Российский рынок ПАК: что предлагают отечественные разработчики
Статья входит в обзор TAdviser "Российские программно-аппаратные комплексы: новый виток развития"
Если судить по каталогам продукции российских ИТ-вендоров, то сегодня на российском рынке представлено множество ПАКов различной направленности.
Правда, о высокой конкуренции в данном сегменте рынка говорить пока не приходится.
Мы не наблюдаем большого количества законченных продуктов на рынке. Пока этим занимаются немногие компании, поэтому нет высокой конкуренции в сегменте программно-аппаратных комплексов,- говорит Денис Боженко из Delta Computers. |
Более того, в данный момент заметен дефицит, а не конкуренция в сегменте ПАКов, замечает Александр Сысоев, специалист компании КРОК.
Данные решения не пользовались широким спросом до нынешнего года, так как не были включены в реестр. Не у всех заказчиков были отлажены процедуры приобретения ПАК и т.д.,- поясняет он.- Поэтому, на мой взгляд, ПАКи будут конкурировать, прежде всего, не между собой, а с решениями-субститутами, то есть интегрированными комплексами, состоящими из программных и аппаратных средств, которые закупаются у разных производителей и далее внедряются (с отладкой и оптимизацией) на площадке заказчика. |
Но эксперты прогнозируют рост этого сегмента в ближайшем будущем.
Уход иностранных производителей налицо, так что логично ожидать роста по всем востребованным сегментам ПАК: от унифицированных АРМ и гиперконвергентных систем виртуализации, и решений IoT в области ЖКХ,- ожидает Василий Шубин из компании GETMOBIT. |
Посмотрим далее (на претендуя на абсолютно полную картину), как выглядит сегодня предложение российских ПАКов в основных областях ИТ-решений.
ИБ-шлюзы, межсетевые экраны, модули безопасности для прикладных решений
По оценкам Олега Кравчука, заместителя директора компании «Код Безопасности» по стратегическому развитию, одной из самых острых задач, стоящих перед российской отраслью ИТ, является импортозамещение зарубежных ПАКов в сфере ИБ. Это объясняется, в частности, тем, что, несмотря на большое количество средств информационной безопасности, в том числе ПАКов, которые традиционно выпускали на рынок отечественные вендоры, они были представлены в младшем и среднем сегменте.
Высокопроизводительное оборудование Enterprise-уровня всегда было импортным. И сегодня, когда западные вендоры ушли с нашего рынка, перед российскими производителями стоит задача импортозаместить высокопроизводительное оборудование,- подчеркивает эксперт. |
Не случайно, в центре компетенций по импортозамещению (ЦКР) «Средства защиты информации», где Олег Кравчук является председателем, из десятка запущенных проектов четыре относятся к области высокопроизводительных межсетевых экранов.CommuniGate Pro: итоги первого года работы законного правообладателя
Импортозамещение с помощью ПАК – это очень непростая задача.
Необходимо переработать и ПО, и железо. А когда мы говорим об Enterprise-сегменте, то и железо должно быть соответствующего уровня,- подчеркивает эксперт. |
Нынешние проблемы с дефицитом российского «железа» вкупе с усилиями по развитию российской микроэлектроники открывают два возможных пути эволюции сферы высокопроизводительных ПАК ИБ, полагает Олег Кравчук: акцент на импортной электронной базе с последующей миграцией на российскую или достаточно быстрый переход на российскую ЭКБ.
Все видят цель – ПАК на российском железе. Это задача первостепенная, но очень тяжелая,- резюмирует специалист. |
Вот, считает Олег Кравчук, не стоит говорить о прямой конкуренции российских производителей:
Здесь каждый проект важен, потому их продукты относятся к разным нишам, и каждый по-своему важен, потому что каждый что-то импортозамещает. В этой гонке не будет единственного победителя. Победят несколько компаний или все российские производители. |
Отметим характерные российские разработки в данной сфере.
Многофункциональный межсетевой экран (NGFW/UTM) с поддержкой алгоритмов ГОСТ «Континент 4» («Код безопасности»)
Среди разработчиков средств защиты у компании «Код безопасности» больше всего платформ зарегистрировано в реестре радиоэлектронной промышленности Минпромторга РФ. Но «Континент-4» занимает в портфеле продукции особое место: он является очередным шагом в эволюции линейки комплексов сетевой защиты АПКШ «Континент», но при этом позиционируется как устройство иного класса – универсальные шлюзы безопасности (UTM, Unified Threat Management), консолидирующим на одной аппаратной платформе межсетевой экран, систему обнаружения вторжений и ряд других механизмов безопасности, обеспечивающих разностороннюю защиту сети корпоративного уровня.
Континент 4 реализует концепцию нулевого доверия для защиты периметра, обеспечивает сегментацию внутренней сети и создание VPN с использованием алгоритмов ГОСТ, поддерживает до 1000 управляемых устройств.
Производительность межсетевого экрана составляет:
- в режиме МСЭ до 80 Гбит/с;
- в режиме VPN - до 8 Гбит/с;
- в режиме UTM - до 7 Гбит/с.
Сертификат ФСТЭК России
АПК «ЗАСТАВА-1500» и «ЗАСТАВА-6000» («ЭЛВИС-ПЛЮС»)
Аппаратно-программные комплексы предназначены для защиты высоконагруженных каналов со скоростью шифрования до 2000 Мбит/с и 6000 Мбит/с соответственно, организации удаленного доступа для большого количества сотрудников и защиты каналов между ЦОД на сетевом уровне с использованием криптоалгоритмов ГОСТ и технологий VPN на основе интернет-протоколов семейства IPSec.
АПК «ЗАСТАВА-1500» исполнение КС3
АПК «ЗАСТАВА-6000» исполнение КС3 поддерживает неограниченное количество защищаемых узлов, подключаемых криптошлюзов и клиентов, обеспечивает полноценную поддержку VLAN (802.1q), шифрование на уровне L2 и L3, а также динамических протоколов маршрутизации (основанных на политиках). Реализовано агрегирование интерфейсов (Teaming, Bonding, EtherChannel и т.д.) и двухфакторная аутентификация.
ПАК межсетевого экрана (InfoWatch)
ПАК межсетевого экрана создан на базе серверов компании «Тринити».
Серверы семейства «Тринити ER», включенные в реестр российской продукции Минпромторга, представляет собой классические двухпроцессорные серверы на процессорах Intel Xeon Scalable с объемом ОЗУ до 2 Тб, способные поддерживать отечественные ОС и системы виртуализации. Они могут использоваться как высокопроизводительные All-Flash системы и хранилища большого объема (с магнитными дисками до 16 Тб). Возможна также установка GPU ускорителей для обеспечения еще более высокой производительности, например, для задач поддержки нейросетей.
В составе ПАК межсетевого экрана на серверы «Тринити» устанавливается ПО промышленного межсетевого экрана нового поколения InfoWatch ARMA Industrial Firewall, способного решать различные задачи по защите от сетевых угроз, а также ПО единого центра управления системой защиты InfoWatch ARMA Management Console. Эта программная система используется в качестве единого центра управления системой защиты и позволяет организовать реагирование на инциденты информационной безопасности: информирует сотрудников о происходящих событиях и инцидентах и служит единым интерфейсом при проведении расследований».
В компании InfoWatch ARMA говорят, что данный ПАК подходит для решения любых задач, в которых требуется защищенная инфраструктура, в том числе, для контроля современных систем Индустрии 4.0 с максимальной автоматизацией процессов.
Семейство программно-аппаратных средств защиты информации от несанкционированного доступа «Аккорд» (ОКБ САПР)
ПАКи средств защиты информации (СЗИ) НСД «Аккорд-X», «Аккорд-X К», «Аккорд-XL» составляют линейку программно-аппаратных устройств, предназначенных для разграничения доступа к рабочим станциям, функционирующим под управлением ОС семейства Linux.
ПАК СЗИ НСД «Аккорд-X, зарегистрованный в реестре отечественного ПО, обеспечивает:
- идентификацию/аутентификация пользователей до загрузки операционной системы с возможностью последующей передачи результатов успешной идентификации/аутентификации в ОС;
- доверенную загрузку ОС;
- аппаратный контроль целостности системных файлов, статический и динамический контроль целостности данных, защиту их от несанкционированных модификаций;
- разграничение доступа пользователей, процессов, к массивам данных (объектам) с помощью дискреционного контроля доступа, мандатного контроля доступа, контроль доступа к периферийным устройствам, а также разграничение доступа пользователей, к определенным процессам;
- контроль печати на локальных и сетевых принтерах, протоколирование вывода данных на печать, маркировка распечатанных данных (в качестве маркера может выступать гриф секретности документа, имя пользователя, имя принтера, имя документа и другая служебная информация).
- создание индивидуальной для каждого пользователя изолированной рабочей программной среды.
Cчитыватель биометрических данных «Аккорд-Win32» (ОКБ САПР)
ПАК «Аккорд-Win32» - интегрированное решение, которое использует технологии аутентификации пользователя по сосудистому руслу ладони (сканеры сосудистого русла PalmSecure) и отпечатку пальца (сканеры отпечатков пальцев компании BioLink). Опционально можно настроить необходимость дополнительного ввода пароля с клавиатуры. Верификация пользователя производится путем сравнения предъявленной руки с эталоном, хранящимся в идентификаторе пользователя в защищенном виде: ТМ 1996, ПО «Автоматизированное рабочее место генерации ключей ШИПКА», смарт-карта.
Считыватель, совмещающий манипулятор «мышь» и сканер сосудистого русла PalmSecure, дополнен подставкой для удобства размещения руки над сканером. После прохождения верификации мышь вынимается из подставки и используется по назначению.
В другом варианте исполнения сканер отпечатка пальца совмещен со считывателем контактной смарт-карты (BioLink).
Аппаратно-программный комплекс для защиты баз данных и выявления подозрительных действий пользователей «ГАРДА БД» («Гарда технологии»)
Система класса DAM/DBF (Database Activity Monitoring/Database Firewall) – это система аудита и блокировки сетевого доступа к базам данных, предназначенная для обеспечения безопасности СУБД и независимого аудита операций с базами данных и бизнес-приложениями. Комплекс ведет непрерывный мониторинг обращений к базам данных и выявляет подозрительные операции в режиме реального времени.
Комплекс обеспечивает:
- Аудит всех операций с БД в режиме реального времени, обнаружение всех БД в компании, их классификация и сканирование на уязвимости.
- Долгосрочное хранение всех запросов и ответов для ретроспективного анализа (в том числе, по сохраненным данным объемом свыше 100 Тб), аналитическая отчетность и поведенческий анализ (UBA). Анализа трафика на скорости более 10 Гбит/с.
- Ввыявление нарушений политик безопасности, интеграция со всеми популярными SIEM-системами.
- Контроль действий привилегированных пользователей Гарда БД, контроль удаленного доступа сотрудников, защита от утечек информации, хранящейся в БД.
- Выявление и предотвращение попыток внешнего вторжения в СУБД, блокирование нежелательных запросов к базе данных и веб-приложениям.
Аппаратно-программный комплекс для защиты больших данных «ГАРДА БД» («Гарда технологии»)
Комплекс «ГАРДА БД» обеспечивает защиту больших данных различных типов, как реляционных (хранятся в таблицах),так и не реляционных (хранятся в специальных кластерных хранилищах с возможностью распределенной обработки). При этом используются унифицированные подходы к защите реляционных и NoSQL баз данных. Поддерживается более 30 российских и зарубежных СУБД, в том числе, на технологиях Big Data, обеспечивается контроль доступа к любым системам Big Data через Rest API.
Поддерживается распределенная кластерная инсталляция и централизованное управление из единого интерфейса, а также множество способов подачи трафика (агенты, подача данных с TAP-устройств/SPAN, GRE, ERSPAN). При этом достигается сысокая производительность работы – 10 Гбит/с и выше) при неограниченной возможности кластеризации.
Комплекс может выполнять функции сетевого экрана с функцией блокировки и динамической балансировки трафика, возможностью дешифрации HTTPS-трафика, как в пассивном режиме, так и при установке комплекса «в разрыв». Умная система самообучения анализирует деятельность операторов БД для предотвращение ложных срабатываний.
Обеспечивается динамическое профилирование (UEBA), защита от действий администраторов, синхронизация с LDAP, что дает возможность обогащения перехваченной информации. Есть предустановленные политики блокировки и интеграция с SIEM-системой. В числе других актуальных функций - сканирование баз данных на наличие конфиденциальной информации, номеров кредитных карт, ИНН и пр., а также проверка БД на обезличенность. Комплекс сертифицирован ФСТЭК.
DLP-система «Гарда Предприятие» («Гарда технологии»)
«Гарда Предприятие» ― это аппаратно-программный комплекс, предназначенный для контроля различных каналов коммуникации внутри компании и анализа собираемой информации, а также для предотвращения утечек и для защиты конфиденциальных данных. Разработчики говорят, что «Гарда Предприятие» ― первая DLP-система, основанная на принципе анализа больших данных, включая развитый функционал лингвистического анализа текстов на русском и английском языках.
Комплекс обеспечивает контроль HTTPS-трафика, облачных хранилищ, периферийного оборудования (в том числе, мобильных устройств – смартфонов, видеоркаемр и т.д.) и приложений на рабочих местах с помощью программных агентов. Причем, агенты рабочих мест могут блокировать передачу файлов на основе результатов контентного анализа, например, при обнаружении заданных ключевых фраз или их наборов, определенных персональных данных или при фиксации сходства с другими важными документами. Информация, передаваемая по сети компании и полученная с маршрутизатора, прокси-сервера, сервера корпоративной почты, будет отслеживаться даже в том случае, если агенты рабочих машин не установлены на рабочие места.
Агенты рабочих мест адаптированы ко всем популярным операционным системам: рсосийским, зарубежным, вариантам Linux.
В комплексе реализован блок DataWarehouse собственной разработки «Гарда Технологии», что обеспечивает быстрый поиск и анализ больших объемов данных — сотни терабайт за секунды.
Решение «Гарда Предприятие» создано на базе микросервисной архитектуры, что дает высокую эффективность горизонтального масштабирования системы вплоть до географически распределенного кластера с единым центром управления. Модули балансировки подключений агентов рабочих мест автоматически рассчитывают, сколько микросервисов нужно для выполнения задач DLP-системы в части обработки и анализа передаваемых в компании данных.
Аппаратно-программный комплекс для выявления и расследования сетевых инцидентов «Гарда Монитор» («Гарда Технологии»)
По своим функциональным возможностям АПК «Гарда Монитор» совмещает в себе два класс ИБ-решений: NTA (Network Traffic Analysis) и Network Forensics (компьютерная криминалистика). В качестве NTA комплекс обеспечивает полную запись потоков данных для эффективного анализа событий сетевой безопасности, выявляет в сетевом трафике признаки вредоносных программ, осуществляет мониторинг и сбор информации о сетевой активности. Для этих целей использует сочетание сигнатурного подхода, машинного обучения и расширенной аналитики для обнаружения подозрительной активности в корпоративной сети. Применяются технологии DPI (Deep Packet Inspection, глубокое исследование пакетов) и IDS (Intrusion Detection System, система обнаружения вторжений).
Функционал Network Forensics подразумевает комплекс мер для выявления и расследования внутрикорпоративных киберпреступлений и случаев мошенничества, а также для поиска уязвимостей в сетевой инфраструктуре компании. Кроме того система строит профили поведения устройств и находит отклонения от нормального поведения, то есть содержит функциональность поведенческой аналитики (EBA, Entity Behavior Analytics). Обнаруживает попытки осуществления сетевой разведки.
Для записи и анализа сетевого трафика АПК «Гарда Монитор» подключается к сети пассивным образом и позволяет вести мониторинг сетевых взаимодействий в режиме, приближённом к реальному времени. Реализовано долгосрочное хранение сетевого трафика и его категоризация.
Комплекс поддерживает различные варианты комплектаций, позволяющие контролировать как отдельный сегмент, так и всю сеть: все модули системы могут находиться на одном сервере или располагатьяся на разных серверах, связанных между собой сетью передачи данных. В территориально-распределенном режиме поддерживается единый центр администрирования и мониторинга. Возможна установка АПК «Гарда Монитор» в виртуальной среде.
Межсетевые экраны семейства ESR FSTEC («Элтекс»)
Линейка межсетевых экранов ESR-20 FSTEC объединяет группу устройств, отличающихся конкретным набором портов высокоскоростных каналов Ethernet и поддержкой различных модификаций порта USB.
Устройство ESR-20 FSTEC предназначено для аутентификации пользователей, контроля и фильтрации трафика, сбора и хранения статистики событий с целью построения защищенного периметра сети (NAT, Firewall) и противодействия различным угрозам:
- несанкционированный доступ к цифровой информации организации;
- воздействие на межсетевой экран с целью нарушения его функционирования;
- отказ в обслуживании информационной системы по причине неконтролируемых сетевых подключений (в том числе DDoS-атак), уязвимостей, недостатков настроек;
- несанкционированная передача информации из внутренней системы организации во внешнюю среду, в том числе вследствие работы вредоносного программного обеспечения;
- воздействие на межсетевой экран с целью нарушения его функционирования.
Реализовано аппаратное ускорение обработки данных, взаимодействие с другими средствами защиты информации разных производителей.
Поддерживается фильтрация сетевых данных по различным критериям, включая фильтрацию по приложениям, организация защищенных сетевых туннелей между филиалами компаний, удаленное подключение сотрудников к офису, управление и распределение ширины интернет-канала в офисе посредством QoS.
Все МСЭ имеют сертификат ФСТЭК.
Программно-аппаратный комплекс «КРИПТОН-ТК» («АНКАД»)
ПАК «КРИПТОН-ТК», предназначенный для обработки сведений, содержащих государственную тайну вплоть до грифа «Совершенно секретно», позволяет создать инфраструктуру «тонкий клиент» с интегрированными механизмами защиты информации. В состав комплекса входят аппаратно-программные модули доверенной загрузки (АПМДЗ) семейства «КРИПТОН», сетевые адаптеры AncNet или «КРИПТОН AncNet», а также собственная сертифицированная клиентская терминальная операционная система «АнкадОС-ТК» со встроенными средствами безопасности и управления.
Решение обеспечивает:
- единую двухфакторную аутентификация (по идентификатору Touch Memory (ТМ), смарт-карте и паролю пользователя);
- доверенную загрузку. Использование модуля АПМДЗ позволяет проводить аутентификацию пользователей до загрузки ОС, проверку целостности файлов на серверах, установить запрет загрузки с любых носителей, кроме разрешенных;
- удаленную загрузку ОС на терминалы: позволяет избежать преднамеренной модификации ОС терминала с целью несанкционированного ввода/вывода информации;
- аппаратное шифрование сетевого трафика;
- централизованное администрирование.
Программно-аппаратный комплекс ViPNet Coordinator HW 4 («ИнфоТеКС»)
Программно-аппаратные комплексы (ПАК) ViPNet Coordinator HW 4 — это модельный ряд шлюзов безопасности, предназначенных для построения виртуальной сети ViPNet и обеспечения безопасной передачи данных между ее защищенными сегментами, а также фильтрации IP-трафика. ViPNet Coordinator HW 4 имеет сертификат ФСБ России.
Благодаря функциям криптографической защиты данных, межсетевого экранирования, а также наличию встроенных сетевых сервисов ПАК ViPNet Coordinator HW 4 позиционируется как оптимальное средство защиты компьютерных сетей организаций от несанкционированного доступа к ее ресурсам при передаче информации по открытым каналам связи. В зависимости от модификации ПАК ViPNet Coordinator HW 4 позволяет организовать защищенный доступ, как в ЦОДы, так и в корпоративную облачную инфраструктуру. Он может использоваться для защиты филиалов компаний, небольших удаленных офисов, удаленных рабочих мест, а также терминалов и устройств, в том числе обеспечивая безопасное подключение к корпоративной защищенной сети по беспроводным каналам связи.
Особенности решения:
- Организация VPN на сетевом (L3) и канальном уровне (L2) в одном устройстве.
- Кластер горячего резервирования. Отказоустойчивый кластер (High-Availability cluster) с синхронизацией таблицы открытых соединений. Виртуальные MAC-адреса для сетевых интерфейсов кластера. Мониторинг пассивного узла кластера по SNMP.
- Работа в необслуживаемом режиме.
- Централизованное и удаленное управление (SSH, WebUI).
- Поддержка аутентификации в протоколе OSPFv2.
- Экспорт журнала регистрации IP-пакетов по сети в формате CEF.
- Поддержка работы в современных мультисервисных сетях связи без ограничений по совместимости со службами DHCP, WINS, DNS, с динамическим преобразованием адресов (NAT, PAT), с использованием мультимедийных протоколов (SIP, H323, SCCP и другие).
Межсетевой экран iPNet Coordinator IG 4 («ИнфоТеКС»)
Промышленный шлюз безопасности ViPNet Coordinator IG 4 предназначен для организации защищенных каналов связи по технологии ViPNet VPN и предотвращения несанкционированного доступа к объектам автоматизированных систем управления и автоматизированных систем управления производственным и технологическим процессами. ViPNet Coordinator IG 4 может использоваться для защиты информации от несанкционированного доступа в информационных и телекоммуникационных системах органов государственной власти РФ.
Благодаря поддержке каналов Ethernet, GSM/UMTS/LTE, Wi-Fi, RS-232/RS485 ViPNet Coordinator IG позволяет реализовать большое количество сценариев безопасности. В частности, устройство рассматривается как это отечественный индустриальный шлюз безопасности для защиты промышленных сетей. В этом качестве он позиционируется как инструмент для предотвращения несанкционированного доступа к объектам АСУ и АСУ ТП.
Особенности решения:
- Защита проводных и беспроводных каналов связи.
- Резервирование каналов передачи информации. Работа в режиме «горячего» резервирования.
- Раздельная настройка межсетевого экрана для разных режимов работы ИС и АСУ – штатном режиме, специальном и регламентном обслуживании.
- Глубокая фильтрация промышленных протоколов.
- Предотвращение доступа к устройствам, подключенным по RS-232 и RS-485.
- Индустриальный дизайн и возможность эксплуатации в жестких климатических условиях.
- Возможность дистанционного конфигурирования и управления политиками безопасности.
На базе устройства ViPNet Coordinator IG можно обеспечивать сквозную безопасность предприятия от уровня ERP до нижнего уровня АСУ ТП на основе единой технологии ViPNet VPN с помощью линейки продуктов ViPNet Network Security. имеется сертификат ФСТЭК России.
Квантово-криптографическая система ViPNet QSS («ИнфоТеКС»)
ViPNet QSS – квантовая криптографическая система выработки и распределения ключей (Quantum Security System). Это первая в России система квантового распределения ключей, сертифицированная ФСБ России (на основе временных требований к квантовым криптографическим системам выработки и распределения ключей для средств криптографической защиты информации (СКЗИ), и полностью готовая к эксплуатации на российских предприятиях.
Типовая схема квантового протокола распределения ключей
ViPNet QSS предназначена для выработки и распределения квантовозащищенных ключей между абонентами, а также для защиты пользовательского трафика (цифровые аудиозвонки и текстовые сообщения), передаваемого между абонентами. ViPNet QSS позволяет построить сеть квантового распределения ключей топологии «звезда», к которой может быть подключено свыше 150 тыс. СКЗИ – потребителей квантовозащищенных ключей. Она использует аппаратный датчик случайных числе.
На базе данного решения в МГУ имени М.В. Ломоносова в 2021 г. заработала университетская квантовая сеть, которая соединила пять квантовых устройств, распределяющих квантовые ключи на двадцать абонентских терминалов. Данная сеть стала полигоном для предсерийных испытаний первого в России «квантового» телефона ViPNet QSS Phone, входящего в комплекс ViPNet QSS.
Семейство продуктов ViPNet QTS для создания квантовой криптографической сети произвольной топологии («ИнфоТеКС»)
Семейство программно-аппаратных комплексов ViPNet Quantum Trusted System (QTS) предназначены для создания квантовой криптографической сети произвольной топологии и разработаны в соответствии с методическими рекомендациями ТК26. Квантовая криптографическая система выработки и распределения ключей (ККС ВРК) ViPNetViPNet QTS обеспечивает квантовозащищенными ключами средства криптографической защиты информации (СКЗИ) в автоматическом режиме.
В состав системы ViPNet QTS входят:
- ViPNet МУКС – магистральные узлы квантовой сети, обеспечивающие выработку ключей между протяженными (до 100 км) участками квантовой сети и защищающие магистральные высокоскоростные каналы связи между объектами.
- ViPNet РУКС – распределительные узлы квантовой сети, устанавливаемые в точках ветвления сети, а также образующие центр сетевой топологии «звезда» для подключаемых к ним через оптические коммутаторы ViPNet QSS Switch оконечных узлов квантовой сети.
- ViPNet КУКС – клиентские узлы квантовой сети – оконечные узлы квантовой сети, к которым подключаются потребители ключей.
- ViPNet QSS Switch – оптический коммутатор, обеспечивающий переключение оптических каналов связи при работе квантовой криптографической системы. ViPNet QSS Switch не выполняет преобразований сигнала, а лишь оптически коммутирует 12 выходов.
- Система ViPNet QTS надежно и защищенно формирует парные симметричные ключи для заданных пар оконечных узлов – потребителей ключей, что обеспечивает шифрование данных между этими парами узлов в режиме «точка-точка», таким образом, компрометация любого из оконечных узлов квантовой сети не приводит к компрометации всей остальной сети.
Еще одно направление развития ViPNet QSS – поддержка квантовой криптографической сети произвольной топологии. Разработка соответствующих программно-аппаратных комплексов семейства ViPNet Quantum Trusted System (QTS) идет в соответствии с рекомендациями российского комитете по стандартизации ТК26.
Межсетевой экран UserGate NGFW F8000 (UserGate)
В линейке межсетевых экранов компании UserGate выделим верхнюю модель - UserGate NGFW F8000. Это высокопроизводительный ПАК, предназначенный для масштабных и географически распределенных сетей и сложных задач, спрос на которые значительно вырос после того, как наш рынок покинули зарубежные вендоры вместе со своими решениями соответствующего уровня.
Производитель позиционирует этот МСЭ как межсетевой экран следующего поколения, включающий функционал обнаружения вторжений (IDS/IPS).
ПАК ориентирован на применение в крупных корпоративных сетях иЦОДах, для которых критично применение надежных сетевых решений, обеспечивающих высокую доступность, резервирование, масштабируемость и гибкость встраивания в сетевую инфраструктуру. Как рассказывают в компании, он также может использоваться в операторских проектах и в рамках предоставления облачных сервисов. Имеет сертификат ФСТЭК России.
Функционал комплексной защиты инфраструктуры UserGate NGFW F8000 обеспечивает:
- защиту корпоративной сети от вирусов и спама, современных атак и других вторжений, блокирование опасных скриптов и приложений, инструменты Advanced Threat Protection;
- соблюдение корпоративных политик для предприятий любого размера, поддержку концепции BYOD (Bring Your Own Device) и уровня АСУ ТП (SCADA);
- доступ к внутренним ресурсам через SSL VPN Portal, контроль доступа в Интернет, контроль приложений на уровне L7, анализ и фильтрацию трафика по контенту;
- анализ и выгрузку информации об инцидентах безопасности в SIEM-систему;
- автоматизацию реакции на угрозы безопасности информации (SOAR)
Пропускная способность межсетевого экрана UserGate NGFW F8000 (протокол UDP) составляет 60000 Mбит/с. Производительность трафика EMIX (Enterprise Mix, усредненный корпоративный трафик) – 40000 Мбит/с. Поддерживается 48 млн. одновременных TCP-сессий.
В линейке межсетевых экранов следующего поколения компании UserGate есть также программно-аппаратные комплексы меньшей производительности, например, модели UserGate NGFW D200, D500. Устройства UserGate D500/ UserGate D200 имеют следующие технические характеристики:
- Пропускная способность МСЭ (UDP): до 20 Гб/c/ до 18 Гб/c.
- Производительность трафика EMIX: до 22 Гб/c/ до 18 Гб/c.
- Количество одновременных TCP-сессий: до 16 млн./до 8 млн.
Промышленный фаервол для защиты сетей АСУ ТП UserGate X10 (UserGate)
Основное предназначение ПАК UserGate X10 - защита сетей АСУ ТП. Устройство можно использовать для сегментации и разделения промышленных и офисных сетей, а также для межсетевого экранирования промышленных протоколов. С этой целью кластер из двух аппаратных комплексов отделяет корпоративную подсеть от «демилитаризованной зоны», а последнюю — от промышленной сети.
Устройство относится к классу межсетевого экрана нового поколения (Next Generation Firewall, NGFW) и обеспечивает комплексную безопасность корпоративной сети за счет использования возможностей Next Generation Firewall: контентный фильтр, балансировщик нагрузки, потоковый антивирус, контроль приложений, VPN, идентификация пользователей, прокси-сервер и т.д. Собственная операционная система UGOS позволяет контролировать трафик АСУ ТП, а также настраивать правила обнаружения, блокировки и журналирования событий.
Устройство UserGate X10 поддерживает VPN (Virtual Private Network), а его эксплуатация возможна даже в экстремальных условиях: при температуре от −40°C до +70°C и относительной влажности от 5 до 95%.
Скорость обработки трафика достигает 300 Мбит/с в режиме межсетевого экрана и 10–15 Мбит/с в режиме включенных функций безопасности. Имеется сертификат ФСТЭК России.
Аппаратная платформа сетевой безопасности UserGate FG (UserGate)
Производитель образно называет этот ПАК высокопроизводительной программно-аппаратной платформы «160 Гбит фаервола». В ней используется аппаратный ускоритель с FPGA чипом, реализованный в виде ПЛИС (многослойная печатная плата) собственной разработки из в 18 слоев. FPGA-плата — это фактически специальный сопроцессор, который берет на себя часть реализуемых функций с процессора общего назначения (CPU), что дает возможность ускорить фаервол на уровнях L3-L4 до 160 Гбит/с.
Использование аппаратного ускорителя позволяет сделать несколько прошивок: фаервол, NGFW, очень высокопроизводительная система обнаружения вторжений, высоконагруженное VPN-соединение Site-to-Site для соединения различных филиалов.
UserGate FG-серия Межсетевые экраны может использоваться как балансировщик нагрузки, способный распределять трафик между большим количеством аппаратных платформ. Устройство оборудовано 16 портами 10 Гбит/с и двумя портами 100 Гбит.Скорость обработки составляет до 80 тыс. сессий в секунду.
Межсетевой экран DIONIS DPS («Фактор-ТС»)
МСЭ Dionis DPS предназначен для работы с персональными данными в корпоративном секторе и государственных организациях. Он имеет встроенную систему обнаружения и предотвращения вторжений IPS/IDS базе Snort компании Cisco, которая сертифицирована ФСБ. Система может работать в режиме межсетевого экрана и маршрутизатора, криптошлюза, системы обнаружения и предотвращения вторжений IDS/IPS с возможностью централизованного управления.
Особенности межсетевых экранов Dionis DPS:
- Возможность организации криптографически защищенных VPN.
- Поддержка QoS, управление качеством сервисов, ограничение и гарантирование полосы пропускания, PROXY, DHCP, NTP‑сервер.
- Высокая надежность и отказоустойчивость. Поддержка средств мониторинга и диагностики, оповещения администратора сети. Запись дампов трафика, распознанного как атака.
- Возможность создания собственных правил анализа трафика.
- Работают под управлением собственной операционной системы Dionis NX 2.0. Есть возможность управления системой через портал управления безопасностью Dionis-SMP.
В линейке МСЭ DIONIS DPS есть модели DPS 3000 и DIONIS DPS 4000, предназначенные для среднего бизнеса. Они позволяют подключать до 200 и 400 пользователей соответственно. С помощью модульной системы и поддержки интерфейсов SFP+ (10 Гбит/с) эти модели можно интегрировать в существующие высокопроизводительные сети.
На базе моделей Dionis DPS моделей 3000 или 4000, используемых в качестве маршрутизаторов), можно построить небольшое ядро сети предприятия.
Основное предназначение старших моделей - DPS 5000, 6000, 7000 - работа в центрах обработки данных и ключевых высокопроизводительных узлах сети крупных компаний. Максимальное количество пользователей для этих моделей составляет 1000, 1500 и 2000 человек соответственно.
Во всех моделях: от младших до старших – поддерживается основной функционал устройства: функции маршрутизатора, детектора атак, криптошлюза.
Межсетевые экраны Diamond VPN/FW («ТСС»)
Diamond VPN/FW представляет собой многофункциональный комплекс сетевой защиты (МКСЗ) с функциями VPN и фаервола. Он позволяет решать задачи шифрования высокоскоростных каналов связи, межсетевого экранирования, а также обнаружения и предотвращения вторжений. Имеют сертификаты ФСТЭК и ФСБ.
Основные функции устройства:
- Криптографическая защита каналов передачи данных (L2overVPN/L3overVPN) с применением отечественных криптографических алгоритмов.
- Межсетевое экранирование в режиме коммутатора (прозрачный режим) и в режиме маршрутизатора.
- Система обнаружения и предотвращения вторжений (СОВ/СПВ).
- Маркировка, приоритизация и шейпинг сетевого трафика по различным критериям.
Устройства «Dimond VPN/FW» могут работать в режиме маршрутизатора, коммутатора и поддерживают большое количество дополнительных функций и механизмов, которые упрощают сетевое администрирование.
Обеспечена возможность фильтрации сетевого трафика по основным полям сетевого пакета, фильтрация по доменным именам, по расписанию, логирование правил фильтрации, синхронизация правил фильтрации с другими устройствами. Защита от неправомерного доступа к данным и производится с помощью СКЗИ Dcrypt.
Линейка устройств Dimond VPN/FW включает семь устройств, различающихся архитектурой процессора и скоростью выполнения функций средств защиты. Разные виды моделей соответствуют предприятиям различного масштаба.
Межсетевые экраны «Рубикон» («Эшелон»)
ПАК «Рубикон» — это межсетевой экран с дополнительными функциями маршрутизации и системы обнаружения вторжений. Основное назначение программно-аппаратных комплексов «Рубикон» — организация эффективной защиты периметра сети компаний в соответствии с требованиями регуляторов. Используется собственный криптошлюз, который позволяет построить криптографические туннели для защиты передачи данных.
ПАК «Рубикон» оснащен системой обнаружения вторжений IDS/IPS и может выполнять функции маршрутизации.
Линейка продуктов «Рубикон» включает ряд моделей, которые ориентированы на специфические виды работ:
- для военных систем и для работы с государственной тайной;
- для работы с ГИС, ИСПДн, ИИС, в которых обрабатывается информация, составляющая гос. тайну;
- для защиты ГИС и АИС, в которых ведется обработка конфиденциальной информации и персональных данных.
Наличие отказоустойчивого кластера дает возможность организовать непрерывный доступ к корпоративной сети. Скорость маршрутизации и производительность межсетевых экранов достигает 9 Гбит/c. Основные функции ПАК «Рубикон»:
- Возможность построения VPN туннелей с использованием протоколов IPSec, OpenVPN и GRE.
- Журналирование всех событий ИБ в сети и оповещение администратора.
- Поддержка протоколов динамической маршрутизации (RIP, BGP, OSPF), наличие статической маршрутизации.
- Интеграция с внешними системами анализа и управления событиями информационной безопасности.
- Веб‑интерфейс управления с ролевой моделью доступа.
Линейка «Рубикон» включает ряд моделей: младшие рассчитаны на подключение до 100 и до 200 пользователей, высокопроизводительная модель — до 400 пользователей, модель «Рубикон Мультипортовый» позволяет подключать до 5000 пользователей. Все семейство «Рубикон» сертифицировано ФСТЭК и Минобороны РФ.
Семейство межсетевых экранов Ideco (iDECO)
Программно-аппаратные комплексы семейства Ideco, сертифицированные ФСТЭК, представляют собой аппаратные платформы для организаций различного размера, которые позволяет защищать локальную сеть предприятия от внешних угроз, контролировать потоки трафика и решать другие задачи обеспечения безопасности сетевой инфраструктуры. В режиме NGFW он поддерживает функционал IPS, контент-фильтра, контроля приложений, межсетевого экрана.
ПАК Ideco MX предназначен для организаций размером от 100 до 350 пользователей. Его технические характеристики:
- Межсетевой экран, трафик EMIX: до 3 Гбит/с.
- Контентная фильтрация, трафик EMIX: до 1,7 Гбит/c.
- Контроль приложений, трафик EMIX: до 0,7 Гбит/c.
- Предотвращение вторжений, трафик EMIX: до 0,3 Гбит/с.
- Режим NGFW, трафик EMIX: до 0,3 Гбит/с.
Модель Ideco SX+ предназначена для небольших организаций численностью до 80 активных интернет-пользователей. Устройство позволяет ввести ограничения по трафику для каждого из сотрудников или отдельных групп, предоставить им возможность удаленно работать по каналам VPN, защитить периметр сети, сегментировать сеть и пользоваться услугами разных интернет-провайдеров (для этого предусмотрено шесть сетевых интерфейсов).
Характеристики МСЭ Ideco SX+:
- Межсетевой экран, трафик EMIX: до 5 Гбит/с.
- Контентная фильтрация, трафик EMIX: до 2 Гбит/c.
- Контроль приложений, трафик EMIX: до 1 Гбит/c.
- Предотвращение вторжений, трафик EMIX: до 0,4 Гбит/с.
- Режим NGFW, трафик EMIX: до 0,4 Гбит/с.
Модель Ideco EX предназначена для крупных компаний численностью от 3000 активных пользователей Интернета. В качестве аппаратной платформы используются серверы с высокой производительностью и отказоустойчивостью.
Технические характеристики Ideco EX:
- Межсетевой экран, трафик EMIX: до 42 Гбит/с.
- Контентная фильтрация, трафик EMIX: до 25 Гбит/c.
- Контроль приложений, трафик EMIX: до 8,8 Гбит/c.
- Предотвращение вторжений, трафик EMIX: до 5 Гбит/с.
- Режим NGFW, трафик EMIX: до 5 Гбит/с.
Модуль безопасности для систем платежных карт ViPNet HSM PS («ИнфоТЕкс»)
Французская компания Thales Group, которая выпускает популярное семейство аппаратных модулей безопасности (HSM, Hardware Security Module) РayShield, предназначенное для защиты данных держателей карт (PayShield 9000 — самый популярный в мире модуль защиты данных платежных систем, с его помощью осуществляется защита более 80% от мирового объема транзакций по платежным картам), покинула российский рынок и свернула все операции по обеспечению цифровой безопасности в российском банковском секторе. Однако к подобному риску отрасль была готова – в течение ряда лет в стране формировалась регуляторная среда и создавались отечественные модули HSM.
Итоговым документом в части законодательного регулирования стало Положение Банка России №719-п «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…», от 4 июня 2020 г., которое определило требования к применению СКЗИ в системах платежных карт.
Продукт ViPNet HSM PS – первый российский аналог зарубежных аппаратных криптомодулей для платежных систем - платежный HSM. Он позиционируется как решение для надежной и эффективной комплексной защиты процессов эмиссии банковских карт и обработки платежных транзакций с производительностью до 6000 операций в секунду в режиме проверки PVV/CVV.
ПАК ViPNet HSM PS реализует различные криптографические алгоритмы: ГОСТ, RSA и 3DES. Он используется для обработки платежных транзакций в соответствии с зарубежными и отечественными протоколами и криптоалгоритмами, а также для поддержки эмиссии платежных карт, предназначенных для использования как в национальной, так и в международных платежных системах. Кроме того, ViPNet HSM PS поддерживает необходимую функциональность в соответствии со спецификациями EMVCo.
В ходе сравнительного тестирования с зарубежными аналогами ПАК ViPNet HSM PS показал более высокую производительность: на развернутом стенде производительность была превышена в 1,3 раза. В нагрузочных тестах по операциям подписи (ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012) была получена производительность до 35 тыс. операций в секунду.
ViPNet HSM PS обеспечивает безопасность финансовых операций национальной платежной системы «Мир» в соответствии с требованиями российских регуляторов, а также платежных систем Visa и MasterCard.
Модуль безопасности для систем платежных карт SPB HSM ₽S («Системы Практической Безопасности»)
Модуль безопасности для систем платежных карт (МБ СПК, (торговая марка SPB HSM ₽S) выполнен в виде аппаратно-программного комплекса в единой конструкции, обеспечивающий уровень физической и логической защиты в соответствии с национальными «Требованиями к СКЗИ в платежных устройствах с терминальным ядром, серверных компонентах платежных систем (HSM-модулях), платежных картах и иных технических средствах информационной инфраструктуры платежной системы, используемых при осуществлении переводов денежных средств, указанных в п. 2.20 положения Банка России от 09.06.2012 г. №382-П» и требованиями PCI PTS HSM Modular Security Requirements 3.0.
Основные функции оборудования:
- Создание защищенного удаленного подключения к изделию, аутентификация администраторов безопасности и администраторов управления с использованием их идентификаторов (USB-токенов), которые записываются при инициализации изделия.
- Инициализация, управление и настройка изделия в процессе его эксплуатации.
- Журналирование действий пользователей и работы системных сервисов.
Реализовано выполнение криптографических операций с шифрованием DES/3DES в соответствии c «NIST FIPS 46-3/NIST Special Publication 800-67» и «ISO/IEC 10116» (ECB, CBC) и выполнение криптографических операций с шифрованием AES в соответствии c «NIST FIPS 197». Обеспечена поддержка EMV, расчет карточных величин (CVV/CVC/CVP, PVV), работа с PIN-блоками, а также поддержка экспорта/импорта ключей с использованием контейнеров ACS X9 TR-31 2018, PKCS#1 v1.5 и т.д.
Доступ к изделию в режиме HOST-команд реализован через специальный интерфейс API, формализующий обмен данными с HOST-системой по протоколам TCP/UDP. При этом HOST-система никогда не получает доступ к ключам или иным чувствительным данным в чистом виде — только в виде шифрограмм, защищенных на локальных мастер ключах (LMK) или других ключах (ZMK, ZPK, TMK, TPK и т.п.).
Встроенное ПО SPB HSM ₽S входит в состав МБ СПК и устанавливается заводским способом на предприятии-изготовителе. Модуль безопасности СПК предназначен для применения в backend- системах банков и платежных систем с целью обеспечения защиты персональных данных держателей карт в следующих процессах и механизмах систем платежных карт:
- Инициализация платежных карт при их производстве.
- Эмиссия платежных карт, включая генерацию секретных величин, электрическую персонализацию и печать PIN-конвертов.
- Авторизация платежных транзакций.
- Эквайринг, обработка транзакций от платежных устройств, поддержка режима работы НСПК в качестве ОПКЦ.
- 3D-Secure.
В состав единой конструкции МБ СПК SPB HSM ₽S входят два блока: блок ввода-вывода и управления (ВВиУ) и криптоблок, соединенные оптическим интерфейсом 10 Гбит/с Ethernet. Блок ВВиУ обеспечивает ввод-вывод и разбор формата команд, поступающих от прикладной HOST-системы, взаимодействие с криптоблоком для выполнения критичных криптографических преобразований, а также предоставляет функции для удаленного управления устройством через защищённый TLS-канал. Криптоблок обеспечивает все операции по генерации, защищенному хранению, экспорту, созданию резервных локальных мастер ключей, а также расшифрование и зашифрование персональных данных владельцев карт (ключей, PIN, PIN-блоков) на локальных мастер-ключах.
МБ СПК SPB HSM ₽S выпускается в двух исполнениях:
- Высокопроизводительное устройство SPB HSM ₽S High) с производительностью 40 тыс. транзакций в секунду и интерфейсом 10 Гбит/с Ethernet для подключения к HOST-системе.
- Базовая модель SPB HSM ₽S Base с производительностью 1000 транзакций в секунду и интерфейсом для подключения к HOST-системе 10 Гбит/с Ethernet.
Семейство программно-технических универсальных шлюзов безопасности Numa Edge («Нума Технологии»)
Универсальный шлюз безопасности Numa Edge обеспечивает статическую и динамическую маршрутизацию, межсетевое экранирование, проксирование веб-трафика, обнаружение вторжений и криптографическую защиту каналов передачи данных. По оценкам производителя, семейство Numa Edge обладает самым широким модельным рядом среди программно-технических межсетевых экранов, представленных на российском рынке и сертифицированных ФСТЭК России. Все модели имеют в своем составе доверенное программное обеспечение Numa BIOS. Поддерживается широкий спектр сетевых интерфейсов: Ethernet 1G/10G/40G, Infiniband, T1/E1.
В Numa Edge реализована архитектура программных модулей, которая позволяет создавать индивидуальную функциональную конфигурацию, сохраняя оптимальный баланс между затратами и достаточным уровнем безопасности. Возможности конкретного устройства зависят от выбранной комбинации программных модулей, каждый из которых обладает собственным набором функций. При необходимости функционал легко наращивается без замены аппаратной платформы с помощью лицензии на дополнительный программный модуль.
Базовый модуль устройства - межсетевой экран, который позволяет осуществлять коммутацию и агрегирование, статическую и динамическую маршрутизацию, фильтрацию трафика с учетом обширного набора критериев, в том числе, по мандатным меткам. Дополнительный модуль СКЗИ с поддержкой российских криптографических алгоритмов и различных способов построения VPN решает задачу построения защищенных каналов передачи данных, позволяет создавать надежные межфилиальные соединения и осуществлять клиент-серверные подключения мобильных пользователей, соблюдая требования российского законодательства.
Дополнительный модуль системы обнаружения вторжений позволяет использовать систему обнаружения Numa IDS для защиты от комплексных сетевых атак. Имеется возможность интеграции со сторонними системами SIEM или ГосСОПКА, а также возможность передачи трафика в сторонние системы (DLP, AV) по протоколу ICAP, с целью его дальнейшего анализа и принятия необходимых мер.
Программно-аппаратный комплекс однонаправленной передачи данных через USB-интерфейс Numa uGate («Нума Технологии»)
Комплекс Numa uGate предназначен для защиты информации ограниченного доступа, содержащей сведения не выше уровня «совершенно секретно», обрабатываемой в СВТ, от утечки вследствие несанкционированного использования USB-накопителей в том числе за счет обхода (отключения) защитных механизмов СВТ, а также для передачи данных с USB-накопителей в автоматизированные информационные системы, обрабатывающие такую информацию. Сертифицирован ФСТЭК России.
При подключении USB-накопителей к СВТ через Numa uGate запись данных на USB-носитель гарантированно ограничивается и обеспечивается исключительно односторонняя передача данных с USB-накопителя в СВТ, вне зависимости от конфигурации СВТ. Устройство реализовано на базе полностью оригинального схемотехнического решения. Архитектурные особенности Numa uGate обеспечивают невозможность внесения изменений в прошивку комплекса в процессе его функционирования. Программирование прошивки происходит только на этапе производства.
Механизм односторонней передачи данных обеспечивается специальным программным обеспечением собственной разработки, работающим на уровне микроконтроллера. В составе Numa uGate отсутствуют встроенные хранилища данных, что гарантирует невозможность перехвата передаваемой через комплекс информации.
Numa uGate обеспечивает подключение съемных USB-накопителей к защищаемому СВТ в режиме чтения, без возможности вывода на них информации. Для этих целей в Numa uGate реализована фильтрация низкоуровневых команд, пересылаемых от СВТ к подключенному USB-накопителю.
Numa uGate поддерживает работу USB-накопителей класса Мass Storage Device без ограничения по типу (USB-flash, USB-SSD, USB-HDD и иные) и объему памяти. В зависимости от типа прошивки комплекса доступен один из трех вариантов идентификации устройств, подключаемых к СВТ через Numa uGate.
Межсетевой экран на базе мини-компьютера АТБ-АТОМ-1 («АТБ Электроника»)
Межсетевой экран построен на базе аппаратной платформы АТБ-АТОМ-1, которая базируется на процессоре SOC x64 Intel Atom 1,91 ГГц. Наличие у мини-компьютера трех интерфейсов 1GbE (Ethernet) дает возможность решать задачи в области защиты информации, например, устанавливать устройства «в разрыв» между несколькими каналами Ethernet или между несколькими сетями с последующим шифрованием трафика внутри или организацией каких-либо внутренних сервисов.
Данный вид криптошлюза может играть роль встроенного шлюз для банкоматов, который позволяет организовать защищенную логическую структуру обработки трафика различных информационных систем.
АТБ-АТОМ-1. Настольное исполнение и материнская плата для многоконтурных систем.
Еще один из вариантов использования АТБ-АТОМ-1 в качестве шлюза – многоконтурные системы в одном корпусе, в которых каждый контур обслуживает отдельный АТБ-АТОМ-1. При последовательном многостадийном соединении контуров этот вариант обеспечивает усиленную защиту данных, поскольку внутренние контуры доступны только после прохождения первого слоя межсетевых экранов. А если контуры относятся к совершенно независимым сегментам сети, полностью изолированным друг от друга, то это обеспечивает максимальную защиту данных, поскольку отдельные сетевые сегменты вообще не соединены между собой, а оператор просто переключается между разными контурами посредством встроенного KVM- переключателя.
ПАК формируется совместно с партнерами — разработчиками ПО верхнего уровня из сферы информационной безопасности.
АТБ-АТОМX2. Двухконтурный компьютер
Устройства АТБ-АТОМ-1, как и остальная продукция «АТБ Электроника», производятся по ОЕМ/ODM-модели, то есть может выпускаться под торговой маркой заказчика с необходимыми доработками, как в части дизайна изделия, так и с точки зрения функционала.
Семейство решений аппаратной и аппаратно-программной защиты InfoDiode (АМТ Group)
InfoDiode — это линейка решений аппаратной и аппаратно-программной защиты, которые обеспечивают реализацию однонаправленной передачи данных, гарантируя защиту объекта на физическом уровне.
Физическое разделение сегментов сети базируется на принципе «гальванической развязки», что полностью исключает возможность отправить через «диод» какой-либо сигнал внутрь защищаемого или изолируемого сегмента. Основное отличие такого решения от простого «воздушного зазора», то есть полной изоляции сегментов, состоит в том, что в случае установки «диода» сохраняется возможность передачи сигналов и данных только в одном направлении. Это позволяет защищаемому сегменту эффективно и оперативно «делиться» данными с внешними потребителями без угрозы со стороны недоверенных сетей.
Комплексы InfoDiode предназначены для организации обмена данными с критичными сегментами, например, ЛВС ГИС, АСУ ТП, КИИ. Задачи по передаче UDP, Syslog, SPAN-трафика потребителям за пределами доверенного сегмента решаются с помощью изолирования этого сегмента.
Решения InfoDiode могут применяться для обеспечения безопасности в государственных организациях, в том числе, силовых структурах, промышленности, энергетике, на транспорте, а также в коммерческих предприятиях любых отраслей, использующих закрытые сети.
Производитель предлагает ряд решений для аппаратной защиты сетевого периметра. Каждое обеспечивает однонаправленную передачу информации и включает компонент для гарантированной физической изоляции периметра.
InfoDiode PRO base - базовое аппаратно-программное решение. Обеспечивает защиту на аппаратном уровне. Решает задачи по передаче файловых потоков, дистрибутивов, бэкапов баз данных, реплик виртуальных машин, электронной почты, видео и другого трафика за пределы доверенного сегмента целевым потребителям, изолируя этот сегмент.
InfoDiode RACK single - базовое аппаратное решение для монтажа в стойку.
InfoDiode RACK double - аппаратное решение для монтажа в стойку (два «диода» в одном).
InfoDiode PRO cluster - кластерное аппаратно-программное решение. Обеспечивает повышенную отказоустойчивость передачи данных за счет кластеризации основных компонент.
InfoDiode SMART - аппаратно-программное решение для передачи промышленных протоколов. Обеспечивает интеграцию SCADA-систем и организацию безопасного функционирования ситуационных центров, находящихся за границей периметра КИИ, в условиях его гарантированной изоляции. Может передавать сразу несколько видов трафика (файлы, промышленные протоколы, видео). Имеет API для реализации передачи нетиповых протоколов.
Однонаправленный шлюз InfoDiode с функционалом контакт-центра (Naumen)
ПАК на базе однонаправленного шлюза InfoDiode и платформы Naumen Contact Center, комплексного решения для организации корпоративного или аутсорсингового контакт-центра, дает возможность защитить внутренний сегмент сети организации и при этом по-прежнему в режиме онлайн получать запросы от клиентов, обрабатывать их и предоставлять в ответ необходимую информацию.
В совместном решении InfoDiode выступает в качестве системы однонаправленной передачи данных, обеспечивающей обмен данными с мессенджерами, веб-чатом для организации обслуживания клиентов в текстовых каналах.
Архитектура совместного использования Naumen Contact Center и InfoDiode предполагает применение комплексов InfoDiode между компонентом Naumen Contact Center-chat, функционирующим в открытом сегменте КЦ, и компонентом Naumen Contact Center, расположенном в закрытом сегменте КЦ. Связь между компонентами Naumen Contact Cente-chat и Naumen Contact Center осуществляется по протоколу nccmbp через протокол UDP, поддерживаемый решением InfoDiode. Таким образом, обеспечивается направленная передача обращений внутрь сети организации, исключающая утечку данных, а также направленная передача ответов специалистов контакт-центра во внешний сегмент, исключающая воздействие на бизнес-процессы организации и распространение вредоносных программ в защищаемой сети.
Применение ПАК дает возможность:
- обеспечить защиту периметра, содержащего информационные системы, базы данных, хранилища персональных и чувствительных данных посредством организации раздельных аппаратных однонаправленных каналов обмена сообщениями;
- гарантированно исключить внешние подключения, сделав невозможной утечку, порчу, компрометацию данных по каналам обмена информацией.
ПАК ATMshield для защиты от несанкционированного доступа к компьютеру банкоматов («ЛАН АТМсервис»)
Программно-аппаратный комплекс ATMshield предназначен для защиты от несанкционированного доступа к компьютеру банкоматов NCR, GRG, Diebold Nixdorf, Nautilus Hyosung, OKI. Защищается как локальный доступ, так и доступ через удаленное подключение.
Комплекс протоколирует действия авторизованного персонала, что помогает в расследовании атак. В режиме охраны комплекс блокирует использование клавиатуры и экрана компьютера банкомата для предотвращения несанкционированных действий, а именно: навигации по файловой системе, копирования файлов, запуска программ и редактирования параметров прикладного ПО и системных сервисов.
Ведется зашифрованный и защищенный от модификации и удаления журнал доступа к компьютеру банкомату. При удаленном доступе к компьютеру банкомата ключ доступа предъявляется на удаленном компьютере, с которого осуществляется доступ. Осуществляется контроль внешней активности сервисов ОС, журналирование изменений в файловой системе, контроль целостности критических компонентов ПО и целостности БД, блокировка несанкционированного отключения режима охраны или деинсталляции комплекса.
ПАКи для защиты от целевых атак, мониторинга ИБ-инцидентов, реагирования на инциденты
Государственный сектор в минувшем году больше всего пострадал от действий киберпреступников, говорится в исследовании кибератак, случившихся на протяжении 2022 г., которое провела компания «Информзащита». Количество DDoS-атак на госучреждения только за первое полугодие увеличилось в 17 раз. В целом количество кибератак на российский госсектор в 2022 г. выросло в два-три раза по сравнению с предыдущим годом. По данным администрации президента РФ, практически 90% инфраструктуры российского госсектора в той или иной степени подверглось кибератакам с конца февраля 2022 г.
Также в первом полугодии 2022 года атаки шифровальщиков на российский ритейл выросли как минимум на 45%. Хакеры были нацелены на площадки, готовые платить крупный выкуп за разблокировку своей IT-инфраструктуры.
В последние годы заметно вырос интерес злоумышленников-вымогателей к организациям здравоохранения, поскольку киберпреступники рассматривали их как особенно легкие цели из-за потенциально разрушительных сбоев, вызванных отключением больничных систем.
Среди отраслей промышленности выделяется энергетика: электроэнергетические компании стали основной мишенью для кибератак со стороны государств и киберпреступников, стремящихся использовать этот сектор в своих политических или экономических целях. По данным аналитиков компании Positive Technologies, этот сектор входит в тройку самых атакуемых отраслей на протяжении последних четырех лет: каждая десятая успешная атака на организации приходилась на промышленные предприятия.
В своем иисследовании киберугроз 2022 года, актуальных для промышленных организаций, аналитики Positive Technologies отметили, что в 2022 году продажа доступов к промышленным предприятиям в дарквебе выросла на 40% . Активнее всего промышленность атаковали группировки вымогателей, хактивисты, а также APT-группировки. В большинстве атак (70%) на промышленные предприятия злоумышленники применяли вредоносное ПО, почти в половине (44%) — методы социальной инженерии, а еще в 43% случаев эксплуатировали уязвимости ПО.
Трендом 2022 года оказалось применение в атаках на промышленный сектор вайперов (ПО, которое удаляет данные на устройстве).
В 2023 году киберпреступники будут атаковать промышленность не только ради финансовой выгоды, но и с целью остановки важнейших технологических процессов и организации аварий. В этой связи мы прогнозируем новые кампании кибершпионажа в отношении промпредприятий и ТЭК, а также более широкое применение вайперов, — отмечает Алексей Новиков, директор экспертного центра безопасности Positive Technologies. |
Посмотрим, какие российские программно-аппаратные комплексы помогают бороться с этими проблемами.
ПАК глубокого анализа технологического трафика PT ISIM (Positive Technologies)
PT Industrial Security Incident Manager (PT ISIM) — программно-аппаратный комплекс глубокого анализа технологического трафика. Обеспечивает поиск следов нарушений информационной безопасности в сетях АСУ ТП, помогает на ранней стадии выявлять кибератаки, активность вредоносного ПО, неавторизованные действия персонала (в том числе злоумышленные) и обеспечивает соответствие требованиям законодательства (187-ФЗ, приказы ФСТЭК № 31, 239, ГосСОПКА).
Система PT ISIM непрерывно инвентаризирует элементы сети АСУ ТП, контролирует ее целостность и оповещает о критических изменениях, которые могут являться признаком нарушения информационной безопасности и требовать немедленного реагирования. В системе работает более 4000 встроенных правил обнаружения нарушений ИБ, используется встроенную базу данных индикаторов промышленных угроз (РТ ISTI). Благодаря комбинации сигнатурных методов обнаружения атак и механизма поведенческого анализа решение позволяет эффективно выявлять кибератаки на ранней стадии. Оно дополняет инструментарий центра оперативного реагирования (SOC) необходимыми средствами анализа трафика. Позволяет специалисту SOC полностью видеть картину действий нарушителя, в том числе ретроспективно.
Устройство PT ISIM способно выявлять:
- Чтение конфигураций и проектов ПЛК.
- Изменение режима работы ПЛК.
- Изменение проектов ПЛК.
- Изменение уставок тех. процесса.
- Отсутствие реакций систем АСУ ТП на закритические режимы.
- Эксплуатацию уязвимостей, нацеленных на вывод оборудования АСУ ТП из строя.
PT ISIM предназначен для управления защитой большого количества географически распределенных объектов. При этом обеспечивается непрерывная защита при нулевом влиянии на АСУ ТП, а система автоматического обучения позволяет снизить затраты на внедрение и эксплуатацию.
ПАК «Монолит» для поиска электронных устройств негласного получения информации в составе ПЭВМ (Delta Computers)
Полное название комплекса - программо-аппаратный комплекс для поиска электронных устройств негласного получения информации в составе ПЭВМ и автоматизации работ при проведении специальных проверок.
Это мобильный программно-аппаратный комплекс предназначен для поиска демаскирующих признаков наличия электронных устройств негласного получения информации в составе ПЭВМ, сокращения трудозатрат и автоматизации работ при проведении специальных проверок. ПАК «Монолит» является виртуальным оператором, созданным на базе персонального компьютера под управлением Windows 7/8/10.
ПАК интеллектуального анализа угроз информационной безопасности ViPNet TIAS («ИнфоТеКС»)
ViPNet Threat Intelligence Analytics System (TIAS) — это программно-аппаратный комплекс, предназначенный для автоматического выявления инцидентов на основе анализа событий информационной безопасности. ViPNet TIAS в автоматическом режиме анализирует весь поток входящих событий от сенсоров, находит взаимосвязи между ними и выявляет действительно значимые угрозы, являющиеся инцидентами информационной безопасности.
Автоматическое выявление инцидентов информационной безопасности в ViPNet TIAS использует комбинацию двух методов: сигнатурный метод анализа, основанный на использовании метаправил выявления инцидентов, и математическая модель принятия решений, разработанная на основе статистического анализа угроз с использованием методов машинного обучения.
База метаправил и математическая модель принятия решений разрабатывается и обновляется экспертами компании «Перспективный мониторинг» на основе знаний об угрозах, получаемых в результате анализа инструментов и техник выполнения атак Threat Intelligence.
Семейство детекторов атак «Континент» («Код Безопасности»)
Оборудование семейства «Континент» создается на основе высокопроизводительной платформы, способной поддерживать широкий спектр коммуникационных приложений. На базе этой платформы можно реализовать защищенный доступ для удаленных пользователей к защищаемым ресурсам, безопасный вход в корпоративную сеть с мобильных средств связи, а также использовать «Континент» как программно-аппаратный модуль для выявления сетевых атак.
В этом качестве «Континент» обеспечивает функции системы обнаружения вторжений (СОВ), осуществляет разбор и анализ трафика с целью выявления компьютерных атак, направленных на информационные ресурсы и сервисы.
Детектор атак «Континент» предназначен для автоматического обнаружения сетевых атак методом динамического анализа трафика стека протоколов TCP/IP с использованием сигнатурных и эвристических методов обнаружения атак. Поддерживается широкий спектр протоколов различных уровней.
Производитель утверждает, что детектор атак «Континент» - это единственное решение на российском рынке, использующее коммерческие сигнатуры. Используются сигнатуры атак ETPro от Emerging Threats. База содержит более 19 тыс. правил, которые ежедневно актуализируется (каждый день анализируется 150 - 250 тыс. образцов кода и в базу добавляется 5 - 30 новых правил).
Предусмотрена автоматическая проверка синтаксиса правил, что позволяет упростить администрирование и избежать ошибок в настройке комплекса. События, связанные с обнаружением вторжений, детально регистрируются в журналах.
ПАК может быть реализован на разных аппаратных платформах. Есть сертификат ФСТЭК. Детектор атак «Континент» может использоваться для защиты конфиденциальной информации и государственной тайны в автоматизированных системах до класса 1B включительно, персональных данных при их обработке в ИСПДн до первого уровня защищенности включительно, государственных информационных систем до 1 класса защищенности включительно.
Повышение уровня защищенности автоматизированной системы может быть достигнуто подключением дополнительного оборудования – через подключение к SPAN-порту маршрутизатора или включение в сегмент через TAP).
Семейство ПАКов для защиты от сетевых атак и реагирования на инциденты (Axoft)
Семейство программно-аппаратных комплексов, созданное на базе серверных платформ DEPO Storm и программных продуктов «Лабораториb Касперского», включает следующие решения:
- ПАК для защиты от целевых атак (сервер хранения данных DEPO Storm 3450Z2RU и ПО Kaspersky Anti Targeted Attack (KATA) Platform).
- ПАК для реагирования на инциденты (сервер хранения данных DEPO Storm 3450Z2RU и ПО Kaspersky Endpoint Detection and Response (KEDR)).
- ПАК для мониторинга инцидентов (сервер хранения данных DEPO Storm 3450Z2RU и ПО Kaspersky Unified Monitoring and Analysis Platform (KUMA)).
- ПАК для защиты объектов критической инфраструктуры (сервер DEPO Storm 3450U1R и ПО Kaspersky Industrial CyberSecurity (KICS)).
Продукты предназначены для защиты файловых и почтовых серверов, баз данных, гиперконвергентных и облачных инфраструктур, систем архивирования и хранения данных. Решения подойдут для инфраструктур любого масштаба, сложности и любых категорий значимости объектов. Есть сертификат ФСТЭК.
Серверы хранения данных DEPO Storm предназначены для использования в качестве сетевого хранилища (NAS) в корпоративных сетях или в качестве специализированного узла сети хранения данных предприятия (SAN). Они позволяют консолидировать большие массивы информации и обеспечивать оптимальную скорость доступа к ним.
Подтверждена совместимость модельного ряда серверных систем DEPO Storm 3450 с ОС Astra Linux Special Edition. Astra Linux Special Edition поддерживает 3 уровня защищенности ОС с удобным переходом от «Базового» и «Усиленного» режимов обеспечения безопасности на «Максимальный». Операционная система прошла комплекс испытаний в системе сертификации СЗИ ФСТЭК России по первому уровню доверия.
Серверы хранения данных DEPO Storm включены в Реестр российской промышленной продукции, произведенной на территории РФ. ПО «Лаборатория Касперского» включено в Единый реестр российских программ для электронных вычислительных машин и баз данных.
ПАКи для защиты объектов КИИ
К системам информатизации, используемым на объектах критической информационной инфраструктуры (КИИ) предъявляются повышенные требования в части характеристик аппаратуры и программного обеспечения, составляющих ПАК. Приведем примеры российских программно-аппаратных комплексов, которые изначально создавались для применения в условиях КИИ.
ПАК защищенного сертифицированного терминального доступа «Тринити» (SETEC)
ПАК «Тринити» представляет собой комплексное решение, реализующее технологию защищенного терминального доступа и обеспечивающее работу в доверенной программно-аппаратной среде.
В составе ПАК «Тринити» используется зафиксированная, доверенная информационная среда. Контроль среды осуществляется как на серверах, так и на терминалах со встроенным модулем доверенной загрузки ПАК «Тринити-АПМДЗ». С его помощью проводится аудит целостности, контроль загрузки с нештатного носителя и обеспечивается функция строгой двухфакторной аутентификации.
В партнерстве с компанией «Актив» реализована технология двухфакторной аутентификации: решение обеспечивает информационную безопасность не только за счет системы паролей, но и с помощью USB-токенов «Рутокен», надежно хранящих ключи шифрования и ключи электронной подписи, а также пароли и прочие аутентификационные данные.
Встроенное СКЗИ «КриптоПРО» обеспечивает защиту данных, передаваемых по каналу связи.
В ПАК «Тринити» реализованы следующие возможности:
- Усиленная аутентификация пользователей и идентификация оборудования в системе.
- Многоуровневая система разграничения доступа.
- Аудит всей системы.
- Многоконтурность.
Например, в банке можно использовать одно терминальное устройство пользователя для доступа к различным банковским автоматизированным системам: АБС, корпоративные сервисы, электронный документооборот, процессинг, казначейские системы, торговые площадки, биржи и т.д. А на промышленном предприятии можно организовать изолированные друг от друга контуры корпоративной информационной системы, доступ к ресурсам которых пользователь получает со своего терминала. Таких контуров может быть несколько: контур для доступа в Интернет, технологический сегмент (САПР), суперЭВМ, математическое моделирование, производство, расчеты, испытания, контур для общекорпоративных сервисов - бухгалтерия, финансовый учет, заявки в бюро пропусков, система ЭДО, складской учет и пр.
Промышленный контроллер на базе АТБ-АТОМ-1 («АТБ Электроника»)
Как рассказывает Роман Дементьев, основатель компании «АТБ Электроника», компания производит аппаратные платформы для создания доверенных ПАК в составе КИИ. Так, на универсальной аппаратной платформе мини-компьютера АТБ АТОМ 1 (64-разрядный процессор Intel Atom 1,91 ГГц) создан промышленный контроллер, предназначенный для применения в системах АСУ ТП.
Для использования в производственных условиях контроллер использует компоненты, сохраняющие работоспособность в расширенном диапазоне температур. Корпус устройства в промышленном исполнении обеспечивает надежную защиту от помех и вибрации. При необходимости АТБ-ATOM-1 может встраиваться как модуль в более сложные системы и устанавливаться в коммутационный 19` шкаф или на DIN-рейку. Эти изделия применяются в различных системах телемеханики с распределенной архитектурой. В таких системах АТБ-АТОМ-1 может выполнять функции управления, сбора и передачи данных, шлюза протоколов, криптошлюза, межсетевого экрана, АРМ-оператора, человеко-машинного интерфейса и др.
АТБ-АТОМX2 - двухконтурный компьютер
В формате многоконтурной промышленной системы два или три модуля АТОМ-1 устанавливаются в одном корпусе и разделяются между собой физически по всем интерфейсам, кроме видео и USB. В этом случае ПАК играет роль промышленного многоконтурного терминала, способного подключаться к различным сетям.
АТБ-АТОМX2 - двухконтурный компьютер
ПАК для обеспечения высокого уровня информационной безопасности сетей энергетики (Positive Technologies)
Импортонезависимый отечественный ПАК, предназначенный для защиты от атак злоумышленников, создан специально для предприятий энергетики по заказу концерна «Росэнергоатом». Аппаратную часть ПАКа составляет высокопроизводительное серверное оборудование Delta Tioga Pass и модули хранения на базе NVMe-дисков Argut.
Программная часть включает решения компании Positive Technologies: систему мониторинга событий информационной безопасности и выявления инцидентов MaxPatrol SIEM, систему поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD), продукт для защиты от целевых и массовых атак с применением вредоносного ПО PT Sandbox.
По словам производителей, ПАК подойдет компаниям среднего и крупного бизнеса, работающих с высоким уровнем рисков в сфере информационной безопасности в различных отраслях экономики.
Импортонезависимый защищенный ПАК для объектов критической информационной инфраструктуры («Цифрум»)
Создание импортонезависимого программно-аппаратного комплекса для объектов КИИ, основанного на суверенных отечественных программно-аппаратных решениях и критически важных компонентах, включая микропроцессоры с архитектурами, независимыми от зарубежных технологий, операционные системы, промышленное ПО, началось летом 2022 г. В разработке принимают участие: госкорпорация «Росатом», подведомственное предприятие «РФЯЦ-ВНИИЭФ» и ИТ-компания ИВК.
Аппаратная часть ПАКа создается на базе микропроцессора «Эльбрус». Ядро системного программного обеспечения ПАКа - операционная система «Альт». Также в состав защищенного ПАКа входит PLM-система «САРУС», разработанная «Росатомом», которая является полностью технологически независимой, и ее версия в защищенном варианте может быть установлена на предприятиях с особым режимом безопасности.
Полностью доверенный ПАК КИИ (Aquarius)
Кроме того, полностью доверенным может быть только то устройство, все компоненты которого разработаны и спроектированы на территории РФ, а для высоких уровней доверия дополнительно должна быть проведена проверка выполнения требований безопасности информации.
Архитектура доверенного ПАКа для организации защиты объектов КИИ подразумевает реализацию нескольких слоев доверия программно-аппаратного комплекса: на уровне прикладного ПО, операционной системы, базовой системы ввода-вывода (BIOS), прошивок микроконтроллеров.
Доверенный ПАК включает:
- Доверенные компоненты платы: ЭКБ, центральный процессор, сетевые интерфейсы, модули беспроводной связи, базовая система ввода-вывода, иные микросхемы с прошивками.
- Доверенное производство платы: схемотехника, трассировка, пайка компонентов – на территории РФ. Программный код разрабатывается пишется с учетом требований безопасной разработки.
- Доверенные комплектующие: устройство хранения (ПЗУ), оперативная память (ОЗУ), внешняя сетевая карта.
- Доверенная среда исполнения: операционная система, прикладное ПО, структура централизованного управления.
Серверная плата ПАК включает до 15 микросхем с собственными прошивками
Новая гарвардская архитектура (ОКБ САПР)
m-TrusT – это одноплатный компьютер Новой гарвардской архитектуры с общим назначением – защищенная сетевая коммуникация между элементами критической информационной инфраструктуры (КИИ). Построен на базе 6-ядерного процессора ARM64 RockChip RK3399. Содержит резидентный компонент безопасности: Встроенный модуль РКБ: аппаратный генератор случайных чисел, защищенное ключевое хранилище, возможность хранения неизвлекаемого ключа.
Конструктивно компьютер m-TrusT содержит док-станцию, которая стационарно включается в состав элемента КИИ, и подключаемого к ней модуля – мезонина, универсального по своему аппаратному исполнению (буква «m» в названии микрокомпьютера означает «мезонин»). Док-станция предназначена для того, чтобы корректно подключить m-Trust к тому или иному конкретному элементу КИИ, поэтому ее конструктивное решение и набор портов могут существенно различаться для разных применений: банкомата, локомотива, газового счетчика, терминала управления АЭС.
В зависимости от того, какие элементы КИИ должны взаимодействовать: подвижной состав и станционное оборудование, банкомат и АБС, измерительное оборудование и центр обработки телеметрии – ПО «мезонина», то есть активной части m-TrusT будет разным. Оно создается для каждой конкретной задачи и в каждом случае приобретает вид ПАКа, компонента конкретной КИИ.
Функциональное ПО защищено вирусным иммунитетом Новой гарвардской архитектуры – оно загружается из памяти резидентного компонента безопасности (РКБ), которая защищена от вирусного заражения.
Съемный конструктив «мезонина» упрощает обслуживание системы и ускоряет восстановление работоспособности при выходе «мезонина» из строя, что имеет огромное значение для КИИ, – он просто заменяется подключением нового экземпляра к той же самой док-станции.
m-TrusT может использоваться для реализации всех технических мер обеспечения безопасности значимых объектов КИИ, включая ИАФ (идентификация и аутентификация), УПД (управление доступом), ОПС (ограничение программной среды), ЗНИ (защита машинных носителей информации), АУД (аудит безопасности), АВЗ (антивирусная защита), СОВ (предотвращение вторжений (компьютерных атак), ОЦЛ (обеспечение целостности), ОДТ (обеспечение доступности), ОПО (управление обновлениями программного обеспечения). Наиболее эффективно использовать m-TrusT для обеспечения группы мер ЗИС (защита информационной (автоматизированной) системы и ее компонентов).
ПАКи доверенной загрузки ПО
В текущих условиях растущих рисков компьютерных атак и проблем с производством и поставками микроэлектронной продукции особое значение для информационных систем приобретают средства защиты от несанкционированного доступа к ПК.
Действительно, действия зловредных программ вязаны с тем, что они изменяют состояние других программ, установленных на компьютере. Но как убедиться в неизменности аппаратной и программной среды компьютера? Контролировать неизменность среды программными средствами нельзя, так как программа контроля может быть изменена.
Решением является вынесением контролирующих процедур из модифицируемой среды в немодифицируемую и легко проверяемую, реализуемую в виде аппаратного устройства, независимого от того компьютера, который оно проверяет. Такое контролирующее устройство - резидентный компонент безопасности (РКБ) - стартует первым, еще до загрузки ОС компьютера. Соответствующие программно-аппаратные модули представлены на рынке в виде аппаратных модулей доверенной загрузки (АМДЗ). Российские производители предлагают различные решения АМДЗ.
Семейство «Аккорд-АМДЗ» (ОКБ САПР)
Аппаратный модуль доверенной загрузки «Аккорд-АМДЗ» относится к классу средств защиты информации от несанкционированного доступа (СЗИ НСД) и предназначен для защиты серверов и рабочих станций локальной сети, информационных ресурсов компании от несанкционированного доступа.
Под доверенной загрузкой понимается загрузка различных операционных систем только с заранее определенных постоянных носителей, например, только с жесткого диска после успешного завершения специальных процедур: проверки целостности технических и программных средств компьютера (с использованием механизма пошагового контроля целостности) и идентификации/аутентификации пользователя.
Комплекс начинает работу сразу после выполнения кода системного BIOS компьютера, до загрузки операционной системы. Контроллеры семейства «Аккорд-АМДЗ» обеспечивают доверенную загрузку ОС, поддерживающих распространенные файловые системы. Контроллер представляет собой карту расширения (expansion card), устанавливаемую в свободный слот [материнские платы (мировой рынок)|материнской платы]] СВТ (РС). Контроллер является универсальным, не требует замены при смене используемого типа операционной системы.
В состав «Аккорд-АМДЗ» входит также съемник информации с контактным устройством, обеспечивающий интерфейс между контроллером комплекса и персональным идентификатором пользователя - специальным устройством, содержащим уникальный признак пользователя, с которым зарегистрированный пользователь входит в систему.
В качестве идентификатора пользователя могут использоваться USB-токены, USB-ключи, смарт-карты, устройства ШИПКА, ТМ-идентификаторы.
Продукт сертифицирован ФСТЭК.
«Тринити-АПМДЗ» (Setec)
«Тринити-АПМДЗ» представляет собой аппаратно-программный модуль доверенной загрузки, который может использоваться для защиты отдельных компьютеров от НСД.
Основные характеристики «Тринити-АПМДЗ»:
- Усиленная аутентификация оборудования и пользователей в системе.
- Защита от загрузки с внешних носителей.
- Обеспечение целостности операционной системы компьютера.
- Обеспечение целостности аппаратной конфигурации компьютера.
- Сторожевой таймер.
- Удаленное управление.
- Возможность двухфакторной аутентификации.
ПАК «Тринити-АПМДЗ» поддерживает большое количество аппаратных платформ (тестирование проводилось более, чем на 20 платформах). Может работать в ноутбуках и планшетных компьютерах (благодаря наличию версии для шины miniPCI-express). При совместном использовании с ПАК «Тринити» обеспечивает единое комплексное решение по защите информации.
Сертификаты ФСТЭК и ФСБ.
АПМДЗ «КРИПТОН-ВИТЯЗЬ» («АНКАД»)
Аппаратно-программный модуль доверенной загрузки предназначен для контроля системы до старта центрального процессора и в фазе инициализации платформы, разграничения и контроля доступа пользователей к компьютеру, двухфакторной аутентификации пользователя. Он входит в состав совместного решения российских компании Kraftway и «АНКАД» – семейства материнских плат со встроенными средствами защиты информации. При этом модуль доверенной загрузки является неизвлекаемым блоком материнской платы: он интегрирован с BIOS материнской платы, является его штатным модулем и не может быть извлечено из ПК.
Другие отличительные особенности терминального решения (тонкого клиента) с интегрированным АПМДЗ - защита от перезаписи BIOS и невозможность сброса настроек BIOS, что предотвращает несанкционированное использование тонкого клиента даже при наличии полного доступа к его аппаратной составляющей. Тесная интеграция АПМДЗ с BIOS материнской платы защищает тонкий клиент Kraftway от новых угроз в виде низкоуровневых виртуальных гипервизоров, нарушающих информационную безопасность системы, которые не всегда обнаруживаются традиционными АПМДЗ.
Основные характеристики АПМДЗ «КРИПТОН-ВИТЯЗЬ»:
- Начинает работу сразу после подачи питания.
- Контроль целостности BIOS.
- Доверенная загрузка ОС.
- Гарантированная работоспособность комплекса.
В качестве носителя аутентифицирующей информации могут использоваться электронные идентификаторы Ру-токен, Touch Memory или смарт-карта.
АПМДЗ интегрирован с оболочкой безопасности Kraftway Secure Shell (KSS), что позволяет использовать его совместно с другими модулями безопасности, обеспечивая всестороннюю защиту информации от несанкционированного доступа. На рынке предлагается продукт «АНКАД» - линейка российских доверенных компьютеров «Kraftway», построенных на основе отечественных материнских плат с интегрированными средствами защиты информации.
ПАК «Соболь» для доверенной загрузки операционной системы («Код безопасности»)
Программно-аппаратный модуль доверенной загрузки, функционирующий в среде UEFI, осуществляет контроль целостности системного реестра Windows, аппаратной конфигурации компьютера и файлов до загрузки операционной системы. Поддерживается широкий список операционных систем семейства Windows и Linux. Обеспечивается контроль неизменности конфигурации компьютера: PCI-устройств, SMBIOS.
Возможна интеграция с СЗИ Secret Net Studio и Secret Net LSP для усиления контроля целостности на рабочих станциях и серверах под защитой Secret Net Studio с автоматической передачей записей журнала событий безопасности в Secret Net Studio.
Поддерживается полнодисковое шифрование Secret Net Studio, что позволяет ПАК «Соболь» получить доступ к ресурсам на зашифрованных разделах диска, созданных средствами шифрования СЗИ Secret Net Studio.
Функционал сторожевого таймера: блокировка доступа к компьютеру в случае, если управление при его включении не передано ПАК «Соболь».
Для идентификации и аутентификации пользователей допускается использование разнообразны персональных электронных идентификаторов, включая USB-ключи, смарт-карты, «электронная кнопка» i-Button. Загрузка операционной системы с жесткого диска осуществляется только после предъявления зарегистрированного электронного идентификатора.
Системный журнал доверенной загрузки хранится в специальной энергонезависимой памяти UEFI/BIOS. Хранение критичных данных в независимом модуле памяти не позволяет злоумышленнику обойти систему защиты даже в случае взлома программной части.
ПАК централизованной контролируемой загрузки образов на клиентские рабочие станции «Центр-Т» (ОКБ САПР)
Программно-аппаратный комплекс «Центр-Т» предназначен для централизованного администрирования, контроля целостности и контролируемой загрузки образов программного обеспечения на клиентские рабочие станции. Речь идет о загрузке той вычислительной среды, из которой будет установлено соединение с системой, в которой будет работать удаленный пользователь. Это может быть работа с терминальным сервером по терминальному протоколу, режим виртуального рабочего стола, работа в виртуальной машине и т. д.
Защищенная сетевая загрузка терминальных станций происходит в два этапа.
На первом этапе с отчуждаемого носителя загружается образ ОС, называемый образом начальной загрузки (ОНЗ). ОНЗ на отчуждаемом носителе хранится в разделе, доступном только на чтение, тем самым обеспечивается доверенная загрузка операционной системы. Основная и единственная цель ОНЗ – обеспечение безопасного второго этапа, а именно сетевой загрузки программного обеспечения, посредством которого будет происходить подключение к терминальному серверу. Такое разделение на два этапа позволяет обеспечить безопасность загрузки ОС вне зависимости от того, какое именно оборудование используется в качестве терминального клиента.
ПО на терминалы загружается с Сервера хранения и сетевой загрузки (СХСЗ)– компонента «Центр-Т», состоящего из аппаратной (специальный носитель ПО СХСЗ ) и программной (само записанное на носитель ПО СХСЗ) частей. Другим компонентом ПАКа является Клиент – специальный носитель ПО «Клиент Центр-Т» (клиентское устройство) с записанным на него ОНЗ.
Схема информационного взаимодействия компонентов инфраструктуры с ПАК «Центр-Т»
Сетевая загрузка ПО на удаленный ПК включает:
- идентификацию пользователей для начала работы с терминальным сервером по номерам клиентских устройств;
- двухфакторную аппаратную идентификацию пользователейПК в ПАК «Аккорд» на терминальном сервере;
- передачу образов ПО ПК на ПК по сети;
- проверку целостности и подлинности полученного образа Клиентом.
Функционал удаленного администрирования включает:
- Создание учетных записей пользователей и назначение учетным записям клиентских устройств.
- Сборка образов ПО РС, сопоставление образов ПО РС учетным записям пользователей.
- Настройка сетевых параметров, резервирование баз данных и настроек СХСЗ и Клиента.
- Восстановление ПО «Центр-Т» из резервных копий при возникновении нештатных ситуаций.
- Контроль периферийного оборудования в рамках терминальной сессии: контроль использования USB-принтеров и/или flash-накопителей информации, подключенных непосредственно к ПК.
- Контроль настроек образов ПО ПК.
Как правило, СХСЗ и клиенты находятся в одном контуре, но терминальный сервер зачастую расположен удаленно. В случае необходимости в состав загружаемого образа может включаться клиент VPN для защиты канала между клиентом и сервером. Для настройки и управления комплексом в процессе его эксплуатации в «Центр-Т» разделение административных полномочий производится между пятью ролями: администратором сервисного режима, администратором, администратором безопасности информации, администратором нештатного режима, контролером эксплуатации.
В общем случае использование «Центр-Т» не требует ни приобретения дополнительных компьютерных средств или работ по развертыванию инфраструктуры: ПО комплекса загружается на уже имеющиеся в системе СВТ со специальных носителей, входящих в состав комплекса.
Семейство АПМДЗ «КРИПТОН-ЗАМОК» («АНКАД»)
АПМДЗ «КРИПТОН-ЗАМОК» - это сертифицированные комплексы аппаратно-программных средств, которые предназначены для обеспечения разграничения и контроля доступа пользователей к техническим средствам вычислительной сети (серверы и рабочие станции), на которых будет обрабатываться информация, в том числе, и с высоким грифом секретности. Они выполняют функции разграничения доступа к аппаратным ресурсам компьютеров, а также контроля целостности установленной на компьютере программной среды под любые ОС, использующие файловые системы FAT12, FAT16, FAT32, NTFS, EXT2, EXT3.
Основные возможности АПМДЗ «КРИПТОН-ЗАМОК»:
- Ведение электронного журнала событий в собственной энергонезависимой памяти.
- Надежное разграничение ресурсов компьютера.
- Подсчет эталонных значений контрольных сумм объектов и проверка текущих значений контрольных сумм.
- Идентификация пользователя до запуска BIOS компьютера.
- Двухфакторная аутентификация пользователя.
- Блокировка компьютера при НСД.
- Создание нескольких профилей защиты.
Обеспечивается также организация бездисковых рабочих мест на основе встроенного флеш-диска, защита компьютера от нештатного электрического воздействия на тракт ввода ключевой информации, управление загрузкой операционной системы с жесткого диска, контроль целостности загружаемой программной среды. Алгоритм шифрования аутентифицирующей информации в изделиях «КРИПТОН-ЗАМОК» соответствует требованиям ГОСТ 28147-89.
Возможна инициализация устройств шифрования (сетевых шифраторов, абонентских шифраторов, шифраторов жестких дисков серии КРИПТОН) и аппаратная защита от несанкционированной загрузки операционной системы с гибкого диска, CD-ROM, DVD-ROM, USB устройств.
«КРИПТОН-ЗАМОК» поставляется в нескольких модификациях, которые могут быть использованы для защиты, как конфиденциальной информации, так и для защиты информации, составляющей государственную тайну (до грифа «Совершенно секретно» включительно).
ПАКи хранения данных
Системы хранения данных (СХД), которые требуются современным предприятиям, активно идущим по пути информатизации, требуются решения, способные поддерживать самые передовые технологии хранения данных. Российские ПАКи создаются в русле передовых требований отечественных предприятий к функциональности, производительности, надежности.
Машины хранения данных Скала^р МХД
Программно-аппаратные комплексы Скала^р МХД, предназначенные для хранения данных, создаются на основе концепции интеллектуального хранения данных. Предназначены для построения геораспределенных катастрофоустойчивых систем с сотнями миллионов объектов различного типа и обеспечения быстрого доступа к ним.
Производитель позиционирует эти комплексы как замену традиционных систем хранения файлов (SAN, NAS, HDFS) в тот момент, когда они перестают справляться с объемами хранения и становятся слишком дороги, а также как альтернативу сервисам Amazon S3 и решениям Dell EMC ECS Object Storage, Hitachi Content Platform, NetApp StorageGRID, Quantum Lattus Object Storage и др.
Пример решения - Машина хранения данных Скала^р МХД.O предназначена для обеспечения сервисов хранения данных на основе протокола S3. Интегрируется с сервисами частного облака и Машинами баз данных и больших данных Скала^р для хранения объектов и файлов, реализации хранения BLOB элементов баз данных, синхронизации данных между ЦОД в системах больших данных.
Ключевые преимущества Машины хранения данных Скала^р МХД.О:
- Неограниченная емкость хранения, возможность синхронной и асинхронной репликации данных. Может использоваться в рамках любой информационной системы, включая ГИС.
- Совместимость с Amazon S3 API и другими совместимыми сервисами S3.
- От 600 до 5000 операций с объектами на один узел хранения в секунду для разных классов обслуживания, что позволяет подбирать стоимость хранения данных в соответствии со скоростью дисков.
- Катастрофоустойчивое гео-распределенное решение «из коробки».
- Функционал сжатия данных «на лету».
Сценарии применения Машины хранения данных Скала^р МХД.О:
- необходимость организации сервиса S3 в частном облаке;
- реализация высокопроизводительного хранилища объектов для разгрузки СУБД (вынос BLOB на внешнее хранилище);
- замена файловых сервисов в информационных системах для повышения безопасности и надежности хранения (за счет использования технологии ключ-значения);
- хранение резервных копий, вместо дисковых массивов и ленточных накопителей;
- реализация распределенных хранилищ с одновременным доступом на разных площадках (катастрофоустойчивое хранение документов/резервных копий), без ограничения расстояния.
Машины хранения данных Скала^р МХД.О являются хорошей заменой традиционных систем хранения файлов SAN, NAS, HDFS и являются альтернативой сервисам Amazon S3 и решениям Dell EMC, ECS Object Storage, Hitachi Content Platform, NetApp StorageGRID, Quantum Lattus Object Storage.
Семейство ПАКов хранения «Гравитон ПХ424И24БМ» («Гравитон»)
«Гравитон, Хабаровск ПХ424И24БМ» - это отказоустойчивый программно-аппаратный комплекс хранения данных на базе решения высокой доступности российского производства с установленной отечественной программно-определяемой средой. Он ориентирован на применение на крупных предприятиях и в государственных организациях.
Он выпускается в нескольких моделях:
- ПАК «Гравитон ПХ424И24БМ-БА» с дисковой подсистемой из 24 SSD/HDD накопителей формата 2,5`/3,5 в базовой конфигурации комплектуется операционной системой BAUM STORAGE AI, зарегистрированной в реестре Минпромторга РФ.
BAUM STORAGE AI – это продукт для управления данными, с применением современных флэш-технологий, как на файловом, так и на блочном уровне, для требовательных приложений: базы данных, виртуальные среды, резервное копирование и т.д. Реализован функционал динамического управления пространством хранения - данные распределяются по всей системе на виртуальных уровнях, что позволяет достичь большей гибкости, надежности системы, а также можно увеличивать объемы виртуальных уровней без остановки работы подключенных к ним систем.
- ПАК «Гравитон» ПХ424И24БМ-РЭ построен на базе системной платы архитектуры х86 российского производства, комплектуется операционной системой RADIX. Реализована поддержка RAID B3 (тройной контроль четности). Возможно реализовать отказоустойчивую двухконтроллерную конфигурацию и гибридную конфигурацию: пул SSD + пул HDD.
- ПАК «Гравитон» ПХ424И24БМ-АР - это отказоустойчивая высокопроизводительная система хранения данных, предназначенная для использования в системах виртуализации, управления СУБД, а так же для файлового хранения, видеонаблюдения, потокового видео, архивирования и резервного копирования. Возможно создание гибридной конфигурации: пул NVMe SSD+ пул HDD.
Максимальный объем «сырого» пространства составляет 2 Пбайт при использовании жестких дисков и 150 Тбайт для конфигурации all-flash. Технологии «тонкого выделения» и многоуровневый кеш позволяют эффективно использовать емкость систем хранения и гибко поддерживать различные рабочие нагрузки. Достигается управляемая производительность до 2 миллионов IOPS в зависимости от конфигурации. Поддерживается обработка блоков, файлов, объектных данных единой унифицированной системой.
ПАК «Гравитон» ПХ424И24БМ-АР комплектуется операционной системой АРГО, которая зарегистрирована в реестре Минпромторга РФ.
Семейство ПАКов хранения данных «Яхонт-RDX» («Рэйдикс»)
Программно-аппаратный комплекс «Яхонт-RDX» создан на базе серверных платформ компании «Норси-транс» и ПО Raidix Elbrus. Разные варианты совместных решений реализуются базе серверных платформ «Яхонт-УВМ Э12», «Яхонт-УВМ Э24», «Яхонт-УВМ Э24 SFF», «Яхонт-УВМ Э48 SFF», использующих отечественные процессоры «Эльбрус». Устройства ориентированы на задачи создания вычислительных кластеров, обеспечения быстрой работы приложений, внедрения АСУ ТП.
ПО Raidix работает на основе собственных технологий RAID-массива. Поддерживаются технологии программного RAID, специализированный функционал для построения инфраструктур на основе накопителей HDD, гибридных и all-flash массивов, а также поддержка отечественной ОС «Альт Сервер».
ПАКи баз данных
Усилия российских разработчиков направлены на решение задач импортозамещения в области передовых решений СУБД, способных заместить продукты мировых вендоров, покинувших российский рынок. У российских производителей есть знаковые проекты в этой области. Например, инфраструктура для высоконагруженной базы данных в рамках государственной единой облачной платформы (ГЕОП, «гособлако») построена на базе отечественных технологий компании «Скала^р».
Машина баз данных Скала^р МБД.П
Машина баз данных Скала^р МБД.П – это программно-аппаратный комплекс, предназначенный для высокопроизводительной транзакционной обработки и хранения данных. Комплекс специально адаптирован для эффективной обработки транзакций в высоконагруженных ИТ-системах на основе СУБД PostgreSQL. Продукт включает отказоустойчивые модули с узлами для проведения вычислений и хранения данных, специализированную систему резервного копирования, сверхскоростную сетевую инфраструктуру, систему интеллектуального управления.
Ключевые преимущества Машины баз данных Скала^р МБД.П:
- Высокая надежность и отказоустойчивость.
- Высокая производительность при работе с базами данных до 40 Тб.
- Возможность построения катастрофоустойчивых решений.
Производительность ПАК Скала^р МБД.П — до 50 тыс. операций в секунду по тестам pgbench. Комплекс демонстрирует практически постоянную производительность с увеличением количества соединений, вплоть до 2000 одновременных подключений. Производительность обеспечивается управлением процессорными потоками и высокопроизводительной сетью внутреннего взаимодействия с низкими задержками и скоростью до 100 Гбит/с.
Технические характеристики Машины баз данных Скала^р МБД.П позволяют считать продукт заменой Oracle Exadata для транзакционных нагрузок.
Скала^р МБД.П применяется для высоконагруженных баз данных и каждый узел оснащен 768 Гб оперативной памяти. Используется программный RAID с производительностью, превышающей параметры аппаратного RAID-контроллера. Специализированное решение позволяет оказывать минимальное влияние на потоковую репликацию, а операции архивирования и резервного копирования вообще не оказывают влияния на клиентские подключения.
Характеристики отказоустойчивости Скала^р МБД.П:
- Кластерная архитектура ПО.
- Автоматическая отработка однократных отказов.
- Сохранность данных и сервиса СУБД при отказе одного узла.
- Автоматическая блокировка доступа в случае отказа двух узлов для гарантированной сохранности данных.
- Мониторинг износа накопителя. Автозамена накопителя.
- Резервное копирование БД средствами встроенного специализированного модуля высокой производительности.
Данные характеристики позволяют обеспечить сохранность данных и проводить полное и инкрементальное копирование. Архитектура модуля резервного копирования обеспечивает кратное увеличение скорости резервного копирования данных до четырех раз и скорости восстановления - до шести раз за счет применения специализированного решения. Данная система резервного копирования дает возможность восстановления ведомого сервера БД, в том числе при существенном отставании от ведущего сервера.
Сценарии применения ПАК Машины баз данных Скала^р МБД.П:
- замена Oracle;
- высоконагруженные системы для скоростной обработки транзакций на основе Postgres;
- платформа баз данных для ответственных приложений федерального уровня
с высокими требованиями к надежности;
- создание сервисов СУБД для частных облаков предприятий;
- катастрофоустойчивые инфраструктуры
ПАК Скала^р МБД.П является продуктом, замещающим Oracle Exadata для транзакционных нагрузок.
Машина больших данных Скала^р МБД.Т для высокоскоростной резидентной распределенной СУБД
Машина больших данных Скала^р МБД.Т — это программно-аппаратный комплекс, предназначенный для распределенных вычислений в оперативной памяти с применением технологии In-Memory Data Grid. Комплекс разработан в тесном взаимодействии с разработчиком высокопроизводительной российской in-memory базы данных на основе Tarantool.
Ключевые преимущества Машины больших данных Скала^р МБД.Т:
- Обработка миллионов операций в секунду.
- Возможная интеграция с любыми источниками информации, такими как PostgreSQL, Oracle Database, Microsoft SQL, MongoDB, Redis и др.
- Неограниченное сегментирование.
- Кластерная репликация данных с приложениями.
- Единый API ко всему кластеру.
Сценарии применения ПАК Машины больших данных Скала^р МБД.Т:
- системы сверхбыстрой отработки изменений и принятия решений в реальном времени;
- буферизация и кэширование оперативной информации, скоростная загрузка и выгрузка данных в аналитических хранилищах;
- создание витрин данных со сверхвысокой скоростью отклика.
ПАК Скала^р МБД.Т является продуктом, замещающим Oracle Exalogic и TimesTen, IBM DB2 (с BLU ускорителем and DashDB), Pivotal (Gemfire XD), решения интеллектуальной памяти компании Teradata (intelligent memory).
ПАК для высоконагруженных СУБД «ДатаРу ДБ» («DатаРу»)
«ДатаРу ДБ» - это ПАК для высоконагруженных СУБД Oracle, PostgreSQL/ PostgresPro. Основан на открытой архитектуре, используется высокопроизводительный х86-сервер корпоративного уровня «ДатаРу БС» собственного производства и технологии виртуализации. Хранение данных - на основе флэш-памяти.
Ключевой функционал «ДатаРу ДБ» - консолидация баз данных. Для решений Oracle с помощью консолидации достигается максимальная производительность (до 16 ЦПУ) с минимальным шагом прироста (по 2 ЦПУ). Сокращение лицензионной нагрузки Oracle может достигать 35%.
Применение функционала консолидации серверных ресурсов «ДатаРу ДБ» для СУБД PostgreSQL и Postgres Pro позволяет экономнее использовать аппаратные ресурсы на протяжении жизненного цикла информационных систем, оптимизировать стоимость лицензирования PostgreSQL и обеспечивают максимальную производительность. Есть результаты тестирования механизма консолидации «ДатаРу ДБ» на базе сервера «ДатаРу БС» с 16 ЦПУ, 448 ядер для задач Postgres Pro.
ПАКи виртуализации, ПАК гиперконвергентной инфраструктуры
Мировая ИТ-отрасль вступила в период гиперконвергентных архитектур и концепции «программно-определяемое все». Эти инфраструктурные тенденции находят отражение, в том числе в российских ПАК.
Тенденции в мировой и российской ИТ-отрасли несколько схожи. В России сегодня также активно проявляется тренд на использование открытых стандартов и подходов, гиперконвергентных архитектур, - говорит Денис Боженко, руководитель проектов Delta Computers. - Производители будут использовать соответствующие концепции при создании ПАКов в ответ на запросы рынка. Это позволит их продукции быть еще более востребованной. |
ПАК - Машина виртуализации Скала^р МВ
Семейство Машин виртуализации Скала^р представлено тремя типами машин: Машина виртуализации общего назначения Скала^р МВ.С, Машина, ориентированная на создание виртуальных рабочих мест, Скала^р МВ.ВРМ, и Машина для построения динамической инфраструктуры Скала^р МВ.ДИ.
• Машина виртуализации Скала^р MB.С — полностью российское решение для создания горизонтально масштабируемой и отказоустойчивой среды виртуализации, предназначена для создания гиперконвергентной ИТ-инфраструктуры ЦОД. Машина поддерживает хранилище данных объемом до 8 Пб, использует низколатентный высокопроизводительный интерконнект 100 Гбит/с; Ключевые преимущества Машин виртуализации Скала^р МВ.С:
- Централизованное управление многокластерными комплексами.
- Быстрое развертывание сред тестирования и разработки.
- Высокая отказоустойчивость на уровне архитектур.
- Автоматизация всего жизненного цикла приложений.
Сценарии применения Машин виртуализации Скала^р МВ.С:
- построение гиперконвергентных сред виртуализации;
- создание основы для частных облаков;
- построение отказоустойчивых инфраструктур виртуализации;
Машина виртуализации Скала^р МВ.С является заменой систем виртуализации VMware, Microsoft Hyper-V, Oracle VM.
• Машина виртуализации Скала^р МВ.ВРМ предназначена для создания инфраструктуры виртуальных рабочих мест пользователей и позволяет обеспечить централизованное управление инфраструктурой до 16 тыс. пользователей на одну Машину.
Скала^р МВ.ВРМ использует специализированную версию платформы виртуализации Скала^р МВ с ПО Базис.WorkPlace, предназначенную для создания инфраструктуры виртуальных рабочих столов.
Использования программного обеспечения Базис.WorkPlace в совокупности с тонкими клиентами и продуктами Лаборатории Касперского позволяют создавать защищенные инфраструктуры управления рабочими столами и успешно реализовывать программы импортозамещения.
Машина имеет сертификацию ФСТЭК.
Ключевые преимущества Машины виртуализации Скала^р МВ.ВРМ:
- Горизонтальное масштабирование и отказоустойчивое исполнение компонентов.
- Централизованное управление рабочими столами, терминальными серверами, приложениями и физическими ПК.
- Гибкое расширение инфраструктуры до десятков тысяч виртуальных рабочих мест.
- Автоматизация жизненного цикла виртуальных рабочих мест.
- Одновременная работа с виртуальными рабочими столами на Windows и Linux c одного устройства доступа.
- Унифицированный подход к управлению рабочими столами на разных ОС.
- Подключение пользователей через защищенный шлюз без прямой связанности между устройством доступа и рабочим столом.
- Поддержка парольной аутентификации и x.509-сертификатов.
Сценарии применения Машин виртуализации Скала^р МВ.ВРМ:
- создание централизованной инфраструктуры рабочих мест «под ключ» с автоматическим управлением жизненным циклом рабочих столов и приложений;
- быстрое масштабирование;
- создание защищенных инфраструктур виртуальных персональных рабочих столов;
- публикация терминальных серверов для удаленного доступа;
- публикация отдельных приложений;
- подключение к физическим ПК.
Машина виртуализации Скала^р МВ.ВРМ является хорошей заменой Citrix, VMware, Microsoft Remote Desktop, Microsoft Terminal services.
• Машина виртуализации Скала^р МВ.ДИ предназначена для создания динамической инфраструктуры, реализует принцип IаС (инфраструктура как код), ориентирована на создание частного облака, а также предоставляет возможность интеграции в конвейер DevOps и может комплектоваться сертифицированными средствами защиты.
Ключевые преимущества Машин виртуализации Скала^р МВ.ДИ:
- портал управления ресурсами частного облака;
- управление жизненным циклом сервисов и приложений;
- управление через API;
- поддержка контейнеров Kubernetes;
- отказоустойчивая архитектура;
- средства управления и эксплуатации Скала^р;
- опция подключения внешних СХД.
Сценарии применения Машин виртуализации Скала^р МВ.ДИ:
- автоматизация развертывания больших сред;
- мультиарендное частное облако;
- автоматизированное управление средой разработки и тестирования.
Машина Скала^р МВ.ДИ является хорошей заменой VMware vSphere, vRealize Automation и Microsoft Hyper-V, Azure Stack.
Для обеспечения функций архивного хранения данных и резервных копий часто, в дополнение к Машинам виртуализации применяются Машины хранения данных Скала^р, которые позволяют обеспечить долгосрочное отказоустойчивое хранение информации, например, Машина хранения данных Скала^р МХД.O.
Машина хранения данных Скала^р МХД.O предназначена для обеспечения сервисов хранения данных на основе протокола S3. Интегрируется с сервисами частного облака и Машинами баз данных и больших данных Скала^р для хранения объектов и файлов, реализации хранения BLOB элементов баз данных, синхронизации данных между ЦОД в системах больших данных. Более подробное описание представлено выше в статье.
ПАК серверной виртуализации («СБКлауд»)
Совместный проект российских компаний «Аквариус» и «РУСТЭК» (ГК «Айтеко») – это полностью российский продукт «из коробки», который может легко интегрироваться в инфраструктуру заказчиков, в том числе государственных организаций.
Компании-заказчики получают ПАК уже готовым к эксплуатации, в котором обеспечена оптимальное сочетание программного и аппаратного слоя для достижения наилучших параметров функциональности. Обслуживание ПАКа осуществляется из одного окна, за работоспособность ПАКа отвечает поставщик продукта.
ПАК Helius (3Logic Group)
Российские программно-аппаратные комплексы Helius предназначена для оперативного развертывания защищенной и безопасной частной облачной инфраструктуры и построения систем виртуализации любого масштаба «под ключ». Предусмотрена возможность создания географически распределенных инфраструктур. Возможно создание также нескольких частных облачных инфраструктур: они создаются в виде объектов класса «Облако», внутри каждого Облака развертывается своя собственная среда виртуализации, программно-определяемой сетевое окружение и программно-определяемая система хранения данных.
ПАК Helius - это готовая ИТ-инфраструктура, которая включает серверы «Гравитон, Хабаровск» (на базе отечественных процессоров «Эльбрус» и «Байкал»), коммутаторов, ИБП и серверных шкафов 42U /19" с установленным ПО, включающим платформу виртуализации и облачную систему управления ресурсами в модели инфраструктура как сервис (IaaS). ПАК Helius адаптируется под разные рабочие нагрузки, благодаря возможности гибкой конфигурации модулей компонуемой ИТ-системы.
Основные особенности ПАК Helius:
- Высокопроизводительное оборудование российского производства.
- Программно-определяемый ЦОД, программно-определяемая СХД (SDS), программно-определяемая сетевая инфраструктура (SDN) 10 Гбит/с с расширенным функционалом и системой мониторинга работы оборудования.
- Отечественная платформа виртуализации, управления и оркестрации. Используется гипервизор KVM. Динамическое выделение виртуализированных ресурсов (виртуальные машины, контейнеры) под конкретные задачи. Гибкая программно-определяемая виртуализированная среда Helius с поддержкой контейнерной виртуализации (Docker, Kubernetes).
- Интегрированные средства управления и обеспечения информационной безопасности. Возможность создания виртуальных сетей и подсетей, виртуальных маршрутизаторов и межсетевых экранов. Можно создать сетевую инфраструктуру любой сложности, включая изолированные подсети (DMZ).
- Модульная архитектура. Вычислительная система Helius поставляется в виде готовых модулей с установленной и настроенной программной средой защищенной частной облачной инфраструктуры. Простое и гибкое масштабирование системы простым добавлением модулей и/или серверов.
ПАК Helius – это готовая платформа для call-центра, систем видеонаблюдения и видеоаналитики.
ПАК «ДатаРу ЧАСТНОЕ ОБЛАКО» («DатаРу»)
ПАК «ДатаРу ЧАСТНОЕ ОБЛАКО» предназначен для развертывания крупных ИТ-систем с большим количеством пользователей. Для них обеспечивается эластичная архитектура, масштабирование, автоматизация, самообслуживание, отказоустойчивость и бесперебойная работа, защита данных и возможность работы с информацией ограниченного доступа.
Поддерживается вертикально масштабирование в рамках одного узла и работа с чувствительными данными. Аппаратная платформа ПАК включает российское оборудование:
- Ультрамасштабируемые серверы «ДатаРу БС» на базе процессоров Intel Xeon Cascade Lake, разработанные для высоконагруженных задач (включая СУБД In-Memory), проектов, связанных с виртуализацией, консолидацией и внедрением решений искусственного интеллекта.
- СХД ХТ380 объемом до 150 Тб.
- Коммутаторы семейства «ДатаРу КА»
Программное обеспечение ПАК включает продукты Astra Linux: автоматизация, управление и защита данных с возможностью обработки данных уровня «особой важности» включительно.
Варианты исполнения ПАК «ДатаРу ЧАСТНОЕ ОБЛАКО»:
- «ДатаРу ГК»: ПАК для гиперконвергенции.
- «ДатаРу БА»: для создания сбалансированной гиперконвергентной инфраструктуры (HCI), оптимизированной для среды VMware. Используются серверы «ДатаРу БА» с процессорами AMD EPYC 2 поколения для хранения данных высокой плотности.
ПАК «СИЛА» – «ТИОНИКС» («Сила «)
Цель совместной разработки российских компаний «Сила» и «ТИОНИКС» - дать возможность компаниям с помощью ПАКа создавать корпоративные и частные облака на базе гипервизора KVM и разворачивать инфраструктуру виртуальных рабочих столов.
Аппаратная часть решения включает гибридную систему хранения данных СИЛА СХ3 и серверную платформу СИЛА СР1. Например, СХД СИЛА CX2-1035 - унифицированный массив хранения данных, предназначенный для средних и крупных предприятий. Решение поддерживает емкость хранения от 1,2 Тб до 8 Пб (сырая), файловый и блочный доступ, VMware VVols, охватывает широкий диапазон рабочих нагрузок SAN и NAS. В числе других особенностей СХД СИЛА CX2-1035 - встроенные алгоритмы оптимизации использования файлового пространства для флэш-памяти, снэпшоты, локальная и удаленная репликация данных, встроенное шифрование, глубокая интеграция с экосистемами VMware, Microsoft и OpenStack, поддержка 3D NAND TLC флэш-памяти для максимальной плотности.
СИЛА СР1-6326 - универсальный высокоплотный двухпроцессорный сервер общего назначения 1U, предназначенный для установки в стойку, подходит для сред с требованиями к высокой плотности вычислительных мощностей и рассчитан на широкий спектр рабочих нагрузок.
Сервер СИЛА СР1-6326 подходит для нагрузок веб-приложений, СУБД, облачных вычислений, коммуникационных бизнес-приложений, обработки больших данных и других ресурсоемких задач и может применяться как унифицированный узел в высоконагруженных вычислительных кластерах и масштабируемых программно-определяемых средах.
Программная часть ПАКа представлена облачной платформой ТИОНИКС и модулем Tionix Virtual Desktop для виртуальных рабочих столов. Программный продукт ТИОНИКС позволяет компании построить на собственных аппаратных ресурсах частное или публичное облако. Фактически это готовое решение для организации сервиса IaaS (инфраструктура как сервис).
ПАК виртуализации и защиты виртуальных вычислений «Горизонт-ВС» (инновационный центр «Баррикады»)
«Горизонт-ВС» — программно-аппаратный комплекс виртуализации и защиты виртуальных вычислений, отечественная сертифицированная платформа для создания доверенных отказоустойчивых облачных инфраструктур любого масштаба с централизованным управлением, миграцией, масштабированием и поддержкой мобильных технологий.
Комплекс обеспечивает полный контроль над виртуальной инфраструктурой из слоя гипервизора — области, недостижимой для злоумышленников и вредоносного программного обеспечения. В слое гипервизора сосредоточены средства мониторинга и защиты информации.
Одним из основных компонентов подсистемы информационной безопасности является специализированный аппаратный модуль идентификации и контроля доверенной среды (МИиКДС). Изделие предназначено для защиты автоматизированных рабочих мест (АРМ), являющихся терминалами рабочих станций «тонкий клиент» и серверов, от несанкционированного доступа (НСД), а также для защиты информации, передаваемой по сети, и генерации аутентификационной информации для подключения пользователей терминалов к виртуальным ОС, исполняющимся на сервере.
«Горизонт-ВС» позволяет вывести ряд функций по обеспечению безопасности информации и администрированию за пределы виртуальной инфраструктуры и гарантировать корректное ее функционирование даже при наличии в ней уязвимостей. На базе платформы «Горизонт-ВС» возможно построение антифрод-систем с гарантированным уровнем защищенности. Средствами платформы обеспечивается защита от внутреннего нарушителя и предоставляется возможность полного контроля со стороны служб информационной безопасности потребителя над функционирующими сервисами с использованием средств аппаратной защиты.
Другие функции информационной безопасности ПАК «Горизонт-ВС»:
- Встроенный брандмауэр для виртуальной машины, позволяющий контролировать трафик.
- Управление доступом на основе ролей.
- Аппаратная защита подключения терминалов и виртуальной среды.
- Встроенная подсистема учета печати, учета и контроля USB-подключений.
- Встроенная подсистема контроля доступа к разделяемым накопителям.
- Мандатное разграничение доступа виртуальных машин к внутренним и внешним ресурсам.
ПАК «Горизонт-ВС» обеспечивает возможность функционирования на существующей и перспективной импортной и отечественной элементной базе. Функционал виртуальной машины включает установку на «голую» аппаратную платформу, конвертацию физического сервера/АРМ в виртуальную среду, добавление устройств во время исполнения без прерывания работы (диски, сетевые адаптеры), перезапуск виртуальных машин после сбоя в соответствии с приоритетами.
Реализована возможность быстро создавать виртуальные машины и запускать несколько операционных систем на одном сервере, осуществлять миграции виртуальных машин с автоматическим распределением нагрузки в том случае, если один из хостов кластера оказывается загружен больше остальных.
В части системы хранения данных реализована технология «тонких дисков», позволяющая экономить дисковое пространство на системах хранения данных. Есть интерфейс, позволяющий сторонним системам резервного копирования работать без оказания существенной нагрузки на сервер (используется технология создания мгновенных снимков виртуальных машин). Принцип Fault tolerance (zero downtime HA) для многопроцессорных систем.
ПАК высокой готовности для виртуализации сервисов (DEPO Computers)
ПАК создан на базе полностью отечественного ПО и оборудования. В качестве аппаратной части ПАКа используются высокопроизводительные отказоустойчивые серверы DEPO Storm, высокоскоростная сеть передачи данных, построенная на коммутаторах DEPO Switch, надежная расширяемая отечественная подсистема хранения данных DEPO Storage.
На базе данного ПАКа создается доверенная среда виртуализации: использование сертифицированных аппаратных модулей идентификации и контроля доверенной среды «Шина» обеспечивает аутентификацию пользователей, проверку подлинности участников информационного обмена и защиту передаваемых данных.
Соблюдаются требования регуляторов по обеспечению максимального уровня защищенности персональных данных.
ПАК совместим с системами резервного копирования и СЗИ. Может работать режиме метрокластера.
Многофункциональная платформа виртуализации поддерживает современные технологии создания и управления виртуальными машинами, включая конвертацию физических машин в виртуальные, создание резервных копий и мгновенных снимков виртуальных машин. Поддерживается динамическое расширение дисков виртуальных машин.
Поддерживается «горячая» миграция виртуальных машин, в том числе между географически удаленными серверами. Ролевая модель управления доступом позволяет создавать комплексные правила доступа виртуальных машин ко всем внутренним и внешним ресурсам информационной системы. Поддерживается мандатная модель разграничения доступа.
Обеспечена возможность функционирования в гиперконвергентном режиме и в конвергентном режиме с блочными СХД. Технология тонких дисков позволяет экономить дисковое пространство на системах хранения данных.
ПАК для обработки информации ограниченного доступа в виртуальной среде DEPO vGT (DEPO Computers)
Как говорит производитель решения, DEPO vGT совмещает требование государственной тайны и виртуализацию. Оно соответствует требованиям для работы с документами, содержащими конфиденциальную информацию до уровня грифа «совершенно секретно», и подходит для виртуализации, как серверов, так и рабочих столов, особенно для работы конструкторов, архитекторов, дизайнеров, работающих с 3D-контентом. Поддерживает наложенные средства защиты информации для сред виртуализации VMware и Hyper-V, что дает возможность пользования привычной средой виртуализации с богатой функциональностью и безопасность, но в соответствии с российским законодательством.
Аппаратный базис ПАК vGT включает вычислительный кластер на базе производительных серверов DEPO Storm с опциональной поддержкой GRID и СХД DEPO Storage, высокоскоростную сеть передачи данных, построенную на коммутаторах DEPO Switch, надежные клиентские устройства DEPO Neos и бездисковые тонкие клиенты DEPO Sky. В состав ПО ПАКа входят сертифицированные программные и аппаратные средства защиты информации, среда виртуализации VMware или Hyper-V с широкими функциональными возможностями. Архитектура программно-аппаратного комплекса DEPO vGT обеспечивает простое вертикальное и горизонтальное масштабирование решения.
Комплекс средств защита информации на всех уровнях автоматизированной системы отвечает требованиям защиты автоматизированных систем, обрабатывающих информацию ограниченного доступа до грифа «совершенно секретно»:
- Защита среды виртуализации vGate R2, vGate-S R2.
- Аппаратно-программные модули доверенной загрузки «Соболь».
- Защита от несанкционированного доступа Secret Net.
- Межсетевое экранирование и защита каналов связи АПКШ «Континент».
- Система обнаружения вторжений - ДА «Континент».
- Средство анализа защищенности XSpider.
- Антивирусная защита Kaspersky Endpoint Security.
ПАК виртуализации «ЗВЕЗДА» (НПЦ «МАКС»)
Программно-аппаратный комплекс виртуализации ПАК «ЗВЕЗДА» разработан НПЦ «МАКС» в альянсе с ИЦ «Баррикады», производителем сертифицированной платформы виртуализации «Горизонт-ВС», которая может использоваться для защиты информации в государственных информационных системах (ГИС) до 1 класса защищенности и для обеспечения защищенности персональных данных до 1 уровня включительно.
Российский ПАК «ЗВЕЗДА» обеспечивает формирование, информационную защиту и мониторинг корпоративной ИТ-инфраструктуры. Обеспечивает также возможность аттестации автоматизированной системы даже при использовании несертифицированных ОС в защищенном контуре. Возможность доверенного исполнения в аттестованном контуре десктопных несертифицированных операционных систем, в том числе различных версий ОС Windows и отечественных несертифицированных операционных систем из реестра отечественного ПО.
Основные характеристики ПАК «ЗВЕЗДА»:
- Виртуальное защищенное рабочее место пользователя (VDI), по производительности не уступающее западным аналогам.
- Функционирование гипервизора непосредственно на аппаратной платформе без вспомогательной ОС.
- Совместимость на уровне форматов файлов виртуальных машин с системой виртуализации VMWare. Возможность миграции из действующей виртуальной среды (в том числе, VMWare, Hyper-V и др.) с использованием специализированных встроенных средств.
- Возможность постепенной миграции действующих сервисов информационных систем в виртуальную среду.
- Централизованное управление виртуальной ИТ-инфраструктурой. Встроенные средства мониторинга всех уровней предоставляемых сервисов.
Поддерживается масштабирование инфраструктуры виртуальных автоматизированных рабочих мест более чем на 1млн. пользователей.
ПАКи аналитической обработки больших данных
Технологии информатизации превращают компании в огромные хранилища больших данных. С помощью средств аналитической обработки эти данные превращаются в новые знания, которые помогают специалистам принимать правильные, эффективные, продуманные решения. Посмотрим, какие российские решения аналитики Big Data поставляются в виде программно-аппаратных комплексов.
Семейство ПАК - Машина больших данных Скала^р МБД.8
Машина больших данных Скала^р МБД.8 на основе решений компании Arenadata и Picodata, предназначена для создания инфраструктуры хранения, преобразования и одновременной аналитической и статистической обработки больших объемов информации. Машина поддерживает различный набор нагрузок, например, технологии уровня Big Data, распределенное хранилище, аналитические колоночные базы, системы обработки информации в оперативной памяти, комплексы потоковой обработки и преобразования данных и Data Science.
В состав продуктов семейства Машины больших данных Скала^р МБД.8 входит:
- ПО развертывания, обновления, управления и мониторинга, предустановленное на узле управления.
- ПО для работы с большими данными в соответствии с функционалом машины, предустановленное на стандартизованных узлах.
- Сетевая инфраструктура, которая позволяет создавать сети клиентского доступа, внутреннего взаимодействия и мониторинга в отказоустойчивом исполнении.
К числу важных преимуществ Машины больших данных Скала^р МБД.8 относится простота эксплуатации. Машина не требует добавления стороннего ПО и оборудования. После установки и подключения в сети заказчика она полностью готова к работе. В компании-производителе говорят, что Машину больших данных Скала^р МБД.8 можно рассматривать как «готовое коробочное решение со стандартным интерфейсом».
Машина поддерживает горизонтальную масштабируемость посредством подключения соответствующих дополнительных модулей, что позволяет легко адаптироваться под любой тип нагрузок. Продукт снабжен стандартными сетевыми интерфейсами для подключения к инфраструктуре заказчика на скоростях до 100 Гбит/с.
Машина больших данных Скала^р МБД.8 использует систему управления эксплуатацией Скала^р Геном. Она обеспечивает контроль развертывания компонентов, ведет электронный паспорт, отслеживает состояние узлов и конфигураций.
Семейство Машин больших данных Скала^р МБД.8
Семейство ПАК - Машина больших данных Скала^р МБД.8 включает ряд моделей:
• Машина больших данных Скала^р МБД.Г. Предназначена для массово-параллельной аналитической обработки данных (на основе СУБД Greenplum).
Является важным компонентом в комплексах инфраструктур больших данных и используется в связке с машинами потоковой обработки (например, Скала^р МБД.С) и другими специализированными СУБД (например, Скала^р МБД.КХ и МБД.Т).
Машина позволяет обрабатывать петабайты информации за счет применения параллельной обработки запросов на узлах, что дает возможность одновременно задействовать мощности всех узлов. За счет применения алгоритмов параллельной обработки данных обеспечивается практически постоянная производительность, вне зависимости от роста количества запросов, а также высокий уровень доступности данных.
Ключевые преимущества Машины больших данных Скала^р МБД.Г:
- Машина обрабатывает данные там, где они хранятся, к пользователю отправляется только результат вычислений.
- Вычислительные узлы непосредственно обращаются к локальным данным, исключая необходимость их пересылки по сети, это повышает производительность решения.
- Максимальный объем баз данных не имеет логического ограничения. При превышении объема в 300 Тб потребуется модификация сетей взаимодействия.
- Решение всегда хранит две зеркальные копии данных и почти не снижает скорости обработки информации при переходе на зеркальные сегменты.
- Система изначально спроектирована под накопители прямого подключения и массовый параллелизм.
Сценарии применения ПАК Машины больших данных Скала^р МБД.Г:
- Классические хранилища данных с возможностями масштабирования для системы отчетности.
- Сверхбольшие хранилища данных до десятков петабайт для сложных аналитических запросов.
- Работа систем маркетинговых кампаний, систем лояльности.
ПАК Скала^р МБД.Г является продуктом, замещающим Oracle Exadata для аналитической и гибридной нагрузки, а также соответствующие решения Teradata.
• Машина больших данных Скала^р МБД.Х для обработки больших данных c применением технологий экосистемы Hadoop.
Машина предназначена для хранения исторических данных в слабоструктурированной форме, предназначенных для статистического и предсказательного анализа, применения моделей машинного обучения. Позволяет расширять возможности существующих аналитических систем за счет структурирования и унификации доступа к слабоструктурированным данным, практически неограниченно масштабируется по объему обрабатываемых данных. Дополнительно Машина применяется для поиска корреляций в данных, хранящихся в различных форматах: журналы событий, потоковые операции, данные Интернета вещей и других источников.
Ключевые преимущества Машины больших данных Скала^р МБД.Х:
- Синхронный кластер ведущих узлов с резервированием дисковой подсистемы.
- Две синхронные копии данных на рабочих узлах.
- Выход из строя узла вычисления и хранения не приводит к потере данных. RTO = 0.
- Программный RAID следит за износом накопителей и может выполнять автозамену дисков.
- Опционально Машина может комплектоваться модулем резервирования для ускоренного создания резервных копий БД.
Сценарии применения Машины больших данных Скала^р МБД.Х:
- построение озер данных;
- выявление скрытых зависимостей и противодействие мошенничеству;
- анализ отзывов клиентов для повышения лояльности;
- маркетинговый анализ;
- преобразование неструктурированных и частично структурированных данных в структурированную форму;
- журналирование информации промышленных систем и интернета вещей.
Является хорошей заменой следующих технологий: Oracle BigData Appliance, Teradata Appliance for Hadoop, EMC DCA, Amazon Elastic MapReduce, Google Cloud DataProc.
• Машина больших данных Скала^р МБД.Т. Это Машина распределенных вычислений в оперативной памяти c применением технологии In-Memory Data Grid (на основе СУБД Tarantool). Применяется для сверхбыстрой отработки данных и принятия решений в реальном времени. Поддерживает буферизацию и кэширование скоростной загрузки и выгрузки данных в аналитических хранилищах, используется при создании витрин данных со сверхвысокой скоростью отклика.
Ключевые преимущества Машины больших данных Скала^р МБД.Т:
- обработка миллионов операций в секунду;
- возможная интеграция с любыми источниками информации, такими как PostgreSQL, Oracle Database, Microsoft SQL, MongoDB, Redis и др.;
- неограниченное сегментирование;
- кластерная репликация данных с приложениями;
- единый API ко всему кластеру.
Сценарии применения Машины больших данных Скала^р МБД.Т:
- Системы сверхбыстрой отработки изменений и принятия решений в реальном времени.
- Буферизация и кэширование оперативной информации, скоростная загрузка и выгрузка данных в аналитических хранилищах.
- Создание витрин данных со сверхвысокой скоростью отклика.
ПАК Скала^р МБД.Т является продуктом, замещающим Oracle Exalogic и TimesTen, IBM DB2 (с ускорителем BLU Acceleration and DashDB), Pivotal (Gemfire XD), решения интеллектуальной памяти компании Teradata (intelligent memory).
• Машина больших данных Скала^р МБД.С для потоковой обработки данных в реальном времени на основе Apache Kafka и NiFi. Предназначена для обработки событий в реальном времени от автоматизированных систем служб мониторинга, позволяет проводить операции с запросами в реальном времени и получать данные из потоков информации с устройств IoT (Интернет вещей), позволяет выступать в качестве шины обмена данными в распределенных приложениях, обеспечивает трансформацию и преобразование данных ETL и применяется в качестве интеграционной шины для приложений использующих модель издатель-подписчик.
Ключевые преимущества Машины больших данных Скала^р МБД.C:
- Обеспечивает обработку огромных объемов сообщений в очереди.
- Использует кластерные отказоустойчивые и масштабируемые конфигурации.
- Поддерживает широкий набор процессоров для обработки данных (Spark, S3, HDFS, Postgres, ElasticSearch).
- Обладает удобным интеграционным интерфейсом.
Сценарии применения Машины больших данных Скала^р МБД.С:
- потоковая обработка данных;
- очистка и транспортировка;
- обработка событий в реальном времени для служб мониторинга,
- работы с чрезвычайными ситуациями;
- аналитика в реальном времени;
- обработка потоков информации с множества конечных устройств IoT;
- агрегация статистики из распределенных приложений
для корпоративных витрин данных (ETL-хранилищ).
Может является заменой следующих технологий: Google Cloud Pub / Sub, Платформа MuleSoft Anypoint, Rabbit MQ, IBM MQ, Azure Event Hubs, Amazon Kinesis Data Streams.
• Машина больших данных Скала^р МБД.КХ для обработки запросов по структурированным данным в колоночной аналитической СУБД на основе ClickHouse. Предназначена для построения сверхбыстрых витрин данных, аналитических изысканий, требующих перебора гипотез, для анализа поведения пользователей, маркетинговых компаний и систем лояльности, а также для скоринговых систем.
Ключевые преимущества Машины больших данных Скала^р МБД.КХ:
- Линейная масштабируемость на петабайты данных. Применение решения cross-datacenter позволяет «растянуть» решение на несколько дата-центров.
- Высокая доступность с нужным фактором репликации.
- Сжатие данных в десятки и сотни раз.
- Встроенный диалект SQL имеет функции для приблизительных вычислений.
- Более чем в 100 раз быстрее классических СУБД и в 2 - 20 раз быстрее колоночных конкурентов.
Сценарии применения Машины больших данных Скала^р МБД.КХ:
- сверхбыстрые витрины данных с задаваемой глубиной выборки;
- обработка событий в реальном времени для служб мониторинга, работы с чрезвычайными ситуациями;
- аналитические изыскания, требующие скорости перебора гипотез;
- работа систем маркетинговых кампаний и систем лояльности,
скоринг реакций и обработка метрик.
Может служить заменой следующих технологий: Vertica, Paraccel (Amazon RedShift), аналитическая нагрузка Oracle Exadata, Teradata, SAP HANA.
Машины больших данных Скала^р МБД.8 дают возможность создавать масштабируемые корпоративные хранилища данных с аналитическими витринами посредством объединения нескольких типов машин с различным функционалом в комплексные системы, на базе которых могут работать различные аналитические инструменты. Например, аналитические решения российской компании Polymatica, PIX BI и других производителей.
ПАК для предиктивной видеоаналитики «ДатаРу ВА» («DатаРу»))
«ДатаРу ВА» - программно-аппаратный комплекс, поддерживающий масштабируемые решения для предиктивной видеоаналитики на основе периферийных вычислений.
«ДатаРу ВА» - это единое конфигурируемое решение для филиалов разного размера и критичности. Реализована возможность полного удаленного управления и поддержка виртуализации для внедрения нескольких ПО для видеоаналитики на одном сервере.
ПАК создан базе семейства серверов «ДатаРу БИ». Это серверы для периферийных вычислений, которые обеспечивают аналитику данных в режиме реального времени в непосредственной близости от источника данных, осуществляют видеоаналитику, а также оценку качества производимой продукции в проектах с видеонаблюдением. Основное преимущество подобных серверов – возможность работы вне стандартного ЦОДа.
В серверах «ДатаРу БИ» используется промышленное решение для периферийных вычислений на базе специальной линейки CPU Intel Xeon D и до двух GPU NVidia Т4/А2. Поддерживаются различные сетевые интерфейсы 3G/4G, Bluetooth, Wi-Fi, LoRaWAN. Обеспечивается защита на программном и аппаратном уровнях.
Предконфигурация серверов ДатаРу БИ и установка «золотого образа» на фабрике позволяет существенно минимизировать сроки на ввод всего решения в эксплуатацию.
Средства ИБ ПАКа «ДатаРу ВА» включают обнаружение физического проникновения, безопасную загрузку системы, шифрование дисков.
Реализована возможность предоставления инструмента для управления, обновления и мониторинга парка оборудования через единое окно.
ПАК цифровой обработки сигналов и машинного зрения (НТЦ «Модуль»)
ПАК решает задачи цифровой обработки сигналов и машинного зрения с помощью механизма нейронных сетей. Устройство ориентировано на задачи исполнения обученных глубоких нейронных сетей.
ПАКСоздан на основе вычислительного сервера NM Desktop на базе отечественных процессоров «Эльбрус» с модулями NM Card Mini или NM Quad с архитектурой NeuroMatrix в составе нейропроцессора.
Программное обеспечение ПАКа включает ПО модуля NMCard Mini для Linux, ПО модуля NMCard Mini для Windows и программный пакет NMDL (NeuroMatrix DeepLearning) - комплект программных средств для разработки и реализации глубоких нейронных сетей.
Программный пакет NMDL с кроссплатформенной реализацией включает:
- Компилятор моделей.
- Динамически линкуемые библиотеки.
- Утилиты и визуализаторы.
- Симулятор.
ПАК «Трафик-Монитор» для измерения параметров транспортного потока (НТЦ «Модуль»)
ПАК предназначен для определения в реальном времени характеристик транспортных потоков по информации от видеокамер. Ключевой блок аппаратной части ПАК - нейропроцессор собственной разработки, ориентированный ускорение вычислений и выполненный в формате классического графического ускорителя для настольных ПК.
Программное обеспечение «Трафик-Монитор» составляет семейство программных продуктов, предназначенных для обработки потокового видео от IP-камер и анализа видеоконтента:
- ПО TMServer - сетевой программный видеодетектор, который анализирует видеопоток, формируемый удаленной IP-камерой или медиа-сервером. Он поддерживает различные протоколы доставки медиаконтента.
- GStreamer - кроссплатформенный мультимедийный фреймворк, используемый для приема и обработки цифрового видео.
TMControl – это GUI приложение для управления программным детектором транспорта TMServer.
- TMKernel - программный модуль видеоаналитики, служит для обработки последовательностей видеокадров с целью обнаружения и классификации транспортных средств. Представляет собой специализированную библиотеку функций обработки (распознавания) изображений, предназначенную для работы в среде TMServer. При создании TMKernel применялась глубокая оптимизация алгоритмов обработки изображений.
ПАК для продвинутой аналитики («Росэнергоатом»)
Программно-аппаратный комплекс для продвинутой аналитики является совместным решением компаний Delta Computers и «Форсайт». Это высокопроизводительный продукт, который работает с разными типами данных и их источников, позволяя оперативно выполнять сложные расчеты.
Аппаратная составляющая ПАКа – производительные серверы компактного форм-фактора Delta Tioga Pass компании Delta Computers, которые обеспечивают высокую скорость обработки больших массивов данных. Программная часть ПАКа – ПО «Форсайт. Аналитическая платформа». Как утверждают разработчики, ПАК предназначен для замещения не только импортных решений класса BI, но и импортозамещения аппаратной составляющей высокоуровневого аналитического решения.
Система прогностики и удаленного мониторинга ПРАНА («Ротек»)
Индустриальное IoT-решение для диагностики и прогноза состояния промышленного оборудования с целью повышения эффективности его работы и снижения эксплуатационных затрат. По утверждению производителя, точность прогноза составляет 99,9%, а время реакции системы на отклонение контролируемого параметра составляет 1 с.
Решение ПРАНА объединяет методы статистического анализа и технологии машинного обучения – они организованы в экспертные модули, которые содержат архив признаков дефектов и инструменты обработки больших данных. Для обучения нейросетей используется 6 Тб обработанных данных, как показаний датчиков, так и результатов автоматической аналитики. Поток технологических тегов размечен по релевантности к неполадкам и отклонениям в работе оборудования.
Статистический анализ составляет аналитическое ядро системы - MVSM-блок (Multivariate Vector Statistical Model). MVSM-ядро необходимо для создания и проигрывания многомерных моделей состояния оборудования – цифровых образов, которые описывают, как оборудование работает в рамках контрольного периода и в реальном времени. Проигрывание моделей по фактическим эксплуатационным данным дает возможность выявлять отклоняющиеся параметры в работе промышленного оборудования с крайне высокой чувствительностью, даже если они еще не влияют на состояние установки, а значит, не фиксируются традиционными системами управления и мониторинга.
ПО аналитического сервера располагается в ситуационном центре «Ротек». На его мощностях работает ПО серверной части системы ПРАНА, которая включает систему хранения и управления базами данных, аналитический аппарат, а также сервер для клиентских приложений.
Для сбора параметров работы оборудования на промышленном объекте разворачивается нижний уровень системы, позволяющий безопасно собирать и передавать данные в ситуационный центр. Локальный сервер, необходимый для сбора и первичной обработки технологических данных оборудования, устанавливается на производственном объекте, подключается к системе АСУ ТП и другим возможным интерфейсам. Локальный сервер устанавливает защищенное VPN-соединение с сервером ситуационного центра, а также включает маршрутизатор «Дата Диод», который гарантирует безопасную передачу данных и недоступность внутренней сети предприятия извне.
Система ПРАНА в реальном времени анализирует данные, поступающие от работающего оборудования и автоматически выявляет любые отклонения, ранжируя их по степени вклада в формируемый дефект. Эта информация передается на рабочие места экспертов ситуационного центра для выдачи рекомендаций эксплуатационному персоналу. Для экстренного оповещения используются SMS, email, звонки и push-уведомления.
На рынке предлагается ряд отраслевых вариантов ПАК ПРАНА: для энергетики (паровые турбины, газодожимные компрессорные станции, генераторы, трансформаторы, котлы и т.д.), ЖКХ (системы водоподготовки, холодильные установки, установки опреснения воды и т.д.), добывающей и перерабатывающей промышленности (главные вентиляторы шахт, доменные печи, сталеплавильные печи, реакторы химические и атомные, сталепрокатные станы и др.).
При организации корпоративного ситуационного центра возможна установка тонких клиентов: система ПРАНА предоставляет доступ к данным аналитики и исходным архивам данных через клиентский веб-интерфейс и мобильные приложения.
В системе ПРАНА реализован функционал создания интеллектуальных архивов о работе оборудования. Он затем используется для тренировки нейронных сетей и других алгоритмов машинного обучения.
ПАК распознавания лиц LUNA СКУД (VisionLabs)
ПАК LUNA СКУД поддерживает хранение до 500 тыс. лиц. Все данные хранятся в зашифрованном виде и в случае угрозы не подлежат дешифровке. Двухсенсорная камера делает возможной работу устройства как в случае сложных условий засветки изображения, так и в полной темноте. Широкий вертикальный угол обзора камеры позволяет сохранить привычный подход к установке устройства, но одновременно обеспечить эффективный захват лиц людей с ограниченными возможностями. Имеет на борту все необходимые интерфейсы ввода-вывода и при этом компактный размер.
В испытаниях система продемонстрировала показатель количества ошибок при распознавании лиц на уровне 0,002. Система настраивается таким образом, чтобы дверь или створки турникета открывались без какой-либо задержки потока людей. В состав ПО ПАКа входит алгоритм проверки liveness (защита от атаки в виде демонстрации в объектив камеры распечатанного изображения или видеофрагмента на экране телефона/компьютера, содержащего лицо человека, имеющего право доступа на объект).
Устройство обработки видеопотока LUNA ACE для СКУД (VisionLabs)
Программно-аппаратный комплекс LUNA ACE для СКУД позволяет реализовать альтернативный способ прохода через турникет путем идентификации лиц пользователей и формирования сообщений в СКУД для открытия турникетов на основании результатов распознавания.
Устройство обработки видеопотока осуществляет обработку видеопотока с IР-камер, выбор лучшего кадра, проверку Liveness и отправляет лучший кадр в подсистему распознавания лиц Access Control Server.
Основной функционал Access Control Server:
- Извлечение биометрического шаблона
- Идентификация
- Хранение/управление биометрическими шаблонами
- Генерация событий
- Графический интерфейс для управления биометрическими данными
Программное обеспечение ПАК LUNA ACE для СКУД включает также подсистему управления устройствами АСЕ Management Server, которая выполняет функции управления комплексом LUNA АСЕ, формирует запросы на идентификацию в Access Control Server, хранит номера карт доступа и взаимодействует с ПО СКУД в части добавления или изменения номеров карт доступа.
ПАКи для управления большими данными
ПАК «ДатаРу ОД» для озер данных («DатаРу»)
Программно-аппаратный комплекс «ДатаРу ОД», предназначенный для обработки и хранения большого объема неструктурированных данных (Big Data), позиционируется как согласованная система управления данными и обеспечения безопасности, которая осуществляет управление всем жизненным циклом информации, включая получение, очистку, комбинирование, обнаружение, аудит данных, анонимизацию данных вплоть до извлечения и уничтожения данных, а также внедрение политик управления данными.
Оно помогает преодолеть разрозненность данных и управлять всеми данными из единой точки контроля, говорят в компании-производителе. То есть компания получает контроль ад всей инфраструктурой, приложениями и операциями, что обеспечивает высокий уровень совместимости с ПО обработки данных, минимизирует риск сбоев в системе и обеспечивает информационную безопасность данных.
ПАК ДатаРу ОД» — это предварительно сконфигурированное, масштабируемое, простое в использовании и полностью виртуализированное приложение.
Устройство предлагается в виде программно-аппаратного комплекса на базе сервера «ДатаРу БА». Благодаря возможностям динамической настройки конфигурации сервер «ДатаРу БА» сочетает высокую производительность, динамичность и эффективность. ПАК «ДатаРу ОД» имеет сертификацию ArenaData.
С помощью «ДатаРу ОД» специалисты по аудиту могут контролировать доступ к конфиденциальным данным. Специалисты по анализу данных и искусственному интеллекту получают возможность исследовать данные.
ПАК крипто-анклавов (ВТБ)
Понятие крипто-анклава подразумевает, что партнеры по обмену данными передают данные в криптозащищенную область и получают гарантии отсутствия доступа у других участников анклава к их данным. Фактически монопольное положение в данном сегменте мирового рынка занимает технология Intel SGX. Она подразумевает, что алгоритм крипто-анклава «зашит» в процессор, который гарантирует отсутствие доступа у кого-либо к защищенной части памяти.
Крипто-анклав, который разрабатывается совместно специалистами ВТБ и МФТИ, - это отечественная разработка, ПАК, в котором обеспечивается защита на программном и физическом уровне. Производитель позиционирует его как инструмент для безопасного обмена данными: некий «ящик», в который можно положить любые данные, а забрать только необходимый результат. Результат формируется внутри криптоанклава с применения специальных программных роботов, полностью без участия человека.
Особенности ПАК крипто-анклава:
- Применение строго регламентированных алгоритмов для анализа их данных.
- Возможности получения на выходе анклава исключительно результатов применения моделей на данных участников анклава без доступа к исходной информации.
- AutoML-модуль «слепого» машинного обучения. Позволяет реализовать обучение в анклаве на полностью импортозамещенных технологиях. Кроме того, с использрванием ПАК становится возможным легкое масштабирование вычислительных мощностей.
Слой основных технологических процессов включает: подготовку и контроль качества данных (профилирование данных, управление сервисными соглашениями об их составе и качестве), формирование пространства признаков, отслеживание показателей качества.
Слой конвейеризированной обработки данных в крипто-анклаве включает: сопоставление данных с единой моделью, обогащение данных, автоматические машинное обучение.
ПАКи для поддержки нейросетевых моделей
Обучение нейросетей – весьма ресурсоемкий процесс. Логично использовать для этих целей комплексы, которые создаются по принципу ПАКа.
Специализированный сервер «Тринити» для обучения нейросетей («Тринити»)
Специализированная версия высокопроизводительного сервера «Тринити» ER220R, включенная в реестр российской промышленной продукции Минпромторга, создана на базе двухпроцессорного двухюнитового сервера «Тринити» с использованием трех GPU TESLA T4.
В устройстве реализована высокая плотность размещения вычислительных ресурсов, что диктует особые требования к конструкции, питанию и охлаждению серверов. Специального для данного решения разработано и изготовлено решение, обеспечивающее эффективное охлаждение нескольких GPU. Есть также вариант дополнительного охлаждения в виде термокожухов на видеокарты и охладительный элемент к каждой карте. Как заявляют в «Тринити», модификация позволяет эксплуатировать сервер под любой нагрузкой в течение неограниченного времени, при этом все компоненты работают на своих максимальных частотах и с большим запасом по температуре, что обеспечивает стабильную производительность, надежность и длительный срок эксплуатации комплекса.
Нейросетевой вычислитель Модуль NM Stick в форм-факторе «флешки» (НТЦ «Модуль»)
Компактный нейросетевой вычислитель в форм-факторе USB Flash drive предназначен для использования в качестве портативной платформы для приема, обработки, хранения и передачи потоков данных в составе ПК, систем цифровой обработки сигналов и машинного зрения. Фактически это нейросетевой аппаратно-программный одноплатный компьютер в форм-факторе флешки.
На технологическом уровне модуль стыкуется с внешними системами с помощью комплекса программных средств для разработки и реализации глубоких нейронных сетей NeuroMatrix Deep Learning (NMDL). Комплекс NMDL выполняет обработку информации в соответствии с заданной моделью нейросети, позволяет запускать предварительно обученную глубокую нейронную сеть на вычислительных модулях.
NM Stick создан на базе собственных разработок НТЦ «Модуль»: процессор 1879ВМ6Я и ядро микропроцессорной архитектуры NMC (NeuroMatrix Core).
Процессор 1879ВМ6Я содержит два процессорных ядра NMPU0 и NMPU1, каждое из которых включает RISC-процессор и векторный сопроцессор, применяемых соответственно для выполнения векторно-матричных операций над целочисленными данными переменной длины от 1 до 64 разрядов и для векторных операций с плавающей точкой.
Нейромодуль NM Stick имеет 512 Мб памяти типа DDR2. Оснащен интерфейсом USB 2.0 HS и светодиодной индикацией.
Отраслевые ПАКи
Отдельный сегмент ПАК - отраслевые решения, отражающие специфику той или иной отрасли деятельности: медицина, интерактивное оборудование для сферы образования, пульты управления и т.п. Эти ПАКи могут иметь вид, как встроенных компьютерных систем, так и включать полноценную операционную систему и бизнес-приложения. Пожалуй, наиболее популярной областью создания отраслевых ПАКов является медицина.
Нейросетевой программно-аппаратный комплекс НПАК для медицинских применений (НТЦ «Модуль»)
НПАК – это масштабируемая вычислительно-коммуникационная платформа, предназначенная для создания и внедрения во врачебную практику продуктов медицинского ИИ. Решение создано специалистами НТЦ «Модуль» совместно ФГАУ «РЦУД и РТ»). Оно состоит из взаимосвязанных АРМов, в которых использованы отечественные микропроцессоры NeuroMatrix. АРМ объединены локальной сетью с ЦОДом, где осуществляется к хранение больших объемов данных и глубокое обучение нейронных сетей.
Основные задачи НПАК:
- Обеспечение доступа практикующих врачей к сервисам медицинского ИИ.
- Создание экосистемы для разработки и внедрения новых сервисов медицинского ИИ.
- Внедрение отечественных программных и аппаратных средств в практику медицинского применения.
- Интеграция с существующей и перспективной цифровой медицинской инфраструктурой.
Для реализации нейронной сети используется ПО NMDL, который включает:
- Компилятор моделей.
- Динамически линкуемые библиотеки.
- Утилиты и визуализаторы.
- Симулятор.
Примеры применения медицинского искусственного интеллекта на платформе NeuroMatrix: обнаружение вирусного воспаления легких (COVID-19) с помощью нейронной сети U-Net, обнаружение раковых клеток в крови с помощью нейронной сети Yolo v.3 на базе датасета компаним KeyASIC. ПАК реализован на базе АК Aquarius.
Компания «Швабе-Медицинские системы» производит мобильный комплекс медицинский компьютерной томографии (КММПКТ) и магнитно-резонансной томографии на базе НПАК.
ПАК анализа транспортных потоков («Русатом Инфраструктурные решения»)
Программно-аппаратный комплекс подсистемы мониторинга параметров транспортного потока, который является частью решения Интеллектуальной транспортной системы (ИТС), внедряется в Белгороде. Он обеспечит непрерывный мониторинг транспортных потоков, так что администрация сможет получать информацию о транспортной обстановке в Белгородской агломерации в режиме «онлайн».
В ходе работ будут установлены и подключены в ИТС 74 детектора. Они будут распознавать государственный знак и факт проезда каждого зафиксированного транспортного средства, передавать данные в другие подсистемы ИТС. Детекторы будут помогать анализировать трафик на дорогах агломерации. Оборудование, входящее в состав детекторов транспорта, имеют информационный интерфейс Ethernet с поддержкой протокола TCP/IP с целью интеграции к существующей системе АСУДД и ИТС. Работы предполагается завершить в сентябре.
ПАК СПП для сельхозпредприятия («ЭР-БАЗИС»)
Программно-аппаратный комплекс для автоматизации учета в процессе уборки и приёмки сельхозпродукции СПП предназначен для:
- Сбора и централизованной обработки первичных данных об уборке, перевалке, хранении и погрузке сельхозпродукции в поле.
- Комплексной автоматизации и диспетчеризации процессов приемки сельхозпродукции предприятием. Допускается одновременная выгрузка из нескольких единиц техники.
- Учета поступающей и находящейся на хранении сельхозпродукции.
Предусмотрена автоматическая выгрузка данных в системы «1С» или SAP.
Автоматизируемый процесс приемки включает следующие основные этапы:
- Регистрация прибытия автотранспорта, автоматическое определение характеристик груза.
- Полностью автоматическое взвешивание, в том числе в порядке электронной очереди.
- Отбор лабораторных проб и выполнение анализов.
- Разгрузка сырья и оформление документов.
Система ПП СПП работает на стандартном вычислительном и телекоммуникационном оборудовании с использованием общепринятых протоколов связи. Основной функционал реализован на центральном сервере.
Сельхозтехника и автотранспорт оборудуются автономными программно-аппаратными комплексами «Локальный АРМ», способными взаимодействовать между собой и с центральным сервером.
ПАК «Локальный АРМ» устанавливается на сельхозтехнику и работает на базе персонального компьютера в транспортном исполнении. Обеспечивает работу в условиях полного отсутствия мобильной связи. Поддерживается работа с КИП, бортовыми системами взвешивания, оборудованием RS232 и RS485.
Возможна реализация любой схемы количественного учета в поле. Надежность хранения данных обеспечивает СУБД промышленного класса. Гарантированная доставка собранных данных достигается за счет их многократного резервирования и независимой передачи с нескольких единиц техники.
Производитель ПАКа утверждает: любой механизатор может работать на любой единице техники (в рамках назначенных ему ролей), любой трактор может работать с любым прицепным оборудованием.
Управление правами механизаторов и реестром техники осуществляется удаленно, с центрального сервера системы.
Программно-технический комплекс для ЛПУ (Kraftway)
Предлагается в качестве программно-аппаратной платформы для средних и больших лечебно-профилактических учреждений (ЛПУ), созданной на базе модульной системы на основе архитектуры Intel.
В программно-технический комплекс (ПТК) может быть установлено до шести высокопроизводительных двухпроцессорных вычислительных модулей на базе многоядерных серверных процессоров Intel Xeon 5600. Объем оперативной памяти может достигать 96 Гб на каждый модуль, подсистема хранения включает до 14 дисков, объединенных в разделяемый массив с возможностью «горячей» замены.
Конструкция предполагает наличие избыточных элементов (источников питания, системы охлаждения, сетевых коммутаторов), которые делают систему высоконадежной и изначально готовой для работы в режиме 24 x 7 х 365.
Серверная подсистема комплекса включает в себя следующие типы blade-серверов, которые функционально обеспечивают логически законченную инфраструктуру ЛПУ:
- вычислительный модуль для обеспечения типовых инфраструктурных сервисов (служба каталога, почта, файловое хранилище, сервер печати, мониторинг и управление, внутренний портал и пр.);
- вычислительный модуль для организации терминального доступа;
- вычислительный модуль для DICOM-хранилища данных;
- вычислительный модуль с приложением МИС (медицинской системы);
- вычислительный модуль базы данных МИС;
- вычислительный модуль крипто-маршрутизатора.
Вычислительный модуль для DICOM-хранилища данных выполняет функцию DICOM-сервера и сервера БД. Сервер обеспечивает сохранение информации о пациенте, его исследованиях, DICOM-сериях и изображениях, находящихся в этих сериях.
Сервер БД обрабатывает SQL-запросы от DICOM-клиентов, и отправляет результаты обработки, а также при необходимости исходные файлы, запросившему их клиенту по тому же протоколу.
Вычислительный модуль с установленным ПО для МИС предназначен для обеспечения функционирования приложения МИС. Вычислительный модуль БД МИС предназначен для организации управления доступом приложений к данным информационных ресурсов и предоставления их через соответствующие приложения пользователям.
Криптомаршрутизатор обеспечивает криптографическую защиту информации, передаваемой по открытым каналам связи между составными частями VPN, которыми могут являться локальные вычислительные сети, их сегменты и отдельные компьютеры. Криптографическая защита передаваемых данных осуществляется в соответствии с ГОСТ 28147-89.
Ключевые возможности крипотомаршрутизатора:
- «Прозрачность» для любых приложений и сетевых сервисов, работающих согласно протоколу TCP/IP, включая IP-телефонию и видеоконференции.
- Защита высокоприоритетного трафика (VoIP и видеоконференции) без потери качества.
- Резервирование гарантированной полосы пропускания для отдельных сервисов.
- Поддержка технологии NAT/PAT позволяет скрывать структуру защищаемых сегментов сети.
Для соответствия специальным требованиям, связанным с особенностями программы модернизации здравоохранения, комплекс оснащен аппаратно-программным модулем доверенной загрузки (АПМДЗ) со средствами строгой двухфакторной аутентификации с помощью USB-ключей, защищающий сервер от несанкционированного доступа. Интеграция АПМДЗ в аппаратную часть blade-сервера позволила реализовать все необходимые функции безопасности в рамках единого модульного дизайна системы.
Специально для данного ПТК разработан вандалозащищенный шумопоглощающий шкаф. Его использование не только позволяет защитить модульный сервер от внешнего воздействия при установке в общественном месте, но и снизить уровень производимого шума до уровня типового персонального компьютера даже при максимальной нагрузке на вычислительные модули.
ПАКи унифицированного рабочего места/рабочего пространства
Машина виртуализации Скала^р МВ.ВРМ для создания инфраструктуры виртуальных рабочих мест пользователей
Машина виртуализации Скала^р МВ.ВРМ предназначена для создания инфраструктуры виртуальных рабочих мест пользователей и позволяет обеспечить централизованное управление инфраструктурой до 16 тыс. пользователей на одну Машину. Более подробное описание Скала^р МВ.ВРМ выше в статье.
Машина виртуализации Скала^р МВ.ВРМ предназначена для создания инфраструктуры виртуальных рабочих мест пользователей и позволяет обеспечить централизованное управление инфраструктурой до 16 тыс. пользователей на одну Машину. Более подробное описание Скала^р МВ.ВРМ выше в статье.
ПАК VDI (Delta Computers)
Российский программно-аппаратный комплекс для развертывания инфраструктуры виртуальных рабочих мест спроектирован на базе отечественного оборудования: серверов Delta Tioga Pass, серверного шасси Delta Akturu и модуля хранения данных Delta Argut. Семейство высокопроизводительных серверов компактного форм-фактора Delta Tioga – это универсальная высокопроизводительная система в нескольких гибких конфигурациях для центра обработки данных, хорошо подходит для таких рабочих нагрузок, как программно-определяемое хранилище, большие данные, облачные вычисления, виртуализация, высокопроизводительные вычисления и предприятия.
Универсальный модуль хранения Delta «Argut» -это специализированное хранилище, предназначенное для организации надежного хранения и высокоскоростной передачи больших объемов информации в составе программно-определяемых систем хранения данных. Использует до 30 NVMe-накопителей с возможностью «горячей замены», до четырех хостов c возможностью гибкой настройки зонинга. В составе программного обеспечения ПАКа — операционная система Astra Linux Special Edition 1.7, средства виртуализации «Брест» и программный комплекс для создания инфраструктуры виртуальных рабочих мест Termidesk for Astra.
В числе других составляющих программной части комплекса - система мониторинга, анализа и управления инфраструктуры центров обработки данных Delta DCM и микропрограммное обеспечение Delta BMC. МПО Delta BMC сертифицировано ФСТЭК.
ПАК для крупных компаний («Аметист»)
Совместное решение российских компаний Directum, «Аквариус» и «Аметист». Готовый комплекс построен на базе серверных систем и СХД из линейки решений компании «Аквариус» и включает российскую интеллектуальную ECM/BPM-систему Directum RX, СУБД PostgreSQL, отечественные операционные системы «Альт», Astra Linux или РЕД ОС, средства виртуализации от российских разработчиков.
Directum RX — интеллектуальная система для управления бизнес-процессами и документами, включает готовый набор решений: от делопроизводства и договорной работы до кадрового документооборота и проектной деятельности.
Программно-аппаратный комплекс прошел тестирование на производительность при нагрузке в 50 тыс. одновременных подключений пользователей и подходит для крупных компаний.
Разработанная на мощной ECM/BPM-платформе, система обеспечивает одновременную работу 50 тыс. пользователей, ИИ-механизмы в ее составе автоматизируют обработку текстовой информации, а инструменты no-code/low-code позволяют гибко адаптировать её возможности без непосредственного редактирования программного кода.
АПК «ЗАСТАВА-ТК» (ТОНК)
Совместная разработка российских компаний ТОНК и «ЭЛВИС ПЛЮС». Взят за основу для рабочих мест в проекте ГИС ЕГР ЗАГС. Имеет сертификат ФСБ России.
АПК «ЗАСТАВА‑ТK» — аппаратный тонкий клиент российского производства, реализующий концепцию универсального рабочего места для использования в государственных и корпоративных территориально распределенных информационных системах и компьютерных сетях, в которых требуется обеспечить централизованную обработку, хранение и доступ к данным с использованием облачных технологий и VDI с высокой степенью защищенности.
АПК «ЗАСТАВА-ТК» является продуктом с готовым набором средств защиты информации и сервисом электронной подписи, сертифицированным по классу КС3 без применения дополнительных наложенных аппаратных средств.
Используется электронный идентификатор, аппаратно реализующий российские стандарты электронной подписи, шифрования, хэширования и являющийся ключевым носителем.
Программное обеспечение - операционная система AltLinux, ПО на базе «ЗАСТАВА-Клиент», СКЗИ «КриптоПро» CS. Особенности защищенности АПК «ЗАСТАВА-ТК»;
- VPN по уровню КС3 (ФСБ России), МЭ тип «В» класс 4 (ФСТЭК России).
- Предоставление сервиса электронной подписи по классу КС3.
- Защита от НСД по уровню СВТ 4 класса.
- Устойчивость к DDoS-атакам.
- Контроль целостности программной составляющей до загрузки ОС (АПМДЗ).
- Сертифицированные аппаратные средства контроля вскрытия корпуса.
- Минимизация локальных настроек, централизованное удаленное управление политикой безопасности
- Удаленное обновление ключей и ПО «ЗАСТАВА-ТК».
- Хранение неизвлекаемых ключей на smart card. Хранение всей ключевой информации ESMART Token ГОСТ.
- Возможность отправки событий в SIEM-систему.
Цифровая платформа для построения и централизованного управления инфраструктурой офисных рабочих мест GM Smart System (GETMOBIT)
GM Smart System – это защищенная цифровая платформа для построения и централизованного управления инфраструктурой офисных рабочих мест на основе док-станции GM-Box, ориентированная на крупный бизнес и государственные организации.
В основу конструкции платформы положена новая концепция организации рабочих пространств Smart Workspace («интеллектуальные рабочие пространства»).
В составе платформы - GM-Box - новое поколение корпоративных устройств со встроенным программным обеспечением, встроенными KVM-переключателем и зарядным модулем для зарядки смартфона. Это универсальная гибридная док-станция для доступа к виртуальному рабочему столу, веб-браузеру и сервисам унифицированных коммуникаций. Многофункциональная док-станция создает универсальное рабочее пространство, которое способно заменить персональный компьютер и стационарный телефон. Аппаратный гибрид GM-BOX построен на объединении нескольких типов оборудования, позволяя одновременно работать с данными и получать доступ к голосовым сервисам и сервисам видеокоммуникаций. Двухконтурная док-станция GM-BOX DUO реализует механизм поддержки информационного обмена в двух независимых контурах сетевой инфраструктуры: закрытом внутреннем и открытом публичном.
Кроме того, в состав GM-Box входят аппаратные модули собственной разработки:
- GM Smart KVM – встроенный аппаратно-программный переключатель для организации раздельного доступа к информационным контурам с одного устройства.
- GM Wired & Wireless – мультиинтерфейсное устройство с разъемами: USB Type-C, microUSB прямой и обратной ориентации, для проводной и беспроводной зарядки любого смартфона. Уникальный механизм револьверной шайбы гарантирует, что файлы с носимого устройства не смогут попасть в корпоративную сеть, а его аккумулятор заряжен.
ПО GM Smart System оптимизирует ресурсы компании на создание и администрирование инфраструктуры пользовательских рабочих мест, осуществляет постоянный анализ и мониторинг активности пользователей и работе устройств, обеспечивает реализацию политик информационных безопасности в организациях.
Поддерживается операционная система ОС «Альт 8 СП».
GM Smart System поддерживает различные варианты рабочих мест, в зависимости от географического положения, организационного подхода и способа подключения к сетевой инфраструктуре.
Основные особенности платформы GM Smart System:
- Унификация технологий на единой платформе GM Smart System, что дает больший контроль над рабочим местом, быстрое внедрение и обновление. Платформа взаимодействует с аналоговыми и цифровыми АТС, системами видеоконференцсвязи, инфраструктурой VDI, системами безопасности, сервисами аутентификации, системами управления мобильными устройствами.
- Интеллектуальное автоматизированное управление позволяет добиться высокой степени наблюдаемости и управляемости.
- Встроенная операционная система GM OS и средства защиты информации гарантируют сохранность конфиденциальной информации и защиту от «необоснованного» поведения пользователей.
GM Smart System легко интегрируется с существующими информационными системами, обеспечивая быструю миграцию на новую платформу и масштабирование.
Защищенный тонкий клиент КРИПТОН-ТК («АНКАД»)
Программно-аппаратный комплекс КРИПТОН-ТК позволяет создать инфраструктуру тонкого клиента с интегрированными механизмами защиты информации, включая как защиту конфиденциальности данных, так и разграничение доступа к программным и аппаратным ресурсам. Комплекс позволяет обрабатывать информацию, содержащую государственную тайну с высокими грифами секретности.
ПАК использует собственную сертифицированную клиентскую ОС «АНКАДОС-ТК» со встроенными средствами безопасности и управления, поддерживающую разграничение доступа к объектам файловой системы для каждого приложения, работающего на сервере приложений.
Устройство стабильно работает на низкоскоростных каналах связи (128 Кбит/с).
Основные возможности КРИПТОН-ТК:
- Аппаратное шифрование информационного обмена между серверами и терминалами. Возможность аппаратного шифрования сетевого трафика по ГОСТ 28147-89. Возможность аппаратного шифрования отчуждаемых USB носителей.
- Собственная база данных пользователей, терминалов, приложений и прав доступа.
- Интеграция с Active Directory.
- Балансировка нагрузки, отказоустойчивость.
- Строгая двухфакторная аутентификация.
- Доверенный доступ к серверам.
- Централизованное администрирование. Средства оперативного мониторинга и управления терминалами.
- Средства централизованного протоколирования всех событий системы и экстренного оповещения администратора комплекса о событиях несанкционированного доступа.
- Режим комиссионного запуска для приложений.
Мобильный ПАК для обработки, хранения и обмена данными различного уровня конфиденциальности (Kraftway)
Мобильный программно-аппаратный комплекс - технологическое решение для защиты удаленного рабочего места корпоративного пользователя - создан совместно российскими компаниями Kraftway и S-Terra CSP. В основе ПАК – доверенная аппаратная платформа на базе защищенного планшетного ПК Kraftway KW10Т.
ПАК предназначен для обработки, хранения и обмена данными различного уровня конфиденциальности, создания удаленного защищенного доступа к информационным ресурсам компании: виртуальным рабочим столам и приложениям посредством протокола удаленного рабочего стола (RDP) или веб-доступа через недоверенные сети. Продукт может представлять интерес для государственных структур и крупных корпоративных заказчиков, перед которыми стоит задача обеспечения информационной безопасности удаленных мобильных рабочих мест.
Использование программного комплекса «С-Терра Клиент» на планшете Kraftway KW10T позволяет сочетать возможности сертифицированных неизвлекаемых средств защиты информации, интегрированных в планшет KW10T (аппаратно-программный модуль доверенной загрузки «Криптон-Витязь», антивирус Kaspersky Antivirus for UEFI), с функциональностью сертифицированного криптографического VPN-клиента «С-Терра Клиент». ПО «С-Терра Клиент» использует протоколы IPsec и криптоалгоритмы ГОСТ и предназначено для защиты и пакетной фильтрации трафика пользовательских устройств, работающих на ОС Windows.
В результате пользователь получает мобильное устройство, обеспечивающее безопасное хранение и обработку конфиденциальной информации, защищенную передачу по открытым каналам связи.
Сетевая инфраструктура организации обеспечивается с помощью шлюза безопасности «С-Терра» в программно-аппаратном или виртуальном исполнении. Ключи для двухфакторной аутентификации пользователя могут храниться на электронных токенах, которые обеспечивают безопасный экспорт и хранение ключевой информации во встроенной защищенной памяти без возможности перехвата критичной информации злоумышленниками.
Универсальное рабочее - место тонкий клиент для бизнеса (ТОНК)
Полностью российский ПАК - программно-аппаратный комплекс на основе ОС «Альт» и тонких клиентов «Тонк». Особенность данных устройств заключается в том, что на рабочих местах используются тонкие клиенты, а системные блоки отсутствуют. Они будут готовы к использованию «из коробки». Производитель позиционирует ПАК как универсальное рабочее место, которое можно использовать, как в крупных государственных и корпоративных информационных системах с применением VDI и облачных технологий, так и для предприятий малого и среднего бизнеса.
При создании ПАКа использованы тонкие клиенты серий ТОНК TN, ТОНК SB и «Компьютер-А». В качестве ПО использованы дистрибутивы ОС «Альт рабочая станция 8», ОС «Альт рабочая станция К8», ОС «Альт сервер 8», ОС «Альт образование 8», а также сертифицированные ФСТЭК версии ОС «Альт 8 СП» и ОС «Альт Линукс СПТ 7.0». Помимо операционной системы в дистрибутив ПАК входят наборы приложений для поддержки дополнительного оборудования.
Кибериммунный тонкий клиент (ТОНК)
Кибериммунный тонкий клиент создан в виде ПАКа на аппаратной платформе TONK TN1200 с установленным на нее продуктом Kaspersky Thin Client из экосистемы Kaspersky Secure Remote Workspace (KSRW), которая включает решения для построения управляемой и функциональной инфраструктуры тонких клиентов на базе кибериммунной операционной системы KasperskyOS для защищенного подключения к VDI. Фактически кибериммунные тонкие клиенты обеспечивают безопасную «последнюю милю» для построения надежной ИТ-инфраструктуры при работе с системами виртуализации рабочих мест.
Аппаратной основой для KSRW является ТОНК TN1200 с предустановленной операционной системой Kaspesky Thin Client — компактный и производительный тонкий клиент для организации локального и терминального рабочего места. Эта аппаратная платформа включена в Реестр промышленной продукции, произведенной на территории Российской Федерации.
Тонкий клиент на базе KasperskyOS поддерживает безопасное подключение к виртуальным рабочим столам, развернутым в инфраструктуре виртуальных рабочих мест «Базис.Workplace». Также у него есть возможность удаленной работы с физическими и виртуальными рабочими столами под управлением наиболее распространенных операционных систем. Устройство не требует дополнительных систем защиты и антивирусных средств.
ПАК RT Protect SD-WAN для управления и мониторинга инфраструктуры SD-WAN («Азимут»)
Данный ПАК – совместная разработка трех компаний: «Азимут» и «ИБ Реформ» (ГК «Ростех») и BI.ZONE с целью адаптации класса решений SD-WAN к особенностям промышленных предприятий «Ростеха». Задача RT Protect SD-WAN - организовать единую точку управления и мониторинга для всей ИТ-инфраструктуры, что позволит оперативно вносить изменения в конфигурацию сопровождаемого аппаратного и программного обеспечения. Кроме того, ИТ-специалисты получат инструменты для удаленного мониторинга качества соединений, интеллектуального управления трафиком, организации и контроля удаленного доступа к инфраструктуре, а также возможность централизованно управлять сетевой безопасностью. Таким образом, ПАК RT Protect SD-WAN повысит скорость, надежность и безопасность обмена данными между SOC-центром, холдингами и территориально разнесенными филиальными структурами.
Серийное изготовление ПАК RT Protect SD-WAN будет запущено на базе производственных мощностей филиала АО «Азимут» в Калуге до конца 2023 г. На первом этапе образцы пройдут всестороннее нагрузочное и функциональное тестирование в АО «ИБ Реформ». Среди задач испытаний – оценить перспективу использования комплекса для подключения холдингов и их филиалов к SOC Ростеха.
Предполагается, что изделие RT Protect SD-WAN пройдет сертификацию в ФСТЭК России на соответствие требованиям к средствам технической защиты информации и обеспечения безопасности информационных технологий по четвертому уровню доверия. Это позволит внедрять RT Protect SD-WAN на предприятиях, обладающих значимыми объектами критической информационной инфраструктуры, в автоматизированные системы управления производственными и технологическими процессами, а также в информационные системы обработки персональных данных.
Ожидается, что продажи RT Protect SD-WAN начнутся в первом квартале 2024 года. Организации намерены поддерживать и расширять взаимодействие по линии кибербезопасности, в том числе в рамках имеющегося соглашения о сотрудничестве.
ПАК DEPO Cloud Systems Astra Edition (DEPO Computers)
Совместное решение компаний «DEPO Computers» и «НПО РусБИТех», программно-аппаратный комплекс для построения консолидированных вычислительных комплексов и создания виртуальной/облачной ИТ-инфраструктуры с поддержкой ОС Astra Linux.
ПАК построен на основе DEPO Cloud Systems, готового вычислительного комплекса для создания облачной архитектуры, который поддерживает платформы серверной виртуализации Microsoft Hyper-V и VMware ESXi.
Решение спроектировано для наиболее эффективного решения задач организаций с количеством сотрудников от десятков до нескольких тысяч человек. При необходимости комплекс может быть доработан для бесшовной интеграции с уже имеющейся инфраструктурой заказчика. Платформа DEPO Cloud Systems обеспечивает высокую производительность основных приложений ИТ-инфраструктуры: файлового сервера, службы каталогов, базовых сетевых сервисов, корпоративной почтовой системы, веб-сайта, учетных систем и СУБД, корпоративного портала, приложений электронного документооборота, средств унифицированных коммуникаций, терминальных служб.
Состав решения:
- Масштабируемый вычислительный кластер на базе производительных отказоустойчивых серверов DEPO Storm.
- Высокоскоростная сеть передачи данных, построенная на коммутаторах DEPO Switch.
- Надежная расширяемая подсистема хранения данных DEPO Storage.
Коммутация вычислительных узлов со скоростью от 10 Гбит/с и использование высокопроизводительных серверов и систем хранения данных обеспечивают возможность построения высокоэффективных вычислительных центров. Архитектура DEPO Cloud Systems позволяет оперативно выполнять масштабирование в зависимости от текущих рабочих задач и предоставлять необходимые ресурсы для их решения. Реализована отказоустойчивая архитектура – все основные компоненты решения и каналы коммутации продублированы.
Навигационное и телематическое оборудование
ПАК ВсМК Телематическая платформа («Бизнес Мониторинг»)
ПАК ВсМК Телематическая платформа («Бизнес Мониторинг»)
Единый ПАК по охране транспорта и объектов недвижимости разработан в соответствии с техническими требованиями ФКУ НИЦ «Охрана» Росгвардии. Он является единым продуктом для всех территориальных подразделений вневедомственной охраны, объединенных в единую сеть. ПАК ВсМК обеспечивает возможность стандартизировать механизмы подключения стационарных объектов, охраняемых частными охранными предприятиями, и автотранспортных средств к пультам территориальных подразделений, в различных регионах по единому стандартизированному алгоритму.
ПАК решает задачу автоматизация взаимодействия подразделений вневедомственной охраны с физическими или юридическими лицами, государственными организациями владельцами автотранспортных средств, а также с мониторинговыми компаниями, у которых на обслуживании находятся парки транспортных средств, по заключению договоров на реагирование на сигналы «Тревога». Также поддерживается ведение электронного документооборота и взаимодействие с пользователями в онлайн-режиме.
ПАК выполняет следующие функции:
- Создание электронных баз данных подразделений вневедомственной охраны.
- Прием сигналов тревоги со стационарных объектов и от автотранспортных средств, передача их на АРМ дежурного офицера ОВО. Фиксация всех действий дежурных служб ЧОП и подразделений вневедомственной охраны. Ведение статистики по всем тревогам, поступившим от стационарных объектов и автотранспортных средств.
- Ведение архива изменений в карточке стационарного объекта, включая время изменения, измененное значение, автора вносимых изменений.
- Получение информации от систем централизованного наблюдения, используемых мониторинговыми компаниями, посредством разработанного унифицированного для всех систем межсерверного интерфейса API.
- Получение информации от различных спутниковых ГЛОНАСС/GPS СПУ посредством разработанного унифицированного протокола.
- Предоставление инженерам ОВО и дежурным офицерам ОВО полной текстовой и графической информации о стационарном объекте, по которому заключен договор с ОВО на реагирование ГЗ.
В структуре ПАК ВсМК предусмотрено единое автоматизированное рабочее место дежурного офицера подразделения вневедомственной охраны, куда поступают тревожные извещения от стационарных объектов и автотранспортных средств, а также единое рабочее место инженера подразделения вневедомственной охраны для работы с карточками объектов.
Терминал «ЭРА – ГЛОНАСС» (НИИМА «Прогресс»)
Навигационно-связной терминал общего применения, предназначенный для выдачи навигационных решений. Основные функции терминала «ЭРА-ГЛОНАСС»:
- Экстренное реагирование при аварии по системе «ЭРА-ГЛОНАСС».
- Запись телеметрической информации от различных датчиков, установленных на транспортном средстве.
- Опциональное подключение МЭМС-инерциальной системы (ИС) и выдача навигационных решений на основании данных, полученных от ИС для повышения эффективности решения задач пространственной ориентации при недостаточной видимости спутников ГНСС.
- Передача телеметрических данных (МНД) на телематическую платформу пользователя.
Терминал обеспечивает беспроводную связь GSM 850/900/1800/1900 и UMTS 900/2100 с поддержкой пакетной передачи данных и передачи данных в Inband режиме, имеет встроенный акселерометр и средства голосовой связи (микрофон и выносной динамик), блок интерфейса пользователя с кнопками «Экстренный вызов», «Доп. функции», микрофоном и световой индикацией.
Набор интерфейсов терминала включает:
- Интерфейс RS-485 с возможностью подключения датчиков уровня жидкости по протоколу Omnicomm.
- Интерфейс RS-232 с возможностью подключения считывателей RFID по протоколу Omnicomm либо модулей спутниковой связи.
- Интерфейс CAN для подключения к шине автомобиля по протоколу J1939.
- Интерфейс НП-СМ для подключения дополнительного интерфейсного модуля или модуля точной навигации.
Обеспечивается прием навигационной информации от нескольких ГНСС: ГЛОНАСС, GPS, Galileo.
ПАК «Телематика АГРО» для мониторинга эксплуатируемой сельскохозяйственной техники («Тракторные заводы»)
Программно-аппаратный комплекс «Телематика АГРО» разработан в русле идей «цифрового» земледелия. ПАК «Телематика АГРО 2.0» – это инструмент «цифрового» производства в сельском хозяйстве, позволяющий аграриям перейти на качественно новый уровень производства сельскохозяйственной продукции.
В данном ПАКе реализован целый спектр современных технологий:
- Технологии Интернета вещей в сельском хозяйстве – с помощью применения беспроводных датчиков состояния почвы и зерна в зернохранилище.
- ГЛОНАСС- и GPS-технологии для мониторинга сельскохозяйственной техники и проводимых сельскохозяйственных работ.
- Реализация автопилотирования и курсоуказателя с точностью до 5 см обеспечивается применением RTK-режима (Real-Time Kinematic - кинематика в реальном времени).
- RTK-технологии для автопилотирования с точностью до 5 см.
- Технологии искусственного интеллекта для информационной поддержки при принятии решений.
В системе ПАК Телематика АГРО 2.0 принимаются, обрабатываются и хранятся данные по удаленной диагностике сельскохозяйственной техники, данные по прогнозу погоды на 5-10 дней и другие.
Для удаленного мониторинга сельскохозяйственных угодий используютмя мультиспектральные космические снимки семейства спутников дистанционного зондирования земли Европейского космического агентства, позволяющие установить нормализованный относительный индекс биомассы NDVI и рельефа местности.
Комплекс инновационных решений, заложенных в системе, охватывает все грани производства: выбор возделываемой сельскохозяйственной культуры путем расчета ее рейтинга, формирование технологической карты возделывания сельскохозяйственных культур, расчет оптимальных параметров технологических операций, мониторинг условий сельскохозяйственного производства вплоть до анализа его результатов.
ПАК использует механизмы транспортной телематики для того, чтобы в режиме реального времени проводить мониторинг эксплуатируемой сельскохозяйственной техники.
Система мониторинга способна определять местоположение сельскохозяйственной машины, отслеживать состояние основных систем двигателя, расход топлива, планировать и вести оперативный учет сельскохозяйственных работ, а также проводить мониторинг химического состава почвы.
С целью мониторинга состояния сельскохозяйственной техники (удаленная диагностика) абонентский терминал читает шину CAN сельскохозяйственной техники и принимает показания установленных датчиков (датчик уровня топлива, датчик засоренности воздушного фильтра, датчик давления масла в ДВС и т.д.) и отправляет данные на сервер.
Беспроводные датчики состояния почвы и интеграция системой API метеосервиса OpenWeatherMap позволяет мониторить текущее состояние почвы и окружающей среды, прогнозировать погоду на ближайшие 5-10 дней.
Фрагмент карты с представленном данных по нормализованному относительному индексу биомассы NDVI в системе ПАК
ПАК ЛИС для управления объектами на местности (концерн «Калашников»)
Ключевой элемент ПАКа - система поддержки принятия решений (СППР) ЛИС, российское импортонезависимое ПО для применения в областях, связанных с любыми объектами на местности, для решения практических задач, включая управление действиями. Изначально СППР была разработана в виде ПО «ЛИС ПРОМЕТЕЙ» для пользователей из силового блока и предназначалась для создания и использования единого информационного пространства в период подготовки и выполнения задач на местности любого уровня и типа на базе объективных данных о противнике, местности, и собственных силах и средствах в каждую единицу времени и автоматической обработки информации, не требующей субъективной оценки, что позволяет увеличить скорость принимаемых решений.
СППР «ЛИС Прометей» позволяет:
- Комплексировать и визуализировать геопространственные данные о местности в двухмерном и трехмерном режимах (по технологии «виртуальный глобус»), включая фотореалистичные 3D-модели.
- Проводить базовые расчеты по местности (координаты, расстояния, площади, превышения, зоны видимости, боевые радиусы и т.д.).
- Наносить графические объекты с присоединением сторонних файлов для формирования целевых баз данных и обеспечением оперативного доступа к ним.
- Проводить интерактивные брифинги для повышения ситуативной осведомленности подразделения и наглядной постановки задач.
- Получать навигационные данные от мобильных устройств в режиме времени, близком к реальному. Обеспечивать прием и передачу данных целеуказания в режиме времени, близком к реальному.
Основные программные компоненты системы ЛИС:
- «ЛИС Базовый»: позволяет проводить базовые расчеты по местности, создавать векторные графические объекты, формировать различные наборы данных с последующей выгрузкой и использования в стороннем ПО и т.д.
- «ЛИС Геохаб»: предназначен для сбора, агрегации, хранения и ведения единой базы разнотипной геопространственной информации о местности по технологии «виртуальный глобус».
- «ЛИС Оформитель»: позволяет создавать текстографические отчетные документы в виде оформленных макетов фотопланов, фотосхем, фотокарт, картографических схем, рабочих карт и пр. на основе данных, выгруженных из ПК «ЛИС Базовый» и ПК «ЛИС Геохаб», а также других источников графической информации.
- «ЛИС Мобильный» - мобильное приложение, которое обеспечивает комплексную визуализацию и автономное применение в двухмерном режиме разнотипных геопространственных данных о местности, проведение основных расчетов по ней и т.д.
Все компоненты системы взаимоувязаны. С помощью программных компонентов «ЛИС Базовый» и ПК «ЛИС Геохаб» формируется единое информационное пространство как для локального, так и для многопользовательского применения. Результаты этих задач выгружаются ПК «ЛИС Мобильный» и используются непосредственно на местности в ходе работы.
Варианты поставки системы ЛИС:
- АРМ КПД — программно-аппаратный комплекс на основе производительного ноутбука для использования на выездах.
- Кластер АРМ — комплект ПО для установки на 5, 10 или 15 стационарных рабочих местах.
- Универсальный вариант - модульный ПАК, формируемый под конкретного заказчика для решения его целевых задач.
Коммуникационные шлюзы, телеком-оборудование
Семейство маршрутизаторов ESR («Элтекс»)
Устройства представляют собой универсальную аппаратную платформу и способны выполнять широкий круг задач, связанных с сетевой защитой, шифрованием передаваемых данных, терминированием пользователей и т.д. В линейке представлены модели, ориентированные на применение в сетях различных масштабов — от сетей предприятий различного масштаба до сетей операторов связи и дата-центров.
Ключевыми элементами серии являются средства для программной и аппаратной обработки данных. За счет оптимального распределения функций обработки данных между частями устройства достигается максимальная производительность.
Так, сервисный маршрутизатор ESR-3100 обеспечивает маршрутизацию данных, поддерживает гибкое конфигурирование сервисов, аппаратное ускорение обработки данных, многопротокольную коммутацию по меткам (MPLS), мониторинг качества обслуживания (SLA).
Функционал информационной безопасности включает:
- построение защищенного периметра сети (NAT, Firewall);
- мониторинг и предотвращение сетевых атак (IPS/IDS);
- фильтрацию сетевых данных по различным критериям (включая фильтрацию по приложениям);
- организацию защищенных сетевых туннелей между филиалами компаний.
В целях обеспечения удаленного подключения сотрудников к офису обеспечивается управление и распределение ширины Интернет-канала в офисе посредством QoS, организация резервного соединения (проводное или посредством 3G/LTE-модема), терминирование клиентов и ограничений по полосе пропускания BRAS (IPoE).
Есть возможность сопряжения с оборудованием ведущих производителей.
Семейство криптомаршрутизаторов ESR-ST («Элтекс»)
Криптомаршрутизаторы ESR-ST – это устройства, предназначенные для использования в корпоративных сетях связи, в которых необходимо обеспечить шифрование передаваемого трафика в соответствии с необходимым классом защищенности. В линейке представлены модели, ориентированные на применение в сетях различных масштабов – от сетей малых предприятий, до сетей федерального масштаба и дата-центров.
Устройства совмещают в себе функциональность сервисного маршрутизатора, VPN-шлюза и межсетевого экрана. Поддерживаемый функционал:
- Маршрутизация
- Организация защищенных сетевых туннелей для объединения офисов компаний (IPsec VPN) с использованием различных алгоритмов шифрования
- Фильтрация сетевых данных по различным критериям
- Резервирование WAN-соединений.
Например, криптомаршрутизатор ESR-1000-ST имеет следующие ключевые особенности:
- Поддержка алгоритмов шифрования по ГОСТ 28147-89, ГОСТ Р 34.12-2015
- Функциональность сервисного маршрутизатора,VPN-шлюза, межсетевого экрана.
- Масштабируемое решение для различных областей применения.
- Единый интерфейс командной строки для управления.
- Гибкое конфигурирование сервисов.
- Возможность сопряжения с оборудованием ведущих производителей.
- Модели устройств с повышенной надежностью и резервированием критичных узлов.
Криптошлюз «fin-TrusT» (ОКБ САПР)
«fin-TrusT» – российское решение на базе микрокомпьютера Новой гарвардской архитектуры m-TrusT, разработанной ОКБ САПР. Представляет собой криптошлюз в технологическом корпусе для установки в банкоматы с возможностью поддержки двух и более операторов мобильного Интернета.
«fin-TrusT» – это линейка криптошлюзов, предназначенных для работы на разных участках деятельности финансовых организаций:- «fin-TrusT банкомат» – криптошлюз в технологическом корпусе для установки в банкоматы с возможностью поддержки 2 и более операторов мобильного Интернета.
«fin-TrusT банкомат» поддерживает одновременную работу нескольких независимых каналов связи. К примеру, могут быть подключены два Ethernet-канала от различных провайдеров и/или два LTE-модема различных операторов связи. Это позволяет продолжить работу даже при отказе одного из каналов, что повышает отказоустойчивость и является актуальной задачей именно для банкоматов.
«fin-TrusT офис» – криптошлюз в корпусе одноюнитового сервера для установки в бэк- или фронт-офис до 50 абонентских устройств.
«fin-TrusT центр» – сервер VPN для установки в ЦОД или серверную стойку головного отделения.
Криптошлюз функционирует прозрачно для пользователя.
Каждый микрокомпьютер «m-TrusT» является точкой сбора информационных и/или управляющих сигналов от ПКО, их шифрования для передачи по каналам связи, а также приема зашифрованных сигналов из каналов связи и их расшифровкой.
Наличие собственной ОС и вычислительных ресурсов позволяет обеспечить достаточную для защиты сетевого взаимодействия производительность (возможна защищенная передача видеосигнала с камер без ощутимого снижения качества изображения) и высокий уровень защищенности.
Особенностями m-TrusT является наличие датчика случайных чисел и размещение ПО в памяти с физически устанавливаемым доступом read only (только чтение), что исключает вредоносное воздействие на ПО и обеспечивает неизменность среды функционирования средств криптографической защиты информации.
Ресурсы m-TrusT позволяют обеспечить среду функционирования криптосредства (СФК), позволяющую сертифицировать вариант исполнения СКЗИ на m-TrusT на класс КС3. Помимо Новой гарвардской архитектуры защищенность платформы обеспечивается с помощью резидентного компонента безопасности и средства доверенной загрузки, сертифицированных ФСТЭК России.
Встроенное СКЗИ – DCrypt от компании ТСС – сертифицировано ФСБ России в исполнениях на m-TrusT на классы КС2 и КС3.
Шлюзы безопасности семейства ViPNet L2 («ИнфоТеКС»)
ПАК ViPNet L2-10G и ПАК ViPNet L2-100G – шлюзы безопасности, обеспечивающие криптографическую защиту протокола Ethernet и предназначенные для защиты магистральных высокоскоростных каналов связи между объектами.
ViPNet L2-10G – это криптографическое устройство канального уровня с высокой производительностью шифрования - до 10 Гбит/с). Поддерживается шифрование с маскированием ключа по алгоритму «Кузнечик» по ГОСТ Р 34.12-2015 в режиме выработки имитовставки по ГОСТ Р 34.13-2015.
Поддерживается топология шифраторов «точка-точка» и Jumbo frames – «большой» Ethernet-кадр размером до 9000 байт. Устройство прозрачно для сетевых протоколов и приложений, вносимые задержки составляют не более 15 мкс. Поддерживает трафик Unicast, Multicast и Broadcast. Обеспечивает автоматизированный контроль выработки нагрузки на ключ и «бесшовный» переход на новый ключ, что позволяет упростить ИТ-инфраструктуру при одновременном увеличении уровня информационной безопасности.
Благодаря использованию гибридной ключевой системы ViPNet L2 могут выполнять криптографические функции либо при использовании предраспределенных ключей, либо при использовании квантовых ключей по протоколу КРК (квантового распределения ключей) с математически доказанной стойкостью.
Для использования квантовых ключей к шифратору по защищенному интерфейсу подключается аппаратура ViPNet Quandor, которая устанавливается в контролируемой зоне шифратора.
ViPNet Quandor, имеющий встроенный физический датчик случайных чисел, реализованный с использованием законов квантовой физики, вырабатывает секретные симметричные криптографические ключи на основе принципов квантовой физики. Обеспечивается стойкость к атакам, возможным при реализации эффективного квантового компьютера.
Перспективная квантовая магистраль
VPN-шлюз «С-Терра Шлюз» («С-Терра СиЭсПи»)
ПАКи «С-Терра Шлюз» предназначены для обеспечения безопасности сети связи любой топологии (VPN), с любым количеством туннелей. Обеспечивает криптографическую защиту и фильтрацию как трафика подсетей, проходящего через него, так и защиту трафика самого шлюза безопасности. Так, устройствах «С‑Терра Шлюз 10G/25G/40G» реализовано шифрование L2-трафика, но сохраняется возможность работы по L3-каналам связи. Реализация отказоустойчивых схем подключения позволяет обеспечить бесперебойную работу системы даже при сбое одного из устройств или канала связи.
Обеспечивается надежная защита передаваемого трафика:
- Шифрование и имитозащита передаваемого трафика – по протоколам IPsec (RFC2401-2412), с использованием современных российских криптографических алгоритмов.
- Маскировка топологии защищаемого сегмента сети.
- Аутентификация абонентов – по протоколу IKE (RFC2407, RFC2408, RFC2409, RFC 2412).
- Интегрированный межсетевой экран со stateless фильтрацией IP-трафика и stateful фильтрацией для протоколов TCP и FTP.
Возможно построение защищенных сетей любой сложности. Устройство легко интегрируется в существующую инфраструктуру.
Модификации С-Терра Шлюз в Реестре Минпромторга
Контроллеры
RISC-V микроконтроллер MIK32 АМУР («Микрон»)
Первый российский RISC-V микроконтроллер с встроенной ГОСТ-криптозащитой MIK32 АМУР. Согласно критериям, установленным для российских микросхем, он относится к микроконтроллерам 1-го уровня, то есть чип разработан, производится и корпусируется в России: разработчик микроконтроллера - НИИМА «Прогресс», производится на заводе «Микрон».
Микроконтроллер позиционируется как универсальная базовая единица для импортозамещения в отечественной электронике. Он работает на базе 32- разрядного ядра архитектуры RISC-V (32 МГц) с умножителем, отладчиком JTAG и контроллером прерываний. Имеет встроенную память, ОЗУ 16 Кб, ППЗУ 8 Кб, а также однократно программируемую память 256 бит. При этом микросхема имеет полноценный блок вычисления контрольной суммы (CRC) с ускорителем симметричной криптозащиты по ГОСТ-у Р 34.12-2015 и AES 128. В нем отсутствуют зарубежные проприетарные IP-блоки (intellectual property). Имеются разъемы для подключения до четырех модулей периферийных плат, расширяющих функционал базовой отладочной платы, например, модули Bluetooth 4.0 LE, интерфейсный модуль Wi-Fi (2-х диапазонный) или модуль RFID и eMTC.
Как утверждает производитель, он полностью подходит для использования в критической инфраструктуре и объектах с высокими требованиями к безопасности.
Микроконтроллер MIK32 АМУР предназначен для применения в системах автоматизации, измерительных приборах, инфраструктурной аппаратуре, транспортной инфраструктуре, решениях робототехники, телекоммуникационном оборудовании, а также в бортовых устройствах, продуктах Интернета вещей, Умного дома, медицинской технике.
WI-FI роутер с хабом умного дома ELTEX HOME NTU («Элтекс»)
Семейство NTU — это высокопроизводительные многофункциональные абонентские терминалы, предназначенные для доступа к современным услугам IPTV, OTT и высокоскоростному Интернету. Выполняют роль контроллера «Умного дома».
Поддерживают технологию PON, обеспечивающую скорость передачи данных до 2,5 Гбит/с в направлении downlink и 1,25 Гбит/с в направлении uplink. Встроенный гигабитный маршрутизатор на 4 порта 10/100/1000BASE-T позволяет организовать высокоскоростное соединение устройств в сети. Порт USB может использоваться для подключения USB-устройств (USB-флеш-накопитель, внешний HDD, принтер). Поддерживает работу с датчиками и устройствами по радиоканалу Z-Wave.
В устройстве реализована технология EasyMesh, обепспечивающая функционал сетевого интеллекта: самоорганизующаяся и самооптимизирующаяся сеть собирает информацию и реагирует на сетевые условия для обеспечения максимальной производительности, эффективная балансировка нагрузки позволяет устройствам адаптироваться к лучшему соединению и избегать помех. Масштабируемость: позволяет добавлять точки доступа Wi-Fi EasyMesh от нескольких вендоров.
Использование в сетях доступа решений на базе технологии PON дает возможность предоставлять конечному пользователю доступ к набору услуг на базе протокола IP, например, высокоскоростной доступ в Интернет, потоковое видео/High Definition TV/IP TV, видео по запросу (VoD), видеоконференцсвязь, развлекательные и обучающие онлайн-программы, управление системой «Умный дом». Устройство поддерживают беспроводную связь Wi-Fi стандарта 802.11ac, что обеспечивает скорость передачи данных до 866 Мбит/с и позволяет доставлять современные высокоскоростные сервисы клиентскому оборудованию по беспроводной сети. Два встроенных контроллера Wi-Fi сети позволяют обеспечить работу устройства одновременно в двух частотных диапазонах — 2,4 ГГц и 5 ГГц.
Промышленные контроллеры MD1, MD3 («Элтекс»)
Промышленный контроллер MD1 предназначен для контроля и управления устройствами инфраструктуры помещения. Устройство состоит из основного и выносных блоков. Основной блок MD1 имеет в своем составе порты Ethernet 10/100/1000Base-T с поддержкой PoE/PoE+, порты 1000Base-X (SFP), интерфейс 1-wire для подключения внешних устройств типа термодатчиков, сухие контакты для управления внешними устройствами. Опционально возможна установка встроенного модуля Wi-Fi 802.11n и GSM-модема, выполненных на базе USB-stick с выводом антенны на переднюю панель коммутатора.
Выносные блоки MD1 подключаются к основному блоку по интерфейсу Ethernet и обеспечивают управление и контроль климатическими устройствами, системами вентиляции, дизель-генераторной установкой и другими устройствами.
Промышленный контроллер MD3 предназначен для создания системы мониторинга объектов, сбора технологической информации и передачи ее во внешнюю платформу управления и мониторинга. Устройство обеспечивает контроль и сбор информации с датчиков и оборудования, установленного на объекте мониторинга, через сухие контакты, интерфейс RS-485, Ethernet, 1-wire с возможностью сохранения информации на SD-карте: подключение датчиков движения, открытия/закрытия двери; подключение аналоговых датчиков (охранной, пожарной сигнализации); подключение датчиков температуры; подключение электросчетчиков; подключение IP-камер; подключение стороннего оборудования с возможностью мониторинга его состояния и обеспечения удаленного доступа.
Опционально поддерживается работа с 2G/3G/4G USB-модемом для передачи данных через сотовую сеть мобильных операторов с возможностью подключения внешней LTE-антенны. Реализован функционал резервирования каналов передачи данных до центра мониторинга и сбора информации (Ethernet WAN – 2G/3G/4G).
MD3 поддерживает функции маршрутизации, Firewall, VPN для организации защищенного канала передачи данных до центра мониторинга и сбора информации. Возможно выполнение на устройстве заданных сценариев контроля и управления сторонним оборудованием на объекте мониторинга.
Программируемые контроллеры Fastwel I/O (Fastwel)
Fastwel I/O — модульный программируемый логический контроллер для жестких условий эксплуатации:
- Рабочая температура –40...+85°С
- Относительная влажность воздуха до 95%
- Вибрация 10...500 Гц с ускорением 5g
- Одиночные удары с пиковым ускорением 100g
- Многократные удары с пиковым ускорением 50g
Мощный 32-разрядный процессор Vortex86DX с тактовой частотой 600 МГц при малой потребляемой мощности, до 100 Мб доступной памяти на встроенном твердотельном дисковом накопителе, часы реального времени и энергонезависимая память с линейным доступом и размером 128 кбайт - эти отличительные особенности превращают Fastwel I/O в универсальный модульный ПЛК для решения практически любых задач автоматизации технологических процессов и построения бортовых систем управления. В зависимости от модели они поддерживают разнообразные протоколы передачи данных: CANopen, Modbus RTU, Modbus TCP, DNP3, PROFIBUS DP-V1.
Контроллеры обеспечивают исполнение прикладных программ, разработанных при помощи адаптированной среды разработки CoDeSys фирмы 3S Smart Software Solutions с использованием пяти языков программирования по МЭК61131-13.
Благодаря интегрированной среде разработки CoDeSys контроллер кроме стандартных функций сбора данных и обмена по сети имеет возможность выполнять прикладные технологические программы.
Контроллеры применяются только в комплекте с модулями ввода-вывода Fastwel I/O. Для обмена данными и служебной информацией с модулями ввода-вывода Fastwel I/O используется внутренняя шина FastwelBUS (FBUS). Цепи сетевого интерфейса гальванически изолированы от внутренних цепей контроллера.
Область применения модульного ПЛК Fastwel I/O можно значительно расширить, если использовать устройства из семейства программируемых контроллеров CPM711/CPM712/CPM713.
Например, PM711-02 — это программируемый контроллер узла сети CAN, протокол передачи CANopen (1 Мбит/с от 30 до 1000м), среда разработки приложений CoDeSys 2.3. Он обеспечивает возможность интеграции с любым GPS-приемником, поддерживающим протокол NMEA 0183.
CPM723-01-C1 — универсальный программируемый контроллер, поддерживающий протокол передачи Modbus TCP, с двумя портами Ethernet 10/100 Мбит/с, поможет создать сеть контроллеров без дополнительного оборудования. При этом обеспечивается поддержка отказоустойчивой сети кольцевой топологии. Можно использовать съемные накопители типа MicroSD объемом до 32 Гб.
Инфраструктура IoT, умные счетчики
Объем российского рынка M2M и IoT растет год от года. Согласно данным аналитического агентства Oneside, в 2022 г. он вырос на 6% и достиг уровня 113,9 млрд. руб. При этом наиболее значительно вырос объем подключений к M2M-платформам операторов мобильной связи - на 29%. Не менее активно рос рынок решений Private LTE (выделенная беспроводная LTE-сеть предприятия, созданная в пределах одной организации и изолированная от публичных сетей), в которых также используются технологии M2M и IoT: за прошедший год он прибавил 20% — до 1,5 млрд. руб.
По данным Oneside, всего в 2022 г. количество подключенных IoT-устройств в России превысило 70 млн. Самыми распространенными сценариями использования М2М и IoT-технологий стали системы безопасности, подключенные камеры видеонаблюдения, интеллектуальные системы для транспорта и умные системы учета расхода воды и энергоресурсов. Лидирующими отраслями по внедрениям M2M и IoT являются: электроэнергетика/ЖКХ (30%), недвижимость (18%) и транспорт (16%). Прогнозируется, что и в 2025 г. эти отрасли также сохранят позиции лидерства: энергетика/ЖКХ - 32%, недвижимость - 27%, транспорт -12%.
В этом растущем сегменте российского рынка работают отечественные поставщики программно-аппаратных комплексов.
Комплексная IoT-платформа «Астра» (НТЦ «ТЕКО»)
ПАК «Астра» позиционируется как комплексная открытая многофункциональная IoT-платформа, предназначенная для получения, хранения, обработки и визуализации данных. Она позволяет внедрять цифровые технологии в различные сферы жизни:
- ПАК «АСТРА» для ЖКХ («Цифровое ЖКХ»). Комплексная автоматизированная подсистема включает различные компоненты для сбора, доставки, хранения и обработки данных с узлов учета с последующей передачей информации о потребленных ресурсах во внешние информационные системы, а также индивидуальным пользователям. Обеспечение контроля и управления инженерными системами. Накапливание и анализ полученных данных (Big Data) позволяют с помощью алгоритмов нейросетей выявлять признаки аварий до их возникновения. Функционал диспетчеризации.
- ПАК «АСТРА» для безопасности («Безопасный город»). Мониторинг и управление персональными и общественными охранными системами. Обеспечение пожарной безопасности и контроль доступа в охраняемые помещения. Кнопки-браслеты для вызова персонала и тревожной сигнализации для пожилых людей и детей. Речевое и светозвуковое оповещение при чрезвычайных ситуациях на территориях города, района, жилого комплекса. Передача тревоги в единый диспетчерский центр МЧС и полиции. Визуальный контроль ситуации с помощью удаленного подключения к видеокамерам, размещенным на территории жилых комплексов.
- ПАК «АСТРА» для удобства проживания («Умный дом»). Создание комфортной среды для отдыха, реабилитации и проживания.
Комплекс построен на базе Многофункциональной высокопроизводительной серверной платформы системы централизованного наблюдения, фундаментом которой является операционная система Gentoo Linux, и СУБД InnoDB. Для изоляции данных от несанкционированного доступа серверная платформа обеспечивает доступ к ним через строго регламентированные интерфейсы соответствующих сервисов (и никогда напрямую через СУБД или между собой). Для этого в комплексе в составе серверной платформы разработаны специальные ИТ-сервисы.
Особенности ПАК «Астра»:
- Производительность и безопасность: поддержка до 300 тыс. одновременных сессий с шифрованием 128-битными ключами. Платформа применяет уникальную систему передачи данных в постоянно открытом TCP-канале. Это означает, что оборудование постоянно поддерживает открытый асинхронный канал связи с сервером и готово к обмену в любой момент времени, независимо от того, кто является инициатором обмена. При этом данный функционал обеспечивается без дополнительных VPN, туннелирования, открытия IP-портов на оконечных устройствах, а также без применения «белых» IP-адресов.
- Масштабируемость: объединение и управление с мобильного устройства 1 млн. умных приборов различного назначения.
ПАК «Астра»- многопользовательская система со строгим разграничением прав доступа по группам объектов и по ролям пользователей. Одна серверная платформа способна обеспечить независимое функционирование нескольких отдельных организаций или структурных подразделений. Внутри каждой организации может быть создано неограниченное число обособленных групп — «доменов», которые могут представлять собой отдельные мониторинговые центры (ПЦО) и группы конечных пользователей (например, члены семьи, имеющие доступ к общей квартире). Одно из ключевых преимуществ ПАК «Астра» - открытость для сторонних разработчиков и производителей. Программный интерфейс API и набор средств разработчика DevKit позволяют внедрять платформу в информационные системы и бизнес-процессы.
ПО комплекса «Астра» включено в реестр Минкомсвязи России и ФКУ НИЦ «Охрана» Росгвардии, что позволяет использовать платформу на территории РФ для задач повышенной важности.
На базе ЦОДа, который соответствует требованиям Uptime TIER III и аттестован согласно требованиям PCI DSS, функционируют два равнозначных публичных сервера ПАК «Астра», между которыми реализована репликация данных в реальном времени, что обеспечивает доступность сервисов 99,98% времени. Есть возможность развернуть собственный облачный сервер на базе платформы ПАК «Астра» в комплекте с бесплатным обновлением системы и расширенной технической поддержкой на всех этапах.
ПАК «Звезда» для Интернета вещей (НИИМЭ)
ПАК «Звезда» разработан для криптографической защиты информации в Интернете вещей. Он состоит из микросхемы, интегрируемой в конечные устройства и криптографического сервера, обеспечивающего защиту канала обмена с конечными устройствами и управление криптографическими ключами с использованием инфраструктуры открытых ключей. На стороне конечного устройства используется российская микросхема первого уровня, то есть разработанная и произведенная в России.
Микросхема представляет собой защищенный микроконтроллер для смарт-карт MIK51BC16D с операционной системой Trust 3.30i и интегрированными приложениями «Элемент безопасности конечного устройства (ЭБ)» и «Элемент безопасности криптосервера (ЭБКС)». Поставляется в корпусе LGA-40, в виде смарт-карты или SIM-карты. Криптосервис и встроенная операционная система Trust 3.30i, используемая в ЭБ и ЭБКС, зарегистрированы в Роспатенте (№ 2021610059 от 11.01.2021 и № 2021611726 от 04.02.2021 соответственно).
ПАК «Звезда» выполняет функцию виртуального защищенного канала передачи данных между конечным устройством и сервером приложений. Решение имеет модульную структуру и легко интегрируется как в конечные устройства, так и в серверную инфраструктуру. Использует компактный протокол защиты передаваемых данных CRISP, специально разработанный для «Интернета вещей» и стандартизованный в России в 2019 г. Протокол устойчив к сбоям, не требует предварительной установки защищенной сессии, все сообщения CRISP являются самодостаточными.
В ПАК «Звезда» применяются российские криптографические алгоритмы последнего поколения ГОСТ Р34.10-12, ГОСТ Р34.11-12, ГОСТ Р34.13-15, в том числе блочный алгоритм ГОСТ Р34.12-2015 «Магма», алгоритмы вывода сеансовых ключей, криптоконверты для передачи криптографических ключей, алгоритмы выработки и проверки электронной подписи. Конечное устройство способно подписывать передаваемые данные электронной подписью.
С помощью ПАК возможно удаленное управление ключевой информацией без демонтажа устройства для регламентной замены криптографических ключей. Программно-аппаратный комплекс подписывает сообщения полноценной электронной подписью, что позволяет провайдеру приложения проверять целостность и подлинность любых, в том числе архивных сообщений, независимо от провайдера связи и самого ПАК.
ПАК «Звезда» отвечает требованиям, предъявляемым к СКЗИ класса KC3 и способен обслуживать критическую инфраструктуру. В сотрудничестве с партнерами предлагается решение для беспроводных сетей на основе технологии NB IoT. В этом случае криптографическая микросхема интегрируется с радиомодемом.
ПАК «Софиот» для интеллектуальных систем IoT («Софтел»)
ПАК «Софиот» – это модульный программно-аппаратный комплекс, разработанный для предоставления ИТ-сервисов и информации на основе результатов обработки больших данных для принятия решений в промышленности и ЖКХ. Платформа «Софиот» позиционируется как инструмент для быстрого и низкозатратного развертывания интеллектуальных систем интернета вещей.
Благодаря гибкой архитектуре, платформа позволяет строить системы произвольного масштаба, начиная с проектов уровня дома или небольшого предприятия и заканчивая IoT-сетями крупных городов.
Целевая система состоит из трех уровней:
- Нижний уровень составляют энергоэффективные устройства и каналы связи ΙοΤ, обеспечивающие их связь с миром и друг с другом. Устройства сбора и передачи данных (УСПД) «Софиот» могут подсчитывать импульсы в довольно широком диапазоне, чтобы получать данные со счетчиков с импульсным выходом, регистрировать тревожные сигналы от датчиков событий, измерять аналоговые сигналы для получения данных с аналоговых датчиков, получать информацию с устройств, поддерживающих популярный цифровой протокол I2C, и считывать данные с интерфейса RS-485, а также производить их несложную обработку.
- На верхнем уровне располагаются пользовательские интерфейсы и серверные программы с гибкими возможностями анализа огромного количества данных. Интеллектуальное ПО платформы решает две задачи: принятие решений по оперативному управлению и аналитика данных. Напрмер, выделяя скрытые корреляции разнородных рядов данных, можно формировать качественные и обучаемые прогнозные алгоритмы, которые с хорошей точностью предсказываю возможные экстремальные нагрузки сети и возникновение аварийных ситуаций, скачки потребления и т.д.
Платформа «Софиот» содержит также интерфейсы для мобильных устройств, специально спроектированные для работы персонала непосредственно на линии. Функционал таких мобильных интерфейсов весьма широк: от действий по установке, настройке и обслуживанию до организации процесса метрологической поверки. - Взаимодействие верхнего и нижнего уровней обеспечивает шина данных, работающая на базе собственного процессора данных. Он отвечает за прием информации из входных потоков шины, запуск обработчиков информации, полученной из входных потоков, которые осуществляют их перевод на язык верхнего уровня и передачу наверх, прием запросов верхнего уровня и запуск сервисов, отвечающих за их обработку и помещение в надлежащие выходные потоки, запуск сервисов, осуществляющих обработку тревожных сигналов и формирование сообщений SMS, контроль работы обработчиков данных и генерацию сигналов о проблемах. Также на уровне шины данных осуществляется архивирование первичных («сырых») данных и чистка хранилища.
ПАК промышленного интернета вещей (СИБУР)
Программно-аппаратный комплекс промышленного интернета вещей (ПоТ) состоит из сети датчиков и платформы собственной разработки. На аппаратном уровне комплекс представляет собой сеть взрывозащищенных датчиков температуры и вибрации собственной разработки СИБУР, устойчивых даже в самых сложных климатических условиях. Информация с датчиков передается на IIоТ-платформу, развернутую в Центрах обработки данных предприятий.
Платформа выполняет необходимые операции по систематизации, хранению и визуализации данных для пользователей через веб-интерфейс, а также передает данные другим системам через API.
Комплекс IIоТ позволяет не только освобождать тысячи человеко-часов за счет автоматизации сбора некритичных технологических данных, но и аккумулировать эти данные для предиктивных моделей, тем самым способствуя принятию решений по оптимизации процессов на основе точных расчетов.
ПАК БИТ.IIoT («Первый БИТ»)
Программно-аппаратный комплекс БИТ.IIoT, ориентированный на задачи промышленного интернета вещей, предназначен для обеспечения обязательной маркировки продукции с использованием оборудования для автоматического нанесения, сериализации, агрегации и отбраковки.
Включает мобильный терминал данных БИТ.MDT – приложение для терминалов сбора данных (ТСД) на мобильной платформе «1С» с открытым исходным кодом для выполнения на мобильных устройствах операций с маркированным товаром, в том числе с агрегатами (коробки, паллеты) и ячейками.
ПАК «Умный дом DREHOME&TV» (GS Labs)
«Умный дом DREHOME&TV» – программно-аппаратный комплекс для организации под ключ сервиса «Умный дом». Продукт ориентирован на B2B-сегмент, в том числе для продаж в формате white label. Это комплексное решение, которое может стать эффективным инструментом предоставления конвергентных услуг. DREHOME&TV можно в короткие сроки интегрировать в существующие бизнес-процессы компании и предлагать услугу клиентам.
Доступно для подключения 15 видов умных устройств. Управление умной периферией осуществляется по протоколу ZigBee. Беспроводное соединение упрощает установку оборудования. Оборудование устройства DREHOME&TV включает:
- Wi-Fi-роутер
- Коммуникационный модуль (USB Hub)
- Контроллер
- Цифровая ТВ-приставка
- IP-монитор/вызывная панель
Основные особенности ПО DREHOME&TV:
- Сервер авторизации абонентов умного дома. Подключение локальных и удаленных клиентов
- Центр управления умного дома. Управление обновлениями для центра управления и умных периферийных устройств
- Хранение конфигурации умного дома (устройства, сценарии)
- Сбор статистики о всех событиях в системе (срабатывание периферийных устройств)
- Сбор информации по энергопотреблению умных устройств
- Мобильное приложение.
ПО «Умный дом DREHOME&TV» - основа сервиса «Триколор Умный дом» от стратегического партнера холдинга GS Lab, мультиплатформенного оператора цифровой среды «Триколор».
ПАК KaurIoT SCEF:T8 для сотового интернета вещей («Каури», KaurIoT)
KaurIoT SCEF:T8 – это интеллектуальный программно-аппаратный комплекс для сотового интернета вещей (CIoT), который помогает организовать новую форму взаимодействия мобильных операторов и пользователей. При разработке устройства использован опыт оператора Т8.
Согласно терминологии 3GPP, SCEF (Service Capability Exposure Function) — это новый компонент архитектуры 3GPP, функцией которого является безопасное экспонирование сервисов и возможностей, предоставляемых сетевыми интерфейсами 3GPP посредством API. Иными словами, SCEF выполняет роль посредника между сетью и сервером приложений, предоставляя единое окно доступа к сервисам оператора по управлению своим M2M-устройством в сети NB-IoT посредством интуитивно понятного стандартизированного API-интерфейса. По сути, SCEF скрывает сложность сети оператора, позволяя разработчикам приложений абстрагироваться от сложных, специфических механизмов взаимодействия с устройствами.
Таким образом, продукт KaurIoT SCEF:T8 помогает создать блок SCEF в существующей сети NB-IoT.
При этом SCEF берет на себя функции идентификации и аутентификации мобильных устройств. Для этих целей используется External ID - универсальный идентификатор устройства для сервера приложений при работе через SCEF. Идентификатор привязан к IMSI или идентификатору конкретной сим-карты. Автоматически определяются правила обмена данными между устройством и сервером приложения. Возможности KaurIoT SCEF:T8:
- Принцип «одного окна»: быстрый доступ ко всем сервисам оператора по управлению устройством.
- Контроль состояния и триггеринг устройств. Буферизация данных
- Передача нетелеком-данных через телеком-операторов. Гарантированная доставка сообщений
- Операции с несколькими устройствами, работа с данными одного устройства на нескольких серверах приложений
Платформа Eltex SC. АСД для сбора показаний с приборов учета («Элтекс»)
Платформа Eltex SC. АСД – это программно-аппаратный комплекс, предназначенный для автоматизированного сбора показаний с приборов учета ресурсов тепла, электроэнергии, горячего и холодного водоснабжения.
В состав решения входят: регистраторы, конвертеры данных, веб-интерфейс для управляющих компаний и ресурсоснабжающих организаций, а также мобильное приложение для физических лиц.
Платформа ELTEX SC. Умный дом («Элтекс»)
ELTEX SC. Умный дом – это программно-аппаратный комплекс для автоматического управления домашними системами и устройствами по протоколам Wi-Fi и Z-Wave. Функционал ПАК включает:
- Управление учетными записями пользователей
- Мониторинг состояния устройств умного дома
- Рассылка уведомлений о событиях
- Создание сценариев работы устройств в доме
- Взаимодействие с «Умным домом» Яндекс
- Взаимодействие с «Умным домом» Sber
- Взаимодействие с «Умным домом» VK
Интеграция с платформой видеонаблюдения Flussonic. Контроллеры системы «Умный дом» поддерживают Dual Band Wi-Fi 802.11а/b/g/n/ac, Z-Wave, WAN-порты Gigabit Ethernet, LAN-порты Fast Ethernet.
ПАК для создания систем визуализации и диспетчеризации любой сложности («Систэм Электрик»)
Программно-аппаратный комплекс - импортонезависимое решение - включает:
- Распределенная Система Управления (РСУ/DCS)
- Готовые графические библиотеки для зданий
- Автоматизация работы инженерных систем: ПВ, ЦТП/ИТП, ХЦ/ХМ
Обеспечивается подключение различных устройств по протоколам: BACnet, Modbus, МЭК 60870/61850, OPC: DA, AE, HDA, UA и др. Ядро программной части ПАКа - Systeme Platform, российское программное обеспечение для автоматизации объектов индустриального и гражданского назначения. Возможности решения полностью охватывают верхний уровень архитектуры АСУ. Платформа позволяет создавать системы визуализации и диспетчеризации любой сложности для объектов промышленности, энергетики, зданий, ЦОДов и других сегментов. Кроссплатформенное ПО платформы совместимо с ОС Windows и Linux. Высокая масштабируемость платформы: от простых одиночных решений до огромных РСУ. Кибербезопасность заложена на уровне проекта ПАКа (Cybersecurity by Design).
Цифровой блок управления SystemeLogic X («Систэм Электрик»)
Российский цифровой блок управления SystemeLogic X является ключевым компонентом автоматических выключателей для защиты сетей низкого напряжения SystemePact ACB, которые востребованы в отраслях, представляющих повышенные требования к эффективности и безопасности оборудования (нефтегазовый комплекс, нефтехимия, обрабатывающая, горнодобывающая промышленность и металлургия, гражданское строительство и др.).
Блока управления SystemeLogic X непосредственно «из коробки» позволяет интегрировать силовой аппарат SystemePact ACB в системы диспетчеризации электроснабжения, то есть делает аппарат способным оперативно мониторить и передавать огромное количество параметров и информации, необходимых для построения безопасных и надежных систем.
Функции информационной безопасности SystemeLogic X разработаны совместно с компанией «Лаборатория Касперского». Цель совместно разработки - создание устройства, предоставляющего клиентам не только высокое качество и удобство эксплуатации, но и оптимальную защиту от киберугроз на протяжении всего срока службы.
В дополнение к основной версии блока управления SystemeLogic X ожидается появление продвинутой версии, которая дополнительно будет обеспечивать поддержку беспроводных протоколов передачи данных Bluetooth, NFC, Zigbee.
Решение для защиты магистральных каналов связи ViPNet SIES («ИнфоТеКС»)
Решение ViPNet SIES (Security for Industrial and Embedded Solutions)– это комплекс средств криптографической защиты информации (СКЗИ), предназначенный для обеспечения информационной безопасности широкого спектра устройств, входящих в экосистему Промышленного Интернета вещей:
- в небольшие устройства с жесткими требованиями по энергоэффективности производителем встраивается крипточип ViPNet SIES Core Nano, который имеет набор инженерных средств защиты в соответствии с требованиями к СКЗИ-НР (некорректируемой регистрации) и может эксплуатироваться вне контролируемой зоны;
- в контроллеры, устройства сбора и передачи данных, шлюзы, базовые станции производителем устройств встраивается аппаратный криптомодуль ViPNet SIES Core, который может использоваться в устройстве вне контролируемой зоны (при использовании датчика вскрытия корпуса устройства);
- на сервер сбора и обработки информации или на отдельный сервер, размещаемый внутри контролируемой зоны (исключающей доступ посторонних лиц), устанавливается ПО ViPNet SIES Unit. При установке на отдельный сервер поддерживается работа с резервированным кластером сервера сбора и обработки информации.
ПАК ViPNet SIES служит для организации надежной защиты информации, передаваемой по каналам связи IIoT. Передача защищенных данных осуществляется штатными средствами защищаемых устройств по уже используемым открытым каналам связи IIoT-системы. СКЗИ осуществляют шифрование отправляемых и расшифрование принимаемых данных на защищаемых устройствах, проверку целостности полученных данных.
Для защиты данных, передаваемых по каналам связи IIoT, используется криптографический протокол CRISP (разработан ТК26 и утвержден Приказом Росстандарта от 30.12.2019 № 1504-ст). CRISP обеспечивает защиту прикладного и служебного взаимодействия между защищаемыми устройствами поверх используемого протокола связи, позволяет фрагментировать и ограничивать размеры пакетов. Отличительными особенностями CRISP являются небольшой объем накладных расходов, отсутствие необходимости установления сессии, возможность фрагментирования и ограничения размера пакетов.
Решение ViPNet SIES соответствует требованиям нормативно-правовой базы Российской Федерации в области защиты информации, не содержащей сведений, составляющих государственную тайну, и Федерального закона №187-ФЗ от 26.07.2017.
Защищенная IIoT-система
Коммуникационный шлюз CG-ZB-02 (НТЦ «Нартис»)
Как утверждает производитель, коммуникационный шлюз CG-ZB-02 стал первым на рынке компонентов интеллектуальных систем учета электрической энергии (ИСУЭ) с интегрированным средством криптографической защиты информации.
Коммуникационные шлюзы выполняют роль УСПД в ИСУЭ и используются для передачи показателей приборов учета с помощью беспроводной технологии ZigBee в информационно-вычислительные комплексы. С целью обеспечения криптографической защиты передаваемой информации в комплекс встроен комплекс ViPNet SIES Core компании «ИнфоТеКС» - аппаратный криптомодуль, который может использоваться в устройстве вне контролируемой зоны (при использовании датчика вскрытия корпуса устройства).
Как утверждает производитель, сегодня это единственное в России сертифицированное СКЗИ для встраивания в компоненты ИСУЭ (интеллектуальной системы учета электроэнергии) на уровне УСПД (устройство сбора и передачи данных) обладающее возможностью эксплуатации вне контролируемой зоны. Кроме того, производимая компанией «ИнфоТеКС» линейка продуктов ViPNet SIES может использоваться для всех уровней ИСУЭ, что позволяет построить защищенную систему без дополнительных сложностей интеграции и доработок.
В коммуникационном шлюзе CG-ZB-02 реализованы следующие функции:
- аутентификация устройств;
- контроль целостности передаваемых данных;
- обеспечение конфиденциальности передаваемых данных;
- контроль авторства передаваемых данных;
- доверенная загрузка данных;
- доверенное обновление ВПО;
- доверенное конфигурирование.
АTB-LW-BS — базовая станция, предназначенная для развертывания сети LoRaWAN («АТБ Электроника»)
АTB-LW-BS — базовая станция, предназначенная для развертывания сети LoRaWAN в диапазоне 863-870 МГц, выполняет роль шлюза для организации связи между сервером и оконечными устройствами. Станция поддерживает до 16 каналов LoRaWAN и выпускается в корпусе с классом защиты IP67.
При разработке базовой станции использовалась модульная архитектура, которая обеспечивает заказчикам большую гибкость для получения нужной функциональности. Например, можно выбрать и при необходимости легко интегрировать интерфейсы связи станции с сервером: LTE 450 МГц, LTE Cat.1, LTE Cat4. Кроме того, базовая станция поддерживает три системы глобального позиционирования: ГЛОНАСС, GPS, Beidou. Модульный подход позволяет выбрать исполнения с внутренними антеннами или подключением антенн к разъему N type.
Использование разъемов mPCIe дает возможность, в частности, использовать в составе базовой станции внешний криптографический модуль доверенной загрузки. Сегодня наблюдается высокая потребность российских заказчиков в получении защищенных устройств IIoT, и базовая станция АTB-LW-BS отвечает этой потребности.
Для базовой станции был разработан комплект встраиваемого программного обеспечения, который позволяет быстро развернуть и настроить сеть LoRaWAN как по проводным, так и по беспроводным интерфейсам.
Базовые станции, как и остальная продукция «АТБ Электроника», производятся по ОЕМ/ODM-модели, то есть может выпускаться под торговой маркой заказчика с необходимыми доработками, как в части дизайна изделия, так и с точки зрения функционала.
Следующий материал обзора >>>
Главная страница обзора >>>
Другие материалы обзора
- ПАК как отдельный сегмент российского ИТ-рынка. Зачем он нужен?
- Специфика ПАК как вида ИТ-продукции
- Утвержденный классификатор ПАК
- ПАК в КИИ: особенности использования
- Особенности адаптации и развития ПАКов на российских предприятиях