Основные механизмы безопасности

⇐ ПредыдущаяСтр 56 из 69Следующая ⇒

Идентификация и аутентификация. Аутентификация устанавливает, что именно этому пользователю принадлежит используемый идентификатор. Обычно базируется на одном или более из трех пунктов:

- то, чем пользователь владеет (ключ или магнитная карта),

- то, что пользователь знает (пароль),

- атрибуты пользователя (отпечатки пальцев, подпись, голос).

Наиболее простой подход к аутентификации — использование пароля. Когда пользователь идентифицирует себя при помощи уникального идентификатора или имени, у него запрашивается пароль. Если пароль, сообщенный пользователем, совпадает с паролем, хранимым в системе, система предполагает, что пользователь легитимен. Проблемы в трудности хранения пароля в секрете. Чаще всего хранится хеш пароля. Пароли распространены, т. к. они легки для понимания и использования.

Разграничение доступа. Компьютерная система может быть смоделирована как набор субъектов (процессы, пользователи) и объектов (процессор, сегменты памяти, принтер, диски, файлы, программы, семафоры). Каждый объект имеет уникальное имя и каждый может быть доступен через хорошо определенные и значимые операции. Операции зависят от объектов. Например, процессор может только выполнять команды. Сегменты памяти могут быть записаны и прочитаны, тогда как считыватель карт может только читать. Файлы данных могут быть записаны, прочитаны, переименованы и т.д. Желательно добиться того, чтобы субъект имел доступ только к тем ресурсам, которые ему нужны для выполнения его задачи — минимизация привилегий.

Различают дискреционный и полномочный способ управления доступом. Дискреционный описывается матрицей, в строках которой перечислены субъекты, а в столбцах — объекты. Полномочный подход заключается в том, что вся информация делится на уровни в зависимости от степени секретности, а все пользователи также делятся на группы, образующие иерархию в соответствии с уровнем допуска к этой информации. Большинство операционных систем реализуют именно дискреционное управление доступом. Главное его достоинство - гибкость, главные недостатки - рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы.

Аудит. Включает, например, ведение журнала событий в системе и периодическое сканирование.

Журналы могут включать в себя события, влияющие на состояние безопасности: вход/выход из системы, операции с файлами, смена привилегий, etc. Требуется выборочное протоколирование, чтобы не переполнять носители. Сканирование может помочь выявить слабые места и бреши: слабые пароли, неавторизованные программы в системных директориях, долго выполняющиеся программы, нелогичная защита критичных данных (системные директории, файлы, драйвера), изменения в системных программах, обнаруженные при помощи контрольных сумм. Можно настроить на автоматическое исправление или оповещение.

Управление безопасностью

Под механизмами защиты ОС будем понимать все средства и механизмы защиты данных, функционирующие в составе ОС. Операционные системы, в составе которых функционируют средства и механизмы защиты данных, часто называют защищенными системами.

Под безопасностью ОС будем понимать такое состояние ОС, при котором невозможно случайное или преднамеренное нарушение функционирования ОС, а также нарушение безопасности находящихся под управлением ОС ресурсов системы. Укажем следующие особенности ОС, которые позволяют выделить вопросы обеспечения безопасности ОС в особую категорию:

− управление всеми ресурсами системы; − наличие встроенных механизмов, которые прямо или косвенно влияют на безопасность программ и данных, работающих в среде ОС; − обеспечение интерфейса пользователя с ресурсами системы; − размеры и сложность ОС. Рассмотрим типовые функциональные дефекты ОС, которые могут привести к созданию каналов утечки данных.1. Идентификация. Каждому ресурсу в системе должно быть присвоено уникальное имя – идентификатор. Во многих системах пользователи не имеют возможности удостовериться в том, что используемые ими ресурсы действительно принадлежат системе.2. Пароли. Большинство пользователей выбирают простейшие пароли, которые легко подобрать или угадать.3. Список паролей. Хранение списка паролей в незашифрованном виде дает возможность его компрометации с последующим НСД к данным.4. Пороговые значения. Для предотвращения попыток несанкционированного входа в систему с помощью подбора пароля необходимо ограничить число таких попыток, что в некоторых ОС не предусмотрено.5. Подразумеваемое доверие. Во многих случаях программы ОС считают, что другие программы работают правильно.6. Общая память. При использовании общей памяти не всегда после выполнения программ очищаются участки оперативной памяти (ОП).7. Разрыв связи. В случае разрыва связи ОС должна немедленно закончить сеанс работы с пользователем или повторно установить подлинность субъекта.8. Передача параметров по ссылке, а не по значению (при передаче параметров по ссылке возможно сохранение параметров в ОП после проверки их корректности, нарушитель может изменить эти данные до их использования).9. Система может содержать много элементов (например, программ), имеющих различные привилегии. Основной проблемой обеспечения безопасности ОС является проблема создания механизмов контроля доступа к ресурсам системы. Процедура контроля доступа заключается в проверке соответствия запроса субъекта предоставленным ему правам доступа к ресурсам. Кроме того, ОС содержит вспомогательные средства защиты, такие как средства мониторинга, профилактического контроля и аудита. В совокупности механизмы контроля доступа и вспомогательные средства защиты образуют механизмы управления доступом. Средства профилактического контроля необходимы для отстранения пользователя от непосредственного выполнения критичных с точки зрения безопасности данных операций и передачи этих операций под контроль ОС. Для обеспечения безопасности данных работа с ресурсами системы осуществляется с помощью специальных программ ОС, доступ к которым ограничен. Средства мониторинга осуществляют постоянное ведение регистрационного журнала, в который заносятся записи обо всех событиях в системе. В ОС могут использоваться средства сигнализации о НСД, которые используются при обнаружении нарушения безопасности данных или попыток нарушения. Контроль доступа к данным. При создании механизмов контроля доступа необходимо, прежде всего, определить множества субъектов и объектов доступа. Субъектами могут быть, например, пользователи, задания, процессы и процедуры. Объектами – файлы, программы, семафоры, директории, терминалы, каналы связи, устройства, блоки ОП и т.д. Субъекты могут одновременно рассматриваться и как объекты, поэтому у субъекта могут быть права на доступ к другому субъекту. В конкретном процессе в данный момент времени субъекты являются активными элементами, а объекты – пассивными. Для осуществления доступа к объекту субъект должен обладать соответствующими полномочиями. Полномочие есть некий символ, обладание которым дает субъекту определенные права доступа по отношению к объекту, область защиты определяет права доступа некоторого субъекта к множеству защищаемых объектов и представляет собой совокупность всех полномочий данного субъекта. Списки доступа – исключительно гибкое средство. С их помощью легко выполнить требование о гранулярности прав с точностью до пользователя. Посредством списков несложно добавить права или явным образом запретить доступ (например, чтобы наказать нескольких членов группы пользователей). Безусловно, списки являются лучшим средством произвольного управления доступом. При принятии решения о предоставлении доступа обычно анализируется следующая информация: 1) идентификатор субъекта (идентификатор пользователя, сетевой адрес компьютера и т.п.). Подобные идентификаторы являются основой произвольного (или дискреционного) управления доступом; 2) атрибуты субъекта (метка безопасности, группа пользователя и т.п.). Метки безопасности – основа мандатного управления доступом. Непосредственное управление правами доступа осуществляется на основе одной из моделей доступа: - матричной модели доступа (модель Харрисона-Руззо-Ульмана); - многоуровневой модели доступа (модель Белла-Лападулы).

2. Вычислительные сети: безопасность ресурсов сети (средства идентификации и аутентификации, методы разделения ресурсов и технологии разграничения доступа); безопасность локальных сетей (основные протоколы, службы, функционирование, средства обеспечения безопасности, управления и контроля); безопасность глобальных сетей (основные протоколы, службы и предоставляемые услуги, технология и механизмы обеспечения безопасности и управления распределенными ресурсами, стандарты и платформы); безопасность интранет (принципы построения и основные методы защиты).

Вычислительная сеть - информационная сеть, в состав которой входит вычислительное оборудование. Компонентами вычислительной сети могут быть ЭВМ и периферийные устройства, являющиеся источниками и приемниками данных, передаваемых по сети. Эти компоненты составляют оконечное оборудование данных (ООД или DTE - DataTerminalEquipment). В качестве ООД могут выступать ЭВМ, принтеры, плоттеры и другое вычислительное, измерительное и исполнительное оборудование автоматических и автоматизированных систем. Собственно пересылка данных происходит с помощью сред и средств, объединяемых под названием среда передачи данных.

Идентификация и аутентификация. Аутентификация устанавливает, что именно этому пользователю принадлежит используемый идентификатор. Обычно базируется на одном или более из трех пунктов: то, чем пользователь владеет (ключ или магнитная карта), то, что пользователь знает (пароль), атрибуты пользователя (отпечатки пальцев, подпись, голос).

Наиболее простой подход к аутентификации – использование пароля. Когда пользователь идентифицирует себя при помощи уникального идентификатора или имени, у него запрашивается пароль. Если пароль, сообщенный пользователем, совпадает с паролем, хранимым в системе, система предполагает, что пользователь легитимен. Проблемы в трудности хранения пароля в секрете. Чаще всего хранится хеш пароля. Пароли распространены, т. к. они легки для понимания и использования.

Процедуры авторизации реализуются программными средствами, которые могут быть встроены в операционную систему или в приложение, а также могут поставляться в виде отдельных программных продуктов. При этом программные системы авторизации могут строиться на базе двух схем:

- централизованная схема авторизации, базирующаяся на сервере;

- децентрализованная схема, базирующаяся на рабочих станциях.

В первой схеме сервер управляет процессом предоставления ресурсов пользователю, пользователь один раз логически входит в сеть и получает на все время работы некоторый набор разрешений по доступу к ресурсам сети. Система Kerberos с ее сервером безопасности и архитектурой клиент-сервер является наиболее известной системой этого типа. Системы TACACS и RADIUS, часто применяемые совместно с системами удаленного доступа, также реализуют этот подход.

При втором подходе рабочая станция сама является защищенной – средства защиты работают на каждой машине, и сервер не требуется. Теоретически доступ к каждому приложению должен контролироваться средствами безопасности самого приложения или же средствами, существующими в той операционной среде, в которой оно работает.

В крупных сетях часто применяется комбинированный подход предоставления пользователю прав доступа к ресурсам сети: сервер удаленного доступа ограничивает доступ пользователя к подсетям или серверам корпоративной сети, то есть к укрупненным элементам сети, а каждый отдельный сервер сети сам по себе ограничивает доступ пользователя к своим внутренним ресурсам: разделяемым каталогам, принтерам или приложениям.

Сервер удаленного доступа предоставляет доступ на основании имеющегося у него списка прав доступа пользователя (AccessControlList), а каждый отдельный сервер сети предоставляет доступ к своим ресурсам на основании хранящегося у него списка прав доступа, например ACL файловой системы.

Технология защищенного канала. Задачу защиты данных можно разделить на две подзадачи: защиту данных внутри компьютера и защиту данных в процессе их передачи из одного компьютера в другой. Для обеспечения безопасности данных при их передаче по публичным сетям используются различные технологии защищенного канала. Технология защищенного каналапризвана обеспечивать безопасность передачи данных по открытой транспортной сети, например по Интернету. Защищенный канал подразумевает выполнение трех основных функций:

- взаимную аутентификацию абонентов при установлении соединения, которая может быть выполнена, например, путем обмена паролями;

- защиту передаваемых по каналу сообщений от НСД, например, путем шифрования;

- подтверждение целостности поступающих по каналу сообщений.

Существуют разные реализации технологии защищенного канала, которые могут работать на разных уровнях модели OSI. Так, функции популярного протокола SSL соответствуют представительномууровню модели OSI. Новая версия сетевогопротокола IP предусматривает все функции – взаимную аутентификацию, шифрование и обеспечение целостности, – которые по определению свойственны защищенному каналу, а протокол туннелирования РРТР защищает данные на канальном уровне.

В зависимости от места расположения программного обеспечения защищенного канала различают две схемы его образования:

- схему с конечными узлами, взаимодействующими через публичную сеть;

- схему с оборудованием поставщика услуг публичной сети, расположенным на границе между частной и публичной сетями.

Разграничение доступа. Компьютерная система может быть смоделирована как набор субъектов (процессы, пользователи) и объектов (процессор, сегменты памяти, принтер, диски, файлы, программы, семафоры). Каждый объект имеет уникальное имя и каждый может быть доступен через хорошо определенные и значимые операции. Операции зависят от объектов. Например, процессор может только выполнять команды. Сегменты памяти могут быть записаны и прочитаны, тогда как считыватель карт может только читать. Файлы данных могут быть записаны, прочитаны, переименованы и т.д. Желательно добиться того, чтобы субъект имел доступ только к тем ресурсам, которые ему нужны для выполнения его задачи – минимизация привелегий.

Различают дискреционный и полномочный способ управления доступом. Дискреционный описывается матрицей, в строках которой перечислены субъекты, а в столбцах – объекты. Полномочный подход заключается в том, что вся информация делится на уровни в зависимости от степени секретности, а все пользователи также делятся на группы, образующие иерархию в соответствии с уровнем допуска к этой информации. Большинство операционных систем реализуют именно дискреционное управление доступом. Главное его достоинство - гибкость, главные недостатки - рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы.

Аудит. Включает, например, ведение журнала событий в системе и периодическое сканирование. Журналы могут включать в себя события, влияющие на состояние безопаности: вход/выход из системы, операции с файлами, смена привилегий, etc. Требуется выборочное протоколирование, чтобы не переполнять носители. Сканирование может помочь выявить слабые места и бреши: слабые пароли, неавторизованные программы в системных директориях, долго выполняющиеся программы, нелогичная защита критичных данных (системные директории, файлы, драйвера), изменения в системных программах, обнаруженные при помощи контрольных сумм. Можно настроить на автоматическое исправление или оповещение. Использование систем обраружения вторжений (СОВ) – системных или сетевых, активных или пассивных, программных или аппаратных. Например, Snort.

Безопасность информационных систем – это система, которая защищает данные от НСД, готова предоставить их своим пользователям. Надежно хранит информацию и гарантирует неизменность данных. Безопасная система обладает следующими свойствами: конфиденциальность, доступность, целостность. Угрозы: умышленные и неумышленные. Неумышленные – вызваны ошибочными действиями лояльных сотрудников, становятся следствием их безответственности или низкой квалификации, кроме того к такому роду угроз относятся последствия ненадежной работы ПО и аппаратных средств системы. Умышленные угрозы могут ограничиваться пассивным чтением данных, либо мониторингом системы, либо включают в себя активные действия.

В вычислительных сетях можно выделить следующие типы угроз:

- разрушение системы вирусом;

- незаконное проникновение под видом легального пользователя;

- нелегальные действия легального пользователя;

- подслушивание трафика;

- незаконное проникновение м.б. через уязвимые места в системе безопасности с использованием недокументированных возможностей ОС.

Средства обеспечения безопасности. Построение и поддержка безопасности системы требует системного подхода. В связи с этим необходимо оценивать возможные угрозы для конкретной системы. Для обеспечения безопасности необходимо применять комплекс мер, методик и средств, направленных на обеспечение безопасности информации. Можно выделить нормативно-правовое, морально–эстетическое, организационное и техническое обеспечение.

Одним из наиболее эффективных методов защиты сети предприятия от внешних угроз является использование межсетевого экрана – программного или аппаратного маршрутизатора, совмещённого с firewall (особой системой, осуществляющей фильтрацию пакетов данных).

Настройка ПО гораздо проще конфигурирования специализированного оборудования и может быть выполнена системным администратором средней квалификации. Следует запретить трансляцию пакетов, содержащих адрес приёмника в диапазоне адресов локальной сети предприятия или равный широковещательному адресу, в Интернете. Также следует запретить трансляцию пакетов, не содержащих адреса локальной сети предприятия, из Интернета в локальную сеть. Это позволит оградить сеть предприятия от прослушивания извне, а также минимизировать возможности для передачи в локальную сеть враждебных пакетов. Время работы маршрутизатора, когда осуществляется трансляция пакетов, следует выбрать равным времени работы организации плюс небольшой временной резерв для задерживающихся в офисе или пришедших раньше времени сотрудников.

Настройка firewall потребует более серьёзного подхода, но также не должна вызвать затруднений: следует разрешить обмен данными с Интернетом только по тем протоколам, которые реально используются на предприятии. Например, это могут быть протоколы HTTP, HTTPS, SMTP, POP3, DNS, ICQ и т.д. Попытка обмена данными по неразрешённым протоколам должна блокироваться firewall и записываться им в журнал. Особо следует отметить, что требуется обязательно запретить обмен пакетами NETBIOS с Интернетом, так как этот протокол очень слабо защищён от взлома.

В некоторых случаях имеет смысл установить корпоративный Proxy-сервер с доступом к ресурсам Интернета по паролю. Во-первых, это позволит незначительно сократить интернет-трафик, так как дублирующаяся информация будет кэширована Proxy-сервером. Во-вторых, это позволит скрыть от посторонних глаз внутренние имена и адреса компьютеров, так как Proxy-сервер осуществляет выборку веб-страниц от своего имени, рассылая затем информацию потребителям внутри предприятия по списку. И в-третьих, это позволит выявлять нарушителей, подключившихся к сети предприятия с целью получения доступа в Интернет. А также СОВ и антивирусные решения.

Предотвращение неавторизованного доступа к сетевым ресурсам означает, прежде всего, невозможность физического доступа к компонентам сети - рабочим станциям, серверам, сетевым кабелям и устройствам, и т.п. Оборудование в помещении компании должно находиться под пристальным наблюдением.

Комнаты с компьютерами, серверами, маршрутизаторами должны закрываться на замок или находиться под круглосуточным наблюдением.

Резервные носители должны быть защищены так же, как и исходные данные. Недопустимо хранить резервные копии на сервере или рабочей станции, оставлять картриджи и CD на столе или в незапертом ящике.

Системные демоны и службы. Фоновые процессы, выполняющие различные функции на серверах Windows, называются службами. В операционных системах Unix также есть аналогичные фоновые процессы, называемые демонами. Иногда они могут стать причиной нарушения системы защиты.

Следует ознакомиться с фоновыми процессами, выполняемыми на всех серверах сети, и отключить лишние. Например, в системах Unix есть много фоновых демонов, связанных с набором протоколов TCP/IP. На одних компьютерах они нужны, на других же используются, в лучшем случае, только некоторые из них.

Например, служба tftp является упрощенным вариантом FTP. Она компактна и обычно легко реализуется в виде перепрограммируемого ПЗУ. Поэтому эта служба полезна в некоторых устройствах, требующих загрузки операционной системы с хоста. Однако следует учесть, что, в отличие от FTP, служба tftp не имеет доступа к механизмам управления и, таким образом, имя пользователя и пароль для нее неприменимы. А поскольку аутентификации нет, то отсутствие правильной настройки - например, разрешения использования только в определенных целях - может привести к серьезным нарушениям системы защиты.

Сетевые службы. Именно совокупность предоставляемых возможностей - насколько широк их выбор, насколько они удобны, надежны и безопасны - определяет для пользователя облик той или иной сети.

Кроме собственно обмена данными, сетевые службы должны решать и другие, более специфические задачи. Среди сетевых служб можно выделить административные, то есть такие, которые в основном ориентированы не на простого пользователя, а на администратора и служат для организации правильной работы сети в целом. Служба администрирования учетных записей о пользователях, которая позволяет администратору вести общую базу данных о пользователях сети, система мониторинга сети, позволяющая захватывать и анализировать сетевой трафик, служба безопасности, в функции которой может входить среди прочего выполнение процедуры логического входа с последующей проверкой пароля, - все это примеры административных служб.

Основные службы - файловая служба и служба печати - обычно предоставляются сетевой операционной системой, а вспомогательные, например служба баз данных, факса или передачи голоса, - системными сетевыми приложениями или утилитами, работающими в тесном контакте с сетевой ОС.

Одним из главных показателей качества сетевой службы является ее удобство.

При определении степени удобства разделяемого ресурса часто употребляют термин «прозрачность». Прозрачный доступ - это такой доступ, при котором пользователь не замечает, где расположен нужный ему ресурс - на его компьютере или на удаленном. После того как он смонтировал удаленную файловую систему в свое дерево каталогов, доступ к удаленным файлам становится для него совершенно прозрачным.

Основные протоколы. К защищенным сетевым протоколам относиться IPsec и TLS(transportlayerprotocol). IPsec обеспечивает управление доступом, целостностью вне соединения, аутентификацию источников данных, защиту от воспроизведения, а также конфиденциальность и частичную защиту от анализа трафика. Назначение протокола TLS на транспортном уровне состоит в том, чтобы гарантировать конфиденциальность и целостность потока данных между взаимодействующими приложениями. Недостатком TLS является то, что приложения должны обращаться к соответствующим функциям протокола. Достоинством является большая избирательность защиты и независимость от нижележащих уровней. SSL (SecureSocketLayer) имеет встроенные механизмы шифрования, обеспечивает способ аутентификации клиента без необходимости его регистрации на сервере IIS.

Управление сетями включает в себя следующие задачи: поиск неисправностей в сетях, шлюзах и важных серверах; разработка схем уведомления администратором о наличии проблем; общий мониторинг в сети с целью распределения нагрузки в ней и планирования ее дальнейшего расширения; документирование и визуализация работы в сети; управление сетевыми устройствами с центральной станции.

Поиск неисправности в сети. Когда в сети возникла неисправность первым делом нужно обдумать возможные варианты решения проблемы с помощью следующих рекомендаций: изменения в конфигурацию вносятся пошагово, выполняется проверка работоспособности; документирование возникшей ситуации и все внесенные изменения; начинайте с края системы и продвигайтесь по ключевым компонентам, пока не достигнете неисправности; регулярно обменивайтесь мнениями с сотрудниками; работайте в команде; помните о многоуровневой структуре сетевых средств, при возникновении неисправности начинайте с верхнего или нижнего уровней и последовательно продвигайтесь по стеку протоколов, проверяя работу программно аппаратных средств.

Протоколы управления сетями определяют стандартный метод зондирования какого-либо устройства с целью выявления его сетевых соединений, конфигурации и общего состояния. Кроме того протоколы позволяют модифицировать часть этой информации, чтобы стандартизировать управление различными видами аппаратуры. Наиболее распространенным протоколам является SNMP (простой протокол управления сетью). Существуют и другие стандарты управления сетью: WBEM система управления предприятий основанная на WEB технологиях; DMI интерфейс управления компьютером; CIM концептуальная модель интерфейса.

Основное преимущество SNMP заключается в том, что абсолютно все типы сетевых и аппаратных средств выводятся на один уровень. При использовании этого протокола они говорят на одном языке. В пространстве имен SNMP определены 4 базовые команды операций: GET, GETNEXT, SET, TRAP.

Принципы функционирования локальных сетей. ЛВС на базе ПК получили в настоящее время широкое распространение из-за небольшой сложности и невысокой стоимости. Они используются при автоматизации коммерческой, банковской деятельности, а также для создания распределенных, управляющих и информационно-справочных систем. ЛВС имеют модульную организацию. Их основные компоненты – это (см. рис.):

Серверы – это аппаратно-программные комплексы, которые исполняют функции управления распределением сетевых ресурсов общего доступа.

Рабочие станции – это компьютеры, осуществляющие доступ к сетевым ресурсам, предоставляемым сервером.

Физическая среда передачи данных (сетевой кабель) – это коаксиальные и оптоволоконные кабели, витые пары проводов, а также беспроводные каналы связи (инфракрасное излучение, лазеры, радиопередача).

Выделяется два основных типа ЛВС: одноранговые (peer-to-peer) ЛВС и ЛВС на основе сервера (server based). Различия между ними имеют принципиальное значение, т. к. определяют разные возможности этих сетей. Выбор типа ЛВС зависит от: размеров предприятия; необходимого уровня безопасности; объема сетевого трафика; финансовых затрат; уровня доступности сетевой административной поддержки.

При этом в задачи сетевого администрирования обычно входит: управление работой пользователей и защитой данных; обеспечение доступа к ресурсам; поддержка приложений и данных; установка и модернизация прикладного ПО.

Одноранговые сети. В этих сетях все компьютеры равноправны: нет иерархии среди них; нет выделенного сервера. Как правило, каждый ПК функционирует и как рабочая станция (РС), и как сервер, т. е. нет ПК ответственного за администрирование всей сети (рис. ниже). Все пользователи решают сами, какие данные и ресурсы (каталоги, принтеры, факс-модемы) на своем компьютере сделать общедоступными по сети.

Рабочая группа - это небольшой коллектив, объединенный общей целью и интересами. Поэтому в одноранговых сетях чаще всего не более 10 компьютеров. Эти сети относительно просты.

В такие операционные системы, как: MS Widows NT for Workstation; MS Widows 95/98, Widows 2000 встроена поддержка одноранговых сетей. Поэтому, чтобы установить одноранговую сеть, дополнительного ПО не требуется, а для объединения компьютеров применяется простая кабельная система. Одноранговая сеть вполне подходит там, где: количество пользователей не превышает 10-15 человек; пользователи расположены компактно; вопросы защиты данных не критичны; в обозримом будущем не ожидается расширения фирмы, и, следовательно, увеличения сети.

Сети на основе сервера. При подключении более 10 пользователей одноранговая сеть может оказаться недостаточно производительной. Поэтому большинство сетей используют выделенные серверы. Выделенными называются такие серверы, которые функционируют только как сервер (исключая функции РС или клиента). Они специально оптимизированы для быстрой обработки запросов от сетевых клиентов и для управления защитой файлов и каталогов.

С увеличением размеров сети и объема сетевого трафика необходимо увеличивать количество серверов.

Распределение задач среди нескольких серверов гарантирует, что каждая задача будет выполняться самым эффективным способом из всех возможных.

Круг задач, которые выполняют серверы, многообразен и сложен. Чтобы приспособиться к возрастающим потребностям пользователей, серверы в ЛВС стали специализированными. Так, например, в операционной системе Windows NT Server существуют различные типы серверов:

1. Файл-серверы и принт-серверы.

2. Серверы приложений (в том числе сервер баз данных, WEB -сервер). На них выполняются прикладные части клиент серверных приложений (программ

3. Почтовые серверы.

4. Факс-серверы.

5. Коммуникационные серверы.

6. Сервер служб каталогов – предназначен для поиска, хранения и защиты информации в сети. Windows NT.

Глобальная сеть. (Wide Area Network) – компьютерная сеть, охватывающая большую территорию и включающую в себя десятки и сотни тысяч компьютеров в различных городах и даже странах. Служат объединением разрозненных сетей так, чтобы компьютеры и пользователи, где бы они не находились, могли взаимодействовать со всеми остальными участниками глобальной сети. Некоторые ГС построены исключительно для частных организаций, другие являются средством коммуникации корпоративных ЛВС с сетью Интернет или посредством Интернет с удалёнными сетями, входящими в состав корпоративных. Чаще всего ГС опирается на выделенные линии, на одном конце которых маршрутизатор подключается к ЛВС, а на другом концентратор связывается с остальными частями ГВС.

Основные протоколы. Основными используемы-ми протоколами являются TCP/IP, SONET/SDH, MPLS, ATM и Frame relay. Ранее был широко распространён протокол X.25, прародитель Frame relay.

Одной из глобальных сетей является Интернет. Интернет состоит из многих тысяч корпоративных, научных, правительственных и домашних компьютерных сетей. Объединение сетей разной архитектуры и топологии стало возможно благодаря протоколу IP и принципу маршрутизации пакетов данных. Любая сеть передачи цифровых данных, проводная или беспроводная, для которой существует стандарт инкапсуляции в неё IP-пакетов, может передавать и трафик Интернета.

Протокол IP образует единое адресное пространство в масштабах всего мира, но в каждой отдельной сети может существовать и собственное адресное подпространство, которое выбирается исходя из класса сети.

Наиболее распространены протоколы DNS, FTP, HTTP, HTTPS, POP3, SSH, SNMP (прикладного уровня), SSL, TLS (Сеансового/Представительного уровня), TCP, UDP (Транспортного уровня), IP, ICMP (Сетевого уровня), Ethernet, TokenRing, Arcnet (Канального уровня). Кроме того, есть ряд нестандартизированных, но популярных протоколов — BitTorrent, Skype, OSCAR, CDDB.

Наиболее популярные услуги Интернета это форумы, блоги, социальные сети, вики-проекты, интернет магазины и аукционы, электронная почта и списки рассылки, группы новостей, файлообменные сети, электронные платежные системы, интернет радио и телевидение, IP телефония, мессенджеры, FTP серверы, поисковые системы, интернет реклама, многопользовательские игры, удаленное управление, etc.

Наиболее распространенными функциональными службами в Интернет являются:

1) Электронная почта E-mail - служба электронного общения в режиме оффлайн;

2) Распределенная система гипермедиа Word Wide Web (WWW);

3) Передача файлов - FTP;

4) Поиск данных и программ - Archie;

5) USENET, News - телеконференции, группы новостей (доски объявлений) или дискуссионные группы по различным темам;

6) Поиск данных по ключевым словам WAIS (WAIS реализует концепцию распределенной информационно-поисковой системы);

7) Whois - адресная книга сети Internet. По запросу пользователь может получить информацию о владельцах доменных имен;

8) Доступ к компьютерам в режиме удаленного терминала - Telnet;

9) Gopher - служба доступа к информации с помощью иерархических каталогов (иерархических меню).

10) Службы для электронного общения в режиме онлайн: мессенджеры и VoIP сервис.

Все услуги предоставляемые сетью Internet можно разделить на две категории: обмен информацией между абонентами сети и использование баз данных сети. Фактически все службы (услуги) сети построены по принципу клиент-сервер.

К клиентским программам относятся: браузеры - программы для просмотра Web-серверов; ftp-клиенты; telnet-клиенты; почтовые клиенты; WAIS-клиенты.

Механизмы обеспечения безопасности и управления распределенными ресурсами. Защита почты в среде Windows основана на практической реализации протокола стандартизованного безопасного формата сообщения S/MIME. Secure Multipurpose Internet Mail Extensions — многоцелевое расширение для обеспечения безопасности интернет-почты. S/MIME защищает сообщения и файлы от несанкционированного раскрытия данных, поддерживает цифровые подписи и шифрование в соответствии со стандартом PKCS. Шифрование базируется на инфраструктуре открытого ключа PKI — public-key infrastructure, то есть используются сертификаты с личным ключом и технология криптографирования открытыми ключами.

Защита связи

- Миграция на виртуальные частные сети (VPN): Многие компании переходят с выделенных линий или технологии с коммутацией пакетов (frame relay) для экономии расходов и возросшей производительности. Окупаемость инвестиций у них часто достигает 100% в год. Как вспомогательный канал, VPN через DSL (Digital Subscriber Line – цифровая абонентская линия) организовать дешевле и быстрее, чем ISDN (Integrated Service Data Network – цифровая сеть с интеграцией услуг), кроме того, такая сеть более высокоскоростная и надежная. Для того чтобы добавить защиту шифрованием между сегментами, зданиями или группами, где критически важна защита информации и время простоя, многие компании используют VPN внутри своих локальных сетей (LAN).

- Законодательные акты о конфиденциальности информации: По закону, шифрование данных обязательно в здравоохранении, финансовой системе, торговле и в государственном секторе. Для обеспечения соответствия компании должны использовать стандарты и решения аутентификации (такие, как NAC и 802.1x) и процедуру проведения проверок. Кроме этого, рекомендовано применять шифрование данных, которые передаются по существующим у них глобальным сетям. Добавление этих возможностей как части начальной установки маршрутизатора, проще и дешевле, нежели добавление требуемых средств обеспечения безопасности впоследствии.

⇐ Предыдущая 51 52 53 54 555657 58 59 60 Следующая ⇒