2. Назначение и условия применения
2.1. Назначение
СМЭВ4 состоит из следующих компонентов:
Ядро СМЭВ4 – центральный компонент СМЭВ4, размещенный в ИЭП.
Агент СМЭВ4 – компонент СМЭВ4, устанавливаемый в контуре участника взаимодействия.
Notarius (опциональный компонент) - модуль Агента СМЭВ4, сервис подписания и верификации сообщений предназначен для проверки подписи и подписания сообщений;
Prohibitor (опциональный компонент) – модуль Агента СМЭВ4, сервис проверки полномочий предназначен для контроля и блокировки Поставщиком обращений к данным своей Витрины с использованием Регламентированных SQL-запросов (РЗ), устанавливаемый в контуре участника взаимодействия.
Агент СМЭВ4 представляет собой типовое программное обеспечение, устанавливаемое на стороне УВ и обеспечивающее сопряжение Витрин, хранилищ реплик, ИС УВ со СМЭВ4.
Данный документ содержит состав и содержание дистрибутивного пакета, порядок установки и описание настроек Агента СМЭВ4.
2.2. Требования к среде для развертывания Агента СМЭВ4
2.2.1. Минимальные требования к серверу
Таблица 2.1 содержит минимальные требования к характеристикам сервера для развертывания Агента СМЭВ4.
Характеристики |
Агент СМЭВ4 |
|---|---|
ОС серверная |
|
ЦПУ |
2-х ядерный процессор |
Оперативная память |
4 Гб |
Дисковое пространство |
20 Гб |
Таблица 2.2 содержит минимальные требования к характеристикам сервера для развертывания сервиса «Prohibitor».
Характеристики |
Prohibitor |
|---|---|
ОС серверная |
|
ЦПУ |
2-х ядерный процессор |
Оперативная память |
4 Гб |
Дисковое пространство |
20 Гб |
Таблица 2.3 содержит минимальные требования к характеристикам сервера для развертывания сервиса «Notarius».
Характеристики |
Notarius |
|---|---|
ОС серверная |
|
ЦПУ |
2-х ядерный процессор |
Оперативная память |
4 Гб |
Дисковое пространство |
20 Гб |
2.2.2. Перечень коммерческого ПО третьих лиц, необходимого для работы Агент СМЭВ4
Для обеспечения работоспособности Агента СМЭВ4 рекомендуется приобрести следующее коммерческое ПО третьих лиц:
JDK версии 17.0, рекомендуется JDK 17 LTS Axiom сертифицированный дистрибутив JDK, а также лицензия, cоответствующей операционной системе, приобретается пользователем самостоятельно на сайте производителя https://axiomjdk.ru/pages/downloads/#/java-17-lts.
СКЗИ CryptoPro CSP версии 5.0 R3 (см. Раздел 2.2.3). Сертифицированный дистрибутив CryptoPro, cоответствующий операционной системе, приобретается пользователем самостоятельно на сайте производителя https://cryptopro.ru/products/csp/downloads#latest_csp50r3_linux.
Внимание
В целях безопасности, на данных серверах должно отсутствовать любое коммерческое ПО третьих лиц, не требующееся непосредственно для работы компонентов Агента СМЭВ4
2.2.3. СКЗИ для работы Агента СМЭВ4
Канал связи между Агентом СМЭВ4 и Ядром СМЭВ4 должен быть защищен программно-аппаратным комплексом СКЗИ с уровнем не хуже КС3.
Требования к установке СКЗИ:
При использовании mTLS:
Комплекс СКЗИ может быть установлен в другой подсети по отношению к Агенту СМЭВ4.
При отсутствии mTLS:
Комплекс СКЗИ должен быть установлен в закрытом контуре Агента СМЭВ4.
Комплекс СКЗИ должен быть установлен в той же подсети, что и Агент СМЭВ4.
Между Агентом СМЭВ4 и СКЗИ не допускается использование открытых сетей связи с возможностью доступа из вне (из сети интернет).
Для работы с электронными подписями Агенту СМЭВ4 необходимы следующие средства криптозащиты:
CryptoPro CSP.
Агент СМЭВ4 является сервером для всех его клиентов и при этом является клиентом для Ядра СМЭВ4.
Криптография в Агенте обеспечивается CryptoPro CSP.
Помимо защиты канала сертифицированными средствами, для защиты канала, а именно авторизации Агента в Ядре СМЭВ4, используются токены доступа JWT.
Для этого используется односторонний TLS, через СКЗИ с помощью подписанного запроса в Ядро СМЭВ4.
для обеспечения защиты класса KC1 – СКЗИ «CryptoPro CSP» Версия 5.0 KC1 в исполнении 1-Base (CryptoPro CSP 5.0);
для обеспечения защиты класса KC2 – СКЗИ «CryptoPro CSP» Версия 5.0 KC2 в исполнении 2-Base (CryptoPro CSP 5.0).
Агент СМЭВ4 является сервером для всех его клиентов и при этом является клиентом для Ядра СМЭВ. Криптографические функции в Агенте обеспечивается CryptoPro CSP 5.0.
Таким образом, для обеспечения работоспособности Агента СМЭВ4 необходимо приобретение серверной лицензии для CryptoPro CSP 5.0 R3 на официальном сайте поставщика: https://cryptopro.ru/products/csp/downloads#latest_csp50_linux. Рекомендации о приобретении лицензии указано в Раздел 2.2.2.
Количество необходимых лицензий требуется рассчитать, ознакомившись с рекомендациями на сайте CryptoPro.
2.3. Точки подключения к Агенту СМЭВ4
Таблица 2.4 содержит точки подключения к Агенту СМЭВ4 и их назначение
Порт (значение по умолчанию) [2] |
Назначение |
|---|---|
8183 |
Обмены по Регламентированным SQL-запросам через JDBC-интерфейс. |
8192 |
|
8171 (протокол 1) 8172 (протокол 2) |
Обмены по Регламентированным REST-запросам (API Gateway). Потребитель, в зависимости от используемого Поставщиком протокола, должен направлять запросы в соответствующий этому протоколу порт Агента (Раздел 4.3.10). Для уточнения используемого Поставщиком протокола требуется обратиться в службу эксплуатации СМЭВ4. Примечания: Для использования протокола 2, версия Агента должна быть 3.8.0 или выше как на стороне Потребителя, так и на стороне Поставщика. При использовании протокола 1 поддерживается максимальный объем запросов не более 5 мегабайт. При использовании протокола 2 поддерживается максимальный объем запросов не более 30 гигабайт. |