Несмотря на разнообразие решений, представленных сегодня на российском рынке информационной безопасности, для государственных информационных систем допускается использовать только средства, сертифицированные ФСТЭК и ФСБ России. Однако основная масса даже сертифицированных средств работают на иностранных аппаратных платформах, но при этом на законодательном уровне сейчас нет обязательств использовать исключительно российские разработки. Учитывая важность государственных информационных систем для обеспечения национальной безопасности, в НИИ «Восход» разработали решение на отечественной аппаратной платформе для Государственной системы миграционного и регистрационного учета (ГС «Мир») и системы криптографической защиты информации.
«Мир»
Система «Мир» — одна из ключевых в ряду государственных информационных систем федерального уровня. Она отвечает за поддержку сервисов миграционного и регистрационного учета, а также за изготовление, оформление и контроль документов, удостоверяющих личность. В проекте «Мир» принимают участие МВД, ФСБ, МИД, Минобороны и ряд других ведомств.
Ядро системы «Мир» — межведомственный резервируемый центр обработки данных (МРЦОД) — изначально было построено в основном на базе зарубежных технологий, что создавало дополнительные риски национальной безопасности, актуальные не только для федеральных информационных систем [1, 2]. Поэтому потребовалось обеспечить импортозамещение для поддержки ключевых процессов: оформления и выдачи документов нового поколения (биометрические загранпаспорта и другие документы, удостоверяющие личность); накопления данных о выданных документах; обеспечения межведомственного информационного взаимодействия как для федеральных ведомств, так и для внешних по отношению к системе структур; централизованного мониторинга системы «Мир» и круглосуточной поддержки ее пользователей.
МРЦОД должен функционировать в режиме семь дней в неделю, обрабатывать и хранить большие объемы конфиденциальной информации и обеспечивать катастрофоустойчивость за счет дублирования оборудования и его размещения на территориально распределенных площадках.
На момент начала проекта для МРЦОД лучше всего подходили серверы на базе процессоров «Эльбрус», использующие максимально возможное количество отечественных технологий и обеспечивающие достаточную для решения задач системы «Мир» производительность. В альтернативных решениях отсутствовали многопроцессорные серверы с достаточным объемом оперативной памяти и с интерфейсом PCI-Express для подключения RAID-контроллеров, сетевых карт и пр. Кроме того, в качестве альтернативы коммерческому зарубежному ПО было решено в первую очередь использовать свободное ПО, доработанное для нужд системы «Мир» и адаптированное для архитектуры «Эльбрус». В итоге было заменено следующее оборудование и функционировавшее на нем коммерческое ПО:
- мейнфреймы IBM System Z поддержки основной СУБД;
- серверы IBM Power Systems для средств мониторинга и обеспечения работы службы технической поддержки;
- серверы архитектуры x86-64 для работы прикладного ПО;
- операционная система z/OS и СУБД DB2 for z/OS;
- система гарантированной доставки сообщений WebSphere MQ;
- средства мониторинга и система обеспечения деятельности службы технической поддержки IBM Tivoli.
В МРЦОД используются однопроцессорные и четырехпроцессорные серверы на базе четырехъядерных процессоров «Эльбрус-4С». Архитектура «Эльбрус» [3] с широким командным словом позволяет выполнять до 23 инструкций за такт на каждом ядре, а рабочая частота 750 МГц обеспечивает достаточную для выполнения задач, стоящих перед системой «Мир», производительность и одновременно низкое энергопотребление. Для достижения необходимой производительности и возможности выполнения на архитектуре «Эльбрус», было выбрано следующее общесистемное и связующее ПО:
- ОС на базе дистрибутива Debian, СУБД PostgreSQL;
- система отказоустойчивого распределенного хранения больших объемов информации Ceph;
- высокопроизводительная NoSQL-СУБД Redis «ключ-значение» с возможностью обработки в памяти (in-memory);
- система гарантированной доставки сообщений AcitveMQ;
- система обработки заявок для организации работы службы технической поддержки OTRS;
- система организации IP-телефонии Asterisk и система мониторинга инфраструктуры Zabbix;
- вспомогательные сервисы (pgBouncer, Bacula, nginx и др.).
В процессе проектирования МРЦОД стало понятно, что поставляемый разработчиком дистрибутив ОС «Эльбрус», включающий в себя базовые общесистемные компоненты и связующее ПО, не удовлетворяет требованиям системы «Мир» и нуждается в доработке. Необходимость изменений подтвердили и результаты тестирования общесистемного и связующего ПО. В результате были существенно модернизированы модули ОС поддержки оборудования, входящего в комплектацию серверов «Эльбрус», — в частности, RAID-контроллеры и высокопроизводительные сетевые карты. Кроме того, была добавлена поддержка новых файловых систем, в первую очередь XFS, актуализированы системные скрипты и некоторые утилиты. Сегодя АО «МЦСТ», поставщик указанных операционной системы и оборудования, включает данное связующее ПО в дистрибутив и обеспечивает обновление версий.
Помимо этого, для поддержки новой конфигурации оборудования доработали программу начальной загрузки серверов, а для таких критически важных компонентов, как PostgreSQL, Ceph и OpenJDK, выполнили существенные доработки, связанные с повышением быстродействия при работе в новой конфигурации. Для этого использовали компилятор языка Cи/C++ разработки МЦСТ. Также были устранены узкие места в ядре ОС. Для наиболее критичных участков кода производилась платформозависимая оптимизация, включающая как адаптацию самого кода приложения, так и подбор параметров компилятора для оптимизации генерируемого машинного кода. Кроме того, был проведен ряд существенных доработок, влияющих на стабильность функционирования комплекса под нагрузкой. К примеру, ядро ОС не всегда справлялось с нагрузкой от Ceph, а результаты работы некоторых системных вызовов были непредсказуемыми.
Была проведена работа по увеличению производительности связующего ПО, что позволило не только запустить в эксплуатацию систему выдачи паспортно-визовых документов нового поколения, но и обеспечить условия для масштабирования серверов МРЦОД, необходимого для решения новых задач, возникающих перед системой «Мир». В зависимости от задачи производительность различных компонентов ЦОДа может вырасти от 6–7% до 33 раз.
В приложениях ГС «Мир» активно используется XML, поэтому специалисты МЦСТ выполнили ряд работ по оптимизации Java-машины на серверах «Эльбрус».
В результате впервые в России был запущен ЦОД, состоящий из почти 150 серверов архитектуры «Эльбрус», а также введен в действие полнофункциональный моделирующий стенд. С 2018 года МРЦОД эксплуатируется в промышленном режиме, обеспечивая решение всех задач, стоящих перед системой «Мир». На текущий момент гражданам выдано уже почти 9 млн загранпаспортов нового поколения и других документов, удостоверяющих личность.
Полученный опыт позволил сделать вывод: импортозамещение реально, а для разработок зарубежных поставщиков во многих случаях можно найти полноценную замену.
«КриптоВС»
Импортозамещение не ограничивается только программно-аппаратными конфигурациями для государственных информационных систем, оно необходимо и для средств защиты информации. Например «КриптоВС Х» — программно-аппаратное средство криптографической защиты информации (СКЗИ), в том числе средство электронной подписи. Данная разработка НИИ «Восход» в настольном и серверном исполнении на платформе «Эльбрус» имеет сертификат ФСБ РФ на соответствие требованиям к средствам защиты информации класса КС3 и требованиям к средствам электронной подписи класса КС3. Данный продукт может использоваться для криптографической защиты данных, не содержащих сведений, составляющих гостайну.
СКЗИ «КриптоВС Х» |
«КриптоВС Х» в настольном исполнении реализует все основные функции криптозащиты с учетом требований национальных стандартов (ГОСТ Р 34.10.2012, ГОСТ Р 34.11.2012 и ГОСТ Р 34.12.2015), а также специализированные алгоритмы установки защищенного соединения по протоколам NFC базового (Basic Access Control, BAC) и расширенного контроля доступа (Extended Access Control, EAC) к контактным и бесконтактным микросхемам, что позволяет обеспечить безопасное взаимодействие с российскими и зарубежными паспортно-визовыми документами нового поколения и документами, удостоверяющими личность.
Основные функции «КриптоВС Х»:
- генерация псевдослучайной последовательности;
- шифрование по алгоритмам ГОСТ 28147-89, ГОСТ Р 34.12-2015 «Магма» и 3DES;
- имитозащита по ГОСТ 28147-89, ГОСТ Р 34.12-2015 «Магма» в режиме имитовставки, CBC-MAC на базе 3DES;
- формирование и проверка электронной подписи на алгоритмах ГОСТ Р 34.10-2012, ГОСТ Р 34.10-2001, ECDSA, RSA;
- вычисление значения хэш-функции на алгоритмах ГОСТ Р 34.11-2012, ГОСТ Р 34.11-94, SHA-1, SHA-224, SHA-256, SHA-384, SHA-512;
- изготовление пары ключей.
«КриптоВС Х» обеспечивает защищенное взаимодействие с микросхемами документов по протоколам BAC и EAC с учетом требований национальных и международных стандартов; выполняет все основные криптографические операции как на отечественных, так и на зарубежных криптоалгоритмах; предусматривает возможность использования внешних носителей информации, в том числе функциональных, а также взаимодействие с компьютером по протоколу TCP/IP через интерфейсы USB или Ethernet. В системе предусмотрен API для интеграции с различными приложениями и веб-интерфейс администрирования с криптографической аутентификацией, позволяющий выполнять настройку, управление ключевым хранилищем и мониторинг работы СКЗИ.
К достоинствам данного СКЗИ можно отнести его небольшие габариты (51×51×51мм) и удобный форм-фактор, позволяющий разместить устройство практически на любом рабочем месте или использовать в качестве встраиваемого решения для других программно-аппаратных комплексов, причем без внесения в них каких-либо изменений (установка дополнительных аппаратных модулей, необходимых для программных СКЗИ аналогичного класса защиты). Сегодня на рынке нет подобных СКЗИ, сертифицированных по классу защиты КС3. Поэтому данная система может применяться в составе АРМ информационных систем, специализированных малогабаритных решений, домашних и офисных ПК, а также в местах, где невозможна или экономически нецелесообразна установка серверов СКЗИ или программных СКЗИ. В настоящее время «КриптоВС Х» эксплуатируются в программно-технических комплексах для сбора и регистрации биометрических данных «Криптобиокабина» в ряде МФЦ.
«КриптоВС Х» в серверном исполнении работает с документами, содержащими микросхему с информацией в электронном виде, — заграничными паспортами нового поколения и общегражданскими паспортами с электронным носителем, реализуя поддержку протоколов BAC и EAC на базе отечественных (ГОСТ Р 34.10-2001 и ГОСТ Р 34.11-94) и зарубежных криптографических алгоритмов для защищенного взаимодействия с микросхемой. Серверная система аналогична настольной, но в ней используется программный интеграционный модуль для обеспечения взаимодействия СКЗИ с ключевыми носителями. В сервере криптографических преобразований СКЗИ применяется отечественный процессор архитектуры «Эльбрус», причем без эмуляции x86, что позволяет задействовать все возможности аппаратной платформы.
В перспективе к портфелю сертифицированных решений НИИ «Восход» в сфере информационной безопасности будет добавлено средство удостоверяющего центра «КриптоВС УЦ» класса КВ2 (в отличие от средств УЦ класса КС3, средства УЦ класса КВ2 могут быть подключены к сетям общего пользования и противодействовать нарушителям, которые обладают знаниями и возможностями в области анализа и разработки СКЗИ и средств УЦ).
Система «КриптоВС УЦ» функционирует на четырех процессорных серверах «Эльбрус» под управлением ОС «Эльбрус» и состоит из центра регистрации (ЦР), центра сертификации (ЦС), сетевого справочника (СС) и электронного нотариата (ЭН).
«КриптоВС УЦ» обеспечивает выпуск квалифицированных сертификатов ключа проверки электронной подписи, соответствующих требованиям Приказа ФСБ РФ от 27 декабря 2011 г. № 795 «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи»; без масштабирования аппаратной платформы обеспечивает выпуск и поддержку до 1 млн сертификатов ключа проверки электронной подписи. При необходимости можно увеличить общее число выпущенных сертификатов до 150 млн. Система может масштабироваться как по горизонтали (увеличение количества программно-аппаратных средств или ЦР в рамках одного программно-аппаратного комплекса), так и по вертикали (увеличение количества уровней комплекса в рамках одного УЦ). «КриптоВС УЦ» поддерживает работу с ключевыми носителями — смарт-картами «Микрик», «Рутокен ЭЦП» и ESMART Token.
ИРКД
Для разграничения доступа к данным, содержащимся в микросхеме документов нового поколения с электронным носителем, был разработан уникальный для России продукт — «Российский проверяющий центр Инфраструктуры расширенного контроля доступа» (ИРКД), который функционирует вместе с системой «КриптоВС Х» на четырехпроцессорных серверах «Эльбрус» и состоит из корневого центра (КЦ ИРКД), промежуточного центра (ПЦ ИРКД) и дополнительного промежуточного центра (ДПЦ). Поддерживается работа с ключевыми носителями на базе микросхем MIK51SC72Dv6 и РуТокен, включая РуТокен ЭЦП.
КЦ ИРКД предназначен для выпуска CV-сертификатов (Card Verifiable) промежуточных центров с предоставленными им правами доступа к персональным данным, хранящимся на микросхемах документов с электронными носителями, с целью их дальнейшего распределения в соответствии с предоставленными правами доступа на терминалы, взаимодействующие с документами с электронным носителем и устанавливающие канал, осуществляющий передачу в том числе персональных данных.
ПЦ ИРКД необходим для выпуска CV-сертификатов терминалов с правами доступа к персональным данным, хранящимся на микросхемах документов с электронными носителями, для идентификации лица, предъявляющего документ.
Дополнительные промежуточные центры предназначены для соблюдения субординации филиалов и отделений ведомственных и прочих организаций и для исключения возможности получения доступа к персональной информации, хранящейся на микросхемах документов с электронными носителями данных, со стороны неавторизованных, скомпрометированных и иных терминалов, не имеющих права работы с такой информацией.
***
Описанные разработки НИИ «Восход» демонстрируют возможность создания государственных информационных систем федерального уровня и средств защиты информации на базе отечественного ПО и оборудования. Страна не только сделала шаг к технологической независимости при создании и эксплуатации государственных информационных систем, но и вполне может двигаться по пути импортоопережения, создавая эффективные и конкурентоспособные решения.
Литература
1. Борис Барладян, Алексей Волобой, Владимир Галактионов, Лев Шапиро. OpenGL для критически важных систем // Открытые системы.СУБД. — 2020. — № 1. — С. 8–10. URL: https://www.osp.ru/os/2020/01/13055346/ (дата обращения: 21.07.2020).
2. Владимир Фролов, Владимир Галактионов, Вадим Санжаров. RISC-V: стандарт, изменивший мир микропроцессоров // Открытые системы.СУБД. — 2020. — № 2. — С. 30–34. URL: https://www.osp.ru/os/2020/02/13055471/ (дата обращения: 21.07.2020).
3. Федор Груздев, Владимир Волконский, Юлий Сахин, Александр Ким. «Эльбрус» сегодня // Открытые системы.СУБД. — 2009. — № 2. — С. 12–17. URL: https://www.osp.ru/os/2009/02/7314081/ (дата обращения: 21.07.2020).
Андрей Пьянченко (a.pyanchenko@voskhod.ru) — руководитель научно-исследовательского департамента, Игорь Чижевский (i.chizhevskiy@voskhod.ru) — заместитель руководителя департамента создания и развития государственных информационных систем, Мария Вдовина (m.vdovina@voskhod.ru) — системный архитектор научно-исследовательского отдела проектирования и развития систем информационной безопасности, НИИ «Восход» (Москва).