CC BY
48
Хрулев П. А.1, Бодрова А. А.2, Логвин В. И.3 'Студент, 2Студентка, 3Студент, Национальный исследовательский университет «МИЭТ». ПРОЕКТИРОВАНИЕ ЗАЩИЩЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ НА ОСНОВЕ СЕРВЕРА
ВИРТУАЛИЗАЦИИ
Аннотация
В статье рассмотрено - создание защищенной информационной системы предприятия на основе сервера виртуализации для обеспечения ее защиты от несанкционированного доступа, уменьшения расходов предприятия на создание большого числа серверов и их поддержку за счет эмуляции устройств, используя технологии аппаратной виртуализации Intel.
Ключевые слова: виртуализация, информационная система, информационная безопасность.
Khrulev P. A.1, Bodrova A. A.2, Logvin V. L3
'Student, 2Student, 3Student, National Research University of Electronic Technology.
DEVELOPMENT OF SECURE INFORMATION SYSTEM BASED ON VIRTUALIZATION SERVER
Abstract
The article considers a development of enterprise secure information system based on virtualization server to protect it from unauthorized access, to reduce the costs of server deployment using Intel hardware virtualization technology.
Keywords: virtualization, information system, IT security.
В современном информационном обществе широко стоит вопрос защиты информации. Ежедневно совершается большое число попыток взлома информационных систем различного уровня защищенности. В каждой компании есть свои серверы, на которых содержится большое количество конфиденциальной информации. Овладев такой информацией, злоумышленник может использовать ее в своих целях. Например, он может украсть базу данных клиентов или же разработки новейшего технического средства. Поэтому, в каждой компании стараются защищать свои серверы с помощью различных средств. Одним из таких средств является использование виртуализации.
Виртуализация используется сравнительно недавно, но за короткий срок уже завоевала доверие у администраторов серверов. Ее использование позволило сократить издержки на покупку большого количества физического оборудования, а также значительно упростило эксплуатацию серверов. Например, чтобы иметь возможность быстрого восстановления системы, достаточно создавать снимки системы с определенным промежутком времени, и тогда, всегда можно будет вернуться к любому из состояний за пару минут.
Как же виртуализация помогает защитить информационную систему от несанкционированного доступа? Ответим на этот вопрос, рассмотрев создание защищенной информационной системы на базе сервера виртуализации.
В качестве вычислительного устройства сервера предлагается использовать процессор Intel, оснащенный технологиями аппаратной виртуализации VT-x и VT-d. Использование этих технологий позволяет обеспечить высокую производительность сервера, так как гостевые системы управляются монитором виртуальных машин напрямую, минуя хостовую операционную систему (далее ОС). Помимо этого, сервер должен обладать достаточным количеством оперативной памяти для работы нескольких виртуальных машин, а также большим объемом жесткого диска для хранения образов дисков виртуальных машин. На базе данного физического сервера можно запускать большое число виртуальных машин. Ресурсы сервера будут распределяться между ними.
Администрирование сервера может осуществляться как локально, так и удаленно. Удаленный доступ упрощает управление виртуальными машинами, так как администратору нет необходимости каждый раз приходить в серверную, особенно, если она находится под особым режимом защиты. Для обеспечения безопасности администрирования нужно проводить аутентификацию каждого администратора. В качестве аутентифицирующего носителя предлагается использование touch memory или смарт-карт. Поэтому, как сервер, так и компьютеры администраторов должны быть оснащены считывателями. На сервере находится база данных администраторов, а также определенная секретная информация по каждому из них. Соответственно, на каждом аутентифицирующем носителе находится информация, конкретно идентифицирующая каждого пользователя. Помимо этого в базе данных хранятся права каждого пользователя на определенные виртуальные машины. Например, один администратор может только включать/выключать определенную виртуальную машину. А другой - создавать снимки системы, добавлять новые устройства, выделять дополнительную память. Так можно создать определенную ролевую модель, в зависимости от потребностей компании-заказчика.
В случае удаленного администрирования нужно обеспечить защищенный канал связи между компьютером администратора и сервера. В данной системе предлагается использование криптографических сетевых адаптеров, использующих ассиметричную схему шифрования данных. Сетевой адаптер сервера шифрует и расшифровывает информацию на приватном ключе, в то время как клиентский сетевой адаптер использует публичный ключ. Помимо этого, можно защитить канал связи дополнительно, организовав VPN - соединение, используя набор протоколов для аутентификации и шифрования IPSec.
Для обеспечения безопасности сервера используется централизованное хранилище данных. Это хранилище защищено с помощью проходного шифратора дисков. Также такая организация позволяет создавать RAID-массивы для дублирования информации и обеспечения ее целостности. Образы виртуальных машин хранятся в этом хранилище. Каждая виртуальная машина может содержать десятки снимков ее предыдущих состояний, поэтому при взломе, к любому из них можно будет быстро возвратиться.
С помощью таких мер обеспечивается безопасность физического сервера, на котором работают виртуальные машины. Как же защитить их от несанкционированного доступа?
В первую очередь нужно сказать, что виртуальные машины создаются для работы на них определенного числа пользователей. Работа пользователя с виртуальной машиной осуществляется так же, как и с реальной. То есть при подключении к серверу пользователь никак не может узнать, работает ли он на физическом сервере или виртуальном. Поэтому в операционной системе на виртуальном сервере тоже нужно проводить процедуру аутентификации. Если установлена ОС Windows, то можно использовать контроллер домена, осуществляющий проверку подлинности каждого подключающегося клиента. В зависимости от нужд компании-заказчика, можно использовать, как только программную аутентификацию, используя уникальные логин и пароль, так и программно-аппаратную, используя данные с аутентифицирующего носителя каждого пользователя. Однако такой подход увеличивает стоимость и масштабируемость защищенной системы. Помимо этого в гостевой ОС возможна установка средства разграничения доступа. Данный программный продукт позволяет определять полномочия для каждого пользователя. Например, в ОС может быть два администратора, которым будет открыт доступ практически во все части системы. А остальные пользователи будут использовать только определенные наборы приложений. База данных для средства разграничения доступа может быть установлена как локально на данной ОС, так и в общем централизованном хранилище данных.
Для шифрования трафика между клиентами и виртуальными машинами также можно использовать криптографические сетевые адаптеры. Однако нельзя программно эмулировать такое сложное устройство, так как в него загружается определенный набор секретных ключей. Поэтому необходимо устанавливать свое сетевое устройство для каждой виртуальной машины и осуществлять его проброс. Такое решение может быть очень дорогим, поэтому применяется лишь в случаях очень сильной защиты.
120
Построение данной системы возможно, используя только open-source проекты. Это позволяет уменьшить стоимость системы, а также обеспечивает достаточно простое внесение изменений в систему в зависимости от нужд заказчика. В качестве хостоперационной системы физического сервера используется ОС Linux, собранная из новейшего ядра Linux, а также программ, требуемых для работы виртуализации. В качестве менеджера виртуальных машин используется open-source проект - Virtual Machine Manager. В качестве гипервизора используется QEMU. Эта программа позволяет эмулировать различные устройства. Для связи между менеджером и QEMU используется библиотека libvirt. Ее использование позволяет формировать командную строку для запуска QEMU, используя дружественный интерфейс Virtual Machine Manager.
Таким образом, использование виртуализации позволяет на одном физическом сервере установить большое количество виртуальных серверов, требуемых для работы организации. Каждый из этих серверов защищен от внешних атак путем шифрования трафика, а также введением двухфакторной аутентификации. Помимо этого, каждый виртуальный сервер содержит большое количество снимков и логов, что позволяет быстро восстановить его работоспособность в случае взлома. Информация каждого пользователя шифруется при его работе с сервером, что позволяет защитить ее от злоумышленника, не имеющего ключа для ее дешифрации. В общем случае, использование такой системы повышает безопасность информационной системы компании, а также уменьшает издержки на ее развертывание и поддержку.
Литература
1. Intel® 64 and IA-32 Architectures Software Developer’s Manual // Intel, 2014 // Официальный сайт INTEL [Электронный ресурс]
URL: http://www.intel.com/content/dam/www/public/us/en/documents/manuals/64-ia-32-architectures-software-developer-manual-
325462.pdf (дата обращения 30.03.2015).
2. QEMU Manual // QEMU // Официальный сайт QEMU [Электронный ресурс] URL: http://wiki.qemu.org/Manual (дата обращения 30.03.2015)
3. Robert Warnke, Thomas Ritzau Qemu-kvm & libvirt. Германия: Books on Demand GmbH, Norderstedt, 2010. - 276 с.
References
1. Intel® 64 and IA-32 Architectures Software Developer’s Manual // INTEL, 2014 // Oficial’nyj sajt INTEL [Jelektronnyj resurs] URL: http://www.intel.com/content/dam/www/public/us/en/documents/manuals/64-ia-32-architectures-software-developer-manual-325462.pdf (data obrashhenija 30.03.2015).
2. QEMU Manual // QEMU // Oficial’nyj sajt QEMU [Jelektronnyj resurs] URL: http://wiki.qemu.org/Manual (data obrashhenija 30.03.2015)
3. Robert Warnke, Thomas Ritzau Qemu-kvm & libvirt. Germany: Books on Demand GmbH, Norderstedt, 2010. - 276 s.
Шермухамедов А.А.1, Тогаев А.А.2
'Доктор технических наук, профессор; 2Аспирант, Ташкентский автомобильно-дорожный институт МЕТОДИКА РАСЧЕТ НАПРЯЖЕННО-ДЕФОРМИРОВАННОГО СОСТОЯНИЯ РАМНЫХ КОНСТРУКЦИЙ АВТОТРАКТОРНЫХ ПРИЦЕПОВ КАТЕГОРИИ О3 ПРИ РАЗЛИЧНЫХ ВНЕШНИХ ВОЗДЕЙСТВИЯХ
Аннотация
В статье на примере тракторного прицепа, грузоподъемностью 4 тонн рассматривается методика численного расчета напряженно-деформируемого состояния рамных конструкций автотракторных прицепов категории О3. На основе сопоставительного анализа, показано, что предложенная методика расчета напряженно-деформируемого состояния рамы даёт хорошее согласование с экспериментальными данными (максимальные значения напряжения в пределах 11%) и ее можно использовать при обосновании прочностных параметров автотракторных прицепов категории О3.
Ключевые слова: прицеп, рама, численный расчёт, дорожные условия, прочность, напряженно-деформируемое состояние.
Shermukhamedov A.A.1, Тоgаеv A.A.2
'Doctor of Technical Sciences, professor; ^Postgraduate student, Tashkent Automobile and Road Institute METHOD OF CALCULATING THE STRESS-STRAIN STATE OF FRAME STRUCTURES OF AUTOTRACTOR TRAILERS OF CATEGORY О3 AT VARIOUS EXTERNAL INFLUENCES
Abstract
In article on an example of the tractor trailer, load-carrying capacity of 4 tons considers the technique for numerical calculating the stress-strain state of the frame structures of autotractor trailers of category O3. On the basis of the comparative analysis, it is shown, that the offered method of calculating the stress-strain state of the frame gives the good coordination with experimental data (the maximum values ofpressure within 11 %) and it can be used at a substantiation durability parameters of autotractor trailers of category О3.
Keywords: trailer, frame, numerical calculation, road conditions, strength, stress-strain state.
Рама транспортной машины является основным несущим элементов конструкции, который воспринимает все нагрузки, возникающие при движении транспортного средства по дорогам и пересеченной местности. Кроме того, несущая система является основанием для крепления узлов и агрегатов машины, поэтому к ней предъявляются дополнительные требования и ее конструктивные формы должны быть подчинены общему компоновочному замыслу [1]. Расчёт рам на прочность является одной из важнейших задач при проектировании транспортных машин. Для того чтобы подчеркнуть актуальность проводимых исследований, отметим, что транспортное машиностроение, к сфере которого относится объект исследований, существенно отличается от других отраслей машиностроения. Его особенность состоит в том, что внешние нагрузки, действующие на конструкцию, переменны во времени и прилагаются с определенной частотой, зависящей от скорости движения, фактической нагрузки, состояния дороги и от многих других факторов. При этом во время эксплуатации возможны резонансные явления, которые могут привести к высоким, по отношению к номиналу, напряжениям и ко многим другим нежелательным явлениям. Переменный характер внешних нагрузок ведет к периодическому изменению напряжения, что, в свою очередь, способствует возникновению усталостных трещин, рост и развитие которых вызывает усталостное разрушение.
В работе на примере тракторного прицепа, грузоподъемностью 4 тонн рассматривается методика расчета напряженнодеформируемого состояния рамы прицепа. Предложенная методика позволит проведения прочностных расчетов разрабатываемых на Ташкентском тракторном заводе автотракторных прицепов, грузоподъемностью 6 и 8 тонн.
Рама состоит из двух лонжеронов и семи поперечин, которые представляют собой жесткие стержневые элементы замкнутого и незамкнутого контура и имеют довольно корытные тонкостенные профили поперечного сечения (рис. 1). Указанные элементы получены штамповкой из листового металла толщиной 4-6 мм. Рамы прицепов конструктивно выполняются по следующей компоновке: лонжероны соединены между собой поперечинами посредством сварки, образуя при этом рамную конструкцию; в передней части рамы изготавливается опорно-сцепной устройство; подвеска соединяется с лонжеронами с помощью рессор, упругих элементов.
121
