Если у вас возникли вопросы, или появилось предложение, напишите нам

Новая гарвардская архитектура

m-TrusT – это одноплатный компьютер Новой гарвардской архитектуры, с общим назначением – защищенная сетевая коммуникация между элементами критической информационной инфраструктуры (КИИ).

Параметры:
Процессор: ARM64 RockChip RK3399
Количество ядер: 6 (2 ядра ARM Cortex-A72 + 4 ядра ARM Cortex-A53)
Частота: 2 ГГц
Объем ОЗУ: 4 ГБ
Объем ПЗУ: 16 ГБ (может быть расширен до 64 ГБ)
Видеоадаптер: Mali-T860MP4 GPU, поддержка OpenGL ES1.1 / 2.0 / 3.0, OpenCL1.2, DirectX11.1
Видеовыход: mini-HDMI
Встроенный модуль РКБ: аппаратный генератор случайных чисел, защищенное ключевое хранилище, возможность хранения неизвлекаемого ключа.

Согласно 187-ФЗ[1] и его подзаконным актам, объекты КИИ (автоматизированные и информационные системы в их составе) подлежат защите также, как ГИС и ИСПДн высоких классов защищенности. В то же время у этих систем есть очень существенные отличия от систем «офисного типа», которые учитывает конструкция m-TrusT.

Конструктивно этот компьютер включает в себя док-станцию, которая стационарно включается в состав элемента КИИ, и подключаемого к ней универсального по своему аппаратному исполнению модуля – мезонина (m в названии микрокомпьютера – это именно «мезонин»).

Док-станция предназначена для того, чтобы корректно подключить m-Trust к тому или иному конкретному элементу КИИ, поэтому ее конструктивное решение и набор портов могут существенно различаться, ведь такими элементами могут быть самые разные объекты – от локомотивов до банкоматов, от газовых счетчиков до терминалов управления АЭС.

Это связано с тем, что самую высокую категорию значимости согласно Постановлению Правительства[2], будут иметь автоматизированные системы в составе объектов самого различного назначения, нарушение функционирования которых может привести к причинению ущерба жизни и здоровью более 500 человек (это, например, пассажирский поезд, средняя больница, вредное химическое производство) или нарушению условий жизнедеятельности (в том числе недоступность транспортных услуг и услуг сетей связи) более 5000 человек (например, несколько многоквартирных домов, крупный офисный центр, аэропорт).

Очевидно, что на таких объектах оборудование, защищенное сетевое взаимодействие которого нужно обеспечить, не просто имеет существенные особенности, но и является зачастую уникальным, то есть предъявляет жесткие требования к аппаратной адаптации средства защиты. Поэтому в случае, если не подходит ни один из ранее разработанных вариантов, док-станция проектируется для конкретного оборудования.

Два типичных примера док-станции

Вариант 1 док-станции для m-TrusT

  • Габаритные размеры не более 90 x 105 мм
  • Соединитель типа Розетка 87758-2016 MOLEX со следующими сигналами:
    • 1 контакт: +5 В
    • 3 контакт: USB D+
    • 5 контакт: USB D-
    • 7 контакт: Земля
    • 13 контакт: Ethernet RX-
    • 14 контакт: Ethernet TX-
    • 15 контакт: Ethernet RX+
    • 16 контакт: Ethernet TX+
    • 17 контакт: +5 В
    • 18 контакт: +5 В
    • 19 контакт: Земля
    • 20 контакт: Земля
  • Разъем USB Type A
  • Разъем Ethernet
  • Ethernet скоммутирован через LAN-трансформатор PSF-16221 или аналогичный
  • Разъем питания от источника постоянного напряжения 5 вольт

Вариант 2 док-станции для m-TrusT

  • Габаритные размеры не более 90 x 110 мм
  • Соединитель типа Розетка 87758-2016 MOLEX со следующими сигналами:
    • 1 контакт: +5 В
    • 3 контакт: USB D+
    • 5 контакт: USB D-
    • 7 контакт: Земля
    • 13 контакт: Ethernet RX-
    • 14 контакт: Ethernet TX-
    • 15 контакт: Ethernet RX+
    • 16 контакт: Ethernet TX+
    • 17 контакт: +5 В
    • 18 контакт: +5 В
    • 19 контакт: Земля
    • 20 контакт: Земля
  • USB-хаб
  • Разъем USB Type A
  • 2 разъема Ethernet
    • Один из разъемов Ethernet должен быть скоммутирован на Розетку через LAN-трансформатор PSF-16221 или аналогичный
    • Второй Ethernet-разъем должен быть подключен через преобразовать интерфейсов USB-Ethernet
  • Разъем RS-232, подключенный через преобразователь USB-RS-232
  • Разъем RS-485, подключенный через преобразователь USB-RS-485
  • Разъем для micro-SD карты
  • Разъем питания от источника постоянного напряжения 5 вольт

В зависимости от того, какие элементы КИИ должны взаимодействовать (подвижной состав и станционное оборудование, банкомат и АБС, какое-то измерительное оборудование и центр обработки (или центры агрегации) данных измерений, и т. д.) – ПО активной части m-TrusT, «мезонина» – будет разным. Оно создается для каждой конкретной задачи, поэтому Заказчиком приобретается не прибор, а решение, компонент именно той КИИ, для которой создается конкретная партия m-TrusT.

Например, это может быть проходной шифратор (прием данных и их передача в зашифрованном виде) или сбор и передача показаний каких-нибудь датчиков.

Функциональное программное обеспечение защищено вирусным иммунитетом Новой гарвардской архитектуры – оно загружается из памяти резидентного компонента безопасности (РКБ), которая защищена от вирусного заражения.

Съемный конструктив «мезонина» неоценимо упрощает обслуживание системы и ускоряет восстановление работоспособности при выходе «мезонина» из строя (что имеет огромное значение для КИИ) – он просто заменяется на новый путем подключения этого нового экземпляра к той же самой док-станции. Поскольку такой АРМ не хранит практически никаких данных, замена его рабочей части для системы не ощутима, если заранее сформирован некоторый фонд запасных устройств, обеспеченных нужными ключами и настройками.

Как любой универсальный защищенный компьютер, m-TrusT может использоваться для реализации всех технических мер обеспечения безопасности значимых объектов КИИ, включая ИАФ, УПД, ОПС, ЗНИ, АУД, АВЗ, СОВ, ОЦЛ, ОДТ, ОПО. Наиболее же эффективно использовать m-TrusT для обеспечения группы мер ЗИС.

При использовании m-TrusT в составе ИС важно соответствие требованиям регулятора его собственных свойств, свойств продуктов на его основе, а также то, какие меры можно реализовать путем его применения в системе. Таблицы, посвященные этим вопросам можно увидеть здесь.

При этом m-TrusT обеспечивает существенные преимущества, в том числе:
1. Работа в автоматическом режиме, что существенно снижает нагрузку на организационно-технические меры при эксплуатации СКЗИ
2. Изменение форм-фактора без повторной сертификации изделия, что значительно сокращает сроки работ по защите КИИ
3. Обеспечивается работа с любыми каналами связи, используемыми в КИИ
4. Обеспечивается защита КИИ без глубокой переработки ее структуры, что сильно сокращает затраты на проведение мероприятий.

Рисунок 1 Рисунок 2
Интерфейсная плата с подключенным «m-TrusT» Интерфейсная плата («облегченный» вариант) с подключенным «m-TrusT»
Рисунок 3 Рисунок 4

Микрокомпьютер «m-TrusT»

Интерфейсные платы

[1] Федеральныйзакон187-ФЗ «Обезопасности критической информационной инфраструктуры Российской Федерации».

[2] Постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».

Об Архитектуре

Про Новую гарвардскую архитектуру можно прочитать подробно в статьях в нашей Библиотеке, коротко же суть сводится к следующему.

Если микросхему банка памяти, в которой размещается ОС, перевести...

TrusT Удалёнка

Специальное средство вычислительной техники удалённого доступа

С недавних пор большое внимание уделяется удалённой работе сотрудников – многие компании организуют для своих сотрудников ...

если вам есть что скрывать
Кнопка связи