Импортозамещение в инфраструктуре органов государственной власти: применение продуктов и решений АО «НППКТ»
Три года назад на базе продуктов АО «НППКТ» и ОС «ОСнова» был реализован защищенный сегмент единой информационно-коммуникационной инфраструктуры Свердловской области. В данной статье подробно рассмотрены все основные нюансы проекта.
Предыстория вопроса
Вопрос импортозамещения программных решений на объектах, относящихся к критической инфраструктуре, стоит особенно остро в связи с внешней политической ситуацией. Это связано как с проблемами эксплуатации, например, с отзывом лицензий на зарубежное ПО, отказом вендоров в техподдержке, потерей сертификатов, подтверждающих безопасность, так и с прямыми угрозами, которые могут исходить из скрытого функционала иностранного программного обеспечения.
Несоблюдение требований к защите информации на таких предприятиях влечет за собой события, которые могут обернуться не только серьезными проблемами, сбоями в работе или штрафами регуляторов, но и привести к более тяжелым последствиям.
Найти отечественное решение, полностью реализующее привычный функционал, непросто, а зачастую и вовсе невозможно. Поэтому все чаще используются совместимые комплексы программных продуктов, что влечет за собой еще ряд проблем.
Непрофессионально собранные из продуктов разных вендоров решения существенно затрудняют работу предприятия, вызывают конфликты в функционировании установленного ПО и увеличивают нагрузку на администраторов.
Кроме того, существенно увеличивается расход денежных и административных ресурсов на эксплуатацию. Вместо комплексного решения приходится обслуживать несколько составных частей, соответственно, иметь в штате разноплановых специалистов и разбираться в условиях технической поддержки разных вендоров.
Именно поэтому в своем арсенале важно иметь эффективный, проверенный на практике, надежный программный комплекс.
Выбор вендора, цели и задачи проекта
Компания АО «НППКТ», являясь вендором на отечественном рынке ПО, а также имея многолетний опыт и практику в создании автоматизированных систем, в том числе и в защищенном исполнении, совместно с интегратором Компанией ИРС, осуществила проект внедрения собственных программных решений, который был выполнен на базе флагманского продукта АО «НППКТ» — операционной системы «ОСнова», призванной показать, что импортозамещение — это неотъемлемая часть цифровой трансформации, которая положительно влияет на эффективность работы предприятий.
Заказчиком выступило ГБУ СО «Оператор электронного правительства». Основными задачами учреждения являются такие технологически непростые виды деятельности, как:
- организация создания и обеспечение функционирования единой телекоммуникационной инфраструктуры органов исполнительной власти Свердловской области, ЦОДа и формирования ключевых информационных ресурсов,
- создание среды электронного межведомственного взаимодействия и документооборота,
- создание регионального центра телефонного обслуживания граждан,
- создание региональной сети центров общественного доступа к информации о деятельности органов исполнительной власти,
- создание портала государственных услуг и многое другое.
На первом этапе были сформулированы основные задачи и требования к функционалу системы:
- переход с импортного на отечественное ПО,
- повышение эффективности использования аппаратных ресурсов,
- реализация новых сервисов,
- формирование нового облика решения.
Чтобы обеспечить выполнение всех поставленных задач и доставить наименьший дискомфорт заказчику, был разработан подробный план развертывания решения. Специалисты Компании ИРС в тесном контакте с АО «НППКТ» приступили к работе.
Ключевые вехи проекта
В ходе работ на серверную компоненту была установлена сертифицированная ФСТЭК версия ОС «ОСнова», развернута система виртуализации с использованием входящих в состав ОС средств:
- libvirt — свободная реализация API, демо и набор инструментов для управления виртуализацией,
- qemu — средство виртуализации,
- virt-manager — графическая консоль для управления виртуальными машинами,
- virt-viewer — графическая консоль виртуальных машин, удаленный доступ к рабочему столу.
Одновременно с этим:
- установлено средство управления средой виртуализации OpenNebula — графического интерфейса системы виртуализации с поддержкой русского языка, адаптированное для функционирования в среде ОС «ОСнова».
- развернут отказоустойчивый высокодоступный кластер с помощью распределенного консенсусного протокола Raft на базе трех узлов виртуализации.
- организована распределенная сетевая файловая система CEPH с настройкой SSD cache (три независимых хранилища CEPH).
Обязательным шагом являлась настройка резервного копирования на базе BareOS и с использованием внутренних механизмов Open Nebula для создания резервных копий данных системы и их восстановления.
По требованию заказчика была настроена программная сетевая виртуализация VxLAN. Далее в среде виртуализации на базе «ОСновы» были развернуты сервисы DHCP, DNS, NTP, TFTP, PXE.
Штатными средствами ОС «ОСнова» настроена система логирования, выполняющая требования приказа ФСТЭК России от 25.12.2017 N 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». Учреждение имеет отношение к критической инфраструктуре и на него распространяются требования регуляторов.
Также на базе операционной системы «ОСнова» был развернут и настроен контроллер домена с поддержкой синхронизации с Active Directory. Доменное решение, входящее в состав ОС, носит название NDDS (osNova Domain Direct Services), имеет удобные графические инструменты администрирования и позволяет наладить доверительные отношения с Active Directory, присоединиться к нему и поддерживает Windows клиенты.
Для выполнения одной из поставленных задач с использованием средств из состава ОС был создан сервис для автоматизированного развертывания образов толстых клиентов:
- для управления ПО данных образов, обеспечивающий развертывание образов толстых клиентов,
- установку требуемого ПО,
- настройку параметров сети, прав пользователей,
- настройку параметров ОС и ПО,
- настройку параметров безопасности и поддержку неизменности настроек ОС и ПО,
- а также создание шаблонов настроек для групп АРМ.
Далее было развернуто 300 виртуальных машин с возможностью подключения по технологии VDI, созданы образы на базе ОС «ОСнова» для тонких клиентов для подключения к виртуальным машинам.
Поскольку ОС производится согласно концепции единого дистрибутива, она может быть установлена на сервер, на АРМ пользователя, а также использоваться в качестве тонкого или толстого клиента.
Ряд работ касался средств криптографической защиты информации (СКЗИ):
- Был поднят и настроен защищенный канал связи (подключение к защищенной сети) с помощью СКЗИ, соответствующего требованиям ФСБ России.
- Произведена установка и настройка СКЗИ для работы с Электронной Подписью в ОС.
Для облегчения перехода пользователей на новую операционную систему и в соответствии с пожеланием заказчика была сделана настройка графической среды ОС «ОСнова» в стиле Windows.
Также для обеспечения работы сегмента единой информационно-коммуникационной инфраструктуры Свердловской области была установлена и настроена СУБД в конфигурации отказоустойчивого кластера, включая настройку: идентификации и аутентификации пользователей.
Итоги проекта
Созданный в результате проекта сегмент бесперебойно работает 3 года. На его реализацию потребовалось 3 месяца.
За время проведения работ основная деятельность ГБУ СО «Оператор электронного правительства» не прерывалась.
■ Рекламаerid:Pb3XmBtztCSo3ugKydmPuTAkK6RuTxkBuukbPtkРекламодатель: АО "НППКТ"ИНН/ОГРН: 9715304412/1177746658550Сайт: https://nppct.ru