2. Назначение и условия применения

2.1. Назначение

СМЭВ4 состоит из следующих компонентов:

  • Ядро СМЭВ4 – центральный компонент СМЭВ4, размещенный в ИЭП.

  • Агент СМЭВ4 – компонент СМЭВ4, устанавливаемый в контуре участника взаимодействия.

  • Notarius (опциональный компонент) – модуль Агента СМЭВ4, сервис подписания и верификации сообщений предназначен для проверки подписи и подписания сообщений;

  • Prohibitor (опциональный компонент) – модуль Агента СМЭВ4, сервис проверки полномочий предназначен для контроля и блокировки Поставщиком обращений к данным своей Витрины с использованием РЗ, устанавливаемый в контуре участника взаимодействия.

Агент СМЭВ4 представляет собой типовое программное обеспечение, устанавливаемое на стороне УВ и обеспечивающее сопряжение Витрин, хранилищ реплик, ИС УВ со СМЭВ4.

Данный документ содержит состав и содержание дистрибутивного пакета, порядок установки и описание настроек Агента СМЭВ4.

2.2. Требования к среде для развертывания Агента СМЭВ4

2.2.1. Минимальные требования к серверу

Таблица 2.1 содержит минимальные требования к характеристикам сервера для развертывания Агента СМЭВ4.

Таблица 2.1 Минимальные требования к характеристикам сервера для развертывания Агента СМЭВ4

Характеристики

Агент СМЭВ4

ОС серверная

  • ALT 8 SP Server 10;

  • RedOS 7.3;

  • Astra Linux 1.7 SE.

ЦПУ

2-х ядерный процессор

Оперативная память

4 Гб

Дисковое пространство

20 Гб

Таблица 2.2 содержит минимальные требования к характеристикам сервера для развертывания сервиса «Prohibitor».

Таблица 2.2 Минимальные требования к характеристикам сервера для развертывания Prohibitor

Характеристики

Prohibitor

ОС серверная

  • ALT 8 SP Server 10;

  • RedOS 7.3;

  • Astra Linux 1.7 SE.

ЦПУ

2-х ядерный процессор

Оперативная память

4 Гб

Дисковое пространство

20 Гб

Таблица 2.3 содержит минимальные требования к характеристикам сервера для развертывания сервиса «Notarius».

Таблица 2.3 Минимальные требования к характеристикам сервера для развертывания Notarius

Характеристики

Notarius

ОС серверная

  • ALT 8 SP Server 10;

  • RedOS 7.3;

  • Astra Linux 1.7 SE.

ЦПУ

2-х ядерный процессор

Оперативная память

4 Гб

Дисковое пространство

20 Гб

2.2.2. Перечень коммерческого ПО третьих лиц, необходимого для работы Агент СМЭВ4

Для обеспечения работоспособности Агента СМЭВ4 рекомендуется приобрести следующее коммерческое ПО третьих лиц:

  • JDK версии 17.0, рекомендуется JDK 17 LTS Axiom сертифицированный дистрибутив JDK, а также лицензия, cоответствующей операционной системе, приобретается пользователем самостоятельно на сайте производителя https://axiomjdk.ru/pages/downloads/#/java-17-lts.

  • СКЗИ CryptoPro CSP версии 5.0 R3 (Раздел 2.2.3). Сертифицированный дистрибутив CryptoPro, cоответствующий операционной системе, приобретается пользователем самостоятельно на сайте производителя https://cryptopro.ru/products/csp/downloads#latest_csp50r3_linux.

Внимание

В целях безопасности, на данных серверах должно отсутствовать любое коммерческое ПО третьих лиц, не требующееся непосредственно для работы компонентов Агента СМЭВ4

2.2.3. СКЗИ для работы Агента СМЭВ4

Канал связи между Агентом СМЭВ4 и Ядром СМЭВ4 должен быть защищен программно-аппаратным комплексом СКЗИ с уровнем не хуже КС3.

Требования к установке СКЗИ:

  • При использовании mTLS:

    • Комплекс СКЗИ может быть установлен в другой подсети по отношению к Агенту СМЭВ4.

  • При отсутствии mTLS:

    • Комплекс СКЗИ должен быть установлен в закрытом контуре Агента СМЭВ4.

    • Комплекс СКЗИ должен быть установлен в той же подсети, что и Агент СМЭВ4.

    • Между Агентом СМЭВ4 и СКЗИ не допускается использование открытых сетей связи с возможностью доступа из вне (из сети интернет).

Для работы с электронными подписями Агенту СМЭВ4 необходимы следующие средства криптозащиты:

  • CryptoPro CSP.

Агент СМЭВ4 является сервером для всех его клиентов и при этом является клиентом для Ядра СМЭВ4.

Криптография в Агенте обеспечивается средствами CryptoPro CSP.

Помимо защиты канала сертифицированными средствами, для защиты канала, а именно авторизации Агента в Ядре СМЭВ4, используются токены доступа JWT.

Для этого используется односторонний TLS, через СКЗИ с помощью подписанного запроса в Ядро СМЭВ4.

  • для обеспечения защиты класса KC1 – СКЗИ «CryptoPro CSP» Версия 5.0 KC1 в исполнении 1-Base (CryptoPro CSP 5.0);

  • для обеспечения защиты класса KC2 – СКЗИ «CryptoPro CSP» Версия 5.0 KC2 в исполнении 2-Base (CryptoPro CSP 5.0).

Агент СМЭВ4 является сервером для всех его клиентов и при этом является клиентом для Ядра СМЭВ. Криптографические функции в Агенте обеспечивается CryptoPro CSP 5.0.

Таким образом, для обеспечения работоспособности Агента СМЭВ4 необходимо приобретение серверной лицензии для CryptoPro CSP 5.0 R3 на официальном сайте поставщика: https://cryptopro.ru/products/csp/downloads#latest_csp50_linux. Рекомендации о приобретении лицензии указано в Раздел 2.2.2.

Количество необходимых лицензий требуется рассчитать, ознакомившись с рекомендациями на сайте CryptoPro.

2.3. Точки подключения к Агенту СМЭВ4

Таблица 2.4 содержит точки подключения к Агенту СМЭВ4 и их назначение

Таблица 2.4 Точки подключения к Агенту СМЭВ4

Порт (значение по умолчанию) [2]

Назначение

8183

Обмены по Регламентированным SQL-запросам через JDBC-интерфейс.

8192

  • обмены по Регламентированным SQL-запросам через REST-интерфейс;

  • скачивание JDBC-драйвера; ссылка на скачивание актуальной версии драйвера указана в Раздел 5.

8172

Обмены по Регламентированным REST-запросам (API Gateway).

Примечания:

  • Версия Агента должна быть 3.8.0 или выше как на стороне Потребителя, так и на стороне Поставщика.

  • Поддерживается максимальный объем запросов не более 30 гигабайт.

Внимание

Использование обмена на порту 8171 (Регламентированные REST запросы, «протокол 1») является устаревшим, и его поддержка будет удалена в одном из следующих релизов без дополнительных уведомлений. Для обеспечения дальнейшей возможности использования данного функционала, необходимо использовать порт 8172.