Защита серверов windows server курсовая работа

Конфигурация серверов

Введение

Сервер необходим любой крупной или даже не очень
крупной компании для совместного использования ресурсов. Это не только
информационные ресурсы. Например, к серверу могут обращаться как компьютеры,
так и телефоны, принтеры, факсы и другие устройства, подключенные к сети.
Сервер осуществляет хранение информационных ресурсов и организует совместный
доступ к ним нескольких компьютеров. И чем крупнее фирма и больше пользователей
сети, тем больше и мощнее необходим сервер.

Слово «server» происходит от английского слова
«serve» — служить, обслуживать. То есть сервер — это обслуживающий компьютер
или сеть компьютеров, предназначенные для обслуживания пользователей, которые
обращаются к нему со своим запросом.

Любой сервер, как и персональный компьютер не мыслим
без специального программного обеспечения. Для того, чтобы работа на сервере
была возможна необходима операционная система, которая позволяла бы
сконструировать информацию в виде понятного и привычного для пользователя
интерфейса. Существует несколько используемых операционных систем для серверов,
например, Windows NT или UNIX/Linux.

Цель: Изучение конфигурации серверного
оборудования, обновление операционной системы класса Unix

1.   Задачи: Изучить конфигурацию серверного
оборудования Hyperion
RS230 G4

1.
Конфигурация сервера

Сервер — это компьютер или несколько
компьютеров, которые обладают большой мощностью и хранят большое количество
информации. Сервер всегда находится во включенном состоянии и подключен к сети
(локальной сети или сети Интернет), чтобы обрабатывать запросы пользователей и
выдавать необходимую информацию. Чем большее количество информации хранит
сервер на жестком диске чем больше количество пользователей, отправляющих
запрос, тем мощнее должен быть сервер.

Все сайты в сети Интернет расположены на
серверах. Если сайт содержит небольшое количество страниц и информации, то
таких сайтов на одном сервере может быть очень много. Если же сайт содержит и
обрабатывает огромное количество информации, то он находится на отдельном
сервере, и по сути сам является сервером. Так, например, поисковые системы
(Yandex, Google, Mail.ru и т.д.). Можно сказать, что все страницы всех сайтов в
интернет находятся на серверах этих компаний. В данном случае понятие сервер —
представляет собой большое количество компьютеров (серверов), связанных между
собой и работающих параллельно, для того, чтобы обеспечить быструю обработку
поискового запроса и выдачу результата.

1.1 Виды серверов

В зависимости от функций, которые выполняет
сервер, они подразделяются на виды. Основные из них, представлены ниже.

Файл-сервер — сервер, на котором хранятся все
файлы сети. Это жесткий диск или несколько дисков, хранящих информационные
ресурсы (различные файлы), к которым осуществлен доступ других компьютеров. Для
обмена файлами между клиентом и сервером используется протокол FTP (File
Transfer Protocol — протокол передачи файлов). С помощью этого протокола
пользователь может загружать документы, картинки, музыкальные файлы, программы
в сети. С его легкой подачи Вы можете загружать страницы любого сайта в
интернете, связывать компьютеры между собой. Доступ к файловому серверу
осуществляется после авторизации пользователя и защищен паролем. Файл-сервером
может считаться любой компьютер с большим дисковым пространством (жестким
диском), который хранит файлы различного типа.

Рисунок 1. Файл-сервер (схема соединений)

Почтовый сервер — сервер, совершающий принятие и
отправление почтовой переписки. Оболочка почтового сервера может быть любая, в
зависимости от программного обеспечения, установленного на Вашем компьютере. Но
сам почтовый сервер, это нечто большее. После отправки электронной почты на
конкретный почтовый адрес, сообщение поступает на почтовый сервер, где
обрабатывается. Адрес получателя индексируется, почтовый сервер находит его в
сети и отправляет сообщение получателю. В этом процессе участвует не один
почтовый сервер, а множество серверов, которые обмениваются между собой
информацией.

Рисунок 2. Схема почтового сервера

Рисунок 3. Схема веб-сервера

Прокси-сервер — по сути это тоже веб-сервер, но
он осуществляет запросы в интернет вместо вас. Это комплекс программ, с помощью
которого пользователь получает информацию из сети косвенно. То есть
пользователь (клиент) сначала подключается к прокси-серверу и отправляет ему
запрос. После чего сервер сам находит информацию в сети и отправляет ее
клиенту. Но ответ на запрос может быть изменен прокси-сервером. Это делается с
определенной целью. Использование прокси-сервера позволяет защитить клиентский
компьютер или локальную сеть от атак вредоносных программ, обеспечить
анонимность доступа клиента, ограничить доступ к некоторым ресурсам сети или напротив,
обойти запреты на непосредственный доступ к некоторым ресурсам, позволяет
сжимать данные, отвечающие на запрос или предоставить запрошенную клиентом
информацию из кеша прокси-сервера.

сервер блок сборка обновление

Рисунок 4. Схема прокси-сервера

Рисунок 5. Сервер базы данных

Рисунок 6. Схема включение игрового сервера
напрямую на статический IP

Конфигурация серверной машины на примере Hyperion
RS230 G4

Рисунок 7 общий вид сервера hyperion
RS230 G4

Данный сервер предназначен для производительных
вычислений

Системные требование сервера:

Применение: виртуализация, большие БД, cloud
computing, data mining, ERP, CRM, сервер Citrix, производительные вычисления

Набор микросхем: Intel C602

Процессоры: 1 или 2 Intel Xeon E5-26xx v2 (до 24
ядер)

Системная шина:
Intel DMI 4GB/s

Максимальный объём памяти: 1.5TB восьмиканальной
DDR3, 24 слота

Встроенные контроллеры: Технология дочерних плат
расширенияSAS RAID 8 портов (активация через дополнительный ROM)

Опциональные контроллеры: Дочерняя плата SAS HBA
(не занимает слот PCI) Дочерняя плата двухпортового 10 Gb Ethernet SFP+ SAS
RAID контроллеры

Адаптеры FibreChannel и InfiniBand HCA

Максимальное количество дисков:         12x
3.5” SAS/SATA/SSD с горячей заменой, 6G экспандер с двойным входом или 24x 2.5”
SAS/SATA/SSD с горячей заменой 6G экспандер с двойным входом 1 внутренний SATA
DOM 2x 2.5” SATA/SSD с горячей заменой

Видеоконтроллер: ASPEED 2300, 64Mb

Слоты расширения: 3x PCI-E 3.0 16x 2x
PCI-E
3.0 16x
LP 2x
PCI-E
3.0 4x
mezz

Сетевые интерфейсы: 2x
Intel Powerville
I350 1GbE
RJ45 или 2x
Intel Twinville
X540 10GbE
RJ45 2x
Intel® 82599ES
10Gb SFP+
дочерняя плата (опция) Поддержка технологии FCoE

Интерфейсы: Задняя панель VGA
RS232 3 x
RJ45 2 x
USB

Управление системой: IPMI 2.0 интегрировано KVM
over IP, Virtual Media Выделенный порт Ethernet DCMI

Поддерживаемые ОС:
SuSE Linux Enterprise Server 11 Семейство
Microsoft Windows® Server 2012 Red Hat Enterprise Linux 6 VMware® vSphere 5
Oracle Solaris 11

Блок питания: 1100Вт (опционально 460Вт) дублированный
с горячей заменой Поддержка Intel
Node Management

Охлаждение: 4 управляемых вентилятора охлаждения
системы с легкой заменой

1.2 Аппаратная
составляющая сервера (на примере Hyperion RC 100 G4)

Рисунок 8 внешний вид серверной машины hyperion
RS230 G4

Рисунок 9 Задняя панель

Рисунок 10 блок питание hyperion
RS230 G4

Рисунок 11 материнская плата hyperion
RS230 G4

Рисунок 12 общий вид задней панели hyperion
RS230 G4

.3 ПРАВИЛО ЗАМЕНЫ БЛОКОВ

Как правило сервера находиться в серверных
стойках, перед демонтажем необходимо стандартными средствами отключить сервер,
отсоединить все периферийные устройства, разблокировать фиксаторы, вынуть
сервер из стойки и перенести на заранее подготовленное место.

Главная суть обслуживание сервера в следующем:

Осмотр элементов сервера

Удаление загрязнений

Перезаклада термопасты в высокотемпературных
элементах.

Очистка и проверка систем питания.

Сборка и установка в стойку

Осмотр элементов сервера

После снятия крышки корпуса необходимо тщательно
осмотреть все элементы сервера: блоки питания, места разъёмов радиаторов и
систем охлаждения. С особой тщательностью необходимо осматривать элементы
системы охлаждения, а так же на наличие вздутий и окисления у элементов
материнской платы. Системы охлаждения осматриваться на наличие люфтов и
заеданий при вращении. Удаление загрязнений. Перед выполнением процедуры по
удалению загрязнений, необходимо с рабочих элементов, инструментов, самого
себя, снять статическое электричество специальными браслетами. Очистка
загрязнений выполняется методом «сдувания» сжатым воздухом под давлением от 3
до 6 Атм. На расстоянии 10-25 см от рабочей поверхности

Ни в коем случае не собирайте пыль или
загрязнения пылесосом или иными всасывающими устройствами или пластиковыми
насадками (щелевые насадки) т.к. в зонах быстрого течения воздуха возникают
большие потенциалы статического электричества, которое выводит из строя
полупроводниковые элементы сервера.

2. Серверные
Операционные системы(ОС)

Серверная операционная система — предназначена
для управления программным обеспечением, которое в свою очередь обслуживает
всех пользователей сети, как внутренней, так и внешней. А почему нельзя
использовать обычную, пользовательскую ОС в качестве серверной? Спросите вы, да
потому что серверная ОС предоставляет специализированный функционал управления,
так сказать более удобный, эффективный, разработанный специально для конкретных
целей администрирования и управления и такого функционала просто нет в
пользовательских операционных системах, которые, кстати, выступают клиентами
этих серверных операционных систем. И, конечно же, можно сделать вывод — если у
нас имеется специализированный функционал соответственно и стоимость этого
функционала будет совсем другая, есть конечно и исключения.

Выбор серверной операционной системы. Прежде всего
необходимо четко определить для каких целей будет использоваться данный сервер
и соответственно его операционная система. И уже, исходя из конкретной задачи
выбирать операционную систему и необходимую конфигурацию оборудования для этой
операционной системы.

Рассмотрим самые популярные и распространенные
серверные операционные системы.

Рисунок 13 логотип Os
Windows Server2003

Server 2003- операционная система семейства Windows
NT от компании Microsoft,
предназначенная для работы на серверах. Она была выпущена 24 апреля 2003 года.
Windows Server 2003 является развитием Windows
2000 Server и серверным
вариантом операционной системы Windows
XP. Основными
особенностями данных операционных систем являются наличие в их составе
платформы Microsoft .NET Framework, а также поддержка Web-сервисов XML (вплоть
до наличия в составе операционной системы UDDI-сервера). Она поддерживает серверы
на базе 64-разрядных процессоров (до восьми штук) и объем оперативной памяти до
64 Гбайт и выпускается в версиях для 32- и 64-разрядных платформ;

Данный продукт может использоваться практически
для всех целей, которые возникают у администраторов, но не стоит забывать и про
качество, так как все desktop-ные варианты (т.е. имеют графическую оболочку)
запрашивают на много больше ресурсов, чем без интерфейсные операционные
системы, поэтому если вы собираетесь использовать ОС с графической оболочкой, необходимо
учесть это при выборе оборудования для сервера. Windows Server 2003 отлично
подходит для начинающих системных администраторов. Данная платформа подходит
для контроллеров домена, если вы используете службу каталогов Active Directory,
также если вы планируете в своей сети использовать удаленное подключение
пользователей, то на этой ОС вы легко можете реализовать

«Сервер терминалов».

Процессор с тактовой частотой 133 МГц или выше
для ПК с процессорами x86; 733 MHz для ПК с процессорами Itanium; поддержка до
8 процессоров 32- или 64-разрядной версии.

ОЗУ Требуется минимум 128 МБ ОЗУ; максимум 32 ГБ
для ПК с 32-разрядными процессорами x86 или 64 ГБ для ПК с 64-разрядными
процессорами Itanium.

Жесткий диск      1,5 ГБ свободного места на
жестком диске для ПК с процессорами x86; 2 ГБ для ПК с процессорами Itanium;
для установки через сеть требуется дополнительное место на жестком диске.

Привод Дисковод для компакт- или DVD-дисков.

Экран Требуется VGA или оборудование,
поддерживающее перенаправление консоли.

Прочее Windows Server 2003 Enterprise Edition,
64-разрядная версия совместима с 64-разрядными системами Intel Itanium и не
может быть установлена в 32-разрядных системах.

Рисунок 14 логотип
Os Windows Server 2008 R2.

Windows Server 2008 R2 является уже лидером
многих тестов по производительности серверных операционных систем. Например,
файловый сервер лучше всего поднимать на этой ОС. Помимо этого в данной
операционной системе: улучшенная поддержка виртуализации, новая версия службы
каталогов Active Directory, поддержка до 256 процессоров, в отличие от Windows
Server 2003, также здесь лучше реализован «сервер терминалов». Плюсом данной
платформы является то, что она походит для качественного выполнения практически
всех задач, а минусом то, что требует больше ресурсов в отличие от своих
сородичей.

Минимально: 1 ГГц

Рекомендуется: 2 ГГц

Оптимально: 3 ГГц и больше

Память: Минимально: ОЗУ 512 МБ

Рекомендуется: ОЗУ 1 ГБ

Оптимально: ОЗУ 2 ГБ (полная установка) или 1 ГБ
(установка ядра сервера) и более

Максимально (32-разрядные системы): 4 ГБ (выпуск
Standard) или 64 ГБ (выпуски Enterprise и Datacenter)

Максимально (64-разрядные системы): 32 ГБ
(выпуск Standard) или 2 ТБ (выпуски Enterprise, Datacenter и для систем на базе
Itanium)

Свободное место на диске Минимально: 8 ГБ

Рекомендуется: 40 ГБ (полная установка) или 10
ГБ (установка ядра сервера)

Оптимально: 80 ГБ (полная установка) или 40 ГБ
(установка ядра сервера) и больше. Примечание. Компьютерам с объемом ОЗУ более
16 ГБ требуется больше дискового пространства для файлов подкачки, спящего
режима и дампа памятиServer 10.10. который использует ядро Linux. Существуют
уже более новые релизы этого дистрибутива, такие как Ubuntu Server 11.04 и
Ubuntu Server 11.10

Рисунок 15 Логотип Os
Ubuntu server

Server 10.10 отличается простотой установки и
обслуживания, обеспечивает высокую надежность и производительность, а также
имеет высокий уровень безопасности и отлично подходит практически для всех
задач.

Процессор: 300 MHz x86128MB

Оперативной памяти (RAM): 1GB доступного
пространства жесткого диска

Видеокарта и монитор: совместимый для разрешения
640×480 пикселей

Оптический привод: для чтения CD/DVD дисков или
USB порт (либо оба устройства)

Рисунок 16 логотип Os
FreeBSD

отличный вариант для web-сервера потому что, это
мощный TCP/IP-стек с поддержкой промышленных стандартов, таких как SLIP, PPP,
NFS, DHCP и NIS. И поэтому FreeBSD может легко взаимодействовать с другими
системами, а также работать сервером крупного предприятия, предоставляя
жизненно важные функции, такие как NFS (удалённый доступ к файлам) и услуги
электронной почты, или представлять вашу организацию в Интернете, обеспечивая
работу таких служб как: WWW, FTP, маршрутизацию и функции межсетевого экрана.

На FreeBSD работают одни из самых крупных и
загруженных сайтов в Интернете (например, Yahoo!) и большая доля всех остальных
сайтов также работают на FreeBSD.

Но FreeBSD можно использовать не только как
платформу для Интернет-сервера, но и в качестве обычного сервера который
выполняет все те задачи, которые выполняют другие серверные операционные
системы и ограничивать возможности FreeBSD не нужно. FreeBSD отличается высокой
безопасностью и производительностью. Кроме того, данная операционная система
обойдется вам бесплатно и помимо всего прочего FreeBSD разрабатывается и
поддерживается большой командой разработчиков.

Системные требование:

Место на жестком диске: минимум 150 MB
свободного места на диске для самой минимальной установки.

Видеокарта: большинство видеокарт AGP, PCI, PCIе
и PCI-X работает в X.Org.

Звуковая карта: любая.

x86 (в том числе Pentium® и Athlon™),

2.1 Сетевые
операционные системы

Сетевая операционная система составляет основу
любой вычислительной сети. Каждый компьютер в сети в значительной степени
автономен, поэтому под сетевой операционной системой в широком смысле
понимается совокупность операционных систем отдельных компьютеров,
взаимодействующих с целью обмена сообщениями и разделения ресурсов по единым
правилам — протоколам. В узком смысле сетевая ОС — это операционная система
отдельного компьютера, обеспечивающая ему возможность работать в сети.

Рис. 17. Структура сетевой ОС

В сетевой операционной системе
отдельной машины можно выделить несколько частей:

·              Средства управления
локальными ресурсами компьютера: функции распределения оперативной памяти между
процессами, планирования и диспетчеризации процессов, управления процессорами в
мультипроцессорных машинах, управления периферийными устройствами и другие
функции управления ресурсами локальных ОС.

·              Средства
предоставления собственных ресурсов и услуг в общее пользование — серверная
часть ОС (сервер). Эти средства обеспечивают, например, блокировку файлов и
записей, что необходимо для их совместного использования; ведение справочников
имен сетевых ресурсов; обработку запросов удаленного доступа к собственной
файловой системе и базе данных; управление очередями запросов удаленных
пользователей к своим периферийным устройствам.

·              Средства запроса доступа
к удаленным ресурсам и услугам и их использования — клиентская часть ОС
(редиректор). Эта часть выполняет распознавание и перенаправление в сеть
запросов к удаленным ресурсам от приложений и пользователей, при этом запрос
поступает от приложения в локальной форме, а передается в сеть в другой форме,
соответствующей требованиям сервера. Клиентская часть также осуществляет прием
ответов от серверов и преобразование их в локальный формат, так что для
приложения выполнение локальных и удаленных запросов неразличимо.

·              Коммуникационные
средства ОС, с помощью которых происходит обмен сообщениями в сети. Эта часть
обеспечивает адресацию и буферизацию сообщений, выбор маршрута передачи
сообщения по сети, надежность передачи и т.п., то есть является средством транспортировки
сообщений.

В зависимости от функций,
возлагаемых на конкретный компьютер, в его операционной системе может
отсутствовать либо клиентская, либо серверная части.

На рисунке 17 показано
взаимодействие сетевых компонентов. Здесь компьютер 1 выполняет роль
«чистого» клиента, а компьютер 2 — роль «чистого» сервера,
соответственно на первой машине отсутствует серверная часть, а на второй —
клиентская. На рисунке отдельно показан компонент клиентской части —
редиректор. Именно редиректор перехватывает все запросы, поступающие от
приложений, и анализирует их. Если выдан запрос к ресурсу данного компьютера,
то он переадресовывается соответствующей подсистеме локальной ОС, если же это
запрос к удаленному ресурсу, то он переправляется в сеть. При этом клиентская
часть преобразует запрос из локальной формы в сетевой формат и передает его
транспортной подсистеме, которая отвечает за доставку сообщений указанному
серверу. Серверная часть операционной системы компьютера 2 принимает запрос,
преобразует его и передает для выполнения своей локальной ОС. После того, как
результат получен, сервер обращается к транспортной подсистеме и направляет
ответ клиенту, выдавшему запрос. Клиентская часть преобразует результат в
соответствующий формат и адресует его тому приложению, которое выдало запрос.

Рис. 17. взаимодействие
компонентов операционной системы при взаимодействии компьютеров

На практике сложилось несколько
подходов к построению сетевых операционных систем (рисунок 18).

Первые сетевые ОС представляли
собой совокупность существующей локальной ОС и надстроенной над ней сетевой
оболочки. При этом в локальную ОС встраивался минимум сетевых функций, необходимых
для работы сетевой оболочки, которая выполняла основные сетевые функции.
Примером такого подхода является использование на каждой машине сети
операционной системы MS DOS (у которой начиная с ее третьей версии появились
такие встроенные функции, как блокировка файлов и записей, необходимые для
совместного доступа к файлам). Принцип построения сетевых ОС в виде сетевой
оболочки над локальной ОС используется и в современных ОС, таких, например, как
LANtastic или Personal Ware.

Однако более эффективным представляется
путь разработки операционных систем, изначально предназначенных для работы в
сети. Сетевые функции у ОС такого типа глубоко встроены в основные модули
системы, что обеспечивает их логическую стройность, простоту эксплуатации и
модификации, а также высокую производительность. Примером такой ОС является
система Windows NT фирмы Microsoft, которая за счет встроенности сетевых
средств обеспечивает более высокие показатели производительности и защищенности
информации по сравнению с сетевой ОС LAN Manager той же фирмы (совместная
разработка с IBM), являющейся надстройкой над локальной операционной системой
OS/2.

2.2
Одноранговые сетевые ОС и ОС с выделенными серверами

В зависимости от того, как
распределены функции между компьютерами сети, сетевые операционные системы, а
следовательно, и сети делятся на два класса: одноранговые и двухранговые
(рисунок 19). Последние чаще называют сетями с выделенными серверами.

(а)

(б)

Рис. 19 (а) — Одноранговая
сеть, (б) — Двухранговая сеть

Если компьютер предоставляет
свои ресурсы другим пользователям сети, то он играет роль сервера. При этом
компьютер, обращающийся к ресурсам другой машины, является клиентом. Как уже
было сказано, компьютер, работающий в сети, может выполнять функции либо
клиента, либо сервера, либо совмещать обе эти функции.

Если выполнение каких-либо
серв9999ерных функций является основным назначением компьютера (например, предоставление
файлов в общее пользование всем остальным пользователям сети или организация
совместного использования факса, или предоставление всем пользователям сети
возможности запуска на данном компьютере своих приложений), то такой компьютер
называется выделенным сервером. В зависимости от того, какой ресурс сервера
является разделяемым, он называется файл-сервером, факс-сервером,
принт-сервером, сервером приложений и т.д.

Очевидно, что на выделенных
серверах желательно устанавливать ОС, специально оптимизированные для
выполнения тех или иных серверных функций. Поэтому в сетях с выделенными
серверами чаще всего используются сетевые операционные системы, в состав
которых входит нескольких вариантов ОС, отличающихся возможностями серверных
частей. Например, сетевая ОС Novell NetWare имеет серверный вариант,
оптимизированный для работы в качестве файл-сервера, а также варианты оболочек
для рабочих станций с различными локальными ОС, причем эти оболочки выполняют
исключительно функции клиента. Другим примером ОС, ориентированной на
построение сети с выделенным сервером, является операционная система Windows
NT. В отличие от NetWare, оба варианта данной сетевой ОС — Windows NT Server
(для выделенного сервера) и Windows NT Workstation (для рабочей станции) — могут
поддерживать функции и клиента и сервера. Но серверный вариант Windows NT имеет
больше возможностей для предоставления ресурсов своего компьютера другим
пользователям сети, так как может выполнять более широкий набор функций,
поддерживает большее количество одновременных соединений с клиентами, реализует
централизованное управление сетью, имеет более развитые средства защиты.

Выделенный сервер не принято
использовать в качестве компьютера для выполнения текущих задач, не связанных с
его основным назначением, так как это может уменьшить производительность его
работы как сервера. В связи с такими соображениями в ОС Novell NetWare на
серверной части возможность выполнения обычных прикладных программ вообще не
предусмотрена, то есть сервер не содержит клиентской части, а на рабочих
станциях отсутствуют серверные компоненты. Однако в других сетевых ОС
функционирование на выделенном сервере клиентской части вполне возможно.
Например, под управлением Windows NT Server могут запускаться обычные программы
локального пользователя, которые могут потребовать выполнения клиентских
функций ОС при появлении запросов к ресурсам других компьютеров сети. При этом
рабочие станции, на которых установлена ОС Windows NT Workstation, могут
выполнять функции невыделенного сервера.

Важно понять, что несмотря на
то, что в сети с выделенным сервером все компьютеры в общем случае могут
выполнять одновременно роли и сервера, и клиента, эта сеть функционально не
симметрична: аппаратно и программно в ней реализованы два типа компьютеров — одни,
в большей степени ориентированные на выполнение серверных функций и работающие
под управлением специализированных серверных ОС, а другие — в основном
выполняющие клиентские функции и работающие под управлением соответствующего
этому назначению варианта ОС. Функциональная несимметричность, как правило,
вызывает и несимметричность аппаратуры — для выделенных серверов используются
более мощные компьютеры с большими объемами оперативной и внешней памяти. Таким
образом, функциональная несимметричность в сетях с выделенным сервером
сопровождается несимметричностью операционных систем (специализация ОС) и
аппаратной несимметричностью (специализация компьютеров).

В одноранговых сетях все
компьютеры равны в правах доступа к ресурсам друг друга. Каждый пользователь
может по своему желанию объявить какой-либо ресурс своего компьютера
разделяемым, после чего другие пользователи могут его эксплуатировать. В таких
сетях на всех компьютерах устанавливается одна и та же ОС, которая
предоставляет всем компьютерам в сети потенциально равные возможности.
Одноранговые сети могут быть построены, например, на базе ОС LANtastic,
Personal Ware, Windows for Workgroup, Windows NT Workstation.

В одноранговых сетях также
может возникнуть функциональная несимметричность: одни пользователи не желают
разделять свои ресурсы с другими, и в таком случае их компьютеры выполняют роль
клиента, за другими компьютерами администратор закрепил только функции по
организации совместного использования ресурсов, а значит они являются
серверами, в третьем случае, когда локальный пользователь не возражает против
использования его ресурсов и сам не исключает возможности обращения к другим
компьютерам, ОС, устанавливаемая на его компьютере, должна включать и
серверную, и клиентскую части. В отличие от сетей с выделенными серверами, в
одноранговых сетях отсутствует специализация ОС в зависимости от преобладающей
функциональной направленности — клиента или сервера. Все вариации реализуются
средствами конфигурирования одного и того же варианта ОС.

Одноранговые сети проще в
организации и эксплуатации, однако они применяются в основном для объединения
небольших групп пользователей, не предъявляющих больших требований к объемам
хранимой информации, ее защищенности от несанкционированного доступа и к
скорости доступа. При повышенных требованиях к этим характеристикам более
подходящими являются двухранговые сети, где сервер лучше решает задачу
обслуживания пользователей своими ресурсами, так как его аппаратура и сетевая
операционная система специально спроектированы для этой цели.

2.3 ОС
для рабочих групп и ОС для сетей масштаба предприятия

Сетевые операционные системы
имеют разные свойства в зависимости от того, предназначены они для сетей
масштаба рабочей группы (отдела), для сетей масштаба кампуса или для сетей
масштаба предприятия.

·    Сети отделов — используются
небольшой группой сотрудников, решающих общие задачи. Главной целью сети отдела
является разделение локальных ресурсов, таких как приложения, данные, лазерные
принтеры и модемы. Сети отделов обычно не разделяются на подсети.

·              Сети кампусов —
соединяют несколько сетей отделов внутри отдельного здания или внутри одной
территории предприятия. Эти сети являются все еще локальными сетями, хотя и
могут покрывать территорию в несколько квадратных километров. Сервисы такой
сети включают взаимодействие между сетями отделов, доступ к базам данных
предприятия, доступ к факс-серверам, высокоскоростным модемам и
высокоскоростным принтерам.

·              Сети предприятия
(корпоративные сети) — объединяют все компьютеры всех территорий отдельного
предприятия. Они могут покрывать город, регион или даже континент. В таких
сетях пользователям предоставляется доступ к информации и приложениям,
находящимся в других рабочих группах, других отделах, подразделениях и
штаб-квартирах корпорации.

Главной задачей операционной
системы, используемой в сети масштаба отдела, является организация разделения
ресурсов, таких как приложения, данные, лазерные принтеры и, возможно,
низкоскоростные модемы. Обычно сети отделов имеют один или два файловых сервера
и не более чем 30 пользователей. Задачи управления на уровне отдела
относительно просты. В задачи администратора входит добавление новых
пользователей, устранение простых отказов, инсталляция новых узлов и установка
новых версий программного обеспечения. Операционные системы сетей отделов
хорошо отработаны и разнообразны, также, как и сами сети отделов, уже давно
применяющиеся и достаточно отлаженные. Такая сеть обычно использует одну или
максимум две сетевые ОС. Чаще всего это сеть с выделенным сервером NetWare 3.x
или Windows NT, или же одноранговая сеть, например сеть Windows for Workgroups.

Пользователи и администраторы
сетей отделов вскоре осознают, что они могут улучшить эффективность своей
работы путем получения доступа к информации других отделов своего предприятия.
Если сотрудник, занимающийся продажами, может получить доступ к характеристикам
конкретного продукта и включить их в презентацию, то эта информация будет более
свежей и будет оказывать большее влияние на покупателей. Если отдел маркетинга
может получить доступ к характеристикам продукта, который еще только
разрабатывается инженерным отделом, то он может быстро подготовить
маркетинговые материалы сразу же после окончания разработки.

Итак, следующим шагом в
эволюции сетей является объединение локальных сетей нескольких отделов в единую
сеть здания или группы зданий. Такие сети называют сетями кампусов. Сети
кампусов могут простираться на несколько километров, но при этом глобальные
соединения не требуются.

Операционная система, работающая
в сети кампуса, должна обеспечивать для сотрудников одних отделов доступ к
некоторым файлам и ресурсам сетей других отделов. Услуги, предоставляемые ОС
сетей кампусов, не ограничиваются простым разделением файлов и принтеров, а
часто предоставляют доступ и к серверам других типов, например, к факс-серверам
и к серверам высокоскоростных модемов. Важным сервисом, предоставляемым
операционными системами данного класса, является доступ к корпоративным базам
данных, независимо от того, располагаются ли они на серверах баз данных или на
миникомпьютерах.

Именно на уровне сети кампуса
начинаются проблемы интеграции. В общем случае, отделы уже выбрали для себя
типы компьютеров, сетевого оборудования и сетевых операционных систем.
Например, инженерный отдел может использовать операционную систему UNIX и
сетевое оборудование Ethernet, отдел продаж может использовать операционные
среды DOS/Novell и оборудование Token Ring. Очень часто сеть кампуса соединяет
разнородные компьютерные системы, в то время как сети отделов используют
однотипные компьютеры.

Корпоративная сеть соединяет
сети всех подразделений предприятия, в общем случае находящихся на значительных
расстояниях. Корпоративные сети используют глобальные связи (WAN links) для
соединения локальных сетей или отдельных компьютеров.

Пользователям корпоративных
сетей требуются все те приложения и услуги, которые имеются в сетях отделов и
кампусов, плюс некоторые дополнительные приложения и услуги, например, доступ к
приложениям мейнфреймов и миникомпьютеров и к глобальным связям. Когда ОС
разрабатывается для локальной сети или рабочей группы, то ее главной
обязанностью является разделение файлов и других сетевых ресурсов (обычно
принтеров) между локально подключенными пользователями. Такой подход не
применим для уровня предприятия. Наряду с базовыми сервисами, связанными с
разделением файлов и принтеров, сетевая ОС, которая разрабатывается для
корпораций, должна поддерживать более широкий набор сервисов, в который обычно
входят почтовая служба, средства коллективной работы, поддержка удаленных
пользователей, факс-сервис, обработка голосовых сообщений, организация
видеоконференций и др.

Кроме того, многие существующие
методы и подходы к решению традиционных задач сетей меньших масштабов для
корпоративной сети оказались непригодными. На первый план вышли такие задачи и
проблемы, которые в сетях рабочих групп, отделов и даже кампусов либо имели
второстепенное значение, либо вообще не проявлялись. Например, простейшая для
небольшой сети задача ведения учетной информации о пользователях выросла в
сложную проблему для сети масштаба предприятия. А использование глобальных
связей требует от корпоративных ОС поддержки протоколов, хорошо работающих на
низкоскоростных линиях, и отказа от некоторых традиционно используемых
протоколов (например, тех, которые активно используют широковещательные
сообщения). Особое значение приобрели задачи преодоления гетерогенности — в
сети появились многочисленные шлюзы, обеспечивающие согласованную работу
различных ОС и сетевых системных приложений.

К признакам корпоративных ОС
могут быть отнесены также следующие особенности.

Поддержка приложений. В
корпоративных сетях выполняются сложные приложения, требующие для выполнения
большой вычислительной мощности. Такие приложения разделяются на несколько частей,
например, на одном компьютере выполняется часть приложения, связанная с
выполнением запросов к базе данных, на другом — запросов к файловому сервису, а
на клиентских машинах — часть, реализующая логику обработки данных приложения и
организующая интерфейс с пользователем. Вычислительная часть общих для
корпорации программных систем может быть слишком объемной и неподъемной для
рабочих станций клиентов, поэтому приложения будут выполняться более
эффективно, если их наиболее сложные в вычислительном отношении части перенести
на специально предназначенный для этого мощный компьютер — сервер приложений.

Сервер приложений должен
базироваться на мощной аппаратной платформе (мультипроцессорные системы, часто
на базе RISC-процессоров, специализированные кластерные архитектуры). ОС
сервера приложений должна обеспечивать высокую производительность вычислений, а
значит поддерживать многонитевую обработку, вытесняющую многозадачность,
мультипроцессирование, виртуальную память и наиболее популярные прикладные
среды (UNIX, Windows, MS-DOS, OS/2). В этом отношении сетевую ОС NetWare трудно
отнести к корпоративным продуктам, так как в ней отсутствуют почти все
требования, предъявляемые к серверу приложений. В то же время хорошая поддержка
универсальных приложений в Windows NT собственно и позволяет ей претендовать на
место в мире корпоративных продуктов.

Справочная служба.
Корпоративная ОС должна обладать способностью хранить информацию обо всех
пользователях и ресурсах таким образом, чтобы обеспечивалось управление ею из одной
центральной точки. Подобно большой организации, корпоративная сеть нуждается в
централизованном хранении как можно более полной справочной информации о самой
себе (начиная с данных о пользователях, серверах, рабочих станциях и кончая
данными о кабельной системе). Естественно организовать эту информацию в виде
базы данных. Данные из этой базы могут быть востребованы многими сетевыми
системными приложениями, в первую очередь системами управления и
администрирования. Кроме этого, такая база полезна при организации электронной
почты, систем коллективной работы, службы безопасности, службы инвентаризации
программного и аппаратного обеспечения сети, да и для практически любого
крупного бизнес-приложения.

База данных, хранящая
справочную информацию, предоставляет все то же многообразие возможностей и
порождает все то же множество проблем, что и любая другая крупная база данных.
Она позволяет осуществлять различные операции поиска, сортировки, модификации и
т.п., что очень сильно облегчает жизнь как администраторам, так и
пользователям. Но за эти удобства приходится расплачиваться решением проблем
распределенности, репликации и синхронизации.

В идеале сетевая справочная
информация должна быть реализована в виде единой базы данных, а не представлять
собой набор баз данных, специализирующихся на хранении информации того или
иного вида, как это часто бывает в реальных операционных системах. Например, в
Windows NT имеется по крайней мере пять различных типов справочных баз данных.
Главный справочник домена (NT Domain Directory Service) хранит информацию о
пользователях, которая используется при организации их логического входа в
сеть. Данные о тех же пользователях могут содержаться и в другом справочнике,
используемом электронной почтой Microsoft Mail. Еще три базы данных
поддерживают разрешение низкоуровневых адресов: WINS — устанавливает
соответствие Netbios-имен IP-адресам, справочник DNS — сервер имен домена —
оказывается полезным при подключении NT-сети к Internet, и наконец, справочник
протокола DHCP используется для автоматического назначения IP-адресов
компьютерам сети. Ближе к идеалу находятся справочные службы, поставляемые
фирмой Banyan (продукт Streettalk III) и фирмой Novell (NetWare Directory
Services), предлагающие единый справочник для всех сетевых приложений. Наличие
единой справочной службы для сетевой операционной системы — один из важнейших
признаков ее корпоративности.

Безопасность. Особую важность
для ОС корпоративной сети приобретают вопросы безопасности данных. С одной
стороны, в крупномасштабной сети объективно существует больше возможностей для
несанкционированного доступа — из-за децентрализации данных и большой
распределенности «законных» точек доступа, из-за большого числа
пользователей, благонадежность которых трудно установить, а также из-за
большого числа возможных точек несанкционированного подключения к сети. С
другой стороны, корпоративные бизнес-приложения работают с данными, которые
имеют жизненно важное значение для успешной работы корпорации в целом. И для
защиты таких данных в корпоративных сетях наряду с различными аппаратными
средствами используется весь спектр средств защиты, предоставляемый
операционной системой: избирательные или мандатные права доступа, сложные
процедуры аутентификации пользователей, программная шифрация.

3. Оптимизация работы
оборудования

Необходимость оптимизации серверной операционной
системы

4. Обновление
Операционной Системы Unix

. В нижней правой стороне панели видим значок
Менеджера обновлений. Нажимаем на него мышкой

Рисунок 20

. Как и любая, уважающая себя и своих
пользователей, современная система, Linux Mint 14 запросит ввести
административный пароль для внесения изменений в систему. Введите его и нажмите
на ОК:

Рисунок 21

. Последует проверка репозиториев на наличие
новых версий программ и пакетов для Linux Mint 14:

Рисунок 22

Этот процесс закончится открытием Менеджера
обновлений со списком обновленных пакетов:

Рисунок 23

Все обновляемые пакеты подразделяются по
уровням, поэтому, думаю, напомнить будет о этих уровнях не лишне

Рисунок 24

. После того, как мы выбрали все, что хотели
обновить (или оставили все пункты отмеченными), нажимаем на кнопку
«Установить обновления»:

Рисунок 25

Рисунок 26

После того, как вы согласитесь, начнется процесс
получения и обновления Linux Mint 14 до актуального состояния

Рисунок 27

После окончания обновления в нижней части
Менеджера вы увидите вот такое сообщение

Рисунок 28

Означает, что ваша система не требует обновления
и все программы в ней актуальны.

Организация рабочего места

1.   Разместить монитор так, чтобы его верхняя
точка находилась прямо перед вашими глазами или выше, что позволит держать
голову прямо, и исключить развитие шейного остеохондроза. Расстояние от
монитора до глаз должно быть не меньше 45 см;

2.      Стул должен иметь спинку и подлокотники,
а так же такую высоту, при которой ноги могут прочно стоять на полу. Идеальным
будет приобретение кресла с регулируемой высотой, в таком случае спинка
позволит держать спину прямо, подлокотники дадут возможность отдохнуть рукам,
правильное положение ног не будет мешать кровообращению в них;

.        Расположение часто используемых вещей
не должно приводить к долгому нахождению в какой-либо искривленной позе;

.        Освещение рабочего места не должно
вызывать блики на экране монитора. Нельзя ставить монитор рядом с окном, так
чтобы вы одновременно видели и экран и то, что находится за окном;

.        .При работе с клавиатурой, угол сгиба
руки в локте должен быть прямым (90 градусов);

.        При работе с мышкой кисть должна быть
прямой, и лежать на столе как можно дальше от края.

Во время работы не забывайте о регулярных
перерывах для отдыха. В санитарных правилах и нормах даны многочисленные
комплексы упражнений для глаз, для улучшения мозгового кровообращения, для
снятия утомления с плечевого пояса и рук, с туловища и ног.

Профилактика заболеваний органов дыхания
включает в себя влажную уборку и проветривание помещения. Работа за
компьютером, следите за освещением, осанкой, делайте перерывы — все это поможет
повысить трудоспособность и избавит вас от серьёзных болезней. В целях правильной
организации рабочего места необходимо обеспечить оптимальные условия для
зрительного восприятия в рабочей зоне. Наиболее важные элементы следует
располагать в оптимальной зоне видимости.

В производственных помещениях оптимальные
условия труда определяются в основном температурой в сочетании с влажностью и
движением воздуха. Оптимальными условиями являются температура 20-220 С,
относительная влажность воздуха 30-60%, скорость его движения не выше 0,2 м/с.
Для рабочей зоны эти параметры определяются с учетом времени года, категории
работ, количества выделяемого в помещении тепла. Главными причинами развития
утомляемости и снижения работоспособности человека являются шум и вибрация. Они
раздражают органы слуха, вызывают утомляемость человека и могут привести к
функциональным изменениям в центральной нервной системе, системе кровообращения
и т.д. Различные физические и химические факторы действуют одновременно, при
этом их взаимное влияние на человека может усиливаться или ослаблятся.

Заключение

Сервер — сердце информационной системы
предприятия. Основная его задача — безостановочно и максимально быстро
предоставлять необходимые сервисы всем подключенным пользователям

Сервер используется, и будет использоваться в
будущем, модернизироваться.

Содержание:

Введение

Факт наличия ценность данных был осознан людьми очень давно – недаром переписка влиятельных личностей издавна была объектом пристального внимания их недругов. Именно в то время возникла задача защиты переписки. Для решения этой задачи использовались самые разнообразные методы, одним из которых была тайнопись – умение составлять сообщения так, чтобы его смысл был доступен только посвященным в тайну. Существуют свидетельства зарождения тайнописи еще в доантичные времена. На протяжении всей своей многовековой истории данный вид искусства служил немногим, в основном верхушке общества, не выходя за пределы резиденций глав государств, посольств и разведывательных миссий. Но несколько десятилетий назад информация приобрела самостоятельную коммерческую ценность и стала широко распространенным товаром, следовательно, ее необходимо защищать. Возникновение индустрии обработки информации с железной необходимостью привело к возникновению индустрии средств защиты информации.

В данной работе рассмотрено само понятие контроля доступа и его основные задачи. Во второй части работы были рассмотрены методы защиты информации. Были рассмотрены основные виды угроз информационной безопасности, а также основные методы борьбы с ними. В качестве основных методов защиты были выделены ограничение доступа, разграничение и контроль доступа, разделение привилегий на доступ, идентификация и установление подлинности объекта, криптографические преобразования информации, а также правовые и организационные методы защиты информации.

1. Доступ к данным

1.1. Контроль доступа

Контроль доступа — функция открытой системы, обеспечивающая технологию безопасности, которая разрешает или запрещает доступ к определённым типам данных, основанную на идентификации субъекта, которому нужен доступ, и объекта данных, являющегося целью доступа.

Контроль доступа является одним из самых важных элементов защиты ПК и информации на нём. Доступ к защищённой информации должен быть ограничен, чтобы только люди, которые имеют право доступа, могли получать эту информацию. Компьютерные программы и во многих случаях чужеродные компьютеры посредством локальной сети, Интернета, беспроводной сети могут получить секретную информацию, которая не предназначена им. Это может нанести как финансовые, так и информационные потери^[1].

В связи с этим необходим механизм контроля доступа к защищённой информации. Сложность механизмов контроля доступа должна быть в паритете с ценностью информации, то есть чем более важной или ценной информация является, тем более сложными должны быть механизмы контроля доступа.

Основными механизмами контроля доступа являются идентификация и аутентификация^[2] [1, 3].

1.2. Задачи, решаемые ограничением доступа

1.2.1. Блокирование доступа к настройкам операционной системы

Непродуманные действия начинающих пользователей часто приводят к тем или иным проблемам в работе отдельных приложений или операционной системы. Как показывает практика, для немалой категории пользователей лучше вообще запретить всё, что только можно запретить, иначе ни о какой стабильной работе на компьютере не может быть и речи. И это понятно, ведь достаточно всего лишь случайно удалить, например, драйвер монитора, как изображение на экране перестанет радовать глаз. Если же удалить принтер, то печать документов станет невозможной, а при изменении сетевых настроек компьютер перестанет работать в локальной сети и т.п. Для предотвращения подобных ситуаций необходимо блокировать все действия пользователя, которые могут повлечь за собой неработоспособность компьютера^[3].

Кроме того, имеется немало настроек, изменение которых не имеет столь неприятных последствий, но вызывает определенные неудобства у других пользователей. К таким настройкам относятся, в частности, параметры свойств экрана, способ отображения файлов и папок, наличие определенных ярлыков на рабочем столе и в меню «Пуск», внешний вид стандартных папок и ярлыков и т.п. Наибольшее число проблем такие, казалось бы, неопасные на первый взгляд изменения вызывают в учебных заведениях, где учащиеся и студенты считают своим долгом настроить компьютер экстраординарным образом, нимало не заботясь о том, что, например, экстравагантное оформление экрана может вызывать у других пользователей утомление и головную боль, а измененный вид папок «Мой компьютер», «Корзина» и пр. потребует у них много времени на поиск и открытие. В итоге получается, что для пользы дела приходиться блокировать возможность подобных изменений настроек, ибо в противном случае о плодотворном образовательном процессе довольно быстро придется забыть^[4].

Ограничив доступ разумными рамками, можно предотвратить совершение пользователями таких действий, которые так или иначе могут привести к нестабильности работы системы или к неудобству выполнения тех или иных операций^[5] [2, 4, 6].

1.2.2. Защита файлов и папок операционной системы и установленных приложений

Нередко бывает, что недостаточно подготовленные пользователи умудряются в мгновение ока удалить с компьютера папки с файлами операционной системы или какого-либо приложения, или, что еще хуже, переместить их в неизвестное место, не заметив при этом даже названия удаляемой или перемещаемой папки. Часто это имеет место в учебных учреждениях, особенно при изучении тем работы с файловой системой в среде Windows или в файловых менеджерах. Результат оказывается плачевным, так как далеко не всегда юных экспериментаторов удается вычислить до момента очистки корзины, и в итоге немало времени уходит на восстановление информации. С перемещением еще хуже, ведь вначале приходится опытным путем выяснять, что же все-таки было перемещено, а затем искать соответствующие папки по всему диску и возвращать их на место^[6].

Конечно, информацию в обоих случаях чаще всего удается восстановить, но это требует спокойной обстановки и немалого времени. Поэтому гораздо разумнее при помощи соответствующих утилит настроить параметры так, чтобы, например, папки с конкретными приложениями были недоступны, но в то же время сами приложения можно было запускать^[7] [4, 6].

1.2.3. Контроль за использованием приложений и ограничение времени доступа

Необходимость такого контроля и ограничений по времени, как правило, возникает в учебных учреждениях, когда необходимо ограничить студентов перечнем изучаемых по программе программных продуктов, и на домашних компьютерах при доступе к ним детей, чтобы регулировать перечень допустимых приложений и время сидения ребенка за компьютером^[8].

Самое простое для решения данной проблемы — воспользоваться специализированной утилитой, которая позволит четко определить, какие программы и в какое время можно запускать, а какие — нельзя никогда и ни при каких обстоятельствах^[9] [1, 3].

1.2.4. Защита персональных данных

Проблема защиты персональных файлов и папок неизбежна, если за компьютером работает несколько человек. Такая ситуация может возникнуть дома, например, при необходимости оградить ребенка от непредназначенной ему информации, а может и на работе, где даже при наличии у каждого пользователя собственного компьютера возможны моменты, когда приходится пускать за свой ПК другого сотрудника. В обоих случаях совсем не хочется демонстрировать посторонним какие-то свои рабочие материалы, и вовсе не потому, что они имеют гриф «совершенно секретно», а просто потому, что никто не любит вмешательства посторонних в свои дела^[10].

Есть и более важная сторона вопроса. Всегда ли вы можете спокойно доверить свои материалы кому бы то ни было? Скорее всего, нет, ведь совсем не исключено, что ваши файлы и папки могут оказаться удаленными или измененными неподготовленным пользователем по чистой случайности. А заблокировав доступ к ним, вы можете не переживать, что с вашими документами что-либо случится по вине постороннего^[11].

Кроме того, не стоит сбрасывать со счетов и то, что, если ваши материалы представляют какую-то коммерческую ценность, не исключена ситуация, что ими захотят воспользоваться в неблаговидных целях^[12].

Все эти проблемы исключаются путем создания секретных папок или даже секретных дисков с персональной информацией, которые, в зависимости от варианта ограничения доступа и от выбранного приложения, могут быть как полностью скрытыми от других пользователей, так и видимыми, но недоступными для них. В обоих случаях другие пользователи без знания вашего пароля не смогут получить доступ к данным материалам, изменить или удалить их^[13] [1, 4, 6, 7].

1.2.5. Блокирование доступа к компьютеру

При работе в офисе даже при наличии собственного компьютера пользователи не в состоянии находиться рядом с компьютером постоянно, и потому нередки ситуации, когда включенный компьютер оказывается без присмотра. К сожалению, такими моментами могут воспользоваться заинтересованные в ваших материалах сотрудники^[14].

Первый приходящий в голову способ обезопасить себя от таких незваных гостей — установить пароль на заставку, но это совсем не лучший вариант, так как при перезагрузке пароль с заставки можно снять без особых проблем. Гораздо надежнее — полностью заблокировать компьютер при помощи специальных программных средств, которые никого (а иногда даже администратора) не подпустят к компьютеру без знания пароля даже при перезагрузке Windows в безопасном режиме^[15] [4, 7].

1.2.6. Блокирование доступа к устройствам

Встроенные механизмы распределения прав доступа и задания политик безопасности в ОС семейства Windows не позволяют контролировать доступ к потенциально опасным устройствам: дисководам и CD-ROM, а также к FireWire и инфракрасным портам, к WiFi- и Bluetooth-адаптерам и пр. В то же время использование неавторизованных устройств представляет немалую угрозу безопасности данных. С одной стороны, данные могут быть похищены, ведь при открытом доступе нет никакой сложности в том, чтобы записать информацию на внешний носитель, а с другой — данные на компьютере могут быть видоизменены. Вариантов тут много. Например, сетевые и локальные компьютеры часто страдают от вирусов, троянов и других вредоносных программ, нередко заносимых со сменных носителей. Не менее неприятна ситуация бесконтрольной установки ПО^[16].

Конечно, можно целиком отключить устройства в BIOS на каждом компьютере, но это не выход, ибо данная операция требует массу времени и в случае необходимости работы с устройством придется каждый раз обращаться в BIOS и вновь включать это устройство. И здесь гораздо важнее контролировать доступ к устройствам, введя разумные ограничения в зависимости от конкретной ситуации. Можно, например, установить доступ «Только чтение» для части сменных носителей и ограничить установку с них ненужных программ^[17] [3, 8].

2. Методы защиты информации

2.1. Угрозы безопасности

С позиции обеспечения безопасности информации в компьютерных системах такие системы целесообразно рассматривать в виде единства трех компонент, которые оказывают взаимное влияние друг друга.

Схема данных компонент представлена на рисунке 1.

Рис. 1. Компоненты компьютерных систем

Целью создания любой компьютерной системы является удовлетворение потребностей пользователей в своевременном получении достоверной информации и сохранении ее конфиденциальности^[18].

Под угрозой безопасности информации понимается потенциально возможное явление, процесс или событие, имеющие возможность привести к уничтожению, утрате доступности, конфиденциальности или целостности информации.

Схематически классификация угроз безопасности информации представлена на рисунке 2.

Рис. 2. Угрозы безопасности информации в компьютерных системах

Угрозы, не связанные с преднамеренными действиями злоумышленников и реализующиеся в случайные моменты времени, называют случайными или непреднамеренными^[19] [2].

2.2. Методы защиты информации

При наличии простых средств хранения и передачи информации существовали и до сих пор не потеряли значения такие методы ее защиты от преднамеренного доступа, как:

• ограничение доступа;
• разграничение доступа;
• разделение привилегий на доступ;
• криптографическое преобразование информации;
• учет и контроль доступа;
• законодательные меры^[20].

С увеличением объемов и количества пользователей, а также в связи с другими причинами повышается вероятность преднамеренного несанкционированного доступа. Вследствие этого развиваются старые и возникают новые дополнительные методы защиты информации в вычислительных системах:

• методы функционального контроля, обеспечивающие диагностику и обнаружение отказов, сбоев аппаратуры и ошибок человека, а также программные ошибки;
• методы повышения достоверности информации;
• методы защиты информации от аварийных ситуаций;
• методы контроля доступа к внутреннему монтажу аппаратуры, линиям связи;
• методы контроля и разграничения доступа к информации;
• методы аутентификации и идентификации пользователей, носителей информации, технических средств и документов;
• методы защиты от наводок информации и побочного излучения^[21] [1, 5].

2.2.1.Ограничение доступа

Ограничение доступа заключается в создании некоторой физически замкнутой преграды вокруг объекта защиты с организацией контролируемого доступа лиц, которые связаны с объектом защиты по своим функциональным обязанностям. Ограничение доступа к комплексам средств автоматизации обработки информации заключается:

• в выделении специальной территории для размещения комплекса средств автоматизации;
• в сооружении по периметру зоны специальных ограждений с охранной сигнализацией;
• в выделении специальных помещений в здании;
• в создании контрольно-пропускного режима в помещениях, зданиях и на территории^[22].

Задачей средств ограничения доступа является исключение случайного и преднамеренного доступа посторонних лиц на территорию размещения комплекса и непосредственно к аппаратуре. В указанных целях создается защитный контур, которые замыкается двумя видами преград: контрольно-пропускной и физической. Такие преграды часто называют системой охранной сигнализации и системой контроля доступа^[23] [7, 8].

2.2.2.Разграничение и контроль доступа

Разграничение и контроль доступа к информации в вычислительной системе заключается в разделении циркулирующей в ней информации на части и организации доступа к ней должностных лиц в соответствии с их функциональными обязанностями и полномочиями.

Задачей разграничения доступа является сокращение количества должностных лиц, которые не имеют к ней отношения при выполнении своих функций, то есть защита информации от нарушителя среди допущенного к ней персонала. При этом деление информации может производиться по степени секретности, важности, по документам, по функциональному назначению и по другим подобным пунктам^[24] [2].

2.2.3.Разделение привилегий на доступ

Разделение привилегий на доступ к информации заключается в выделении группы из числа допущенных к информации должностных лиц. Данной группе предоставляется доступ только при одновременном предъявлении полномочий всех членов группы.

Подобный метод несколько усложняет процедуру, но обладает высокой эффективностью защиты. На его принципах можно организовать доступ к данным с санкции вышестоящего лица по запросу или без него^[25] [5].

2.2.4.Идентификация и установление подлинности объекта.

Идентификация в вычислительных системах представляет собой процедуру выявления идентификатора для субъекта идентификации, однозначно идентифицируя данного субъекта в вычислительной системе. При выполнении процедуры идентификации в вычислительной системе субъекту предварительно назначается соответствующий идентификатор.

Идентификатором установления подлинности личности в повседневной жизни является внешний вид: форма головы, фигура, характер, черты лица, поведение, привычки и другие свойственные данному человеку признаки, создающие образ конкретной личности. Объектами идентификации и установления подлинности в вычислительной системе могут быть человек, техническое средство, документ, носитель информации или сама информация^[26].

В системах защиты после процедуры идентификации чаще всего следует аутентификация, подтверждающая идентификацию субъекта. При этом достоверность идентификации полностью определяется уровнем достоверности выполненной процедуры аутентификации.

Конечной целью идентификации и установления подлинности объекта в вычислительной системе является допуск объекта к информации ограниченного пользования в случае положительного исхода проверки, или отказ в допуске в случае отрицательного исхода проверки^[27].

В любой системе аутентификации обычно можно выделить такие элементы, как субъект, проходящий процедуру; отличительную черту субъекта; хозяина системы аутентификации, несущего ответственность и контролирующего ее работу; сам механизм аутентификации и механизм, который предоставляет определенные права доступа или лишает субъекта данных прав.

Существует 3 фактора аутентификации: что-то, что мы знаем; что-то, что мы имеем; что-то, что является частью нас. «Что-то, что мы знаем» является паролем, представляющим собой некоторые тайные сведения, которыми должен обладать только авторизованный субъект. Паролем обычно представляет собой текстовое слово, речевое слово, комбинацию для замка или личный идентификационный номер. «Что-то, что мы имеем» является устройством аутентификации, представляющим собой неповторимый предмет, которым обладает субъект. Неповторимый предмет обычно представляет собой ключ от замка, личную печать, файл данных для компьютера. «Что-то, что является частью нас» является биометрикой, которая представляет собой физическую особенность субъекта. Особенность обычно представляет собой отпечаток пальца или ладони, портрет, голос или особенность глаза^[28].

Установление подлинности может происходить по электронной цифровой подписи, многоразовым или одноразовым паролям, с помощью SMS, на основе биометрических параметров человека или через географическое местоположение.

Использование многоразового пароля является наиболее распространенным способом защиты. Простая аутентификация имеет следующий общий алгоритм: субъект запрашивает доступ в систему и вводит личный идентификатор и пароль, введенные неповторимые данные поступают на сервер аутентификации для сравнения с эталонными, при совпадении данных с эталонными аутентификация признается успешной, при различии — субъект перемещается к первому шагу. Пароль может передаваться в сети незашифрованным способом или с использованием шифрования SSL или TLS. Для защиты пароля часто в базе может храниться только хеш-функция эталонного пароля, с которой сравнивается полученная с введенного пароля хеш-функция. При однократном получении многоразового пароля, злоумышленник получает постоянный доступ ко всем защищенным данным. Для предотвращения этого используются одноразовые пароли, каждый раз генерируемые заново. При использовании SMS пользователь получает одноразовый пароль посредством сообщения. При биометрической идентификации установление подлинности происходит при считывании биометрики, которая обычно представляет собой отпечаток пальца или ладони, портрет, голос или особенность глаза^[29] [1, 3, 7].

2.2.5. Криптографические преобразования информации

Искусство и наука защиты сообщений называются криптографией, а специалисты, занимающиеся ей — криптографами. Криптографическая защита информации представляет собой преобразование исходной информации с целью ее недоступности для использования или ознакомления лицами, которые не имеют на это полномочий.

Процесс маскировки сообщения способом, который позволяет скрыть его суть, называется зашифрованием. Процедура обратного превращения называется дешифрованием. В процессе дешифровки на основе ключа шифрованный текст преобразуется в исходный, называемый открытым текстом^[30].

Процесс зашифрования и расшифрования представлен на рисунке 3.

Рис. 3. Последовательность зашифрования и расшифрования

Криптосистемы разделяются на симметричные и с открытым ключом. В симметричных криптосистемах для шифрования и для расшифрования используется один и тот же ключ.

В системах с открытым ключом используются открытый и закрытый, ключи, математически связанные друг с другом. Информация шифруется с помощью открытого ключа, доступного всем желающим, а расшифровывается с помощью закрытого ключа, который известен только получателю сообщения^[31].

Электронная цифровая подпись является присоединяемым к тексту его криптографическим преобразованием, позволяющим при получении текста другим пользователем проверить подлинность сообщения и авторство. Электронная цифровая подпись получается в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяет проверить отсутствие искажения информации в электронном документе с момента формирования подписи, принадлежность подписи владельцу сертификата ключа подписи, а в случае успешной проверки подтвердить факт подписания электронного документа^[32].

Электронная подпись предназначена для определения лица, которое подписало электронный документ, и является аналогом собственноручной подписи в предусмотренных законом случаях. Электронная подпись применяется при оказании государственных и муниципальных услуг, совершении гражданско-правовых сделок, исполнении муниципальных и государственных функций, при совершении иных юридически значимых действий.

Известны различные подходы к классификации методов криптографического преобразования информации. По виду воздействия на исходную информацию методы криптографического преобразования информации могут быть разделены на четыре группы^[33].

Данные группы представлены на рисунке 4.

Рис. 4. Методы криптографического преобразования информации

Все традиционные криптографические системы можно подразделить на:

1. Шифры перестановки, к которым относятся:
   1. Шифр перестановки «скитала».
   2. Шифрующие таблицы.
   3. Применение магических квадратов.
2. Шифры простой замены, к которым относятся:
   1. Полибианский квадрат.
   2. Система шифрования Цезаря.
   3. Аффинная система подстановок Цезаря.
   4. Система Цезаря с ключевым словом.
   5. Шифрующие таблицы Трисемуса.
   6. Биграммный шифр Плейфейра.
   7. Криптосистема Хилла.
   8. Система омофонов.
3. Шифры сложной замены, к которым относятся:
   1. Шифр Гронсфельда.
   2. Система шифрования Вижинера.
   3. Шифр «двойной квадрат» Уитстона.
   4. Одноразовая система шифрования.
   5. Шифрование методом Вернама.
   6. Роторные машины.
4. Шифрование методом гаммирования.
5. Шифрование, основанное на аналитических преобразованиях шифруемых данных^[34] [4, 8].

2.2.6. Правовые и организационные методы защиты информации в компьютерных системах

Государство должно обеспечить в стране защиту информации, как в масштабах всего государства, так и на уровне организаций и отдельных граждан. Для решения этой проблемы государство обязано:

1. выработать государственную политику безопасности в области информационных технологий;
2. законодательно определить правовой статус информации, систем защиты информации, компьютерных систем, пользователей и владельцев информации и других подобных понятий;
3. создать иерархическую структуру государственных органов, которые вырабатывают и проводят в жизнь политику безопасности информационных технологий;
4. создать систему стандартизации, лицензирования и сертификации в области защиты информации;
5. обеспечить приоритетное развитие отечественных защищенных информационных технологий;
6. повышать уровень образования граждан в области информационных технологий, воспитывать у них бдительность и патриотизм;
7. установить ответственность граждан за нарушения законодательства в области информационных технологий^[35].

Стандарты в структуре информационной безопасности выступают как связующее звено между концептуальной и технической стороной вопроса. В этих стандартах косвенно затрагиваются правовые вопросы – такие, как «защита жизненно важных интересов личности».

Для обеспечения совместимости аппаратно-программных систем и их компонентов за основу российских стандартов информационной безопасности был взят стандарт США – так называемая «Оранжевая книга». Эта «оранжевая революция» в информационных технологиях и привела к тому, что правовую базу пришлось так или иначе подтягивать к стандартам. Возникают определенные трудности с пониманием вопроса, тем более что количество стандартов и спецификаций в области информационной безопасности весьма велико^[36].

Чтобы разобраться в вопросах применения российских стандартов, необходимо представить себе административно-правовую структуру государственных органов, которые обеспечивают информационную безопасность, и понять занимаемое ими место. Данная структура показана на рисунке 5. Из нее видно, что стандарты относятся к специальным нормативным документам по технической защите информации и находятся в определенном логическом соответствии с организационно-распорядительными и правовыми документами^[37].

Конфиденциальной информацией называют документированную информацию, ограниченную в доступе в соответствии с законодательством РФ. Конфиденциальная информация может быть личной, коммерческой, служебной, производственной, профессиональной, судебно-следственной^[38].

К конфиденциальной личной информации относится информация, которая содержит персональные данные, такие как сведения об обстоятельствах, событиях и фактах частной жизни гражданина, которое позволяют идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленном порядке^[39].

Рис. 5. Административно-правовая структура государственных органов, обеспечивающих информационную безопасность

Требование конфиденциальности персональных данных раскрывается в Федеральном законе «О персональных данных». Согласно п. 10 ст. 3 этого Закона конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

В РФ защита персональных данных сводится к созданию режима обработки персональных данных, которые включает создание внутренней документации, создание организационной системы защиты, внедрение технических мер защиты, получение лицензий и сертификатов регулирующих органов^[40] [1, 2, 9].

Заключение

Понятие контроля доступа обозначает функцию открытой системы, обеспечивающую технологию безопасности, которая разрешает или запрещает доступ к определённым типам данных, основанную на идентификации субъекта, которому нужен доступ, и объекта данных, являющегося целью доступа

В данной работе рассмотрены такие задачи контроля доступа, как блокирование доступа к настройкам информационной системы, защита файлов и папок операционной системы и установленных приложений, контроль за использованием приложений и ограничение времени доступа, защита персональных данных, блокирование доступа к компьютеру и блокирование доступа к устройствам.

Во второй части работы были рассмотрены современные методы защиты информации в вычислительных системах. Были рассмотрены угрозы информационной безопасности, разделенные на случайные и преднамеренные, а также выделены основные методы борьбы с ними. В качестве случайных угроз были выделены стихийные бедствия и аварии, сбои и отказы технических средств, ошибки при разработке компьютерных систем, алгоритмические и программные ошибки и ошибки пользователей и компьютерного персонала. В качестве преднамеренных угроз были выделены традиционный шпионаж и диверсии, несанкционированный доступ к информации, электромагнитные излучения и наводки, несанкционированная модификация структур и вредительские программы.

В качестве основных методов защиты были выделены ограничение доступа, разграничение и контроль доступа, разделение привилегий на доступ, идентификация и установление подлинности объекта, криптографические преобразования информации, а также правовые и организационные методы защиты информации.

Список используемой литературы

1. Завгородний В. И. Комплексная защита информации в компьютерных системах: Учебное пособие / В. И. Завгородний. – М.: Логос, 2011. – 264 с.
2. Зегжда Д.П. Основы безопасности информационных систем / Д. П. Зегжда, А. М. Ивашко. – М.: Горячая линия – Телеком, 2010. – 452 с.
3. Зубов А. Ю. Криптографические методы защиты информации. Совершенные шифры: Учебное пособие / А. Ю. Зубов. – М.: Гелиос АРВ, 2012. – 192 с.
4. Левин В. И. Все об информации / В. И. Левин. – М.: ООО «Издательство «РОСМЭН-ПРЕСС», 2005. – 384 с.
5. Леонтьев В. П. Новейшая энциклопедия персонального компьютера / В. П. Леонтьев. – М.: ОЛМА-ПРЕСС Образование, 2010. – 734 с.
6. Макарова Н. В. Информатика: Учебник / Н. В. Макарова. – М.: Финансы и статистика, 2007. – 768 с.
7. Мельников В. В. Защита информации в компьютерных системах / В. В. Мельников. – М.: Финансы и статистика, Электронинформ, 2007. – 368 с.
8. Правовое обеспечение информационной безопасности: Учебное пособие для студентов высших учебных заведений / С. Я. Казанцев и др. – М.: Издательский центр «Академия», 2005. – 240 с.
9. Хургин В. Об определении понятия «информация» / В. Хургин // Информационные Ресурсы России. – 2007. – № 3. – С. 26-35.

1. Зубов А. Ю. Криптографические методы защиты информации. Совершенные шифры: Учебное пособие / А. Ю. Зубов. – М.: Гелиос АРВ, 2012. – 192 с. ↑

2. Завгородний В. И. Комплексная защита информации в компьютерных системах: Учебное пособие / В. И. Завгородний. – М.: Логос, 2011. – 264 с. ↑

3. Макарова Н. В. Информатика: Учебник / Н. В. Макарова. – М.: Финансы и статистика, 2007. – 768 с. ↑

4. Левин В. И. Все об информации / В. И. Левин. – М.: ООО «Издательство «РОСМЭН-ПРЕСС», 2005. – 384 с. ↑

5. Зегжда Д.П. Основы безопасности информационных систем / Д. П. Зегжда, А. М. Ивашко. – М.: Горячая линия – Телеком, 2010. – 452 с. ↑

6. Макарова Н. В. Информатика: Учебник / Н. В. Макарова. – М.: Финансы и статистика, 2007. – 768 с. ↑

7. Левин В. И. Все об информации / В. И. Левин. – М.: ООО «Издательство «РОСМЭН-ПРЕСС», 2005. – 384 с. ↑

8. Завгородний В. И. Комплексная защита информации в компьютерных системах: Учебное пособие / В. И. Завгородний. – М.: Логос, 2011. – 264 с. ↑

9. Зубов А. Ю. Криптографические методы защиты информации. Совершенные шифры: Учебное пособие / А. Ю. Зубов. – М.: Гелиос АРВ, 2012. – 192 с. ↑

10. Мельников В. В. Защита информации в компьютерных системах / В. В. Мельников. – М.: Финансы и статистика, Электронинформ, 2007. – 368 с. ↑

11. Левин В. И. Все об информации / В. И. Левин. – М.: ООО «Издательство «РОСМЭН-ПРЕСС», 2005. – 384 с. ↑

12. Завгородний В. И. Комплексная защита информации в компьютерных системах: Учебное пособие / В. И. Завгородний. – М.: Логос, 2011. – 264 с. ↑

13. Макарова Н. В. Информатика: Учебник / Н. В. Макарова. – М.: Финансы и статистика, 2007. – 768 с. ↑

14. Левин В. И. Все об информации / В. И. Левин. – М.: ООО «Издательство «РОСМЭН-ПРЕСС», 2005. – 384 с. ↑

15. Мельников В. В. Защита информации в компьютерных системах / В. В. Мельников. – М.: Финансы и статистика, Электронинформ, 2007. – 368 с. ↑

16. Зубов А. Ю. Криптографические методы защиты информации. Совершенные шифры: Учебное пособие / А. Ю. Зубов. – М.: Гелиос АРВ, 2012. – 192 с. ↑

17. Правовое обеспечение информационной безопасности: Учебное пособие для студентов высших учебных заведений / С. Я. Казанцев и др. – М.: Издательский центр «Академия», 2005. – 240 с. ↑

18. Зегжда Д.П. Основы безопасности информационных систем / Д. П. Зегжда, А. М. Ивашко. – М.: Горячая линия – Телеком, 2010. – 452 с. ↑

19. Зегжда Д.П. Основы безопасности информационных систем / Д. П. Зегжда, А. М. Ивашко. – М.: Горячая линия – Телеком, 2010. – 452 с. ↑

20. Леонтьев В. П. Новейшая энциклопедия персонального компьютера / В. П. Леонтьев. – М.: ОЛМА-ПРЕСС Образование, 2010. – 734 с. ↑

21. Завгородний В. И. Комплексная защита информации в компьютерных системах: Учебное пособие / В. И. Завгородний. – М.: Логос, 2011. – 264 с. ↑

22. Мельников В. В. Защита информации в компьютерных системах / В. В. Мельников. – М.: Финансы и статистика, Электронинформ, 2007. – 368 с. ↑

23. Правовое обеспечение информационной безопасности: Учебное пособие для студентов высших учебных заведений / С. Я. Казанцев и др. – М.: Издательский центр «Академия», 2005. – 240 с. ↑

24. Зегжда Д.П. Основы безопасности информационных систем / Д. П. Зегжда, А. М. Ивашко. – М.: Горячая линия – Телеком, 2010. – 452 с. ↑

25. Леонтьев В. П. Новейшая энциклопедия персонального компьютера / В. П. Леонтьев. – М.: ОЛМА-ПРЕСС Образование, 2010. – 734 с. ↑

26. Завгородний В. И. Комплексная защита информации в компьютерных системах: Учебное пособие / В. И. Завгородний. – М.: Логос, 2011. – 264 с. ↑

27. Зубов А. Ю. Криптографические методы защиты информации. Совершенные шифры: Учебное пособие / А. Ю. Зубов. – М.: Гелиос АРВ, 2012. – 192 с. ↑

28. Завгородний В. И. Комплексная защита информации в компьютерных системах: Учебное пособие / В. И. Завгородний. – М.: Логос, 2011. – 264 с. ↑

29. Мельников В. В. Защита информации в компьютерных системах / В. В. Мельников. – М.: Финансы и статистика, Электронинформ, 2007. – 368 с. ↑

30. Левин В. И. Все об информации / В. И. Левин. – М.: ООО «Издательство «РОСМЭН-ПРЕСС», 2005. – 384 с. ↑

31. Правовое обеспечение информационной безопасности: Учебное пособие для студентов высших учебных заведений / С. Я. Казанцев и др. – М.: Издательский центр «Академия», 2005. – 240 с. ↑

32. Левин В. И. Все об информации / В. И. Левин. – М.: ООО «Издательство «РОСМЭН-ПРЕСС», 2005. – 384 с. ↑

33. Правовое обеспечение информационной безопасности: Учебное пособие для студентов высших учебных заведений / С. Я. Казанцев и др. – М.: Издательский центр «Академия», 2005. – 240 с. ↑

34. Левин В. И. Все об информации / В. И. Левин. – М.: ООО «Издательство «РОСМЭН-ПРЕСС», 2005. – 384 с. ↑

35. Зегжда Д.П. Основы безопасности информационных систем / Д. П. Зегжда, А. М. Ивашко. – М.: Горячая линия – Телеком, 2010. – 452 с. ↑

36. Завгородний В. И. Комплексная защита информации в компьютерных системах: Учебное пособие / В. И. Завгородний. – М.: Логос, 2011. – 264 с. ↑

37. Хургин В. Об определении понятия «информация» / В. Хургин // Информационные Ресурсы России. – 2007. – № 3. – С. 26-35. ↑

38. Хургин В. Об определении понятия «информация» / В. Хургин // Информационные Ресурсы России. – 2007. – № 3. – С. 26-35. ↑

39. Зегжда Д.П. Основы безопасности информационных систем / Д. П. Зегжда, А. М. Ивашко. – М.: Горячая линия – Телеком, 2010. – 452 с. ↑

40. Завгородний В. И. Комплексная защита информации в компьютерных системах: Учебное пособие / В. И. Завгородний. – М.: Логос, 2011. – 264 с. ↑

1  2

---

Содержание

Введение

1 Анализ текущего состояния локальной сети

1.1 Общие сведения о локальных сетях

1.2 Описание общеизвестных защитных мер

1.3 Изучение политики безопасности

2 Защита информации от преднамеренных угроз в локальной сети посредством VipNet

2.1 Разработка модели нарушителя и актуальных угроз

2.2 Выбор программного продукта для разработки защищённой сети

2.3 Разработка защищённой локальной сети на базе программного комплекса VipNet

2.4 Обоснование экономической эффективности проекта

2.4.1 Расчёт показателей экономической эффективности проекта

Заключение

Список используемой литературы

Введение

Современные автоматизированные системы построены в виде распределенных систем, базирующихся на компьютерных сетях, в ходе эксплуатации которых могут возникать различные нарушения работы их устройств, делающие сеть неработоспособной. Для возвращения локальных вычислительных сетей распределенных автоматизированных систем в режим штатного функционирования обслуживающий сеть персонал должен провести определенные организационно-технические мероприятия. Процесс выявления самих неисправностей и формирования комплекса мероприятий может занять значительное время и существенно повлиять на функционирование системы автоматизации предприятия в целом. Частые отказы или длительные периоды неработоспособного состояния сети могут привести к полной потере работоспособности системы автоматизации предприятия. Для повышения оперативности принятия мер, способных вернуть локальную вычислительную сеть в режим штатного функционирования, необходимо проведение мониторинга сети, который в большей части зависит от человеческого фактора. Профессионального опыта специалиста, эксплуатирующего большие вычислительные сети, зачастую не хватает для оперативной диагностики сети и принятия решения при устранении сбоев в ее работе.

Существуют системы мониторинга, централизованного управления сетью, однако вопросы, связанные с формированием единого комплекса формализованных методик и инструментальных средств автоматизации поддержки процесса обеспечения работоспособности локальной сети, позволяющего по формализованной структуре сети найти нарушения работы ее устройств и предложить обоснованный оперативный вариант их устранения, изучены в недостаточной степени.

Основное число исследований посвящено созданию, описанию работы и диагностике локальных вычислительных сетей. Принципы построения локальных вычислительных систем отражены в работах таких авторов, как Чекмарев Ю.В. Новиков Ю.В., Кондратенко С.В. Самойленко В.В., Таненбаум Э. Теоретические основы технической диагностики рассматриваются в работах Биргера И.А., Гиберта А.И., Сердакова A.C. Исследованием и описанием параметров, позволяющих описать функционирование и потенциал сети в различных ее состояниях, то есть работоспособном состоянии и состоянии нарушения работы устройств занимаются такие исследователи, как Потапов В.И., Башарин Г.П. Для оперативного реагирования на возникающие нарушения работы устройств сети можно использовать принципы, исследуемые в работах Поспелова Д.А., Клыкова Ю.И. Процесс восстановления сетей после сбоев в работе рассматривается в публикациях Потапова В.И.

Необходимость регулярной передачи региональным филиалам свежей информации о новых ценах и объемах продукции, последних предписаниях и разработанных планах, приводит к тому, что организация встает перед проблемой выбора тех или иных ресурсов компьютерной сети. Разнообразие требований, предъявляемых к сетям пользователями и организациями, работающими с ними, приводит к разнообразию существующих локальных компьютерных сетей.

Актуальность темы. Защита информации в цифровой век — одна из важнейших задач специалистов по безопасности, системных администраторов, и других технических работников, так или иначе обслуживающих информационные системы. Все большее количество сведений, включая конфиденциальные — оказывается в доступных извне сетях и хранилищах, в которые может проникнуть злоумышленник.

Ущерб от взлома и проникновения в информационные системы, составляет, по разным оценкам, сумму от 300 миллиардов до 1 триллиона долларов в год [12]. В России только за 2016 год зафиксировано более 70 миллионов сетевых атак (данные ФСБ, там же). Поэтому, защита информации актуальна.

Несмотря на большое количество работ по теме защиты информации (Руденков Н.А., Нестеров С.А., Бирюков А.А., Эриксон Дж., и др.), полностью безопасное, и, при этом, гибкое и экономически разумное решение стоящих проблем – до сих пор не создано. Это связано, как с разнообразием применяемого оборудования и программного обеспечения, так и с постоянными, стремительными изменениями, происходящими в информационной среде, особенно, сети интернет.

Степень достоверности полученных результатов обеспечивается методологией исследования, базирующейся на различных видах анализа, статистике, экспериментальной проверке данных, применении решений, подтвердивших свою эффективность у авторов по сходной проблематике. Достоверность также подтверждается результатами практических испытаний созданной системы.

Предметом исследования выступают методы обеспечения информационной безопасности в локальных сетях.

Объектом исследования является локальная сеть.

Целью данной работы является разработка защищенной локальной сети, для повышения уровня сетевой безопасности сети, а также увеличение защищенности имеющихся сегментов сети.

Для достижения этих целей необходимо решить следующие задачи:

• провести анализ текущего состояния локальной сети;
• описать защитные меры;
• изучить политику безопасности;
• разработать модели нарушителя и актуальных угроз;
• разработать проект локальной сети;
• осуществить выбор продукта для разработки защищённой сети;
• разработать проект защищённой локальной сети на базе программного

комплекса VipNet.

Методологическую базу составляют методы комплексного и системного анализа на основе междисциплинарного исследования актуальных проблем, основных понятий, предмета, структуры информации и безопасности, а также отношений, возникающих, в связи с этим, общенаучные методы познания.

Информационная база исследования послужили труды отечественных ученых таких, как Стрельцов, А.А., Конявский, В.А., Раткин, Л.С. и др., а также справочные материалы, нормативные документы, законодательные акты и Интернет-ресурсы, государственные стандарты по разработке локальных вычислительных сетей (ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, ГОСТ Р 50571.21-2000, ГОСТ Р 53245-2008, ГОСТ Р 53246-2008). Международные стандарты, установленные Объединённым техническим комитетом №1, являющимся подразделением Международной организации по стандартизации в области информационных технологий (ISO/IEC 11801:2010, ISO/IEC 14763-1:1999).

В работе использовались следующие методы исследования.

Теоретические: изучение, систематизация и анализ специальной литературы по исследуемой теме; изучение и обобщение опыта разработки локальных вычислительных сетей; анализ действующих конфигураций корпоративных локальных сетей, обеспечивающих устойчивую и бесперебойную работу; анализ нормативной и правовой документации.

Практические: интервьюирование, осмотр помещения для монтажа локальной сети, разработка модели локальной вычислительной сети.

Теоретическая значимость исследования заключается в том, что рекомендации по проектированию и монтажу локальной вычислительной сети могут быть использованы при организации корпоративной локальной вычислительной сети любой конфигурации, обеспечивающее устойчивую и бесперебойную работу с информацией.

Практическая значимость исследования заключается в том, что в результате проведенной исследовательской работы был создан проект защиты локальной вычислительной сети, проведен ее монтаж и тестирование на работоспособность.

Научная значимость рассматриваемой темы обусловлена важностью ее исследования и изучения, так как проблема информационной безопасности в локальных сетях в нашей стране является сегодня важнейшей задачей для специалистов в области защиты информации.

Работа состоит из введения, заключения, двух глав и списка использованных источников.

1 Анализ текущего состояния локальной сети

1.1 Общие сведения о локальных сетях

Информационно-вычислительная сеть это сеть обмена и распределенной обработки информации, которая образована множеством взаимосвязанных, независимых абонентских систем и средствами телекоммуникаций и связи.

По мнению авторов: «задачей информационно-вычислительной сети является эффективно предоставить различные информационно-вычислительные услуги пользователям сети через организацию доступа к сетевым ресурсам, распределенным в сети. Под сетевыми ресурсами понимается: информация, приложения, программы, различные периферийные устройства, принтеры, модемы, сканеры».

Можно выделить следующие преимущества компьютерных сетей:

• уменьшение затрат за счет коллективного использования разнообразных баз данных и аппаратных средств;
• стандартизация приложений — все пользователи работают на одном и том же программном обеспечении, «говорят на одном языке»;
• оперативность приобретения информации без отрыва от рабочих мест;
• эффективное проектирование и взаимодействие рабочего срока (проведение дискуссий, оперативных заседаний без отрыва от рабочих мест).

Составными элементами всех сетей являются:

• Серверы. «Под сервером в широком смысле понимается любая система, процесс, программа, компьютер, владеющие каким-либо вычислительным ресурсом (памятью, временем, производительностью процессора и т. д.) и передающие ресурсы по запросам в сеть». Один сервер может обслужить запросы сразу нескольких клиентов (поочередно или одновременно);
• Клиенты. «Клиентом называется любая система, процесс, программа, компьютер, пользователь, запрашивающие у сервера сетевой ресурс. Клиент имеет программный модуль сетевой операционной системы, предназначенный для формирования и передачи сообщений-запросов к ресурсам удаленного компьютера от разных приложений с последующим приемом результатов из сети и передачей их соответствующим приложениям»;
• Среда. Это средства передачи информации;
• Совместно применяемые ресурсы. Информационные, аппаратные, программные;
• Совместно применяемая периферийная аппаратура.

Вычислительные сети классифицируются под различным признакам:

• под типу среды — воздушные, кабельные, беспроводные;
• под скорости — <10 Мбит/с, <100 Мбит/с, < 1000 Мбит/с;
• под архитектуре — одноранговые, клиентка — серверные, гибридные;
• под топологии — шина, кольцо, звезда, mesh, смешанная;
• под размеру — LAN (<15 кметы), MAN (<150 кметы), WAN (охватить Земли).

Локальные вычислительные сети (ЛВС, LAN англ. LAN – Local Area Network) принадлежат к географически ограниченным аппаратно-программным реализациям, в которых несколько компьютерных систем связаны друг с другом с помощью соответствующих средств коммуникации.

Таким образом, сформулировать отличительные признаки локальной сети можно следующим образом. Высокая скорость передачи информации, большая пропускная способность сети. Приемлемая скорость сейчас — не менее 100 Мбит/с. Низкий уровень ошибок передачи. Эффективный, быстродействующий механизм управления обменом по сети. Заранее четко ограниченное количество компьютеров, подключаемых к сети. При таком определении понятно, что глобальные сети отличаются от локальных прежде всего тем, что они рассчитаны на неограниченное число абонентов. Кроме того, они используют не слишком качественные каналы связи и сравнительно низкую скорость передачи. А механизм управления обменом в них не может быть гарантированно быстрым. В глобальных сетях гораздо важнее не качество связи, а сам факт ее существования.

Существуют одноранговые, сети на основе сервера и гибридные архитектуры сетей. В соответствии с рисунком 1 в одноранговой сети все компьютеры равноправны, т.е. нет иерархии в окружении компьютеров и нет выделенного (англ. dedicated) сервера. Всякий компьютер функционирует и как клиент, и как сервер. Нет отдельного компьютера, ответственного за администрирование всей сети. Все пользователи автономно решают, какие ресурсы локального компьютера делать доступными для сети. Одноранговые сети чаще всего группируют не более 10-15 компьютеров. Отсюда их другое название – рабочая группа, то есть, маленький коллектив пользователей. На каждом компьютере такой сети установлена одноранговая операционная система, например, Microsoft Windows 7, имеющая как клиентский, так и серверный модули .

Одноранговые сети сравнительно просты. Этим объясняется малая стоимость одноранговых сетей по сравнению со стоимостью сетей на базе сервера. Одноранговая сеть обладает следующими характеристиками:

• количество пользователей не превышает 10-15 пользователей;
• станции размещены компактно;
• защита данных решается каждым пользователем индивидуально (нет необходимости в сетевом администрировании);
• малая стоимость;
• простота построения и эксплуатации.

Однако большее распространение получили клиент–серверные и гибридные сети.

Сети типа клиент-сервер содержат: «серверы – мощные компьютеры, владеющие сетевыми ресурсами, разделяемыми между пользователями и управляющие доступом к ним клиентов; клиенты – менее мощные компьютеры сети, владеющие локальными ресурсами и имеющие доступ к ресурсам серверов».

Выделенный сервер – это «компьютер, который функционирует только как сервер, его сетевая операционная система имеет мощные серверные модули и полное отсутствие или маломощные клиентские модули (см. рис. 2). Они оптимизированы для параллельной, скоростной обработки запросов от сетевых клиентов и имеют защиту файлов и каталогов» .

Файл-серверы (file servers) – «предоставляют доступ к множеству своих файлов, расположенных на дисках». Например: SAMBA (SMB – Server Message Block).

Серверы приложений (application servers) – «обеспечивают вычислительные ресурсы для (удаленного) выполнения определенных классов приложений с других компьютеров». Например: WebSphere (IBM), WebLogic (BEA).

Серверы баз данных (database servers) – «компьютеры и программное обеспечение Например: Microsoft SQL Server, Oracle, обеспечивают доступ к базам данных» .

Web-серверы (Web servers) – «обеспечивают доступ через WWW к Web-страницам, расположенным на этих серверах». Примеры: Apache; Microsoft.NET Web Servers; Java Web Servers .

Proxy-серверы – «обеспечивают эффективное выполнение обращений к Интернету, фильтрацию трафика, защиту от атак».

E-mail-серверы – «обеспечивают отправку, получение и раскладку электронной почты». Могут обеспечивать также криптование почты (email encryption) [11].

Server back-end – «группа (pool) связанных в сети компьютеров (вместо одного сервера), обеспечивающая серверные функции».

Таким образом, архитектура является емким понятием, отражающим взаимосвязь различных структур сети: конфигурации линий, объединяющих ее пункты (топологии), организационной структуры, отображающей устройство сети, функциональной структуры, поясняющей логику работы сети, программной структуры, характеризующей состав чрезвычайно сложного и многоцелевого программного обеспечения сети; протокольной модели сети, описывающей правила установления связи и обеспечения информационного обмена, физической структуры, позволяющей оценить физические ресурсы сети, типы используемого оборудования.

Термин топология сети характеризует физическое расположение компьютеров, кабелей и прочих компонентов сети. Топология сети обуславливает ее характеристики. В частности, выбор той или иной топологии воздействует:

• на состав и характеристики сетевого оборудования;
• на надежность сети;
• на наименьшее время отклика с сети;
• на производительность сети и ее пропускную способность;
• на возможности масштабирования сети;
• на метод управления сетью.

Для того чтобы вместе использовать сетевые ресурсы, компьютеры должны быть подключены друг к другу через проводящую среду, например, кабельную систему. Любые типы кабелей в сочетании с многообразными сетевыми адаптерами, сетевыми операционными системами и прочими компонентами требуют и многообразного взаимного расположения компьютеров . Всякая топология сети налагает ряд требований, например, она способна диктовать не только тип кабеля, но и средство его прокладки. Топология способна также изменять метод взаимодействия компьютеров в сети. Разным видам топологий соответствуют разные методы взаимодействия, и эти методы оказывают сильное влияние на сеть. Существуют три главных вида топологий: общая шина, звезда, кольцо.

Если компьютеры подключены вдоль одного кабеля (сегмента), топология именуется шиной. Если компьютеры подключены к сегментам кабеля, исходящего из одной точки, например, коммутатора, то топология именуется звездой. Если кабель, к которому подключены компьютеры, замкнут в кольцо, такая топология называется кольцо. Хотя сами по себе базовые топологии просты, в действительности неоднократно встречаются довольно трудные комбинации, объединяющие особенности разных топологий.

Топология Шина

Топологию Шина часто называют «линейной шиной». Такая топология относится к самых несложным и широко используемым топологиям. В соответствии с рисунком 2 в ней применяется один кабель, именуемый магистралью, в противном случае сегментом, вдоль какого подключены все компьютеры и серверы сети. В сети с топологией шина компьютеры адресуют данные одному компьютеру, передавая их по кабелю в виде электрических сигналов. Для представления способа взаимодействия компьютеров по шине опишем следующие понятия: передача сигнала, отражение сигнала, терминатор .

Данные в виде электрических сигналов передаются всем компьютерам сети; однако сообщение получает только тот абонент, чей адрес соответствует адресу получателя, зашифрованному в данных сигналах. В любое время только один компьютер способен вести передачу. Так как данные в сеть передаются только одним компьютером, то производительность сети зависит от численности компьютеров, подключенных к шине. Чем больше компьютеров, желающих вести передачу данных, тем медленнее работает сеть. Данные распространяются по всей сети – от одного конца кабеля к другому. Если не оказывать воздействий на сигнал, то он, достигая конца кабеля, будет отражаться и не позволит прочим компьютерам осуществлять передачу. Поэтому, после того как данные достигнут адресата, электрические сигналы требуется погасить, для этого на концах кабеля размещаются терминаторы, поглощающие эти сигналы. Концы кабеля подключаются к компьютеру через разъем сетевого адаптера или к баррел-коннектору – для повышения длины кабеля. Выход из строя сетевого кабеля совершается при его физическом разрыве или когда на одном или на нескольких концах кабеля отсутствуют терминаторы. При этом сеть «падает».

Рисунок 2 — Топология Шина.

Таким образом, топология Шина характеризуется использованием общего канала передачи данных, называемого магистралью, сегментом (trunk, backbone, segment) между оконечными устройствами. Имеет децентрализованное управление. Работает в режиме широковещания – все компьютеры, разделяющие канал связи, принимают всю информацию, передаваемую другими компьютерам. Выход из строя одной рабочей станции не влияет на работу остальных, тогда как разрыв кабеля или отсутствие терминатора ведет к выходу из строя всей сети. Трудно локализовывать отказы из — за большой длины магистрального кабеля и отсутствия точки концентрации. Максимальная длина сегмента сети L равна длине кабеля, ограниченного терминаторами. Для «толстого» коаксиала L=500 м. При соединении 5 сегментов (по правилу 5-4-3) диаметр сети D=5×500=2500м.

Топология Звезда

При топологии Звезда все компьютеры с сегментами кабеля подключаются к центру, именуемому концентратором. В соответствии с рисунком 3 сигналы от передающего компьютера поступают через концентратор ко всем станциям.

Рисунок 3 — Топология активная Звезда

В сетях с топологией Звезда подключение кабеля и управление сетью централизовано. Но в этом заключается и недостаток: так как все компьютеры подключены к центральной точке, для крупных сетей сильно увеличивается расход кабеля. К тому же, если центральный компонент выйдет из строя, нарушится работа всей сети. Если выйдет из строя любой компьютер (либо кабель, соединяющий его с центром), то только этот компьютер не будет передавать или получать данные из сети. На остальные компьютеры в сети это не повлияет .

Топология Звезда является самой быстродействующей из всех топологий вычислительных сетей, потому что передача данных производится между рабочими станциями через центральный узел (при его отличной производительности) по отдельным линиям, используемым лишь этими рабочими станциями. Частота запросов передачи информации от одной станции к другой невысокая по сравнению с достигаемой в других топологиях. В соответствии с рисунком 4 центральный узел управления, например, файловый сервер, реализует приемлемый механизм защиты против несанкционированного доступа к информации. Вся вычислительная сеть способна управляться из ее центра. Отказы сети относительно легко локализовать . Диаметр сети составляет D=2×L, где L – длина сегмента. На основе топологии Звезда организуется топология Дерево

Рисунок 4 — Топология Дерево.

Топология Кольцо

В соответствии с рисунком 5 при топологии кольцо компьютеры подключаются к кабелю, замкнутому в кольцо. Сигналы передаются по кольцу в одном направлении и проходят через любой компьютер. В отличие от топологии шина, здесь всякий компьютер выступает в роли репитера, усиливая сигналы и передавая их очередному компьютеру. В связи с этим, если выйдет из строя один компьютер, перестает функционировать вся сеть.

Один из алгоритмов передачи данных в кольцевой сети называется «передача маркера». Суть его заключается в том, что маркер последовательно, от 1-ого компьютера к следующему, передается до тех пор, пока его не получит обратно отправитель. Передающий компьютер изменяет маркер, помещает MAC — адрес в кадр и передает его по кольцу. Данные проходят через каждый компьютер, пока не окажутся у того, чей адрес совпадает с адресом получателя, указанного в кадре .

Рисунок 5 — Топология Кольцо.

После этого принимающий компьютер отсылает отправителя данные, подтверждающие факт приема. Получив подтверждение, компьютер — отправитель создает новый маркер и возвращает его в сеть.

Итак, станции в топологии подключаются к общему кольцу, иногда двойному. Выход из строя одной рабочей станции влияет на всю сеть (принимаются меры). Выход из строя кольца ведет к выходу из строя всей сети, поэтому кольца резервируются (Двойное кольцо). Отказы локализовать не очень легко. Диаметр сети составляет D=N×L сегмента, где N – число станций в кольце. Сравнение описанных выше топологий представлено в таблице ниже (таблица 1).

Таблица 1 — Основные характеристики топологий сетей.

Исходя из вышеизложенного можно сделать вывод, что компьютерные сети занимают особое место в нашей повседневной жизни, в нашей производственной деятельности и в других областях. Соединение компьютеров в сети позволяют людям находить необходимую им информацию, используя ресурсы других компьютеров, общаться друг с другом, не выходя за пределы своей комнаты, общаться с людьми, которые находятся на огромных расстояниях.

1.2 Описание общеизвестных защитных мер

Используемая в настоящий момент версия серверной операционной системы — Windows Server 2008 морально устарела, ее поддержка производителем скоро прекратится. Поэтому, необходимо обновление, как минимум, до Windows Server 2012 R2.

В домене Windows для настройки защиты информации применяются, в том числе, политики безопасности. После введения в действие этих политик на центральном сервере, называемом «контроллер домена» — настройки автоматически отражаются на всех участниках домена. В понятие политики безопасности входят: политики учетных записей, политики паролей, политики блокировки учетных записей, и др.

В системах Windows, учетные записи пользователей делятся на два типа: локальные и доменные. Локальные учетные записи — действуют на одном конкретном компьютере (сервере). Доменные — в рамках всей доменной сети.

Информацию на сервере локальной сети, работающем под управлением операционной системой Windows Server, можно защитить такими способами:

а) создание и настройка политик безопасности домена;

б) ужесточение правил по ограничению доступа учетным записям;

в) отключение компонентов, создающих угрозу;

г) улучшенная антивирусная защита в реальном времени;

д) установка сетевого экрана в режиме повышенной защиты;

е) ужесточение настроек безопасности сервера баз данных SQL;

ж) организация резервного копирования настроек домена и баз данных.

Способ «в» скорее рекомендуется, чем необходим. Остальные – будут применяться в реализации защиты сервера.

Информацию на компьютерах-клиентах локальной сети, работающих под управлением операционной системой Windows, можно защитить такими способами:

а) установка сетевого экрана;

б) жесткая антивирусная защита;

в) физическое отключение неиспользуемых портов ввода-вывода;

г) физическое отключение дисководов, не требующихся в работе;

д) удаление устаревшего программного обеспечения и драйверов.

Наиболее важны способы от «а» до «г».

Маршрутизаторы и коммутаторы – улучшают защиту, и позволяют:

а) ограничить доступ к ресурсам сети на основе IP и MAC-адресов;

б) создать правила фильтрации потоков сетевого трафика;

в) защититься от различных видов сетевых атак (сниффинг, DoS, и др.);

г) распределить пропускную способность физического канала связи.

Здесь наиболее важны способы от «а» до «в» .

Для защиты электронной почты доступны такие методы:

а) использование защищенных протоколов при получении/отправке почты;

б) назначение сложных, уникальных паролей и периодическая их смена;

в) антивирусная проверка почты;

г) задание жестких настроек (фильтров) для входящих писем.

Важны все способы [10; 13], кроме «г», который лишь рекомендуется.

Для настройки возможностей, доступных учетной записи — применяют групповые политики [4; 7]. Группа — это удобный способ создания и управления набором разрешений и/или запретов, сохраненным под уникальным названием.

Для группы можно изменять групповую политику, связанную с ней. Групповая политика построена по принципу разрешений и запретов. Чаще всего, в групповой политике применяются правила:

• на события входа в систему;
• на доступ к объектам (файлам, каталогам, общим ресурсам сети);
• на использование привилегий;
• на системные события.

После создания нужных групп, учетные записи «добавляются» в них, причем, один и тот же пользователь может быть в нескольких группах .

Антивирус снижает вероятность проникновения в систему вредоносного программного обеспечения. Также важно выявление новых угроз — «эвристический анализатор».

Анализатор в режиме реального времени отслеживает работу приложений, и обнаруживая «вирусоподобную» активность — выполняет заданное действие.

В операционной системе Windows хорошо зарекомендовали себя следующие продукты: Bitdefender Internet Security, Kaspersky Internet Security, BullGuard Internet Security, Norton Security Deluxe, Trend Micro Internet Security.

Есть и множество других, менее известных, которые в настоящей работе не рассматриваются. Для выбора антивирусной защиты, учитываем такие факторы:

• наличие других встроенных инструментов, для комплексной защиты;
• совместимость со старыми версиями операционных систем;
• наличие русскоязычной поддержки и официального представительства.

Учитывая это, наиболее подходящим вариантом становится Kaspersky Internet Security. В нем сочетаются наиболее важные качества, а также, в отличие от Bitdefender Internet Security — присутствует защита почтового клиента .

Сетевые экраны, называемые также «брандмауэры» и firewall (англ. «огненная стена»), бывают программные и аппаратные. Отвечают за защиту от сетевых угроз. Сетевой экран уже присутствует в выбранном антивирусном ПО.

Помимо этого, будет применяться ПО ViPNet IDS [29] – система обнаружения вторжений, позволяющая в короткий срок выявлять возникающие и потенциальные сетевые угрозы безопасности. Причины такого выбора:

• российская фирма-разработчик, что облегчает получение технической поддержки, оперативных обновлений, и др.;
• продукт сертифицирован ФСБ за №СФ/СЗИ-0122 и ФТЭК ФСТЭК России за №3804, что важно для его использования в гос. учреждениях;
• разработано для российского сегмента интернет и специфичных угроз.

Принцип работы системы ViPNet IDS изображен на рисунке 6.

Злоумышленник через интернет обходит сетевой экран и передает пакеты данных во внутреннюю сеть. Через коммутатор эти данные транслируются дальше, дублируются в систему ViPNet IDS, которая и выявляет угрозу.

Защита информации в базах данных SQL обеспечивается путем предоставления пользователям БД лишь тех прав доступа, которые им необходимы в работе . В системе управления базами данных (СУБД) содержатся собственные средства управления, в частности, разделение по группам. В правилах безопасности СУБД прописывается, какими правами наделен конкретный пользователь или группа. Чаще всего используются:

• право на извлечение данных (SELECT);
• право на добавление данных (INSERT);
• право на обновление данных (UPDATE).

Рисунок 6 — Схема работы IDS

Поэтому, следует выявить уровень привилегий, необходимых каждому виду пользователей БД для его работы.

Создание и применение резервных копий — один из важнейших методов защиты информации. В копировании нуждается такая информация:

• настройки домена Windows, включая политики безопасности;
• база данных SQL (файл базы и файл журнала транзакций);
• системные файлы и каталоги операционной системы;
• каталоги с файлами пользователей;
• содержимое общих сетевых папок.

Для копирования ключевой информации домена и операционной системы удобно пользоваться стандартным инструментом «Система архивации данных Windows Server» [4]. Другие виды информации будут копироваться инструментами командной строки. Копирование должно выполняться по расписанию. Наиболее важные данные сервера — ежедневно, все данные — 1 раз в неделю. Также, полная копия делается после любых изменений в политиках безопасности. Копирование базы данных — несколько отличается, здесь необходимо отключение всех пользователей от базы данных (т. е. завершение сеансов работы с базой) на весь период резервного копирования. Целесообразно это делать в часы наименьшей нагрузки на информационную систему, между 2 и 4 ч. утра.

Таким образом, все копии будут храниться на отдельных RAID-массивах жестких дисков.

Выбор сетевого экрана для рабочих станций, в целом, аналогичен таковому для сервера локальной сети, с такими отличиями:

• устанавливается «облегченная», клиентская версия IDS — ViPNet IDS HS;
• сетевой экран настраивается более жестко, в частности, запрещается доступ ко всем частям сети, кроме необходимых в работе.

Для рабочих станций необходим более жесткий режим антивирусной защиты, так как, физический доступ к ним имеет гораздо большее количество людей. В частности:

• запрет на запуск программ, не внесенных в список доверенных;
• отключение режимов, где решение по защите принимает пользователь;
• работа антивируса в автоматическом режиме, защита настроек паролем;
• балансировка защиты и потребления ресурсов компьютера .

На многих рабочих станциях есть неиспользуемые порты ввода-вывода, такие, как: порт универсальной последовательной шины (universal serial bus, USB), последовательный порт (COM), параллельный порт (LPT).

Таким образом, хорошей практикой является физическое или программное отключение портов , которые не используются. Особенно опасен порт USB, так как позволяет подключить внешний, зараженный носитель информации. Мы применим надежный физический метод отключения портов. Наиболее распространенный вид дисководов — это CD/DVD-привод, позволяющий считывать информацию с оптических дисков, и записывать ее. В некоторых рабочих процессах учреждения, наличие такого дисковода необходимо. Где необходимости нет — будем отключать устройство.

Ограничения по доступу к ресурсам сети задаются в настройках маршрутизаторов и коммутаторов в виде правил deny / permit (англ. «запретить / разрешить») в конфигурации устройства . Правила могут включать разные ограничения доступа, в частности, нам потребуются:

• запрет на прямое терминальное подключение от клиента к серверу;
• запреты на доступ к интернет с клиентов, где такой доступ не нужен;
• запрет на прямое подключение к локальной сети из внешнего мира;
• разрешения на терминальный доступ для избранных клиентов сети.

Как и в случае с ограничением доступа к ресурсам сети, фильтрация сетевого трафика построена на принципе разрешений и запретов.

В каждом таком фильтре указываются :

• сетевой интерфейс, куда информация поступает (WAN, VPN, и др.);
• использованный протокол передачи данных (TCP, UDP или ICMP);
• тип фильтра — по IP или по MAC-адресу;
• использованный для соединения сетевой порт;
• политика фильтра — «разрешающая», либо «запрещающая».

Для защиты информации будет применяться система обнаружения вторжений ViPNet IDS, направленная на выявление угроз путем анализа сетевого трафика, выявления аномалий в потоках данных, ведения журналов событий безопасности и уведомления администраторов о возникающих угрозах .

Для защиты маршрутизаторов от сетевых атак, следует:

• установить свежие обновления прошивки;
• отключить удаленный доступ, там, где это возможно;
• сменить стандартный, «заводской» пароль на новый;
• отключить UPnP .

Кроме этого, есть настройки, влияющие на защиту. Важно отключение Wi-Fi Protected Setup (WPS), которая создает серьезную уязвимость . Также, рекомендуется включение защит против DoS/DDoS (Denial of Service – отказ в обслуживании), SYN Flood и других атак, направленных на перегрузку каналов и/или оборудования связи. Эти функции есть у оборудования Cisco. Защищенный обмен данными в сети осуществляется при помощи ViPNet Client , с такими функциями:

• фильтрация трафика (сетевой экран);
• контроль сетевой активности приложений и компонентов операционной системы;
• шифрование по ГОСТ 28147-89 на ключах длиной 256 бит.

Таким образом, благодаря этому, а также возможности интеграции с программным обеспечением других разработчиков, обеспечивается повышенная защита информационной системы.

Разумеется, такие меры не дают абсолютной гарантии защиты , однако, снижают вероятность успешной реализации угроз.

Обязательные требования к надежному паролю :

• пароль должен содержать не менее 8 символов;
• пароль должен содержать заглавные и строчные буквы, цифры, пробелы и специальные символы (такие, как: !?*$&#@%+-=).

Пароль не должен содержать:

• личную информацию (имя, фамилию, дату рождения);
• очевидные и простые слова, фразы, устойчивые выражения и наборы символов, которые легко подобрать (например: password, qwerty, 1234567).

Рекомендуется назначать пользователям уникальные (не повторяющиеся) пароли, и менять пароль каждые 2-3 месяца, по утвержденному расписанию. Антивирусная проверка почты осуществляется при получении на почтовом сервере (у стороннего провайдера), а также модулем из состава Kaspersky Internet Security — уже на стороне клиента, в момент приема поступивших сообщений.

Таким образом, мы изучили более подробно предложенные ранее методы защиты информации, выбрали условия их применения и необходимое для этого программное обеспечение, и можем переходить к дальнейшей реализации, которая будет описана в следующем разделе.

1.3 Изучение политики безопасности

Политика информационной безопасности определяет цели и задачи системы обеспечения информационной безопасности и устанавливает совокупность правил, требований и руководящих принципов в области информационной безопасности, которыми руководствуется организация в своей деятельности. Политика разрабатывается в соответствии с законодательством Российской Федерации и нормами права в части обеспечения информационной безопасности.

Основными целями политики информационной безопасности являются защита информации и обеспечение эффективной работы всего информационно-вычислительного комплекса при осуществлении деятельности.

Политика информационной безопасности направлена на защиту информационных активов от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий персонала, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.

Риск аварий и технических сбоев определяется состоянием технического парка, надежностью систем энергоснабжения и телекоммуникаций, квалификацией персонала и его способностью к адекватным действиям в нештатной ситуации.

Стратегия обеспечения информационной безопасности заключается в использовании заранее разработанных мер противодействия возможным атакам, а также программно-технических и организационных решений, позволяющих свести к минимуму возможные потери от технических аварий и ошибочных действий персонала.

Задачами настоящей политики являются:

• описание системы управления информационной безопасностью;
• определение политик информационной безопасности, а именно:
• политика реализации антивирусной защиты;
• политика учетных записей;
• политика предоставления доступа к информационному ресурсу;
• политика защиты автоматизированного рабочего места;
• политика использования паролей;
• политика конфиденциальности;
• определение порядка сопровождения информационной системы и локальной сети.

Таким образом, политика информационной безопасности и в соответствии с ней построенная система управления информационной безопасностью будет являться наиболее правильным и эффективным способом добиться минимизации рисков нарушения информационной безопасности для локальной сети. Необходимо учитывать, что с течением времени меняется характер угроз, поэтому следует своевременно, используя данные мониторинга и аудита, обновлять модели угроз и нарушителя.

---

1  2