Каталог "Системы безопасности"-2018

БЕЗОПАСНОСТЬ ИНФОРМАЦИИ И СВЯЗИ. СПЕЦТЕХНИКА 79 МЕЖОТРАСЛЕВОЙ ТЕМАТИЧЕСКИЙ КАТАЛОГ "СИСТЕМЫ БЕЗОПАСНОСТИ-2018" 7 РАЗДЕЛ Угрозы в промышленных и корпоративных сетях Существует множество критически важных объектов, для которых даже теоретическая возможность реализации упомянутого выше сценария недопустима. В качестве примера такого объекта можно привести автоматизи- рованную систему управления компонента- ми электростанции. Сама промышленная сеть обычно изоли- руется от внешней сети предприятия, но при этом необходимо вести мониторинг работы компонентов АСУ и отправлять данные об их состоянии во внешнюю сеть, к примеру производителю оборудования электростанции, для того чтобы он мог осуществлять техподдержку и своевремен- но реагировать на проблемы в работе ком- понентов электростанции. Как правило, в таких случаях на границе промышленной и корпоративной сетей устанавливают обычный межсетевой экран и настраивают на нем передачу необходимых данных только в одну сторону – из промышленной сети в корпоративную. Казалось бы, все сделано правильно. Однако в случае ком- прометации корпоративной сети и получе- ния доступа на межсетевой экран зло- умышленники без труда смогут проникнуть в промышленный сегмент. Причем для компрометации межсетевого экрана совершенно необязательно наличие уязви- мости в его коде, достаточно лишь пере- хватить учетные данные администратора устройства. Нередки также случаи, когда администраторы некорректно настраивают списки доступа на межсетевых экранах, в результате чего злоумышленники могут проникнуть в промышленную сеть из кор- поративной даже без компрометации непосредственно файрвола. Поэтому для критически важных объектов необходимо гарантировать невозможность влияния на критичный сегмент извне даже в случае компрометации пограничных устройств. Решить эту проблему призваны средства однонаправленной передачи дан- ных. Требования регуляторов В России необходи- мость использова- ния средств однона- правленной переда- чи данных опреде- ляют требования р е г у л я т о р о в . В частности, приказ ФСТЭК № 31 пред- писывает использо- вать средства одно- направленной пере- дачи данных при: l у п р а в л е н и и доступом субъек- тов к объектам доступа; l соединении между устройствами, сег- ментами автома- т и з и р о в а н н о й системы управле- ния, а также авто- матизированными системами управ- ления. Близкие требования содержатся и в при- казах ФСТЭК № 17 и № 21 (УПД.3, ЗСВ.4). Таким образом, н е о б х о д и м о с т ь использования одно- направленных шлюзов определяется в том числе и требованиями российских регуляторов. Рассмотрим основных российских и зарубеж- ных игроков на рынке средств однонаправ- ленной передачи данных, решения которых реально применяются на предприятиях, и сле- дующие решения: АПК InfoDiode, "СТРОМ", Fox DataDiode, Waterfall Security Solutions. АПК АМТ InfoDiode Аппаратно-программный комплекс InfoDi- ode 1 разработан компанией "АМТ-ГРУП" на российской аппаратной платформе, россий- ской сертифицированной операционной системе Astra Linux и программном обес- печении собственного производства. Решение АПК InfoDiode состоит из следую- щих компонентов: l два прокси-сервера; l аппаратное устройство однонаправленной передачи данных. Передача трафика через аппаратное устройство InfoDiode возможна только в одном направлении, благодаря гальваниче- ской развязке, гарантирующей отсутствие обратной связи. При этом прокси-серверы обеспечивают связь с внешними системами и организуют однонаправленный транспорт данных между собой. Для внешних систем взаимодействие ограничивается прокси-сер- верами: на принимающей стороне прокси- сервер выступает в роли сервера данных (FTP, SMTP, CIFS, OPC UA), на передающей – в роли клиента. Такая архитектура позво- ляет использовать АПК InfoDiode для реали- зации различных сценариев. Помимо описанной ранее однонаправленной передачи данных, иногда требуется переда- вать данные в обоих направлениях. Напри- мер, в силу исторических причин часть про- мышленных систем или сегментов "разма- заны" по корпоративной ЛВС. Данный сце- нарий позволяет расширить границы критич- ного сегмента, создав защищенную инфор- мационную систему внутри другой информа- ционной системы. Рис. 1 Однонаправленная передача данных в двух направлениях 1 АПК АМТ InfoDiode: http://www.amt.ru/web/ru/infodiode.