Интеграция автономных источников данных для прогнозирования свойств неорганических веществ (1090500), страница 10
Текст из файла (страница 10)
Пример такогодокумента, соответствующего запросу с рис. 3.5, приведен на рис. 3.6.ДанныйXML-документсодержитглобальныеидентификаторыисоответствующие им статусы.МетодыchildEIIService_GetMetaInfo,childEIIService_GetDataнепосредственныхпредметноговызововметодовchildEIIService_Supports,посредникаGetMetaInfo,предназначеныSupports,дляGetDataпрограммных адаптеров источников данных интегрируемых ИС.59 Рис.3.6. Пример XML-документа, передаваемого в качестве ответа Webсервиса на запрос глобальных идентификаторов.При этом для вызова этих методов должна использоваться учетнаязапись пользователя интегрированной ИС из таблицы Meta_UserInfo, анужный источник идентифицируется с помощью учетного имени (поле Loginиз таблицы Meta_DBInfo). Эти методы могут использоваться в том случае,когда пользователям предметного посредника требуется непосредственноизвлечь данные из интегрируемых источников без их обработки предметнымпосредником.
Эта возможность вводится для обеспечения гибкости в работепользователейиреализацииимисценариеввзаимодействиясинтегрируемыми ИС, которые не предусмотрены предметным посредником.Метод GetAllCommulativeData предметного посредника предназначендля извлечения информации, содержащейся в интегрированной ИС. Привызовеэтогометодапредметныйпосредникопрашиваетвсеинформационные источники интегрируемых ИС, анализирует их ответы исоздает XML-документ, содержащий результирующий ответ предметногопосредника на запрос пользователя.
Для успешного вызова методанеобходимо передать учетные данные пользователя интегрированной ИС,одну из трех команд Get_AllList, Get_PropertiesList или Get_PropertiesValues.Также на вход метода подается XML-документ с описанием параметровзапроса.60 Рассмотрим результаты работы этого метода на примере вызовакоманды Get_PropertiesValues с передачей XML-документа с описаниемпараметров запроса, показанного на рис.
3.7.Рис. 3.7. Пример XML-документа, задающего параметры запроса привызове предметного посредника.Вданномхимическихслучаесущностей.пользовательПосколькузапрашиваетвзначенияинтегрированнойИСсвойствможетсодержаться большое количество разных свойств и химических сущностей,запрос уточняется с помощью XML-документа. В нашем примере в этом узлеприсутствует только один дочерний узел item со значением 27, это означает,чтозапрашиваютсяидентификаторомтолькоPropertyID=27,значениячтосвойствасоответствуетсглобальнымакустооптическимсвойствам. Кроме того, накладывается фильтр по химическому веществу сглобальным идентификатором SystemID=1, SubstanceID=86 (химическоевещество GaAs). По химической модификации накладывается фильтр,указывающий, что глобальный идентификатор химической модификацииModificationID не должен принимать значения 1 и 2.Узел DescribeChemicalEntities дает предметному посреднику командуна добавление в XML-документ с ответом описаний химических сущностей,соответствующихглобальнымидентификаторамSubstanceIDи61 ModificationID.
Описания соответствующих сущностей представляют узлыSystemXML, SubstanceXML и ModificationName. В них содержатся описаниясущностейсогласноданнымметабазы.ФрагментXML-документа,содержащего ответ предметного посредника на рассмотренный выше запросприведен на рис. 3.8.Рис. 3.8. Фрагмент XML-документа, содержащего ответ предметногопосредника интегрируемой ИС на запрос значений свойств.Как видно из рис.
3.8, предметный посредник вернул ответ,содержащий значения акустооптических свойств для арсенида галлия GaAs.3.5. Защита информации при интеграции данныхКомпьютерная сеть включает в себя локальные и удаленныекомпьютеры, которые, в зависимости от используемой архитектуры ипрограммного обеспечения могут играть роль клиентов и/или серверов,вспомогательное сетевое оборудование и физические каналы передачиданных.Компьютерные сети делятся на следующие три основные категории:• Локальные вычислительные сети (LAN, Local Area Networks);62 • Городские вычислительные сети (MAN, Metropolitan Area Networks);• Глобальные вычислительные сети (WAN, Wide Area Networks).Сеть общего пользования Интернет представляет собой совокупностьвычислительных сетей всех трех типов.Вспомогательноесетевоеоборудованиепредназначенодляорганизации и контроля межсетевых взаимодействий и информационногообмена в пределах локальной сети.
Вспомогательное сетевое оборудованиеможно разделить на следующие категории:• Коммутационноеоборудование–коммутаторы,концентраторы,повторители;• Маршрутизирующее сетевое оборудование;• Оборудование информационной безопасности – межсетевые экраны,сенсоры предотвращения вторжений, систем почтовой и веб фильтрации,В зависимости от конкретной задачи для организации взаимодействиямежду конечными узлами сети может использоваться специализированноесетевое оборудование, например, балансировщики нагрузки, прокси-сервера,центры удостоверения сертификатов и т.д.Основными методами защиты информации в сетях являются:• Использование механизмов контроля межсетевых взаимодействий поопределенным параметрам взаимодействия, например – IP адресам илисетевым протоколам;• Использованиеалгоритмовшифрованияданных(алгоритмысимметричного шифрования);• Использование алгоритмов проверки целостности данных (алгоритмырасчета хеш-суммы);• Использование механизмов авторизации пользователей (как правило,применяется для доступа к определенным ресурсам сети или сегментамсети);• Использование механизмов проверки подлинности конечных устройств(посредством цифровых сертификатов подлинности);63 Перечисленныеметодымогутбытьобычнореализованыкакаппаратно, так и программным путем на стороне клиента или сервера.
Такжемеханизмы защиты могут быть реализованы как с помощью локальныхпрограммно-аппаратных комплексов, так и с помощью глобальных сервисов,поддерживаемых сторонними организациями.Примером локального средства защиты от угроз является межсетевойэкран, установленный в точке подключения локальной сети к сети Интернет.Примерами глобального сервиса защиты является сервис удостоверяющихцентров цифровых сертификатов подлинности, либо репутационная базаресурсов сети Интернет.К наиболее часто используемым решениям относятся средствашифрования и контроля целостности данных, а также средства контролявзаимодействий по определенным признакам – межсетевые экраны.Реализацияразработанноймоделиинформационногообменапредполагает передачу данных между тремя независимыми группамиустройств:• Источники данных;• Серверы интегрированной ИС;• Конечные пользователи интегрированной ИС.В качестве транспортной сети для обмена данными целесообразноиспользовать сеть общего пользования Интернет.
Использование сетиИнтернет обусловлено необходимостью организовать информационныйобменмеждугеографическиудаленнымиобъектами(теоретически,источники данных, конечные пользователи и ИС интеграции могутрасполагаться на различных континентах) и невозможностью использоватьфизически выделенные линии связи по экономическим соображениям.Упрощенная схема взаимодействия между группами устройств представленана рис.
3.9.При этом сеть Интернет является небезопасной средой передачиданных по следующим причинам:64 • Доступ к сети может получить любое устройство и любой пользователь;• Механизмы контроля действий пользователей сети Интернет отсутствуют;• ВсетиИнтернетприсутствуютинепрерывнораспространяютсявредоносные программы, вирусы, сетевые черви, шпионское программноеобеспечение, троянские программы и т.д.• Всети“ботнеты”Интернет-присутствуютсовокупностьинепрерывнораспространяютсяскомпрометированныхустройств,выполняющих определенные несанкционированные (и чаще всегонезаконные) действия без ведома владельцев устройств;• Отсутствуют механизмы защиты данных, передаваемых по сети Интернет;Сеть интегрированной ИССеть источника данныхСеть источника данныхСеть ИнтернетРис. 3.9.
Упрощенная схема взаимодействия между группами устройствВ то же время, данные, которыми обмениваются источники данных иинтегрированная ИС, а также интегрированная ИС и конечные пользователинеобходимо защитить от угроз сети Интернет по следующим причинам:• Данные представляют ценность и могут являться интеллектуальнойсобственностью;65 • Доступ к данным определенного источника данных может бытьограничен,либозакрытлокальнойполитикойсуществующейворганизации, обслуживающей источник данных;В контексте информации, передаваемой между источниками данныхможно выделить следующие виды потенциальных угроз:• Несанкционированный доступ к данным;• Угрозы потери, либо несанкционированного распространения данных;• Угрозы уничтожения, искажения, либо фальсификации данных;• Угрозы нарушения работоспособности информационных систем;Следует отметить, что данные типы угроз актуальны не только дляинформационной системы, но и для систем, в которых расположеныисточники данных – злоумышленник может использовать сервера системы вкачестве плацдарма для атаки на источники данных.Исходя из вышесказанного, для защиты информации в технологияхинтеграции данных необходимо решить две задачи:• Организовать безопасную передачу данных через небезопасную сетьобщего пользования Интернет;• Организовать защиту компонентов интегрированной ИС от возможныхумышленных или неумышленных деструктивных воздействий.Основу защиты данных при передаче по открытым каналам связи сетиИнтернет составляет применение технологии виртуальных частных сетей(VPN – Virtual Private Network), при помощи которой в открытых каналахсвязи эмулируется защищенный туннель, недоступный для внешних(неавторизованных) пользователей.Виртуальная честная сеть - обобщённое название технологий,позволяющихобеспечитьодноилинесколькосетевыхсоединений(логическую сеть) поверх другой сети (например, Интернет).
Несмотря на то,что коммуникации осуществляются по сети с меньшим неизвестным уровнемдоверия, уровень доверия к построенной логической сети не зависит отуровня доверия к базовым сетям благодаря использованию средств66 криптографии (шифрования, аутентификации, инфраструктуры открытыхключей, средств для защиты от повторов и изменений передаваемых пологической сети сообщений).Организация VPN-туннеля между двумя сетевыми устройствамитребует наличия специализированного программного либо аппаратногообеспечения с возможностью поддержки и использования одинаковыхалгоритмов шифрования и аутентификации.Существует несколько типов реализации технологии виртуальныхчастных сетей, наиболее распространенными из которых являются:• IPSec VPN (IP Security VPN) - набор протоколов для обеспечения защитыданных,передаваемыхпомежсетевомупротоколуIP,позволяетосуществлять подтверждение подлинности и/или шифрование IP-пакетов.IPSec также включает в себя протоколы для защищённого обменаключами в сети Интернет.• SSL VPN (Secure Socket Layer VPN) – организация виртуальной частнойсети на основе протокола SSL.