8 СЦН с использованием сети Ethernet.
СЦН с использованием сети Ethernet применяются для организации охраны
нетелефонизированных объектов.
8.1 Требования к системным параметрам СЦН с использованием сети Ethernet:
– сопряжение устройства с сетью передачи данных (физический уровень)
должно соответствовать спецификации IEEE 802.3
10BaseT/100BaseT/1000BaseT;
– физическое подключение ППК к сети Ethernet должно производиться через
стандартный интерфейс, например 10/100 BaseT с соблюдением всех
требований стандарта (тип разъема, разводка контактов, уровни сигналов и
проч.);
– в ТУ на ППК должна быть предусмотрена полноценная проверка
работоспособности по сети Ethernet, например подключением к компьютеру
или какой-либо контрольной аппаратуре;
– связь между АРМ и ППК должна быть двухсторонней, то есть АРМ должен
обнаруживать потерю связи или неработоспособность ППК настолько быстро,
чтобы сохранялась возможность предотвращения кражи после преднамеренного
нарушения связи. В свою очередь ППК должен отображать потерю связи с
АРМ;
– протокол взаимодействия АРМ и ППК должен обеспечивать защиту от
несанкционированной замены ППК на аналогичный или на какой-либо
имитатор. Протокол должен быть криптостойким для защиты от получения
сведений о функционировании охраняемого объекта в случае перехвата
(сканирования) обмена;
– устройство должно использовать стек протоколов TCP/IP, обязательна
поддержка протоколов ARP, ICMP. Для связи с ПЦН может быть использован
протокол TCP или UDP. Весь трафик между УОО и ПЦН должен быть
зашифрован;
– устройство должно иметь неизменяемый пользователем MAC-адрес из
диапазона, выделенного IEEE Organization предприятию-изготовителю.
Устройство должно иметь возможность использовать фиксированный IP адрес,
допускается использование динамического адреса, полученного от сервера
DHCP (в зависимости от настройки), при условии, что устройство является
в сети клиентом;
– устройство может иметь возможность конфигурирования, диагностики и
управления через Web-интерфейс (протокол HTTP), при этом должна быть
обеспечена защита от несанкционированного доступа не хуже Digest Access
Authentication (RFC 2617);
– устройство должно обеспечивать индикацию связи с сервером ПЦН и
диагностику ошибок соединения. Устройство и программное обеспечение ПЦН
не должны фиксировать неисправность при нарушениях связи
длительностью 30 секунд и менее, и должны фиксировать разрыв
связи при ее отсутствии в течение 2 минут и более;
– устройство должно иметь альтернативный резервный канал передачи
извещений (Ethernet с другим провайдером, GSM-канал, радиоканал,
двухпроводной канал и т.п.), а также возможность автоматического
перехода с основного канала на резервный и обратно при восстановлении
основного;
– идентификация УОО программным обеспечением ПЦН должна исключать
возможность подмены УОО.
8.2 Принцип построения СЦН по каналам Ethernet.
здесь: УОО – устройство оконечное объектовое,
К – коммуникатор,
ПЦН – пульт централизованного наблюдения,
Оператор – оператор Ethernet сети.
Таким образом, СЦН состоит из следующих основных узлов:
1. УОО (или ППК).
2. Коммуникатор.
3. Канал связи от коммуникатора до сервера, выполняющего роль
ретранслятора.
4. Канал связи от сервера, выполняющего роль ретранслятора до ПЦН.
5. АРМ ПЦН.
УОО должен иметь сменный модуль коммуникации с ПЦН в зависимости от
среды передачи данных, в том числе для использования резервного канала
связи.
Требования к коммуникатору:
– работа с помощью стандартных IP пакетов;
– наличие резервного канала связи.
Требования к каналу связи от ППК до сервера, выполняющего роль
ретранслятора:
– защита от модификации передаваемых сообщений с помощью шифрования
ключом не меньше 128 бит;
– защита от взлома ключа шифрования его динамической модификацией не
реже чем раз в час;
– защита от подмены прибора при передаче однотипной информации
(например, с помощью гаммирования) с повторяемостью не менее 3 года;
– защита от подмены прибора формированием и проверкой специальных
запросов «свой-чужой»;
– защита от DoS атак (Denial of Service – отказ в обслуживании) со
стороны ППК.
Требования к серверу, выполняющему роль ретранслятора:
– резервное питание должно быть рассчитано на автономную работу не менее
3 часов;
– два сетевых интерфейса для разделения работы «вниз» и «вверх»;
– периодический контроль канала связи до каждого ППК;
– защита от DoS атак (Denial of Service – отказ в обслуживании) со
стороны Сервера – ретранслятора;
– наличие «белого» списка IP адресов для соединения с ПЦН.
Требования к каналу связи от сервера до ПЦН:
– шифрование всего TCP трафика ключом не менее 128 бит;
– защита от взлома ключа шифрования его динамической модификацией не
реже чем раз в час;
– защита от подмены ретранслятора при передаче однотипной информации
(например, с помощью гаммирования);
– защита от DoS атак (Denial of Service – отказ в обслуживании) со
стороны Интернет.
Далее
>>> |