Сегодня в России применяются несколько сертифицированных ФСТЭК и Министерством обороны РФ операционных систем, созданных на основе различных дистрибутивов Linux: МСВС (Мобильная система вооруженных сил) [1] на базе Red Hat, Astra Linux на базе Debian GNU/Linux и ряд других. Как правило, при использовании этих ОС с включенными средствами разграничения доступа наблюдается снижение быстродействия при работе на многопроцессорных высокопроизводительных комплексах. Кроме того, в них обычно нет сертификатов на такие ключевые для суперкомпьютеров программные компоненты, как, например, система управления распределенными вычислительными ресурсами и параллельная файловая система, что делает невозможным их применение при разработке и эксплуатации систем, предназначенных для обработки данных с ограниченным доступом, хотя и не исключает использование в качестве сертифицированных ОС для рабочих мест и серверов.
В результате работ корпорации «Росатом» над дистрибутивом системного программного обеспечения суперкомпьютеров со встроенными средствами защиты информации от несанкционированного доступа (СЗИ НСД) была создана «Защищенная операционная система для суперЭВМ» (ЗОС) на базе открытой программной платформы Linux. Эта ЗОС прошла сертификацию ФСТЭК РФ по требованиям к обработке информации, составляющей государственную тайну, и может применяться на высокопроизводительных комплексах для выполнения полного цикла решения параллельных задач имитационного моделирования. Данная операционная система содержит программные компоненты, необходимые для организации распределенных высокопроизводительных вычислений, причем накладные расходы на общесистемные нужды при ее работе не превышают 1%. ЗОС позволяет строить конфигурации среды выполнения параллельных приложений для бездисковых вычислительных узлов.
Входящие в эту отечественную ОС программные компоненты обеспечивают полнофункциональную работу суперкомпьютера любой производительности, что позволяет использовать ее для создания автоматизированных высокопроизводительных систем управления в защищенном исполнении; сбора и обработки больших объемов структурированных и неструктурированных данных; создания систем поддержки принятия решений, требующих интенсивных вычислений, и др. Средства защиты информации в ЗОС отвечают требованиям технических условий, что позволяет применять системное ПО в автоматизированных системах класса защищенности 1Б-С согласно руководящему документу [2]. В 2014 году были проведены сертификационные испытания ЗОС и получен сертификат соответствия. Встроенные средства защиты информации ОС отвечают требованиям РД ФСТЭК России по второму уровню контроля на отсутствие недекларируемых возможностей, а также техническим условиям.
Средства защиты ЗОС обеспечивают выполнение следующих функций: идентификация и аутентификация; разграничение доступа; регистрация событий безопасности и сигнализация о них; организация и контроль доменной структуры разграничения потоков информации; контроль целостности средств защиты информации. В основе средств защиты информации ЗОС лежат программные компоненты Scientific Linux 6.4 для платформы x86, а недавно были завершены работы по переходу на версию Scientific Linux 7.х.
Компоненты системного ПО распределены по аппаратным блокам, образующим современный суперкомпьютер (см. рисунок). В их число входят серверы, используемые в качестве узлов суперкомпьютера; коммутаторы; устройства хранения на магнитных дисках; устройства хранения на лентах; автоматизированные рабочие места.
Типовая архитектура суперкомпьютера |
Вычислительное поле служит для выполнения расчетов по программам имитационного моделирования и инженерных расчетов и состоит из вычислительных узлов, объединенных высокопроизводительной коммуникационной средой. Подсистема доступа состоит из инструментальных узлов и предназначена для разработки программ, подготовки данных для проведения расчетов и обработки результатов. Подсистема хранения состоит из узлов хранения (файловых серверов), куда помещаются программы и результаты расчетов. Подсистема управления образована административными узлами и предназначена для управления суперкомпьютером. Для передачи потоков данных между узлами используется транспортная подсистема. Сервисные узлы обеспечивают выполнение информационных сервисов, загрузку бездисковых узлов, а также маршрутизацию потоков данных между компонентами суперкомпьютера и сетью предприятия.
В состав системного программного обеспечения ЗОС входят следующие компоненты [3]:
- ОС узла (сервера), которая устанавливается на вычислительных, инструментальных и административных узлах, а также на файловых серверах и системе управления;
- программное обеспечение для разработки приложений (компиляторы с языков Cи, C++, Фортран и др., среды разработки, прикладные, научные и графические библиотеки);
- транспортное системное ПО для передачи данных по каналам связи с использованием специфических для конкретного вида оборудования протоколов (устанавливается на все подсистемы);
- коммуникационное ПО для передачи данных между процессами прикладных задач с использованием транспортных подсистем;
- системное ПО, обеспечивающее централизованное хранение пользовательских данных с организацией параллельного доступа к ним;
- системное ПО для хранения учетных записей пользователей, содержащее механизмы аутентификации (входит в состав административной подсистемы);
- подсистема конфигурации — совокупность системного ПО и таблиц, содержащих информацию об оборудовании, позволяющую использовать суперкомпьютер как единое целое;
- система управления вычислительными ресурсами и распределенными вычислениями для организации многозадачного и многопользовательского режима выполнения задач на вычислительном поле;
- средства мониторинга узлов, функционирующие на сервисных узлах суперкомпьютера;
- сервисы удаленного доступа пользователей к узлам суперкомпьютера, обеспечивающие защищенное подключение автоматизированных рабочих мест (устанавливаются на все подсистемы);
- веб-сервисы доступа к публичным ресурсам и компонентам систем управления задачами и узлами.
ЗОС со встроенными средствами защиты информации может применяться при создании автоматизированных систем в защищенном исполнении, построенных с использованием суперкомпьютерных технологий и предназначенных для решения задач обработки информации, содержащей гостайну, а также задач имитационного моделирования, сбора и обработки больших объемов разнообразных данных.
***
Разработанная в РФЯЦ-ВНИИЭФ и РФЯЦ-ВНИИТФ сертифицированная ЗОС установлена и эксплуатируется сегодня на ряде защищенных комплексов, включающих высоконагруженные параллельные суперкомпьютеры, которые применяются для оперативного решения задач ГК «Росатом». Планируется также создание версии ЗОС для компактного суперкомпьютера на платформе «Эльбрус» с производительностью несколько терафлопс.
Литература
- Андрей Тюлин, Игорь Жуков, Дмитрий Ефанов. На страже конфиденциальной информации // Открытые системы.СУБД. — 2001. — № 10. — С. 20–25. URL: http://www.osp.ru/os/2001/10/180520 (дата обращения: 15.12.2015).
- Временные требования по защите информации, содержащей сведения, составляющие государственную тайну, в автоматизированных системах, созданных с использованием суперкомпьютерных технологий. ФСТЭК России. 17.08.2012 г.
- Технические условия «Системное программное обеспечение суперЭВМ» 07623615.42 5490.001ТУ
Дмитрий Кульнев, Роман Модянов, Алексей Петрик (RMShagaliev@vniief.ru) — сотрудники РФЯЦ-ВНИИЭФ (Саров). Статья подготовлена на основе материалов доклада, представленного на VI Московский суперкомпьютерный форум (МСКФ-2015, грант РФФИ 15-07-20824-г).