О проекте

Проект решает проблему утечки защищаемых сведений при работе в сети интернет.

Под защищаемыми сведениями тут понимаем все виды конфиденциальной информации (ПДН, коммерческую, профессиональную и иные виды тайны), а так же любые данные и метаданные, размещаемые пользователями приватно (не для публичного использования) в информационных системах Интернета (ИСИ), либо порожденные их действиями при использовании ИСИ или доступе к ИСИ (цифровой след).

Под пользователем понимаем как физических лиц (абоненты), так и организации. Организации состоят из внутренних абонентов (абоненты организации).

Каналами утечки мы считаем:

Владельцев ИСИ (За исключением случая, когда пользователь сам является владельцем ИСИ);
Персонал владельцев ИСИ (в том числе и персонал пользователя — владельца ИСИ по отношению к этому пользователю). Этот персонал делится на два подтипа:
Персонал работа которого требует непосредственного доступа к защищаемым сведениям для исполнения трудовых обязанностей (Например, менеджеру по продажам доступ к данным о ранее совершенных сделках и базе клиентов необходим);
Персонал работа которого непосредственного доступа к защищаемым сведениям не требует, но доступ этот персонал имеет. Это, как правило, технический персонал (Например, администратору баз данных, который обслуживает СУБД, содержащую данные о ранее совершенных сделках и клиентах, доступ к этим данным не нужен, но, фактически такой доступ у него есть);
Провайдеров Интернета и операторов связи, которые обеспечивают передачу данных от абонента к ИСИ и их персонал;
Операторов облачных сервисов и Web-хостингов, на которых размещены ИСИ, и их персонал.
Каналы утечки могут образоваться как в результате намеренных действий так и в результате ошибок, например при конфигурировании систем защиты информации, администрировании СУБД и т.п.

Более подробно постановка проблемы и ее подтверждение приведены в наших работах:

Alexey V. Nenashev, Alexandr Yu. Tolstenko «Video Confrencing Subsystem Of Secure Serverless Internet» 2022 Mathematical Methods in Technologies and Technics. St Petersburg, Russia, doi: 10.52348/2712-8873_MMTT_2022_7_37. >>Article in MMTT
Hryaschev V. V., Nenashev A. V. «Efficiency of the implementation of the peer-to-peer distributed system for securable information storage and processing (TheOOL Project).» Modeling of systems and processes . 2021. no. 3. pp. 82-89. DOI: 10.12737/2219-0767-2021-14-3-82-89. >>Article in naukaru.ru
Дополнительно значимость проблемы подтверждает международный отчет: VERYZON:2022 Data Breach InvestigationsReport

Проект разрабатывает ООО «ТХЕООЛ» (THEOOL LLC) ИНН: 6319258510 ОГРН: 1226300036841 при поддержке Российского Фонда Содействия Инновациям и Фонда Сколково.

Направления деятельности ООО «ТХЕООЛ»:
62.01 — Разработка компьютерного программного обеспечения.
62.03 — Деятельность по управлению компьютерным оборудованием.
72.19 — Научные исследования и разработки в области естественных и технических наук прочие.

Проблемы и задачи

Проект решает проблему утечки защищаемых сведений при работе в сети интернет.

Под защищаемыми сведениями тут понимаем все виды конфиденциальной информации (ПДН, коммерческую, профессиональную и иные виды тайны), а так же любые данные и метаданные, размещаемые пользователями приватно (не для публичного использования) в информационных системах Интернета (ИСИ), либо порожденные их действиями при использовании ИСИ или доступе к ИСИ (цифровой след).

Под пользователем понимаем как физических лиц (абоненты), так и организации. Организации состоят из внутренних абонентов (абоненты организации).

Каналами утечки мы считаем:

1. Владельцев ИСИ (За исключением случая, когда пользователь сам является владельцем ИСИ);
2. Персонал владельцев ИСИ (в том числе и персонал пользователя — владельца ИСИ по отношению к этому пользователю). Этот персонал делится на два подтипа:
   1. Персонал работа которого требует непосредственного доступа к защищаемым сведениям для исполнения трудовых обязанностей (Например, менеджеру по продажам доступ к данным о ранее совершенных сделках и базе клиентов необходим);
   2. Персонал работа которого непосредственного доступа к защищаемым сведениям не требует, но доступ этот персонал имеет. Это, как правило, технический персонал (Например, администратору баз данных, который обслуживает СУБД, содержащую данные о ранее совершенных сделках и клиентах, доступ к этим данным не нужен, но, фактически такой доступ у него есть);
3. Провайдеров Интернета и операторов связи, которые обеспечивают передачу данных от абонента к ИСИ и их персонал;
4. Операторов облачных сервисов и Web-хостингов, на которых размещены ИСИ, и их персонал.

Каналы утечки могут образоваться как в результате намеренных действий так и в результате ошибок, например при конфигурировании систем защиты информации, администрировании СУБД и т.п.

Более подробно постановка проблемы и ее подтверждение приведены, например, вот в этих наших работах:

• Alexey V. Nenashev, Alexandr Yu. Tolstenko «Video Confrencing Subsystem Of Secure Serverless Internet» 2022 Mathematical Methods in Technologies and Technics. St Petersburg, Russia, doi: 10.52348/2712-8873_MMTT_2022_7_37. >>Article in MMTT
• Hryaschev V. V., Nenashev A. V. «Efficiency of the implementation of the peer-to-peer distributed system for securable information storage and processing (TheOOL Project).» Modeling of systems and processes . 2021. no. 3. pp. 82-89. DOI: 10.12737/2219-0767-2021-14-3-82-89. >>Article in naukaru.ru

Дополнительно значимость проблемы подтверждает вот этот международный отчет: VERYZON:2022 Data Breach InvestigationsReport

Таким образом мы должны выполнить две основные задачи:

• Перекрыть каналы утечки 1, 2.б, 3, 4.
• Сократить, насколько возможно, вероятность утечки через канал 2.а.

При этом разрабатываемая система должна соответствовать следующим требованиям:

• Совокупная стоимость владения (ССВ) предлагаемой системой должна быть меньше или равной ССВ существующих, аналогичных по функционалу, систем.
• Риски информационной безопасности (кроме рисков утечки по каналам 1 — 4) должны быть ниже или равны рискам в существующих, аналогичных по функционалу, системах.
• Реализовывать привычную пользователям существующих ИСИ функциональность со сходным уровнем качества сервиса (QoS)
• Анализ и перечень возможных рисков информационной безопасности приведен в нашей работе Hryaschev V. V., Nenashev A. V. «Efficiency of the implementation of the peer-to-peer distributed system for securable information storage and processing (TheOOL Project).» Modeling of systems and processes . 2021. no. 3. pp. 82-89. DOI: 10.12737/2219-076 >>Article in naukaru.ru

Технический концепт

TheOoL.net состоит из облака вычислительных ресурсов (серверов) и облака данных (контент и ИСИ размещаемые пользователями), которые абстрагированы друг от друга прослойкой из системы управления метаданными и платежами функционирующей на технологии распределенного реестра (блокчейн TheOoL). В TheOoL.net определены 2 базовых типа аппаратных узлов: абонентские узлы и технические узлы. Технические узлы образуют облако вычислительных ресурсов. Данные и задачи в облаке вычислительных ресурсов защищаются сильной криптографией и распределяются между узлами облака таким образом, чтобы доступ к любому из этих узлов не позволял получить доступ к информации обрабатываемой и хранимой в облаке данных.

Предполагается, что серверы в облако вычислительных ресурсов может подключить любой участник сети TheOoL, который установил на свой сервер программное обеспечение Технического узла TheOoL.

Система на базовом уровне состоит из

1. Подсистемы выполнения децентрализованных приложений (DApps) в микросервисной архитектуре. В системе поднимается отдельный набор микросервисов для каждого пользовательского запроса. Серверы для исполнения микросервисов выбираются рандомно. Сведения о результатах работы микросервиса владельцу сервера не доступны. Перед запуском микросервиса сеть убеждается в безопасности его выполнения, для чего проверяется неизменность модулей TheOoL на выбранном сервере. На текущем этапе разработки приемлемы DApps, написанные на Python.
2. Подсистемы децентрализованного защищенного хранения данных. Мы храним данные в зашифрованном виде по принципу «везде и нигде». Упрощенно это можно описать так: любой законченный набор данных (файл) перед размещением в облаке TheOoL зашифровывается, затем нарезается на блоки стандартного размера (но не менее 2), а затем раскидывается на случайным образом отобранные технические узлы, таким образом, чтобы каждый технический узел содержал не более одного блока, принадлежащего одному файлу. Доступ к данным для пользователя доступен через метаданные, хранимые в индивидуальном наборе поисковых индексов. Подробно см. нашу работу: Alexey V. Nenashev, Alexandr Yu. Tolstenko and Rostislav S. Oleshko «Model of the peer‐to‐peer distributed system for securable information storage and processing without traffic prioritization(TheOoL project)» 2021 Proceedings of the III International Workshop on Modeling, Information Processing and Computing (MIP: Computing-2021) Krasnoyarsk, Russia, doi:10.47813/dnit-mip3/2021-2899-141-150. >>Article in ceur-ws.org
3. Децентрализованной системы поиска, которая обеспечивает доступ к данным через поисковые индексы трех уровней: индивидуальный (индекс и данные доступны одному конкретному абоненту, остальные не знают об их существовании), групповой (индекс и данные доступны абонентам — членам определенной группы, абоненты — не члены группы не знают об их существовании), публичный (доступен всем абонентам, содержит метаданные для страниц с публичным доступом, при этом сведения о владельце страниц не содержит, они хранятся в инндивидуальном индексе владельца). Доступ к данным абонент получает через доступные ему поисковые индексы. Если индекс скрыт от абонента, такой абонент не только не имеет доступа к данным, зарегистрированном в этом индексе, но и не имеет сведений о существовании таких данных в системе.
4. Встроенной платежной системы и системы управления метаданными на блокчейне TheOoL с поддержкой фиксированного набора стандартных смарт-контрактов, которые предназначены для обслуживания взаимодействий владельцев контента (заказчиков) и владельцев аппаратных ресурсов (исполнителей). Это необходимо, чтобы обеспечить заказчиков гарантированным доступом к высокопроизводительным вычислительным ресурсам, что выгодно отличает разрабатываемую нами систему от аналогов и предшественников (см. анализ конкурентов).
5. Технических подсистем, выполняющих автоматические функции поддержания целостности и доступности данных и оптимизации работы облака данных по производительности и надежности.

Программное обеспечение TheOoL при передаче данных в соответствии с сетевой моделью OSI обеспечивает три верхних уровня: прикладной, представительский и сеансовый уровни.

На транспортном уровне передача данных между узлами осуществляется через оверлейный (работающий поверх TCP/IP) протокол I2P который во первых обеспечивает скрытную передачу данных между узлами через сеть маршрутизаторов I2P, которые в общем случае могут не принадлежать сети узлов TheOoL, что осложняет идентификацию трафика узлов TheOoL в общем потоке, а во вторых выполняет дополнительное (повторное) шифрование данных при передаче.

Подробную информацию об архитектуре TheOoL.net можно получить, например, в нашей работе: Alexey V. Nenashev, Alexandr Yu. Tolstenko «Video Confrencing Subsystem Of Secure Serverless Internet» 2022 Mathematical Methods in Technologies and Technics. St Petersburg, Russia, doi: 10.52348/2712-8873_MMTT_2022_7_37 >>Article in MMTT.

Наши партнеры