Научная статья на тему 'Анализ архитектурных аспектов информационной безопасности ГРИД-систем'

Анализ архитектурных аспектов информационной безопасности ГРИД-систем Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
221
43
i Надоели баннеры? Вы всегда можете отключить рекламу.
i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Анализ архитектурных аспектов информационной безопасности ГРИД-систем»

• вывод передаточных функций замкнутой системы по управлению и возмущению.

Использование разработанной программы значительно сокращает процесс моделирования систем управления и позволяет сосредоточить внимание на анализе полученных результатов.

Круг применения данной программы может быть достаточно широким: в учебном процессе по ряду дисциплин, в инженерных, научных исследованиях.

Литература

1. Ануфриев И.А. Самоучитель МаНаЬ 5.3/6.x. СПб: Изд-во «БХВ-Петербург», 2002. 512 с.

2. Бобровский С.В. Учебный курс Delphi 7. М.: Питер, 2006. 712 с.

3. Черных И.В. Моделирование электротехнических устройств в MATLAB, SymPowerSystem и Simullnk. М.: Питер, 2008. 288 с.

4. Черных И.В. Simulink: Инструмент моделирования динамических систем. URL: http://matlab.exponenta.ru/simulink/ bookl/index.php (дата обращения: 13.02.2010).

5. Веремей Е.И., Погожев С.В. Nonlinear Control Design Blockset. URL: http://www.tspu.tula.ru/ivt/old_site/lcopy/Matlab_ RU/nonlinecondes/bookl/preface.asp.htm (дата обращения: 13.02.2010).

6. Шмелев В.Е. Partial Differential Equations Toolbox. Инструментарий решения дифференциальных уравнений в частных. URL: http://matlab.exponenta.ru/pde/book1/index.php (дата обращения: 13.02.2010).

УДК 004.75

АНАЛИЗ АРХИТЕКТУРНЫХ АСПЕКТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ГРИД-СИСТЕМ

В.А. Галатенко, д.ф.-м.н. (НИИ системных исследований РАН, г. Москва,

да1а1@т&1 тэк. ги)

В работе рассматриваются архитектурные аспекты обеспечения информационной безопасности ГРИД-систем. Анализируются общие архитектурные принципы построения ГРИД-систем, а также архитектура сервисов безопасности.

Ключевые слова: ГРИД-системы, информационная безопасность.

Информационная безопасность сложных распределенных систем определяется в первую очередь архитектурными решениями, обеспечивающими согласованность политик безопасности компонентов, взаимную совместимость подсистем, высокую доступность для пользователей. Точечными мерами невозможно защитить конфигурацию в целом. По этой причине в настоящей работе рассматриваются архитектурные аспекты обеспечения информационной безопасности ГРИД-систем, предназначенных для обработки сверхбольших объемов данных и обслуживания многих пользователей.

Архитектура открытых ГРИД-сервисов

ГРИД-сервисы, ГРИД-вычисления опираются в первую очередь на такие архитектурные решения, как виртуализация, интеграция, управление, которые применяются к сервисам и ресурсам в распределенной, разнородной среде, охватывающей многие области административного управления.

Архитектура открытых ГРИД-сервисов (АОГС) (Open Grid Services Architecture (OGSA)) определяет множество стандартных интерфейсов, протоколов взаимодействия сервисов и профилей существующих стандартов, обеспечивающих основу для построения устойчивых ГРИД-приложе-ний и систем управления [1].

АОГС - это открытая сервис-ориентированная архитектура, основанная на Web--сервисах (WS). Открытость АОГС можно понимать в двух смыслах:

- процессы разработки спецификаций и профилей были и остаются полностью открытыми;

- доступны различные реализации архитектуры и сервисов, в том числе эталонные с открытыми исходными текстами.

Сервисы АОГС подразделяются на следующие категории:

- инфраструктурные сервисы отвечают за функциональность общего характера, например именование;

- сервисы управления выполнением представлены целым спектром - от простых заданий до сложных потоков работ и составных сервисов, от старта до завершения работ, включая их размещение, обеспечение ресурсами, управление жизненным циклом;

- сервисы управления данными отвечают за такие аспекты, как непротиворечивость данных, их долговременное хранение и целостность, предоставляют функциональность для перемещения данных, их тиражирования, выполнения запросов и изменений, а также преобразования данных в новые форматы;

- сервисы безопасности обслуживают аутентификацию и авторизацию, обеспечивают доверие

к целостности данных, способствуют проведению в жизнь политик безопасности, поддерживают совместное использование ресурсов;

- сервисы управления ресурсами (в АОГС под ресурсом понимается физическая или логическая сущность, поддерживающая функционирование приложений или их окружения);

- информационные сервисы обеспечивают эффективное порождение и доступ к информации обо всей ГРИД-конфигурации и составляющих ее сущностях, к динамическим данным и событиям (для отслеживания и контроля состояния), к относительно статичным данным для автообнаружения, к разного рода протоколам и регистрационным журналам.

Рассмотрим подробнее перечисленные категории сервисов.

Инфраструктурные сервисы реализуют функциональность общего назначения, которая требуется сервисам более высоких уровней. Поскольку АОГС основывается на технологии WS, интерфейсы сервисов определяются посредством языка описания WS (WS Description Language (WSDL)). Инфраструктура включает в себя стандарты, такие как каркас управления ресурсами WS (WS Resource Framework (WS-RF)), управление WS (WS-Management), адресация WS (WS-Addressing).

На инфраструктурном уровне АОГС выделим спецификации именования и связывания. Спецификация WS-Naming суть профиль WS-Addressing, обеспечивающая именование, не зависящее от расположения, а также связывание имен. Возможность изменения связывания облегчает прозрачную реализацию таких традиционных для распределенных систем аспектов, как миграция, тиражирование, нейтрализация отказов и т.д.

Еще одним критически важным инфраструктурным средством является рефлексия - возможность выяснения свойств и/или атрибутов ГРИД-ресурсов или сервисов. Примерами подобных свойств и атрибутов могут служить типы портов, механизмы безопасности и т.п.

Сервисы управления выполнением решают такие проблемы, как определение возможных мест выполнения, выбор места выполнения из числа возможных, подготовка выполнения (развертывание и конфигурирование необходимых компонентов и т.д.), запуск на выполнение, управление выполнением и его отслеживание вплоть до завершения (организация контрольных точек, перезапуск в случае аварийного завершения и т.п.).

Сервисы управления данными определяют процессы описания, поиска, сохранения, доступа, передачи и управления ресурсами данных, а также тиражирование, кэширование и разделение данных. Следует подчеркнуть, что ресурсы хранения данных наряду с вычислительными и сетевыми ресурсами относятся к числу важнейших элементов инфраструктуры ГРИД. Это верно с точки

зрения и приложений, и информационной безопасности. В то же время предусмотренную АОГС дисциплину работы с данными нельзя назвать безопасной. По соображениям эффективности к одним и тем же данным можно обращаться как минимум тремя способами:

- по локальным интерфейсам операционной системы, минуя ГРИД-сервисы;

- как к бесструктурным данным (к последовательности байтов);

- как к структурным данным (к реляционным отношениям, XML-документам и т.п.).

Следовательно, допускается обход высокоуровневых средств управления доступом, что чревато нарушением конфиденциальности и/или целостности данных. Это - архитектурная уязвимость, которая отчасти может быть нейтрализована тщательно согласованным назначением прав доступа на всех уровнях.

Сервисы безопасности в сервис-ориентированной ГРИД-архитектуре защищают ресурсы, афишируемые клиентами и оконечными точками сервисов.

Сложность построения модели безопасности ГРИД-конфигураций проистекает в первую очередь из разнородности ее компонентов, из-за того, что и у клиентов, и у поставщиков ресурсов могут быть свои политики и механизмы безопасности.

Семейство спецификаций WS-Security определяет универсальные механизмы для ассоциирования удостоверений безопасности с содержимым сообщений и для применения криптографических средств (шифрование, цифровые подписи) в XML-контексте.

Для обеспечения взаимодействия разнородных систем необходимы средства описания и афиширования требований к безопасным коммуникациям. Профиль безопасных коммуникаций (OGF Secure Communication (SecComm)) конкретизирует спецификации WS-Security Policy и служит основой гибкого расширяемого подхода к описанию токенов безопасности, криптографических алгоритмов и протоколов, требующихся для безопасных коммуникаций. Профиль безопасной адресации (Security Addressing (SecAddr)) описывает присоединение политики безопасности к ссылкам на оконечные точки. Структура данных в формате WS-Addressing, образующая ссылку на оконечную точку, - полезная конструкция, поскольку она предоставляет контекст вызова соответствующего сервиса, то есть информацию, требующуюся клиенту для установления осмысленных коммуникаций. Кроме того, профиль SecAddr описывает цифровые подписи для ссылок на оконечные точки, обеспечивающие их аутентичность и целостность.

Сервисы управления ресурсами являются составной частью окружения времени выполнения и описываются в АОГС базовой моделью сервисов

выполнения (Execution Environment and Basic Execution Service (BES) Model in OGSA Grids).

Информационные сервисы помогают решить сложную для ГРИД-конфигураций проблему выяснения состояния систем. Состояние может включать в себя метаданные, атрибуты и интерфейсы ресурсов, их текущее состояние, политики безопасности и зарегистрированные события.

Можно утверждать, что после нескольких лет разработки, согласования и апробации архитектура открытых ГРИД-сервисов достигла зрелости, вобрала в себя достаточное количество спецификаций и профилей, чтобы сделать возможным создание взаимно совместимых, информационно безопасных ГРИД-конфигураций, базового и прикладного программного обеспечения для них.

Особенности трактовки проблем информационной безопасности для ГРИД-систем

ГРИД-системы включают в себя постоянно наращиваемое множество мощных вычислительных ресурсов и ресурсов хранения большой емкости. Управление доступом к этим ресурсам - основная проблема для ГРИД-систем с точки зрения информационной безопасности.

Пользователи ГРИД-систем объединены в виртуальные организации [1]. Для этих организаций разработаны политики безопасности, дополняющие локальные политики реальных организаций. Для обеспечения взаимной совместимости при работе с ГРИД-системами важно, чтобы политики безопасности виртуальных организаций совпадали или были близки.

Программное обеспечение промежуточного уровня - обязательный элемент современных архитектур. Подобное ПО необходимо и для обеспечения информационной безопасности ГРИД-сис-тем. Стандартом де-факто в этой области является gLite. Этот сервис позволяет динамически добавлять в виртуальные организации новых членов, подгруппы, а также роли. Соответствующий программный компонент gLite опирается на посреднические сертификаты в стандарте X.509, используя механизм расширения этих сертификатов и иерархически организованные LDAP-серверы.

Доступ к ГРИД-ресурсам контролируется системой управления (Grid Resource Allocation Management (GRAM)), входящей в инструментарий Globus Toolkit (GT4). Передача данных обеспечивается посредством GridFTP. Тем самым достигаются стандартизация, взаимная совместимость и информационная безопасность, а также координация в управлении и мониторинге функционирования ГРИД-систем.

Гибкости средств информационной безопасности ГРИД-систем способствуют сервис-ориентированная архитектура и открытость исходных текстов gLite.

Для производственных инфраструктур надежность и масштабируемость важнее погони за инновациями. Ориентация на зрелые, взаимно совместимые WS в сочетании с продуманной системой тестирования, конфигурационного управления, прослеживания ошибок и автоматизированной сборки позволяет на практике достичь поставленных целей.

Для ГРИД-систем и приложений важна задача предоставления составных ресурсов с обеспечением целостности их жизненного цикла. Поскольку в ГРИД-системах приложения (например, обслуживающие научные эксперименты) могут выполняться долго, соответствующие ресурсы требуется не только предоставлять, но и при необходимости перемещать (перепредоставлять). Ввиду потенциально большого объема данных и соображений безопасности подобное перепредоставление должно происходить выборочно, по принципу минимальной достаточности.

Многоуровневая архитектура безопасности для ГРИД-систем

В работе [2] предлагается деление требований информационной безопасности для ГРИД-систем на базовые (доступность, целостность, конфиденциальность) и продвинутые (единый вход, делегирование полномочий, динамическое установление отношений доверия и т.п.).

Выполнить эти требования можно с использованием модели, включающей пять уровней, а именно: локальной защиты, трансляции идентификаторов субъектов, коммуникационной безопасности, функций безопасности, приложений безопасности.

На уровне локальной защиты применяются механизмы безопасности, имеющиеся в области управления. Эти механизмы действуют не только для локальных, но и для удаленных (из других областей управления) субъектов. Вообще говоря, в разных областях управления механизмы безопасности могут быть разными.

Следующий уровень предоставляет функции для отображения (трансляции) идентификаторов субъектов из одной области управления (например удаленной) на идентификаторы из другой области (локальной). После этого к удаленным субъектам могут применяться локальные политики и механизмы безопасности.

Коммуникационная безопасность (с выполнением всех базовых требований) обеспечивается на транспортном уровне стека TCP/IP, а также на уровне отдельных сообщений. Для реализации используются спецификации WS-Security.

Уровень функций безопасности с использованием нижележащих уровней обеспечивает выполнение продвинутых требований безопасности. Для реализации полезны такие спецификации, как WS-Policy, WS-Trust, WS-Federation и т.д.

На уровне приложений безопасности функции предыдущего уровня делаются доступными в виде сервисов безопасности и могут использоваться как из локальной, так и из удаленных областей управления. Возможно выстраивание иерархий сервисов безопасности.

Описанная многоуровневая архитектура безопасности помогает снизить сложность систем, скрывая детали локальных реализаций и обеспечивая взаимную совместимость и интеграцию средств информационной безопасности для ГРИД-конфигураций.

Во многом сходный архитектурный подход к ГРИД-безопасности развит в работе [3]. Предлагается следующая пятиуровневая архитектура:

1) уровень локальных защитных решений;

2) уровень адаптеров ГРИД-безопасности;

3) уровень базовых методов обеспечения безопасности;

4) сеансовый уровень безопасности;

5) прикладной уровень ГРИД-безопасности.

Защита ресурсов обеспечивается на первом

уровне. Здесь функционируют такие средства безопасности, как Kerberos, SSH, TLS (SSL) и т.п.

Основное назначение второго уровня - отображение глобальных сущностей (включая субъекты и объекты) в локальные. Этот уровень нивелирует различия локальных защитных решений, предоставляя верхним уровням унифицированную платформу безопасности.

Уровень (3) содержит базовые алгоритмы и методы обеспечения безопасности, такие как методы симметричной и асимметричной криптографии, служащие основой для продвинутых сервисов безопасности.

Главное назначение сеансового уровня - формирование и поддержка контекста безопасности, включающего в себя, в частности, криптографические ключи и параметры криптографических алгоритмов.

Политика безопасности для ГРИД-систем охватывает уровни (3) и (4). Выделим такие аспекты политики безопасности, как аутентификация, авторизация, делегирование полномочий, управление доступом, аудит, доверие и т.д.

На прикладном уровне предоставляются продвинутые сервисы безопасности, в частности, единый вход, защищенные групповые коммуникации, кросс-сертификация и т.п.

Основное достоинство описанной архитектуры - масштабируемость, обеспечиваемая в первую очередь уровнем адаптеров ГРИД-безопасности, поскольку локальные защитные решения для вышележащих уровней оказываются прозрачными.

Архитектурные решения для мониторинга и управления ГРИД-системами

Управление, контроль и оптимизация функционирования крупномасштабных приложений со

сверхбольшими наборами данных, характерных для ГРИД-систем, - задача первостепенной важности и исключительной сложности. Необходимо обеспечить согласованную работу приложений, а также вычислительной и сетевой инфраструктур и инфраструктуры хранения.

Фундаментом для решения поставленной задачи служат средства получения актуальной информации о состоянии распределенных ГРИД-систем, отслеживание функционирования сверхбольшого числа приложений практически в реальном времени. Подобная информация требуется для предоставления высокоуровневых сервисов, поддерживающих и/или автоматизирующих принятие решений, а также для поддержания и оптимизации потоков работ в крупномасштабных распределенных системах, выполняемых агентами высокоуровневых сервисов. Эти сервисы могут обеспечивать оптимизацию динамической маршрутизации, управление и оптимизацию для крупномасштабной передачи данных по выделенным линиям, планирование передачи данных, распределенное планирование заданий, автоматизированное управление удаленными сервисами.

Средства мониторинга и управления в рамках ГРИД-конфигураций важны как для повышения доступности сервисов, так и для ускорения реагирования на нарушения информационной безопасности. В силу организационной распределенности и разнородности ГРИД-конфигураций к средствам мониторинга и управления предъявляются повышенные требования по взаимной совместимости, выполнить которые можно, только опираясь на стандарты.

Ключевой в данной области является спецификация WS для распределенного управления (WS for DistributedManagement (WSDM)). WSDM определяет стандартные механизмы для представления и доступа к интерфейсам управления ресурсами, реализуемым в виде WS (спецификация управления посредством WS - WSDM: Management Using WS (MUWS)). Кроме того, специфицируется, каким образом сами Web-сервисы могут трактоваться и управляться как ресурсы (WSDM: Management of WS (MOWS)). Определены механизмы идентификации, проверки и модификации характеристик ресурсов. Естественно, WSDM опирается на другие стандарты Web--сервисов, такие как WS-RE, WS-Norification, WS-Addressing [1].

Спецификация WSDM предусматривает наличие ряда стандартных возможностей ресурсов, обладающих определенными свойствами, а именно:

- идентификация - единственная обязательная возможность, используемая для различения ресурсов; эта возможность содержит всего одно свойство, называемое идентификатором ресурса (ResourceID);

- описание - читабельное представление о ресурсе, его версиях и т.п.;

- метрики - свойство, определяющее, как представлять и осуществлять доступ к информации о конкретном свойстве;

- состояние - свойство для изменения состояния ресурса в соответствии с конкретной моделью состояний;

- эксплуатационный статус - свойство, определяющее три уровня статуса для ресурса: доступный, недоступный и неизвестный, а также события изменения статуса;

- афиширование - стандартное событие, которое должно быть сгенерировано при создании нового управляемого ресурса.

В спецификации WSDM заданы интерфейсы для опроса отношений, в которых состоит управляемый ресурс. Подобная возможность полезна, в частности, для группирования ресурсов.

WSDM определяет также расширяемый XML-формат событий, позволяющий передавать, обрабатывать, коррелировать и интерпретировать управляющую информацию различных типов на разных платформах разными инструментальными средствами. Для каждой WSDM-возможности имеется соответствующая категория уведомлений (WS-Notifications), которую можно использовать для идентификации и категорирования уведомлений, специфичных для конкретной возможности.

Среди других требований к средствам мониторинга и управления выделим следующие.

• Простота использования. Клиентские компоненты должны быть спроектированы таким образом, чтобы допускать несложное встраивание в различные пользовательские интерфейсы, в том числе мобильные, навигационные (Web) и перспективные.

• Гибкость. Архитектура должна быть расширяемой, способной поддерживать различные функции администрирования. Этого можно достичь, если применить технологию встраиваемых модулей и стандартизованные интерфейсы.

• Эффективность. Управляющие операции должны выполняться в реальном масштабе времени и обеспечивать адекватную обратную связь, позволяющую контролировать ход и результаты выполнения. В нормальной ситуации воздействие управляющих операций на контролируемые ресурсы должно быть минимальным.

• Высокая доступность. По административной природе средства мониторинга и управления должны быть устойчивыми, быстрыми и надежными. Следует обеспечить их высокую доступность независимо от состояния других ресурсов.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

• Информационная безопасность. Как и для всех операций администрирования, требования информационной безопасности к средствам мониторинга и управления включают в себя сильную аутентификацию, управление доступом, обеспечение конфиденциальности и целостности потоков данных.

• Однородность конфигураций, простота настройки. Базовая конфигурация должна (почти) автоматически настраиваться на специфику конкретной организации, решившей воспользоваться средствами мониторинга и управления.

• Замкнутость цикла управления. Важно не только выявлять аномалии средствами мониторинга, но и своевременно устранять их средствами управления.

На каждой производственной площадке, подверженной мониторингу и управлению, целесообразно иметь одну точку присутствия - сервер, посредством которого осуществляется взаимодействие со всеми ГРИД-ресурсами. В таком случае управляющие потоки данных, передаваемые по глобальным сетям, адресуются на один IP-адрес и на известные порты, что упрощает решение проблем информационной безопасности. Кроме того, локальные агенты управления ресурсами могут быть легковесными, так как им необходимо взаимодействовать только с локальным сервером.

Архитектура ГРИД-портала

Простота использования - необходимое условие доступности и информационной безопасности вычислительных сервисов. Эталоном простоты является Web--доступ, поэтому естественно воспользоваться Web--технологией и реализовать интерфейс с ГРИД-системами в виде Web-портала, предоставляющего сервисы аутентификации, авторизации, запуска и отслеживания заданий. Такой подход, реализованный как ГРИД-портал GENIUS, описан в работе [4].

GENIUS имеет трехуровневую архитектуру:

- клиент (рабочая станция пользователя с Web -навигатор ом);

- сервер (ПО промежуточного уровня gLite, обслуживающее пользовательский интерфейс, Web-сервер Apache и собственно GENIUS);

- удаленные ресурсы (ГРИД).

Операционной платформой GENIUS служит

Linux.

Чтобы обеспечить защищенный доступ к ГРИД-ресурсам, в GENIUS реализована многоуровневая инфраструктура безопасности, включающая протоколы HTTPS, SSL, пользовательские счета на сервере, перенаправление пользователей (после успешного входа на сервер) для обслуживания сервисом управления виртуальными организациями.

Посредством предоставляемых порталом GENIUS сервисов пользователь может: опрашивать доступные вычислительные элементы; создавать задания; передавать задания на выполнение, возможно, специфицируя вычислительные элементы; отслеживать ход выполнения заданий; «на лету» просматривать вывод, порождаемый запущенными заданиями, и сохранять его на серверной и/или клиентской системах.

GENIUS предоставляет сервис управления данными с возможностью их интерактивного анализа и графического отображения. Основой защиты передаваемых данных служит SSL.

Сложной проблемой для ГРИД-порталов является универсальность. Высокопроизводительные приложения многочисленны и разнообразны, постоянно появляются новые. Архитектура ГРИД-портала должна обеспечивать несложное встраивание пользовательских приложений, а также криптографическую защиту (в силу большого объема лучше выборочную) пользовательских данных. Обе задачи решаются на основе модели портлетов [5].

Предлагается трехуровневая архитектура ГРИД-портала: базовый уровень, уровень сервисов и уровень портлетов.

На базовом уровне реализованы контейнер портала, хранение данных, а также точка доступа к ГРИД-системам для вышележащих уровней. Предоставляются такие базовые портлеты, как Login, Logout, персонализация профиля пользователя, настройка внешнего вида и т.п. Поддерживаются прикладные программные интерфейсы для управления заданиями из области высокопроизводительных вычислений: создание заданий, опрос их статуса, загрузка и выгрузка файлов, терминирование заданий.

Уровень сервисов предоставляет уровню портлетов такие услуги, как защита данных и управление заданиями. На этом уровне генерируются криптографические ключи, осуществляются зашифрование и расшифрование данных, которыми Web--навигатор обменивается с сервером. Для заданий поддерживается полный жизненный цикл.

Уровень портлетов содержит многочисленные приложения и функции управления заданиями. Защитные функции представлены на уровне сервисов и на уровне портлетов. Модель безопасности портлетов состоит из двух частей - навигационной и серверной. В Web-навигаторе для защищенной передачи файлов используется аплет SFTP. Серверная часть содержит модуль защиты данных и, в частности, реализует алгоритм шифрования AES. При обмене данными с пользовательским Web-навигатором производится выборочное шифрование: зашифровываются описания представляемых заданий, входные и выходные данные заданий, а также команды на терминирование заданий.

Подытоживая, отметим, что в основе нормального функционирования ГРИД-систем и их информационной безопасности лежит сервис-ориентированная архитектура, точнее, архитектура открытых ГРИД-сервисов, обеспечивающая взаимную совместимость различных элемен-

тов, масштабируемость, гибкость и настраивае-мость.

Понятие виртуальной организации, динамическая поддержка отношений доверия, использование сертификатов для аутентификации, авторизации и делегирования полномочий служат базой инфраструктуры безопасности, решают проблемы аутентификации и управления доступом.

Программное обеспечение промежуточного уровня унифицирует интерфейс к локальным сервисам, в определенной степени скрывает распределенную природу ГРИД-конфигураций.

Ориентация на Web--технологии, XML и ассоциированные с ними спецификации позволяет достичь стандартизации архитектурных элементов информационной безопасности, строить крупные распределенные системы апробированными методами из апробированных компонентов, обеспечивает единообразное решение базовых проблем безопасности, таких как реализация защищенных коммуникаций, согласование политик безопасности различных областей управления.

Для ГРИД-конфигураций ввиду их динамичности требуется активная безопасность, которая достигается средствами мониторинга и управления. Стандартизация этих средств, их многоуровневая организация решают проблемы масштабируемости и взаимной совместимости.

Простота использования - необходимое условие формирования режима информационной безопасности. Достичь ее можно средствами Web-технологий, реализовав ГРИД-портал и организовав пользовательский интерфейс на основе Web-нави-гатора.

Перечисленные архитектурные принципы и подходы обеспечивают возможность достижения требуемого уровня информационной безопасности ГРИД-систем.

Литература

1. Галатенко В.А Обзор стандартов в области ГРИД-технологий // Технологии программирования. Учетные системы. Ортонормированные системы. М.: НИИСИ РАН, 2008. С. 49-79.

2. Singh S., Bawa S. A Framework for Handling Security Problems in Grid Environment using Web Services Security Specifications. Proceedings of the Second International Conference on Semantics, Knowledge, and Grid (SKG'06). IEEE, 2006.

3. Zhou Q., Yang G., Shen J., Rong C. A Scalable Security Architecture for Grid. Proceedings of the Sixth International Conference on Parallel and Distributed Computing, Applications and Technologies (P0CAT'05). IEEE, 2005.

4. Barbera R., Falzone A., Ardizone V., Scardaci D. The GENIUS Grid Portal: its architecture, improvements of features, and new implementations about authentication and authorization. IEEE, 2009.

5. Cao R., Chi X., Cao Z., Dai Z., Xiao H. USGPA: A User-centric and Secure Grid Portal Architecture for High-performance Computing. Proceedings of the 2009 IEEE International Symposium on Parallel and Distributed Processing with Applications. IEEE, 2009, pp. 432-438.

i Надоели баннеры? Вы всегда можете отключить рекламу.