Защита сетевой коммуникации: «зоопарк» с человеческим лицом

Периодическая смена терминологии в отношении инфраструктуры информационного взаимодействия очень полезна. Она заставляет посмотреть на многие вещи свежим взглядом, актуализирует их (хотя по существу может при этом ничего и не меняться). Значение этого свежего взгляда трудно преувеличить, поэтому ворчание о том, что все новое (например, КИИ) – это еще даже не вполне хорошо забытое старое (в значительной части – АСУ ТП), нам кажется напрасным. Безусловно, специалистами важность и исключительность объектов информатизации разных типов понятна, как бы эти объекты ни назывались. Но невозможно не отметить, что новое разделение предмета – выделение частного из знакомого и потому утратившего остроту общего – всегда повышает не только уровень общественного интереса к задачам, но и возможности в части затрачиваемых на решение этих задач ресурсов. Это касается и КИИ, в отношении которой принят Федеральный закон и целый комплекс подзаконных актов[1], и финансовых коммуникаций, в отношении которых выпущено и вступило в силу Указание[2] Банка России.

Возможным негативным следствием из этой оптимистической картины могут стать разного рода «перегибы», которых вполне можно, на наш взгляд, избежать.

Главный «перегиб», которому (а точнее, противодействию которому) посвящена эта статья, имеет очень понятную природу.

Итак, под влиянием новой нормативной базы предприятие оказалось перед необходимостью изменения организации защиты своих сетевых коммуникаций. Как правило, инфраструктура одного из тех типов, о которых упомянуто выше – связанная с переводом денежных средств или подпадающая под параметры КИИ – это не вся информационная инфраструктура предприятия, а лишь ее часть, хотя и, конечно, ключевая. Естественно в связи с этим предпринять усилия к тому, чтобы провести сегментирование и выделить для изменений минимально необходимую часть системы.

Желание минимизировать изменения и не трогать то, что «и так работает» глубоко понятно каждому. Однако эта игра может не стоить свеч в том случае, когда обязательно подлежит изменению именно наиболее сложный в технологическом смысле сегмент инфраструктуры.

И плюсы, и минусы тут очевидны. Плюс: необходимо переоборудовать, в частности, в плане защиты сетевой коммуникации (такова тема номера) – не всю систему, а только часть. Это дешевле во внедрении, сохраняет хотя бы часть инвестиций, требует меньше единовременных трудозатрат на переоборудование и настройку. Минус: возникает (или умножается) «зоопарк» применяемых средств защиты. Это умножает проблемы совместимости с функциональным ПО, трудозатраты на сопровождение, требования к квалификации персонала и/или его численности, усложняет проект системы, наконец.

Все это взгляд на ситуацию с той точки зрения, при которой средство защиты информации является «вещью в себе», а поддается (и подлежит) адаптации – защищаемая система. Предполагаю, что здесь может возникнуть возражение, мол, выбирают все же СЗИ для системы, а не наоборот. Это безусловно так, и лишь в редких случаях (хотя известны и такие) доходит дело до изменения инфраструктуры под нужды, например, конкретного СКЗИ. Однако использование в различных сегментах системы разных СЗИ одной и той же функциональности – это явление того же порядка: компромисс, при котором система подстраивается под СЗИ. Уже на стадии проектирования она становится «зоопарком» просто потому, что СЗИ не способны адаптироваться ко всем типам применяющихся в ней технических средств.

Я бы не рискнула эскалировать вопрос именно под таким углом, если бы сама не принадлежала к компании разработчику СЗИ, являясь таким образом и адресатом собственной критики.

Мы попробовали изменить это привычное положение вещей, и оказалось, что это вполне возможно. Рассмотрим контуры решения, не углубляясь в детали.

К основным особенностям, которые существенно влияют на обеспечение защиты сетевой коммуникации, в частности, при осуществлении переводов денежных средств, относятся следующие:

• жесткие требования к времени и порядку выполнения автоматизированных функций;
• наличие разнородных, территориально и пространственно распределенных элементов (мобильных и стационарных) с сочетанием разнообразных информационных технологий (банкоматы, терминалы оплаты, информационные киоски, фронт-офис, ДБО, подвижные составы, станционное оборудование и пр.);
• неприемлемость отключения систем для проведения мероприятий по обеспечению безопасности информации, а также другие требования аналогичного плана.

При этом КИИ в «классическом» смысле и особенно в части АСУ ТП характеризует также следующее:

• основной защищаемой информацией в АСУ ТП является технологическая (обеспечивающая управление технологическими или чувствительно важными процессами) информация, программно-техническая (программы системного и прикладного характера, обеспечивающие функционирование АСУ ТП), командная (управляющая) и измерительная;
• опасность последствий вывода из строя и (или) нарушения функционирования АСУ ТП (риски для благосостояния клиентов – это тоже крайне негативный результат нарушения функционирования системы, однако, опасности для жизни и здоровья объяснимо стоят в этом смысле особняком).

Структурно в таких системах может быть выделена совокупность подконтрольных объектов (ПКО) и совокупность каналов связи, по которым передаются информационные и управляющие сигналы. Все информационные и управляющие сигналы, сформированные ПКО, должны защищаться на месте выработки, доставляться в защищенном виде и расшифровываться перед обработкой (использованием) другим ПКО. Это требует внедрения в уже функционирующие инфраструктуры средств защиты, которые должны обеспечивать:

• криптографическую защиту информации о состоянии ПКО и управляющих сигналов для ИС;
• информационное взаимодействие с ПКО (USB, Ethernet, и др.);
• возможность использования стандартных цифровых каналов (WiFi, BlueTooth, и др.);
• информационное взаимодействие с каналообразующей аппаратурой (RS232, RS435 и др.).

Очевидно, что большинство имеющихся в настоящее время на рынке средств защиты информации при их внедрении потребуют, в лучшем случае, некоторой доработки отдельных ПКО, а в худшем случае – изменения функциональной структуры и замены ПКО на совместимые со средствами защиты. Хорошо понятно, почему это так: если сделать аппаратную базу СЗИ такой, чтобы она поддерживала все возможные интерфейсы во всех комбинациях, это будет самое большое, дорогое, сложно настраиваемое и ненадежно работающее СЗИ в Мире.

Все три варианта (доработка ПКО, замена ПКО, использование «огромного» СЗИ) связаны с существенными финансовыми и временными затратами, вплоть до приостановки функционирования, что зачастую неприемлемо. Альтернативным вариантом является гибкая адаптация средств защиты информации под различные типы оборудования самого различного назначения. Это вариант очевидно менее хлопотный для эксплуатирующей (внедряющей) организации, так как адаптация СЗИ выполняется не ими, а вендорами СЗИ.

Примеров таких СЗИ на сегодняшний день не много, но они есть. Для защиты сетевой коммуникации в инфраструктуре, включающей разнообразное оборудование, взаимодействующее разнообразным образом по различным каналам, можно использовать интеграционную платформу «МК-И».

Интеграционная платформа «МК-И» представляет собой комплекс распределенных одноплатных микрокомпьютеров «m-TrusT» Новой гарвардской архитектуры, обладающих «вирусным иммунитетом», и интерфейсных плат для них. Каждый микрокомпьютер «m-TrusT» является точкой сбора информационных и/или управляющих сигналов от ПКО, их шифрованием для передачи по каналам связи, а также приема зашифрованных сигналов из каналов связи и их расшифровкой.

Типовые характеристики микрокомпьютеров:

• Габаритные размеры: 65 x 80 мм;
• Процессор: Quad-core ARM Cortex-A17, up to 1.8 GHz;
• ОЗУ: 2 Гб DDR3;
• ПЗУ: 16 Гб NAND-flash;
• microUSB;
• microHDMI.

Общий вид микрокомпьютера «m-TrusT» представлен на рис. 1.

Микрокомпьютер не подключается напрямую ни к чему, кроме собственной интерфейсной платы, поэтому его состав не сложен и постоянен. Интерфейсная плата же нужна как раз для того, чтобы корректно подключиться к тому или иному конкретному ПКО и каналообразующей аппаратуре различных типов.

Рис.1 Микрокомпьютер «m-TrusT»

Наличие собственной ОС и вычислительных ресурсов позволяет обеспечить необходимую производительность и высокий уровень защищенности. Особенностями «m-TrusT» является наличие датчика случайных чисел и размещение ПО в памяти с физически устанавливаемым доступом read only (только чтение), что исключает вредоносное воздействие на ПО и обеспечивает неизменность среды функционирования средств криптографической защиты информации. Встроенные средства защиты информации имеют сертификаты соответствия ФСБ России и ФСТЭК России.

Итак, коммутировать микрокомпьютер «m-TrusT» в «разрыв» между ПКО различного назначения и каналом связи позволяет интерфейсная плата. Как уже упоминалось – разнообразие оборудования, взаимодействующего по сети (ПК, подвижной состав, станционное оборудование, банкомат, информационный киоск, терминал оплаты etc), является ключевой характеристикой инфраструктуры (будь то КИИ, АС ТП или информационная система финансовой организации), поэтому интерфейсные платы должны быть разными, чтобы коммутировать одно и то же СЗИ (то есть не совместимые, не похожие, а именно одинаковые СЗИ) с разными ПКО. Например, она может быть такой, как на рис. 3:

• Габаритные размеры: 90 x 105 мм;
• Соединитель типа Розетка 87758-2016 MOLEX;
• Разъем USB Type A;
• Разъем Ethernet;
• Разъем питания от источника постоянного напряжения 5 вольт.

Интерфейсная плата №2

• Габаритные размеры 90 x 110 мм;
• Соединитель типа Розетка 87758-2016 MOLEX;
• USB-хаб;
• Разъем USB Type A;
• 2 разъема Ethernet ;
• Разъем RS-232, подключенный через преобразователь USB-RS-232;
• Разъем RS-485, подключенный через преобразователь USB-RS-485;
• Разъем для micro-SD карты;
• Разъем питания от источника постоянного напряжения 5 вольт.

Рис.2 Интерфейсная плата

На рис. 4 изображен «m-TrusT», подключенный к интерфейсной плате.

Рис. 3 Интерфейсная плата с подключенным «m-TrusT»

На рисунке 4 показан другой вариант интерфейсной платы с меньшим количеством интерфейсных разъемов (рис. 4):

• Габаритные размеры: 90 x 105 мм
• Соединитель типа Розетка 87758-2016 MOLEX
• Разъем USB Type A
• Разъем Ethernet
• Разъем питания от источника постоянного напряжения 5 вольт

Рис. 4 Интерфейсная плата («облегченный» вариант)

Возможна разработка интерфейсных плат для других типов разъемов, с учетом уже имеющегося опыта внедрения на транспорте, мы уверенно говорим о том, что эта задача решается с положительным результатом в разумные сроки.

Разумеется, не всегда уместно использование СЗИ именно такого форм-фактора. Обычно оборудование, обрабатывающее данные с ПКО, представляет собой обыкновенные сервера в серверных стойках, размещенных стационарно и не имеющих каких-либо значительных конструктивных особенностей. И для этого элемента инфраструктуры финансовой организации больше подойдет исполнение «в стойку» (рис. 5).

Рис. 5. Стоечное исполнение того же самого СЗИ

При этом технически – не считая корпуса – это одно и то же оборудование, оно работает, эксплуатируется и обслуживается одинаково.

Таким образом, использование микрокомпьютеров «m-TrusT» для защиты сетевого взаимодействия финансовой организации, различных специфических КИИ и АСУ ТП – позволит построить подсистему защиты для разнообразного оборудования с использованием одного и того же СЗИ, «подогнанного» под каждый инфраструктурных элемент. Каждый, кто проектировал или внедрял подсистему защиты информации, понимает, как много это значит во всем – от обучения эксплуатирующего персонала до проведения ремонтных работ – перекоммутировать интерфейсную плату не требуется, просто заменяется подключенный к ней модуль – операция становится элементарной. В таких условиях имеет смысл не ограничивать модернизацию исключительно той частью инфраструктуры, что подпадает под действие нормативных документов, а наоборот, унифицировать защиту сетевого взаимодействия, сократив «зоопарк» технических средств без затрат на адаптацию собственной инфраструктуры. Ведь когда появляется возможность без ощутимых издержек и ограничений сделать что-то действительно лучше, чем было, никто в здравом уме не станет стараться минимизировать объем изменений, улучшая только самое необходимое.

[1] Федеральный закон 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»; Постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»; Приказ ФСТЭК России от 11 декабря 2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».

[2] Указание Банка России от 7 мая 2018 г. N 4793-У «О внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств”».

Автор: Конявская С. В.

Дата публикации: 01.01.2018

Библиографическая ссылка: Конявская С. В. Защита сетевой коммуникации: «зоопарк» с человеческим лицом // Защита информации. Инсайд. 2018. № 5. С. 38–41.

---