В июле 2017 года компания «ЭЛВИС-ПЛЮС» объявила о завершении разработки и сертификации по уровню КС3 в ФСБ России средства криптографической защиты информации «Аппаратно-программный комплекс «Застава-ТК». А годом позже представила аппаратный шлюз безопасности «Застава-150». О том, почему компания вышла на рынок программно-аппаратных комплексов, о планах, проблемах и перспективах в области создания устройств на российской элементной базе рассказывает Сергей Панов, заместитель генерального директора по производственной деятельности АО «ЭЛВИС-ПЛЮС».
— Российские компании, как правило, предпочитают создавать программные решения. Что подтолкнуло ЭЛВИС-ПЛЮС к созданию аппаратных решений?
Это естественный процесс развития. Начинали мы, разумеется, с чисто программных решений. В 1998 году мы первыми в России разработали собственный продукт под брендом «Застава», реализующий функции VPN и межсетевого экрана на базе защищенного интернет-протокола для обмена информацией SKIP. В 2001-2002 годах получили сертификаты на VPN/МЭ «Застава» в системах сертификации ФСБ и Гостехкомиссии России (в настоящее время ФСТЭК России). По мере роста рынка продуктов и услуг информационной безопасности, изменения требований регуляторов стало понятно, что необходимо менять концепцию нашего продуктового ряда — в частности, добавить в линейку «Застава» программно-аппаратные комплексы высокой защищенности.
Сергей Панов, заместитель генерального директора по производственной деятельности АО «ЭЛВИС-ПЛЮС» |
Применение ПАК позволяет снизить стоимость СЗИ, повысить надежность и значительно уменьшить эксплуатационные расходы, поскольку отпадает необходимость приобретать ряд дополнительных компонентов и средств защиты, заниматься интеграцией наших продуктов и других аппаратных платформ, а также индивидуальной сложной настройкой каждого комплекса.
В прошлом году мы выпустили аппаратно-программный комплекс «Застава-ТК», тонкий аппаратный клиент для работы в информационных системах с высоким уровнем защищенности (КС3, ИСПДн, ГИС К1). Впоследствии АПК «Застава-ТК» был успешно использован при создании Единого государственного реестра записей актов гражданского состояния — ЕГР ЗАГС. Идеи по созданию такого АПК у нас были давно, но участие в этом проекте позволило отточить на практике наши представления об архитектуре и необходимом функционале подобного изделия.
«Застава-ТК» — это тонкий аппаратный клиент, который имеет сертификат СКЗИ по уровню КС3. Его программная часть базируется на АltLinux и имеет сертификат ФСТЭК России. Также устройство содержит наш VPN-агент «Застава-Клиент». Для аутентификации, для работы с ключами и сертификатами при реализации электронно-цифровой подписи мы используем электронные идентификаторы, выполненные в виде смарт-карты зеленоградской компании ISBC.
Получилось очень простое в настройке и эксплуатации устройство, при этом имеющее достаточно серьезный функционал в области защиты информации. Поскольку это терминальный клиент, то весь «интеллект» системы находится в центральной части системы (в «облаке»).
Устройство проверено регуляторами на отсутствие недекларированных возможностей, обеспечивает замкнутую программную среду и поэтому не требует наложенных средств защиты от несанкционированного доступа, вследствие чего уменьшается себестоимость изделия и повышается его надежность. Оно не привязано к конкретному пользователю, к конкретной системе. Вся информация, которая имеет отношение или позволяет как-то идентифицировать или привязаться к системе, к пользователю, находится на смарт-карте. Такая карта выдается сотруднику, и при необходимости он может использовать любое аналогичное устройство для доступа к ГИС.
В случае выхода из строя устройство просто заменяется на аналогичное. Еще одно преимущество: это коробочный продукт высокой готовности, он может быть установлен и подключен пользователем без участия специалиста. Когда мы реализовывали проект ЕГР ЗАГС, сроки были очень сжатые: было необходимо за два месяца поставить15 тысяч устройств в почти 600 точек по всей стране. Понятно, что в таких условиях не было возможности направить достаточное количество специалистов на места, чтобы эти устройства подключить и настроить. У заказчика такие специалисты тоже отсутствовали. Поэтому в ходе создания АПК «Застава-ТК» мы добились того, что с подключением устройств может справиться любой сотрудник удаленного офиса организации, в данном случае ЗАГСа.
— АПК «Застава-150» — это следующее поколение?
Нет, просто устройство другого класса — это VPN/МЭ-шлюз. В его основу положены те же самые принципы и подходы: максимальное упрощение устройства при условии высоких функциональных и эксплуатационных характеристик. В качестве аппаратной платформы, так же как и для АПК «Застава-ТК», была выбрана платформа производства российской компании «ТОНК». Комплекс «Застава-150» — это небольшая коробочка размером 15х15 сантиметров, имеет 6 гигабитных портов, в режиме смешанного трафика шифрует до 200 Мбит/с, в режиме больших пакетов — до 500 Мбит/с. В устройстве отсутствуют движущиеся части (вентилятор, жесткий диск), что повышает надежность; оно имеет небольшие потребляемую и выделяемую мощности, поэтому использовать его можно в шкафах без вентиляции.
Комплекс «Застава-150» имеет шесть гигабитных портов, в режиме смешанного трафика шифрует до 200 Мбит/с, в режиме больших пакетов — до 500 Мбит/с |
АПК «Застава-150» получил сертификат ФСБ России по уровню КС3; проверен на недекларируемые возможности; имеет датчик контроля вскрытия, что, несмотря на достаточно высокий уровень защищенности, позволяет его использовать вне защищенных помещений, вне закрытых шкафов, даже на рабочем месте. Устройство может поставляться в кластерном исполнении. Время жизни ключей сертификатов — три года, имеется возможность удаленного их обновления, что важно, если речь идет о местах, куда не всегда могут добраться специалисты, не всегда можно отправить курьера с фельдъегерской почтой и т.д.
Сейчас мы сертифицируем эти устройства по линии ФСТЭК России: тип А, 4-й класс, как программно-аппаратный межсетевой экран. Сертификация должна завершиться в конце ноября.
— Каковы дальнейшие планы по развитию линейки?
В текущем году у нас появится более мощный VPN/МЭ-шлюз «Застава-1500». В «Заставе-150» использовался четырехъядерный процессор Celeron, а вот новое устройство будет реализовано на базе восьмиядерного процессора Intel i5, будет иметь на борту два 10-гигабитных оптических порта и шесть обычных медных и позволит шифровать трафик на скорости до 2,5 Гбит/с.
Для тех заказчиков, которым потребуются еще более мощные решения, у нас есть программный продукт, тоже сертифицированный по классу КС3, его можно устанавливать и использовать на более мощных платформах.
— Вы говорили, что комплекс отечественный, но процессор все-таки от Intel. А на «Эльбрусах» и «Байкалах» можно сделать аналогичные решения?
Сделать можно, но есть нюансы. Первый — это цена. В конкурсах (особенно государственных аукционах) конкурентная цена имеет большое значение. Решения на упомянутых процессорах будут намного дороже.
Второй — это возможности по производству больших партий оборудования и гарантийному обслуживанию крупных систем. Если, скажем, из 15 тысяч устройств большая часть внезапно выйдет из строя, то в случае использования решений Intel мы за пару-тройку недель сможем поменять их на новые. А вот отказавшись от Intel, мы не смогли бы выполнить госконтракт по поставке защищенных АРМ. Просто-напросто сорвали бы сроки поставки и поддержки.
К сожалению, отечественные производители пока не имеют производственных мощностей, необходимых для реализации подобных проектов.
Третий нюанс — это проблемы наличия для компьютеров на отечественной элементной базе экосистемы из развитого программного обеспечения, а также компаний и специалистов по настройке, эксплуатации, обслуживанию и сопровождению оборудования и ПО.
— В будущем такое положение дел не изменится?
Конечно, будет меняться. И меняется уже сейчас. Например, НПЦ «ЭЛВИС» разрабатывает процессор на базе четырехъядерного чипа Cortex весьма распространенной архитектуры ARM. У центра есть планы развивать процессор дальше и сделать его конкурентным по цене и производительности зарубежным аналогам. Сотрудничаем с НПЦ в перспективных проектах по разработке отечественных защищенных компьютеров.
— Будет ли на такие устройства спрос?
Безусловно. В государственных информационных системах с высокими требованиями к защищенности понадобится по истечении срока эксплуатации менять используемое оборудование. Уверен, что все ГИС рано или поздно заставят перейти на отечественные устройства и решения, не говоря уже про системы, связанные с обеспечением обороноспособности государства. Очевидно также, что в ближайшем будущем такой спрос будет и со стороны защищенных систем критической информационной инфраструктуры.
Проблем тут две. С одной стороны, катастрофически мало отечественных разработок, по классу сравнимых с западными аналогами. Но даже если они есть, крупные отечественные компании не хотят рисковать. Если что-то пойдет не так, с них спросят за безопасность страны в соответствующей отрасли и при этом не будут разбираться, чьим ПО они пользовались. И тут не до экспериментов.
Видно, что и законодатели, и правительство решительно настроены этот вопрос решать. Возможно, как-то компенсировать компаниям риски использования отечественного оборудования и программного обеспечения, финансово или иными способами облегчать их внедрение.
Государство будет оставаться главным драйвером движения российского ИБ- и ИТ-рынка в сторону использования отечественной элементной базы и компьютеров, поскольку санкции — это, скорее всего, надолго.