- •Москва 2012 г. Содержание
- •Актуальность вопросов информационной безопасности Grid
- •Система информационной безопасности Грид-сети
- •Особенности платформы Globus Toolkit
- •Управление процессами
- •Управление данными
- •Безопасность
- •Grid системы на основе архитектуры открытых грид‑сервисов
- •Защита на уровне сообщений
- •Организация информационной безопасности российского сегмента грид-сети
- •Сервис управления прокси-сертификатами
- •Сервис проверки статуса сертификатов
- •Сервис управления виртуальными организациями
- •Подсистема идентификации и авторизации
- •Подсистема защиты от несанкционированного доступа (нсд)
- •Подсистема защиты информации при передаче по каналам связи
- •Подсистема антивирусной защиты
- •Подсистема обнаружения и предотвращения вторжений
- •Подсистема межсетевого экранирования
- •Подсистема инфраструктуры открытых ключей
- •Подсистема аудита
- •Информационная безопасность grid систем, построенных на основе Cloud Computing
- •Проблемы информационной безопасности Cloud Computing
- •Базовая архитектурная модель Cloud Computing
- •Заключение
- •Список литературы
Подсистема идентификации и авторизации
Подсистема обеспечивает идентификацию и авторизацию пользователей в системе, регистрацию событий попыток неавторизованного доступа в систему и уведомление администраторов безопасности о событиях. Аутентификация пользователей и программ основана на инфраструктуре открытых ключей (ИОК).
Авторизация пользователя производится посредством службы управления виртуальными организациями VOMS (Virtual Organization Management Service), относящих пользователей к той или иной ВО и определяющей его полномочия исходя из его роли в ВО (на основе постоянно обновляемой базы данных виртуальных организаций).
Однократность входа пользователя в грид-сеть (исключение необходимости «представляться» каждой новой подсистеме или шлюзу) обеспечивается службой поддержки временных прокси-сертификатов.
Подсистема защиты от несанкционированного доступа (нсд)
В качестве средства защиты от НСД к конфиденциальной информации был выбран программно-аппаратный комплекс «Соболь 3.0 PCI-E» (ПАК «Соболь»), разработанный ООО «Код Безопасности». Устройство обеспечивает допуск к работе на компьютере только уполномоченного персонала, защищает от несанкционированной загрузки со съемных носителей, контролирует целостность и неизменяемость ключевых данных, протоколирует опасные события.
Подсистема защиты информации при передаче по каналам связи
Шифрование и имитозащита информации, передаваемой по выделенным каналам связи, реализуется сертифицированным ФСБ России и ФСТЭК России аппаратно-программным комплексом шифрования «Континент 3.5». АПКШ «Континент 3.5» обладает следующими возможностями:
объединение через Интернет локальных сетей объектов грид-сети в единую виртульную частную сеть (VPN) и подключение удаленных пользователей к VPN по защищенному каналу;
разделение доступа между информационными подсистемами объектов грид‑сети;
организация защищенного взаимодействия со сторонними объектами грид-сети;
безопасное удаленное управление маршрутизаторами.
Помимо криптошлюзов, аппаратная часть подсистемы включает реализованные в виде отдельных компьютеров центр управления сетью (ЦУС) и АРМ администратора ЦУС.
Подсистема антивирусной защиты
В качестве средства антивирусной защиты для построения подсистемы используется антивирус Kaspersky Business Space Security, сертифицированный ФСТЭК России и позволяющий обеспечить:
антивирусную защиту программно-технических средств (ПТС), работающих под управлением ОС Windows и CentOS Linux;
антивирусную проверку файлов в режиме реального времени при их открытии, запуске или сохранении;
антивирусную проверку ПТС в составе грид-сети по требованию и по расписанию;
централизованный мониторинг состояния антивирусного ПО, установленного на ПТС в составе грид-сети;
централизованное управление, осуществляемое с помощью программного обеспечения консоли управления;
регулярное обновление антивирусных баз.