- •Москва 2012 г. Содержание
- •Актуальность вопросов информационной безопасности Grid
- •Система информационной безопасности Грид-сети
- •Особенности платформы Globus Toolkit
- •Управление процессами
- •Управление данными
- •Безопасность
- •Grid системы на основе архитектуры открытых грид‑сервисов
- •Защита на уровне сообщений
- •Организация информационной безопасности российского сегмента грид-сети
- •Сервис управления прокси-сертификатами
- •Сервис проверки статуса сертификатов
- •Сервис управления виртуальными организациями
- •Подсистема идентификации и авторизации
- •Подсистема защиты от несанкционированного доступа (нсд)
- •Подсистема защиты информации при передаче по каналам связи
- •Подсистема антивирусной защиты
- •Подсистема обнаружения и предотвращения вторжений
- •Подсистема межсетевого экранирования
- •Подсистема инфраструктуры открытых ключей
- •Подсистема аудита
- •Информационная безопасность grid систем, построенных на основе Cloud Computing
- •Проблемы информационной безопасности Cloud Computing
- •Базовая архитектурная модель Cloud Computing
- •Заключение
- •Список литературы
Подсистема обнаружения и предотвращения вторжений
Использована система обнаружения атак (СОА) «Форпост» версии 1.8, сертифицированная Федеральной службой по техническому и экспортному контролю (ФСТЭК) России. Обеспечивает:
обнаружение компьютерных атак в трафике, передающемся к серверам ЦУМ и серверам шлюзов, который не был заблокирован средствами межсетевого экранирования;
блокирование (совместно со средствами межсетевого экранирования) компьютерных атак в стадии их развития в ручном режиме;
централизованный мониторинг состояния компонентов подсистемы;
централизованное управление компонентами системы;
уведомление администраторов безопасности об инцидентах информационной безопасности путем вывода соответствующего сообщения на консоль управления.
В состав подсистемы обнаружения и предотвращения вторжений входят следующие компоненты: информационный фонд, координационный центр, сетевые датчики, консоль управления. Рабочий остов системы составляют сетевые датчики, подключаемые к зеркалирующему порту (mirror, SPAN и т.д.) коммутатора. Сетевые датчики взаимодействуют с координационным центром (через локальную сеть) и при необходимости − с сетевым экраном (напрямую через последовательный порт).
Подсистема межсетевого экранирования
Использован сертифицированный ФСТЭК межсетевой экран Cisco ASA 5550-К8 являющийся средством разграничения доступа в сетях, использующих протоколы семейства TCP/IP. Реализует следующие функции:
разграничение доступа пользователей по заданным протоколам и портам к веб-порталу ЦУМ;
разграничение доступа по заданным адресам, протоколам и портам между сегментами грид-сети – ЦУМ и шлюзами;
разграничение доступа по заданным адресам, протоколам и портам между шлюзами и сетями суперкомпьютеров;
блокирование адресов и портов источников компьютерных атак (совместно с системой обнаружения вторжений «Форпост»).
Средство управления межсетевыми экранами, размещенное на соответствующем АРМ ЦУМ позволяет централизованно управлять всеми межсетевыми экранами, установленными в составе грид-сети – изменять их конфигурацию и оперативно отслеживать нагрузку.
Подсистема инфраструктуры открытых ключей
Подсистема ИОК обеспечивает:
выдачу и поддержку цифровых сертификатов стандарта X.509;
предоставление сервиса штампов времени (TSP);
предоставление сервиса проверки статуса сертификата в реальном времени (OCSP).
Подсистема ИОК построена на основе программно-аппаратного комплекса (ПАК) «Удостоверяющий Центр «КриптоПро УЦ», включающий центр сертификации (ЦС) и центр регистрации (ЦР). Для хранения закрытого ключа используется программно-аппаратный криптографический модуль УЛ УЦ «КриптоПро HSM». На всех ПТС, включая АРМ администратора, использованы средства защиты от НСД и криптозащиты.
В состав ИОК входят также служба актуальных статусов сертификатов ПАК «КриптоПро OCSP» и служба штампов времени ПАК «КриптоПро TSP».
Оборудование Удостоверяющего центра (УЦ) ИОК КСИБ размещено в контролируемой зоне с выделением отдельных изолированных помещений.
Программно-аппаратные комплексы подсистемы УЦ КСИБ подключены к источникам бесперебойного питания.