ВВЕДЕНИЕ
Закончившееся 20-ое столетие являлось веком не только электричества и атома, в еще большей степени оно может претендовать на то, чтобы называться веком тотальной информатизации и компьютеризации общества. С того самого момента, когда в его середине появились и начали победное шествие по планете устройства для обработки цифровых данных - компьютеры, возникла индустрия производства, обработки и потребления информации, которая в настоящее время стала неотъемлемой частью нашей жизни. Сейчас о технологическом уровне государств имеет смысл судить не по количеству выплавляемой на душу населения стали, или производимых комбайнов для уборки сахарной свеклы, а по совокупной мощности всех вычислительных средств, приходящихся на одного жителя страны.
О важности информации в современном мире наиболее показательно свидетельствуют следующие факты: Во-первых, обладание определенным цифровым кодом может открыть доступ его владельцу к значительным материальным ценностям и услугам - такое положение вещей имеет место благодаря тому, что информатизация общества не обошла стороной банковско-финансовую сферу. Во-вторых, сложилась и необычайно окрепла индустрия информационных услуг - информация стала обыкновенным товаром, то есть объектом купли-продажи. Многие фирмы преуспевают только благодаря тому, что могут получить важные для их деятельности сведения всего на несколько часов или суток раньше своих конкурентов. В третьих, по оценкам зарубежных экономистов значительная доля западных фирм разорилась бы в течении нескольких дней после разглашения критически важной информации, лежащей в основе их деятельности.
Особый, нематериальный характер информации делает исключительно легким ее копирование и модифицирование, в силу чего она становится соблазнительным объектом различного рода злоупотреблений. Кроме того, довольно типичной является ситуация, когда нужную кому-либо информацию ее владельцы не согласились бы продать ни за какие деньги, и единственный способ ее получить - это украсть. Указанные причины привели к возникновению целой отрасли человеческой деятельности, основное назначение которой - добывать информацию любыми возможными и невозможными способами, - конечно же, речь идет о разведке. Профессия шпиона наряду с другими, прекрасно всем известными, является одной из древнейших на планете. С другой стороны, статистика неумолимо свидетельствует, что все большая доля всех преступлений совершается в сфере информационных технологий "белыми" и "синими воротничками", использующими "бреши" информационных систем в своих личных целях. Действительно, сейчас, чтобы ограбить банк, не нужно проламывать стены хранилищ и резать автогеном сейфы, достаточно узнать код, управляющий доступом к одному из банковских счетов. Все, что для этого требуется, - это компьютер и доступ к банковской сети, ну и конечно, некоторое количество серого вещества в черепной коробке. Прискорбно, но факт - число преступлений с использованием "высоких технологий" растет быстрыми темпами.
1. ИНФОРМАЦИЯ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
1.1. Важность информации и ее защиты в современном мире
Как мы говорили выше, что информация это нечто без чего мы не сможем продвигаться и развивать свои различные потребности. А важность информации в современном мире - признанный и неоспоримый факт.
Вот для чего и появилось необхадимость в ее защите. Высокая уязвимость информационных технологий к различным злоумышленным действиям породила острую необходимость в средствах противодействия этому, что привело к возникновению и развитию области защиты информации (ЗИ) как неотъемлемой части информационной индустрии. Древнейшей задачей сферы ЗИ является защита передаваемых сообщений от несанкционированного ознакомления с их содержимым.
В качестве основных объективных причин, определяющих необходимость в изучении вопросов обеспечения сохранности информации, можно выделить следующие:
1. Высокие темпы роста парка ЭВМ, находящихся в эксплуатации. Парк ЭВМ количественно и качественно постоянно увеличивается.
2. Расширение областей использования ЭВМ. Широкое применение вычислительной техники в самых различных сферах человеческой деятельности объясняется рядом причин: развитием собственно вычислительной техники, которая позволяет решать задачи, связанные с управлением производством, различными технологическими процессами и системами, обработкой цифровой и символьной информации практически во всех областях науки и техники; постоянно возрастающем в соответствии с экспоненциальным законом объемом информации, который человек должен воспринимать и перерабатывать в процессе своей деятельности; более эффективным использованием трудовых и стоимостных ресурсов в экономике, возможностью решения новых научных проблем, принятия обоснованных решений на различных уровнях управления.
3. Высокая степень концентрации информации в центрах ее обработки. На современном этапе особое значение имеют банки данных, предназначенные для централизованного накопления и коллективного многоаспектного использования данных. Банк данных представляет собой человеко-машинную систему, включающую внутренних пользователей, в том числе и администрацию банка данных, а также технологию информационного процесса на базе ЭВМ и других средств вычислительной техники.
4. Количественное и качественное совершенствование способов доступа пользователя к ресурсам ЭВМ. Если к ЭВМ первого поколения
имели доступ, обслуживающий персонал и пользователи, находящиеся непосредственно в машинном зале, то современные СОД (системы обработки данных) могут обслуживать абонентов, удаленных на сотни и тысячи километров. Количество абонентов, пользующихся услугами системы одновременно, может быть очень большим. Стало возможным взаимное сопряжение различных ЭВМ при обмене информацией. Такие взаимосвязанные ЭВМ с подключенными к ним удаленными абонентскими терминальными устройствами образуют сложные информационно-вычислительные сети, распределенные на большой территории. Очевидно, что в этих системах такими организационными мерами, как поддержание строгого режима в помещениях, где установлены ЭВМ, исключить несанкционированный доступ к информации практически невозможно.
5. Усложнение вычислительного процесса на ЭВМ. Еще недавно ЭВМ работали в основном в однопрограммном режиме, т.е. сравнительно продолжительный период времени решалась только одна задача. Современные ЭВМ могут работать в мультипрограммном режиме (одновременно решается несколько задач), в мультипроцессорном режиме (создаются условия для решения программы задачи несколькими параллельно работающими процессорами), а также в режиме разделения времени, когда в одной и той же ЭВМ одновременно может обращаться большое количество абонентов. При таких режимах работы в памяти ЭВМ одновременно могут находиться программы и массивы данных различных пользователей, с ЭВМ одновременно будет поддерживать связь значительное число абонентов. В этом случае необходимо решение как проблем собственно физической защиты информации, так и сохранения информации от других пользователей или несанкционированного подключения пользователя, специально вклинивающегося в вычислительный процесс.
1.2. Угрозы информационной безопасности
Информация воснавном обрабатовается в СОД (Система Обработки Данных), во всем мире. Расмотрим некоторые оспекти этой деятельности.
Умышленные факторы сохранности информации в СОД зарубежные специалисты подразделяют на угрозы со стороны пользователей ЭВМ и лиц, не являющихся пользователями. Несанкционированный доступ к информации может включить неавторизованное пользование информацией системы и активную инфильтрацию. Неавторизованное пользование информацией отождествляется с ситуацией, когда неавторизованный пользователь получает возможность ознакомиться с информацией, хранимой в системе, и использовать ее в своих целях (прослушивание линий связи пользователей с ЭВМ, анализ информационных потоков, использование программ, являющихся чужой собственностью).
Под активной инфильтрацией информации подразумеваются такие действия, как просмотр чужих файлов через удаленные терминалы, маскировка под конкретного пользователя, физический сбор и анализ файлов на картах, магнитных лентах и дисках и т.д.
Намеренные попытки проникновения в СОД могут быть классифицированы как пассивные и активные.
Пассивное проникновение - это подключение к линиям связи или сбор электромагнитных излучений этих линий в любой точке системы лицом, не являющимся пользователем ЭВМ.
Активное проникновение в систему представляет собой прямое использование информации из файлов, хранящихся в СОД. Такое проникновение реализуется обычными процедурами доступа: использованием известного способа доступа к системе или ее части с целью задания запрещенных вопросов, обращения к файлам, содержащим интересующую информацию; маскировкой под истинного пользователя после получения характеристик (идентификаторов) доступа; использованием служебного положения, т.е. незапланированного просмотра (ревизии) информации файлов сотрудниками вычислительной установки.
Активное проникновение в СОД может осуществляться скрытно, т.е. в обиход контрольных программ обеспечения сохранности информации.
Наиболее характерные приемы проникновения: использование точек входа, установленных в системе программистами, обслуживающим персоналом, или точек, обнаруженных при проверке цепей системного контроля; подключение к сети связи специального терминала, обеспечивающего вход в систему путем пересечения линии связи законного пользователя с ЭВМ с последующим восстановлением связи по типу ошибочного сообщения, а также в момент, когда законный пользователь не проявляет активности, но продолжает занимать канал связи; аннулирование сигнала пользователя о завершении работы с системой и последующее продолжение работы от его имени.
С помощью этих приемов нарушитель, подменяя на время его законного пользователя, может использовать только доступные этому пользователю файлы; неавторизованная модификация - неавторизованный пользователь вносит изменения в информацию, хранящуюся в системе. В результате пользователь, которому эта информация принадлежит, не может получить к ней доступ.
Понятие "неавторизованный" означает, что перечисленные действия выполняются вопреки указаниям пользователя, ответственного за хранение информации, или даже в обход ограничений, налагаемых на режим доступа в этой системе. Подобные попытки проникновения могут быть вызваны не только простым удовлетворением любопытства грамотного программиста (пользователя), но и преднамеренным получением информации ограниченного использования.
Возможны и другие виды нарушений, приводящих к утрате или утечке информации. Так, электромагнитные излучения при работе ЭВМ и других технических средств СОД могут быть перехвачены, декодированы и представлены в виде битов, составляющих поток информации.
1.3. Методы и средства защиты информации
Создание систем информационной безопасности (СИБ) в ИС и ИТ основывается на следующих принципах:
Системный подход к построению системы защиты, означающий оптимальное сочетание взаимосвязанных организационных программных, аппаратных, физических и других свойств, подтвержденных практикой создания отечественных и зарубежных систем защиты и применяемых на всех этапах технологического цикла обработки информации.
Принцип непрерывного развития системы. Этот принцип, являющийся одним из основополагающих для компьютерных информационных систем, еще более актуален для СИБ. Способы реализации угроз информации в ИТ непрерывно совершенствуются, а потому обеспечение безопасности ИС не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования СИБ, непрерывном контроле, выявлении ее узких и слабых мест, потенциальных каналов утечки информации и новых способов несанкционированного доступа.
Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки, т. е. предоставление как пользователям, так и самим работникам ИС, минимума строго определенных полномочий, достаточных для выполнения ими своих служебных обязанностей.
Полнота контроля и регистрации попыток несанкционированного доступа, т. е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в ИТ без ее предварительной регистрации.
Обеспечение надежности системы защиты, т. е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий взломщика или непреднамеренных ошибок пользователей и обслуживающего персонала.
Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.
Обеспечение всевозможных средств борьбы с вредоносными программами.
Обеспечение экономической целесообразности использования системы, защиты, что выражается в превышении возможного ущерба ИС и ИТ от реализации угроз над стоимостью разработки и эксплуатации СИБ.
В результате решения проблем безопасности информации современные ИС и ИТ должны обладать следующими основными признаками:
• наличием информации различной степени конфиденциальности;
• обеспечением криптографической защиты информации различной степени конфиденциальности при передаче данных;
• иерархичностью полномочий субъектов доступа к программам к компонентам ИС и ИТ (к файл-серверам, каналам связи и т.п.).
• обязательным управлением потоками информации, как в локальных сетях, так и при передаче по каналам связи на далекие расстояния;
• наличием механизма регистрации и учета попыток несанкционированного доступа, событий в ИС и документов, выводимых на печать;
• обязательным обеспечением целостности программного обеспечения и информации в ИТ;
• наличием средств восстановления системы защиты информации; • обязательным учетом магнитных носителей;
• наличием физической охраны средств вычислительной техники и магнитных носителей;
• наличием специальной службы информационной безопасности системы.
При рассмотрении структуры СИБ возможен традиционный подход — выделение обеспечивающих подсистем.
Система информационной безопасности, как и любая ИС, должна иметь определенные виды собственного программного обеспечения, опираясь на которые она будет способна выполнить свою целевую функцию.
1. Правовое обеспечение — совокупность законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых являются обязательными в рамках сферы их деятельности в системе защиты информации.
2. Организационное обеспечение. Имеется в виду, что реализация информационной безопасности осуществляется определенными структурными единицами, такими, например, как служба безопасности фирмы и ее составные структуры: режим, охрана и др.
3. Информационное обеспечение, включающее в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование СИБ. Сюда могут входить как показатели доступа, учета, хранения, так и информационное обеспечение расчетных задач различного характера, связанных с деятельностью службы безопасности.
4. Техническое (аппаратное) обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности СИБ.
5. Программное обеспечение. Имеются в виду различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и способов несанкционированного доступа к информации.
6. Математическое обеспечение. Это — математические методы, используемые для различных расчетов, связанных с оценкой опасности технических средств, которыми располагают злоумышленники, зон и норм необходимой защиты.
7. Лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере обеспечения информационной безопасности.
8. Нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации; различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований соблюдения конфиденциальности.
Нормативно-методическое обеспечение может быть слито с правовым.
Следует отметить, что из всех мер защиты в настоящее время ведущую роль играют организационные мероприятия. Поэтому возникает вопрос об организации службы безопасности.
Реализация политики безопасности требует настройки средств защиты, управления системой защиты и осуществления контроля функционирования ИС.
Как правило, задачи управления и контроля решаются административной группой, состав и размер которой зависят от конкретных условий. Очень часто в эту группу входят администратор безопасности, менеджер безопасности и операторы.
В самой большой сети мира Интернет атаки на компьютерные системы прокатываются, как цунами, не зная ни государственных границ, ни расовых или социальных различий. Идет постоянная борьба интеллекта, а также организованности системных администраторов и изобретательности хакеров.
Разработанная корпорацией Microsoft операционная система Windows.NT в качестве основы ИС получает все большее распространение. И конечно, хакеры всего мира обратили на нее пристальное внимание.
По мере появления сообщений об уязвимых местах в Windows NT корпорация Microsoft быстро создает сначала заплаты (hotfixes), а затем пакеты обновления (service packs), помогающие защитить операционную систему. В результате Windows NT постоянно меняется в лучшую сторону. В частности, в ней появляется все больше возможностей для, построения сети, действительно защищенной от несанкционированного доступа к информации.
Методы и средства обеспечения безопасности информации:
Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).
Управление доступом — методы защиты информации регулированием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации. Управление доступом включает следующие функции защиты:
• идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
• опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
• проверку полномочий (проверка соответствия дня недели, времени суток; запрашиваемых ресурсов и процедур установленному регламенту);
• разрешение и создание условий работы в пределах установленного регламента;
• регистрацию протоколирование обращений к защищаемым ресурсам;
• реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.
Механизмы шифрования — криптографическое закрытие информации. Эти методы защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.
Криптографические методы защиты информации
Криптографические методы защиты информации - это "мощное оружие" в борьбе за информационную безопасность.
Криптография представляет собой совокупность методов преобразования данных, направленных на то, чтобы сделать эти данные бесполезными для противника. Такие преобразования позволяют решить две главные проблемы защиты данных:
· проблему конфиденциальности (путем лишения противника возможности извлечь информацию из канала связи);
· проблему целостности (путем лишения противника возможности изменить сообщение так, чтобы изменился его смысл, или ввести ложную информацию в канал связи).
Проблемы конфиденциальности и целостности информации тесно связаны между собой, поэтому методы решения одной из них часто применимы для решения другой. Аппаратно – программные средства защиты информации показано на рис.1.1.
Рис.1.1. Аппаратно – программные средства защиты информации
На рисунке 1.2. показана обобщённая схема криптографической системы.
Рис.1.2. Обобщённая схема криптографической системы
Отправитель генерирует открытый текст исходного сообщения М, которое должно быть передано законному получателю по незащищённому каналу. За каналом следит перехватчик с целью перехватить и раскрыть передаваемое сообщение. Для того чтобы перехватчик не смог узнать содержание сообщения М, отправитель шифрует его с помощью обратимого преобразования Ек и получает шифр текст (или криптограмму) С = Ек (М), который отправляет получателю.
Законный получатель, приняв шифр текст С, расшифровывает его с помощью обратного преобразования D = (Ек)^-1 и получает исходное сообщение в виде открытого текста М:
Dк (С) = (Ек)^-1( Ек ( М ) ) = М
Преобразование Ек выбирается из семейства криптографических преобразований, называемых криптоалгоритмами. Параметр, с помощью которого выбирается отдельное преобразование, называется криптографическим ключом К. Криптосистема имеет, разные варианты реализации: набор инструкций, аппаратные средства, комплекс программ компьютера, которые позволяют зашифровать открытый текст и расшифровать шифр текст различными способами, один из которых выбирается с помощью конкретного ключа К.
Вообще говоря, преобразование шифрования может быть симметричным и асимметричным относительно преобразования рас шифрования. Это важное свойство определяет два класса криптосистем:
· симметричные (одно-ключевые) криптосистемы;
· асимметричные (двух ключевые) криптосистемы (с открытым ключом);
Обобщенная схема асимметричной криптосистемы с двумя разными ключами К1 и К2 показана на рисунке 1.3 В этой системе один из ключей является открытым, а другой - секретным.
Рис.1.3. Обобщенная схема ассиметричной криптосистемы с открытым ключом
В симметричной криптосистеме секретный ключ надо передавать отправителю и получателю по защищённому каналу распространения ключей, например такому, как курьерская служба. Существуют и другие способы распространения ключей. В асимметричной криптосистеме передают по незащищённому каналу только открытый ключ, а секретный ключ сохраняют на месте его генерации.
На рисунке 1.4. показан поток информации в криптосистеме в случае активных действий перехватчика. Активный перехватчик не только считывает все шифр тексты, передаваемые по каналу, но может также пытаться изменять из по своему усмотрению.
Любая попытка со стороны перехватчика расшифровать шифр текст С для получения открытого текста М или зашифровать свой собственный текст М' для получения правдоподобного шифр текста С', не имея подлинного ключа, называется криптографической атакой.
Криптографическая система способная противостоять всем видам атак называется стойкой.
Рис.1.4. Поток информации в криптосистеме при активном перехвате сообщений
Краткое описание некоторых основных криптографических систем защиты информации
- DES (Data Encryption Standart)
Шифруется блок размером в 64 бита с использованием 64-битного ключа. Осуществляется 16 проходов. Имеется 4 режима:
Электронная кодовая книга ( ECB - Electronic Code Book );
Цепочный режим (CBC - Clipher Block Chaining): шифрование блока зависит от результата шифрования предыдущего блока;
Обратная связь по выходу (OFB - Output FeedBack): генератор случайных чисел;
Обратная связь по шифратору ( CFB - Clipher FeedBack ): для получения кодов аутентификации сообщений.
- 3-DES (Информация шифруется DES три раза.)
- Каскадный 3-DES
Стандартный тройной DES, к которому добавлен механизм обратной связи ( такой как CBC, OFB или CFB ). Очень стоек к атакам с целью вскрытия
- IDEA (международный алгоритм шифрования)
Шифруется блок размером в 64 бита с использованием 128-битного ключа. Осуществляется 8 проходов. Считается, что он лучше, чем DES, но полностью ещё не опробован
- Skipjack
Разработан АНБ ( NSA ) в ходе проектов Clipper и Capstone. До недавнего времени был секретным. С его помощью шифруется блок размером в 64 бита с использованием 80-битного ключа( режимы: ECB, CFB, OFB или CBC). Осуществляется 32 прохода
- CAST
Шифруется блок размером в 64 бита с использованием 40-битного (64-битного) ключа. Осуществляется 8 проходов. Пока что не известно других способов вскрытия, кроме тотального перебора.
Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и использование антивирусных программ. Цели принимаемых мер — это уменьшение вероятности инфицирования АИС, выявление фактов заражения системы; уменьшение последствий информационных инфекций, локализация или уничтожение вирусов; восстановление информации в ИС.
Регламентация — создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при которых нормы и стандарты по защите выполняются в наибольшей степени.
Принуждение — метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение — метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.
Вся совокупность технических средств подразделяется на аппаратные и физические.
Аппаратные средства — устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.
Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.
Программные средства — это специальные программы и программные комплексы, предназначенные для защиты информации в ИС. Как отмечалось, многие из них слиты с ПО самой ИС.
Из средств ПО системы защиты необходимо выделить еще программные средства, реализующие механизмы шифрования (криптографии), Криптография — это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.
Организационные средства осуществляют своим комплексом регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий. Комплекс этих мер реализуется группой информационной безопасности, но должен находиться под контролем первого руководителя.
Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.
Морально-этические средства защиты включают всевозможные нормы поведения, которые традиционно сложились ранее, складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются. Морально-этические нормы могут быть неписаные (например, честность) либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения. Характерным примером таких предписаний является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.
1.4. Система информационной безопасности
Система-это совокупность выделенных по некоторому признаку элементов и связей между ними представляющая собой некоторое единство, целостность и направленная на достижение определенной цели.
Информационные технологии в настоящее время можно классифицировать по ряду признаков (см. табл.1.1.), в частности: способу реализации в информационной системе, степени охвата задач управления, классам реализуемых технологических операций, типу пользовательского интерфейса, вариантам использования сети ЭВМ, обслуживаемой предметной области.
Рассмотрим, связь между информационными системами и информационными технологиями.
Управление – важнейшая функция, без которой немыслима целенаправленная деятельность любой социально-экономической, организационно-производственной системы (предприятия, организации, территории).
Систему, реализующую функции управления, называют системой управления. Важнейшими функциями, реализуемыми этой системой, являются прогнозирование, планирование, учет, анализ, контроль и регулирование.
Управление связано с обменом информацией между компонентами системы, а также системы с окружающей средой. В процессе управления получают сведения о состоянии системы в каждый момент времени, о достижении (или не достижении) заданной цели с тем, чтобы воздействовать на систему и обеспечить выполнение управленческих решений.
Таким образом, любой системе управления экономическим объектом соответствует своя информационная система, называемая экономической информационной системой.
Экономическая информационная система – это совокупность внутренних и внешних потоков прямой и обратной информационной связи экономического объекта, методов, средств, специалистов, участвующих в процессе обработки информации и выработке управленческих решений
Автоматизированная информационная система представляет собой совокупность информации, экономико-математических методов и моделей, технических, программных, технологических средств и специалистов, предназначенную для обработки информации и принятия управленческих решений.
Таблица 1.1.
Классификация информационных технологий
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
По способу реализации в ИС
Традиционные
Новые информационные технологии
По степени охвата задач управления
Электронная обработка данных
Автоматизация функций управления
Поддержка принятия решений
Электронный офис
Экспертная поддержка
По классу реализуемых технологических операций
Работа с текстовым редактором
Работа с табличным процессором
Работа с СУБД
Работа с графическими объектами
Мультимедийные системы
Гипертекстовые системы
По типу пользовательского интерфейса
Пакетные
Диалоговые
Сетевые
По способу построения сети
Локальные
Многоуровневые
Распределенные
По обслуживаемым предметным областям
Бухгалтерский учет
Банковская деятельность
Налоговая деятельность
Страховая деятельность
Другие
Таким образом, информационная система может быть определена с технической точки зрения как набор взаимосвязанных компонентов, которые собирают, обрабатывают, запасают и распределяют информацию, чтобы поддержать принятие решений и управление в организации. В дополнение к поддержке принятия решений, координации и управлению информационные системы могут также помогать менеджерам проводить, анализ проблемы, делают видимыми комплексные объекты и создают новые изделия.
Информационные системы содержат информацию о значительных людях, местах и объектах внутри организации или в окружающей среде. Информацией мы называем данные, преобразованные в форму, которая является значимой и полезной для пользователей. Данные, напротив, являются потоками сырых фактов, представляющих результаты, встречающиеся в организациях или в физической среде прежде, чем они были организованы и преобразованы в форму, которую пользователи могут понимать и использовать.
По источникам поступления информацию можно разделить на внешнюю и внутреннюю. Внешняя информация состоит из директивных указаний вышестоящих органов, различных материалов центральных и местных органов управления, документов, поступающих от других организаций и предприятий-смежников. Внутренняя информация отражает данные о ходе производства на предприятии, о выполнении плана, о работе цехов, участков служб, о сбыте производства.
Все виды информации, необходимой для управления на предприятии, представляют собой информационную систему. Система управления и система информации на любом уровне управления образует единство. Управление без информации невозможно.
Три процесса в информационной системе производят информацию, в которой нуждаются организации для принятия решений, управления, анализа проблем и создания новых изделий или услуг, - это ввод, обработка и вывод. В процессе ввода фиксируются или собираются непроверенные сведения внутри организации или из внешнего окружения. В процессе обработки этот сырой материал преобразуется в более значимую форму. На стадии вывода обработанные данные передаются персоналу или процессам, где они будут использоваться. Информационные системы также нуждаются в обратной связи, которая является возвращаемыми обработанными данными, нужными для того, чтобы приспособить элементы организации для помощи в оценке или исправлении обработанных данных.
Существуют формальные и неформальные организационные компьютерные информационные системы. Формальные системы опираются на принятые и упорядоченные данные и процедуры сбора, хранения, изготовления, распространения и использования этих данных.
Неформальные информационные системы (типа сплетен) основаны на неявных соглашениях и неписаных правилах поведения. Нет никаких правил, что является информацией или как она будет накапливаться и обрабатываться. Такие системы необходимы для жизни организации. К информационным технологиям они имеют весьма отдаленное отношение.
Хотя компьютерные информационные системы используют компьютерные технологии, чтобы переработать непроверенные сведения в значимую информацию, существует ощутимое различие между компьютером и компьютерной программой, с одной стороны, и информационной системой – с другой. Электронные вычислительные машины и программы для них – техническое основание, инструментальные средства и материалы современных информационных систем. Компьютеры обеспечивают оборудование для хранения и изготовления информации. Компьютерные программы, или программное обеспечение, являются наборами руководств по обслуживанию, которые управляют работой компьютеров. Но компьютеры – только часть информационной системы.
С позиции делового видения информационная система представляет собой организационные и управленческие решения, основанные на информационных технологиях, в ответ на вызов, посылаемый окружающей средой. Понимать информационные системы – это не означает быть грамотным в использовании компьютеров, менеджер должен более широко понимать сущность организации, управления и технологий информационных систем и их возможность обеспечить решение проблем в деловой окружающей среде.
Существует ряд основных вопросов, с которыми общество сталкивается постоянно: эффективность, конкуренция, безработица, качество жизни и т.д. Применение ИС – это один из путей решения таких проблем, так как технология радикально меняет и технологический процесс, и окружающую среду. Однако не всегда можно предсказать последствия применения ИС. Ввиду того, что все части организации взаимосвязаны, изменение в одной части неизбежно ведет к изменению в другой, поэтому факторы, влияющие на взаимодействие организации и ИС, включают в себя и политические, и структурные, и культурные, и природные ресурсы и т.д.
Взаимодействие информационной системы и организации обычно происходит на двух уровнях (кроме того, что оно может быть как положительным, так и отрицательным):
· микро уровне, который выражается во влиянии на отдельных индивидуумов и их работу, а также на работу отделов;
· макро уровне – на всю организацию, отрасль и общество в целом.
Мы должны понимать, что массовый потребитель не подготовлен в современных экономических условиях к восприятию информационных технологий и информационных систем как средства решения его важнейших проблем в бизнесе. Современные средства используются узкими группами лиц. При этом действуют две тенденции в стоимостном аспекте функционирования информационной системы.
Развитие технологий снижает затраты на создание информационной системы. А с другой - стоимость информационного обслуживания растет в связи с высокой стоимостью квалифицированного труда.
2. ОПЕРАЦИОННАЯ СИСТЕМА И ЗАЩИТА ИНФОРМАЦИИ
2.1. Программное обеспечение для информационной безопасности
Операционная система (ОС) — это совокупность программных средств, осуществляющих управление ресурсами ЭВМ, запуск прикладных программ и их взаимодействие с внешними устройствами и другими программами, а также обеспечивающих диалог пользователя с компьютером
Ресурсом является любой компонент ЭВМ и предоставляемые им возможности: центральный процессор, оперативная или внешняя память, внешнее устройство, программа и т.д.
ОС загружается при включении компьютера. Она предоставляет пользователю удобный способ общения (интерфейс) с вычислительной системой. Интерфейс при этом может быть программным и пользовательским
Программный интерфейс — это совокупность средств, обеспечивающих взаимодействие устройств и программ в рамках вычислительной системы.
Пользовательский интерфейс — это программные и аппаратные средства взаимодействия пользователя с программой или ЭВМ. В свою очередь, пользовательский интерфейс может быть командным или объектно-ориентированным.
Командный интерфейс предполагает ввод пользователем команд с клавиатуры при выполнении действий по управлению ресурсами компьютера.
Объектно-ориентированный интерфейс — это управление ресурсами вычислительной системы посредством осуществления операций над объектами, представляющими файлы, каталоги (папки), дисководы, программы, документы и т. д.
Каждый компьютер обязательно комплектуется операционной системой, для каждой из которых создается свой набор прикладных программ (приложений). Большинство операционных систем модифицируются и совершенствуются в направлении исправления ошибок и включения новых возможностей. В целях сохранения преемственности новая модификация операционной системы не переименовывается, а приобретает название версии. Версии ОС обозначаются (как правило) “десятичной дробью” вида 6.00, 2.1, 3.5 и т. д. При этом увеличение цифры до точки отражает существенные изменения, вносимые в операционную систему, а увеличение цифр, стоящих после точки, — незначительные изменения (например, исправление ошибок). Чем больше номер версии, тем большими возможностями обладает система.
Классификация операционных систем
Операционные системы классифицируются по:
· количеству одновременно работающих пользователей: однопользовательские, многопользовательские;
· числу процессов, одновременно выполняемых под управлением системы: однозадачные, многозадачные;
· количеству поддерживаемых процессоров: однопроцессорные, многопроцессорные;
· разрядности кода ОС: 8-разрядные, 16-разрядные, 32-разрядные, 64-разрядные;
· типу интерфейса: командные (текстовые) и объектно-ориентированные (графические);
· типу доступа пользователя к ЭВМ с пакетной обработкой, с разделением времени, реального времени;
· типу использования ресурсов: сетевые, локальные.
В соответствии с первым признаком классификации многопользовательские операционные системы, в отличие от однопользовательских, поддерживают одновременную работу на ЭВМ нескольких пользователей за различными терминалами.
Второй признак предполагает деление ОС на многозадачные и однозадачные. Понятие многозадачности означает поддержку параллельного выполнения нескольких программ, существующих в рамках одной вычислительной системы, в один момент времени. Однозадачные ОС поддерживают режим выполнения только одной программы в отдельный момент времени.
В соответствии с третьим признаком многопроцессорные ОС, в отличие от однопроцессорных, поддерживают режим распределения ресурсов нескольких процессоров для решения той или иной задачи.
Четвертый признак подразделяет операционные системы на 8-, 16-, 32- и 64-разрядные. При этом подразумевается, что разрядность операционной системы не может превышать разрядности процессора.
В соответствии с пятым признаком ОС по типу пользовательского интерфейса делятся на объектно-ориентированные (как правило, с графическим интерфейсом) и командные (с текстовым интерфейсом). Согласно шестому признаку ОС подразделяются на системы:
• пакетной обработки, в которых из программ, подлежащих выполнению, формируется пакет (набор) заданий, вводимых в ЭВМ и выполняемых в порядке очередности с возможным учетом приоритетности;
• разделения времени (TSR), обеспечивающих одновременный диалоговый (интерактивный) режим доступа к ЭВМ нескольких пользователей на разных терминалах, которым по очереди выделяются ресурсы машины, что координируется операционной системой в соответствии с заданной дисциплиной обслуживания;
• реального времени, обеспечивающих определенное гарантированное время ответа машины на запрос пользователя с управлением им какими-либо внешними по отношению к ЭВМ событиями, процессами или объектами.
В соответствии с седьмым признаком классификации ОС делятся на сетевые и локальные. Сетевые ОС предназначены для управления ресурсами компьютеров, объединенных в сеть с целью совместною использования данных, и предоставляют мощные средства разграничения доступа к данным в рамках обеспечения их целостности и сохранности, а также множество сервисных возможностей по использованию сетевых ресурсов.
В большинстве случаев сетевые операционные системы устанавливаются на один или более достаточно мощных компьютеров-серверов, выделяемых исключительно для обслуживания сети и совместно используемых ресурсов. Все остальные ОС будут считаться локальными и могут использоваться на любом персональном компьютере, а также на отдельном компьютере, подключенном к сети в качестве рабочей станции или клиента. В настоящее время распространены следующие семейства операционных систем DOS; OS/2; UNIX. Windows; ОС реального времени.
Защита информации
Появившиеся в начале 80-ых персональные ЭВМ (ПЭВМ или ПК) прочно вошли во все сферы человеческой деятельности. Вместе с ними у эксплуатирующих ПЭВМ организаций и ведомств возникли и многочисленные проблемы. Одна из них — защита информации. Согласно статистическим данным более 80% компаний и агентств несут финансовые убытки из-за нарушения безопасности данных.
Проблема защиты информации представляет собой совокупность тесно связанных проблем в областях права, организации управления, разработки технических средств, программирования и математики. Одна из центральных задач проектирования систем защиты состоит в рациональном распределении имеющихся ресурсов.
Характерная особенность использования ПЭВМ в нашей стране заключатся в том, что доступ к ним имеют многие пользователи. В связи с таким "многопользовательским" режимом работы возникает целый набор взаимосвязанных вопросов по защите информации, хранящейся в ПЭВМ.
При создании и использовании ПЭВМ возникает целый ряд взаимосвязанных теоретических и практических проблем. В коммерческих и военных областях одной из основных является проблема защиты информации. Так можно выделить следующие объективные причины, определяющие важность проблемы защиты информации:
· высокие темпы роста парка ПЭВМ, находящихся в эксплуатации;
· широкое применение ПЭВМ в самых различных сферах человеческой деятельности;
· высокая степень концентрации информации в ПЭВМ;
· совершенствование способов доступа пользователей к ресурсам ПЭВМ;
· усложнение вычислительного процесса в ПЭВМ.
Усложнение методов и средств организации машинной обработки информации приводят к тому, что информация становится все более уязвимой. Этому способствуют такие факторы, как постоянно возрастающие объемы обрабатываемых данных, накопление и хранение данных в ограниченных местах, постоянное расширение круга пользователей, имеющих доступ, как к ресурсам ПЭВМ, так и к программам и данным, хранящихся в них, усложнение режимов эксплуатации вычислительных систем и т. п.
Существует много программ для обеспечение информации, конечно же здесь уместно говорит о firewall-e мы рассмотрим несколько подобных программ которые говорится о защите информации. Такие как Net pro, Firewall застава , Застава Клиент , Застава Офис и т п.
Net Pro
Описание:
Система "Net-PRO" предназначена для организации защищенных виртуальных частных IP-сетей (Virtual Private Network - VPN) на базе Интернет/Интранет, обеспечивающих аутентификацию взаимодействующих сторон и надежную защиту (шифрование и контроль целостности) потоков данных, передаваемых по открытым каналам связи.
"Net-PRO" обеспечивает защиту потоков данных в различных вариантах:
· в пределах локальной корпоративной сети;
· при взаимодействии объединенных локальных сетей;
· при взаимодействии с удаленными ресурсами через сети общего пользования (включая Интернет);
· при необходимости организации безопасной работы удаленного компьютера с корпоративной сетью и др.
"Net-PRO" позволяет:
· скрывать реальную топологию защищаемой локальной сети;
· обеспечивать аутентифицированный доступ в защищаемую локальную сеть для удаленных пользователей с динамически выделяемыми адресами;
· контролировать доступ к открытым ресурсам внешних сетей.
"Net-PRO" обеспечивает надежную аутентификацию пользователей, основанную на двух ключевых крипто-алгоритмах и сертификатах, не требующих от пользователя запоминания и ввода пароля. Для аутентификации и защиты потоков данных в "Net-PRO" используется модернизированный протокол SSL (Secure Socket Layer), свободный от экспортных ограничений, касающихся длины криптографических ключей. Пользователям предоставляется целый набор методов шифрования (включая отечественный ГОСТ 28147-89); предусмотрено 3 режима аутентификации (двусторонняя, односторонняя и без аутентификации); аутентификация осуществляется на основе применения цифровых сертификатов в формате Х.509.
В системе "Net-PRO" реализован мощный инструментарий управления политикой безопасности, обеспечивающий легкую и быструю настройку и оперативную корректировку:
· параметров аутентификации пользователей;
· алгоритмов крипто-обработки;
· правил разграничения доступа аутентифицированных пользователей к ресурсам внешней или локальной сети, компьютерам или отдельным приложениям;
· типов разрешенных приложений и др.
"Net-PRO" осуществляет контроль и протоколирование событий и внештатных ситуаций.
"Net-PRO" функционирует под управлением Microsoft Windows NT/9х/2000, не требует модификации приложений и прикладных служб, легко конфигурируется, имеет удобный, интуитивно понятный графический интерфейс.
Система "Net-PRO" включает:
"Net-PRO VPN Server" - серверный модуль, поддерживающий взаимодействие с клиентскими модулями "Net-PRO VPN Client" и/или с аналогичными серверными модулями "Net-PRO VPN Server"; "Net-PRO VPN Server" устанавливается на входе в защищаемую локальную сеть в виде выносного устройства; реализует протокол SOCKS и используется для защиты рабочих станций и серверов, выступая в роли межсетевого экрана (FireWall), выполняющего процедуры аутентификации и шифрования потока данных, фильтрацию приложений, защиту от "спуфинга" и др.;
"Net-PRO VPN Client" - клиентский модуль, обеспечивающий защищенное взаимодействие с серверным модулем "Net-PRO VPN Server"; "Net-PRO VPN Client" устанавливается на компьютерах локальной сети, защищаемой с помощью "Net-PRO VPN Server", или на удаленном компьютере, доступ с которого в защищаемую сеть осуществляется через сеть общего пользования (например, Интернет) в режиме прямого или коммутируемого подключения
Firewall Застава
Межсетевой экран ЗАСТАВА является дополнительным продуктом, предназначенным как для совместного использования с VPN-продуктами ЗАСТАВА (в этом случае он может устанавливаться на шлюз совместно с ЗАСТАВА-Офис), так и для самостоятельной эксплуатации в открытых и закрытых сетях.
Межсетевой экран ЗАСТАВА обеспечивает первый эшелон защиты ресурсов корпоративной сети, открытых для доступа из Интернет - таких, как WWW, FTP, E-MAIL, NEWS-серверы, позволяет организовать безопасный доступ ее пользователей в Интернет, а также решить задачу внутреннего сегментирования сети в соответствии с организационной структурой и политикой безопасности предприятия.
Относящийся к категории packet filtering firewall, Межсетевой экран ЗАСТАВА обладает рядом возможностей, отличающих его от других межсетевых экранов.
Продукт включает:
· Потоковый модуль фильтрации, загружаемый в IP-стэк;
· Средства формирования правил разграничения доступа, задающие политику фильтрации для входящих/исходящих пакетов;
· Набор вспомогательных утилит, позволяющих транслировать во внутреннее представление правила фильтрации;
· Средства сигнализации об угрожающих событиях в системе, основанных на протоколе SNMP;
· Модуль дистанционного сбора статистики по протоколу SNMP;
· Средства конфигурирования, в том числе - с удаленного рабочего места.
Функциональные возможности продукта:
· Фильтрация на основе сетевых адресов отправителя и получателя;
· Фильтрация служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
· Фильтрация с учетом входного и выходного сетевого интерфейса - проверка подлинности сетевых адресов;
· Фильтрация с учетом любых значимых полей сетевых пакетов;
· Фильтрация запросов на транспортном уровне на установление виртуальных соединений с учетом транспортных адресов отправителя и получателя;
· Фильтрация запросов на прикладном уровне к прикладным сервисам с учетом прикладных адресов отправителя и получателя;
· Фильтрация с учетом даты/времени.
Решение по фильтрации принимается независимо для каждого сетевого пакета.
Механизмы фильтрации могут строиться на основе учета предыстории информационного обмена - путем описания машины состояний соответствующего типа сетевого сервиса с помощью простого командного языка (scripting language), реализованного специально для максимально гибкого управления работой фильтрующего модуля.
Межсетевой экран ЗАСТАВА обеспечивает возможность дистанционного управления своими компонентами, в том числе, возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации. Отличительной особенностью является защита канала дистанционного управления с помощью IPsec протоколов, реализованных в VPN-продуктах ЗАСТАВА.
Межсетевой экран ЗАСТАВА поддерживает удаленный мониторинг на основе интерфейса протокола SNMP к системе. Сигнализация о потенциально опасных ситуациях производится путем формирования SNMP-прерываний при регистрации определенных событий. Для удобства администратора безопасности предусмотрено два способа формирования системного протокола (журнала): запись в системный журнал в раздел kernel с разными уровнями критичности, или выдача пакета в специальное системное устройство с последующим отображением программой визуализации.
Межсетевой экран ЗАСТАВА обеспечивает:
· Возможность регистрации и учета фильтруемых пакетов; в параметры регистрации включаются адрес, время и результат фильтрации
· Регистрацию и учет запросов на установление виртуальных соединений
· Локальную сигнализацию попыток нарушения правил фильтрации
· Идентификацию и аутентификацию администратора защиты при его локальных запросах на доступ
· Возможность идентификации и аутентификации по идентификатору (коду) и паролю условно-постоянного действия
· Запрет доступа, не идентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась.
Застава Клиент
Программные продукты ЗАСТАВА-Клиент (ЗАСТАВА-Корпоративный Клиент и ЗАСТАВА-Персональный клиент) обеспечивают защиту пользовательских рабочих станций от несанкционированного доступа из внешних сетей, а также организацию защищенных соединений (ассоциаций) с отдельными компьютерами и/или с компьютерами из сегментов локальных сетей, защищенных программными продуктами семейства ЗАСТАВА и/или SKIP-продуктами других производителей.
ЗАСТАВА-Клиент поставляется как программный пакет, который устанавливается на компьютере пользователя. Перенастройки работающего на этом компьютере программного обеспечения не требуется.
Продукт поставляется в двух модификациях, ЗАСТАВА-Персональный Клиент и ЗАСТАВА-Корпоративный Клиент
При использовании продукта ЗАСТАВА-Персональный Клиент политика информационной безопасности задается самим пользователем с помощью набора конфигурационных правил посредством интерфейса командной строки или графического интерфейса пользователя.
ЗАСТАВА-Корпоративный Клиент не имеет интерфейса пользователя, что позволяет пользователям эксплуатировать продукт без специальной подготовки. Конфигурирование продукта происходит удаленно администратором безопасности. На удаленные компьютеры конфигурация загружается с помощью дискеты или смарт-карты.
В остальном продукты ЗАСТАВА-Персональный клиент и ЗАСТАВА-Корпоративный Клиент полностью идентичны.
Программный продукт ЗАСТАВА-Клиент обеспечивает:
· контроль списка партнеров по защищенному/незащищенному взаимодействию;
· защиту информационных ресурсов компьютера от несанкционированного доступа из внешних сетей;
· реализацию заданной дисциплины взаимодействия (аутентификацию и/или защиту трафика) для каждого защищенного соединения;
· доступ в заданном защищенном режиме только для зарегистрированных партнеров по взаимодействию;
· регулируемую стойкость защиты трафика;
· коммуникационную совместимость с системами защиты, использующими программные продукты семейства ЗАСТАВА и/или SKIP-продукты других производителей.
Застава Офис
Программный продукт ЗАСТАВА-Офис обеспечивает коллективную защиту сегмента локальной сети от несанкционированного доступа из внешних сетей, а также организацию защищенных соединений (ассоциаций) с отдельными компьютерами и/или с компьютерами из сегментов локальных сетей, защищенных программными продуктами семейства ЗАСТАВА и/или SKIP-продуктами других производителей.
ЗАСТАВА-Офис поставляется как программный пакет, который устанавливается на компьютере, выполняющем функции сетевого шлюза (Gateway) между защищаемым сегментом сети и внешними локальными (LAN) или глобальными (WAN) сетями.
Политика информационной безопасности задается самим пользователем с помощью набора конфигурационных правил - локально или удаленно посредством интерфейса командной строки или графического интерфейса пользователя.
Графический интерфейс пользователя состоит из двух частей - клиентской и серверной. Серверная часть устанавливается на управляемом объекте (на компьютере с установленным программным продуктом ЗАСТАВА-Офис), клиентская - на любом (в том числе и на одном с серверной частью) компьютере под управлением ОС Solaris или ОС Windows NT. Графический интерфейс предоставляет пользователю все возможности для конфигурирования программного продукта ЗАСТАВА-Офис, за исключением процедур установки криптомодулей, которые производятся стандартными средствами ОС Solaris. Клиентская и серверная части графического интерфейса пользователя работают по защищенному каналу связи.
Программный продукт ЗАСТАВА-Офис обеспечивает:
· Контроль списка партнеров по защищенному/незащищенному взаимодействию независимо на каждом физическом интерфейсе;
· Защиту информационных ресурсов сегмента локальной сети от несанкционированного доступа из внешних сетей независимо на каждом физическом интерфейсе;
· Реализацию заданной дисциплины взаимодействия (аутентификацию и/или защиту трафика) для каждого защищенного соединения независимо на каждом физическом интерфейсе;
· Доступ в заданном защищенном режиме только для зарегистрированных, в том числе и для мобильных (nomadic), партнеров по взаимодействию;
· Регулируемую стойкость защиты трафика;
· Маскировку топологии защищаемого сегмента путем туннелирования трафика
2.2. Современные ОС и их краткие возможности в информационной безопасности
Современные ОС, такие как Windows XP, Windows NT, Linux, Windows 2000-Advanced server, Professional и т п. Этими ОС-ми пользуются большинство людей нашей планеты не говоря о предприятиях и организациях, они самые распространенные и удобные в пользовании и очень универсальны в своих возможностях.
Практически все современные ОС поддерживают работу в сети. Однако в качестве ОС для сервера чаще всего используются Novell NetWare, Unix, Linux и Windows 2000 Server.
Теперь можно и рассмотреть что же такое ОС, что оно из себя представляет.
Операционная система - это программа, которая загружается при включении компьютера. Она производит диалог с пользователем, осуществляет управление компьютером, его ресурсами (оперативной памятью, местом на дисках и т.д.), запускает другие (прикладные) программы на выполнение. Операционная система обеспечивает пользователю и прикладным программам удобный способ общения (интерфейс) с устройствами компьютера. Основная причина необходимости операционной системы состоит в том, что элементарные операции для работы с устройствами компьютера и управления ресурсами компьютера - это операции очень низкого уровня, поэтому действия, которые необходимы пользователю и прикладным программами состоят из нескольких сотен или тысяч таких элементарных операций.
Текущей версией ОС является NetWare 6.x. Помимо удобного графического интерфейса, эта версия NetWare имеет ряд других характерных особенностей:
1) NetWare 6.0 использует в качестве основного сетевого протокола TCP/IP (протокол, используемый в сети Internet). Если предыдущие версии NetWare работали на собственном протоколе фирмы Novell - протоколе IPX/SPX, а протокол ТСР/IР мог использоваться только поверх IPX/SPX (также эмулировался Net BIOS), то теперь NetWare 5.0 предлагает следующие варианты:
· только протокол TCP/IP - протокол TCP/IP в режиме "совместимости" (может использоваться IPX/SPX поверх ТСР/IР) совместное использование протоколов TCP/IP и IPX/SPX (оба протокола работают параллельно и независимо)
· только протокол IPX/SPX.
2) В NetWare используется служба каталога NDS (Novell Directory Service), которая представляет собой единую распределенную базу данных в виде дерева каталогов, в которой описываются все объекты сети (пользователи, группы пользователей, принтеры и т.д.), с указаниями прав доступа. База данных NDS является общей для всей сети. Если в предыдущих версиях NetWare 3.x и 2.x необходимо было создавать учетную запись пользователя (имя и пароль) на каждом сервере сети, то в NetWare 6.0 достаточно один раз зарегистрировать пользователя в NDS, и он получит доступ ко всем серверам сети.
3) В NetWare используется мощная и гибкая модель разграничения доступа. Система безопасности подключения к сети включает в себя: ограничения на срок действия и частоту смены пароля, запрет на повторное использование старых паролей, ограничение времени суток и адресов компьютеров, с которых пользователь может подключаться к сети, запрет одному и тому же пользователю на подключение к сети с нескольких машин одновременно. Система безопасности файловой системы позволяет для каждого файла и каталога назначить различным пользователям любую комбинацию следующих прав доступа: чтение, запись, создание, удаление, модификация (имени файла и его атрибутов), просмотр (содержимого каталога), изменение прав доступа, супервизор (полный набор всех прав). Аналогично регулируется доступ и к любым другим объектам NDS (права на просмотр, создание, удаление, переименование объектов, чтение, запись, сравнение и добавление их свойств, права супервизора). NetWare имеет также двухстороннюю систему аудита: внешние независимые аудиторы могут анализировать события в сети, не имея доступа к секретным данным, в то же время, администраторы сети не имеют доступа к данным аудита.
На ПК (персональный компьютер) типа IBM PC чаще всего используется ОС Windows. Windows имеет однородную систему безопасности (security) удовлетворяющую спецификациям правительства США и соответствующую стандарту безопасности В2.
Надежность и отказоустойчивость (reliability and robustness) обеспечивают архитектурными особенностями, которые защищают прикладные программы от повреждения друг другом и операционной системой. Windows использует отказоустойчивую структурированную обработку особых ситуаций на всех архитектурных уровнях которая включает восстанавливаемую файловую систему NTFS и обеспечивает защиту с помощью встроенной системы безопасности и усовершенствованных методов управления памятью.
Возможности локализации ( allocation) представляют средства для работы во многих странах мира на национальных языках, что достигается применением стандарта ISO Unicod (разработан международной организацией по стандартизации).
Благодаря модульному построению системы обеспечивается расширяемость (insibility) Windows , что позволяет гибко осуществлять добавление новых модулей на различные уровни операционной системы.
2.3. Средства и возможности ОС семейства Windows для организации защити информации
Windows 2000 Server дает много инструментальных средств для слежения за сетевой деятельностью и использованием сети. ОС позволяет просмотреть сервер и увидеть, какие ресурсы он использует; увидеть пользователей, подключенных к настоящему времени к серверу и увидеть, какие файлы у них открыты; проверить данные в журнале безопасности; записи в журнале событий; и указать, о каких ошибках администратор должен быть предупрежден, если они произойдут.
Удаленный доступ
Windows 2000 Server позволяет клиентам удаленного доступа подключаться к серверам удаленного доступа и обращаться к таким сетевым ресурсам, как файлы, принтеры и службы, создавая иллюзию подключения к серверу удаленного доступа через локальную сеть. Windows 2000 поддерживает два типа удаленного доступа.
Удаленный доступ через телефонную линию (dial-up remote access)- Используется клиентом при подключении к серверу удаленного доступа через телефонную линию или иную телекоммуникационную инфраструктуру. Телекоммуникационная несущая среда используется для создания временного физического или виртуального соединения между клиентом и сервером.
Удаленный доступ через виртуальную частную сеть (virtual private network, VPN). Позволяет клиентам VPN устанавливать с сервером виртуальное соединение типа > через IP –сеть, например Интернет. Удаленный доступ отличается от удаленного управления, поскольку программное обеспечение удаленного доступа вступает в роли прокси – соединения с сетью windows 2000, тогда как программное обеспечение для удаленного управления выполняет приложение на сервере, предоставляя клиенту пользовательский интерфейс.
Служба Active Directory.
В Active Directory хранится структура и список членов домена windows 2000 включая информацию об учетных записях и паролях пользователей.
Шифрованная файловая система EFS
Windows 2000 в основном использует, файловую систему NTFS благодаря использованию шифрованной файловой системы EFS (Encrypting File System). При работе в среде Windows 2000 можно работать только с теми томами, на которые есть права доступа. В файловых системах, в которых не используется шифрование, если запускается компьютер по сети или воспользоваться загрузочной дискетой MS DOS или Windows 98, можно получить доступ ко всем файлам, хранящимся на диске, так как на пользователя в этом случае не распространяются ограничения доступа, сведения о которых содержатся в специальных списках контроля доступа.
При использовании шифрованной файловой системы EFS можно файлы и папки, данные, которых будут, зашифрованы с помощью пары ключей. Любой пользователь, который захочет получить доступ к определенному файлу, должен обладать личным ключом, с помощью которого данные файла будут расшифровываться. Система EFS так же обеспечивает схему защиты файлов в среде Windows 2000. Однако не следует забывать о том, что при использовании шифрования производительность работы системы снижается.
Работа в сети и вход пользователей
Каждый клиент, который использует сеть, должен иметь учетную карточку пользователя в домене сети. Учетная карточка пользователя содержит информацию о пользователе, включающую имя, пароль и ограничения по использованию сети, налагаемые на него. Имеется возможность также сгруппировать пользователей, которые имеют аналогичные ресурсы, в группы; группы облегчают предоставление прав и разрешений на ресурсы, достаточно сделать только одно действие, дающее права или разрешения всей группе.
Таблица 2.1. показывает содержимое учетной карточки пользователя.
Таблица 2.1
Содержимое учетной карточки
Учетная карточка пользователя
Элемент учетной карточки
Комментарии
Username
Имя пользователя
Уникальное имя пользователя, выбирается при регистрации.
Password
Пароль
Пароль пользователя.
Full name
Полное имя
Полное имя пользователя.
Logon hours
Часы начала сеанса
Часы, в течение которых пользователю позволяется входить в систему. Они влияют на вход в систему сети и доступ к серверу. Так или иначе, пользователь вынужден будет выйти из системы, когда его часы сеанса, определенные политикой безопасности, истекут
Logon workstations
Рабочие станции
Имена рабочих станций, на которых пользователю позволяется работать. По умолчанию пользователь может использовать любую рабочую станцию, но возможно введение ограничений.
Expiration date
Дата истечения срока
Дата в будущем, когда учетную карточку автоматически исключают из базы, полезна при принятии на работу временных служащих
Учетная карточка пользователя.
Элемент учетной карточки.
Комментарии.
Home directory
Собственный каталог
Каталог на сервере, который принадлежит пользователю; пользователь управляет доступом к этому каталогу.
Logon script
Сценарий начала сеанса
Пакетный или исполняемый файл, который запускается автоматически, когда пользователя начинает сеанс.
Profile
Установки (параметры)
Файл, содержащий запись о параметрах среды рабочего стола (Desktop) пользователя, о таких, например, как сетевые соединения, цвета экрана и установочные параметры, определяющие, какие аспекты среды, пользователь может изменить.
Account type
Тип учетной карточки
Тип учетной карточки - глобальный или локальный.
Журнал событий безопасности
Windows 2000 Server позволяет определить, что войдет в ревизию и будет записано в журнал событий безопасности всякий раз, когда выполняются определенные действия или осуществляется доступ к файлам. Элемент ревизии показывает выполненное действие, пользователя, который выполнил его, а также дату и время действия. Это позволяет контролировать как успешные, так и неудачные попытки каких-либо действий.
Журнал событий безопасности для условий предприятия является обязательным, так как в случае попытки взлома сети можно будет отследить источник.
Средство установления доступа к объектам
К примеру, мы можем выбрать любой file или folder папку и наконец какой не бут объект чтобы предоставит тому или иному пользователю доступ. Для начала выделяем объект в подменю выбираем свойства после как показана на рисунке 2.1.
Рис.2.1. Средство установления доступа к объектам
Мы выбрали папку тест как видно на рисунке его свойство состоит из множество под вкладок но нас интересует вкладка безопасность там есть группы или пользователи где можно каждой группе или пользователю предоставлять доступ по усмотрению и просмотреть какие, привилегии имеет тот или иной пользователь или группа.
Как видно из рисунка 2.1. что на вкладке безопасность есть кнопка дополнительно выбираем, его.
Как мы говорили мы можем просмотреть текущего владельца этого объекта и дать, кому не будь возможность стать владельцем этого объекта. Ниже приведена дополнительные параметры безопасности для определенного объекта, которая показана на рис.2.2., рис.2.3. и рис.2.4.
Рис.2.2. Дополнительные параметры безопасности
Рис 2.3. Действующие разрешения пользователя
Рис.2.4. Дополнительные параметры безопасности для
определенного объекта
2.4. Безопасность в среде ОС Linux и ОС Windows 2000: преимущество и недостатки
Линус Торвальдс (Linus Torvalds) известен как создатель Linux, наиболее популярной и широко используемой в наши дни UNIX-подобной операционной системы. Линус начал разработку новой ОС в 1991 году, основав ее на ряде неоднозначных в те времена технологий вроде концепции бесплатного программного обеспечения и публичной лицензии GPL.
Это многопользовательская сетевая операционная система с сетевой оконной графической системой X Window System. ОС Linux поддерживает стандарты открытых систем и протоколы сети Internet и совместима с системами Unix, DOS, MS Windows. Все компоненты системы, включая исходные тексты, распространяются с лицензией на свободное копирование и установку для неограниченного числа пользователей.
Возможности, которые предоставляет ОС Linux:
· дает возможность бесплатно и легально иметь современную ОС для использования, как на работе, так и дома;
· обладает высоким быстродействием;
· работает надежно, устойчиво, совершенно без зависаний;
· не подвержена вирусам;
· позволяет использовать полностью возможности современных ПК, снимая ограничения, присущие DOS и MS Windows по использованию памяти машины и ресурсов процессора (ов).
Теперь кратко остановимся на основных преимуществах ОС Linux над ОС Windows.
Как говорилось ОС Linux бесплатна обладает высоким быстродействием, работает надежно, устойчиво, совершенно без зависаний, что нельзя сказать о ОС Windows.
Как и следовало ожидать от современной UNIX системы, одно из главных преимуществ Linux - это его сетевые возможности. Linux разрабатывали через Internet, поэтому неудивительно, что сетевая поддержка стандартов Internet - одна из самых лучших. Linux поддерживает Internet TCP/IP через ethernet, fast ethernet, ATM, модемы, X.25, token ring и даже измененный кабель принтера. Как WWW сервер или клиент, Linux может превзойти большинство однопроцессорных и многопроцессорных Windows NT, Novell и UNIX систем на одинаковом аппаратном обеспечении. Linux выбирают провайдеры Internet, вычислительные лаборатории университетов, ученые, работающие в Антарктиде - те люди, которым необходимо надежное сетевое обеспечение, работающее в суровых условиях. (Ну, и,конечно, не только они.)
Cуществует поддержка всех стандартных сетевых служб, которые вы знаете и любите. Например, ftp, telnet, email, gopher, WWW, WAIS, DCE/DFS, network news, talk, pop, finger, ntp, irc, NFS, DNS, NIS, Kerberos и многие другие. Linux способна действовать и как клиент, и как сервер для каждой из этих служб, и обе эти возможности широко используются.
У Windows При этом существенно ограничены возможности управления доступом к другим защищаемым ресурсам, в частности, к устройствам ввода. Например, здесь отсутствует атрибут «исполнение», т.е. невозможно запретить запуск несанкционированной программы с устройств ввода Соответственно, все запускаемые системные процессы имеют неограниченный доступ к защищаемым ресурсам на рисунке 2.5. показан атрибут исполнения который присущ ОС ASP Linux.
Рис.2.5. Атрибут исполнения ОС ASP Linux
То есть в OC Linux все системным процессом можно давать доступ и запретит его.
Также можно настраивать ядро ОС, где на рисунке 2.6. показано что можно настраивать.
Рис.2.6. Настраивание ядро ОС ASP Linux
также в ОС Windows разграничения доступа к файлу приоритетнее, чем для каталога, а в общем случае — разграничения для включаемого файлового объекта приоритетнее, чем для включающего. Это приводит к тому, что пользователь, создавая файл и являясь его «владельцем», может назначить любые атрибуты доступа к такому файлу (т.е. разрешить к нему доступ любому иному пользователю). При этом обратиться к этому файлу может пользователь (которому назначил права доступа «владелец») вне зависимости от установленных администратором атрибутов доступа на каталог, в котором пользователь создает файл.
ОС Windows Х детище корпорации Microsoft она не предоставляет свои исходный коды, она не устойчива к зависанием, также очень связана с графическим интерфейсом тем самым, ухудшая свае работа способность. ОС Windows очень распространенна и очень удобна для простого пользователя и все прикладные программы в основном пишутся для нее ОС Linux трудна в установке не все платформы поддерживают ее и вообще как говорилось выше многие знаменитые программы пишутся для ОС Windows петому можно даже сказать, так как ОС Linux, Unix-a подобная система то ее лучше всего использовать в качестве сервера а ОС Window в качестве терминала.
2.5. Обзор других операционных систем и их возможности по обеспечению безопасности информации
Надёжность и безопасность
Важно различать несколько аспектов надёжности. Сложные системы, состоящие из многих элементов, кроме состояний работоспособности, могут иметь и другие промежуточные состояния. В связи с этим для оценки надёжности сложных систем применяется другой набор характеристик.
Готовность или коэффициент готовности (availability) означает долю времени, в течение которого система может быть использована.
Чтобы систему можно было отнести к высоконадёжным, необходимо обеспечить сохранность данных и защиту их от искажений. Должна поддерживаться согласованность (непротиворечивость) данных.
Одной из основных характеристик надёжности является вероятность доставки пакета узлу назначения без искажений.
Могут использоваться и другие показатели: вероятность потери пакета, вероятность искажения отдельного бита передаваемых данных, отношение потерянных пакетов к доставленным.
Ещё одной характеристикой надёжности является отказоустойчивость (fault tolerance), т.е. способность системы скрыть от пользователя отказ отдельных её элементов.
Расширяемость и маштабируемость
Расширяемость (extensibily) – возможность сравнительно лёгкого давления отдельных элементов сети, наращивания длины сегментов сети и замены существующей аппаратуры более мощной.
Масштабируем ость (scalability) – наращивание количества узлов и протяжённость сетей в очень широких пределах, при этом производительность сети не ухудшается.
Прозрачность
Прозрачность (transparency) достигается в том случае, когда сеть представляется пользователям не как множество отдельных компьютеров, связанных между собой сложной системой кабелей, а как единая традиционная вычислительная машина с системой разделения времени.
Управляемость
Управляемость – возможность централизованно контролировать состояние основных элементов сети, выявлять и разрешать проблемы, возникающие при работе сети, выполнять анализ производительности и планировать развитие сети.
Совместимость
Совместимость или интегрируемость – способность сети включать в себя самое разнообразное программное и аппаратное обеспечение, т.е. в ней могут сосуществовать различные операционные системы, поддерживающие разные стеки коммуникационных протоколов, и работать аппаратные средства и приложения от разных производителей. Сеть, состоящая из разнотипных элементов, называется неоднородной или гетерогенной, если гетерогенная сеть работает без проблем, то она является интегрированной.
Характеристики эффективности сетевых ОС
Операционная система WINDOWS NT.
ОС Advanced Server является 32-х разрядной операционной системой и может работать на многих платформах, в том числе и на платформах MIPS R4000 фирмы Intel или Alpha фирмы DEC. Предусмотрена работа системы Advanced Server в симметричном мультипроцессорном (с несколькими центральными процессорами) компьютерами. Дополнительные вычислительные мощности на файловом сервере могут быть использованы для приложений типа клиент/сервер.
Производительность.
Операционная система Windows NT использует такую архитектуру операционной системы, которая изолирует сетевое программное обеспечение от сетевого адаптера слишком многими слоями промежуточного программного обеспечения. В результате, согласно данным о производительности, опубликованным в журналах PC Week И PC Magazine, Windows NT AS медленнее сетевых других операционных систем.
Защита и Надёжность.
Performance M
В системе Advanced Server предоставляется защита данных уровня С2. Это означает, что сетевая операционная система имеет защищенную процедуру присоединения к ЛВС, защиту памяти, учет и контроль доступа (владелец разделяемых ресурсов имеет возможность определить, кто в данный момент пользуется этими ресурсами). Уровня защиты С2 или выше требуют некоторые промышленные или военные ЛВС.
Что касается надежности, то система Advanced Server использует файловую систему, основанную на транзакциях и позволяющую отменить целую серию связанных модификаций файлов, если эта серия не была завершена успешно. Она также имеет средства поддержки RAID пятого уровня (Redundant Array of Inexpensive Disks - Избыточный массив недорогих накопителей ), возможность распознавания сигналов от источника бесперебойного питания и программное обеспечение для сохранения данных на магнитной ленте.
В операционная система NT Advanced Server добавлено новое интересное решение, называемое Областями доверия ( Trusted Domains) Она заключается в том что из одной области можно “доверить” свои файлы другой области, и тогда пользователь второй области сможет получить к ним доступ без дополнительного присоединения к сети в первой области.
Управляемость
Системным администраторам в управлении системой NT Advanced Server помогает утилита monitor. Кроме того, эта сетевая операционная система поддерживает протоколы SNMP и NetView по управлению сетью. Другими утилитами, входящими в состав Advanced Server, являются User Manager, Disk Administrator, Event Viewer и улучшенная Control Panel.
Полезным является средство Browse-Master. Каждый ПК с разделяемыми ресурсами периодически сообщает серверу Browse-Master список этих ресурсов. При нажатии на рабочей станции кнопки Browse выдается список доступных ресурсов, полученных Browse-Master от компьютера. Этот метод уменьшает трафик ЛВС, так как теперь рабочим станциям и серверам не нужно непрерывно обмениваться информацией о ресурсах друг с другом.
В Windows NT 4.0 имеется несколько утилит администрирования на базе командной строки. Поставляется также ряд программ удалённого управления пользователями, доменами, правами доступа и т.д.
Совместимость с другими типами сетей.
Система Advanced Server использует протокол SMB на базе NetBIOS для обмена информацией о перенаправлении файлов. Кроме того система Advanced Server совместима с системами LAN Manager, LAN Server, Windows for Workgroups, и даже со старой PC LAN Program. Кроме этого, с системе Advanced Server имеются средства поддержки протоколов транспортного уровня таких как TCP/IP и IPX/SPX фирмы Novell. Для организации виртуальных частных сетей используется недавно расширенный туннельный протокол PPTP.
С момента своего появления сетевая OS Novell NetWare пережила множество «переизданий» и, успешно вытесняя конкурентов, захватила значительную часть рынка. Эта сетевая операционная система стала доминирующей благодаря своему ядру – базе данных NetWare Directory Services. Для создания крупных и надежно работающих сетей больше подходит Novell NetWare 386 версии 3.11. Эта высокопроизводительная многозадачная OS реального времени. Её мы и рассмотрим в данной работе.
Установка.
При установке Novell NetWare стартовый диск файл-сервера обычно разбивают на два раздела. Первый раздел имеет размер 3-5 Мбайт, на нем находится MS-DOS, программа server.exe и некоторые другие файлы, необходимые для запуска NetWare 386 (например, драйвер диска). Второй раздел форматируется специальным образом для использования ОS NetWare 386. В этом разделе находятся остальные модули сетевой ОS, сетевые утилиты и некоторые другие служебные каталоги. Там же могут быть размещены файлы, которые должны быть доступны для рабочих станций, подключенных к сети. В компьютере, используемом в качестве файл-сервера, можно установить два или большее количество дисков.
Простота настройки.
Все операции настройки сервера, включая запуск приложений, осуществляется с консоли. В то же время, управление учётными записями, принтерами, файлами, службой каталогов NDS производится с клиентских мест. Консоль NetWare работает в текстовом режиме, поэтому управление осуществляется с помощью программ с командной строкой и интерактивным текстовым интерфейсом.
Многозадачность.
Операционная система поддерживает до 4Г оперативной памяти.
В среде NetWare способно работать большее количество приложений чем в любой другой ЛВС.
Защита.
Средства защиты данных, предоставляемые NetWare, более чем достаточны для большинства ЛВС.
Система защиты данных в ЛВС NetWare включает в себя следующие меры:
· защита от несанкционированного присоединения к ЛВС путем присвоения имен и паролей пользователям, а также ограничениями на доступ к ЛВС пользователей с определенными именами в определенное время дня;
· система доверяемых прав (trustee rights), позволяющая контролировать, к каким файлам и директориям может иметь доступ пользователь, а также какие операции он может производить с ними;
· система атрибутов для директорий или файлов, которые определяют возможность копирования, просмотра, записи и разделения их в ЛВС.
Для каждой директории существует маска максимальных прав, хранящая максимальные привилегии, которые может в ней иметь пользователь. Ниже перечислены восемь прав, которые могут быть указаны в этой маске:
· право чтения из открытых файлов;
· право записи в открытые файлы;
· право открывать файлы;
· право создавать новые файлы;
· право уничтожать файлы;
· право создавать, переименовывать или стирать поддиректории, и устанавливать доверяемые права над директориями внутри директории и ее поддиректориях;
· право производить поиск файлов в директории;
· право модификации атрибутов файла.
Транзакции.
Транзакцией называется совокупность трех действий:
чтение данных;
обработка данных;
запись данных.
Применительно к файл-серверу транзакцией можно считать процесс изменения файла на сервере, когда рабочая станция сначала читает файл или его часть, а затем пишет в этот же файл.
В многопользовательской среде, к которой можно отнести локальную сеть, каждый пользователь может независимо от другого модифицировать одни и те же данные, хранящиеся на файл-сервере. Если во время такой модификации произойдет "зависание" сети или аварийное отключение электропитания, изменяемые на сервере файлы могут быть разрушены.
Для повышения надежности OS Novell NetWare 386 содержит специальную систему прослеживания транзакций TTS (Transaction Tracking System). Эта система следит за транзакциями и в случае аварии сервера при повторном его запуске ликвидирует все действия, выполненные незавершенной транзакцией. В этом случае произойдет так называемый откат транзакции.
Зеркальные диски.
Для исключения ущерба, связанного с возможным повреждением диска, в ответственных случаях используют резервирование дисков. Для резервирования дисков к одному дисковому контроллеру подключают два совершенно одинаковых винчестера и соответствующим образом настраивают OS NetWare 386. После этого вся информация, записываемая на основной диск, будет дублироваться на втором, называемом зеркальным.
В случае повреждения основного диска можно выполнить полное восстановление данных с зеркального при помощи специальной процедуры восстановления.
Дополнительно используется так называемое горячее резервирование дорожек диска (Hot Fix). На диске выделяется область горячего резервирования. Если в процессе работы на диске обнаруживается дефектная дорожка, она динамически заменяется дорожкой из области резервирования.
Резервирование дисков и каналов.
При использовании зеркального диска есть вероятность повреждения единых для обоих дисков канала, контроллера и блока питания.
OS NetWare 386 может резервировать целиком каналы, при этом используются два контроллера, к которым соответственно подключены два диска. Для питания этих контроллеров и дисков используются два блока питания.
Горячее резервирование серверов.
Восстановление данных с зеркального диска может потребовать, в зависимости от объема диска, времени порядка нескольких часов. Иногда такая задержка в работе сети является совершенно недопустимой.
Относительно недавно фирма Novell разработала сетевую OS NetWare System Fault Tolerance Level III (SFT III) версии 3.11. Эта OS обеспечивает горячее резервирование серверов.
Система NetWare SFT III состоит из двух серверов, соединенных между собой скоростной линией связи, с использованием специальных адаптеров MSL (Mirrored Server Link).Эти адаптеры могут соединяться коаксиальным кабелем длиной до 33 метров или оптоволоконным кабелем длиной до 4 километров.
Выход из строя одного сервера не влечет за собой остановку работы сети - в дело автоматически включается резервный сервер. Благодаря высокоскоростному каналу связи диски резервного сервера содержат те же файлы, что и диски основного, поэтому никакого восстановления данных не требуется. Можно ремонтировать один из двух используемых серверов без остановки всей системы, что очень важно, если система должна работать круглосуточно.
Управление доступом
Любая серьезная многопользовательская система должна содержать средства разграничения доступа к совместно используемым ресурсам. В сети Novell NetWare такими ресурсами являются данные на файл-серверах и сетевые принтеры.
Система разграничения доступа, реализованная в NetWare 386, достаточно мощная и удобная. Все пользователи могут быть разделены системным администратором на группы. Каждая группа может иметь свои права, причем один и тот же пользователь может находиться одновременно в разных группах.
Для управления группами в Novell NetWare вводится понятие администратора группы. Администратор группы может не иметь всех прав в сети, предоставляемых только системному администратору.
В OS NetWare 386 можно предоставлять доступ, как к каталогам, так и к отдельным файлам. Причем это может быть как полный доступ, так и частичный, например, администратор может разрешить только читать файл, но не писать в него. Пользователь не видит каталоги или файлы на диске, если у него нет права просмотра содержимого соответствующего каталога.
Надёжность
Операционная система NetWare применена технология SFT (System Fault Tolerant- Cистема защиты при отказах оборудования). Cистема защиты при отказах оборудо-вания означает бесперебойную работу файлового сервера при различного рода отказах аппаратных средств. Во всех версиях NetWare имеются средства минимизации потерь данных в случае физических повреждений поверхности накопителей. Система SFT пошла дальше в этом отношении предложив методы зеркального отображения дисков и дублирования дисков
В системе NetWare имеется возможность контроля сигналов источника бесперебойного питания UPS. При обнаружении перебоя с подачей электроэнергии ОС уведомляет пользователей об этом и сообщает им каким, промежутком времени они располагают для завершения своей работы. По истечении этого промежутка времени ОС автоматически закроет все файлы в системе и выключит себя.
Наконец, система SFT предлагает систему TTS (трассировки обработки запроса). Прикладные программы, использующие эту систему, интерпретируют последовательность действий с базами данных как одну операцию - либо все действия выполнены успешно, либо ни одно из них
Управляемость
Сетевая операционная система (ОS) Novell NetWare 386 версии 3.11 представляет собой 32-разрядную многозадачную операционную систему реального времени.
NetWare 386 является сетевой ОS с централизованным управлением. Это означает, что в сети один или несколько компьютеров используются в качестве файл-серверов. На этих компьютерах работает ОS NetWare 386. Остальные компьютеры используются в качестве рабочих станций и на них должна быть загружена сетевая оболочка - специальная компонента NetWare для рабочих станций. Общее количество рабочих станций, подключенных к одному серверу, может достигать 250.
ОС NetWare 386 стартует из МS-DOS. Для этого необходимо запустить программу server.exe - ядро ОS. После останова NetWare 386 можно снова вернуться в среду MS-DOS, что достаточно удобно с точки зрения отладки и настройки сетевой ОS.
Как и всякая операционная система, Novell NetWare работает с аппаратурой через драйверы. Особенностью версии NetWare 386 является возможность динамической загрузки драйверов дисковых устройств и сетевых адаптеров.
Кроме драйверов можно загружать и сразу запускать программы, выполняющие те или иные функции для обслуживания сервера и сети. Много таких программ будут работать параллельно в мультизадачном режиме. Имена запускаемых программ содержат расширение .nim (термин nim-процесс).
Параллельно работающие nim-процессы (или nim-программы) могут относиться как к самой операционной системе NetWare 386, так и к другим подсистемам, в том числе разработанным другими фирмами (не Novell). Эти процессы обычно решают такие задачи, как управление файлами, хранящимися в сервере, и сетевыми принтерами, работа с внешними коммуникационными каналами связи, управление базами данных, управление доступом к средствам файл-сервера и т.п.
Есть некоторые отличия сервера ЛВС NetWare от обычного ПК. Для накопителя на жестком диске этого компьютера применена структура форматирования совершенно отличная от той, которая применяется в DOS. Невозможно получить доступ к жесткому диску такого сервера, если вы загрузили DOS с дискеты. Но для пользователя ЛВС который работает под управлением DOS и получил доступ к серверу со своего терминала жесткий диск сервера представляется просто как дополнительный к уже существующим.
Формат записи данных на жестком диске, который применен в ОС NetWare, включает большее количество информации о файлах и директориях, чем это было возможно в DOS. Файлы в ОС NetWare наряду с атрибутами “только для чтения”, “скрытый” и “архивный” могут дополнительно иметь атрибут “неразделяемый” и “разделяемый” (он указывает на возможность разделения файла в ЛВС многими пользователями одновременно). Кроме этого, ОС NetWare добавляет к информации о файле следующие элементы: исходную дату создания, имя создателя файла, дату последнего доступа к файлу, дату последней модификации файла, дату и время последней архивации файла.
Совместимость с типами сети
ОС NetWare способна поддерживать рабочие станции, управляемые DOS, DOS и Windows, OS/2, UNIX, Windows NT, Mac System 7 и другими ОС.
ЛВС NetWare может работать с большим количеством различных типов сетевых адаптеров, чем любая другая операционная система. Для достижения поставленных целей вы можете выбрать аппаратные средства от множества разных поставщиков. С NetWare можно использовать ARCnet, EtherNet, Token Ring или практически любой другой тип сетевого адаптера.
При работе большого количества рабочих станций с одним файл-сервером производительность такой сети может оказаться невысокой. Это связано с тем, что на сервере стоит, один-два диска и для удовлетворения большого количества запросов потребуются, многочисленные перемещения блока головок. Увеличение размера расширенной памяти, установленной на файл-сервере, может в некоторой степени улучшить ситуацию, так как NetWare увеличит размер дискового буфера. Однако такое решение стоит дорого и не всегда может привести к желаемому результату.
Поэтому может возникнуть необходимость установить второй файл-сервер. Сеть с двумя файл-серверами будет работать быстрее, так как теперь будет не только большее количество дисков, но и два дисковых контроллера вместо одного, а также два процессора.
Иногда выгодно полностью разделить сети, снабдив каждую своим отдельным файл-сервером. Для связи отдельных сетей в единую сеть можно использовать так называемые мосты. С помощью моста можно объединить в единое целое даже сети, использующие разные методы доступа, например Ethernet, Arc net, Token-Ring.
Серверное семейство операционной системы Windows 2000 представлено версиями Server и Advanced Server. Первая нацелена на создание файловых серверов и серверов печати, организацию внутренней инфраструктуры, обеспечения выхода в Internet. Другая – хороша для электронной коммерции и бизнес приложений, когда версия Server не может справиться с нагрузкой. В данной работе рассматривается версия Server.
Установка
Операционная система Windows 2000 Server очень проста в установке. Необходимо вставить диск в дисковод CD и загрузить с него компьютер. После этого нужно лишь правильно отвечать на вопросы программы инсталляции. ОС может быть установлена на любой указанный допустимый раздел диска. При необходимости инсталлятор предложит пере конвертировать файловую систему FAT и NTFS.Инсталлятор интеллектуален и справляется со всем сам.
Время установки значительно сократилось. Быстрое копирование сочетается с уменьшением числа необходимых перегрузок. В результате для установки Windows 2000 Server хватило 20 минут. Причём большая часть из них приходится на определение аппаратного обеспечения и регистрацию компонентов. Само же копирование занимает несколько минут.
Список поддерживаемых аппаратных средств очень широк, и в нём широко представлены современные устройства, включая те, которые работают через шину USB.
Защита и надёжность
Защите данных в Windows 2000 уделено особое внимание. ОС поддерживает протокол безопасности IP Security Protocol. Windows IP Security служит основным средством защиты сетей и расположен ниже транспортного уровня.
Операционная система поддерживает кроме уже известных ряд новых протоколов, среди которых туннельный протокол канального уровня L2TP, протокол безопасности в Internet IPSec, и расширяемый протокол аутентификации ЕАР.
В настройках аппаратных параметров применена довольно интересная опция: блокирование драйверов, не имеющих цифровой подписи. В более простом случае пользователь будет предупреждён о её отсутствии. С точки зрения защиты подобный шаг может быть достоин внимания.
Advansed Server объединяет поддержку кластеризации при сбоях в работе приложений с интегрированной балансировкой нагрузки сети и приложений.
Поддерживается режим зеркализации.
Управляемость
Windows 2000 использует графический интерфейс. Управление средой Windows 2000 довольно простое. Приятно удивляет интуитивность, понятность и очевидность.
Встроена возможность Personalized Menus – редко используемые пункты убираются и остаются лишь те, к которым пользователь обращается чаще всего.
Применены две новые технологии: Active Directory и IntelliMirror - способных принципиально изменить работу с ПК в офисе.
Active Directory – это служба каталогов, интегрированная в Windows 2000 Server и представляющая собой иерархическую базу данных, хранящую информацию обо всех объектах сети (пользователях, компьютерах, принтерах и т.д.). Архитектура Active Directory позволяет применять эту службу каталогов, как на малых предприятиях, так и в гигантских международных корпорациях и правительственных учреждениях. Базы данных Active Directory способна вместить миллионы пользовательских записей. Интересен выбор Microsoft относительно идентификационной службы для Active Directory: служба каталогов связана с доменной системой имён (DNS), которая применяется в Internet. От администратора не требуется ручная настройка DNS. Управление системой становится проще, так как в Active Directory отсутствуют понятия главного и резервного контроллеров доменов. В Active Directory существуют просто контроллеры доменов, и все они равны между собой. Администратор может сделать изменения в любом одном контроллере, и они будут скопированы во все остальные контроллеры.
IntelliMirror – в свою очередь, может задействовать информацию содержащуюся в базе Active Directory для того, чтобы освободить пользователя от привязки к конкретному физическому ПК. После инсталляции IntelliMirror можно входить в сеть с любого, подключённого к ней компьютера и видеть тот же Рабочий стол, те же опции в меню Start, которое имеется на вашем рабочем месте. Администраторы сети могут применять IntelliMirror для удалённой инсталляции приложений, равно как и для того, чтобы удостовериться в доступности стандартных приложений и функций операционной системы всем пользователям без исключения.
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ
1. Windows 2000 Server. Учебный курс MCSE. – М.: изд-во Русская редакция, 2000.
2. Внутреннее устройство Windows 2000 master class, Москва- 2004г
3. Карасик И. Программные и аппаратные средства защиты информации для персональных компьютеров / /КомпьютерПресс №3, 1995