АПК АМТ InfoDiode - Система однонаправленной передачи данных

Обеспечение безопасности критичных информационных систем является нетривиальной задачей. Критичные системы существуют практически во всех отраслях – это и государственные организации (в том числе силовые структуры), промышленность и топливно-энергетический комплекс (критически важные объекты), а также коммерческие организации.

Критичность хранящейся и обрабатываемой в таких системах информации зачастую накладывает серьезные требования к применяемым средствам ее защиты. Иногда требуется максимальная изоляция критичной системы с целью недопущения попыток несанкционированного доступа к информации.

Однако такая изоляция не позволяет обеспечить полноценную и удобную работу с защищаемой информацией и ограничивает взаимодействие со смежными информационными системами. Также, зачастую, максимальная или полная изоляция провоцирует сотрудников на нарушение установленных правил информационной безопасности.

Выходом в таких ситуациях может стать использование систем однонаправленной передачи данных.

Компания АМТ-ГРУП разработала  собственное решение для однонаправленной передачи данных InfoDiode, реализованное в виде программного-аппаратного комплекса (АПК).

АПК АМТ InfoDiode позволяет решать ряд уникальных задач, в рамках которых гарантируется защита от многих угроз информационной безопасности. InfoDiode обеспечивает высочайший уровень изоляции критичных информационных систем, сохраняя при этом нужный уровень их функциональности для взаимодействия со смежными информационными системами.

Принцип работы системы InfoDiode

InfoDiode состоит из трех компонент: два прокси-сервера и аппаратное устройство однонаправленной передачи данных. Передача трафика через аппаратное устройство InfoDiode возможно только в одном направлении. Гальваническая развязка гарантирует отсутствие обратной связи. Прокси-серверы обеспечивают связь с внешними системами и организуют однонаправленный транспорт данных между собой. Для внешних систем взаимодействие ограничивается прокси-серверами: на принимающей стороне прокси-сервер выступает в роли сервера данных (FTP\FTPS, SMTP\StartTLS, CIFS), на передающей – в роли клиента. 

Решения с использованием технологии однонаправленной передачи данных уже давно применяются в различных отраслях.

В западных странах класс устройств, гарантирующих однонаправленную передачу данных, регламентирован отраслевыми стандартами (например, NERC). В Российской Федерации с 2013 года  применение однонаправленных систем передачи данных регламентировано приказами ФСТЭК (Приказы 17 , 21  и 31).

Сертификация

АПК InfoDiode имеет сертификат соответствия ФСТЭК N4118, удостоверяющий соответствие требованиям по безопасности информации, установленным в документе «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2018) - по 4 уровню доверия и технических условиях при выполнении указаний по эксплуатации, приведенных в формуляре RU.29318444.00001-02 30 01..

Это позволяет применять InfoDiode на предприятиях совершенно различных отраслей для защиты конфиденциальной информации (автоматизированные системы до класса 1 Г, системы защиты персональных данных до 1 уровня защищенности, государственные информационные системы до 1 класса, а также системы АСУ ТП (КСИИ) до 1 класса включительно).

Сертификаты и дополнительные документы по продукту Вы можете найти на сайте InfoDiode.ru

Сценарии применения АПК АМТ InfoDiode

Сценарий 1. Экспорт данных

Сфера применения: государственные предприятия, предприятия оборонно-промышленного комплекса, критически важные объекты, коммерческие организации, использующие закрытые сети.

В данном сценарий обеспечивается гарантия целостности передаваемых данных. 

Сценарий 2.  Импорт данных из внешних источников

Сфера применения: государственные предприятия, предприятия оборонно-промышленного комплекса, критически важные объекты, коммерческие организации, использующие закрытые сети.

В данном сценарии обеспечивается гарантия конфиденциальности защищаемых данных.

Сценарий 3.  Одновременная выгрузка и загрузка данных

Сфера применения: любые организации, использующие закрытые сегменты сети.

Данный сценарий обеспечивает двунаправленное взаимодействие между сегментами. Это позволяет достигнуть высокого уровня защищенности и изоляции сегментов с возможностью как выгрузки, так и загрузки данных. Учитывая невозможность установления соединений (исключение обратной связи для злоумышленника по большинству протоколов), данный сценарий значительно (по оценкам компании ~ в 10 раз) превосходит по уровню защищенности традиционные схемы с межсетевым экраном на периметре.

Сценарий 4. Защищенное удаленное взаимодействие критичных сетевых сегментов (Site-to-Site VPN)

Сфера применения: любые организации, использующие территориально-разнесенные закрытые сегменты сети. 

Уникальный дизайн АМТ-ГРУП, использующий АПК «АМТ InfoDiode» в схеме VPN-сетей. Схема обеспечивает высокий уровень защиты от внешних угроз (по аналогии со Сценарием 3, уровень защищенности от внешних угроз возрастает ~ в 10 раз) и существенную изоляцию, при этом сохраняется полноценное двустороннее защищенное взаимодействие удаленных узлов посредством VPN. Важным условием реализации схемы является поддержка системами передачи данных шифрованного трафика и использования стойких криптоалгоритмов. 

Сценарий 5.  Защищенный удаленный доступ Remote Access VPN и создание изолированной демилитаризованной зоны

Сфера применения: ллюбые организации, которым необходима организация защищенного удаленного доступа.

В ряде случаев необходимо обеспечить защищенный удаленный доступ к внутренним ресурсам компании как внутренним пользователям, так и партнёрам, подрядчикам. Сценарий 5 подразумевает создание изолированной демилитаризованной зоны, куда выгружаются только допустимые для удаленных пользователей и подрядчиков/партнёров данные. При этом мы получаем гарантию сохранения конфиденциальности и целостности критичных данных внутри информационной системы: исключается возможность доступа удаленных пользователей посредством VPNсоединений к внутренним ресурсам.

Сценарий 6.  Трансляция рабочего стола с АРМ в закрытом сегменте

Сфера применения: подрядные организации, внешние службы поддержки, службы поддержки вендоров, удаленный мониторинг.

В случае сопряжения сетей с разным уровнем критичности требуется обеспечить внешний мониторинг за состоянием показателей технологического оборудования, сети и т.п. в точном соответствии с тем, что наблюдается на экране монитора АРМ оператора, вплоть до контроля перемещения мыши и/или манипулятора. Сценарий 6 позволяет организовать стриминг рабочего стола АРМ «как есть» за пределы критического сегмента. При этом гарантируется конфиденциальность и целостность данных внутри информационной системы: исключается возможность доступа и влияния удаленных пользователей на АРМ и сеть внутри критического сегмента посредством VPN-соединений, RDP подключений к внутренним ресурсам. 

Отказоустойчивость и интеграция с внешними системами

Кластеризация для обеспечения отказоустойчивости

Интеграция с системами Data Loss Prevention (DLP)

Интерфейс управления АПК InfoDiode

Управление реализовано на базе интуитивно понятного WEB-интерфейса, с возможностью конфигурации (настройки) различных функций  с минимальным количеством манипуляций (концепция настройки  функции одного окна). В интерфейсе реализована защита от случайных изменений конфигурации, существует возможность Out-of-Band управления посредством файлов конфигурации в формате XML, либо CLI.

Основные технические характеристики АПК InfoDiode

Параметр Показатель
Производительность 900 Mbps
Возможность кластеризации Есть
Поддержка маршрутизации Да
Поддержка NAT Да
Поддержка L7 Proxy Да
Поддерживаемые протоколы FTP, CIFS, SMTP, ESP IPSec, UDP (все протоколы)
Интерфейсы данных Два 1000Base-SX
Интерфейсы управления Два 1000Base-T
Форм-фактор 3 rack unit (3 компоненты ПАК по 1 rack unit )
Возможность монтажа в 19” телекоммуникационный шкаф Да
Питание 100 – 240 В (AC)
Частота 50-60 Гц (однофазный)
Рабочая температура воздуха 10 – 35 C
Рабочая влажность воздуха 5-95%
Виды передаваемых данных
  • Потоковые сервисы\потоковые данные
  • Прокси сервисы\пакетные данные
Эффективная скорость передачи UDP и TCP\IP трафика в некластерном варианте 900 Мбит\сек
Эффективная скорость передачи файлов по FTP\FTPS\CIFS и SMTP в некластерном варианте 900 Мбит\сек
Эффективная скорость передачи UDP TCP\IP трафика в кластерном варианте 300 Мбит\сек
Эффективная скорость передачи файлов по FTP\FTPS\CIFS и SMTP в кластерном варианте 300 Мбит\сек
Максимальное количество файлов (размером до 1,75 Мб) в секунду при передаче с In-Proxy сервера на Out-Proxy сервер  20
Максимально поддерживаемое количество пользователей системы на один сервер (In-Proxy или Out-Proxy) 1000
Предельное количество одновременных подключений\сессий FTP\FTPS\CIFS к каждому из серверов In-Proxy\Out-Proxy 20
Рекомендуемый максимальный размер передаваемого файла 16 Гб
Рекомендуемый для передачи средний размер файла (в целях максимизации эффективной скорости передачи) 4Мб
Рекомендуемое количество каналов передачи\endpoint-endpoint 50
Максимальное количество сообщений в одном канале\endpoint (на основании данных в разделе История сообщений) 5 000

 

Дополнительную информацию Вы также можете получить на сайте - InfoDiode.ru

За более подробной информацией обращайтесь по адресу InfoDiode@amt.ru

Проекты АМТ-ГРУП Проекты АМТ-ГРУП