В этой статье эксперт из компании «АйТи Бастион» Андрей Кузнецов разобрал, какие ошибки чаще всего встречаются на реальных объектах, и какие архитектурные подходы позволяют ускорить передачу данных, не нарушая требований к КИИ и принципов изоляции.
Почему информационный обмен в изолированных контурах остается слабым местом
Многие крупные предприятия сохраняют классическую архитектуру: технологический сегмент полностью отделен от корпоративного, а выход в сеть ограничен техническими и нормативными требованиями. Но передавать данные между сегментами все равно нужно – для отчетности, мониторинга, обновлений, передачи журнала событий и, в целом, управления производством. На множестве системно значимых и критически важных предприятий по-прежнему используются устаревшие и подверженные рискам способы передачи информации. Подобные методы, некогда оправданные жесткими требованиями к сегментации и безопасности, сегодня становятся тормозом в обеспечении эффективного и безопасного информационного обмена. На практике возникает несколько системных проблем:
- Файлы по-прежнему переносят на флешках или внешних дисках. Это замедляет процесс, создает риски заражения и полностью исключает оперативность;
- Нельзя проверить, кем, когда и что именно было передано. Для КИИ это может быть критично;
- Часто появляются компьютеры с двумя сетевыми картами, временные включения портов, вручную настроенные правила в межсетевых экранах – все это нарушает изоляцию;
- Ошибка оператора может привести к передаче неверных данных, заражению сегмента или созданию непредусмотренных маршрутов;
- Когда телеметрия или файлы доставляются раз в сутки, предприятие не может оперативно реагировать на изменения.
Такие проблемы носят системный характер, и их невозможно решить простым запретом или новым регламентирующим документом – они требуют пересмотра всей архитектуры.
Принципы быстрого и безопасного обмена между изолированными контурами
Чтобы скорость обмена информации выросла, а безопасность не пострадала, архитектура должна учитывать несколько ключевых принципов:
Полная физическая и логическая изоляция. Сегменты должны оставаться раздельными: нельзя открывать маршруты, объединять подсети или создавать скрытые туннели. Передача возможна только через контролируемый односторонний или двусторонний канал, работающий по регламентированным правилам.
Соединение «точка-точка» вместо широких сетевых правил. Сегмент должен получать ровно то, что ему предназначено – от конкретного источника и по конкретному порту.
Автоматизация передачи. Любой ручной процесс – это и задержки, и ошибки. Оптимальный вариант – передача данных по расписанию или по событию, без участия человека.
Верификация данных до попадания в сегмент. Файловые объекты должны быть проверены: по маске и размеру, на вредоносный код, при необходимости – через ICAP, песочницу или внешний сканер. Такие проверки исключают риск компрометации технологического контура.
Встречный контроль. Правила передачи подтверждаются двумя сторонами. Сегменты не могут незаметно для друг друга отправлять или получать информацию.
Запись всех действий. Каждый шаг фиксируется: от загрузки файла до результата проверки. Это обеспечивает прозрачность и соответствие требованиям КИИ.
Таким образом, предприятие получает рост оперативности решений, снижение нагрузки на персонал, отсутствие слабых звеньев в виде флешек и человеческого фактора, а главное – предсказуемый и контролируемый процесс.
Оптимизация с помощью нового решения
Все это мы учитывали при проектировании «Синоникса». На встречах с заказчиками мы часто видели на реальных объектах картину, когда современные средства информационной безопасности уже внедрены, но процессы передачи информации между несвязанными сегментами все равно опираются на «посредников» с флешками.
С помощью «Синоникса» вышеописанные задачи не только становятся выполнимыми, но и перестают быть проблемами. Решение позволяет организовать автоматизированную однонаправленную или двунаправленную передачу данных и файлов между узлами двух сетей, скрывая при этом информацию об их окружении.
Архитектура решения состоит из трёх компьютеров: два узла и центральная плата — ядро. «Синоникс» подключается к каждому сегменту сети отдельным сетевым интерфейсом, предназначенным только для передачи данных. Таким образом исключается прямое соединение между сетями, а шанс компрометации существенно снижается из-за отсутствия возможности влиять на ядро и системы, стоящие за «Синониксом».
Передача данных возможна только при успешной проверке на обоих ядрах (в обоих контурах). Управлять ими можно как удаленно, так и локально через интерфейс RS-232. При этом связь можно экстренно разорвать с помощью физических ключей, которые находятся у ответственных лиц. Для такой остановки достаточно одного ключа.
Все файлы, передаваемые через «Синоникс», проходят автоматические проверки: на корректность имени, допустимый размер, целостность и соответствие внешним системам безопасности, при этом администратор может настроить правила проверки под свои требования. Также решение поддерживает интеграцию с антивирусом Kaspersky AV. Это исключает случайную или преднамеренную передачу вредоносного контента, снижает риск атак в целевой сети и делает процесс полностью автоматизированным, без влияния человеческого фактора.
Ознакомиться с решением можно на сайте вендора по ссылке.
Решение работает на базе ОС Astra Linux SE, внесено в Реестр отечественного ПО (реестровая запись Минцифры № 22866 от 14.06.2024), сертифицировано ФСТЭК России по 4-му уровню доверия (сертификат № 4975 от 11.09.2025).
Реклама. ООО «АйТи БАСТИОН». ИНН 7717789462. Erid:2VfnxwCveyf
