Discussão do experimento - Arquitetura ponte-filtro para segurança em simulação distribuída mul

4.2 EXPERIMENTO

4.2.4 Discussão do experimento

Por meio desse experimento buscou-se atestar que a solução proposta atende às necessidades de segurança em exercícios de simulação multinacionais. O primeiro nível de filtro testado na Seção 4.2.2, ao carregar somente o FOM acordado entre as nações, realiza a ampla proteção de simuladores nacionais que participam apenas do exercício local ou que estão conectados à rede de treinamento nacional segura.

Isso restringe o acesso externo aos dados publicados por simuladores nacionais que usem uma extensão do FOM específica, permitindo que estes simuladores permaneçam conectados à Federação local e interagindo com outros simuladores na RTI nacional de forma que informações sensíveis sobre armamentos, tropas e características doutrinárias contidas nesses simuladores transitem apenas na rede de treinamento local.

O segundo nível de filtro verificado na Seção 4.2.3 protege os dados dos simuladores que participam do acordo entre as federações a nível de objetos e interações, que podem representar, por exemplo, características de armamentos.

Uma das maneiras de obter informações confidenciais é combinando infor- mações não confidenciais (MÖLLER et al., 2011). Portanto, no caso específico do teste realizado, seria possível obter velocidade de deslocamento combinando distância percorrida e tempo de deslocamento. Se esses dados são considerados sensíveis para uma determinada unidade especial contida em um simulador, essas informações poderiam ser protegidas, na fase de preparação do exercício ou em tempo de execução, usando a solução proposta.

Outro fator a ser considerado é que o usuário credenciador pode definir as regras de filtragem de acordo com as regras do seu país, o que demonstra a flexibilidade da solução evitando que seja necessária a intervenção de técnicos e desenvolvedores na configuração da ferramenta para proteção de informações confidenciais de simuladores nacionais.

Na situação demonstrada na Seção 3.3.1 onde um operador humano faz a transmissão das informações de uma simulação para outra, a ferramenta proposta poderia ser configurada previamente e fazer a comunicação de forma automatizada e segura, tornar o exercício mais dinâmico e substituindo a figura do operador humano. Nas soluções dos trabalhos apresentados na Seção 2.5 a segurança fica próxima do simulador (federado) e pode restringir informações na federação local. Ao

verificar os testes realizados e comparar a atuação do filtro da solução proposta com outras propostas fica evidenciado que o foco muda da fronteira do federado para a fronteira da federação. A vantagem disso é a possibilidade de implantar políticas de segurança distintas para cada domínio e evitar restrições indesejadas ao exercício local.

Devido à decisões dos desenvolvedores do simulador SWORD, ele não publica diversas informações na RTI, como, por exemplo, informações de armamentos. Como não há publicação dessas informações, não há necessidade de filtragem desses dados, pois essa “não publicação” torna-se uma espécie de filtro nas proximidades do simulador. Isso corrobora com nossa afirmação que a melhor forma de filtragem para exercícios multi-domínio não é no simulador e sim na federação, pois essa supressão de informações aumenta a segurança do simulador, mas por outro lado restringe o exercício nacional local.

5 CONCLUSÃO E TRABALHOS FUTUROS

Um uso esperado de HLA é a interoperação de simuladores desenvolvidos por organizações distintas, mas algumas destas temem pelo vazamento de dados confidenciais relacionados à segurança nacional ou segredo industrial (XIANGUO et al., 2007). A solução apresentada neste trabalho tem como característica permitir que Federações de simuladores possam interoperar de forma que cada nação participante tenha controle sobre o que deseja compartilhar.

As nações possuem redes de treinamento seguras e, ao participarem de exer- cícios multinacionais, precisam manter a confidencialidade dos dados existentes nos simuladores existentes nestas redes. Nesse contexto, o controle independente de cada Federação, fornecido pela abordagem proposta baseada em uma ponte-filtro de troca de dados para uma arquitetura com múltiplos níveis independentes, permite que cada nação possa definir suas regras de segurança de forma individual. A solução apresentada permite compartilhar as informações nacionais permitidas pelos planejadores do treinamento multinacional e ao mesmo tempo manter a segurança de seu exercício interno. Essa individualidade é garantida pela característica unidirecional da solução.

Pelos experimentos realizados, constatou-se que a solução pode ser configurada para que somente informações sem restrições sejam liberadas para trafegar entre os domínios, o que complementa soluções de arquitetura multi-domínio que envolvem ambientes seguros ou firewalls.

As informações trocadas dentro das federações nacionais somente são transferi- das para outra federação caso o acordo entre as federações (definido no primeiro nível de filtragem) permita. Nesse caso, o exercício local não é prejudicado pela supressão de informações evitando-se problemas de luta injusta e, ao mesmo tempo, informações sigilosas, publicadas na RTI local, ficam seguras dentro da rede de treinamento nacional. A análise do trânsito dessas informações pode ser verificada na área de log de eventos, conforme exemplificado na subseção 4.2.2, o que auxilia na identificação de possíveis problemas de segurança em tempo de execução ou na fase de planejamento do treinamento.

A possibilidade de tornar a segurança mais restritiva (usando filtro global) ou di- recionar a segurança a elementos de simulação específicos (usando filtro por instância), torna a solução mais flexível permitindo às nações compartilhar mais informações de simuladores conectados a sua federação, bloqueando apenas dados sigilosos específi- cos. Isso torna o combate mais justo, pois evita uma restrição excessiva de informações, cabendo aos planejadores encontrar a medida certa de bloqueios a ser realizada.

Outra característica observada é que a solução desenvolvida permite que os usuários realizem as configurações do filtro e isso evita necessidade da interferência de técnicos e desenvolvedores, dando maior independência aos credenciadores/planejadores do treinamento.

O problema da segurança em simulações multinacionais tem uma amplitude maior e não se restringe ao domínio militar. Em HLA o formato dos dados a serem trocados entre federados é descrito no FOM, que é diferente para uma simulação de treinamento de defesa e uma simulação de ferrovia (MÖLLER et al., 2015). Portanto, propõe-se como um trabalho futuro a adaptação do protótipo HLA BrSimSecurity para atender FOMs utilizados em outras áreas, possibilitando que outras organizações possam realizar testes e simulações em conjunto e sem necessidade de expor segredos industriais. Para que essa adaptação da solução seja possível é necessário analisar FOMs de simuladores de diferentes áreas e, conforme exposto na subseção 4.1.4, realizar a geração dos códigos para a biblioteca desenvolvida, contendo as callbacks adequadas para que a GUI entenda e possa identificar a estrutura de classes de objetos e interações para estabelecimento da ponte entre federações e realização da filtragem.

REFERÊNCIAS

ANDREWS, D.; WHARINGTON, J.; STRATTON, D. SecProxy-A proposed security architecture for the HLA. In: Simulation Technology and Training Conference Pro- ceedings. Lindfield: Simulation Industry Association of Australia, 2008. p. 45 – 50. ISBN 0977525740.

BRASIL. Exército Brasileiro. Aprovado pela Portaria nº 18 do Centro de Operações Ter- restres (COTER).Caderno de Instrução de Exercícios de Simulação Construtiva, 2017.

BRÉHOLÉE, B.; SIRON, P. Design and Implementation of a HLA Inter-federation Bridge. In:European Simulation Interoperability Workshop. Estocolmo: SISO, 2003.

CALYTRIX TECHNOLOGIES.Systems Integration Primer for DIS/HLA Simulations: More than just blue string. 2014. Disponível em: https://www.calytrix.com/products/ lvcgame/resources/Calytrix%20LVC%20Integration%20Primer.pdf. Acesso em: 04 out. 2019.

CERANOWICZ, A. et al. An Alternative Approach for Distributed Cross Domain Si- mulation Solutions. In: Spring Simulation Interoperability Workshop. San Diego, California: USA, 2013. p. 59 – 70. ISBN 978-1-62748-019-2.

CROOM-JOHNSON, S.; HUISKAMP, W.; MÖLLER, B. Security in Simulation - A Step in the Rigth Direction. In:Fall Simulation Interoperability Workshop. Orlando: SISO, 2013. p. 44 – 53. ISBN 978-1-62993-049-7.

CUNHA, A. L. N. O Emprego do Sistema de Simulação Construtiva como Ferra- menta de Apoio à Decisão: uma proposta ao Exército Brasileiro. 2011. 305 p. Tese (Doutorado em Ciências Militares) — Escola de Comando e Estado-Maior do Exército. ELKINS, A.; WILSON, J.; GRACANIN, D. Security issues in high level architecture based distributed simulation. In: Proceedings of the 33nd conference on Winter simulation. Arlington: ACM, 2001. p. 818 – 826. ISBN 0-7803-7309-X.

EUA, JOINT CHIEFFS OF STAFF. Joint Planning. 2017. Disponível em: https:// www.jcs.mil/Portals/36/Documents/Doctrine/pubs/jp5_0_20171606.pdf. Acesso em: 09 ago. 2019.

EXÉRCITO BRASILEIRO - EME. Catálogo de Capacidades do Exército 2015-2035. Catálogo de Capacidades do Exército 2015-2035, Brasília, DF, p. 1 – 21, 2015. FLETCHER, J. D. Education and Training Technology in the Military. Science, v. 323, p. 72 – 75, Janeiro 2009.

HODSON, D. D.; HILL, R. R. The art and science of live, virtual, and constructive simulation for test and analysis. The Journal of Defense Modeling and Simulation: Applications, Methodology, Technology, v. 11, n. 2, p. 77 – 89, abril 2014.

IEEE.IEEE Standard for Modeling and Simulation (M&S) High Level Architecture (HLA) – Framework and Rules: IEEE Std 1516-2010 (Revision of IEEE Std 1516- 2000). New York, 2010a.

IEEE.IEEE Standard for Modeling and Simulation (M&S) High Level Architecture (HLA) – Object Model Template (OMT) Specification: IEEE Std 1516.2-2010 (Revi- sion of IEEE Std 1516.2-2000). New York, 2010b.

IEEE.IEEE Standard for Modeling and Simulation (M&S) High Level Architecture (HLA) - Federate Interface Specification: IEEE Std 1516.1-2010 (Revision of IEEE Std 1516.1-2000). New York, 2010c.

KUNDE, D. O. Interoperabilidade entre Simuladores Construtivos e Virtuais Táti- cos: uma Abordagem para extensão do Simulation Object Model do Simulador MASA SWORD. 2018. 85 p. Dissertação (Mestrado em Ciência da Computação) — Universi- dade Federal de Santa Maria.

MASA. MASA SWORD. 2019. Disponível em: https://masasim.com/sword/. Acesso em: 10 mai. 2019.

MIFSUD, M.; LÖFSTRAND, B.; LLOYD, J. An Update on the Developments and Ma- turity of the NATO Education and Training Network (NETN) Federation Architecture and Federation Object Model (FOM). In: MSG-126 Multi-Workshop on Integrating Modelling & Simulation in the Defence Acquisition Lifecycle and Military Training Curriculum. Whashington: NATO-STO, 2014. p. 22–1 – 22–16.

MÖLLER, B. et al. Using HLA Object Models for the Analisys of Cross Domain Security Policies. In:Fall Simulation Interoperability Workshop. Orlando: SISO, 2015. p. 195 – 201. ISBN 978-1-5108-1705-0.

MÖLLER, B. et al. Security in NATO collective mission training-Problem analysis and solutions. In: Spring Simulation Interoperability Workshop. Orlando: SISO, 2012. p. 217 – 225.

MÖLLER, B. et al. Solving Common Interoperability Challenges with HLA-to-HLA Brid- ging. In: Fall Simulation Interoperability Workshop. Orlando: SISO, 2014. p. 402 – 409. ISBN 978-1-63439-389-8.

MÖLLER, B. et al. Towards Multi-Level Security for NATO Collective Mission Training–a White Paper. In:Spring Simulation Interoperability Workshop. Boston: SISO, 2011. p. 449 – 457. ISBN 978-1-61782-424-1.

MÖLLER, B.; LÖF, S. A management overview of the HLA evolved web service API. In: Fall Simulation Interoperability Workshop. Orlando: SISO, 2006. p. 170 – 176. ISBN 978-1-62276-142-5.

NATO. On Future Combined: Joint Distributes Tactical Training Through Simulation for Joint and Combined Tasks and Operations. [S.l.], 2018. Disponível em: https:// diweb.hq.nato.int/nafag2/MISC/NIAG-D(2018)0005_SG215_IP_FINAL_REPORT.pdf. Acesso em: 06 set. 2019.

NATO - NORTH ATLANTIC TREATY ORGANIZATION. NATO Education and Training Network Federation Architecture and FOM Design (NETN FAFD). 2017. Disponível em: http://www.netn.mscoe.org/. Acesso em: 06 set. 2019.

PANAMAX.Exercise Emphasizes Combined, Interagency Cooperation. 2018. Dis- ponível em: https://archive.defense.gov/news/newsarticle.aspx?id=50870. Acesso em: 02 Abril 2019.

PAUL, R. L. et al. Doctrine Based Multi-resolution HLA Distributed Simulation. In: Proceedings of the Symposium on Applied Computing. New York: ACM, 2017. p. 59 – 64. ISBN 978-1-4503-4486-9.

RIBEIRO, M. C. Adestramento de Estados-Maiores Conjuntos com Emprego de Simulação Construtiva. 2016. 55 p. Dissertação (Curso de Altos Estudos de Política e Estratégia) — Escola Superior de Guerra.

SIEGFRIED, R. et al. Effective and Efficient Training Capabilities through Next Ge- neration Distributed Simulation Environments. In: STO-MP-MSG-111-M&S Support to Transitioning Forces and Emerged/Emerging Disruptive M&S Technologies. Sydney: Australia, 2013. p. 7–1 – 7–18.

SIEGFRIED, R. et al. How to ensure Fair Fight in LVC Simulations: Architectural and Pro- cedural Approaches. In: NATO Modelling & Simulation Group (NMSG) Symposium. Bern: NATO-STO, 2011. p. 10–1 – 10–12. ISBN 978-92-837-0158-3.

SLAGHENAUFI, X.; NUNES, R. C.; AMARAL, R. P. A Combined Structure for Secu- rity in Distributed Simulation. In: 9th Latin-American Symposium on Dependable Computing. Natal: [s.n.], 2019.

SOKOLOWSKI, J. A.; BANKS, C. M.Modeling and Simulation Fundamentals: Theo- retical Underpinnings and Practical Domains. Hoboken: John Wiley & Sons, 2010. ISBN 978-0-470-48674-0.

TECNOLOGIA E DEFESA. VIKING Exercise 2018. 2018. Disponível em: http: //tecnodefesa.com.br/viking-exercise-2018-brazil-site-analise/. Acesso em: 02 out. 2019.

TOLK, A. Tutorial on the engineering principles of combat modeling and distributed simulation. In:Proceedings of the 2016 Winter Simulation Conference. Washington, DC: IEEE, 2016. p. 255 – 269. ISBN 978-1-5090-4486-3.

TOPÇU, O.; OGUZTÜZÜN, H. Guide to Distributed Simulation with HLA. 1. ed. Cham: Springer International Publishing, 2017. ISBN 978-3-319-61267-6.

UNITED STATES OF AMERICA DEPARTMENT OF STATE. Agreement between the Government of the United States of America and the Government of the Federative Re- public of Brazil regarding defense cooperation = Acordo entre o Governo da República Federativa do Brasil e o Governo dos Estados Unidos da América sobre Cooperação em Matéria de Defesa.Agreement Between the UNITED STATES OF AMERICA and BRAZIL, Washington, 2015.

VERKOELEN, C. A.; WYMENGA, R. R. Multi Level Security within Collective Mission Si- mulation Architectures. In:Spring Simulation Interoperability Workshop. San Diego: SISO, 2009. p. 294 – 307. ISBN 978-1-60560-798-6.

XIANGUO, M. et al. Proposal for Security Extensions for HLA RTI in Distributed Envi- ronment. In:8th International Conference on Electronic Measurement and Instru- ments (ICEMI). Xian: IEEE, 2007. p. 3–228 – 3–231. ISBN 9781424411368.

ZHANG, Z. H.; CHAI, X. D.; HOU, B. C. System security approach for web-enabled HLA/RTI in the cloud simulation environment. In: 6th IEEE Conference on Industrial Electronics and Applications. Beijing: IEEE, 2011. p. 245 – 248.

QUESTIONÁRIO

Meu nome é Xerxes Slaghenaufi, sou militar do Exército Brasileiro, Capitão do Quadro Complementar de Oficiais da área de informática e estou realizando Mestrado em Ciência da Computação, área específica de Simulação Distribuída, na Universidade Federal de Santa Maria sob orientação do Prof. Dr. Raul Ceretta Nunes.

Meu trabalho de mestrado é na grande área de Defesa e estudos preliminares indicaram que as características de segurança que são requeridas em simulações militares integradas, principalmente entre nações distintas, apontam para o uso de filtro de informações. Neste sentido, meu trabalho tem como objetivo principal criar uma ferramenta computacional (filtro) em que militares possam facilmente configurar o trânsito de informação em exercícios de simulação distribuída High Level Architecture (HLA). Saliento que um ponto chave na pesquisa é conhecer/reconhecer quais infor- mações necessitam classificação e como se disponibiliza condições para que sejam filtradas caso um instrutor de uma simulação integrada não queira compartilhá-las em um exercício conjunto devido ao seu nível de sigilo.

Para obtenção de dados consistentes relacionados a pesquisa que estou realizando, solicito seu auxílio respondendo a este questionário. Peço sua cooperação e empenho, para respostas mais detalhadas possível, pois o questionário visa extrair as principais informações da parte textual das respostas.

Para quaisquer dúvidas e esclarecimentos, fico à disposição no e-mail xerxes.slaghenaufi@eb.mil.br ou slaghena@terra.com.br ou telefone (55) 99115 5942.

Informo que suas respostas individuais serão mantidas em sigilo, que o seu nome é opcional e que o questionário é composto de 04 (quatro) perguntas.

Seção 1 – Perfil do Entrevistado 1. Qual seu posto ou graduação?

2. Trabalhou com Sistemas de Simulação de Combate? ( ) Sim ( ) Não

3. Participou de Exercícios de Simulação de Combate (Jogo de Guerra) no Brasil?

( ) Sim ( ) Não

4. Participou ou assistiu Exercícios de Simulação de Combate (Jogo de Guerra) no Exterior?

( ) Sim ( ) Não

5. Participou ou assistiu Exercícios de Simulação ou Treinamento Conjuntos, ou seja, com a participação de vários países distintos?

( ) Sim ( ) Não

6. Qual(is) atividade(s) desempenhou em relação a utilização de sistemas de simulação de combate?

Seção 2 - Questionário

ou operou, seja no Exército Brasileiro, outra Força ou mesmo Forças de Defesa de outra nação?

2. Nesses sistemas de simulação há informações (por exemplo, relacionadas a doutrinas, armas, constituição de tropas e sensores) que podem ser consideradas sigilosas ou sensíveis e necessitar de tratamento adequado?

( ) Sim ( ) Não

Caso a resposta seja positiva, o Sr. poderia detalhar que tipo de informações podem ser consideradas sigilosas ou sensíveis?

3. A manipulação dessas informações por indivíduos não autorizados poderia ser prejudicial à defesa do país?

( ) Sim ( )Não

Caso a resposta seja positiva, como o Sr. considera que esse acesso a dados considerados sigilosos possa ser prejudicial à defesa do país?

4. Em caso de um exercício de simulação conjunto entre o Brasil e outras nações, o Sr. considera que seria interessante a filtragem (remoção ou substituição) de determinadas informações, que estão contidas nos simuladores utilizados pelo Brasil, para que estas sejam compartilhadas com outras nações?

( ) Sim ( ) Não

Caso a resposta seja positiva, quais informações contidas em simuladores utilizados pelo Brasil, o Sr. julga que possam ser classificadas em algum nível de segurança?

No documento Arquitetura ponte-filtro para segurança em simulação distribuída multinacional (páginas 72-81)