АПК АМТ InfoDiode - Система однонаправленной передачи данных

Обеспечение безопасности критичных информационных систем является нетривиальной задачей. Критичные системы существуют практически во всех отраслях – это и государственные организации (в том числе силовые структуры), промышленность и топливно-энергетический комплекс (критически важные объекты), а также коммерческие организации.

Критичность хранящейся и обрабатываемой в таких системах информации зачастую накладывает серьезные требования к применяемым средствам ее защиты. Иногда требуется максимальная изоляция критичной системы с целью недопущения попыток несанкционированного доступа к информации.

Однако такая изоляция не позволяет обеспечить полноценную и удобную работу с защищаемой информацией и ограничивает взаимодействие со смежными информационными системами. Также, зачастую, максимальная или полная изоляция провоцирует сотрудников на нарушение установленных правил информационной безопасности.

Выходом в таких ситуациях может стать использование систем однонаправленной передачи данных.

Компания АМТ-ГРУП разработала  собственное решение для однонаправленной передачи данных InfoDiode, реализованное в виде программного-аппаратного комплекса (АПК).

АПК АМТ InfoDiode позволяет решать ряд уникальных задач, в рамках которых гарантируется защита от многих угроз информационной безопасности. InfoDiode обеспечивает высочайший уровень изоляции критичных информационных систем, сохраняя при этом нужный уровень их функциональности для взаимодействия со смежными информационными системами.

Принцип работы системы InfoDiode

InfoDiode состоит из трех компонент: два прокси-сервера и аппаратное устройство однонаправленной передачи данных. Передача трафика через аппаратное устройство InfoDiode возможно только в одном направлении. Гальваническая развязка гарантирует отсутствие обратной связи. Прокси-серверы обеспечивают связь с внешними системами и организуют однонаправленный транспорт данных между собой. Для внешних систем взаимодействие ограничивается прокси-серверами: на принимающей стороне прокси-сервер выступает в роли сервера данных (FTP, SMTP, CIFS), на передающей – в роли клиента. 

Решения с использованием технологии однонаправленной передачи данных уже давно применяются в различных отраслях.

В западных странах класс устройств, гарантирующих однонаправленную передачу данных, регламентирован отраслевыми стандартами (например, NERC). В Российской Федерации с 2013 года  применение однонаправленных систем передачи данных регламентировано приказами ФСТЭК (Приказы 17 , 21  и 31).

Программно-аппаратный комплекс  реализован на российской сертифицированной аппаратной платформе, российской сертифицированной  операционной системе Astra Linux и программном обеспечении производства АМТ-ГРУП. Это позволяет использовать АПК InfoDiode в информационных системах, обрабатывающих информацию разной степени  конфиденциальности, в том числе,  в автоматизированных системах до класса 1Г включительно..

Сертификация

InfoDiode сертифицирован ФСТЭК России на соответствие требованиям технических условий и руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей" (Гостехкомиссия России, 1999) по 4 уровню контроля.

Это позволяет применять InfoDiode на предприятиях совершенно различных отраслей для защиты конфиденциальной информации (автоматизированные системы до класса 1 Г, системы защиты персональных данных до 1 уровня защищенности, государственные информационные системы до 1 класса, а также системы АСУ ТП (КСИИ) до 1 класса включительно).

В планах получение сертификатов ФСБ, Министерства обороны и отраслевых систем сертификаций.

Система сертификации средств защиты информации. Сертификат соответствия №3434.

Сценарии применения АПК АМТ InfoDiode

Сценарий 1. Импорт данных из внешних источников.

Сфера применения: государственные предприятия, предприятия оборонно-промышленного комплекса, критически важные объекты, коммерческие организации, использующие закрытые сети.

В данном сценарии обеспечивается гарантия конфиденциальности защищаемых данных.

Сценарий 2. Экспорт данных.

Сфера применения такая же, как и в сценарии 1.

В данном сценарии делается акцент на гарантии целостности передаваемых данных. 

Сценарий 3. Одновременная выгрузка и загрузка данных.

Сфера применения: Любые организации, использующие закрытые сегменты сети.

Данный  сценарий обеспечивает двунаправленное взаимодействие между сегментами. Это позволяет достичь высокого уровня защищенности и изоляции сегментов, с возможность как выгрузки, так и загрузки данных. Учитывая невозможность установления соединений (исключение обратной связи для злоумышленника по большинству протоколов), данный сценарий значительно (по оценкам компании ~10 раз) превосходит  по уровню защищенности традиционные схемы с межсетевым экраном на периметре.

Сценарий 4. Защищенное удаленное взаимодействие критичных сетевых сегментов (Site-to-Site IPSec VPN)

Сфера применения: Любые организации, использующие территориально разнесенные закрытые сегменты сети.

Уникальный дизайн АМТ-ГРУП, использующий InfoDiode в схеме IPSec VPN сетей. Схема обеспечивает высокий уровень защиты от внешних угроз (по аналогии со Сценарием 3, уровень защищенности от внешних угроз возрастает в 10 раз) и существенную изоляцию, при этом обеспечивается полноценное двустороннее защищенное взаимодействие удаленных узлов посредством IPSec VPN. Важным условием реализации схемы является поддержка системами передачи данных шифрованного IPSec трафика (ISAKMP, ESP) и использования стойких криптоалгоритмов. 

Сценарий 5. Защищенное локальное взаимодействие критичных сетевых сегментов (LAN-to-LAN IPSec VPN)

Сфера применения: Государственные информационные системы, системы АСУ ТП.

Довольно распространённая ситуация в АСУ ТП, когда,  в силу исторических причин, часть промышленных систем или сегментов “размазаны” по корпоративной ЛВС. Данный сценарий позволяет расширить границы критичного сегмента, создав защищенную информационную систему внутри другой информационной системы. Использование технологии IPSec и DataDiode позволяет достигнуть дополнительного уровня изоляции (а, значит, и безопасности). Как и в случае Сценария 4, основная задача двунаправленного контура InfoDiode – контроль и передача встречных потоков шифрованного IPSec трафика и защита VPN-концентратора.

Сценарий 6. Защищенный удаленный доступ Remote Access VPN и создание изолированной демилитаризованной зоны

Сфера применения: Любые организации, которым необходима организация защищенного удаленного доступа.

В ряде случаев необходимо обеспечивать защищенный удаленный доступ к внутренним ресурсам компании, как внутренним пользователям, так и партнёрам, подрядчикам.  Сценарий 6 подразумевает создание изолированной демилитаризованной зоны, куда выгружаются только допустимые для удаленных пользователей и подрядчиков/партнёров данные. При этом мы получаем гарантию от нарушения конфиденциальности и  целостности критичных данных внутри информационной системы: исключается возможность доступа удаленных пользователей посредством VPN-соединений к внутренним ресурсам.

Интерфейс управления АПК InfoDiode

Управление реализовано на базе интуитивно понятного WEB-интерфейса, с возможностью конфигурации (настройки) различных функций  с минимальным количеством манипуляций (концепция настройки  функции одного окна). В интерфейсе реализована защита от случайных изменений конфигурации, существует возможность Out-of-Band управления посредством файлов конфигурации в формате XML, либо CLI.

Основные технические характеристики АПК InfoDiode

 

Параметр Показатель
Производительность 1000 Mbps (при необходимости возможно расширение производительности до 10 Gbps)
Возможность кластеризации Есть
Поддержка маршрутизации Да
Поддержка NAT Да
Поддержка L7 Proxy Да
Поддерживаемые протоколы FTP, CIFS, SMTP, ESP IPSec, UDP (все протоколы)
Интерфейсы данных Два 1000Base-SX
Интерфейсы управления Два 1000Base-T
Форм-фактор 3 rack unit (3 компоненты ПАК по 1 rack unit )
Возможность монтажа в 19” телекоммуникационный шкаф Да
Питание 100 – 240 В (AC)
Частота 50-60 Гц (однофазный)
Рабочая температура воздуха 10 – 35 C
Рабочая влажность воздуха 5-95%

 

За более подробной информацией обращайтесь по адресу idpresale@amt.ru

Проекты АМТ-ГРУП Проекты АМТ-ГРУП