Полный текст:
Условие задачи
Разработка локальной вычислительной сети производственного кооператива.
Руководство производственного кооператива решило произвести компьютеризацию на рабочих местах персонала. В результате этого каждый сотрудник должен получить в пользование персональный компьютер с которого можно выполнять печать. Каждый пользователь также должен иметь доступ к сети Интернет. Специфика организации требует использования централизованной базы данных с большим объемом хранимых записей. Помимо этого каждое рабочем место должно быть оснащено стандартным набором офисных программ.
Для решения данной проблемы необходимо выбрать требуемое компьютерное оборудование и спроектировать локальную вычислительную сеть. В организации работает 46 человек, все кабинеты расположены на одном этаже. Размещение людей по кабинетам проведено на рисунке в приложениях. Учесть, что длина здания составляет не менее 150 м, а ширина 25 м.
Оглавление
ВВЕДЕНИЕ. 4
Раздел 1. Топологии ЛВС.. 7
Топология типа звезда. 7
Кольцевая топология. 8
Шинная топология. 9
Древовидная структура ЛВС.. 11
Типы построения сетей по методам передачи информации. 12
Локальная сеть Arknet 12
Локальная сеть Ethernet. 14
Раздел 2. Технические средства реализации вычислительной сети кооператива. 15
Раздел 3. Программное обеспечение для создаваемой ЛВС.. 16
Раздел 4. Анализ информационной безопасности сети. Рекомендации по защите информации от различных угроз. 29
Заключение. 43
Приложения. 45
Список использованной литературы: 51
ВВЕДЕНИЕ
С распространением электронно-вычислительных машин нетрудно предсказать рост в потребности передачи данных. На сегодняшний день в мире существует более 130 миллионов компьютеров и более 80 процентов из них объединены в различные информационно-вычислительные сети от малых локальных сетей в офисах до глобальных сетей типа Internet. Всемирная тенденция к объединению компьютеров в сети обусловлена рядом важных причин, таких как ускорение передачи информационных сообщений, возможность быстрого обмена информацией между пользователями, получение и передача сообщений не отходя от рабочего места, возможность мгновенного получения любой информации из любой точки земного шара, а так же обмен информацией между компьютерами разных фирм и производителей, работающих под разным программным обеспечением.
Такие огромные потенциальные возможности которые несет в себе вычислительная сеть и тот новый потенциальный подъем который при этом испытывает информационный комплекс, а так же значительное ускорение производственного процесса не дают нам право не принимать это к разработке и не применять их на практике. Поэтому необходимо разработать принципиальное решение вопроса по организации информационно-вычислительной сети на базе уже существующего компьютерного парка и программного комплекса, отвечающего современным научно-техническим требованиям с учетом возрастающих потребностей и возможностью дальнейшего постепенного развития сети в связи с появлением новых технических и программных решений. Некоторые приложения, которые нуждаются в системах связи, могут помочь понять основные проблемы, которые связаны с сетями связи.
Существует много приложений, требующих удаленного доступа к базам данных. Простыми примерами являются информационные и финансовые службы, доступные пользователям персональных ЭВМ. Также существует много приложений, требующих дистанционного обновления баз данных, которое может сочетаться с доступом к данным. Система резервирования авиабилетов, аппаратуры автоматического подсчета голосов, системы управления инвентаризацией и т.д. являются такими примерами. В приложениях подобного типа имеются множество географически распределенных пунктов, в которых требуются входные данные.
Ещё одним широко известным приложением является электронная почта, для людей пользующихся сетью. Такую почту можно читать, заносить в файл, направлять другим пользователям, дополняя, может быть комментариями, или читать находясь в различных пунктах сети. Очевидно, что такая служба имеет много преимуществ по сравнению с традиционной почтой с точки зрения скорости доставки и гибкости.
В промышленности средств связи уделяется большое внимание системам передачи данных на большие расстояния. Индустрия глобальных сетей развивается и занимает прочные позиции. Локальные сети являются относительно новой областью средств передачи данных.
Промышленность производства локальных сетей развивалась с поразительной быстротой за последние несколько лет. Внедрение локальных сетей мотивируется в основном повышением эффективности и производительности персонала. Эта цель провозглашается фирмами-поставщиками локальных сетей, руководством учреждений и разработчиками локальных сетей.
Использование локальных сетей позволяет облегчить доступ к устройствам оконечного оборудования данных установленных в учреждении. Эти устройства – не только ЭВМ, но и другие устройства, обычно используемые в учреждениях, такие, как принтеры, графопостроители и все возрастающее число электронных устройств хранения и обработки файлов и баз данных. Локальная сеть представляет собой канал и протоколы обмена данными для связи рабочих станций и ЭВМ
В производственной практике ЛВС играют очень большую роль. Посредством ЛВС в систему объединяются персональные компьютеры, расположенные на многих удаленных рабочих местах, которые используют совместное оборудование, программные средства и информацию. Рабочие места сотрудников перестают быть изолированными и объединяются в единую систему, которая имеет свои особенные преимущества, получаемые при сетевом объединении персональных компьютеров в виде внутрипроизводственной вычислительной сети:
· разделение ресурсов – позволяет экономно использовать ресурсы, например, управлять периферийными устройствами, такими как лазерные печатающие устройства, со всех присоединенных рабочих станций.
· разделение данных – предоставляет возможность доступа и управления базами данных с периферийных рабочих мест, нуждающихся в информации.
· разделение программных средств – предоставляет возможность одновременного использования централизованных, ранее установленных программных средств.
· разделение ресурсов процессора – возможность использования вычислительных мощностей для обработки данных другими системами входящими в сеть. Предоставляемая возможность заключается в том, что на имеющиеся ресурсы не «набрасываются» моментально, а только лишь через специальный процессор, доступный каждой рабочей станции.
· многопользовательский режим – многопользовательские свойства системы содействуют одновременному использованию централизованных прикладных программных средств, ранее установленных и управляемых, например, если пользователь системы работает с другим заданием, то текущая выполняемая работа отодвигается на задний план.
Раздел 1. Топологии ЛВС
Существует ряд принципов построения ЛВС на основе выше рассмотренных компонентов. Такие принципы еще называют - топологиями.
Топология типа звезда
Концепция топологии сети в виде звезды пришла из области больших ЭВМ, в которой головная машина получает и обрабатывает все данные с периферийных устройств как активный узел обработки данных. Этот принцип применяется в системах передачи данных, например, в электронной почте RELCOM. Вся информация между двумя периферийными рабочими местами проходит через центральный узел вычислительной сети.
Пропускная способность сети определяется вычислительной мощностью узла и гарантируется для каждой рабочей станции. Коллизий (столкновений) данных не возникает.
Кабельное соединение довольно простое, так как каждая рабочая станция связана с узлом. Затраты на прокладку кабелей высокие, особенно когда центральный узел географически расположен не в центре топологии.
При расширении вычислительных сетей не могут быть использованы ранее выполненные кабельные связи: к новому рабочему месту необходимо прокладывать отдельный кабель из центра сети.
Топология в виде звезды является наиболее быстродействующей из всех топологий вычислительных сетей, поскольку передача данных между рабочими станциями проходит через центральный узел (при его хорошей производительности) по отдельным линиям, используемым только этими рабочими станциями. Частота запросов передачи информации от одной станции к другой невысокая по сравнению с достигаемой в других топологиях.
Производительность вычислительной сети в первую очередь зависит от мощности центрального файлового сервера. Он может быть узким местом вычислительной сети. В случае выхода из строя центрального узла нарушается работа всей сети.
Центральный узел управления - файловый сервер мотает реализовать оптимальный механизм защиты против несанкционированного доступа к информации. Вся вычислительная сеть может управляться из ее центра.
Кольцевая топология
При кольцевой топологии сети рабочие станции связаны одна с другой по кругу, т.е. рабочая станция «1» с рабочей станцией «2», рабочая станция «3» с рабочей станцией «4» и т.д. Последняя рабочая станция связана с первой. Коммуникационная связь замыкается в кольцо.
Прокладка кабелей от одной рабочей станции до другой может быть довольно сложной и дорогостоящей, особенно если географически рабочие станции расположены далеко от кольца (например, в линию).
Сообщения циркулируют регулярно по кругу. Рабочая станция посылает по определенному конечному адресу информацию, предварительно получив из кольца запрос. Пересылка сообщений является очень эффективной, так как большинство сообщений можно отправлять “в дорогу” по кабельной системе одно за другим. Очень просто можно сделать кольцевой запрос на все станции. Продолжительность передачи информации увеличивается пропорционально количеству рабочих станций, входящих в вычислительную сеть.
Основная проблема при кольцевой топологии заключается в том, что каждая рабочая станция должна активно участвовать в пересылке информации, и в случае выхода из строя хотя бы одной из них вся сеть парализуется. Неисправности в кабельных соединениях локализуются легко.
Подключение новой рабочей станции требует кратко срочного выключения сети, так как во время установки кольцо должно быть разомкнуто. Ограничения на протяженность вычислительной сети не существует, так как оно, в конечном счете, определяется исключительно расстоянием между двумя рабочими станциями.
Специальной формой кольцевой топологии является логическая кольцевая сеть. Физически она монтируется как соединение звездных топологий. Отдельные звезды включаются с помощью специальных коммутаторов (англ. Hub -концентратор). В зависимости от числа рабочих станций и длины кабеля между рабочими станциями применяют активные или пассивные концентраторы. Активные концентраторы дополнительно содержат усилитель для подключения от 4 до 16 рабочих станций. Пассивный концентратор является исключительно разветвительным устройством (максимум на три рабочие станции). Управление отдельной рабочей станцией в логической кольцевой сети происходит так же, как и в обычной кольцевой сети. Каждой рабочей станции присваивается соответствующий ей адрес, по которому передается управление (от старшего к младшему и от самого младшего к самому старшему). Разрыв соединения происходит только для нижерасположенного (ближайшего) узла вычислительной сети, так что лишь в редких случаях может нарушаться работа всей сети.
Шинная топология
При шинной топологии среда передачи информации представляется в форме коммуникационного пути, доступного дня всех рабочих станций, к которому они все должны быть подключены. Все рабочие станции могут непосредственно вступать в контакт с любой рабочей станцией, имеющейся в сети.
Рабочие станции в любое время, без прерывания работы всей вычислительной сети, могут быть подключены к ней или отключены. Функционирование вычислительной сети не зависит от состояния отдельной рабочей станции.
В стандартной ситуации для шинной сети Ethernet часто используют тонкий кабель или Cheapernet-кaбeль с тройниковым соединителем. Выключение и особенно подключение к такой сети требуют разрыва шины, что вызывает нарушение циркулирующего потока информации и зависание системы.
Новые технологии предлагают пассивные штепсельные коробки, через которые можно отключать и / или включать рабочие станции во время работы вычислительной сети.
Благодаря тому, что рабочие станции можно включать без прерывания сетевых процессов и коммуникационной среды, очень легко прослушивать информацию, т.е. ответвлять информацию из коммуникационной среды.
Сравнительная характеристика топологий предоставлена а примечаниях.
В ЛВС с прямой (не модулируемой) передачей информации всегда может существовать только одна станция, передающая информацию. Для предотвращения коллизий в большинстве случаев применяется временной метод разделения, согласно которому для каждой подключенной рабочей станции в определенные моменты времени предоставляется исключительное право на использование канала передачи данных. Поэтому требования к пропускной способности вычислительной сети при повышенной нагрузке снижаются, например, при вводе новых рабочих станций. Рабочие станции присоединяются к шине посредством устройств ТАР (англ. Terminal Access Point - точка подключения терминала). ТАР представляет собой специальный тип подсоединения к коаксиальному кабелю. Зонд игольчатой формы внедряется через наружную оболочку внешнего проводника и слой диэлектрика к внутреннему проводнику и присоединяется к нему.
В ЛВС с модулированной широкополосной передачей информации различные рабочие станции получают, по мере надобности, частоту, на которой эти рабочие станции могут отправлять и получать информацию. Пересылаемые данные модулируются на соответствующих несущих частотах, т.е. между средой передачи информации и рабочими станциями находятся соответственно модемы для модуляции и демодуляции. Техника широкополосных сообщений позволяет одновременно транспортировать в коммуникационной среде довольно большой объем информации. Для дальнейшего развития дискретной транспортировки данных не играет роли, какая первоначальная информация подана в модем (аналоговая или цифровая), так как она все равно в дальнейшем будет преобразована.
Древовидная структура ЛВС
Наряду с известными топологиями вычислительных сетей кольцо, звезда и шина, на практике применяется и комбинированная, на пример древовидна структура. Она образуется в основном в виде комбинаций вышеназванных топологий вычислительных сетей. Основание дерева вычислительной сети располагается в точке (корень), в которой собираются коммуникационные линии информации (ветви дерева).
Вычислительные сети с древовидной структурой применяются там, где невозможно непосредственное применение базовых сетевых структур в чистом виде. Для подключения большого числа рабочих станций соответственно адаптерным платам применяют сетевые усилители и / или коммутаторы. Коммутатор, обладающий одновременно и функциями усилителя, называют активным концентратором.
На практике применяют две их разновидности, обеспечивающие подключение соответственно восьми или шестнадцати линий.
Устройство, к которому можно присоединить максимум три станции, называют пассивным концентратором. Пассивный концентратор обычно используют как разветвитель. Он не нуждается в усилителе. Предпосылкой для подключения пассивного концентратора является то, что максимально возможное расстояние до рабочей станции не должно превышать нескольких десятков метров.
Типы построения сетей по методам передачи информации
Локальная сеть Token Ring Этот стандарт разработан фирмой IBM. В качестве передающей среды применяется неэкранированная или экранированная витая пара (UPT или SPT) или оптоволокно. Скорость передачи данных 4 Мбит/с или 16Мбит/с. В качестве метода управления доступом станций к передающей среде используется метод маркерное кольцо (Тоken Ring) . Основные положения этого метода: устройства подключаются к сети по топологии кольцо; все устройства, подключенные к сети, могут передавать данные, только получив разрешение на передачу (маркер) ; в любой момент времени только одна станция в сети обладает таким правом.
Типы пакетов
В IВМ Тоkеn Ring используются три основных типа пакетов: пакет управление/данные (Data/Соmmand Frame) ; маркер (Token) ; пакет сброса (Аbort) .
· Пакет Управление/Данные. С помощью такого пакета выполняется передача данных или команд управления работой сети.
· Маркер. Станция может начать передачу данных только после получения такого пакета. В одном кольце может быть только один маркер и, соответственно, только одна станция с правом передачи данных.
· Пакет Сброса. Посылка такого пакета называет прекращение любых передач.
· В сети можно подключать компьютеры по топологии звезда или кольцо.
Локальная сеть Arknet
Arknet (Attached Resource Computer NETWork) простая, недорогая, надежная и достаточно гибкая архитектура локальной сети. Разработана корпорацией Datapoint в 1977 году. Впоследствии лицензию на Аrcnet приобрела корпорация SМС (Standard Microsistem Corporation), которая стала основным разработчиком и производителем оборудования для сетей Аrcnet. В качестве передающей среды используются витая пара, коаксиальный кабель (RG-62) с волновым сопротивлением 93 Ом и оптоволоконный кабель. Скорость передачи данных - 2,5 Мбит/с. При подключении устройств в Аrcnet применяют топологии шина и звезда. Метод управления доступом станций к передающей среде - маркерная шина (Тоken Bus) . Этот метод предусматривает следующие правила: все устройства, подключенные к сети, могут передавать данные, только получив разрешение на передачу (маркер). В любой момент времени только одна станция в сети обладает таким правом. Данные, передаваемые одной станцией, доступны всем станциям сети.
Основные принципы работы
Передача каждого байта в Аrcnet выполняется специальной посылкой ISU(Information Symbol Unit - единица передачи информации) , состоящей из трех служебных старт/стоповых битов и восьми битов данных. В начале каждого пакета передается начальный разделитель АВ (Аlегt Вurst) , который состоит из шести служебных битов. Начальный разделитель выполняет функции преамбулы пакета.
В Аrcnet определены 5 типов пакетов:
1. Пакет IТТ (Information To Transmit) - приглашение к передаче. Эта посылка передает управление от одного узла сети другому. Станция, принявшая этот пакет, получает право на передачу данных.
2. Пакет FBE (Free Buffeг Еnquiries) - запрос о готовности к приему данных. Этим пакетом проверяется готовность узла к приему данных.
3. Пакет данных. С помощью этой посылки производиться передача данных.
4. Пакет АСК (ACKnowledgments) подтверждение приема. Подтверждение готовности к приему данных или подтверждение приема пакета данных без ошибок, т.е. в ответ на FBE и пакет данных.
5. Пакет NAK (Negative AcKnowledgments) - неготовность к приему. Неготовность узла к приему данных (ответ на FBE) или принят пакет с ошибкой.
В сети Arknet можно использовать две топологии: звезда и шина.
Локальная сеть Ethernet.
Спецификацию Ethernet в конце семидесятых годов предложила компания Xerox Corporation. Позднее к этому проекту присоединились компании Digital Equipment Corporation (DEC) и Intel Corporation. В 1982 году была опубликована спецификация на Ethernet версии 2.0. На базе Ethernet институтом IEEE был разработан стандарт IEEE 802.3. Различия между ними незначительные.
Основные принципы работы
На логическом уровне в Ethernet применяется топология шина: все устройства, подключенные к сети, равноправны, т.е. любая станция может начать передачу в любой момент времени (если передающая среда свободна); данные, передаваемые одной станцией, доступны всем станциям сети.
Итак, основываясь на приведенных выше сведениях и учитывая запросы кооперации на высокую производительность, а также принимая во внимание такие параметры как качество, эффективность, современность и удобство использования локальной вычислительной сети, целесообразно остановить свой выбор на конструкции ТОПОЛОГИЯ ЛВС – ЗВЕЗДА.
Раздел 2. Технические средства реализации вычислительной сети кооператива.
Сегодня для оперативной работы организации требуется довольно мощное техническое оборудование, способное с учетом «старения» последнего не уменьшать производительность труда. Здесь коэффициент полезного действия аппаратной стороны должен быть не менее 85 процентов. Целесообразно во время проведения локальной вычислительной сети ориентироваться на современные аппаратные средства, гордо носящие за собой право прослужить не маленький срок предназначенному кооперативу и его деловой среде.
Технические характеристики требуемого аппаратного обеспечения указаны в приложении (таблицы 2, 3, 4).
Раздел 3. Программное обеспечение для создаваемой ЛВС
Основное направление развития современных Сетевых Операционных Систем (Network Operation System - NOS) - перенос вычислительных операций на рабочие станции, создание систем с распределенной обработкой данных. Это в первую очередь связано с ростом вычислительных возможностей персональных компьютеров и все более активным внедрением мощных многозадачных операционных систем: OS/2, Windows NТ, Windows 95. Кроме этого внедрение объектно-ориентированных технологий (ОLЕ, DСЕ, IDAPI) позволяет упростить организацию распределенной обработки данных. В такой ситуации основной задачей NOS становится объединение неравноценных операционных систем рабочих станций и обеспечение транспортного уровня для широкого круга задач: обработка баз данных, передача сообщений, управление распределенными ресурсами сети (directoгу/namе service) .
В современных NOS применяют три основных подхода к организации управления ресурсами сети.
Первый - это Таблицы Объектов (Bindery) . Используется в сетевых операционных системах NetWare 28б и NetWare v3.1х. Такая таблица находится на каждом файловом сервере сети. Она содержит информацию о пользователях, группах, их правах доступа к ресурсам сети (данным, сервисным услугам и т.п.). Такая организация работы удобна, если в сети только один сервер. В этом случае требуется определить и контролировать только одну информационную базу. При расширении сети, добавлении новых серверов объем задач по управлению ресурсами сети резко возрастает. Администратор системы вынужден на каждом сервере сети определять и контролировать работу пользователей. Абоненты сети, в свою очередь, должны точно знать, где расположены те или иные ресурсы сети, а для получения доступа к этим ресурсам - регистрироваться на выбранном сервере. Конечно, для информационных систем, состоящих из большого количества серверов, такая организация работы не подходит.
Второй подход используется в LANServer и LANMahager - структура доменов (Domain). Все ресурсы сети и пользователи объединены в группы. Домен можно рассматривать как аналог таблиц объектов (bindery) , только здесь такая таблица является общей для нескольких серверов, при этом ресурсы серверов являются общими для всего домена. Поэтому пользователю для того чтобы получить доступ к сети, достаточно подключиться к домену (зарегистрироваться), после этого ему становятся доступны все ресурсы домена, ресурсы всех серверов и устройств, входящих в состав домена. Однако и с использованием этого подхода также возникают проблемы при построении информационной системы с большим количеством пользователей, серверов и, соответственно, доменов. Например, сети для предприятия или большой разветвленной организации. Здесь эти проблемы уже связаны с организацией взаимодействия и управления несколькими доменами, хотя по содержанию они такие же, как и в первом случае.
Третий подход - Служба Наименований Директорий или Каталогов (Directory Name Services - DNS) лишен этих недостатков. Все ресурсы сети: сетевая печать, хранение данных, пользователи, серверы и т.п. рассматриваются как отдельные ветви или директории информационной системы. Таблицы, определяющие DNS, находятся на каждом сервере. Это, во-первых, повышает надежность и живучесть системы, а во-вторых, упрощает обращение пользователя к ресурсам сети. Зарегистрировавшись на одном сервере, пользователю становятся доступны все ресурсы сети. Управление такой системой также проще, чем при использовании доменов, так как здесь существует одна таблица, определяющая все ресурсы сети, в то время как при доменной организации необходимо определять ресурсы, пользователей, их права доступа для каждого домена отдельно.
В настоящее время по оценке компании IDC наиболее распространенными являются следующие сетевые операционные системы: NetWare v2. х и vЗ. х, Nowell Inc. 65% LAN Server, IВМ Согр. 14% LAN Manager, Microsoft Corp. 3% VINES, Ваnуаn Systems Inc. 2% Рассмотрим более подробно возможности этих и некоторых других сетевых операционных систем и требования, которые они предъявляют к программному и аппаратному обеспечению устройств сети.
NetWare 3.11, Nowell Inc.
Отличительные черты: самая эффективная файловая система среди современных NOS; самый широкий выбор аппаратного обеспечения.
Основные характеристики и требования к аппаратному обеспечению.
Центральный процессор: 38б и выше.
Минимальный объем жесткого диска: 9 МБайт.
Объем ОП (Оперативной Памяти) на сервере: 4 МБайт - 4ГБайт.
Минимальный объем ОП РС (Рабочей Станции) клиента: б40 Кбайт.
Операционная система: собственная разработка Nowell.
Протоколы: IРХ/SРХ.
Мультипроцессорность: нет.
Количество пользователей: 250.
Максимальный размер файла: 4ГБайт.
Шифрование данных: нет.
Монитор UPS: есть.
ТТS: есть.
Управление распределенными ресурсами сети: таблицы bindeгу на сервере.
Система отказоустойчивости: дублирование дисков, зеркальное отражение дисков, SFT II, SFT III, поддержка накопителя на магнитной ленте, резервное копирование таблиц bindery и данных.
Компрессирование данных: нет.
Фрагментация блоков (Block suballocations): нет.
Файловая система клиентов: DOS, Windows, Мас(доп.), ОS/2(доп.), UNIX(доп.) , Windows NT.
LAN Server, IВМ Согр.
Отличительные черты: использование доменной организации сети упрощает управление и доступ к ресурсам сети; обеспечивает полное взаимодействие с иерархическими системами (архитектурой SNА).
Целостная операционная система с широким набором услуг. Работает на базе ОS/2, поэтому сервер может быть невыделенным (nondedicated). Обеспечивает взаимодействие с иерархическими системами, поддерживает межсетевое взаимодействие.
Выпускаются две версии LAN Server: Entry и Advanced. Advanced в отличие от Entry поддерживает высокопроизводительную файловую систему (High Perfomance File System HPFS). Она включает системы отказоустойчивости (Fail Tolerances) и секретности (Local Security) .
Серверы и пользователи объединяются в домены. Серверы в домене работают как единая логическая система. Все ресурсы домена доступны пользователю после регистрации в домене. В одной кабельной системе могут работать несколько доменов. При использовании на рабочей станции OS/2 ресурсы этих станций доступны пользователям других рабочих станций, но только одному в данное время. Администратор может управлять работой сети только с рабочей станции, на которой установлена операционная система OS/2. LAN Server поддерживает удаленную загрузку рабочих станций DOS, OS/2 и Windows (Remote Interface Procedure Load - RIPL).
К недостаткам можно отнести: сложная процедура установки NOS; ограниченное количество поддерживаемых драйверов сетевых адаптеров.
Основные характеристики и требования к аппаратному обеспечению.
Центральный процессор: 38б и выше.
Минимальный объем жесткого диска: 4.6 МБайт для клиента (requestor)/ 7.2 МБайт для сервера.
Минимальный объем ОП на сервере: 1.3 МБайт - 16 МБайт.
Минимальный объем ОП РС клиента: 4.2 Мбайт для OS/2,640 КБайт для DOS.
Операционная система: OS/2 2. х.
Протоколы: NetBIOS, ТСР/IР.
Мультипроцессорность: поддерживается.
Количество пользователей: 1016.
Максимальный размер файла: 2 Гбайт.
Шифрование данных: нет.
Монитор UPS: есть.
ТТS: есть.
Управление распределенными ресурсами сети: домены.
Система отказоустойчивости: дублирование дисков, зеркальное отражение дисков, поддержка накопителя на магнитной ленте, резервное копирование таблиц домена.
Компрессирование данных: нет.
Фрагментация блоков (Block suballocation) : нет.
Файловая система клиентов: DOS, Windows, Мас (доп.), OS/2, UNIX, Windows NT (доп.).
VINES 5.52, Banyan System Inc.
Отличительные черты: возможность взаимодействия с любой другой сетевой операционной системой; использование службы имен StreetTalk позволяет создавать разветвленные системы.
До появления NetWare 4 VINES преобладала на рынке сетевых операционных систем для распределенных сетей, для сетей масштаба предприятия (enterprise network). Тесно интегрирована с UNIX.
Для организации взаимодействия используется глобальная служба имен - StreetTalk, во многом схожая с NetWare Directory Services. Позволяет подключиться пользователю, находящемуся в любом месте сети. StreetTalk - база данных, распределенная по всем серверам сети.
Поддержка Х.29 позволяет удаленной рабочей станции DOS подключиться к локальной сети через сети Х.25 или ISDN.
VINES критична к типу компьютера и жестких дисков. Поэтому при выборе оборудования необходимо убедиться в совместимости аппаратного обеспечения и сетевой операционной системы VINES.
Основные характеристики и требования к аппаратному обеспечению:
Центральный процессор: 386 и выше.
Минимальный объем жесткого диска: 80 Мбайт.
Объем ОП на сервере: 8 Мбайт - 25б Мбайт.
Минимальный объем ОП РС клиента: б40 КБайт.
Операционная система: UNIX.
Протоколы: VINES IР, AFP, NetBIOS, ТСР/IР, IРХ/SРХ.
Мультипроцессорность: есть SMP(Symmetric MultiProcesing) .
Количество пользователей: неограниченно.
Максимальный размер файла; 2ГБайт.
Шифрование данных: нет.
Монитор UPS: есть.
ТТS: нет.
Управление распределенными ресурсами сети: StreetTalk.
Система отказоустойчивости: резервное копирование таблиц StreetTalk и данных.
Компрессирование данных: есть.
Фрагментация блоков (Block suballocation): нет.
Файловая система клиентов: DOS, Windows, Мас(доп.), ОS/2, UNIX(доп.), Windows NT (доп.).
Windows NT Advanced Server 3.1, Microsoft Corp.
Отличительные черты: простота интерфейса пользователя; доступность средств разработки прикладных программ и поддержка прогрессивных объектно-ориентированных технологий. Всё это привело к тому, что эта операционная система может стать одной из самых популярных сетевых операционных систем.
Интерфейс напоминает оконный интерфейс Windows 3.1, инсталляция занимает около 20 минут. Модульное построение системы упрощает внесение изменений и перенос на другие платформы. Обеспечивается защищенность подсистем от несанкционированного доступа и от их взаимного влияния (если зависает один процесс, это не влияет на работу остальных). Есть поддержка удаленных станций - Remote Access Service (RAS), но не поддерживается удаленная обработка заданий.
Windows NT предъявляет более высокие требования к производительности компьютера по сравнению с NetWare.
Основные характеристики и требования к аппаратному обеспечению:
Центральный процессор: 386 и выше, MIPS, R4000, DEC Alpha АХР.
Минимальный объем жесткого диска: 90 Мбайт.
Минимальный объем ОП на сервере: 16 Мбайт.
Минимальный объем ОП РС клиента; 12 Мбайт для NТ/512 КБайт для DOS.
Операционная система: Windows NT.
Протоколы: NetBEUI, ТСР/IР, IРХ/SРХ, АррlеТаlk, АsyncBEUI.
Мультипроцессорность: поддерживается.
Количество пользователей: неограниченно.
Максимальный размер файла: неограничен.
Шифрование данных: уровень С-2.
Монитор UPS: есть.
ТТS: есть.
Управление распределенными ресурсами сети: домены.
Система отказоустойчивости: дублирование дисков, зеркальное отражение дисков, RAID 5, поддержка накопителя на магнитной ленте, резервное копирование таблиц домена и данных.
Компрессирование данных: нет.
Фрагментация блоков (Block suballocation) : нет.
Файловая система клиентов: DOS, Windows, Мас, ОS/2, UNIX, Windows NT.
NetWare 4, Nowell Inc.
Отличительная черта: применение специализированной системы управления ресурсами сети (NetWare Directory Services - NDS) позволяет строить эффективные информационные системы с количеством пользователей до 1000. В NDS определены все ресурсы, услуги и пользователи сети. Эта информация распределена по всем серверам сети.
Для управления памятью используется только одна область (рооl), поэтому оперативная память, освободившаяся после выполнения каких-либо процессов, становится сразу доступной операционной системе (в отличие от NetWare 3) .
Новая система управления хранением данных (Data Storage Managment) состоит из трех компонент, позволяющих повысить эффективность файловой системы:
1. Фрагментация Блоков или Разбиение Блоков Данных на Подблоки (Block Suballocation). Если размер блока данных на томе 64 КБайта, а требуется записать файл размером 65 КБайт, то ранее потребовалось бы выделить 2 блока по б4 Кбайта. При этом 6З Кбайта во втором блоке не могут использоваться для хранения других данных. В NetWare 4 система выделит в такой ситуации один блок размером 64 КБайта и два блока по 512 Байт. Каждый частично используемый блок делится на подблоки по 512 Байт, свободные подблоки доступны системе при записи других файлов.
2. Упаковка Файлов (File Compression). Долго не используемые данные система автоматически компрессирует, упаковывает, экономя таким образом место на жестких дисках. При обращении к этим данным автоматически выполняется декомпрессия данных.
3. Перемещение Данных (Data Migration). Долго не используемые данные система автоматически копирует на магнитную ленту либо другие носители, экономя таким образом место на жестких дисках.
Встроенная поддержка Протокола Передачи Серии Пакетов (Packet-Burst Migration). Этот протокол позволяет передавать несколько пакетов без ожидания подтверждения о получении каждого пакета. Подтверждение передается после получения последнего пакета из серии.
При передаче через шлюзы и маршрутизаторы обычно выполняется разбиение передаваемых данных на сегменты по 512 Байт, что уменьшает скорость передачи данных примерно на 20%. Применение в NetWare 4 протокола LIP (Large Internet Packet) позволяет повысить эффективность обмена данными между сетями, так как в этом случае разбиение на сегменты по 512 Байт не требуется.
Все системные сообщения и интерфейс используют специальный модуль. Для перехода к другому языку достаточно поменять этот модуль или добавить новый. Возможно одновременное использование нескольких языков: один пользователь при работе с утилитами использует английский язык, а другой в это же время немецкий.
Утилиты управления поддерживают DOS, Windows и OS/2-интерфейс.
Основные характеристики и требования к аппаратному обеспечению:
Центральный процессор: 38б и выше.
Минимальный объем жесткого диска: от 12 Мбайт до 60 Мбайт.
Объем ОП на сервере: 8 Мбайт - 4ГБайт.
Минимальный объем ОП РС клиента: б40 КБайт.
Операционная система: собственная разработка Nowell.
Протоколы: IРХ/SРХ.
Мультипроцессорность: нет.
Количество пользователей: 1000.
Максимальный размер файла: 4 Гбайт.
Шифрование данных: С-2.
Монитор UPS: есть.
ТТS: есть.
Управление распределенными ресурсами сети: NDS.
Система отказоустойчивости: дублирование дисков, зеркальное отражение дисков, SFT II, SFT III, поддержка накопителя на магнитной ленте, резервное копирование таблиц NDS.
Компрессирование данных: есть.
Фрагментация блоков (Block suballocation): есть.
Файловая система клиентов: DOS, Windows, Мас(5), ОS/2, UNIX (доп.), Windows NT.
Техническое решение.
В виду рассмотренного материала который дает сравнительное рассмотрение максимального количества всех возможных вариантов решений, основанных на существующих технологиях и мировом опыте, а также на существующих и принятых во всем мире стандартах построения ЛВС, мы можем принять следующую концепцию за основу построения сети как максимально отвечающую поставленным требованиям и технико-экономически законченную.
Сетевые прикладные программы
В пакет поставки WFWG 3.11 входит несколько прикладных программ, предназначенных для использования в сети. Ниже мы приведем их символы, содержащиеся в окне Network и кратко опишем их назначение.
· Chat. С помощью этой программы можно установить связь одновременно с семью другими членами рабочей группы посредством взаимного обмена записками.
· Net Watcher. Эту программу используют, чтобы проверить, как другие члены рабочей группы используют ресурсы общего доступа - каталоги и принтеры. Также можно наблюдать, какие именно из этих ресурсов используются в данный момент.
· WinMeter. Данная программа предназначена для наблюдения за функциональным состоянием системы. Она показывает, какая часть ресурса процессора расходуется на решение задачи и какую часть забирают задачи других членов рабочей группы.
· WinPopup. С помощью этой программы можно обмениваться записками с другим лицом или с компьютером, а также посылать записки одновременно всем участникам рабочей группы. Кроме того, программа сообщит, когда принтер закончит печатать документ.
· Log On/Off. Посредством этой программы можно покинуть сеть или войти в нее, не выходя из Windows. Этим позволяется другим пользователям получить доступ к информации на чьем-либо компьютере или, наоборот, закрыть доступ к некоторым пользовательским ресурсам с помощью входного пароля.
· Network Setup. С помощью этой программы можно выбрать вид сети, в которой необходимо работать, установить тот или иной способ обобществления файлов и принтеров, а также изменить драйвер сетевой платы и ее конфигурацию, если поменялись адреса и прерывания на компьютере.
· ClipBook Viewer. Эта программа представляет собой как бы записную книжку, куда заносится информацию, которую нужно переместить, сохранить или использовать позднее в другом месте. Можно пользоваться как своим буфером обмена и хранения, так и буферами других участников рабочей группы, делая таким образом информацию доступной и для них. В сочетании с таким мощным инструментом, как связь и внедрение объектов (OLE), буфер обмена и хранения позволяет надежно запоминать и обновлять информацию общего доступа.
СУБД - системы управления базами данных - позволяют создавать, использовать и администрировать базы данных. СУБД представляют собой незаменимый инструмент разработчиков, бизнес-пользователей, администраторов БД и т.д. Благодаря тесной интеграции со средствами разработки приложений, СУБД используются разработчиками при создании информационных систем. Для администрирования баз данных и разработки приложений на языке SQL используют продукты серии Unicenter Database Management. Для проектирования, документирования и сопровождения баз данных используется CASE-средство AllFusion ERwin Data Modeler. Обратите также внимание на продукты серии Advantage для репликации и преобразования данных.
Компания Interface Ltd. поставляет основные СУБД, представленные на рынке, оказывая комплексную информационную и техническую поддержку, проводя учебные курсы и бесплатные семинары.
Oracle Database обладает возможностями кластеризации, мощными и экономичными средствами безопасности, полностью исключает потери данных и позволяет интерактивно обмениваться информацией. Основные достоинства - масштабируемость, безопасность, высокая доступность и т.д.
Microsoft SQL Server - это законченное предложение в области баз данных и анализа данных для быстрого создания масштабируемых решений электронной коммерции, бизнес-приложений и хранилищ данных. Оно позволяет значительно сократить время выхода этих решений на рынок, одновременно обеспечивая масштабируемость, отвечающую самым высоким требованиям. В SQL Server включена поддержка языка XML и протокола HTTP, средства повышения быстродействия и доступности, позволяющие распределить нагрузку и обеспечить бесперебойную работу, функции для улучшения управления и настройки, снижающие совокупную стоимость владения. Кроме того, SQL Server полностью использует все возможности операционной системы Windows, включая поддержку до 32 процессоров и 64Гб RAM.
SQLBase - профессиональная, SQL-ориентированная СУБД. Среди ее достоинств: простота в администрировании, мобильность, компактность, невысокая стоимость, возможность создавать надежные и гибкие системы обработки данных, а также полная интеграция с MS Windows и Novell Netware и возможность поддержки Java-технологий.
Borland InterBase
SQL-сервер баз данных Borland InterBase объединяет простоту использования, низкие затраты на сопровождение и мощность систем корпоративного уровня. Borland гарантирует, что InterBase совмещает силу мощной, апробированной архитектуры с развитыми технологиями, необходимыми для успеха прикладных систем.
Ingres II - интеллектуальная распределенная реляционная система управления базами данных/Объектно-ориентированная среда разработки приложений в архитектуре клиент/сервер. Платформы - все популярные реализации UNIX, Linux, мэйнфреймы, VMS, OS/2, PC, Mac, Windows NT, Novell NetWare.
Jasmine - первая (во всех смыслах) и единственная объектно-ориентированная база данных, предоставляющая систему разработки мультимедиа приложений, ориентированных на Internet/intranet.
Раздел 4. Анализ информационной безопасности сети. Рекомендации по защите информации от различных угроз.
Многие организации используют средства ЛВС для обеспечения нужд обработки и передачи данных. До использования ЛВС основная часть обработки и обмена данными была централизована; информация и управление ею были сосредоточены в одном месте и централизованы. Сейчас ЛВС логически и физически рассредоточили данные, а также вычислительную мощность и службы обмена сообщениями по всей организации.
Службы безопасности, защищающие данные, а также средства по их обработке и передаче, также должны быть распределены по всей ЛВС. Например, посылка конфиденциального файла, который защищен с помощью сильной системы управления доступом в некоторой ЭВМ через ЛВС в другую ЭВМ без системы управления доступом делает бесполезными усилия первой ЭВМ. Пользователи должны быть уверены в том, что их данные и ЛВС адекватно защищены. Защита ЛВС должна быть интегрирована во всю ЛВС и должна быть важной для всех пользователей.
Проблемы безопасности ЛВС
Файловые серверы могут контролировать доступ пользователей к различным частям файловой системы. Это обычно осуществляется разрешением пользователю присоединить некоторую файловую систему (или каталог) к рабочей станции пользователя для дальнейшего использования как локальный диск. Это представляет две потенциальные проблемы. Во-первых, сервер может обеспечить защиту доступа только на уровне каталога, поэтому если пользователю разрешен доступ к каталогу, то он получает доступ ко всем файлам, содержащимся в этом каталоге. Чтобы минимизировать риск в этой ситуации, важно соответствующим образом структурировать и управлять файловой системой ЛВС. Следующая проблема заключается в неадекватных механизмах защиты локальной рабочей станции. Например, персональный компьютер (ПК) может обеспечивать минимальную защиту или не обеспечивать никакой защиты информации, хранимой на нем. Копирование пользователем файлов с сервера на локальный диск ПК приводит к тому, что файл перестает быть защищенным теми средствами защиты, которые защищали его, когда он хранился на сервере. Для некоторых типов информации это может быть приемлемо. Однако, другие типы информации могут требовать более сильной защиты. Эти требования фокусируются на необходимости контроля среды ПК.
Удаленные вычисления должны контролироваться таким образом, чтобы только авторизованные пользователи могли получать доступ к удаленным компонентам и приложениям. Серверы должны обладать способностью аутентифицировать удаленных пользователей, запрашивающих услуги или приложения. Эти запросы могут также выдаваться локальными и удаленными серверами для взаимной аутентификации. Невозможность аутентификации может привести к тому, что и неавторизованные пользователи будут иметь доступ к удаленным серверам и приложениям. Должны существовать некоторые гарантии в отношении целостности приложений, используемых многими пользователями через ЛВС.
Топологии и протоколы, используемые сегодня, требуют, чтобы сообщения были доступны большому числу узлов при передаче к желаемому назначению. Это гораздо дешевле и легче, чем иметь прямой физический путь между каждой парой машин (в больших ЛВС прямые связи неосуществимы). Вытекающие из этого возможные угрозы включают как активный, так и пассивный перехват сообщений, передаваемых в линии. Пассивный перехват включает не только чтение информации, но и анализ трафика (использование адресов, других данных заголовка, длины сообщений, и частоту сообщений). Активный перехват включает изменение потока сообщений (включая модификацию, задержку, дублирование, удаление или неправомочное использование реквизитов).
Прочие проблемы безопасности ЛВС включают:
· неадекватную политику управления и безопасности ЛВС;
· отсутствие обучения особенностям использования ЛВС и защиты;
· неадекватные механизмы защиты для рабочих станций;
· неадекватную защиту в ходе передачи информации.
Слабая политика безопасности также увеличивает риск, связанный с ЛВС. Должна иметься формальная политика безопасности, которая бы определяла бы правила использования ЛВС, для демонстрации позиции управления организацией по отношению к важности защиты имеющихся в ней ценностей. Политика безопасности является сжатой формулировкой позиции высшего руководства по вопросам информационных ценностей, ответственности по их защите и организационным обязательствам. Должна иметься сильная политика безопасности ЛВС для обеспечения руководства и поддержки со стороны верхнего звена управления организацией. Политика должна определять роль, которую имеет каждый служащий при обеспечении того, что ЛВС и передаваемая в ней информация адекватно защищены. Политика безопасности ЛВС должна делать упор на важности управления ЛВС и обеспечения его поддержки. Управление ЛВС должно иметь необходимые финансовые средства, время и ресурсы. Слабое управление сетью может привести к ошибкам защиты. В результате этого могут появиться следующие проблемы: ослабленная конфигурация защиты , небрежное выполнение мер защиты или даже не использование необходимых механизмов защиты. Использование ПК в среде ЛВС также привносит риск в ЛВС. В общем, в ПК практически отсутствуют меры защиты в отношении аутентификации пользователей, управления доступом к файлам, ревизии деятельности пользователей и т.д. В большинстве случаев защита, оказываемая информации, которая хранится и обрабатывается на сервере ЛВС, не сопровождает информацию, когда она посылается на ПК.
Отсутствие осведомленности пользователей в отношении безопасности ЛВС также увеличивает риск. Пользователи, не знакомые с механизмами защиты, мерами защиты и т.п. могут использовать их неправильно и, возможно, менее безопасно. Ответственность за внедрение механизмов и мер защиты, а также за следование правилам использования ПК в среде ЛВС обычно ложится на пользователей ПК. Пользователям должны быть даны соответствующие инструкции и рекомендации, необходимые, чтобы поддерживать приемлемый уровень защиты в среде ЛВС.
Должны быть поставлены следующие цели при разработке эффективной защиты ЛВС:
· обеспечить конфиденциальность данных в ходе их хранения, обработки или при передаче по ЛВС;
· обеспечить целостность данных в ходе их хранения, обработки или при передаче по ЛВС;
· обеспечить доступность данных, хранимых в ЛВС, а также возможность их своевременной обработки и передачи;
· гарантировать идентификацию отправителя и получателя сообщений.
Адекватная защита ЛВС требует соответствующей комбинации политики безопасности, организационных мер защиты, технических средств защиты, обучения и инструктажей пользователей и плана обеспечения непрерывной работы. Хотя все эти области являются критическими для обеспечения адекватной защиты, основной акцент в этом документе сделан на возможных технических мерах защиты. Остальные области защиты, упомянутые выше, будут кратко рассмотрены в приложениях.
Угрозой может быть любое лицо, объект или событие, которое, в случае реализации, может потенциально стать причиной нанесения вреда ЛВС. Угрозы могут быть злонамеренными, такими, как умышленная модификация критической информации, или могут быть случайными, такими, как ошибки в вычислениях или случайное удаление файла. Угроза может быть также природным явлением, таким, как наводнение, ураган, молния и т.п. Непосредственный вред, вызванный угрозой, называется воздействием угрозы. Уязвимыми местами являются слабые места ЛВС, которые могут использоваться угрозой для своей реализации. Например, неавторизованный доступ (угроза) к ЛВС может быть осуществлен посторонним человеком, угадавшим очевидный пароль. Использовавшимся при этом уязвимым местом является плохой выбор пароля, сделанный пользователем. Уменьшение или ограничение уязвимых мест ЛВС может снизить или вообще устранить риск от угроз ЛВС. Например, средство, которое может помочь пользователям выбрать надежный пароль, сможет снизить вероятность того, что пользователи будут использовать слабые пароли и этим уменьшить угрозу несанкционированного доступа к ЛВС.
Служба защиты является совокупностью механизмов защиты, поддерживающих их файлов данных и организационных мер, которые помогают защитить ЛВС от конкретных угроз. Например, служба аутентификации и идентификации помогает защитить ЛВС от неавторизованного доступа к ЛВС, требуя чтобы пользователь идентифицировал себя, а также подтвердил истинность своего идентификатора. Средство защиты надежно настолько, насколько надежны механизмы, процедуры и т.д., которые составляют его.
Механизмы защиты являются средствами защиты, реализованными для обеспечения служб защиты, необходимых для защиты ЛВС. Например, система аутентификации, основанная на использовании смарт-карт (которая предполагает, что пользователь владеет требуемой смарт-картой), может быть механизмом, реализованным для обеспечения службы идентификации и аутентификации. Другие механизмы, которые помогают поддерживать конфиденциальность аутентификационной информации, могут также считаться частью службы идентификации и аутентификации.
Угрозы в общем классифицируются на основании вызванных ими воздействий, имевших место при реализации угроз. Для каждого типа воздействий здесь обсуждаются угрозы, которые могут стать причиной данного воздействия, потенциальные потери от угрозы, и уязвимые места, которые могут быть использованы угрозами. Вторая часть раздела обсуждает службы защиты ЛВС и возможные механизмы, которые могут быть реализованы для обеспечения этих служб.
Неавторизованный доступ к ЛВС
ЛВС обеспечивает совместное использование файлов, принтеров, файловой памяти и т.п. Поскольку ресурсы разделяемы и не используются монопольно одним пользователем, необходимо управление ресурсами и учет использования ресурсов. Неавторизованный доступ к ЛВС имеет место, когда кто-то, не уполномоченный на использование ЛВС, получает доступ к ней (действуя обычно как законный пользователь ЛВС). Три общих метода используются, чтобы получить неавторизованный доступ: общие пароли, угадывание пароля и перехват пароля. Общие пароли позволяют неавторизованному пользователю получить доступ к ЛВС и привилегии законного пользователя; это делается с одобрения какого-либо законного пользователя, под чьим именем осуществляется доступ . Угадывание пароля является традиционным способом неавторизованного доступа. Перехват пароля является процессом, в ходе которого законный пользователь, не зная того, раскрывает учетный идентификатор пользователя и пароль. Это может быть выполнено с помощью программы троянского коня, которая имеет для пользователя вид нормальной программы входа в ЛВС; однако программа - троянский конь предназначена для перехвата пароля. Другим методом, обычно используемым для перехвата пароля, является перехват пароля и идентификатора пользователя, передаваемых по ЛВС в незашифрованном виде. Методы перехвата открытого трафика ЛВС, включая пароли, широко доступны сегодня. Неавторизованный доступ к ЛВС может происходить с использованием следующих типов уязвимых мест:
· отсутствие или недостаточность схемы идентификации и аутентификации;
· совместно используемые пароли;
· плохое управление паролями или легкие для угадывания пароли;
· использование известных системных брешей и уязвимых мест, которые не были исправлены;
· однопользовательские ПК, не имеющие парольной защиты во время загрузки;
· неполное использование механизмов блокировки ПК;
· хранимые в пакетных файлах на дисках ПК пароли доступа к ЛВС;
· слабый физический контроль за сетевыми устройствами;
· незащищенные модемы;
· отсутствие тайм-аута при установлении сеанса и регистрации неверных попыток;
· отсутствие отключения терминала при многочисленных неудачных попытках установления сеанса и регистрации таких попыток;
· отсутствие сообщений "дата/время последнего удачного сеанса" и "неуспешная попытка установления сеанса" в начале сеанса;
· отсутствие верификации пользователя в реальном времени.
Несоответствующий доступ к ресурсам ЛВС
Одна из выгод от использования ЛВС состоит в том, что большое количество ресурсов легко доступны большому количеству пользователей, что лучше чем владение каждым пользователем ограниченных выделенных ему ресурсов. Эти ресурсы могут включать файловую память, приложения, принтеры, данные и т.д. Однако не все ресурсы должны быть доступны каждому пользователю. Чтобы предотвратить компрометацию безопасности ресурса (то есть разрушение ресурса, или уменьшение его доступности), нужно разрешать использовать этот ресурс только тем, кому требуется использование ресурса. Несоответствующий доступ происходит, когда пользователь, законный или неавторизованный, получает доступ к ресурсу, который пользователю не разрешено использовать. Несоответствующий доступ может происходить просто потому, что права доступа пользователей к ресурсу не назначены должным образом. Однако, несоответствующий доступ может также происходить потому, что механизм управления доступом или механизм назначения привилегий обладают недостаточной степенью детализации. В этих случаях единственный способ предоставить пользователю необходимые права доступа или привилегии для выполнения определенной функции состоит в том, чтобы предоставлять пользователю больше доступа, чем необходимо, или больше привилегий, чем необходимо. Несоответствующий доступ к ресурсам ЛВС может происходить при использовании следующих типов уязвимых мест:
· использование при назначении прав пользователям по умолчанию таких системных установок, которые являются слишком разрешающими для пользователей;
· неправильное использование привилегий администратора или менеджера ЛВС;
· данные, хранящиеся с неадекватным уровнем защиты или вообще без защиты;
· недостаточное или неправильное использование механизма назначения привилегий для пользователей, ПК, на которых не используют никакого контроля доступа на уровне файлов.
Раскрытие данных
Так как ЛВС используются повсюду в организациях или отделах, некоторые из хранящихся или обрабатываемых данных в ЛВС могут требовать некоторого уровня конфиденциальности. Раскрытие данных или программного обеспечения ЛВС происходит, когда к данным или программному обеспечению осуществляется доступ, при котором они читаются и, возможно, разглашаются некоторому лицу, которое не имеет доступа к данным. Это может производиться кем-либо путем получения доступа к информации, которая не зашифрована, или путем просмотра экрана монитора или распечаток информации. Компрометация данных ЛВС может происходить при использовании следующих типов уязвимых мест:
· неправильные установки управления доступом;
· данные, которые считаются достаточно критичными, чтобы нужно было использовать шифрование, но хранятся в незашифрованной форме;
· исходные тексты приложений, хранимые в незашифрованной форме;
· мониторы, находящиеся в помещениях, где много посторонних людей;
· станции печати, находящиеся в помещениях, где много посторонних людей;
· резервные копии данных и программного обеспечения, хранимые в открытых помещениях.
Разрушение функций ЛВС
ЛВС - инструмент, используемый организацией для совместного использования информации и передачи ее из одного места в другое. Эта потребность удовлетворяется функциональными возможностями ЛВС, описанными в пункте 1.4 Определение ЛВС. Разрушение функциональных возможностей происходит, когда ЛВС не может своевременно обеспечить необходимые функциональные возможности. Разрушение может охватывать как один тип функциональных возможностей, так и группу возможностей. Разрушение функциональных возможностей ЛВС может происходить при использовании следующих типов уязвимых мест:
· неспособность обнаружить необычный характер трафика (то есть намеренное переполнение трафика);
· неспособность перенаправить трафик, выявить отказы аппаратных средств ЭВМ, и т.д.;
· конфигурация ЛВС, допускающая возможность выхода из строя из-за отказа в одном месте;
· неавторизованные изменения компонентов аппаратных средств ЭВМ (переконфигурирование адресов на автоматизированных рабочих местах, изменение конфигурации маршрутизаторов или хабов, и т.д.);
· неправильное обслуживание аппаратных средств ЛВС;
· недостаточная физическая защита аппаратных средств ЛВС.
Служба защиты - совокупность механизмов, процедур и других управляющих воздействий, реализованных для сокращения риска, связанного с угрозой. Например, службы идентификации и аутентификации (опознания) помогают сократить риск угрозы неавторизованного пользователя. Некоторые службы обеспечивают защиту от угроз, в то время как другие службы обеспечивают обнаружение реализации угрозы.
Идентификация и аутентификация
Первый шаг к обеспечению безопасности ресурсов ЛВС - способность проверить личности пользователей. Процесс подтверждения (проверки) личности пользователя назван установлением подлинности (аутентификацией). Аутентификация обеспечивает основу для эффективного функционирования других мер и средств защиты, используемых в ЛВС. Например, механизм регистрации позволяет получить информацию об использовании пользователями ресурсов ЛВС, основанную на идентификаторе пользователя. Механизм управления доступом разрешает доступ к ресурсам ЛВС, основываясь на идентификаторе пользователя. Оба эти средства защиты эффективны только при условии, что пользователь, использующий службу ЛВС - действительный пользователь, которому назначен данный идентификатор пользователя.
Идентификация требует, чтобы пользователь был так или иначе известен ЛВС. Она обычно основана на назначении пользователю идентификатора пользователя. Однако ЛВС не может доверять заявленному идентификатору без подтверждения его подлинности. Установление подлинности возможно при наличии у пользователя, чего-нибудь уникального, что только пользователь имеет, типа жетона, чего-нибудь единственного, что только пользователь знает, типа пароля, или чего-нибудь, что делает пользователя уникальным, типа отпечатка пальца. Чем больше количество таких уникальных вещей предоставлено пользователем ЛВС, тем меньше риск, что кто-то подменит законного пользователя.
Типы механизмов защиты, которые могли бы быть реализованы, чтобы обеспечить службы идентификации и аутентификации, приведены в списке ниже:
· механизм, основанный на паролях;
· механизм, основанный на интеллектуальных картах;
· механизм, основанный на биометрии;
· генератор паролей;
· блокировка с помощью пароля;
· блокировка клавиатуры;
· блокировка ПК или автоматизированного рабочего места;
· завершение соединения после нескольких ошибок при регистрации;
· уведомление пользователя о "последней успешной регистрации" и "числе ошибок при регистрации";
· механизм аутентификации пользователя в реальном масштабе времени;
· криптография с уникальными ключами для каждого пользователя.
Управление доступом
Эта служба защищает против неавторизованного использования ресурсов ЛВС, и может быть обеспечена при помощи механизмов управления доступом и механизмов привилегий. Большая часть файловых серверов и многопользовательских автоматизированных рабочих мест в некоторой степени обеспечивают эту службу. Однако, ПК, которые монтируют тома файловых серверов, обычно не осуществляют такое управление доступом. Пользователи должны понимать, что файлы из смонтированных дисков, используемые на ПК, находятся под управлением доступом ПК. По этой причине важно использовать службы управления доступом, конфиденциальности и целостности для ПК в максимально возможном объеме. Приложение C описывает некоторые из проблем, которые нельзя избежать при использовании ПК.
Служба конфиденциальности данных и сообщений может использоваться, когда необходима секретность информации. Как передняя линия защиты, эта служба может включать в себя механизмы, связанные со службой управления доступом, но может также полагаться на шифрование для обеспечения большего сохранения тайны. Шифрование информации преобразует ее в непонятную форму, называемую шифротекстом, а расшифровывание преобразует информацию обратно в ее первоначальную форму. Критичная информация может храниться в шифрованной форме, в виде шифротекста. Таким образом, если служба управления доступом будет обойдена, к файлу может быть осуществлен доступ, но информация будет все еще защищена, поскольку находится в зашифрованной форме. (Использование шифрования может быть критическим на ПК, которые не обеспечивают службу управления доступом как передней линии защиты). Очень трудно управлять неавторизованным доступом к трафику ЛВС, когда он передается по ЛВС. Многие пользователи ЛВС это осознают и понимают проблему. Использование шифрования сокращает риск какого-либо перехвата и чтения проходящих транзитом через ЛВС сообщений, делая сообщения нечитабельными для тех, кто сможет перехватить их. Только авторизованный пользователь, который имеет правильный ключ, сможет расшифровать сообщение после его получения.
Типы механизмов безопасности, которые могли бы быть реализованы, чтобы обеспечить службу конфиденциальности сообщений и данных, приведены в списке ниже:
· технология шифрования файлов и сообщений;
· защита резервных копий на лентах, дискетах и т.д.;
· физическая защита физической среды ЛВС и устройств;
· использование маршрутизаторов, которые обеспечивают фильтрацию для ограничения широковещательной передачи (или блокировкой, или маскированием содержания сообщения).
Аутентификация Компьютерных Данных определяет Алгоритм Аутентификации Данных, основанный на DES, который используется для вычисления MAC.
Также могут использоваться электронные подписи для обнаружения модификации данных или сообщений. Электронная подпись может быть создана при помощи криптографии с открытыми или секретными ключами. При использовании системы с открытыми ключами документы в компьютерной системе подписываются с помощью электронной подписи путем применения секретного ключа отправителя документа. Полученная электронная подпись и документ могут быть затем сохранены или переданы. Подпись может быть проверена при помощи открытого ключа создателя документа. Если подпись подтверждается должным образом, получатель может быть уверен в том, что документ был подписан с использованием секретного ключа его создателя и что сообщение не было изменено после того, как оно было подписано. Поскольку секретные ключи известны только их владельцам, это делает также возможным проверку личности отправителя сообщения третьим лицом. Поэтому электронная подпись обеспечивает две различных службы: контроль участников взаимодействия и целостность сообщения. FIPS PUB 186, Стандарт Электронной Подписи, определяет алгоритм электронной подписи, который должен использоваться, когда требуются целостность данных и сообщений. Типы механизмов защиты, которые могли бы быть реализованы, чтобы обеспечить службу целостности данных и сообщений, представлены в списке ниже:
· коды аутентификации сообщения, используемые для программного обеспечения или файлов;
· использование электронной подписи, основанной на секретных ключах;
· использование электронной подписи, основанной на открытых ключах;
· детальный механизм привилегий;
· соответствующее назначение прав при управлении доступом (то есть отсутствие ненужных разрешений на запись);
· программное обеспечение для обнаружения вирусов;
· бездисковые автоматизированные рабочие места для предотвращения локального хранения программного обеспечения и файлов);
· автоматизированные рабочие места без накопителей для дискет или лент для предотвращения появления подозрительного программного обеспечения.
Для определения соответствующих мер защиты ЛВС должен использоваться систематический подход. Решение, как обеспечить защиту, где реализовать защиту в ЛВС, какими должны быть типы и мощность мер и средств защиты, требует значительных размышлений. Этот раздел будет посвящен проблемам, связанным с управлением риском ЛВС. Элементы, которые являются общими для большинства организаций при управлении риском, будут рассмотрены в терминах уникальных свойств ЛВС, которые могут потребовать специального рассмотрения, которое приведет к отличию управления риском для ЛВС от управления риском для многопользовательской ЭВМ или приложения на ней. При представлении этой информации, будет представлена простая методология управления риском, которая может рассматриваться, как кандидат среди различных методологий и методов, доступных в настоящее время.
Имеется большое количество методологий управления риском, которые может использовать организация. Однако все они должны включать процесс, описанный выше.
Заключение
В данной работе произведено исследование различных топологий локальных вычислительных сетей. По результатам производительности, качества, надежности и удобства был остановлен выбор на топологии сети ЗВЕЗДА, на основе которой было произведено планирование сети по данному кооперативу. Концепция топологии сети в виде звезды пришла из области больших ЭВМ, в которой головная машина получает и обрабатывает все данные с периферийных устройств как активный узел обработки данных. Этот принцип применяется в системах передачи данных, например, в электронной почте RELCOM. Вся информация между двумя периферийными рабочими местами проходит через центральный узел вычислительной сети. Пропускная способность сети определяется вычислительной мощностью узла и гарантируется для каждой рабочей станции. Коллизий (столкновений) данных не возникает.
Кабельное соединение довольно простое, так как каждая рабочая станция связана с узлом. Затраты на прокладку кабелей высокие, особенно когда центральный узел географически расположен не в центре топологии.
При расширении вычислительных сетей не могут быть использованы ранее выполненные кабельные связи: к новому рабочему месту необходимо прокладывать отдельный кабель из центра сети.
Топология в виде звезды является наиболее быстродействующей из всех топологий вычислительных сетей, поскольку передача данных между рабочими станциями проходит через центральный узел (при его хорошей производительности) по отдельным линиям, используемым только этими рабочими станциями. Частота запросов передачи информации от одной станции к другой невысокая по сравнению с достигаемой в других топологиях.
Производительность вычислительной сети в первую очередь зависит от мощности центрального файлового сервера. Он может быть узким местом вычислительной сети. В случае выхода из строя центрального узла нарушается работа всей сети.
Центральный узел управления — файловый сервер мотает реализовать оптимальный механизм защиты против несанкционированного доступа к информации. Вся вычислительная сеть может управляться из ее центра.
В связи с этими выводами были подобраны довольно мощные современные аппаратное и программное обеспечения, организующие и гарантирующие быструю и надежную работу вкупе с высокой производительностью.
Приложения
Приложение 1. Таблица 1. Характеристики топологий вычислительных сетей
Характеристики
Топология
Звезда
Кольцо
Шина
Стоимость расширения
Незначительная
Средняя
Средняя
Присоединение абонентов
Пассивное
Активное
Пассивное
Защита от отказов
Незначительная
Незначительная
Высокая
Размеры системы
Любые
Любые
Ограниченны
Защищенность от прослушивания
Хорошая
Хорошая
Незначительная
Стоимость подключения
Незначительная
Незначительная
Высокая
Поведение системы при высоких нагрузках
Хорошее
Удовлетворительное
Плохое
Возможность работы в реальном режиме времени
Очень хорошая
Хорошая
Плохая
Разводка кабеля
Хорошая
Удовлетворительная
Хорошая
Обслуживание
Очень хорошее
Среднее
Среднее
Технические средства (ТС) сети
Приложение 2. Таблица 2. Сервер.
№
Тип ТС
Наименование ТС и его характеристики
1
Микропроцессор
Поддержка одного или двух 64-разрядных процесс-соров Intel® Xeon® с частотой сист. шины 800 МГц
2
Системная плата
Intel SE7520BD2VD2
3
Набор микросхем
Intel® E7520
4
Максимальный объем памяти
Восемь разъемов для установки модулей памяти DIMM типа ECC DDR2 400 общим объемом до 16 ГБ
5
Слоты расширения
1 слот x4 PCI-Express 1 слот 64bit/133MHz PCI-X 2 слота 64bit/100MHz PCI-X 1 слот 32bit/33MHz PCI
6
Видеоконтроллер
SVGA PCI графический контроллер ATI* Rage* XL с видеопамятью объемом 8 МБ Максимальное разрешение: 1600x1200
7
Сетевые адаптеры
Один гигабитный контроллер Intel® 82541PI Ethernet и один гигабитный контроллер Marvell* Yukon* -EC 88E8050 PCI Express Ethernet с поддержкой совместной работы и восстановления после сбоев. Выходы 10BASE-T, 100BASE-TX и 1000BASE-T, RJ45
8
IDE контроллер
Одноканальный контроллер ATA 100 (один разъем) с поддержкой двух IDE накопителей, интегрирован в ICH5-R.
9
SATA RAID контроллер
Двухканальный контроллер SATA 150 (два разъема) со встроенными средствами для зеркального отображения и резервирования (поддержка дисковых массивов RAID 0 и 1),RAID контроллер интегрирован в ICH5-R
№
Тип ТС
Наименование ТС и его характеристики
10
SCSI контроллер
Один канал Ultra320/LVD с контроллером LSI Logic* со встроенными средствами для зеркального отображения и резервирования (поддержка дисковых массивов RAID 0 и 1), и поддержкой интегрированного RAID-контроллера (Intel® RAID SRCZCRX)
11
USB контроллер
5 внешних USB разъемов: три разъема USB 2.0 на задней стороне платы и дополнительно два разъема USB на внутреннем коннекторе
12
Количество HDD
до 10 SATA (есть возможность установить 6 SATA в корзину для горячей замены). До 10 SCSI (с двумя корзинами для горячей замены)
13
Корпус
Intel SC5300BRP с возможностью установки второго БП
14
Варианты исполнения
настольное (башня) или Rackmount 5U
15
Периферийные отсеки
Внешних до трех 5,25"(высотой 1,75") Внутренних отсеков 3,5 дюйма: Корзина на 6 HDD в комплекте (без возможности горячей замены), возможна установка SCSI корзины AXX4SCSIDB/AXX6SCSIDB на 4/6 HDD или корзины для 6 Serial ATA дисков ASerial AXX6SATADB
16
Мониторинг и управление
Возможность опциональной установки Intel® Management Module Support Professional Edition, Advanced Edition
Приложение 3. Таблица 3. Персональный компьютер
№
Тип ТС
Наименование ТС и его характеристики
1
Тип процессора
Intel® Pentium® 4 5xx, 6xx 2,93-3,2 ГГц (Socket 775, FSB 533 или 800 МГц)
2
Операционная система
Microsoft ® Windows ® XP Professional
3
Дополнительное ПО
Антивирус (с ОС Windows XP)
4
Базовая платформа (характеристики системной платы)
S775, FSB 800 МГц, PCI-E 16x, Video, Audio, LAN, USB, mATX
5
Оперативная память (установленный/максимальный объём/тип/кол-во слотов)
512 Мб или более / 4 Гб / DDR400 PC-3200 / 4 или 2 Гб / DDR400 PC-3200 / 2
6
Серия чипсета
Intel 915G/GL
7
HDD (объём/кол-во)
80 Гб или 160 Гб, SATA / 1
8
FDD/CD-ROM/Card-reader
FDD / Оптический привод опционально / Card-reader 6 in 1 опционально
9
Графическая подсистема
Интегрированная графика (референсная видеокарта - опционально)
10
Стандартные/дополнительные SCSI-IDE контроллеры
PATA, SATA / -
11
Сетевой контроллер/модем
Встроенный сетевой контроллер 10/100 Мбит/сек
12
Тип корпуса/блок питания/разъемы на передней панели
ATX или mATX / 350W / 2xUSB, микрофон, наушники
№
Тип ТС
Наименование ТС и его характеристики
13
Система охлаждения
Дополнительно корпусной вентилятор, соответствие спецификации Intel TAC (Thermally Advanced Chassis, TAC)
14
Звуковая подсистема
Встроенный аудиоконтроллер формата 5.1
15
Мониторинг состояния
Локальный мониторинг состояния системы с выдачей системного предупреждения в случае отклонения от нормы
16
Дополнительные аксессуары
Опционально клавиатура и мышь
Приложение 4. Таблица 4. ЛВС
№
Тип ТС
Наименование ТС и его характеристики
Кол-во, шт
1
Сетевой адаптер
Compex iWavePort WL11B+ PC карточка Тип II (Compex)
48
2
Линия связи
Кабель UTP10-С5-SOLID-INDOOR
3
Коммутатор
SAS2224B COMPEX Коммутатор/Switch 24*10/100TX 19RM слот расширения
2
4
Разъемы
RJ-45
48
5
Линия связи
Кабель UTP2-C5E-SOLID-GY
Приложение 5. Схема разработки ЛВС производственного кооператива
Список использованной литературы:
1. Д. Веттинг “Nowell NetWare для пользователя” · С. И. Казаков “Основы сетевых технологий” · “Nowell NetWare 4.02 for Lan Managers” Nowell Corp.
2. Б. Г. Голованов “Введение в программирование в сетях Nowell NetWare”
3. National Computer Systems Laboratory (NCSL) Bulletin, Advanced Authentication Technology, November 1991.
4. Katzke, Stuart W. ,Phd., "A Framework for Computer Security Risk Management", NIST, October, 1992.
5. Berson, T.A, and Beth, T. (Eds.); Local Area Network Security Workshop LANSEC ‘89 Proceedings, Springer-Verlag, Berlin, 1989.
6. Federal Information Processing Standard Publication (FIPS PUB) 83, Guideline on User Authentication Techniques for Computer Network Access Control, September, 1980.
7. Gahan, Chris; LAN Security, the Business Threat from Within, BICC Data Networks Limited, November, 1990.
8. Muftic, Sead; Security Mechanisms for Computer Networks, Ellis Horwood Limited, West Sussex, England, 1989.
9. National Research Council; Computers At Risk: Safe Computing in the Information Age, National Academy Press, Washington, D.C., 1991.
10. Schweitzer, James A.; Protecting Information on Local Area Networks, Butterworth Publishers, Stoneham, MA, 1988.
11. http://www.07.ru/catalog/kod777.html
12. http://www.anlan.ru/
13. http://www.excimer.net/