Диоды данных (Data Diodes) или однонаправленные шлюзы представляют собой эффективное средство защиты от утечек конфиденциальной информации. Такие устройства на физическом уровне допускают передачу трафика только в одну сторону, что отличает их от межсетевых экранов и делает незаменимыми при доставке данных в сети АСУ ТП, объекты КИИ и хранилища информации составляющей государственную тайну.
- Введение
- Мировой рынок диодов данных
- Российский рынок диодов данных
- Обзор отечественного рынка диодов данных
- 4.1. AMT InfoDiode
- 4.2. «Диод-2С»
- 4.3. «Рубикон-ОШ»
- 4.4. «Синоним»
- 4.5. «СТРОМ»
- 4.6. ШОП ЦИТиС и сетевые адаптеры DIOD
- 4.7. ProfiDIODE
- 4.8. SecureDiode
- Обзор мирового рынка диодов данных
- 5.1. BAE Systems Data Diode Solution
- 5.2. Fox DataDiode
- 5.3. Forcepoint Data Diode
- 5.4. Nexor Data Diode
- 5.5. Owl Data Diode
- 5.6. Siemens Data Capture Unit
- 5.7. Waterfall Unidirectional Security Gateway
- Выводы
Введение
Диод данных (Data Diode) предназначен для однонаправленной передачи информации между защищённым сегментом сети и внешними хостами. Обычно такие устройства на физическом уровне имеют лишь один канал для передачи трафика, без возможности обратной связи. Такая конструкция позволяет создавать системы недоступные для воздействия извне, но при этом допускающие сбор данных — например, телеметрии с промышленных датчиков. Обратная модель применения — получение защищённой сетью данных (например, обновлений) без возможности отправлять информацию за пределы периметра. Использование такой схемы гарантирует отсутствие утечек конфиденциальной информации.
Однонаправленный канал накладывает существенные ограничения на перемещение трафика. Отсутствие обратной связи делает невозможной работу с подобными устройствами для большинства транспортных протоколов. Для решения этой проблемы применяют однонаправленные шлюзы, которые состоят изо двух прокси-серверов, соединённых диодом данных. Серверы конвертируют трафик из стандартных протоколов в UDP или другой не требующий обратной связи стандарт, а также выполняют обратное преобразование на стороне получателя. Такие системы используют собственные алгоритмы контроля целостности, а также могут предоставлять ряд дополнительных сервисных возможностей.
В частности, при помощи однонаправленного шлюза можно решить задачу предоставления безопасного доступа ко критически важной системе путём её реплицирования. Внешний пользователь при этом работает с копией важного хоста, не имея возможности нанести вред исходному серверу. На многие однонаправленные шлюзы дополнительно устанавливают антивирусные программы, средства анализа трафика и другие инструменты безопасности. Ещё одно предназначение прокси-серверов — обеспечение интеграции диода данных с остальной инфраструктурой организации при помощи коннекторов.
Подробнее о достоинствах и недостатках диодов данных и однонаправленных шлюзов читайте в нашем материале.
Мировой рынок диодов данных
Первые диоды данных появились ещё в конце прошлого века, однако широкое распространение такие устройства получили с ростом числа целевых кибератак на объекты критической инфраструктуры. Возможно, именно поэтому мировой рынок инструментов для однонаправленной передачи данных в последние годы демонстрирует стабильный рост. Вместе с тем объёмы продаж в сегменте Data Diodes невелики по сравнению с другими сферами информационной безопасности.
По оценкам Fortune Business Insights, размер мирового рынка диодов данных в 2020 году составил всего 352 миллиона долларов, из которых чуть более 100 млн пришлось на Северную Америку. При этом продажи выросли более чем на 11 % по сравнению с 2019 годом. Аналитики прогнозируют продолжение восходящей тенденции и считают, что к 2028 году объём рынка однонаправленной передачи данных составит около 880 миллионов долларов при среднегодовом росте около 12 %.
Рисунок 1. Объём мирового рынка диодов данных (в миллионах долларов)
Наибольшее число заказчиков диодов данных сконцентрировано в энергетическом секторе, нефтегазовых компаниях, государственных организациях и предприятиях эксплуатирующих объекты критической инфраструктуры. Производственные и транспортные компании, использующие большое количество промышленных датчиков и программируемых контроллеров, вкладываются в защиту таких устройств от направленных проникновений и кражи данных. Устройства промышленного интернета вещей (IIoT) объединяют традиционную промышленную инфраструктуру с передовыми технологиями, такими как граничные вычисления, машинное обучение, облачные вычисления и мобильные технологии. Вопросы информационной безопасности таких устройств с каждым годом приобретают всё большее значение.
Главным драйвером мирового рынка диодов данных специалисты называют возросшую активность киберпреступников, атакующих нефтегазовый сектор. Подключение предприятий отрасли к технологически сложным решениям, таким как IIoT, призвано увеличить производительность и снизить затраты, но одновременно делает их более уязвимыми к кибератакам. Действия злоумышленников способны остановить деятельность компании, что может привести к огромным финансовым, репутационным и — в некоторых случаях — человеческим потерям, а также к экологическим катастрофам.
Ключевыми вендорами, поставляющими диоды данных, являются компании:
- Advenica AB.
- BAE Systems.
- Belden.
- Deep Secure.
- Fibersystem.
- Forcepoint.
- Fox-IT.
- Garland Technology.
- Nexor.
- OPSWAT.
- Owl Cyber Defense.
- Siemens.
- ST Engineering.
- Waterfall.
Российский рынок диодов данных
Детального исследования российского рынка однонаправленной передачи данных пока не производилось, однако наличие на нём действующих игроков позволяет сделать выводы о некотором спросе на диоды данных. Использование таких устройств в России предусматривается нормативными документами, регулирующими безопасность в государственных информационных системах и обработку персональных данных. Скорее всего, именно приказы ФСТЭК России № 17, 21 и 31 лучше всего стимулируют спрос на такие устройства на отечественном рынке.
Для организации доступа к информации содержащей государственную тайну оборудование должно быть сертифицировано ФСТЭК России с указанием уровня контроля. Получить подобную сертификацию на систему зарубежного производства непросто. Большинство мировых производителей диодов данных не рассматривают наш рынок как приоритетный либо подпадают под действие санкций.
Практически полное отсутствие давления со стороны зарубежных конкурентов создаёт идеальные условия для вывода на рынок отечественных продуктов. В России диоды данных выпускают как минимум пять производителей:
- «АйТи БАСТИОН».
- «АМТ-Груп».
- «Ореол Секьюрити».
- «Росэлектроника».
- «СиЭйЭн».
- «Эшелон».
- «Центр безопасности информации».
- «Центр информационных технологий и систем органов исполнительной власти» (на базе сетевых адаптеров компании «АНКАД»).
Обзор отечественного рынка диодов данных
AMT InfoDiode
Компания «АМТ-Груп» предлагает линейку аппаратных и программно-аппаратных решений для однонаправленной передачи данных под брендом InfoDiode. Они предназначены для организации обмена данными со критически значимыми сегментами (например, ЛВС ГИС, АСУ ТП, КИИ). Линейка представлена шестью решениями, от компактного InfoDiode MINI для монтажа на DIN-рейку до кластерного варианта АПК InfoDiode PRO и АПК InfoDiode SMART, обеспечивающего передачу данных одновременно по нескольким промышленным протоколам. Все системы сертифицированы ФСТЭК России по ТУ и уровню доверия 4.
Рисунок 2. AMT InfoDiode RACK single
Решения «AMT-Груп» поддерживают передачу как стандартных транспортных протоколов (FTP / FTPS, CIFS, SMTP, SFTP, StartTls, IPsec, UDP), так и специализированных для SCADA-систем и OPC-серверов промышленных протоколов (OPC UA, Modbus, MQTT). Диоды могут быть «из коробки» интегрированы с различными прикладными сервисами и решениями, в том числе SNMP, Syslog, NTP, Active Directory, а в случае с устройством InfoDiode SMART — и со SCADA-решениями (WinCC, KepServerEX, MasterScada). Заявленная пропускная способность диода данных — 1 Гбит/с.
Преимущества решений AMT InfoDiode (на примере АПК InfoDiode PRO):
- Производительность до 1 Гбит/с, наличие кластерных решений.
- Интеграция с Active Directory, Syslog, SIEM-системами; формирование файла метаинформации для его анализа средствами DLP.
- Возможность передачи данных SCADA-систем и OPC-серверов, поддержка FTP / FTPS, CIFS, SMTP, SFTP и др., а также промышленных протоколов; приоритизация передачи данных и потоков.
- Поддержка сценариев репликации баз данных Microsoft SQL, PostgreSQL, сценариев передачи обновлений WSUS, антивирусов KPSN от Kaspersky, сценариев трансляции рабочего стола оператора за границу защищаемого сегмента.
- Помехоустойчивое кодирование, резервное копирование настроек.
Подробнее с продуктом можно ознакомиться на сайте компании.
«Диод-2С»
Техническое средство «Диод-2С», представленное компанией «Центр безопасности информации» (ЦБИ), предназначено для однонаправленной передачи данных из информационных систем с низкой степенью конфиденциальности (секретности), в том числе из сети «Интернет», в информационные системы с высокой степенью конфиденциальности (секретности). Устройство поддерживает протоколы потоковой передачи данных через UDP.
Обеспечивая однонаправленную передачу данных на физическом уровне, техническое средство «Диод-2С» не ограничивает сетевых интеграторов в выборе программного обеспечения и протоколов информационного обмена для реализации защищённого межсетевого взаимодействия. Кроме того, имеющийся сертификат ФСТЭК России позволяет применять устройство в сетях с информацией составляющей государственную тайну.
Рисунок 3. Один из вариантов применения «Диода-2С» в настольном исполнении
«Диод-2С» соответствует «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) по 2-му уровню доверия и может использоваться для защиты информации на объектах вычислительной техники 2-й категории и устанавливаться в выделенных помещениях до 1-й категории включительно.
Изделие производится в настольном исполнении, а также изготавливается под заказ в корпусе 1U для установки в стойку 19” или с креплением для DIN-рейки.
Преимущества средства однонаправленной передачи данных «Диод-2С»:
- Готовность к работе сразу после включения.
- Независимость от используемых операционных систем и программного обеспечения.
- Соответствие 2-му уровню доверия ФСТЭК России.
- Подключение по витой паре или волоконно-оптическим линиям.
Подробнее с продуктом можно ознакомиться на сайте компании.
«Рубикон-ОШ»
Комплект изделия «Рубикон-ОШ», выпускаемого компанией «Эшелон», состоит изо двух полукомплектов (передатчик и приёмник), соединённых с использованием специализированных оптических плат. Таким образом обеспечивается полная гальваническая развязка передающего и принимающего полукомплектов, находящихся в сегментах разного уровня секретности, с невозможностью прохождения сетевых пакетов в обратном направлении на физическом уровне.
«Рубикон-ОШ» может функционировать в следующих режимах: передача сетевых пакетов через однонаправленную связь посредством маршрутизации IP; односторонняя передача файлов с одного FTP-сервера, подключённого к передающему комплекту ОШ, на другой FTP-сервер, подключённый ко принимающему комплекту ОШ.
Рисунок 4. Схема работы устройства «Рубикон-ОШ»
Помимо этого «Рубикон-ОШ» может выполнять функции маршрутизатора (коммутатора уровня L3), объединять физические интерфейсы в сетевой мост (коммутатор уровня L2), работать как межсетевой экран и система обнаружения и предотвращения вторжений. Заявленная производителем пропускная способность шлюза — до 900 Мбит/с.
Преимущества однонаправленного шлюза «Рубикон»:
- Производительность межсетевого экрана до 8,5 Гбит/с.
- Производительность системы обнаружения вторжений до 2,5 Гбит/с.
- Наличие накопителя информации объёмом 1 ТБ.
- Широкий выбор сетевых интерфейсов — 6 медных портов RJ-45, 2 оптических порта 10G SFP+.
- Устройство сертифицировано Минобороны России и может применяться в сетях, где обрабатывается информация составляющая государственную тайну.
Подробнее с продуктом можно ознакомиться на сайте компании.
«Синоним»
Компания «АйТи БАСТИОН» разработала программно-аппаратный комплекс «Синоним» — шлюз, который позволяет организовать безопасный обмен информацией между разными сетями или узлами одной сети в режиме однонаправленной или двунаправленной передачи данных, предотвращая распространение киберугроз и вредоносное взаимодействие между сетями.
«Синоним» позволяет изолировать сегменты корпоративной сети друг от друга, блокирует сетевые атаки, ограничивает количество существующих подключений ко сторонним ресурсам, а также проводит проверку наличия необходимых цифровых сертификатов при передаче файлов между изолированными сегментами сети.
Рисунок 5. Шлюз «Синоним» компании «АйТи БАСТИОН»
Устройство состоит изо трёх электронных плат: «СЕТЬ А», «СЕТЬ Б» и «ЯДРО». Через последнюю передаются только заранее разрешённые файлы и потоки данных. Программно-аппаратный комплекс «Синоним» доступен в двух вариантах исполнения. Первый вариант является безопасным шлюзом передачи данных по сети, а второй — по интерфейсу USB.
Преимущества шлюза «Синоним»:
- Обеспечивает соответствие требованиям регуляторов к операторам КИИ, даёт возможность устанавливать подлинные обновления ПО от производителей и интеграторов в критически важных сетях.
- Нейтрализует сетевые атаки на 1–4 уровнях модели OSI, позволяет строить защиту от атак «нулевого дня».
- Имеет функции удалённого обслуживания, мониторинга и контроля кибербезопасности.
- Проводит контентную фильтрацию информации и может интегрироваться с другими ИБ-системами, такими как межсетевые экраны или антивирусное программное обеспечение, для достижения наилучших результатов работы.
- Проверяет наличие корректного сертификата для передачи файлов между сетями.
Подробнее с продуктом можно ознакомиться на сайте компании.
«СТРОМ»
Компания Cansec («СиЭйЭн») представляет семейство устройств для однонаправленной передачи данных «СТРОМ». В линейку входят три модели — аппаратный диод «СТРОМ-100», шлюз «СТРОМ-ФАЙЛ», а также компактное решение для чтения USB-носителей без возможности записи «СТРОМ-USB-2». Диод данных и однонаправленный шлюз обеспечивают скорость передачи данных в 200 Мбит/с. Диод поддерживает до 511 внешних источников данных, а со шлюзом одномоментно могут работать до 20 пользователей (при общем числе учётных записей равном 100).
Рисунок 6. Однонаправленный шлюз «СТРОМ-ФАЙЛ»
Устройства сертифицированы для подключения внутренних сетей категорий «совершенно секретно» и ниже. Аппаратные решения поддерживают возможность конфигурирования через файл на карте памяти. Шлюз обладает собственным файрволом, что даёт возможность разрешить или блокировать прохождение сетевых пакетов. Через шлюз может проходить только трафик используемых протоколов (FTP, SMB, POP3, IMAP, Syslog, DNS, ICMP, SMTP, NTP).
Преимущества аппаратного диода «СТРОМ-100»:
- Скорость передачи данных — до 96 Мбит/с, потребление энергии — 12 Вт.
- Старт устройства менее чем за 5 секунд.
- Поддержка до 511 внешних источников данных.
- Два корпусных исполнения — 1U или UniCase.
- Сокрытие структуры и топологии внутренней сети.
- Возможность работы с оборудованием, которое обрабатывает и хранит информацию составляющую государственную тайну, до 2-й категории включительно.
Подробнее с продуктом можно ознакомиться на сайте компании.
ШОП ЦИТиС и сетевые адаптеры DIOD
Собственный шлюз односторонней передачи данных (ШОП) имеет федеральное государственное автономное научное учреждение «Центр информационных технологий и систем органов исполнительной власти». Комплекс включает в себя передающую и принимающую ЭВМ, в которых установлены специальные сетевые интерфейсные адаптеры DIOD компании «АНКАД», соединённые одним оптическим кабелем, обеспечивающим стандарт скорости передачи данных в 100 Мбит/с.
Рисунок 7. Шлюз однонаправленной передачи данных ЦИТиС
Специализированные сетевые адаптеры DIOD обеспечивают гарантированную одностороннюю передачу данных на аппаратном уровне и автоматический контроль целостности информации на принимающей ЭВМ. В случае нарушения целостности информация уничтожается. Программное обеспечение принимающей ЭВМ работает под управлением ОС Windows XP / 2003 Server или FreeBSD 6.2.
Преимущества шлюза однонаправленной передачи данных от ЦИТиС:
- Автоматический контроль полноты и целостности передаваемой информации.
- Автоматическая регистрация переданных файлов и каталогов в журнале с указанием времени, имени и размера переданного файла.
- Автоматическое архивное хранение на передающей ЭВМ файлов и каталогов в течение заданного промежутка времени.
- Скорость приёма и передачи данных — до 900 Мбит/с.
Подробнее с продуктом можно ознакомиться на сайте компании.
ProfiDIODE
Компания «Ореол Секьюрити» предлагает устройство однонаправленной передачи данных ProfiDIODE. Это — диод данных с гальванической развязкой, который выпускается в двух вариантах: с одной парой или с двумя парами портов для передачи трафика. В стандартный комплект устройства входят SFP-трансиверы для обеспечения взаимодействия с сетевыми устройствами по оптическим соединениям или стандартной витой паре. Возможен вариант, когда входной и выходной контуры различаются (например, входной использует оптическое подключение, выходной — по витой паре).
Рисунок 8. Устройство ProfiDIODE
Выпускаются ProfiDIODE как для настольного размещения, так и для установки в стандартной 19-дюймовой телекоммуникационной стойке. Во всех устройствах применяются внешние выносные блоки питания на 220 В с разветвителями для подачи питания на одно или несколько устройств. Стандартный комплект поставляется с двумя блоками питания (по 36 Вт) и двумя разветвителями, что позволяет организовать схему питания с резервированием или с разделением по питанию входного и выходного контуров.
Преимущества шлюза ProfiDIODE:
- Передача данных по любым UDP-ориентированным протоколам.
- Возможность работы с Multicast UDP, а также протоколами RTP и RTSP для передачи потокового видео.
- Поддержка передачи любых данных со SPAN-порта сетевого устройства.
- Поддержка SNMP-ловушек, NetFlow и Syslog.
Подробнее с продуктом можно ознакомиться на сайте компании.
SecureDiode
В декабре 2019 года компания «Росэлектроника», входящая в корпорацию «Ростех», представила собственный диод данных SecureDiode. Система «из коробки» может работать с промышленными протоколами передачи данных и ориентирована на применение в сетях АСУ ТП и в критически важной инфраструктуре. Помимо этого SecureDiode поддерживает трафик TCP/IP.
SecureDiode устанавливается в стандартную серверную стойку и поддерживает скорость до 1 Гбит/с. Возможности диода позволяют обеспечить операторский контроль технологических процессов в режиме реального времени, что даёт возможность использовать его в энергетике, в топливной промышленности, на транспорте.
Преимущества SecureDiode:
- Поддержка как SCADA-протоколов, так и TCP/IP.
- Скорость передачи данных до 1 Гбит/с.
- Монтаж в стандартную серверную стойку.
Подробнее с продуктом можно ознакомиться на сайте компании.
Обзор мирового рынка диодов данных
BAE Systems Data Diode Solution
BAE Systems производит собственную линейку диодов данных под общим названием Data Diode Solution. Устройства поддерживают однонаправленную передачу файлов, потоковых данных и электронной почты, включая вложения. Система преобразует данные в пакеты UDP, которые передаются через диод, а затем возвращает их в исходный формат. Устройство также поддерживает протокол TCP. Диод данных входит в состав компонента High Availability Library (HAL), предназначенного для организации отказоустойчивых односторонних сетевых каналов. При возникновении проблемы HAL обеспечивает автоматическое переключение с основной системы на запасную менее чем за шесть секунд.
Рисунок 9. Линейка устройств Data Diode Solution компании BAE Systems
Диоды данных от BAE Systems сертифицированы по стандарту Common Criteria EAL 7+ и соответствуют требованиям National Cross Domain Strategy and Management Office (подразделения АНБ США).
Преимущества BAE Systems Data Diode Solution:
- Не требует настройки и эксплуатационных расходов.
- Все передаваемые данные реплицируются одновременно по двум каналам, что обеспечивает своевременное восстановление с минимальной потерей данных.
- Независимость от единой точки отказа, такой как отказ сервера, сетевого коммутатора или узла.
- Возможность использования SNMP-ловушек для контроля работы устройства.
Подробнее с продуктом можно ознакомиться на сайте компании.
Fox DataDiode
Разработка компании Fox-IT из Нидерландов включена в реестр сертифицированных ФСТЭК России средств защиты информации. Система позволяет осуществлять одностороннюю передачу данных на скорости до 10 Гбит/с и соответствует требованиям документов РД НДВ 4 и ТУ. Производитель подчёркивает, что поставки из Нидерландов свободны от большинства санкционных ограничений, что позволяет использовать шлюз на территории России.
Рисунок 10. Устройство Fox DataDiode
Система поддерживает ключевые транспортные протоколы (FTP, CIFS, UDP, SMTP, TCP, NTP), а также позволяет настроить быструю интеграцию с другими продуктами для решения задач обновления антивирусных продуктов, баз данных, операционной системы (WSUS).
Преимущества Fox DataDiode:
- Многоязычный, простой в использовании веб-интерфейс.
- Устройство сертифицировано по общим критериям EAL7+, удовлетворяет требованиям NATO SECRET, NERC-CIP CAN-0024.
- Один экземпляр может поддерживать произвольное количество протоколов и каналов передачи данных, насколько позволяет пропускная способность.
- Передача файлов с использованием SMB, FTP / FTPS, SFTP / SCP, а также электронной почты (SMTP).
- Поддержка Modbus, OPC и OSIsoft PI (требуются дополнительные программные модули Fox-IT).
Подробнее с продуктом можно ознакомиться на сайте компании.
Forcepoint Data Diode
Компания Forcepoint предлагает собственное решение для однонаправленной передачи данных. Устройство использует принцип оптической изоляции, то есть возможность обратного движения трафика отсутствует на физическом уровне. При этом производитель заявляет, что при необходимости Forcepoint Data Diode может быть сконфигурирован для двунаправленной передачи данных. Решение способно работать с файлами большого размера и передавать пакеты используя SFTP и HTTP POST.
Forcepoint Data Diode может быть интегрирован с междоменными решениями и технологией Data Guard этого же вендора. Устройство имеет низкую стоимость владения, практически не требует обслуживания и быстро настраивается при помощи удобного веб-интерфейса. Решение поддерживает журналирование передачи данных и системных событий, аудит двоичных файлов.
Преимущества Forcepoint Data Diode:
- Поддержка различных протоколов и типов данных.
- Возможность обработки больших объёмов информации. Пропускная способность устройства зависит от типа данных, вариантов использования и применяемых протоколов.
- Минимальная потеря пакетов благодаря специальному программному обеспечению на передающем и принимающем хостах.
- Широкие возможности журналирования событий и анализа данных.
- Встроенная интеграция с другими продуктами Forcepoint.
Подробнее с продуктом можно ознакомиться на сайте компании.
Nexor Data Diode
Первоначально британская компания Nexor разработала свой диод данных для использования в государственных организациях и оборонной промышленности. Решение соответствует высшему уровню критериев безопасности EAL7+, сертифицировано для использования в структурах НАТО (сертификат NATO SECRET), а также одобрено федеральным управлением по информационной безопасности Германии (BSI).
Для расширения функциональных возможностей аппаратного диода, работающего «в разрыв» сетевого протокола, используется компонент GuarDiode. Решение применяет фирменную технологию разработчика для анализа контента, передаваемого по защищённому каналу, и обеспечивает антивирусную проверку файлов, а также помещение подозрительных объектов в карантин. Помимо этого система поддерживает потоковую передачу данных с использованием UDP / TCP.
Преимущества Nexor Data Diode:
- Возможность разбора трафика — глубокой проверки передаваемых данных.
- Встроенный антивирус с возможностью помещения файлов в карантин.
- Передача потокового трафика.
- Соответствие критериям EAL7+, наличие сертификатов НАТО и BSI.
- Поддержка архитектуры Secure Information eXchange Architecture (SIXA) для интеграции с другими решениями Nexor.
Подробнее с продуктом можно ознакомиться на сайте компании.
Owl Data Diode
Компания Owl Cyber Defense является одним из пионеров в производстве диодов данных. В данный момент вендор предлагает широкую линейку устройств для однонаправленной передачи трафика, оптимизированных для различных задач. Флагманом модельного ряда является OPDS-1000. Система «всё в одном» в формфакторе 1U обеспечивает передачу данных со скоростью от 26 Мбит/с до 1 Гбит/с в зависимости от конфигурации. Устройство сертифицировано по критериям безопасности EAL4+ и обладает встроенной поддержкой протоколов UDP, TCP/IP, SNMP, SMTP, NTP, SFTP и FTP.
Рисунок 11. Диод данных OPDS-1000 компании Owl Cyber Defense
Помимо этого разработчик предлагает комплексные решения для однонаправленной передачи данных, состоящие из пар прокси-серверов на оборудовании Dell. Система позволяет организовать полноценное движение данных с возможностями расширенного управления электропитанием, резервного копирования и самозащиты устройств. Решение EPDS (Enterprise Perimeter Defense Solution) ориентировано на промышленные системы и может поставляться со SCADA-коннекторами DNP3, ICCP, Modbus или OPC. Система Owl PaciT рассчитана на передачу «сырого» трафика.
Ещё одно устройство Owl Cyber Defense — компактная система DiOTa. Решение начального уровня ориентировано на сегмент малого и среднего бизнеса и обладает интуитивно понятным пользовательским интерфейсом, который можно настроить за считаные минуты. DiOTa предназначено для обеспечения однонаправленной передачи данных между сегментами сети, устройствами интернета вещей (IoT) и промышленного интернета вещей (IIoT).
Преимущества устройств Owl Data Diode:
- Широкий модельный ряд, включающий решения для всех основных сегментов рынка — от небольших компаний до критически важных производств.
- Большое количество поддерживаемых протоколов.
- Сертификация EAL4+ (в зависимости от модели).
- Собственная защищённая операционная система Talon для безопасного администрирования устройств.
- Наличие широкого спектра приложений и коннекторов для расширения функциональных возможностей и интеграции с другими системами.
Подробнее с продуктом можно ознакомиться на сайте компании.
Siemens Data Capture Unit
Компания Siemens предлагает промышленный диод данных Data Capture Unit (DCU). Устройство в первую очередь ориентировано на системы управления транспортом и разработано подразделением Siemens Mobility. Впрочем, поставщик не видит препятствий для использования диода данных и в других областях промышленности. Устройство разделяет сети при помощи гальванической развязки, что исключает взаимодействие между защищённой и открытой сетями. Передача данных осуществляется индукционным методом с минимальным воздействием на свойства передаваемого сигнала.
Рисунок 12. Siemens Data Capture Unit
DCU не зависит от используемого протокола, устройство полностью прозрачно — его невозможно обнаружить в сети. Для каждого критического сегмента, контролируемого DCU, не используется драйвер реализации Ethernet на физическом уровне. Фактически, передающее соединение даже не адресовано, что делает невозможным вмешательство в передачу данных.
Преимущества Siemens Data Capture Unit:
- Использование гальванической развязки, физически разделяющей два сегмента сети.
- Поддержка всех основных промышленных протоколов.
- Возможность прямого подключения к MindSphere, Microsoft Azure и Amazon Web Services.
- Соответствует стандарту безопасности IEC 62443, а также требованиям US NERC CIP.
Подробнее с продуктом можно ознакомиться на сайте компании.
Waterfall Unidirectional Security Gateway
Один из лидеров мирового рынка однонаправленной передачи данных, компания Waterfall, предлагает семейство однонаправленных шлюзов Unidirectional Security Gateway. Особенностью этих устройств является фирменная система контроля целостности передаваемых данных, которая позволяет обеспечить максимальную сохранность пакетов информации при отсутствии обратной связи на аппаратном уровне. Интересной особенностью систем Waterfall является возможность механического (при помощи ключа) соединения канала обратной связи.
Рисунок 13. Устройство FW-500 компании Waterfall
Разработчики реализовали также возможность удалённого однонаправленного просмотра экрана целевой системы, что позволяет специалистам службы поддержки видеть происходящее «глазами пользователя» при оказании консультаций по телефону. Устройства сертифицированы по критериям безопасности EAL4+, а также соответствуют стандартам NIST, ICS-CERT, ISA IEC, IIC и NERC.
Преимущества шлюзов Waterfall Unidirectional Security Gateways:
- Возможность аппаратного подключения обратного канала.
- Более 100 коннекторов с возможностью хостинга дополнительных модулей на Windows или Linux.
- Фирменная технология репликации, обеспечивающая полную безопасность защищённого сегмента сети — внешние пользователи работают только с обновляемой репликой критически важного сервера.
- Интеграция с облачными сервисами.
Подробнее с продуктом можно ознакомиться на сайте компании.
Выводы
Рынок диодов данных представляет собой относительно узкий сегмент индустрии информационной безопасности. До недавнего времени подобные устройства имели весьма узкую сферу применения, связанную с обеспечением безопасности конфиденциальных данных и сведений составляющих государственную тайну. Ключевыми заказчиками однонаправленных шлюзов были (и на многих региональных рынках остаются) государственные учреждения, а также компании подпадающие под действие нормативных актов регуляторов.
Однако прогресс промышленного сегмента интернета вещей и технологическое развитие систем контроля и управления производством выявили новые сферы применения диодов данных. Всё больше и больше датчиков, контроллеров и других устройств, применяемых в АСУ ТП, имеют возможность (а в ряде случаев — и необходимость) обмениваться данными со внешними источниками. Круг задач тут весьма широк — от передачи телеметрии до установки обновлений.
Атака на критически важные производственные и транспортные системы может иметь катастрофические, в прямом смысле этого слова, последствия. Диоды данных помогут сохранить элементы контроля и управления важной инфраструктурой в неприкосновенности, не нарушая при этом работы всей системы. Физическая изоляция, невозможность передачи данных в одном из направлений фактически лишает злоумышленников шансов на реализацию вредоносных замыслов.
Именно обеспечение безопасности множества IIoT-устройств является точкой роста, актуальным драйвером глобального рынка однонаправленной передачи данных. Вендоры из Европы и Северной Америки уже откликнулись на этот тренд, пополнив линейки своих устройств относительно недорогими моделями, простыми в установке и использовании, не требующими сложной настройки и конфигурирования. Отечественный рынок тоже движется в этом направлении, однако традиционно более ориентирован на обеспечение выполнения требований регуляторов.
Развивающиеся, растущие сегменты всегда оставляют простор для инноваций и неминуемо привлекают новых игроков. Рынок диодов данных становится более широким, а значит, более интересным для «серьёзных» вендоров, таких как Siemens или BAE Systems. Нельзя исключать, что и в России в ближайшие годы появятся новые решения в сфере однонаправленной передачи информации.