Регистрация / Вход
Прислать материал

14.576.21.0078

Аннотация скачать
Постер скачать
Общие сведения
Номер
14.576.21.0078
Тематическое направление
Информационно-телекоммуникационные системы
Исполнитель проекта
Общество с ограниченной ответственностью "Воронежский инновационно-технологический центр"
Название доклада
Разработка новых принципов построения инфраструктуры безопасности распределенных информационно-вычислительных систем на основе открытых протоколов
Докладчик
Радько Дмитрий Владимирович
Тезисы доклада
Цели и задачи исследования
Целью выполнения прикладных научных исследований является разработка комплекса новых научно-технических решений в области создания программного обеспечения инфраструктуры безопасности распределенных информационно-вычислительных систем (РИВС) на основе открытых протоколов прикладного уровня, позволяющего существенно упростить использование РИВС для конечных пользователей, а также эксплуатацию (администрирование) инфраструктуры, при условии обеспечения безопасности РИВС на уровне или превосходящем уровень систем, построенных с использованием инфраструктуры открытых ключей.
Актуальность и новизна исследования
В реализации распределенных информационных систем остро стоит вопрос об обеспечении высокого уровня информационной безопасности данных систем, поскольку они оперируют важными или конфиденциальными данными, и элементы данных систем находятся в разных физических местах, для коммуникации с которыми используются открытые стандарты и протоколы сети Интернет. Существующие распределенные информационные системы реализованы на базе различных архитектурно-технологических плат-формах, которые, как правило, не отвечают современным вызовам в области обеспечения высокого уровня информационной безопасности. Кроме того, актуален вопрос об интеграции данных систем с корпоративными информационными системами, и обеспечения высокого уровня безопасности исполь-зуемых интеграционных решений.
Новизна решений, используемых в разработке платформы безопасности РИВС складывается из следующих составляющих:
- Реализация алгоритмов и методов аутентификации и авторизации пользователей на базе сессионного ключа с ограниченным данной сессией временем действия и проверки подписи по хэшу данных;
- Реализация алгоритмов и методов унифицированного управления пользовательскими сессиями в распределенной среде на базе грид, облачных, кластерных, виртуальных технологий;
- Реализация комплексного подхода к обеспечению безопасности информационных ресурсов РИВС, включая поддержку доступа с различных категорий пользователей, прикладных сервисов, моделей данных;
- Возможность интеграции с промышленными стандартами безопасности, в том числе WS-I, SSO, Kerberos, и обеспечение единой точки доступа к ресурсам РИВС и корпоративным информационным системам.
Описание исследования

В основу разработанного подхода обеспечения безопасности информационно-вычислительных систем положен принцип централизованного доступа к распределенным ресурсам с помощью выделения специализированного сервера безопасности, который обеспечивает выполнение следующих функций:
- Выполнение процедуры установки соединения, аутентификации, авто-ризации конечных пользователей и прикладных сервисов на базе ком-плексного подхода, обеспечивающего гибкие механизмы настройки и адаптация алгоритмов обеспечения функций безопасного доступа;
- Поддержка схем аутентификации и авторизации конечных пользовате-лей на базе настраиваемых веб-форм;
- Поддержка схем аутентификации и авторизации веб-служб, реализо-ванных на базе стандартов SOAP\REST\WSS;
- Поддержка настраиваемых схем управления временем жизни пользова-тельских сессий и ресурсов;
- Обеспечение безопасного обмена сообщениями с помощью подписан-ных хешей для исключения подмены запросов и содержимого переда-ваемой информации;
- Предоставление гибкого программного интерфейса обеспечения функ-ции информационной безопасности РИВС на базе отрытых стандартов SOAP\REST\WSS;
- Предоставление графического пользовательского интерфейса для настройки функции информационной безопасности РИВС.

Прикладная архитектура инфраструктуры безопасности РИВС состоит из следующих основных подсистем:
- Подсистема управления доступом – обеспечивает управление доступом пользователей к распределённым информационным системам и ресурсам, включая функции регистрации пользователей, управление учетными записями и правами пользователей, делегирование прав;
- Подсистема управления идентификацией – обеспечивает механизмы проверки подлинности заявленного пользователя на базе открытых стандартов, и предоставление соответствующих полномочий для доступа к ресурсам РИВС;
- Подсистема управления пользовательскими сессиями – обеспечивает механизмы управления пользовательскими данными в распределенной информационной среде;                                                                                                                           
- Подсистема управления мониторингом и аудитом – обеспечивает механизмы сбора и учета информации о действиях пользователей и состоянии инфраструктуры безопасности РИВС;                                                                                                                               
- Подсистема управления целостностью и доступностью данных – обеспечивает механизмы защиты инфраструктуры безопасности РИВС от несанкционированных попыток модификации информационных потоков, и попыток вывода из строя элементов инфраструктуры безопасности РИВС;
- Подсистема управления информационными потоками – обеспечивает механизмы организации безопасного интеграционного взаимодействия с внешними распределенными информационными системами и источниками данных;
- Подсистема прикладных сервисов – обеспечивает реализацию прикладного программного интерфейса для доступа к сервисам инфраструктуры безопасности РИВС из внешних приложений.

Результаты исследования

В ходе выполнения прикладных научных исследований были получены следующие основные результаты:
- Разработаны новые принципы построения систем безопасности информационно-вычислительных систем включающие:
применение сессионного ключа с ограниченным данной сессией временем действия для повышения надежности системы от несанкционированного доступа и использование подписанных хешей для исключения подмены запросов в РИВС и содержимого передаваемой информации;
- Разработаны методики построения инфраструктуры безопасности РИВС;
- Разработана архитектура инфраструктуры безопасности РИВС;
- Реализованы базовые алгоритмы, в том числе: алгоритм аутентификации пользователей с использованием пары логин-пароль и секретного сессионного ключа; алгоритм регистрации новых пользователей РИВС; алгоритм авторизации пользователей с использованием принадлежности пользователя к группам и его ролям в них для определения прав доступа пользователей к ресурсам; алгоритм делегирования прав пользователя, полученного на основе упрощенной аутентификации и авторизации веб-сервисов, входящим в состав РИВС;
- Выполнена программная реализация экспериментального образца программного комплекса инфраструктуры безопасности РИВС;
- Проведены экспериментальные исследования, потвердевшие соответствие разработанного экспериментального образца программного комплекса инфраструктуры безопасности РИВС условиям технического задания.

Практическая значимость исследования
Программный комплекс инфраструктуры безопасности распределенных информационно-вычислительных систем предназначен для обеспечения информационной безопасности распределённых информационно-вычислительных систем и предоставляет инфраструктуру, реализующую следующие основные функции: управление доступом и идентификацией пользователей, управление пользовательскими сессиями, мониторинг и аудит пользователей и ресурсов, управление целостностью и доступностью данных, управление информационными потоками, предоставление прикладного программного интерфейса для доступа к сервисам комплекса из внешних приложений.
Программный комплекс инфраструктуры безопасности распределенных информационно-вычислительных систем позволяет:
­- Исключить возможность доступа к ресурсам РИВС без знания постоянного и сессионного ключа;
­- Исключить возможность подмены сторонним злоумышленником запроса или изменения передаваемой информации, посланного авторизованным пользователем;
­- Исключить возможность использования полученных незаконным способом электронных мандатов вне рамок текущей сессии взаимодействия пользователя с РИВС;
­- Обеспечить разделение прав пользователей (исключить возможность получения прав другого пользователя);
­- Обеспечить единый контекст информационной безопасности для интеграции распределенных информационных систем в единый ИТ-ландшафт предприятия.
Внедрение программного комплекса инфраструктуры безопасности распределенных информационно-вычислительных систем позволит:
­- Увеличить надежность, масштабируемость, производительность подсистемы информационной безопасности;
­- Снизить затраты на администрирование и аудит подсистемы информацион-ной безопасности;
­- Уменьшить затраты на системную интеграцию корпоративных приложений;
­- Уменьшить стоимость владения распределенными информационными системами.