В рубрику "Информационная безопасность компьютерных сетей" | К списку рубрик | К списку авторов | К списку публикаций
Сети являются средством для реализации различных угроз: по сети распространяются "черви", злоумышленники могут скомпрометировать корпоративные ресурсы через сетевые каналы связи, многие утечки информации происходят с помощью банальной пересылки инсайдерами данных из корпоративной сети. Конечно, для борьбы с сетевыми угрозами существуют различные средства защиты, например межсетевые экраны. Сегодня на рынке присутствует множество средств межсетевого экранирования – как программных, так и программно-аппаратных, позволяющих реализовать защиту от сетевых атак на разных уровнях иерархической модели OSI. Однако, как и любые другие программные решения, межсетевые экраны могут содержать в своем коде ошибки, которые теоретически могут позволить захватить контроль над всем устройством.
Существует множество критически важных объектов, для которых даже теоретическая возможность реализации упомянутого выше сценария недопустима. В качестве примера такого объекта можно привести автоматизированную систему управления компонентами электростанции.
Сама промышленная сеть обычно изолируется от внешней сети предприятия, но при этом необходимо вести мониторинг работы компонентов АСУ и отправлять данные об их состоянии во внешнюю сеть, к примеру производителю оборудования электростанции, для того чтобы он мог осуществлять техподдержку и своевременно реагировать на проблемы в работе компонентов электростанции. Как правило, в таких случаях на границе промышленной и корпоративной сетей устанавливают обычный межсетевой экран и настраивают на нем передачу необходимых данных только в одну сторону – из промышленной сети в корпоративную. Казалось бы, все сделано правильно. Однако в случае компрометации корпоративной сети и получения доступа на межсетевой экран злоумышленники без труда смогут проникнуть в промышленный сегмент. Причем для компрометации межсетевого экрана совершенно необязательно наличие уязвимости в его коде, достаточно лишь перехватить учетные данные администратора устройства. Нередки также случаи, когда администраторы некорректно настраивают списки доступа на межсетевых экранах, в результате чего злоумышленники могут проникнуть в промышленную сеть из корпоративной даже без компрометации непосредственно файрвола.
Поэтому для критически важных объектов необходимо гарантировать невозможность влияния на критичный сегмент извне даже в случае компрометации пограничных устройств. Решить эту проблему призваны средства однонаправленной передачи данных.
В России необходимость использования средств однонаправленной передачи данных определяют требования регуляторов.
В частности, приказ ФСТЭК № 31 предписывает использовать средства однонаправленной передачи данных при:
Близкие требования содержатся и в приказах ФСТЭК № 17 и № 21 (УПД.3, ЗСВ.4). Таким образом, необходимость использования однонаправленных шлюзов определяется в том числе и требованиями российских регуляторов. Рассмотрим основных российских и зарубежных игроков на рынке средств однонаправленной передачи данных, решения которых реально применяются на предприятиях, и следующие решения: АПК InfoDiode, "СТРОМ", Fox DataDiode, Waterfall Security Solutions.
Аппаратно-программный комплекс InfoDi-ode1 разработан компанией "АМТ-ГРУП" на российской аппаратной платформе, российской сертифицированной операционной системе Astra Linux и программном обеспечении собственного производства. Решение АПК InfoDiode состоит из следующих компонентов:
Передача трафика через аппаратное устройство InfoDiode возможна только в одном направлении, благодаря гальванической развязке, гарантирующей отсутствие обратной связи. При этом прокси-серверы обеспечивают связь с внешними системами и организуют однонаправленный транспорт данных между собой. Для внешних систем взаимодействие ограничивается прокси-серверами: на принимающей стороне прокси-сервер выступает в роли сервера данных (FTP, SMTP, CIFS, OPC UA), на передающей – в роли клиента. Такая архитектура позволяет использовать АПК InfoDiode для реализации различных сценариев.
Помимо описанной ранее однонаправленной передачи данных, иногда требуется передавать данные в обоих направлениях. Например, в силу исторических причин часть промышленных систем или сегментов "размазаны" по корпоративной ЛВС. Данный сценарий позволяет расширить границы критичного сегмента, создав защищенную информационную систему внутри другой информационной системы.
При этом используются два отдельных устройства InfoDiode, позволяющих обеспечить однонаправленную передачу в каждом из направлений. Злоумышленнику в случае захвата одного шлюза придется вслепую пытаться получить доступ на второй однонаправленный шлюз, что многократно ограничивает его возможности и требует огромных затрат на реализацию.
Управление компонентами АПК InfoDiode может осуществляться тремя способами: через Web-интерфейс, CLI и с помощью XML. АПК InfoDiode сертифицирован ФСТЭК России на соответствие требованиям технических условий и руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей" (Гостехкомиссия России, 1999) по 4-му уровню контроля. Система сертификации средств защиты информации. Сертификат соответствия № 3434.
Еще одним российским решением по однонаправленной передаче данных является АПК "СТРОМ" от ООО "СиЭйЭн"2. Однонаправленный шлюз "СТРОМ-1000" предназначен для гарантированной однонаправленной передачи информации из открытых сетей в сети, в которых циркулирует информация с грифом до "совершенно секретно" включительно, что подтверждается заключением ФСБ России.
"СТРОМ" предназначен для решения двух видов задач:
1. Передача потоковой информации. Представляет собой однонаправленную передачу данных с камер видеонаблюдения, телеметрии, передачи аудиопотоков и т.д.
2. Передача файлов. Для нее, помимо однонаправленного шлюза, также необходимы два сервера с установленным специальным программным обеспечением, которое обеспечивает хранение, предоставление пользователям сетевых дисков и однонаправленную передачу файлов. В качестве операционных систем на данных серверах могут использоваться: Linux 32/64 bit, RedHat 64, Windows (от XP и выше), МСВС-3.0, МСВС-5.1.
Помимо российских производителей средств однонаправленной передачи данных, рассмотрим также западных разработчиков. Наиболее известным вендором средств однонаправленной передачи данных является голландская компания Fox IT3.
ПАК Fox DataDiode имеет классическую для однонаправленных шлюзов архитектуру:
При этом для внешних систем взаимодействие ограничивается прокси-серверами: на принимающей стороне прокси-сервер выступает в роли сервера данных (FTP, SMTP, CIFS), на передающей – в роли клиента.
ПАК Fox Data Diode сертифицирован ФСТЭК России на соответствие требованиям технических условий и руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей" (Гостехкомиссия России, 1999) по 4-му уровню контроля.
Система сертификации средств защиты информации. Сертификат соответствия № 3446. Однако, говоря о сертификации голландского решения, не лишним будет заметить, что данный продукт также имеет сертификацию NATO Secret, что в нынешних непростых политических условиях может осложнить использование данного решения в некоторых российских организациях.
Waterfall’s® Unidirectional Security Gateways4 – это семейство продуктов на базе единого технологического ядра, реализующих функционал однонаправленных сетевых шлюзов на аппаратном уровне, с поддержкой широкого числа сетевых приложений и протоколов, в том числе специфичных для промышленных сетей.
Здесь разработчики вместо прокси используют агентов. Однонаправленный шлюз состоит из двух физических устройств:
Трафик из технологической сети поступает на агента, который может размещаться на модуле TX. Далее устройство TX передает трафик на RX, где агент RX передает пакеты уже системе назначения. В зависимости от выбранного варианта агенты могут как располагаться на устройстве, так и быть развернуты на выделенных узлах.
В реестре сертифицированных средств защиты ФСТЭК информацию о наличии сертификатов на ПАК Waterfall Security Solutions найти не удалось.
В данной статье были рассмотрены основные реально используемые в России решения по обеспечению однонаправленной передачи данных.
Основные характеристики представленных в статье решений приведены в таблице.
Как видно, все решения имеют схожую архитектуру и технические характеристики. Тем не менее у каждого из них есть свои особенности, которые могут стать определяющими при выборе. В одном случае важным может оказаться наличие сертификата ФСТЭК, в другом – достаточная функциональность для решения конкретной задачи. Безусловно, значительную роль играет наличие русскоязычной документации и техподдержки. Кроме того, для критических сетей важно наличие круглосуточной поддержки, позволяющей оперативно решать возникающие проблемы.
Говоря о стоимости каждого из решений, стоит отметить, что иностранные разработки стоят более чем в 1,5 раза дороже отечественных аналогов. Учитывая, что российские производители предлагают свою продукцию за рубли, стоимость их решений также меньше зависит от изменений стоимости валют.
Таким образом, заказчик может самостоятельно выбрать необходимые решения по обеспечению защиты критических сегментов сети на основе однонаправленных шлюзов в зависимости от выдвигаемых требований.
Опубликовано: Каталог "Системы безопасности"-2018
Посещений: 11440
Автор
| |||
В рубрику "Информационная безопасность компьютерных сетей" | К списку рубрик | К списку авторов | К списку публикаций
