Диоды данных (Data Diodes): российские решения для защиты от утечек

Диоды данных, или однонаправленные шлюзы, представляют собой уникальные устройства защиты информации. Их главная особенность - физическое ограничение передачи данных только в одном направлении. В отличие от межсетевых экранов, которые используют программные способы фильтрации трафика, диоды данных делают невозможным обратный поток информации на аппаратном уровне.

Конструктивно такие устройства имеют лишь один физический канал для передачи трафика, без технической возможности организации обратной связи. Это создает принципиально новый уровень защиты - система становится полностью недоступной для внешнего воздействия, при этом сохраняя возможность сбора необходимых данных.

Существуют две основные модели применения диодов данных:

• сбор данных (например, телеметрия с промышленных датчиков) без риска внешнего воздействия на систему
• получение защищенной сетью внешних данных (обновлений программного обеспечения) без возможности отправки информации за пределы периметра

Однонаправленный характер передачи создает особые требования к транспортным протоколам. Большинство стандартных протоколов требуют обратной связи для подтверждения получения пакетов, поэтому для решения этой проблемы применяются однонаправленные шлюзы.

Такие шлюзы состоят из двух прокси-серверов, соединенных диодом данных. Серверы выполняют конвертацию трафика из стандартных протоколов в форматы, не требующие обратной связи (например, UDP), а также обратное преобразование на принимающей стороне. Для обеспечения надежности передачи в таких системах используются собственные алгоритмы контроля целостности данных.

Преимущества использования однонаправленных шлюзов

Однонаправленные шлюзы предоставляют ряд уникальных возможностей для обеспечения кибербезопасности:

1. Безопасный доступ к критичным системам через реплицирование. Внешний пользователь работает с копией важного хоста, не имея прямого доступа к исходному серверу.
2. Дополнительные меры защиты. На многие шлюзы устанавливают антивирусное программное обеспечение, средства анализа трафика и другие инструменты безопасности.
3. Интеграция с существующей инфраструктурой. Прокси-серверы обеспечивают совместимость диода данных с остальными системами организации при помощи специальных коннекторов.

Мировой рынок диодов данных

Диоды данных начали появляться еще в конце прошлого века, но по-настоящему востребованными стали с ростом числа целевых кибератак на объекты критической инфраструктуры. Мировой рынок этих устройств демонстрирует стабильный рост.

По данным Fortune Business Insights, объем мирового рынка диодов данных в 2020 году составил 352 миллиона долларов. Из этой суммы более 100 миллионов пришлось на Северную Америку. Рост по сравнению с 2019 годом составил около 11%.

Аналитики прогнозируют сохранение положительной динамики и оценивают, что к 2028 году рынок однонаправленной передачи данных достигнет примерно 880 миллионов долларов при среднегодовом росте около 12%.

Основные заказчики диодов данных:

• энергетический сектор
• нефтегазовые компании
• государственные организации
• предприятия, эксплуатирующие объекты критической инфраструктуры
• производственные и транспортные компании с большим количеством промышленных датчиков и контроллеров

Главным фактором роста рынка диодов данных специалисты считают увеличение киберпреступной активности, направленной на нефтегазовый сектор. Внедрение современных технологий, таких как промышленный интернет вещей (IIoT), повышает производительность предприятий, но одновременно делает их более уязвимыми к кибератакам. Последствия таких атак могут быть катастрофическими - от финансовых и репутационных потерь до человеческих жертв и экологических бедствий.

Российский рынок диодов данных

Детального исследования российского рынка однонаправленной передачи данных пока не проводилось, однако наличие на нем активных производителей свидетельствует о существующем спросе на такие решения.

Использование диодов данных в России регламентируется нормативными документами, регулирующими безопасность в государственных информационных системах и обработку персональных данных. Ключевыми драйверами спроса выступают приказы ФСТЭК России № 17, 21 и 31. Для работы с информацией, содержащей государственную тайну, оборудование должно иметь сертификацию ФСТЭК России с указанием уровня контроля. Получение такой сертификации для зарубежных систем сопряжено со значительными трудностями.

В России диоды данных выпускают несколько компаний:

• «АйТи БАСТИОН»
• «АМТ-Груп»
• «Ореол Секьюрити»
• «Росэлектроника»
• «Эшелон»
• «Центр безопасности информации»
• «Центр информационных технологий и систем органов исполнительной власти» (на базе сетевых адаптеров компании «АНКАД»)

Обзор отечественных решений для однонаправленной передачи данных

AMT InfoDiode

Компания «АМТ-Груп» предлагает линейку аппаратных и программно-аппаратных решений под брендом InfoDiode. Эти устройства предназначены для организации обмена данными с критически значимыми сегментами сети.

Линейка включает шесть решений - от компактного InfoDiode MINI для монтажа на DIN-рейку до кластерного варианта АПК InfoDiode PRO и АПК InfoDiode SMART, обеспечивающего передачу данных по нескольким промышленным протоколам одновременно. Все системы сертифицированы ФСТЭК России по ТУ и имеют уровень доверия 4.

Решения «AMT-Груп» поддерживают передачу стандартных транспортных протоколов (FTP/FTPS, CIFS, SMTP, SFTP, StartTls, IPsec, UDP) и специализированных промышленных протоколов для SCADA-систем и OPC-серверов (OPC UA, Modbus, MQTT). Диоды данных этого производителя можно интегрировать с различными прикладными сервисами, включая SNMP, Syslog, NTP, Active Directory, а InfoDiode SMART - со SCADA-решениями (WinCC, KepServerEX, MasterScada). Пропускная способность решений составляет 1 Гбит/с.

Ключевые преимущества AMT InfoDiode:

• производительность до 1 Гбит/с с возможностью кластеризации
• интеграция с Active Directory, Syslog, SIEM -системами, формирование файла метаинформации для анализа средствами DLP
• приоритизация передачи данных и потоков
• поддержка сценариев репликации баз данных Microsoft SQL, PostgreSQL
• поддержка сценариев передачи обновлений WSUS, антивирусов KPSN от Kaspersky
• трансляция рабочего стола оператора за границу защищаемого сегмента
• помехоустойчивое кодирование и резервное копирование настроек

Подробнее с продуктом можно ознакомиться на сайте компании .

«Диод-2С»

Техническое средство «Диод-2С» от компании «Центр безопасности информации» (ЦБИ) предназначено для однонаправленной передачи данных из систем с низкой степенью конфиденциальности в системы с высокой степенью конфиденциальности.

Устройство поддерживает протоколы потоковой передачи данных через UDP. Обеспечивая однонаправленную передачу на физическом уровне, «Диод-2С» не ограничивает сетевых интеграторов в выборе программного обеспечения и протоколов информационного обмена. Устройство соответствует требованиям по безопасности информации ФСТЭК России по 2-му уровню доверия. Это позволяет использовать его для защиты информации на объектах вычислительной техники 2-й категории и устанавливать в выделенных помещениях до 1-й категории включительно.

«Диод-2С» выпускается в настольном исполнении, а также изготавливается под заказ в корпусе 1U для установки в стойку 19" или с креплением для DIN-рейки.

Основные преимущества «Диод-2С»:

• готовность к работе сразу после включения
• независимость от используемых операционных систем и программного обеспечения
• соответствие 2-му уровню доверия ФСТЭК России
• подключение по витой паре или волоконно-оптическим линиям

Подробнее с продуктом можно ознакомиться на сайте компании .

«Рубикон-ОШ»

Комплект «Рубикон-ОШ» компании «Эшелон» состоит из двух полукомплектов (передатчик и приемник), соединенных специализированными оптическими платами. Такая конструкция обеспечивает полную гальваническую развязку компонентов, находящихся в сегментах разного уровня секретности, и делает невозможным прохождение сетевых пакетов в обратном направлении на физическом уровне.

«Рубикон-ОШ» может работать в двух режимах:

• передача сетевых пакетов через однонаправленную связь посредством маршрутизации IP
• односторонняя передача файлов между FTP-серверами

Устройство выполняет функции маршрутизатора (коммутатора уровня L3), объединяет физические интерфейсы в сетевой мост (коммутатор уровня L2), работает как межсетевой экран и система обнаружения и предотвращения вторжений. Заявленная пропускная способность шлюза достигает 900 Мбит/с.

Преимущества однонаправленного шлюза «Рубикон»:

• производительность межсетевого экрана до 8,5 Гбит/с
• производительность системы обнаружения вторжений до 2,5 Гбит/с
• встроенный накопитель информации объемом 1 ТБ
• широкий выбор сетевых интерфейсов - 6 медных портов RJ-45, 2 оптических порта 10G SFP+
• сертификация Минобороны России для применения в сетях с государственной тайной

Подробнее с продуктом можно ознакомиться на сайте компании .

«Синоникс»

Программно-аппаратный комплекс «Синоникс» компании «АйТи БАСТИОН» - это шлюз для организации безопасного обмена информацией между разными сетями или узлами одной сети. Он работает в режиме однонаправленной или двунаправленной передачи данных, предотвращая распространение киберугроз между сетями.

«Синоникс» изолирует сегменты корпоративной сети, блокирует сетевые атаки, ограничивает количество подключений к сторонним ресурсам и проверяет наличие необходимых цифровых сертификатов при передаче файлов между изолированными сегментами.

Устройство состоит из трех электронных плат: «СЕТЬ А», «СЕТЬ Б» и «ЯДРО». Через ядро передаются только заранее разрешенные файлы и потоки данных. Комплекс доступен в двух вариантах - для передачи данных по сети и для передачи по интерфейсу USB.

Преимущества шлюза «Синоникс»:

• обеспечение соответствия требованиям регуляторов к операторам КИИ
• возможность установки подлинных обновлений ПО в критически важных сетях
• нейтрализация сетевых атак на 1-4 уровнях модели OSI
• защита от атак «нулевого дня»
• функции удаленного обслуживания, мониторинга и контроля кибербезопасности
• контентная фильтрация информации
• интеграция с другими ИБ-системами (межсетевые экраны, антивирусы)
• проверка наличия корректного сертификата для передачи файлов между сетями

Подробнее с продуктом можно ознакомиться на сайте компании .

ШОП ЦИТиС и сетевые адаптеры DIOD

Федеральное государственное автономное научное учреждение «Центр информационных технологий и систем органов исполнительной власти» (ЦИТиС) разработало собственный шлюз односторонней передачи данных (ШОП). Комплекс включает передающую и принимающую ЭВМ со специальными сетевыми интерфейсными адаптерами DIOD компании «АНКАД», соединенные одним оптическим кабелем со скоростью передачи данных 100 Мбит/с.

Сетевые адаптеры DIOD обеспечивают гарантированную одностороннюю передачу данных на аппаратном уровне и автоматический контроль целостности информации на принимающей ЭВМ. При нарушении целостности информация автоматически уничтожается. Программное обеспечение принимающей ЭВМ работает под управлением ОС Windows XP / 2003 Server или FreeBSD 6.2.

Преимущества шлюза однонаправленной передачи данных от ЦИТиС:

• автоматический контроль полноты и целостности передаваемой информации
• автоматическая регистрация переданных файлов и каталогов в журнале с указанием времени, имени и размера
• автоматическое архивное хранение на передающей ЭВМ файлов и каталогов в течение заданного промежутка времени
• скорость приема и передачи данных до 900 Мбит/с

Подробнее с продуктом можно ознакомиться на сайте компании .

ProfiDIODE

ProfiDIODE от компании «Ореол Секьюрити» — диод данных с гальванической развязкой, выпускаемый в двух вариантах: с одной парой или двумя парами портов. Устройство комплектуется SFP-трансиверами для оптических соединений или витой пары и выпускается как в настольном исполнении, так и для монтажа в 19-дюймовую стойку.

Решение успешно прошло испытания на совместимость с системой анализа трафика PT ISIM компании Positive Technologies. Совместное использование этих продуктов обеспечивает защиту технологических систем, гарантируя изолированность сегмента АСУ ТП и предотвращая негативное влияние на него.

ProfiDIODE обеспечивает однонаправленную передачу данных на скорости до 1000 Мбит/с и применяется в критически важных информационных инфраструктурах на предприятиях транспорта, промышленности, ТЭК и в органах исполнительной власти.

Преимущества:

• поддержка UDP-ориентированных протоколов, Multicast UDP, RTP и RTSP
• передача данных со SPAN-порта и совместимость с SNMP, NetFlow, Syslog
• компактные размеры и возможность плотного размещения в стойках
• подтвержденная совместимость с PT ISIM

SecureDiode

В декабре 2019 года компания «Росэлектроника», входящая в корпорацию «Ростех», представила собственный диод данных SecureDiode. Система изначально адаптирована для работы с промышленными протоколами передачи данных и ориентирована на применение в сетях АСУ ТП и критически важной инфраструктуре. Кроме этого, SecureDiode поддерживает трафик TCP/IP.

Устройство монтируется в стандартную серверную стойку и обеспечивает скорость передачи до 1 Гбит/с. Возможности диода позволяют организовать операторский контроль технологических процессов в режиме реального времени, что делает его применимым в энергетике, топливной промышленности и на транспорте.

Преимущества SecureDiode:

• поддержка как SCADA-протоколов, так и TCP/IP
• скорость передачи данных до 1 Гбит/с
• монтаж в стандартную серверную стойку

Подробнее с продуктом можно ознакомиться по ссылке .

Технические особенности однонаправленных шлюзов

Диоды данных и однонаправленные шлюзы представляют собой сложные технические устройства с уникальными характеристиками. Их ключевые особенности:

1. Физическое ограничение направления передачи данных. В отличие от программных средств защиты, диоды данных физически блокируют возможность двустороннего обмена информацией, что делает защищенный сегмент сети абсолютно недоступным для внешнего воздействия.
2. Работа с нестандартными протоколами. Поскольку большинство сетевых протоколов требуют двусторонней связи для подтверждения доставки пакетов, однонаправленные шлюзы используют специальные механизмы для эмуляции подтверждений на стороне отправителя.
3. Контроль целостности данных. Из-за невозможности получения подтверждений о доставке пакетов от получателя, в диодах данных реализованы собственные механизмы проверки целостности передаваемой информации.
4. Различные способы физической реализации. В зависимости от производителя и требуемого уровня защиты, диоды данных могут быть реализованы как оптические устройства, на базе гальванической развязки или с применением других технологий, гарантирующих однонаправленность передачи.
5. Сертификация по требованиям регуляторов. Для применения в сетях с повышенными требованиями к безопасности устройства проходят сертификацию в соответствующих органах (ФСТЭК России, Минобороны России).

Сферы применения диодов данных

Однонаправленные шлюзы находят применение в различных отраслях, где требуется строгое разграничение информационных потоков:

1. Промышленные системы управления (АСУ ТП). Диоды данных позволяют собирать телеметрию с производственного оборудования без риска внешнего воздействия на него.
2. Объекты критической информационной инфраструктуры (КИИ). Энергетические, транспортные, финансовые и другие критически важные системы используют однонаправленные шлюзы для безопасного взаимодействия с внешними сетями.
3. Государственные информационные системы. Обработка информации, содержащей государственную тайну, требует строгого контроля над информационными потоками, что эффективно обеспечивается диодами данных.
4. Системы промышленного интернета вещей (IIoT). Сбор данных с многочисленных датчиков и контроллеров без риска их компрометации становится возможным благодаря технологии однонаправленной передачи данных.
5. Системы видеонаблюдения и мониторинга. Передача видеопотоков из защищенных зон без создания потенциальных каналов проникновения в эти зоны.

Заключение

Диоды данных представляют собой уникальный класс устройств информационной безопасности, обеспечивающих физическую изоляцию защищаемых сегментов сети. Их применение особенно актуально для защиты критически важных систем, где традиционные средства защиты не обеспечивают достаточного уровня безопасности.

Российский рынок однонаправленных шлюзов активно развивается, предлагая заказчикам разнообразные решения от отечественных производителей. Эти устройства позволяют организациям соответствовать требованиям регуляторов и эффективно защищать свои информационные ресурсы от современных киберугроз.

С учетом прогнозируемого роста числа кибератак на критически важные объекты и расширения применения промышленного интернета вещей, диоды данных и однонаправленные шлюзы будут играть все более значимую роль в обеспечении информационной безопасности как в России, так и во всем мире.