Logo GenDocs.ru

Поиск по сайту:  


Загрузка...

Лекции по ВМСС - файл Глава 16.doc


Загрузка...
Лекции по ВМСС
скачать (35218.7 kb.)

Доступные файлы (18):

Глава 10.doc8030kb.25.01.2005 11:05скачать
Глава 11 ВЫЧИСЛИТЕЛЬНЫЕ СИСТЕМЫ.doc2232kb.28.01.2005 20:28скачать
Глава 12.doc4356kb.29.01.2005 18:29скачать
Глава 13.doc745kb.09.03.2005 15:11скачать
Глава 14.doc605kb.11.03.2005 15:19скачать
Глава 15.doc243kb.11.03.2005 15:35скачать
Глава 16.doc498kb.11.03.2005 15:43скачать
Глава 2.doc2062kb.24.02.2005 19:16скачать
Глава 3 ЭЛЕМЕНТНАЯ БАЗА ЭВМ.doc2589kb.24.02.2005 20:00скачать
Глава 4.doc1726kb.02.03.2005 20:36скачать
Глава 5 ЦЕНТРАЛЬНЫЕ УСТРОЙСТВА ЭВМ.doc1113kb.04.03.2005 13:56скачать
Глава 6.doc1177kb.04.03.2005 18:09скачать
Глава 7 ВНЕШНИЕ УСТРОЙСТВА ЭВМ.doc918kb.09.03.2005 14:44скачать
Глава 8.doc6796kb.25.01.2005 19:33скачать
Глава 9.doc4463kb.25.01.2005 18:23скачать
ОГЛАВЛЕНИЕ.doc45kb.11.03.2005 19:02скачать
УСЛОВНЫЕ ОБОЗНАЧЕНИЯ.doc41kb.04.03.2005 14:10скачать
учебник_введение.doc53kb.25.01.2005 11:37скачать

Глава 16.doc

Реклама MarketGid:
Загрузка...
Глава 16 КОРПОРАТИВНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ СЕТИ (КВС)

16.1. Характеристика КВС

Корпоративная вычислительная сеть (Intranet) — это сеть на уровне компании, в которой используются программные средства, основан­ные на протоколе TCP/IP Internet. Другими словами, Intranet — это версия Internet на уровне компании, адаптация некоторых техноло­гий, созданных для Internet, применительно к частным локальным (LAN) и глобальным (WAN) сетям организаций.

Корпоративную сеть можно рассматривать как модель группово­го сотрудничества, вариант решения прикладного программного обес­печения для рабочих групп, основанного на открытых стандартах Internet. В этом смысле КВС представляет собой альтернативу пакету Lotus Notes (LN) фирмы Lotus Corporation, который с 1989г. является стандартом для совместного использования информации и внутрикор­поративного сотрудничества.

Корпоративные сети, как и Internet, основаны на технологии «кли­ент — сервер», т.е. сетевое приложение делится на стороны: клиента, запрашивающего данные или услуги, и сервера, обслуживающего зап­росы клиента.

Наблюдаемый в настоящее время громадный рост корпоративных сетей (в 2000 г. могут использоваться до 4 млн серверов КВС) объяс­няется их преимуществами, основанными на совместном использова­нии информации, сотрудничестве, быстром доступе к данным и нали­чии большого числа пользователей, уже знакомых с необходимым программным обеспечением по работе в Internet.

Корпоративная сеть, объединяющая локальные сети отделений и предприятий корпорации (организации, компании), является матери­ально-технической базой для решения задач планирования, организа­ции и осуществления ее производственно-хозяйственной деятельнос­ти. Она обеспечивает функционирование автоматизированной систе­мы управления и системы информационного обслуживания корпорации.

Решая задачи прежде всего в интересах всей корпорации, ее отде­лений и предприятий, корпоративная сеть предоставляет услуги сво­им пользователям (штатным сотрудникам корпорации), а также вне­шним пользователям, не являющимся сотрудниками корпорации. Это способствует популяризации сети и положительно сказывается на со­кращении сроков окупаемости затрат на ее создание, внедрение и со­вершенствование. По мере развития КВС расширяется перечень предоставляемых ею услуг и повышается их интеллектуальный уро­вень. Расширению контингента пользователей КВС способствует то обстоятельство, что Internet и Intranet легко интегрируются.

Типовая структура КВС приведена на рис. 16.1. Здесь выделено оборудование сети, размещенное в центральном офисе корпорации и в ее региональных отделениях. В центральном офисе имеется ло­кальная сеть и учрежденческая автоматическая телефонная станция (УАТС) с подключенными к ней телефонными аппаратами (Т). Через мультиплексор-коммутатор и модемы ЛВС И УАТС имеют выход на территориальную сеть связи (ТСС) типа Frame Relay или Х.25, где используются выделенные телефонные линии связи. Такое же обо­рудование сети имеется в каждом региональном отделении (РО-1, ..., PO-N). Удаленные персональные компьютеры (УПК) через сервер доступа и ТСС имеют прямую связь с ЛВС центрального офиса.

Для установления Intranet необходимы следующие компоненты [4]: • компьютерная сеть для совместного использования ресурсов, или

сеть взаимосвязанных ЛВС и УПК;



Рис. 16.1. Типовая структура КВС

• сетевая операционная система, поддерживающая протокол TCP/ IP (Unix, Windows NT, Netware, OS/2);

• компьютер-сервер, который может работать как сервер Internet;

• программное обеспечение сервера, поддерживающее запросы бро­узеров в формате протокола передачи гипертекстовых сообщений (HTTP);

• компьютеры-клиенты, на которых имеется сетевое программное обеспечение, позволяющее посылать и принимать пакетные дан­ные по протоколу TCP/IP;

• программное обеспечение броузера для различных компьютеров-клиентов (Netscape Navigator, Microsoft Internet Explorer). Эти требования к оборудованию и программному обеспечению Intranet дополняются требованиями к знанию технологии составле­ния документов на языке описания гипертекста (HTML).

Эффективность использования КВС зависит от успешного реше­ния как технологических, так и организационных вопросов, причем по мере эксплуатации сети, когда технологические вопросы получили должное разрешение, все большее значение приобретают органи­зационные вопросы. Ключевыми факторами успешного и эффектив­ного функционирования КВС являются рациональное распределе­ние информации, необходимой для планирования, организации и осуществления производственно-хозяйственной деятельности корпо­рации, обеспечение сотрудников корпорации системами управления документооборотами и предоставление доступа к различным кор­поративным базам данных, воспитание культуры совместного использования информации (это может оказаться наиболее слож­ной проблемой). Основное внимание должно быть направлено на по­требности пользователей, а не на расширение технологических воз­можностей сети.
^ 16.2.Программное обеспечение КВС

Структура и функции программного обеспечения корпоративных сетей обусловлены тем, что эти сети основаны на технологии Internet, сформировавшейся прежде всего вокруг протокола TCP/IP. Корпо­ративная сеть состоит из определенного числа взаимосвязанных ком­пьютеров или ЛВС, использующих одну или более сетевых техноло­гий, таких, как Ethernet или Token Ring. Для управления работой сети необходима сетевая операционная система (СОС), реализую­щая принцип сетевой модели «клиент — сервер». Наиболее популяр­ными СОС являются Windows NT компании Microsoft и NetWare компании Novell.

Система Windows NT для передачи данных использует протоко­лы TCP/IP или IPX/SPX. Подобно TCP/IP протокол IPX/SPX определя­ет набор правил для координации сетевой связи между двумя системами. Если сеть не поддерживает протокол TCP/IP, то необходимо использовать программы-шлюзы для трансляции TCP/IP в используе­мый протокол сетевой операционной системы.

Система NetWare позволяет соединять компьютеры в сети типа Ethernet или Token Ring, используя модель «клиент — сервер». Про­граммное обеспечение сервера NetWare выполняется на всех главных компьютерных платформах типа UNIX, DOS, Windows, Macintosh. Для того чтобы компьютер-клиент имел доступ к сети, на нем должно быть установлено программное обеспечение клиента системы NetWare. После этого клиенты могут совместно использовать файлы и ресурсы принтеров, а также выполнять ряд различных приложений с помощью сервера. Программное обеспечение стороны клиента сис­темы NetWare создано и успешно используется для UNIX, DOS, Macintosh, ОС/2 и Windows.

При формировании Intranet на локальной компьютерной сети, ра­ботающей под управлением NetWare, для каждого клиента не тре­буется IP-адрес. Вместо этого используется приложение-шлюз (спе­циальная программа) для трансляции IPX в IP и обратно. IP-адрес присваивается только Web-серверу NetWare. Последовательность трансляции и ретрансляции такова: программное обеспечение кли­ента транслирует протоколы TCP/IP, генерированные Web-броузе­ром, в протокол IPX, после чего сообщения «путешествуют» по сети на стороне клиента, пока не достигнут Web-сервера NetWare; на этом сервере осуществляется ретрансляция, т.е. сообщения формата IPX преобразуются в формат TCP/IP и отправляются к другим сер­верам сети. Таким образом, программы трансляции IPX в IP и об­ратно позволяют пользователям системы NetWare формировать кор­поративную сеть, не выполняя в сети набор программ протоколов TCP/IP.

В корпоративных сетях широко используется язык описания ги­пертекстовых документов HTML, который, не будучи языком про­граммирования, представляет собой мощное средство обработки до­кументов. Для создания HTML-документов необходим текстовый ре­дактор, а для их просмотра — броузер. Пользуясь HTML, следует включать в свой документ специальные символы — теги (коды), ко­торые предоставляют броузеру определенную информацию для вы­вода содержимого документа на экран. Каждый HTML-документ имеет две части: головную, содержащую заголовок документа, и тело, со­стоящее из содержимого документа. Язык HTML обеспечивает связь документов ссылками, причем есть возможность создавать ссылки на различные секции того же или других документов, что обеспечивает пользователям более быстрый доступ к необходимой им информации. Если установлена вспомогательная программа Internet — Assistant for Word, то можно преобразовать имеющиеся документы Word в фор­мат HTML.

Эффективность функционирования корпоративной сети во многом определяется возможностями пользователей взаимодействовать с их Web-страницами. Среди различных методов расширения интерактив­ных возможностей корпоративных сетей, создания интерактивных Web-страниц в настоящее время чаще всего используются CGI-сценарии (CGI — Common Gateway Interface — интерфейс общего шлюза). CGI-сценарий представляет собой программу, которая осуществляет связь с Web-сервером для обработки и предоставления данных. Обыч­но он применяется в узлах для создания интерактивных HTML-форм (бланков), заполняемых пользователями, которые затем передаются на сервер для обработки. При использовании CGI-сценария пользова­тель взаимодействует с броузером при заполнении формы, после чего броузер должен взаимодействовать с сервером для обработки содер­жимого формы. Следовательно, после того как пользователь запол­нит и представит форму, броузер посылает информацию на сервер, который в свою очередь выполняет сценарий (набор запрограммиро­ванных команд) обработки содержимого формы. В зависимости от заданного сценария сервер может послать ответ обратно на броузер, который отобразит результат пользователю.

HTML-форма аналогична стандартному HTML-документу с до­бавлением тегов <FORM> и </FORM> и связи с CGI-сценарием. Для разработки разнообразных интерактивных HTML-форм можно исполь­зовать набор стандартных CGI-сценариев.

Таким образом, включение в корпоративную сеть интерактивных функций упрощает служащим и клиентам использование ресурсов сети, и прежде всего базы данных, программа которой обычно постоянно находится на Web-сервере.

Эффективным средством создания корпоративной сети является Front Page [4] — интегрированный пакет фирмы Microsoft для разме­щения материалов на Web. Он включает HTML-редактор, програм­му для работы с Web-документами, персональный Web-сервер и на­бор расширения сервера. Front Page — это новый инструмент, упро­щающий разработку Intranet. Среда разработки Front Page работает под управлением Windows, но ее также можно установить на сервер, функционирующий под управлением Unix.

В отличие от автономных инструментов для работы в формате HTML, инструментальных средств поиска или продуктов для дискус­сионных групп Front Page включает все эти компоненты в один про­граммный пакет, причем его базовые компоненты разделены на две части: сторону клиента и сторону сервера. Программное обеспече­ние стороны клиента предназначено для предоставления пользовате­лям инструментальных средств, необходимых при составлении ста­тических и динамических страниц в формате HTML, а также средств, позволяющих проводить поиск и работу в дискуссионной группе. Инструментальные средства стороны сервера включают Front Page

Personal Web Server и программные расширения сервера, обеспечива­ющие независимость компонентов стороны клиента от сервера (с по­мощью этих средств пользователи могут сами разрабатывать и про­верять свои материалы, размещаемые на Web).

Intranet как модель группового сотрудничества не нова. В 1989 г. пакетом Lotus Notes фирмы Lotus Corporation (США) установлен стан­дарт для совместного использования информации и внутрикорпора­тивного сотрудничества. Lotus Notes — это фирменное программное обеспечение типа «клиент — сервер», которое поддерживает связь в группе, электронную почту, дискуссии, дублирование базы данных и среду разработки приложений. Оно разрабатывается и совершенству­ется уже в течение 12 лет и более 3 млн пользователей имеют на него лицензии.

Сравнивая конкурирующие средства Lotus Notes и Intranet, мож­но обнаружить, что для каждого из них характерны свои преимуще­ства и недостатки.

Основные преимущества Lotus Notes (или просто Notes) перед корпоративными сетями заключаются в следующем [4]:

• Notes — вполне законченное изделие, на его создание и совершен­ствование фирма Lotus затратила многие годы, и в настоящее время оно доминирует среди программных продуктов для рабочих групп типа «клиент — сервер». Notes управляет корпоративной информа­цией, собирая и сохраняя ее в центральных устройствах памяти;

• Notes автоматически прослеживает версии документа, в то время как в большинстве корпоративных сетей задача просмотра и со­хранения документов передается пользователю, что при наличии тысяч документов, содержащихся в Intranet, представляется до­вольно непростым делом;

• в Notes организована многоуровневая безопасность информации, что существенно надежнее, чем в предназначенных для Intranet программных пакетах (если необходима секретность при работе с документами, то современные программные продукты для Intranet могут не соответствовать поставленным требованиям);

• Notes располагает набором программ, реализующих готовые к использованию средства координации совместной работы;

• Notes предоставляет пользователям возможность быстрой разра­ботки новых баз данных и, кроме того, обеспечивает синхрониза­цию содержимого различных баз данных.

Преимущества корпоративных сетей, основанных на Web-подхо­де, перед пакетом Notes:

• корпоративные сети в большей степени масштабируемы, т.е. после установки Intranet можно без особых трудностей и затрат наращи­вать ее возможности, чего нельзя сказать о пакете Notes: он масш­табируется гораздо сложнее, так как предлагает меньшее количе­ство программных решений;

• изменение и улучшение технологий Intranet .осуществляется на­много быстрее, чем Notes, так как этим занимаются тысячи про­граммистов, а развитием Notes занята только IBM;

• программное обеспечение Notes значительно дороже;

• использование Notes автоматически связано с необходимостью привязки компании к фирменным технологиям Lotus (что многими воспринимается как существенный недостаток), а также к точке зрения только одной фирмы на прикладное программное обеспече­ние для рабочих групп. При работе с Intranet можно выбирать любых поставщиков продукции, удовлетворяющей предъявляемым требованиям;

• для разработки приложений под Notes программисты компании должны использовать базы данных Notes и соответственно преоб­разовать уже существующие приложения.

Хотя Notes и Intranet дополняют (а не исключают) друг друга, по соображениям издержек приходится выбирать что-то одно. Какую из этих технологий необходимо развернуть в своей компании, зависит от ее потребностей. Предпочтение следует отдать Notes, если в каче­стве критериев выбора принимаются такие: наличие высокоинтегри­рованного набора инструментальных средств, наличие многоуровне­вой системы безопасности, возможность координации совместной работы, необходимость ограничения числа служащих по управлению данными и поддержке приложений, необходимость в сложной системе управления документооборотом.

Выбор будет в пользу Intranet, если: необходимо иметь развитую и эффективную электронную систему размещения и распределения до­кументов, когда их создание и обслуживание осуществляются в раз­личных подразделениях компании; имеющиеся в Intranet средства e-mail и конференц-связи Web вполне удовлетворяют потребности в организа­ции совместной работы; ограничения по количеству служащих, заня­тых управлением данными, не накладываются (пользователи сами уп­равляют документами); необходимо разрабатывать сложные заказные приложения корпоративной сети; есть возможность появления в прода­же усовершенствованных версий программного обеспечения Intranet. В настоящее время наблюдается тенденция к сближению приклад­ных программных продуктов для рабочих групп (таких, как Notes) и основанных на Intranet решений. Фирма Lotus подтвердила, что бу­дущее принадлежит открытым системам. Новое программное обес­печение Inter Notes Web Publisher, являющееся неотъемлемой частью Notes, позволяет пользователям Notes автоматически связываться с серверами Notes, используя Web-броузер, а также транслировать до­кументы Notes в Web-страницы.

Для сокращения времени на создание и запуск корпоративной сети необходимо решить вопрос: что из готового программного обеспече­ния следует приобрести, а что нужно разработать собственными силами? В настоящее время на рынке имеются четыре группы современ­ных программных средств для Intranet: поисковые серверы; программ­ное обеспечение для дискуссионных групп; системы управления доку­ментами и программы координации совместной работы.

Средства поискового сервера помогают быстро и эффективно на­ходить нужную информацию в корпоративной сети. Программное обеспечение для дискуссионных групп, способствующее совместной работе над проектами, может работать на различных платформах (та­кие программы отличаются по своим характеристикам и стоимости установки). Большинство систем управления документами, помога­ющие пользователям находить нужные документы и управляющие внесением изменений в документы, основаны на фирменных-техноло­гиях. Они сложнее и дороже программ для поиска и дискуссионных групп. Программы координации совместной работы, позволяющие пользователям автоматизировать текущие производственные процес­сы, могут быть расширениями системы управления документами. Они также сложны и требуют обучения сотрудников. Интегрированные программные продукты лучше всего подходят для крупных органи­заций с большими информационно-технологическими ресурсами.

Развитие программного обеспечения корпоративных сетей, как и сети Internet, связано с широким использованием достаточно нового языка программирования — Java, основное назначение которого — предоставление пользователям возможности выполнять программы прямо на Web-страницах. С помощью Java программисты могут со­здавать небольшие приложения (апплеты) со встроенными мультиме­дийными средствами, такими, как текст, изображения, звук и видео­материалы. Апплеты Java независимы от платформы, т.е. если создан апплет для использования под Windows, он может выполняться на любом броузере, например на броузере, работающем под Unix. Разра­ботчики языка Java при его формировании имели в виду и проблемы безопасности: ограничения, содержащиеся в Java, затрудняют созда­ние вирусов на этом языке.
^ 16.3. Сетевое оборудование КВС

В настоящее время сетевое оборудование выпускается многими фирмами, каждая из которых энергично рекламирует свою продук­цию, что создает дополнительные трудности при его выборе. Есть несколько критериев, которыми следует руководствоваться при вы­боре сетевого оборудования. К ним относятся [20]: • характеристика фирмы — производителя сетевого оборудования,

ее известность на рынке сбыта как производителя высококачественной продукции;

• функциональные возможности изделия, его выходные технико-эк­сплуатационные характеристики и условия эксплуатации;

• наличие стандартов по изделию;

• возможность подбора оборудования, производимого одной и той же фирмой.

Ниже даются краткие сведения по основному сетевому оборудо­ванию КВС, используемому в сетях Х.25 и FR.

Модемыэто наиболее массовый вид оборудования в сетях. Они различаются между собой по способу модуляции, пропускной способ­ности, способу коррекции ошибок, способу сжатия данных. Для раз­личных скоростей работы модемов, различных способов коррекции ошибок и сжатия данных разработаны стандарты.

При построении сети на базе телефонных каналов широко исполь­зуются модемы серии 326xV.34 SDC (Synchronous Data Compression) фирмы Motorola — мирового лидера в производстве высокоскорост­ных аналоговых устройств. Эти модемы являются одной из лучших реализаций стандарта V.34. Они позволяют передавать по 2 — 4-провод-ным выделенным каналам связи данные со скоростью до 28,8 Кбит/с, в качестве дополнительного средства повышения скорости и досто­верности данных реализован режим синхронной компрессии (при этом скорость возрастает до 128 Кбит/с), что делает эти модемы идеальны­ми для сетей Х.25/ Frame Relay.

Модемы стандарта V.34 включают в свой состав последние дос­тижения в технологии модуляции, в том числе: предварительное тес­тирование линии, предварительный выбор способа кодирования, адап­тивное управление мощностью сигнала, многомерное решетчатое кодирование. Это позволяет достичь максимально возможной скорос­ти передачи, что особенно важно при использовании телефонных ли­ний невысокого качества.

Модемы семейства 326х успешно применяются для соединений между собой маршрутизаторами и удаленными локальными сетями, в качестве альтернативы дорогим цифровым сетям передачи данных, для ответственных приложений, требующих надежной и устойчивой связи. Они прошли испытания на всей территории России и отлично зарекомендовали себя на отечественных каналах связи.

К наиболее распространенным модемам для передачи данных и факса производства фирмы Motorola относятся следующие [20]:

• модемы серии 3400 PRO PC — для передачи данных и факса по 2-проводным коммутируемым линиям со скоростью от 300 бит/с до 28,8 Кбит/с; скорость передачи в синхронном режиме до 115,2 Кбит/с, скорость передачи факса от 2400 до 14400 бит/с;

• модемы серии PREMIER 33,6, их характеристики близки к харак­теристикам серии 3400 PRO PC. Большой популярностью пользуются технические средства для

построения корпоративных сетей связи, производимые компанией RAD

DATA COMMUNICATIONS. Среди них — модемы для проводных выделенных линий связи, в частности синхронные модемы для работы на 4-проводных линиях в дуплексном режиме:

• ASM-20, скорость от 32 до 256 Кбит/с, радиус действия на про­воде-сечением 0,5 мм равен 7,5 км при скорости передачи 64 Кбит/с;

• ASM-40, скорость от 64 до 2048 Кбит/с, радиус действия может достигать до 20 км;

• МТМ-20, скорость от 32 до 64 Кбит/с, радиус действия — до 14 км

при скорости передачи 32 Кбит/с.

Мультиплексоры это многофункциональные устройства, исполь­зуемые в качестве устройств доступа к сетям, а также для построения узлов корпоративной сети. В настоящее время в сетях с коммутацией пакетов чаще всего используются мультиплексоры СХ-1000 фирмы Memotec, MPRouter 6520 фирмы Motorola, Kilomux-3000 фирмы RAD.

Рассмотрим характеристики мультиплексора/коммутатора СХ-1000, предназначенного для организации передачи голоса/данных в сетях FR. Фирма-производитель Memotec — широко известная се­вероамериканская транснациональная компания, работающая на рын­ке сетевого оборудования с 1969 г. Изделие СХ-1000 имеет модуль­ную конструкцию, что позволяет создавать узел сети с необходимым набором функций и требуемым числом портов в одном шасси.

С учетом возможности одновременной передачи данных, оцифро­ванного голоса и факсимильных сообщений изделие СХ-1000 имеет много уникальных особенностей [20]:

• минимальная скорость оцифровки голоса равна 4,8 бит/с, причем реализован механизм подавления пауз, позволяющий экономить до 50 % полосы пропускания канала, отводимой под передачу голоса;

• механизм голосовой компрессии, используемый в изделии, устой­чив к потерям кадров, т.е. голосовое соединение не разрывается и качество передачи голоса остается удовлетворительным;

• в голосовой модуль изделия заложены возможности автоматичес­кого распознавания и передачи сигналов факсимильных аппара­тов, что позволяет использовать порты голосовой платы для под­ключения этих аппаратов без изменения конфигурации модуля;

• голосовой модуль поддерживает все существующие аналоговые и цифровые интерфейсы телефонного оборудования. В сочетании с развитыми встроенными функциями коммутации голосовых соеди­нений это дает возможность реализовать территориально-распределенную ведомственную телефонную сеть с подключенными к ней телефонно-факсимильными аппаратами, учрежденскими и городс­кими АТС.

В состав мультиплексора СХ-1000 входит большой набор функ­циональных модулей, каждый из которых включает одну процессор­ную плату и несколько плат ввода-вывода.

К основным функциональным модулям относятся:

• FR-600 — модуль коммутации/доступа Frame Relay, выполняю­щий функции центра коммуникации сети FR и устройства досту­па к ней. Модуль выполняет процедуры протоколов управления FR, решает задачи маршрутизации, поддерживая четырехуровне­вую систему абсолютных и относительных приоритетов инфор­мационных потоков, широковещательную передачу, фрагмента­цию и компрессию данных;

• АС-600 — модуль передачи голоса/факса по сети FR через мо­дуль FR-600. Он поддерживает функции коммутации телефон­ных соединений и обеспечивает автоматический выбор свобод­ного канала из группы, автоматическое соединение, переадреса­цию вызова и т.д. Модуль обеспечивает подключение как обыч­ных аналоговых телефонных аппаратов, так и учрежденских и городских АТС, построение ведомственной распределенной теле­фонной сети, наложенной на сеть передачи данных. Оцифровка голоса осуществляется со скоростью 4,8 и 8 Кбит/с, автомати­ческое распознавание и передача сигналов факсимильного обме­на — со скоростью от 2,4 до 9,6 Кбит/с. При использовании это­го модуля уменьшается вероятность несанкционированного дос­тупа к голосовым сообщениям, так как вся информация оцифро­вывается, кодируется и уплотняется в общий поток, что исклю­чает возможность прямого прослушивания телефонных перего­воров в канале связи;

• CL-600 — модуль удаленного моста-маршрутизатора, обеспечи­вающий взаимодействие удаленных ЛВС через сеть FR (типы ЛВС Ethernet или Token Ring, количество — до 256). Маршрутизация выполняется для протоколов IP и IPX;

• РХ-674 — модуль коммутации пакетов сетей Х.25, FR. Может фун­кционировать в качестве центра коммутации пакетов сети Х.25, а также осуществлять инкапсуляцию данных в кадры FR для пе­редачи их по сети (через модуль FR 600);

• DI-600 — модуль интерфейса Е1/Т1, обеспечивающий использова­ние цифровых групповых каналов учреждения и городских АТС (24 канала Т1 или 20 каналов Е1) для передачи голосового трафи­ка в сеть FR, осуществляя при этом компрессию оцифрованного голосового трафика (скорость передачи речи — 5,8 и 8 Кбит/с). Модуль полностью совместим с модулем АС-600, он выполняет практически те же функции: коммутацию голоса, автоматическое распознавание и передачу сигналов факсимильного обмена, подав­ление пауз, автоматическое соединение, переадресацию вызова, ав­томатический вызов свободного канала из группы;

• МС-600 D — низкоскоростной модуль компрессии данных, под­держивающий практически все известные типы сетевых архитек­тур и протоколов (скорость портов до — 128 Кбит/с);

• НС-600 — высокоскоростной модуль компрессии, функционально аналогичный модулю MC600D (скорость портов — до 2048 Кбит/с);

• FX-600 — новый многофункциональный модуль, отличающийся универсальностью: он может одновременно выполнять функции моста-маршрутизатора локальной сети, коммутатора FX, центра коммутации пакетов для протоколов Х.25, а также предоставлять широкий набор сервисных услуг (разграничение доступа, созда­ние пользовательских групп, учет графика и т.д.). Оборудование опорных узлов КВС. Кроме многофункциональных устройств типа СХ-1000, в сетях связи КВС могут использоваться устройства с ограниченным числом выполняемых функций для со­здания опорных узлов. Характеристики некоторых из этих устройств указаны ниже.

1. Региональный концентратор серии RC 6500 Plus производства фирмы Motorola, предназначенный для создания высокопроизводитель­ных узлов связи в сетях FR и Х.25. Его основные функции: обеспече­ние коммутации пакетов в сетях X.25/FR и доступ абонентов к этим сетям по выделенным и коммутируемым линиям связи, поддержка от 12 до 54 последовательных синхронных/асинхронных портов. Каждый порт может быть сконфигурирован как устройство доступа к сети FR, как коммутатор пакетов Х.25 или пакетов FR, как сборщик/разбор­щик пакетов с поддержкой стандартов Х.28 и Х.29.

На базе концентратора RC 6500 Plus можно создавать компакт­ные высокопроизводительные узлы коммутации пакетов, конструк­тивно объединенные с модемами, мультиплексорами и другим обору­дованием канала передачи данных.

2. Удаленный многопротокольный мост/маршрутизатор с гибкой расширяемой конфигурацией серии 6520 (Multimedia Perupheru Router фирмы Motorola), имеющий до 17 портов, что позволяет использовать его для больших отделений корпорации. Изделие имеет специализи­рованный процессор для сжатия данных и программное обеспечение, реализующее широкий набор протоколов.

3. Многопротокольный мост/маршрутизатор серии 6560, пред­ставляющий собой более совершенный вариант изделия серии 6520. Он поддерживает скорость во всех каналах до 2 Мбит/с, число пор­тов увеличено до 19, процессор обеспечивает сжатие данных для 15, 75 и 508 каналов.

Система видеоконференц-связи. Организация видеоконференц-свя-зи (ВКС) имеет исключительно важное значение для обеспечения опе­ративного обмена информацией и принятия обоснованных, приемле­мых для всех участников видеоконференции решений, касающихся про­изводственно-хозяйственной деятельности корпорации.

Из ряда систем ВКС выделим систему OnLAN фирмы RADVision [20], получившую известность и предназначенную для организации ВКС в локальных или территориально-распределенных сетях. Она

относится к классу настольных систем ВКС и может быть установле­на на любой персональный компьютер, совместимый с IBM PC. При работе через распределенную сеть можно использовать каналы с про­пускной способностью 64 Кбит/с. Обеспечиваемая скорость обмена информацией — от 64 до 384 Кбит/с с частотой смены кадров 15 кад­ров/с и 30 кадров/с при использовании различных стандартов. Систе­ма обеспечивает поддержку стандартных телефонных услуг: набор номера вызываемого абонента с клавиатуры или с помощью систем­ного телефона, соединения, регулировку громкости звука, разъеди­нение. Для передачи звука используется компрессия. Все оборудова­ние станции соответствует стандарту ITU-T, регламентирующему передачу видеоизображения и голоса в распределенных сетях, что обеспечивает совместимость системы OnLAN с видеоконференция­ми других производителей.

Оборудование системы OnLAN для проведения ВКС состоит из видеостанции (рабочего места для конечного пользователя) и марш­рутизатора видеопотока.

Видеостанция включает плату компрессии-декомпрессии (Codec), к которой подключается видеокамера, активные колонки и набор соединительных кабелей. Используются видеокамеры с системой дис­танционного позиционирования и дистанционного управления такими функциями, как панорама и увеличение. Программное обеспечение ви­деостанции позволяет осуществлять работу с независимо масштаби­руемыми окнами принимаемого и передаваемого изображения.

Маршрутизатор видеопотока при организации ВКС играет ключе­вую роль. Он устанавливает соединения между видеостанциями, обес­печивает соединение различных сегментов локальной сети, осуществ­ляет маршрутизацию видеопотока между локальными сетями и терри­ториальной сетью. Один маршрутизатор видеопотока может обеспечить одновременное проведение четырех сессий. Маршрутизатор может ис­пользоваться для организации ВКС в нескольких локальных сетях, вза­имодействующих через территориально-распределенную сеть.

^ Системы управления сетью. Надежное функционирование сети обеспечивается ее системой управления. В настоящее время ряд фирм выпускает системы управления, по своим функциональным возмож­ностям мало отличающиеся друг от друга. Рассмотрим системы уп­равления сетью фирмы Motorola.

Система управления 9000-РС предназначена для управления ма­лыми и средними сетями на базе устройств производства фирмы Motorola и других поставщиков оборудования, поддерживающих про­токол SNMP. Программное обеспечение системы 9000-РС создает полную и надежную систему управления по этому протоколу на базе персонального компьютера. Система позволяет управлять, конфигу­рировать и тестировать изделия фирмы Motorola, поддерживающие протокол SNMP.

Система управления 9000-VX фирмы Motorola обеспечивает уп­равление модемами и устройствами сетевого доступа этой фирмы, а также оборудованием других фирм, поддерживающих протокол SNMP. Она может быть использована для управления как существу­ющими сетями, так и сетями будущего. Система управления реализо­вана на базе наиболее популярной платформы управления HP Open View, графические возможности которой позволяют отображать об­щую топологию и каждый элемент сети в отдельности.
^ 16.4. Безопасность КВС

Вопросы обеспечения безопасности информации КВС, ее инфор­мационных и программных ресурсов (или: вопросы безопасности КВС) приобретают особое значение, если принять во внимание конфиденци­альный характер информации, зачастую представляющий собой фир­менную тайну. Структура Intranet, как и структура Internet, во мно­гих случаях обеспечивает свободный поток информации и не содер­жит адекватных средств ее защиты от несанкционированного доступа, что позволяет злоумышленникам получать информацию прямо из кор­поративной сети. Поэтому, создавая корпоративную сеть, необходи­мо разработать и реализовать стратегию обеспечения безопасности, позволяющую защитить сеть от внешних и внутренних несанкциони­рованных посетителей.
^ 16.4.1. Принципы построения системы обеспечения безопасности КВС

В рамках построения защищенной корпоративной сети принципи­ально возможен выбор одной из двух концепций [57]:

• создание надежной системы обеспечения безопасности (СОБ) кор­поративной сети, построенной на базе каналов связи и средств коммутации ТСС общего пользования, в которой применяются от­крытые протоколы Internet;

• отказ от средств Internet, создание корпоративной сети на базе спе­циализированной или выделенной сети связи с использованием кон­кретной сетевой технологии, в частности ATM, FR, ISDN. Эти концепции представляют полярные взгляды на решение про­блемы обеспечения безопасности КВС и, как следствие, имеют опре­деленные недостатки. Первая концепция связана с большими затра­тами на обеспечение надежной защиты информации при подключении КВС к Internet. Вторая предлагает отказаться от услуг Internet и реа­лизуемых в ней технологий, убедительно доказавших свою жизнеспо­собность и эффективность. Очевидно, что решение проблемы обеспечения безопасности КВС представляет собой некоторый компромисс между этими концепциями.

Отличительными особенностями КВС можно считать централизо­ванное управление сетью связи и заданный уровень защищенности сети, определяемый конфиденциальностью обрабатываемой информации и учитывающий характеристики средств и каналов связи. Компромисс­ное решение по созданию СОБ корпоративной сети, использующей ка­налы Internet, может базироваться на двух основных принципах [57]:

• использование закрытого протокола при установлении соединения «клиент — сервер», обеспечивающего защищенное взаимодействие абонентов по виртуальному каналу связи;

• доступность открытых протоколов (команд Internet) для взаимо­действия по защищенному виртуальному каналу после установ­ления соединения.
^ 16.4.2. Функциональные требования к СОБ корпоративной сети

К основным функциональным требованиям относятся следующие.

1. Многоуровневость СОБ, предусматривающая наличие несколь­ких рубежей защиты, реализованных в разных точках сети.

2.Распределенность средств защиты по разным элементам сети с обеспечением автономного управления каждым из этих средств.

^ 3.Разнородность или разнотипность применяемых средств защи­ты. Предпочтение должно отдаваться аппаратным средствам, так как они не поддаются прямому воздействию из внешней сети. Однако на разных уровнях защиты должны использоваться и программные сред­ства. Требование разнотипности относится и к использованию раз­личных механизмов защиты: нельзя ограничиваться, например, одной криптографической защитой или построением сверхзащищенной тех­нологии аутентификации, необходимо реализовать и другие механиз­мы защиты.

^ 4. Уникальность защиты, являющаяся ее краеугольным камнем. Степень защищенности КВС можно оценить сложностью и, главное, оригинальностью алгоритма защиты, деленному на количество реа­лизаций такого алгоритма.и на время его использования. Это означа­ет, что с течением времени любой механизм защиты будет вскрыт, особенно если он многократно тиражирован, т.е. представлен для ис­следования большому количеству хакеров. Следовательно, предпоч­тение следует отдать собственному механизму защиты, уникальность которого ослабит интерес со стороны хакеров, поскольку их в гораз­до большей степени привлекают массовые, типовые решения (для них можно создать стандартные средства вскрытия, допускающие тира­жирование).

^ 5. Непрерывность развития СОБ, т.е. постоянное наращивание возможностей и модификация системы защиты с течением времени. Развитие должно быть заложено в самом механизме защиты. Разра­ботка СОБ — это не одноразовое действие, а постоянный процесс.

^ 6. Распределение полномочий, в соответствии с которым ни один человек персонально не имеет доступ ко всем возможностям систе­мы. Такие возможности открываются только группе уполномоченных лиц. Один из аспектов этого требования заключается в том, что смен­ный дежурный администратор сети не может обладать теми же пол­номочиями по конфигурированию системы защиты, которыми обла­дает администратор по управлению безопасностью сети.

^ 7. Прозрачность и простота средств защиты. Это требование трудно реализовать на практике, оно достаточно противоречиво. Для эксплуатации СОБ лучше иметь много простых и понятных средств, чем одно сложное и трудновоспринимаемое средство. Однако для за­щиты от хакеров предпочтительными могут оказаться сложные и «не­прозрачные» решения.

^ 8. Физическое разделение (подключение к различным связным ре­сурсам) серверов и рабочих мест, т.е. организация подсетей рабочих мест и серверов.

9. Обеспечение предотвращения несанкционированного доступа к информационным ресурсам КВС со стороны внутренних и внешних не­доброжелателей. Для этого следует предусмотреть такие мероприятия:

• снабдить КВС межсетевыми средствами защиты от несанкциони­рованного доступа, которые должны обеспечить сокрытие струк­туры защищаемых объектов, в частности IP-адресов (шифрова­ние этих адресов недопустимо при использовании средств комму­тации ТСС общего пользования);

• обеспечить закрытие и несовместимость протоколов верхних уров­ней (5-го и 7-го уровней модели ВОС) с протоколами телекомму­никационных служб Internet при установлении соединения и откры­тие при обмене информацией;

• обеспечить защиту от возможной подмены алгоритма взаимодей­ствия клиента с сервером при установлении соединения между ними;

• исключить сервер Internet (коммуникационный сервер доступа к Internet) из подсети функциональных серверов КВС; он должен иметь собственную группу рабочих станций, исключенных из под­сети функциональных рабочих мест КВС.

10. Организация централизованной службы административного уп­равления сети, включающей службы управления: эффективностью фун­кционирования; конфигурацией и именами; учетными данными; при от­казах и сбоях. Создание единого центра управления сетью связи (ЦУС).

11. Организация централизованной службы административного управления безопасностью сети, обеспечивающая высокий уровень защищенности КВС. Создание выделенного центра управления безо-

пасностью (ЦУБ) сети, основные функции которого: сбор информа­ции о зарегистрированных нарушениях, ее обработка и анализ с це­лью удаленного управления всеми техническими средствами защиты информации. Функции ЦУБ и ЦУС не должны быть совмещены на одном рабочем месте администратора сети, хотя они и являются служ­бами сетевого управления. Необходимо предусмотреть алгоритм вза­имодействия между ними, с тем чтобы предотвратить принятие пря­мо противоположных решений, принимаемых администраторами для управления и защиты ВКС в процессе ее функционирования.

Ориентация на эти требования и их реализация обеспечивают бе­зопасность информации в КВС, т.е. создают такие условия ввода-вы­вода, хранения, обработки и передачи, при которых гарантируется достаточная степень защиты от утечки, модификации и утраты, а также свободный доступ к данным только их владельца и его дове­ренных лиц. Удовлетворение перечисленных требований позволяет формировать систему обеспечения безопасности корпоративной сети, которая представляет собой совокупность правил, методов и аппа­ратно-программных средств, создаваемых при ее проектировании, непрерывно совершенствуемых и поддерживаемых в процессе эксп­луатации для предупреждения нарушений нормального функциони­рования при проявлении случайных факторов или умышленных дей­ствий, когда возможно нанесение ущерба пользователям путем отка­за в обслуживании, раскрытия или модификации защищаемых процессов, данных или технических средств.

Количественная оценка прочности защиты (вероятности ее пре­одоления) может осуществляться с помощью временного фактора. Если время контроля и передачи сообщения в ЦУБ о несанкционированном доступе меньше ожидаемого времени, затрачиваемого нарушителем на преодоление средств защиты и блокировки доступа к информации, то вероятность преодоления этих средств приближается к единице, в противном случае прочность защиты выше. Средства защиты обеспе­чивают приемлемую прочность, если ожидаемые затраты времени на их преодоление будут больше времени жизни информации, подлежа­щей защите.
^ 16.4.3. Классификация средств защиты

Рассмотрим классификационную структуру средств защиты, при­чем деление их на группы будет осуществляться в зависимости от способа реализации [25;38].

  1. Организационные методы обеспечения безопасности. Они явля­ются первым (или последним) рубежом защиты сети и представляют собой некоторый набор инструкций, определяющий обязательные для всех пользователей порядок и правила использования компьютеров сети, а также ограничения по правилам доступа в компьютерные по­мещения.

^ 2. Технологические методы обеспечения безопасности. Они могут рассматриваться как основа защиты любой системы. Любое техноло­гическое решение реализуется организационно, аппаратно или программ­но. Примеры технологических решений: фильтрация пакетов, монито­ринг и аудит системы, автоматическое ведение журналов регистрации, система «обратного дозвона» при наличии в сети удаленных пользова­телей (система не устанавливает соединение по запросу удаленного пользователя, а только регистрирует запрос на соединение и сама про­изводит обратный вызов абонента по указанному им адресу).

^ 3. Программные средства защиты. Это наиболее распространен­ные средства, так как с их помощью могут быть реализованы прак­тически все идеи и методы защиты, и, кроме того, по сравнению с ап­паратными средствами они имеют невысокую стоимость. С помощью программных методов обеспечения безопасности реализованы почти все межсетевые экраны и большинство средств криптографической защиты. Основным их недостатком является доступность для хаке­ров, особенно это касается широко распространенных на рынке средств защиты. Поэтому желательна разработка собственных ори­гинальных программных средств защиты.

^ 4. Аппаратные средства защиты. Такие средства принадлежат к наиболее защищенной части системы. С их помощью также могут быть реализованы любые концепции защиты, но стоимость реализации оказывается на порядок выше по сравнению с аналогичными по на­значению программными средствами. При наличии выбора предпоч­тение следует отдавать аппаратным средствам защиты, так как они исключают любое вмешательство в их работу непосредственно из сети. Изучение работы этих средств возможно только при наличии непосредственного физического доступа к ним. Другим преимуще­ством аппаратных средств является большая их производительность по сравнению с программными средствами защиты (особенно в слу­чае их использования в устройствах криптографической защиты).

^ 5. Аппаратно-программные (гибридные) методы защиты. Это средства, основанные на использовании технологических устройств, допускающих некоторую настройку параметров их работы программ­ными методами. Они представляют собой компромисс между преды­дущими двумя способами и совмещают высокую производительность аппаратно реализованных систем и гибкость настройки программных. Типичными представителями такого рода устройств является аппа­ратно реализованные маршрутизаторы фирмы Cisco, которые допус­кают их настройку в качестве пакетных фильтров.

По способу реализации программного управления аппаратные средства можно разделить на два вида: предусматривающие свою

программную настройку с помощью сетевого компьютера, к которо­му они подключены, и требующие программирования своей работы с помощью специального устройства, отличного от используемого в сети компьютера. Вторые обладают тем очевидным преимуществом, что после соединения с компьютером сети их программа не может быть изменена.
^ 16.4.4. Способы разработки средств защиты

Существуют различные варианты разработки средств защиты для СОБ корпоративной сети: коммерческая реализация средств защиты, самостоятельная разработка, индивидуальный заказ средств защиты, смешанный (гибридный) подход к реализации этих средств. Приве­дем краткую характеристику этих вариантов.

Коммерческая реализация средств защиты в настоящее время ос­тается единственным доступным полнофункциональным решением для аппаратных и программных средств. При использовании таких средств следует обращать внимание на их сертификацию соответ­ствующими органами и приобретать только лицензионные версии. Общим и очевидным недостатком является неопределенная степень защиты по отношению к возможностям фирмы-производителя. В свя­зи с этим там, где это возможно (при разработке, например, организа­ционных и технологических средств), следует воспринимать общие рекомендации, но не всегда использовать конкретные рекомендуемые решения. При использовании коммерческих продуктов следует хотя бы их настройку производить самостоятельно (несмотря на значитель­ные трудозатраты), не полагаясь на конфигурацию поставки или раз­личные установки по умолчанию.

Самостоятельная разработка средств защиты является во всех отношениях предпочтительным вариантом. Именно так должны раз­рабатываться организационные и технологические методы защиты. При самостоятельной разработке аппаратных и программных средств серьезным недостатком является трудность сертификации конечного продукта. Разработка программ существенно упрощается при исполь­зовании инструментальных средств программирования.

В рамках такого варианта разработки средств защиты рациональ­ной представляется самостоятельная разработка тех дополнений этих средств, которые необходимы, но отсутствуют в готовом продукте. В этом случае получается дополнительный рубеж защиты, в том числе и от фирмы — производителя данного продукта.

  1. Индивидуальный заказ средств защиты крупным производителям мог бы стать идеальным вариантом, но в настоящее время трудно найти организацию, готовую реализовать такой заказ в полном объеме, так как конкурировать с возможностями фирмы Microsoft нере­ально. Разработанный продукт может оказаться несовместимым с оче­редной версией операционной системы этой фирмы и с ее компонента­ми, которые развиваются удивительными темпами, исключающими возможность их полноценного предварительного тестирования и изу­чения.

Смешанный подход к реализации средств защиты основан на том, что следует, не полагаясь на опыт поставщика, самостоятельно ра­зобраться во всех возможностях настройки предлагаемого изделия и самостоятельно ее произвести, хотя это и связано с существенными трудозатратами. Такой подход почти всегда реален и реализуем.

Рассматриваемые ниже конкретные методы и средства защиты, используемые в корпоративных сетях, разделены на традиционные и специфические сетевые. Традиционные методы и средства зарожда­лись и использовались еще до появления ТВС как в отдельных компь­ютерах, так и в многопользовательских средствах, построенных на одном компьютере. Сетевые методы и средства появились только с развитием сетевых технологий. Они не заменяют, а дополняют тра­диционные методы.
^ 16.4.5.Традиционные методы и средства обеспечения безопасности КВС

К традиционным методам и средствам обеспечения безопасности относятся следующие.

1. Парольная защита основана на том, что для использования ка­кого-либо ресурса необходимо задать некоторую комбинацию сим­волов, или пароль, открывающий доступ к этому ресурсу. С помо­щью паролей защищаются файлы, личные или фирменные архивы, программы и отдельные компьютеры (пароль на включение компью­тера). Недостатки такой защиты: слабая защищенность коротких (ме­нее 8 символов) паролей, которые на современных компьютерах рас­крываются простым перебором, и необходимость частой смены паро­лей. В сетях пароли используются как самостоятельно, так и в качестве основы для различных методов аутентификации.

В практике использования паролей выработался целый «свод за­конов», основные из которых следущие:

• в качестве пароля не может использоваться слово из какого бы то ни было языка;

• длина пароля не может быть менее 8 символов;

• один и тот же пароль не может быть использован для доступа к разным средствам;

• старый пароль не должен использоваться повторно;

• пароль должен меняться как можно чаще.

^ 2. Идентификация пользователей представляет собой некоторое раз­витие системы парольной защиты на более современном техническом уровне. Она основана на применении для идентификации пользователей специальных электронных карт, содержащих идентифицирующую конк­ретного пользователя информацию (подобно банковским кредитным кар­точкам). Системы идентификации пользователей реализуются аппарат­но и являются более надежными, чем парольная защита.

^ 3. Аутентификация пользователей это развитие систем па­рольной защиты и идентификации для использования в сетях. Аутен­тификация — это процедура проверки пользователя, аппаратуры или программы для получения доступа к определенной информации или ресурсу. По отношению к пользователю система аутентификации обыч­но требует указания имени и предъявления пароля или электронной карты. Поскольку частая смена паролей, а тем более электронных карт, крайне неудобна, многие переходят на использование одноразо­вого динамического пароля, который генерируется аппаратными или программными средствами.

^ 4. Криптографические методы защиты являются необходимыми во всех случаях обеспечения безопасности, независимо от того, при­меняются они в сети или вне ее. Они основаны на шифровании инфор­мации и программ. Шифрование программ обеспечивает гарантию невозможности внесения в них изменений. Криптографическая защи­та данных осуществляется как при их хранении, так и при передаче по сети, причем хранение данных в зашифрованном виде существен­но повышает степень их защищенности. В настоящее время доступны как программная, так и высокопроизводительная аппаратная реали­зация средств криптографии.

^ 5. Привязка программ и данных к конкретному компьютеру (сети или ключу) метод, весьма динамичный по развитию реализующих его средств защиты. Основная идея метода — включение в данные или в программу конкретных параметров или характеристик конкретного компьютера, которое делает невозможным чтение данных или исполне­ние программ на другом компьютере. Применительно к сети различные модификации этого метода могут требовать либо выполнения всех опе­раций на конкретном компьютере, либо наличия активного соединения сети с конкретным компьютером. Возможности использования метода «привязки» могут значительно повысить защищенность сети.

6. Разграничение прав доступа пользователей к ресурсам сети метод, основанный на использовании таблиц или наборов таблиц, определяющих права пользователей и построенных по правилам «раз­решено все, кроме» или «разрешено только». Таблицы по идентифи­катору или паролю пользователя определяют его права доступа к дискам, разделам диска, конкретным файлам или их группам, опера­циям записи, чтения или копирования, системному принтеру и другим ресурсам сети. Возможность такого разграничения доступа определя-

ется, как правило, возможностями используемой операционной сис­темы и заложены именно в ней. Большинство современных СОС пре­дусматривают разграничение доступа, но в каждой из них эти воз­можности реализованы в разном объеме и разными способами.

^ 7. Использование заложенных в ОС возможностей защиты это обязательное правило. Однако большинство ОС либо имеют минималь­ную защиту, либо предоставляют возможности ее реализации допол­нительными средствами.

Исторически сложилось так, что в США большинство потребите­лей в локальных сетях используют UNIX, а в России — Novel NetWare З.х/4.х. Создаваемые в настоящее время локальные сети в России и за рубежом все в большей степени ориентируются на продукцию фирмы Microsoft — Windows NT 4.0/5.0, которая обеспечивает также под­ключение к Internet и позволяет реализовать унификацию интерфей­сов и способов представления и передачи информации.

Windows NT является единственной коммерческой операционной системой, сертифицированной на класс защиты, который предус­матривает:

• возможность владельца ресурса (например, файла) контролировать доступ к нему;

• защиту объектов средствами ОС от повторного использования дру­гими процессами;

• идентификацию пользователей с помощью уникальных имен и паро­лей, используемых для отслеживания деятельности пользователей;

• возможность аудита событий, связанных с безопасностью;

• защиту ОС самой себя от изменений.

Необходимо учитывать, что защищенность локальной сети (в том числе и являющейся частью КВС) определяется ее слабым звеном. Поэтому неоднородные сети, в которых используются разные ОС и платформы, всегда представляют повышенную опасность. Даже за­щита Windows NT значительно ослабляется, если в сети есть клиен­ты, например, Windows 95/98, не говоря об операционных системах других производителей.
^ 16.4.6. Специфические сетевые методы и средства обеспечения безопасности КВС

Прежде всего введем понятие промежуточной сети (perimeter network), которая представляет собой совокупность оборудования (включая межсетевые экраны, маршрутизаторы, концентраторы, мосты и т.д.), расположенного между двумя объединенными сетями. Основные типы устройств защиты промежуточной сети — это пакет­ные фильтры, прокси-системы и системы контроля текущего состоя­ния, которые обычно реализуются в межсетевых экранах [4].

^ 1. Межсетевые экраны (брандмауэры) это программные, ап­паратные или программно-аппаратные механизмы защиты сети от внешнего мира, которые служат барьером, ограничивающим распро­странение информации из одной сети в другую.

Межсетевые экраны (МЭ) разделяются на открытые, функциони­рующие на основе открытых протоколов Internet и предназначенные для подключения к КВС открытых серверов Internet, и корпоратив­ные, позволяющие организовать в КВС защищенное взаимодействие «клиент — сервер» с закрытыми серверами корпоративной сети, в том числе по виртуальным каналам сетей общего пользования.

Корпоративные МЭ делятся на внутренние и внешние. Внешние МЭ, работающие на виртуальном канале парами (входной и выход­ной МЭ), предназначены для разграничения прав доступа к виртуаль­ному каналу связи и согласования параметров его защищенности при взаимодействии «клиент — сервер». Внутренние МЭ обеспечивают раз­граничение прав доступа к ресурсам информационного сервера.

Основные функции МЭ корпоративной сети [4]:

• физическое отделение рабочих станций и серверов КВС от кана­лов сети связи общего назначения (деление на подсети);

• согласование качества обслуживания между межсетевыми сред­ствами защиты глобальной сети при установлении соединения;

• разграничение прав доступа пользователей КВС к серверам по не­скольким критериям;

• регистрация всех событий, связанных с доступом к серверам КВС;

• контроль за целостностью программного обеспечения и данных, а также отслеживание прерывания такого контроля во время сеанса обмена данными;

• обеспечение многоэтапной идентификации и аутентификации всех сетевых элементов;

• сокрытие IP-адресов информационных серверов.

В дополнение к службам контроля за доступом, аутентификации одноуровневых объектов и доступа к источникам данных межсете­вой экран КВС на уровне взаимодействия «клиент — сервер» должен использовать средства защиты, реализующие функции таких служб безопасности: засекречивания соединения, засекречивания выбороч­ных полей и потока данных, контроля за целостностью соединения и выборочных полей, защиты от отказов с подтверждением отправле­ния и доставки.

Существует несколько типов межсетевых экранов, отличающихся назначением и принципами построения. Основные из них — пакетные фильтры, прокси-системы, устройства контроля текущего состояния.

Пакетные фильтры (аппаратные или программные) предназначе­ны для ограничения входящего и исходящего трафика между адреса­тами (взаимодействующими абонентами) сети, реализуя при этом определенный набор правил, задаваемых при их настройке.

Примером типичного аппаратного фильтра может служить филь­трующий маршрутизатор, в который встроены функции ограниче­ния трафика на входе и выходе. Такие фильтры достаточно гибки и обладают высокой пропускной способностью.

Программный фильтр обычно устанавливается на сетевом серве­ре, выполняющем роль маршрутизирующего шлюза. Он работает медленнее аппаратного фильтра, но предоставляет более удобную и гибкую систему настройки.

Прокси-система, или шлюзы прикладного уровня, реализуют идею прокси-сервера (сервера-посредника), который выступает в роли по­средника между двумя сетями — внешней и внутренней (при исполь­зовании прокси-сервера корпоративная сеть и Internet физически не соединены). Их преимущества: сохранение инкогнито компьютера конечного пользователя (сокрытие IP-адреса этого компьютера от хакера) и экономия адресного пространства (для внутренней сети может использоваться любая схема адресации, включая использова­ние официально не зарегистрированных IP-адресов).

Основной недостаток прокси-систем — поддержка только тех про­токолов, для которых они разработаны. Кроме того, они обладают недостаточными «прозрачностью» и производительностью в случае использования высокоскоростных соединений.

Устройства контроля текущего состояния обеспечивают отсле­живание соединения по его установлению. Они повышают безопасность сети и значительно производительнее прокси-систем. В отличие от филь­тров такие устройства не просто ориентируются на заголовок IP-паке­та, но и проверяют информацию о приложении, чтобы убедиться, что это действительно тот пакет, который объявлен в заголовке.

^ 2. Средства усиления защиты сети это некоторые устройства промежуточной сети и отдельные технологические решения.

К ним относятся:

• переключаемые мосты на концентраторе, которые, контролируя направление трафика в сети и производя дополнительную фильт­рацию пакетов, создают еще один барьер для хакеров;

• шлюзы уровня виртуального канала позволяют пользователям со­единяться и обмениваться пакетами с сервером, при этом каж­дый пакет в отдельности не проверяется, а после проверки адрес­ных данных принимаются сразу несколько пакетов; могут исполь­зоваться для полного запрета прямых контактов компьютеров внутренней сети с внешней сетью;

• изоляция протоколов, основанная на использовании протокола TCP/ IP только для связи с Internet. Во внутренней (локальной) сети ис­пользуются другие протоколы, несовместимые с TCP/IP, а доступ в Internet осуществляется через шлюз прикладного уровня;

• создание виртуальной частной сети, если предусматривается под­ключение удаленных пользователей к КВС. Применение такой технологии основано на аутентификации удаленных пользователей и шифровании всего сетевого трафика;

• реализация межсетевого экрана на внутреннем сервере. Такой эк­ран является последним рубежом защиты, он располагается после выделенного сетевого экрана.

^ 3. Мониторинг и аудит сети составляют основу обеспечения бе­зопасности. Мониторинг (контроль текущего состояния и парамет­ров работы сети) и аудит (регулярный анализ журналов регистрации для выявления происходящих в сети процессов и активности пользо­вателей) — это обязательные составные части работы сетевого ад­министратора. Большинство сетевых ОС имеют встроенные или до­полнительно поставляемые программы, обеспечивающие проведение этой работы. Для этой же цели могут использоваться дополнитель­ные средства: аппаратные или программные перехватчики пакетов (анализируют собранные пакеты на наличие в них информации, кото­рой может воспользоваться злоумышленник), аппаратно реализован­ные анализаторы сети (измеряют и контролируют трафик в сети).

^ 4. Архитектурные методы защиты, к которым относятся реше­ния, принимаемые на уровне топологии и архитектуры сети и повы­шающие ее защищенность в целом. Различают решения, принимаемые на уровне топологии и архитектуры внутренней сети (корпоративной, локальной), и решения на уровне промежуточной сети, связывающей внутреннюю сеть с внешней, например с сетью Internet.

На уровне топологии и архитектуры внутренней сети могут при­ниматься такие решения:

• физическая изоляция закрытого сегмента внутренней сети, содер­жащего конфиденциальную информацию, от внешней сети. Связь с внешней сетью поддерживается через открытый сегмент внут­ренней сети;

• функциональное разделение внутренней сети на подсети, при кото­ром в каждой подсети работают пользователи (сотрудники компа­нии), объединенные по профессиональным интересам;

• сеансовое (кратковременное) подключение внутренней сети к сег­менту сети, подключенному к Internet, с помощью' коммутатора и/или переключаемого моста (любое кратковременное соединение с внешней сетью более безопасно, чем постоянное соединение). Многие меры обеспечения безопасности на уровне архитектуры про­межуточной сети связаны с реализацией компонентов многоуровневой защиты. Если промежуточная сеть включает маршрутизатор, компью­тер, выделенный для межсетевого экрана, и концентратор, соединенный непосредственно с сервером внутренней сети, то средства защиты мо­гут быть реализованы на каждом из этих устройств. Например, на мар­шрутизаторе — фильтрация пакетов, на компьютере — межсетевой эк­ран, на концентраторе — переключаемый мост и виртуальная ЛВС, на сервере внутренней сети — еще один межсетевой экран.

Следует еще раз подчеркнуть, что при построении системы обес­печения безопасности КВС предпочтение следует отдавать аппарат­ным или аппаратно-программным средствам защиты. Чисто программ­ные средства не обеспечивают такой же надежной защиты.

Контрольные вопросы

1. Какие компоненты необходимы для установления КВС?

2. Каковы возможности языка HTML?

3. Каково назначение пакета Lotus Notes и в чем состоят его пре­имущества?

4. Чем следует руководствоваться при выборе сетевого оборудова­ния?

5. Какие устройства входят в оборудование опорных пунктов КВС?

6. На каких принципах базируется компромиссное решение по созда­нию СОБ корпоративной сети?

7. В чем заключаются основные функциональные требования к СОБ корпоративной сети?

8. Как классифицируются средства защиты в зависимости от спосо­ба их реализации?

9. Какие возможны способы разработки средств защиты?

10. В чем сущность парольной защиты?

11. Какие возможности защиты заложены в операционных системах?

12. Какие основные функции межсетевых экранов?

13. Какие типы межсетевых экранов получили распространение?


Скачать файл (35218.7 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации
Рейтинг@Mail.ru