«Синоникс» – надежное решение для безопасного объединения изолированных промышленных сетей

Предпосылки к автоматизации обмена данными между изолированными сетями

Промышленным предприятиям необходимо обеспечить высокий уровень информационной безопасности автоматизированных систем управления технологическими процессами (АСУ ТП), минимизировать риски возникновения угроз и соблюдать требования, предъявляемые регуляторами к объектам критической инфраструктуры (КИИ). Для этих целей промышленные сети чаще всего сегментированы на изолированные функциональные зоны, обмен данными между которыми сильно ограничен и подлежит жесткому контролю, вплоть до «ручного» переноса информации на сменных носителях с обязательной проверкой содержимого на выделенных рабочих станциях и дополнительной проверкой со стороны ИБ-служб.

Однако такая физическая изоляция создает ряд проблем – ведь взаимодействие между этими сегментами все-таки необходимо: например, для передачи сведений о работе АСУ ТП из технологического контура в корпоративный. Ручной перенос данных сильно замедляет процессы, повышает нагрузку на персонал и создает «узкие места» в работе системы. Это, в частности, провоцирует попытки персонала наладить обмен данными через неконтролируемые каналы – например, съемные носители без проверки, временные сетевые подключения и т.д., – что увеличивает риск компрометации данных и последующих кибератак.

Сложности кроются также в организации централизованного мониторинга междоменного (то есть обмена данными между сегментами с разным уровнем доверия) трафика, оперативного обновления ПО и антивирусных баз в рамках нескольких сегментов. Все это снижает как надежность, так и эффективность АСУ ТП, уменьшает возможности специалистов получать своевременный доступ к информации и реагировать на изменения производственных процессов. Это также напрямую влияет на операционную деятельность компании, когда бизнес не видит процессы в режиме реального времени.

Чтобы устранить эти риски и повысить эффективность, предприятиям необходимо автоматизировать междоменный обмен данными и встроить его в существующую систему защиты: с контролем доступа, проверкой файлов, журналированием и интеграцией с SIEM и другими средствами ИБ.

С этой целью эксперты компании «АйТи Бастион» разработали специализированное решение – систему контроля информационного обмена «Синоникс».

«Сегодня предприятия все чаще сталкиваются с необходимостью обеспечить контролируемый обмен данными между изолированными сегментами, не разрушая их архитектуру безопасности. Ручные процедуры уже не соответствуют требованиям скорости и прозрачности процессов. Все чаще мы сталкиваемся с запросами, где классическая однонаправленная передача перестает отвечать современным потребностям бизнеса и процессов», – отмечает Андрей Кузнецов, менеджер продукта «Синоникс».

Основные функции и принципы работы системы «Синоникс»

Программно-аппаратный комплекс «Синоникс» предназначен для автоматизации и контроля передачи данных и файлов между физически изолированными сетями (сетевыми устройствами) без их прямой связности. Решение позволяет выстроить управляемый междоменный обмен, сохраняя принципы сетевой изоляции.

В отличие от классических однонаправленных шлюзов (Data Diode), которые обеспечивают только физически односторонний поток данных, «Синоникс» поддерживает как однонаправленные, так и контролируемые двунаправленные сценарии обмена. Это расширяет перечень задач, которые можно безопасно реализовать между технологическим и корпоративным контурами.

Такая гибкость достигается за счет архитектуры с изолированными узлами и центральным ядром, которая исключает прямую сетевую связность сегментов и обеспечивает контроль передачи информации на уровне правил и проверок. В результате предприятие может организовать обмен различными потоками данных по UDP/TCP в режимах одно- и двунаправленной передачи, а также контролировать содержимое отправляемых файлов в соответствии с заданной политикой безопасности. Важно отметить, что система построена по принципу Security by Design: ключевые риски учитываются на этапе архитектуры. В частности, снижается влияние человеческого фактора за счет встречного контроля конфигурации и исключения возможности ошибочной настройки связи между сегментами.

«Ранее предприятия стремились к максимальной изоляции сегментов, рассматривая ее как основной способ защиты. Сегодня акцент смещается: важно не только разорвать сетевую связность, но и выстроить управляемый механизм обмена данными с прозрачным контролем и аудитом. Именно такая модель позволяет совместить требования регуляторов и задачи операционной эффективности. Центром внимания становятся не только объекты обмена, но и сам процесс обмена данными», – комментирует Андрей Кузнецов.

Три изолированных блока программной платформы «Синоникс»
Источник: «АйТи Бастион»

Аппаратная платформа «Синоникс» – это одноюнитовое устройство, которое архитектурно состоит из трех изолированных друг от друга электронных плат: двух независимых Узлов с сетевыми портами и интерфейсами настройки, и центрального Ядра, которое контролирует и координирует передачу данных между Узлами. Таким образом, прямое соединение между сетями остается исключено, но с помощью Ядра информация из одной сети может быть должным образом «переупакована» и автоматически передана в другую сеть. Передача данных возможна только при успешной проверке в обоих контурах. Она активируется двумя физическими ключами, что является дополнительной гарантией полного контроля этой операции. С их помощью возможно и экстренное отключение связности сетей в случае инцидентов.

Ключи активации обмена данными «Синоникс»
Источник: «АйТи Бастион»

На программном уровне «Синоникс» основан на технологии автоматизированной передачи информации с применением набора разрешающих правил. Система работает под управлением ОС Astra Linux SE (Special Edition), внесенной в реестр отечественного ПО и имеющей сертификацию ФСТЭК России по 4 уровню доверия. Софтверная часть решения обеспечивает:

• противодействие компрометации (разграничение зон ответственности, сокрытие данных об участниках информационного обмена, возможность конфигурации узлов силами независимых специалистов),
   
• контентную фильтрацию и защиту данных (валидацию и проверку файлов на корректность имени, допустимый размер, целостность и интеграцию с имеющимися решениями (DLP, песочницы, антивирусы и др.) по протоколу ICAP,
   
• управление процессом и настройку передачи данных через консоль администратора.

Процесс обмена файлами и данными в «Синоникс»
Источник: «АйТи Бастион»

Сценарии применения системы «Синоникс»

«Синоникс» за счет своей архитектуры и функциональных возможностей расширяет перечень сценариев информационного обмена, предусмотренных через традиционные для промышленных сетей АСУ ТП однонаправленные шлюзы (Data Diode).

Решение применимо во всех классических сценариях, где применяются однонаправленные шлюзы (Data Diode), а также в дополнительных, где реализация либо невозможна, либо сильно затруднена. Разработчик выделяет шесть типовых сценариев применения программного комплекса.

Первый – организация отправки журналов и данных телеметрии. Организация одностороннего потока передачи телеметрических сведений доступна благодаря возможности системы передавать потоковые данные (такие, как Syslog, данные Historian, IDS), в том числе, в однонаправленном режиме.

Второй – передача однонаправленного видеопотока в одностороннем режиме по протоколу UDP. Такой сценарий может применяться для вывода изображения с камер видеонаблюдения или технологического контроля из защищенного сегмента в корпоративную сеть или центр мониторинга. При этом сохраняется физическая изоляция контуров, а данные передаются без возможности обратного воздействия на оборудование технологической сети.

Третий – организация временного удаленного доступа для администрирования компонентов АСУ ТП: реализации функций поддержки, доставки и установки обновлений. Максимальный уровень безопасности достигается при интеграции с PAM-системой. В этом случае временный доступ к компонентам АСУ ТП предоставляется через контролируемую сессию с обязательной аутентификацией, записью действий администратора и последующим аудитом. Такой подход позволяет минимизировать риски злоупотреблений и компрометации при работе подрядчиков и сервисных служб.

Четвертый – организация непрерывного автоматизированного процесса обновлений и получения данных: взаимодействия с системами ITSM, работы с объектами цепочек поставок и поставщиков услуг, поддержки процессов SecOps.

Пятый – резервное копирование «судного дня»: создание бэкапов в СХД закрытого сегмента для хранения резервных копий ключевых систем.

Шестой – поэтапная передача файловых объектов между контурами с гарантированным отсутствием связи сразу между двумя сегментами за счет реализации режима усиленной защиты при передаче файлов «Тамбур».

На практике такие сценарии востребованы на предприятиях с распределенной инфраструктурой, где технологические сегменты территориально удалены от центра мониторинга. Использование автоматизированного междоменного обмена позволяет передавать телеметрию и журналы событий в корпоративный SOC без создания постоянных сетевых связей между контурами.

Технические характеристики обмена файлами и данными в «Синоникс»
Источник: «АйТи Бастион»

Преимущества системы «Синоникс»

«Синоникс» позволяет предприятиям перейти от ручного или частично контролируемого обмена данными к централизованной, автоматизированной модели междоменного взаимодействия.

Скорость обмена потоковыми данными и файлами повышается за счет автоматизации их передачи и оптимизации трафика. Для компании, владеющей большим парком сетевых устройств, особо важным критерием эффективности станет сокращение времени на развертывание обновлений.

При этом решение соответствует всем требованиям информационной безопасности: исключает риски компрометации данных вследствие ручного переноса, скрывает структуру и окружение соединяемых сетей, реализует встречный контроль правил передачи путем согласования между администраторами сегментов, обеспечивает контроль целостности и подлинности данных.

Важным преимуществом комплекса «Синоникс» являются его интеграционные возможности. Система совместима с такими отечественными ИБ-решениями, как: PAM-система СКДПУ НТ (и другие продукты «АйТи Бастион»), балансировщик нагрузки DS Proxima, система резервного копирования Кибер Бэкап, платформа защиты промышленных инфраструктур KICS от Лаборатории Касперского, система мониторинга безопасности промышленных сетей PT ISIM от Positive Technologies, платформа защиты АСУ ТП IW ARMA от InfoWatch, DLP-системы, межсетевые экраны, песочницы, антивирусы и другие.

ПК «Синоникс» входит в реестр отечественного ПО и имеет сертификат ФСТЭК России. Решение постоянно совершенствуется: последняя на сегодняшний день версия 1.8 вышла в декабре 2025 года.

Такое развитие обусловлено не только его технологической эволюцией, но и изменением требований к защите промышленной инфраструктуры. По мере ужесточения требований к защите КИИ и роста числа атак на промышленную инфраструктуру предприятиям требуется не просто изоляция сетей, а управляемый и контролируемый обмен данными между ними. Развитие «Синоникс» направлено на расширение сценариев безопасного взаимодействия технологических и корпоративных контуров без снижения уровня защищенности.