CC BY
228
УДК 004.056.3
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ СИСТЕМЫ ХРАНЕНИЯ
ДАННЫХ
С.Ю. Борзенкова, И.В. Савин
Рассматриваются вопросы применения технологий хранения данных и обеспечения безопасности систем хранения данных. Приводится сравнение систем хранения данных и даны рекомендации по обеспечению безопасности систем хранения данных от несанкционированного доступа.
Ключевые слова: системы хранения данных, безопасность систем хранения данных, хранилища данных, локальная сеть, удаленный доступ.
Современное общество, создавая большие объемы данных, сталкивается с проблемами, связанные с организацией хранения больших объемов информации и обеспечение безопасности таких хранилищ от несанкционированного доступа.
В последние годы выросла заинтересованность специалистов к системам хранения данных. Для сохранения конкурентоспособности компаниям необходимо хранить огромное количество информации и кроме хранения получать к ней оперативный доступ Связано это с тем, что традиционно задача хранения данных решалась путем наращивания ёмкости хранилищ данных с архитектурой DAS (Direct-Attached Storage). Система хранения данных на основе DAS - устройства внешней памяти, подключенные напрямую к серверу и используемые только сервером. Использование в рамках информационных систем множества систем хранения данных с архитектурой DAS, как правило приводит к появлению распределенных по всей сети предприятия локальных систем хранения данных. Это усложняет расширение хранилища данных организации, поскольку эти системы не поддерживают совместного использования ёмкости хранения разными серверами и разделения данных между ними.
Кроме того, обеспечение безопасности информации при такой организации системы хранения данных с архитектурой DAS требует значительных затрат. Резервное копирование пока остается наиболее надежным способом сохранения данных, которое позволяет восстанавливать данные в случае отказа серверов или аварии в информационной системе.
Идея сетевого хранения данных, которое предусматривает централизованное хранение данных, а также гибкость при использовании информации, повышение надежности и безопасности хранения данных, снижением затрат на обслуживание системы хранения данных, была реализована в рамках двух технологий:
- сетевых хранилищ NAS (Network Attached Storage);
- сетей хранения SAN (Storage Area Network).
196
Системы хранения данных NAS и SAN имеют свои достоинства и недостатки
NAS - система, позволяющая централизованно хранить данные и удалённо получать доступ к этим данным всем авторизованным пользователям. Такой отдельный файл-сервер позволяет разделить хранилище данных на отдельные части. Клиенты сети, распределённые по группам, получают доступ только к определенной части массива данных, доступ к остальной информации им запрещен. Следующий недостаток NAS - нет возможности использовать хранилище подключаемого по локальной сети устройства. Из-за того, что доступ к данным осуществляется не на уровне блоков, а на уровне целых файлов и тот факт, средой передачи для NAS-сервера служит сеть Ethernet, производительность работы такого хранилища не отличается особой скоростью. Учитывая все достоинства и недостатки такой системы, NAS обычно используются в решениях с ограниченным бюджетом.
SAN - это отделённая от локальной сеть, которая может хранить огромные объёмы информации с возможностью практически бесконечного наращивания. Обычно SAN - это множество подключенных к коммутатору массивов, составленных из хранилищ данных. Коммутатор соединяется с серверами, которые ответственны за организацию доступа к хранимым данным. SAN осуществляет доступ любого сервера к любому накопителю без дополнительных нагрузок на локальную сеть. Для обмена данными не обязательно участие серверов.
При всех преимуществах, слабой стороной SAN-решений является высокая цена. Их внедрение может обойтись в десятки и сотни тысяч долларов. Однако, как показывает практика, такие системы окупаются. Они отличаются высокой эффективностью и безотказностью работы.
Последние тенденции в SAN сводятся к использованию виртуализации памяти. Это даёт серверам возможность создать один логический том из нескольких устройств хранения. Безопасность обеспечивается на уровне сервера, в то время как в NAS - на уровне доступа к файлам.
Из-за того, что все узлы расположены в единой сети, необходимо не допустить несанкционированный доступ к хранимым данным. Наличие у посторонних лиц доступа к одному или нескольким таким узлам может нанести ощутимый ущерб предприятию.
Из-за особенностей архитектуры обе системы имеют недостаточную защиту. Поэтому актуальными угрозами для обоих решений являются:
- получение несанкционированного доступа к данным;
- искажение информации;
- нарушение подлинности и целостности;
- нарушение доступа к данным.
Существует четыре уровня предоставления служб, которые напрямую влияют на безопасность:
- устройств;
- данных;
- сетевого взаимодействия;
- управления и контроля.
На уровне устройств SAN- системы, угроза НСД возникает в основном из-за недостаточной сложности пароля и ненадёжной системы авторизации пользователей. В таком случае НСД с привилегированного пользователя даёт полный контроль над данным узлом, из-за чего возникает реальная угроза безопасности хранимых данных.
Авторизация пользователей должна осуществляться с использованием списков контроля доступа. Не будет лишним ограничение доступа к устройству при помощи многофакторной аутентификации.
Другой лазейкой для злоумышленника может являться уязвимость встроенного программного обеспечения. Пониженное внимание к безопасности кода зачастую приводит к использованию злоумышленником уязвимых устройств и проведение им удалённых атак на остальные устройства сети.
NAS на уровне устройств работают по принципу «файл-сервер». Впрочем, во многих случаях получить доступ к хранилищу невозможно без элементов SAN. Обычно это хранилища в виде жестких дисков, которые подключаются к серверу с помощью оптических линий. В этом случае к безопасности NAS должны быть предъявлены такие же требования, как и к безопасности SAN-решений.
На уровне данных при несанкционированном доступе с правами администратора злоумышленник сможет полностью контролировать данные, из-за чего возникает опасность блокирования доступа, искажения или удаления информации. Архитектура SAN работает таким образом, что сервера и рабочие станции подключаются с единой зоной доступа к устройствам хранения. Поэтому безопасность доступа к данным должна обеспечиваться не только на стороне сервера, но и на стороне пользователей. Такой шаг значительно снизит вероятность исполнения серверами приложений роли узлов NAS, через которые злоумышленник может нарушить конфиденциальность данных. Передавая информацию высокого уровня конфиденциальности, для снижения риска компрометации пароля стоит использовать многофакторную аутентификацию, используя необходимые программные и аппаратные средства.
На уровне сетевого взаимодействия самой частой угрозой является несанкционированное подключение к каналам с подменой адресов. Эта угроза в одинаково затрагивает оборудование и каналы как в самих центрах обработки данных, так и в филиалах. Из-за того, что SAN является открытой архитектурой и тот факт, что осуществляющее коммутацию и конвертацию оборудование работает удалённо, устройства становятся потенциальными жертвами, что может привести к компрометации данных злоумышленником .
Для NAS, из-за того, что их сетевой уровень в большинстве случаев работает по протоколу TCP/IP, основную угрозу представляют сетевые атаки.
Повысить безопасность можно используя виртуальную локальную сеть, что поможет исключить прослушивание трафика и получения контроля над ним. Не лишним будет использование межсетевых экранов.
Все используемые средства управления доступом к данным должны выполнять самые строгие требования безопасности. Это относится не только к конкретным устройствам, но и к архитектуре в целом. Необходимо постоянно наблюдать за пользователями с правами доступа и осуществлять централизованный контроль за работой устройств. Автоматизировать этот процесс поможет соответствующее программное обеспечение.
Парольную защиту необходимо усиливать, как минимум, контролем минимальной его длинны, наличием специальных символов и символов различного регистра. Помимо этого, должны быть введены меры по принудительной периодической его смене. Доступ к узлам в архитектуре SAN должен быть разделён так, чтобы пользователь не мог ознакомиться с непредназначенной для него конфиденциальной информацией.
Получение данных в NAS осуществляется на уровне файлов, где узел- файловый сервер. Наиболее частая атака на серверы NAS — несанкционированный доступ из-за использования невзломостойкого пароля.
На сегодняшний день специалисты сходятся во мнении, что у обоих подходов есть свои недостатки и преимущества и поэтому оба подхода должны существовать. Для обеспечения безопасности этих решений необходимо строго контролировать работу устройств, вести учёт и мониторинг пользователей с их правами доступа, использовать средства разграничения доступа к информации и метки конфиденциальности.
Список литературы
1. Всё об интернет-безопасности. Сайт компании «Лаборатория Касперского» [Электронный ресурс]. URL: https://securelist.ru (Дата обращения: 02.09.2017).
2. Независимый информационно-аналитический центр, посвященный информационной безопасности [Электронный ресурс]. URL: https://www.anti-malware.ru (Дата обращения: 02.09.2017).
3. Информационная безопасность [Электронный ресурс]. URL: http://www.itsec.ru (Дата обращения: 24.08.2017).
Борзенкова Светлана Юрьевна, канд. техн. наук, доц., tehrolaramb 1er.ru, Россия, Тула, Тульский государственный университет,
Савин Илья Вадимович, студент, neailyasavin.ru, Россия, Тула, Тульский государственный университет
SECURITY OF THE DATA STORAGE SYSTEM S. U. Borzenkova, I. V. Savin
The questions of application of technologies of data storage and providing of safety of data storage systems are considered. Comparison of data storage systems is given and recommendations are given to ensure the security of data storage systems from unauthorized access.
Key words: storage systems, security of storage systems, data storage, local network, remote access.
Borzenkova Svetlana Ur 'evna, candidate of technical sciences, docent, teh-nolaramhler. ru, Russia, Tula, Tula State University,
Savin Ilya Vadimovich, student, ne@ilyasavin.ru, Россия, Тула, Тульский государственный университет
УДК 778.14
О СОВЕРШЕНСТВОВАНИИ ПОДГОТОВИТЕЛЬНЫХ ПРОЦЕССОВ ПРИ ПРОИЗВОДСТВЕ И КОПИРОВАНИИ МИКРОФИЛЬМОВ СТРАХОВОГО ФОНДА ДОКУМЕНТАЦИИ
Е.Е. Евсеев, П.Е. Завалишин, С.Ю. Борзенкова, Б.С. Яковлев
Приводится анализ подготовительных процессов, проводимых перед микрофильмированием документации или копированием рулонных микрофильмов, рассматриваются возможности по сокращению числа подготовительных процессов с целью повышения качества изготавливаемых рулонных микрофильмов, увеличения производительности труда персонала и сокращения времени на перезарядку съемочных камер, СОМ-систем или копировального оборудования.
Ключевые слова: страховой фонд документации, совершенствование подготовительных процессов при больших объемах микрофильмирования документации или копирования рулонных микрофильмов.
Единый российский страховой фонд документации (далее - ЕР СФД), созданный в соответствии с постановлением Правительства Российской Федерации от 26.12.1995 г. №1253-68 [1], является надежной и проверенной временем системой по долгосрочному сохранению важнейших видов государственных документов. При производстве микрофильмов, являющихся основой информационного хранения ЕР СФД, особое внимание уделяется вопросам повышения производительности труда на технологических операциях и повышения качества изготовленной продукции. Это связано с тем, что именно от высокого качества изготовленных рулонных микрофильмов зависит качество получаемых пользователями полноформатных страховых копий документации.
200
