Architektura PK SIS i VIS

Architektura PK SIS i VIS bazuje na paradygmacie SOA (ang.: Service Oriented Architecture), która rozumiana jest jako koncepcja tworzenia systemów teleinformatycznych składających się z niezależnych komponentów zwanych serwisami lub usługami realizującymi pewne ściśle zdefiniowane funkcje, które

komunikują się ze sobą w celu wykonania zdefiniowanych procesów biznesowych.

Mianem niezależnego serwisu określa się tutaj komponent oprogramowania, mogący działać niezależnie od innych oraz posiadający wyspecyfikowany interfejs, za pomocą którego udostępnia realizowane funkcje. Same komponenty są często implementowane na bazie różnych technologii. Sposób działania każdej usługi jest w całości zdefiniowany przez interfejs ukrywający szczegóły implementacyjne - niewidoczne i nieistotne z punktu widzenia klientów. Często stosowanym wzorcem architektonicznym w systemach budowanych w oparciu o podejście SOA jest wstawienie pomiędzy komunikujące się komponenty brokera który pośredniczy w komunikacji między serwisami oraz realizuje logikę biznesową zawartą w systemach workflow. Najbardziej rozpowszechnionym i szeroko akceptowanym technicznym sposobem realizacji architektury SOA sątzw . serwisy sieciowe (tzw.

webserwisy). Webserwisy są wciąż rozwijającym się zbiorem standardów komunikacyjnych specyfikowanych przez niezależną od producentów oprogramowania i sprzętu organizację World Wide Web Consortium (W3C) (http://www.w3c.org).

Wszystkie przytoczone założenia zostały wykorzystane do zaimplementowania CW PK SIS i VIS, który w sensie formalnym i faktycznym stanowi rozwinięcie budowanego i utrzymywanego przez Komendę Główną Policji Krajowego Systemu Informatycznego (KSI).

Rys. 2 stanowi ilustrację najważniejszych elementów architektury CW PK SIS i VIS. Należą do nich dwa Systemy Centralne, znajdujące się po stronie europejskiej, tj.:

• Centralny System SIS II (CS-SIS) - Centralny System SIS II zawierający aktualne wpisy, - jego zawartość jest udostępniana państwom członkowskim poprzez Narodowy Interfejs SIS II (NI-SIS),

• Centralny System VIS (CS-VIS) - Centralny System Informacji Wizowej (VIS) zawierający aktualne wpisy dotyczące ruchu wizowego - jego zawartość jest udostępniana krajom członkowskim poprzez Narodowy Interfejs VIS (NIVIS).

W celu zapewnienia możliwości skomunikowania systemów centralnych z systemami krajowymi, Komisja Europejska dostarczyła tzw. Adaptery Systemów Centralnych (ASC). Funkcję ASC SIS pełni komponent Steria Interconnection Box SIS (SIB-SIS). Odpowiada on za:

• utrzymanie aktualnych i spójnych danych w Narodowej Kopii SIS II realizowane poprzez odbieranie rozgłoszenia o zmianach danych CS-SIS II oraz realizowanie kontroli spójności danych,

• umożliwienie wyszukiwania danych w Narodowej Kopii, w sposób zgodny z wyszukiwaniem w CS-SIS II,

• realizację zapytań do bazy SIS II (w zależności od konfiguracji) do Narodowej Kopii lub do Systemu Centralnego,

SYSTEM KSI (O środek Podstawowy)

R ejestr Zdarzeń

Pod sy stem Bezpieczeństw a

• zapewnienie wysyłania komunikatów do CS-SIS II,

zapewnienie możliwości odbioru i obsługi komunikatów otrzymywanych z CS-SIS II,

zapewnienie komunikacji zgodnej z protokołem i formatem zdefiniowanym w specyfikacjach Interface Control Document (ICD) i Detailed Technical Specification (DTS) dla CS-SIS II,

zapewnienie wsparcia dla procesów biznesowych realizowanych w systemie SIS II poprzez utrzymywanie i zarządzanie danymi w bazach centralnych,

synchronizację Narodowej Kopii SIS II z CS SIS II.

Rys. 2. Schemat architektury KSI z uwzględnieniem SIS i VIS

Z kolei funkcję ASC VJS pełni komponent Steria Interconnection Box VIS (SIB-VIS) który odpowiada za:

realizację zapytań do systemu CS-VIS,

• zapewnienie wysyłania komunikatów do CS-VIS,

zapewnienie możliwości odbioru i obsługi komunikatów otrzymywanych z CS-VIS,

zapewnienie komunikacji zgodnej z protokołem i formatem zdefiniowanym w specyfikacjach ICD i DTS dla CS-VIS,

S O AP HTTPS

zapewnienie wsparcia dla procesów biznesowych realizowanych w systemach VIS poprzez utrzymywanie i zarządzanie danymi w bazach centralnych.

Kolejnym komponentem umieszczonym na rysunku 2 jest Broker Integracji BRIN. Jego funkcję realizuje komponent eMCI, który odpowiada za:

udostępnianie usług systemu KSI, co oznacza, że wszyscy użytkownicy - zarówno instytucjonalni - Ul - (za pomocą swoich systemów centralnych - SC Ul) jak i indywidualni - Uin - (za pomocą aplikacji WWW) - komunikują się z usługami udostępnianymi w ramach KSI za pośrednictwem Brokera,

• logikę przetwarzania komunikatów zawartą w workflow, co oznacza, że każdy rodzaj usługi jest przetwarzany zgodnie z logiką zawartą w odpowiednim workflow. W ramach systemów workflow oprócz konkretnej logiki biznesowej realizowana jest:

o logika kontroli dostępu do funkcji biznesowych i danych przy pomocy HP OV Selekt Access - kontrolowane są prawa dostępu (zarówno do danych jak i do funkcji) związane z rolami przyznanymi nadawcy komunikatu.

o zapis otrzymywanych i wysyłanych komunikatów do Rejestru Zdarzeń.

Aplikacje WWW są odpowiedzialne za udostępnienie graficznego interfejsu użytkownika GUI (Graphical User Interface - patrz również: Rys. 4) do systemu KSI dla użytkowników indywidualnych. Aplikacje te komunikują się z Brokerem Integracji za pomocą takiego samego interfejsu jak SC Ul. Komunikaty generowane przez aplikacje WWW są podpisywane przez certyfikaty użytkowników indywidualnych. Udostępnione zostaną dwie aplikacje WWW:

aplikacja WWW-S1S, która dostarcza GUI do systemu SIS II, aplikacja WWW-VIS, która dostarcza GUI do systemu VIS.

Rolę Podsystemu Raportowego pełni produkt Crystal Reports firmy Business Objects. Komponent ten jest odpowiedzialny za:

tworzenie szablonów raportów;

przeglądanie i raportowanie zawartości Rejestru Zdarzeń, przeglądanie i raportowanie zawartości rozmaitych logów.

Serwer http Apache jest odpowiedzialny za terminowanie protokołu SSL i uwierzytelnienie komunikujących się z KSI Uin i SC Ul. Komponent Digital Signature Service (DSS) jest natomiast odpowiedzialny za podpisywanie cyfrowe komunikatów wychodzących z KSI i weryfikację podpisów cyfrowych w komunikatach przychodzących do KSI.

Kolejnym, ważnym komponentem jest symulator KSI. Imituje on funkcjonowanie interfejsu KSI. W ramach KSI dostarczane są dwa symulatory:

symulator KSI SIS II, symulator KSI VIS.

Oba symulatory są niezależnymi od KSI aplikacjami, które można uruchomić w lokalizacji UL Ich znaczenie było nieocenione podczas integracji poszczególnych Ul w czasie, kiedy prowadzono prace nad docelowym systemem produkcyjnym.

Polska jest jednym z państw strefy Schengen, które korzystają z tzw.

Narodowej Kopii SIS II (NK SIS II) i Kopii Technicznej SIS II (KT SIS II).

NK SIS II jest na bieżąco aktualizowaną kopią danych centralnej bazy SIS II i jest przeznaczona wyłącznie do odczytu. Narodoa kopia stanowi pełne odbicie bazy danych systemu centralnego ze Strasburga (CS-SIS).

Warto w tym miejscu wspomnieć, że według założeń sprzed roku 2006 Polska nie planowała utworzenia i korzystania z kopii narodowej. Jednak z uwagi na stosunkowo małą stabilność w roku 2006 sieci teleinformatycznej dla potrzeb SIS i VIS, jak również ze względu na konieczność podniesienia niezawodności pracy PK SIS i VIS, w roku 2006 podjęto decyzję o budowie w Polsce kopii narodowej. NK SIS II funkcjonuje według następujących reguł:

aktualizacja zawartości kopii narodowej jest inicjowana przez asynchroniczne mechanizmy Centralnego Systemu SIS II (CS SIS II),

zakończenie przetwarzania każdego komunikatu

utworzenia/modyfikacji/usunięcia wpisu przez CS SIS II jest potwierdzane powiadomieniem wysłanym z CS SIS II do systemu użytkownika instytucjonalnego, który nadał komunikat inicjujący proces.

• komunikaty rozgłoszeni owe, mówiące o zmianach koniecznych do wprowadzenia w NK SIS II, są odbierane, przetwarzane i wprowadzane do NK przez Steria Interconnection Box SIS.

Kopia Techniczna SIS II (KT SIS II) jest dodatkową wewnętrzną, kopią NK SIS II. Jej implementacja miała na celu usprawnienie eksploatacji systemu na kolejnych szczeblach organizacyjnych PK SIS II i VIS. Kopia Techniczna jest udostępniana poszczególnym użytkownikom wyłącznie w trybie „tylko do odczytu”, a jej implementacja wykorzystuje rozwiązania Oracle. KT pracuje według następujących reguł:

w warunkach normalnej pracy synchronizacja odbywa się przyrostowo, przy czym opóźnienie czasowe pomiędzy zawartością informacyjną KT SIS II i NK SIS II jest nie większe niż 2 godziny,

• KT zapewnia możliwość generowania dodatkowych kopii technicznych na nośniki danych pod nadzorem Biura SIS i VIS w taki sposób, aby możliwe

było tworzenie indeksów przyspieszających wyszukiwanie danych na potrzeby poszczególnych systemów centralnych Ul.

Baza Danych KSI może zawierać dodatkowe zawartości danych, rozszerzające zakres danych we wpisach w stosunku do modelu danych w CS-SIS i tym samym w NK SIS II.

Wszystkie zdarzenia w systemie SIS i VIS są rejestrowane przez tzw.

Rejestr Zdarzeń KSI. Jest on zbiorem danych w formie elektronicznej, przechowującym informacje o wszystkich transakcjach zewnętrznych KSI.

Interakcja KSI z otoczeniem odbywa się na płaszczyźnie komunikacji z CS-SIS II i CS-VIS, realizowanej z użyciem SIB-SIS i SIB-VIS, a także w płaszczyźnie komunikacji z Systemem Centralnym UL

Bardzo ważnym, ze względu na wrażliwy charakter danych przechowywanych w SIS i VIS, jest Podsystem Bezpieczeństwa. Na ten podsystem składają się następujące elementy:

Podsystem PK I (patrz również: Rys. 4),

• Podsystem Zarządzania Tożsamością Cyfrową,

• Podsystem Uwierzytelniania i Kontroli Dostępu do Zasobów, Podsystem Audytu Zdarzeń.

Podsystem PKI jest odpowiedzialny za:

zarządzanie certyfikatami użytkowników KSI (UIn, SC Ul oraz dla urządzeń),

potwierdzanie ważności certyfikatów (OCSP),

cyfrowe podpisywanie przekazanych dokumentów i komunikatów z innych komponentów systemu KSI zgodnie z formatem XMLDSIG2 i XAdES3,

weryfikację podpisu cyfrowego, znakowanie czasem.

Za zarządzanie tożsamością cyfrową odpowiada produkt HP OV Select Identity (patrz: Rys. 3), który zapewnia:

zintegrowane zarządzanie cyklem życia konta od założenia, przez zmiany, do zamknięcia,

• zintegrowane zarządzanie prawami dostępu.

Za uwierzytelnianie i kontrolę dostępu odpowiada produkt HP OV Select Access, który zapewnia:

Uwierzytelnienie komunikującego się użytkownika (zarówno instytucjonalnego jak i indywidualnego) przy pomocy certyfikatu cyfrowego X.509.

P o lic y B u ild er

Admin Server ]

Validator;]

Enforcer Plug-In I Directory Server

• Dostęp jest kontrolowany na poziomie:

o Zasobów określanych za pomocą URL. Dostęp ten jest kontrolowany przez Podsystem Uwierzytelniania i Kontroli Dostępu do Zasobów, o Logiki kontroli dostępu do funkcji biznesowych, która zawarta jest w

systemach workflow i realizowana w Brokerze Integracji podczas przetwarzania komunikatów,

o Logiki kontroli dostępu do danych, która również jest umieszczona w workflow i realizowana jest w Brokerze Integracji podczas przetwarzania komunikatów.

Rys. 3. W y korzystanie rodziny prod u k tó w H P O V S elect w P odsystem ie B ezp ieczeń stw a

HP O V Select Audit jest odpowiedzialny za rejestrowanie wybranych rodzajów zdarzeń infrastrukturalnych, np. działań związanych z zarządzaniem kontami i prawami użytkowników.

Serwer Administracyjny (patrz: Rys. 3) udostępnia aplikację, za pomocą której definiuje się politykę dostępu oraz zarządza kontami użytkowników, składowane są na serwerze LDAP (Directory Server) - patrz również: Rys. 4. Rolę LDAP pełni Oracle Internet Directory (OID). Natomiast Enforcer jest agentem, który komunikuje się z komponentem Validator w celu uwierzytelnienia oraz autoryzacji. Validator podejmuje wszystkie decyzje dotyczące dostępu do zasobów pełniąc rolę centralnego punktu decyzyjnego Policy Decision Point (PDP). W celu

podjęcia decyzji odnośnie prawa dostępu do zasobu zgłoszonego przez Enforcer wykorzystuje on reguły przechowywane na serwerze LDAP (OID).