Материал. Литература по теме Тема Циклические и узловые подсети Вопрос Циклическое кольцо

3.
Технологии распределенных вычислений.
4.
Безопасность информационных сетей.
Вопрос 1. Распределенная обработка данных.
Данные и обработка являются
«распределенными» или
«разделенными», если, выполнение операции требует использования нескольких процессоров. Термин «совместный» (cooperatif) является более специфическим: диалог между двумя прикладными системами с целью осуществления некой задачи. Основное назначение информационно- вычислительных сетей состоит в организации удобного и надежного доступа к ресурсам, распределенным в этой сети. Целью распределенной обработки данных является оптимизация использования ресурсов и упрощение работы пользователя.
Необходимость распределенной обработки данных обусловлена территориальной удаленностью специалистов, участвующих в управлении организацией. Обработка данных, выполняемая на независимых, но связанных между собой компьютерах называется распределенная обработка данных.
Основным назначением большинства информационно-вычислительных сетей является предоставление пользователям услуг в сфере информационного обслуживания.
Распределенная обработка данных — методика выполнения прикладных программ группой систем. Сущность DDP заключается в том, что пользователь получает возможность работать с сетевыми службами и прикладными процессами, расположенными в нескольких взаимосвязанных абонентских системах. При этом возможны несколько видов работ, которые он может выполнять: удаленный запрос, например, команда, позволяющая посылать одиночную заявку на выполнение обработки данных; удаленная транзакция, осуществляющая направление группы запросов прикладному процессу; распределенная транзакция, дающая возможность использования нескольких серверов и прикладных процессов, выполняемых в группе абонентских систем. Для распределенной обработки осуществляется сегментация прикладных программ — разделение сложной прикладной программы на части, которые могут быть распределены по системам локальной сети.
Вопрос 2. Сегментация.
Сегментация осуществляется с помощью специального инструментального ПО, которое автоматизирует рассматриваемый процесс. С помощью технологии, предоставляемой объектно-ориентированной архитектурой в результате выполнения указанного процесса прикладная программа делится на самостоятельные части, загружаемые в различные системы. Благодаря этому, создается возможность перемещения программ из одной системы в другую и распределенной обработки данных.

В результате сегментации каждая выделенная часть программы включает управление данными, алгоритм и блок презентации. Благодаря этому, она может быть оптимальным образом выполнена на основе платформ, используемых в сети. Передача данных для распределенной обработки происходит при помощи удаленного вызова процедур либо электронной почты.
Первая технология характеризуется высоким быстродействием, а вторая
- низкой стоимостью. Удаленный вызов процедур работает аналогично местному вызову процедур и обеспечивает организацию обработки данных.
Этой цели служит механизм навигации в сети, поиска информации, запуска процесса в нескольких системах, передачи полученных результатов пользователям, пославшим запросы. Выполняемый процесс характеризуется прозрачностью. Выполнение удаленного вызова процедур является дорогостоящей операцией, ибо на все время ее выполнения системы, участвующие в работе, должны по каналам передавать данные друг другу.
Альтернативной удаленного вызова является применение интеллектуальных агентов или выполнение распределенной обработки данных с использованием электронной почты. Этот метод не требует больших затрат, но работает значительно медленнее.
Известны также программные средства Системы Управления
Распределенной Базой Данных (СУРБД), содержимое которой располагается в нескольких абонентских системах информационной сети. Задачей СУРБД является обеспечение функционирования распределенной базы данных.
СУРБД должна действовать так, чтобы у пользователей возникла иллюзия того, что они работают с Базой Данных (БД), расположенной в одной абонентской системе. Использование СУРБД, по сравнению с группой невзаимосвязанных баз данных, позволяет сокращать затраты на передачу данных в информационной сети.
СУРБД так распределяет файлы по сети, что в каждой системе хранятся те данные, которые чаще всего используются именно в этом месте. В СУРБД осуществляется тиражирование данных. Его сущность заключается в том, что изменение, вносимое в одну часть базы данных, в течение определенного времени отражается и в других частях базы. При планировании обработки данных могут рассматриваться три модели обработки: обработка в одноранговой локальной сети; централизованная обработка; обработка в модели клиент/сервер. При любой обработке имеются три основных уровня манипулирования данными: хранение данных; выполнение приложений, т.е. выборка и обработка данных для нужд прикладной задачи; представление данных и результатов обработки пользователю.
При обработке в одноранговой сети все три уровня, как правило, выполняются на одном - персональном - рабочем месте. В современных технологиях применения вычислительной техники персональная обработка информации, когда все данные и средства их обработки сосредоточены в пределах одного рабочего места, и обмен данными между рабочими местами

не происходит или выполняется эпизодически (например, средствами электронной почты), постепенно уходит в прошлое.
Современные информационные, управленческие, офисные системы в большей или меньшей степени ориентируются на многопользовательскую обработку, при которой данные доступны (возможно, одновременно доступны) многим пользователям с разных рабочих мест. Соображения эффективности и надежности требуют централизации процессов хранения и обработки данных. И централизованная обработка, и модель клиент/сервер в равной мере используют преимущества централизации.
Различие между этими двумя моделями состоит в том, что при централизованной обработке представление информации конечному пользователю также выполняется средствами центральной вычислительной системы - на ее терминалах (неинтеллектуальных), подключенных к вычислительной системе через порты/каналы ввода-вывода. В модели же клиент/сервер терминалы, представляющие информацию, являются интеллектуальными - самостоятельными вычислительными системами
(обычно ПЭВМ) и связаны с сервером через сетевые средства.
Вычислительный ресурс (это может быть отдельная ЭВМ в сети или отдельный процесс в многозадачной вычислительной системе), обеспечивающий хранение, администрирование, предоставление доступа к данным, называется сервером. Вычислительные ресурсы обеспечивающие использование данных и представление их конечному пользователю, называются клиентами. Вся модель, обеспечивающая такое распределение функций, называется моделью клиент/сервер. При перемещении большей части функций манипулирования данными на высокопроизводительный и высоконадежный сервер могут быть обеспечены следующие преимущества: экономия вычислительных ресурсов всей системы в целом; экономия ресурсов средств коммуникаций; обеспечение работы всех пользователей с одной и той же копией данных; предотвращение фатальных конфликтов между клиентами при обращении их к одним и тем же данным; обеспечение надежного администрирования базы данных, в т.ч. резервного копирования и разграничения доступа к данным.
Хотя централизованная обработка обеспечивает большую эффективность в сопровождении системы и в скорости обмена, предпочтительной все же представляется модель клиент/сервер, к числу достоинств которой следует отнести прежде всего гибкость - возможность строить клиентские рабочие места на разных платформах и в разных операционных средах и, таким образом, гибко приспосабливать возможности интеллектуального терминала АИРС к стоящим перед данным рабочим местом задачам (рис. 58).

Рис. 58. Распределение функций манипулирования данными между клиентом
и сервером
Вопрос 3. Технологии распределенных вычислений.
Программное обеспечение
(ПО) организации распределенных вычислений называют программным обеспечением промежуточного
слоя (Middleware). Новое направление организации распределенных вычислений в сетях Internet-Intranet основано на создании и использовании программных средств, которые могут работать в различных аппаратно- программных средах.
Совокупность таких средств называют многоплатформенной распределенной средой - МРС (сrossware).
Находят применение технологии распределенных вычислений RPC
(Remote Procedure Call), ORB (Object Request Broker), MOM (Message-oriented
Middleware), DCE (Distributed Computing Environment), мониторы транзакций,
ODBC.
RPC - процедурная блокирующая синхронная технология, предложенная фирмой Sun Microsystems. Вызов удаленных программ подобен

вызову функций в языке С. При пересылках на основе транспортных протоколов TCP или UDP данные представляются в едином формате обмена
XDR. Синхронность и блокирование означают, что клиент, обратившись к серверу, для продолжения работы ждет ответа от сервера. Для систем распределенных вычислений разработаны специальные языки программирования, для RPC это язык IDL (Interface Definition Language), который дает пользователю возможность оперировать различными объектами безотносительно к их расположению в сети. На нём можно записывать обращения к серверам приложений. Другой пример языка - NewEra в среде
Informix. RPC входит во многие системы сетевого ПО.
ОRB - технология объектно-ориентированного подхода, включает 13 пунктов (служб). Основные службы: служба именования, присваивает объектам уникальные имена, в результате пользователь может искать объект в сети; служба обработки транзакций, осуществляет управление транзакциями из приложений или из операционных систем; служба событий, обеспечивает асинхронное распространение и обработку сообщений о событиях; служба обеспечения безопасности - поддержки целостности данных. При применении
ORB (в отличие от RPC) в узле-клиенте хранить сведения о расположении серверных объектов не нужно, достаточно знать расположение в сети программы-посредника ORB. Поэтому доступ пользователя к различным объектам существенно упрощен. Посредник должен определять, в каком месте сети находится запрашиваемый ресурс, направлять запрос пользователя в соответствующий узел, а после выполнения запроса возвращать результаты пользователю.
MOM - также объектная технология. Связь с серверами асинхронная.
Это одна из наиболее простых технологий, включает команды «послать» и
«получить», осуществляющие обмен сообщениями. Отличается от E-mail реальным масштабом времени. Однако могут быть варианты МОМ с очередями, тогда режим on-line необязателен и при передаче не требуется подтверждений, т.е. опора на протокол IP без установления соединения.
Распределенная среда обработки данных.
Distributed
Computing
Environment
(DCE*) - технология распределенной обработки данных, предложенная фондом открытого программного обеспечения. Она не противопоставляется другим технологиям
(RPC, ORB), а является средой для их использования. Среда DCE*, разработанная в 1990 г., представляет собой набор сетевых служб, предназначенный для выполнения прикладных процессов, рассредоточенных по группе абонентских систем гетерогенной (неоднородной) сети. Данные об основных компонентах DCE* представлены в таблице 2.
Таблица 2.
Основные компоненты DCE*

№ п/п
Служба
Выполняемые функции
1.
Имена
База Данных (БД) имен пользователей и средств, предназначенных для доступа пользователей к сетевым службам.
2.
Удаленный доступ
Технология, обеспечивающая взаимодействие двух прикладных программ, расположенных в различных абонентских системах.
3.
Защита данных
Программное Обеспечение (ПО) разрешения на доступ к ресурсам системы или сети.
4.
Многопоточность
Программы, обеспечивающие одновременное выполнение нескольких задач.
Системы, имеющие программы распределенной среды, соответственно, являются серверами и клиентами. Серверы связаны друг с другом логическими каналами, по которым передают друг другу файлы (рис. 59).
Рис. 59. Логическая структура среды DCE
Каждый сервер имеет свою группу клиентов. Среда имеет трехступенчатую архитектуру: прикладная программа

база данных

клиент.
Функции, выполняемые средой, включают прикладные службы:

каталогов, позволяющую клиентам находить нужные им серверы;

интерфейса многопоточной обработки;

удаленного вызова процедур;

обслуживания файлов;

безопасности данных;

времени, синхронизирующей часы в абонентских системах.
Программное Обеспечение (ПО) среды погружается в Сетевую
Операционную Систему (СОС). Серверы имеют свои, различные,
Операционные Системы (ОС).

Функционирование распределенной среды требует выполнения ряда административных задач. К ним, в первую очередь, относятся средства:

регистрации и контроля за лицензиями пользователей на работу с прикладными программами;

унифицированных интерфейсов прикладных программ;

обеспечения безопасности данных;

инвентаризации программного и технического обеспечения абонентских систем, работающих в сети.
С точки зрения логического управления среда обработки данных делится на ячейки DCE*. В каждую из них может включаться от нескольких единиц до тысяч абонентских систем. Размеры ячеек территориально не ограничены. Входящие в одну и ту же ячейку системы могут быть расположены даже на разных континентах. В ячейках выполняются службы:

контроля права работы с прикладными программами и базами данных;

каталогов, назначающих адреса объектов;

времени, синхронизирующей часы систем;

лицензии, отслеживающей использование видов сервиса.
Распределение прикладных процессов по ячейкам защищает от сбоев, позволяет приспособить процессы к конкретным нуждам групп пользователей. Последние могут иметь доступ только к определенным ячейкам.
Вопрос 4. Безопасность информационных сетей.
По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых им информационных технологий. Цель ревизии средств защиты сети — это определение состава аппаратно- программного комплекса, требующегося для обеспечения защиты сети. Обеспечение информационной безопасности информационных систем и сетей является одним из ведущих направлений развития информационных технологий
Актуальность и важность проблемы обеспечения информационной безопасности обусловлена следующими факторами:

Современные уровни и темпы развития средств информационной безопасности значительно отстают от уровней и темпов развития информационных технологий.

Высокие темпы роста парка персональных компьютеров, применяемых в разнообразных сферах человеческой деятельности.

Резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных.


Значительное увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации.

Многочисленные уязвимости в программных и сетевых платформах.

Бурное развитие глобальной сети Internet, практически не препятствующей нарушениям безопасности систем обработки информации во всем мире.

Современные методы накопления, обработки и передачи информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным пользователям.
Под угрозой безопасности понимается возможная опасность
(потенциальная или реально существующая) совершения какого-либо деяния
(действия или бездействия), направленного против объекта защиты
(информационных ресурсов), наносящего ущерб собственнику или пользователю, проявляющегося в опасности искажения, раскрытия или потери информации. Реализацию угрозы в дальнейшем будем называть атакой.
Реализация той или иной угрозы безопасности может преследовать следующие цели:

нарушение конфиденциальности информации;

нарушение целостности информации;

нарушение доступности (частичное или полное) работоспособности корпоративной сети.
К основным способам обеспечения информационной безопасности относят:
1.
Законодательные меры защиты определяются законодательными актами страны, которыми регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.
Применительно к России сюда относятся: Конституция РФ от 23 февраля
1996 года; Доктрина информационной безопасности РФ от 9 сентября 2000 г.; Кодексы РФ и Законы РФ; Указы Президента РФ и Постановления
Правительства РФ; Государственные стандарты в области защиты информации (ГОСТы); Руководящие документы (РД).
2.
К морально-этическим мерам противодействиям относятся нормы поведения, которые традиционно сложились или складываются по мере распространения сетевых и информационных технологий. Эти нормы большей частью не являются обязательными, однако несоблюдение их ведет обычно к потере авторитета и престижа человека. Данные нормы могут быть оформлены в некоторый свод правил и предписаний.
3.
Организационные (административные) средства
защиты представляют собой организационно-технические и

организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла
(строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и эксплуатация).
4.
Технические средства реализуются в виде механических, электрических, электромеханических и электронных устройств, предназначенных для препятствования на возможных путях проникновения и доступа потенциального нарушителя к компонентам защиты. Вся совокупность технических средств делится на аппаратные и
физические. Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в телекоммуникационную аппаратуру, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Физические
средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, электронно- механическое оборудование охранной сигнализации.
5.
Программные средства представляют из себя программное обеспечение, специально предназначенное для выполнения функций защиты информации. Программные средства и составляли основу механизмов защиты на первой фазе развития технологии обеспечения безопасности связи в каналах телекоммуникаций. При этом считалось, что основными средствами защиты являются программные. К данному классу средств защиты относятся: антивирусные, криптографические средства, системы разграничения доступа, межсетевые экраны, системы обнаружения вторжений и т.п.
Основные принципы обеспечения информационной безопасности.
Построение системы защиты должно основываться на следующих основных принципах:

Системность подхода. Комплексности решений.

Разумная достаточность средств защиты.

Разумная избыточность средств защиты.

Гибкость управления и применения. Унификация средств защиты.

Открытость алгоритмов и механизмов защиты.

Простота применения защиты, средств и мер.
Система обеспечения безопасности информации должна иметь многоуровневую структуру и включать следующие уровни:

уровень защиты автоматизированных рабочих мест (АРМ);

уровень защиты локальных сетей и информационных серверов;

уровень защиты корпоративной АС.

Защищенность является одним из важнейших показателей эффективности функционирования ИС, наряду с такими показателями как надежность, отказоустойчивость, производительность и т. п. Под защищенностью ИС будем понимать степень адекватности реализованных в ней механизмов защиты информации существующим в данной среде функционирования рискам, связанным с осуществлением угроз безопасности информации. Под угрозами безопасности информации традиционно понимается возможность нарушения таких свойств информации, как конфиденциальность, целостность и доступность.
Методы тестирования системы защиты.
Тестирование системы защиты АС проводится с целью проверки эффективности используемых в ней механизмов защиты, их устойчивости в отношении возможных атак, а также с целью поиска уязвимостей в защите.
Традиционно используются два основных метода тестирования:

тестирование по методу «черного ящика»;

тестирование по методу «белого ящика».
Основным фактором, определяющим защищенность ИС от угроз безопасности, является наличие в ИС уязвимостей защиты. Уязвимости защиты могут быть обусловлены как ошибками в конфигурации компонентов
ИС, так и другими причинами, в число которых входят ошибки и программные закладки в коде ПО, отсутствие механизмов безопасности, их неправильное использование, либо их неадекватность существующим рискам, а также уязвимости, обусловленные человеческим фактором.
Наличие уязвимостей в системе защиты ИС, в конечном счете, приводит к успешному осуществлению атак, использующих эти уязвимости. Сетевые сканеры являются, пожалуй, наиболее доступными и широко используемыми средствами анализа защищенности. Основной принцип их функционирования заключается в эмуляции действий потенциального злоумышленника по осуществлению сетевых атак. Поиск уязвимостей путем имитации возможных атак является одним из наиболее эффективных способов анализа защищенности ИС, который дополняет результаты анализа конфигурации по шаблонам, выполняемый локально с использованием шаблонов (списков проверки). Сканер является необходимым инструментом в арсенале любого администратора либо аудитора безопасности ИС. Существует два основных механизма, при помощи которых сканер безопасности проверяет наличи уязвимости - сканирование (scan) и зондирование (probe).
Современный сетевой сканер выполняет четыре основные задачи:

Идентификацию доступных сетевых ресурсов;

Идентификацию доступных сетевых сервисов;

Идентификацию имеющихся уязвимостей сетевых сервисов;

Выдачу рекомендаций по устранению уязвимостей.

МЭ называют локальное или функционально распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему и/или выходящей из неё. МЭ основное название, определенное в РД Гостехкомиссии
РФ, для данного устройства. Также встречаются общепринятые названия брандмауэр и firewall (англ. огненная стена).
Выделяют следующую классификацию МЭ, в соответствие с функционированием на разных уровнях МВОС (OSI):

Мостиковые экраны (2 уровень OSI);

Фильтрующие маршрутизаторы (3 и 4 уровни OSI);

Шлюзы сеансового уровня (5 уровень OSI);

Шлюзы прикладного уровня (7 уровень OSI);

Комплексные экраны (3-7 уровни OSI).
Наряду со стандартными средствами защиты, без которых немыслимо нормальное функционирование ИС (таких как МЭ, системы резервного копирования и антивирусные средства), существует необходимость использования СОА (IDS, систем обнаружения атак или вторжений), которые являются основным средством борьбы с сетевыми атаками. Типовая архитектура системы выявления атак, как правило, включает в себя следующие компоненты:

Сенсор (средство сбора информации);

Анализатор (средство анализа информации);

Средства реагирования;

Средства управления.
Рассмотрим, при каких условиях легального сотрудника организации можно назвать внутренним нарушителем.
Для эффективного функционирования организации необходимо, чтобы в ней имелась общая стратегия деятельности и четкие должностные инструкции каждому сотруднику. Следующим организационным документом должна быть
политика безопасности организации, в которой изложены принципы организации и конкретные меры по обеспечению информационной безопасности предприятия. Классификационный
раздел политики безопасности описывает имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты. В штатном
разделе приводятся описания должностей с точки зрения информационной безопасности. Наконец, раздел, описывающий правила разграничения
доступа к корпоративной информации, является ключевым для определения внутреннего нарушителя.
Основная цель концепции информационной безопасности - определение методов и средств защиты и обеспечения безопасности информации, отвечающих интересам, требованиям и законодательству РФ в современных

условиях необходимости использования ресурсов глобальных сетей передачи данных общего пользования для построения корпоративных защищенных и безопасных сетей. Концепция формулирует научно-технические принципы построения систем обеспечения безопасности информационных ресурсов корпоративных сетей (СОБИ КС) с учетом современных тенденций развития сетевых информационных технологий, развития видов сетевых протоколов, их взаимной инкапсуляции и совместного использования.
Вопросы для самопроверки:
1.
Чем отличается технологии RPC, ORB, MOM, DCE, ODBC?
2.
В чём состоит методика распределённой обработки данных в информационной сети?
3.
Что такое угроза безопасности?
4.
В чём заключается комплексный подход обеспечения информационной безопасности сети?
5.
Какие методы тестирования системы защиты Вы знаете?
6.
Как работает сетевой сканер?
7.
Что такое защищённость сети?
8.
Какова современная концепция информационной безопасности информационной сети. Есть ли она в МФПУ «Синергия» и что вы знаете о ней как пользователь?
9.
Что такое система обнаружения атак?
10.
Что такое внутренние злоумышленники?
Литература по теме:
Основная литература:
1.
Компьютерные сети. / А.В. Кузин, Учебное пособие. 3-е изд., перераб. и доп. М.: ФОРУМ, 2013. 192 с.
2.
Таненбаум Э.С. Компьютерные сети. 5-е изд, – СПб.: Питер, 2013. –
960с.
Дополнительная литература:
1.
Домарев В. В. Безопасность информационных технологий.
Методология создания систем защиты, ТИД «ДС», 688 стр., 2002 г.
2.
Зима В., Молдовян А., Молдовян Н. Безопасность глобальных сетевых технологий, БХВ-Санкт-Петербург, 368 стр., 2002 г.
3.
Компьютерные сети. / Н.В. Максимов, И.И. Попов. Учебное пособие. 5-е изд., перераб. и доп. М.: ФОРУМ, 2012. 464 с.
4.
Конев И., Беляев А. Информационная безопасность предприятия
СПб-БХВ-Санкт-Петербург, 2003 – 752 с.
5.
Лукацкий А.В. Обнаружение атак, БХВ-Санкт-Петербург, 596 стр.,
2003 г.
6.
Медведковский И. Д., Семьянов Б. В., Леонов Д. Г., Лукацкий А. В.
Атака из Internet, 368 стр., 2002 г.

7.
Остерлох Х. TCP/IP. Семейство протоколов передачи данных в сетях компьютеров. «ДиаСофтЮП», 576 стр., 2002 г.
8.
Скляров Д. Искусство защиты и взлома информации, БХВ-
Петербург, 288 стр., 2004 г.
9.
Соколов А. В., Шаньгин В. Ф. Защита информации в распределенных корпоративных сетях и системах, ДМК Пресс, 656 стр., 2002 г.
10.
Ховард М., Лебланк Д. Защищенный код/Пер. с англ. – М.:
Издательско-торговый дом «Русская редакция», 2003. – 704 стр.
11.
Щеглов А. Ю. Защита компьютерной информации от несанкционированного доступа, Наука и Техника, 384 стр., 2004 г.
Интернет-ресурсы:
1.
Информационная безопасность
// http://ru.wikipedia.org/wiki/Information_security
2.
Как обосновать затраты на информационную безопасность
// http://www.iitrust.ru/articles/zat_ibezop.htm
3.
Методы распределённойобработка данных // http://www.find- info.ru/doc/cpp/009/portioned-methods.htm
4.
Распределенная среда обработки данных DCE
// http://www.slomax.ru/index.php?option=com_content&task=view&id=47&Item id=38 5.
ISO27000.ru - первый русскоязычный информационный портал
// http://www.iso27000.ru/o-proekte