Подробно о системе

Программный комплекс «Синоникс» предназначен для использования в качестве специального программного обеспечения в составе программно-аппаратного средства информационного обмена (СИО), основным назначением которого является автоматизация процессов передачи файловой и потоковой информации между физически изолированными сетями/сегментами сети:

  • доставка обновлений и других файловых объектов, с возможностью
    дополнительных автоматизированных проверок.
  • реализация средств интеграции с системами третьих производителей класса DLP, AM по протоколу ICAP.
  • доставка сетевой телеметрии, сигнализации.
  • двунаправленная и однонаправленная передача информации для ряда поддерживаемых протоколов.
  • реализация функций безопасности (управление доступом, регистрация событий и т.п)

ПК «Синоникс» позволяет организовать непрерывный обмен данными между двумя изолированными сегментами сети и обеспечить безопасность обмена с сохранением их изоляции.

Ключевые особенности ПК «Синоникс»

  • Предоставляет возможности встречного контроля администраторам безопасности.
  • Обеспечивает закрытый перечень направлений передачи и назначений.
  • Ограничивает количество систем, которые могут получить доступ к сторонним продуктам.
  • Обеспечивает автоматизированные проверки файловых объектов по составу, размеру с возможностью контроля целостности.

Принцип работы

Архитектура. В состав ПК «Синоникс» входит три компонента: Узел А, Узел B и Ядро. ПК «Синоникс» подключается к каждому сегменту сети отдельным сетевым интерфейсом. Архитектура ПК «Синоникс» исключает непосредственное взаимодействие Узла А и Узла В.

Для управления компонентами ПК «Синоникс» предоставляются выделенные порты управления. Порты управления позволяют операторам каждого узла обеспечивать управление системой и встречный контроль выполнения разрешающих правил.

Через Ядро ПК «Синоникс» передаются только заранее разрешенные и согласованные потоки данных и прошедшие проверку файлы.

Механизм работы. В ПК «Синоникс» используются технологии электронной передачи данных с применением разрешающих правил, установленных в явном виде. Они должны быть настроены на каждом из двух узлов (Узел А и Узел В) независимо. ПК «Синоникс» требует от операторов внесения согласованных правил в политике, то есть разрешающие правила одного узла должны быть совместимы с разрешающими правилами второго узла, иначе данные переданы не будут. За конфигурацию, каждого узла отвечает отдельный специалист.

Совместимость

Подтверждена эффективная работа с комплексом СКДПУ НТ, а также с продуктами наших партнеров: Kaspersky ScanEngine, Dr.Web for UNIX Gateways, Infowatch TrafficMonitor и Solar Dozor.

Аппаратная платформа от ООО «АйТи БАСТИОН»

Характеристики

Производство. На базе отечественного оборудования.

Оборудование. Архитектура х86-64 (2 ГГц). Оперативка 8 ГБ. Диск 128 ГБ.

Форм-фактор. 19’’ стойка – 1U.

ОС. Астра Линукс 1.7 SE.

Скорость. До 1 Гб/с.

Контроль физического доступа

  • Устройство оснащено двумя пусковыми физ. ключами. Операторы системы, используя пусковые ключи, могут заблокировать все операции передачи данных на физическом уровне.
  • Устройство предоставляет возможность физически ограничить доступ к портам управления Ядра в продуктивном режиме.

Сценарии применения

Сценарий №1

Цель: одностороннее бесперебойное получение диагностической информации от технологического оборудования.

Задача: организовать непрерывную передачу сетевой телеметрии и сигнализации между двумя сегментами сети.

Предпосылки, условия и компромиссы:

Передача диагностической информации и получение мгновенной отчетности из технологического сегмента должны происходитьв режиме реального времени. Для решения этой задачи необходимо обеспечить соединение сегментов сети, к примеру, корпоративного и промышленного.

При этом риски взлома и компрометации инфраструктуры также возрастают. И во избежание остановки технологических или бизнес-процессов нужно правильно организовать взаимодействие таких сегментов, а также обеспечить их защиту от внешнего вмешательства.

Решение:

Для решения этой задачи используется ПК «Синоникс» в сочетании с классическими решениями информационной безопасности.

Так, NGFW обеспечивает базовую защиту каждой сети, в том числе на уровне контроля приложений. В изолируемом сегменте ПК «Синоникс» размещается перед NGFW со стороны общей сети или канала связи между сегментами.

В процессе передачи пакетов данных ПК «Синоникс» полностью перестраивает транспортную составляющую пакета (1-4 уровень модели OSI). Таким образом исключаются атаки на этом уровне и обеспечивается дополнительная защита инфраструктуры и NGFW от атак транспортного уровня. ПК «Синоникс» полностью скрывает реальную инфраструктуру защищаемого объекта, предоставляя только заранее определенный канал для обмена информацией.

Сценарий №2

Цель: реализовать процесс передачи орбновлений и других файловых объектов в автоматизированном режиме с применением проверок безопасности и целостности.

Задача: предоставить технические средства для доставки файловых объектов и обновлений с возможностью встречного контроля развернуть надежную и высоко защищенную автоматизированную систему для обмена файлами между двумясегментами сети.

Предпосылки, условия и компромиссы:

Процесс обновления оборудования и средств защиты, например, антивирусных баз требует связи и возможности доставки файлов в изолированные контуры. Существующие и наиболее распространенные технологии доставки файлов (перенос файлов на «флешке» или АРМ с двумя сетевыми картами) позволяют реализовать этот процесс, но не могут полностью автоматизировать его. При этом всегда существует «человеческий фактор», который влияет на безопасность изолированных объектов. Следовательно, требуется решение, которое совмещало бы удобство и безопасность и было бы автоматизировано.

Решение:

Пользователь из одной сети подключается по протоколу передачи файлов sftp к ПК «Синоникс» и получает доступ к выделенному на его стороне файловому SFTP серверу. Вход осуществляется только при предоставлении корректной УЗ от ПК «Синоникс».

Пользователь размещает файл в каталоге для отправки.. После полной загрузки объектов в каталог данные объектыавтоматически оказывается в очереди на проверку и передачу. При этом до фактического перемещения на сторону сети назначения они проходит ряд проверок, заданных администратором устройства, например:

  • проверка маски объекта (формата имени);
  • контроль целостности объектов;
  • проверка через внешние системы по протоколу ICAP.

Если все заданные проверки пройдены, объекты получают разрешение на передачу и перемещается устройством на конечный узел. Объекты могут бытьразмещены в собственном файловом хранилище или передан на целевой сервер по протоколу передачи данных sftp.

Со стороны защищаемой сети другой пользователь так же подключается к ПК «Синоникс», используя свои УЗ (имя пользователя и пароль), и может забрать файл из каталога, в котором размещаются переданные файлы. Также ПК «Синоникс» может использоваться для двунаправленной передачи файлов между сегментами.

Сценарий описывает процесс использования ПК «Синоникс» в рамках передачи файловых объектов.