Междоменные решения. Как основа эффективного обмена информацией для объектов КИИ и не только

BIS Journal №4(51)2023

2 ноября, 2023

Междоменные решения. Как основа эффективного обмена информацией для объектов КИИ и не только

Значительный объём задач в области обеспечения безопасности — от противодействия угрозам национальной безопасности и террористическим атакам до противодействия несанкционированному воздействию на функционирование промышленных, энергетических, транспортных, медицинских, финансовых предприятий, органов государственного управления и власти, крупных коммерческих компаний — требует безопасного обмена данными между организациями разных уровней.

В некоторых случаях необходимость такого обмена закреплена законодательно. В зависимости от стоящей задачи информация, создаваемая и обрабатываемая в более доверенных (закрытых) сегментах сети, может в отдельных случаях передаваться в общедоступные сегменты или сегменты с меньшим уровнем доверия и менее строгими политиками безопасности — для её использования иным кругом лиц и потребителей. Для других случаев характерна обратная ситуация — информация должна поступать из общедоступных или менее доверенных сетей в более доверенные в целях агрегации, обработки, анализа, систематизации. Передаваемые данные могут представлять собой отдельный документ, сигнал (набор сигналов), телеметрию или целые каталоги (архивы) файлов, содержащие изображения, карты, документы и базы данных.

Эффективный обмен между сетями как с одинаковым, так и с разным уровнем доверия является комплексной и непростой задачей. Помимо сохранения конфиденциальности данных, необходимо учесть такие факторы, как скорость обмена, достоверность, безопасность и надёжность передачи данных. Решения, которые призваны обеспечить защиту в указанных условиях, получили название междоменных.

 

ИНТЕГРИРОВАННЫЙ КОМПЛЕКС

Междоменные решения представляют собой интегрированный комплекс решений по обеспечению безопасности. Комплекс, как правило, состоит из специализированного программного и аппаратного обеспечения с соответствующими интерфейсами для ручного или автоматического предоставления и/или ограничения доступа к информации разных категорий значимости, а также интерфейсами для организации передачи такой информации. Помимо технических решений, организация междоменного взаимодействия предусматривает набор организационных мер, обеспечивающих корректность применения всех компонентов в составе комплекса междоменного решения.

В контексте междоменных решений можно выделить следующие компоненты защищаемой инфраструктуры:

  • Домен — логически объединённая совокупность организационно-технических активов и ресурсов, подчиняющихся единой политике безопасности;
  • Доверенная сеть (в ряде случаев сеть/система-источник) — область, формирующая наибольшие риски в отношении утраты, компрометации, нарушения заданных характеристик обрабатываемой информации, систем, сегментов, данных, процессов;
  • Менее доверенная сеть (недоверенная сеть, в ряде случаев сеть/система-приёмник) — область, формирующая наибольшие риски в части вероятности организации атак из неё на иные сегменты и сети;
  • Периметр — граница доверенной сети, на которой выполняется аутентификация запросов, регулируются информационные потоки, применяются организационно-технические меры для снижения рисков в отношении информации, сетей, данных, процессов:
  • Политика безопасности — организационно-распорядительный документ, описывающий отношения между доменами. Для каждого домена в политике определяется, какие требования к обеспечению безопасности должны быть выполнены.

 

ДВА ТИПА РЕШЕНИЙ

Междоменные решения, как правило, разделяют на два основных типа:

  1. Междоменные решения по организации доступа (размещаются между доменом и пользователем). Обеспечивают потребителям (системам, пользователям) возможность просматривать/читать и пользоваться информацией из доменов различных уровней доверия, снабжённых соответствующими атрибутами/признаками/категориями. В предельном варианте решения по организации доступа полагаются только на мандатное управление доступом и не предполагают перемещения данных между доменами. Таким образом, «идеальное» междоменное решение по организации доступа к данным обеспечивает такое разделение между доменами, которое полностью предотвращает смешение данных между доменами, гарантирует невозможность «перетекания» (и, как следствие, утечку) данных из доменов различных уровней категорирования/классификации на любом уровне модели OSI/TCP, то есть полностью нивелирует риски утраты данных. Примерами таких решений являются: изолированные рабочие станции, решения, основанные на регламентном/временном доступе с одной рабочей станции, решения класса KVM Switch, решения на основе системы виртуализации и др.
  2. Междоменные решения по организации передачи данных(размещаются между доменами) обеспечивают возможность перемещения информации между доменами различных уровней доверия. Междоменные решения по организации передачи данных должны учитывать категорирование данных, отношения между доменами и применяемую для каждого домена политику. Примерами таких решений являются: воздушный зазор, МСЭ, «диоды данных», однонаправленные комплексные решения, двунаправленные комплексные решения и др.

 

РЕШЕНИЯ ПО ОРГАНИЗАЦИИ ПЕРЕДАЧИ ДАННЫХ

Чуть более подробно хотелось бы остановиться именно на междоменных решениях по организации передачи данных, которые, как правило, представляют собой комплексные проектные решения и не ограничиваются применением только одного СЗИ. Использование именно таких решений становится всё более актуальным в условиях появления большого количества точек сопряжения сетей организаций с другими сетями, контроль за безопасностью которых ограничен.

Несмотря на существование большого количества различных междоменных решений по организации передачи данных, в общем виде они могут быть описаны в терминах и функциях сетевых устройств или шлюзов безопасности:

  • прежде всего, междоменные решения по организации передачи данных должны контролировать соединения между доменами, фактически реализуя логику межсетевого экрана;
  • решения DLP, DPI, IDS должны проверять передаваемые данные и протоколы на соответствие утверждённым политикам и определять соответствующие условия по их обработке, выполнять функции блокирования и сигнализации об обнаруженных проблемах;
  • решения класса «диод» гарантируют соблюдение политики в отношении направления передачи потока данных на физическом уровне, предотвращая, в частности, утечку данных и реализуя функции Protocol Break.

Междоменное решение по организации передачи данных для каждой пары доменов включает в себя политики передачи. Примером политики передачи может быть направление потока данных, протокол передачи, «временные окна» доступа к домену и т. п. Применяемые политики могут быть как достаточно простыми и не вносящими существенных ограничений в обмен данными, так и весьма сложными.

Можно констатировать, что для эффективного доступа к информации и передачи информации между сетями одинакового и разного уровня доверия организациям необходимы автоматизированные системы со встроенными «протоколами безопасности». Задача таких организационно-технических систем в общем виде может быть сформулирована как предоставление решения, которое позволяло бы эффективно обеспечивать доступ к данным и передавать данные между отдельными сетями/сегментами одинакового и разного уровня доверия только после прохождения ряда контролей и проверок. Фактическим решением данной задачи является организация защищённого «туннеля» между сетями/сегментами, конкретные потоки в котором формируются, одобряются и/или санируются в моменты передачи данных. В состав такого «туннеля» должны быть включены физические средства передачи данных, трансляторы протоколов, прикладные решения для файловой передачи (в том числе передачи эл. почты), сервисы интеграции, инструменты репликации баз данных и стриминга видео/рабочих столов, решения по контролю за передачей данных, решения по аудиту, оркестраторы.

 

Реклама ЗАО «АМТ ГРУП», ИНН: 7703025499 erid: LdtCKcoaW

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

17.01.2025
Шейкин: Минцифры регулярно проверяет программы в реестре
17.01.2025
Apparatus найдёт всех нужных homo. ИИ-система мониторинга Telegram-чатов вошла в свою новую эпоху
16.01.2025
Импортозамещение бьёт по крыльям?
16.01.2025
«Такие угрозы в прошедшем году были одними из самых распространённых»
16.01.2025
Утечки ПДн по РКН: число кейсов сокращается, число записей — растёт
16.01.2025
Тихоокеанская триада против похитителей «крипты» из КНДР
16.01.2025
Система быстрых платежей расширяет географию. Но есть нюанс
16.01.2025
Управляй киберрисками, защищая DNS. Компания Servicepipe обновила продукт Secure DNS Hosting
15.01.2025
Минцифры, вендоры и эксперты обсуждают будущее отечественного «опенсорса»
15.01.2025
От «Яндекса» до Rutube. Кто упал из-за январского нарушения связности

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных