Лекции грант. Лекции_грант. Курс лекций РостовнаДону 2007
Скачать 1.36 Mb.
|
7.7 Службы терминалов Сервер терминалов (Terminal Server) операционной системы Windows Server 2003 позволяет с удаленных клиентских компьютеров получить через сеть доступ к приложениям, установленным на сервере. Сервер терминалов обеспечивает шифрование канала связи. Для аутентификации соединений со службами терминалов и шифрования коммуникаций с сервером терминалов применяется Secure Sockets Layer (SSL) / Transport Layer Security (TLS). SSL – протокол шифрованной передачи данных между клиентом и серве- ром, который требует сертификата, выданного одним из авторизованных цен- тров. TLS — криптографический протокол, который обеспечивает безопасную передачу данных между узлами в сети Internet. Различие между SSL 3.0 и TLS 1.0 незначительные, поэтому далее в тексте термин «SSL» будет относиться к ним обоим. SSL, используя криптографию, предоставляет возможности аутен- тификации и безопасной передачи данных через Internet. Часто происходит лишь аутентификация сервера, в то время как клиент остается неаутентифици- рованным. Для взаимной аутентификации каждая из сторон должна поддержи- вать инфраструктуру открытых ключей SSL включает в себя три основных фазы: − диалог между сторонами, целью которого является выбор алгорит- ма шифрования; − обмен ключами на основе криптосистем с открытым ключом или аутентификация на основе сертификата; − передача данных, шифруемых при помощи симметричных алгорит- мов шифрования. 151 Для корректной работы аутентификации SSL (TLS) удаленные клиенты должны: − работать под управлением Windows 2000 или Windows XP; − использовать клиент протокола RDP (Remote Desktop Protocol); − доверять корневому сертификату сервера. 7.8 Защита данных Для защиты данных применяются технологии кластеризации, теневого копирования, а также службы управления правами и Data Protection Manager [6]. Кластер определяет группу компьютеров, которые совместно выполняют одинаковый набор приложений и которые представляются клиентам и прило- жениям как единая система. Компьютеры объединяются в кластер с помощью программных соединений и используют средства автоматического восстанов- ления после сбоев и балансировки сетевой нагрузки. Windows Server 2003 имеет две службы кластеризации: − служба кластеров (Cluster Service, MSCS), которая обеспечивает высокую отказоустойчивость и масштабируемость для баз данных, коммуникационных систем, файловых служб и служб печати. В системе реализуется режим автоматического восстановления после сбоя, при котором в случае недоступности одного узла кластера об- работку начинает проводить другой узел; − служба балансировки сетевой нагрузки (Network Load Balancing Service, NLBS), которая обеспечивает балансировку нагрузки, соз- даваемую IP-трафиком, между кластерами. Служба NLBS повыша- ет отказоустойчивость и масштабируемость приложений, разме- щаемых на серверах в Internet (Web-серверах, серверах, передаю- щих потоковую информацию, служб терминалов). 152 Интеграция служб кластеризации с Active Directory позволяет проводить регистрацию в Active Directory «виртуального» объекта компьютера, поддер- живать аутентификацию через Kerberos и обеспечивать тесную интеграцию с другими службами, публикующими информацию о себе в Active Directory. Теневое копирование общих папок в Windows Server 2003 помогает пре- дотвратить случайную потерю данных и обеспечивает экономичный способ восстановления данных, утраченных в результате ошибки пользователя. При теневом копировании регулярно, через заданный интервал времени, создается теневые копии файлов и папок, хранящиеся в общих сетевых папках. Теневая копия представляет предыдущую версию файла или паки по состоянию на оп- ределенный момент времени. Посредством теневых копий файловый сервер под управлением Windows Server 2003 может эффективно поддерживать на выбранных томах предыдущие версии всех файлов. Пользователь имеет возможность просматривать преды- дущие версии файла. Теневые копии упрощают текущее восстановление поврежденных фай- лов, но они не заменяют процедуры резервного копирования, создания архивов, полнофункциональной системы восстановления данных. Теневые копии не обеспечивают защиту от потери данных при сбоях или повреждении физического носителя. Тем не менее восстановление данных из теневых копий уменьшает количество случаев, в которых приходится прибегать к восстановлению данных из архивов. Следует отметить, что теневые копии не предназначены для использова- ния в качестве средств управления версиями документов. Это временные ко- пии, автоматически создаваемые по расписанию. Microsoft System Center Data Protection Manager (DPM) предназначен для резервного копирования на диск. DPM обеспечивает постоянную эффективную защиту данных, быстрое и надежное их восстановление. Это реализуется путем использования репликации, а также инфраструктуры службы теневого копиро- вания томов 153 Резервное копирование с использованием DPM может быть централизо- ванным (копирование по схеме «диск-диск-лента в центре обработки данных») и децентрализованным (резервные копии передаются на центральный сервер DPM). При восстановлении данных могут выполняться следующие сценарии: − полное восстановление сервера администраторами сервера; − восстановление файлов администраторами сервера; − восстановление файлов ИТ-службой; − восстановление файлов самими пользователями. В заключении следует отметить, что компания Microsoft разработала про- граммное средство для оценки системы безопасности Security Assessment Tool (MSAT). Данный инструментарий позволяет собирать данные о системе безо- пасности ИТ-инфраструктуры предприятия и получать рекомендации по её усовершенствованию. В данной теме была рассмотрена стратегия, технологии и решения ком- пании Microsoft по построению защищенных информационных систем. 7.9 Вопросы для самопроверки 1. К каким негативным последствиям, влияющим на уровень предос- тавления ИТ-сервисов, могут привести нарушение безопасности информацион- ной системы предприятия? 2. Назовите основные причины нарушения информационной безопас- ности для предприятия. 3. Какие технологии предоставляет Microsoft для решения вопросов обеспечения информационной безопасности? 4. Что позволяют обеспечить групповые политики и Active Directory в плане информационной безопасности предприятия? 154 5. С учетом каких правил необходимо применять групповые политике и Active Directory для сайтов, доменов и организационных единиц? 6. Какие возможности механизма групповой политики используются при администрировании ИТ-инфраструктуры предприятия при настройке при- ложений, операционных систем, безопасности рабочей среды пользователей и информационных систем в целом? 7. Для чего используются WMI – фильтры? 8. Какие преимущества дает применение групповой политики в ин- формационной системе предприятия ? 9. Поясните назначение инфраструктуры открытых ключей PKI. 10. Какие преимущества для информационной системы предприятия дает применение инфраструктуры открытых ключей? 11. Какие стандартные протоколы аутентификации применяются в операционной системе Windows Server 2003? 12. Поясните назначение смарт-карты. 13. Поясните преимущества аутентификации с помощью смарт-карты. 14. От каких угроз необходимо обеспечивать защиту в корпоративной информационной системе? 15. Для чего предназначен протокол IPSec? 16. Какие средства защиты имеет протокол IPSec ? 17. Для чего предназначено сервер ISA Server 2004 ? 18. Что обеспечивает сервер ISA Server 2004 ? 19. Назовите достоинств сервера ISA Server 2004. 20. Какое назначение имеет Web-сервером Internet Information Services (IIS) ? 21. Для чего предназначены программные продукты семейства Antigen? 22. Назовите преимущества семейства программных продуктов Antigen. 155 23. Какие виды защиты используются для обеспечения безопасной ра- боты мобильных пользователей? 24. Поясните назначение сервера терминалов (Terminal Server) опера- ционной системы Windows Server 2003. 25. Какие протоколы используются для аутентификации соединений со службами терминалов и шифрования коммуникаций с сервером терминалов ? 26. Какие основные фазы должен реализовывать протокол SSL ? 27. Какие технологии применяются для защиты данных? 28. Поясните сущность технологии кластеризации. 29. Поясните сущность технологии теневого копирования. 30. Для чего предназначен программный продукт Microsoft System Center Data Protection Manager? 7.10 Список использованных источников 1. ITIL – библиотека передового опыта организации ИТ-служб / http://www.cio-world.ru/weekly/251017/page3.html 2. Концепция защищенных компьютерных систем / http://www.microsoft.com/rus/twc/default.mspx 3. Решения Microsoft для повышения эффективности ИТ- инфраструктуры / Microsoft. – М.: Русская редакция, 2005. 4. Рассел Ч. Microsoft Windows Server 2003. Справочник администра- тора. / Ч., Рассел, Ш., Кроуфорд Дж.Джеренд ; пер с англ. – М.: Издательство «ЭКОМ», 2006 5. Центр безопасности Microsoft / http://www.microsoft.com/rus/security/default.mspx 6. Защитите серверы для обмена сообщениями и совместной работы с помощью решений Antigen / http://www.microsoft.com/rus/antigen/default.mspx 156 8 ПЛАТФОРМЫ ДЛЯ ЭФФЕКТИВНОЙ КОРПОРАТИВНОЙ РАБОТЫ В настоящее время требования, предъявляемые к корпоративным инфор- мационным системам, сводятся не только к обеспечению эффективной индиви- дуальной работы пользователей, но и к возможности коллективной работы при условии доступа к нужной информации в любом месте и в любое время. Поддержка индивидуальной и коллективной работы пользователей кор- поративных информационных систем может быть реализована на базе следую- щих решений [1]: − интегрированные средства коммуникаций; − рабочие области коллективной деятельности; − мгновенный доступ к информации и людям; − автоматизация бизнес-процессов. Интегрированные средства коммуникаций. Сотрудники предприятий для доступа к информации используют городские и сотовые телефоны, смартфоны, КПК, персональные компьютеры, ноутбуки и Internet-киоски. ИТ- инфраструктура предприятия должна обеспечивать взаимодействие всех пере- численных устройств. Решения Microsoft упрощают и интегрируют разнообразные средства коммуникаций, доступные группам и индивидуальным сотрудникам. Элек- тронная почта, мгновенный обмен сообщениями, голосовая почта, телефоны, мобильные устройства и средства проведения конференций через Internet объе- диняются унифицированным программным обеспечением. Функции такого ПО должны быть доступны независимо от места нахождения пользователей или типа сетевого соединения. Microsoft предоставляет интеллектуальное ПО, ко- торое управляет коммуникациями, с учетом возможностей линий связи, в ре- альном масштабе времени. Данное программное обеспечение способствует соз- данию эффективных коммуникаций как внутри предприятия, так и с партнера- ми, поставщиками и клиентами. 157 Рабочие области коллективной деятельности. Для поддержки коллек- тивной работы Microsoft предлагает использовать службу Windows SharePoint Services, которая устанавливается в Microsoft Windows Server 2003. Данная служба предоставляет надежные и простые в использовании рабочие области для групп, легко интегрируется с Microsoft Office System, позволяя ИТ-службе создавать рабочие области коллективной работы. Эти области облегчают про- ведение совещаний, управление проектами, создание документов и др. Windows SharePoint Services можно интегрировать с корпоративными бизнес- приложениями и, следовательно, получать к ним доступ посредством привыч- ного пользователю интерфейса. Мгновенный доступ к информации и людям. Корпоративным пользовате- лям требуются эффективные средства поиска информации во множестве источ- ников. Для решения данной задачи Microsoft предлагает использовать порталь- ные технологии и управление контентом. С помощью функциональности MySites в SharePoint пользователи могут создавать свои сайты под личные зада- чи. Такой сайт является единой точкой доступа к документам пользователя, но- востям, электронной почте и другим приложениям. Автоматизация бизнес-процессов. При автоматизации внутренних биз- нес-процессов предприятия появляется необходимость исключения бумажного документооборота из информационных потоков. Решения Microsoft позволяют использовать привычные программы, такие как Microsoft Office, для обраще- ния к корпоративной информации и приложениям. При интеграции ERP-систем с программами Microsoft Office сотрудники предприятия могут обращаться к бизнес-приложениям прямо из Microsoft Office. Поддержка XML в Microsoft Of- fice System предоставляет большие возможности по формированию индивиду- альных схем информационных потоков и позволяет применять гибкие средства управления процессами на основе документов. Основные элементы ИТ-инфраструктуры, которые позволяют реализо- вать эффективную поддержку коллективной работы следующие: 158 − Exchange Server 2007 – поддержка доступа к электронной почте и информации практически из любого места, с любого устройства и в любое время; − технологии Microsoft SharePoint – доступные, простые в эксплуата- ции и масштабируемые средства поддержки коллективной работы (от совместной деятельности в рамках отдела до взаимодействия между предприятиями). Эти технологии включают Microsoft Office SharePoint Portal Server (SPPS) 2003 и Windows SharePoint Services (SPS): o Microsoft Office SharePoint Portal Server 2007 – надежный, масштабируемый, простой в использовании и управлении портал для поддержки коллективной работы, который слу- жит связующим звеном между людьми и информацией. SPPS 2003, построенный на платформе Microsoft Windows SPS, позволяет организациям интегрировать бизнес- процессы и приложения, а также полный набор средств персонализации и коллективной работы пользователей; o Microsoft Windows SharePoint Services 2.0 позволяет созда- вать Web –сайты, через которые члены группы могут об- мениваться документами и совместно работать над проек- тами; − InfoPath 2007 – гибкое и эффективное средство создания динамиче- ских форм и их заполнения в рамках группы или организации, ко- торое способствует успешному ведению бизнеса, расширяя воз- можности коллективной работы и улучшая процесс принятия реше- ний. Информацию, собираемую с помощью InfoPath 2007, можно передавать в Web-сервисы и бизнес-приложения, так как InfoPath 2007 поддерживает любые пользовательские XML-схемы; 159 − ISA Server 2004 – межсетевой экран и прокси-сервер, который обес- печивает безопасный доступ к данным и защищает конфиденциаль- ную информацию, хранящуюся в корпоративной сети; − Microsoft Office 2007 – средства работы с документами, тесно ин- тегрированные со средствами совместной работы SharePoint; − служба управления правами Windows (Windows Rights Management Services, WRMS) – обеспечивает надежную защиту и контроль дос- тупа на уровне отдельных документов; − Microsoft Office Live Communications Server 2007 в сочетании с Of- fice Communicator 2007 – мощное, масштабируемое корпоративное решение для мгновенного обмена сообщениями, проведения аудио- и видеоконференций по IP-сетям в режиме реального времени с функциональностью определения присутствия. Live Meeting – от- дельный Web-сервис, не требующий для установки в организации выделенного сервера и позволяющий проводить конференции через Internet; − платформа Windows Server 2003 со службой каталогов Active Direc- tory – основа ИТ-инфраструктуры, обеспечивающей максимальную эффективность работы сотрудников. 8.1 Exchange Server 2007 Microsoft Exchange Server 2007 — надежная система обмена сообщения- ми со встроенными средствами защиты от нежелательной почты и вирусов. С помощью Exchange 2007 пользователи организации получают доступ к элек- тронной почте, голосовой почте, календарям и контактам с использованием широкого спектра устройств и из любого места нахождения[2,3]. Данный сервер характеризуется повышенной безопасностью и надежно- стью. Он позволяет обеспечить доступ к корпоративной информации сотрудни- кам предприятия практически из любого места и в любой момент времени. 160 В Microsoft Exchange Server 2007 существует пять ролей сервера, которые можно установить и настроить на компьютере, на котором работает Microsoft Windows Server 2003: − клиентский доступ; − граничный транспорт; − транспортный сервер-концентратор; − сервер почтовых ящиков; − единая система обмена сообщений. Роль сервера «Клиентский доступ» поддерживает клиентские приложе- ния Microsoft Web-клиент Outlook и Microsoft Exchange ActiveSync, протоколы POP3 4 , IMAP4 5 и службы, такие как автообнаружение и Web-службы. Данная роль принимает подключения к серверу Exchange 2007 от различных клиентов. Программные клиенты, такие как Microsoft Outlook Express и Eudora 6 , исполь- зуют подключения POP3 и IMAP4, а аппаратные, такие как мобильные устрой- ства, используют ActiveSync, POP3 или IMAP4 для связи с сервером Exchange. Роль пограничного транспортного сервера развертывается в демилитари- зованной зоне предприятия как автономный сервер. Созданный для уменьше- ния площади атаки, пограничный транспортный сервер обрабатывает весь поч- товый поток, соприкасающийся с Internet, обеспечивая передачу по протоколу SMTP и работу служб промежуточных узлов организации Exchange. Дополни- тельные уровни защиты и безопасности сообщения обеспечиваются рядом агентов, запущенных на пограничном транспортном сервере и выполняющих операции с сообщениями при их обработке компонентами транспорта сообще- ния. Эти агенты поддерживают средства, которые обеспечивают защиту от ви- русов и нежелательной почты и применяют правила транспорта для управления потоком сообщений. 4 |