CC BY
109
УДК 681.3
ПРОБЛЕМА ЗАЩИТЫ ИНФОРМАЦИИ В СИСТЕМАХ УПРАВЛЕНИЯ С УДАЛЕННЫМ ДОСТУПОМ И ВАРИАНТ ЕЕ РЕШЕНИЯ
В.Ю. Волков, Луэ Ху Дык
Описана проблема защиты информации в системах управления с удаленным доступом через Интернет, в которых используется технология организации виртуальных частных сетей VPN. Вариант решения задачи позволит обеспечить в защищенном режиме передачу управляющих воздействий для лиц, принимающих решения (ЛПР) на предприятиях.
Ключевые слова: система управления, удаленный доступ, туннель, протокол туннелирования, шифрование, аутентификация, авторизация.
На территории северной части МО «г. Новомосковск Тульской области», удаленной на 12 км от жилой южной части города, расположено большое количество предприятий химической технологии (ОАО «НАК «Азот», ООО «Проктер энд Гэмбл — Новомосковск», ООО «Кнауф Гипс Новомосковск» и др.), активно загрязняющих атмосферный воздух. На сегодняшний день экологический контроль существует на каждом предприятии, т.к. этого требует российское законодательство. Но зачастую он не соответствует современным требованиям (осуществляется периодически ручным способом) и не используется для учета при управлении производством. Для того чтобы обеспечить экологическую безопасность города, была разработана система управления комплексом химико-технологических предприятий с учетом экологических параметров [1].
Так как химико-технологические предприятия, входящие в комплекс, территориально удалены от системы обработки исходных данных и вычисления управляющих воздействий, то была создана подсистема передачи информации о рассчитанных значениях управляющих воздействий для обеспечения функционирования обратной связи в созданном дополнительном канале управления. На рис. 1 приведена структура системы управления комплексом химико-технологических предприятий с возможностью учета параметров загрязнения окружающей среды, где предприятия рассматриваются как источники загрязнения атмосферного воздуха региона.
Измеренные данные о концентрации загрязняющих веществ через среду передачи информации (Интернет) поступают в подсистему обработки информации, где происходят их сбор и обработка. Управляющие воздействия через среду передачи (Интернет) передаются на предприятия (руководителям, в производственно-диспетчерский отдел, начальникам цехов и т.п.).
Рис. 1. Структура системы управления комплексом предприятий с обратной связью и возможностью учета экологических параметров
Большинство химико-технологических предприятий относится к категории вредных и опасных производственных объектов [2]. Если злоумышленник получит доступ к внутренней сети предприятия, то он сможет воздействовать на процессы управления производством. Вследствие этого может измениться режим работы предприятий и даже произойти серьезная авария. Поэтому обеспечение безопасности передачи управляющих воздействий для ЛПР на этих предприятиях является чрезвычайно важной и актуальной задачей.
Для обеспечения безопасности передачи управляющих воздействий можно организовать собственную локальную сеть, что подразумевает прокладку выделенных каналов связи, установку маршрутизаторов и устройств доступа. Но этот способ обладает большим недостатком - высокой стоимостью.
Сегодня на каждом предприятии есть своя сеть компьютеров, которая имеет доступ к Интернету. Поэтому в качестве среды передачи информации предлагается использовать Интернет. Так как Интернет - это доступная глобальная сеть, то в целях безопасности и надежности передачи информации будем использовать технологию VPN (Virtual Private Network) - виртуальная частная сеть.
VPN может реализовываться клиентом (предприятиям) или поставщиком услуг на основе собственной сети и воспроизводит частную сеть для каждого своего клиента, изолируя и защищая её от остальных. Поддерживаемая клиентом виртуальная частная сеть отражает тот факт, что все тяготы поддержки сети VPN ложатся на плечи потребителя. Поставщик предоставляет только «простые» традиционные услуги общедоступной сети по объединению узлов клиента, а специалисты предприятия самостоятельно конфигурируют средства VPN и управляют ими.
VPN может строиться на базе оборудования, установленного на территории потребителя или на базе собственной инфраструктуры поставщика. В любом случае основную часть функций (или даже все) по поддержанию VPN выполняют пограничные устройства сети либо потре-
бителя, либо поставщика. Сети VPN, поддерживаемые поставщиком, могут строиться как на базе инфраструктуры поставщика, так и на базе оборудования, установленного на территории потребителя. В первом варианте поставщик управляет расположенным в его сети оборудованием. Во втором случае оборудование VPN расположено на территории клиента, но поставщик управляет им удаленно, что освобождает специалистов предприятия-клиента от достаточно сложных и специфических обязанностей.
Когда VPN поддерживается клиентом, оборудование всегда находится в его сети, то есть VPN строится на базе устройств клиента [3].
Существенное влияние на свойства виртуальных сетей оказывают технологии [4], с помощью которых эти сети строятся. В технологиях разграничения трафика (ATM VPN, Frame Relay VPN, MPLS VPN) используется техника постоянных виртуальных каналов, обеспечивающая надежную защиту трафика каждого клиента от намеренного или ненамеренного доступа к нему других клиентов публичной сети. Защита данных достигается благодаря тому, что несанкционированный пользователь не может подключиться к постоянному виртуальному каналу, не изменив таблицы коммутации устройств поставщика услуг, а значит, ему не удастся провести атаку или прочитать данные. VPN на основе шифрования (IP Security, Secure Sockets Layer, Point-to-Point Tunneling Protocol, Layer 2 Tunneling Protocol и т.п.) применяется в тех случаях, когда VPN строится в дейта-граммной сети, которая не может обеспечить разграничения трафика. Именно такой сетью является классическая IP-сеть. Технологию VPN на основе шифрования можно применять совместно с технологиями VPN на основе разделения трафика для повышения уровня защищенности виртуальных частных сетей. Технологии VPN на основе разделения трафика иногда критикуют за недостаточный уровень безопасности, считая, что отсутствие шифрования трафика позволяет персоналу поставщика услуг получить несанкционированный доступ к данным.
Существуют разные виды виртуальных частных сетей: VPN с удаленным доступом (Remote Access); внутрикорпоративные сети VPN (Intranet-VPN); межкорпоративные сети VPN (Extranet-VPN) и т.п. Для реализации системы передачи управляющих воздействий через Интернет в данном случае выбран вид VPN-сети с удаленным доступом. На рис. 2 представлена общая структура виртуальной частной сети передачи управляющих воздействий для ЛПР на предприятиях с удаленным доступом через Интернет.
Принцип работы VPN передачи управляющих воздействий сводится к следующему: пользователи устанавливают соединения с местной точкой доступа к глобальной сети (PоP), после чего их вызовы туннелируются через Интернет, затем все вызовы концентрируются на соответствующих узлах и передаются в сеть системы поддержки принятия решений по управлению химико-технологическими предприятиями. Удаленный пользователь (руководство предприятий), как правило, подключается к защи-
щаемому ресурсу не через выделенный сервер VPN, а напрямую с собственного компьютера, где и устанавливается программное обеспечение, реализующее функции клиента VPN.
Рис. 2. Общая структура виртуальной частной сети передачи управляющих воздействий с удаленным доступом
Для надежного и эффективного функционирования необходимо настроить серверную и клиентскую части VPN. Серверная часть - это VPN-PPTP-сервер для защищенного подключения клиентов. Так как большая часть компьютеров промышленных предприятий имеют операционную систему семейства MS Windows, то VPN-сервер может быть настроен на серверных версиях MS Windows Server. Он настраивается как сервер удаленного доступа (RAS-сервер) в службе RRAS (Маршрутизация и удаленный доступ), а клиентская часть - это VPN-клиент, который может быть настроен на MS Windows на компьютерах предприятия.
Такой подход не «привязывает» нас к определенной платформе, так как организовать VPN можно и другими программными средствами (Linux, Unix, Mac и т.п.).
На сервере VPN необходимо создать статический пул адресов, отличный от внутреннего, который будет присваиваться VPN-клиентам (табл. 1). Для организации защиты работы в сети была выбрана технология шифрования PPTP (Point-to-Point Tunneling Protocol) с максимальным количеством портов 128. В качестве параметра проверки подлинности выбран протокол MS-CHAP. Протокол, разработанный корпорацией Microsoft для выполнения процедур проверки подлинности удалённых рабочих станций Windows, поддерживает функциональные возможности, привычные пользователям локальных сетей, и интегрирует алгоритмы шифрования и хеширования, действующие в сетях Windows. Для проведения проверки подлинности без передачи пароля протокол MS-CHAP, как и CHAP, использует механизм «вызов-ответ». Название сервера -«vpn.novomoskovsk.ru».
Оператор предприятия N (клиент VPN)
Таблица 1
Диапазон назначения адресов
Начальный IP-адрес Конечный IP-адрес Количество адресов
192.168.1.1 192.168.1.254 254
Список учетных записей VPN-клиентов (предприятий - основных источников загрязнения атмосферы) приведен в табл. 2.
Таблица 2
Список учетной записи УРМ-клиентов
Наименование предприятия Логин Пароль Назначенный IP-адрес
ОАО «КНАУФ- ГИПС» KnaufGips Больше 8 знаков 192.168.1.2
ООО «Проктер энд Гэмбл» PandG Больше 8 знаков 192.168.1.3
НАК «Азот» NAK-Azot Больше 8 знаков 192.168.1.4
ООО «Оргсинтез» OrgSintez Больше 8 знаков 192.168.1.5
ООО «Аэрозоль» Airozol Больше 8 знаков 192.168.1.6
000 «Полипласт» Polyplazt Больше 8 знаков 192.168.1.7
На компьютере VPN-клиента (предприятия) необходимо настроить параметры совпадения с настроенными данными сервера VPN (см. табл. 2). Необходимо ввести логин и пароль в диалоговом окне подключения клиента (рис. 3).
Рис. 3. Подключение VPN-клиента
После нажатия на кнопку «Подключение» создается туннель между VPN-клиентом и VPN-сервером. Информация, которая передается в дан-
69
ном туннеле, будет защищена в открытой среде Интернета.
Таким образом, создается и эксплуатируется защищенная виртуальная «локальная» сеть «внутри» Интернета, а для компьютеров, входящих в эту сеть, обмен информацией происходит, как в обычной локальной сети, поэтому в этой сети легко организовать работу обычных офисных приложений, однако извне такая сеть будет защищена, так как весь трафик зашифрован.
Список литературы
1. Волков В. Ю., Луэ Ху Дык. Интеллектуальная система выработки рекомендаций по снижению выбросов в атмосферу химико-технологическими предприятиями // Труды XIV Межд. конф. «Проблемы управления и моделирования в сложных системах». Самара, 2012. С. 278 -285.
2. Луэ Ху Дык, Волков В. Ю. Проблема контроля за технологическими выбросами в атмосферу на вредных и опасных производствах // Вестник МАСИ. Информатика, экология, экономика. Т. 13 Ч. I. 2011. С. 175-178.
3. Стивен Браун. Виртуальные частные сети. М.: Изд-во: «Лори», McGraw-Hill Companies, 2001. 503 с.
4. Запенчинков С.В., Милославская Н.Г., Толстой А.И. Основы построения виртуальных частных сетей: учеб. пособие для вузов. М.: Горячая линия - Телеком, 2003. 249 с.
Волков Владислав Юрьевич, канд. техн. наук, доц., duga@mail.ru, Россия, Новомосковск, НИ (ф) РХТУ им. Д.И. Менделеева,
Луэ Ху Дык, аспирант, huyducvn ht@mail.ru, Россия, Новомосковск, НИ (ф) РХТУ им. Д. И. Менделеева
THE PROBLEM OF PROTECTION OF INFORMATION IN CONTROL SYSTEMS WITH REMOTE ACCESS AND VERSION OF ITS DECISION
V.Yu. Volkov, Leu Huy Duc
The problem of protection of information in control systems with remote access on the Internet in which the technology of the organization of the virtual private VPN networks is used is described. The version of the solution of a task will allow to provide in the protected mode transfer of managing directors of influences for the persons, making decisions (decision-maker) at the enterprises.
Key words: control system, remote access, tunnel, tunneling protocol, enciphering, authentication, authorization.
Volkov Vladislav Yurevich, candidate of technical science, docent, duga@mail.ru, Russia, Novomoskovsk, Federal State Educational Establishment of Higher Professional
Education "D. Mendeleyev University of Chemical Technology of Russia", Novomoskovsk branch,
Leu Huy Duc, postgraduate, huyducvn ht@mail.ru, Russia, Novomoskovsk, Federal State Educational Establishment of Higher Professional Education "D. Mendeleyev University of Chemical Technology of Russia", Novomoskovsk branch
УДК 519.7
БЫСТРЫЙ ГЕНЕТИЧЕСКИЙ АЛГОРИТМ ДЛЯ ПРИЛОЖЕНИЙ РЕАЛЬНОГО ВРЕМЕНИ
Х. Аль-Сабул Али Хусейн, А.Н. Грачев
Предлагается методика разработки генетических алгоритмов, которая сокращает общее время их сходимости. Результаты моделирования показывают, что предложенный подход значительно уменьшает количество поколений, необходимых генетическому алгоритму для нахождения приемлемого решения, в результате чего сокращается общее время оптимизации. Это дает возможность использовать данные алгоритмы в приложениях реального времени, в том числе для идентификации стационарных и нестационарных динамических объектов.
Ключевые слова: генетические алгоритмы, приложения реального времени, идентификация динамических объектов.
Генетические алгоритмы (ГА) в настоящее время представляют собой перспективное и динамично развивающееся направление интеллектуальной обработки данных, связанное с решением задач поиска и оптимизации [1 - 5]. Область применения генетических алгоритмов достаточно обширна. Они успешно используются для решения ряда больших и экономически значимых задач в бизнесе и инженерных разработках. Наряду с другими методами эволюционных вычислений генетические алгоритмы обычно используются для оценки значений непрерывных параметров моделей большой размерности, для решения комбинаторных задач, для оптимизации моделей, включающих одновременно непрерывные и дискретные параметры. Другая область их применения - использование в системах извлечения новых знаний из больших баз данных, создание и обучение стохастических сетей, обучение нейронных сетей, оценка параметров в задачах многомерного статистического анализа, получение исходных данных для работы других алгоритмов поиска и оптимизации.
В данной работе предлагается быстрый ГА, в котором за счет наличия специальной элитной популяции удается значительно сократить время
