Конявская Текхнология доверенного сеанса связи ДСС и средство 2015
.pdfЗадачи
•Организация информационного обмена через СМЭВ, включая процесс регистрации web-сервиса в реестре СМЭВ.
•Предоставление уполномоченным сотрудникам ОИВ и ОМСУ возможности получения запросов и формирования ответных документов в ходе оказания государственных услуг на основе форм документов СПГУ.
•Актуализация форм документов, являющихся объектами информационного обмена, в том числе путем получения пакетов обновления из СПГУ.
Функции
•Прием и обработка запросов в рамках оказания услуг.
•Ввод данных мониторинга.
•Актуализация сведений о должностных лицах и их полномо-
чиях.
•Обновление форм государственных услуг.
•Управление пользователями.
•Управление правами.
Варианты поставки
«Агент межведомственного взаимодействия» может быть выполнен в различных вариантах в зависимости от требований и существующей инфраструктуры субъекта РФ. Возможны размещение АМВ в центре обработки данных (ЦОД) или поставка в виде защищенного программно-аппаратного комплекса.
АМВ ЦОД
Инфраструктурная и ценовая доступность АМВ в данном исполнении достигается за счет предоставления решения по принципу «сервисной модели», реализованной на технологиях виртуализации и облачных вычислений на информационно-вычислительных ресурсах центра обработки данных. Применяется в тех случаях, когда ОИВ/ОМСУ требуется только подготовка и размещение сервисов в СМЭВ, а также интерфейс для их дальнейшего оказания.
91
Рис. 65. Схема информационного взаимодействия
ПАК АМВ
Исполняется в виде защищенного сервера.
Аппаратная часть ПАК АМВ представляет собой: защищенный компактный сервер с определенными характеристиками; ПАК «Аккорд», установленный и настроенный на сервере; комплект ПСКЗИ ШИПКА и «МАРШ!» для защиты АРМ работников органа власти.
Программная часть АМВ включает в себя: установленную и настроенную ОС Альт Линкус СПТ 6.0 (сертифицированную ФСТЭК); ПО низкоуровневых СКЗИ; программные сертифицированные средства выработки и проверки ЭП; сертифицированные средства организации защищенного VPN-соединения; системное сертифицированное ПО (сервер баз данных, сервер приложений); функциональное ПО, позволяющее уполномоченным сотрудникам органов власти получать, формировать и отсылать документы в рамках исполнения государственных и муниципальных услуг через среду СМЭВ (РСМЭВ).
92
Рис. 66. Состав АМВ
Предположим, в ходе исполнения услуг возникает необходимость получения информации от организации, в которой установлен АМВ. Поскольку АМВ предоставляет доступ к web-службе, зарегистрированной в СМЭВ, внешняя ИС запрашивает необходимую информацию в соответствии со спецификацией формата сообщений, задекларированных с помощью WSDL-документа, зарегистрированного, в свою очередь, в реестре СМЭВ. В результате формируется XML-документ, являющийся ответом на запрос внешней ИС, который передается через СМЭВ.
3.2.Разбор примеров применения СОДС «МАРШ!» в различных отраслевых системах
Вкачестве примера отраслевых систем, построенных с применением «МАРШ!», интересно разобрать 2 случая:
1)типичная МИС;
2)типовой региональный участок ведомственной системы здравоохранения одного из ведомств.
Типовая МИС
Большинство медицинских информационных систем построены именно как web-системы, поэтому СОДС «МАРШ!» по самой своей сути как нельзя больше для них подходит. Это подтверждается практикой внедрения: в значительном количестве территорий в ходе работ по информатизации сферы здравоохранения внедряется в качестве основного решения именно «МАРШ!».
93
АРМ врача при этом представляет собой унифицированный (для каждого отдельного региона) тонкий клиент с унифицированным же набором периферийного оборудования: монитор, клавиатура, мышь, принтер, иногда – сканер и сканер штрих-кодов, иногда – кард-ридер для считывания социальной карты, иногда – рентгеновские и прочие специальные аппараты. Собственно автоматизированным рабочим местом врача этот набор техники делает СОДС «МАРШ!», с помощью которого врач, начиная прием, подключается к МИС и работает согласно своему профилю в этой МИС.
Состав «МАРШ!» для таких решений – практически максимальный. В нем есть и оба контура криптографии (врач подписывает ЭП формы в МИС, а соединение защищено VPN), соответственно, хранилище ключей VPN, и браузер, настроенный на работу только с МИС, исключающий возможность переходов на посторонние адреса в Интернете, и поддержка внешних устройств, ФПО и возможность сохранения файлов на рабочий стол на время сеанса (ведь прием должен вестись, даже если прервалась связь с серверной частью).
Исторически сложилось так, что в большинстве, хотя не во всех случаях, в информационных системах медицинских учреждений используется VPN от «Инфотекс», но есть и другие примеры.
В случае, если на практической части не демонстрировалась работа с VPN и ЭП на www.sodsmarsh.ru, то это необходимо сделать здесь, чтобы у слушателей сложилось наглядное представление о работе этих функций. Необходимо продемонстрировать вход с «МАРШ!», на который записаны корректные ключи VPN, вход с «МАРШ!», не содержащего таких ключей, подписание ЭП произвольного текста в web-форме.
Типовой региональный участок ведомственной системы здравоохранения
Типовой участок описываемой системы состоит из нескольких ЛПУ двух разных типов, которые работают с центральным учреждением, где в едином защищенном контуре расположены несколько функциональных систем. Одна из этих систем – МИС, другие – свойственные именно этому ведомству и построенные в архитектуре как web-систем, так и систем терминального доступа, реализованных в виде фермы Citrix с файловым сервером.
94
Рис. 67. Структурная схема участка ведомственной информационной системы
Доступ к web-системам организован через терминальный сервер, на котором разграничение доступа обеспечивается ПАК «Аккорд TSE», поэтому в состав образа «МАРШ!» входит ICA-клиент и ПО «Аккорд-ТК». Ведомственная МИС не поддерживает ЭП, а ведомственные каналы, используемые системой, защищены, поэтому ни резидентная криптография, ни VPN в образ не входит. Фактически задача «МАРШ!» в этой системе сводится к тому, чтобы обеспечить доверенную среду на АРМ врачей и надежную идентификацию/аутентификацию в центральной системе. Для обеспечения возможности распечатывать назначения «МАРШ!» поддерживает локальные и сетевые принтеры.
Интересно, что в этой системе одновременно применяется СОДС «МАРШ!» и ПАК «Центр-Т» на АРМ разных специалистов. Это обеспечивает возможность работы отдельных специалистов в условиях отсутствия связи с центральной системой, что немаловероятно, поскольку система распределенная, территориальные отделения есть в самых удаленных местностях, где каналы не всегда достаточно надежны. Такие специалисты работают с местной терминальной фермой, взаимодействующей с центральной, но способной функционировать и автономно.
95
4. Перспективы развития концепции ДСС: семейство МК
На фоне изученного становится очевидным очередной и, видимо, завершающий шаг в анализе возможных реализаций методологии ДСС.
Обратите внимание, сначала мы обеспечили отчуждение операционной системы в доверенную среду, оставив компьютеру исполнение ОС и задач в ней, коммуникации и отображение информации («МАРШ!»). Доверенность среды обеспечивается здесь свойствами специального носителя.
На следующем шаге мы перенесли в доверенную среду и коммуникации («М!&М»), интегрировав в специальный носитель модем. Компьютеру остались исполнение задач и отображение результатов.
Очередной шаг может быть только один – перенос в специальный носитель и исполнения задач, оставив среде только функции пассивного отображения информации. То есть наш носитель должен сам стать компьютером, причем таким, который по пользовательским характеристикам удовлетворяет требованиям потребителя.
Апотребители хотят недорогое устройство с возможностями:
-доступа к аудио- и видеоконтенту с современным уровнем качества (потоковое видео и видеофайлы с качеством FullHD, Skype, YouTube, сервисы интернет-кинотеатров и т. д.);
-доступа к играм (в том числе онлайн, и тоже с высоким качеством видео);
-участия в интернет-торговле с обеспечением должного уровня информационной безопасности;
-безопасного управления банковским счетом;
-видеоконференций в различных вариантах (телемедицинские консультации, дистанционное образование);
-обработки персональных данных;
-доступа к защищенным информационным системам;
-доступа к госуслугам в электронном виде.
Клиентский компьютер
Цена традиционного х86-компьютера, который обеспечит выполнение всех этих пожеланий, – не менее 1000$. Дополним теперь его необходимыми средствами защиты:
96
-аппаратный модуль доверенной загрузки (например, «АккордАМДЗ»);
-средства разграничения доступа (например, «Аккорд-Win32»);
-средства электронной подписи;
-средства защиты от разрушающих программных воздействий и вредоносного ПО (антивирусы);
-средства канальной криптографической защиты.
В сумме это еще около 500$. Вместе с ценой компьютера это будет уже около 1500$. Весьма немало. Если при этом компьютер будет известной марки – то и все 2000$.
А самое главное – при этом требование мобильности не выполнено, а значит, счастливый обладатель теряет одно из наиболее значимых преимуществ облачных технологий – доступ к своей персональной среде из любого места, а не только из единожды и надолго оборудованного кабинета.
Этот конфликт интересов очередной раз возвращает нас к выбору между возможностью использования современных технологий и защищенностью.
Но есть и другой вариант.
Современные, в том числе планшетные компьютеры создаются на основе «гарвардской» архитектуры, что создает возможность намного более простого и дешевого решения поставленной задачи. В этом случае достаточно микросхему банка памяти, в которой размещается ОС, перевести в режим «только чтение», read only, RO. Этот режим обеспечит неизменность ОС, как в классическом СОДС «МАРШ!». Если неизменность ОС обеспечивается аппаратным, физическим способом, то никакие программные действия хакеров не смогут нарушить целостность, а, следовательно, доверенность программной среды. Дополнительным преимуществом такого подхода является то, что вирус не может зафиксироваться в долговременной памяти компьютера, которая функционирует в режиме RO, то есть нет необходимости использовать антивирусные программы. Таким образом, существенно сокращается не только цена приобретения, но и цена владения изделием.
97
Нельзя не учитывать, что в процессе работы пользователю часто приходится использовать сведения, размещенные в недоверенных средах, например, в Интернете, например, картографическую информацию и аналогичную. Однако из доверенной среды нельзя выходить в незащищенный интернет, так как в результате доверенность может быть нарушена.
Наилучшее разрешение этого противоречия – наличие еще одной ОС, незащищенной, без ограничений по доступу в интернет. Носителем этой ОС может быть банк памяти с полным доступом.
Наличие на одном компьютере 2-х ОС требует наличия выбора той или иной ОС, в зависимости от потребностей пользователя. Выбор должен осуществляться пользователем. Целесообразно при этом выбор ОС осуществлять переключателем, размещаемом на корпусе устройства.
Условия сохранения доверенности защищенной ОС обеспечиваются тем, что разные ОС не имеют общих информационных ресурсов. Этим определяются следующие требования:
-при работе незащищенной ОС доступ к ПО защищенной ОС отсутствует как на программном, так и на аппаратном уровне;
-обновление защищенной ОС осуществляется только из доверенного источника, с обеспечением целостности и подлинности источника криптографическими методами;
-монтирование ПО осуществляется только после успешной проверки его электронной подписи, которой оно подписано.
Такое решение получено, и оно защищено уже 5 патентами c 16 пунктами патентных формул. Основанные на этом решении компьютеры выпускаются в виде планшетов, в форм-факторе большой флэшки, в виде телефона и в форм-факторе отчуждаемого активного блока и док-станции.
Линейка включает в себя варианты как с одной (только защищенной) ОС (подтип MKT), так и с двумя ОС (защищенной и незащищенной) и переключателем (подтип MKTrusT).
Вариант MKT с одной ОС подходит для сценариев применения, предполагающих работу только в защищенной среде, и ни в какой другой.
Это целесообразно, например, в том случае, если для работы в незащищенной среде, в обычном режиме – с интернет-ресурсами и
98
всем прочим – у пользователей имеются другие СВТ, а микрокомпьютеры планируется использовать исключительно для решения определенного заранее круга задач в рамках доверенного сеанса связи.
В тех же случаях, когда предполагается также применение устройства в частных целях, или служебные задачи предполагают необходимость использования данных из незащищенных ресурсов (допустим, картографической информации), целесообразно применение варианта MKTrusT с двумя ОС.
Итак, линейка защищенных микрокомпьютеров на базе «гарвардской» архитектуры.
Линейка микрокомпьютеров включает в себя:
1)MKT – микрокомпьютер в форм-факторе большой флешки, предназначенный для работы только в защищенном режиме. Обновление защищенной ОС микрокомпьютера МКТ возможно только в специальном технологическом режиме.
2)В таком же форм-факторе выпускается и микрокомпьютер MKT+, который имеет чуть большие размеры, но зато обладает возможностью дистанционного обновления защищенной ОС и расширения функционального ПО в специальном защищенном режиме.
3)MKTrusT – микрокомпьютер в таком же форм-факторе, как и МКТ+, предназначенный для работы в одном из двух режимов на выбор – защищенном или обычном, без ограничений. Выбор осуществляется пользователем: он устанавливает физический переключатель в одну или другую позицию. При этом загружается одна из двух разных ОС, расположенных в независимых одна от другой банках памяти устройства.
4)MKT-card – полноценный клиентский компьютер, состоящий из малогабаритной док-станции, к которой подключается периферия, в том числе токены различных производителей, и отчуждаемого мобильного активного устройства, которое является собственно компьютером, носителем всей персонифицированной части информационной среды клиентского рабочего места.
Выпускается в двух вариантах – MKT-card и MKT-card long, отличающихся геометрическими пропорциями.
99
5)TrusTPad – планшетный компьютер, работающий аналогично MKTrusT – с возможностью выбора одного из режимов работы с помощью переключателя.
6)TrustPhone – IP-телефон, также построенный на «гарвардской» архитектуре по логике MKTrusT. Фактически, это TrusTPad c функцией IP-телефонии, выполненный в виде стационарного телефона с ЖК-дисплеем и сенсорным номеронабирателем.
Микрокомпьютеры разработан на базе 4-х ядерного Cortex-A9 процессора, причем в его состав включен мощный видеоускоритель, позволяющий воспроизводить файлы FullHD. Ниже приведены его технические характеристики.
CPU: на базе 1,6 ГГц CortexA9.
GPU: Mali400, 2D/ 3D OpenGL ES2.0/ OpenVG1.1. ОЗУ: 2GB DRR3.
Мульти медиа форматы:
Аудио: MP3/WAV/AMR/AAC; Видео:3GP,MPEG4,AVI,RMVB,MKV,FLV и т.д.
Декодирование видео: Поддержка 1920x1080p@60fps. Кодирование видео: Поддержка записи в формат H.264.
1080p@60fps, 720@100fps.
Поддержка Flash 11.x / HTML5 видео он-лайн
Игры: Встроенный 3D-Ускоритель. Поддержка 3D игр Электронная почта: Gmail, POP3/SMTP/IMAP4
Микрокомпьютер в общем случае подключается к телевизору или монитору, и обеспечивает своему владельцу доступ к Интернет, электронную почту, Skype, YouTube и все другие «блага цивилизации», включая высококачественное «проигрывание» видеофайлов.
Операционные системы поддерживаются компанией «Малогабаритные защищенные компьютерные системы» (МЗКС), и выполнены на основе ОС Linux и Android.
Доступны приложения из GooglePlayStore. Офисные, медиа, интернет приложения и многие другие. Можно использовать для чтения документов, почты, отправки писем и документов, составления документов, общения с коллегами и друзьями. и многое другое.
Поддерживает FullHD форматы. Обеспечивается он-лайн потоковое видео из YouTube, Rutube и др., он-лайн фильмы, програм-
100