Из чего складывается доверие

В статье описывается продукция компании Fastwel, которую можно применять в качестве программно-аппаратных решений для построения доверенных российских платформ. Рассмотрены процессорные модули, построенные на базе отечественных процессоров «Эльбрус» и «Байкал», а также процессорный модуль с доверенной версией BIOS.

Сергиенко Николай

1227
В ЗАКЛАДКИ

Одной из первостепенных задач импортозамещения является обеспечение безопасности объектов критически важной инфраструктуры. Решается эта задача по-разному: с использованием полностью отечественных аппаратных и программных решений, с помощью применения технологий доверенной загрузки и т.д. Fastwel предлагает целый ряд решений для ответственных применений, которые надёжно защищают российских пользователей от утечки информации и несанкционированного вмешательства.

Информационные технологии сегодня прочно вошли во все сферы жизни человека: от персональных гаджетов и «умной» бытовой техники до систем управления критически важными инфраструктурами, опасными производствами и специальной техникой.

Сейчас в России повсеместно применяются средства обработки и передачи информации, построенные на микропроцессорах и ПЛИС, произведённых, в основном, за рубежом. Технологии и стандарты западных компаний Intel, AMD, CISCO, Nvidia, ARM широко распространены в атомной и тепловой энергетике, добыче, транспортировке и переработке углеводородов, химической и фармацевтической промышленности, на транспорте, в медицине и ЖКХ.

Плюсы внедрения информационных технологий очевидны. К ним относятся повышение качества и снижение себестоимости выпускаемой продукции, предельное сокращение времени принятия решений и реакции на чрезвычайные ситуации, обеспечение безопасности и комфорта на пассажирском транспорте, защита от несанкционированного доступа в финансовой сфере и так далее, и так далее. Однако у этой медали существует обратная сторона.

Производители электроники зачастую встраивают в свои изделия недокументированные возможности, которые позволяют, например, удалённо перехватить управление устройством или считать с него любые данные: содержимое накопителя, введённые с клавиатуры символы, снимок экрана и оперативной памяти, а также показания встроенных датчиков, камер, микрофонов и т.п. Очевидно, что если для потребительской электроники такой функционал позволяет, например, заблокировать удалённо любое устройство в случае кражи или утери, демонстрировать рекламу, максимально отвечающую интересам пользователя, то для электроники промышленного назначения любой перехват управления и утечка информации может вылиться как в финансовые потери, так и в техногенную катастрофу. Масштаб технологической глобализации с одновременной поляризацией ведущих мировых держав добавляют критических красок к теме. Поэтому сегодня на первый план выходит задача создания надёжных вычислителей, исключающих возможность несанкционированного вмешательства со стороны производителей процессоров и микросхем.

Компания Fastwel одной из первых на российском рынке электроники откликнулась на вызов времени. И это вполне оправдано: с первых дней существования Fastwel взял курс на разработку и производство таких устройств, которые должны полностью заменить отечественному заказчику импортные аналоги. Следует заметить, что данный курс был принят в качестве основной стратегии задолго до провозглашения импортозамещения на высшем уровне как насущной необходимости для обеспечения национальной безопасности.

В данный момент Fastwel предлагает целый ряд вариантов процессорных модулей и готовых вычислителей на их основе, отвечающих всем требованиям по защите от несанкционированного доступа и поддерживающих работу в доверенном режиме.

Изделия на российских процессорах

Первым шагом Fastwel на пути создания доверенных систем является разработка и серийное производство модулей на отечественных процессорах. Среди платформ, которые на сегодня освоены и внедряются на самых разных предприятиях России и СНГ, используются семейства процессоров «Байкал» и «Эльбрус».

Процессорный модуль CPC313 на «Байкал-Т1»

CPC313 – процессорный модуль формата StackPC, в основу которого лёг отечественный процессор «Байкал-Т1». Данный процессор имеет 2 ядра, работающих на частоте 1,2 ГГц, встроенный графический адаптер, способный выдавать изображение FullHD 1920×1080, а также 2 порта Ethernet со скоростью 1 Гбит и один опциональный порт 10 Гбит (рис. 1). При таком оснащении процессор потребляет всего 5 Вт и отлично подходит для встраиваемых решений с кондуктивным охлаждением.


Модуль CPC313 получил 4 Гбайт напаянной оперативной памяти DDR3 с функцией ECC и SSD ёмкостью 8 Гбайт, который также напаян на процессорный модуль. CPC313 оснащён двумя портами USB 2.0 и двумя портами RS232, разъёмом шины PCI/104, часами реального времени с литиевой батареей и аппаратным сторожевым таймером. На базе данного модуля в 2019 году был представлен модульный компьютер MK150-02, поддерживающий шину FBUS и совместимый с модулями ввода-вывода популярного российского контроллера Fastwel I/O.

CPC313 – это высокоинтегрированное и энергоэффективное решение, предназначенное для использования в системах реального времени, контроля производства, сбора и обработки данных. На данный модуль портирована ЗОСРВ КПДА «Нейтрино» производства компании «СВД Встраиваемые системы». Модуль также поддерживает работу под Linux Debian 9 (ядро 4.4.182). Таким образом, на базе CPC313 можно строить отказоустойчивые решения, позволяющие обеспечить защиту от утечки данных.

Процессорный модуль CPC514 на «Эльбрус-4С»

Новинка оснащена 4-ядерным процессором «Эльбрус-4С» (1891ВМ8Я) и 8 Гбайт оперативной памяти ECC, SSD-диском с интерфейсом SATA II объёмом 16 Гбайт. Модуль имеет широкий набор интерфейсов: 3×SATA, 3×Ethernet до 1 Гбит/c, 9×USB 2.0, видеовыход 1920×1440, а также 4 разъёма для установки мезонинных плат расширения (рис. 2).


CPC514 выпускается в двух вариантах: с принудительным и кондуктивным охлаждением. Как и большинство изделий Fastwel, модуль CPC514 способен выдерживать жёсткие условия эксплуатации и работает в диапазоне температур от –40 до +85°C.

Процессорный модуль Fastwel CPC514 разработан для применения в системах реального времени, критически важных инфраструктурных решениях, системах сбора и обработки данных. Особенности конструкции модуля и передовые технологические решения, используемые при его изготовлении, делают новинку оптимальным решением для ответственных применений.

Модуль поддерживает работу под российскими ОС «Эльбрус» и ЗОСРВ «Нейтрино-Э».

Процессорный модуль CPC516 на «Байкал-Т1»

CPC516 – это одноплатный компьютер формата 3U CompactPCI Serial, построенный на базе процессора «Байкал-Т1» (архитектура MIPS32). Модуль оснащён оперативной памятью DDR3 объёмом 4 Гбайт с поддержкой функции ECC, диском SSD объёмом 8 Гбайт, поддерживает шину PCI-E 3.0 и способен выводить картинку через Display Port разрешением 1920×1080 50 Гц. Модуль способен выдерживать жёсткие условия эксплуатации (вибрацию, удары, колебания температур в диапазоне от –40 до +85°C) и предназначен для использования в системах реального времени, контроля производства, а также для специальных применений (рис. 3).


Данный модуль поддерживает работу не только под QNX и Linux, но также и под управлением ОС российского производства, в том числе ЗОСРВ КПДА «Нейтрино», что также повышает защищённость решения от утечки критической информации.

Компания «Энстрим» провела тестирование процессорного модуля CPC516 под управлением операционной системы «Лотос» (редакция для серверов и рабочих станций). В ходе тестирования была проверена работоспособность всех интерфейсов модуля, в частности Ethernet 1 Гбит, USB 2.0 и Display Port.

Операционная система «Лотос» включена в Реестр отечественного программного обеспечения. К основным особенностям системы относятся:

  • установка и использование различных средств защиты информации, в том числе электронной цифровой подписи и межсетевого экранирования;

  • поддержка работы с виртуальными машинами;

  • использование средства централизованной авторизации;

  • поддержка широкого набора различных периферийных устройств для сканирования и печати документов.

Система «Лотос» соответствует уровню защищённости от несанкционированного доступа к информации по 6 классу (при наличии СЗИ от НСД по 5 классу), а также имеет классификацию по уровню отсутствия недекларированных возможностей по 4 уровню контроля и технических условий при выполнении указаний по эксплуатации, приведённых в формуляре КШДС.10514-01 30.01.

В ближайших планах Fastwel освоение процессоров «Эльбрус-8С», «Байкал-М», «Скиф» и ELIOT-01 производства НПЦ «Элвис».

Партнёрские продукты

В связи с необходимостью обеспечения в вычислителях, разработанных на базе аппаратно-программных платформ импортного производства, заданных характеристик безопасности информации, таких как конфиденциальность, целостность и доступность, вопрос повышения уровня доверия к ним является одним из приоритетных наряду с надёжностью, стабильностью и работоспособностью. При этом требования к доверию устанавливают и условия применения в СВТ сертифицированных средств защиты информации, например, аппаратно-программных модулей доверенной загрузки (АПМДЗ).

Таким образом, когда использование импортного процессора оправдано технологически, существует возможность программно защитить систему от возможных вторжений. Подобные решения Fastwel выпускает совместно с партнёрами – разработчиками программных средств доверенной загрузки и систем BIOS для процессорных модулей.

Процессорный модуль CPC1311

Серийное изделие Fastwel – модуль в формате Com Express mini (Тип 10) CPC1311 изначально ориентирован на российских OEM-заказчиков нестандартных вычислителей для использования в системах повышенной ответственности, а также функционирующих в жёстких условиях окружающей среды.

CPC1311 построен на базе многоядерного процессора из embedded серии Intel Atom семейства Bay Trail с 64-разрядной архитектурой (рис. 4).

Отличительными особенностями процессоров являются крайне низкое энергопотребление (до 10 Вт), поддержка памяти ЕСС и мощный графический контроллер. «Обвязка» процессора в виде 4 Гбайт оперативной памяти DDR3L с поддержкой ECC и твердотельного диска ёмкостью 8 Гбайт позволяет использовать изделие в качестве самодостаточного встраиваемого компьютера, способного решать большинство прикладных задач. Мультимедийные возможности СРС1311 включают в себя видеоконтроллер с интерфейсом LVDS (разрешение до 2560×1600 пикселей) и современный аудиокодек класса HD. Встроенные в процессор функции декодирования/кодирования видео позволяют применять модуль в системах, связанных с обработкой мультимедийных потоков. Через разъёмы высокой плотности разработчикам доступен большой арсенал высокоскоростных интерфейсов: 1×1 Гбит Ethernet, 5×USB 2.0, 1×USB 3.0, 2×SATA II, 3 PCIе x1 (дополнительно одна линия PCIе может быть получена вместо GbEthernet). Из дополнительных возможностей следует отметить встроенную поддержку шины CAN 2.0, востребованную в системах реального времени, прежде всего, на транспорте.

Для обеспечения защиты модуля CPC1311 от возможных «закладок» процессора Intel совместно с ФГУП НТЦ «Атлас» был разработан специализированный BIOS. Использование такого подхода обеспечило полную блокировку недокументированной деятельности процессора и сопроцессора Intel Atom на уровне базовой системы загрузки, то есть ещё до операционной системы.

В рамках сотрудничества было разработано и проведено функциональное тестирование отечественного ПО ЗОС для модуля СРС1311, которое обеспечивает отсутствие в системе деструктивных функциональных возможностей (Intel Management Engine). Кроме того, в ходе работ подтверждена совместимость модуля СРС1311 с отечественным ПО ЗОС с ЗОСРВ КПДА «Нейтрино» производства компании «СВД Встраиваемые системы».

Процессорный модуль CPC1001

Модуль CPC1001 выполнен в формате SMARC v.1.1 на базе процессора i.MX 6Quad с архитектурой ARM, имеет 64-разрядную шину, оснащён 4 гигабайтами оперативной памяти и 32 гигабайтами флэш-памяти. На разъём MXM 3.0 выведен широкий набор интерфейсов: PCIe, USB 2.0, SATA II, Gigabit Ethernet, CAN, LVDS, HDMI, SPI, I2C и I2S, SDIO, UART и RTC.

Прежде всего, модуль отличается малыми размерами. Габариты модуля вместе с теплораспределительной пластиной составляют всего 82,0×50,0×8,8 мм (рис. 5). 

Модуль также отличается низким энергопотреблением: потребляемая мощность при высокой нагрузке не превышает 5 Вт, а экстремальная пиковая – 9 Вт. Как большинство изделий Fastwel, CPC1001 способен работать в широком температурном диапазоне от –40 до +85°С и обладает повышенной устойчивостью к воздействию внешних факторов: вибраций и ударов.

Для защиты данного модуля от недокументированной активности аппаратных средств применена разработка компании «Аладдин Р.Д.» – Система доверенной загрузки (СДЗ) TSM. Данный программный продукт обеспечивает доверенную загрузку ОС Linux для процессоров i.MX6 и имеет сертификат ФСТЭК РФ до уровня СС. ПО включает также доверенную среду выполнения прикладного программного обеспечения, доверенную инфраструктуру обновления и внешнего управления.

Готовые вычислители

На базе некоторых процессорных модулей Fastwel создаёт готовые решения, которые могут с успехом применяться в решениях по передаче данных и управлению элементами критически важной инфраструктуры.

Модульный компьютер MK150-02

Модульный компьютер MK150-02 собран на основе модуля процессора CPC313 и предназначен для применения в качестве автономного вычислительного устройства в автоматизированных системах управления технологическими процессами (рис. 6). 

Диапазон рабочих температур от –40 до +70°С, что позволяет применять данную модель в жёстких условиях эксплуатации на всей территории нашей страны. Возможность крепления компьютера на DIN-рейку или монтажную панель обеспечивает удобство его размещения в шкафах комплектной автоматики для применения на среднем уровне АСУ ТП.

Важной особенностью MK150-02 является наличие двух портов шины FBUS, которая используется для совместного использования с модулями линейки промышленного контроллера Fastwel I/O. Таким образом, применение МК150-02 в качестве процессорного модуля контроллера в сочетании с использованием отечественных ОС открывает путь к созданию АСУ ТП критически важных объектов.

Защищённый планшет ОНИКС08

Планшет ОНИКС08 разработан для использования в качестве персонального компьютера с сенсорным управлением на транспорте и АСУ ТП (рис. 7). 

ОНИКС08 успешно прошёл испытания, подтверждающие его безотказную работу при температурах от –30 до + 70°C, ударах до 100g и устойчивость к пыли и влаге. Основой планшета является процессорный модуль CPC1001 на базе процессора Freescale iMX6 с частотой 1 ГГц. Этого достаточно, например, для быстрой загрузки различных карт и работы с ними. Операционная система и прикладное программное обеспечение записываются на напаянный твердотельный диск объёмом до 32 Гбайт, а дополнительные данные, в том числе карты местности, могут располагаться на съёмном носителе MicroSD. В конструкции ОНИКС08 применены решения, оптимальные для продукта массового производства, в частности, литой корпус из магниевого сплава, благодаря чему стоимость изделия находится на уровне наиболее распространённых зарубежных аналогов.

Поддержка российских операционных систем AstraLinux и КПДА позволяет разработчикам программного обеспечения быстро перенести существующие программы на планшет и применить изделие на практике.

Применение СДЗ TSM компании «Аладдин Р.Д.» делает ОНИКС08 незаменимым вычислительным средством в системах, требующих защиты от утечки информации и несанкционированного вмешательства. ●

Автор – сотрудник фирмы ПРОСОФТ
Телефон: (495) 234-0636
E-mail: info@prosoft.ru

 



ПОДПИСАТЬСЯ НА НОВОСТИ

Будьте всегда в курсе самых свежих новостей
и узнавайте первыми о содержании нового номера

Подписка на новости