Безопасность на grid’ке
АрхивКолумнистыНа последнем заседании Совета Безопасности президент Медведев много говорил о важности суперкомпьютеров и Grid-технологий. Смогут ли чиновники справиться с задачей, а специалисты защитить распределенные Grid-системы?
28 июля президент Медведев провел заседание Совбеза по теме суперкомпьютеров. Повторив тезис Хрущева о том, что надо догнать и перегнать Америку, он выдвинул амбициозную задачу – за полтора года достичь того же уровня развития суперкомпьютерных технологий, что и в США (а потом и обойти североамериканских друзей). Также он говорил про важность распределенных вычислений с помощью Grid-технологий. Очень своевременные слова, которые лишний раз подтверждают, что курс на инновационное развитие России действительно существует.
Эстафету на заседании подхватил руководитель Минкомсвязи г-н Щеголев и рассказал, что конкретно будет делаться в этом направлении. Но тут, честно говоря, я столкнулся с очередным доказательством того, что наши чиновники очень далеки от современных информационных технологий и часто по бумажке говорят о том, чего в природе не существует. В частности, г-н Щеголев выдвинул тезис о том, что современные Grid-технологии обладают развитой "системой безопасности, в том числе авторизации, аутентификации, целостности делегирования полномочий", а это в свою очередь "делает её весьма привлекательной для решения задач, в том числе специального класса". Я не большой специалист в области распределенных вычислений, но мне всегда казалось, что с безопасностью там как раз дела обстоят не очень. Как и с любой другой первоначально некоммерческой технологией, родившейся в недрах исследовательских институтов. Достаточно вспомнить про протокол IP, технологии виртуализации, решения АСУ ТП и многие другие аналогичные ИТ-направления. Разумеется, со временем ситуация может и будет меняться, но пока говорить о развитой системе ИБ в Grid-решениях преждевременно.
Я вполне допускаю, что Grid в рамках одной организации, построенный на решениях одного производителя (HP, Oracle и др.), ещё можно защитить достаточно эффективно. Но действительно распределённый Grid, о котором говорят на заседании Совбеза, объединяющий различные организации и вычислительные ресурсы, имеющие разных владельцев, предъявляет гораздо более высокие требования к безопасности, чем это обеспечивается в современных системах. Да и риски там есть достаточно специфические, отсутствующие в традиционных центрах обработки данных. Несколько лет назад Enterprise Grid Alliance (EGA) даже разработал документ под названием "Enterprise Grid Security Requirements v1.0", описывающий угрозы grid-технологиям и требования к их безопасности. Пока дальше этих требований дело не очень продвинулось. После слияния EGA с Global Grid Forum (GGF) появилась новая организация, отвечающая за развитие и стандартизацию Grid – Open Grid Forum. Он продолжил дело EGA и разработал проекты стандартов (пока только проекты) по безопасности Grid. Если быть точнее, даже не стандарты, а рекомендации. На этом вся глобальная деятельность в области безопасности Grid на сегодня и заканчивается.
Также я не очень понял тезис г-на Щеголева о том, что активное использование Grid поможет развиться технологиям безопасности. Возможно, он имел в виду, что по мере изучения и разработки Grid-технологий специалисты лучше поймут, как их защищать? Но тогда как это соотносится с первым заявлением о развитой системе безопасности? Лишний раз подтверждается тезис о том, что чиновники очень чутко реагируют на мнение руководства страны, но не до конца понимают, как это мнение транслировать в реальную работу на благо России.
В целом впечатление от этого заседания не самое радужное (пока, по крайней мере). Президент задал направление развития. Это хорошо. До Медведева у нас не было руководителей, хоть как-то разбирающихся в информационных технологиях и делавших ставку именно на них. Но кто пойдет в этом направлении не совсем понятно. Давать руководящие указания может и кухарка, а вот претворять их в жизнь... да еще и под чутким руководством чиновников, которым выделили на это 2,5 миллиарда... С трудом верится в то, что ситуация сдвинется с мертвой точки и не повторится судьба "Электронной России". Денег в неё было вбухано немало, а реальной отдачи пока что нет – никакого облегчении общения рядовых граждан с министерствами и ведомствами не наблюдается. С безопасностью ситуация ещё хуже. Одно дело оснастить всех чиновников и школьников компьютерами и научить на них работать (хотя и эта задача пока не решена) и совсем другое – выстроить безопасность Grid-технологий. Если этим будет заниматься наш ИБ-флагман в лице ФСТЭК, то родится очередной проект по трансляции требований к защите гостайны на область распределённых вычислений. Как это уже произошло с темой персональных данных.
