М. М. Бутаев ОАО «Научно-производственное предприятие «Рубин»

Вид материалаДокументы

Содержание


M.M. Butaev The evaluation of security of data processing and storage in peer computer networks.
Подобный материал:
Бутаев М.М. Оценка безопасности обработки и хранения данных в пиринговых вычислительных сетях. // Проблемы информатики в образовании, управлении, экономике и технике: Сб. статей XI Междунар. научно-техн. конф. – Пенза: ПДЗ, 2011. – С. 101 103.

ОЦЕНКА БЕЗОПАСНОСТИ ОБРАБОТКИ И ХРАНЕНИЯ ДАННЫХ
В ПИРИНГОВЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ


М.М. Бутаев

ОАО «Научно-производственное предприятие «Рубин»,
г. Пенза, Россия, butaevmm@gmail.com

Рассматриваются вопросы защиты информации в распределенных корпоративных сетях с технологией передачи данных P2P.


M.M. Butaev The evaluation of security of data processing and storage in peer computer networks. The problems of data protection in distributed corporate networks with P2P data transfer are considered.


В настоящее время большое внимание уделяется созданию корпоративных распределенных информационно-вычислительных систем. Организация распределенной обработки данных реализуется на макроуровне – между территориально-распределенными вычислительными узлами, на уровне узлов вычислительной сети – между процессорами вычислительной установки узла и на микроуровне – между вычислительными ядрами процессора. Организация вычислительного процесса на всех уровнях имеет свою специфику, и для повышения эффективности работы используются разные методы и средства. Анализировалась организация работы распределенной системы на макроуровне. Наиболее известны системы с клиент-серверной архитектурой, развиваются пиринговые сети, системы на основе технологии Hadoop. Качество корпоративной информационно-вычислительной системы как сложной системы оценивается множеством характеристик; одной из важнейших является безопасность обработки и хранения данных.

В настоящее время до 60% мирового Интернет-трафика занимает обмен в пиринговых сетях (pear-to-pear – далее P2P). Технология P2P все чаще начинает использоваться и в корпоративном секторе. Эта технология обеспечивает работу над проектом в составе географически разнесенной группы, используя общую информацию и оперативную координацию работ над проектом. Технологии P2P используются также для мгновенного обмена сообщениями, видеоконференций, хранения файлов, удаленного резервирования и многих других приложений. Основные разработчики программного обеспечения корпоративного сектора интегрируют приложения P2P с программами основного бизнеса, например, CRM-системами. Кроме того, растет количество специализированных корпоративных приложений, использующих P2P, например, Avaki Data Grid, Groove Workspace, Joltid’s Peer Enabler и т.д.

Компании, которые работают или планируют работать с системами на основе технологии P2P, желают, чтобы пользователи могли совместно использовать важные корпоративные данные в любой момент времени. При увеличении числа важных корпоративных приложений критичным стало обеспечение безопасности информации.

Транснациональные компании при использовании P2P, как и при использовании других глобальных вычислительных сетей, должны решить проблему отличий в юрисдикции различных стран в области информационных технологий и охраны авторских прав. Необходимо заключение корпоративных соглашений о защите конфиденциальных данных, об использовании технологий шифрования данных.

Особенностью работы с P2P является то, что их работой управляют пользователи, а не администраторы. Пользователи должны сами защищать свои ресурсы. Технология P2P обходит много типов корпоративной безопасности, включая аутентификацию и разграничение доступа к ресурсам. Для снижения риска целесообразно получить максимальное количество информации о людях, работающих с корпоративными данными, а также информацию о том, каким образом контролируется доступ к корпоративным данным.

Сервисы P2P трудно или почти невозможно расследовать на предмет неуместной или незаконной деятельности пользователей. Из-за своей природы регистрация данных более чем одного клиента, вероятно, будет производиться вместе с постоянным изменением узлов и центров данных. Поэтому процесс расследования становится практически невозможным.

Одним из преимуществ технологии P2P является то, что она приносит высокий уровень гибкости. Это может быть проблематичным в случае, если размещающий сервер должен соответствовать текущим требованиям к мощности. Настройки некоторых серверов могут часто изменяться без уведомления, что может усложнить работу некоторых технологий в корпоративной P2P сети, поскольку окружающая среда не является статичной. Все еще более усложняется, когда дело доходит до обеспечения безопасности данных, поскольку традиционные методы защиты данных основаны на понимании сетевой инфраструктуры и к изменяющимся сетям эти меры безопасности не подходят.

Еще один важный вызов системе безопасности связан с управлением входящим трафиком, так как приложения P2P могут впустить вирусы или хакеров в корпоративную систему. Большинство приложений, использующих P2P, превращают компьютер в файловый сервер, что увеличивает возможность несанкционированного доступа к интеллектуальной собственности, конфиденциальной корпоративной информации и другим чувствительным документам. Есть обеспокоенность, что системы на основе P2P могут распространить malware, например, из-за дефектов программного обеспечения. Число вирусов и червей, способных атаковать системы на основе P2P, постоянно растет.

Системы на основе P2P открыты для внешних атак так же, как web- или почтовые серверы. У программного обеспечения P2P могут быть ошибки, которые хакеры могут использовать, например, переполняя буфера. Использование технологии виртуальной частной сети также не является панацеей от угроз, существуют способы получения доступа к корпоративной сети через туннель VPN.

Использование систем на основе P2P представляет большой риск.

Компании должны быть бдительными. Вопросы небезопасности корпоративных P2P сетей могут быть актуальными, но если посмотреть на сложившуюся ситуацию, то она не очень отличается от той, что имеем сейчас. Самым большим препятствием для сервисов P2P является способность доверять. Как доверяем поставщикам услуг, которым передаем расчет заработной платы и многие другие конфиденциальные данные, также должны доверять и поставщикам сервисов P2P.