Назначение и условия применения ================================ Назначение ------------ ПОДД СМЭВ состоит из следующих компонентов: - Ядро ПОДД СМЭВ – центральный компонент ПОДД СМЭВ, размещенный в ИЭП; - Агент ПОДД СМЭВ – компонент ПОДД СМЭВ, устанавливаемый в контуре участника взаимодействия. Агент ПОДД СМЭВ представляет собой типовое программное обеспечение, устанавливаемое на стороне УВ и обеспечивающее сопряжение Витрин, хранилищ реплик, ИС УВ с ПОДД. Данный документ содержит состав и содержание дистрибутивного пакета, порядок установки и описание настроек Агента ПОДД СМЭВ. Требования к среде для развертывания Агента ПОДД СМЭВ ----------------------------------------------------- Минимальные требования к серверам ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Минимальные требования к характеристикам сервера для развертывания Агента ПОДД СМЭВ приведены в :numref:`tab_einfahrt`, :numref:`tab_notarius` и :numref:`tab_prohibitor`. Установку Агента ПОДД необходимо производить на разных серверах: - Einfahrt; - Notarius; - Prohibitor. .. _tab_einfahrt: .. table:: Минимальные требования к характеристикам сервера Einfahrt +-----------------------+----------------------------+ | Характеристики | Агент ПОДД СМЭВ (Einfahrt) | +=======================+============================+ | ОС | Astra Linux 1.7 SE | +-----------------------+----------------------------+ | ЦПУ | 6-ядерный процессор | +-----------------------+----------------------------+ | Оперативная память | 8 Гб | +-----------------------+----------------------------+ | Дисковое пространство | 20 Гб | +-----------------------+----------------------------+ .. _tab_notarius: .. table:: Минимальные требования к характеристикам сервера Notarius +-----------------------+---------------------------------+ | Характеристики | Сервис подписания и верификации | | | сообщений (Notarius) | +=======================+=================================+ | ОС | Astra Linux 1.7 SE | +-----------------------+---------------------------------+ | ЦПУ | 6-ядерный процессор | +-----------------------+---------------------------------+ | Оперативная память | 8 Гб | +-----------------------+---------------------------------+ | Дисковое пространство | 20 Гб | +-----------------------+---------------------------------+ .. _tab_prohibitor: .. table:: Минимальные требования к характеристикам сервера Prohobitor +-----------------------+----------------------------+ | Характеристики | Сервис проверки полномочий | | | (Prohibitor) | +=======================+============================+ | ОС | Astra Linux 1.7 SE | +-----------------------+----------------------------+ | ЦПУ | 6-ядерный процессор | +-----------------------+----------------------------+ | Оперативная память | 8 Гб | +-----------------------+----------------------------+ | Дисковое пространство | 20 Гб | +-----------------------+----------------------------+ .. note:: Используемая ОС должна иметь сертификат соответствия ФСБ РФ Перечень стороннего ПО, необходимого для работы Агент ПОДД СМЭВ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Для обеспечения возможности работы Агента ПОДД СМЭВ, на серверах должно быть предустановлено следующее стороннее ПО: - сервер Einfahrt - JDK версии 17.0, имеющий сертификат соответствия выданный ФСБ РФ. Рекомендуется Bellsoft Axiom Pro JDK версии 17.0.7 - сервер Prohibitor - JDK версии 17.0, имеющий сертификат соответствия выданный ФСБ РФ. Рекомендуется Bellsoft Axiom Pro JDK версии 17.0.7 - СУБД PostgreSQL, поставляемая с используемой сертифицированной операционной системой. В ОС "Astra Linux 1.7 SE" используется PostgreSQL версии 11.15 - сервер Notarius - CryptoPro CSP версии 5.0, имеющая сертификат соответствия выданный ФСБ РФ .. attention:: В целях безопасности, на данных серверах должно отсутствовать любое стороннее ПО, не требующееся непосредственно для работы компонентов Агента ПОДД .. _mtls: СКЗИ для работы Агента ПОДД СМЭВ4 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Канал связи между Агентом ПОДД и Ядром ПОДД должен быть защищен программно-аппаратным комплексом СКЗИ с уровнем не хуже КС3. Требования к установке СКЗИ: - При использовании mTLS: - Комплекс СКЗИ может быть установлен в другой подсети по отношению к Агенту ПОДД. - При отсутствии mTLS: - Комплекс СКЗИ должен быть установлен в закрытом контуре Агента ПОДД. - Комплекс СКЗИ должен быть установлен в той же подсети, что и Агент ПОДД. - На канале между Агентом ПОДД и ядром ПОДД должен быть полностью построен с использованием СКЗИ. Не допускается использование в любой части канала связи между агентом ПОДД и ядром ПОДД отрытых сетей связи (не защищенных СКЗИ) с возможностью доступа извне (например, из сети интернет). Для работы с электронными подписями Агенту СМЭВ4 необходимы следующие средства криптозащиты: - КриптоПро CSP 5.0 Агент СМЭВ4 является сервером для всех его клиентов и при этом является клиентом для Ядра СМЭВ4. Криптография в Агенте обеспечивается CSP. Для аутентификации Агента в Ядре СМЭВ4 используется JWT токен. Для этого может использоваться: 1. Канал mTLS - может быть реализован любым сертифицированным программно-аппаратным средством - например, stunnel из состава CryptoPro CSP или каким либо другим имеющим сертификат ФСБ. 2. без mTLS, через СКЗИ с помощью подписанного запроса в keycloack. 3. односторонний TLS, через СКЗИ с помощью подписанного запроса в keycloack. Таким образом, для работы Агента СМЭВ4 необходимо приобретение серверной лицензии для: - CryptoPro CSP 5.0; или другие в соответствии с применяемым вариантом канала в Ядро ПОДД `Прайс-лист `_ и типы лицензий доступны на официальном сайте поставщика: https://www.cryptopro.ru// Количество необходимых лицензий требуется рассчитать, ознакомившись с рекомендациями на сайте КриптоПро. .. _connect_smev: Точки подключения к Агенту ПОДД СМЭВ -------------------------------------- :numref:`tab_connect` содержит точки подключения к Агенту ПОДД СМЭВ и их назначение .. _tab_connect: .. table:: Точки подключения к Агенту ПОДД СМЭВ +-----------------------------------+-------------------------------------------------------------------+ | Порт (значение по умолчанию) [#]_ | Назначение | +===================================+===================================================================+ | 8183 | Обмены по Регламентированным SQL-запросам через JDBC-интерфейс | +-----------------------------------+-------------------------------------------------------------------+ | 8192 | - обмены по Регламентированным SQL-запросам через REST-интерфейс; | | | | | | - скачивание JDBC-драйвера; | | | | | | - получение списка спецификаций OpenAPI для Регламентированных | | | REST-запросов. | +-----------------------------------+-------------------------------------------------------------------+ | 8171 (транспорт pulsar) | Обмены по Регламентированным REST-запросам. | | | | | 8172 (транспорт rsocket) | Агенты Потребителя и Поставщика должны использовать единый | | | транспорт. Потребитель, в зависимости от используемого | | | Поставщиком транспорта, должен направлять запросы в | | | соответствующий этому транспорту порт Агента. | | | | | | Примечания: | | | | | | - Для использования транспорта rsocket, версия Агента должна быть | | | 3.7.0 или выше как на стороне Потребителя, так и на стороне | | | Поставщика. При этом значение параметра agent.use-ca должно быть | | | true как на стороне Потребителя, так и на стороне Поставщика | | | (:ref:`common_setting`). | | | | | | - При использовании транспорта pulsar поддерживается | | | максимальный объем запросов не более 5 мегабайт. Для транспорта | | | rsocket поддерживается максимальный объем запросов не более 30 | | | гигабайт. | +-----------------------------------+-------------------------------------------------------------------+ .. [#] Данные порты могут быть переопределены посредством конфигурационного файла Сведения о модулях Агента ПОДД -------------------------------------- .. _fig1: .. figure:: img/agent.png :align: center :alt: Структура ПО Сведения о модулях, входящих в состав ПО Агента ПОДД и их назначении. Модуль Einfahrt ~~~~~~~~~~~~~~~~~~ Центральный модуль ПО Агента ПОДД, выполняет управление процессами обмена данными в системе СМЭВ 4 на стороне Участника взаимодействия – Потребителя или Поставщика данных. Выполняет следующие функции: - взаимодействие с ИС УВ; - взаимодействие с Витринами данных; - взаимодействие с Ядром ПОДД; - аутентификация отправителя данных посредством проверки подписи фрагмента данных; - настройка ограничений полномочий Потребителей на выполнение Регламентированных SQL-запросов к Витрине данных, обслуживаемой данным экземпляром Агента ПОДД; - проверка полномочий Потребителя на стороне Поставщика при выполнении Регламентированного SQL-запроса. Модуль Prohibitor ~~~~~~~~~~~~~~~~~~ Предназначен для использования УВ Поставщиками данных. На стороне Ядра ПОДД задаются (и контролируются при выполнении Регламентированных SQL-запросов) полномочия каждого Потребителя данных (для каждого Потребителя может быть разрешено или запрещено выполнение заданного Регламентированного SQL-запроса). Тем не менее, в состав ПО Агента ПОДД включен дополнительный инструмент для дополнительной настройки и контроля разрешений к выполнению Регламентированных SQL-запросов к Витрине данных, поступающих от Потребителей данных. Использование модуля Prohibitor при работе ПО Агента ПОДД опционально, дистрибутив ПО Агента ПОДД может быть поставлен в варианте без модуля Prohibitor. Модуль Prohibitor имеет клиент-серверную архитектуру. Клиентская часть функционирует в веб-браузере. Администраторы взаимодействуют с модулем Prohibitor используя графический интерфейс пользователя, реализованный в виде веб-страниц. Реализованы следующие роли пользователей: - Администратор пользователей – может создавать других пользователей с ролями Администратор пользователей и Администратор доступов. - Администратор доступов – может просматривать и настраивать разрешения Потребителей к выполнению Регламентированных SQL-запросов. Выполняет функции: - аутентификация пользователей с использованием логина, пароля и одноразового кода; - взаимодействие с Ядром ПОДД для получения текущих разрешений Потребителей; - настройка разрешений Потребителей – администратор должен явно подтвердить или заблокировать каждое разрешение из списка разрешений, полученного из Ядра ПОДД; - взаимодействие с модулем Einfahrt – по запросу от модуля Einfahrt предоставляется информация о наличии разрешения конкретного Потребителя на выполнение конкретного регламентированного SQL-запроса. Модуль totp_cli ~~~~~~~~~~~~~~~~~~ Генерирует одноразовые коды, которые используются как второй фактор аутентификации при аутентификации пользователей модуля Prohibitor. Данный модуль использует секрет, генерируемый при регистрации пользователя, и текущее время для вычисления одноразового кода. Так как одноразовые коды – дополнительный фактор аутентификации, не влияющий на выполнение требований к аутентификации для доступа к функциям СКЗИ и защищаемой информации, требования к алгоритмам генерации одноразовых кодов при проведении оценки влияния по данному ТЗ не предъявляются. Модуль totp_cli не используется/не поставляется, если ПО Агента ПОДД работает/поставляется в варианте без модуля Prohibitor. Модуль Notarius ~~~~~~~~~~~~~~~~~~ Выполняет операции создания и проверки ЭП по запросам от модулей Einfahrt и Prohibitor. ЭП используется при обмене данными с Ядром ПОДД для обеспечения аутентичности и целостности данных Рекомендации по противодействию атакам -------------------------------------- 1. Контур, где устанавливается ПО Агента ПОДД, должен быть закрытым от доступа из сетей общего пользования посредством межсетевых экранов. Программно-аппаратные средства, применяемые в качестве межсетевых экранов, должны иметь сертификаты соответствия требованиям ФСБ и ФСТЭК. 2. В контуре, где устанавливается ПО Агента ПОДД, должна обеспечиваться антивирусная защита, включающая обнаружение компьютерных программ, либо иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации. 3. Должно быть предусмотрено применение средств антивирусной защиты на автоматизированных рабочих местах, серверах, периметральных средствах защиты информации и иных точках доступа в информационную систему, подверженных внедрению (заражению) вредоносными компьютерными программами (вирусами) через съемные машинные носители информации или сетевые подключения, в том числе к сетям общего пользования. На постоянной основе должно быть обеспечено обновление баз данных средств антивирусной защиты. 4. В контуре, где устанавливается ПО Агента ПОДД, должно обеспечиваться обнаружение (предотвращение) вторжений (компьютерных атак), направленных на преднамеренный несанкционированный доступ к информации, специальные воздействия на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней, с использованием систем обнаружения вторжений. 5. Должно быть обеспечено создание актуальных резервных копии и настроено логирование. 6. Должны быть предприняты усиленные меры защиты учётных записей и компьютеров: системных администраторов, специалистов по ИБ, руководителей и других лиц, имеющих доступ к критически важной информации.