Междоменные решения. Как основа эффективного обмена информацией для объектов КИИ и не только

BIS Journal №4(51)2023

2 ноября, 2023

Междоменные решения. Как основа эффективного обмена информацией для объектов КИИ и не только

Значительный объём задач в области обеспечения безопасности — от противодействия угрозам национальной безопасности и террористическим атакам до противодействия несанкционированному воздействию на функционирование промышленных, энергетических, транспортных, медицинских, финансовых предприятий, органов государственного управления и власти, крупных коммерческих компаний — требует безопасного обмена данными между организациями разных уровней.

В некоторых случаях необходимость такого обмена закреплена законодательно. В зависимости от стоящей задачи информация, создаваемая и обрабатываемая в более доверенных (закрытых) сегментах сети, может в отдельных случаях передаваться в общедоступные сегменты или сегменты с меньшим уровнем доверия и менее строгими политиками безопасности — для её использования иным кругом лиц и потребителей. Для других случаев характерна обратная ситуация — информация должна поступать из общедоступных или менее доверенных сетей в более доверенные в целях агрегации, обработки, анализа, систематизации. Передаваемые данные могут представлять собой отдельный документ, сигнал (набор сигналов), телеметрию или целые каталоги (архивы) файлов, содержащие изображения, карты, документы и базы данных.

Эффективный обмен между сетями как с одинаковым, так и с разным уровнем доверия является комплексной и непростой задачей. Помимо сохранения конфиденциальности данных, необходимо учесть такие факторы, как скорость обмена, достоверность, безопасность и надёжность передачи данных. Решения, которые призваны обеспечить защиту в указанных условиях, получили название междоменных.

 

ИНТЕГРИРОВАННЫЙ КОМПЛЕКС

Междоменные решения представляют собой интегрированный комплекс решений по обеспечению безопасности. Комплекс, как правило, состоит из специализированного программного и аппаратного обеспечения с соответствующими интерфейсами для ручного или автоматического предоставления и/или ограничения доступа к информации разных категорий значимости, а также интерфейсами для организации передачи такой информации. Помимо технических решений, организация междоменного взаимодействия предусматривает набор организационных мер, обеспечивающих корректность применения всех компонентов в составе комплекса междоменного решения.

В контексте междоменных решений можно выделить следующие компоненты защищаемой инфраструктуры:

  • Домен — логически объединённая совокупность организационно-технических активов и ресурсов, подчиняющихся единой политике безопасности;
  • Доверенная сеть (в ряде случаев сеть/система-источник) — область, формирующая наибольшие риски в отношении утраты, компрометации, нарушения заданных характеристик обрабатываемой информации, систем, сегментов, данных, процессов;
  • Менее доверенная сеть (недоверенная сеть, в ряде случаев сеть/система-приёмник) — область, формирующая наибольшие риски в части вероятности организации атак из неё на иные сегменты и сети;
  • Периметр — граница доверенной сети, на которой выполняется аутентификация запросов, регулируются информационные потоки, применяются организационно-технические меры для снижения рисков в отношении информации, сетей, данных, процессов:
  • Политика безопасности — организационно-распорядительный документ, описывающий отношения между доменами. Для каждого домена в политике определяется, какие требования к обеспечению безопасности должны быть выполнены.

 

ДВА ТИПА РЕШЕНИЙ

Междоменные решения, как правило, разделяют на два основных типа:

  1. Междоменные решения по организации доступа (размещаются между доменом и пользователем). Обеспечивают потребителям (системам, пользователям) возможность просматривать/читать и пользоваться информацией из доменов различных уровней доверия, снабжённых соответствующими атрибутами/признаками/категориями. В предельном варианте решения по организации доступа полагаются только на мандатное управление доступом и не предполагают перемещения данных между доменами. Таким образом, «идеальное» междоменное решение по организации доступа к данным обеспечивает такое разделение между доменами, которое полностью предотвращает смешение данных между доменами, гарантирует невозможность «перетекания» (и, как следствие, утечку) данных из доменов различных уровней категорирования/классификации на любом уровне модели OSI/TCP, то есть полностью нивелирует риски утраты данных. Примерами таких решений являются: изолированные рабочие станции, решения, основанные на регламентном/временном доступе с одной рабочей станции, решения класса KVM Switch, решения на основе системы виртуализации и др.
  2. Междоменные решения по организации передачи данных(размещаются между доменами) обеспечивают возможность перемещения информации между доменами различных уровней доверия. Междоменные решения по организации передачи данных должны учитывать категорирование данных, отношения между доменами и применяемую для каждого домена политику. Примерами таких решений являются: воздушный зазор, МСЭ, «диоды данных», однонаправленные комплексные решения, двунаправленные комплексные решения и др.

 

РЕШЕНИЯ ПО ОРГАНИЗАЦИИ ПЕРЕДАЧИ ДАННЫХ

Чуть более подробно хотелось бы остановиться именно на междоменных решениях по организации передачи данных, которые, как правило, представляют собой комплексные проектные решения и не ограничиваются применением только одного СЗИ. Использование именно таких решений становится всё более актуальным в условиях появления большого количества точек сопряжения сетей организаций с другими сетями, контроль за безопасностью которых ограничен.

Несмотря на существование большого количества различных междоменных решений по организации передачи данных, в общем виде они могут быть описаны в терминах и функциях сетевых устройств или шлюзов безопасности:

  • прежде всего, междоменные решения по организации передачи данных должны контролировать соединения между доменами, фактически реализуя логику межсетевого экрана;
  • решения DLP, DPI, IDS должны проверять передаваемые данные и протоколы на соответствие утверждённым политикам и определять соответствующие условия по их обработке, выполнять функции блокирования и сигнализации об обнаруженных проблемах;
  • решения класса «диод» гарантируют соблюдение политики в отношении направления передачи потока данных на физическом уровне, предотвращая, в частности, утечку данных и реализуя функции Protocol Break.

Междоменное решение по организации передачи данных для каждой пары доменов включает в себя политики передачи. Примером политики передачи может быть направление потока данных, протокол передачи, «временные окна» доступа к домену и т. п. Применяемые политики могут быть как достаточно простыми и не вносящими существенных ограничений в обмен данными, так и весьма сложными.

Можно констатировать, что для эффективного доступа к информации и передачи информации между сетями одинакового и разного уровня доверия организациям необходимы автоматизированные системы со встроенными «протоколами безопасности». Задача таких организационно-технических систем в общем виде может быть сформулирована как предоставление решения, которое позволяло бы эффективно обеспечивать доступ к данным и передавать данные между отдельными сетями/сегментами одинакового и разного уровня доверия только после прохождения ряда контролей и проверок. Фактическим решением данной задачи является организация защищённого «туннеля» между сетями/сегментами, конкретные потоки в котором формируются, одобряются и/или санируются в моменты передачи данных. В состав такого «туннеля» должны быть включены физические средства передачи данных, трансляторы протоколов, прикладные решения для файловой передачи (в том числе передачи эл. почты), сервисы интеграции, инструменты репликации баз данных и стриминга видео/рабочих столов, решения по контролю за передачей данных, решения по аудиту, оркестраторы.

 

Реклама ЗАО «АМТ ГРУП», ИНН: 7703025499 erid: LdtCKcoaW

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

09.09.2024
Будущее едет из Москвы в Казань
09.09.2024
Rutube пережил «крупнейшую DDoS-атаку за последние два года» (?)
09.09.2024
ИИ-фейки и роботы-собаки. В Китае проходит X Неделя кибербезопасности
09.09.2024
Шадаев: База нацпроекта «Экономика данных» уже ясна
09.09.2024
Дропперство сокращает жизнь
09.09.2024
В ПФО платят через интернет и СБП
09.09.2024
Роскомнадзор: Ресурсы ЦИК, ДЭГ и ДИТ подверглись 222 DDoS-атакам до и во время выборов
09.09.2024
Техкомпании запустят единую платформу по обучению школьников и студентов
06.09.2024
«С учётом латентной преступности»
06.09.2024
ФСТЭК напомнил об организациях, которые могут «обезопасить» кадры

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных