лекция. Понятие итсервиса. Функциональные области управления службой ис
Скачать 386.78 Kb.
|
Безопасность мобильных пользователей корпоративных систем Для обеспечения сотрудников постоянным доступом к ресурсам корпоративной сети в неё включают мобильные устройства. С помощью мобильных устройств сотрудники предприятия могут обращаться к корпоративной информации, своей почте и бизнес-приложениям с любого места, находящегося за межсетевым экраном корпоративной сети. Для поддержки мобильных пользователей необходимо реализовать в системе стандарты безопасности, позволяющие использовать корпоративные сетевые ресурсы и конфиденциальную информацию. Для безопасной работы мобильных пользователей используются следующие виды защиты: защита домена; защита мобильного устройства; защита беспроводных соединений. При защите домена мобильные устройства должны отвечать требованиям аутентификации, применяемым на предприятии. Устройства, работающие под управлением Windows Mobile 2003, поддерживают двухэтапную аутентификацию и позволяют применять стойкие пароли, биометрические технологии и сертификаты. Устройства с Windows Mobile 2003 можно интегрировать в существующую инфраструктуру открытых ключей. Защиту мобильных устройств, работающих под управлением Windows Mobile 2003, поддерживают средства защиты, которые позволяют защищать информацию, хранящуюся на таких устройствах. Это предотвращает несанкционированный доступ к данным в случае утери или кражи мобильного устройства. В Windows Mobile 2003 в дополнение к поддержке строгих паролей встроены средства шифрования данных. Для защиты беспроводных соединений сетевые администраторы должны контролировать процесс доступа этих устройств к корпоративной сети предприятия. Кроме того, информация, передаваемая по беспроводной сети должна шифроваться. Одним из решений по организации доступа сотрудников, находящихся вне предприятия, к корпоративной сети является организация виртуальной частной сети – VPN. Для контроля доступа к приложениям в Windows Server 2003 имеется служба сетевого карантина (WindowsQuarantine). Карантин используется в сети для проверки состояния клиента пред тем, как предоставить ему доступ к защищенным сетям. Карантинный фильтр на основании политики безопасности может запретить доступ и не разрешать его до тех пор, пока, настройки подключаемого компьютера не будут удовлетворять требованиям политики безопасности. Для применения карантина требуется, чтобы эта служба поддерживалась и клиентом и сервером аутентификации. Некоторые мобильные устройства, такие как КПК и смартфоны, работающие под управлением Windows Mobile 2003, имеют возможность синхронизации данных. Эти мобильные устройства оптимизированы для синхронизации с серверами Microsoft Exchange. Для синхронизации данных Exchange КПК и смартфоны, управляемые Windows Mobile могут использовать Exchange Server 2003 ActiveSync. На каждом устройстве сWindows Mobile указывают сервер Exchange и задают параметры безопасности. Для соединения с сетью, в которой работает Exchange Server2003 ActiveSync, мобильное устройство должно иметь информацию по учетной записи пользователя и имени доступных серверов. Это позволяет создать шифруемый канал коммуникационной связи между мобильным пользователем и корпоративной сетью. Службы терминалов Сервер терминалов (Terminal Server) операционной системы Windows Server 2003 позволяет с удаленных клиентских компьютеров получить через сеть доступ к приложениям, установленным на сервере. Сервер терминалов обеспечивает шифрование канала связи. Для аутентификации соединений со службами терминалов и шифрования коммуникаций с сервером терминалов применяется Secure Sockets Layer(SSL) / Transport Layer Security (TLS). SSL – протокол шифрованной передачи данных между клиентом и сервером, который требует сертификата, выданного одним из авторизованных центров. TLS - криптографический протокол, который обеспечивает безопасную передачу данных между узлами в сети Internet. Различие между SSL 3.0 и TLS 1.0 незначительные, поэтому далее в тексте термин "SSL" будет относиться к ним обоим. SSL, используя криптографию, предоставляет возможности аутентификации и безопасной передачи данных через Internet. Часто происходит лишь аутентификация сервера, в то время как клиент остается неаутентифицированным. Для взаимной аутентификации каждая из сторон должна поддерживать инфраструктуру открытых ключей SSL включает в себя три основных фазы: диалог между сторонами, целью которого является выбор алгоритма шифрования; обмен ключами на основе криптосистем с открытым ключом или аутентификация на основе сертификата; передача данных, шифруемых при помощи симметричных алгоритмов шифрования. Для корректной работы аутентификации SSL (TLS) удаленные клиенты должны: работать под управлением Windows 2000 или Windows XP; использовать клиент протокола RDP (Remote Desktop Protocol); доверять корневому сертификату сервера. Защита данных Для защиты данных применяются технологии кластеризации, теневого копирования, а также службы управления правами и Data ProtectionManager. Кластер определяет группу компьютеров, которые совместно выполняют одинаковый набор приложений и которые представляются клиентам и приложениям как единая система. Компьютеры объединяются в кластер с помощью программных соединений и используют средства автоматического восстановления после сбоев и балансировки сетевой нагрузки. Windows Server 2003 имеет две службы кластеризации: служба кластеров (Cluster Service, MSCS), которая обеспечивает высокую отказоустойчивость и масштабируемость для баз данных, коммуникационных систем, файловых служб и служб печати. В системе реализуется режим автоматического восстановления после сбоя, при котором в случае недоступности одного узла кластера обработку начинает проводить другой узел; служба балансировки сетевой нагрузки (Network Load Balancing Service, NLBS), которая обеспечивает балансировку нагрузки, создаваемую IP-трафиком, между кластерами. Служба NLBS повышает отказоустойчивость и масштабируемость приложений, размещаемых на серверах в Internet (Web-серверах, серверах, передающих потоковую информацию, служб терминалов). Интеграция служб кластеризации с Active Directory позволяет проводить регистрацию в Active Directory "виртуального" объекта компьютера, поддерживать аутентификацию через Kerberos и обеспечивать тесную интеграцию с другими службами, публикующими информацию о себе в Active Directory. Теневое копирование общих папок в Windows Server 2003 помогает предотвратить случайную потерю данных и обеспечивает экономичный способ восстановления данных, утраченных в результате ошибки пользователя. При теневом копировании регулярно, через заданный интервалвремени, создаются теневые копии файлов и папок, хранящиеся в общих сетевых папках. Теневая копия представляет предыдущую версию файла или папки по состоянию на определенный момент времени. Посредством теневых копий файловый сервер под управлением Windows Server 2003 может эффективно поддерживать на выбранных томах предыдущие версии всех файлов. Пользователь имеет возможность просматривать предыдущие версии файла. Теневые копии упрощают текущее восстановление поврежденных файлов, но они не заменяют процедуры резервного копирования, создания архивов, полнофункциональной системы восстановления данных. Теневые копии не обеспечивают защиту от потери данных при сбоях или повреждении физического носителя. Тем не менее восстановление данных из теневых копий уменьшает количество случаев, в которых приходится прибегать к восстановлению данных из архивов. Следует отметить, что теневые копии не предназначены для использования в качестве средств управления версиями документов. Это временные копии, автоматически создаваемые по расписанию. Microsoft System Center Data Protection Manager (DPM) предназначен для резервного копирования на диск. DPM обеспечивает постоянную эффективную защиту данных, быстрое и надежное их восстановление. Это реализуется путем использования репликации, а также инфраструктуры службы теневого копирования томов Резервное копирование с использованием DPM может быть централизованным (копирование по схеме "диск-диск-лента в центре обработки данных") и децентрализованным (резервные копии передаются на центральный сервер DPM). При восстановлении данных могут выполняться следующие сценарии: полное восстановление сервера администраторами сервера; восстановление файлов администраторами сервера; восстановление файлов ИТ-службой; восстановление файлов самими пользователями. В заключении следует отметить, что компания Microsoft разработала программное средство для оценки системы безопасности SecurityAssessment Tool (MSAT). Данный инструментарий позволяет собирать данные о системе безопасности ИТ-инфраструктуры предприятия и получать рекомендации по её усовершенствованию. В данной теме была рассмотрена стратегия, технологии и решения компании Microsoft по построению защищенных информационных систем. Жизненный цикл контента. Платформы для эффективной работы. Системы электронного документооборота предприятия, использующие веб-интерфейс. Документальная поддержка бизнес-процессов. Exchange Server 2007. В настоящее время требования, предъявляемые к корпоративным информационным системам, сводятся не только к обеспечению эффективной индивидуальной работы пользователей, но и к возможности коллективной работы при условии доступа к нужной информации в любом месте и в любое время. Поддержка индивидуальной и коллективной работы пользователей корпоративных информационных систем может быть реализована на базе следующих решений: интегрированные средства коммуникаций; рабочие области коллективной деятельности; мгновенный доступ к информации и людям; автоматизация бизнес-процессов. Интегрированные средства коммуникаций. Сотрудники предприятий для доступа к информации используют городские и сотовые телефоны, смартфоны, КПК, персональные компьютеры, ноутбуки и Internet-киоски. ИТ-инфраструктура предприятия должна обеспечивать взаимодействие всех перечисленных устройств. Решения Microsoft упрощают и интегрируют разнообразные средства коммуникаций, доступные группам и индивидуальным сотрудникам. Электронная почта, мгновенный обмен сообщениями, голосовая почта, телефоны, мобильные устройства и средства проведения конференций через Internet объединяются унифицированным программным обеспечением. Функции такого ПО должны быть доступны независимо от места нахождения пользователей или типа сетевого соединения. Microsoft предоставляет интеллектуальное ПО, которое управляет коммуникациями, с учетом возможностей линий связи, в реальном масштабе времени. Данное программное обеспечение способствует созданию эффективных коммуникаций как внутри предприятия, так и с партнерами, поставщиками и клиентами. Рабочие области коллективной деятельности. Для поддержки коллективной работы Microsoft предлагает использовать службу Windows SharePoint Services, которая устанавливается в Microsoft Windows Server 2003. Данная служба предоставляет надежные и простые в использовании рабочие области для групп, легко интегрируется с Microsoft Windows Server, позволяя ИТ-службе создавать рабочие области коллективной работы. Эти области облегчают проведение совещаний, управление проектами, создание документов и др. Windows SharePoint Services можно интегрировать с корпоративными бизнес-приложениями и, следовательно, получать к ним доступ посредством привычного пользователю интерфейса. Мгновенный доступ к информации и людям. Корпоративным пользователям требуются эффективные средства поиска информации во множестве источников. Для решения данной задачи Microsoft предлагает использовать портальные технологии и управление контентом. С помощью функциональности MySites в SharePoint пользователи могут создавать свои сайты под личные задачи. Такой сайт является единой точкой доступа к документам пользователя, новостям, электронной почте и другим приложениям. Автоматизация бизнес-процессов. При автоматизации внутренних бизнес-процессов предприятия появляется необходимость исключения бумажного документооборота из информационных потоков. Решения Microsoft позволяют использовать привычные программы, такие как Microsoft Windows Server, для обращения к корпоративной информации и приложениям. При интеграции ERP-систем с программами Microsoft Windows Server сотрудники предприятия могут обращаться к бизнес-приложениям прямо из Microsoft Windows Server. Поддержка XML Microsoft Windows Server предоставляет большие возможности по формированию индивидуальных схем информационных потоков и позволяет применять гибкие средства управления процессами на основе документов. Основные элементы ИТ-инфраструктуры, которые позволяют реализовать эффективную поддержку коллективной работы следующие: Exchange Server 2007 – поддержка доступа к электронной почте и информации практически из любого места, с любого устройства и в любое время; технологии Microsoft Windows Server – доступные, простые в эксплуатации и масштабируемые средства поддержки коллективной работы (от совместной деятельности в рамках отдела до взаимодействия между предприятиями). Эти технологии включают Microsoft Windows Server Portal Server (SPPS) 2003 и Windows SharePoint Services (SPS): Microsoft Windows Server Portal Server 2007 – надежный, масштабируемый, простой в использовании и управлении портал для поддержки коллективной работы, который служит связующим звеном между людьми и информацией. SPPS 2003, построенный на платформе Microsoft Windows Server, позволяет организациям интегрировать бизнес-процессы и приложения, а также полный набор средств персонализации и коллективной работы пользователей; Microsoft Windows Server Services 2.0 позволяет создавать Web –сайты, через которые члены группы могут обмениваться документами и совместно работать над проектами; InfoPath 2007 – гибкое и эффективное средство создания динамических форм и их заполнения в рамках группы или организации, которое способствует успешному ведению бизнеса, расширяя возможности коллективной работы и улучшая процесс принятия решений. Информацию, собираемую с помощью InfoPath 2007, можно передавать в Web-сервисы и бизнес-приложения, так как InfoPath 2007 поддерживает любые пользовательские XML-схемы; ISA Server 2004 – межсетевой экран и прокси-сервер, который обеспечивает безопасный доступ к данным и защищает конфиденциальную информацию, хранящуюся в корпоративной сети; Microsoft Windows Server – средства работы с документами, тесно интегрированные со средствами совместной работы SharePoint; служба управления правами Windows (Windows Rights Management Services, WRMS) – обеспечивает надежную защиту и контроль доступа на уровне отдельных документов; Microsoft Windows Server Communications Server 2007 в сочетании с Office Communicator 2007 – мощное, масштабируемое корпоративное решение для мгновенного обмена сообщениями, проведения аудио- и видеоконференций по IP-сетям в режиме реального времени с функциональностью определения присутствия. Live Meeting – отдельный Web-сервис, не требующий для установки в организации выделенного сервера и позволяющий проводить конференции через Internet; платформа Windows Server 2003 со службой каталогов Active Directory – основа ИТ-инфраструктуры, обеспечивающей максимальную эффективность работы сотрудников. Exchange Server 2007 Microsoft Windows Server 2007 - надежная система обмена сообщениями со встроенными средствами защиты от нежелательной почты и вирусов. С помощью Exchange 2007 пользователи организации получают доступ к электронной почте, голосовой почте, календарям и контактам с использованием широкого спектра устройств и из любого места нахождения. Данный сервер характеризуется повышенной безопасностью и надежностью. Он позволяет обеспечить доступ к корпоративной информации сотрудникам предприятия практически из любого места и в любой момент времени. В Microsoft Windows Server 2007 существует пять ролей сервера, которые можно установить и настроить на компьютере, на котором работает Microsoft Windows Server 2003: клиентский доступ; граничный транспорт; транспортный сервер-концентратор; сервер почтовых ящиков; единая система обмена сообщений. Роль сервера "Клиентский доступ" поддерживает клиентские приложения Microsoft Windows Server клиент Outlook и Microsoft Windows Server, протоколы POP3, IMAP4и службы, такие как автообнаружение и Web-службы. Данная роль принимает подключения к серверу Exchange 2007 от различных клиентов. Программные клиенты, такие как Microsoft Windows Server и Eudora, используют подключения POP3 и IMAP4, а аппаратные, такие как мобильные устройства, используют ActiveSync, POP3 или IMAP4 для связи с сервером Exchange. Роль пограничного транспортного сервера развертывается в демилитаризованной зоне предприятия как автономный сервер. Созданный для уменьшения площади атаки, пограничный транспортный сервер обрабатывает весь почтовый поток, соприкасающийся с Internet, обеспечивая передачу по протоколу SMTP и работу служб промежуточных узлов организации Exchange. Дополнительные уровни защиты и безопасности сообщения обеспечиваются рядом агентов, запущенных на пограничном транспортном сервере и выполняющих операции с сообщениями при их обработке компонентами транспорта сообщения. Эти агенты поддерживают средства, которые обеспечивают защиту от вирусов и нежелательной почты и применяют правила транспорта для управления потоком сообщений. Роль транспортного сервера-концентратора, развернутая внутри леса службы каталогов Active Directory, управляет всем потоком почты на предприятии, применяет правила транспорта и политики ведения журнала и доставляет сообщения в почтовый ящик получателя. Сообщения, отправляемые в Internet, передаются узловым транспортным сервером к роли сервера граничного транспорта, развернутой на периметре сети. Сообщения, получаемые из Internet, прежде чем передаются серверу узлового транспорта, обрабатываются сервером граничного транспорта. Если сервера граничного транспорта нет, можно настроить сервер узлового транспорта для непосредственной передачи сообщений из Internet. На сервере узлового транспорта можно также установить и настроить агенты сервера граничного транспорта, которые обеспечат в организации защиту от нежелательной почты и компьютерных вирусов. |