поиск по сайту
Обработка данных различных уровней конфиденциальности в локальных вычислительных сетях на основе технологии наложенных сетей с помощью программно - аппаратных средств семейства "Аккорд".

Обработка данных различных уровней конфиденциальности в локальных вычислительных сетях на основе технологии наложенных сетей с помощью программно - аппаратных средств семейства "Аккорд".

Д.Ю. Счастный, Россия, Москва, ОКБ САПР

Бурное развитие информационных технологий привело к тому, что довольно часто в единой вычислительной сети обрабатываются данные различных уровней конфиденциальности. Эта ситуация является следствием того, что в процессе создания автоматизированных систем обработки данных (АСОД) вопросам информационной безопасности уделялось недостаточно внимания в угоду простоте и удобству работы конечных пользователей. Но после создания и отладки АСОД вопросы информационной безопасности выходят на передний план. И при таком положении дел применение типовых решений защиты информации представляет определенные трудности.

Основной проблемой в данном случае является практическая невозможность трансформации существующей кабельной структуры АСОД. То есть, физически выделить сегменты локальной вычислительной сети, обрабатывающие данные одного уровня конфиденциальности, весьма затруднительно. В качестве решения этой проблемы можно предложить выделение компьютеров, обрабатывающих данные одного уровня конфиденциальности, в некую логическую подсеть. В этой логической подсети компьютеры должны будут осуществлять штатный обмен данными только между собой. Обмен же данными между такими логическими подсетями должен будет осуществляться в соответствии с некоторыми специальными правилами. Таким образом, получается, что единая физическая сеть разбивается на совокупность наложенных сетей.

Выделением наложенных сетей, обрабатывающих данные одного уровня конфиденциальности, мы решаем одну проблему - разделение потоков информации. Второй весьма существенной проблемой является передача данных в открытом виде по общей кабельной структуре. Необходимо напомнить, что в сетевое взаимодействие осуществляется в соответствии со строгими правилами по четким и хорошо документированным протоколам. Все данные, передаваемые по сети, разбиваются на части (сетевые пакеты) и передаются в открытом виде. Эти сетевые пакеты можно достаточно легко подслушать и сохранить для последующего анализа и восстановления. Для затруднения процесса несанкционированного восстановления передаваемых данных необходимо их кодировать специальным образом, так чтобы правильно и быстро их декодировать мог только тот, кому они были предназначены. Таким образом, мы защищаем наложенные сети от несанкционированного доступа к данным.

Итак, выделив рабочие станции, обрабатывающие данные одного уровня конфиденциальности, и объединив их логическую подсеть, а также закодировав обмен данными на уровне сетевых пакетов, - то есть создав защищенные наложенные сети (ЗНС) - мы решаем проблему обработки данных разных уровней конфиденциальности в локальной вычислительной сети.

Очевидно, что программно-технические решения, реализующие технологию ЗНС, не должны вносить существенных накладных расходов в обмен данными между рабочими станциями, оставаясь в тоже время, достаточно надежными.

Фильтрацию сетевых пакетов нужно проводить на уровне сетевого адаптера. Это позволит не зависеть от реализаций протоколов сетевого уровня, оставаясь на фундаменте сетевых пакетов. Модель NDIS, разработанная компанией MicroSoft для сетевого взаимодействия, поддерживает такие драйвера, называемые промежуточными драйверами NDIS (NDIS intermediate drivers). Драйверу протокола этот драйвер представляется драйвером сетевого адаптера, а драйверу сетевого адаптера - драйвером протокола. Промежуточные драйвера NDIS видят весь сетевой трафик и могут корректно осуществлять фильтрацию всех сетевых пакетов. В качестве критерия фильтрации используется сетевой адрес входящих и исходящих пакетов. Так как промежуточные драйвера NDIS видят весь сетевой трафик, то они могут осуществлять и кодирование/декодирование исходящих и входящих сетевых пакетов.

Однако, для повышения защищенности наложенных сетей операции кодирования/декодирования должны быть достаточно трудоемкими и надежными, что плохо согласуется с требованиями минимизации накладных расходов. В качестве решения этой проблемы предлагается использовать контроллер "Аккорд СБ", выполненный как PCI контроллер. Выполняя процедуры кодирования/декодирования достаточно быстро, он не занимает время основного процессора рабочей станции, так как все вычисления осуществляет на собственном процессоре. Кроме того, обладая собственной памятью, контроллер позволяет хранить данные, необходимые для корректной работы всего комплекса.

Таким образом, можно заявить, что защищенные наложенные сети на базе программно-аппаратных средств семейства "Аккорд" позволяют осуществлять обработку данных различных уровней конфиденциальности в локальных вычислительных сетях.


ФорумФорум
Форум ОКБ САПР
ОбучениеОбучение
Кафедра «Защита информации» ФРТК МФТИ и собственные курсы стажировок по нашей продукции.