Конфигурация серверов
Введение
Сервер необходим любой крупной или даже не очень
крупной компании для совместного использования ресурсов. Это не только
информационные ресурсы. Например, к серверу могут обращаться как компьютеры,
так и телефоны, принтеры, факсы и другие устройства, подключенные к сети.
Сервер осуществляет хранение информационных ресурсов и организует совместный
доступ к ним нескольких компьютеров. И чем крупнее фирма и больше пользователей
сети, тем больше и мощнее необходим сервер.
Слово «server» происходит от английского слова
«serve» — служить, обслуживать. То есть сервер — это обслуживающий компьютер
или сеть компьютеров, предназначенные для обслуживания пользователей, которые
обращаются к нему со своим запросом.
Любой сервер, как и персональный компьютер не мыслим
без специального программного обеспечения. Для того, чтобы работа на сервере
была возможна необходима операционная система, которая позволяла бы
сконструировать информацию в виде понятного и привычного для пользователя
интерфейса. Существует несколько используемых операционных систем для серверов,
например, Windows NT или UNIX/Linux.
Цель: Изучение конфигурации серверного
оборудования, обновление операционной системы класса Unix
1. Задачи: Изучить конфигурацию серверного
оборудования Hyperion
RS230 G4
2. Обновить серверную операционную систему
класса Unix.
1.
Конфигурация сервера
Сервер — это компьютер или несколько
компьютеров, которые обладают большой мощностью и хранят большое количество
информации. Сервер всегда находится во включенном состоянии и подключен к сети
(локальной сети или сети Интернет), чтобы обрабатывать запросы пользователей и
выдавать необходимую информацию. Чем большее количество информации хранит
сервер на жестком диске чем больше количество пользователей, отправляющих
запрос, тем мощнее должен быть сервер.
Все сайты в сети Интернет расположены на
серверах. Если сайт содержит небольшое количество страниц и информации, то
таких сайтов на одном сервере может быть очень много. Если же сайт содержит и
обрабатывает огромное количество информации, то он находится на отдельном
сервере, и по сути сам является сервером. Так, например, поисковые системы
(Yandex, Google, Mail.ru и т.д.). Можно сказать, что все страницы всех сайтов в
интернет находятся на серверах этих компаний. В данном случае понятие сервер —
представляет собой большое количество компьютеров (серверов), связанных между
собой и работающих параллельно, для того, чтобы обеспечить быструю обработку
поискового запроса и выдачу результата.
1.1 Виды серверов
В зависимости от функций, которые выполняет
сервер, они подразделяются на виды. Основные из них, представлены ниже.
Файл-сервер — сервер, на котором хранятся все
файлы сети. Это жесткий диск или несколько дисков, хранящих информационные
ресурсы (различные файлы), к которым осуществлен доступ других компьютеров. Для
обмена файлами между клиентом и сервером используется протокол FTP (File
Transfer Protocol — протокол передачи файлов). С помощью этого протокола
пользователь может загружать документы, картинки, музыкальные файлы, программы
в сети. С его легкой подачи Вы можете загружать страницы любого сайта в
интернете, связывать компьютеры между собой. Доступ к файловому серверу
осуществляется после авторизации пользователя и защищен паролем. Файл-сервером
может считаться любой компьютер с большим дисковым пространством (жестким
диском), который хранит файлы различного типа.
Рисунок 1. Файл-сервер (схема соединений)
Почтовый сервер — сервер, совершающий принятие и
отправление почтовой переписки. Оболочка почтового сервера может быть любая, в
зависимости от программного обеспечения, установленного на Вашем компьютере. Но
сам почтовый сервер, это нечто большее. После отправки электронной почты на
конкретный почтовый адрес, сообщение поступает на почтовый сервер, где
обрабатывается. Адрес получателя индексируется, почтовый сервер находит его в
сети и отправляет сообщение получателю. В этом процессе участвует не один
почтовый сервер, а множество серверов, которые обмениваются между собой
информацией.
Рисунок 2. Схема почтового сервера
Веб-сервер — сервер, на котором расположены все
сайты, находящиеся в сети Интернет. Это сервер, который подключен к интернету и
принимает запросы пользователей с помощью протокола HTTP (HyperText Transfer
Prоtocоl — протокол передачи гипертекста). Веб-сервер получает запрос,
обрабатывает его и выдает результат, который может быть не только файловым, но
и гипертекстовым. Запросы идентифицируются с помощью URL (Uniform Resource Locator
— универсальный локатор ресурса), стандартного способа записи адреса ресурса в
сети Интерент. По сути веб-хостинг это и есть веб-сервер. Он является
хранителем страниц Вашего сайта на своем сервере и проводником между Вами и
Вашим сайтом, а также между вашим ресурсом и другими пользователями сети.
Рисунок 3. Схема веб-сервера
Прокси-сервер — по сути это тоже веб-сервер, но
он осуществляет запросы в интернет вместо вас. Это комплекс программ, с помощью
которого пользователь получает информацию из сети косвенно. То есть
пользователь (клиент) сначала подключается к прокси-серверу и отправляет ему
запрос. После чего сервер сам находит информацию в сети и отправляет ее
клиенту. Но ответ на запрос может быть изменен прокси-сервером. Это делается с
определенной целью. Использование прокси-сервера позволяет защитить клиентский
компьютер или локальную сеть от атак вредоносных программ, обеспечить
анонимность доступа клиента, ограничить доступ к некоторым ресурсам сети или напротив,
обойти запреты на непосредственный доступ к некоторым ресурсам, позволяет
сжимать данные, отвечающие на запрос или предоставить запрошенную клиентом
информацию из кеша прокси-сервера.
сервер блок сборка обновление
Рисунок 4. Схема прокси-сервера
Сервер базы данных — сервер, который обслуживает
базу данных и обеспечивает доступ к данным с помощью системы клиент-сервер. В
основном все программы используют для своей работы базы данных (базы данных
отдельной фирмы, сайты в интернете и др.). Если количество данных очень большое
и к ним необходим совместный доступ, то для этого выделяется отдельный сервер
базы данных. Для веб-сервера это просто необходимо. Для работы с базами данных
чаще всего используется язык программирования SQL, язык структурированных
запросов. Самыми распространенными серверами баз данных являются SQL SERVER
(Microsoft), SQL BASE SERVER, Oracle SERVER (Oracle Corporation), IBM DB2,
Informix. Они работают на платформе различных операционных систем, таких как
MSDOS, OS/2, Xenix, Unix.
Рисунок 5. Сервер базы данных
Игровой сервер — сервер, обеспечивающий связь
между клиентами сети, который позволяет им взаимодействовать друг с другом.
Целью такого взаимодействия является игра, программное обеспечение которой
находится на сервере и позволяет игрокам общаться между собой в рамках
конкретной игры. Игровой сервер получает информацию о состоянии файлов игрока и
его действиях, обрабатывает их, производит обновление системы и отправляет
данные после систематизации всем участникам игры. В основном, игровой сервер
размещен на сервере какой-либо хостинг компании. Для примера, самой популярным
игровым сервером в сети является игра «Counter-Strike».
Рисунок 6. Схема включение игрового сервера
напрямую на статический IP
Конфигурация серверной машины на примере Hyperion
RS230 G4
Рисунок 7 общий вид сервера hyperion
RS230 G4
Данный сервер предназначен для производительных
вычислений
Системные требование сервера:
Применение: виртуализация, большие БД, cloud
computing, data mining, ERP, CRM, сервер Citrix, производительные вычисления
Набор микросхем: Intel C602
Процессоры: 1 или 2 Intel Xeon E5-26xx v2 (до 24
ядер)
Системная шина:
Intel DMI 4GB/s
Максимальный объём памяти: 1.5TB восьмиканальной
DDR3, 24 слота
Встроенные контроллеры: Технология дочерних плат
расширенияSAS RAID 8 портов (активация через дополнительный ROM)
Опциональные контроллеры: Дочерняя плата SAS HBA
(не занимает слот PCI) Дочерняя плата двухпортового 10 Gb Ethernet SFP+ SAS
RAID контроллеры
Адаптеры FibreChannel и InfiniBand HCA
Максимальное количество дисков: 12x
3.5” SAS/SATA/SSD с горячей заменой, 6G экспандер с двойным входом или 24x 2.5”
SAS/SATA/SSD с горячей заменой 6G экспандер с двойным входом 1 внутренний SATA
DOM 2x 2.5” SATA/SSD с горячей заменой
Видеоконтроллер: ASPEED 2300, 64Mb
Слоты расширения: 3x PCI-E 3.0 16x 2x
PCI-E
3.0 16x
LP 2x
PCI-E
3.0 4x
mezz
Сетевые интерфейсы: 2x
Intel Powerville
I350 1GbE
RJ45 или 2x
Intel Twinville
X540 10GbE
RJ45 2x
Intel® 82599ES
10Gb SFP+
дочерняя плата (опция) Поддержка технологии FCoE
Интерфейсы: Задняя панель VGA
RS232 3 x
RJ45 2 x
USB
Управление системой: IPMI 2.0 интегрировано KVM
over IP, Virtual Media Выделенный порт Ethernet DCMI
Поддерживаемые ОС:
SuSE Linux Enterprise Server 11 Семейство
Microsoft Windows® Server 2012 Red Hat Enterprise Linux 6 VMware® vSphere 5
Oracle Solaris 11
Блок питания: 1100Вт (опционально 460Вт) дублированный
с горячей заменой Поддержка Intel
Node Management
Охлаждение: 4 управляемых вентилятора охлаждения
системы с легкой заменой
Рабочие условия Относительная влажность: 10-75%
Диапазон температур: 10-35 °C
1.2 Аппаратная
составляющая сервера (на примере Hyperion RC 100 G4)
Рисунок 8 внешний вид серверной машины hyperion
RS230 G4
Рисунок 9 Задняя панель
Рисунок 10 блок питание hyperion
RS230 G4
Рисунок 11 материнская плата hyperion
RS230 G4
Рисунок 12 общий вид задней панели hyperion
RS230 G4
.3 ПРАВИЛО ЗАМЕНЫ БЛОКОВ
Как правило сервера находиться в серверных
стойках, перед демонтажем необходимо стандартными средствами отключить сервер,
отсоединить все периферийные устройства, разблокировать фиксаторы, вынуть
сервер из стойки и перенести на заранее подготовленное место.
Главная суть обслуживание сервера в следующем:
Осмотр элементов сервера
Удаление загрязнений
Перезаклада термопасты в высокотемпературных
элементах.
Очистка и проверка систем питания.
Сборка и установка в стойку
Осмотр элементов сервера
После снятия крышки корпуса необходимо тщательно
осмотреть все элементы сервера: блоки питания, места разъёмов радиаторов и
систем охлаждения. С особой тщательностью необходимо осматривать элементы
системы охлаждения, а так же на наличие вздутий и окисления у элементов
материнской платы. Системы охлаждения осматриваться на наличие люфтов и
заеданий при вращении. Удаление загрязнений. Перед выполнением процедуры по
удалению загрязнений, необходимо с рабочих элементов, инструментов, самого
себя, снять статическое электричество специальными браслетами. Очистка
загрязнений выполняется методом «сдувания» сжатым воздухом под давлением от 3
до 6 Атм. На расстоянии 10-25 см от рабочей поверхности
Ни в коем случае не собирайте пыль или
загрязнения пылесосом или иными всасывающими устройствами или пластиковыми
насадками (щелевые насадки) т.к. в зонах быстрого течения воздуха возникают
большие потенциалы статического электричества, которое выводит из строя
полупроводниковые элементы сервера.
Необходимо аккуратно продуть все элементы
охлаждения, корпус сервера, места подключения питания Замена вышедших из строя
элементов. После чистки от загрязнений элементов сервера необходимо произвести
замену вышедших из строя элементов (если таковые имеются). В нашем случае мы
проводим замену вышедшего из строя блока питания. Замена термопасты. В процессе
эксплуатации сервера в местах повышенных температур (процессоры, чипсеты, идр)
используются теплопроводящие пасты. Как правило сервера работают в режиме 7/24
и в достаточно нагруженном режиме. При длительной эксплуатации термопаста
«высыхает» и теряет свои теплопроводные свойства. Одной из основных задач
обслуживания сервера является «замена» теплопроводящей пасты. Замена
выполняется следующим способом: Демонтаж радиатора охлаждения. Очистка
спиртовым раствором поверхности радиатора охлаждения и процессора. Нанесение
пасты Монтаж радиатора охлаждения. В общем, замена термопасты процедура
несложная и не требует каких либо навыков, но выполнять ее нужно обязательно
хотя бы один раз в год. Очистка и проверка систем питания. Одним из основных
высоконагруженных элементов сервера являются блоки питания. Как правило они
установлены в корпус сервера, имеют компактное исполнение, высокие мощностные
характеристики и температурные режимы работы. При регламентом обслуживании,
обязательно нужно производить демонтаж блока питания, его вскрытие и очистка от
загрязнений. Почему нужно чистить блоки питания сервера внутри? Компактное
исполнение блока питания быстро накапливает загрязнения, в больших городах в
воздухе повышенное содержание сажевых элементов которые коксуются в устройстве
и при определенных условиях вызывают короткое замыкание силовых цепей элементов
питания, тем самым в лучшем случае выводят его из строя в худшем приводят к
поломке всего сервера, вплоть до потери всех данных. Сборка сервера выполняется
в обратном порядке, необходимо без перекосов установить сервер в салазки стойки
и зафиксировать его стопорами.
2. Серверные
Операционные системы(ОС)
Серверная операционная система — предназначена
для управления программным обеспечением, которое в свою очередь обслуживает
всех пользователей сети, как внутренней, так и внешней. А почему нельзя
использовать обычную, пользовательскую ОС в качестве серверной? Спросите вы, да
потому что серверная ОС предоставляет специализированный функционал управления,
так сказать более удобный, эффективный, разработанный специально для конкретных
целей администрирования и управления и такого функционала просто нет в
пользовательских операционных системах, которые, кстати, выступают клиентами
этих серверных операционных систем. И, конечно же, можно сделать вывод — если у
нас имеется специализированный функционал соответственно и стоимость этого
функционала будет совсем другая, есть конечно и исключения.
Выбор серверной операционной системы. Прежде всего
необходимо четко определить для каких целей будет использоваться данный сервер
и соответственно его операционная система. И уже, исходя из конкретной задачи
выбирать операционную систему и необходимую конфигурацию оборудования для этой
операционной системы.
Рассмотрим самые популярные и распространенные
серверные операционные системы.
Компания Microsoft. : две операционные системы
это: Windows Server 2003 и Windows Server 2008 R2.
Рисунок 13 логотип Os
Windows Server2003
Server 2003- операционная система семейства Windows
NT от компании Microsoft,
предназначенная для работы на серверах. Она была выпущена 24 апреля 2003 года.
Windows Server 2003 является развитием Windows
2000 Server и серверным
вариантом операционной системы Windows
XP. Основными
особенностями данных операционных систем являются наличие в их составе
платформы Microsoft .NET Framework, а также поддержка Web-сервисов XML (вплоть
до наличия в составе операционной системы UDDI-сервера). Она поддерживает серверы
на базе 64-разрядных процессоров (до восьми штук) и объем оперативной памяти до
64 Гбайт и выпускается в версиях для 32- и 64-разрядных платформ;
Данный продукт может использоваться практически
для всех целей, которые возникают у администраторов, но не стоит забывать и про
качество, так как все desktop-ные варианты (т.е. имеют графическую оболочку)
запрашивают на много больше ресурсов, чем без интерфейсные операционные
системы, поэтому если вы собираетесь использовать ОС с графической оболочкой, необходимо
учесть это при выборе оборудования для сервера. Windows Server 2003 отлично
подходит для начинающих системных администраторов. Данная платформа подходит
для контроллеров домена, если вы используете службу каталогов Active Directory,
также если вы планируете в своей сети использовать удаленное подключение
пользователей, то на этой ОС вы легко можете реализовать
«Сервер терминалов».
Процессор с тактовой частотой 133 МГц или выше
для ПК с процессорами x86; 733 MHz для ПК с процессорами Itanium; поддержка до
8 процессоров 32- или 64-разрядной версии.
ОЗУ Требуется минимум 128 МБ ОЗУ; максимум 32 ГБ
для ПК с 32-разрядными процессорами x86 или 64 ГБ для ПК с 64-разрядными
процессорами Itanium.
Жесткий диск 1,5 ГБ свободного места на
жестком диске для ПК с процессорами x86; 2 ГБ для ПК с процессорами Itanium;
для установки через сеть требуется дополнительное место на жестком диске.
Привод Дисковод для компакт- или DVD-дисков.
Экран Требуется VGA или оборудование,
поддерживающее перенаправление консоли.
Прочее Windows Server 2003 Enterprise Edition,
64-разрядная версия совместима с 64-разрядными системами Intel Itanium и не
может быть установлена в 32-разрядных системах.
Рисунок 14 логотип
Os Windows Server 2008 R2.
Windows Server 2008 R2 является уже лидером
многих тестов по производительности серверных операционных систем. Например,
файловый сервер лучше всего поднимать на этой ОС. Помимо этого в данной
операционной системе: улучшенная поддержка виртуализации, новая версия службы
каталогов Active Directory, поддержка до 256 процессоров, в отличие от Windows
Server 2003, также здесь лучше реализован «сервер терминалов». Плюсом данной
платформы является то, что она походит для качественного выполнения практически
всех задач, а минусом то, что требует больше ресурсов в отличие от своих
сородичей.
Минимально: 1 ГГц
Рекомендуется: 2 ГГц
Оптимально: 3 ГГц и больше
Память: Минимально: ОЗУ 512 МБ
Рекомендуется: ОЗУ 1 ГБ
Оптимально: ОЗУ 2 ГБ (полная установка) или 1 ГБ
(установка ядра сервера) и более
Максимально (32-разрядные системы): 4 ГБ (выпуск
Standard) или 64 ГБ (выпуски Enterprise и Datacenter)
Максимально (64-разрядные системы): 32 ГБ
(выпуск Standard) или 2 ТБ (выпуски Enterprise, Datacenter и для систем на базе
Itanium)
Свободное место на диске Минимально: 8 ГБ
Рекомендуется: 40 ГБ (полная установка) или 10
ГБ (установка ядра сервера)
Оптимально: 80 ГБ (полная установка) или 40 ГБ
(установка ядра сервера) и больше. Примечание. Компьютерам с объемом ОЗУ более
16 ГБ требуется больше дискового пространства для файлов подкачки, спящего
режима и дампа памятиServer 10.10. который использует ядро Linux. Существуют
уже более новые релизы этого дистрибутива, такие как Ubuntu Server 11.04 и
Ubuntu Server 11.10
Рисунок 15 Логотип Os
Ubuntu server
Server 10.10 отличается простотой установки и
обслуживания, обеспечивает высокую надежность и производительность, а также
имеет высокий уровень безопасности и отлично подходит практически для всех
задач.
Процессор: 300 MHz x86128MB
Оперативной памяти (RAM): 1GB доступного
пространства жесткого диска
Видеокарта и монитор: совместимый для разрешения
640×480 пикселей
Оптический привод: для чтения CD/DVD дисков или
USB порт (либо оба устройства)
Наличие сети Интернет (не обязательно)8.2 —
Unix-подобная операционная система, очень популярна среди Интернет компаний,
так как данная операционная система отлично подходит для всевозможных
web-серверов.
Рисунок 16 логотип Os
FreeBSD
отличный вариант для web-сервера потому что, это
мощный TCP/IP-стек с поддержкой промышленных стандартов, таких как SLIP, PPP,
NFS, DHCP и NIS. И поэтому FreeBSD может легко взаимодействовать с другими
системами, а также работать сервером крупного предприятия, предоставляя
жизненно важные функции, такие как NFS (удалённый доступ к файлам) и услуги
электронной почты, или представлять вашу организацию в Интернете, обеспечивая
работу таких служб как: WWW, FTP, маршрутизацию и функции межсетевого экрана.
На FreeBSD работают одни из самых крупных и
загруженных сайтов в Интернете (например, Yahoo!) и большая доля всех остальных
сайтов также работают на FreeBSD.
Но FreeBSD можно использовать не только как
платформу для Интернет-сервера, но и в качестве обычного сервера который
выполняет все те задачи, которые выполняют другие серверные операционные
системы и ограничивать возможности FreeBSD не нужно. FreeBSD отличается высокой
безопасностью и производительностью. Кроме того, данная операционная система
обойдется вам бесплатно и помимо всего прочего FreeBSD разрабатывается и
поддерживается большой командой разработчиков.
Системные требование:
Место на жестком диске: минимум 150 MB
свободного места на диске для самой минимальной установки.
Видеокарта: большинство видеокарт AGP, PCI, PCIе
и PCI-X работает в X.Org.
Звуковая карта: любая.
x86 (в том числе Pentium® и Athlon™),
2.1 Сетевые
операционные системы
Сетевая операционная система составляет основу
любой вычислительной сети. Каждый компьютер в сети в значительной степени
автономен, поэтому под сетевой операционной системой в широком смысле
понимается совокупность операционных систем отдельных компьютеров,
взаимодействующих с целью обмена сообщениями и разделения ресурсов по единым
правилам — протоколам. В узком смысле сетевая ОС — это операционная система
отдельного компьютера, обеспечивающая ему возможность работать в сети.
Рис. 17. Структура сетевой ОС
В сетевой операционной системе
отдельной машины можно выделить несколько частей:
· Средства управления
локальными ресурсами компьютера: функции распределения оперативной памяти между
процессами, планирования и диспетчеризации процессов, управления процессорами в
мультипроцессорных машинах, управления периферийными устройствами и другие
функции управления ресурсами локальных ОС.
· Средства
предоставления собственных ресурсов и услуг в общее пользование — серверная
часть ОС (сервер). Эти средства обеспечивают, например, блокировку файлов и
записей, что необходимо для их совместного использования; ведение справочников
имен сетевых ресурсов; обработку запросов удаленного доступа к собственной
файловой системе и базе данных; управление очередями запросов удаленных
пользователей к своим периферийным устройствам.
· Средства запроса доступа
к удаленным ресурсам и услугам и их использования — клиентская часть ОС
(редиректор). Эта часть выполняет распознавание и перенаправление в сеть
запросов к удаленным ресурсам от приложений и пользователей, при этом запрос
поступает от приложения в локальной форме, а передается в сеть в другой форме,
соответствующей требованиям сервера. Клиентская часть также осуществляет прием
ответов от серверов и преобразование их в локальный формат, так что для
приложения выполнение локальных и удаленных запросов неразличимо.
· Коммуникационные
средства ОС, с помощью которых происходит обмен сообщениями в сети. Эта часть
обеспечивает адресацию и буферизацию сообщений, выбор маршрута передачи
сообщения по сети, надежность передачи и т.п., то есть является средством транспортировки
сообщений.
В зависимости от функций,
возлагаемых на конкретный компьютер, в его операционной системе может
отсутствовать либо клиентская, либо серверная части.
На рисунке 17 показано
взаимодействие сетевых компонентов. Здесь компьютер 1 выполняет роль
«чистого» клиента, а компьютер 2 — роль «чистого» сервера,
соответственно на первой машине отсутствует серверная часть, а на второй —
клиентская. На рисунке отдельно показан компонент клиентской части —
редиректор. Именно редиректор перехватывает все запросы, поступающие от
приложений, и анализирует их. Если выдан запрос к ресурсу данного компьютера,
то он переадресовывается соответствующей подсистеме локальной ОС, если же это
запрос к удаленному ресурсу, то он переправляется в сеть. При этом клиентская
часть преобразует запрос из локальной формы в сетевой формат и передает его
транспортной подсистеме, которая отвечает за доставку сообщений указанному
серверу. Серверная часть операционной системы компьютера 2 принимает запрос,
преобразует его и передает для выполнения своей локальной ОС. После того, как
результат получен, сервер обращается к транспортной подсистеме и направляет
ответ клиенту, выдавшему запрос. Клиентская часть преобразует результат в
соответствующий формат и адресует его тому приложению, которое выдало запрос.
Рис. 17. взаимодействие
компонентов операционной системы при взаимодействии компьютеров
На практике сложилось несколько
подходов к построению сетевых операционных систем (рисунок 18).
Первые сетевые ОС представляли
собой совокупность существующей локальной ОС и надстроенной над ней сетевой
оболочки. При этом в локальную ОС встраивался минимум сетевых функций, необходимых
для работы сетевой оболочки, которая выполняла основные сетевые функции.
Примером такого подхода является использование на каждой машине сети
операционной системы MS DOS (у которой начиная с ее третьей версии появились
такие встроенные функции, как блокировка файлов и записей, необходимые для
совместного доступа к файлам). Принцип построения сетевых ОС в виде сетевой
оболочки над локальной ОС используется и в современных ОС, таких, например, как
LANtastic или Personal Ware.
Однако более эффективным представляется
путь разработки операционных систем, изначально предназначенных для работы в
сети. Сетевые функции у ОС такого типа глубоко встроены в основные модули
системы, что обеспечивает их логическую стройность, простоту эксплуатации и
модификации, а также высокую производительность. Примером такой ОС является
система Windows NT фирмы Microsoft, которая за счет встроенности сетевых
средств обеспечивает более высокие показатели производительности и защищенности
информации по сравнению с сетевой ОС LAN Manager той же фирмы (совместная
разработка с IBM), являющейся надстройкой над локальной операционной системой
OS/2.
2.2
Одноранговые сетевые ОС и ОС с выделенными серверами
В зависимости от того, как
распределены функции между компьютерами сети, сетевые операционные системы, а
следовательно, и сети делятся на два класса: одноранговые и двухранговые
(рисунок 19). Последние чаще называют сетями с выделенными серверами.
(а)
(б)
Рис. 19 (а) — Одноранговая
сеть, (б) — Двухранговая сеть
Если компьютер предоставляет
свои ресурсы другим пользователям сети, то он играет роль сервера. При этом
компьютер, обращающийся к ресурсам другой машины, является клиентом. Как уже
было сказано, компьютер, работающий в сети, может выполнять функции либо
клиента, либо сервера, либо совмещать обе эти функции.
Если выполнение каких-либо
серв9999ерных функций является основным назначением компьютера (например, предоставление
файлов в общее пользование всем остальным пользователям сети или организация
совместного использования факса, или предоставление всем пользователям сети
возможности запуска на данном компьютере своих приложений), то такой компьютер
называется выделенным сервером. В зависимости от того, какой ресурс сервера
является разделяемым, он называется файл-сервером, факс-сервером,
принт-сервером, сервером приложений и т.д.
Очевидно, что на выделенных
серверах желательно устанавливать ОС, специально оптимизированные для
выполнения тех или иных серверных функций. Поэтому в сетях с выделенными
серверами чаще всего используются сетевые операционные системы, в состав
которых входит нескольких вариантов ОС, отличающихся возможностями серверных
частей. Например, сетевая ОС Novell NetWare имеет серверный вариант,
оптимизированный для работы в качестве файл-сервера, а также варианты оболочек
для рабочих станций с различными локальными ОС, причем эти оболочки выполняют
исключительно функции клиента. Другим примером ОС, ориентированной на
построение сети с выделенным сервером, является операционная система Windows
NT. В отличие от NetWare, оба варианта данной сетевой ОС — Windows NT Server
(для выделенного сервера) и Windows NT Workstation (для рабочей станции) — могут
поддерживать функции и клиента и сервера. Но серверный вариант Windows NT имеет
больше возможностей для предоставления ресурсов своего компьютера другим
пользователям сети, так как может выполнять более широкий набор функций,
поддерживает большее количество одновременных соединений с клиентами, реализует
централизованное управление сетью, имеет более развитые средства защиты.
Выделенный сервер не принято
использовать в качестве компьютера для выполнения текущих задач, не связанных с
его основным назначением, так как это может уменьшить производительность его
работы как сервера. В связи с такими соображениями в ОС Novell NetWare на
серверной части возможность выполнения обычных прикладных программ вообще не
предусмотрена, то есть сервер не содержит клиентской части, а на рабочих
станциях отсутствуют серверные компоненты. Однако в других сетевых ОС
функционирование на выделенном сервере клиентской части вполне возможно.
Например, под управлением Windows NT Server могут запускаться обычные программы
локального пользователя, которые могут потребовать выполнения клиентских
функций ОС при появлении запросов к ресурсам других компьютеров сети. При этом
рабочие станции, на которых установлена ОС Windows NT Workstation, могут
выполнять функции невыделенного сервера.
Важно понять, что несмотря на
то, что в сети с выделенным сервером все компьютеры в общем случае могут
выполнять одновременно роли и сервера, и клиента, эта сеть функционально не
симметрична: аппаратно и программно в ней реализованы два типа компьютеров — одни,
в большей степени ориентированные на выполнение серверных функций и работающие
под управлением специализированных серверных ОС, а другие — в основном
выполняющие клиентские функции и работающие под управлением соответствующего
этому назначению варианта ОС. Функциональная несимметричность, как правило,
вызывает и несимметричность аппаратуры — для выделенных серверов используются
более мощные компьютеры с большими объемами оперативной и внешней памяти. Таким
образом, функциональная несимметричность в сетях с выделенным сервером
сопровождается несимметричностью операционных систем (специализация ОС) и
аппаратной несимметричностью (специализация компьютеров).
В одноранговых сетях все
компьютеры равны в правах доступа к ресурсам друг друга. Каждый пользователь
может по своему желанию объявить какой-либо ресурс своего компьютера
разделяемым, после чего другие пользователи могут его эксплуатировать. В таких
сетях на всех компьютерах устанавливается одна и та же ОС, которая
предоставляет всем компьютерам в сети потенциально равные возможности.
Одноранговые сети могут быть построены, например, на базе ОС LANtastic,
Personal Ware, Windows for Workgroup, Windows NT Workstation.
В одноранговых сетях также
может возникнуть функциональная несимметричность: одни пользователи не желают
разделять свои ресурсы с другими, и в таком случае их компьютеры выполняют роль
клиента, за другими компьютерами администратор закрепил только функции по
организации совместного использования ресурсов, а значит они являются
серверами, в третьем случае, когда локальный пользователь не возражает против
использования его ресурсов и сам не исключает возможности обращения к другим
компьютерам, ОС, устанавливаемая на его компьютере, должна включать и
серверную, и клиентскую части. В отличие от сетей с выделенными серверами, в
одноранговых сетях отсутствует специализация ОС в зависимости от преобладающей
функциональной направленности — клиента или сервера. Все вариации реализуются
средствами конфигурирования одного и того же варианта ОС.
Одноранговые сети проще в
организации и эксплуатации, однако они применяются в основном для объединения
небольших групп пользователей, не предъявляющих больших требований к объемам
хранимой информации, ее защищенности от несанкционированного доступа и к
скорости доступа. При повышенных требованиях к этим характеристикам более
подходящими являются двухранговые сети, где сервер лучше решает задачу
обслуживания пользователей своими ресурсами, так как его аппаратура и сетевая
операционная система специально спроектированы для этой цели.
2.3 ОС
для рабочих групп и ОС для сетей масштаба предприятия
Сетевые операционные системы
имеют разные свойства в зависимости от того, предназначены они для сетей
масштаба рабочей группы (отдела), для сетей масштаба кампуса или для сетей
масштаба предприятия.
· Сети отделов — используются
небольшой группой сотрудников, решающих общие задачи. Главной целью сети отдела
является разделение локальных ресурсов, таких как приложения, данные, лазерные
принтеры и модемы. Сети отделов обычно не разделяются на подсети.
· Сети кампусов —
соединяют несколько сетей отделов внутри отдельного здания или внутри одной
территории предприятия. Эти сети являются все еще локальными сетями, хотя и
могут покрывать территорию в несколько квадратных километров. Сервисы такой
сети включают взаимодействие между сетями отделов, доступ к базам данных
предприятия, доступ к факс-серверам, высокоскоростным модемам и
высокоскоростным принтерам.
· Сети предприятия
(корпоративные сети) — объединяют все компьютеры всех территорий отдельного
предприятия. Они могут покрывать город, регион или даже континент. В таких
сетях пользователям предоставляется доступ к информации и приложениям,
находящимся в других рабочих группах, других отделах, подразделениях и
штаб-квартирах корпорации.
Главной задачей операционной
системы, используемой в сети масштаба отдела, является организация разделения
ресурсов, таких как приложения, данные, лазерные принтеры и, возможно,
низкоскоростные модемы. Обычно сети отделов имеют один или два файловых сервера
и не более чем 30 пользователей. Задачи управления на уровне отдела
относительно просты. В задачи администратора входит добавление новых
пользователей, устранение простых отказов, инсталляция новых узлов и установка
новых версий программного обеспечения. Операционные системы сетей отделов
хорошо отработаны и разнообразны, также, как и сами сети отделов, уже давно
применяющиеся и достаточно отлаженные. Такая сеть обычно использует одну или
максимум две сетевые ОС. Чаще всего это сеть с выделенным сервером NetWare 3.x
или Windows NT, или же одноранговая сеть, например сеть Windows for Workgroups.
Пользователи и администраторы
сетей отделов вскоре осознают, что они могут улучшить эффективность своей
работы путем получения доступа к информации других отделов своего предприятия.
Если сотрудник, занимающийся продажами, может получить доступ к характеристикам
конкретного продукта и включить их в презентацию, то эта информация будет более
свежей и будет оказывать большее влияние на покупателей. Если отдел маркетинга
может получить доступ к характеристикам продукта, который еще только
разрабатывается инженерным отделом, то он может быстро подготовить
маркетинговые материалы сразу же после окончания разработки.
Итак, следующим шагом в
эволюции сетей является объединение локальных сетей нескольких отделов в единую
сеть здания или группы зданий. Такие сети называют сетями кампусов. Сети
кампусов могут простираться на несколько километров, но при этом глобальные
соединения не требуются.
Операционная система, работающая
в сети кампуса, должна обеспечивать для сотрудников одних отделов доступ к
некоторым файлам и ресурсам сетей других отделов. Услуги, предоставляемые ОС
сетей кампусов, не ограничиваются простым разделением файлов и принтеров, а
часто предоставляют доступ и к серверам других типов, например, к факс-серверам
и к серверам высокоскоростных модемов. Важным сервисом, предоставляемым
операционными системами данного класса, является доступ к корпоративным базам
данных, независимо от того, располагаются ли они на серверах баз данных или на
миникомпьютерах.
Именно на уровне сети кампуса
начинаются проблемы интеграции. В общем случае, отделы уже выбрали для себя
типы компьютеров, сетевого оборудования и сетевых операционных систем.
Например, инженерный отдел может использовать операционную систему UNIX и
сетевое оборудование Ethernet, отдел продаж может использовать операционные
среды DOS/Novell и оборудование Token Ring. Очень часто сеть кампуса соединяет
разнородные компьютерные системы, в то время как сети отделов используют
однотипные компьютеры.
Корпоративная сеть соединяет
сети всех подразделений предприятия, в общем случае находящихся на значительных
расстояниях. Корпоративные сети используют глобальные связи (WAN links) для
соединения локальных сетей или отдельных компьютеров.
Пользователям корпоративных
сетей требуются все те приложения и услуги, которые имеются в сетях отделов и
кампусов, плюс некоторые дополнительные приложения и услуги, например, доступ к
приложениям мейнфреймов и миникомпьютеров и к глобальным связям. Когда ОС
разрабатывается для локальной сети или рабочей группы, то ее главной
обязанностью является разделение файлов и других сетевых ресурсов (обычно
принтеров) между локально подключенными пользователями. Такой подход не
применим для уровня предприятия. Наряду с базовыми сервисами, связанными с
разделением файлов и принтеров, сетевая ОС, которая разрабатывается для
корпораций, должна поддерживать более широкий набор сервисов, в который обычно
входят почтовая служба, средства коллективной работы, поддержка удаленных
пользователей, факс-сервис, обработка голосовых сообщений, организация
видеоконференций и др.
Кроме того, многие существующие
методы и подходы к решению традиционных задач сетей меньших масштабов для
корпоративной сети оказались непригодными. На первый план вышли такие задачи и
проблемы, которые в сетях рабочих групп, отделов и даже кампусов либо имели
второстепенное значение, либо вообще не проявлялись. Например, простейшая для
небольшой сети задача ведения учетной информации о пользователях выросла в
сложную проблему для сети масштаба предприятия. А использование глобальных
связей требует от корпоративных ОС поддержки протоколов, хорошо работающих на
низкоскоростных линиях, и отказа от некоторых традиционно используемых
протоколов (например, тех, которые активно используют широковещательные
сообщения). Особое значение приобрели задачи преодоления гетерогенности — в
сети появились многочисленные шлюзы, обеспечивающие согласованную работу
различных ОС и сетевых системных приложений.
К признакам корпоративных ОС
могут быть отнесены также следующие особенности.
Поддержка приложений. В
корпоративных сетях выполняются сложные приложения, требующие для выполнения
большой вычислительной мощности. Такие приложения разделяются на несколько частей,
например, на одном компьютере выполняется часть приложения, связанная с
выполнением запросов к базе данных, на другом — запросов к файловому сервису, а
на клиентских машинах — часть, реализующая логику обработки данных приложения и
организующая интерфейс с пользователем. Вычислительная часть общих для
корпорации программных систем может быть слишком объемной и неподъемной для
рабочих станций клиентов, поэтому приложения будут выполняться более
эффективно, если их наиболее сложные в вычислительном отношении части перенести
на специально предназначенный для этого мощный компьютер — сервер приложений.
Сервер приложений должен
базироваться на мощной аппаратной платформе (мультипроцессорные системы, часто
на базе RISC-процессоров, специализированные кластерные архитектуры). ОС
сервера приложений должна обеспечивать высокую производительность вычислений, а
значит поддерживать многонитевую обработку, вытесняющую многозадачность,
мультипроцессирование, виртуальную память и наиболее популярные прикладные
среды (UNIX, Windows, MS-DOS, OS/2). В этом отношении сетевую ОС NetWare трудно
отнести к корпоративным продуктам, так как в ней отсутствуют почти все
требования, предъявляемые к серверу приложений. В то же время хорошая поддержка
универсальных приложений в Windows NT собственно и позволяет ей претендовать на
место в мире корпоративных продуктов.
Справочная служба.
Корпоративная ОС должна обладать способностью хранить информацию обо всех
пользователях и ресурсах таким образом, чтобы обеспечивалось управление ею из одной
центральной точки. Подобно большой организации, корпоративная сеть нуждается в
централизованном хранении как можно более полной справочной информации о самой
себе (начиная с данных о пользователях, серверах, рабочих станциях и кончая
данными о кабельной системе). Естественно организовать эту информацию в виде
базы данных. Данные из этой базы могут быть востребованы многими сетевыми
системными приложениями, в первую очередь системами управления и
администрирования. Кроме этого, такая база полезна при организации электронной
почты, систем коллективной работы, службы безопасности, службы инвентаризации
программного и аппаратного обеспечения сети, да и для практически любого
крупного бизнес-приложения.
База данных, хранящая
справочную информацию, предоставляет все то же многообразие возможностей и
порождает все то же множество проблем, что и любая другая крупная база данных.
Она позволяет осуществлять различные операции поиска, сортировки, модификации и
т.п., что очень сильно облегчает жизнь как администраторам, так и
пользователям. Но за эти удобства приходится расплачиваться решением проблем
распределенности, репликации и синхронизации.
В идеале сетевая справочная
информация должна быть реализована в виде единой базы данных, а не представлять
собой набор баз данных, специализирующихся на хранении информации того или
иного вида, как это часто бывает в реальных операционных системах. Например, в
Windows NT имеется по крайней мере пять различных типов справочных баз данных.
Главный справочник домена (NT Domain Directory Service) хранит информацию о
пользователях, которая используется при организации их логического входа в
сеть. Данные о тех же пользователях могут содержаться и в другом справочнике,
используемом электронной почтой Microsoft Mail. Еще три базы данных
поддерживают разрешение низкоуровневых адресов: WINS — устанавливает
соответствие Netbios-имен IP-адресам, справочник DNS — сервер имен домена —
оказывается полезным при подключении NT-сети к Internet, и наконец, справочник
протокола DHCP используется для автоматического назначения IP-адресов
компьютерам сети. Ближе к идеалу находятся справочные службы, поставляемые
фирмой Banyan (продукт Streettalk III) и фирмой Novell (NetWare Directory
Services), предлагающие единый справочник для всех сетевых приложений. Наличие
единой справочной службы для сетевой операционной системы — один из важнейших
признаков ее корпоративности.
Безопасность. Особую важность
для ОС корпоративной сети приобретают вопросы безопасности данных. С одной
стороны, в крупномасштабной сети объективно существует больше возможностей для
несанкционированного доступа — из-за децентрализации данных и большой
распределенности «законных» точек доступа, из-за большого числа
пользователей, благонадежность которых трудно установить, а также из-за
большого числа возможных точек несанкционированного подключения к сети. С
другой стороны, корпоративные бизнес-приложения работают с данными, которые
имеют жизненно важное значение для успешной работы корпорации в целом. И для
защиты таких данных в корпоративных сетях наряду с различными аппаратными
средствами используется весь спектр средств защиты, предоставляемый
операционной системой: избирательные или мандатные права доступа, сложные
процедуры аутентификации пользователей, программная шифрация.
3. Оптимизация работы
оборудования
Необходимость оптимизации серверной операционной
системы
Проведение оптимизации позволяет, во-первых,
оптимально настроить ПК и тем самым добиться максимальной производительности
компьютера, наиболее полной реализации его функциональных возможностей.
Во-вторых, оптимизация необходима для обслуживания ПК, как и любого устройства.
Игнорирование периодического, а в некоторых случаях и регулярного проведения
оптимизации (сканирование, очистка, дефрагментация жесткого диска…) приведет
в лучшем случае к уменьшению скорости работы компьютера, в худшем — даже к
потере данных.
4. Обновление
Операционной Системы Unix
. В нижней правой стороне панели видим значок
Менеджера обновлений. Нажимаем на него мышкой
Рисунок 20
. Как и любая, уважающая себя и своих
пользователей, современная система, Linux Mint 14 запросит ввести
административный пароль для внесения изменений в систему. Введите его и нажмите
на ОК:
Рисунок 21
. Последует проверка репозиториев на наличие
новых версий программ и пакетов для Linux Mint 14:
Рисунок 22
Этот процесс закончится открытием Менеджера
обновлений со списком обновленных пакетов:
Рисунок 23
Все обновляемые пакеты подразделяются по
уровням, поэтому, думаю, напомнить будет о этих уровнях не лишне
Рисунок 24
. После того, как мы выбрали все, что хотели
обновить (или оставили все пункты отмеченными), нажимаем на кнопку
«Установить обновления»:
Рисунок 25
. Менеджер обновлений Linux Mint 14 уведомит и
покажет информацию о тех обновлениях, что будут установлены
Рисунок 26
После того, как вы согласитесь, начнется процесс
получения и обновления Linux Mint 14 до актуального состояния
Рисунок 27
После окончания обновления в нижней части
Менеджера вы увидите вот такое сообщение
Рисунок 28
Означает, что ваша система не требует обновления
и все программы в ней актуальны.
Организация рабочего места
1. Разместить монитор так, чтобы его верхняя
точка находилась прямо перед вашими глазами или выше, что позволит держать
голову прямо, и исключить развитие шейного остеохондроза. Расстояние от
монитора до глаз должно быть не меньше 45 см;
2. Стул должен иметь спинку и подлокотники,
а так же такую высоту, при которой ноги могут прочно стоять на полу. Идеальным
будет приобретение кресла с регулируемой высотой, в таком случае спинка
позволит держать спину прямо, подлокотники дадут возможность отдохнуть рукам,
правильное положение ног не будет мешать кровообращению в них;
. Расположение часто используемых вещей
не должно приводить к долгому нахождению в какой-либо искривленной позе;
. Освещение рабочего места не должно
вызывать блики на экране монитора. Нельзя ставить монитор рядом с окном, так
чтобы вы одновременно видели и экран и то, что находится за окном;
. .При работе с клавиатурой, угол сгиба
руки в локте должен быть прямым (90 градусов);
. При работе с мышкой кисть должна быть
прямой, и лежать на столе как можно дальше от края.
Во время работы не забывайте о регулярных
перерывах для отдыха. В санитарных правилах и нормах даны многочисленные
комплексы упражнений для глаз, для улучшения мозгового кровообращения, для
снятия утомления с плечевого пояса и рук, с туловища и ног.
Профилактика заболеваний органов дыхания
включает в себя влажную уборку и проветривание помещения. Работа за
компьютером, следите за освещением, осанкой, делайте перерывы — все это поможет
повысить трудоспособность и избавит вас от серьёзных болезней. В целях правильной
организации рабочего места необходимо обеспечить оптимальные условия для
зрительного восприятия в рабочей зоне. Наиболее важные элементы следует
располагать в оптимальной зоне видимости.
В производственных помещениях оптимальные
условия труда определяются в основном температурой в сочетании с влажностью и
движением воздуха. Оптимальными условиями являются температура 20-220 С,
относительная влажность воздуха 30-60%, скорость его движения не выше 0,2 м/с.
Для рабочей зоны эти параметры определяются с учетом времени года, категории
работ, количества выделяемого в помещении тепла. Главными причинами развития
утомляемости и снижения работоспособности человека являются шум и вибрация. Они
раздражают органы слуха, вызывают утомляемость человека и могут привести к
функциональным изменениям в центральной нервной системе, системе кровообращения
и т.д. Различные физические и химические факторы действуют одновременно, при
этом их взаимное влияние на человека может усиливаться или ослаблятся.
Заключение
Сервер — сердце информационной системы
предприятия. Основная его задача — безостановочно и максимально быстро
предоставлять необходимые сервисы всем подключенным пользователям
Сервер используется, и будет использоваться в
будущем, модернизироваться.
Содержание:
Введение
Факт наличия ценность данных был осознан людьми очень давно – недаром переписка влиятельных личностей издавна была объектом пристального внимания их недругов. Именно в то время возникла задача защиты переписки. Для решения этой задачи использовались самые разнообразные методы, одним из которых была тайнопись – умение составлять сообщения так, чтобы его смысл был доступен только посвященным в тайну. Существуют свидетельства зарождения тайнописи еще в доантичные времена. На протяжении всей своей многовековой истории данный вид искусства служил немногим, в основном верхушке общества, не выходя за пределы резиденций глав государств, посольств и разведывательных миссий. Но несколько десятилетий назад информация приобрела самостоятельную коммерческую ценность и стала широко распространенным товаром, следовательно, ее необходимо защищать. Возникновение индустрии обработки информации с железной необходимостью привело к возникновению индустрии средств защиты информации.
В данной работе рассмотрено само понятие контроля доступа и его основные задачи. Во второй части работы были рассмотрены методы защиты информации. Были рассмотрены основные виды угроз информационной безопасности, а также основные методы борьбы с ними. В качестве основных методов защиты были выделены ограничение доступа, разграничение и контроль доступа, разделение привилегий на доступ, идентификация и установление подлинности объекта, криптографические преобразования информации, а также правовые и организационные методы защиты информации.
1. Доступ к данным
1.1. Контроль доступа
Контроль доступа — функция открытой системы, обеспечивающая технологию безопасности, которая разрешает или запрещает доступ к определённым типам данных, основанную на идентификации субъекта, которому нужен доступ, и объекта данных, являющегося целью доступа.
Контроль доступа является одним из самых важных элементов защиты ПК и информации на нём. Доступ к защищённой информации должен быть ограничен, чтобы только люди, которые имеют право доступа, могли получать эту информацию. Компьютерные программы и во многих случаях чужеродные компьютеры посредством локальной сети, Интернета, беспроводной сети могут получить секретную информацию, которая не предназначена им. Это может нанести как финансовые, так и информационные потери[1].
В связи с этим необходим механизм контроля доступа к защищённой информации. Сложность механизмов контроля доступа должна быть в паритете с ценностью информации, то есть чем более важной или ценной информация является, тем более сложными должны быть механизмы контроля доступа.
Основными механизмами контроля доступа являются идентификация и аутентификация[2] [1, 3].
1.2. Задачи, решаемые ограничением доступа
1.2.1. Блокирование доступа к настройкам операционной системы
Непродуманные действия начинающих пользователей часто приводят к тем или иным проблемам в работе отдельных приложений или операционной системы. Как показывает практика, для немалой категории пользователей лучше вообще запретить всё, что только можно запретить, иначе ни о какой стабильной работе на компьютере не может быть и речи. И это понятно, ведь достаточно всего лишь случайно удалить, например, драйвер монитора, как изображение на экране перестанет радовать глаз. Если же удалить принтер, то печать документов станет невозможной, а при изменении сетевых настроек компьютер перестанет работать в локальной сети и т.п. Для предотвращения подобных ситуаций необходимо блокировать все действия пользователя, которые могут повлечь за собой неработоспособность компьютера[3].
Кроме того, имеется немало настроек, изменение которых не имеет столь неприятных последствий, но вызывает определенные неудобства у других пользователей. К таким настройкам относятся, в частности, параметры свойств экрана, способ отображения файлов и папок, наличие определенных ярлыков на рабочем столе и в меню «Пуск», внешний вид стандартных папок и ярлыков и т.п. Наибольшее число проблем такие, казалось бы, неопасные на первый взгляд изменения вызывают в учебных заведениях, где учащиеся и студенты считают своим долгом настроить компьютер экстраординарным образом, нимало не заботясь о том, что, например, экстравагантное оформление экрана может вызывать у других пользователей утомление и головную боль, а измененный вид папок «Мой компьютер», «Корзина» и пр. потребует у них много времени на поиск и открытие. В итоге получается, что для пользы дела приходиться блокировать возможность подобных изменений настроек, ибо в противном случае о плодотворном образовательном процессе довольно быстро придется забыть[4].
Ограничив доступ разумными рамками, можно предотвратить совершение пользователями таких действий, которые так или иначе могут привести к нестабильности работы системы или к неудобству выполнения тех или иных операций[5] [2, 4, 6].
1.2.2. Защита файлов и папок операционной системы и установленных приложений
Нередко бывает, что недостаточно подготовленные пользователи умудряются в мгновение ока удалить с компьютера папки с файлами операционной системы или какого-либо приложения, или, что еще хуже, переместить их в неизвестное место, не заметив при этом даже названия удаляемой или перемещаемой папки. Часто это имеет место в учебных учреждениях, особенно при изучении тем работы с файловой системой в среде Windows или в файловых менеджерах. Результат оказывается плачевным, так как далеко не всегда юных экспериментаторов удается вычислить до момента очистки корзины, и в итоге немало времени уходит на восстановление информации. С перемещением еще хуже, ведь вначале приходится опытным путем выяснять, что же все-таки было перемещено, а затем искать соответствующие папки по всему диску и возвращать их на место[6].
Конечно, информацию в обоих случаях чаще всего удается восстановить, но это требует спокойной обстановки и немалого времени. Поэтому гораздо разумнее при помощи соответствующих утилит настроить параметры так, чтобы, например, папки с конкретными приложениями были недоступны, но в то же время сами приложения можно было запускать[7] [4, 6].
1.2.3. Контроль за использованием приложений и ограничение времени доступа
Необходимость такого контроля и ограничений по времени, как правило, возникает в учебных учреждениях, когда необходимо ограничить студентов перечнем изучаемых по программе программных продуктов, и на домашних компьютерах при доступе к ним детей, чтобы регулировать перечень допустимых приложений и время сидения ребенка за компьютером[8].
Самое простое для решения данной проблемы — воспользоваться специализированной утилитой, которая позволит четко определить, какие программы и в какое время можно запускать, а какие — нельзя никогда и ни при каких обстоятельствах[9] [1, 3].
1.2.4. Защита персональных данных
Проблема защиты персональных файлов и папок неизбежна, если за компьютером работает несколько человек. Такая ситуация может возникнуть дома, например, при необходимости оградить ребенка от непредназначенной ему информации, а может и на работе, где даже при наличии у каждого пользователя собственного компьютера возможны моменты, когда приходится пускать за свой ПК другого сотрудника. В обоих случаях совсем не хочется демонстрировать посторонним какие-то свои рабочие материалы, и вовсе не потому, что они имеют гриф «совершенно секретно», а просто потому, что никто не любит вмешательства посторонних в свои дела[10].
Есть и более важная сторона вопроса. Всегда ли вы можете спокойно доверить свои материалы кому бы то ни было? Скорее всего, нет, ведь совсем не исключено, что ваши файлы и папки могут оказаться удаленными или измененными неподготовленным пользователем по чистой случайности. А заблокировав доступ к ним, вы можете не переживать, что с вашими документами что-либо случится по вине постороннего[11].
Кроме того, не стоит сбрасывать со счетов и то, что, если ваши материалы представляют какую-то коммерческую ценность, не исключена ситуация, что ими захотят воспользоваться в неблаговидных целях[12].
Все эти проблемы исключаются путем создания секретных папок или даже секретных дисков с персональной информацией, которые, в зависимости от варианта ограничения доступа и от выбранного приложения, могут быть как полностью скрытыми от других пользователей, так и видимыми, но недоступными для них. В обоих случаях другие пользователи без знания вашего пароля не смогут получить доступ к данным материалам, изменить или удалить их[13] [1, 4, 6, 7].
1.2.5. Блокирование доступа к компьютеру
При работе в офисе даже при наличии собственного компьютера пользователи не в состоянии находиться рядом с компьютером постоянно, и потому нередки ситуации, когда включенный компьютер оказывается без присмотра. К сожалению, такими моментами могут воспользоваться заинтересованные в ваших материалах сотрудники[14].
Первый приходящий в голову способ обезопасить себя от таких незваных гостей — установить пароль на заставку, но это совсем не лучший вариант, так как при перезагрузке пароль с заставки можно снять без особых проблем. Гораздо надежнее — полностью заблокировать компьютер при помощи специальных программных средств, которые никого (а иногда даже администратора) не подпустят к компьютеру без знания пароля даже при перезагрузке Windows в безопасном режиме[15] [4, 7].
1.2.6. Блокирование доступа к устройствам
Встроенные механизмы распределения прав доступа и задания политик безопасности в ОС семейства Windows не позволяют контролировать доступ к потенциально опасным устройствам: дисководам и CD-ROM, а также к FireWire и инфракрасным портам, к WiFi- и Bluetooth-адаптерам и пр. В то же время использование неавторизованных устройств представляет немалую угрозу безопасности данных. С одной стороны, данные могут быть похищены, ведь при открытом доступе нет никакой сложности в том, чтобы записать информацию на внешний носитель, а с другой — данные на компьютере могут быть видоизменены. Вариантов тут много. Например, сетевые и локальные компьютеры часто страдают от вирусов, троянов и других вредоносных программ, нередко заносимых со сменных носителей. Не менее неприятна ситуация бесконтрольной установки ПО[16].
Конечно, можно целиком отключить устройства в BIOS на каждом компьютере, но это не выход, ибо данная операция требует массу времени и в случае необходимости работы с устройством придется каждый раз обращаться в BIOS и вновь включать это устройство. И здесь гораздо важнее контролировать доступ к устройствам, введя разумные ограничения в зависимости от конкретной ситуации. Можно, например, установить доступ «Только чтение» для части сменных носителей и ограничить установку с них ненужных программ[17] [3, 8].
2. Методы защиты информации
2.1. Угрозы безопасности
С позиции обеспечения безопасности информации в компьютерных системах такие системы целесообразно рассматривать в виде единства трех компонент, которые оказывают взаимное влияние друг друга.
Схема данных компонент представлена на рисунке 1.
Рис. 1. Компоненты компьютерных систем
Целью создания любой компьютерной системы является удовлетворение потребностей пользователей в своевременном получении достоверной информации и сохранении ее конфиденциальности[18].
Под угрозой безопасности информации понимается потенциально возможное явление, процесс или событие, имеющие возможность привести к уничтожению, утрате доступности, конфиденциальности или целостности информации.
Схематически классификация угроз безопасности информации представлена на рисунке 2.
Рис. 2. Угрозы безопасности информации в компьютерных системах
Угрозы, не связанные с преднамеренными действиями злоумышленников и реализующиеся в случайные моменты времени, называют случайными или непреднамеренными[19] [2].
2.2. Методы защиты информации
При наличии простых средств хранения и передачи информации существовали и до сих пор не потеряли значения такие методы ее защиты от преднамеренного доступа, как:
- ограничение доступа;
- разграничение доступа;
- разделение привилегий на доступ;
- криптографическое преобразование информации;
- учет и контроль доступа;
- законодательные меры[20].
С увеличением объемов и количества пользователей, а также в связи с другими причинами повышается вероятность преднамеренного несанкционированного доступа. Вследствие этого развиваются старые и возникают новые дополнительные методы защиты информации в вычислительных системах:
- методы функционального контроля, обеспечивающие диагностику и обнаружение отказов, сбоев аппаратуры и ошибок человека, а также программные ошибки;
- методы повышения достоверности информации;
- методы защиты информации от аварийных ситуаций;
- методы контроля доступа к внутреннему монтажу аппаратуры, линиям связи;
- методы контроля и разграничения доступа к информации;
- методы аутентификации и идентификации пользователей, носителей информации, технических средств и документов;
- методы защиты от наводок информации и побочного излучения[21] [1, 5].
2.2.1.Ограничение доступа
Ограничение доступа заключается в создании некоторой физически замкнутой преграды вокруг объекта защиты с организацией контролируемого доступа лиц, которые связаны с объектом защиты по своим функциональным обязанностям. Ограничение доступа к комплексам средств автоматизации обработки информации заключается:
- в выделении специальной территории для размещения комплекса средств автоматизации;
- в сооружении по периметру зоны специальных ограждений с охранной сигнализацией;
- в выделении специальных помещений в здании;
- в создании контрольно-пропускного режима в помещениях, зданиях и на территории[22].
Задачей средств ограничения доступа является исключение случайного и преднамеренного доступа посторонних лиц на территорию размещения комплекса и непосредственно к аппаратуре. В указанных целях создается защитный контур, которые замыкается двумя видами преград: контрольно-пропускной и физической. Такие преграды часто называют системой охранной сигнализации и системой контроля доступа[23] [7, 8].
2.2.2.Разграничение и контроль доступа
Разграничение и контроль доступа к информации в вычислительной системе заключается в разделении циркулирующей в ней информации на части и организации доступа к ней должностных лиц в соответствии с их функциональными обязанностями и полномочиями.
Задачей разграничения доступа является сокращение количества должностных лиц, которые не имеют к ней отношения при выполнении своих функций, то есть защита информации от нарушителя среди допущенного к ней персонала. При этом деление информации может производиться по степени секретности, важности, по документам, по функциональному назначению и по другим подобным пунктам[24] [2].
2.2.3.Разделение привилегий на доступ
Разделение привилегий на доступ к информации заключается в выделении группы из числа допущенных к информации должностных лиц. Данной группе предоставляется доступ только при одновременном предъявлении полномочий всех членов группы.
Подобный метод несколько усложняет процедуру, но обладает высокой эффективностью защиты. На его принципах можно организовать доступ к данным с санкции вышестоящего лица по запросу или без него[25] [5].
2.2.4.Идентификация и установление подлинности объекта.
Идентификация в вычислительных системах представляет собой процедуру выявления идентификатора для субъекта идентификации, однозначно идентифицируя данного субъекта в вычислительной системе. При выполнении процедуры идентификации в вычислительной системе субъекту предварительно назначается соответствующий идентификатор.
Идентификатором установления подлинности личности в повседневной жизни является внешний вид: форма головы, фигура, характер, черты лица, поведение, привычки и другие свойственные данному человеку признаки, создающие образ конкретной личности. Объектами идентификации и установления подлинности в вычислительной системе могут быть человек, техническое средство, документ, носитель информации или сама информация[26].
В системах защиты после процедуры идентификации чаще всего следует аутентификация, подтверждающая идентификацию субъекта. При этом достоверность идентификации полностью определяется уровнем достоверности выполненной процедуры аутентификации.
Конечной целью идентификации и установления подлинности объекта в вычислительной системе является допуск объекта к информации ограниченного пользования в случае положительного исхода проверки, или отказ в допуске в случае отрицательного исхода проверки[27].
В любой системе аутентификации обычно можно выделить такие элементы, как субъект, проходящий процедуру; отличительную черту субъекта; хозяина системы аутентификации, несущего ответственность и контролирующего ее работу; сам механизм аутентификации и механизм, который предоставляет определенные права доступа или лишает субъекта данных прав.
Существует 3 фактора аутентификации: что-то, что мы знаем; что-то, что мы имеем; что-то, что является частью нас. «Что-то, что мы знаем» является паролем, представляющим собой некоторые тайные сведения, которыми должен обладать только авторизованный субъект. Паролем обычно представляет собой текстовое слово, речевое слово, комбинацию для замка или личный идентификационный номер. «Что-то, что мы имеем» является устройством аутентификации, представляющим собой неповторимый предмет, которым обладает субъект. Неповторимый предмет обычно представляет собой ключ от замка, личную печать, файл данных для компьютера. «Что-то, что является частью нас» является биометрикой, которая представляет собой физическую особенность субъекта. Особенность обычно представляет собой отпечаток пальца или ладони, портрет, голос или особенность глаза[28].
Установление подлинности может происходить по электронной цифровой подписи, многоразовым или одноразовым паролям, с помощью SMS, на основе биометрических параметров человека или через географическое местоположение.
Использование многоразового пароля является наиболее распространенным способом защиты. Простая аутентификация имеет следующий общий алгоритм: субъект запрашивает доступ в систему и вводит личный идентификатор и пароль, введенные неповторимые данные поступают на сервер аутентификации для сравнения с эталонными, при совпадении данных с эталонными аутентификация признается успешной, при различии — субъект перемещается к первому шагу. Пароль может передаваться в сети незашифрованным способом или с использованием шифрования SSL или TLS. Для защиты пароля часто в базе может храниться только хеш-функция эталонного пароля, с которой сравнивается полученная с введенного пароля хеш-функция. При однократном получении многоразового пароля, злоумышленник получает постоянный доступ ко всем защищенным данным. Для предотвращения этого используются одноразовые пароли, каждый раз генерируемые заново. При использовании SMS пользователь получает одноразовый пароль посредством сообщения. При биометрической идентификации установление подлинности происходит при считывании биометрики, которая обычно представляет собой отпечаток пальца или ладони, портрет, голос или особенность глаза[29] [1, 3, 7].
2.2.5. Криптографические преобразования информации
Искусство и наука защиты сообщений называются криптографией, а специалисты, занимающиеся ей — криптографами. Криптографическая защита информации представляет собой преобразование исходной информации с целью ее недоступности для использования или ознакомления лицами, которые не имеют на это полномочий.
Процесс маскировки сообщения способом, который позволяет скрыть его суть, называется зашифрованием. Процедура обратного превращения называется дешифрованием. В процессе дешифровки на основе ключа шифрованный текст преобразуется в исходный, называемый открытым текстом[30].
Процесс зашифрования и расшифрования представлен на рисунке 3.
Рис. 3. Последовательность зашифрования и расшифрования
Криптосистемы разделяются на симметричные и с открытым ключом. В симметричных криптосистемах для шифрования и для расшифрования используется один и тот же ключ.
В системах с открытым ключом используются открытый и закрытый, ключи, математически связанные друг с другом. Информация шифруется с помощью открытого ключа, доступного всем желающим, а расшифровывается с помощью закрытого ключа, который известен только получателю сообщения[31].
Электронная цифровая подпись является присоединяемым к тексту его криптографическим преобразованием, позволяющим при получении текста другим пользователем проверить подлинность сообщения и авторство. Электронная цифровая подпись получается в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяет проверить отсутствие искажения информации в электронном документе с момента формирования подписи, принадлежность подписи владельцу сертификата ключа подписи, а в случае успешной проверки подтвердить факт подписания электронного документа[32].
Электронная подпись предназначена для определения лица, которое подписало электронный документ, и является аналогом собственноручной подписи в предусмотренных законом случаях. Электронная подпись применяется при оказании государственных и муниципальных услуг, совершении гражданско-правовых сделок, исполнении муниципальных и государственных функций, при совершении иных юридически значимых действий.
Известны различные подходы к классификации методов криптографического преобразования информации. По виду воздействия на исходную информацию методы криптографического преобразования информации могут быть разделены на четыре группы[33].
Данные группы представлены на рисунке 4.
Рис. 4. Методы криптографического преобразования информации
Все традиционные криптографические системы можно подразделить на:
- Шифры перестановки, к которым относятся:
- Шифр перестановки «скитала».
- Шифрующие таблицы.
- Применение магических квадратов.
- Шифры простой замены, к которым относятся:
- Полибианский квадрат.
- Система шифрования Цезаря.
- Аффинная система подстановок Цезаря.
- Система Цезаря с ключевым словом.
- Шифрующие таблицы Трисемуса.
- Биграммный шифр Плейфейра.
- Криптосистема Хилла.
- Система омофонов.
- Шифры сложной замены, к которым относятся:
- Шифр Гронсфельда.
- Система шифрования Вижинера.
- Шифр «двойной квадрат» Уитстона.
- Одноразовая система шифрования.
- Шифрование методом Вернама.
- Роторные машины.
- Шифрование методом гаммирования.
- Шифрование, основанное на аналитических преобразованиях шифруемых данных[34] [4, 8].
2.2.6. Правовые и организационные методы защиты информации в компьютерных системах
Государство должно обеспечить в стране защиту информации, как в масштабах всего государства, так и на уровне организаций и отдельных граждан. Для решения этой проблемы государство обязано:
- выработать государственную политику безопасности в области информационных технологий;
- законодательно определить правовой статус информации, систем защиты информации, компьютерных систем, пользователей и владельцев информации и других подобных понятий;
- создать иерархическую структуру государственных органов, которые вырабатывают и проводят в жизнь политику безопасности информационных технологий;
- создать систему стандартизации, лицензирования и сертификации в области защиты информации;
- обеспечить приоритетное развитие отечественных защищенных информационных технологий;
- повышать уровень образования граждан в области информационных технологий, воспитывать у них бдительность и патриотизм;
- установить ответственность граждан за нарушения законодательства в области информационных технологий[35].
Стандарты в структуре информационной безопасности выступают как связующее звено между концептуальной и технической стороной вопроса. В этих стандартах косвенно затрагиваются правовые вопросы – такие, как «защита жизненно важных интересов личности».
Для обеспечения совместимости аппаратно-программных систем и их компонентов за основу российских стандартов информационной безопасности был взят стандарт США – так называемая «Оранжевая книга». Эта «оранжевая революция» в информационных технологиях и привела к тому, что правовую базу пришлось так или иначе подтягивать к стандартам. Возникают определенные трудности с пониманием вопроса, тем более что количество стандартов и спецификаций в области информационной безопасности весьма велико[36].
Чтобы разобраться в вопросах применения российских стандартов, необходимо представить себе административно-правовую структуру государственных органов, которые обеспечивают информационную безопасность, и понять занимаемое ими место. Данная структура показана на рисунке 5. Из нее видно, что стандарты относятся к специальным нормативным документам по технической защите информации и находятся в определенном логическом соответствии с организационно-распорядительными и правовыми документами[37].
Конфиденциальной информацией называют документированную информацию, ограниченную в доступе в соответствии с законодательством РФ. Конфиденциальная информация может быть личной, коммерческой, служебной, производственной, профессиональной, судебно-следственной[38].
К конфиденциальной личной информации относится информация, которая содержит персональные данные, такие как сведения об обстоятельствах, событиях и фактах частной жизни гражданина, которое позволяют идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленном порядке[39].
Рис. 5. Административно-правовая структура государственных органов, обеспечивающих информационную безопасность
Требование конфиденциальности персональных данных раскрывается в Федеральном законе «О персональных данных». Согласно п. 10 ст. 3 этого Закона конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
В РФ защита персональных данных сводится к созданию режима обработки персональных данных, которые включает создание внутренней документации, создание организационной системы защиты, внедрение технических мер защиты, получение лицензий и сертификатов регулирующих органов[40] [1, 2, 9].
Заключение
Понятие контроля доступа обозначает функцию открытой системы, обеспечивающую технологию безопасности, которая разрешает или запрещает доступ к определённым типам данных, основанную на идентификации субъекта, которому нужен доступ, и объекта данных, являющегося целью доступа
В данной работе рассмотрены такие задачи контроля доступа, как блокирование доступа к настройкам информационной системы, защита файлов и папок операционной системы и установленных приложений, контроль за использованием приложений и ограничение времени доступа, защита персональных данных, блокирование доступа к компьютеру и блокирование доступа к устройствам.
Во второй части работы были рассмотрены современные методы защиты информации в вычислительных системах. Были рассмотрены угрозы информационной безопасности, разделенные на случайные и преднамеренные, а также выделены основные методы борьбы с ними. В качестве случайных угроз были выделены стихийные бедствия и аварии, сбои и отказы технических средств, ошибки при разработке компьютерных систем, алгоритмические и программные ошибки и ошибки пользователей и компьютерного персонала. В качестве преднамеренных угроз были выделены традиционный шпионаж и диверсии, несанкционированный доступ к информации, электромагнитные излучения и наводки, несанкционированная модификация структур и вредительские программы.
В качестве основных методов защиты были выделены ограничение доступа, разграничение и контроль доступа, разделение привилегий на доступ, идентификация и установление подлинности объекта, криптографические преобразования информации, а также правовые и организационные методы защиты информации.
Список используемой литературы
- Завгородний В. И. Комплексная защита информации в компьютерных системах: Учебное пособие / В. И. Завгородний. – М.: Логос, 2011. – 264 с.
- Зегжда Д.П. Основы безопасности информационных систем / Д. П. Зегжда, А. М. Ивашко. – М.: Горячая линия – Телеком, 2010. – 452 с.
- Зубов А. Ю. Криптографические методы защиты информации. Совершенные шифры: Учебное пособие / А. Ю. Зубов. – М.: Гелиос АРВ, 2012. – 192 с.
- Левин В. И. Все об информации / В. И. Левин. – М.: ООО «Издательство «РОСМЭН-ПРЕСС», 2005. – 384 с.
- Леонтьев В. П. Новейшая энциклопедия персонального компьютера / В. П. Леонтьев. – М.: ОЛМА-ПРЕСС Образование, 2010. – 734 с.
- Макарова Н. В. Информатика: Учебник / Н. В. Макарова. – М.: Финансы и статистика, 2007. – 768 с.
- Мельников В. В. Защита информации в компьютерных системах / В. В. Мельников. – М.: Финансы и статистика, Электронинформ, 2007. – 368 с.
- Правовое обеспечение информационной безопасности: Учебное пособие для студентов высших учебных заведений / С. Я. Казанцев и др. – М.: Издательский центр «Академия», 2005. – 240 с.
- Хургин В. Об определении понятия «информация» / В. Хургин // Информационные Ресурсы России. – 2007. – № 3. – С. 26-35.
-
Зубов А. Ю. Криптографические методы защиты информации. Совершенные шифры: Учебное пособие / А. Ю. Зубов. – М.: Гелиос АРВ, 2012. – 192 с. ↑
-
Завгородний В. И. Комплексная защита информации в компьютерных системах: Учебное пособие / В. И. Завгородний. – М.: Логос, 2011. – 264 с. ↑
-
Макарова Н. В. Информатика: Учебник / Н. В. Макарова. – М.: Финансы и статистика, 2007. – 768 с. ↑
-
Левин В. И. Все об информации / В. И. Левин. – М.: ООО «Издательство «РОСМЭН-ПРЕСС», 2005. – 384 с. ↑
-
Зегжда Д.П. Основы безопасности информационных систем / Д. П. Зегжда, А. М. Ивашко. – М.: Горячая линия – Телеком, 2010. – 452 с. ↑
-
Макарова Н. В. Информатика: Учебник / Н. В. Макарова. – М.: Финансы и статистика, 2007. – 768 с. ↑
-
Левин В. И. Все об информации / В. И. Левин. – М.: ООО «Издательство «РОСМЭН-ПРЕСС», 2005. – 384 с. ↑
-
Завгородний В. И. Комплексная защита информации в компьютерных системах: Учебное пособие / В. И. Завгородний. – М.: Логос, 2011. – 264 с. ↑
-
Зубов А. Ю. Криптографические методы защиты информации. Совершенные шифры: Учебное пособие / А. Ю. Зубов. – М.: Гелиос АРВ, 2012. – 192 с. ↑
-
Мельников В. В. Защита информации в компьютерных системах / В. В. Мельников. – М.: Финансы и статистика, Электронинформ, 2007. – 368 с. ↑
-
Левин В. И. Все об информации / В. И. Левин. – М.: ООО «Издательство «РОСМЭН-ПРЕСС», 2005. – 384 с. ↑
-
Завгородний В. И. Комплексная защита информации в компьютерных системах: Учебное пособие / В. И. Завгородний. – М.: Логос, 2011. – 264 с. ↑
-
Макарова Н. В. Информатика: Учебник / Н. В. Макарова. – М.: Финансы и статистика, 2007. – 768 с. ↑
-
Левин В. И. Все об информации / В. И. Левин. – М.: ООО «Издательство «РОСМЭН-ПРЕСС», 2005. – 384 с. ↑
-
Мельников В. В. Защита информации в компьютерных системах / В. В. Мельников. – М.: Финансы и статистика, Электронинформ, 2007. – 368 с. ↑
-
Зубов А. Ю. Криптографические методы защиты информации. Совершенные шифры: Учебное пособие / А. Ю. Зубов. – М.: Гелиос АРВ, 2012. – 192 с. ↑
-
Правовое обеспечение информационной безопасности: Учебное пособие для студентов высших учебных заведений / С. Я. Казанцев и др. – М.: Издательский центр «Академия», 2005. – 240 с. ↑
-
Зегжда Д.П. Основы безопасности информационных систем / Д. П. Зегжда, А. М. Ивашко. – М.: Горячая линия – Телеком, 2010. – 452 с. ↑
-
Зегжда Д.П. Основы безопасности информационных систем / Д. П. Зегжда, А. М. Ивашко. – М.: Горячая линия – Телеком, 2010. – 452 с. ↑
-
Леонтьев В. П. Новейшая энциклопедия персонального компьютера / В. П. Леонтьев. – М.: ОЛМА-ПРЕСС Образование, 2010. – 734 с. ↑
-
Завгородний В. И. Комплексная защита информации в компьютерных системах: Учебное пособие / В. И. Завгородний. – М.: Логос, 2011. – 264 с. ↑
-
Мельников В. В. Защита информации в компьютерных системах / В. В. Мельников. – М.: Финансы и статистика, Электронинформ, 2007. – 368 с. ↑
-
Правовое обеспечение информационной безопасности: Учебное пособие для студентов высших учебных заведений / С. Я. Казанцев и др. – М.: Издательский центр «Академия», 2005. – 240 с. ↑
-
Зегжда Д.П. Основы безопасности информационных систем / Д. П. Зегжда, А. М. Ивашко. – М.: Горячая линия – Телеком, 2010. – 452 с. ↑
-
Леонтьев В. П. Новейшая энциклопедия персонального компьютера / В. П. Леонтьев. – М.: ОЛМА-ПРЕСС Образование, 2010. – 734 с. ↑
-
Завгородний В. И. Комплексная защита информации в компьютерных системах: Учебное пособие / В. И. Завгородний. – М.: Логос, 2011. – 264 с. ↑
-
Зубов А. Ю. Криптографические методы защиты информации. Совершенные шифры: Учебное пособие / А. Ю. Зубов. – М.: Гелиос АРВ, 2012. – 192 с. ↑
-
Завгородний В. И. Комплексная защита информации в компьютерных системах: Учебное пособие / В. И. Завгородний. – М.: Логос, 2011. – 264 с. ↑
-
Мельников В. В. Защита информации в компьютерных системах / В. В. Мельников. – М.: Финансы и статистика, Электронинформ, 2007. – 368 с. ↑
-
Левин В. И. Все об информации / В. И. Левин. – М.: ООО «Издательство «РОСМЭН-ПРЕСС», 2005. – 384 с. ↑
-
Правовое обеспечение информационной безопасности: Учебное пособие для студентов высших учебных заведений / С. Я. Казанцев и др. – М.: Издательский центр «Академия», 2005. – 240 с. ↑
-
Левин В. И. Все об информации / В. И. Левин. – М.: ООО «Издательство «РОСМЭН-ПРЕСС», 2005. – 384 с. ↑
-
Правовое обеспечение информационной безопасности: Учебное пособие для студентов высших учебных заведений / С. Я. Казанцев и др. – М.: Издательский центр «Академия», 2005. – 240 с. ↑
-
Левин В. И. Все об информации / В. И. Левин. – М.: ООО «Издательство «РОСМЭН-ПРЕСС», 2005. – 384 с. ↑
-
Зегжда Д.П. Основы безопасности информационных систем / Д. П. Зегжда, А. М. Ивашко. – М.: Горячая линия – Телеком, 2010. – 452 с. ↑
-
Завгородний В. И. Комплексная защита информации в компьютерных системах: Учебное пособие / В. И. Завгородний. – М.: Логос, 2011. – 264 с. ↑
-
Хургин В. Об определении понятия «информация» / В. Хургин // Информационные Ресурсы России. – 2007. – № 3. – С. 26-35. ↑
-
Хургин В. Об определении понятия «информация» / В. Хургин // Информационные Ресурсы России. – 2007. – № 3. – С. 26-35. ↑
-
Зегжда Д.П. Основы безопасности информационных систем / Д. П. Зегжда, А. М. Ивашко. – М.: Горячая линия – Телеком, 2010. – 452 с. ↑
-
Завгородний В. И. Комплексная защита информации в компьютерных системах: Учебное пособие / В. И. Завгородний. – М.: Логос, 2011. – 264 с. ↑
- трудовые конфликты в организации: типовые причины и методы профилактики.
- Цели и задачи налогового учета
- Косвенные налоги и их место в налоговой системе
- Пути повышения конкурентоспособности компании
- Совершенствование системы стимулирования персонала
- Интернет-маркетинг: Яхтный и лодочный бизнес
- «Управление формированием прибыли на предприятии»
- Банковская система, ее элементы и важнейшие свойства
- Рассмотрение основ работы с операционной системой Windows 7.
- Управление рентабельностью на предприятии (ООО «Ледяной дождь»)
- «Роль рекламы в современном маркетинге (на примере конкретной организации)»
- Разработка сайта стоматологической клиники
Случаи, когда открыв свой виртуальный кошелёк, пользователь обнаруживает в нём ноль, не редкость. Украв пароль от почтового ящика, вредоносная программа может от вашего имени разослать письма с любым содержанием. Также практикуется заражение компьютеров обычных пользователей. Вирус может зашифровать, некоторые из имеющихся на вашем компьютере файлов и затем требовать плату за восстановление информации.СОДЕРЖАНИЕ
ВВЕДЕНИЕ
РАЗДЕЛ 1 ВИДЫ ОПАСНОСТЕЙ И СРЕДСТВА ЗАЩИТЫ ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS
1.1 Классификация источников опасностей
1.2 Виды антивирусов и сравнение их эффективности
1.3 Сравнение эффективности фаерволов
1.4 Сравнение эффективности руткитов
РАЗДЕЛ 2 УСТАНОВКА И НАСТРОЙКА ПРОГРАММ ЗАЩИТЫ ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS
Нужна помощь в написании курсовой?
Мы — биржа профессиональных авторов (преподавателей и доцентов вузов). Наша система гарантирует сдачу работы к сроку без плагиата. Правки вносим бесплатно.
Заказать курсовую
2.1 Встроенная защита Windows
2.2 Установка Антивируса Касперского
2.3 Установка фаервола Comodo Firewall
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
ВВЕДЕНИЕ
Темой курсового проекта была выбрана «Настройка безопасности ОС Windows при работе в сети».
Актуальность исследуемой темы заключается в том, что с программами-вымогателями с апреля 2015 г. по март 2016 г. столкнулись 2,3 млн пользователей по всему миру. Не проявляя осторожность или будучи беспечными, вы ставите под угрозу свой компьютер. Сегодня вредоносные программы стараются маскироваться и скрывать свою деятельность, чтобы втайне выполнять заложенные в них функции.
Предмет исследования – безопасность ОС Windows при работе в сети.
Объект исследования – средства и методы защиты ОС Windows.
Цель курсового проекта – рассмотрение встроенной защиты Windows и сторонних программ для защиты операционной системы, сравнение различных антивирусов, фаерволов и руткитов, установка и настройка антивируса и фаервола.
Задачи курсового проекта:
1. Провести классификацию опасностей для ОС Windows.
2. Сравнить антивирусы, фаерволы и руткиты, оценить их эффективность.
3. Исследовать установку и настройку антивируса и фаервола.
РАЗДЕЛ 1 ВИДЫ ОПАСНОСТЕЙ И ЗАЩИТЫ ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS
Нужна помощь в написании курсовой?
Мы — биржа профессиональных авторов (преподавателей и доцентов вузов). Наша система гарантирует сдачу работы к сроку без плагиата. Правки вносим бесплатно.
Цена курсовой
1.1 Классификация источников опасностей
Для корпорации Microsoft информационная безопасность пользователей Windows всегда стояла во главе угла и по сей день остается приоритетом номер один. По этому поводу можно иронизировать сколько угодно, однако что правда — то правда. Компания упорно и практически непрерывно (разработка-то идёт чуть ли не во всех часовых поясах!) совершенствует механизмы защиты своих операционных систем и с каждым новым поколением внедряет решения, повышающие уровень безопасности. Ярким примером работы в этом направлении может служить Windows 7 — система, построенная на прочном фундаменте безопасности Windows Vista и вобравшая в себя последние наработки в данной области. О том, чем может порадовать пользователей «семёрка» в плане безопасности, рассказывает данный материал [3].
Подхватить вредоносную программу, к сожалению, значительно легче, чем многие себе представляют. Для взлома компьютеров пользователей сети и кражи важных данных, например, паролей электронных платёжных систем, применяются следующие методы:
Список уловок, придуманных хакерами в расчёте на доверчивость пользователей, огромен. Вам могут прислать письмо от имени администрации сервиса с просьбой выслать им якобы утерянный пароль или письмо, содержащее безобидный, якобы файл, в который на самом деле спрятан троян, в расчёте на то, что из любопытства вы сами его откроете и запустите вредоносную программу.
Трояны и вирусы могут быть спрятаны в различных бесплатных, доступных для скачивания из интернета программах, которых огромное множество или на пиратских дисках, имеющихся в свободной продаже [6].
Взлом вашего компьютера может быть произведён через дыры в распространённом программном обеспечении, которых, к сожалению, довольно много и всё новые уязвимости появляются регулярно.. Для того, чтобы компьютер, имеющий уязвимости, был заражён, достаточно, например, всего лишь зайти на определённую страничку (ссылку на эту страничку хакер может прислать в письме, оставить на форуме и т. д.).
В последнее время получил распространение фишинг — создание поддельных сайтов, копирующих сайты известных фирм, сервисов, банков и т. д. Заманить вас на такой поддельный сайт могут разными способами, а цель — украсть данные вашего аккаунта (т. е. логин и пароль), которые вы обычно вводите на странице настоящего сайта.
1.2 Виды антивирусов и сравнение их эффективности
Нужна помощь в написании курсовой?
Мы — биржа профессиональных авторов (преподавателей и доцентов вузов). Наша система гарантирует сдачу работы к сроку без плагиата. Правки вносим бесплатно.
Заказать курсовую
Среди общего потока вредоносных программ, не отличающихся изощрённой функциональностью, находятся образцы, в которых используются необычные или даже новаторские технологические приемы по обеспечению работоспособности вредоносной программы в поражённой системе. Это ведёт к значительному усложнению процесса удаления таких вредоносных программ. Данный тест показывает насколько эффективно популярные антивирусы могут помочь в лечении поражённой системы [1]?
Антивирус Касперского (Kaspersky Anti-Virus) обеспечивает базовую защиту в режиме реального времени от всех типов вредоносных программ. Как основа обороны вашего ПК, антивирус защищает вас от вирусов, шпионских программ, троянов, интернет-червей и многих других угроз. Это решение легко в использовании, а технологии безопасности, отмеченные многочисленными наградами в тестированиях независимых лабораторий AV-Comparatives, AV-TEST, MRG Effitas и т.д., защищают от самых последних угроз, не замедляя работу компьютера.
Антивирус NOD32 — новое антивирусное решение от ESET, предлагающее улучшенный эвристический анализ неизвестных угроз, «облачные» технологии ESET Live Grid для определения репутации файлов и обновленный интерфейс. Включает возможности автоматического сканирования компьютера во время его простоя, проверки файлов непосредственно во время загрузки и возможность отменять установленные обновления.
Антивирус Dr.Web надежная и популярная отечественная антивирусная программа. Имеет эффективный эвристический анализатор, позволяющий с большой долей вероятности обнаруживать неизвестные вирусы. Новый компонент Превентивная защита блокирует любые автоматические модификации критических объектов системы, позволяя пользователям контролировать доступ к тем или иным объектам Windows, различным приложениям и сервисам, обеспечивая проактивную защиту от вредоносных программ. Антивирусная защита персонального компьютера дополнена фаерволом Dr.Web Firewall для защиты от хакерских атак.
Emsisoft Anti-Malware обнаруживает и безопасно обезвреживает вирусы, трояны, черви, шпионские программы (Spyware), рекламное ПО (Adware), руткиты, кейлоггеры, программы-дозвонщики, ботов и другие интернет-угрозы. Используемые технологии позволяют удалять вредоносное ПО до того, как оно причинит какой-нибудь вред. Антивирус ежедневно обновляется и удобен в использовании. Использование двух антивредоносных движков Bitdefender и Emsisoft позволяет показывать отличные результаты по обнаружения вредоносных программ и других угроз, сохраняя при этом высокую производительность и быстродействие системы.
Avast Pro Antivirus — высокоэффективная защита, усиленная технологией Nitro, с минимальной нагрузкой на системные ресурсы и ваши финансы. Современная, высокоэффективная защита от всех типов вредоносного ПО в сочетании с дополнительными компонентами защиты и гибкими настройками для более качественной защиты вашего ПК. Запускайте подозрительные файлы в виртуальной песочнице, защититесь от фишинговых сайтов и совершайте транзакции онлайн в условиях полной защищенности. Avast Pro Antivirus обеспечит надежную защиту ПК с минимальной нагрузкой на системные ресурсы благодаря новейшей технологии Nitro, основополагающим принципом которой являются облачные вычисления.
McAfee AntiVirus Plus мгновенно обнаруживает и удаляет все виды вредоносных программ и Интернет-угроз. Новая версия антивируса быстрее, предлагает всю необходимую защиту и имеет инновационный интерфейс, позволяющий упростить обеспечение безопасности вашего компьютера.
Panda Antivirus Pro включает антивирус и антишпион для защиты от вредоносных программ: вирусов, шпионов и руткитов. Поведенческий анализ позволяет блокировать неизвестные угрозы. Встроенный персональный фаервол защищает компьютер от вторжения хакеров. Инструмент Panda USB Vaccine защищает компьютер и USB-устройства (флешки) от вирусов автозапуска, а антивирусный загрузочный диск Panda Cloud Cleaner позволяет лечить зараженную систему, когда Windows не может загрузиться [10].
Стоимость данных антивирусов в таблице 1.
Несмотря на тот факт, что активная фаза распространения вредоносных программ, несущих в себе различные техники своего сокрытия в инфицированной системе, датируется 2012-2013 годами и на смену ей пришла волна значительно менее технологичных семейств, за прошедшие два года было отмечено появление ряда интересных с точки зрения лечения вредоносных программ. Появление новых технологических приемов при разработке вредоносных программ, даже на уровне концептуальной реализации, в большинстве случаев сводит к нулю эффективность функций популярных антивирусов в лечении активного заражения. Что обеспечивает устойчивую жизнеспособность вредоносной программы в скомпрометированной системе. Со временем разработчики антивирусов вносят изменения в свои продукты, позволяющие детектировать активное заражение, тем самым предотвращая его дальнейшее распространение, пишут многочисленные статьи с содержательным анализом особенностей новой вредоносной программы. И на этом обычно дело заканчивается.
Однако при этом упускается вопрос – а насколько эффективно справится антивирус с нейтрализации новой вредоносной программой в её активном состоянии? Ибо публикация содержательного анализа работоспособности вредоносной программы – это лишь способность антивируса к эффективному лечению на бумаге, но далеко не всегда на практике. Информационно-аналитический центр Anti-Malware.ru с 2007 года регулярно проводил тестирования на лечение активного заражения, тем самым отслеживая динамику возможностей популярных антивирусов по успешной нейтрализации вредоносных программ, находящихся в активном состоянии. Цель данного теста — проверить персональные версии антивирусов на способность успешно (не нарушая работоспособности операционной систем) обнаруживать и удалять уже проникшие на компьютер вредоносные программы в их активном состоянии на практике [10].
Таблица 1
Стоимость антивирусов
Наименование | Кол-во устройств | Стоимость за месяц | Стоимость за год |
Kaspersky
Anti-Virus |
2 | 110 руб. | 1320 руб. |
NOD32 | 2 | 58 грн. | 696 грн. |
Dr.Web | 1 | 27 грн. | 320 грн. |
Emsisoft
Anti-Malware |
3 | € 1.66 | € 19.96 |
Avast Pro Antivirus | 1 | 20.75 грн. | 249 грн. |
McAfee AntiVirus | ∞ | 108.25 руб. | 1299 руб. |
Panda Antivirus | $1.75 | $20.99 |
Большинство из этих антивирусов имеют пробную версию и существуют их бесплатные версии. Многие люди не готовы платить деньги за свою защиту, а поскольку не каждый может установить взломанную версию, то остаются бесплатные антивирусы. Хоть они и не настолько эффективны, зато экономны.
1.3 Сравнение эффективности фаерволов
Наряду с антивирусом, фаервол является одним из главных компонентов обеспечения безопасности компьютера. Однако, в отличие от антивирусов, объективные тесты работы фаерволов проводятся достаточно редко. Этот пробел мы попробовали закрыть, проведя в 2011 и 2012 году тест фаерволов на защиту от внутренних атак и тест персональных IDS/IPS на защиту от атак на уязвимые приложения. В этом году мы решили расширить список используемых методов и повторить тест фаерволов на защиту от внутренних атак, чтобы посмотреть, как за прошедшее время изменились результаты популярных продуктов по данному критерию. На что направлен данный тест или какие функции выполняет фаервол? По определению интернет-стандарта. Фаервол – это система, реализующая функции фильтрации сетевых пакетов в соответствии с заданными правилами с целью разграничения трафика между сегментами сети. Однако, с ростом сложности вредоносных программ и хакерских атак, исходные задачи фаервола дополнились новыми функциональными модулями [9]. Уже фактически невозможно представить полноценный фаервол без модуля HIPS. Главная задача современного фаервола – осуществлять блокировку неавторизованных сетевых коммуникаций, подразделяемых на внутренние и внешние. К таковым относятся:
Внешние атаки на защищённую фаерволом систему:
· инициированные хакерами;
· инициированные вредоносным кодом.
Неавторизованные исходящие сетевые соединения:
· инициированные недоверенными приложениями (вредоносный код);
· инициированные приложениями, сетевая активность которых явным образом запрещена правилами.
Кроме того, фактически исчезли с рынка продукты, которые можно было бы отнести к чистым персональным фаерволам в классической формулировке 2003 года. На смену им пришли комплексные продукты защиты персональных компьютеров, в обязательном порядке включающие в себя фаервольный компонент. Тест фаервола на защиту от внешних атак включает в себя изучение качества защиты от атак, исходящих изнутри системы. Тест проводился по следующим направлениям:
1. Проверка защиты процессов от завершения.
2. Защита от стандартных внутренних атак.
3. Тестирование защиты от нестандартных утечек.
4. Тестирование защиты от нестандартных техник проникновения в режим ядра.
Нужна помощь в написании курсовой?
Мы — биржа профессиональных авторов (преподавателей и доцентов вузов). Наша система гарантирует сдачу работы к сроку без плагиата. Правки вносим бесплатно.
Подробнее
Сравнительное тестирование 21 популярного фаервола на качество защиты от атак, исходящих изнутри системы. В тесте проводилась проверка защиты на 64-х специально разработанных для него тестовых утилитах, проверяющих защиту процессов от завершения, защиту от стандартных внутренних атак, защиту от нестандартных утечек и защиты от нестандартных техник проникновения в режим ядра [5].
1.4 Сравнение эффективности руткитов
Руткит (от англ. root kit, то есть «набор root’а») — это программа для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Использование руткит-технологий позволяет вредоносной программе скрыть следы своей деятельности на компьютере жертвы путём маскировки файлов, процессов, а также самого присутствия в системе. Для обнаружения и удаления подобных вредоносных программ существует множество специализированных программных продуктов – антируткитов. Цель данного теста – проверить способность наиболее известных антируткитов обнаруживать и удалять широко распространенные в сети вредоносные программы (ITW-образцы), использующие руткит-технологии. Тестирование на распространенных ITW-образцах вредоносных программ дает представление о том, насколько хорошо рассматриваемые решения справляются с уже известными руткитами [8].
В последнее время все большей популярностью у вирусописателей пользуются руткит-технологии. Причина этого очевидна – возможность скрытия вредоносной программы и ее компонентов от пользователя ПК и антивирусных программ. В Интернете свободно можно найти исходные тексты готовых руткитов, что неизбежно ведет к широкому применению этой технологии в различных троянских или шпионских программах (spyware/adware, keyloggers и т.д.).
РАЗДЕЛ 2 УСТАНОВКА И НАСТРОЙКА ПРОГРАММ ЗАЩИТЫ ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS
2.1 Встроенная защита Windows
Чтобы ваш компьютер не был совсем без защиты, компания Microsoft встроила несколько программ для сохранения ваших данных.
Владельцы компьютеров с Vista наверняка успели оценить удобство центра обеспечения безопасности Windows. В новой версии операционной системы специалисты компании Microsoft существенно расширили возможности этого инструмента и присвоили ему новое говорящее название — центр поддержки. В отличие от «Висты», обновленный компонент информирует пользователя не только о проблемах безопасности Windows 7, но и обо всех других событиях, степень значимости которых можно оценивать по цветовой окраске сообщений. С помощью центра поддержки не составит труда убедиться, что система функционирует без ошибок, брандмауэр включен, антивирусные приложения обновлены и компьютер настроен для автоматической установки обновлений и резервного копирования важных данных. В случае выявления неполадок центр обновления Windows 7 выполнит поиск доступных решений в Интернете и приведёт ссылки на программные средства для устранения возникших ошибок [2].
Нужна помощь в написании курсовой?
Мы — биржа профессиональных авторов (преподавателей и доцентов вузов). Наша система гарантирует сдачу работы к сроку без плагиата. Правки вносим бесплатно.
Заказать курсовую
В Windows 7 эволюционировал вызывавший много споров среди продвинутых пользователей механизм контроля учётных записей, известный также как User Account Control. В «семёрке» UAC стал гораздо менее навязчивым и обзавелся дополнительными параметрами, руководствуясь которыми можно гибко настраивать функцию контроля учётных записей и значительно сокращать количество запросов на подтверждение тех или иных действий, требующих администраторских полномочий в системе. User Account Control помогает предотвратить незаметное проникновение вредоносного кода на компьютер и поэтому отключать систему защиты (а такая опция предусмотрена) не рекомендуется.
В состав Windows 7 входит браузер Internet Explorer 8, который характеризуется развитыми средствами обеспечения безопасности. Достаточно упомянуть функцию подсвечивания домена второго уровня, которая позволяет вовремя заметить неладное и избежать уловки сетевых мошенников, заманивающих пользователей на поддельный сайт с похожим на известное доменным именем, отказ от административных привилегий при запуске ActiveX, а также технологию Data Execution Prevention. Суть последней заключается в том, что когда браузер попытается выполнить какой-либо код, находящейся в памяти, система попросту не даст ему это сделать. В браузере имеются модель предупреждения XSS-атак (Cross-Site Scripting), а также система SmartScreen, генерирующая уведомления при попытке посещения потенциально опасных сайтов и защищающая от вредоносного ПО. Средства Automatic Crash Recovery позволяют восстановить все ранее открытые вкладки после аварийного завершения работы приложения, а режим просмотра веб-страниц InPrivate позволяет не оставлять следов при работе на компьютерах общего доступа [7].
Windows Defender (Защитник Windows), ранее известный как Microsoft AntiSpyware — программный продукт компании Microsoft, созданный для того, чтобы удалять, помещать в карантин или предотвращать появление spyware-модулей в операционных системах Microsoft Windows. Windows Defender по умолчанию встроен в операционные системы Windows XP, Windows Server 2003, Windows Vista, Windows 7, Windows 8 и Windows 10. Интерфейс программы изображён на рисунке 1.
Рисунок 1 Изображение интерфейса программы Defender
Windows Defender — не просто сканер системы, как другие подобные бесплатные программы. В него входит ряд модулей безопасности, отслеживающих подозрительные изменения в определённых сегментах системы в режиме реального времени.. С помощью доступа к сети Microsoft SpyNet есть возможность отправлять сообщения о подозрительных объектах в Microsoft, для определения его возможной принадлежности к spyware. Существует возможность интеграции в Internet Explorer, позволяющая сканировать закачиваемые файлы, с целью предотвращения проникновения вредоносных программ. Такая функция есть у множества антивирусных программ, доступных на рынке.
BitLocker— проприетарная технология, являющаяся частью операционных систем Microsoft Windows Vista Ultimate/Enterprise, Windows 7 Ultimate/Enterprise, Windows Server 2008 R2, Windows 8, Windows 8.1 и Windows 10 BitLocker позволяет защищать данные путём полного шифрования дисков. Интерфейс программы изображён на рисунке 2.
Рисунок 2 Изображение интерфейса программы BitLocker
Если вам требуется контролировать работу ребенка за компьютером, запретить посещение тех или иных сайтов, запуск приложений и определить время, когда допустимо использование ПК или ноутбука, реализовать это можно с помощью функций родительского контроля Windows. Интерфейс в Windows 10 можем наблюдать на рисунке 3. Создав учетную запись ребенка и задав необходимые правила для нее. Это нужно для полного контроля своего ребёнка, так как вы можете заблокировать нежелательные сайты , кроме этого включен безопасный поиск, приложения и игры отображают сведения об используемых программах, включая информацию о времени их использования [11]. Также вы имеете возможность заблокировать запуск тех или иных программ, настроить таймер работы с компьютером и т.д.
Рисунок 3 Изображение интерфейса программы Родительский контроль
Предотвращение выполнения данных (англ. Dáta Execútion Prevéntion, DEP) — функция безопасности, встроенная в Linux, Mac OS X, Android и Windows, которая не позволяет приложению исполнять код из области памяти, помеченной как «только для данных». Она позволит предотвратить некоторые атаки, которые, например, сохраняют код в такой области с помощью переполнения буфера.
CryptoAPI — интерфейс программирования приложений, который обеспечивает разработчиков Windows-приложений стандартным набором функций для работы с криптопровайдером. Входит в состав операционных систем Microsoft. Большинство функций CryptoAPI поддерживается начиная с Windows 2000.CryptoAPI поддерживает работу с асимметричными и симметричными ключами, то есть позволяет шифровать и расшифровывать данные, а также работать с электронными сертификатами. Набор поддерживаемых криптографических алгоритмов зависит от конкретного криптопровайдера.
Network Access Protection (NAP) — защита доступа к сети — технология компании Microsoft, предназначенная для контроля доступа к сети предприятия, исходя из информации о состоянии системы подключающегося компьютера. С помощью NetWork Access Protection администраторы компании могут поддерживать состояние «здоровья» сети. Параметры системы клиента проверяются на соответствие политике безопасности, например: наличие свежих обновлений операционной системы, наличие антивирусной программы и состояние её обновлений, установлен и работает ли на клиенте сетевой экран. На основе этих параметров каждый компьютер получает свою оценку безопасности. Компьютер, удовлетворяющий требованиям системы контроля, получает доступ в сеть предприятия. Компьютеры, не удовлетворяющие требованиям безопасности, не смогут получить доступа в сеть или смогут получить доступ лишь в изолированную часть сети, предоставляющую сервисы для достижения клиентом требуемого уровня безопасности [12].
Encrypting File System (EFS) — система шифрования данных, реализующая шифрование на уровне файлов в операционных системах Microsoft Windows NT, за исключением «домашних» версий. Данная система предоставляет возможность «прозрачного шифрования» данных, хранящихся на разделах с файловой системой NTFS, для защиты потенциально конфиденциальных данных от несанкционированного доступа при физическом доступе к компьютеру и дискам [8].
Брандма́уэр — суть в том, что он контролирует или фильтрует весь трафик (данные, передаваемые по сети) между компьютером (или локальной сетью) и другими сетями, например сетью Интернет, что наиболее типично. Без использования фаервола, может проходить любой тип трафика. Когда брандмауэр включен, проходит только тот сетевой трафик, который разрешен правилами брандмауэра [13]. Интерфейс программы изображён на рисунке 4.
Рисунок 4 Изображение интерфейса программы Брандмауэр Windows 10
Очень многие пользователи сегодня используют роутеры для доступа к Интернету сразу с нескольких устройств, что, по сути тоже является своеобразным фаерволом. При использовании прямого Интернет-подключения через кабель или DSL модем, компьютеру присваивается публичный IP-адрес, обратиться к которому можно с любого другого компьютера в сети. Любые сетевые службы, которые работают на Вашем компьютере, например сервисы Windows для совместного использования принтеров или файлов, удаленного рабочего стола могут быть доступны для других компьютеров. При этом, даже когда Вы отключаете удаленный доступ к определенным службам, угроза злонамеренного подключения все равно остается — прежде всего, потому что рядовой пользователь мало задумывается о том, что в его ОС Windows запущено и ожидает входящего подключения, а во вторых — по причине различного рода дыр в безопасности, которые позволяют подключиться к удаленной службе в тех случаях, когда она просто запущена, даже если входящие подключения в ней запрещены. Брандмауэр попросту не дает отправить службе запрос, использующий уязвимость [4].
Первый брандмауэр Windows был представлен в Windows XP Service Pack 2 и с тех пор фаервол по умолчанию включено во всех версиях операционной системы. И те службы, о которых мы говорили выше, ныне изолированы от внешних сетей, а брандмауэр запрещает все входящие соединения за исключением тех случаев, когда это прямо разрешено в настройках брандмауэра.
Брандмауэр представляет собой барьер (отсюда название фаервол — с англ. «Огненная стена») между внешней сетью и компьютером (или локальной сетью), которая находится под его защитой. Главная защитная функция брандмауэра для домашнего использования — блокировка всего нежелательного входящего Интернет-трафика. Однако, это далеко не все, что может фаервол. Учитывая то, что фаервол «находится между» сетью и компьютером, он может использоваться для анализа всего входящего и исходящего сетевого трафика и решать, что с ним делать. Например, брандмауэр моет быть настроен для блокировки определенного типа исходящего трафика, вести журнал подозрительной сетевой активности или всех сетевых подключений.
В брандмауэре Windows вы можете настроить разнообразные правила, которые будут разрешать или запрещать определенные типы трафика. Например, могут быть разрешены входящие подключения только с сервера с определенным IP адресом, а все остальные запросы будут отклоняться (это может пригодиться, когда Вам требуется подключаться к программе на компьютере с рабочего компьютера, хотя лучше использовать VPN).
Нужна помощь в написании курсовой?
Мы — биржа профессиональных авторов (преподавателей и доцентов вузов). Наша система гарантирует сдачу работы к сроку без плагиата. Правки вносим бесплатно.
Подробнее
Если вы имеете дома Wi-Fi роутер (или просто роутер), он также действует в роли своего рода аппаратного брандмауэра, благодаря своей функции NAT, которая предотвращает доступ извне к компьютерам и другим устройствам, подключенным к роутеру.
Как видно компания Microsoft позаботилась о своих пользователях и их безопасности, но как вы могли понять этого недостаточно. Постоянно миллионы людей подвергаются атакам вирусов. Для более серьёзной защиты существуют сторонние программы.
2.2 Установка Антивируса Касперского
Если вы приобрели коробочную версию Антивируса Касперского (на компакт-диске) и установка продукта началась автоматически после того, как вы вставили компакт-диск в CD-ROM, перейдите к шагу 2 установки программы .
Если вы приобрели Антивирус Касперского в интернет-магазине или по какой-то причине не произошел автоматический запуск после того, как вы вставили диск с продуктом в CD-ROM, перейдите к шагу 1 установки программы .
Установка программы:
Шаг 1. При приобретении Антивируса Касперского в интернет магазине вы получаете ссылку на установочный файл, который требуется запустить вручную. Также установочный файл требуется запустить вручную, если по какой-то причине не произошел автоматический запуск после того, как вы вставили компакт диск с Антивирусом Касперского в CD-ROM.
Скачайте дистрибутив программы по ссылке из письма от интернет магазина или с сайта Лаборатории Касперского.
Шаг 2. Для запуска установки в окне мастера установки нажмите на кнопку Установить.
Шаг 3. Ознакомьтесь с Лицензионным соглашением Лаборатории Касперского. Внимательно прочтите соглашение и, если вы согласны со всеми его пунктами, нажмите на кнопку Принять. Установка программы на ваш компьютер будет продолжена.
Шаг 4. На этом этапе мастер установки предлагает принять участие в программе Kaspersky Security Network. Участие в программе предусматривает отправку в Лабораторию Касперского информации о новых угрозах, обнаруженных на вашем компьютере, отправку уникального идентификатора, присвоенного вашему компьютеру Антивирусом Касперского, и информации о системе. При этом гарантируется, что персональные данные отправляться не будут. Ознакомьтесь с текстом положения об использовании Kaspersky Security Network. Если вы согласны со всеми его пунктами, установите флажок Я хочу участвовать в программе Kaspersky Security Network (KSN). Нажмите на кнопку Далее. Установка будет продолжена.
Если вы устанавливаете программу на ОС Windows Vista/7, возможно появление сообщения от службы Контроля учетных записей пользователей (UAC). Для продолжения процесса установки в окне Контроль учетных записей пользователей введите пароль администратора и нажмите на кнопку Да.
Шаг 5. Дождитесь окончания процесса установки программы.
Шаг 6. Убедитесь, что установлен флажок Запустить Антивирус Касперского и нажмите на кнопку Готово для завершения установки Антивирус Касперского.
После завершения установки и запуска программы активируйте коммерческую версию Антивируса Касперского.
2.3 Установка фаервола Comodo Firewall
Нужна помощь в написании курсовой?
Мы — биржа профессиональных авторов (преподавателей и доцентов вузов). Наша система гарантирует сдачу работы к сроку без плагиата. Правки вносим бесплатно.
Цена курсовой
Фаервола Comodo Firewall
Расмотрим установку и настройку фаервола на примере Comodo Firewall.
1. Что ж, предлагаю всем желающим познакомиться с Comodo Firewall поближе, для чего скачаем дистрибутив программы с официальной страницы. Если в системе имеется другой сторонний брандмауэр, в коем Вы не уверены, то — удаляем; если такого нет — тогда закрываем, чтоб также не мешали, все активные приложения и запускаем скачанный файл.
Первое, что Вы увидите — диалоговое окошко с предложением выбрать язык установки. Оставляем «русский» и жмем кнопку «ОК».
2. В следующем окне Мастер установки предложит ввести адрес вашей электронной почты. Поскольку данное действие не обязательно, то ничего вводить мы не будем. Также снимаем галочки напротив слишком обязывающих нас пунктов «Я хочу получить дополнительную безопасность в Интернете, перейдя на COMODO SecureDNS» и «Я хочу использовать «Облачный анализ поведения приложений», передавая неопознанные программы в COMODO». Не спешим продолжить установку и внизу окна кликаем на «Опции установки».
3. В открывшемся на вкладке «Варианты установки» окне убираем галку с пункта «Установить COMODO GeekBuddy». Почему? Во-первых, данный сервис техподдержки пользователей требует хорошего владения английским языком, а во-вторых, бесплатен только ограниченный период, после чего переходит в разряд «атавизма». Поэтому завершим инсталляцию без сервиса Comodo GeekBuddy. Остальные вкладки трогать не будем и щелкаем «Назад», в знакомом окне наконец-то жмем на кнопку «Согласен, Установить».
4. По окончании установки файрвола соглашаемся с предложением перезагрузить Windows. После перезагрузки, в окне приветствия ставим галочку напротив «Больше не показывать это окно» и закрываем. На этом процесс установки программы на ПК завершен.
На скриншоте Вы видите «лицо» нашего нового сетевого защитника — персонального Comodo Firewall самой свежей версии.
Нужна помощь в написании курсовой?
Мы — биржа профессиональных авторов (преподавателей и доцентов вузов). Наша система гарантирует сдачу работы к сроку без плагиата. Правки вносим бесплатно.
Подробнее
После этого можем приступить к настройке:
1. В начале предлагаю сменить дефолтное серо-невеселое «лицо» Comodo Firewall на что-то поинтереснее. Для этого во все той же вкладке «Разное» жмем «Настройки» > «Внешний вид» > «Тема» меняем серенькую тему COMODO Default Normal на, скажем,. COMODO Blue Normal и, «принарядившись», двигаемся дальше.
2. Первой из расширенных настроек программы будет включение режима «невидимости» Вашего компьютера в сети. Для этого во вкладке «Фаервол» кликаем апплет «Мастер скрытых портов» > выбираем «Блокировать все входящие соединения и скрыть мои порты для всех входящих соединений» и подтверждаем свой выбор через «ОК».
3. Далее, в той же вкладке «Фаервол» заходим в «Настройки фаервола» и на вкладке «Общие настройки» активируем «Создавать правила для безопасных приложений». Теперь для всех приложений из списка доверенных будут автоматически создаваться разрешающие правила, что избавит Вас от лишних разрешений вручную. Кроме того, проверьте наличие галочки напротив пункта «Автоматически обнаруживать новые частные сети» (которую после обнаружения Вашей сети можно убрать) и, главное, «Режим фаервола» оставляем неизменно «Безопасный».
Все изменения в настройках подтвердите кнопкой «ОК».
4. Займемся настройками режима «Проактивная защита». Для этого во вкладке «Защита+» кликаем «Настройки Проактивной защиты» и, по аналогии с предыдущим пунктом настроек, активируем «Создавать правила для безопасных приложений». В случае, если Вы уверены в чистоте системы от вирусов и имеете эффективный антивирус-сканер, то смело ставьте «Режим «Чистый ПК» — опять же, для избавления от «надоедливых» оповещений. Так же проверьте отсутствие галки напротив «Включить режим усиленной защиты» и присутствие — напротив пункта «Адаптировать режим работы при низких ресурсах системы».
6. Пользователям старых версий Comodo Firewall рекомендуется отключить в программе режим «Sandbox» («Песочница»), по отзывам, работающий некорректно. Лучший вариант — просто перейти на последнюю стабильную версию брандмауэра. В этом случае отключение режима «Песочницы» не требуется
И не забудьте подтвердить изменения в настройках кнопкой «ОК».
Примечание: При полностью деактивированной Проактивной защите данная опция («Sandbox») автоматически отключается.
7. Завершающий «твик» из разряда «по желанию»: во вкладке «Разное» > «Настройки» > на вкладке «Общие» убрать галочку напротив пункта «Автоматически проверять наличие обновлений программы», тем более, что опция «Проверить наличие обновлений» всегда «под рукой».
Еще один клик на кнопку «ОК» и можно закрыть подобающе настроенный Comodo Firewall — после перезагрузки Windows с данной конфигурацией, «комфортной» для пользователя, программа надежно защищает компьютер от сетевых угроз
ЗАКЛЮЧЕНИЕ
В ходе выполнения курсового проекта были изучены опасности OC Windows, разобраны различные средства защиты и был составлен их рейтинг. Самыми эффективными среди антивирусов был выявлен «Антивирус Касперского», среди фаерволов — «Comodo Firewall» и среди руткитов – «GMER», эти программы наиболее оптимальны для обеспечения безопасности Windows. Были изучены встроенные средства защиты Windows. Была проведена установка и настройка «Антивируса Касперского» и фаервола «Comodo Firewall».
Стремительное развитие информационных технологий привело к формированию информационной среды, оказывающей влияние на все сферы человеческой деятельности. Однако с развитием информационных технологий возникают и стремительно растут риски, связанные с их использованием, появляются совершенно новые угрозы, с последствиями, от реализации которых человечество раньше не сталкивалось.
Операционная система является важнейшим программным компонентом любой вычислительной машины, поэтому от уровня реализации политики безопасности в каждой конкретной операционной системе во многом зависит и общая безопасность информационной системы.
В связи с этим знания в области современных методов и средств обеспечения безопасности операционных систем являются необходимым условием для формирования безопасности информации.
Цель работы была достигнута посредством выявления особенностей защиты операционной системы Windows.
Нужна помощь в написании курсовой?
Мы — биржа профессиональных авторов (преподавателей и доцентов вузов). Наша система гарантирует сдачу работы к сроку без плагиата. Правки вносим бесплатно.
Подробнее
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Антивирусы и программы безопасности // COMSS1: [сайт]. – [2016]. – Режим доступа:
9. Мэйволд Э. Безопасность сетей. 2-е изд. – 2016. – 572с., ил.
10. Рейтинг антивирусов // ANTI-MALWARE: [сайт]. – [2016]. – Режим доступа: https://www.anti-malware.ru
11. Хмельницкий А.К., Пожитков В.В., Кондрашкова Г.А. Диагностика и надежность автоматизированных систем: Учебное пособие / ГОУВПО СПбГТУ РП. СПб, 2005. Часть 2. 74 с.: ил. 29.
12. Яковлев В.А. Шпионские и антишпионские штучки. – 2015. – 320с., ил.
13. Якубайтис Э. А. Информационные сети и системы: Справочная книга. – М: Финансы и статистика, 1996.
Осуществление антивирусной защиты локальной вычислительной сети, серверов и рабочих станций
Осуществление антивирусной защиты локальной вычислительной сети, серверов и рабочих станций.doc
Зарегистрируйся в два клика и получи неограниченный доступ к материалам, а также
промокод
на новый заказ в Автор24. Это бесплатно.
Введение
Наиболее опасной угрозой информационной безопасности локальных вычислительных сетей считается внедрение и распространение вредоносного программного обеспечение, в частности, сетевых червей.
Целью данной курсовой является разработка технологии антивирусной защиты локальной вычислительной сети. Для достижения поставленной цели необходимо решить следующие задачи: 1) выявление наиболее опасных для данной сети разновидностей вредоносного ПО; 2) исследование механизмов проникновение и распространения вредоносного ПО; 3) рассмотрение существующих стратегий защиты от вредоносного ПО 4) разработка рекомендаций по реализации защиты ЛВС от вредоносного ПО.
Объектом исследования в данной курсовой работе является система антивирусной защиты локальной вычислительной сети. Предметом исследования является процесс организации проактивной антивирусной сетевой защиты в ЛВС от внедрения и распространения сетевого червя.
Актуальность данной работы обусловлена необходимостью поиска наиболее эффективных средств так называемой проактивной защиты позволяющей упредить распространение вредоносного программного обеспечения.
По результатам выполнения данной курсовой работы могут быть разработаны положения политики информационной безопасности, регламентирующие применение различных средств антивирусной защиты.
В первой главе будут представлено классификация вредоносного ПО, их особенности и какой вред они могут нанести ЛВС.
Во второй главе мы рассмотрим особенности сетевого червя, механизмы его распространения.
В третьей главе мы рассмотрим средства предотвращения сетевого червя и сделаем обзор инструментальных средств выявления вредоносного ПО.
Основные виды вредоносного ПО
Первоначально термин «вирус» был использован для названия самовоспроизводящихся программ, которые распространяются путем вставки своей копии в существующие программы или документы. Иногда, вирусы распространяются путем простого создания файлов со сво…
Сетевой червь как пример угрозы функционирования локальной вычислительной сети
Сетевые черви (network worms) — это тип вредоносных программ, которые способны распространяться по локальной сети и интернету, создавая свои копии. В отличие от файловых вирусов, сетевые черви могут использовать для распространения сетевые протоколы …
Механизм распространения сетевого червя
Основной признак различия между сетевыми червями — это способ, посредством которого они распространяются по удаленным компьютерам.
Отличие в этих подходах глубже, чем может показаться на первый взгляд. Активация сетевого червя без участия пользовате…
Анализ способов предотвращения распространения сетевого червя
Исходя из того, что сетевой червь представляет собой вредоносную программу, которая распространяется по локальной или глобальной сети, и заражает компьютер или сервер путём выполнения на нём вредоносного программного кода, используя определённые уязв…
Открыть главу
Настройка локального межсетевого экрана
Сначала я проверил, как межсетевой экран будет работать с настройками по умолчанию. Интернет-браузер открылся успешно, и страница была загружена, при этом межсетевой экран себя никак не проявил.
Тогда я запустил приложение OpenVPN, предназначенное дл…
Открыть главу
Использование средства обнаружения вторжений
Помимо функции брандмауэра, pfSense имеет модули, предназначенные для обнаружения сетевых аномалий. Самое распространённое из свободно доступных – SNORT. Его можно установить как модуль, через меню администрирования. (Рис. 19-21)
Рассмотрим управлени…
Открыть главу
Список литературы
Википедия [Электронный ресурс] — https://ru.wikipedia.org/
pfSense [Электронный ресурс] — https://www.pfsense.org/
Snort. [Электронный ресурс] — https://www.snort.org/
DrWEB . [Электронный ресурс] — https://www.drweb.com/
1 2
Содержание
Введение
1 Анализ текущего состояния локальной сети
1.1 Общие сведения о локальных сетях
1.2 Описание общеизвестных защитных мер
1.3 Изучение политики безопасности
2 Защита информации от преднамеренных угроз в локальной сети посредством VipNet
2.1 Разработка модели нарушителя и актуальных угроз
2.2 Выбор программного продукта для разработки защищённой сети
2.3 Разработка защищённой локальной сети на базе программного комплекса VipNet
2.4 Обоснование экономической эффективности проекта
2.4.1 Расчёт показателей экономической эффективности проекта
Заключение
Список используемой литературы
Введение
Современные автоматизированные системы построены в виде распределенных систем, базирующихся на компьютерных сетях, в ходе эксплуатации которых могут возникать различные нарушения работы их устройств, делающие сеть неработоспособной. Для возвращения локальных вычислительных сетей распределенных автоматизированных систем в режим штатного функционирования обслуживающий сеть персонал должен провести определенные организационно-технические мероприятия. Процесс выявления самих неисправностей и формирования комплекса мероприятий может занять значительное время и существенно повлиять на функционирование системы автоматизации предприятия в целом. Частые отказы или длительные периоды неработоспособного состояния сети могут привести к полной потере работоспособности системы автоматизации предприятия. Для повышения оперативности принятия мер, способных вернуть локальную вычислительную сеть в режим штатного функционирования, необходимо проведение мониторинга сети, который в большей части зависит от человеческого фактора. Профессионального опыта специалиста, эксплуатирующего большие вычислительные сети, зачастую не хватает для оперативной диагностики сети и принятия решения при устранении сбоев в ее работе.
Существуют системы мониторинга, централизованного управления сетью, однако вопросы, связанные с формированием единого комплекса формализованных методик и инструментальных средств автоматизации поддержки процесса обеспечения работоспособности локальной сети, позволяющего по формализованной структуре сети найти нарушения работы ее устройств и предложить обоснованный оперативный вариант их устранения, изучены в недостаточной степени.
Основное число исследований посвящено созданию, описанию работы и диагностике локальных вычислительных сетей. Принципы построения локальных вычислительных систем отражены в работах таких авторов, как Чекмарев Ю.В. Новиков Ю.В., Кондратенко С.В. Самойленко В.В., Таненбаум Э. Теоретические основы технической диагностики рассматриваются в работах Биргера И.А., Гиберта А.И., Сердакова A.C. Исследованием и описанием параметров, позволяющих описать функционирование и потенциал сети в различных ее состояниях, то есть работоспособном состоянии и состоянии нарушения работы устройств занимаются такие исследователи, как Потапов В.И., Башарин Г.П. Для оперативного реагирования на возникающие нарушения работы устройств сети можно использовать принципы, исследуемые в работах Поспелова Д.А., Клыкова Ю.И. Процесс восстановления сетей после сбоев в работе рассматривается в публикациях Потапова В.И.
Необходимость регулярной передачи региональным филиалам свежей информации о новых ценах и объемах продукции, последних предписаниях и разработанных планах, приводит к тому, что организация встает перед проблемой выбора тех или иных ресурсов компьютерной сети. Разнообразие требований, предъявляемых к сетям пользователями и организациями, работающими с ними, приводит к разнообразию существующих локальных компьютерных сетей.
Актуальность темы. Защита информации в цифровой век — одна из важнейших задач специалистов по безопасности, системных администраторов, и других технических работников, так или иначе обслуживающих информационные системы. Все большее количество сведений, включая конфиденциальные — оказывается в доступных извне сетях и хранилищах, в которые может проникнуть злоумышленник.
Ущерб от взлома и проникновения в информационные системы, составляет, по разным оценкам, сумму от 300 миллиардов до 1 триллиона долларов в год [12]. В России только за 2016 год зафиксировано более 70 миллионов сетевых атак (данные ФСБ, там же). Поэтому, защита информации актуальна.
Несмотря на большое количество работ по теме защиты информации (Руденков Н.А., Нестеров С.А., Бирюков А.А., Эриксон Дж., и др.), полностью безопасное, и, при этом, гибкое и экономически разумное решение стоящих проблем – до сих пор не создано. Это связано, как с разнообразием применяемого оборудования и программного обеспечения, так и с постоянными, стремительными изменениями, происходящими в информационной среде, особенно, сети интернет.
Степень достоверности полученных результатов обеспечивается методологией исследования, базирующейся на различных видах анализа, статистике, экспериментальной проверке данных, применении решений, подтвердивших свою эффективность у авторов по сходной проблематике. Достоверность также подтверждается результатами практических испытаний созданной системы.
Предметом исследования выступают методы обеспечения информационной безопасности в локальных сетях.
Объектом исследования является локальная сеть.
Целью данной работы является разработка защищенной локальной сети, для повышения уровня сетевой безопасности сети, а также увеличение защищенности имеющихся сегментов сети.
Для достижения этих целей необходимо решить следующие задачи:
- провести анализ текущего состояния локальной сети;
- описать защитные меры;
- изучить политику безопасности;
- разработать модели нарушителя и актуальных угроз;
- разработать проект локальной сети;
- осуществить выбор продукта для разработки защищённой сети;
- разработать проект защищённой локальной сети на базе программного
комплекса VipNet.
Методологическую базу составляют методы комплексного и системного анализа на основе междисциплинарного исследования актуальных проблем, основных понятий, предмета, структуры информации и безопасности, а также отношений, возникающих, в связи с этим, общенаучные методы познания.
Информационная база исследования послужили труды отечественных ученых таких, как Стрельцов, А.А., Конявский, В.А., Раткин, Л.С. и др., а также справочные материалы, нормативные документы, законодательные акты и Интернет-ресурсы, государственные стандарты по разработке локальных вычислительных сетей (ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, ГОСТ Р 50571.21-2000, ГОСТ Р 53245-2008, ГОСТ Р 53246-2008). Международные стандарты, установленные Объединённым техническим комитетом №1, являющимся подразделением Международной организации по стандартизации в области информационных технологий (ISO/IEC 11801:2010, ISO/IEC 14763-1:1999).
В работе использовались следующие методы исследования.
Теоретические: изучение, систематизация и анализ специальной литературы по исследуемой теме; изучение и обобщение опыта разработки локальных вычислительных сетей; анализ действующих конфигураций корпоративных локальных сетей, обеспечивающих устойчивую и бесперебойную работу; анализ нормативной и правовой документации.
Практические: интервьюирование, осмотр помещения для монтажа локальной сети, разработка модели локальной вычислительной сети.
Теоретическая значимость исследования заключается в том, что рекомендации по проектированию и монтажу локальной вычислительной сети могут быть использованы при организации корпоративной локальной вычислительной сети любой конфигурации, обеспечивающее устойчивую и бесперебойную работу с информацией.
Практическая значимость исследования заключается в том, что в результате проведенной исследовательской работы был создан проект защиты локальной вычислительной сети, проведен ее монтаж и тестирование на работоспособность.
Научная значимость рассматриваемой темы обусловлена важностью ее исследования и изучения, так как проблема информационной безопасности в локальных сетях в нашей стране является сегодня важнейшей задачей для специалистов в области защиты информации.
Работа состоит из введения, заключения, двух глав и списка использованных источников.
1 Анализ текущего состояния локальной сети
1.1 Общие сведения о локальных сетях
Информационно-вычислительная сеть это сеть обмена и распределенной обработки информации, которая образована множеством взаимосвязанных, независимых абонентских систем и средствами телекоммуникаций и связи.
По мнению авторов: «задачей информационно-вычислительной сети является эффективно предоставить различные информационно-вычислительные услуги пользователям сети через организацию доступа к сетевым ресурсам, распределенным в сети. Под сетевыми ресурсами понимается: информация, приложения, программы, различные периферийные устройства, принтеры, модемы, сканеры».
Можно выделить следующие преимущества компьютерных сетей:
- уменьшение затрат за счет коллективного использования разнообразных баз данных и аппаратных средств;
- стандартизация приложений — все пользователи работают на одном и том же программном обеспечении, «говорят на одном языке»;
- оперативность приобретения информации без отрыва от рабочих мест;
- эффективное проектирование и взаимодействие рабочего срока (проведение дискуссий, оперативных заседаний без отрыва от рабочих мест).
Составными элементами всех сетей являются:
- Серверы. «Под сервером в широком смысле понимается любая система, процесс, программа, компьютер, владеющие каким-либо вычислительным ресурсом (памятью, временем, производительностью процессора и т. д.) и передающие ресурсы по запросам в сеть». Один сервер может обслужить запросы сразу нескольких клиентов (поочередно или одновременно);
- Клиенты. «Клиентом называется любая система, процесс, программа, компьютер, пользователь, запрашивающие у сервера сетевой ресурс. Клиент имеет программный модуль сетевой операционной системы, предназначенный для формирования и передачи сообщений-запросов к ресурсам удаленного компьютера от разных приложений с последующим приемом результатов из сети и передачей их соответствующим приложениям»;
- Среда. Это средства передачи информации;
- Совместно применяемые ресурсы. Информационные, аппаратные, программные;
- Совместно применяемая периферийная аппаратура.
Вычислительные сети классифицируются под различным признакам:
- под типу среды — воздушные, кабельные, беспроводные;
- под скорости — <10 Мбит/с, <100 Мбит/с, < 1000 Мбит/с;
- под архитектуре — одноранговые, клиентка — серверные, гибридные;
- под топологии — шина, кольцо, звезда, mesh, смешанная;
- под размеру — LAN (<15 кметы), MAN (<150 кметы), WAN (охватить Земли).
Локальные вычислительные сети (ЛВС, LAN англ. LAN – Local Area Network) принадлежат к географически ограниченным аппаратно-программным реализациям, в которых несколько компьютерных систем связаны друг с другом с помощью соответствующих средств коммуникации.
Таким образом, сформулировать отличительные признаки локальной сети можно следующим образом. Высокая скорость передачи информации, большая пропускная способность сети. Приемлемая скорость сейчас — не менее 100 Мбит/с. Низкий уровень ошибок передачи. Эффективный, быстродействующий механизм управления обменом по сети. Заранее четко ограниченное количество компьютеров, подключаемых к сети. При таком определении понятно, что глобальные сети отличаются от локальных прежде всего тем, что они рассчитаны на неограниченное число абонентов. Кроме того, они используют не слишком качественные каналы связи и сравнительно низкую скорость передачи. А механизм управления обменом в них не может быть гарантированно быстрым. В глобальных сетях гораздо важнее не качество связи, а сам факт ее существования.
Существуют одноранговые, сети на основе сервера и гибридные архитектуры сетей. В соответствии с рисунком 1 в одноранговой сети все компьютеры равноправны, т.е. нет иерархии в окружении компьютеров и нет выделенного (англ. dedicated) сервера. Всякий компьютер функционирует и как клиент, и как сервер. Нет отдельного компьютера, ответственного за администрирование всей сети. Все пользователи автономно решают, какие ресурсы локального компьютера делать доступными для сети. Одноранговые сети чаще всего группируют не более 10-15 компьютеров. Отсюда их другое название – рабочая группа, то есть, маленький коллектив пользователей. На каждом компьютере такой сети установлена одноранговая операционная система, например, Microsoft Windows 7, имеющая как клиентский, так и серверный модули .
Одноранговые сети сравнительно просты. Этим объясняется малая стоимость одноранговых сетей по сравнению со стоимостью сетей на базе сервера. Одноранговая сеть обладает следующими характеристиками:
- количество пользователей не превышает 10-15 пользователей;
- станции размещены компактно;
- защита данных решается каждым пользователем индивидуально (нет необходимости в сетевом администрировании);
- малая стоимость;
- простота построения и эксплуатации.
Однако большее распространение получили клиент–серверные и гибридные сети.
Сети типа клиент-сервер содержат: «серверы – мощные компьютеры, владеющие сетевыми ресурсами, разделяемыми между пользователями и управляющие доступом к ним клиентов; клиенты – менее мощные компьютеры сети, владеющие локальными ресурсами и имеющие доступ к ресурсам серверов».
Выделенный сервер – это «компьютер, который функционирует только как сервер, его сетевая операционная система имеет мощные серверные модули и полное отсутствие или маломощные клиентские модули (см. рис. 2). Они оптимизированы для параллельной, скоростной обработки запросов от сетевых клиентов и имеют защиту файлов и каталогов» .
Файл-серверы (file servers) – «предоставляют доступ к множеству своих файлов, расположенных на дисках». Например: SAMBA (SMB – Server Message Block).
Серверы приложений (application servers) – «обеспечивают вычислительные ресурсы для (удаленного) выполнения определенных классов приложений с других компьютеров». Например: WebSphere (IBM), WebLogic (BEA).
Серверы баз данных (database servers) – «компьютеры и программное обеспечение Например: Microsoft SQL Server, Oracle, обеспечивают доступ к базам данных» .
Web-серверы (Web servers) – «обеспечивают доступ через WWW к Web-страницам, расположенным на этих серверах». Примеры: Apache; Microsoft.NET Web Servers; Java Web Servers .
Proxy-серверы – «обеспечивают эффективное выполнение обращений к Интернету, фильтрацию трафика, защиту от атак».
E-mail-серверы – «обеспечивают отправку, получение и раскладку электронной почты». Могут обеспечивать также криптование почты (email encryption) [11].
Server back-end – «группа (pool) связанных в сети компьютеров (вместо одного сервера), обеспечивающая серверные функции».
Таким образом, архитектура является емким понятием, отражающим взаимосвязь различных структур сети: конфигурации линий, объединяющих ее пункты (топологии), организационной структуры, отображающей устройство сети, функциональной структуры, поясняющей логику работы сети, программной структуры, характеризующей состав чрезвычайно сложного и многоцелевого программного обеспечения сети; протокольной модели сети, описывающей правила установления связи и обеспечения информационного обмена, физической структуры, позволяющей оценить физические ресурсы сети, типы используемого оборудования.
Термин топология сети характеризует физическое расположение компьютеров, кабелей и прочих компонентов сети. Топология сети обуславливает ее характеристики. В частности, выбор той или иной топологии воздействует:
- на состав и характеристики сетевого оборудования;
- на надежность сети;
- на наименьшее время отклика с сети;
- на производительность сети и ее пропускную способность;
- на возможности масштабирования сети;
- на метод управления сетью.
Для того чтобы вместе использовать сетевые ресурсы, компьютеры должны быть подключены друг к другу через проводящую среду, например, кабельную систему. Любые типы кабелей в сочетании с многообразными сетевыми адаптерами, сетевыми операционными системами и прочими компонентами требуют и многообразного взаимного расположения компьютеров . Всякая топология сети налагает ряд требований, например, она способна диктовать не только тип кабеля, но и средство его прокладки. Топология способна также изменять метод взаимодействия компьютеров в сети. Разным видам топологий соответствуют разные методы взаимодействия, и эти методы оказывают сильное влияние на сеть. Существуют три главных вида топологий: общая шина, звезда, кольцо.
Если компьютеры подключены вдоль одного кабеля (сегмента), топология именуется шиной. Если компьютеры подключены к сегментам кабеля, исходящего из одной точки, например, коммутатора, то топология именуется звездой. Если кабель, к которому подключены компьютеры, замкнут в кольцо, такая топология называется кольцо. Хотя сами по себе базовые топологии просты, в действительности неоднократно встречаются довольно трудные комбинации, объединяющие особенности разных топологий.
Топология Шина
Топологию Шина часто называют «линейной шиной». Такая топология относится к самых несложным и широко используемым топологиям. В соответствии с рисунком 2 в ней применяется один кабель, именуемый магистралью, в противном случае сегментом, вдоль какого подключены все компьютеры и серверы сети. В сети с топологией шина компьютеры адресуют данные одному компьютеру, передавая их по кабелю в виде электрических сигналов. Для представления способа взаимодействия компьютеров по шине опишем следующие понятия: передача сигнала, отражение сигнала, терминатор .
Данные в виде электрических сигналов передаются всем компьютерам сети; однако сообщение получает только тот абонент, чей адрес соответствует адресу получателя, зашифрованному в данных сигналах. В любое время только один компьютер способен вести передачу. Так как данные в сеть передаются только одним компьютером, то производительность сети зависит от численности компьютеров, подключенных к шине. Чем больше компьютеров, желающих вести передачу данных, тем медленнее работает сеть. Данные распространяются по всей сети – от одного конца кабеля к другому. Если не оказывать воздействий на сигнал, то он, достигая конца кабеля, будет отражаться и не позволит прочим компьютерам осуществлять передачу. Поэтому, после того как данные достигнут адресата, электрические сигналы требуется погасить, для этого на концах кабеля размещаются терминаторы, поглощающие эти сигналы. Концы кабеля подключаются к компьютеру через разъем сетевого адаптера или к баррел-коннектору – для повышения длины кабеля. Выход из строя сетевого кабеля совершается при его физическом разрыве или когда на одном или на нескольких концах кабеля отсутствуют терминаторы. При этом сеть «падает».
Рисунок 2 — Топология Шина.
Таким образом, топология Шина характеризуется использованием общего канала передачи данных, называемого магистралью, сегментом (trunk, backbone, segment) между оконечными устройствами. Имеет децентрализованное управление. Работает в режиме широковещания – все компьютеры, разделяющие канал связи, принимают всю информацию, передаваемую другими компьютерам. Выход из строя одной рабочей станции не влияет на работу остальных, тогда как разрыв кабеля или отсутствие терминатора ведет к выходу из строя всей сети. Трудно локализовывать отказы из — за большой длины магистрального кабеля и отсутствия точки концентрации. Максимальная длина сегмента сети L равна длине кабеля, ограниченного терминаторами. Для «толстого» коаксиала L=500 м. При соединении 5 сегментов (по правилу 5-4-3) диаметр сети D=5×500=2500м.
Топология Звезда
При топологии Звезда все компьютеры с сегментами кабеля подключаются к центру, именуемому концентратором. В соответствии с рисунком 3 сигналы от передающего компьютера поступают через концентратор ко всем станциям.
Рисунок 3 — Топология активная Звезда
В сетях с топологией Звезда подключение кабеля и управление сетью централизовано. Но в этом заключается и недостаток: так как все компьютеры подключены к центральной точке, для крупных сетей сильно увеличивается расход кабеля. К тому же, если центральный компонент выйдет из строя, нарушится работа всей сети. Если выйдет из строя любой компьютер (либо кабель, соединяющий его с центром), то только этот компьютер не будет передавать или получать данные из сети. На остальные компьютеры в сети это не повлияет .
Топология Звезда является самой быстродействующей из всех топологий вычислительных сетей, потому что передача данных производится между рабочими станциями через центральный узел (при его отличной производительности) по отдельным линиям, используемым лишь этими рабочими станциями. Частота запросов передачи информации от одной станции к другой невысокая по сравнению с достигаемой в других топологиях. В соответствии с рисунком 4 центральный узел управления, например, файловый сервер, реализует приемлемый механизм защиты против несанкционированного доступа к информации. Вся вычислительная сеть способна управляться из ее центра. Отказы сети относительно легко локализовать . Диаметр сети составляет D=2×L, где L – длина сегмента. На основе топологии Звезда организуется топология Дерево
Рисунок 4 — Топология Дерево.
Топология Кольцо
В соответствии с рисунком 5 при топологии кольцо компьютеры подключаются к кабелю, замкнутому в кольцо. Сигналы передаются по кольцу в одном направлении и проходят через любой компьютер. В отличие от топологии шина, здесь всякий компьютер выступает в роли репитера, усиливая сигналы и передавая их очередному компьютеру. В связи с этим, если выйдет из строя один компьютер, перестает функционировать вся сеть.
Один из алгоритмов передачи данных в кольцевой сети называется «передача маркера». Суть его заключается в том, что маркер последовательно, от 1-ого компьютера к следующему, передается до тех пор, пока его не получит обратно отправитель. Передающий компьютер изменяет маркер, помещает MAC — адрес в кадр и передает его по кольцу. Данные проходят через каждый компьютер, пока не окажутся у того, чей адрес совпадает с адресом получателя, указанного в кадре .
Рисунок 5 — Топология Кольцо.
После этого принимающий компьютер отсылает отправителя данные, подтверждающие факт приема. Получив подтверждение, компьютер — отправитель создает новый маркер и возвращает его в сеть.
Итак, станции в топологии подключаются к общему кольцу, иногда двойному. Выход из строя одной рабочей станции влияет на всю сеть (принимаются меры). Выход из строя кольца ведет к выходу из строя всей сети, поэтому кольца резервируются (Двойное кольцо). Отказы локализовать не очень легко. Диаметр сети составляет D=N×L сегмента, где N – число станций в кольце. Сравнение описанных выше топологий представлено в таблице ниже (таблица 1).
Таблица 1 — Основные характеристики топологий сетей.
Исходя из вышеизложенного можно сделать вывод, что компьютерные сети занимают особое место в нашей повседневной жизни, в нашей производственной деятельности и в других областях. Соединение компьютеров в сети позволяют людям находить необходимую им информацию, используя ресурсы других компьютеров, общаться друг с другом, не выходя за пределы своей комнаты, общаться с людьми, которые находятся на огромных расстояниях.
1.2 Описание общеизвестных защитных мер
Используемая в настоящий момент версия серверной операционной системы — Windows Server 2008 морально устарела, ее поддержка производителем скоро прекратится. Поэтому, необходимо обновление, как минимум, до Windows Server 2012 R2.
В домене Windows для настройки защиты информации применяются, в том числе, политики безопасности. После введения в действие этих политик на центральном сервере, называемом «контроллер домена» — настройки автоматически отражаются на всех участниках домена. В понятие политики безопасности входят: политики учетных записей, политики паролей, политики блокировки учетных записей, и др.
В системах Windows, учетные записи пользователей делятся на два типа: локальные и доменные. Локальные учетные записи — действуют на одном конкретном компьютере (сервере). Доменные — в рамках всей доменной сети.
Информацию на сервере локальной сети, работающем под управлением операционной системой Windows Server, можно защитить такими способами:
а) создание и настройка политик безопасности домена;
б) ужесточение правил по ограничению доступа учетным записям;
в) отключение компонентов, создающих угрозу;
г) улучшенная антивирусная защита в реальном времени;
д) установка сетевого экрана в режиме повышенной защиты;
е) ужесточение настроек безопасности сервера баз данных SQL;
ж) организация резервного копирования настроек домена и баз данных.
Способ «в» скорее рекомендуется, чем необходим. Остальные – будут применяться в реализации защиты сервера.
Информацию на компьютерах-клиентах локальной сети, работающих под управлением операционной системой Windows, можно защитить такими способами:
а) установка сетевого экрана;
б) жесткая антивирусная защита;
в) физическое отключение неиспользуемых портов ввода-вывода;
г) физическое отключение дисководов, не требующихся в работе;
д) удаление устаревшего программного обеспечения и драйверов.
Наиболее важны способы от «а» до «г».
Маршрутизаторы и коммутаторы – улучшают защиту, и позволяют:
а) ограничить доступ к ресурсам сети на основе IP и MAC-адресов;
б) создать правила фильтрации потоков сетевого трафика;
в) защититься от различных видов сетевых атак (сниффинг, DoS, и др.);
г) распределить пропускную способность физического канала связи.
Здесь наиболее важны способы от «а» до «в» .
Для защиты электронной почты доступны такие методы:
а) использование защищенных протоколов при получении/отправке почты;
б) назначение сложных, уникальных паролей и периодическая их смена;
в) антивирусная проверка почты;
г) задание жестких настроек (фильтров) для входящих писем.
Важны все способы [10; 13], кроме «г», который лишь рекомендуется.
Для настройки возможностей, доступных учетной записи — применяют групповые политики [4; 7]. Группа — это удобный способ создания и управления набором разрешений и/или запретов, сохраненным под уникальным названием.
Для группы можно изменять групповую политику, связанную с ней. Групповая политика построена по принципу разрешений и запретов. Чаще всего, в групповой политике применяются правила:
- на события входа в систему;
- на доступ к объектам (файлам, каталогам, общим ресурсам сети);
- на использование привилегий;
- на системные события.
После создания нужных групп, учетные записи «добавляются» в них, причем, один и тот же пользователь может быть в нескольких группах .
Антивирус снижает вероятность проникновения в систему вредоносного программного обеспечения. Также важно выявление новых угроз — «эвристический анализатор».
Анализатор в режиме реального времени отслеживает работу приложений, и обнаруживая «вирусоподобную» активность — выполняет заданное действие.
В операционной системе Windows хорошо зарекомендовали себя следующие продукты: Bitdefender Internet Security, Kaspersky Internet Security, BullGuard Internet Security, Norton Security Deluxe, Trend Micro Internet Security.
Есть и множество других, менее известных, которые в настоящей работе не рассматриваются. Для выбора антивирусной защиты, учитываем такие факторы:
- наличие других встроенных инструментов, для комплексной защиты;
- совместимость со старыми версиями операционных систем;
- наличие русскоязычной поддержки и официального представительства.
Учитывая это, наиболее подходящим вариантом становится Kaspersky Internet Security. В нем сочетаются наиболее важные качества, а также, в отличие от Bitdefender Internet Security — присутствует защита почтового клиента .
Сетевые экраны, называемые также «брандмауэры» и firewall (англ. «огненная стена»), бывают программные и аппаратные. Отвечают за защиту от сетевых угроз. Сетевой экран уже присутствует в выбранном антивирусном ПО.
Помимо этого, будет применяться ПО ViPNet IDS [29] – система обнаружения вторжений, позволяющая в короткий срок выявлять возникающие и потенциальные сетевые угрозы безопасности. Причины такого выбора:
- российская фирма-разработчик, что облегчает получение технической поддержки, оперативных обновлений, и др.;
- продукт сертифицирован ФСБ за №СФ/СЗИ-0122 и ФТЭК ФСТЭК России за №3804, что важно для его использования в гос. учреждениях;
- разработано для российского сегмента интернет и специфичных угроз.
Принцип работы системы ViPNet IDS изображен на рисунке 6.
Злоумышленник через интернет обходит сетевой экран и передает пакеты данных во внутреннюю сеть. Через коммутатор эти данные транслируются дальше, дублируются в систему ViPNet IDS, которая и выявляет угрозу.
Защита информации в базах данных SQL обеспечивается путем предоставления пользователям БД лишь тех прав доступа, которые им необходимы в работе . В системе управления базами данных (СУБД) содержатся собственные средства управления, в частности, разделение по группам. В правилах безопасности СУБД прописывается, какими правами наделен конкретный пользователь или группа. Чаще всего используются:
- право на извлечение данных (SELECT);
- право на добавление данных (INSERT);
- право на обновление данных (UPDATE).
Рисунок 6 — Схема работы IDS
Поэтому, следует выявить уровень привилегий, необходимых каждому виду пользователей БД для его работы.
Создание и применение резервных копий — один из важнейших методов защиты информации. В копировании нуждается такая информация:
- настройки домена Windows, включая политики безопасности;
- база данных SQL (файл базы и файл журнала транзакций);
- системные файлы и каталоги операционной системы;
- каталоги с файлами пользователей;
- содержимое общих сетевых папок.
Для копирования ключевой информации домена и операционной системы удобно пользоваться стандартным инструментом «Система архивации данных Windows Server» [4]. Другие виды информации будут копироваться инструментами командной строки. Копирование должно выполняться по расписанию. Наиболее важные данные сервера — ежедневно, все данные — 1 раз в неделю. Также, полная копия делается после любых изменений в политиках безопасности. Копирование базы данных — несколько отличается, здесь необходимо отключение всех пользователей от базы данных (т. е. завершение сеансов работы с базой) на весь период резервного копирования. Целесообразно это делать в часы наименьшей нагрузки на информационную систему, между 2 и 4 ч. утра.
Таким образом, все копии будут храниться на отдельных RAID-массивах жестких дисков.
Выбор сетевого экрана для рабочих станций, в целом, аналогичен таковому для сервера локальной сети, с такими отличиями:
- устанавливается «облегченная», клиентская версия IDS — ViPNet IDS HS;
- сетевой экран настраивается более жестко, в частности, запрещается доступ ко всем частям сети, кроме необходимых в работе.
Для рабочих станций необходим более жесткий режим антивирусной защиты, так как, физический доступ к ним имеет гораздо большее количество людей. В частности:
- запрет на запуск программ, не внесенных в список доверенных;
- отключение режимов, где решение по защите принимает пользователь;
- работа антивируса в автоматическом режиме, защита настроек паролем;
- балансировка защиты и потребления ресурсов компьютера .
На многих рабочих станциях есть неиспользуемые порты ввода-вывода, такие, как: порт универсальной последовательной шины (universal serial bus, USB), последовательный порт (COM), параллельный порт (LPT).
Таким образом, хорошей практикой является физическое или программное отключение портов , которые не используются. Особенно опасен порт USB, так как позволяет подключить внешний, зараженный носитель информации. Мы применим надежный физический метод отключения портов. Наиболее распространенный вид дисководов — это CD/DVD-привод, позволяющий считывать информацию с оптических дисков, и записывать ее. В некоторых рабочих процессах учреждения, наличие такого дисковода необходимо. Где необходимости нет — будем отключать устройство.
Ограничения по доступу к ресурсам сети задаются в настройках маршрутизаторов и коммутаторов в виде правил deny / permit (англ. «запретить / разрешить») в конфигурации устройства . Правила могут включать разные ограничения доступа, в частности, нам потребуются:
- запрет на прямое терминальное подключение от клиента к серверу;
- запреты на доступ к интернет с клиентов, где такой доступ не нужен;
- запрет на прямое подключение к локальной сети из внешнего мира;
- разрешения на терминальный доступ для избранных клиентов сети.
Как и в случае с ограничением доступа к ресурсам сети, фильтрация сетевого трафика построена на принципе разрешений и запретов.
В каждом таком фильтре указываются :
- сетевой интерфейс, куда информация поступает (WAN, VPN, и др.);
- использованный протокол передачи данных (TCP, UDP или ICMP);
- тип фильтра — по IP или по MAC-адресу;
- использованный для соединения сетевой порт;
- политика фильтра — «разрешающая», либо «запрещающая».
Для защиты информации будет применяться система обнаружения вторжений ViPNet IDS, направленная на выявление угроз путем анализа сетевого трафика, выявления аномалий в потоках данных, ведения журналов событий безопасности и уведомления администраторов о возникающих угрозах .
Для защиты маршрутизаторов от сетевых атак, следует:
- установить свежие обновления прошивки;
- отключить удаленный доступ, там, где это возможно;
- сменить стандартный, «заводской» пароль на новый;
- отключить UPnP .
Кроме этого, есть настройки, влияющие на защиту. Важно отключение Wi-Fi Protected Setup (WPS), которая создает серьезную уязвимость . Также, рекомендуется включение защит против DoS/DDoS (Denial of Service – отказ в обслуживании), SYN Flood и других атак, направленных на перегрузку каналов и/или оборудования связи. Эти функции есть у оборудования Cisco. Защищенный обмен данными в сети осуществляется при помощи ViPNet Client , с такими функциями:
- фильтрация трафика (сетевой экран);
- контроль сетевой активности приложений и компонентов операционной системы;
- шифрование по ГОСТ 28147-89 на ключах длиной 256 бит.
Таким образом, благодаря этому, а также возможности интеграции с программным обеспечением других разработчиков, обеспечивается повышенная защита информационной системы.
Разумеется, такие меры не дают абсолютной гарантии защиты , однако, снижают вероятность успешной реализации угроз.
Обязательные требования к надежному паролю :
- пароль должен содержать не менее 8 символов;
- пароль должен содержать заглавные и строчные буквы, цифры, пробелы и специальные символы (такие, как: !?*$&#@%+-=).
Пароль не должен содержать:
- личную информацию (имя, фамилию, дату рождения);
- очевидные и простые слова, фразы, устойчивые выражения и наборы символов, которые легко подобрать (например: password, qwerty, 1234567).
Рекомендуется назначать пользователям уникальные (не повторяющиеся) пароли, и менять пароль каждые 2-3 месяца, по утвержденному расписанию. Антивирусная проверка почты осуществляется при получении на почтовом сервере (у стороннего провайдера), а также модулем из состава Kaspersky Internet Security — уже на стороне клиента, в момент приема поступивших сообщений.
Таким образом, мы изучили более подробно предложенные ранее методы защиты информации, выбрали условия их применения и необходимое для этого программное обеспечение, и можем переходить к дальнейшей реализации, которая будет описана в следующем разделе.
1.3 Изучение политики безопасности
Политика информационной безопасности определяет цели и задачи системы обеспечения информационной безопасности и устанавливает совокупность правил, требований и руководящих принципов в области информационной безопасности, которыми руководствуется организация в своей деятельности. Политика разрабатывается в соответствии с законодательством Российской Федерации и нормами права в части обеспечения информационной безопасности.
Основными целями политики информационной безопасности являются защита информации и обеспечение эффективной работы всего информационно-вычислительного комплекса при осуществлении деятельности.
Политика информационной безопасности направлена на защиту информационных активов от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий персонала, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.
Риск аварий и технических сбоев определяется состоянием технического парка, надежностью систем энергоснабжения и телекоммуникаций, квалификацией персонала и его способностью к адекватным действиям в нештатной ситуации.
Стратегия обеспечения информационной безопасности заключается в использовании заранее разработанных мер противодействия возможным атакам, а также программно-технических и организационных решений, позволяющих свести к минимуму возможные потери от технических аварий и ошибочных действий персонала.
Задачами настоящей политики являются:
- описание системы управления информационной безопасностью;
- определение политик информационной безопасности, а именно:
- политика реализации антивирусной защиты;
- политика учетных записей;
- политика предоставления доступа к информационному ресурсу;
- политика защиты автоматизированного рабочего места;
- политика использования паролей;
- политика конфиденциальности;
- определение порядка сопровождения информационной системы и локальной сети.
Таким образом, политика информационной безопасности и в соответствии с ней построенная система управления информационной безопасностью будет являться наиболее правильным и эффективным способом добиться минимизации рисков нарушения информационной безопасности для локальной сети. Необходимо учитывать, что с течением времени меняется характер угроз, поэтому следует своевременно, используя данные мониторинга и аудита, обновлять модели угроз и нарушителя.
1 2
Добавил:
Вуз:
Предмет:
Файл:
Операционные системы для серверов (курсовая работа)
Скачиваний:
53
Добавлен:
28.06.2014
Размер:
5.28 Mб
Скачать
МОСКОВСКИЙ ЭНЕРГЕТИЧЕСКИЙ ИНСТИТУТ (ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ)
ИНСТИТУТ АВТОМАТИКИ И ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ КАФЕДРА ПРИКЛАДНОЙ МАТЕМАТИКИ
Курсовая работа
по курсу «Операционные системы» на тему:
Операционные системы для серверов.
Выполнил студент группы А-13-08
каф. Прикладной Математики Захаров Антон
Преподаватель Калитин Сергей Серафимович
Москва,2012
Содержание.
Часть I.
Сервер.
Характеристики серверов.
2
3
4
5
6
Часть II.
Операционные системы для серверов семейства Windows.
Windows NT.
7
8
9
Соседние файлы в предмете Операционные системы
- #
- #
- #
- #
- #
- #