Murakkab tizimlardagi chiziqli bo'lmagan hodisalar, jild.17,yo'q. 3 (2014 yil), 272 - 277-betlar
Grid tizimlari resurslarining maqsadlarini rasmiylashtirish
Ruxsatsiz kirishdan himoya qilish
MO Kalinin
∗
va AS Konoplev
†
Sankt-Peterburg davlat politexnika universiteti,
Politexnik ko'chasi, 29, 195251, Sankt-Peterburg, ROSSIYA
(2014 yil 31 martda olingan)
Maqolada Grid tizimlarida hisoblash resurslari va foydalanuvchi ma'lumotlari xavfsizligi muammosi
ko'rib chiqiladi. U Grid tizimi arxitekturasining xavfsizlik bilan bog'liq xususiyatlarini muhokama qiladi va
tahdid modelini taqdim etadi. Shuningdek, u Grid tizimlarining xavfsizligini yaxshilashga qaratilgan
usullarni ko'rib chiqadi va ularning kamchiliklarini ta'kidlaydi. Petri net-ga asoslangan Grid tizimining
spetsifikatsiyasi taklif qilingan, bu xavfsizlik siyosati talablariga muvofiq ish so'rovlarini taqsimlashni
modellashtirish va Grid tizimlarini ruxsatsiz kirishdan himoya qilish maqsadlarini rasmiylashtirish imkonini
beradi.
AMS mavzu tasnifi:68U35
Kalit so‘zlar:Grid tizimi, axborot xavfsizligi, kirishni boshqarish, model, xavfsizlik siyosati, Petri net
1.Kirish
protsessor vaqtini yoki xotirani sezilarli darajada talab
qiladigan vaqt talab qiladigan vazifalarni hal qilish uchun
ishlatiladi.
Hozirgi vaqtda tarmoq tizimlari taqsimlangan
hisoblash tizimlarining bir turi sifatida ilmiy va tijorat
sohalarida mehnat va resurslarni ko'p talab
qiladigan vazifalarni hal qilish uchun ishlatiladigan
etakchi texnologiyaga aylandi. Grid xostlari
tomonidan qayta ishlanadigan ma'lumotlarning
yuqori qiymati tufayli Grid tizimlari axborot
xavfsizligi aspektlariga qaratilgan.
To'r tizimi arxitekturasi protokollar stekining
ierarxik tashkil etilishini aks ettiradi [1], u har xil turdagi
hisoblash resurslari uchun asosiy protokollar (resurs
protokollari va aloqa protokollari) to'plamiga
asoslangan. Uning yuqori darajasini Grid tizimi
foydalanuvchilari bilan hamkorlik qilish uchun resurslar
va aloqa protokollaridan foydalanadigan ilovalar tashkil
etadi. Har qanday Grid tizimini amalga oshirish
quyidagi komponentlarni o'z ichiga oladi: grafik
foydalanuvchi interfeysiga ega kompyuterlar, resurs
provayderlari, alohida serverlarda ishlaydigan asosiy
xizmatlar. Foydalanuvchilar Grid tizimlarida hal
qilishlari mumkin bo'lgan vazifalar turlariga ko'ra,
uning resurslarini quyidagilarga ajratish mumkin:
2. Axborot resurslari. Ushbu resurslar Grid
tizimlari foydalanuvchilari uchun zarur bo'lib,
odatda masofaviy xost tizimlarida saqlanadi.
3. Dasturiy ta'minot resurslari. Ushbu manbalar
foydalanuvchilarga o'z muhitida mavjud
bo'lmagan dasturiy ta'minotdan foydalanish
imkoniyatini beradi.
4. Tarmoq resurslari. Bu aloqa vazifalari
uchun ishlatiladi.
Resurslarni almashish mexanizmi Grid tizimi
foydalanuvchilarining dinamik hamjamiyatlari bo'lgan,
ular hal qiladigan vazifalarga muvofiq birlashtirilgan
virtual tashkilotlar (VO) orqali amalga oshiriladi [2].
2. Grid tizimlari tahdid modeli
To‘r
markazlashmagan va heterojen xususiyatlar va
yuqori holat dinamikasi. Hisoblash va axborot
resurslarini himoya qilishni ta'minlash va kirishni
boshqarishning klassik modellaridan foydalanishni
qiyinlashtiradi. Bu xavfsizlik masalalari
tizimlari
bor
xarakterlanadi
tomonidan
1. Hisoblash resurslari. Bu resurslar
∗
E-mail:maxim.kalinin@ibks.ftk.spbstu.ru
†
E-mail:artem.konoplev@ibks.ftk.spbstu.ru
272
Translated from English to Uzbek - www.onlinedoctranslator.com
Tarmoq tizimlarining maqsadlarini rasmiylashtirish Resurslarni ruxsatsizlardan himoya qilish. . .273
ayniqsa Grid texnologiyasidan foydalangan holda
qurilgan muhim axborot va telekommunikatsiya
tizimlariga tegishli. Shunday qilib, biz Grid tizimlariga
hujumlarning quyidagi turlarini ajratib ko'rsatishimiz
mumkin (Grid tizimlari uchun tuzilgan umumiy tahdid
modeli 1-rasmda keltirilgan):
Natijada, Grid tizimining barcha birliklari
hujumlar ehtimolini yo'qotib, tahdid kelgan
muammoli blokni ajratib turadi (2-rasm).
Mashhur Grid muhitlarida (Globus Toolkit [4],
UNICORE [5], gLite [6], Gridbus [7] va BOINC [8])
amalga oshirilgan xizmatlarni ko'rib chiqish xavfsizlik
funksiyasi hozirda avtorizatsiya va autentifikatsiya [9]
bilan cheklanganligini ko'rsatadi. . Ushbu xavfsizlik
mexanizmlari ruxsatsiz foydalanuvchilar va
komponentlar tomonidan tizimga ulanish hujumlariga
qarshi turishga qaratilgan.
Hisoblash platformasi Grid tizimi maxsus
serverlarga emas, balki shaxsiy kompyuterlarning
mahalliy tarmog'iga asoslangan (bulutli hisoblash
tizimlarida qo'llaniladi). Shunday qilib, Grid tizimi
foydalanuvchi ma'lumotlarini ruxsatsiz kirishdan
himoya qilishning muhim vazifasi belgilangan
ma'lumotlarni xost muhiti ta'siridan izolyatsiya
qilishdir. Shuning uchun Grid tizim birliklari ishonchli
apparat va dasturiy ta'minot platformasidan
foydalanadi [10] va zararli jarayonlardan va kiruvchi
imtiyozli mahalliy foydalanuvchilarni xost muhitidan
himoya qilishga yordam beradi.
•
Xizmatni rad etish hujumlariasosiy Grid tizimi xizmatlariga
tarmoq hujumlaridir. Ular vakolatli komponentni Grid
tizimidan uzish uchun majburlashlari mumkin.
Shuningdek, ular Grid tizimining ortiqcha yuklanishiga
olib kelishi mumkin, bu esa foydalanuvchilar va
xizmatlarning ishiga xalaqit berishi mumkin.
•
Zararli dasturlarni tarqatishBu ham muhim
muammodir, chunki Grid tizimlari taqsimlangan
hisoblashni amalga oshirish uchun qonuniy
kanallarni taqdim etadi.
•
Ruxsatsiz kirishGrid tizimi resurslariga.
Ham vakolatli foydalanuvchilar, ham Grid
tizimlarining tarkibiy qismlari va tashqi
tajovuzkorlar sabab bo'lishi mumkin.
Ruxsatsiz kirishning quyidagi turlari har
qanday Grid tizimiga xosdir:
-
ruxsatsiz foydalanuvchi yoki tizim
komponentiga ulanish (ruxsatsiz -
sertifikati ishonchli sertifikatlashtirish
markazi tomonidan berilmagan
komponent);
3. Grid tizimlarida kirishni boshqarish
Foydalanuvchining kirishini boshqarish
mexanizmi sifatida Grid tizimlari "sub'ekt-ob'ekt-kirish
huquqlari" shaklida kirish qoidalarini boshqaradigan
axborot xavfsizligi siyosatini amalga oshiradi. Axborot
xavfsizligi siyosati talablariga rioya etilishi
foydalanuvchilarning Grid tizimlarining maʼlumotlari va
resurslariga kirishini monitoring qilish va nazorat qilish
orqali kafolatlanadi. Grid tizimlarining heterojenligi,
foydalanuvchi autentifikatsiyasining bir nechta
mexanizmlariga ega bo'lishi va markazlashtirilgan
xavfsizlik serverining yo'qligi kirishni boshqarishning
klassik modellarini amalga oshirishni qiyinlashtiradi.
Qog'oz [11] Grid tizimlarida kirishni boshqarishning
mantiqiy modelini taqdim etadi, bu esa hisoblash
resurslariga kirish uchun foydalanuvchi
autentifikatsiyasining turli mexanizmlarini hisobga
olgan holda Grid tizimida axborot xavfsizligi siyosatini
aniqlash imkonini beradi. Bunday holda, Grid tizimi
holatlar to'plami sifatida taqdim etiladi.
-
xost jarayonlari va xost muhiti foydalanuvchilari
tomonidan Grid tizimi foydalanuvchi
ma'lumotlariga kirishga urinishlar;
-
foydalanuvchi, Grid tizimi ilovasi yoki xizmati
tomonidan ruxsat etilgan ruxsatdan oshib
ketishga urinish.
Xizmatni rad etish hujumlarini va zararli dasturlarni
tarqatishni oldini olish uchun Grid tizimlari xavfsizlik
menejerlari deb ataladigan dasturiy-apparat komponentlarini
o'rnatilgan bosqinlarni aniqlash tizimlari, xavfsizlik devorlari
va antivirus dasturlari bilan jalb qiladi [3]. Xavfsizlik
menejerlari tajovuz sodir bo'lganda ogohlantirishlarni
tarqatadigan maxsus liniyalar bilan bog'langan. Har bir birlik
ogohlantirish olgandan so'ng, uni o'z nazorati ostidagi barcha
resurs provayderlariga takrorlaydi.
Murakkab tizimlardagi chiziqli bo'lmagan hodisalar jild. 17, yo'q. 3, 2014 yil
274
MO Kalinin va AS Konoplev
ANJIR. 1: Umumiy tarmoq tizimi tahdid modeli.
Shunday qilib, Grid tizimlari xavfsizlik holatlarining
statik tavsifi Grid tizimlarida foydalanuvchilar,
ilovalar yoki xizmatlar tomonidan ruxsat etilgan
ruxsatdan oshib ketishga urinishlar tahdidini
bartaraf etish uchun etarli emas. Foydalanuvchi
so'rovlarini dinamik taqsimlashni simulyatsiya qilish
kerak. Mualliflar axborot xavfsizligi siyosati
talablariga muvofiq hisoblash resurslarini taqdim
etish bo'yicha foydalanuvchi so'rovlarini xavfsiz
taqsimlash asosida Grid tizimi resurslarini ruxsatsiz
kirishdan himoya qilish yondashuvini taklif qiladilar.
Ushbu yondashuv xost muhitida oldindan
belgilangan munosabatlar tavsifini ta'minlaydi va
funktsional rangli Petri tarmoqlarining matematik
vositalaridan foydalangan holda Grid tizimi holatlari
dinamikasini hisobga oladi.
of) rangli Petri tarmoqlari ma'lum turdagi
resursni ta'minlash uchun Grid tizimi
foydalanuvchi so'rovlarini bildiradi. Grafikning
cho'qqilari orasidagi har bir o'tish ehtimollik
funktsiyasi bilan ifodalanadi (masalan, yorliqning
navbatda turish vaqti).
Keling, bitta resurs provayderi bilan Grid tizimining eng
oddiy misolini ko'rib chiqaylik (4-rasmga qarang).
M
1
va uchta
xost tizimi. Umuman olganda, foydalanuvchilar to'plami
Uva
cho'qqilar to'plami
Mmos kelmasligi mumkin. Buning sababi,
bir nechta foydalanuvchi bir xil Grid tizimi tugunini
boshqarishi mumkin. Boshqa tomondan, ba'zi tugunlarda
ruxsat berilgan foydalanuvchi bo'lmasligi mumkin, ammo
ma'lum bir tugundagi hisoblash resurslari Grid tizimiga
kiritilishi mumkin. O'rtacha, bitta Grid tizimi foydalanuvchisi
bitta xost tizimiga murojaat qilsin. Faraz qilaylik, barcha
foydalanuvchi so'rovlari resurs provayderi orqali o'tadi
M
1
, va
faqat bitta foydalanuvchi
U
1
vazifani boshlashi mumkin.
Shunga qaramay, belgilangan vazifa har doim boshqa xost
tizimlari tomonidan bajarilishi mumkin
U
2
va
U
3
.
Tarmoq tizimining tugunlari (resurs provayderlari)
chekli bo'sh bo'lmagan cho'qqilar to'plami sifatida taqdim
etiladi
M
=
{m
i
}
Grafik bilan aniqlangan Petri tarmog'ining
c
=
(
M, T,∗
)qayerda
T
=
{t
i
}
- grafikning cho'qqilari orasidagi
o'tishlar to'plami. Tokenlar (markerlar
Nelineynye yavleniya v slojnyx sistemax T. 17, № 3, 2014 yil
Tarmoq tizimlarining maqsadlarini rasmiylashtirish Resurslarni ruxsatsizlardan himoya qilish. . .275
ANJIR. 2: Grid tizimlarida amalga oshirilgan tarmoq hujumiga qarshi choralar.
ANJIR. 3: Petri to'rlaridan foydalanadigan Grid tizimlariga misol.
Mayli
t
i
bir Grid tizimi tugunidan ikkinchisiga o'tish
ehtimoli belgisi bo'lsin. Ushbu misolda
t
0
=1,chunki Grid
tizimi faqat bitta resurs provayderiga ega va barcha
foydalanuvchi so'rovlari ushbu provayder orqali o'tadi.
Shunday qilib,
t
4
va
t
5
ehtimolliklar, birliklarning hisoblash
quvvati
U
2
va
U
3
foydalanuvchi vazifasini bajarish uchun
kerak bo'ladi.
t
3
foydalanuvchi vazifasi uchun ikkita xost
tizimining birlashgan hisoblash quvvatlari kerak bo'lish
ehtimoli. Bunday vaziyat har biri o'z xost tizimida
o'rnatilgan ikkita dastur bitta vazifani bajarish uchun
talab qilinganda yuzaga kelishi mumkin.
t
4
va
t
5
Tegishli
xost tizimida topshiriq muvaffaqiyatli bajarilishi, kerakli
natija foydalanuvchiga qaytarilishi ehtimoli.
U
1
. Petri
tarmog'ining dastlabki belgisi vektor bilan tavsiflanadi
mk
= (
mk
(
M
1
)
, . . . , mk
(
M
n
))qayerda
n
hisoblanadi
Petri to'rlarining pozitsiyalari soni. 3-rasmdagi
Petri to'ri uchun vektor
mk= (1,0,0,0)mos keladi.
Haqiqiy Grid tizimida, odatda, bir nechta resurs
provayderlari mavjud bo'lib, har bir resurs
provayderiga ma'lum miqdordagi foydalanuvchilar
ulangan (masalan, 5-rasm). Bundan tashqari, resurs
provayderlari vazifalarni o'zaro taqsimlashlari
mumkin (o'tishlar
t
31
va
t
32
) ikki holatda:
1. Resurs provayderi faol so‘rovlarning
ruxsat etilgan maksimal soniga yetdi.
Bunday holda, resurs provayderlari
o'rtasida yuk balansi sodir bo'ladi.
2. Resurs provayderiga ulangan xost tizimi
resurslarning kerakli turiga (yoki
miqdoriga) ega emas. Bunday holda,
so'rovlarning bir qismi boshqa mos
keladigan resurs provayderiga uzatiladi.
Murakkab tizimlardagi chiziqli bo'lmagan hodisalar jild. 17, yo'q. 3, 2014 yil
276
MO Kalinin va AS Konoplev
Grafikning cho'qqilari orasidagi funktsiya
o'tishlari ushbu Grid tizimi modelida ehtimollik bilan
aniqlanadi. Bu axborot xavfsizligi siyosati talablari
bilan belgilangan cheklovlarni hisobga olmaydi. Biz
o'tishlar to'plamiga ta'sir qiluvchi funktsiya shaklini
aniqlaydigan funktsional Petri tarmoqlariga
murojaat qilamiz.
{t
ij
}, shunday qilib, tokenlarni bir
grafik cho'qqisidan ikkinchisiga o'tkazganda,
berilgan cheklovlarga muvofiqligi tekshiriladi. ning
to'plamini ko'rib chiqing
Huquqlar(cheklovlar),
axborot xavfsizligi siyosati talablarida ko'rsatilgan,
shuningdek oldindan belgilangan to'plami
Munosabatlar, ya'ni so'rovlar to'plami (Petri net
token), ular hozirda belgilangan Grid tizimi tugunida
mavjud. Keling, token turini belgilaymiz
T=⟨F, A⟩
qayerda
FGrid tizimi foydalanuvchisi (hisoblash
resurslari, foydalanuvchi ma'lumotlari va boshqalar)
tomonidan so'raladigan resurslar sinfidir va
A
axborot xavfsizligi siyosatiga muvofiqligini tekshirish
uchun foydalaniladigan xavfsizlik atributlari.
Masalan, 4-rasmda ikkita sinf resurslarini
taqdim etish bo'yicha so'rovlarga mos keladigan
tokenlar ko'rsatilgan.
U
1
va
U
4
, mos ravishda.
Xavfsizlik atributlari so'rovni boshlagan
foydalanuvchi identifikatorlari:
U⊆A. Grafikning
uchlari uchun qo'llaniladi
c, kortejTGrid tizimi
hisoblash tugunining turini aniqlaydi.
Foydalanuvchi vazifasini tugundan ko'chirish
m
i
tugunga
m
j
uchun yetarli shartlarning
bajarilishini bildiradi
t
ij
o'tish otishmasi. Biz
operatorni tanishtiramiz ro'tishlar to'plamiga
ta'sir qiladi
{t
ij
}: r:⟨U, M, Huquqlar, munosabatlar⟩
→{TRUE, FALSE}.
Belgilangan operatorning domenini belgilaydigan
parametrlar o'zgaruvchilardir. Operatorning
rasmiylashtirilishi, shuningdek, ushbu parametrlarning
operator diapazonida mavjudligi yoki yo'qligi bizga quyidagi
ma'lumotlar to'plamini aniqlashga imkon beradi.
Grid
tizimlarining resurslarini ruxsatsiz kirishdan himoya qilish
uchun mo'ljallangan dastur vazifalari:
axborot xavfsizligi siyosati talablarini hisobga
olish. Shunday qilib, tizimning har bir holati
axborot xavfsizligi siyosati talablariga javob
beradigan bo'lsa, Grid tizimlarining hisoblash
resurslarini ta'minlash uchun foydalanuvchi
so'rovlarini xavfsiz taqsimlashning zaruriy
sharti amalga oshiriladi.
2.Axborot xavfsizligi siyosati talablarini
tekshirish vazifasi.
U, M, Huquqlar
to'plamlari va diapazoni berilgan r
operatori ma'lum. Ushbu parametrlar
axborot xavfsizligi siyosati talablaridan
chetga chiqishga olib keladigan oldindan
belgilangan munosabatlarni aniqlash
muammosini hal qilish imkonini beradi.
3.Grid tizimlarining vazifasi xavfsiz
konfiguratsiya.
U, M, Huquqlarto'plamlar
berilgan va r operatorining diapazoni ma'lum.
Ushbu parametrlar bizga xavfsiz Grid
tizimining holati uchun tavsifni yaratishga
imkon beradi, undan keyin axborot xavfsizligi
siyosatiga muvofiq Grid tizimlarini sozlash
jarayonini avtomatlashtirish uchun
foydalanish mumkin.
4.Xavfsizlikni buzuvchilarni aniqlash vazifasi.
M,
HuquqlarvaMunosabatlarto'plamlar
beriladi. Ushbu parametrlar axborot
xavfsizligi siyosati talablarini buzuvchi
harakatlarni amalga oshiruvchi kirish
sub'ektlarini (Grid tizimi foydalanuvchilari)
aniqlashni ta'minlaydi.
4. Xulosa
Resurs provayderida ishlaydigan tarmoq tizimi maxsus
xizmati foydalanuvchi vazifalarini bajarish uchun mos bo'lgan
xostlarni qidirishni amalga oshiradi. Shuning uchun, bu
muammolarni hal qilish uchun r operatori belgilangan
xizmatga birlashtirilgan bo'lishi kerak. Shunday qilib, qachon
1.Foydalanuvchining vazifasi xavfsiz tarqatishni
talab qiladi.Berilgan to'plamlar
U, M,
Huquqlar, munosabatlar
. Ushbu parametrlarning
mavjudligi foydalanuvchi tomonidan o'rnatilgan
so'rovlarni bajarish uchun xost tizimlarini topish
algoritmini yaratishga imkon beradi.
faqat mavjudligi emas, balki mos tugunni tanlash
va asosiy qurilma ixtiyorida bo'lgan tarmoq
tizimi resurslarining turi, shuningdek, axborot
xavfsizligi siyosatining talablari, resurslardan
foydalanishga ruxsat beruvchi yoki taqiqlovchi
Nelineynye yavleniya v slojnyx sistemax T. 17, № 3, 2014 yil
Tarmoq tizimlarining maqsadlarini rasmiylashtirish Resurslarni ruxsatsizlardan himoya qilish. . .277
ANJIR. 4: Grid tizimi resurslari va hisoblash tugunlarining turlari (ikkita resurs provayderi bilan misol).
so'rovni boshlagan foydalanuvchi uchun
belgilangan tizim tugunida.
Belgilangan vazifalarni rasmiy hal qilish va bir
qismi sifatida dasturiy modulni amalga oshirish
Resurs provayderi xavfsizlikni tahlil qilish jarayonini
avtomatlashtiradi va Grid tizimlarining yuqori
darajadagi ishonchliligi va xavfsizligini ta'minlaydi.
Ma'lumotnomalar
[1] I. Foster, C. Kesselman.
Grid: Yangi hisoblash
infratuzilmasi uchun reja.(2-nashr). (Morgan
Kaufmann, 2004).
[2] Globus xavfsizlik jamoasi. Globus Toolkit
Version 4 Grid Security Infratuzilmasi:
Standartlar istiqboli. Internet-resurs:
globus.org/toolkit/docs/4.0/security/GT4-GSI-
Overview.pdf.
[3] Internet-resurs:
www.unicore.eu
.
[4] A. Sciaba, S. Burke, S. Campana, E. Lanciotti,
M. Litmaat, PM Lorenzo, V. Miccio, C. Nater,
R. Santinelli. Glite 3.2 foydalanuvchi qo'llanmasi. (CERN,
2011).
[5] R. Buyya, S. Venugopal. Xizmatga yo'naltirilgan
tarmoq va yordamchi dasturlar uchun Gridbus
asboblar to'plami: umumiy ko'rinish va holat
hisoboti. In:
Tarmoq iqtisodiyoti va biznes modellari
bo'yicha IEEE 1-xalqaro seminari materiallari,
Seul,
Koreya, 2004 yil 23 aprel (IEEE, 2004).
[6] Internet-resurs:
boinc.berkeley.edu
[7] MO Kalinin, AS Konoplev, IA Markov.
Grid-tizimlarda axborot xavfsizligi siyosatining
amalga oshirilishini monitoring qilish. In:
"Rossiya
mintaqalarining axborot xavfsizligi (ISRR-2011)"
materiallari.
(SPOISU, Sankt-Peterburg, 2011).
[8] R. Alfieri, R. Cecchini, V. Ciaschini, L.
Dell'Agnello, A. Frohner, A. Gianoli, K. Lorentey,
F. Spataro.
VOMS, virtual tashkilotlar uchun
avtorizatsiya tizimi.Informatika fanidan
ma'ruza matnlari. (Springer, 2003).
[9] Shanshan Song, Kay Xvang, Mikin Makvan.
Tarmoqli
hisoblashda xavfsizlikni ta'minlash uchun noaniq
ishonch integratsiyasi.
(Springer, 2004).
[10] H. Lohr, HV Ramasamy, A. Sadegi, S. Schulz, M.
Shunter, C. Stuble.
Ishonchli virtualizatsiya yordamida
tarmoq xavfsizligini oshirish.
Informatika fanidan
ma'ruza matnlari. (Springer, 2007).
[11] MO Kalinin, IA Markov. Grid-tizimlarda xavfsizlik
siyosati talablarini tekshirish. Axborot
xavfsizligi muammolari. Kompyuter tizimlari. №
2, 9 (2011 yil).
Murakkab tizimlardagi chiziqli bo'lmagan hodisalar jild. 17, yo'q. 3, 2014 yil
|