Назначение и условия применения ================================ Назначение ------------ ПОДД СМЭВ состоит из следующих компонентов: - Ядро ПОДД СМЭВ – центральный компонент ПОДД СМЭВ, размещенный в ИЭП; - Агент СМЭВ4 – компонент ПОДД СМЭВ, устанавливаемый в контуре участника взаимодействия. Агент ПОДД СМЭВ представляет собой типовое программное обеспечение, устанавливаемое на стороне УВ и обеспечивающее сопряжение Витрин, хранилищ реплик, ИС УВ с ПОДД. Данный документ содержит состав и содержание дистрибутивного пакета, порядок установки и описание настроек Агента СМЭВ4. Требования к среде для развертывания Агента СМЭВ4 ----------------------------------------------------- Минимальные требования к серверам ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Минимальные требования к характеристикам сервера для развертывания Агента СМЭВ4 приведены в :numref:`tab_einfahrt` и :numref:`tab_notarius`. Установку Агента ПОДД необходимо производить на разных серверах: - Einfahrt; - Notarius; - Prohibitor. .. _tab_einfahrt: .. table:: Минимальные требования к характеристикам сервера Einfahrt +-----------------------+--------------------------------+ | Характеристики | Агент СМЭВ4 (Einfahrt) | +=======================+================================+ | ОС | Astra Linux 1.7 SE, РЕД ОС 7.3 | +-----------------------+--------------------------------+ | ЦПУ | 6-ядерный процессор | +-----------------------+--------------------------------+ | Оперативная память | 8 Гб | +-----------------------+--------------------------------+ | Дисковое пространство | 20 Гб | +-----------------------+--------------------------------+ .. _tab_notarius: .. table:: Минимальные требования к характеристикам сервера Notarius +-----------------------+---------------------------------+ | Характеристики | Сервис подписания и верификации | | | сообщений (Notarius) | +=======================+=================================+ | ОС | Astra Linux 1.7 SE, РЕД ОС 7.3 | +-----------------------+---------------------------------+ | ЦПУ | 6-ядерный процессор | +-----------------------+---------------------------------+ | Оперативная память | 8 Гб | +-----------------------+---------------------------------+ | Дисковое пространство | 20 Гб | +-----------------------+---------------------------------+ Перечень стороннего ПО, необходимого для работы Агент СМЭВ4 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Для обеспечения возможности работы Агента СМЭВ4, на серверах должно быть предустановлено следующее стороннее ПО: - сервер Einfahrt: - JDK версии 17.0, рекомендуется Bellsoft Axiom Pro JDK версии 17.0.7 - сервер Notarius: - СКЗИ КриптоПро CSP версии 5.0 R2 (см. :numref:`mtls`). .. attention:: В целях безопасности, на данных серверах должно отсутствовать любое стороннее ПО, не требующееся непосредственно для работы компонентов Агента СМЭВ4 .. _mtls: СКЗИ для работы Агента СМЭВ4 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Канал связи между Агентом СМЭВ4 и Ядром ПОДД СМЭВ должен быть защищен программно-аппаратным комплексом СКЗИ с уровнем не хуже КС3. Требования к установке СКЗИ: - При использовании mTLS: - Комплекс СКЗИ может быть установлен в другой подсети по отношению к Агенту СМЭВ4. - При отсутствии mTLS: - Комплекс СКЗИ должен быть установлен в закрытом контуре Агента СМЭВ4. - Комплекс СКЗИ должен быть установлен в той же подсети, что и Агент СМЭВ4. - Между Агентом СМЭВ4 и СКЗИ не допускается использование открытых сетей связи с возможностью доступа из вне (из сети интернет). Помимо защиты канала сертифицированными средствами, для защиты канала, а именно авторизации Агента в Ядре СМЭВ4, используются токены доступа JWT. При получении токена JWT могут использоваться: 1. Канал mTLS - может быть реализован любым сертифицированным программно-аппаратным средством - например, stunnel из состава КриптоПро CSP 5.0 R2. 2. без mTLS, через СКЗИ с помощью подписанного запроса в keycloak. 3. односторонний TLS, через СКЗИ с помощью подписанного запроса в keycloak. Для работы с электронными подписями Агенту СМЭВ4 необходимы следующие средства криптозащиты, устанавливаемые на сервере notarius: - для обеспечения защиты класса KC1 – СКЗИ «КриптоПро CSP» Версия 5.0 R2 KC1 в исполнении 1-Base (КриптоПро CSP 5.0 R2); - для обеспечения защиты класса KC2 – СКЗИ «КриптоПро CSP» Версия 5.0 R2 KC2 в исполнении 2-Base (КриптоПро CSP 5.0 R2). Агент СМЭВ4 является сервером для всех его клиентов и при этом является клиентом для Ядра СМЭВ. Криптографические функции в Агенте обеспечивается КриптоПро CSP 5.0 R2. Таким образом, для обеспечения работоспособности Агента СМЭВ4 необходимо приобретение серверной лицензии для КриптоПро CSP 5.0 R2. `Прайс-лист `_ и типы лицензий доступны на официальном сайте поставщика: https://www.cryptopro.ru/ Количество необходимых лицензий требуется рассчитать, ознакомившись с рекомендациями на сайте КриптоПро. .. _connect_smev: Точки подключения к Агенту СМЭВ4 -------------------------------------- :numref:`tab_connect` содержит точки подключения к Агенту СМЭВ4 и их назначение. .. _tab_connect: .. table:: Точки подключения к Агенту СМЭВ4 +-----------------------------------+---------------------------------------------------------------------+ | Порт (значение по умолчанию) [#]_ | Назначение | +===================================+=====================================================================+ | 8183 | Обмены по Регламентированным SQL-запросам через JDBC-интерфейс | +-----------------------------------+---------------------------------------------------------------------+ | 8192 | - обмены по Регламентированным SQL-запросам через REST-интерфейс; | | | | | | - скачивание JDBC-драйвера; | | | | | | - получение списка спецификаций OpenAPI для Регламентированных | | | REST-запросов. | +-----------------------------------+---------------------------------------------------------------------+ | 8171 (транспорт pulsar) | Обмены по Регламентированным REST-запросам. | | | | | 8172 (транспорт rsocket) | Агенты Потребителя и Поставщика должны использовать единый | | | транспорт. Потребитель, в зависимости от используемого | | | Поставщиком транспорта, должен направлять запросы в | | | соответствующий этому транспорту порт Агента. | | | | | | Примечания: | | | | | | - Для использования транспорта rsocket, версия Агента должна быть | | | 3.7.0 или выше как на стороне Потребителя, так и на стороне | | | Поставщика. При этом значение параметра agent.use-ca должно быть | | | true как на стороне Потребителя, так и на стороне Поставщика | | | (:numref:`common_setting`). | | | | | | - При использовании транспорта pulsar поддерживается | | | максимальный объем запросов не более 5 мегабайт. Для транспорта | | | rsocket поддерживается максимальный объем запросов не более 30 | | | гигабайт. | +-----------------------------------+---------------------------------------------------------------------+ .. [#] Данные порты могут быть переопределены посредством конфигурационного файла Сведения о модулях Агента СМЭВ4 -------------------------------------- .. _fig1: .. figure:: img/agent.png :align: center :alt: Структура ПО Состав модулей Агента СМЭВ4. Модуль Einfahrt ~~~~~~~~~~~~~~~~~~ Центральный модуль ПО Агента СМЭВ4, выполняет управление процессами обмена данными в системе СМЭВ4 на стороне Участника взаимодействия – Потребителя или Поставщика данных. Выполняет следующие функции: - взаимодействие с ИС УВ; - взаимодействие с Витринами данных; - взаимодействие с Ядром ПОДД СМЭВ; - аутентификация отправителя данных посредством проверки подписи фрагмента данных; - настройка ограничений полномочий Потребителей на выполнение Регламентированных SQL-запросов к Витрине данных, обслуживаемой данным экземпляром Агента СМЭВ4; - проверка полномочий Потребителя на стороне Поставщика при выполнении Регламентированного SQL-запроса. Модуль Notarius ~~~~~~~~~~~~~~~~~~ Выполняет операции создания и проверки ЭП по запросам от модуля Einfahrt. ЭП используется при обмене данными с Ядром ПОДД СМЭВ для обеспечения аутентичности и целостности данных. Рекомендации по противодействию атакам -------------------------------------- 1. Контур, где устанавливается ПО Агента СМЭВ4, должен быть закрытым от доступа из сетей общего пользования посредством межсетевых экранов. Программно-аппаратные средства, применяемые в качестве межсетевых экранов, должны иметь сертификаты соответствия требованиям ФСБ и ФСТЭК. 2. В контуре, где устанавливается ПО Агента СМЭВ4, должна обеспечиваться антивирусная защита, включающая обнаружение компьютерных программ, либо иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации. 3. Должно быть предусмотрено применение средств антивирусной защиты на автоматизированных рабочих местах, серверах, периметральных средствах защиты информации и иных точках доступа в информационную систему, подверженных внедрению (заражению) вредоносными компьютерными программами (вирусами) через съемные машинные носители информации или сетевые подключения, в том числе к сетям общего пользования. На постоянной основе должно быть обеспечено обновление баз данных средств антивирусной защиты. 4. В контуре, где устанавливается ПО Агента СМЭВ4, должно обеспечиваться обнаружение (предотвращение) вторжений (компьютерных атак), направленных на преднамеренный несанкционированный доступ к информации, специальные воздействия на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней, с использованием систем обнаружения вторжений. 5. Должно быть обеспечено создание актуальных резервных копии и настроено логирование. 6. Должны быть предприняты усиленные меры защиты учётных записей и компьютеров: системных администраторов, специалистов по ИБ, руководителей и других лиц, имеющих доступ к критически важной информации.