Защита сегментов СПД ОТН при взаимодействии ЕДЦУ железных дорог
И.А.Сидоров, заместитель генерального директора ФГУП «Защита-инфотранс», канд. техн. наук
М.Ю. Панасюк, начальник отдела
А.М. Малый, заместитель директора Санкт-Петербургского филиала ФГУП «Защита-инфотранс»
Структура ДЦ выстраивается по иерархическому принципу. Использовать эти системы можно на дорогах любой конфигурации: линейной, радиальной и сетевой с выделением центра управления и станций. Основой систем диспетчерской централизации являются выделенные сегменты СПД, объединенные в технологическую ЛВС.
ДЦ, являясь частью интегрированной ЕДЦУ, обладает рядом программно-аппаратных интерфейсов с объектами передачи ответственных команд (СПОК) и данных линейных пунктов (СПД-ЛП), а также аппаратно-программного комплекса диспетчерского контроля (АПК ДК) и автоматизированных систем контроля подвижного состава (АСК ПС).
В соответствии с общими требованиями к каналам связи, используемым в системах управления движения поездов, СПД ОТН должна строиться как выделенная сеть, не имеющая выходов на другие системы, в том числе на сеть передачи данных общетехнологического назначения ОаО «РЖД».
В последнее время возникает потребность взаимодействия между выделенными сегментами СПД ОТН, обслуживающих ЕДЦУ соседних железных дорог, например в системе АСК ПС или при передаче информации от датчиков охранной и пожарной сигнализации.
Такое взаимодействие организуется через каналы СПД общетехнологического назначения ОАО «РЖД» с применением соответствующих мер по защите информации, однако для этого необходимо разработать дополнительные требования по защите.
Подход по защите сегментов СПД ОТН должен быть основан на действующих руководящих документах, которые определяют требования по защите информации при подключении сегментов сети различного уровня конфиденциальности.
Предлагаемые технические решения по взаимодействию СПД ОТН приведены на рисунке.
При взаимодействии ЛВС с другими вычислительными сетями информация должна быть защищена. Коммуникационное оборудование и все соединения с локальными периферийными устройствами ЛВС должны располагаться в пределах контролируемой зоны.
Для подключения ЛВС к другой автоматизированной системе (локальной или неоднородной вычислительной сети) иного класса защищенности необходимо использовать межсетевой экран, требования к которому определяются документами Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».
Если каналы связи выходят за пределы КЗ, необходимо использовать защищенные каналы и волоконно-оптические линии связи либо сертифицированные криптографические средства защиты. Для этого предусматривается комплекс организационно-технологических мероприятий по защите сегментов СПД ОТН при взаимодействии ЕДЦУ железных дорог.
Технологическими особенностями предлагаемого решения является применение сертифицированных средств межсетевого экранирования и организации VPN соединений между сегментами СПД ОТН.
