Реализация задач сбора, консолидированной обработки и доступа к разнородным источникам данных

Портал «МИР КОМПЬЮТЕРНОЙ АВТОМАТИЗАЦИИ»

В статье рассматриваются подходы к решению задачи обеспечения вертикально- и горизонтально-ориентированных направлений информационного взаимодействия абонентов (процессов), обрабатывающих данные как открытого, так и ограниченного доступа с различным уровнем конфиденциальности. Решение указанной задачи предполагает дооснащение существующей вычислительной инфраструктуры, развёрнутой на предприятиях (объектах автоматизации), программно-аппаратным комплексом на основе Объединённого Коммуникационного Центра (ОКЦ).

Применение предлагаемых решений обеспечивает совмещение процессов сбора данных, получаемых от разнородных источников (открытых и конфиденциальных), их консолидированную обработку с гарантированной изоляцией открытого и закрытого сегментов (контуров) обработки данных на объектах применения.

Всё программное обеспечение ОКЦ является отечественным, доверенным и защищённым, в его составе отсутствуют заимствованные компоненты иностранного производства. Аппаратная часть (по требованиям Заказчика) может исполняться с применением импортной и/или отечественной электронной компонентной базы.

В интересах эффективного решения задач управления производством на предприятиях (организациях) необходимо обеспечить вертикально- и горизонтально-ориентированные направления защищённого информационного взаимодействия абонентов и процессов, обрабатывающих данные с различными уровнями конфиденциальности.

Кроме того, сопутствующей задачей, решаемой посредством внедрения ОКЦ, является сокращение производственных затрат на отработку и унификацию взаимодействия абонентов с внешними организационными структурами на всех уровнях (предприятие – холдинг – управляющая компания), а также с другими органами государственного управления.

Для реализации указанных задач предназначен ОКЦ «ПЛАТАН-РТ», разрабатываемый компанией «РТСофт».

Консолидация данных от различных источников

Процессы сбора, систематизации, хранения и совместной обработки информации открытого и ограниченного доступа выполняются средствами ОКЦ «ПЛАТАН-РТ» в автоматическом и автоматизированном режимах. Сбор технологической информации о состоянии оборудования, действиях персонала, а также управление вычислительной инфраструктурой может обеспечиваться с использованием отдельной (технологической) сети, изоляция которой от основного (информационного) тракта реализуется комплексом средств защиты (КСЗ) защищённого комплекта программ (ЗКП) «Plato-RT», разработанного в 2015 г. АО «РТСофт» в рамках реализации инвестиционного проекта.

На рис. 1 представлен пример оснащения объектов заказчика средствами ОКЦ «ПЛАТАН-РТ». Каждый объект оснащается аппаратно-программным комплексом, состоящим из серверной группы и необходимого количества клиентских комплектов – автоматизированных рабочих площадок (АРП), включающих АРМ открытого и закрытого сегментов.

Масштабирование решения предполагает возможность расширения количества клиентских АРП (до 5 000 ед. на каждом объекте). Межобъектовое масштабирование предполагает увеличение количества типовых объектов автоматизации (на рис. 1 представлены иерархией «управляющая компания–холдинг–предприятие») до 5 000 ед. с подключением к каналам связи открытых и закрытых сетей передачи данных.

Рис. 1. Реализация взаимодействия объектов автоматизации Заказчика по открытым и закрытым сетям передачи данных с использованием унифицированных комплектов ОКЦ

Информационный обмен между открытыми и закрытыми сегментами (передача документов, формализованных сообщений, файлов) одного или различных объектов реализуется через серверные группы ОКЦ «ПЛАТАН-РТ» и входящие в их состав шлюз-фильтры однонаправленной передачи прикладного контента (на рис. 1 показаны фигурными стрелками внутри ОКЦ). На каждом уровне иерархии в составе объектов автоматизации заказчика сохраняются существующие («унаследованные») базы данных (БД) заказчика, которые дополняются формируемыми средствами ОКЦ «ПЛАТАН-РТ» Банками данных (БнД) первичной информации и Банками моделей (БнМ) вторичной информации для холдинговых структур, а также Интегрированным Банком данных и моделей (ИБнД и ИБнМ) для организационных структур на уровне Управляющей компании (центрального аппарата) заказчика. Сопряжение БнД и БнМ с существующими БД заказчика производится через Адаптеры Сопряжения (АдС), функционирующие в составе ОКЦ «ПЛАТАН-РТ» под управлением встроенной Интеграционной платформы (ИП).

ОКЦ «ПЛАТАН-РТ» посредством доверенных защищённых компонентов ИП, установленных на узлах ЛВС открытых и закрытых сегментов, обеспечивают «прозрачное» взаимодействие всех территориально-распределённых абонентов (процессов) Заказчика по принципу «каждый-с-каждым» (возможные ограничения задаются настройкой политики безопасности).

Функциональная архитектура унифицированного комплекта ОКЦ «ПЛАТАН-РТ» для реализации консолидированной обработки данных открытого и закрытого сегментов на объекте заказчика показана на рис. 2.

Рис. 2. Архитектура унифицированного комплекта серверной группы ОКЦ

Задачи обеспечения безопасности информации (ОБИ), контроля и управления функционированием (КУФ) централизованно решаются на каждом объекте автоматизации одноименными компонентами соответствующих полукомплектов из состава серверной группы ОКЦ «ПЛАТАН-РТ-С». Подключение полукомплектов серверной группы к канальным интерфейсам открытых и закрытых сетей передачи данных производится посредством устройств унифицированных комплексов доступа (УКД), входящих в состав ОКЦ «ПЛАТАН-РТ».

Произвольные данные (формализованные сообщения, документы, файлы), передаваемые от различных источников, автоматически упаковываются ОКЦ «ПЛАТАН-РТ» в специализированные программные контейнеры Интеграционной платформы (ИП) для последующей гарантированной доставки по унифицированной магистрали (ESB-шине) до адресуемого абонента (процесса) с автоматическим уведомлением отправителя о фактах успешной доставки и обработки содержимого контейнера. Встроенные в ОКЦ «ПЛАТАН-РТ» программные средства гарантированного хранения обеспечивают возможности распределённого и централизованного ведения Банков данных (БнД ) первичной информации – систематизированных хранилищ с «прозрачным» доступом к их содержимому для удалённых абонентов (процессов) в соответствии с заданной политикой безопасности.

Серверная группа (рис.2) ОКЦ «ПЛАТАН-РТ» состоит из двух полукомплектов, развёрнутых в составе открытых и закрытых сегментов вычислительной инфраструктуры заказчика. Каждый комплект ОКЦ ПЛАТАН-РТ обеспечивает возможность однонаправленной ретрансляции данных между сегментами, обрабатывающими информацию различных уровней конфиденциальности. Программные адаптеры сопряжения (АдС), установленные в каждом полукомплекте, обеспечивают одно- или двунаправленное взаимодействие с заданным заказчиком перечнем внешних систем общего и специального назначения.

Обработка и анализ данных

Все данные, накопленные в первичных хранилищах, при необходимости могут быть либо непосредственно отображены на визуальных интерактивных панелях (ВИП) должностных лиц, либо автоматически направляться для дальнейшей обработки, экспресс-анализа и формирования информационно-аналитических отчётов с помещением результатов автоматизированной обработки во вторичное хранилище – Банк моделей (БнМ). В ОКЦ «ПЛАТАН-РТ» осуществляется регистрация всех видов первичных информационных ресурсов БнД, которые были использованы для формирования вторичных данных – знаний, накапливаемых в БнМ. Пополнение и актуализация содержимого вторичного хранилища – БнМ обеспечивается также подключением необходимого набора прикладных систем заказчика (в частности – ERP) к интегрированному тракту прохождения информации с использованием адаптеров сопряжения (АдС на рис.2).

Подключение производится посредством доработки или настройки АдС из унифицированного шаблона, встроенного в ОКЦ «ПЛАТАН-РТ». Всем абонентам, работающим в открытых и закрытых сегментах, гарантированно предоставляются доверенные сервисы электронного документооборота с поддержкой нескольких контуров одно- или двунаправленного прохождения информации – служебного (деловая переписка), организационно-распорядительного (управление инфраструктурой) и личного (неформальное информационное взаимодействие с гарантией конфиденциальности). Такой подход позволяет организовать в интересах заказчика как локальные, так и распределённые системы электронного документооборота с консолидированной обработкой данных и формированием итоговых отчётных документов различных уровней конфиденциальности и возможностью «прозрачного» взаимодействия с внешними организациями на основе сервисов систем межведомственного электронного взаимодействия (СМЭВ), систем межведомственного электронного документооборота МЭДО и других специальных протоколов.

Диспетчеризация и мониторинг вычислительной инфраструктуры и критически важных процессов обработки данных

Задачи комплексного мониторинга и управления вычислительным процессом решаются специализированными службами (КСЗ «Plato-RT») в составе ОКЦ «ПЛАТАН-РТ» на следующих двух уровнях:

1. Управление вычислительной инфраструктурой (нижний уровень).

Обеспечивается контроль текущего функционального состояния всех элементов распределённой гетерогенной (неоднородной) вычислительной инфраструктуры заказчика, включая:

• вычислительные установки – узлы ЛВС (серверы, рабочие станции, др. оборудование);

• линии/каналы/направления связи;

• интерфейсы всех уровней доступа (OSI) к услугам связи, передачи, хранения и прикладной обработки данных;

• общее и общесистемное программное обеспечение (ОС, СУБД, комплексы средств защиты информации, обмена данными, интеграции функциональных подсистем, ведения общесистемных классификаторов).

     2. Мониторинг решения критически важных задач-процессов (верхний уровень).

Реализует событийно-ориентированный механизм контроля хода и результатов выполнения регламентных процессов решения критически важных задач с использованием всей имеющейся в распоряжении заказчика территориально-распределённой вычислительной инфраструктуры. Обеспечивается автоматический и автоматизированный запуск сценариев обработки данных при возникновении нештатных ситуаций, а также генерация отчётов о функционировании технических и программных средств, действиях персонала, состоянии и проблемах в системе операционного управления в целом.

Защищённая доверенная среда обработки и хранения данных

ОКЦ «ПЛАТАН-РТ» обеспечивает двухслойную (внешнюю и внутреннюю) изоляцию баз данных и процессов автоматизированной обработки информации посредством применения встраиваемых периметров защиты изделия «Plato-RT». На каждой вычислительной машине организуется скрытая от базовой ОС и недоступная для администратора защищённая область хранения данных. Последняя включает средства объективной регистрации и автоматической обработки (перехвата и нейтрализации) возникающих инцидентов безопасности.

Описанный механизм нейтрализует попытки сокрытия последствий несанкционированных действий пользователя любой категории, в том числе привилегированных категорий пользователей (сотрудник-инсайдер, системный администратор), а защищённые средства удалённого контроля блокируют работу вычислительной установки до устранения причин возникновения инцидента. По желанию заказчика система может поставляться в одно- или двухконтурном исполнении, с реализацией в независимом (технологическом контуре) функций удалённого контроля (управления) вычислительным процессом и защиты критически важных ресурсов на объектах заказчика.

ОКЦ «ПЛАТАН-РТ» является унифицированным средством высокой степени готовности для комплексного решения типовых задач прикладной обработки, для чего в его состав включены производительные средства защищённого экспресс-анализа данных, поступающих от независимых разнородных источников, а также необходимые инструменты интеграции для реализации двустороннего взаимодействия с внешними АСУ общего и специального назначения. Внедряемое в составе ОКЦ «ПЛАТАН-РТ» программное обеспечение является отечественным, доверенным и защищённым. Технические средства ОКЦ «ПЛАТАН-РТ» по требованию заказчика могут быть исполнены с применением изделий из перечня ЭКБ 01-22-2014.

Cостав технических и программных средств, предлагаемых к внедрению на объектах автоматизации Заказчика

В состав комплекта поставки ОКЦ «ПЛАТАН-РТ» входят:

1. Серверная группа – вычислительный комплекс, состоящий из двух высокопроизводительных серверов (полукомплектов), предназначенных для работы по закрытым и открытым сетям передачи данных и шлюза однонаправленной передачи данных. Шлюз обеспечивает возможность однонаправленной ретрансляции данных между сегментами ЛВС объекта автоматизации, обрабатывающими данные различных уровней конфиденциальности. Дополнительно каждый полукомплект серверной группы ОКЦ может включать (выносные) АРМ обеспечения безопасности информации (ОБИ), контроля и управления функционированием (КУФ). Каждый полукомплект серверной группы оснащён предустановленной версией ПО Интеграционной платформы (БИГЕ.466451.099-01 Инструментальный комплект средств интеграции, далее ИКСИ), реализующей общесистемные функции ОКЦ «ПЛАТАН-РТ» в соответствии с описанием, приведённым выше.

2. Клиентский комплект – на клиентских АРМ открытого и закрытого сегментов средствами встроенной в ОКЦ «ПЛАТАН-РТ» Интеграционной платформы обеспечивается автоматизация типовых функций операционного управления корпоративными структурами заказчика, передачи распоряжений с использованием организационно-распорядительного тракта (ОРТ), экспресс-анализа данных c отображением результатов на визуальных интерактивных панелях (ВИП), а также реализация функций защищённого документооборота с применением средств электронной подписи (СЭД и ЭЦП).

3. Комплект разработчика (API) – предназначен для экспресс-разработки программных адаптеров сопряжения (АдС) серверной группы ОКЦ с приложениями заказчика (ERP-системы, САПР).

Задачи обеспечения безопасности информации (ОБИ), контроля и управления функционированием (КУФ) централизованно решаются на каждом объекте автоматизации компонентами КСЗ «Plato-RT» полукомплектов серверной группы ОКЦ «ПЛАТАН-РТ». Подключение полукомплектов серверной группы к канальным интерфейсам открытых и закрытых сетей передачи данных производится посредством устройств унифицированных комплексов доступа (УКД), входящих в состав ОКЦ «ПЛАТАН-РТ».

Ниже (рис.3) показан пример возможного практического применения ОКЦ «ПЛАТАН-РТ» в интересах проведения комплексного анализа данных, поступающих от открытых и закрытых источников. Автоматизированная рабочая площадка (АРП) представлена двумя АРМ, подключаемыми посредством сетевых интерфейсов к серверам сбора и накопления первичной информации (БнД) «открытого» и «закрытого» сегментов.

Рис. 3. Реализация консолидированной обработки данных различных уровней конфиденциальности с использованием ОКЦ «ПЛАТАН-РТ»

В качестве средств анализа накопленных данных в «открытом» сегменте используются заимствованные клиент-серверные компоненты SAP HANA (разработчик – компания SAP, Германия), функционирующие под управлением КСЗ «Plato-RT» в доверенной среде «ИКСИ». В качестве аналитических инструментов в «закрытом» сегменте применяются отечественные средства экспресс-анализа данных ALBA-ВИП (разработчик – МГТУ им. Н.Э. Баумана, Россия).

Интеграция аналитических приложений обоих сегментов, обрабатывающих данные различных уровней конфиденциальности (от канального до прикладного уровней в модели OSI/ISO), осуществляется посредством ОКЦ «ПЛАТАН-РТ» в автоматическом/автоматизированном режимах с подкачкой результатов первичной аналитической обработки данных из «открытого» в «закрытый» сегмент, их консолидации с данными от закрытых (конфиденциальных) источников. Выполнение процедур комплексного анализа на АРМ и серверах «закрытого» сегмента завершается пополнением содержимого банка данных и моделей вторичной информации (БнМ).