Pengalaman dalam mengimplementasikan ViPNet crypto-gateways di ERIS

Halo, Habr! Pada artikel ini, kita akan berbicara tentang pengenalan crypto-gateway ViPNet untuk melindungi saluran komunikasi sebagai bagian dari proyek perlindungan data pribadi dalam sistem informasi ERIS. Kami beruntung menjadi bagian dari proyek penting untuk kedokteran Moskow yang membawa diagnosa radiasi ke tingkat yang baru.

Secara singkat tentang ERIS

ERIS (Unified Radiological Information Service) adalah sistem informasi yang menggabungkan peralatan medis berteknologi tinggi, tempat kerja ahli radiologi dan arsip tunggal gambar diagnostik. Saat ini, ERIS menggabungkan resonansi magnetik, mesin sinar-X digital, perangkat fluorografi, dan tomografi komputer di 64 klinik di Moskow, termasuk fasilitas rawat jalan di Zelenograd.

Tujuan utama ERIS adalah untuk meningkatkan efektivitas diagnostik radiasi di Moskow, menciptakan jaringan terpadu peralatan diagnostik, dan menyediakan sistem penyimpanan yang modern dan andal untuk gambar, deskripsi, dan kesimpulan yang diperoleh sebagai hasil penelitian.

Kebutuhan akan gateway crypto

Karena data pribadi pasien diproses dalam sistem informasi ERIS, maka perlu mematuhi persyaratan Undang-Undang Federal 152 “Tentang Data Pribadi” dan anggaran rumah tangga yang terkait dengan undang-undang ini. Salah satu persyaratan untuk perlindungan data pribadi adalah organisasi saluran komunikasi yang aman menggunakan sarana perlindungan informasi kriptografis (CPSI). Sesuai dengan persyaratan ini, kami mulai merancang sistem perlindungan data pribadi pada umumnya dan sistem perlindungan informasi kriptografi pada khususnya.

Kriteria Seleksi, Pola Tes, Pilot, Pilihan Akhir

Pelanggan Elefus dari perusahaan kami, yang diwakili oleh perusahaan Laval, mengajukan sejumlah persyaratan yang harus dipenuhi CIPF, termasuk yang utama:

• keterlambatan dalam saluran (ini adalah kriteria yang paling penting, karena staf medis, menggunakan aplikasi klien di tempat kerja, terhubung ke bagian server di pusat data, dan keterlambatan dalam saluran sangat memengaruhi kinerja sistem dan kecepatan kerja dengan pasien);
• ketersediaan sertifikat FSB Rusia untuk cryptocurrency (persyaratan dokumen peraturan mengenai perlindungan data pribadi (Orde FSB No. 378, 10 Juli 2014) “Atas persetujuan komposisi dan konten langkah-langkah organisasi dan teknis untuk memastikan keamanan data pribadi saat memprosesnya dalam sistem informasi data pribadi dengan menggunakan cara perlindungan kriptografi dari informasi yang diperlukan untuk memenuhi persyaratan yang ditetapkan oleh Pemerintah Federasi Rusia untuk perlindungan data pribadi untuk masing-masing perlindungan nya "));
• skalabilitas solusi (seharusnya memperluas sistem ke objek tambahan, jadi kami awalnya harus meletakkan peralatan dengan margin dan kemampuan untuk skala horisontal dan vertikal);
• toleransi kesalahan (jika Anda berada di poliklinik Moskwa, Anda sangat menyadari bahwa selalu ada antrian untuk ruang radiologi, oleh karena itu, memastikan toleransi kesalahan dari solusi merupakan faktor penting);
• kinerja yang memadai (diperlukan untuk memasang peralatan berkapasitas kecil di kabinet radiologis, tetapi cukup untuk menyediakan saluran komunikasi yang baik ke pusat data, pedoman kami adalah bandwidth 20 mb / s);
• pemantauan (karena infrastruktur didistribusikan di seluruh Moskow, perlu untuk memastikan pemantauan peralatan dan memantau beban jaringan);
• kemudahan pemeliharaan (kunjungan di lokasi dilakukan oleh insinyur berbasis luas yang, tanpa pengetahuan mendalam di ViPNet (karena ini bukan tugas utama mereka), harus menyelesaikan masalah di tempat sesuai dengan instruksi).

Empat produk diuji:

• Koordinator ViPNet;
• APKKS "Benua";
• CryptoPro IPsec;
• MagPro CryptoPackage "OpenVPN-GOST"

Kami memilih solusi perangkat lunak dan perangkat keras yang paling populer dan terbukti (Continent dan ViPNet) dan solusi perangkat lunak murni (CryptoPro dan MagPro). Itu tidak dimaksudkan untuk menginstal perangkat lunak tambahan pada komputer kantor radiologis, karena sering, untuk berinteraksi dengan peralatan radiologis, diperlukan versi yang sangat spesifik dan lama dari sistem operasi dan perangkat lunak khusus. Oleh karena itu, perlindungan saluran komunikasi harus ditempatkan pada peralatan jaringan perbatasan. Dua skema pemasangan CIPF dipertimbangkan: pemasangan perangkat keras dan perangkat lunak pada perimeter (Continent dan ViPNet), atau pemasangan komputer yang bertindak sebagai gateway ke kantor radiologis tempat CIPF akan dipasang (CryptoPro dan MagPro). Dalam hal biaya, opsi-opsi ini sebanding, jadi awalnya PAK lebih disukai karena lebih mudah dipertahankan.

Skema pengujian adalah sebagai berikut:


Gambar 1 - Skema pengujian

Selama pengujian, tiga jenis gambar dipindahkan: CT, MMG, PETKT (mereka berbeda dalam ukuran file, frekuensi interaksi klien-server), berbagai pilihan gambar memungkinkan kami untuk mensimulasikan berbagai jenis beban pada crypto-gateway. Pengukuran keterlambatan dan kecepatan di saluran dilakukan oleh WinMTR dan iperf3.

Menurut hasil pengujian, Continent dan ViPNet berada di posisi terdepan, hasil mereka sebanding, CryptoPro sedikit tertinggal, dan MagPro sangat memengaruhi kecepatan dan keterlambatan saluran.

Selanjutnya, setelah berinteraksi dengan vendor, Pelanggan membuat keputusan akhir yang mendukung ViPNet. Mari kita tinggalkan pilihan terakhir di luar kurung artikel ini, dari sudut pandang teknis, Benua dan ViPNet hampir sama.

InfoTeKS (produsen ViPNet) menyediakan peralatan berikut untuk pengujian pilot:

• HW50 - 2 pcs. untuk ruang radiologi
• HW1000 - 1 pc. untuk pusat data

Peralatan itu diuji selama sebulan dalam kondisi pertempuran. Tes telah menunjukkan bahwa perhitungan kami ternyata benar, dan tesnya cukup akurat. Peralatan bekerja seperti biasa, tanpa memberikan batasan yang signifikan pada pekerjaan pekerja medis. Akibatnya, spesifikasi akhir ternyata hanya peralatan ini, HW50 dipasang di lemari radiologis, sekelompok dua gateway cryptographic HW1000 dari model yang diperbarui dengan peningkatan bandwidth - di pusat data).

Bagaimana cara mengimplementasikannya? Skema, kompleksitas, preset

Kami harus mendekati implementasi dengan perhatian khusus. Seperti yang saya katakan di atas, staf medis dari ruang radiologi selalu sibuk, jadi kami memiliki 15 menit untuk menerapkan fasilitas perlindungan informasi kriptografi di fasilitas tersebut. Kami melakukan implementasi bersama dengan para insinyur Laval, yang tahu peralatan lokal dengan baik.

Implementasi terdiri dari langkah-langkah berikut:

• Presetting (peralatan telah dikonfigurasikan sebelumnya oleh teknisi kami (mengeluarkan dan menginstal PAC dst-on, mengatur antarmuka jaringan, mengatur snmp-agent, mengatur PAC di Administrator ViPNet);
• Pemasangan crypto-gateway di pusat data (menyiapkan saluran alternatif agar tidak mengganggu pengoperasian ERIS);
• Pemasangan crypto-gateway di poliklinik (dalam interval 15 menit, insinyur harus melatih peralatan secara berlebihan dan memastikan bahwa terowongan ke pusat data sudah menyala. Secara alami, dalam kasus ideal, semuanya terjadi dalam hitungan menit, tetapi selalu ada waktu untuk memperbaiki masalah yang muncul. Secara umum, 15 menit sudah cukup untuk menyelesaikan pekerjaan);
• Menghubungkan crypto-gateway ke sistem pemantauan (pada tahap ini, kami mendeteksi bug sistem yang dilaporkan ke vendor, agen snmp secara berkala jatuh secara spontan, itu harus dimulai kembali. Karena kita tahu bahwa ViPNet berjalan pada Linux (Debian), kami menulis skrip yang secara otomatis memulai kembali proses. Dalam InfoTeX versi baru memperbaiki titik ini).

Pemantauan CPU, RAM, beban jaringan

Selanjutnya kami akan menunjukkan tangkapan layar dari sistem pemantauan, di mana Anda dapat melihat beban pada peralatan secara terpisah selama enam bulan dan secara terpisah untuk satu hari kerja (CPU, RAM, jaringan). Nama-nama perangkat jaringan disembunyikan, dari sudut pandang beban semantik itu tidak mempengaruhi apa pun.

Beban CPU

Gambar 2 - Penggunaan CPU untuk Enam Bulan HW1000


Gambar 3 - Penggunaan CPU untuk 1 Hari HW1000


Gambar 4 - Penggunaan CPU selama Enam Bulan HW50


Gambar 5 - Penggunaan CPU untuk 1 Hari HW50

Beban RAM

Gambar 6 - Unduh RAM selama enam bulan HW1000


Gambar 7 - Unduh RAM untuk HW1000 1 hari


Gambar 8 - Unduh RAM selama enam bulan HW50


Gambar 9 - Unduh RAM untuk HW50 1 hari

Beban jaringan

Gambar 10 - Mengunduh jaringan selama enam bulan HW1000


Gambar 11 - Mengunduh jaringan dalam 1 hari HW1000


Gambar 12 - Mengunduh jaringan selama enam bulan HW50


Gambar 13 - Mengunduh jaringan dalam 1 hari HW50

Kesimpulan

Sekitar satu tahun telah berlalu sejak implementasi proyek, semua alat perlindungan informasi kriptografi beroperasi secara normal, tidak ada gateway crypto tunggal yang gagal. ERIS beroperasi dalam mode normal dengan alat perlindungan informasi yang diinstal, menyediakan tingkat keamanan informasi yang diperlukan untuk data pribadi pasien di klinik Moskow.