Контакты
Подписка
МЕНЮ
Контакты
Подписка

Современные средства однонаправленной передачи данных

В рубрику "Информационная безопасность компьютерных сетей" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Современные средства однонаправленной передачи данных

Cетевые технологии используются во многих отраслях экономики – от банков и телекома до производства и медицины. При этом в большинстве организаций сетевая инфраструктура является важным, если не ключевым, средством обеспечения бизнес-процессов, и даже непродолжительный отказ в работе данной инфраструктуры может привести к серьезным последствиям
Андрей Бирюков
Ведущий инженер Департамента информационной
безопасности компании "АМТ-ГРУП"

Сети являются средством для реализации различных угроз: по сети распространяются "черви", злоумышленники могут скомпрометировать корпоративные ресурсы через сетевые каналы связи, многие утечки информации происходят с помощью банальной пересылки инсайдерами данных из корпоративной сети. Конечно, для борьбы с сетевыми угрозами существуют различные средства защиты, например межсетевые экраны. Сегодня на рынке присутствует множество средств межсетевого экранирования – как программных, так и программно-аппаратных, позволяющих реализовать защиту от сетевых атак на разных уровнях иерархической модели OSI. Однако, как и любые другие программные решения, межсетевые экраны могут содержать в своем коде ошибки, которые теоретически могут позволить захватить контроль над всем устройством.

Угрозы в промышленных и корпоративных сетях

Существует множество критически важных объектов, для которых даже теоретическая возможность реализации упомянутого выше сценария недопустима. В качестве примера такого объекта можно привести автоматизированную систему управления компонентами электростанции.

Сама промышленная сеть обычно изолируется от внешней сети предприятия, но при этом необходимо вести мониторинг работы компонентов АСУ и отправлять данные об их состоянии во внешнюю сеть, к примеру производителю оборудования электростанции, для того чтобы он мог осуществлять техподдержку и своевременно реагировать на проблемы в работе компонентов электростанции. Как правило, в таких случаях на границе промышленной и корпоративной сетей устанавливают обычный межсетевой экран и настраивают на нем передачу необходимых данных только в одну сторону – из промышленной сети в корпоративную. Казалось бы, все сделано правильно. Однако в случае компрометации корпоративной сети и получения доступа на межсетевой экран злоумышленники без труда смогут проникнуть в промышленный сегмент. Причем для компрометации межсетевого экрана совершенно необязательно наличие уязвимости в его коде, достаточно лишь перехватить учетные данные администратора устройства. Нередки также случаи, когда администраторы некорректно настраивают списки доступа на межсетевых экранах, в результате чего злоумышленники могут проникнуть в промышленную сеть из корпоративной даже без компрометации непосредственно файрвола.

Поэтому для критически важных объектов необходимо гарантировать невозможность влияния на критичный сегмент извне даже в случае компрометации пограничных устройств. Решить эту проблему призваны средства однонаправленной передачи данных.

Требования регуляторов

В России необходимость использования средств однонаправленной передачи данных определяют требования регуляторов.

В частности, приказ ФСТЭК № 31 предписывает использовать средства однонаправленной передачи данных при:

  • управлении доступом субъектов к объектам доступа;
  • соединении между устройствами, сегментами автоматизированной системы управления, а также автоматизированными системами управления.

Близкие требования содержатся и в приказах ФСТЭК № 17 и № 21 (УПД.3, ЗСВ.4). Таким образом, необходимость использования однонаправленных шлюзов определяется в том числе и требованиями российских регуляторов. Рассмотрим основных российских и зарубежных игроков на рынке средств однонаправленной передачи данных, решения которых реально применяются на предприятиях, и следующие решения: АПК InfoDiode, "СТРОМ", Fox DataDiode, Waterfall Security Solutions.

АПК АМТ InfoDiode

Аппаратно-программный комплекс InfoDi-ode1 разработан компанией "АМТ-ГРУП" на российской аппаратной платформе, российской сертифицированной операционной системе Astra Linux и программном обеспечении собственного производства. Решение АПК InfoDiode состоит из следующих компонентов:

  • два прокси-сервера;
  • аппаратное устройство однонаправленной передачи данных.

Передача трафика через аппаратное устройство InfoDiode возможна только в одном направлении, благодаря гальванической развязке, гарантирующей отсутствие обратной связи. При этом прокси-серверы обеспечивают связь с внешними системами и организуют однонаправленный транспорт данных между собой. Для внешних систем взаимодействие ограничивается прокси-серверами: на принимающей стороне прокси-сервер выступает в роли сервера данных (FTP, SMTP, CIFS, OPC UA), на передающей – в роли клиента. Такая архитектура позволяет использовать АПК InfoDiode для реализации различных сценариев.


Помимо описанной ранее однонаправленной передачи данных, иногда требуется передавать данные в обоих направлениях. Например, в силу исторических причин часть промышленных систем или сегментов "размазаны" по корпоративной ЛВС. Данный сценарий позволяет расширить границы критичного сегмента, создав защищенную информационную систему внутри другой информационной системы.

При этом используются два отдельных устройства InfoDiode, позволяющих обеспечить однонаправленную передачу в каждом из направлений. Злоумышленнику в случае захвата одного шлюза придется вслепую пытаться получить доступ на второй однонаправленный шлюз, что многократно ограничивает его возможности и требует огромных затрат на реализацию.

Управление компонентами АПК InfoDiode может осуществляться тремя способами: через Web-интерфейс, CLI и с помощью XML. АПК InfoDiode сертифицирован ФСТЭК России на соответствие требованиям технических условий и руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей" (Гостехкомиссия России, 1999) по 4-му уровню контроля. Система сертификации средств защиты информации. Сертификат соответствия № 3434.

АПК "СТРОМ"

Еще одним российским решением по однонаправленной передаче данных является АПК "СТРОМ" от ООО "СиЭйЭн"2. Однонаправленный шлюз "СТРОМ-1000" предназначен для гарантированной однонаправленной передачи информации из открытых сетей в сети, в которых циркулирует информация с грифом до "совершенно секретно" включительно, что подтверждается заключением ФСБ России.


"СТРОМ" предназначен для решения двух видов задач:

1. Передача потоковой информации. Представляет собой однонаправленную передачу данных с камер видеонаблюдения, телеметрии, передачи аудиопотоков и т.д.

2. Передача файлов. Для нее, помимо однонаправленного шлюза, также необходимы два сервера с установленным специальным программным обеспечением, которое обеспечивает хранение, предоставление пользователям сетевых дисков и однонаправленную передачу файлов. В качестве операционных систем на данных серверах могут использоваться: Linux 32/64 bit, RedHat 64, Windows (от XP и выше), МСВС-3.0, МСВС-5.1.

Fox DataDiode

Помимо российских производителей средств однонаправленной передачи данных, рассмотрим также западных разработчиков. Наиболее известным вендором средств однонаправленной передачи данных является голландская компания Fox IT3.

ПАК Fox DataDiode имеет классическую для однонаправленных шлюзов архитектуру:

  • два прокси-сервера (один на передающей стороне – Fox Upstream Proxy и один на принимающей – Fox Downstream Proxy);
  • аппаратное устройство однонаправленной передачи данных (Data Diode).

При этом для внешних систем взаимодействие ограничивается прокси-серверами: на принимающей стороне прокси-сервер выступает в роли сервера данных (FTP, SMTP, CIFS), на передающей – в роли клиента.


ПАК Fox Data Diode сертифицирован ФСТЭК России на соответствие требованиям технических условий и руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей" (Гостехкомиссия России, 1999) по 4-му уровню контроля.

Система сертификации средств защиты информации. Сертификат соответствия № 3446. Однако, говоря о сертификации голландского решения, не лишним будет заметить, что данный продукт также имеет сертификацию NATO Secret, что в нынешних непростых политических условиях может осложнить использование данного решения в некоторых российских организациях.

Waterfall Security Solutions

Waterfall’s® Unidirectional Security Gateways4 – это семейство продуктов на базе единого технологического ядра, реализующих функционал однонаправленных сетевых шлюзов на аппаратном уровне, с поддержкой широкого числа сетевых приложений и протоколов, в том числе специфичных для промышленных сетей.

Здесь разработчики вместо прокси используют агентов. Однонаправленный шлюз состоит из двух физических устройств:

  • модуль TX, предназначенный только для передачи данных;
  • модуль RX, отвечающий только за прием.

Трафик из технологической сети поступает на агента, который может размещаться на модуле TX. Далее устройство TX передает трафик на RX, где агент RX передает пакеты уже системе назначения. В зависимости от выбранного варианта агенты могут как располагаться на устройстве, так и быть развернуты на выделенных узлах.

В реестре сертифицированных средств защиты ФСТЭК информацию о наличии сертификатов на ПАК Waterfall Security Solutions найти не удалось.

Основные критерии выбора

В данной статье были рассмотрены основные реально используемые в России решения по обеспечению однонаправленной передачи данных.

Основные характеристики представленных в статье решений приведены в таблице.


Как видно, все решения имеют схожую архитектуру и технические характеристики. Тем не менее у каждого из них есть свои особенности, которые могут стать определяющими при выборе. В одном случае важным может оказаться наличие сертификата ФСТЭК, в другом – достаточная функциональность для решения конкретной задачи. Безусловно, значительную роль играет наличие русскоязычной документации и техподдержки. Кроме того, для критических сетей важно наличие круглосуточной поддержки, позволяющей оперативно решать возникающие проблемы.

Говоря о стоимости каждого из решений, стоит отметить, что иностранные разработки стоят более чем в 1,5 раза дороже отечественных аналогов. Учитывая, что российские производители предлагают свою продукцию за рубли, стоимость их решений также меньше зависит от изменений стоимости валют.

Таким образом, заказчик может самостоятельно выбрать необходимые решения по обеспечению защиты критических сегментов сети на основе однонаправленных шлюзов в зависимости от выдвигаемых требований.

___________________________________________
1 АПК АМТ InfoDiode: http://www.amt.ru/web/ru/infodiode.
2АПК СТРОМ: http://cansec.ru/products/strom-1000.html.
3Fox DataDiode: https://fox-it.com/datadiode/.
4ПАК Waterfall Security Solutions: https://waterfall-security.com/.

Опубликовано: Каталог "Системы безопасности"-2018
Посещений: 3017


  Автор
Андрей Бирюков

Андрей Бирюков

Ведущий инженер Департамента информационной безопасности компании "АМТ-ГРУП"

Всего статей:  1

В рубрику "Информационная безопасность компьютерных сетей" | К списку рубрик  |  К списку авторов  |  К списку публикаций