Предисловие дорогие коллеги!
Вид материала | Документы |
4.7. Модель безопасности веб-портала распределенной вычислительной grid-сети |
- План работы с 3 по 07 октября 2011 года, 46.99kb.
- Дорогие коллеги!, 61.26kb.
- Дорогие друзья! Уважаемые коллеги!, 90.01kb.
- Областной Дом Детей и Юношества, 680.22kb.
- Глубокоуважаемый Владимир Владимирович! Глубокоуважаемые участники и гости съезда!, 297.51kb.
- Дорогие друзья и уважаемые коллеги, 108.19kb.
- Дорогие коллеги!, 58.67kb.
- Дорогие коллеги!, 22.65kb.
- Дорогие друзья и коллеги!, 15.57kb.
- Дорогие коллеги, товарищи, друзья, 451.25kb.
4.7. Модель безопасности веб-портала
распределенной вычислительной grid-сети
В статье рассматриваются основные механизмы системы безопасности веб-порталов для grid-сетей. Дается обзор основных угроз для подобных веб-порталов, а также предлагается модель построения защищенного портала для grid-сети.
Ключевые слова: grid, веб-портал, распределенные вычисления, параллельные вычисления.
Технологии создания и использования систем высокопроизводительных вычислений постоянно совершенствуются, но наиболее перспективными с точки зрения соотношения конечного результата и трудозатрат на создание и поддержку благодаря своей уникальной структуре являются grid-сети. Технология grid-вычислений представляет собой виртуализированную параллельную распределенную вычислительную среду. Целью создания подобной среды является получение возможности динамического изменения цикла программы, распределения и объединения (географически) разделенных автономных ресурсов, основываясь на их возможностях, параметрах доступности, производительности и стоимости, а также на основе специфичности задачи организации и/или экстренной необходимости в вычислительных ресурсах.
На сегодняшний день одним из самых перспективных направлений развития grid-сред является создание grid-порталов, которые позволят всем пользователям высокопроизводительных вычислительных ресурсов получать быстрый и удобный доступ к ним через тонкий интерфейс web-оболочки.
Grid-портал это стандартный подход к обеспечению пользователям интерфейса для различных grid-приложений. Используя стандартные веб-технологии портал является простейшей графической средой доступа к сервисам grid-сети. Портал работает на самом высоком уровне относительно всех остальных составляющих сети grid (рис. 6).
Существует множество способов для организации подобных порталов, и практически все порталы на сегодняшний день используют в качестве базовой инфраструктуры grid инструментарий Globus Toolkit.
Система безопасности grid-портала должна решать следующие высокоуровневые задачи:
- Единая точка для создания учетных записей пользователей в хранилище идентификационных данных сети grid. (Single Sine On).
- Аутентификация пользователей на портале, позволяющая им в дальнейшем работать с ресурсами сети.
- Система управления единым доступом (Single Sine On). Система управления идентификационными данными пользователя для их автоматической передачи всем основным службам сети grid.
- Авторизация. Система, позволяющая администратору изменять права доступа пользователей на пользование ресурсами в глобальном списке прав пользователей.
Следует отметить, что данный перечень функций представляет собой минимально допустимый набор служб для функционирования веб-портала распределенной вычислительной сети.
Рис. 6. Трехуровневая схема среды Grid
Архитектура простейшего grid-портала изображена на рисунке 7. То есть grid-портал является веб-оболочкой для доступа к базовым сервисам сети grid, которые включают в себя инфраструктуру безопасности grid (основанную в свою очередь на инфраструктуре PKI), службу постановки задач в общую очередь, службу GSI-FTP для доступа пользователя к своим данным, и службу диспетчера для ресурсов хранения данных. Инфраструктура Grid Security Infrastructure (GSI) обеспечивает базовые механизмы для функционирования распределенной вычислительной сети и решает вопросы PKI-аутентификации, защиты канала передачи данных внутри сети и создания временных идентификационных данных для пользователей.
Рис. 7. Архитектура Grid-портала
Главной проблемой существующих веб-порталов является то, что ни один из них не является полноценной и полностью интегрированной составляющей среды grid. И с точки зрения злоумышленника, не обладающего физическим доступом ни к одному узлу сети, он будет являться самым слабым звеном в защите сети, а его атака – самым простым способом получения контроля над ее ресурсами.
Основными типами уязвимостей, характерных для grid-портала (как частного случая веб-приложения) являются:
- Непроверенные на допустимость получаемые от пользователей данные. Система может начать работу в соответствии с введенными пользователем в web-форму данными, не проверив их на допустимость, что может привести к непредсказуемым результатам.
- Ошибки в системе контроля доступа. Критично для интерфейсов администрирования
- Ошибки в подсистеме аутентификации и управления сессиями.
- Инъекции вредоносного кода.
- Неправильная обработка ошибок.
- Небезопасное хранилище идентификационных данных.
- Ошибки класса «Отказ в обслуживании»
- Переполнение буфера.
- Небезопасные механизм изменения конфигурации.
Основная особенность веб-портала, с которой связанны его дополнительные уязвимости. Это то, что grid-портал сам управляет идентификационными данными grid от имени своих пользователей. Вследствие чего в общем случае злоумышленник получив управление порталом, не имеет прямого доступа к ресурсам всей вычислительной сети, но он может получить полный доступ к идентификационным данным пользователей, что в свою очередь является критической угрозой безопасности всей распределенной вычислительной сети.
Для полноценной защиты необходим механизм связи подсистем безопасности веб-портала и основного программного инструментария среды grid. То есть включение непосредственно в портал модуля безопасности для обмена данными со службой GSI, чтобы она в свою очередь могла определять состояние портала с точки зрения безопасности. То есть осуществлять мониторинг сессий, журналирование событий и проверку целостности основных модулей.
Для реализации данной модели был создан веб-портал, в качестве технической базы которого был выбран инструментарий GridSphere 3.1. Для создания базовой инфраструктуры grid-сети использовано программное обеспечение Globus Toolkit 4.2.1. Таким образом, реализация модели представляет собой модуль PortalSecurityIntegration для инструментария GridSphere на программном языке Java. Данный модуль реализует механизм дополнительного взаимодействия системы безопасности портала со службой GSI. Модуль решает следующие задачи
- Мониторинг сессий всех пользователей на портале. Отслеживание действий пользователей с целью выявить попытки захвата контроля на порталом или увеличения своих полномочий в сети grid.
- Журналирование событий происходящих на портале в глобальном журнале событий GSI.
- Проверку целостности основных модулей сайта. Проверка целостности программного кода портала и выявление возможного использования злоумышленниками своего вредоносного кода.
- Проверка правомочности действий пользователей. Используется алгоритм для анализа всех совершаемых операции через портал с точки зрения текущей системы управления доверием, права на доступ на определенный ресурс, квоты, очередности поставленных на выполнение задач. Сам анализ осуществляется с помощью информации от подсистемы безопасности GSI о допустимости данных действий.
Глава 5. подготовка кадров для сферы информационной безопасности региона
5.1. Инновационная деятельность
кафедры «Информационная безопасность»
Южно-Уральского государственного университета
К числу важнейших структурных преобразований в процессе формирования и развития любой отрасли относится профессионализация. Признаками профессионализации являются:
- формирование профессионального сообщества;
- системы профессиональных коммуникаций кадров;
- определение основных каналов миграции специалистов из смежных отраслей;
- выработка основных квалификационных требований к профессии, создание собственных технологий профессионального образования;
- формирование ценностных ориентаций в профессиональном сообществе;
- экспонирование образцов эффективной деятельности;
- стандартизация профессиональной деятельности и др.
Одной из ключевых тенденций развития любой отрасли и в том числе – отрасли информационной безопасности является инновационное развитие. Курс России на инновационное развитие, провозглашенный в конце ХХ – начале ХХI веков, повлек за собой формирование новой сферы производства – производства нововведений и превращение ее в ведущий хозяйственно-экономический и социокультурный уклад современного развития субъектов Российской Федерации. В настоящее время происходит масштабный переход от экономики производства товаров и услуг массового спроса к экономике производства и расширенного воспроизводства нововведений.
К сожалению, сегодня в обществе сформировался устойчивый стереотип, согласно которому инновации понимаются в технико-технологической традиции. Подробно этот вопрос изложен нами в публикации [23]. Этот стереотип, основанный на узком подходе к инновациям, тормозит инновационное развитие регионов России.
Дело в том, что инновации существовали на всех этапах развития человечества. Возникновение не только технических и технологических, но и социокультурных новаций всегда подготавливало, а затем обеспечивало переход общества на качественно новый уровень развития. П.Г. Щедровицкий, приводя в качестве примеров интеллектуальных открытий двухпольную систему в сельском хозяйстве, порох и мушкет, классно-урочную систему, двигатель внутреннего сгорания, компьютер, обращает внимание на то, что все они изменяли принятые способы думать и делать и, как следствие, – меняли сознание и самоопределение больших масс людей [187].
Между тем, общеизвестно, что изменение сознания – это весьма длительный процесс. Если технико-технологическая часть инновационного процесса занимает 12–25 лет, то изменения в сознании, перестройка систем обучения и подготовки кадров, социальных систем, политических институтов, культурных норм могут растягиваться на 30–50, а иногда и 100 лет. Поэтому мы солидарны с П.Г. Щедровицким в том, что управление инновационным развитием предполагает наличие комплекса гуманитарных технологий, без которых само по себе научное открытие или техническое (инженерное) изобретение не обеспечивает ни создания, ни внедрения нововведения. Это технологии, включающие в себя специфические, гуманитарные методы и средства управленческой и проектной деятельности. Поэтому требуется длительная, интенсивная работа по разрушению устаревших, укоренившихся в общественном сознании стереотипов как по поводу уходящих в прошлое технологий деятельности в различных отраслях экономики, так и по поводу технико-технологического характера самого инновационного развития.
Главную роль в этом процессе играет профессиональное сообщество. Профессиональное сообщество – это добровольное объединение представителей отраслевого управления, науки, производства, рынка, образования в определённой отрасли деятельности для обмена опытом, совместного решения проблем этой отрасли и ее дальнейшего развития. Профессиональное сообщество является высшим проявлением зрелости профессионализации отрасли.
Как правило, консолидирует профессиональное сообщество образование, которое является промежуточным звеном в отраслевой системе «управление – наука – образование – практика». С одной стороны, профессиональное образование в большой мере зависит от требований заказчиков – работодателей, поскольку должно удовлетворять последних. С другой стороны, – содержание профессионального образования должно постоянно обновляться за счет результатов отраслевой науки, а также принимаемых решений органов отраслевого управления. Поэтому образовательные учреждения высшего профессионального образования для реализации своей миссии в отрасли вынуждены налаживать взаимодействие и с производственными предприятиями, и с органами управления, и с академической наукой. Что касается науки, то сами вузы являются субъектами научной деятельности, представляя собой вузовскую науку.
Большую роль в развитии профессионализации отрасли информационной безопасности и ее инновационном становлении в Челябинской области сыграла кафедра «Информационная безопасность», которая была создана в Южно-Уральском государственном университете в 1999 году.
В настоящее время кафедра «Информационная безопасность» – единственная в России ведет подготовку сразу по четырем направлениям информационной безопасности: защите информации (специальность 090103 «Организация и технология защиты информации»), управлению информацией и документацией и конфиденциальному делопроизводству (специальность 032001 «Документоведение и документационное обеспечение управления»), информационно-аналитическому обеспечению государственной политики, управления и внешнеэкономической деятельности (специальность 032101 «Регионоведение») и по социальной безопасности, информационно-психологической безопасности (специальность 040101 «Социальная работа»). Все направления возведены в «Доктрине информационной безопасности Российской Федерации» в статус национальных интересов России.
В сентябре 2003 года на кафедре был создан Центр дополнительного профессионального образования. Благодаря усилиям кафедры, решением Межведомственной комиссии по защите государственной тайны Российской Федерации (Решение № 95 от 06.04.2005) Южно-Уральский государственный университет был внесен в «Перечень учебных заведений, осуществляющих подготовку специалистов по вопросам защиты информации, составляющей государственную тайну, свидетельство об окончании которых дает руководителям предприятий, учреждений и организаций право на освобождение от государственной аттестации». Успешно началась и продолжается работа курсов повышения квалификации кадров по защите государственной тайны. В 2006 году на базе ЦДПО кафедры был создан Центр защиты информации ЮУрГУ.
В процессе обучения студенты и слушатели получают всестороннюю подготовку в области информационной безопасности. Отличительной чертой выпускников кафедры является их свободное владение системным подходом при решении профессиональных задач. На практике выпускники кафедры гармонично дополняют друг друга. Регионоведы обеспечивают информационную безопасность с точки зрения региональных внешнеполитических интересов. Документоведы создают системы документации и электронный документооборот и обеспечивают их защиту на предприятии, проектируют системы конфиденциального делопроизводства, системы защиты персональных данных в кадровых службах. Специалисты по защите информации создают и поддерживают комплексные системы информационной безопасности на предприятиях, в организациях, учреждениях, разрабатывают технологии аудита и средств автоматизации при подготовке к аттестационным испытаниям, создают и совершенствуют системы кадровой безопасности на предприятиях. Специалисты по социальной работе обеспечивают социальную безопасность сотрудников предприятия, в том числе с помощью средств и механизмов защиты от негативных информационных воздействий. Высокий уровень теоретической и практической подготовки выпускников кафедры дает им широкие возможности карьерного роста по специальности. В настоящее время выпускники кафедры работают в органах государственной власти (в органах ФСБ, ФНС, МВД, Министерствах, отделениях Пенсионного фонда, других государственных ведомствах), на предприятиях оборонно-промышленного комплекса, в банках, а также в крупных бизнес-структурах.
Кафедра прилагает много усилий, чтобы сделать обучение максимально практико-ориентированным, чутко реагирует на изменения потребностей рынка, работодателей, с которыми она поддерживает тесные контакты. Так, практику студенты кафедры проходят в силовых структурах (ФСБ, МВД), Администрации Челябинской области и города Челябинска, в Представительстве Министерства иностранных дел России в Уральском Федеральном округе, на Южно-Уральской железной дороге, в Южно-Уральской Торгово-промышленной палате, в банках, на нефтегазовых и энергетических предприятиях и др. С 2007 года кафедрой организуется практика студентов в Министерстве иностранных дел в Москве. Для адаптации к изменяющимся потребностям рынка труда кафедра разрабатывает новые специализации, способные эти потребности не только удовлетворить в настоящее время, но и предугадать в будущем. По инициативе и усилиями кафедры в 2001–2006 годы впервые в России открыты специализации: «Проектирование информационно-документационных систем управления», «Офис-менеджмент», «Информационно-документационное обеспечение управления на иностранном языке», «Конфиденциальное делопроизводство», «Документирование систем менеджмента качества» (специальность 032001 «Документоведение и документационное обеспечение управления»), «Безопасность принятия управленческих решений» (специальность 090103 «Организация и технология защиты информации»).
За время существования кафедрой созданы специализированные учебные лаборатории: «Моделирование процессов защиты информации в сложных системах», «Конфиденциальное делопроизводство», «Информационно-аналитическое обеспечение регионального управления», «Система управления информационной безопасностью защищаемого помещения», лаборатория инженерно-технической защиты информации и др. Лаборатории оснащены стендами для изучения технических средств защиты информации, основных технологических циклов защиты информации, современными компьютерами и специальным программным обеспечением, современным оборудованием, позволяющим имитировать любые виды атак на компьютерные сети и организацию их отражения, создавать реальные корпоративные компьютерные сети любой конфигурации и сложности, организовывать их взаимодействие и защиту от несанкционированного доступа к информации в них, проводить тестирование уязвимости программного обеспечения и средств защиты информации, установленных в корпоративной сети и др. Это дает возможность на практике осваивать полный цикл проектирования систем защиты информации, защищенных систем документационного обеспечения управления, систем информационно-аналитического обеспечения управления.
Программное обеспечение поставляется по программе MSDNAA, в рамках сотрудничества кафедры c фирмой Microsoft, что позволяет устанавливать и изучать самые последние лицензионные программные продукты в области информационных технологий по защите информации. Лицензионные программно-аппаратные комплексы защиты информации VipNet и SecretNet, сертифицированные ФСТЭК России, позволяют студентам приобрести навыки в установке, настройке и администрировании средств защиты информации, применяемых в государственных и коммерческих организациях; интегрированный комплекс «Орион» – научиться организовать защиту от несанкционированного проникновения на охраняемые объекты; интегрированная система безопасности «Инспектор+» совместно с установленными камерами видеонаблюдения – освоить технологии организации комплексной защиты охраняемых объектов от несанкционированного доступа и др.
Научно-технической базой обучения студентов являются также инновационные площадки кафедры – лидеры рынка защиты информации в Челябинской области, лицензиаты ФСБ и ФСТЭК ООО «Стратегия безопасности» и ООО Межрегиональный консалтинговый центр «Аста-информ». Предприятия оказывают техническую и кадровую поддержку учебному процессу. Совместно со специалистами этих и других предприятий по защите информации профессорско-преподавательский состав и студенты кафедры изучают специфику систем защиты информации в государственных учреждениях и коммерческих структурах, в том числе – в рамках совместных хоздоговорных исследований.
Кафедра имеет высокий научный потенциал, на ней работает 74 % докторов и кандидатов наук. Профессорско-преподавательским составом интенсивно ведутся научно-исследовательские работы по заказу Министерства образования и науки РФ, Российского гуманитарного научного фонда, Губернатора Челябинской области.
Научно-исследовательская работа осуществляется по следующим приоритетным направлениям:
- теория и методология информационной безопасности;
- виброакустическая защита информации;
- подготовка кадров для сферы информационной безопасности;
- информационно-психологическая безопасность личности, общества и государства;
- региональные проблемы информационной безопасности;
- история защиты информации в России и за рубежом;
- психофизиологические проблемы безопасности.
Кафедра регулярно организует научно-практические конференции. В октябре 2002 года кафедра выступила идейным вдохновителем и организатором Международной научно-практической конференции «Региональная информационная экономика: проблемы формирования и развития», проведенной совместно с Правительством Челябинской области и Российским Гуманитарным Научным Фондом (РГНФ) (проект № 02-02-00299 г/т).
В 2003 году кафедра совместно с Ассоциацией предприятий оборонно-промышленного комплекса Челябинской области организовала Региональный научно-практический семинар «Система подготовки, переподготовки и повышения квалификации кадров по защите информации в Челябинской области», положивший начало формированию названной системы.
В октябре 2004 года совместно с Администрацией Челябинской области кафедра организовала и провела Всероссийскую научно-практическую конференцию «Информационная безопасность региона».
В октябре 2008 года совместно с Федеральным Агентством по образованию и Росссийским государственным гуманитарным университетом кафедрой организован научно-практический семинар для ректоров, проректоров и спецотделов вузов Уральского Федерального округа на тему «Подготовка учебных заведений к внедрению мер по защите государственной тайны, адекватных двухуровневой системе высшего профессионального образования».
В 2008–2009 годах кафедрой «Информационная безопасность» ЮУрГУ совместно с партнером ООО МКЦ «Аста-информ» проведены три областные научно-практические конференции по защите персональных данных.
Ежегодно кафедра участвует в научно-практической конференции ЮУрГУ на факультете «Экономика и предпринимательство» «Экономика. Информатика. Безопасность». Преподаватели и аспиранты ежегодно принимают участие в международных и всероссийских конференциях в Москве: «Инфофорум», «Документация в информационном обществе» и др.
На кафедре работает аспирантура по специальностям: 13.00.08 «Теория и методика профессионального образования» (научный руководитель – д.п.н., профессор Астахова Л.В.) и 05.13.19 «Методы и системы защиты информации, информационная безопасность» (научный руководитель – к.т.н., доцент Макаров Ю.Н.). В ней обучаются аспиранты, которые работают как над техническими, так и над гуманитарными (психологическими, педагогическими, правовыми, социологическими) проблемами информационной безопасности. Аспиранты принимают участие в олимпиадах, конференциях, семинарах в области информационной безопасности. В последние годы аспиранты кафедры прошли курс обучения в Международной летней школе «Математические основы и технологии защиты информации» (ВМиК МГУ им М.В. Ломоносова), выиграли гранты Губернатора Челябинской области на исследования проблем информационно-психологической безопасности и др.
Активное участие в научно-исследовательских работах принимают студенты. Результаты научно-исследовательской работы студентов всех специальностей докладываются на университетских, всероссийских и региональных конференциях по информационной безопасности: Конференция молодых ученых (Санкт-Петербургский государственный университет информационных технологий, механики и оптики), «Перспектива-2009 (Южный Федеральный университет), «Информационная безопасность региона» (ЮУрГУ), «Безопасность информационного пространства» (УГТУ-УПИ, УрГУ, ЮУрГУ, ТГУ), ежегодной студенческой научно-практической конференции ЮУрГУ и др.). Студенты кафедры побеждают в конкурсах студенческих работ.
Ежегодно кафедра принимает участие в Межрегиональных выставках «Информатика и связь. Средства защиты и безопасность» (Выставочный Центр «Восточные Ворота») и «Формула безопасности. Системы связи и информационные технологии» (Региональный Выставочный Центр «ЮжУралЭкспо»), проводит в рамках этих выставок специализированные научно-практические семинары, за что ежегодно награждается Дипломами Правительства Челябинской области, Администрации г. Челябинска за активное продвижение услуг по защите информации на рынке Уральского региона.
По инициативе кафедры «Информационная безопасность» и при ее непосредственном участии на факультете «Экономика и предпринимательство» ЮУрГУ была внедрена система менеджмента качества, а в апреле 2006 года факультет получил Сертификат соответствия образовательной деятельности ГОСТ Р ИСО 9001–2001 (ИСО 9001–2000).
Перспективы развития кафедра связывает с дальнейшим укреплением позиций на региональном рынке образовательных услуг, повышением их конкурентоспособности. Начат переход на двухуровневую систему образования по направлениям, соответствующим профилю кафедры, дальнейшее внедрение инновационных технологий в образовательный процесс.
Следует подчеркнуть, что инновационная деятельность по созданию системы подготовки, переподготовки и повышения квалификации кадров для сферы информационной безопасности региона, по консолидации профессионального сообщества специалистов по информационной безопасности осуществлялась кафедрой при активной поддержке всего ректората и Специального Управления ЮУрГУ, органов государственного и муниципального управления, производственных предприятий, участников рынка отраслевых услуг. За 10 лет кафедрой «Информационная безопасность» Южно-Уральского государственного университета накоплен ценный опыт консолидации усилий профессионального сообщества по решению инновационных, гуманитарно-технических проблем информационной безопасности региона. Выступив инициатором открытия в Челябинской области специальностей группы «Информационная безопасность», кафедра стала консолидирующим звеном профессионального сообщества специалистов по информационной безопасности в области.
В настоящее время выпускники кафедры готовы к инновационной деятельности по созданию в организации системы информационной безопасности и управлению ею. Сама по себе система защиты информации в организации – это инновация не только для отдельной организации, но и для России в целом, обратившей внимание на вопросы информационной безопасности лишь в постсоветский период. С одной стороны, создание названных систем – это инновация по содержанию, поскольку различные виды информации по категориям доступа (общедоступная информация и информация ограниченного доступа) требуют специфических подходов по их организационно-правовой, программно-аппаратной и инженерно-технической защите. С другой стороны, – это инновации и по методам: проектному методу создания и внедрения этой системы, гуманитарным методам управления этой системой (работа с персоналом организации в рамках обеспечения информационно-психологической безопасности сотрудников и кадровой безопасности организации, информационно-аналитическая работа в рамках конкурентной разведки и контрразведки и т. д.). Безусловно, инновационным шагом была разработка кафедрой концепции подготовки специалистов не только для технических аспектов защиты информации, но и для гуманитарной деятельности в сфере информационной безопасности.
Таким образом, инновационная деятельность кафедры «Информационная безопасность» Южно-Уральского государственного университета позволила достигнуть определенных успехов и консолидировать региональное профессиональное сообщество в сфере информационной безопасности. В числе первоочередных путей дальнейшей реализации инновационного потенциала этого сообщества мы видим издание специального регионального периодического издания, концепция которого разработана сегодня на кафедре «Информационная безопасность» ЮУрГУ.