Архив статей журнала
В большинстве научных суперкомпьютерных центров (СКЦ) коллективного пользования обрабатывается открытая информация. Для ее защиты, как правило, применяются штатные технологии информационной безопасности, встроенные в используемые операционные системы, системы хранения данных, сетевые устройства. Наблюдается рост как числа угроз безопасности информации, так и проводимых в отношении СКЦ компьютерных атак и состоявшихся инцидентов, что несет для центров репутационные и финансовые риски. В статье рассмотрены особенности обработки информации в СКЦ, существенно ограничивающие применение известных мер и средств защиты информации. К таким особенностям отнесены свобода пользователя СКЦ в выборе инструментальных средств и прикладных программных пакетов для решения своих исследовательских задач, необходимость обеспечения максимальной скорости расчетов на предоставленных пользователям суперкомпьютерных ресурсах, ограниченность применения защищенных операционных систем и средств обновления системного программного обеспечения. Обоснована актуальность разработки комплексного системного подхода к защите информации, при котором достаточный уровень информационной безопасности СКЦ обеспечивается без существенных ограничений спектра и снижения качества предоставляемых пользователям услуг по высокопроизводительным вычислениям. Рассмотрены актуальные угрозы безопасности информации СКЦ, приведена классификация обрабатываемых данных, определен перечень актуальных мер защиты информации. С учетом исследованных особенностей защиты информации в СКЦ представлен вариант построения системы информационной безопасности центра, основанный на разделении информационно-вычислительной инфраструктуры центра на зоны безопасности и применении средств контроля сетевого периметра и анализа событий безопасности.
Рост требований к информационной безопасности, а также тенденция к импортозамещению в области системного ПО обусловили широкое распространение инфраструктурных решений, построенных на базе отечественной операционной системы Astra Linux Special Edition (Astra Linux SE). Применение Astra Linux SE позволяет строить защищенные программно-аппаратные системы для обработки информации ограниченного доступа, в том числе в научных суперкомпьютерных центрах. При этом одним из важнейших аспектов обеспечения информационной безопасности является контроль подключения USB-устройств к компьютерам в локальной вычислительной сети. Анализ доступных современных источников показывает, что готовых комплексных решений, работающих в среде Astra Linux SE, в настоящее время не существует. В статье рассмотрен возможный технологический стек подобного решения, включающий, помимо Astra Linux SE, систему организации очередей сообщений RabbitMQ, микрофреймворк для разработки web-приложений Flask, СУБД PostgreSQL, а также средство выявления подключений USB-устройств USBRip. Рассмотрена предложенная на базе технологического стека модульная структура программной системы аудита подключений USB-устройств, включающая модули сбора информации о USB-подключениях на контролируемых компьютерах, модуль агрегации собранной информации на серверной стороне и модуль проверки легитимности выявленных подключений USB-устройств к контролируемым компьютерам под управлением Astra Linux SE. Предложенные структура и технологический стек реализованы в виде макета программной системы, получившей название ALUMNUS. Макет был развернут и прошел опытную эксплуатацию в защищенном сегменте суперкомпьютера МВС-10П ОП, установленном в Межведомственном суперкомпьютерном центре РАН.