Концепция построения Единого Информационного Пространства ЕИП

Прикладные

к-т тех. наук Тихомиров А.В., Тимофеев С.Г., Джуромский Д.С.

1. Концепция построения.

  • Основой построения сети является системный подход, позволяющий создать эффективную структуру организации и взаимодействия подсистем и элементов сети.
  • Максимальное быстродействие и достоверность передаваемой информации.
  • Комплексная защита сети.
  • Минимальное количество аппаратных компонентов, образующих сеть.
  • Оперативное управление режимами работы сети.
  • Мониторинг и диагностика работы сети в реальном масштабе времени.
  • Оперативная замена текущего стека протоколов обмена информацией между элементами сети.
  • Моделирование работы сети в реальном масштабе времени.

2. Принципы функционирования основных компонентов сети.

2.1. Имитационное аппаратное моделирование информационных сетей в программируемых логических интегральных схемах (ПЛИС).

Программа визуализации и управления процессом моделирования на IBM совместимом компьютере.

  • автоматическое определение структуры сети и формирование графа состояния;
  • графическое представление структуры сети;
  • вывод статистических данных о состоянии моделируемой информационной сети в виде гистограмм, секторных диаграмм, таблиц, графиков;
  • разработка панелей управления процессом моделирования в ПЛИС, кнопки, меню, текстовый ввод;

Функциональные элементы имитационного аппаратного моделирования информационных сетей.

  • разработка аппаратного генератора транзактов имитирующего IP пакет ARP, ICMP, IP, TCP, UDP с заданным законом распределения ;
  • разработка аппаратных модулей формирования статистики прохождения транзакта модели через узел графа (коммутатор, маршрутизатор) моделируемой информационной сети;
  • разработка аппаратных модулей сбора данных с аппаратных модулей формирования статистики, формирование пакета с данными и передачи пакета по каналу Ethernet на управляющий компьютер;
  • разработка аппаратного модуля обеспечивающего прием команд из управляющего компьютера и отправку статистических данных о моделировании информационной сети по каналу Ethernet.
  • разработка аппаратного модуля моделирующего работу коммутатора (Узла сети);
  • разработка аппаратного модуля моделирующего очередь транзактов по их типу и приоритетности;
  • разработка аппаратного модуля, моделирующего задержку прохождения транзакта по ветви графа. (Задержка передачи данных в каналах связи)
  • разработка аппаратного модуля, обеспечивающего наращивание ресурса модели информационной сети.

2.2 Разработка технологии создания протоколов обмена информацией для организации взаимодействия между элементами сети.

Необходимость разработки технологии создания протоколов связана с тем, что современная информационная сеть находится в состоянии постоянного развития аппаратных компонентов, протоколов взаимодействия и требует максимального использования САПР.

Технология создания протоколов обмена информацией представляет собой автоматизированную экспертную систему с правилами построения системы протоколов, на основе которых создается соответствующая база данных. Она позволяет:

  • создавать базы данных, содержащих стек ранее созданных протоколов и новых протоколов обмена информацией.
  • моделировать взаимодействие подсистем информационной сети с различными типами протоколов.
  • моделировать конверторы преобразования из одного типа протокола в другой.

2.3. Создание единой модели безопасности, регулирующей взаимодействие в пределах всего ЕИП.

Принятая концепция безопасности позволяет:

  • Обеспечить в ЕИП гарантированное выполнение существующих инструкций доступа, хранения, транспортирования, обработки и уничтожения секретных материалов на уровне пакета.
  • Обеспечить гарантированную идентификацию абонента, его категорию доступа .
  • Обеспечить доступ к любой информации в разрешенном ему пространстве ЕИП в соответствии с его категорией доступа.
  • Обеспечить защиту от подключения к сети несанкционированных абонентов, от несанкционированного обращения к адресу, при имитации адреса, от подключения из сети с более низкой категории, прямое подключения между сетями с различными уровнями доступа, подключение от дискредитированного объекта, подмены абонента.
  • Обеспечить невозможность прочтения пакета, полученного каким -либо способом неадресуемым абонентом, или его трансляцию в систему.
  • Обеспечить документирование прохождения секретной информации (пакетов) между Системами и объектами.
  • Обеспечить гарантированный запрет доступа в систему не прописанного и не прошедшего идентификацию абонента (или пакета).
  • Обеспечение очередности прохождения пакетов в сети в зависимости от категории срочности.
  • Генерация ключей и средств безопасности.
  • Отслеживание состояния системы.
  • Осуществлять подконтрольный транзит с открытыми информационными системами.

3. Реализация ЕИП

3.1. Сетевая модель ЕИП

Сетевое пространство ЕИП формируют множество рабочих подразделений или сетевых сегментов, объединённых транспортными каналами. Рабочие подразделения выполняют множественные действия санкционированного обмена данными в пределах единой политики безопасности.

Одним из базовых элементов, контролирующим взаимодействие подсетей по транспортным каналам ЕИП, является коммутатор среды. Центральным элементом, определяющим атрибуты безопасности конкретных абонентов отдела рабочего подразделения и контролирующим санкционированность организации доступа, является Сервер доступа.

В качестве транспортных каналов, обеспечивающих обмен данными между рабочими подразделениями ЕИП, могут выступать различные среды передачи, реализующие индивидуальные протоколы взаимодействия. Для согласования протоколов рабочих подразделений и протоколов транспортных каналов используются преобразователи физической среды. Отработка план-приказа выбора активного канала подключения рабочего подразделения к ЕИП происходит средствами управления коммутатором среды. Задача мониторинга состояния внешних, внутренних каналов связи и работоспособности оборудования центра связи решается внедрением изолированного сервера мониторинга, подключаемого к узловым точкам сети (оборудование сетевой коммутации 3-его уровня). Используется пассивная технология слежения Netflow, совмещённая с методами анализа и принятия решений управления сетью - Qflow.

3.2. Сервер доступа

Работой отдельной подсети ЕИП руководит сервер доступа. Основной задачей этого сервера является организация шифрованного канала VPN типа между двумя структурными элементами сети. Соответственно после удачного прохождения процедуры аутентификации.

Модуль сервер доступа выполняет следующие функции:

  • Авторизации пользователей и организации с ними шифрованных VPN соединений;
  • Назначение пользователям атрибутов безопасности согласно установленным в БД описаниям признаков пользователей (на сервере авторизации);
  • Обеспечение доступа между подсетями ЕИП аналогичного уровня доступа;
  • Контроль и ограничение маршрутизации сетевых пакетов VPN согласно атрибутам безопасности, для реализации модели безопасности «доверенный круг доступа»;
  • Сбор информации о попытках авторизации, сетевой активности пользователей. Принятие действий или взаимодействие с автоматизированными сервисами безопасности.

3.3. Коммутатор среды (К-20)

Назначение: - объединение разнородных сегментов ЕИП и коммутация транспортных каналов; - организация высокоскоростной, эффективной локальной сети, обеспечивающей решение задач управления в реальном масштабе времени.

Коммутатор К20 представляет собой законченное устройство, предназначенное для осуществления коммутации на канальном уровне модели OSI. Маршруты прохода пакетов по сети из К20 задаются однозначно в базе связей «План – Приказ». Динамическая маршрутизация не используется, в целях защиты от несанкционированного доступа. База связей «План – Приказ» формируется администратором сети или специальным программным обеспечением. Администратор в графическом режиме формирует топологию сети, на основе статистических данных о загруженности каждого из каналов.

Основной технологией, применяемой в коммутаторах К20, является маршрутизация по меткам (так называемая MPLS коммутация). Благодаря этому решению удалось достичь более высокой скорости передачи информации по сети, по сравнению с традиционной IP маршрутизацией, а также защитить информационный обмен от перехвата и подмены пакетов.

Ключевыми элементами К20 являются ПЛИС от фирм Altera и Xilinx. С одной стороны, применение программируемой логики позволяет реализовать достаточно сложную, и в тоже время быструю, аппаратную обработку пакетов. С другой стороны - внутренняя структура ПЛИС может быть перепрограммирована для решения новых, актуальных задач.

Коммутаторы К20 делятся на два вида:

  • К20-Г – коммутатор, работающий непосредственно с оборудованием на границах сети.
  • К20-Т – коммутатор, работающий в составе транспортных сетей между К20-Г.

Функциональные возможности изделия:

  • Внедрение метки в сетевой кадр.
  • Внедрение в сетевой кадр признаков позволяющих определить принадлежность сетевого кадра к категории свой или чужой.
  • Маршрутизация сетевых кадров между транспортными каналами в соответствии с базой связей «План – Приказ».
  • Управление сетевыми кадрами согласно категории срочности.
  • Сбор и передача данных о сетевой активности на сервер хранения статистики.
  • Отказоустойчивость (резервирование ключевых узлов изделия).
  • Возможность удаленного обслуживания.
  • Функция передачи служебной информации повышенной важности.
  • Обмен служебной информацией для корректировки функций или изменения режима работы.

В состав коммутатора К-20 входит модуль сопряжения интерфейсов:

  • интерфейс Fibеr Channel, с пропускной способностью не менее 1Гбит/с;
  • интерфейс Ethernet FХ/TХ 100/1000 с пропускной способностью не менее 1Гбит/
  • интерфейсы Е0..Е4;
  • а так же следующие интерфейсные модули: «Манчестер-2», МКИО, RS232/485/422, С1, С2 и С2 спец.

Физическая реализация:

Благодаря модульному принципу наращивания и использованию передовых технологий, коммутатор К20 может быть исполнен в различных вариантах: от мобильного (размеры 15х15х4 см), до многофункционального (типоразмер корпуса 19, 4U). Предусмотрена возможность расширения числа каналов с 8 до 256 портов.

3.4. Кабинет ЦКС

Кабинет ЦКС это выделенная часть секретной подсети ЕИП предназначенная для содержания центра коммутации сообщений.

Структурно кабинет ЦКС является изолированной частью секретной подсети ЕИП. Кабинет ЦКС содержит АРМ операторской группы обслуживания и сервер ЦКС. Объединение с подсетью ЕИП происходит через дополнительный сетевой интерфейс сервера ЦКС.

Отдельным интерфейсом обслуживания сервера ЦКС являются стандартные телеграфные линии на базе технологии COM портов.

Для обмена сообщениями возможно использование следующих транспортных линии:

  • Телеграфные линии;
  • Широковещательная линия на базе безопасной сети ЕИП.

Подсеть операторской группы ЦКС находится в ведомстве механизма безопасности сервера ЦКС, обеспечивающий защиту от несанкционированного доступа к механизму обмена сообщениями.

3.5. Программа управления схемой маршрутизации «План-Приказ»

Возможности программного средства.

  1. Визуальное составление правил маршрутизации сетевого трафика через порты ввода-вывода одного узла связи на основе информации о номере порта ввода-вывода, адресов отправителя и получателя.
  2. Визуальное картографическое отображение и редактирование схемы маршрутизации сетевого трафика между узлами связи. Обеспечение наглядности, удобства, и простоты понимания структуры. Позволяет видеть все узлы связи, именовать их, просматривать и редактировать правила маршрутизации. На карте отображаются транспортные каналы связи, тип канала связи, (оптоволокно, радиомост, медный кабель, спутник) направление передачи данных, (односторонняя, двусторонняя) полоса пропускания. Объекты схемы можно добавлять, удалять, перемещать, детализировать, а также изменять их внешний вид.
  3. Возможность принятие в эксплуатацию установленных правил маршрутизации, как отдельного узла связи, так и всей схемы в целом.
  4. Обеспечение загрузки ранее сохранённых схем позволяет передавать правила ответственным лицам для ввода их в эксплуатацию ручным способом, когда нет прямого канала управления с оборудованием маршрутизации.

3.6. Мониторинг сетевой активности сегмента сети

Монитор сетевой активности представляет собой отделяемый компонент системы ЕИП, способный отслеживать сетевую активность с точностью до 1 пакета/байта переданных данных постфактум. При этом используются стандартные протоколы слежения за сетевой активностью семейства NetFlow (по UDP). Поскольку Монитор получает информацию о прохождении пакетов по сети постфактум с джитером до нескольких секунд (настраиваемая на большинстве маршрутизаторов величина), он прежде всего выполняет функции слежения и статистики.

https://nporit-strapi.hb.bizmrg.com/images/articles/eip_5.png

По результатам статистических измерений прохождения пакетов при помощи Монитора можно:

  • наблюдать за изменением средней величины пропускной способности сети;
  • выявлять «узкие места»;
  • нестандартные ситуации, связанные с прохождением большого количества «паразитного» трафика;
  • Производить статистический анализ сетевой активности с любым уровнем детализации (вплоть до индивидуальных UDP/TCP соединений);
  • Производить учет (IP-accounting) для клиентов, подключенных "по портам".
https://nporit-strapi.hb.bizmrg.com/images/articles/eip_6.png

Система состоит из 2х частей: интерфейс и ядро.

Модульное ядро написано на C++. Набор компонент ядра Монитора сетевой активности позволяет связывать ядро Монитора не только с биллинговой системой любой сложности, с широким спектром баз данных и любым набором и форматом хранимой информации, но и с другими программными комплексами, например, учета и слежения за состоянием оборудования.

Интерфейс Монитора (на основе веб-сервера Apache) представляет собой среду управления данными и параметрами, необходимыми для функционирования ядра Монитора, а так же среду просмотра собранной статистики по наблюдаемым объектам, 3D-модель сетей, систему сигнализации о внештатных ситуациях.

https://nporit-strapi.hb.bizmrg.com/images/articles/eip_7.png