Содержание к диссертации
Введение
1 Современное состояние мобильных корпоративных сетей 9
1.1 Корпоративные информационные системы и критерии их качества 9
1.1.1 Типы архитектуры кис 9
1.1.2 Эффективность информационных систем 16
1.2 Мобильные устройства в корпоративных информационных сетях 18
1.2.1 Мобильные технологии в жизни корпораций 18
1.2.2 Мобильные платформы 20
1.2.3 Состав и средства реализации мкс 23
1.2.4 Мобильная безопасность 25
1.3 Система критериев и показателей качества мкс 29
1.4 Результаты и выводы к главе 1 35
2 Средства и методы управления мобильными корпоративными сетями 36
2.1 Концепции организации и управления мкс 36
2.1.1 BYOD 36
2.1.2 CYOD 40
2.1.3 СОРЕ 41
2.2 Сравнительный анализ концепций управления МКС 42
2.2.1 Модификация интегральной оценки концепций 44
2.3 Сравнительный анализ систем и платформ управления мкс
2.3.1 Sapafaria 49
2.3.2 MDM Microsoft systemcenter 50
2.3.3 Решения symantec для мкс 51
2.3.4 Citrix xenmobile 52
2.3.5 Siemens enterprise communications 54
2.3.6 Mobilesputnik 55
2.4 Результаты и выводы к главе 2 57
3 Методика управления качеством мобильных корпоративных сетей на основе концепции BYOD 58
3.1 Концепция параллельной многоконтурной безопасности .58
3.2 Постановка задачи управления 59
3.3 Комплексный алгоритм аутентификации 61
3.4 Способы задания величин 62
3.5 Информационные модели объектов мкс 65
3.6 Оценка качества мкс 67
3.7 Протокол групповой идентификации 69
3.7.1 Протокол QSPN 69
3.7.2 Групповая подпись на основе билинейных отображений 72
3.7.3 Криптографическая схема сертифицированной подписи (ссп)
3.7.4 Обнаружение маршрутов и трассировка 73
3.7.5 Обновление карты маршрутизации 75
3.7.6 Шифрование на основе тегов 81
3.7.7 QSPN оптимизация. несовместимые маршруты 82
3.7.8 Протокол групповой подписи на основе доказательства с нулевым разглашением 84
3.8 Результаты и выводы к главе 3 87
4 Реализация и опытное внедрение платформы управления МКС 89
4.1 Концепция и архитектура платформы управления качеством МКС 89
4.1.1 Процесс проектирования платформы управления мкс 90
4.1.2 Разработка модулей платформы управления мкс 93
4.2 Результаты опытного внедрения методики 98
4.3 Результаты и выводы к главе 4 101
Заключение 103
Список используемой литературы 105
- Мобильные устройства в корпоративных информационных сетях
- Сравнительный анализ концепций управления МКС
- Способы задания величин
- Результаты опытного внедрения методики
Мобильные устройства в корпоративных информационных сетях
Bring Your Own Device (перевод: «принеси свое устройство») — наиболее сложная из рассматриваемых концепций. BYOD означает лишь то, что сотрудник предприятия использует свое личное (мобильное) устройство, в том числе и для рабочих задач — неважно, в каком объеме, с ведома работодателя или без его разрешения (рис. 6). Выделено 3 сценария использования личных устройств согласно концепции BYOD [30]: - сценарий 1: сотрудник использует свое устройство на рабочем месте только для собственных нужд и периодических (личных) телефонных звонков, однако при необходимости работодатель может через него связаться с сотрудником в нерабочее время. - сценарий 2: сотрудник использует свое устройство, в том числе и для рабочих задач — он получает доступ к корпоративной сети, может загружать электронную почту, информацию о событиях из календаря и BYOD контактные данные (услуги связи при этом оплачиваются самим сотрудником, а работодатель компенсирует его расходы). - сценарий 3: сотрудник использует свое устройство в том числе и для рабочих задач, но договор на оказание услуг связи заключается и оплачивается работодателем.
Сценарий 1 наиболее релевантен с точки зрения трудового права, причем он сравнительно прост в реализации: по возможности должны быть четко сформулированы правила регламентации телефонных разговоров в рабочее время и вне его. Подробные «правила игры» и четкие границы необходимы, иначе сотрудник, доступный по личному телефону, может восприниматься работодателем как «служба экстренного реагирования» или как специалист с «расширенным рабочим графиком», в результате чего на него обрушивается поток звонков и электронных писем, а начальник ожидает незамедлительной ответной реакции.
Кроме того, необходимо проверить и урегулировать использование такими устройствами корпоративной сети WLAN и их соответствие установленным требованиям к безопасности.
Если предприятие разрешает использование личных устройств, это позволяет значительно сократить расходы на приобретение оборудования. Хотя расходы пользователей личных устройств зачастую компенсируются, все равно на начальных вложениях удается заметно сэкономить. Однако затраты на администрирование и техническую поддержку таких устройств, могут значительно возрасти — особенно если необходимо обеспечить поддержку большого количества разных операционных систем и типов оборудования, которые к тому же часто меняются. Многие сотрудники предпочитают пользоваться только самыми современными устройствами, что не всегда совпадает с предусмотренными условиями субсидирования или запланированными сроками использования
При реализации сценариев 2 и 3 возникает ряд правовых вопросов, связанных с ответственностью, имущественной принадлежностью, а также распределением обязанностей по техническому обслуживанию и администрированию мобильных устройств (Mobile Device Management, MDM) (рис.7).
В случае со вторым сценарием необходимо решить, какую именно политику выбрать в отношении, как правило, уже активно допускаемой практики BYOD: запретить ее официально, терпеть или осознанно развивать и регулировать с помощью дополнительных письменных соглашений с сотрудниками.
С правовой точки зрения концепция BYOD представляет собой самое опасное «минное поле», поэтому на практике ее следует реализовывать только в рамках четко заданных политик и регламентов ИТ и с заключением письменных соглашений, утвержденных руководством предприятия.
Помимо сложностей технического плана возникает множество вопросов правового и концептуального характера: 1)До какой степени корпоративные правила безопасности могут ограничивать функционал личных устройств? 2) Кто несет ответственность за личные данные на устройстве, если в случае его кражи отделу ИТ придется удалить всю информацию? 3)Что произойдет, если сотрудник превысит установленные объемы трафика и возникнут дополнительные расходы?
В соответствии с концепцией Choose Your Own Device (перевод: «выбери свое устройство») предприятие предоставляет своим сотрудникам те устройства, которые оно само приобрело, с уже оформленным договором на оказание услуг связи [30]. Сотрудник при этом может выбрать из предложенного ассортимента мобильных телефонов, смартфонов или планшетных ПК тот аппарат, который лучше всего соответствует его рабочим задачам и личным предпочтениям. В отличие от концепций BYOD и СОРЕ, из названия этого подхода неясно, можно ли использовать устройство, являющееся собственностью предприятия, в личных целях. Соответственно, следует различать более «строгую» концепцию CYOD, допускающую использование корпоративных устройств исключительно для работы, и более мягкий вариант, разрешающий их эксплуатацию в личных целях. При этом использование устройства всегда должно соответствовать корпоративным директивам и правилам MDM.
При модели CYOD работодателю приходится нести расходы на приобретение аппаратного обеспечения, зато ограниченный выбор устройств позволяет ему достаточно эффективно управлять затратами на их обслуживание и техническую поддержку. Необходимо установить четкие правила в отношении возможностей использования устройств и сроков их службы.
Поскольку работодатель приобретает устройства самостоятельно, он может избежать множества ловушек, если ограничит их использование исключительно рабочими задачами. Если же разрешить применение в личных целях, то возникают те же проблемы, что и в случае с BYOD, а также вопросы, связанные с налогообложением получаемой финансовой выгоды и с лицензионно-правовыми аспектами в отношении смешанного использования ПО и контента (музыки или видео). Поэтому и здесь требуется четко сформулированный регламент, где будут перечислены все правила. Кроме того, необходимо оговорить перечень поддерживаемых устройств, разрешенных программ и приложений, а также установить границы для личного использования. В последнем случае речь идет о регулировании рабочего времени и о финансовых рисках, к примеру о затратах на роуминг. 2.1.3 СОРЕ
Наименее известным термином является СОРЕ. Аббревиатура фразы Corporate-Owned, Personally Enabled (перевод: «корпоративные устройства, доступные персонально») означает следующее: как в случае с CYOD, предприятие предоставляет сотруднику смартфон или планшетный ПК — обычно с разрешением на использование этого устройства в личных целях [30]. Однако сотрудник самостоятельно отвечает за его настройку и текущее техническое обслуживание, поэтому концепция СОРЕ может применяться, только если пользователи обладают достаточными знаниями и навыками обращения с устройствами, операционными системами и их сервисным обслуживанием.
Сравнительный анализ концепций управления МКС
Основой протокола QSPN [115] является Tracer Packet (ТР) (рис. 14). Это пакет, который содержит в себе идентификаторы узлов, через которые он прошел. Этот пакет не отправляется кому-то конкретно. Вместо этого, создается трейс поток. Фраза «узел А отправил трейс пакет», значит, что «узел А начал трассировку». Только узел - менеджер группы может начинать трассировку, т.к. анонимный узел может легко сформировать ТР с ложными путями и информацией о связях в сети. При атаке достаточно просто создать временный локальный ущерб, благодаря распределенной природе QSPN. Однако оптимальным решением этой проблемы, является предотвращение этих атак за счет регламентов и алгоритмов групповой подписи.
При каждом подключении устройства к сети, оно генерирует новую пару ключей групповой подписи. Непрерывная генерация ключей предотвращает утечку анонимности узлов. Узел распространяет его открытый ключ групповой подписи на все остальные узлы своей группы.
Каждая запись добавляется в ТР (рис. 15) затем подписывается закрытым ключом, что позволяет другим узлам проверить подлинность ТР и пути, пройденные ТР. Размер, необходимый для хранения подписей в ТР, является постоянным при использовании совокупную подпись МКС.
На сегодняшний день совокупная подпись МКС для протокола QSPN не реализована. Предлагается реализовать ее как групповую подпись на основе билинейных отображений. Начало
Алгоритм QSPN трассировки. 3.7.2 Групповая подпись на основе билинейных отображений Большинство схем групповой подписи создаются с помощью билинейных отображений. Чтобы построить пару нам требуется 3 конечные замкнутые группы, которые обозначим как GlfG2n GT. Определим отображение є, а Є 6ЪЬ Є Glf e(af Ь) Є GT.
Построим ССП на основе билинейных групп. Есть две части этой схемы: сертификация и подписание. Для подписания используется объединение схем подписи из [33] и [35], чтобы получить сертифицированную схему подписи, которая является одновременно эффективной и опирающейся только на общие групповые операции после получения группового идентификатора по протоколу QSPN (обозначен как/?).
Маршрутный набор (МН) узла S является множеством всех ТР, которые будут направлены или направляются по узлу S вовремя потока ТР. Сначала ТР этого МН, полученный от общего узла D, будет охватывать самый быстрый маршрут, соединяющий S и D. Маршрут S D является самым быстрым, потому что имеет минимальный RTT (Roundrip Time) между S и D. Это свойство также справедливо, если S является узлом, который начал поток ТР, то есть первым узлом, который отправил первый МН ТР потока.
Нециклический поток (АТР) не ограничивается, как обычный поток ТР: один или более АТР могут переходить из одного и того же узла. Конец потока задается следующим правилом: узел не будет пересылать АТР любому из своих соседей, если его идентификатор уже присутствует в теле пакета. Согласно этому правилу АТР проходит цикл лишь раз.
Как и в обычном ТР, узел не пересылает АТР соседу, от которого он получил сам пакет. Если каждый узел сети посылает АТР поток, то каждый узел будет знать, как достигается любой другой узел.
Непрерывный ТР (СТР) является продолжением потока ТР: узел всегда будет отправлять ТР для всех своих соседей, за исключением того, из которого он получил ТР. Если узел является крайним сегментом, то есть узлом с одной связью, он удалит маршрут, хранившийся в теле ТР, и отправит назад ТР. В общем, СТР является потоком ТР, который никогда не будет заканчиваться, таким образом, он продолжит исследовать всю бесконечную комбинацию маршрутов. Узел считает принятый ТР интересным, когда его тело содержит, по меньшей мере, 1 новый маршрут. Другими словами, если ТР содержит маршруты уже известные узлу, он считается неинтересным.
Когда узел получает интересный ТР, он пересылает пакет всем своим соседям, за исключением того, из которого он получил ТР. Если ТР неинтересен, тогда узел его теряет.
Если ТР неинтересен для узла N, то он также неинтересен для всех других соседей узла N. Это вызвано тем, что неинтересный ТР содержит маршруты, которые были ранее получены, записаны и отправлены узлом N. Таким образом, все остальные узлы уже знают те же самые маршруты.
Расширенный трейс-пакет (ЕТР) решает проблему того, как следует изучить и проанализировать графики, чтобы обновить карты узлов, заинтересованных в изменении сети. Этот способ работы основан на простом наблюдении: когда происходит изменение в сети, об этом знают лишь узлы, которые подверглись изменениям, поэтому они должны обновить эту информацию в сети. Непоражённые узлы по-прежнему могут иметь актуальную информацию, которую с легкостью можно обновить при помощи ЕТР.
ЕТР является нециклическим ТР, который содержит часть карты. Поскольку карта представляет собой набор маршрутов и маршрут может быть описан с помощью ТР, ЕТР можно рассматривать как разные ТР упакованные вместе. Тогда каждый ТР в ЕТР подчиняется правилу интересной информации.
Способы задания величин
Для разработки методики управления качеством мобильных корпоративных сетей предложена концепция параллельной многоконтурной безопасности. Основные положения концепции параллельной многоконтурной безопасности:
1. Система безопасности (СБ) как инструмент управления качеством МКС формируется на основе специфических информационных объектов: политик и регламентов, и состоит программно -аппаратных подсистем.
2. Программно - аппаратная подсистема безопасности включает в себя: объект защиты, субъект защиты, программную реализацию алгоритмов защиты, и представляет собой независимый контур управления безопасностью.
3. СБ в целом и каждый независимый контур управления обеспечивает безопасность корпоративных сетевых ресурсов при доступе к ним мобильного устройства и конфиденциальность личных данных (персонального контента) при доступе корпоративных сетевых ресурсов к мобильному устройству.
Базовая гипотеза концепции параллельной многоконтурной безопасности: Параллельная реализация независимых контуров управления позволяет осуществлять контроль состояния системы безопасности и управлять качеством МКС.
Наиболее хорошо разработанными на данный момент являются алгоритмы безопасности приложений: антивирусные программы, программы контроля версий и другие. В связи с этим, было принято допущение, что безопасность приложений обеспечивается сторонними средствами и не влияет на прочие показатели качества МКС на уровне «Инфраструктура и безопасность» (таб. 4). Таким образом, в данном диссертационном исследовании рассматриваются алгоритмы аутентификации устройств и обеспечения конфиденциальности персонального контента.
Постановка задачи управления В рамках методики управления качеством мобильных корпоративных сетей (рис.11) выделено 4 вида функций управления [46]: управление устройством, управление приложениями, управление контентом, управление доступом; в трёх параллельных процессах управления: управление устройствами, управление приложениями, управление персональным контентом. Основная управляющая подсистема - система безопасности делегирует распараллеленную функцию управления трём субуправляющим подсистемам: MDMS, МЕАР, устройство. Делегирование осуществляется путем реализации алгоритмов аутентификации устройств, безопасности приложений и обеспечения конфиденциальности. Контроль показателей качества МКС («Статус показателей качества») обеспечивается за счет мониторинга состояния (статуса, ST) управляемых подсистем и параметров каждого контура в параллельных субсистемах управления. (N
Схема методики управления мобильными корпоративными сетями на основе концепции параллельной многоконтурной безопасности. 3.3 Комплексный алгоритм аутентификации Комплексный алгоритм аутентификации (КАА) мобильных устройств в МКС (рис.12) основан на коллаборативной реализации алгоритмов библиотеки OpenPGP для выдачи сертификатов устройствам и шифрования на базе 2048 - битных ключей RSA [49, 54], алгоритма QSPN [46, 115] для групповой аутентификации в одноранговой самоорганизующейся сети (например, подразделения предприятия) и алгоритма ZKP (доказательство с нулевым разглашением) для анонимной идентификации устройства и/или ресурса МКС [53]. Блок-схема КАА использует следующие обозначения показателей качества (таб.9).
Наименование критерия Показатель Тип Обозн. Безопасное подключение только к нужным ресурсам Уровень обеспечения безопасности и конфиденциальности лингв LS Время получения доступа к авторизованным сетевым ресурсам число ТА Интенсивность зашифрованного сетевого трафика число NT Уровень обеспечения защиты персонального контента лингв LC Сложность аутентификации пользователей и устройств лингв СА Политики подключений и исключений Групповая аутентификация бин GID Гранулированный контроль устройств бин GCD Оперативный Количество анализируемых состояний число NS анализ рисков устройств Регламент в случае потери/кражи устройства бин RLT Регламент в случае увольнения персонала бин RUP Количество новых устройств в МКС за период времени число NN Количество выбывших устройств в МКС за период времени число NA 3.4 Способы задания величин Лингвистические показатели. Показатель LS принимает лингвистические значения {«Низкий, «Ниже среднего», «Средний», «Выше среднего», «Высокий»} и определяется с шагом 0,2 в интервале [0,1] на диапазонах соотношения: LSp=Nj/N, (8) где р - алгоритм из {OpenPGP, QSPN, ZKP}, Np - количество подключений к ресурсам с использованием алгоритма р за текущую сессию (период времени), N - общее количество подключений к ресурсам за текущую сессию (период времени).
Показатель LC принимает лингвистические значения {«Низкий, «Ниже среднего», «Средний», «Выше среднего», «Высокий»}: LCp=Nj/N, где р - алгоритм из {QSPN, ZKP}, Np - количество подключений к персональному контенту с использованием алгоритма р за текущую сессию, N - общее количество подключений к персональному контенту за текущую сессию. ( конец J) Рисунок 12. Комплексный алгоритм аутентификации мобильных устройств 53 в рамках методики управления качеством МКС Показатель С А принимает лингвистические значения {«Низкий, «Ниже среднего», «Средний», «Выше среднего», «Высокий»}. Устройству выдается ключ аутентификации (п.3.7.7), при обмене которым с МКС устройство записывается в БД. На рис.2 показатели, заданные на лингвистической шкале, рассчитываются на интервальной оценке: L=L+n, где L - текущее значение показателя, п - целое число от 0 до 2, равное количеству интервалов. При п=0 показатель принимает значение «Низкий» вне зависимости от текущего значения. Групповая аутентификация GID и гранулированный контроль устройств GCD определяются на бинарной шкале «да/нет». Для групповой идентификации используется информационная модель ресурса и алгоритм групповой идентификации (п.3.7). Показатель NT измеряется в байтах в секунду.
Количество новых устройств в МКС за период времени NN, увеличивается при появлении в системе нового устройства. Устройство будет занесено в БД после определения того что оно является новым для данной БД, далее устройству будет выдан ключ аутентификации для занесения в БД. После этих действий счетчик увеличится на единицу.
Количество выбывших устройств в МКС за период времени NA, увеличивается при появлении показателей «Регламент в случае потери/кражи устройства» и «Регламент в случае увольнения персонала».Если пользователь удаляет устройство, то происходит удаление сертификатов OpenPGP, затем перерасчет групп QSPN изменяет общее число аутентифицированных устройств. После чего увеличивается счетчик NA.
Количество анализируемых состояний устройств NS, изменяется при изменении статуса приложений. Изменение статуса происходит, когда устройство не удаляется, а на него добавляются новые контейнеры. Вначале проходит аутентификация по сертификату, далее производится анализ статуса приложений и после подтверждения изменения статуса приложения на устройство устанавливается контейнера.
Результаты опытного внедрения методики
Для реализации методики управления качеством МКС разработаны: подсистема управления мобильным доступом к корпоративным ресурсам (УМДКР) (СУБД Oracle и Oracle JDeveloper), встраиваемый в MDM (Свидетельство о регистрации программы для ЭВМ №2014662802 от 09.12.2014 г. [56]), и модуль управления персональным контентом PCM (Android, Java).
Подсистема управления мобильным доступом к корпоративным ресурсам Функционалом подсистемы УМДКР (рис. 27) является выдача пользователям и/или мобильным устройствам определённых прав на доступ к различным объектам корпоративной вычислительной сети, а именно: - регистрация пользователей, мобильных устройств, объектов корпоративной вычислительной сети и групп пользователей и устройств, получение метаданных объектов; - назначение пользователя в группу с выдачей ключей; - выдача карт маршрутизации групп определённым устройствам.
Прототип модуля управления персональным контентом был реализован на примере «почтового ящика», т.е. приложения для управления сообщениями. Рассмотрены следующие виды сообщений, способных содержать корпоративную информацию: текстовые сообщения, текстовые сообщения с приложением файла (файлов), звуковые сообщения, видео сообщения (рис. 31).
Экранная форма модуля управления персональным контентом Главным управляющим классом (рис. 32) программы является класс ApplicationController (контроллер приложения), который играет роль, аналогичную роли контроллера в шаблоне MVC. Основными атрибутами этого класса являются списки входящих и исходящих сообщений, а также программный объект - соединение с сервером сообщений. Контроллер приложения является синглтоном (в приложении не может быть более чем один объект такого типа) и непосредственно отвечает за выполнение следующих действий, для осуществления которых в классе ApplicationController предусмотрены соответствующие методы: CDnnectionService удаление из локальной базы и памяти приложения отправленных исходящих сообщений (DeleteReadOutboxMessages); загрузка при запуске приложения локальной базы сообщений (LoadLocalMessages); выгрузка при завершении работы программы сообщений из оперативной памяти в локальную базу (SaveLocalMessages). В модуле реализована возможность (feature) анонимной аутентификации при доступе к БД сообщений внешнего сетевого ресурса на основе доказательства с нулевым разглашением.
Возможность отказа от сертификата OpenPGP Да Операционные системы Android, iOS, MS Windows Среднее получения доступа к авторизованным сетевым ресурсам 40 с Уровень обеспечения безопасности и конфиденциальности 0,2 Перед началом испытания были проведены регламентные работы по формированию метаописаний сетевых ресурсов и сформирована БД «Метаданные ресурсов МКС». Первый эксперимент проведен на количестве групп равном 2. Перерасчет групп не производился. Значительного изменения в контролируемых параметрах (рис. 33) не наблюдалось. Так для показателя ТА значительное время потребовалось для перерасчета маршрутов QSPN и генерацию ключей анонимной аутентификации ZKP.
Динамика LS при подключении 150 устройств. Эксперимент показал, что применение комплексного алгоритма аутентификации мобильных устройств в МКС на основе алгоритмов QSPN и ZKP существенно превосходит аутентификацию OpenPGP уже при 10 подключенных устройствах (-35%). При этом только 4 пользователя отказались от групповой идентификации и воспользовались установленными сертификатами OpenPGP.
В ходе испытаний установлено существенное уменьшение показателя «Время получения доступа к авторизованным сетевым ресурсам». На диаграмме (рис.35) показаны сравнительные характеристики показателя до опытного внедрения ТА ST=40 с (100%) и после при различных вариантах аутентификации (при обязательной групповой аутентификации) для одного устройства: в 4 раза для варианта QSPN+ ZKP, 2 раза для варианта QSPN+ OpenPGP; и в среднем на выборке в 150 устройств 3 раза для варианта QSPN+ ZKP, -2,5 раза для варианта QSPN+ OpenPGP.
Также эксперимент показал снижение сетевого трафика на выполнение задач авторизованного доступа и идентификации на 26,4% -33%.
На основе предложенной методики, разработанных математических моделей, алгоритмов и протоколов создан прототип платформы управления качеством МКС, реализованы подсистема управления мобильным доступом к корпоративным ресурсам и модуль управления персональным контентом. Согласно проведенным испытаниям, целевые показатели имеют следующую динамику:
В работе представлены факторы, влияющие на динамику ключевых показателей качества и целевых показателей. Исследование предложенной методики и моделей на практике позволило выделить ряд ограничений:
