4. Организация информационной безопасности российского сегмента грид-сети

В рамках работ по созданию российского сегмента грид-сети были определены основные функции системы информационной безопасности:

• управление виртуальными организациями;

• авторизация и аутентификация пользователей на основе цифровых сертификатов стандарта X.509;

• выдача и поддержка цифровых сертификатов стандарта X.509;

• выдача и продление действия временных сертификатов (proxy).

Используя возможности, предоставляемые программной платформой Globus Toolkit, система информационной безопасности должна также обеспечивать и контроль прав доступа и может состоять из следующих частей:

• удостоверяющий центр;

• сервис управления прокси-сертификатами;

• сервис проверки статуса сертификатов;

• сервис управления виртуальными организациями.

1. Сервис управления прокси-сертификатами

Данный сервис позволяет пользователям хранить долгосрочные прокси-сертификаты и получать создаваемые на их основе краткосрочные прокси-сертификаты. Этот сервис зависит от служб, предоставляемых удостоверяющим центром, поскольку он использует выдаваемые им цифровые сертификаты, и от сервиса проверки статуса сертификатов.

2. Сервис проверки статуса сертификатов

Сервис является вспомогательным сервисом, предоставляемым удостоверяющим центром. Данный сервис позволяет получать статус сертификатов, выпущенных удостоверяющим центром, используя стандартный протокол OSCP.

3. Сервис управления виртуальными организациями

Сервис предназначен для централизованного управления персональным составом виртуальных организаций (ВО). Сведения о принадлежности пользователя к ВО используются при предоставлении пользователям ресурсов в ресурсных центрах РГС в заданном администраторами этих центров объеме.

Однако задачи информационной защиты предполагают и обеспечение защиты обрабатываемой в системе информации. Поэтому в рамках работ по созданию российского сегмента грид‑сети были проведены работы по созданию комплексной системы информационной безопасности (КСИБ).

При ее разработке были учтены следующие требования:

• организация защиты информационных, программных и вычислительных ресурсов систем обработки информации от несанкционированного доступа (НСД) со стороны сети Интернет − в соответствии с Указом Президента Российской Федерации от 17 марта 2008 года № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;

• сертификация средств защиты информации (СЗИ), применяемых в КСИБ уполномоченными государственными органами в области защиты информации;

• выполнение нормативных требований по защите информации на основе выбора экономически эффективных технических решений, в том числе за счёт использования типовых (тиражируемых) решений;

• обеспечение конфиденциальности, целостности и доступности информационных ресурсов грид-сети ограниченного доступа в соответствии с законодательством Российской Федерации и с учётом нормативных требований по защите информации, соответствующих определённому уровню её конфиденциальности.

Система включает следующие подсистемы:

• Подсистема идентификации и авторизации;

• Подсистема защиты от несанкционированного доступа (НСД);

• Подсистема защиты информации при передаче по каналам связи;

• Подсистема антивирусной защиты;

• Подсистема обнаружения и предотвращения вторжений;

• Подсистема межсетевого экранирования;

• Подсистема инфраструктуры открытых ключей;

• Подсистема аудита.