Обзор программно-аппаратного комплекса «Синоникс»

Вигель Антонов

Устойчивое развитие во всех областях деятельности общества на современном этапе связано с активной информатизацией: внедрением автоматизированных процессов и цифровых сервисов, предоставляемых непосредственно их потребителям в едином информационном пространстве. Все организации вне зависимости от сферы деятельности поддерживают собственную информационную инфраструктуру, от которой напрямую зависит их функционирование и производственная деятельность.

Отдельно стоит отметить задачу обеспечения надежного, безопасного и защищенного обмена данными (информационного обмена) между децентрализованными информационными инфраструктурами, в том числе являющимся объектам критической информационной инфраструктуры.

Для организации защищенного взаимодействия и информационного обмена между технологически изолированными друг от друга ИТ-системами хорошо зарекомендовал себя программно-аппаратный комплекс «Синоникс», производства компании «АйТи Бастион».

Программный комплекс на специализированной аппаратной платформе «Синоникс» — это Система информационного обмена, позволяющая организовать автоматизированную однонаправленную или двунаправленную передачу данных и файлов между узлами двух сетей, скрывая при этом информацию об их окружении. «Синоникс» внесен в Единый реестр российских программ для электронных вычислительных машин и баз данных, реестровая запись № 22866 от 14.06.2024.

Функциональность

АПК «Синоникс» — средство информационного обмена, предназначенное для автоматизации процессов передачи файлов и потоковых данных между узлами, в том числе из несвязанных сетей. Функционирование ПК базируется на принципе разделения зон ответственности между администраторами, отвечающими за разные сегменты сети, а используемые в нем технологические решения позволяют реализовать передачу файлов и потоковых данных в направленном режиме. Такой подход обеспечивает скрытие информации о структуре, составе и объектах, соединяемых узлов/систем и т.д.

ПК может быть применен для решения следующих основных типовых задач обмена данными:

• доставка программного обеспечения, файлов, дистрибутивов и пакетов обновления с возможностью дополнительных автоматизированных проверок;
• удаленная передача данных сетевой телеметрии и сигнализации от промышленного оборудования и различных устройств контроля, дистанционный мониторинг;
• двунаправленная и однонаправленная передача информации для поддерживаемых протоколов;
• интеграция с системами класса DLP, AM и Sandbox по протоколу ICAP;
• контролируемый обмен информацией и безопасная передача данных с управлением доступом и журналированием событий.

Особенность ПК «Синоникс» заключается в полной автоматизации процессов передачи данных и обмена информацией, с минимизацией участия в них администраторов ИТ-инфраструктур.

Функционал передачи файлов и потоковых данных между узлами из разных сетей, пользователями и системами из несвязанных сетей включает в себя:

• режим сетевого соединения по протоколам TCP, UDP с доставкой ответных сетевых пакетов от устройства-назначения соединения к устройству-отправителю;
• режим однонаправленного сетевого соединения по протоколам TCP, UDP (режим программного «диода») с запретом доставки ответных сетевых пакетов от устройства-назначения соединения к устройству-отправителю;
• режим передачи файлов по протоколу SFTP (режим «файлтрансфер»);
• возможность автоматической доставки по FTP и SFTP до файлового сервера.

При управлении обменом данными в режиме передачи файлов программно-аппаратный комплекс «Синоникс» обеспечивает возможность верификации передаваемых файлов посредством:

• проверки имен файлов на отсутствие запрещенных символов;
• проверки размеров файла на превышение указанного размера;
• использования электронной цифровой подписи;
• интеграции внешних сервисов (средства антивирусной защиты, DLP-системы и др.) доступных по протоколу ICAP;
• проверка типа файла, проверка расширения файла.

Функции аудита комплекса «Синоникс» включают в себя следующие возможности регистрация событий безопасности:

• возможность генерирования записей для событий, подвергаемых аудиту;
• возможность чтения информации из записей аудита;
• возможность ассоциации событий аудита с идентификаторами субъектов;
• ограничение доступа к чтению записей аудита;
• поиск, сортировку и упорядочение данных аудита.

В части администрирования, обеспечения нормального функционирования, защищенности и контроля целостности компонент ПК «Синоникс» предоставляет следующие функциональные возможности:

• возможность управлять режимом выполнения функций безопасности комплекса «Синоникс»;
• возможность управлять параметрами настройки функций безопасности;
• использование ролевой модели и ассоциации ролей с конкретными администраторами и пользователями;
• восстановление функционирования комплекса «Синоникс» после сбоев;
• экспортирование конфигурации комплекса «Синоникс» и возможность ее импортирования на аппаратные средства идентичной версии;
• получение и установка обновлений без применения средств автоматизации.

Передача данных (сетевого соединения) Transport предназначена для безопасного управления потоками информации между конечными узлами. Для данной функции сценарии прямого взаимодействия пользователя с интерфейсом не предусмотрены и управление функцией осуществляется администраторами комплекса «Синоникс».

Передача данных (однонаправленного сетевого соединения) в режиме программного диода данных предназначена для безопасного управления потоком информации между информационными системами, передаваемого в определенном направлении. Для данной функции сценарии прямого взаимодействия пользователя с интерфейсом не предусмотрены. Управление функцией осуществляется администраторами комплекса «Синоникс».

Функция FileTransfer предназначена для передачи файлов по протоколу SFTP между сетевыми приложениями. Передача файлов осуществляется пользователями, которые являются авторизованными клиентами комплекса «Синоникс». Авторизация пользователя происходит со стороны интерфейса комплекса «Синоникс», подключенного к сегменту сети пользователя. Взаимодействие пользователя с комплексом «Синоникс» происходит как с сетевым устройством в его локальной сети.

Преимущества

Программно-аппаратный комплекс «Синоникс», как средство безопасного и контролируемого обмена файлами и потоковой передачи информации технологически ориентирован для решения следующих задач:

• противодействия существующим и потенциально неизвестным уязвимостям путем скрытия данных Об окружении объединяемых информационных систем;
• реализации возможности встречного контроля при управлении правилами передачи файлов и правилами организации сетевых соединений;
• использования функции проверки целостности файловых объектов и свойств имен;
• применением встроенных механизмов дополнительной верификации объектов во внешних системах посредством протокола ICAP;
• размещения комплекса в цепочке сетевого оборудования для обеспечения фильтрации транспортируемых данных в целях достижения требуемого уровня защищенности сети.

Программно-аппаратный комплекс «Синоникс» может быть использован в составе:

• государственных информационных систем до 1 класса включительно;
• информационных систем персональных данных до 1 класса включительно;
• автоматизированных систем управления производственными и технологическими процессами до 1 класса включительно;
• автоматизированных систем, обрабатывающих информацию конфиденциального характера до класса 1Г включительно.

ПК «Синоникс» обеспечивает встречный контроль правил обмена данными (одновременную независимую проверку политик передачи информации с двух автономных узлов устройства), результат которого основывается на согласованном решении двух операторов (администраторов).

Комплекс «Синоникс» предоставляет возможность оперативного отключения и подключения удаленного доступа к защищаемой технологической информационной инфраструктуре, как на физическом так и логическом уровнях.

«Синоникс» позволяет автоматизировать задачи по передаче крупных объемов данных, включая файловый обмен, передачу событий безопасности, телеметрии от источников данных, обновлений систем и оборудования из доверенных источников или файлов с проверкой ЭЦП, не раскрывая при этом особенности окружения связываемых систем.

Комплекс «Синоникс» снижает риски полной компрометации окружения объединяемых объектов, что важно для обеспечения совместной работы сложных информационных инфраструктур, для которых требуется обеспечение четкой границы ответственности.

В отличии от традиционных систем класса «диод данных», комплекс «Синоникс» способен работать не только в режиме однонаправленной передачи данных, но и контролируемой двунаправленной, поддерживая протоколы, требующие установки и поддержания соединения. Это позволяет использовать его не только для защиты систем в технологических сетях, но и решать прочие задачи бизнеса, связанные с безопасной передачей данных, которые требуют повышенного контроля в части информационной безопасности.

ПК «Синоникс» представляет собой законченное решение, которое может использоваться самостоятельно, а также применятся в дополнение к другим продуктам платформы «СКДПУ НТ» разработки АйТи Бастион для совместного обеспечения безопасного доступа в сложных архитектурах корпоративной информационной инфраструктуры.

Структура

ПК «Синоникс» предназначен для использования в качестве средства информационного обмена, основным назначением которого является автоматизация процессов передачи файловой и потоковой информации между сетевыми приложениями. Специальное программное обеспечение комплекса «Синоникс» основано на использовании технологии электронной передачи пакетов данных с применением разрешающих правил, установленных в явном виде, которые обеспечивают безопасный обмен данными и передачу файлов в условиях физической изолированности узлов, в том числе из несвязанных сетей.

Комплекс «Синоникс» рекомендован для совместного использования с межсетевым экраном на физической границе сетей с разным уровнем доверия или сегментов с разным уровнем доступа в рамках одной сети.

Базовая схема применения комплекса «Синоникс»

Архитектурная структура программно-аппаратного комплекса «Синоникс» образована оригинальным трехкомпонентным составом модулей (узлов) обработки потоков данных, функционирующих в рамках системы встречного согласования политик передачи информации.

Архитектурная схема комплекса «Синоникс»

Узлы А и Б являются точками настройки ПК «Синоникс», а также отвечают за сетевое взаимодействие с объединяемыми системами, а компонент «Ядро» за взаимосвязи между компонентами «Узел А» и «Узел B».

Сетевое взаимодействие непосредственно между компонентами «Узел А» и «Узел B» напрямую в комплексе «Синоникс» исключено на архитектурном уровне. Через компонент «Ядро» передаются только заранее разрешенные и согласованные потоки данных, а также прошедшие проверку файлы. Для управления компонентами комплекса «Синоникс» предоставляются выделенные порты управления. Порты управления позволяют операторам «Узлов А и В» обеспечивать независимое управление и встречный контроль выполнения разрешающих правил.

Комплекс «Синоникс» требует наличия согласованных правил в политике, то есть разрешающие правила одного узла должны быть совместимы с разрешающими правилами второго узла, иначе передача данных не будет выполняться. За конфигурацию компонента Узла и его сетевого сегмента отвечает отдельный администратор каждой из связуемых информационных инфраструктур, обеспечивая тем самым необходимое разделение зон ответственности и безопасности каждого сетевого сегмента. Определение разрешенного канала передачи данных задается указанием следующих параметров: IP-адрес источника, порт источника, IP-адрес назначения, порт назначения. Таким образом комплекс «Синоникс» исключает возможность прямого соединения между сетевыми приложениями.

Безопасный алгоритм работы комплекса «Синоникс» функционирует следующим образом:

• выполняет анализ данных и (или) файлов, полученных по поддерживаемым протоколам в соответствии с заданными правилами разрешений информационного обмена;
• если передача разрешена, то на одном из «Узлов» (источник) происходит удаление транспортного уровня, данные на уровне приложений передаются в «Ядро»;
• выполняет передачу данных на «Узел» назначения из «Ядра», где транспортный уровень восстанавливается;
• данные передаются в заданное приложение/заданный узел и т.д..

Дополнительно программно-аппаратный комплекс «Синоникс» обеспечивает контроль физического доступа. Комплекс «Синоникс» оснащен парой пусковых физических ключей. Администраторы комплекса, используя пусковые ключи, могут заблокировать все операции передачи данных на физическом уровне, путем отключения питания ядра. При этом сохраняется доступ как к параметрам ПК «Синоникс», так и к журналам. Кроме того комплекс «Синоникс» предоставляет возможность физически ограничить доступ к портам управления компонента «Ядро».

Программно-аппаратный комплекс «Синоникс» работает на базе операционной системы Astra Linux SE. Для комплекса «Синоникс» подтверждена возможность интеграции и совместной работы с продуктами платформы «СКДПУ НТ», а также с продуктами информационной безопасности Kaspersky ScanEngine, Dr.Web for UNIX Gateways и Infowatch TrafficMonitor.

Применение

Востребованным случаем применения комплекса «Синоникс» является организация одностороннего бесперебойного получения данных телеметрии и диагностической информации от промышленного технологического оборудования. Задача комплекса «Синоникс» заключается в данном случае в реализации безопасной передаче данных сетевой телеметрии и сигнализации между двумя различными изолированными системами.

Передача диагностической информации и получение оперативной отчетности из сетевого сегмента технологического промышленного оборудования должны происходить в режиме реального времени, но при наличии подобной постоянной сетевой связи возникают и риски компрометации информационной инфраструктуры.

Задача решается посредством развертывания комплекса «Синоникс» в сочетании с дополнительным межсетевым экраном класса NGFW. Межсетевой экран обеспечивает базовую защиту каждой сети, в том числе на уровне контроля приложений. В изолируемом сетевом сегменте размещается комплекс «Синоникс» перед NGFW со стороны общей сети или канала связи между сетевыми сегментами.

В процессе передачи пакетов данных комплекс «Синоникс» полностью перестраивает транспортную составляющую пакета (1 — 4 уровень модели OSI). Таким образом исключаются атаки на этом уровне и обеспечивается дополнительная защита инфраструктуры и NGFW от атак транспортного уровня. Комплекс «Синоникс» полностью скрывает реальную инфраструктуру защищаемого объекта, предоставляя только заранее определенный канал для обмена информацией.

Следующий типовой сценарий применения комплекса «Синоникс» связан с необходимостью реализации процесса передачи обновлений и других файловых объектов в автоматизированном режиме с применением проверок безопасности и целостности. Задача решается путем развертывания технических средств комплекса «Синоникс» для доставки файловых объектов и обновлений с возможностью встречного контроля, и создания надежной и высокозащищенной автоматизированной системы для обмена файлами между двумя различными изолированными сегментами сети.

Решение сочетает в себе удобство и безопасность, а также автоматизирует процессы доставки файлов в изолированные сетевые контуры. Алгоритм взаимодействия в этом случае представляется в следующем виде:

• клиент из одной сети подключается по протоколу передачи файлов SFTP к комплексу «Синоникс» и получает доступ к выделенному на его стороне файловому SFTP серверу (вход осуществляется только при предоставлении корректной учетной записи для комплекса «Синоникс»);
• клиент размещает файл в каталоге для отправки, по завершении загрузки объектов в каталог данные объекты автоматически передаются в очередь на проверку и передачу.

Файлы и передаваемые объекты до фактического перемещения на сторону сети назначения проходят ряд проверок, и, если все заданные проверки пройдены, объекты получают разрешение на передачу и перемещается устройством на конечный узел. Объекты могут быть размещены в собственном файловом хранилище или переданы на целевой сервер по протоколу передачи данных SFTP.

Со стороны защищаемой сети другой пользователь также подключается к комплексу ПК, используя свои учетные данные и может забрать файл из каталога, в котором размещаются переданные файлы.

Запросить программно-аппаратный комплекс «Синоникс» и задать по нему вопросы можно здесь.