2. Назначение и условия применения

2.1. Назначение

СМЭВ4 состоит из следующих компонентов:

  • Ядро СМЭВ4 – центральный компонент СМЭВ4, размещенный в ИЭП.

  • Агент СМЭВ4 – компонент СМЭВ4, устанавливаемый в контуре участника взаимодействия.

  • Prohibitor (опциональный компонент) – модуль Агента СМЭВ4, сервис проверки полномочий предназначен для контроля и блокировки Поставщиком обращений к данным своей Витрины с использованием Регламентированных SQL-запросов (РЗ), устанавливаемый в контуре участника взаимодействия.

Агент СМЭВ4 представляет собой типовое программное обеспечение, устанавливаемое на стороне УВ и обеспечивающее сопряжение Витрин, хранилищ реплик, ИС УВ с ПОДД.

Данный документ содержит состав и содержание дистрибутивного пакета, порядок установки и описание настроек Агента СМЭВ4.

2.2. Требования к среде для развертывания Агента СМЭВ4

2.2.1. Минимальные требования к серверу

Таблица 2.1 содержит минимальные требования к характеристикам сервера для развертывания Агента СМЭВ4.

Таблица 2.1 Минимальные требования к характеристикам сервера для развертывания Агента СМЭВ4

Характеристики

Агент СМЭВ4

ОС

  • CentOS 7.9;

  • RedOS 7.3

  • Astra Linux 1.7 SE

  • ALT 8 SP Server 10

ЦПУ

2-х ядерный процессор

Оперативная память

4 Гб

Дисковое пространство

20 Гб

2.2.2. Перечень стороннего ПО, необходимого для работы Агент СМЭВ4

  • JDK версии 17.0, рекомендуется Bellsoft Axiom Pro JDK версии 17.0.7 Сертифицированный дистрибутив JDK, cоответствующий операционной системе, приобретается пользователем самостоятельно на сайте производителя https://axiomjdk.ru/pages/downloads/#/java-17-lts.

  • СКЗИ CryptoPro CSP версии 5.0 (см. Раздел 2.2.3). Сертифицированный дистрибутив CryptoPro, cоответствующий операционной системе, приобретается пользователем самостоятельно на сайте производителя https://cryptopro.ru/products/csp/downloads#latest_csp50r2_linux.

Внимание

В целях безопасности, на данных серверах должно отсутствовать любое стороннее ПО, не требующееся непосредственно для работы компонентов Агента СМЭВ4

2.2.3. СКЗИ для работы Агента СМЭВ4

Канал связи между Агентом СМЭВ4 и Ядром ПОДД СМЭВ должен быть защищен программно-аппаратным комплексом СКЗИ с уровнем не хуже КС3.

Требования к установке СКЗИ:

  • При использовании mTLS:

    • Комплекс СКЗИ может быть установлен в другой подсети по отношению к Агенту СМЭВ4.

  • При отсутствии mTLS:

    • Комплекс СКЗИ должен быть установлен в закрытом контуре Агента СМЭВ4.

    • Комплекс СКЗИ должен быть установлен в той же подсети, что и Агент СМЭВ4.

    • Между Агентом СМЭВ4 и СКЗИ не допускается использование открытых сетей связи с возможностью доступа из вне (из сети интернет).

Для работы с электронными подписями Агенту СМЭВ4 необходимы следующие средства криптозащиты:

  • CryptoPro CSP.

Агент СМЭВ4 является сервером для всех его клиентов и при этом является клиентом для Ядра СМЭВ4.

Криптография в Агенте обеспечивается CryptoPro CSP.

Помимо защиты канала сертифицированными средствами, для защиты канала, а именно авторизации Агента в Ядре СМЭВ4, используются токены доступа JWT.

Для этого используется односторонний TLS, через СКЗИ с помощью подписанного запроса в Ядро СМЭВ4.

  • для обеспечения защиты класса KC1 – СКЗИ «CryptoPro CSP» Версия 5.0 KC1 в исполнении 1-Base (CryptoPro CSP 5.0);

  • для обеспечения защиты класса KC2 – СКЗИ «CryptoPro CSP» Версия 5.0 KC2 в исполнении 2-Base (CryptoPro CSP 5.0).

Агент СМЭВ4 является сервером для всех его клиентов и при этом является клиентом для Ядра СМЭВ. Криптографические функции в Агенте обеспечивается CryptoPro CSP 5.0.

Таким образом, для обеспечения работоспособности Агента СМЭВ4 необходимо приобретение серверной лицензии для CryptoPro CSP 5.0 R2 на официальном сайте поставщика: https://cryptopro.ru/products/csp/downloads#latest_csp50_linux.

Количество необходимых лицензий требуется рассчитать, ознакомившись с рекомендациями на сайте CryptoPro.

2.3. Точки подключения к Агенту СМЭВ4

Таблица 2.2 содержит точки подключения к Агенту СМЭВ4 и их назначение

Таблица 2.2 Точки подключения к Агенту СМЭВ4

Порт (значение по умолчанию) [1]

Назначение

8183

Обмены по Регламентированным SQL-запросам через JDBC-интерфейс.

8192

  • обмены по Регламентированным SQL-запросам через REST-интерфейс;

  • скачивание JDBC-драйвера; ссылка на скачивание актуальной версии драйвера указана в Раздел 7.

8171 (транспорт pulsar)

8172 (транспорт rsocket)

Обмены по Регламентированным REST-запросам (API Gateway).

Агенты Потребителя и Поставщика должны использовать единый транспорт.

Потребитель, в зависимости от используемого Поставщиком транспорта, должен направлять запросы в соответствующий этому транспорту порт Агента (Раздел 5.3.10).

Примечания:

Для использования транспорта rsocket, версия Агента должна быть 3.7.0 или выше как на стороне Потребителя, так и на стороне Поставщика.

Для отправки и получения запросов через транспорт rsocket в конфигурации соответствующего Агента должно быть указано agent.use-ca=true (см Раздел 5.3.1) и адреса подключения к брокерам Ядра СМЭВ4 (см Раздел 5.3.6).

При использовании транспорта pulsar поддерживается максимальный объем запросов не более 5 мегабайт.

Для транспорта rsocket поддерживается максимальный объем запросов не более 30 гигабайт.