12.11.2015

Компания «СиЭйЭн» завершила разработку интегрированного файлового и почтового однонаправленного шлюза Стром-Файл.

  Эксперты по защите данных информируют о ежегодном росте числа утечек конфиденциальной информации в мире. Аналитический отдел компании InfoWatch зарегистрировал 1395 подобных случаев в 2014 году, что на 22% больше, чем в 2013 году. Еще более удручающая картина представлена аналитическим отделом компании Positive Technologies в своем исследовании по уязвимости корпоративных информационных систем в 2014 году. Почти у всех исследованных систем (93%) интерфейсы управления оборудованием были доступны любому пользователю сети Интернет, а 88% критически важной информации хранилось в свободном доступе. Главенствующая роль информации в современном мире бесспорна, в связи с этим очевидно, что преодоление возможных инцидентов в сфере защиты данных может потребовать от предприятий весьма значительных затрат.

  Все это объясняет почему обеспечение информационной безопасности ключевых объектов предприятий является головной болью их владельцев и топ-менеджеров, даже несмотря на то, что, как правило, эта функция не входит непосредственно в технологический процесс функционирования организации. Очень бы не хотелось, чтобы ваше предприятие пополнило печальную аналитику инцидентов в сфере информационной безопасности.

  Для обеспечения безопасности возможно полностью изолировать ключевой защищаемый сегмент сети и не допустить его взаимодействия с остальными сегментами сети предприятия. Однако при реализации ряда технологических процессов важно иметь возможность передачи информации из охраняемой сетевой инфраструктуры в корпоративную сеть предприятия, в том числе в реальном масштабе времени (например, для ведения журналов контроля параметров функционирования АСУ ТП) или, наоборот, из открытой сети предприятия, в том числе подключенной к сети Internet, в конфиденциальный корпоративный сегмент (например, обновление программного обеспечения, почтовые сообщения и т.п.).

  Самым надежным программно-аппаратным решением, при помощи которого можно решить обе задачи: предотвратить возможную утечку информации из конфиденциальной сети организации при передаче в нее информации из внешних открытых сетей или не допустить возможности нежелательного внешнего воздействия на ключевые информационные сети предприятия при передачи из них информации во внешние открытые сети, - является использование однонаправленных шлюзов (информационных диодов) для соединения сегментов сетей с разными требованиями по безопасности.

   В компании «СиЭйЭн» накоплен большой опыт разработки и внедрения систем однонаправленной передачи данных. Напомним, что сетевые шлюзы (Data Diode, Datadiode) «З-Кросс», «Стром-100» и «Стром-1000» в настоящее время являются единственными устройствами однонаправленной передачи данных, использование которых разрешено в системах, обрабатывающих информацию с грифом до «совершенно секретно» включительно. На что получены положительные Заключения ФСБ Российской Федерации.

  Представляем наш новый программно-аппаратный комплекс - интегрированный файловый и почтовый однонаправленный шлюз Стром-Файл. Это полностью отечественная разработка, при реализации которой был учтен весь наш богатый, более чем 5-летний опыт проектирования и внедрения систем однонаправленной передачи данных.

  Интегрированный файловый и почтовый шлюз Стром-Файл (диод данных) предназначен для гарантированной однонаправленной передачи файлов и почтовых сообщений по IP-протоколу между сетями с разными требованиями по безопасности. В случае передачи информации из открытых сетей в защищаемые гарантируется соблюдение конфиденциальности и отсутствие утечек из секретной сети. В случае передачи информации из защищаемых сетей в открытые обеспечивается их целостность и доступность, что предотвращает возможность нежелательного внешнего воздействия на важную охраняемую инфраструктуру.

  Передача информации реализована на аппаратном уровне, пропускная способность достигает 200 Мбит/с. В состав шлюза входят два компонента: внешний блок и внутренний блок. Блоки (компоненты) соединяются между собой симплексным оптическим кабелем, посредством которого реализуется однонаправленная передача информации. Физически внешний блок шлюза имеет только Ethernet-передатчик, а внутренний блок шлюза только Ethernet-приемник. Скорость в однонаправленном канале составляет до 1 Гбит/c.

 

                  

  Блоки однонаправленного шлюза (Data Diode, Datadiode) присоединяются к сегментам сетей с разными требованиями по безопасности. Таким образом удается избежать традиционной схемы с использованием однонаправленного шлюза и двух прокси-серверов в разных сетях. Функции, которые выполняют прокси-сервера в традиционной схеме, реализованы в программном обеспечении блоков. С сегментами сети компоненты однонаправленного шлюза (информационного диода) могут быть связаны оптическим или медным кабелем, поддерживается скорость сегмента сети до 1Гбит/с.

  Каждый компонент, функционально, состоит из сервера, обеспечивающего пользовательские файловые и почтовые службы, и аппаратного модуля передачи (приема) однонаправленной сетевой информации.   Внутреннее программное обеспечение базируется на специальной сборке операционной системы Linux и располагается на энергонезависимом твердотельном накопителе, доступном только для чтения, для обеспечения свойств надежности и безопасности. Пользовательские данные сохраняются на твердотельных SSD-носителях емкостью до 512 ГБ.   

  В устройстве реализован обмен файлами по протоколам FTP и SMB. При копировании пользователем информации в сетевую папку передающего блока она отправляется по однонаправленному каналу к принимающему блоку, где помещается в папку пользователя, после чего удаляется из папки блока отправителя. Доступ к папкам ограничен парольной аутентификацией, встроенной в протоколы FTP и SMB.

  В диоде данных Стром-Файл реализована возможность однонаправленной передачи в конфиденциальный сегмент данных с USB-носителя, класса Mass Storage Device. USB-носитель в этом случае помещается в соответствующий разъем внешнего компонента шлюза. Переданная информация сохраняется в каталоге на внутреннем компоненте.  Система однонаправленной передачи данных Стром-Файл осуществляет сбор почтовых сообщений с серверов во внешних сетях по протоколам POP3, IMAP, их передачу через однонаправленный канал на внутренний блок, который выполняет функции почтового сервера для обеспечения доступа пользователей конфиденциального внутреннего сегмента сети к полученной почте. Обращаем внимание, что почта доступна только для чтения, ответить на нее или отправить подтверждение о прочтении невозможно.

  На каждом блоке функционирует специализированное программное обеспечение конфигурирования комплекса и передачи (приема) однонаправленной информации. При конфигурировании задаются: список пользователей и их пароли; дисковые квоты; перечень внешних почтовых ящиков, с указанием сервера, имени пользователя и пароля, которые передаются в блок при настройке. Эта информация используется для аутентификации пользователей, создания их каталогов на диске принимающего блока и доступа к поступающей почте. Каждый пользователь имеет доступ только к разрешенному каталогу и почтовому ящику. Система может работать круглосуточно в автоматическом режиме, требуется только минимальное администрирование при начальной настройке или изменении правил маршрутизации в процессе работы.

  Информационный диод Стром-Файл реализует сокрытие структуры и топологии внутренней сети. Наличие встроенного межсетевого экрана позволяет разрешить или блокировать прохождение определенных сетевых пакетов, на основании настраиваемых файлов конфигурации. Учитывая, что при передаче через однонаправленный канал отсекается вся служебная информация протоколов передачи данных, можно констатировать, что доставка информации в конфиденциальный сегмент сети обеспечивает более высокий уровень защиты ее целостности и доступности.

  Сетевой диод данных осуществляет ведение журналов событий на внешнем и внутреннем блоке. Журнал работы доступен для чтения из соответствующей сети и ведется в сетевой папке с зарезервированным именем, расположенной на твердотельном накопителе блока. В журнал заносятся сообщения о событиях и результатах старта, конфигурирования, передачи, приема файлов, и почтовых сообщений. В блоках организована суточная ротация файлов журнала и архивирование предыдущих файлов, обеспечивается хранение файлов журналов за период, указанный в конфигурационном файле.

  Предполагаем, что система однонаправленной передачи данных Стром-Файл заинтересует представителей отделов информационной безопасности государственных и коммерческих организаций. Комплекс выполняет однонаправленную передачу файлов и почтовых сообщений между сетями, обеспечивая конфиденциальность (отсутствие утечек) или целостность и доступность (защиту от нежелательного внешнего воздействия) одной из соединяемых сетей. Система представляет собой законченное решение, реализующее принцип Plug and Play, работающее в автоматическом режиме и требующее минимального администрирования при начальной настройке или изменении правил маршрутизации. Наличие положительных Заключений ФСБ РФ характеризует наши компетенции в области разработки систем однонаправленной передачи информации. Открытость и прозрачность одно из наших дополнительных конкурентных преимуществ. Редко у кого на сайте можно найти все основную информацию по техническим и экономическим вопросам. Собственное производство и наличие на складе готовых изделий (как правило) позволяет оперативно отгрузить необходимую продукцию.

  В настоящее время в компании «СиЭйЭн» проводятся работы по получению Заключения ФСБ России, позволяющего использовать Стром-Файл в автоматизированных информационных системах, обрабатывающих информацию с грифом до «совершенно секретно» включительно.