12 Октября 2015 16:42 12 Окт 2015 16:42 |

Поделиться

ФСТЭК сертифицировала решение «АМТ-Груп» для защиты критичных сегментов сети

CNews: Что побудило вас начать производство собственных решений? Политика импортозамещения?

Алексей Мальнев: Нет, это совпадение, хотя тенденция и оказала некоторое влияние на наш продукт. В решении InfoDiode реализован максимальный на сегодня уровень импортозамещения: все программные и аппаратные компоненты отечественные, то есть зависимости от западных поставщиков нет. Это означает и возможность соответствующей сертификации, и возможность применения продукта в критичных элементах инфраструктуры отечественных компаний.

CNews: Для решения каких задач применим InfoDiode и кто является его основным заказчиком?

Алексей Мальнев: Список отраслей, где может быть востребован InfoDiode, довольно обширный: ТЭК, промышленные предприятия, ОПК, финансовые организации, государственные организации, министерства, органы власти. С помощью InfoDiode можно решать множество практических задач, но основная – защита критичных сегментов сети. Существуют две группы сценариев: однонаправленные и двунаправленные.

InfoDiode в однонаправленном применении позволяет гарантировать как целостность данных (сценарии с выгрузкой данных во внешние сегменты), так и конфиденциальность данных (сценарии с загрузкой данных в критичные сегменты сети). Сценарии с обеспечением гарантии целостности данных могут быть востребованы при защите систем АСУ ТП. Сценарии с обеспечением гарантии конфиденциальности данных могут быть востребованы корпоративным сегментом, специальными службами, финансовой отраслью.

Включение InfoDiode на периметре в двунаправленном применении уже не гарантирует 100% защиту данных и систем, но десятикратно повышает защищенность в сравнении с традиционными межсетевыми экранами. При этом схема оставляет возможность двунаправленного взаимодействия – можно выгружать какие-либо отчеты или базы данных вовне и загружать обновления программного обеспечения и антивирусов извне.

CNews: Вы описали общий сценарий работы системы. Можете привести конкретные примеры возможных сценариев ее использования?

Алексей Мальнев: Безусловно. Например, уникальная технология InfoDiode позволяет строить VPN-сети повышенной защищенности, в которых периметры удаленных объектов защищаются двунаправленными схемами InfoDiode, а конфиденциальность передаваемых данных обеспечивается шифрованием и применением традиционных VPN-шлюзов. Повышение уровня защищенности такой VPN-сети увеличивается примерно на порядок за счет десятикратного снижения количества возможных сценариев реализации внешних атак.

Еще один частный случай применения однонаправленной схемы InfoDiode – обеспечение безопасной работы с интернетом. Принцип заключается в выгрузке необходимых внешним пользователям данных (например, из Сети), подрядчикам и партнерам, которым необходима работа с частью корпоративной информации, документацией, почтой. Данные выгружаются из информационной системы через InfoDiode в специальные демилитаризованные зоны. Внешние пользователи работают с этими данными в демилитаризованных зонах, имеют необходимые права доступа к ним через защищенные каналы. При этом владелец информационной системы получает гарантию конфиденциальности и целостности данных внутри информационной системы.

Не менее интересным сценарием применения InfoDiode является создание ситуационных центров. Это один из вариантов применения VPN-сетей повышенной защищенности, построенных с использованием InfoDiode. Существенное повышение уровня защищенности таких VPN-сетей позволяет создавать ситуационные центры в рамках, например, холдингов ТЭК и критически-важных объектов (КВО) для целей мониторинга и управления критичными системами. В этом случае в ситуационном центре может напрямую собираться информация из критичных сегментов сетей предприятий, содержащих системы АСУ ТП, без угроз нарушения ее целостности и работоспособности самих систем АСУ ТП.

Десятикратное снижение количества внешних векторов атак в схеме VPN c InfoDiode позволяет использовать все преимущества централизованного управления и мониторинга тем организациям, которые ранее не имели возможность взаимодействия через неконтролируемые (внешние) каналы связи в ввиду появления неприемлемых рисков информационной безопасности.

CNews: Как можно кратко охарактеризовать сам продукт?

Алексей Мальнев: InfoDiode относится к классу систем однонаправленной передачи данных. Основная его задача – обеспечение гальванической развязки с целью изоляции критичных сегментов сети с сохранением возможности передачи данных между ними.

Продукт состоит из трех аппаратных компонент. Центральная и ключевая компонента InfoDiode – полностью аппаратная, что позволяет на 100% исключить несанкционированный доступ к ней, поскольку передача данных физически возможна только в одном направлении, а обратная связь исключена. Две другие компоненты являются прокси-серверами, функционирующими на базе отечественных серверных платформ и под управлением отечественной сертифицированной операционной системы AstraLinux. На данных серверах работает программное обеспечение InfoDiode, в которое заложена основная логика решения – однонаправленная передача TCP-протоколов (прокси-сервисы) и потоковая передача UDP-протоколов.

CNews: Чем InfoDiode отличается от традиционных решений по защите периметра сетевых сегментов?

Алексей Мальнев: InfoDiode отличается от традиционных программно-аппаратных решений, таких как межсетевые экраны, тем, что основная функция безопасности в нем выделена в отдельную аппаратную компоненту. А на его прокси-серверах реализована только логика по транспорту информационных потоков TCP и UDP. Таким образом, устойчивость InfoDiode к атакам и функция защиты информации обеспечивается аппаратной реализацией, в отличие от априори уязвимой программно-аппаратной реализации межсетевых экранов, например.

При этом мы получаем однонаправленное взаимодействие сегментов сетей – в современных реалиях это значительно более интересный и реальный сценарий, чем полная изоляция. Данные могут быть переданы с гарантией отсутствия обратного воздействия и невозможностью установления управляющих сессий.

Но что еще более важно, большая часть инцидентов информационной безопасности происходит вследствие конфигурационных ошибок. InfoDiode нивелирует последствия любых конфигурационных ошибок, так как отсутствует возможность их использования внешним злоумышленником.

Это делает решения подобного класса уникальными – только они могут обеспечить гарантию защиты, а не просто снижение рисков. Ни одно из традиционных программно-аппаратных решений таких гарантий дать не может.

CNews: Чем ваше решение отличается от западных аналогов? Какие технологии реализованы в решении?

Алексей Мальнев: Чтобы сделать качественный и современный продукт, необходимо в любом случае глубоко погрузиться в проблематику, иметь опыт работы с технологиями. Мы бы вряд ли пришли к этому продукту, начав им заниматься с нуля. Возможно, не появилось бы даже идей. Компания АМТ имеет богатый опыт работы с решениями однонаправленной передачи данных. За последние годы мы внедрили десятки сложных интеграционных решений с использованием данных систем. При этом работали с разными производителями. В результате мы определили сильные и слабые стороны таких систем, появились идеи, как минимизировать ограничения в использовании однонаправленных систем передачи данных, как максимально расширить спектр применения InfoDiode – от предприятий промышленности и энергетики до корпоративного сегмента и госструктур. К примеру, возможность передачи шифрованного ESP-трафика в схемах VPNIPSec – уникальная функция InfoDiode, разработанная нами и расширяющая спектр применения решений подобного класса.

В то же время некоторые фундаментальные задачи потребовали исследовательских работ. Например, задача повышения надежности передачи данных в однонаправленном канале была решена при помощи помехоустойчивого кодирования с коррекцией ошибок.

Ряд функций мы внедрили для улучшения гибкости и функциональности InfoDiode, отталкиваясь от текущих запросов наших клиентов: например, приоритезация передачи данных позволяет осуществлять транспорт как real-time-трафика, так и передачу больших объемов данных, не критичных по скорости и к задержкам.

Другой пример – интерфейс управления. Он максимально прост для понимания даже неквалифицированных специалистов, внедрена защита от случайных изменений конфигурации (конфигурационный режим). Есть возможность офлайн-конфигурирования через XML-файлы, а для категорированных сетей можно полностью выключить Web-интерфейс и оставить только командную строку. Мы пошли по непростому пути, но в результате можем с гордостью сказать, что продукт по ряду параметров превзошел лучшие западные аналоги.

CNews: Расскажите, пожалуйста, подробнее о сертификации. Когда и кем она может быть востребована?

Алексей Мальнев: Мы успешно завершили работы по сертифицикации InfoDiode в системе сертификации ФСТЭК России. InfoDiode соответствует требованиям технических условий и руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (Гостехкомиссия России, 1999) по четвертому уровню контроля.

Это позволяет применять InfoDiode на предприятиях совершенно различных отраслей для защиты конфиденциальной информации (автоматизированные системы до класса 1 Г, системы защиты персональных данных до 1 уровня защищенности, государственные информационные системы до 1 класса, а также системы АСУ ТП (КСИИ) до 1 класса включительно).

В наших планах сертификация решения в ФСБ, Министерстве обороны и отраслевых системах сертификаций.

CNews: Существуют ли планы по развитию InfoDiode?

Алексей Мальнев: Безусловно, у нас разработан детальный план по развитию продукта. В первую очередь мы планируем сконцентрироваться на расширении пула прокси-сервисов для поддержки промышленных протоколов, протоколов видеонаблюдения, расширения возможностей по кластеризации продукта, а также по дополнительной инспекции передаваемого трафика, например на наличие вредоносного ПО.

Поделиться

Подписаться на новости Короткая ссылка