search
menu
person

NEWS AND UDATES


Создание Интрасетей в системе управления ВМС США (2004)

Создание Интрасетей в системе управления ВМС США

Полковник Ю. Судаков,
канд техн. н-к пол-к В. Масной

С 1997 года в ВМС США проводятся работы в рамках выдвинутой адмиралом А. Клеменсом инициативы «Информационная технология XXI века» (IT-XXI). Первоначально это была концепция модернизации системы управления Атлантического и Тихоокеанского флотов ВМС, предусматривавшая объединение в сеть кораблей и эскадр на тактическом и оперативном уровнях на основе использования новейших коммерческих информационных технологий, включающих высокоскоростные сети асинхронного режима доставки, закрытую электронную почту и технологии глобальной сети INTERNET, доступ к которым производится с настольных персональных компьютеров (ПК) малой стоимости. IT-XXI реализует передачу мультимедийных данных на ПК, предоставляет пользователям возможности обмена секретной, несекретной, тактической и нетактической информацией с одной и той же рабочей станции. Средства на ее реализацию выделялись ВМС путем перераспределения выделенных на программы систем управления, связи, автоматизации и разведки ассигнований. В 1998-1999 финансовом году ВМС израсходовали 435 млн долларов на модернизацию своих кораблей путем оснащения их новейшим коммерческим оборудованием, а до 2003-го ежегодные расходы на эти цели составляли около 500 млн долларов.
Оборудованные в соответствии с IT-XXI корабли, подобно авианосцу «Джордж Вашингтон», получили доступ в глобальную сеть ВС США NIPRNET (Non-classified IP Router Network) с маршрутизацией по межсетевому протоколу IP (Internet Protocol) для передачи служебной несекретной информации и в ее аналог - закрытую сеть SIPRNET (Secret IP Router Network) для передачи секретной информации. На указанном авианосце в боевом походе в день в среднем передается по электронной почте более 20 тыс. сообщений. Закрытая электронная почта в сети SIPRNET стала широко использоваться командирами и начальниками в повседневной деятельности и административной работе.
В рамках инициативы IT-XXI (1998-2003) в основном на кораблях авианосных ударных групп и других оперативных соединений построены локальные сети с вычислительными серверами и оборудованием для видеотелеконференций, а также с оборудованием глобальной системы вещания GBS на космических аппаратах (КА) UFO (Ultra High Frequency Follow-on), способным принимать информационные потоки, передаваемые со скоростью около 20 Мбит/с, и коммерческих систем космической связи Challenge Athena и INMARSAT. С 1999 года большинство корабельных средств связи в ВМС работает асимметрично - они могут больше данных принимать, чем передавать, за счет GBS. Самый высокий приоритет в IT-XXI отдается расширению полосы пропускания каналов связи с кораблями. Считается, что авианосцам, штабным кораблям и универсальным десантным кораблям для
обмена изображениями и решения задач совместного планирования потребуется скорость передачи данных 1,5 Мбит/с. Передача электронных сообщений через SIPRNET, а также доступ к закрытым веб-страницам и цифровой карте оперативной (тактической) обстановки в зоне применения обеспечиваются морским сегментом АСУ глобальной системы оперативного управления GCCS-M (ранее обмен информацией в ВМС производился только по речевым каналам).
Об эффективности обмена данными в дополнение к речевому обмену свидетельствуют такие факты:
- ударная авианосная группа «Авраам Линкольн» в 1998 году при проведении в зоне Персидского залива операций по контролю за судоходством задержала в 12 раз больше иностранных судов чем, в 1995-м, и в 8 раз чаще по сравнению с тем же периодом вынуждала изменять маршруты судов, пытавшихся нарушить режим эмбарго;
- если в ходе первой войны с Ираком (1991-1992) с помощью авиации на авианосцы ежедневно доставлялись бумажные копии боевых приказов авиации, то с конца 1990-х годов для их рассылки используется сеть SIPRNET;
- если ранее для разработки плана применения КР «Томахок» требовалось 2 сут, то теперь она осуществляется за 90 мин;
- расширились боевые возможности соединений, улучшены процедуры восполнения ресурсов в море, планирования заданий для вертолетов и т. п.
Еще большей оперативной эффективности можно было добиться, по мнению западных экспертов, за счет обеспечения бесшовной связи кораблей и эскадр с береговыми объектами и базами. Например, корабли, осуществляющие контроль соблюдения международных санкций на море в этом случае имели бы возможность быстро связываться с гражданскими организациями для получения дополнительной информации о судах и их экипаже, характере грузов и портах приписки. Кроме того, информация от ЦРУ, ФБР и других разведывательных организаций могла бы оперативно передаваться на военные корабли. В случае выхода из строя оборудования операторы обладали бы возможностью устанавливать контакт с базами обеспечения и даже непосредственно с изготовителями в интересах ускорения его восстановления.
Вплоть до 2000 года каждая структура в ВМС имела собственную изолированную информационную систему, которая плохо коммутировалась с подобными ей системами. В связи с этим возникла необходимость в устранении барьеров на путях прохождения данных к руководителям всех звеньев управления.
Большую озабоченность вызывала безопасность информации. ВМС США, как и другие государственные структуры, оказались уязвимыми для атак на компьютерные сети. В 1998 году федеральный центр реагирования на компьютерные инциденты зафиксировал 376 таких случаев, повлиявших на 2 732 федеральные и 86 военных систем. В 2000 году сообщалось о 586 инцидентах, сказавшихся на работе 575 568 и 148 систем соответственно. Кроме того, хакеры стали более организованными и быстро овладевают современными технологиями. Хакеру достаточно найти только одну из многих «щелей», которыми пронизаны сети государственных учреждений, в виде плохо защищенного подключения или один уязвимый шлюз, чтобы получить доступ сразу ко множеству компьютерных сетей, используя затем в своих интересах их ресурсы и ресурсы подключенных к ним пользователей. Как отмечают американские специалисты, даже в рамках МО трудно подсчитать все имеющиеся шлюзы. Так, только в министерстве ВМС их в 2001 году было около 200. В результате удалось зафиксировать до 16 тыс. попыток проникновения в сети ВМС и морской пехоты (МП), 400 из которых оказались успешными, а в 40 случаях злоумышленники получили возможность доступа к другим сетям. Самостоятельно руководство военно-морского ведомства не могло решить возникшие проблемы. Это можно было сделать только вместе с промышленными организациями.
Изучив опыт фирмы IBM, которая свела 31 сеть в своих подразделениях в единую корпоративную сеть INTRANET, эксперты военно-морских сил рекомендовали создать такую сеть не как собственную физическую систему ВМС и МП, а как услугу, предоставляемую промышленным подрядчиком, который будет строить, эксплуатировать и модернизировать INTRANET. Вначале конгресс и чиновники высокого ранга из МО были против идеи передачи эксплуатации военных средств связи подрядчику. Но возобладала точка зрения специалистов ВМС. В результате наряду с работами по IT-XXI стали проводиться НИОКР по созданию ведомственной сети NMCI (Navy-Marine Corps INTRANET), которой предусматривалось охватить всю береговую информационную инфраструктуру ВМС и МП США. Согласно заданию на разработку сеть NMCI должна быть работоспособной в течение 99,999 проц. времени.
Для настройки, пуска в эксплуатацию и непрерывного совершенствования сети были привлечены коммерческие промышленные организации. В октябре 2001 года был заключен восьмилетний контракт на сумму 6,9 млрд долларов с головным подрядчиком - фирмой EDS на создание сети NMCI, которым предусматривалось объединить свыше 200 раздельных слабозащищенных сетей на береговых объектах ВМС и МП в одну мультимедийную - INTRANET. Цель заключенного контракта - передать эксплуатацию сети компаниям, специализирующимся на работах в данной области, которые будут находиться под контролем государственных органов. При этом военный персонал сосредоточивается на выполнении основных своих функций. Одновременно облегчается стандартизация систем в интересах обеспечения их совместимости, взаимодействия и безопасности функционирования, а также внедрение новейших достижений при сокращении затрат.
Субподрядчиками стали такие известные фирмы, как «Рэйтеон», «УолдКом», «УОМ! - НЕТ», «Сиско», «Дженерал дай-нэмикс», «Майкрософт», «Делл», «Долч», «Дэйтлинк». При этом намечалось, что примерно 40 проц. работ будут выполнять компании, занимающиеся малым бизнесом. Новизна подхода состояла в том, что ВМС приобретали NMCI как услугу, во многом подобную электричеству. Только при таком условии, по мнению специалистов американских ВМС, удастся отслеживать информационные технологии, обновляемыми каждые 18 месяцев. Фирма EDS должна обеспечивать сборку, монтаж, эксплуатацию и периодическую модернизацию системы национального масштаба, чтобы обрабатывать, хранить и передавать информацию в виде цифровых данных, голосовых и видеосюжетов.
NMCI - это единая интегрированная сеть, которая будет связывать не только каждый береговой пункт военно-морских сил, но и обеспечит беспрепятственное прохождение данных в сеть тактических данных МП и корабельные системы, оснащенные по программе IT-XXI. В нее сведены ряд несовместимых и незащищенных сетей, благодаря чему NMCI сможет обеспечить передачу мультимедийной информации в рамках министерства ВМС. Одновременно эта сеть должна значительно снизить расходы на эксплуатацию информационных систем ВМС и МП США, что позволит направлять высвобождаемые средства на ее постоянное совершенствование. Сеть охватит 360-400 тыс. рабочих станций на 300 базах на континентальной части страны, о. Гуам, Гавайских о-вах, в
Исландии, на о. Пуэрто-Рико, пункте базирования американских военно-морских сил Гуантанамо (Куба).
Несмотря на длительную подготовку к созданию NMCI, за неполный год с момента заключения контракта были введены в строй два центра эксплуатации сети, две системы поддержки и получения справок и 17 сервисных фирм. В июле и августе 2001 года начали функционировать центры эксплуатации сети в ВМБ Норфолк и Сан-Диего, после чего стало возможным из одной переговорной комнаты одновременно связаться с 5-м флотом в Персидском заливе и 6-м флотом в Средиземном море, а в пределах 30 мин найти даже такую информацию, как группа крови заключенных талибов в Гуантанамо. Переход от концепции системы к началу реального ее функционирования произошел в сентябре 2001 года с вводом в строй первой очереди сети NMCI на объектах авиации ВМС на авиабазе Эндрюс близ г. Вашингтон.
Сформированные из специалистов в области военной промышленности во главе с компанией EDS группы, получившие название «Информационные подразделения непосредственного задействования» ISF (Information Strike Forces), взяли на себя ответственность за эксплуатацию оборудования и программное обеспечение (ПО) более 42 тыс. рабочих мест в 29 пунктах, не прерывая используемые в ВМС и МП рабочие процедуры. Персонал ИПНЗ в то время на 80 проц. состоял из представителей малого бизнеса.
По мере установки нового оборудования старые информационные системы «отсекались» от NMCI. В августе 2001 года ВМС временно передали полномочия по эксплуатации центров фирме EDS, a управление информационных систем МО США дало временное разрешение подключить NMCI к несекретной сети NIPRNET МО США. В январе 2002 года было получено постоянное разрешение. До 2002 года NMCI предоставляла лишь услуги передачи данных, в 2003-2004-м она стала полностью мультимедийной, а к 2005-му ВМС должны получить систему, целиком работающую на веб-технологиях.
Кроме того, с самого начала проводились мероприятия по разработке, приобретению, установке, инсталляции и обновлению общих аппаратных средств и программного обеспечения, которые будут на всех персональных компьютерах. К концу 1990-х годов в информационных системах ВМС использовалось более 100 тыс. различных приложений. В 2002 году в трех центрах, подключенных к NMCI, имелось свыше 8 500 различных прикладных про-
грамм, причем если не управлять процессом инсталляции ПО, то, как отмечают американские специалисты, к моменту завершения работ по созданию интрасети их число могло возрасти до 60 тыс.
Создание ведомственной сети с централизованным управлением позволит ВМС США ежегодно экономить десятки миллионов долларов и уменьшать штатный персонал за счет резкого сокращения количества используемых в ней приложений. Специалисты полагают, что к 2008 году ВМС могли бы свести количество таких приложений к 500. Возможность подобного радикального сокращения подтверждена на практике. Например, авиабаза ВМС Лемур (штат Калифорния) сократила число используемых приложений-с 1 184 до 128.
Поскольку управление сетью NMCI передано фирме EDS, военно-морские силы страны вынуждены теперь пользоваться аппаратными средствами и программным обеспечением тех производителей, которые выбраны системным интегратором -компанией «Тексас» (субподрядчик EDS). К ним относятся фирмы «Майкрософт», «Делл», «Сиско». Это означает, что отдельные командования ВМС, которые хотят использовать аппаратные средства и ПО других производителей, должны делать это с ведома и разрешения вышестоящих органов управления. Кроме того, согласован процесс сертификации уже использующихся приложений, которые продолжают работать на программной платформе Windows 2000 и при этом удовлетворяют новым, более строгим требованиям по безопасности.
По мнению американских специалистов, проведение указанных мероприятий позволит не только сократить затраты на приобретение необходимой техники и ПО, обучение персонала, эксплуатацию сети, но и существенно повысить безопасность работы. Отмечается также, что передача процессов управления сетью фирме EDS и применение стандартных наборов ПО. число приложений в которых уменьшилось в десятки раз, привели к сокращению 1 750 рабочих мест системных администраторов, которые должны или найти новую работу в госструктурах, или перейти в штат сотрудников этой компании. При этом их зарплата увеличивается на 15 проц. Из 300 сокращенных в 2002 году системных администраторов 66 уже вошли в штат EDS.
Работы по созданию сети NMCI связаны со значительными трудностями. Их бюджет уже превышен и в результате может составить значительно более 8 млрд долларов. Положение усугубляется из-за
экономического кризиса в стране. После двухлетних работ только 21 тыс. сотрудников ВМС и МП США была подключена к сети NMCI. По первоначальным планам к этому времени их должно было быть более 100 тыс. Однако по заверению официальных лиц в ВМС в 2004 году современной защищенной сетью будут пользоваться не менее 360 тыс. человек. В целом многие скептики по достоинству оценили преимущества NMCI и удовлетворены ходом работ.
Большое внимание уделяется обеспечению безопасности работы сети. Сведение множества сетей в единую исключает необходимость в дополнительных шлюзах, которые являются прежде всего источником дополнительной угрозы сетевых атак. Ее централизованно управляемая структура обеспечивает многоуровневую защиту, а при обнаружении вторжения в сеть способна заблокироваться так, чтобы снизить возможный ущерб.
Инициатива NMCI реализует также более единообразный подход к обеспечению безопасности в морских береговых командованиях, каждое из которых ранее проводило собственную политику безопасности. Создаваемая в NMCI эшелонированная по глубине система обнаружения кибератак более надежна, чем аналогичная система отдельной сети. В центрах эксплуатации находятся защищенные шлюзы NMCI с INTERNET, которые управляют информационными потоками с внешним миром. Все серверы перемещаются в так называемые защищенные серверные фермы, что еще более ограничивает доступ к ним. Кроме того, контроль безопасности осуществляется на региональном уровне, уровне командований ВМС и далее вплоть до отдельных рабочих станций.
С середины 2003 года инфраструктура «открытых ключей», которая реализует в системах функции идентификации и аутентификации, охватила значительную часть сети NMCI. Кроме того, для ее защиты используются межсетевые экраны, системы обнаружения вторжений и сканеры электронной почты. Отмечается, что инженеры центров эксплуатации могут использовать программное обеспечение, чтобы «заглянуть» в любой находящийся в пределах их полномочий персональный компьютер и определить причину неполадок. Действуют четкие регламентирующие процедуры обеспечения безопасности сети. При обнаружении вторжения в сеть соответствующий ее сегмент немедленно изолируется от INTRANET и подключается вновь лишь после выполнения всех предусмотренных процедур устранения нанесенного
ущерба. Добавление новых приложений в NMCI осуществляется только после получения разрешения представителя специально созданного подразделения, проверяющего целесообразность такого шага и выявляющего еще какие-либо нарушения. Этим гарантируется совместимость приложений на серверах и надежная безопасность сети.
Специальный контракт регламентирует материальное стимулирование разработчиков поквартально, ежегодно или по конкурсному проекту (на эти цели выделено 10 млн долларов), если подтверждается надежность защиты. Атаки, имитирующие деятельность хакеров, проводятся «красными командами» управления национальной безопасности на межсетевые экраны (через обнаруженные в сети «щели») на маршрутизаторы. Эти команды периодически пытаются проникнуть в различные сети МО. Хотя 99 проц. таких попыток ранее не обнаруживалось, но проникнуть в NMCI им еще не удавалось.
В апреле 2002 года завершены испытания на безопасность 1 600 рабочих станций, подключенных к NMCI на авиабазе Эндрюс и в г. Лемур. На каждом из шести центров эксплуатации сети (в Сан-Диего; Квантико и Норфолк, штат Вирджиния; Джексонвилл, штат Флорида; Оаху, Гавайские о-ва; Пьюджет-Саунд, штат Вашингтон) работает отделение безопасной эксплуатации.
Специалисты полагают, что главная угроза сети исходит от внешних источников. Все центры эксплуатации сети действуют так, чтоб каждый из них мог взять на себя функции другого центра, если существует риск нарушения безопасности системы. В каждом узле NMCI данные дублируются. Существуют планы перехода узлов к работе в условиях чрезвычайных ситуаций. Кроме того, две организации, предоставляющие услуги для NMCI, но не подключенные к ней, - фирма «УолдКом» и управление информационных систем МО - имеют резервную сеть.
Предусматривается дальнейшее дублирование баз данных, причем территориально разнесенных, в интересах снижения их физической уязвимости. В области безопасности информации упор делается на эшелонированную архитектуру защиты. Разделение информации происходит согласно присвоенному грифу секретности.
Но, как отмечают американские специалисты, одной маркировки грифом еще недостаточно. Требуется определить относительно изолированные анклавы абонентов, объединенных общими интересами, в рамках открытых и закрытых сетей. Анклавы имеют различные требования по доступу, обусловливающие различия в соответствующих механизмах защиты (межсетевые экраны, системы обнаружения вторжений, инфраструктура открытых ключей, цифровая подпись).
Комбинированные угрозы, которые совмещают в себе свойства вирусов, программных «червей», «троянских коней» и программное обеспечение злоумышленников, наиболее опасны для сети. Разработано ПО управления сетью «Сайлент Раннер», обеспечивающее контроль за ее работой в реальном масштабе времени. ПО вырабатывает картину использования сети и возможных каналов ее уязвимости. Фирма «Симантек» предлагает несколько своих про'граммных продуктов для борьбы с ними, в частности: Symantec Enterprise Firewall 7.0 (межсетевой экран корпоративного уровня), Network Prowler (система обнаружения вторжений), Intruder Alert (анализатор состояний, сообщающий о подозрительной деятельности в отношении сети), iGear (для обнаружения подозрительной деятельности в Интернет), NetRecon (для проверки сетевой инфраструктуры на существование уязвимых мест и выдачи рекомендаций по ее устранению), Norton Ghost (позволяет восстанавливать информацию на жестких дисках после атаки), Enterprise Security Manager (сокращает количество аналитиков контроля безопасности сети и количество приобретаемых лицензий на ПО). Эти программные продукты позволяют справиться с задачами контроля сотен тысяч компьютеров в сети, осуществления централизованного сбора данных об их статусе, делегирования полномочий по устранению обнаруженных проблем конкретным ответственным лицам в соответствующих секторах. Система ViGO фирмы VCON, предназначенная для организации высококачественных аудио- и видеоконференций по IP-протоколу, гарантирует нужный уровень защищенности переговоров и подключается к USB-порту ПК, поддерживая скорость передачи данных 1,5 Мбит/с. Эта система также может организовывать обмен видео- и звуковыми письмами по электронной почте. Для обеспечения информационной безопасности NMCI выбран продукт SecurVantage фирмы «Секьюрифай», непрерывно анализирующий трафик сети и работу программ защиты (межсетевых экранов, антивирусных модулей, систем шифрования, авторизации, лицензирования и т. д.) на соответствие их параметров множеству предопределенных критериев.
И все же, несмотря на принятые меры, NMCI не смогла в полной мере противостоять программному червю «Добрый самаритянин», маскирующимся под антивирусную защиту и блокирующим каналы передачи данных. Этот червь использовал «щель», которую оставляла одна из процедур удаленного доступа ПО Windows фирмы Microsoft. Этим объясняется неэффективность всех имеющихся средств защиты. И хотя в целом, по словам руководителей информационных служб ВМС, сеть осталась работоспособной, ее быстродействие значительно снизилось, что привело к значительным неудобствам для пользователей. На ее полное восстановление потребовалось около 2 сут. Тем самым был выявлен существенный недостаток стандартизации - широкого применения в сети программного пакета Windows одного производителя - фирмы Microsoft. Использование хакерами даже одной обнаруженной ими «щели» может привести к нарушению функционирования всей глобальной сети.
Как отмечают обозреватели, остается и еще ряд проблем, главная из которых заключается в людях, их подготовке, желании осваивать новые процедуры. Пользователи должны смириться с замедлением реагирования NMCI на их запросы, обусловленным возможностями средств обеспечения сетевой и компьютерной безопасности. Они должны изучить новые стандартные пакеты ПО.
Создателям NMCI помимо устойчивости к сетевым атакам удалось достигнуть более высокой устойчивости к физическим атакам. В результате террористической атаки на здание Пентагона 11 сентября 2001 года ВМС лишились более 70 проц. своего офисного пространства и линий связи в здании после разрушения помещений, где располагались несколько управлений ВМС, и уничтожения находившихся в них документов.
Последствия атаки на Пентагон могли бы быть гораздо более деструктивны, если бы сформированные для эксплуатации сети из специалистов промышленности ISF были неспособны быстро отреагировать на произошедшие события. Благодаря их усилиям центральный аппарат управления ВМС смог приступить к работе в пределах 20 ч, а аппарат функционального управления - в течение нескольких дней.
Утратив около 70 проц. площади рабочих помещений в Пентагоне, командование ВМС разместило свой персонал в своих помещениях, находящихся в ряде других пунктов за пределами здания. После получения предварительного приказа вечером 12 сентября руководитель ISF разослал уведомления всем своим
партнерам о необходимости оказания помощи в работах по восстановлению информационного сегмента управления этого вида ВС. В первую очередь требовалось восстановить центр связи и бюджетное управление ВМС, которые были полностью разрушены.
Утром 13 сентября девять 18-колесных машин с 860 портативными и 355 настольными компьютерами, комплектами кабелей для размещения оборудования на пяти этажах здания выехали со склада фирмы EDS в г. Сент-Луис. Еще один грузовик с набором маршрутизаторов и коммутаторов отправила фирма «Сиско». На следующий день все оборудование из г. Сент-Луис прибыло к сооружениям авиации ВМС близ Вашингтона. За выходные дни требовалось установить и объединить в сеть более 1 000 компьютеров. К воскресенью 50 из них были введены в эксплуатацию, а серверная ферма была настроена для обслуживания дивизиона финансового управления и бюджетирования. В серверы с дублирующих лент, которые хранились за пределами Пентагона, были загружены программное обеспечение и информация. К утру 16 сентября в 50 проц. помещений были проложены необходимые кабели и более 450 рабочих мест с портативными компьютерами были готовы к дальнейшей эксплуатации и оснащены программными модулями, созданными в рамках проекта NMCI. 19 сентября мероприятия по передислокации и введению в строй оборудования были завершены.
Использование возможностей, полученных при реализации проекта сети NCMI, позволило министерству ВМС быстро воссоздать все ресурсы связи, утраченные после террористической атаки. Работы проводили около 700 человек в течение недели. Все это продемонстрировало преимущества, полученные в ходе создания сети INTRANET, и повысило доверие военных специалистов к персоналу ISF. Уже через два дня благодаря совместным усилиям специалистов компании EDS и ВМС начали действовать компьютерные сети, а через пять дней были восстановлены и растиражированы данные бюджета ВМС. Полного восстановления работы компьютерных систем в новых помещениях удалось добиться уже к 19 сентября, то есть сроки восстановления были вдвое меньшими по сравнению с нормативными.
Руководство других видов ВС США относится к опыту, приобретенному в ВМС, с осторожностью. Так, в СВ полагают, что ввиду специфики этого вида ВС он может быть применен лишь частично. Примерно так же к нему относятся и в ВВС.

Зарубежное военное обозрение №12 2004

Смотрите также
Категория: ВМС общие вопросы | Добавил: pentagonus (08.12.2004) | Автор: Полковник Ю. Судаков
Просмотров: 4135 | Теги: Ю. Судаков, интросеть, связь | Рейтинг: 0.0/0
Всего комментариев: 0
avatar