Контрольные вопросы по курсу МИС. Контрольные вопросы по курсу 1-83. Контрольные вопросы по курсу
 Скачать 1.8 Mb.
|
|
Неправильный IP-адрес. В сети TCP/IP все компьютеры и сетевые устройства должны иметь уникальный IP-адрес [14, 9]. Когда компьютеры сконфигурированы так, что в сети встре- чается дублирующий адрес, то они не могут в ней взаимодей- ствовать. При появлении в сети двух станций с одинаковыми IP-адресами их отслеживание может быть довольно затрудни- тельным. Тестирующее устройство может помочь предоставле- нием списка IP-адресов и соответствующих им MAC-адресов, но затем поиск неисправностей переходит в утомительное за- нятие — «сходить» к нужной рабочей станции и посмотреть настройки сети. Некоторые операционные системы, такие как Microsoft Windows 9x и Windows NT, сами определяют дублирование адреса при включении компьютера и отключают набор про- токолов TCP/IP на этом компьютере, пока эта проблема не разрешится. Кроме дублирования IP-адрес может быть неверным, если компьютер переносили из одной сети в другую. Присвоение адресов динамически с помощью DHCP-сервера позволяет из- бежать этой проблемы. Но если адреса присваиваются стати- чески, то они должны быть изменены, когда компьютер пере- мещают из одного сегмента сети в другой. В этом случае поиск ошибок сравнительно прост, так как компьютер с неверным IP-адресом не сможет подсоединиться к сети. Быстрое срав- нение его настроек с другими в этой же сети идентифицирует проблему. Неверная маска подсети. Маска подсети используется стан- цией, чтобы определить, принадлежит ли адрес получателя к локальному сегменту сети или к удаленному. Если получатель находится в локальном сегменте, станция пытается отыскать MAC-адрес отправителя с помощью широковещательной рас- сылки, используя протокол ARP (Address Resolution Protocol) [9]. Если получатель находится в удаленном сегменте, то стан- ция использует внутреннюю таблицу маршрутизации, чтобы определить, на какой маршрутизатор следует передать пакет для доставки. Если маска подсети неверна, тогда в самом худшем вариан- те станция будет считать, что получатель, находящийся в уда- ленном сегменте, находится в локальном сегменте. Тогда стан- ция будет передавать широковещательные пакеты в локальный сегмент в поисках получателя. Первый признак этого — стан- ция может связаться с остальными компьютерами в локальном сегменте сети, но не может связаться с удаленными хостами. Неверный адрес шлюза. Станция, работающая c протокола- ми TCP/IP, определяет, где находится получатель — в локаль- ном или в удаленном сегменте. Если получатель находится в удаленном сегменте, то станция обращается к внутренней таблице маршрутизации. Если станция не находит определен- ный маршрут к сети получателя, то она передает пакеты шлю- зу, определенному по умолчанию для организации доставки. Шлюз по умолчанию — это маршрутизатор, соединяющий локальную сеть с другими сетями TCP/IP. Если шлюз по умолчанию неправильно сконфигурирован или отсутствует, станция не сможет установить связь с удаленными сетевыми устройствами. Проблема разрешенных имен. Пользователи предпочитают использовать в качестве имен хостов символьные, а не циф- ровые имена. Если со станции можно определить с помощью утилиты Рing IP-адреса, но нельзя соединиться (или «пинго- вать» те же компьютеры по их именам), необходимо прове- рить, что DNS-сервера в настройках протоколов TCP/IP кор- ректны для этой сети. Система доменных имен (DNS — Domain Name System) — это главный механизм, использующийся в сетях TCP/IP для преобразования имен сетевых устройств в их IP-адреса [8, 9]. В каких случаях средства безопасности доступа могут помешать зарегистрированному пользователю получить нужный доступ к сети? (стр. 226) раздел 8.9.6. Проблемы безопасности доступа Так же как неисправные сегменты сети или отказавшее оборудование могут помешать IP-пакетам дойти до узла на- значения, помешать соединению могут также конфигурации маршрутизатора или сервера. Часто в целях защиты от не- санкционированного доступа службы администратора си- стемы устанавливают множество фильтров или фаэрволов [8, 28], чтобы предотвратить возможность подключения к сети неавторизованных пользователей. Эти средства безопасности могут также мешать и зарегистрированному пользователю по- лучать доступ к сети. Рассмотрим эти ситуации. Фильтрование маршрутизатором. Наиболее частая ошибка в установке фильтров — это не- полное понимание иерархии фильтров и битового маскиро- вания, что часто бывает необходимо. Правильно сконфигури- рованные и протестированные фильтры предназначены для того, чтобы обойти разрушение сетевых сервисов. Утилиты Traceroute и Ping — это достаточно эффектив- ные средства, чтобы определить, включено ли фильтрование в целях безопасности на маршрутизаторах или нет. Утилита Traceroute покажет, отбрасывает (отвергает) ли маршрутизатор IP-пакеты. Утилита Ping удобна для рассылки IP-пакетов на разные интерфейсы маршрутизатора, чтобы определить на ка- ких из них включены фильтры. Часто контроль безопасности в результате ничего не запре- щает неавторизованным пользователям. Такие утилиты, как Ping и Traceroute, являются эффективными методами тестиро- вания фильтрования на IP-уровне в маршрутизаторах и позво- ляют удостовериться, что установленный контроль безопас- ности корректен. Фильтрование на сервере. Так же как и маршрутизаторы, многие серверы, особенно серверы UNIX, могут фильтровать пакеты. Контроль доступа к данным в комбинации с другими методами контроля может эффективно отслеживать, кто под- ключился к системе и к каким именно приложениям он под- ключился. Фильтрование по IP-адресу. Вход в систему или защита паролем. Многие сетевые операционные системы и системы управ- ления разрешают администраторам блокировать пользовате- лей, вводивших 2 и более раз подряд неверный пароль. Важно правильно поставить в NMS низкий уровень для сообщений о тревоге, чтобы администратор системы мог быстро обнару- жить попытку взлома пользователя. Прежде чем подозревать умышленное нарушение правил, необходимо убедиться, что пользователь не испытывает проблем входа в систему, что пользователь действителен и не заблокирован. В чем суть проблемы колебания маршрута? (стр. 227). Если MAC-протокол работает корректно и хост работал нормально до появления периодических отказов соединения, необходимо выполнить операции по устранению проблем установления соединения, перечисленные в подразделе 8.9.1. Другими причинами периодического отказа соединения могут быть потери пакетов и колебания маршрута. Потери пакетов. Когда теряются пакеты, протоколы верх- них уровней пытаются повторно передать их хосту. Однако если связь не может быть восстановлена, соединение будет прервано. Чтобы выяснить, значительны ли потери пакетов, необходимо использовать непрерывный Ping-тест. Бывает, что IP-хост не в состоянии ответить на первый Ping, но на все по- следующие пакеты Ping должен быть получен ответ. Колебание маршрута. Если LAN- и WAN-линки (каналы) имеют серьезные проблемы, они будут постоянно включать- ся и выключаться каждые несколько секунд. Когда один из таких линков меняет свое состояние, он может вызвать из- менения в протоколе маршрутизации. Как только сетевые протоколы покажут изменившийся маршрут, маршрутизато- ры могут внести изменения в своей маршрутной информации, что приведет к появлению «черных дыр». Черные дыры — это части сети, которые в течение нескольких секунд могут быть недоступны для всей сети или для ее части. Через определен- ное время протокол маршрутизации выполняет трассирова- ние сети и возвращение ее обратно к стабильному состоянию. Если сетевые сегменты (LAN или WAN) меняют свой статус линка каждые несколько секунд, сеть не стабильна и марш- рутная информация постоянно противоречива. Это «колеба- ние маршрутов» будет впустую тратить ресурсы центрального процессора маршрутизатора. Для обнаружения этой неисправности АС необходимо про- вести Traceroute-тест на разные станции в удаленных сегмен- тах сети. Какие факторы влияют на производительность сети? (стр 228) Низкая производительность сети. В правильно работающей (без сбоев) сети главными узкими ме- стами будут пропускная способность WAN-каналов и произ- водительность компьютерных систем. При рассуждениях о производительности сети следует учи- тывать пропускную способность и задержки (латентность). Пропускная способность — это количество бит, передавае- мых по каналу в единицу времени. Латентность — это задержка прохождения данных через компоненты системы или через систему в целом. Выделенные ресурсы, такие как WAN-канал «точка—точка», имеют неизменную латентность. Однако общие ресурсы — локальные сети, компьютерные системы, маршрутизаторы и разделяемые ресурсы WAN — имеют изменяющуюся латент- ность. При высокой загрузке общих ресурсов время ожидания проходящих через них данных увеличивается, поскольку па- кеты должны ожидать в очереди передачи или прохождения участка в системе. (стр 229) Рассмотрим факторы, влияющие на производительность сети. Мониторинг использования протоколов. Если пользователи жалуются на низкую производитель- ность сети, то администратору системы необходимо опреде- лить используемые протоколы и проанализировать, для чего каждый из них нужен. Несмотря на то что нет ничего критич- ного в использовании множества протоколов, сокращение их числа может повысить производительность сети. Выявление чрезмерного широковещательного трафика. Па- кеты, пересылаемые в сети, могут быть нескольких типов. Они могут быть однонаправленными (Unicast) и широковещатель- ными (Broadcast). Выбор протокола маршрутизации. Маршрутизаторы IP- пакетов используют различные протоколы, чтобы обмени- ваться данными друг с другом и обеспечивать самый быстрый способ перемещения IP-пакетов по сети. Интерпретация се- тевой топологии маршрутизирующим протоколом зачастую сильно влияет на производительность сети. Низкая пропускная способность WAN-каналов. Локальные и глобальные сети, в которых периодически возникают про- блемы физического уровня, могут создать проблемы низкой производительности во многих реализациях, разрушая паке- ты. Потеря пакетов приводит к их повторной передаче, создает заторы на маршрутизаторах, т. е. очередь трафика на передачу в канал. Понимание топологии сети. Понимание топологии сети и пути, по которому IP-пакеты перемещаются из одной сети в другую, очень важно при распознавании проблем, связан- ных с производительностью. Во многих сетях процесс соединения сегментов начинает- ся с использования каналов с низкой скоростью. Этих «мед- ленных» каналов может быть достаточно для начальных (про- стых) приложений и для небольшого числа пользователей. Однако, чем больше установлено критических приложений и чем больше пользователей генерируют трафик, тем в большей степени использование низкоскоростных каналов становится узким местом для увеличения производительности. Перегруженные каналы. Пока трафик, проходящий по сег- менту сети, меньше чем доступная пропускная способность, система должна справиться с нагрузкой без каких-либо про- блем. Когда поступающая нагрузка становится больше, чем доступная пропускная способность, маршрутизаторы начнут формировать очередь пакетов для передачи их по мере осво- бождения канала. Пакеты будут отвергнуты, если буфер ввода- вывода маршрутизатора переполнится данными очереди. Кроме того, приложения более высокого уровня, такие как NFS (см. главу 5) или TCP, приостановятся (timeout) и приготовятся по- вторить передачу данных. Это может только усугубить проблему, так как в результате в сеть будет отправлено еще больше данных. Специальные усовершенствованные алгоритмы в реализациях TCP используются, чтобы замедлить ретрансляцию данных и предотвратить дополнительную загрузку. Медленные маршрутизаторы. LAN- и WAN-маршрутизаторы являются очень важной частью сети TCP/IP. Относительно легко добавить функцию IP-маршрутизации персональному компьютеру или серверу. Это будет дешевое и простое реше- ние. Однако передача IP-пакетов от одного интерфейса к дру- гому требует затрат оперативной памяти и времени централь- ного процессора. Производительность будет ухудшаться, если эти ресурсы будут использоваться и другими приложениями. Всегда лучше пользоваться специализированными маршрути- заторами в виде отдельно стоящих устройств. Дайте определение процесса конфигурации. (стр 237) Под конфигурацией ИС будем понимать разработку и реа- лизацию концепции, позволяющей администратору системы быть уверенным в непротиворечивости, целостности, прове- ряемости и повторяемости параметров системы. Для небольшой и несложной ИС конфигурация ее параме- тров обычно осуществляется администратором системы вруч- ную. По мере роста ИС и увеличения сложности ее реализа- ции необходимо администрирование процесса конфигурации ИС с помощью управляющих систем. И обычно требуется переход к управлению процессом конфигурации с помощью управляющих систем (MS и NMS) от ручного управления. В чем суть задачи инвентаризации параметров ИС? Стр 239 Различные аппаратные средства и разные программные продукты имеют наборы сходных параметров и одинаковые принципы их задания. Поэтому можно выделить ряд стан- дартных проблем и задач конфигурации, к ним относятся сле- дующие: стандартизация параметров, задание параметров при инициализации ресурсов, обеспечение загрузки компонент, восстановление параметров, инвентаризация параметров и до- кументирование функциональных схем работы компонент систе- мы, конфигурация параметров согласно политике организации. Стр 242 Инвентаризация параметров и документирование функцио- нальных схем работы компонент системы. Эта задача обсуж- далась ранее. Укажем только, что АС при ее решении должен проверять версии установленных компонент ИС, иметь гра- фическое представление о взаимодействии всех аппаратных и программных компонент, производить аудит работы всех сетевых протоколов. Следует также отметить, что инвентари- зация системы входит в регламентные работы администратора системы и должна выполняться регулярно по выработанному им расписанию регламентных работ. Что должна включать политика безопасности с точки зрения конфигурации? Стр 243 Политика безопасности с точки зрения конфигурации должна включать в себя [2, 64]: способ задания паролей пользователей и способ задания паролей АС; — политику доступа к ИС; — политику доступа мобильных пользователей; — политику кодирования информации; — политику использования антивирусов и антиспамов. После конфигурации ИС администратор должен проверить свою работу, задав себе простые вопросы и ответив на них: — информация в ИС доходит по назначению и не попадает куда-либо еще? — в ИС циркулирует только авторизованная информация? — информация записывается на известные и разрешенные администратором системы тома? — информация искажается? — нет ли неопознанной, «ничейной» информации? — информация, требующая кодирования, так кодирован- ной и осталась? Перечислите задачи учета. Стр 250 Задача учета ресурсов ИС и управление учетом — это от- носительно простые проблемы из тех, которые стоят перед ад- министратором системы. Обычно средства, входящие в состав ОС, СУБД, прикладных систем и коммуникационных систем достаточны для ее решения. Кроме того, средства учета (ауди- та) находятся и в составе систем MS или NMS. Основные задачи учета перечислены ниже [64]: — отслеживание исполняемых сервисов и затрачиваемых ресурсов; — отслеживание цены сервисов, используемых в системе; — учет лимитов пользователя в системе; — учет квот ресурсов, которые выдавались процессам и пользователям ИС; — получение отчетов о результатах решения всех предыду- щих задач; — получение отчетов о жульничестве; — интеграция различных отчетов и учет совокупной цены использования различных ресурсов. Какие события можно отнести к непреднамеренным угрозам? Стр 252 Непреднамеренная угроза всегда вызывается сбоями пита- ния, сбоями аппаратных или программных средств, неквали- фицированными действиями персонала. К непреднамеренным угрозам можно отнести следующий ряд событий [1]: — разрушение данных в результате отключения питания серверного или сетевого оборудования; — разрушение данных из-за сбоев оборудования серверов операционной системы, серверов баз данных или ком- мутационного оборудования; — разрушение данных в результате сбоев операционной системы; — разрушение данных в результате сбоев СУБД; — ввод неправильных данных из-за ошибок прикладного обеспечения; — нарушение целостности данных или их разрушение из- за ошибок прикладного математического обеспечения; — нарушение целостности данных из-за сбоев системного прикладного математического обеспечения или аппа- ратных средств; — недостаточный профессионализм персонала или его не- хватка; — разрушение кабельной системы или аппаратуры; — пожары по причине коротких замыканий; — электростатические проблемы; — неквалифицированные действия администратора систе- мы, что обычно является наиболее частой и самой опасной причиной всех проблем с информационной системой. Перечислите виды преднамеренных угроз безопасности? Стр 251. Угрозой является любая ситуация, вызванная преднаме- ренно или ненамеренно, которая способна неблагоприятно повлиять на систему [1]. Преднамеренные угрозы всегда осуществляются пользова- телями системы или прикладными программистами. К основным преднамеренным угрозам относятся [1]: — использование прав доступа другого пользователя сети; — несанкционированный доступ к данным и их чтение, удаление, модифицирование или ввод; — модификация программного продукта без санкции ад- министратора системы; — несанкционированное копирование данных; — несанкционированный доступ к зашифрованным данным, вскрытие системы кодирования данных или паролей; — внедрение компьютерных вирусов; — электронные помехи; — несанкционированное подключение к кабельной системе; — несанкционированный доступ к консолям серверов баз данных, систем управления информационных систем. Каковы средства и мероприятия по обеспечению безопасности ИС? Стр. 258 10.2.3 Как уже было отмечено, организационные меры являются наиболее действенными средствами по обеспечению инфор- мационной безопасности ИС. Администратор системы должен обязательно предусмотреть меры организационной защиты. Это могут быть ограничения на доступ в помещения с помощью компьютерных средств (замков), журналы контроля доступа, которые ведутся техническим персоналам, разбиение помеще- ний на зоны доступа по категориям персонала. Необходимо обязательное ограничение доступа к телекоммуникационным клозетам и телекоммуникационным шкафам. Они должны за- пираться администратором системы. К мерам организационной защиты можно отнести и запрещение использовать на компью- терах пользователей устройства ввода-вывода, такие как диско- воды или USB-порты, и разрешение работать только в сетевом варианте. При этом вся общая информация или программные продукты загружаются только администратором системы. Примером еще одного способа организационной защиты является запрет выхода во внешний мир из корпоративной сети организации, если конечно, это позволяет деятельность орга- низации. При этом возможно физическое разделение кабельных систем для внутренней сети организации и для сети, из кото- рой разрешен выход во внешний мир (например, в Интернет). Сеть для выхода во внешний мир должна быть отдельной, и на ее серверах не должно быть корпоративной информации. Наконец, еще одной мерой организационной защиты яв- ляется разрешение пользователям работать исключительно на персональных компьютерах, которые выдаются на период ра- боты (например, ноутбуках) и подключаются по разрешению администратора системы к портам корпоративной сети. Отдельно следует остановиться на защите кабельных систем. Администратор системы должен следить за тем, чтобы вся ка- бельная система прокладывалась в закрытых коробах. А в случае прокладки кабелей по специальным лоткам они должны нахо- диться вне пределов простой досягаемости, например на большой высоте под фальш-потолком. Еще раз напомним, что доступ к телекоммуникационным клозетам должен быть строго ограни- чен. Они должны запираться и быть доступными только адми- нистратору системы. Функциональные схемы сети и кабельной системы не должны быть доступны пользователям и приклад- ным программистам. Обычно их помещают в аппаратных поме- щениях центральных телекоммуникационных клозетов. В чем суть политики безопасности магистрального уровня сетевой системы? Стр. 266 10.4.1. ╧εδΦ≥ΦΩα ßστε∩α±φε±≥Φ ∞απΦ±≥≡αδⁿφεπε ≤≡εΓφ Применение политики безопасности на магистральном уровне увеличивает задержку в сети, а оборудование и про- граммное обеспечение магистрального уровня должно пере- давать пакеты настолько быстро, насколько это возможно. По- этому администратор системы должен стараться реализовы- вать политику безопасности на более низких уровнях — уровне доступа и уровне распределения. А магистральный уровень должен полагаться на политику безопасности и фильтрования этих уровней. Например, компания Cisco рекомендует, чтобы политика безопасности магистрального уровня касалась только функ- ций качества обслуживания (QoS), которые меньше всего за- действуют процессор коммутатора. Такой подход гарантирует заданный уровень обслуживания для конкретного соедине- ния и предотвращает перегрузку сети. Как используется список доступа для реализации политики безопасности уровня распределения? Стр. 266 10.4.2 Уровень распределения является основным уровнем для осуществления политики безопасности доступа. На этом уровне происходит объявление правильных маршрутов, бло- кирование трафика определенного типа и ограничение объема данных, посылаемых на магистральный уровень. Четкая политика на уровне распределения гарантирует, что ненужный трафик или неправильные маршруты не бу- дут распространяться на уровень магистрали. Осуществля- ется эта политика с помощью средств операционной систе- мы коммутаторов данного уровня и определяет следующие аспекты: — определение пакетов пользователей, которые могут пере- даваться другим виртуальным сетям; соответствующее ранжирование достигается применением списков досту- па к конкретным портам, чтобы пропускать или уни- чтожать определенные пакеты данных; — определение маршрутов, доступных магистральным коммутаторам согласно спискам распределения; — определение сетевых служб, которые будут использо- ваться во всей сети, например DNS и DHCP. Тип списка доступа определяется назначенным ему номе- ром. В документации ОС производителя коммуникационного оборудования указываются разрешенные соответствия типов списков доступа номерам списков. Команды расширенных списков доступа IP (IP указыва- ет на все типы протоколов ТСР/IP) более сложны, чем ко- манды стандартных списков, и содержат намного больше опций. АС может с помощью команды записи информации в журнал протоколировать информацию о всех пакетах, кото- рые соответствуют списку доступа. Включение этой функции потребляет ресурсы процессора, поэтому ее необходимо ис- пользовать только в целях поиска неисправностей. Списки доступа создаются различными способами. Как только они созданы, можно распространить их применение на порты различных типов с помощью соответствующих команд. Управляя таблицами маршрутизации, можно огра- ничить размер таблиц в сетевых устройствах. Это позволит коммутаторам более быстро обрабатывать данные, не давать пользователям подключаться к сетям, к которым нет стати- ческих маршрутов или маршрутов по умолчанию, и поддер- живать целостность информации маршрутизации. Приведите пример средств защиты сетевой безопасности на уровне доступа. Стр. 267 10.4.3. Политика безопасности на уровне доступа управляет фи- зическим доступом к компонентам сети. На этом уровне ад- министратору системы целесообразно обеспечить наибольшую защиту от несанкционированного доступа. Физический до- ступ подразумевает следующее. Конфигурирование пользователей и паролей на физиче- ских устройствах. Пароли должны быть заданы для персонала служб администратора системы при любом способе доступа к коммутатору — через управляющую консоль или через эмуля- торы консоли. Пароли должны быть зашифрованы средствами ОС коммутатора. Ограничение доступа через программы эмуляции терми- нала (Telnet, SSH, HyperTerminal). Администратор систе- мы должен задать тайм-аут для работы в этих продук- тах. Операционная система коммутатора, не получая ввод символов от администратора в течение установленного времени, закрывает сессию и «выкидывает» пользователя- администратора. Какие ключевые вопросы безопасности обеспечивает протокол IPSec? (прямого ответа нет) Стр. 276. Техническая комиссия IETF разработала набор протоколов IPSec для обеспечения безопасности при передаче данных про- токола IP на сетевом уровне [47]. Протоколы IPSec описаны в нескольких RFC. В них используются различные технологии шифрования для выполнения ключевых функций обеспече- ния безопасности против наиболее типичных угроз Интернет. При этом аутентификация гарантирует, что устройство VPN- сети осуществляет связь именно с требуемым узлом. Конфи- денциальность данных обеспечивается посредством шифро- вания. Поддержка целостности обеспечивает предотвращение изменения данных в процессе передачи. Ключевые технологии шифрования протоколов IPSec со- держат [9, 26, 47]: — симметричные алгоритмы шифрования (DES, 3DES, AES); — хэш-алгоритмы (MD5 и SHA-1) для генерирования кода аутентификации; — протокол обмена ключами Диффи-Хеллмана (DH) двух VPN-устройств для генерации общего секретного кода по небезопасному каналу; — инфраструктуру открытого ключа (PKI), состоящую из протоколов и стандартов для применения алгоритмов открытого ключа. В настоящее время базовой технологией для построения систем безопасности сетевого уровня как для протокола IP версии 4 (IPv4), так и версии 6 (IPv6) является технология IKE/IPsec. Технология IKE/IPsec реализована большинством крупнейших производителей (Cisco Systems, Check Point, IBM, Microsoft) и прошла апробацию/внедрение в большом числе системных проектов. Хорошая статья про IPSec https://www.ixbt.com/comm/ipsecure.shtml Каковы мероприятия администратора системы по реализации VPN cети? Стр. 272 Раздел 10.5. Îáåñïå÷åíèå áåçîïàñíîñòè ïðè óäàëåííîì äîñòóïå ê ñåòè ïðåäïðèÿòèÿ В настоящее время для получения удаленного доступа к сети предприятия наиболее часто используется технология VPN — технология частных виртуальных сетей. Сеть VPN представляет собой логическую сеть, которая функционирует в уже существующей физической инфраструктуре [20, 26]. При этом каналы выделяются отдельным пользователям, которые могут иметь свою собственную систему IP-адресации, свои схемы маршрутизации и проводить свою политику безопасно- сти. На практике используются три типа VPN-сетей: сети уда- ленного доступа, сети интранет и экстранет. Cети удаленного доступа. Используя VPN-cеть, удаленные пользователи могут получить доступ к корпоративной сети, Стр 274 зарегистрировавшись у регионального провайдера службы Интернет. Администратор системы должен учесть, что это значительно эффективнее в финансовом отношении, чем ор- ганизация удаленного доступа самостоятельно, например, со- провождая модемный пул и арендуя каналы связи. Сеть VPN удаленного доступа при необходимости предоставляет поль- зователям доступ к корпоративным ресурсам в любое время, в любом месте и любым способом. Для обеспечения безопас- ного соединения мобильных пользователей и филиалов пред- приятия, VPN-сети могут использовать аналоговую телефон- ную линию, цифровую сеть с интеграцией служб ISDN, циф- ровые абонентские линии хDSL, мобильные IP-телефоны и кабельные технологии. Что является метриками производительности? Стр. 293 11.2. Ìåòðèêè ïðîèçâîäèòåëüíîñòè ÈÑ Для правильной оценки производительности ИС необхо- димы метрики. В качестве метрик должна выступать система параметров количественной и качественной оценки процесса. Предполагается, что метрике соответствует необходимая для проведения измерения процедура и процедура для интерпре- тации результатов в свете ранее полученных или сопостави- мых оценок. Метрика обычно определяется предметной областью и не является эффективным способом оценки вне этой области. Для предметной области ИТ-технологий метриками могут быть: ширина полосы пропускания, надежность, нагрузка на сеть, задержка пакетов, коэффициент потерь пакетов в канале, время отклика приложения, общее время работы программ- ного продукта, процент занятости процессора компьютера в единицу времени, размер исходного программного кода и др. Для примера рассмотрим метрики сетевой подсистемы и метрики производительности файл-серверов. Стр. 294 Средняя пропускная способность вычисляется путем деле- ния общего объема переданных данных на время их передачи, причем выбирается достаточно длительный промежуток вре- мени — час, день или неделя. Мгновенная пропускная способность отличается от средней пропускной способности тем, что для усреднения выбирается очень маленький промежуток времени, например 10 мс или 1 с. Максимальная пропускная способность — это наибольшая мгновенная пропускная способность, зафиксированная в те- чение периода наблюдения. Важно отметить, что из-за последовательного характера пе- редачи пакетов различными элементами сети общая пропуск- ная способность любого составного пути в сети будет равна минимальному значению из числа пропускных способностей составляющих элементов маршрута. Для повышения пропуск- ной способности составного пути администратору системы необходимо в первую очередь обратить внимание на самые «медленные» элементы, например маршрутизатор. Обычно при определении пропускной способности сег- мента или устройства в передаваемых данных не выделяются пакеты от пользователя, приложения или компьютера, а под- считывается общий объем передаваемой информации. Тем не менее для более точной оценки качества обслуживания такая детализация желательна, и в последнее время системы управ- ления сетями все чаще позволяют ее реализовывать. Задержка передачи определяется как задержка между мо- ментом поступления пакета на вход какого-либо сетевого устройства или части сети и моментом появления его на вы- ходе этого устройства. Этот параметр производительности характеризует только сетевые этапы обработки данных, без задержек обработки компьютерами сети. Обычно качество ра- боты сети характеризуют величинами максимальной задерж- ки передачи и вариацией задержки. В чем суть бизнес - метрик производительности? Стр. 304 Кроме перечисленных технических метрик описаны бизнес-метрики, такие как: время бесперебойной работы, вре- мя подъема системы, доступность услуги. Время бесперебойной работы системы — метрика, харак- теризующая время работы системы. Эта метрика похожа на ме- трику MTBF, обсуждавшуюся в главе 8, но учитывает не только технические проблемы, а и проблемы сопровождения сети. Она используется для измерения надежности и стабильности сети и отображает время, которое сеть работает без сбоев или необходи- мости перезагрузки в целях администрирования или обслужива- ния. Надежность системы иногда измеряют в процентах (обычно не менее 99 %). Слишком высокое ее значение может означать не- достаточную квалификацию администратора системы, так как |