РАСПРЕДЕЛЕННЫЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ Ю.И.Шокин, А.М.Федотов Институт вычислительных технологий СО РАН Новосибирск Исследования по данной теме выполнялись в рамках проектов РФФИ 97-07-90372 и 98-01-00772. Содержание Введение Internet/Intranet технологии Технология построения информационных систем Взаимодействие с БД Информационная система СО РАН Информационные ресурсы Электронная библиотека СО РАН ГИС и технологии Internet ГИС и технологии Internet в СО РАН Безопаснось и защита информационных систем Реализация безопасности Протоколы шифрования Введение В условиях современного динамического развития общества, усложнения технической и социальной инфраструктуры информация становится таким же стратегическим ресурсом, как традиционные материальные и энергетические ресурсы. Современные информационные технологии, позволяющие создавать, хранить, перерабатывать и обеспечивать эффективные способы представления информационных ресурсов потребителю, стали важным фактором жизни общества и средством повышения эффективности управления всеми сферами общественной деятельности. Уровень использования информации становится одним из существенных факторов успешного экономического развития и конкурентоспособности региона как на внутреннем, так и на внешнем рынке. Введение Осознание мировым сообществом роли информации как стратегического ресурса стимулировало разработки новых информационных технологий как для получения и переработки больших объемов информации, так и для ее хранения и предоставления пользователям. Первое место среди новых технологий занимают сетевые информационные технологии. Информация является важнейшим стратегическим ресурсом и наибольший экономический и социальный успех сегодня сопутствует тем странам, которые активно используют современные средства компьютерных коммуникаций и сетей, информационных технологий и систем управления информационными ресурсами. В докладе освещаются вопросы создания распределенных информационных систем Сибирского Отделения РАН. Internet/Intranet технологии Использование Internet/Intranet технологии при построении информационных систем как общего назначения так и специализированных в ближайшее время станет доминирующим в мировом информационном пространстве по следующим простым причинам: Организованная с достаточной простотой для пользователя система поиска нужной информации. Минимальные требования как с технической стороны так и со стороны программного обеспечения к рабочему месту клиента (клиент работает со стандартным программным обеспечением и единственным требованием является поддержка работы стандартного WWW просмотрщика - браузера). Internet/Intranet технологии Поддержка распределенной системы хранения информации и множественных методов ее хранения. Работа с практически объемом разноплановых графика, изображение, векторные карты и др.). Технологически простой способ администрирования информационных систем с одного рабочего места. Поддержка удаленных методов редактирования и пополнения информации. неограниченным данных (текст, звук, видео, Internet/Intranet технологии Основной принцип построения информационных систем, с использованием Intranet идеологии, заключается в организации системы доступа к информации через WWW сервис Internet. Клиенты Технология построения информационных систем Основной принцип, заложенный в Intranet технологию построения информационных систем заключается в разделении вычислительных ресурсов как между серверами так и между серверами и клиентами. Реализация этого принципа основывается на использовании HTTP-SQL интерфейса для формирования запросов пользователя на получения информации. Рассматриваемая технология позволяет удачно сочетать возможности гипертекстового оформления информации и использование современных СУБД. Причем со стороны клиента вы имеете возможность полностью унифицировать запросы как на поиск и представление информации, так и на получение аналитических справок и данных из информационных систем. Технология построения информационных систем С другой стороны данная технология позволяет использовать в сетевом режиме уже имеющиеся базы данных, не затрачивая средства на их унификацию и приведение к единому стандарту. Основные затраты здесь направлены только на соответствующие описания баз данных и запросов для HTTP-SQL сервера. Используемые базы данных могут находится на различных машинах, расположенных на произвольном расстоянии друг от друга. Использование данной технологии позволяет решать весь спектр задач, присущий информационной системе, включая удаленный ввод и редактирование данных. Математическое обеспечение для организации HTTP-SQL сервера является свободно распространяемым как для MS Windows NT, так и для некомерческих UNIX платформ. Технология построения информационных систем СУБД можно использовать либо те, которые есть в наличии, либо приобретать сетевые (Informix, Oracle, MS SQL). Для несетевых СУБД HTTP-SQL или TS (сервер транзакций) должны работать на одной машине, на которой работает используемая вами СУБД. Proxy WWW SQL Web сервер SQL сервер Посредник Шлюз AS Cервер приложений TS Сервер транзакций Взаимодействие с БД Взаимодействие с БД WWW сервера может быть огранизовано двумя способами: С использованием Сервера Транзакций Взаимодействие с БД Использование сервера. API интерфейса Клиент WWW JDBC CGI или API программа ODBC База данных СУБД WWW Взаимодействие с БД Использование сервера. API интерфейса HTML документ Клиент WWW сервер запрос Сервер приложений Appl ГИС система (сервер) БД WWW Взаимодействие с БД Организация доверительных БД - работа через машину-посредник (шлюз) Internet Шлюз SQL Шлюз БД БД БД БД SQL Информационная система СО РАН Данная технология была использована при построении Информационной системы СО РАН. Создание информационной системы Сибирского отделения направлено на: Создание единой информационной среды Отделения, основанной на современных сетевых средствах и перспективных информационных технологиях. Информационное обеспечение проведения исследований по фундаментальным и прикладным направлениям, проводимым в институтах Отделения, а также межинститутских междисциплинарных научных исследований. Поддержку профессионально-ориентированных систем подготовки и обмена научных документов с элементами удаленной совместной работы. Поддержку профессионально-ориентированных систем доступа и интерфейсов с банками данных и автоматизированными библиотеками. Информационная система СО РАН Поддержку перспективных систем телекооперации исследователей на базе современных телекоммуникационных и инфрмационных технологий. Коллективное использование приобретаемой электронной литературы, реферативных журналов и т.п. Ведение электронных каталогов и оглавлений научных периодических изданий, выходящих в мире. Поддержку электронных версий научных журналов, издаваемых институтами Отделения. Издание собственных электронных журналов, книг, препринтов и дайджестов по различным направлениям научных исследований. Поддержку принятия и реализации организационных и управленческих решений в Отделении. Информационные ресурсы Информационный WWW сервер Сибирского отделения РАН Информационные ресурсы Информационный WWW сервер Сибирского Отделения РАН http://www-sbras.nsc.ru/ содержит разнообразную информацию о деятельности Сибирского Отделения: научно-исследовательские и конструкторско-технологические институты; основные результаты исследований; интеллектуальный (научный) потенциал Сибири и СО РАН; конференции СО РАН; поддержка исследований в области математики; важнейшие разработки Институтов СО РАН, предлагаемые для широкого использования; "Сеть Internet Новосибирского научного центра'', а также справочные материалы по информационным ресурсам, правовой базе науки, информатизации и др. Информационные ресурсы В настоящий момент в СО РАН сформирована программа, состящая из пакета проектов под общим названием “ЭЛЕКТРОННАЯ БИБЛИОТЕКА СИБИРСКОГО ОТДЕЛЕНИЯ РАН” (cм. http://www-sbras.nsc.ru/win/elbib/). Информационно-телекоммуникационная среда Отделения (акад. Шокин Ю.И., проект РФФИ 97-07-90372) Методологические основы и разработка нормативной базы использования электронных библиотек (д.ф.н. Целищев В.В.) Система информационной безопасности полнотекстовых баз данных в среде Интернет. (д.ф.-м.н. Федотов А.М., проект РФФИ 98-01-00772) Создание электронной библиотеки ГПНТБ СО РАН (д.т.н. Елепов Б.С.). Электронные журналы по математике - полнотекстовые базы данных научных публикаций (акад. Шокин Ю.И.). Электронная библиотека "Электронный атлас Биоразнообразие животного и растительного мира Сибири" (д.ф.-м.н. Федотов А.М.). Информационные ресурсы Электронная библиотека СО РАН Интегральная электронная библиотека по пространственным структурам и функциям ДНК, РНК и белков (д.б.н. Колчанов Н.А.). Создание интегрированной информационной системы по Наукам о Земле СО РАН (к.ф.-м.н. Жижимов О.Л.). Объединенная информационная система по химическим наукам СО РАН (акад. Пармон В.Н.). Электронные ресурсы сибирской и мировой археологии и этнографии (д.и.н. Холюшкин Ю.П., д.ф.-м.н. Федотов А.М.). Обеспечение унифицированного доступа к разнородным коллекциям и информационным ресурсам на основе технологии CORBA (д.ф.-м.н. Марчук А.Г.). Информационная система поддержки исследований в области математики (акад. Шокин Ю.И., д.ф.-м.н. Федотов А.М., проект INTAS IA-003). Электронная библиотека Электронная библиотека Электронная библиотека Электронная библиотека Электронная библиотека Электронная библиотека Электронная библиотека Электронная библиотека ГИС и технологии Internet Использование технологий Internet позволяет объединять в единую информационную систему данные, расположенные в различных местах Internetпространства. Для пользователя, который получает доступ в Internet, не имеет значения, где расположены эти источники информации. Осуществляя навигацию по карте он может легко переходить от карты одного района к карте другого, не подозревая, что данные могут быть расположены на разных серверах сети. создание распределенных ГИС, объединяющих данные, расположенные на различных серверах сети Internet. Internet технологии предоставляют следующие возможности для ГИС: простота администрирования сложных распределенных ГИС, отпадает необходимость тиражировать данные и программное обеспечение, их обновление выполняется на местах у держателей той или иной информации. ГИС и технологии Internet интерфейс пользователя является унифицированным, т.к. для работы программы на клиентском компьютере используется стандартный WEB - браузер (Internet Explorer или Netscape), иногда - со встроенным картографическим компонентом (PlugIn + Java приложения). простота установки программного обеспечения клиента, которое может устанавливаться (или обновляться на более новую версию) автоматически при входе на информационную страницу. минимальная стоимость получения ГИСинформации для конечного пользователя. ГИС и технологии Internet Принципы построения ГИС ориентированных информационных систем в Internet можно классифицировать по трем основным способам хранения и передачи пространственных данных: Хранение и передача пространственных данных в виде растровых изображений. Хранение пространственных данных в векторном формате в некоторой ГИС-технологии, а передача их в растровом формате. Этот подход используется в большинстве случаев (например, Internet Map Server фирмы ESRI), т.к. позволяет без дополнительного программного обеспечения у клиента реализовать систему для Internet. На основе этого подхода реализованы различные информационно-справочные системы, в которых не играет особой роли время отклика системы на запрос, связанный с отображением вида карты и качество полученной карты. ГИС и технологии Internet Создание интерактивной ГИС для Internet на основе архитектуры client/ server с полностью векторным способом хранения и передачи пространственных данных и отображение последних с использованием активных клиентских приложений. Последний подход имеет ряд преимуществ, т.к. обеспечивает все достоинства векторных карт и приемлемое время доступа к пространственным данным при интерактивной работе с электронной картой в условиях низкой пропускной способности каналов связи, при этом позволяет осуществить избирательный принцип защиты информации (ограничения доступа) на уровне отдельных картографических слоев. ГИС и технологии Internet При отображении электронной карты на клиентском месте можно использовать отдельные слои карты и связанные с картой атрибутивные базы данных, которые располагаются в различных базах данных, расположенных разных серверах сети Internet. Это позволяет различным держателям картографической информации хранить собственные материалы на своих серверах и предоставлять к ним доступ определенным группам пользователей. верторный формат более экономичен при передачи данных по сети; интерактивная работа с картой с возможностью формирования пространственных запросов по отдельным объектам; многослойное представление карты с возможностью управления слоями карты при помощи легенды; ГИС и технологии Internet возможность отображения слоев карты только на заданных диапазонах масштабов визуализации; многократное использование данных, ранее полученных пользователем, без повторного обращения к серверу (кэширование данных); высокое качество изображения векторной карты, независимо от масштаба отображения. Однако при работе в среде Intranet (в локальной сети или с хорошими каналами связи) более выгодно переложить работу с клиента на сервер. ГИС и технологии Internet в СО РАН Основное внимание в “Электронной библиотеке СО РАН” в области геоинформационных технологий уделяется проектам, направленным на последовательное создание тематических баз пространственных данных в различных областях науки (например, описания коллекции золотых самородков Якутского геологического института, создания баз данных и карт растительности, ареалов распространения видов, археологических памятников и др.). Электронная библиотека Биоразнообразие Растительного мира Сибири Семейство Сосновые ЕЛЬ СИБИРСКАЯ PICEA OBOVATA LEDEB Хвойное, вечнознленое дерево. Основной лесообразователь темнохвойных лесов. Предпочитает увлажненные места обитания, растет по руслам рек и ручьев. Электронная библиотека Биоразнообразие Растительного мира Сибири Электронная библиотека Золотые пояса Якутии Электронная библиотека Золотые пояса Якутии Электронная библиотека Золотые пояса Якутии ГИС и технологии Internet в СО РАН Непременным условием вкючения какого-либо проекта в программу создания информационных ресурсов СО РАН является предоставление полной внешней спецификации на создаваемую базу данных, ее интероперабельность, открытость по доступу в среде Internet для сотрудников всего Сибирского Отделения, а также возможность распространения на компактдисках (и других носителях), т.е. создание коллекции на полностью некоммерческой основе. ГИС и технологии Internet Автомобильные дороги Новосибирской области ГИС и технологии Internet Автомобильные дороги Новосибирской области ГИС и технологии Internet Автомобильные дороги Новосибирской области Безопасность Вхождение России в мировое информационное пространство через информационные сети общего пользования, каковой является сеть Интернет, создало проблему обеспечения безопасности различных информационных систем и создаваемых информационных ресурсов, а также организации управления информационными ресурсами и их содержанием. Определяющим фактором интеграции в единое информационное пространство различных информационных систем и ресурсов является обеспечение должного уровня информационной безопасности, которая включает следующий комплекс мероприятий и технических решений по защите информации. Защита от нарушения функционирования сети путем исключения воздействия на информационные каналы, каналы сигнализации, управление и удаленную загрузку баз данных, коммуникационное оборудование, системное и прикладное програмное обеспечение; от несанкционированного доступа к информации путем обнаружения и ликвидации попыток использования ресурсов сети, приводящих к нарушению целостности сети и информации, изменению функционирования подсистем распределения информации; от разрушения встраиваемых средств защиты с возможностью доказательства неправомочности действий пользователей и обслуживающего персонала сети; от внедрения программных "вирусов" и "закладок" в программные продукты и технические средства. Защита Internet с удручающей периодичностью потрясают скандалы, суть которых можно выразить простым словосочетанием: хищение (или порча) информации. Эта ситуация не устраивает многих пользователей, в первую очередь тех, кто тяготеет к коммерческому использованию практически неограниченных ресурсов Internet. Но Internet не был бы Internet'ом, если бы в его недрах не родилось решение, отвечающее выставляемым жизнью проблемам. Причем, технические идеи предлагаемых решений обладает общностью, позволяющей говорить о том, что Internet после их внедрения по степени безопасности может превзойти даже специализированные закрытые корпоративные сети. Защита Информационная безопасность Internet определяется особенностями базовых коммуникационной (TCP/IP) и операционной платформ (UNIX). TCP/IP обладает высокой совместимостью как с различными по физической природе и скоростным характеристикам каналами, так и с широким кругом аппаратных платформ; кроме того, этот протокол в равной мере эффективно работает как в локальных сетях, так и в региональных и глобальных сетях; совокупность этих характеристик делает протокол TCP/IP уникальным средством для интеграции больших распределенных гетерогенных информационных систем. Второй аспект защиты, связан с принятием чисто организационно-технологических мер построения сетей и информационных систем. Реализация систем безопасности конверсии технологий информационной безопасности и защиты информации и информационных систем, телекоммуникационной среды от несанкционированного использования и воздействий; обеспечения защиты ресурсов за счет параллельного доступа к управляющим базам данных и проверки полномочий при обращении к ресурсам сети; реконфигурации сетей, узлов и каналов связи; организации замкнутых подсетей и адресных групп; развития специализированных защищенных компьютеров, локальных вычислительных сетей и корпоративных сетевых сегментов (что особено важно для разработчиков информационных систем); Реализация систем безопасности обеспечения защиты технических средств и помещений от утечки по побочным каналам и от возможного внедрения в них электронных устройств съема информации; развития и использования технологий подтверждения подлинности объектов данных, пользователей и источников сообщений; использования протоколов шифрования IP пакетов, систем шифрования учетных данных и прав доступа к информации, передача информации с использованием секретных ключей; применения технологий обнаружения целостности объектов данных. Реализация систем безопасности Таким образом, реализация системы защиты информации и информационных ресурсов распадается на три независимые задачи: Обеспечение системы целостности информации и информационных систем. Организация авторизованного доступа к информации. Недопустимости появления в открытом доступе информации, составляющей государственную тайну или имеющую конфидициальный характер. Защита на уровне IP пакетов Технологический уровень защиты (Модель OSI) Пакеты изымаются или пропускаются Прикладно й Презентационный Прикладно й Презентационный Прикладно й Презентационный Сеансовый Сеансовый Сеансовый Транспортный Транспортный Транспортный Сетевой Сетевой Канальный Канальный Канальный Физический Физический Физический Сетевой Сервер Машрутизатор Клиент Защита на уровне машины посредника (брандмаузер) Административный уровень защиты (контекстная проверка) Просмотр пакетов с целью принятия решения Анализ пакетов Прикладно й Презентационный Прикладно й Презентационный Прикладно й Презентационный Сеансовый Сеансовый Сеансовый Транспортный Транспортный Транспортный Сетевой Сетевой Канальный Канальный Канальный Физический Физический Физический Сетевой Сервер Механизм проверки Клиент Шлюз уровня приложений (proxy - посредник) Програмный уровень защиты Шлюз выступает в качестве промежуточного звена между Информационной системой и клиентом Telnet FTP E-mail HTTP Прикладно й Презентационный Прикладно й Презентационный Сеансовый Сеансовый Сеансовый Транспортный Транспортный Транспортный Сетевой Сетевой Канальный Канальный Канальный Физический Физический Физический Сетевой Сервер Посредник Прикладно й Презентационный Клиент Протоколы шифрования Протокол, управляющий шифрованием трафика SKIP (Simple Key management for Internet Protocol) и созданный на его основе масштабируемый ряд продуктов защиты информации (ряд программных реализаций протокола SKIP для базовых аппаратно-программных платформ, устройство коллективной защиты локальной сети SKIPBridge, устройство сегментирования сетей и обеспечения регулируемой политики безопасности SunScreen). Протокол управления криптоключами SKIP. SKIP (Simple Key mamagement for Internet Protocol - Простой протокол управления криптоключами в интерсети) разработан компанией Sun Microsystems в 1994 году и предложен в качестве стандарта Internet. На 33-й сессии "законодательного органа" Internet - комиссии Internet Engineering Task Force (IETF), прошедшей в июле этого года в Стокгольме была создана рабочая группа по протоколу SKIP, что можно считать первым шагом к принятию SKIP в качестве стандарта. Протоколы шифрования В основе SKIP лежит криптография открытых ключей. SKIP имеет, по сравнению с существующими системами шифрования трафика ряд уникальных особенностей: SKIP универсален: он шифрует IP-пакеты, не зная ничего о приложениях, пользователях или процессах. SKIP сеансонезависим: (за исключением однажды и навсегда запрошенного открытого ключа партнера по связи) SKIP независим от системы шифрования (в том смысле, что различные системы шифрования могут подсоединяться к системе, как внешние библиотечные модули); пользователь может выбирать любой из предлагаемых поставщиком или использовать свой алгоритм шифрования информации; могут использоваться различные (в разной степени защищенные) алгоритмы шифрования для закрытия пакетного ключа и собственно данных.