Erfahrung in der Implementierung von ViPNet-Krypto-Gateways in ERIS

Hallo Habr! In diesem Artikel werden wir über die Einführung von ViPNet-Krypto-Gateways zum Schutz von Kommunikationskanälen im Rahmen des Projekts zum Schutz personenbezogener Daten im ERIS-Informationssystem sprechen. Wir hatten das Glück, Teil eines so wichtigen Projekts für die Moskauer Medizin zu werden, das die Strahlendiagnostik auf ein neues Niveau hebt.

Kurz über ERIS

ERIS (Unified Radiological Information Service) ist ein Informationssystem, das medizinische High-Tech-Geräte, Arbeitsplätze von Radiologen und ein einziges Archiv diagnostischer Bilder kombiniert. Derzeit kombiniert ERIS Magnetresonanz, digitale Röntgengeräte, Fluorographiegeräte und Computertomographen in 64 Kliniken in Moskau, einschließlich ambulanter Einrichtungen in Zelenograd.

Die Hauptziele von ERIS sind die Steigerung der Wirksamkeit der Strahlendiagnostik in Moskau, die Schaffung eines einheitlichen Netzwerks von Diagnosegeräten und die Bereitstellung eines modernen und zuverlässigen Speichersystems für Bilder, Beschreibungen und Schlussfolgerungen, die als Ergebnis von Forschungsarbeiten erhalten wurden.

Die Notwendigkeit für Krypto-Gateways

Da die personenbezogenen Daten von Patienten im ERIS-Informationssystem verarbeitet werden, müssen die Anforderungen des Bundesgesetzes 152 „Über personenbezogene Daten“ und die diesbezüglichen Bestimmungen eingehalten werden. Eine der Anforderungen für den Schutz personenbezogener Daten ist die Organisation sicherer Kommunikationskanäle mithilfe des kryptografischen Informationsschutzes (CPSI). Entsprechend dieser Anforderung haben wir begonnen, ein Schutzsystem für personenbezogene Daten im Allgemeinen und ein kryptografisches Informationsschutzsystem im Besonderen zu entwickeln.

Auswahlkriterien, Testmuster, Pilot, endgültige Auswahl

Der Elefus-Kunde unseres Unternehmens, vertreten durch das Unternehmen Laval, stellte eine Reihe von Anforderungen, die CIPF hätte erfüllen müssen, einschließlich der wichtigsten:

• Verzögerungen im Kanal (dies war das wichtigste Kriterium, da das medizinische Personal mithilfe der Clientanwendung am Arbeitsplatz eine Verbindung zum Serverteil im Rechenzentrum herstellt und Verzögerungen im Kanal die Systemleistung und die Arbeitsgeschwindigkeit mit dem Patienten stark beeinflussen);
• Verfügbarkeit eines Zertifikats des FSB von Russland für Kryptowährungen (Anforderung von Regulierungsdokumenten zum Schutz personenbezogener Daten (Verordnung des FSB Nr. 378 vom 10. Juli 2014) „Nach Genehmigung der Zusammensetzung und des Inhalts organisatorischer und technischer Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten bei deren Verarbeitung in Informationssystemen für personenbezogene Daten mit Verwendung der Mittel zum kryptografischen Schutz von Informationen, die erforderlich sind, um die von der Regierung der Russischen Föderation festgelegten Anforderungen an den Schutz personenbezogener Daten für jeden der Länder zu erfüllen ihr Schutz „));
• Skalierbarkeit der Lösung (es soll das System auf zusätzliche Objekte erweitern, daher mussten wir zunächst Geräte mit einem Rand und der Fähigkeit zur horizontalen und vertikalen Skalierung festlegen);
• Fehlertoleranz (wenn Sie in Moskauer Polikliniken waren, wissen Sie genau, dass es immer eine Warteschlange für Radiologieräume gibt, daher war die Gewährleistung der Fehlertoleranz der Lösung ein wichtiger Faktor);
• ausreichende Leistung (es war notwendig, Geräte mit geringer Kapazität in radiologischen Schränken zu installieren, aber ausreichend, um einen guten Kommunikationskanal zum Rechenzentrum bereitzustellen; unsere Richtlinie war eine Bandbreite von 20 MBit / s);
• Überwachung (da die Infrastruktur in ganz Moskau verteilt ist, muss eine ständige Überwachung der Ausrüstung und Überwachung der Netzwerklasten sichergestellt werden);
• Einfache Wartung (Vor-Ort-Besuche werden von breit aufgestellten Ingenieuren durchgeführt, die ohne fundierte Kenntnisse in ViPNet (da dies nicht ihre Hauptaufgabe ist) das Problem vor Ort gemäß den Anweisungen lösen müssen).

Es wurden vier Produkte getestet:

• ViPNet-Koordinator;
• APKKS "Kontinent";
• CryptoPro IPsec;
• MagPro CryptoPackage "OpenVPN-GOST"

Wir haben die beliebtesten und bewährten Software- und Hardwarelösungen (Continent und ViPNet) und reine Softwarelösungen (CryptoPro und MagPro) ausgewählt. Es war nicht beabsichtigt, zusätzliche Software auf den Computern des radiologischen Büros zu installieren, da für die Interaktion mit radiologischen Geräten häufig sehr spezifische und alte Versionen von Betriebssystemen und spezielle Software erforderlich sind. Daher musste der Schutz des Kommunikationskanals auf die Grenznetzausrüstung gelegt werden. Es wurden zwei Installationsschemata für CIPF in Betracht gezogen: Installation von Hardware- und Softwaregeräten am Perimeter (Continent und ViPNet) oder Installation eines Computers, der als Gateway zum radiologischen Büro fungiert, auf dem CIPF installiert wird (CryptoPro und MagPro). In Bezug auf die Kosten waren diese Optionen vergleichbar, sodass PAKs anfangs vorzuziehen waren, da sie leichter zu warten waren.

Das Testschema war wie folgt:


Abbildung 1 - Testschema

Während des Tests wurden drei Arten von Bildern übertragen: CT, MMG, PETKT (sie unterscheiden sich in Dateigröße, Häufigkeit der Client-Server-Interaktion). Verschiedene Bildoptionen ermöglichten es uns, verschiedene Arten von Lasten auf Krypto-Gateways zu simulieren. Messungen von Verzögerungen und Geschwindigkeit im Kanal wurden von WinMTR und iperf3 durchgeführt.

Den Testergebnissen zufolge waren Continent und ViPNet an der Spitze, ihre Ergebnisse waren vergleichbar, CryptoPro blieb leicht zurück und MagPro beeinflusste sowohl die Geschwindigkeit als auch die Verzögerungen im Kanal stark.

Nach der Interaktion mit Anbietern traf der Kunde eine endgültige Entscheidung zugunsten von ViPNet. Lassen wir die endgültige Auswahl außerhalb der Klammern dieses Artikels, aus technischer Sicht sind Kontinent und ViPNet fast gleich.

InfoTeKS (Hersteller ViPNet) stellte folgende Ausrüstung für Pilottests zur Verfügung:

• HW50 - 2 Stk. für radiologische Räume
• HW1000 - 1 Stck. für Rechenzentrum

Die Ausrüstung wurde einen Monat lang unter Kampfbedingungen getestet. Tests haben gezeigt, dass unsere Berechnungen korrekt waren und die Tests ziemlich genau sind. Die Ausrüstung funktionierte wie gewohnt, ohne die Arbeit der medizinischen Fachkräfte wesentlich einzuschränken. Infolgedessen stellte sich heraus, dass die endgültige Spezifikation genau dieses Gerät war. Der HW50 wurde in radiologischen Schränken installiert, einem Cluster aus zwei kryptografischen HW1000-Gateways eines aktualisierten Modells mit erhöhter Bandbreite (im Rechenzentrum).

Wie zu implementieren? Schema, Komplexität, Voreinstellung

Wir mussten die Umsetzung mit besonderer Sorgfalt angehen. Wie oben erwähnt, ist das medizinische Personal der Radiologieräume ständig beschäftigt, sodass wir 15 Minuten Zeit hatten, um die Einrichtung zum Schutz kryptografischer Informationen in der Einrichtung zu implementieren. Wir haben die Implementierung zusammen mit den Laval-Ingenieuren durchgeführt, die die lokale Ausrüstung gut kannten.

Die Implementierung bestand aus folgenden Schritten:

• Voreinstellung (das Gerät wurde von unseren Ingenieuren vorkonfiguriert (Ausgabe und Installation von dst-on PAC, Einrichten von Netzwerkschnittstellen, Einrichten von snmp-agent, Einrichten von PAC in ViPNet Administrator);
• Installation von Krypto-Gateways im Rechenzentrum (Einrichtung eines alternativen Kanals, um den Betrieb von ERIS nicht zu unterbrechen);
• Installation von Krypto-Gateways in Polikliniken (in einem Intervall von 15 Minuten musste der Ingenieur die Ausrüstung umdrehen und sicherstellen, dass der Tunnel zum Rechenzentrum hoch war. Im Idealfall passierte natürlich alles in Minuten, aber es bleibt immer etwas Zeit, um die auftretenden Probleme zu beheben. 15 Minuten reichen aus, um die Arbeit abzuschließen);
• Verbinden von Crypto-Gateways mit dem Überwachungssystem (zu diesem Zeitpunkt haben wir einen Systemfehler festgestellt, der dem Hersteller gemeldet wurde. Der snmp-Agent fiel regelmäßig spontan aus und muss neu gestartet werden. Da wir wissen, dass ViPNet unter Linux (Debian) ausgeführt wird, haben wir ein Skript geschrieben, das automatisch funktioniert hat den Prozess neu gestartet. In der neuen Version von InfoTeX wurde dieser Punkt behoben.

Überwachung CPU, RAM, Netzwerklast

Außerdem zeigen wir Screenshots des Überwachungssystems, in denen Sie die Belastung des Geräts sechs Monate lang und einen Arbeitstag lang separat sehen können (CPU, RAM, Netzwerk). Die Namen der Netzwerkgeräte sind ausgeblendet, aus Sicht der semantischen Belastung hat dies keine Auswirkungen.

CPU-Auslastung

Abbildung 2 - CPU-Auslastung für sechs Monate HW1000


Abbildung 3 - CPU-Auslastung für 1 Tag HW1000


Abbildung 4 - CPU-Auslastung für sechs Monate HW50


Abbildung 5 - CPU-Auslastung für 1 Tag HW50

RAM laden

Abbildung 6 - RAM für sechs Monate herunterladen HW1000


Abbildung 7 - RAM für 1 Tag HW1000 herunterladen


Abbildung 8 - RAM für sechs Monate herunterladen HW50


Abbildung 9 - RAM für 1 Tag HW50 herunterladen

Netzwerklasten

Abbildung 10 - Herunterladen des Netzwerks für sechs Monate HW1000


Abbildung 11 - Herunterladen des Netzwerks in 1 Tag HW1000


Abbildung 12 - Herunterladen des Netzwerks für sechs Monate HW50


Abbildung 13 - Herunterladen des Netzwerks in 1 Tag HW50

Fazit

Ungefähr ein Jahr ist seit der Implementierung des Projekts vergangen. Alle Tools zum Schutz kryptografischer Informationen funktionieren normal. Kein einziges Krypto-Gateway ist ausgefallen. ERIS arbeitet im normalen Modus mit den installierten Informationsschutz-Tools und bietet das erforderliche Maß an Informationssicherheit für die personenbezogenen Daten von Patienten in Moskauer Kliniken.