лекция. Понятие итсервиса. Функциональные области управления службой ис
 Скачать 386.78 Kb.
|
 Рис. 6. Оснастка Политика открытого ключа В Windows Server 2003 центр сертификации предполагает применение электронных цифровых подписей. Службы сертификации (CertificationServices) и средства управления сертификатами позволяют построить предприятию собственную инфраструктуру открытых ключей. Применение инфраструктуры открытых ключей обеспечивает следующие преимущества для информационной системы предприятия: более устойчивая к взлому защита, которая базируется на аутентификации с высокой степенью защищенности и применении смарт-карт, использовании протокола IPSec для поддержания целостности и защиты данных от попыток несанкционированной модификации при передаче по общедоступным сетям, а также использовании шифрующей файловой системы для защиты конфиденциальных данных, хранящихся на сервере; упрощение администрирования за счет создания сертификатов, которые позволяют избавиться от применения паролей, масштабировать доверительные отношения в рамках предприятия; дополнительные возможности, которые обеспечивают безопасный обмен файлами и данными между сотрудниками предприятия по общедоступным сетям, защищенную электронную почту и безопасное соединение через Web; использование сертификатов, которые представляют собой цифровой документ, выпускаемый центром сертификации и подтверждающий идентификацию владельца данного сертификата. Сертификат связывает открытый ключ с идентификацией лица, компьютера или службы, которые имеют соответствующий закрытый ключ; службы сертификации, которые применяются при создании и управлении центрами сертификации. В корпоративной информационной системе может быть один или несколько центров сертификации, которые управляются через оснастку Центр сертификации консоли MMC; шаблоны сертификатов, которые представляют собой набор правил и параметров, применяемых к входящим запросам на сертификаты определенного типа; автоматическая подача заявок на сертификаты, которая позволяет администратору конфигурировать субъекты сертификатов для автоматического запроса сертификатов, получения выданных сертификатов и возобновления просроченных сертификатов без участия их субъектов; Web-страницы подачи заявок на сертификаты, которые позволяют подавать заявки на сертификаты через Web-браузер; политики открытых ключей, которые позволяют автоматически распространять сертификаты их субъектам, определять общие доверяемые центры сертификации и проводить управление политиками восстановления данных; поддержка смарт-карт, которая позволяет обеспечивать вход в систему через сертификаты на смарт-картах, хранение на них сертификатов и закрытых ключей. Смарт-карты предназначены для обеспечения безопасности аутентификации клиентов, входа в домен под управлением Windows Server, цифрового подписания программного кода, работы с защищенной электронной почтой на основе применения шифрования с открытыми ключами. Аутентификация пользователей В операционной системе Windows Server 2003 применяются следующие стандартные протоколы аутентификации: интерактивный ввод, при котором идентификация пользователя проверяется по учетной записи на локальном компьютере или в Active Directory; аутентификация в сети предполагает идентификацию пользователя любой сетевой службой, к которой обращается пользователь, с использованием протокола Kerberos V5,сертификатов открытых ключей, SSL (Security Sockets Layer) и TLS-кэш (Transport Layer Security); единый вход, который дает возможность обращаться к сетевым ресурсам без повторного ввода учетных данных. В Windows Server 2003 поддерживается аутентификация с применением смарт-карт, что позволяет создавать корпоративные сети с высоким уровнем защищенности. Смарт-карта – это устройство внешне похожее на кредитную карту, на котором хранятся пароли, открытые и закрытые ключи и другие личные данные пользователя. Для активизации смарт-карты пользователь должен вставить её в устройство чтения, подключенное к компьютеру, и ввести свой PIN-код (персональный идентификационный номер). PIN-код обрабатывается локально и не передается по сети. После нескольких неудачных попыток ввода PIN-кода смарт-карта блокируется. Ввод PIN-кода обеспечивает аутентификацию только по отношению к смарт-карте, а не к домену. Для аутентификации в домене применяется сертификат открытого ключа, хранящийся на смарт-карте. При запросе на вход сначала происходит обращение к локальной системе безопасности клиентского компьютера. Далее происходит обращение к службе аутентификации домена с использованием сертификата пользователя. Удостоверение сертификата подтверждается цифровой подписью с применением закрытого ключа пользователя. Защита коммуникаций Для защиты коммуникаций предназначена технология IP-безопасности, базирующаяся на протоколе IPSec (IP Security). В корпоративной информационной системе данная технология должна обеспечивать защиту от: изменения данных при пересылке; перехвата, просмотра и копирования данных; несанкционированного изменения определенных ролей в системе; перехвата и повторного использования пакетов для получения доступа к конфиденциальным ресурсам. Протокол IPSec представляет протокол транспортного уровня с защитой данных на основе шифрования, цифровой подписи и алгоритмов хеширования. Он обеспечивает безопасность на уровне отдельных IP-пакетов, что позволяет защищать обмен данными в общедоступных сетях и обмен данными между приложениями, не имеющими собственных средств безопасности. IPSec в Windows Server 2003 интегрирован с политиками безопасности Active Directory, что обеспечивает хорошую защищенность интрасетей и коммуникаций через Internet. В IPSec предусмотрены криптографические механизмы хеширования и шифрования для предупреждения атак. Протокол имеет следующие средства защиты: аутентификация отправителя на основе цифровой подписи; проверка целостности данных на основе алгоритмов хеширования; использование алгоритмов шифрования DES и 3DES; защита от воспроизведения пакетов; свойство неотрекаемости (nonrepudiat ion), которое предполагает применение цифровой подписи для однозначного доказательства авторства сообщения; динамическая генерация ключей при передаче данных; алгоритм согласования ключей Диффи-Хелмана, который позволяет согласовывать ключ, не передавая его по сети; возможность задавать длину ключей. При передаче данных с одного компьютера на другой по протоколу IPSec согласовывается уровень защиты, используемый в сеансе. В процессе согласования определяются методы аутентификации, хеширования, возможно туннелирования и шифрования. Секретные ключи для аутентификации создаются на каждом компьютере локально на основе информации, которой они обмениваются. Эта информация не передается по сети. После создания ключа выполняется аутентификация и инициируется сеанс защищенного обмена данными. Защита от вторжений и вредоносного ПО Защита от вторжений должна обеспечить профилактические меры по защите компьютеров и данных. Эти задачи решает Microsoft ISA (InternetSecurity and Acceleration) Server 2004. ISA Server 2004 включает межсетевой экран прикладного уровня, поддержку виртуальных частных сетей (Virtual Private Netware – VPN), Web-кэширование, фильтры прикладного уровня. ISA Server 2004 защищает корпоративные информационные системы от внутренних и внешних атак. Сервер выполняет динамическую проверку потока данных и расширенную фильтрацию различных протоколов Интернета на прикладном уровне, что позволяет противостоять угрозам, не обнаруживаемым традиционными межсетевыми экранами. ISA Server 2004 позволяет: защитить периметр сети; увеличить скорость доступа к Интернету за счет кэширования Web-страниц; обеспечить безопасную публикацию Web-сервисов IIS; предоставлять доступ VPN-клиентам к ресурсам сети и сервисам, в случае исполнения роли сервера VPN; объединять локальные сети через VPN-соединение, в случае исполнения роли шлюза VPN; расширить возможности мониторинга и регистрации VPN-соединений, позволяя отслеживать и сохранять трафик на уровне отдельных приложений; составлять отчеты, используя встроенные средства; фильтровать пакеты для всех сетевых интерфейсов; осуществлять поддержку туннельного режима IPSec для VPN-подключений "точка – точка"; поддерживать режим Windows Quarantine (сетевой карантин), что повышает безопасность работы удаленных пользователей; поддерживать произвольную топологию и неограниченное количество сетей. Сервер Microsoft ISA Server 2004 реализует функциональные возможности трехуровневого межсетевого экрана, средства управления частными виртуальными сетями и службы Web-кэширования. ISA Server 2004 позволяет повысить безопасность и производительность корпоративной информационной сети, а также снизить эксплуатационные расходы. Сервер ISA Server 2004 имеет ряд достоинств: более совершенные средства защиты, которые реализуют динамическую фильтрацию пакетов и каналов. Алгоритм динамической фильтрации избирательно открывает доступ пакетов данных в защищенные области сети. По мере необходимости служба динамической фильтрации открывает порты, а по завершению сеанса связи – закрывает; простота использования за счет поддержки многоуровневой архитектуры, унификации управления VPN, понятных шаблонов, усовершенствованных средств устранения неполадок, возможности экспорта конфигурации в форматах XML, мониторинга активных соединений в режиме реального времени; быстрое и надежное получение доступа к виртуальной частной сети за счет встроенной поддержки туннельного режима IPSec для VPN-подключений, быстрое Web-кэширование и высокопроизводительный пакетный фильтр. Задачи безопасности, а также надежности, масштабируемости, быстродействия при управлении Web-серверами обеспечиваются полнофункциональным Web-сервером Internet Information Services (IIS) 6.0. Службы IIS 6.0 базируются на архитектуре обработки запросов, которая реализует среду с изоляцией приложений. Это обеспечивает функционирование отдельных Web-приложений в собственном Web-процессе. При таком режиме работа приложений и сайтов реализуется обособлено рабочими процессами, полностью изолированными от ядра Web-сервера, что исключает их влияние друг на друга. В IIS 6.0 включены разнообразные средства управления для администрирования и конфигурирования ИТ-инфраструктуры предприятия. Системные администраторы могут изменять параметры и отлаживать приложения во время работы служб. Службы IIS 6.0 поддерживают стандарты XML, SOAP и IPv6. Для защиты от вирусов корпоративных информационных систем Microsoft предлагает технологию Microsoft Antigen, которая позволяет защитить серверы поддержки коммуникаций и коллективной работы. Эти решения серверного уровня предоставляют средства фильтрации файлов и контента, а также позволяют применять несколько механизмов сканирования одновременно. Комплекс антивирусных средств Microsoft Antigen помогают обеспечить антивирусную защиту на уровне серверов с использованием нескольких механизмов сканирования. Продукты семейства Antigen - это приложения для серверов коллективной работы и передачи сообщений, которые обеспечивают защиту от атак злоумышленников, вирусов и нежелательных сообщений. Использование многоядерной технологии антивирусного сканирования позволяет продуктам Antigen успешно бороться с возникающими угрозами. Тесная интеграция с Microsoft Exchange Server, Microsoft SharePoint и Microsoft Live Communications Server обеспечивает надежную защиту ицентрализованное управление всей системой защиты без снижения производительности серверов, на которых установлены продукты Antigen. Фильтрация содержания и файлов обеспечивает соблюдение единой корпоративной политики по правилам передачи и хранения документов, а также применения допустимой лексики как внутри компании, так и при отправке сообщений поставщикам и клиентам. Продукты семейства Antigen имеют следующие преимущества: многоуровневая защита, которая обеспечивает выбор необходимых антивирусных ядер защиты различных модулей и уровней для обеспечения максимальной защиты ИТ-инфраструктуры предприятия; оптимизация сервера, позволяющая в зависимости от роли сервера, его загрузки и мощности можно выбрать оптимальный вариант защиты – количество ядер, используемых для проверки на различных уровнях; контроль содержания, что поддерживает формировании единой корпоративной политики по правилам передачи и хранения документов, а также возможность исключить применение недопустимой лексики при передаче сообщений между подразделениями и при отправке сообщений за пределы предприятия. Решения Microsoft для обеспечения повышенной защиты от компьютерных атак и воздействия вредоносного ПО включают следующие продукты: Windows Defender (бета-версия 2) предназначено для компьютерной защиты. Оно помогает блокировать "всплывающие" браузерные окна и пресекает деятельность программ-шпионов (spyware); Microsoft Client Protection (MCP) помогает защитить настольные компьютеры, портативные ПК и серверы от внезапных внешних сетевых угроз; Certificate Lifecycle Manager- решение на основе анализа бизнес-процессов, помогающее предприятиям управлять жизненным циклом цифровых сертификатов и смарт-карт; Windows Malicious Software Removal Tool (MSRT) - выполняет проверку системы и удаляет самое распространенное вредоносное ПО в случае его обнаружения; Windows OneCare  Live содержит антивирусный модуль, брандмауэр, систему резервного копирования и восстановления данных и другие средства защиты.В табл. 1 и 2 приведены ресурсы по обеспечению безопасности ИТ- инфраструктуры корпоративных систем.
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||