on Internet of
Things (JCA-IoT) при ITU-T
– Создана в феврале 2011-го года
– Преемница JCA-NID (с 2006 года)
• Опубликован консолидированный отчет
почти по всем мировым инициативам по
стандартизации Интернета вещей
– 122 (!) страницы
– 250+ (!) стандартов, рекомендаций и
их проектов, касающихся Интернета
вещей
– Всего 5 (!) относится к защите
информации
– http://www.itu.int/en/ITU-T/jca/iot/Pages/
default.aspx
40. Кто все-таки задает тон в стандартизации – ITU или IEEE?
• IEEE P2413 – Standard for
an Architectural Framework
for the Internet of Things
• Опирается на 140
существующих IEEE
стандартов, имеющих
отношение к IoT
• Ориентирован на
различные вертикали IoT
(транспорт, медицина и
т.п.)
• Включает также и раздел по безопасности (security, safety,
privacy)
• Будет стремиться взаимодействовать с другими органами по
стандартизации
43. Безопасность Интернета вещей – мы только
в начале пути
• Персональный Интернет вещей сегодня практически никак не
защищен
– Отсутствие серьезного ущерба
– Отсутствие стандартов не только защиты, но и взаимодействия
– Безопасность может быть реализована только на уровне
производителя, который пока не понимает (не заинтересован) в
решении данного вопроса
– Со временем ситуация должна измениться
44. Не думайте, что у атомных электростанций ситуация
лучше L
• Диссертация Eireann P.
Leverett –
проанализировано 10000
систем SCADA, доступных
онлайн через Shodan
– Июнь 2011
46. Традиционные навесные средства защиты не готовы
• Готовы ли традиционные средства защиты работать в условиях
длительного автономного питания?
– А что насчет агрессивных сред? Специфическая климатика?
Взрыво-, влаго-, пыле- защищенность?
• Готовы ли традиционные средства защиты поддерживать
задержку в 10-6 сек?
– На многих индустриальных объектах стандарты переданных
данных требуют именно таких задержек
• Есть ли защищенные протоколы работы в реальном времени?
– А они поддерживаются используемым оборудованием?
– А когда у вас заканчивается жизненный цикл оборудования?
47. Традиционные навесные средства защиты не готовы
• Готовы ли традиционные средства защиты аутентифицировать
одновременной 50000 устройств IoT в условиях каскадного сбоя?
– Как вообще аутентифицировать удаленные датчики и
исполнительные устройства?
– А как управлять сертификатами и ключами при таком количестве
одновременных запросов?
• Готовы ли традиционные средства защиты работать с
«однобитовыми» пакетами?
– 12 бит данных (а то и вовсе 1 бит) от устройств IoT и 160 бит
(DSA) или 256 бит (ГОСТ) – готова ли пропускная способность
каналов к такому росту сетевой нагрузки?
48. Кто знает, что еще придумают…
Все объединено в единую сеть
«Интернет вещей» (M2M)
Корпоративные
сети
ЦОД / Облако
49. Что объединяет всех?!
СЕТЬ
Видимость всего трафика
Маршрутизация всех запросовИсточники всех данных
Контроль всех потоков
Управление всеми устройствами
Контроль всех пользователей
Контроль всех потоков
50. Наиболее перспективно в настоящий момент
реализовывать защиту на сетевом уровне
Уровень приложений
Уровень поддержки
сервисов и приложений
Уровень сети
Устройства Шлюзы
Управление
Безопасность
Производителям
сейчас не до того Производителям
сейчас не до того
Производителям
сейчас не до того Производителям
сейчас не до того
Невозможно без
стандартизации
всех уровней
Невозможно без
стандартизации
всех уровней
51. Попробовать защитить можно, но не всю цепочку IoT
Зависит от
IoT-приложений
В данный момент на данном участке
возможно применение традиционных
средств защиты
При условии
использования
стандартных
сетевых протоколов
52. Primary Data Center
Internet Edge
Prime
Voice Services
Rail Yard
Но при правильном построении защищенной
сети
Enterprise Network
GPRS/3G/LTE
…“The Cloud” can provide these services as elastic
resources that are suitable for use in existing or new
applications without a large investment in capital
resources and ongoing maintenance costs. WebEx
delivers online meetings and easy-to-use web
collaboration tools to the entire workforce. Scansafe
keeps malware off the corporate network and more
effectively controls and secures web usage.
Cisco Security solutions protect assets
and empowers the workforce. Context-
aware security provides high level
intelligence, policy governance, and
enforcement capabilities. Significantly
enhancing the accuracy, effectiveness,
and timeliness of any organization's
security implementation.
Cloud Services
Teleworker/Mobile
Worker
IP Soft Phone
TelePresence MOVI
Video Conferencing
Virtual Desktop
WAAS Mobile
Anyconnect VPN Client
ISR G2 Router
VPN
Firewall
Wireless
Trackside Electrical Substation:
SCADA
RTU
Video
Surveillance
IP Phone
SCADA
CGS-2520
Rugged Switch
Guest Wi-Fi
Access
Door Access Control
WiFi Access Point
CGR-2010 Rugged Router
with VPN/Firewall
Earth Protection
RTU RTU
IE2000 IE2000
CGS2520 CGS2520
ASR 901 Router
GSM-R
ASR 901 Router
Mast
PTCS Positive
Train Control
3G Mast 220 MHz Mast
ASR 901
Router
IE2000 IE2000
220 MHz
Train Unit
Wayside
Messaging
Server
Traffic
Management
IP Phone
Remote Interface
IE-3010
Rugged Switch
819h
Router
Modular Interlocking
IE2000 IE2000
For$More$Informa,on:www.cisco.com/go/designzone$Enabling Rail Network Operators Infrastructure
Internet$Edge
Video$Communica,on$
Server$(VCS)$
Expressway
Ironport$Email$Security
An,ESpam,$An,EVirus
Data$Loss$Preven,on$(DLP)
Ironport$Web$Security
Acceptable$Use$Policy$(AUP)
Malware$Preven,on
ASA5500
Firewall
Intrusion$Preven,on$(IPS)
Virtual$Private$Network$
(VPN)
ASR1000$Router
WebEx$Node
Wireless$LAN
Controller
(Guest$Access)
Rail$Yard
819H$Router
Digital$Signage
WiFi$Access$Point
Door$Access$Control
IE3010
PoE
Video$Surveillance
VXC/Tablet$
(Virtual$Desktop)
PSTN
HQ$Campus
WiFi$Access$Point
Door$Access$
Control
IP$Video$
Digital$SignagePC/Tablet$
(Virtual$Desktop)
Catalyst$3750X
Switch$Cluster
PoE$Energywise
Catalyst$3750X
Switch$Cluster
PoE$Energywise
Catalyst$3750X
Switch$Cluster
PoE$Energywise
Catalyst$3750X
Switch$Cluster
PoE$Energywise
Catalyst$6500$VSS
Core$Switch
TelePresence
WiFi$Access$Point
Door$Access$
Control
IP$Video$
Phone
Digital$SignagePC/Tablet$
(Virtual$Desktop)
Video$Surveillance
TelePresence
WiFi$Access$Point
Door$Access$
Control
IP$Video$
Phone
Digital$SignagePC/Tablet$
(Virtual$Desktop)
Video$Surveillance
WiFi$Access$Point
Door$Access$
Control
IP$Video$
Phone
Digital$Signage
PC/Tablet$
(Virtual$Desktop)
Video$Surveillance
PSTN
ISR$G2
PSTN$Gateway
Voice/Video$DSP
Building
Management
System$(BMS)
HVAC/Lights
Network$
Building
Mediator
Network$Management
Prime
Cisco$Security$
Manager$(CSM)
Data$Centre$
Network$Manager$
(DCNM)
Network$
Control$
Systems$(NCS)
LAN$Management$
System$(LMS)
Energywise$ Iden,ty$Service$ Network$Analysis$ Collabora,on$
Cisco*Physical*Access*Control*is*a*costBeffecDve*
IPBbased*soluDon*that*uses*the*IP*network*for*
integrated*security*operaDons.*It$works$with$
exis,ng$card$readers,$locks$and$biometric$
devices$and$is$integrated$with$Cisco$Video$
Surveillance$and$IP$Interoperability$and$
Collabora,on$System$(IPICS)$for$a$
comprehensive,$holis,c$enterpriseEwide$safety$
and$security$solu,on.
Cisco*Security*soluDons*protect*assets*and*
empowers*the*workforce.*ContextEaware$
security$provides$high$level$intelligence,$policy$
governance,$and$enforcement$capabili,es.$
Significantly$enhancing$the$accuracy,$
effec,veness,$and$,meliness$of$any$
organisa,on's$security$implementa,on.
Cloud*Services*can*offer*savings*in*IT*
resources*such*as*compuDng*storage*and*
applicaDon*services.*“The$Cloud”$can$provide$
theses$services$as$elas,c$resources$that$are$
suitable$for$use$in$exis,ng$or$new$applica,ons$
without$a$large$investment$in$capital$resources$
and$ongoing$maintenance$costs.$WebEx*
delivers$online$mee,ngs$and$easyEtoEuse$web$
collabora,on$tools$to$the$en,re$workforce.$
Scansafe$keeps$malware$off$the$corporate$
network$and$more$effec,vely$controls$and$
secures$web$usage.
Cloud$Services
Teleworker/Mobile$Worker
IP$Sog$Phone
TelePresence$MOVI$
Video$Conferencing
Virtual$Desktop
WAAS$Mobile
Anyconnect$VPN$Client
ISR$G2$Router
VPN
Firewall
Wireless
Mobile$Phone
Anyconnect$
VPN$Client
Internet
Regional$Control$Centre
TelePresence
ISR$G2$Router Catalyst$6500$VSS
Core$Switch
Door$Access$
Control
WiFi$Access$Point Video$Surveillance
Virtual$Matrix
IP$Phone$
Console
Unified$Compu,ng$
System$(UCS)$Rack
Digital$Signage
Video$Wall
VXC/Tablet$
(Virtual$Desktop)
IP$Phone
Remote$Interface
819h
Router
IEE3010
Rugged$Switch
Traffic
Management
WAN$Aggrega,on
Primary$Data$Centre
WAN$
Op,misa,on$
(WAAS)
Catalyst$6500$VSS
Services$Layer
Firewall
Server$Load$Balancing$(ACE)
Network$Applica,on$Monitoring$(NAM)
MDS$9500
SAN$Switch
Storage
SAN
Unified$Compu,ng$
System$(UCS)$Blade
Unified$Compu,ng$
System$(UCS)$Blade
Nexus$5000
Switch
Nexus$5000
Switch
Unified$Compu,ng$
System$(UCS)$Blade Nexus$2000
Switch
Nexus$2000
Switch
Nexus$7000
Core/Aggrega,on$Switch
Nexus$7000
Core/Aggrega,on$Switch
Catalyst$6500$VSS
Services$Layer
Firewall
Server$Load$Balancing$(ACE)
Network$Applica,on$Monitoring$(NAM)
MDS$9500
SAN$Switch
Storage
Unified$Compu,ng$
System$(UCS)$Rack
Unified$Compu,ng$
System$(UCS)$Rack
Nexus$2000
Switch
Nexus$5000
Switch
Hypervisor
Nexus*1000v
Virtual*Machines
Hypervisor
Nexus*1000v
Virtual*Machines
HypervisorDesktop*
VirtualisaDon*
SoQware
Virtual*MachinesCommunicaDon*
Manager*(CUCM)
Unity*ConnecDon*
(CUC)
Jabber*(Presence)
Contact*Centre*
(UCCX)
MeeDng*Place
AWendant*
S
S
S
S
S
Digital*Media*
Manager*(DMM)
Show*&*Share*
Server
QUAD
Network*
Management
TelePresence*Ctrl*
Server*(TCS)
TelePresence*
S
S
S
S
S
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS OS OS
WAN$
Op,misa,on$
(WAAS)
Wireless$LAN
Controller
IPICS*Server
Physical*Access*
Manager*(PAM)
Video*Surveillance*
OperaDons*Manager
Video*Surveillance*
Media*Server*(VSMS)
Mediator*Manager
Mobility*Services*
Engine*(MSE)
Media*Exchange*
Engine*(MXE)
Video*Comms*Server*
(VCS)
PSTN
ISR$G2
PSTN$Gateway
Voice/Video$DSP
Fibre$Channel$over$Ethernet$(FCoE)
Fibre$Channel$Storage$Links
Ethernet
Cisco*Unified*Fabric*Data*Centre*provides*flexible,*agile,*highB
performance,*nonBstop*operaDons;**selfBintegraDng*informaDon*
technology,*reduced*staff*costs*with*increased*upDme*through*
automaDon,*and*more*rapid*return*on*investment.$It$
accelerates$virtualisa,on$and$enables$automa,on$to$extend$the$
lifecycle$of$missionEcri,cal$resources$to$support$evolving$needs.$
Rail$companies$can$reduce$their$total$cost$of$ownership$(TCO)$
Wide*Area*ApplicaDon*Services*(WAAS)*is*a*comprehensive*
WAN*opDmizaDon*soluDon*that*accelerates*applicaDons*
over*the*WAN,$delivers$video$to$the$branch$office,$and$
provides$local$hos,ng$of$branchEoffice$IT$services.$Cisco$
WAAS$allows$IT$departments$to$centralize$applica,ons$and$
storage$in$the$Data$Centre$while$maintaining$LANElike$
applica,on$performance.
IP/MPLS*in*the*WAN*enables*converged*secure*link*
virtualisaDon.$It$reduces$overall$costs$by$suppor,ng$mul,ple$
logical$networks$across$a$single$physical$infrastructure.$
ASR$1000$Router ASR$1000$Router
Voice$Services
Converged*plantBwide*Ethernet*via*Cisco*
Rugged*Switches*and*Routers*(CGSB2520,*
IE2000,*CGRB2010)$support$SCADA$
communica,ons$through$hierarchical$
segmenta,on.$This$results$in$reduced$cost$and$
complexity$with$increased$efficiency,$scale,$
resilience,$policy$enforcement$and$defenceEinE
depth$security.
Local$Signal$Box
Digital$Signage
IP$Video$
Phone
WiFi$Access$Point
Door$Access$
Control
Video$Surveillance
ASR$903$Router
VXC/Tablet$
(Virtual$Desktop)
3750x
PTC$%$Posi)ve$Train$Control
Earth$Protec,on
IE2000
CGS2520
RTU RTU
IE2000
CGS2520
ASR$903$Router
Sta,on
TelePresence
Digital$Signage
IP$Video$
Phone WiFi$Access$Point
Door$Access$
Control
Video$Surveillance
ISR$G2$Router
3750x
Retailers
Retail$Comms
Customer$
Informa,on$
Screens
HelpEpoint$
Phone
Telephony Security$Systems
Video$Surveillance
Internet
Access
Enterprise$Network
IP$Phone WiFi$Access$Point
CGSE2520
Rugged$Switch
SCADA
Door$Access$ControlVideo$Surveillance
CGRE2010Rugged$Router$with$
VPN/Firewall
Guest$WiFi$AccessRTU
Trackside$Electrical$Substa,on$E$SCADA
MPLS Layer
Optical Layer
P$Router
PE$Router
Opera,onal$Network
Door$Access$
Control
Analogue$Camera
Level$Crossing
819$Router
IP$Phone
IE2000
Video$Gateway
IP$Camera
Connected$Rail$Architecture
Trackside$&$Train$WiFi
819H$Router
3G/LTE
Rugged$Mobile$Computer$
Connected$Field$Staff
Train/Shore
Mobile$Workforce
Site$Connec,vity
Modular Interlocking
Mast
ASR$901$Router
GSMER
Signal
IE$2000IE$2000
Component
Control
Point
Machine
Axel Counter
IE$2000 IE$2000
3G$
Mast
ASR$901$
Router
220Mhz$Mast
220MHz$
Train$Unit
Wayside$Messaging$
Server
GPRS/3G/LTE
For$More$Informa,on:www.cisco.com/go/designzone$Enabling Rail Network Operators Infrastructure
Internet$Edge
Video$Communica,on$
Server$(VCS)$
Expressway
ASA5500
Firewall
Intrusion$Preven,on$(IPS)
Virtual$Private$Network$
(VPN)
ASR1000$Router
WebEx$Node
Rail$Yard
819H$Router
PSTN
HQ$Campus
Catalyst$3750X
Switch$Cluster
PoE$Energywise
Catalyst$3750X
Switch$Cluster
PoE$Energywise
Catalyst$6500$VSS
Core$Switch
W
Vid
W
Vid
P
Vo
Cisco*Physical*Access*Control*is*a*costBeffecDve*
IPBbased*soluDon*that*uses*the*IP*network*for*
integrated*security*operaDons.*It$works$with$
exis,ng$card$readers,$locks$and$biometric$
devices$and$is$integrated$with$Cisco$Video$
Surveillance$and$IP$Interoperability$and$
Collabora,on$System$(IPICS)$for$a$
comprehensive,$holis,c$enterpriseEwide$safety$
and$security$solu,on.
Cisco*Security*soluDons*protect*assets*and*
empowers*the*workforce.*ContextEaware$
security$provides$high$level$intelligence,$policy$
governance,$and$enforcement$capabili,es.$
Significantly$enhancing$the$accuracy,$
effec,veness,$and$,meliness$of$any$
organisa,on's$security$implementa,on.
Cloud*Services*can*offer*savings*in*IT*
resources*such*as*compuDng*storage*and*
applicaDon*services.*“The$Cloud”$can$provide$
theses$services$as$elas,c$resources$that$are$
suitable$for$use$in$exis,ng$or$new$applica,ons$
without$a$large$investment$in$capital$resources$
and$ongoing$maintenance$costs.$WebEx*
delivers$online$mee,ngs$and$easyEtoEuse$web$
collabora,on$tools$to$the$en,re$workforce.$
Scansafe$keeps$malware$off$the$corporate$
rvices
er/Mobile$Worker
Phone
ce$MOVI$
erencing
esktop
Mobile
VPN$Client
ISR$G2$Router
VPN
Firewall
Wireless
Mobile$Phone
Anyconnect$
VPN$Client
Internet
Regional$Contro
ISR$G2$Router Cata
C
Door$Access$
Control
IP$Phone
Remote$Interface
819h
Router
IEE3010
Rugged$Switch
Traffic
Management
WAN$Aggrega,on
Primary$Data$Centre
WAN$
Op,misa,on$
(WAAS)
Catalyst$6500$VSS
Services$Layer
Firewall
Server$Load$Balancing$(ACE)
Network$Applica,on$Monitoring$(NAM)
MDS$9500
SAN$Switch
SAN
Nexus$7000
Core/Aggrega,on$Switch
Nexus$7000
Core/Aggrega,on$Switch
Catalyst$6500$VSS
Services$Layer
Firewall
Server$Load$Balancing$(ACE)
Network$Applica,on$Monitoring$(NAM)
MDS$9500
SAN$Switch
WAN$
Op,misa,on$
(WAAS)
Wireless$LAN
Controller
Fibre$Channel$over$Ethernet$(FCoE)
Fibre$Channel$Storage$Links
Ethernet
Wide*Area*ApplicaDon*Services*(WAAS)*is*a*comprehensive*
WAN*opDmizaDon*soluDon*that*accelerates*applicaDons*
over*the*WAN,$delivers$video$to$the$branch$office,$and$
provides$local$hos,ng$of$branchEoffice$IT$services.$Cisco$
WAAS$allows$IT$departments$to$centralize$applica,ons$and$
storage$in$the$Data$Centre$while$maintaining$LANElike$
applica,on$performance.
IP/MPLS*in*the*WAN*enables*converged*secure*link*
virtualisaDon.$It$reduces$overall$costs$by$suppor,ng$mul,ple$
logical$networks$across$a$single$physical$infrastructure.$
ASR$1000$Router ASR$1000$Router
Voice$Services
Converged*plantBwide*Ethernet*via*Cisco*
Rugged*Switches*and*Routers*(CGSB2520,*
IE2000,*CGRB2010)$support$SCADA$
communica,ons$through$hierarchical$
segmenta,on.$This$results$in$reduced$cost$and$
complexity$with$increased$efficiency,$scale,$
resilience,$policy$enforcement$and$defenceEinE
depth$security.
Local$Signal$Box
Digital$Signage
IP$Video$
Phone
WiFi$Access$Point
Door$Access$
Control
Video$Surveillance
ASR$903$Router
VXC/Tablet$
(Virtual$Desktop)
3750x
PTC$%$Posi)ve$Train$Control
tec,on
RTU
IE2000
CGS2520
R$903$Router
Sta,on
TelePresence
IP$Video$
Phone
Video$Surveillance
3750x
Retailers
Retail$Comm
Customer$
Informa,on$
Screens
Telephony
Internet
Access
Enterprise$Network
one WiFi$Access$Point
520
witch
DA
Door$Access$Controlrveillance
CGRE2010Rugged$Router$with$
VPN/Firewall
Guest$WiFi$AccessTU
$Electrical$Substa,on$E$SCADA
MPLS Layer
Optical Layer
P$Router
PE$Router
Opera,onal$Network
Door$Access$
Control
Analogue$Camera
Level$Crossing
819$Router
IP$Phone
IE2000
Video$Gateway
IP$Camera
Connected$Rail$Architecture
Trackside$&$Train$WiFi
819H$Router
3G/LTE
Rugged$Mobile$Computer$
Connected$Field$Staff
Train/Shore
Mobile$Workforce
Site$Connec,vity
Modular Interlocking
ASR$901$Router
Signal
IE$2000IE$2000
Component
Control
Point
Machine
Axel Counter
IE$2000 IE$2000
3G$
Mast
ASR$901$
Router
220Mhz$Mast
220MHz$
Train$Unit
Wayside$Messaging$
Server
GPRS/3G/LTE
Signal Point
Machine
Axel
Counter
Component
Control
Converged plant-wide Ethernet via Cisco Rugged Switches and
Routers (CGS-2520, IE 2000, CGR-2010) Support SCADA
communications through hierarchical segmentation. This results
in reduced cost and complexity with increased efficiency, scale,
resilience, policy enforcement and defense in depth security.
Trackside and Train WiFi
918h Router
3G/LTE
Rugged Mobile
Computer Connected
Field Staff
Train/Shore
Site
Connectivity
Mobile
Workforce
Level Crossing
IP Phone
IE2000
Video
Gateway
819 Router
Analogue
Camera
IP
Camera
Door Access
Control
Local Signal Box
Cisco physical Access Control in a
cost-effective IP-based solution that
uses the IP network for integrated
security operations. It works with
existing card readers, locks and
biometric devices and
is integrated with Cisco Video
Surveillance and IP Interoperability
and Collaboration System (IPICS)
for a comprehensive, holistic
enterprise-wide safety and
security solution.
Video Surveillance
Door Access
Control
Digital Signage
VXC/Tablet
(Virtual Desktop)
IP Video Phone
3750x
WiFi Access Point
ASR 901 Router
Station
Retail Comms
Retailers
Video
Surveillance
Digital
Signage
TelePresence Door Access
Control
IP Video
Phone
WiFi
Access Point
3750x ISR G2
Router
Customer
Information
Screens
Help-point
Phone
Telephony Security
Systems
Internet
Access
Video
Surveillance
Regional Control Centre
Door Access
Control
IP Phone
Console
TelePresence Digital Signage
Video Wall
WiFi Access
Point
Video Surveillance
Virtual Matrix
ISR G2
Router
VXC/Tablet
(Virtual Desktop)
Unified Computing
System (UCS) Rack
Catalyst
6500 VSS Core
Switch
819H
Router
WiFi Access PointIC3010 PoCDoor Access
Control
Video Surveillance
Digital
Signage
VXC/Tablet
(Virtual Desktop)
PSTN
HQ Campus
Building
Management
System (BMS)
HVAC/LightsISR G2
PSTN Gateway Voice/Video
DSP
PCTablet
(Virtual Desktop) TelePresence
IP Video Phone Digital Signage
PCTablet
(Virtual Desktop) TelePresence
IP Video Phone Digital Signage
PCTablet
(Virtual Desktop) TelePresence
IP Video Phone Digital Signage
PCTablet
(Virtual Desktop)
Network Building
Mediator
IP Video Phone Digital Signage
PSTN
Video Surveillance
WiFi Access Point
Door Access Control
Video Surveillance
WiFi Access Point
Door Access Control
Video Surveillance
WiFi Access Point
Door Access Control
Video Surveillance
WiFi Access Point
Door Access Control
WAN Aggregation Wide Area Applications Services (WAAS) is a comprehensive
WAN optimization solution that accelerates applications over
the WAN, delivers video to the branch office, and provides local
hosting of branch-office IT services. Cisco WAAS allows IT
departments to centralize applications and storage in the Data
Centre while maintaining LAN-like application performance.
IP/MLPS in the WAN enables converged secure link virtualization. It
reduces overall costs by supporting multiple logical networks across
a single physical infrastructure.
Wireless LAN
Controller
WAN Optimization
(WAAS)
WAN Optimization
(WAAS)
Unified Computing
System (UCS) Blade
Unified Computing
System (UCS) Blade
Unified Computing
System (UCS) Blade
Nexus 2000 Switch Nexus 2000 Switch
Unified Computing
System (UCS) Blade
Unified Computing
System (UCS) Blade
ISR G2
PSTN Gateway Voice/Video
DSP
PSTN
Nexus 2000 Switch
SAN
MDS 9500
SAN Switch
MDS 9500
SAN Switch
StorageStorage
Cisco Unified Fabric Data Center provides flexible, agile,
high-performance, non-stop operations; self-integrating
information technology, reduced staff costs with increased
uptime through automation, and more rapid return on
investment. It accelerates virtualization and enables
automation to extend the lifecycle of mission-critical
resources to support evolving needs. Rail companies can
reduce their total cost of ownership (TCO) and increase
business agility—both critical to combating the server
sprawl and inefficiency inherent in many data centers today.
Virtual Machines
Communication
Manager (CUCM)S
Unity Connection
(CUC)S
Jabber (Presence)S
Contact Center
(UCCX)S
Meeting PlaceS
Attendant ConsoleS
Virtual Machines
Digital Media
Manager (DMM)S
Show and
Share ServerS
QUADS
Network
ManagementS
TelePresence Ctrl
Server (TCS)S
TelePresence
Manager (TMS)S
Hypervisor
Nexus 1000v
Hypervisor
Nexus 1000v
Hypervisor
Desktop
Virtualization Software
Virtual Machines
OS
OS
OS
OS
App
App
App
App
OS
OS
OS
OS
App
App
App
App
OS
OS
OS
OS
App
App
App
App
IPICS Server
Physical Access
Manager (PAM)
Video Surveillance
Operations Manager
Video Surveillance
Media Server (VSMS)
Enterprise Content
Delivery Sys (EDCS)
Mediator Manager
Mobility Services
Engine (MSE)
Media Exchange
Engine (MXE)
Video Comms
Server (VCS)
Tpresence Multipoint
Control Unit (MCU)
Ethernet
Fiber Channel over Ethernet (FCoE)
Fiber Channel Storage Links
Internet Edge
ASR 1000 Router
WebEx Node
ASA 5500
Firewall
Intrusion Prevention (IPS)
Virtual Private Network (VPN)
Video Communications Server
(VCS) Expressway
Ironport Email Security
Anti-Spam, Anti-Virus Data
Loss Prevention (DLP)
Ironport Web Security
Acceptable Use Policy (AUP)
Malware Prevention
Wireless LAN Controller
(Guest Access)
Cisco Security
Manager (CSM)
Energywise
Orchestrator
Data Center
Network Manager
(DCNM)
Identity Services
Engine (ISE)
Network Control
Systems (NCS)
Network Analysis
Module (NAM)
LAN Management
System (LMS)
Collaboration
Manager (CM)
Internet
Mobile Phone
Anyconnect
VPN Client
Catalyst
6500 VSS
Core Switch
Catalyst 3750X
Switch Cluster
PoE Energywise
Catalyst 3750X
Switch Cluster
PoE Energywise
Catalyst 3750X
Switch Cluster
PoE Energywise
Catalyst 3750X
Switch Cluster
PoE Energywise
Catalyst 6500 VSS
Services Layer Firewall
Server Load Balancing (ACE)
Network Application Monitoring (NAM)
ASR 1000
Router
ASR 1000
Router
Nexus 5000 Switch Nexus 5000 Switch Nexus 5000 Switch
Catalyst 6500 VSS
Services Layer Firewall
Server Load Balancing (ACE)
Network Application Monitoring (NAM)
Nexus 7000
Core/Aggregation Switch
Nexus 7000
Core/Aggregation Switch
Optical
Layer
MLPS Layer
Operational Network
PE Router
P Router