Надо смотреть на чем у вас реализация логике будет и какая МУ на всю систему. Если проект большой и значимый то можно привлечь производителя PLC и они смогут подобрать не дорогие устройства допустим. Далее смотреть в сторону оператора или провайдера, что смогут они предложить а потом уже решать подбор с железками для крипты. Чисто мое мнение, взять овен plc, передача в облака через их щлюзы там вроде как есть шифрование но уточнить с гостом нужно+ взял бы от оператора услуги по  предоставлению туннелей шифрованных по гост до облака овен, далее ЦОД бы перевел на связь с облаком и поставил бы там тоже шлюз + услуги оператора с туннелем и шифрованием )

вот потом бы все сравнил ) и решил.

Спасибо за подсказки, будем думать

я надеюсь что в Челябинской области все будет безопасно ))

Мы тоже очень на это надеемся )

А для чего в этой схеме промежуточное звено в виде облака, если все равно операторские места (цод) подключать к нему тоже? Это доп.каналы в сторону облака и доп.оборудование (криптомаршрутизаторы). Удорожание получается.

это упрощения работы ПЛК и алгоритмов, если смогут все сделать на базе своего ЦОД то легко облако исключается, но тогда нужно искать шлюзы которые будут работать в системе, если оператора найдут который даст шифрование каналов, то есть туннели от светофора до ЦОДа то можно убрать облако, но придется строить что то свое для мониторинга всего этого хозяйства

Для мониторинга у каждого региона есть своя ЕПУТС, в которую заведены все контроллеры, детекторы и датчики. А про шифрование канала связи вопрос более сложный, упирающийся в МУ, т.к. все переферийные устройства отвечают на запросы от ЕПУТС, т.е. запрос получается инициирован из защищённого контура и в случае его перехвата в худшем случае произойдёт изменение работы светофорного объекта, что может повлечь даже смерть на дороге.

Серьезно? то есть у каждого ЕПУТС есть мониторинг работы ПЛК? то есть получается уже есть система не тока управления но и мониторинга самих PLC, если так то вообще не вижу проблемы просто у сотовых операторов взять белые адреса для всех точек и подключить на них шифрование к туннелю между ЦОД и точками управления светофорами.

из какого защищенного контура когда все точки светофором соединены с системой управления и контур у них общий они все в одних подсетях должны бать выделенных?

на сколько у меня был опыт работы, светофоры работают по алгоритму который уже в них а команды управления на них тока иногда корректируют эту работу чтобы в случаи чего перевести их на более нужны алгоритм

Да, у многих регионов так и организовано. Они могут контролировать и управлять состоянием контроллеров и детекторов.

Верно есть автономная работа контроллера с записанными в него фазами, но их можно менять удаленно, в т.ч. включать "зелёную улицу" когда это необходимо

Подсети у светофорных объектов конечно могут быть разные, но сведены они в цод где развёрнута ЕПУТС, этот контур и защищают в первую очередь.

это понятно ) в общем об одном и том же говорим )) 👍

Так вот и встаёт вопрос, а нужно ли шифровать канал до каждого контроллера, если к нему можно напрямую подключиться прямо на столбе, где он висит. Тратить миллионы на шифрсредства?

Нужно :)

ну так защитите его локально, запертые ящики, видео наблюдение, в конце концов отключения портов для локальной перезаливки или блокираторы портов

А ответ мы прочитаем в Модели угроз 😂

можно еще логи с ПЛК собирать чтобы знать есть к нему подключения и тому подобное, в общем от задачи все зависит. Кстати, если наши советы показались полезны, можно и поблагодарить ) Антону на стикеры от Министерства ))