Високопродуктивні системи в ряді випадків застосовуються для виконання додатків, що пред'являють підвищені вимоги до безпеки. Для вирішення таких завдань необхідна ОС, яка задовольняє вимоги регуляторів.
Сьогодні в Росії застосовуються кілька сертифікованих ФСТЕК і Міністерством оборони РФ операційних систем, створених на основі різних дистрибутивів Linux: МСВС (Мобільна система збройних сил) [1] на базі Red Hat, Astra Linux на базі Debian GNU / Linux і ряд інших. Як правило, при використанні цих ОС з включеними засобами розмежування доступу спостерігається зниження швидкодії при роботі на багатопроцесорних високопродуктивних комплексах. Крім того, в них зазвичай немає сертифікатів на такі ключові для суперкомп'ютерів програмні компоненти, як, наприклад, система управління розподіленими обчислювальними ресурсами і паралельна файлова система, що унеможливлює їх застосування при розробці та експлуатації систем, призначених для обробки даних з обмеженим доступом, хоча і не виключає використання в якості сертифікованих ОС для робочих місць і серверів.
В результаті робіт корпорації «Росатом» над дистрибутивом системного програмного забезпечення суперкомп'ютерів з вбудованими засобами захисту інформації від несанкціонованого доступу (СЗІ НСД) була створена «Захищена операційна система для суперЕОМ» (ЗОР) на базі відкритої програмної платформи Linux. Ця ЗОР пройшла сертифікацію ФСТЕК РФ за вимогами до обробки інформації, що становить державну таємницю, і може застосовуватися на високопродуктивних комплексах для виконання повного циклу рішення паралельних завдань імітаційного моделювання. Дана операційна система містить програмні компоненти, необхідні для організації розподілених високопродуктивних обчислень, причому накладні витрати на загальносистемні потреби при її роботі не перевищують 1%. ЗОР дозволяє будувати конфігурації середовища виконання паралельних програм для бездискових обчислювальних вузлів.
Вхідні в цю вітчизняну ОС програмні компоненти забезпечують повнофункціональний роботу суперкомп'ютера будь-якої продуктивності, що дозволяє використовувати її для створення автоматизованих високопродуктивних систем управління в захищеному виконанні; збору і обробки великих обсягів структурованих і неструктурованих даних; створення систем підтримки прийняття рішень, що вимагають інтенсивних обчислень, і ін. Засоби захисту інформації в ЗОС відповідають вимогам технічних умов, що дозволяє застосовувати системне ПО в автоматизованих системах класу захищеності 1Б-С згідно керівному документу [2] . У 2014 році були проведені сертифікаційні випробування ЗОР і отриманий сертифікат відповідності. Засоби захисту інформації ОС відповідають вимогам РД ФСТЕК Росії по другому рівню контролю на відсутність недекларованих можливостей, а також технічним умовам.
Засоби захисту ЗОР забезпечують виконання таких функцій: ідентифікація і аутентифікація; розмежування доступу; реєстрація подій безпеки і сигналізація про них; організація і контроль доменної структури розмежування потоків інформації; контроль цілісності засобів захисту інформації. В основі засобів захисту інформації ЗОР лежать програмні компоненти Scientific Linux 6.4 для платформи x86, а недавно були завершені роботи по переходу на версію Scientific Linux 7.х.
Компоненти системного ПО розподілені по апаратним блокам, що створює сучасний суперкомп'ютер (див. Малюнок). В їх число входять сервери, що використовуються в якості вузлів суперкомп'ютера; комутатори; пристрої зберігання на магнітних дисках; пристрої зберігання на стрічках; автоматизовані робочі місця.
Обчислювальний поле служить для виконання розрахунків за програмами імітаційного моделювання та інженерних розрахунків і складається з обчислювальних вузлів, об'єднаних високопродуктивної комунікаційним середовищем. Підсистема доступу складається з інструментальних вузлів і призначена для розробки програм, підготовки даних для проведення розрахунків і обробки результатів. Підсистема зберігання складається з вузлів зберігання (файлових серверів), куди містяться програми і результати розрахунків. Підсистема управління утворена адміністративними вузлами і призначена для керування суперкомп'ютером. Для передачі потоків даних між вузлами використовується транспортна підсистема. Сервісні вузли забезпечують виконання інформаційних сервісів, завантаження бездискових вузлів, а також маршрутизацію потоків даних між компонентами суперкомп'ютера і мережею підприємства.
До складу системного програмного забезпечення ЗОР входять наступні компоненти [3] :
- ОС вузла (сервера), яка встановлюється на обчислювальних, інструментальних та адміністративних вузлах, а також на файлових серверах і системі управління;
- програмне забезпечення для розробки додатків (компілятори з мов програмування С, C ++, Фортран та ін., середовища розробки, прикладні, наукові та графічні бібліотеки);
- транспортний системне ПО для передачі даних по каналах зв'язку з використанням специфічних для конкретного виду обладнання протоколів (встановлюється на всі підсистеми);
- комунікаційне ПО для передачі даних між процесами прикладних задач з використанням транспортних підсистем;
- системне ПО, що забезпечує централізоване зберігання призначених для користувача даних з організацією паралельного доступу до них;
- системне ПО для зберігання облікових записів користувачів, що містить механізми аутентифікації (входить до складу адміністративної підсистеми);
- підсистема конфігурації - сукупність системного ПО і таблиць, що містять інформацію про обладнання, що дозволяє використовувати суперкомп'ютер як єдине ціле;
- система управління обчислювальними ресурсами і розподіленими обчисленнями для організації багатозадачного і багато режиму виконання завдань на обчислювальному поле;
- засоби моніторингу вузлів, що функціонують на сервісних вузлах суперкомп'ютера;
- сервіси віддаленого доступу користувачів до вузлів суперкомп'ютера, що забезпечують захищене підключення автоматизованих робочих місць (встановлюються на всі підсистеми);
- веб-сервіси доступу до публічних ресурсів і компонентів систем управління завданнями і вузлами.
ЗОР з вбудованими засобами захисту інформації може застосовуватися при створенні автоматизованих систем в захищеному виконанні, побудованих з використанням суперкомп'ютерних технологій і призначених для вирішення завдань обробки інформації, що містить державну таємницю, а також завдань імітаційного моделювання, збору і обробки великих обсягів різноманітних даних.
***
Розроблена в Російський федеральний ядерний центр у Сарові і РФЯЦ-ВНДІТФ сертифікована ЗОР встановлена і експлуатується сьогодні на ряді захищених комплексів, що включають високонавантажені паралельні суперкомп'ютери, які застосовуються для оперативного вирішення завдань ДК «Росатом». Планується також створення версії ЗОР для компактного суперкомп'ютера на платформі «Ельбрус» з продуктивністю кілька терафлопс.
- Андрій Тюлин, Ігор Жуков, Дмитро Єфанов. На сторожі конфіденційної інформації // Відкриті сістеми.СУБД. - 2001. - № 10. - С. 20-25. URL: http://www.osp.ru/os/2001/10/180520 (Дата звернення: 15.12.2015).
- Тимчасові вимоги щодо захисту інформації, яка містить відомості, що становлять державну таємницю, в автоматизованих системах, створених з використанням суперкомп'ютерних технологій. ФСТЕК Росії. 17.08.2012 р
- Технічні умови "Системне програмне забезпечення суперЕОМ» 07623615.42 5490.001ТУ
Дмитро Кульнев, Роман Модянов, Олексій Петрик ( [email protected] ) - співробітники Російський федеральний ядерний центр у Сарові (Саров). Стаття підготовлена на основі матеріалів доповіді, представленої на VI Московський суперкомп'ютерний форум (МСКФ-2015 року, грант РФФД 15-07-20824-г).