CC BY
53
УДК 620.9
ЭВОЛЮЦИОННЫЙ ПОДХОД К ПОСТРОЕНИЮ ЗАЩИЩЕННЫХ ИНФОРМАЦИОННЫХ СЕТЕЙ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННО-УПРАВЛЯЮЩЕЙ СИСТЕМЫ
В.И. Федянин, С.Н. Хаустов, А.В.Калач
В статье рассматривается информация ограниченного доступа, циркулирующая в АИУС РСЧС, информационные и технические ресурсы, несоблюдение защищенности которыхможет привести к нарушению режима конфиденциальности в качестве объектов информационной безопасности.
Ключевые слова: информационная безопасность, информационные и технические ресурсы, ВЧС-технологии.
В Доктрине информационной безопасности Российской Федерации задача защиты информационных ресурсов, информационных и телекоммуникационных систем определена как одна из актуальнейших составляющих национальных интересов России в информационной сфере.
Министерство Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий (МЧС) является федеральным органом исполнительной власти, специально уполномоченным на решение задач в области гражданской обороны, защиты населения и территорий от чрезвычайных ситуаций природного и техногенного характера, проводящим единую государственную политику и осуществляющим государственное управление в области гражданской обороны, предупреждения и ликвидации чрезвычайных ситуаций, а также координацию деятельности федеральных органов исполнительной власти по защите населения и территорий от чрезвычайных ситуаций [1].
Учитывая специфику МЧС России как координатора, обеспечивающего взаимодействие органов государственного управления при решении задач в условиях чрезвычайных ситуаций, автоматизированная информационно-управляющая система
(АИУС) российской системы предупреждения и ликвидации последствий стихийных бедствий (РСЧС) должна занимать центральное место, объединяя информационные ресурсы автоматизированных систем МЧС России, осуществляющих сбор информации на всей территории Российской Федерации [2].
АИУС РСЧС строится на принципах функционирования открытых систем и выступает в качестве ядра системы с собственной базой агрегированных данных и территориально-распределенных источни-
Федянин Виталий Иванович - ФГБОУ ВПО
«Воронежский институт ГПС МЧС России», доктор технических наук, профессор, тел. (473) 242-12-61; Хаустов Сергей Николаевич - ФГБОУ ВПО
«Воронежский институт ГПС МЧС России», кандидат технических наук, тел. (473) 242-12-61;
Калач Андрей Владимирович - ФГБОУ ВПО
«Воронежский институт ГПС МЧС России», доктор химических наук, доцент, тел. (473) 236-33-05.
ков детальной и оперативной информации. Система обеспечивает поддержку деятельности Министерства на федеральном, региональном, территориальном, местном и объектовом уровнях управления в повседневном режиме, режимах повышенной готовности и режиме ЧС.
В качестве объектов информационной безопасности рассматривается информация ограниченного доступа, циркулирующая в АИУС РСЧС, информационные и технические ресурсы, нарушение защищенности которых может привести к нарушению режима конфиденциальности.
В соответствии с Законом Российской Федерации "Об информации, информатизации и защите информации" защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.
Целями защиты, определенными в этом законе, являются:
- предотвращение утечки, хищения, утраты, искажения, подделки информации;
- предотвращение угроз безопасности личности, общества, государства;
- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
- предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
- сохранение конфиденциальности тайны, документированной информации в соответствии с законодательством;
- обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
Обеспечение режима общедоступности открытой информации, т.е. подключение к информационной сети общего доступа открытого сегмента АИУС РСЧС, требует реализации адекватных мер защиты, способных обеспечить ее доступность и целостность
в условиях возможных компьютерных и вирусных атак на информационные и технические ресурсы сегмента, способных полностью блокировать его работу.
Анализ существующей АИУС РСЧС показал, что в условиях возрастания объемов информационных потоков и активного внедрения новых информационных технологий обработки информации, законодательного ужесточения требований к защите информации и ограниченных материальных ресурсов одним из направлений обеспечения информационной безопасности системы является ее эволюционное развитие на основе внедрения в действующую структуру системы технологий виртуальных частных сетей (ВЧС).
Цель ВЧС-технологий состоит в максимальной степени обособления потоков данных одной организации от потоков данных всех других пользователей общей сети. Обособленность должна обеспечиваться как в отношении параметров пропускной способности потоков, так и в отношении конфиденциальности передаваемых данных [3,4,5].
ВЧС-технологии обеспечивают:
- защиту передаваемой по сетям информации;
- защиту внутренних сегментов сети организации от несанкционированного доступа со стороны сетей общего доступа;
- контроль доступа в защищаемый периметр сети, сокрытие ее внутренней структуры;
- идентификацию и аутентификацию пользователей системы;
- централизованное управление политикой безопасности организации и настройками ВЧС-сети.
Построение защищенной информационной сети АИУС РСЧС осуществляется по показателям качества, определяемым функционалом вида
V = 2 (Г, £, С),
где г = ^, а = 17} £ = 5, ] = й} С = С, к = 1к} - соответственно, качество передаваемой информации, безопасность передаваемой информации и стоимость создания виртуальной частной сети.
Обоснование виртуальных частных сетей МЧС России производится поэтапно. Начальным этапом является оптимизация структуры действующей информационной сети (ИС) АИУС РСЧС [6].
Математическая постановка задачи оптимизации структуры ИС АИУС РСЧС сформулирована следующим образом: определить значения структурных параметров ИС АИУС РСЧС регионального уровня, описываемых вектором переменных
°~ = ^,: ,4рк ,5гк , 2 у ))
- двоичная переменная, принимающая значение 1, если между а -м и ]-м узлами канал связи к -го типа, и 0, если иначе;
$1к - двоичная переменная, принимающая значение 1, если в ]-м узле сети коммуникационный комплекс с процессором к-го типа, и 0, если иначе;
(*й) - двоичная переменная, принимающая
значение 1, если маршрут передачи пакетов из 5-го пункта в й-й проходит по каналу связи между а-м и }-м узлами, и 0, если иначе, при котором целевая функция Ф принимает минимальное значение
р(і)
222
а С1
ауСук
N р(2) + 2 2
ЧС Ч'1}
о. а
где
- Фрк (Срк , Lij)- приведенные затраты в условных единицах на аренду и эксплуатацию канала связи к-го типа между і-м и р-м узлами АИУС в зависимости от пропускной способности Срк и расстояния Lij;- Срк- пропускная способность канала связи к-го типа между і-м и р-м узлами АИУС;- Lij -расстояние между і-м и р-м узлами АИУС;
- Вр -интенсивность потока сообщений, передаваемых по каналу связи между і-м и р-м пунктами;
- 1/цр - длина пакета, передаваемого между і-м и р-м узлами сети;
- Р(1) - количество типов каналов связи;
- Р(2)-количество типов процессоров коммуникационных комплексов;
- Фрк(Сік) - приведенные затраты в условных единицах на аренду и эксплуатацию КК в р-м пункте с процессором к-го типа в зависимости от производительности Срк;
- Срк - производительность коммуникационного комплекса в р-м пункте с процессором к-го типа;
- ОІ - интенсивность потока сообщений, поступающих в коммуникационный комплекс р-го узла;
- 0к - среднее количество эталонных операций, требуемых для обработки одного бита сообщения в коммуникационном комплексе на процессоре к-го типа;
- 1/Щ - среднее значение длины сообщения, обрабатываемого в р-м узле.На свойства каналов связи накладываются следующие ограничения:
- между і-м и ]-м пунктами ИС размещаются каналы связи одного типа
И1)
= 1,і, и=1,-> N ^ * ■/';
к=1
- пропускные способности каналов связи и производительности процессоров КК должны превышать интенсивности передаваемого и обрабатываемого потока соответственно
где ^ - двоичная переменная, принимающая значение 1, если а-й и }-й узлы соединены каналом связи, и 0, если иначе;
р(1)
5
о
Ш1П
(=1 /=1 *=1
1=1 к=1
к =1
р(2) в С(2}
Е ~ с> °'1=* ■
к=1 вк
- среднее время задержки сообщений в сети Т не должно превышать заданной величины Т*
Т < Т *
где
( N N р(1) £ N р(2) С
Т = х11ЕЕс(ї)р В+ ЕЕв с(2}з 1 їв сГ 1;
^ і=1 1=1 к=1 М-уСук Ъцк ~ ВІ1 1=1 и1С1к й 1к ївк ~ с1 )
Структура ИС должна быть связной (между любой парой узлов должно быть не менее одного пути обмена информацией), а число исходящих (входящих) из узла каналов связи должно быть не менее заданного количества.
Для решения поставленной задачи оптимизации структуры ИС АИУС РСЧС регионального уровня в соответствии с разработанной моделью подготовлен итерационный алгоритм покоординатной оптимизации, основанный на методе перестановки ветвей. Исходной структурой для работы алгоритма, использующего метод перестановки ветвей, является любая связная структура, полученная каким-либо способом, кроме полносвязного графа. Достоинство метода состоит в том, что его применение не изменяет степени узлов, а лишь перераспределяет связи между парами узлов сети. В данной задаче сохранение степени узлов обеспечивает выполнение требуемых ограничений по надежности и коэффициенту готовности, которыми уже обладает исходная структура [6].
Обобщенные исходные данные региональной сети представлены в виде матрицы расстояний, матрицы интенсивностей потоков сообщений между всеми узлами сети и матрицы типов каналов связи между узлами сети
В результате проведенного эксперимента исходная структура информационной сети была оптимизирована по стоимости без какого-либо ухудшения качественных параметров передачи информации.
Экономия средств в результате проведенной оптимизации составила приблизительно 5% от общей суммы средств, выделяемой на аренду каналов связи.
Следующим этапом обоснования ВЧС АИУС РСЧС явилось построение ее концептуальной модели, что дало возможность описать ее поведение и преобразовать ее в имитационную с транзактным способом организации квазипараллелизма.
Разработанная математическая модель позволяет осуществлять выбор оптимальной структуры ИС с учетом заданных параметров качества информационного обмена при минимизации стоимости действующей сети, а созданная имитационная модель защищенной сети позволяет моделировать реальный информационный обмен между двумя сетями с учетом использования традиционных и внедрения новых информационных технологий (таких, как 1Р-телефония, видеоконференцсвязь, передача видео
и др.) для сравнительной оценки различных решений виртуальной частной сети [7].
Заключительным этапом обоснования ВЧС явилась разработка соответствующей методики.
В отличие от имеющихся методик проектирования сетей передачи данных, создающихся заново, настоящая методика предназначена для обоснования выбора рационального варианта ВЧС, создающейся на основе уже существующей информационной сети, что потребовало введения большого числа ограничений, связанных с особенностями построения и организации АИУС РСЧС.
На первом шаге методики осуществляется анализ действующей системы передачи данных АИУС РСЧС и перспектив ее развития с точки зрения использования новых информационных технологий.
На втором шаге анализируются требования к информационным технологиям, применяемым на современном этапе развития АИУС РСЧС для решения поставленных перед ней задач.
На третьем шаге выполняется выбор и обоснование показателей качества перспективной ВЧС АИУС РСЧС, характеризующих такие свойства системы, как качество передачи информации в системе, защищенность передаваемой информации и стоимость ее организации.
На четвертом шаге методики осуществляется обоснование вариантов построения ВЧС, которые могут быть использованы для АИУС РСЧС.
На пятом шаге выбирается рациональный вариант построения ВЧС среди обоснованных на предыдущем этапе на основе турнирного метода оценки эффективности и выбранных на третьем этапе показателей качества.
На шестом шаге выполняется оптимизация структуры ИС с учетом требований к качественным параметрам передаваемой информации и применяемых технологий передачи на основе разработанной математической модели оптимизации ИС АИУС РСЧС.
На седьмом шаге с помощью разработанной имитационной модели ВЧС осуществляется моделирование информационного обмена в выбранной структуре ВЧС и оценивается качество передачи информации, в том числе и основанной на внедряемых в настоящее время в МЧС технологиях видеоконференцсвязи, 1Р-телефонии и др., что позволяет определить пригодность современных отечественных устройств ВЧС для использования в АИУС РСЧС с учетом качественных и стоимостных параметров.
На восьмом шаге оценивается стоимость создания ВЧС АИУС РСЧС исходя из следующих экономических показателей:
Свчс =Е <ег + Ч+РІ),
I =1
где 0°С - стоимость оборудования в і-м году;
ЧІ - затраты на эксплуатацию сети в і-м году;
Р - стоимость аренды каналов в /-м году;
-\OC глТС , глСМР , глПИ
QOC = QT + QCMP + Qn
QCMP -
где 2гГС - затратні на приобретение технических
средств сети в і-м году;
стоимость строительно-монтажных работ по созданию сети в і-м году;
Г^ПНР -
^ - стоимость пуско-наладочных работ в
і-м году.
Анализ показывает, что разовый переход на защищенный обмен информацией посредством ВЧС вызовет 12-16 процентный рост затрат на содержание ИС в первый год перехода с последующим возвратом практически на первоначальный уровень в последующие годы.
На последнем, девятом шаге, на основе полученных в предыдущих пунктах результатов разрабатываются предложения по внедрению технологии ВЧС в рамках АИУС РСЧС в виде комплекса следующих мероприятий:
- обучение персонала эксплуатации и обслуживанию ВЧС;
- подготовка эксплуатационной документации, разработка руководства администратора ВЧС;
- установка специализированного устройства ВЧС в сети в промежутке между внутренними серверами, АРМ пользователей и маршрутизатором, соединяющим локальную и глобальную сеть передачи данных;
- установка специализированного рабочего места администратора ВЧС для администрирования и мониторинга всей сети и устройств ВЧС АИУС РСЧС;
- настройка глобальных адресов маршрутизаторов и устройств ВЧС;
- настройка правил маршрутизации трафика пользователей того или иного типа;
- настройка правил политики безопасности на специализированном устройстве ВЧС;
- выбор алгоритмов шифрования и обмена ключами;
- осуществление обмена ключами и запуск шифрования передаваемых данных;
- инсталляция программного обеспечения клиентов ВЧС удаленных пользователей, внесение их в базу данных пользователей.
Рассмотренная методика апробирована на начальном этапе внедрения защищенных информационных сетей в структуру АИУС РСЧС.
Литература
1. Положение о единой государственной системе предупреждения и ликвидации чрезвычайных ситуаций. М.: ООО «ДКС-ПРЕСС», 2005.
2. Ефимов А.В., Попов А.П., Резник И.В. Автоматизация управления предупреждением и ликвидацией чрезвычайных ситуаций. Химки: АГЗ МЧС, 1998.
3. Росляков А.В. Виртуальные частные сети. Основы построения и применения. М.:Эко -Трендз, 2006.
4. Запечников С.В., Милославская Н.Г., Толстой А.И. Основы построения виртуальных частных сетей. М.: Горячая линия-Телеком, 2003.
5. Фортенбери Т. Проектирование виртуальных частных сетей в среде Windows-2000. М.: Вильямс, 2002.
6. Безвесильный А.В., Яковлев О.В. Обзор алгоритмов оптимизации коммуникационных сетей АИУС РСЧС: материалы международной научно -практической конференции «Актуальные проблемы регулирования пр иродной и техногенной безопасности». Москва, ВНИИ ГОЧС, 2005.
7. Безвесильный А.В., Шевчук Д.А., Яковлев О.В. Параллельные технологии решения задач оптимизации на структурных множествах // Проблемы обеспечения безопасности в ЧС: сб. докл. Междунар. науч.-прак. конф. СПб. 2004.
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Воронежский институт Государственной противопожарной службы МЧС России»
THE EVOLUTIONARY APPROACH TO CONSTRUCTION OF PROTECTED INFORMATION NETWORKS OF AUTOMATED INFORMATION-OPERATING SYSTEMS
V.I. Fediynin, S.N. Khaustov, A.V. Kalach
In article the limited access information, circulating in AIOS RSEM, the information and technical resources which infringement of security can lead to infringement of confidentiality mode as objects of information safety is considered.
Keywords: information safety, information and technical resources, VPN-technologies.
