Главная » Продукты » Платформа ЕКС АТМ » Принципы безопасности ЕКС

Принципы безопасности ЕКС

Краткий технический обзор по применяемым решениям обеспечения информационной безопасности и конфиденциальности систем на платформе ЕКС АТМ.

Прежде всего, для ресурсоснабжающих организаций предлагается решение индивидуального размещения системы на собственном сервере в изолированном виде. Например, именно так только что была устроена установка системы ЕКС АТМ в ГУП РК «Вода Крыма» - объект исключительной стратегической важности охватывающий инженерную инфраструктуру водоснабжения 11-ти городов. Возможные варианты инсталляции допускают создание крипто-сервера. Безопасность подсистем ЕКС АТМ обеспечивается следующим образом:

Интерфейс, взаимодействие операторов

Политики безопасности разделяют пользователей по группам, правам просмотра объектов, правам на различные действия, , ролей пользователей с учетом их квалификации, подтверждения оповещения и контроля действий персонала, правам на квитирование аварийных событий и пр.

Электронная Цифровая Подпись (ЭЦП)

Абсолютная защита юридически значимого документооборота, конфиденциальность и защита данных пользователя обеспечивается применением электронная цифровая подпись (ЭЦП) данных и файлов в соответствии со стандартом на алгоритм электронной подписи ГОСТ Р 34.10-2012 и алгоритм хэширования ГОСТ Р 34.11-2012. Основные характеристики:

  • Поддержка российского стандарта электронной подписи, шифрования и хеширования
  • Неизвлекаемость криптографических ключей
  • Аппаратная реализация российских и западных криптоалгоритмов
  • Два варианта исполнения: стандартный и микро-токен
  • Сертификаты ФСТЭК и ФСБ, соответствие ФЗ-63 (https://www.rutoken.ru/technologies/modifications/type-c/)

Система использует двухфакторную аппаратную аутентификацию построенную с использованием всех криптографических возможностей Рутокен ЭЦП 2.0, поддерживает новые российские криптографические стандарты, не требует установки драйверов, функционирует как HID-устройство и обеспечивает работу во всех популярных браузерах и операционных системах. Используется аппаратная замена логина и пароля. Все действия пользователей архивируются.

Данная функция пока не реализована производителями других SCADA или системам диспетчеризации. Решение основано на технологии электронной подписи и позволяет свести к нулю риск кражи или неправомерного использования учетных записей пользователей.

В поставку решения входит электронный идентификатор, представляющий собой классический токен в стандартном корпусе, который удобно носить в качестве брелока на связке ключей. Электронный идентификатор с аппаратной реализацией российского стандарта электронной подписи, шифрования и хеширования. Обеспечивает безопасное хранение ключей электронной подписи во встроенной защищенной памяти без возможности их экспорта. Имеет сертификат ФСБ России о соответствии требованиям, предъявляемым к СКЗИ по классу КС2 и к средствам ЭП в соответствии с № 63-ФЗ «Об электронной подписи», а также сертификат ФСТЭК о соответствии требованиям, предъявляемым по 4-му уровню контроля отсутствия недекларированных возможностей (НДВ4).

В поставку также входит документация, подтверждающая соответствие требованиям к средствам электронной подписи, установленным для класса КС2, а также возможность использования для реализации функций электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».

Подсистема обработки, Хранилище

Все данные хранятся на сервере. Доступ к ним из «внешнего мира» исключен. 

Нашим основным партнером в России является ЦОД DataPro. Это один из самых крупных дата-центров в России, сертифицированный на соответствие уровню TIER III по классификации Uptime Institute в категории Facility (материально-техническое обеспечение) и Operational Sustainability (эксплуатационная устойчивость). Обеспечиваются ежедневный мониторинг и резервное копирование данных (back-up).

Первое означает, что специалистами компании Uptime Institute Professional Services - единственной организации, имеющей полномочия на соответствующую сертификацию - непосредственно на объекте проведена проверка установленной инфраструктуры. 

Второе говорит нам о том, что срок службы оборудования превышает текущие потребности площадки, а критически важные узлы дублируются по схеме N+1. То есть всегда есть один запасной узел, который, при необходимости, может быть задействован.

Подсистема сбора данных

Обмен данными между модемом и сервером шифруется методами симметричной криптографии. Ключ шифрования привязан к аппаратной идентификационной информации модема (IMEI) и формируется в процессе первоначальной настройки модема.

Так же, в связи с тем, что при транзакциях требуется защищенная авторизация устройства исключается фальсификация соединений.

Крупнейшие производители коммуникационного оборудования в РФ получили сертификат ЕКС и выпускают оборудование специально для системы ЕКС (ЗАО «Телеофис», г. Москва, ЗАО «Радиофид», г. Санкт-Петербург, ООО «СПРУТНЭТ», г. Москва и др.)

Системы ЕКС работает со всеми операторами связи GSM поддерживающими режим GPRS, операторами AMPS, операторами LAN в т.ч., с требованиями поддержки сетевой протокол канального уровня PPPoE. Компания Мегафон была выбрана нами как GPRS-оператор для важных инфраструктурных проектов как компания уже имеющая опыт обеспечения безопасности информационного обмена: компания Мегафон - единственная из операторов прошла сертификацию МО и получила право обеспечения информационного обмена в своих сетях для МО РФ.

Возможности рабочего договора с оператором обеспечивают безопасность на уровне «транспорта»:

Исключается дублирование абонентов, а предоставляемые SIM-карты авторизуются однократно и привязкой к аппаратной идентификационной информации модема (IMEI). SIM-карты не имеют функции голосового трафика, имеют скрытый номер, не работают в обычном телефоне (при извлечении из модема блокируется навсегда).

По желанию, возможно включение выделенного канала VPN и установка аппаратного шлюза. Функцией «Противодействие DDoS-атакам» от «МегаФона» обеспечивается защита сети от DDoS-атак .

Система управления позволяет контролировать состояние SIM-карт и работоспособность самих М2М-устройств.

Подсистемы в достаточной степени независимы друг от друга (в частности они могут быть развернуты на различных физических или виртуальных серверах), что обеспечивает дополнительную безопасность при администрировании и проводимых работах.

 


ЕКС АТМ SCADA PORTABLE® - 500

Исключительная безопасность системы достигается размещением на индивидуальном сервере клиента в изолированном виде. Для этих задач компания предлагает автономный аппаратно-программный комплекс с предустановленной ЕКС АТМ SCADA PORTABLE© с поддержкой технологии ОРС и предустановленной ZuluGIS 8.0.


Система ЕКС АТМ соответствует 1-му (первому) классу защищенности по классификации Приказа ФСТЭК от 14 марта 2014 г. N 31 «ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ В АСУ ТП НА КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТАХ, ПОТЕНЦИАЛЬНО ОПАСНЫХ ОБЪЕКТАХ, А ТАКЖЕ ОБЪЕКТАХ, ПРЕДСТАВЛЯЮЩИХ ПОВЫШЕННУЮ ОПАСНОСТЬ ДЛЯ ЖИЗНИ И ЗДОРОВЬЯ ЛЮДЕЙ И ДЛЯ ОКРУЖАЮЩЕЙ ПРИРОДНОЙ СРЕДЫ»

Система ЕКС АТМ соответствует требованиям Приказа от «01» апреля 2015 г. № 86 «Об утверждении единых стандартов, применяемых при разработке государственных информационных систем на территории Республики Крым»