Администрирование в информационных системах

Анализ задач, решаемых в процессе администрирования в информационных системах. Характеристика системы доменных имён и этапы её формирования. Достоинства и недостатки протокола Kerberos и особенность его работы на этапе доступа клиента к ресурсам.

Рубрика Программирование, компьютеры и кибернетика
Вид контрольная работа
Язык русский
Дата добавления 23.01.2014
Размер файла 167,1 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

1. Какие задачи решаются в процессе администрирования в информационных системах?

Администрирование в ИС

Администрирование (административные механизмы) - это процедуры управления, регламентирующие некоторые процессы или их часть.

В нашем случае, оно входит в полномочия администратора ИС, который фиксирует и руководит соответствующими его полномочиям процессами и ситуациями, нуждающимися в целевом управлении и ограничениях.

К таковым процессам относят планирование работ, построение, эксплуатацию и поддержку эффективной ИТ-инфраструктуры, интегрированной в общую архитектуру информационной системы - один из критических факторов успешной реализации стратегических бизнес-целей организации.

Инфраструктура включает решения по программному обеспечению, аппаратному комплексу и организационному обеспечению ИС, что соответствует пониманию системы в современных стандартах типа ISO/IEC 15288.

В инфраструктуру ИТ входят:

· вычислительное и телекоммуникационное оборудование;

· каналы связи;

· инженерно-техническое оборудование, обеспечивающее работу вычислительных и телекоммуникационных средств;

· программные приложения, реализующие функциональность ИТ-систем (прикладное программное обеспечение) и обеспечивающие функционирование оборудования (системное программное обеспечение);

· администрация и персонал, осуществляющие эксплуатацию ИС;

· внутренние положения и инструкции, регламентирующие работу персонала с ИТ-системами;

· исходные тексты программных приложений, входящих в ИТ-систему (прикладное и системное ПО);

· системная и пользовательская документация программных приложений и аппаратных комплексов и др.

Современная ИТ-инфраструктура ИС должна обладать высокой производительностью, надёжностью, гибкостью, масштабируемостью и другими качествами.

Совокупность сетевых программно-технических средств ИС образует её архитектуру. Для ИС, ориентированных, в первую очередь, на получение экономического эффекта, стремятся выбрать архитектуру системы с минимальной совокупной стоимостью владения.

Совокупная стоимость владения ИС состоит из плановых затрат и стоимости рисков. Совокупная стоимость рисков определяется стоимостью бизнес-рисков, а также вероятностью появления технических, программных и организационно-эксплуатационных рисков.

Так, например, совокупная стоимость владения серверными кластерами определяется как сумма затрат на их приобретение, стоимости серверов, эксплуатационных затрат и стоимости потерь от простоев и нарушения программно-информационного их содержания. Последние в нашем понимании

Задачи и функции администрирования в информационных системах

Администрирование ИС заключается в предоставлении пользователям соответствующих прав использования возможностей работы с системой (базой, банком данных); обеспечении целостности данных, а также создании многопользовательских приложений.

Администрирование ИС - это её инсталляция (установка), управление доступом к ней, обеспечение целостности ИС и др.

Формирование (инсталляция) ИС на компьютере заключается в подготовке одного или нескольких файлов данных, которые будут установлены и использоваться в виде единой ИС. ИС создаётся один раз, независимо от того, сколько файлов данных она имеет, и сколько обращений к ней будет производиться.

Создание ИС включает следующие операции:

· создание новых файлов данных, или стирание данных, хранившихся в предыдущих файлах данных;

· создание структур, требующихся для доступа и работы с ИС;

· инициализацию управляющих файлов и журнала для ИС.

Для обеспечения защиты ИС, используют различные ограничения целостности данных, журнализацию, репликацию и резервное копирование.

Создаваемый журнал обычно содержит подробную информацию о загрузке, включая:

· имена входящих в базу данных файлов;

· входные данные и связанные с ними определения таблиц;

· ошибки и результаты работы БД;

· итоговую статистику.

Прежде чем создавать ИС необходимо:

· спланировать таблицы и индексы, а также оценить необходимое им пространство;

· спланировать защиту ИС, включая конфигурацию её журналов с учётом занимаемого ими пространства и стратегию резервного копирования.

Администрирование информационных систем включает следующие цели:

1. Установка и настройка сети.

2. Поддержка её дальнейшей работоспособности.

3. Установка базового программного обеспечения.

4. Мониторинг сети.

Выделяют три основные категории пользователей ИС: разработчики, администраторы и собственно пользователи.

Администрирование ИС осуществляется лицом, управляющим этой системой. Такое лицо называется администратором.

Если ИС большая, эти обязанности могут выполнять несколько человек (группа администраторов).

Администратор ИС осуществляет её запуск и останов. Он может использовать табличные пространства для:

· управления распределением памяти для объектов ИС;

· установления квот памяти для пользователей ИС;

· управления доступностью данных, включая режимы (состояния) online или offline;

· копирования и восстановления данных;

· распределения данных по устройствам для повышения производительности.

В процессе своей деятельности администратор ИС взаимодействует с другими категориями её пользователей, а также и с внешними специалистами, не являющимися пользователями ИС.

Системное администрирование

Основной целью системного администрирования является приведение сети в соответствие с целями и задачами, для которых эта сеть предназначена. Достигается эта цель путём управления сетью, позволяющего минимизировать затраты времени и ресурсов, направляемых на управление системой, и в тоже время максимизировать доступность, производительность и продуктивность системы.

Функциональные области управления, относящиеся к системному администрированию, определены в спецификациях ISO, и ориентированы на:

· решение проблемных ситуаций (диагностика, локализация и устранение неисправностей, регистрация ошибок, тестирование);

· управление ресурсами (учёт, контроль использования ресурсов, выставление счетов за использованные ресурсы и ограничение доступа к ним);

· управление конфигурацией, направленное на обеспечение надёжного и эффективного функционирования всех компонентов информационной системы;

· контроль производительности (сбор и анализ информации о работе отдельных ресурсов, прогнозирование степени удовлетворения потребностей пользователей/приложений, меры по увеличению производительности);

· защита данных (управление доступом пользователей к ресурсам, обеспечение целостности данных и управление их шифрованием).

Сетевое администрирование

Сетевое администрирование (Network Management) возникает, когда у администратора сети появляется потребность и возможность оперировать единым представлением сети, как правило, это относится к сетям со сложной архитектурой. При этом осуществляется переход от управления функционированием отдельных устройств к анализу трафика в отдельных участках сети, управлению её логической конфигурацией и конкретными рабочими параметрами, причём все эти операции целесообразно выполнять с одной управляющей консоли.

Затем к контролируемым объектам добавились сетевые операционные системы, распределённые базы данных и хранилища данных, приложения и, наконец, сами пользователи.

Задачи, решаемые в данной области, разбиваются на две группы:

1. Контроль за работой сетевого оборудования;

2. Управление функционированием сети в целом.

В первой группе речь идёт о мониторинге отдельных сетевых устройств (концентраторов, коммутаторов, маршрутизаторов, серверов доступа и др.), настройке и изменении их конфигурации, устранении возникающих сбоев. Эти традиционные задачи получили название реактивного администрирования (reactive management).

Вторая группа отвечает за мониторинг сетевого трафика, выявление тенденций его изменения и анализ событий в целях реализации схем приоритизации и упреждающего решения проблем, связанных с недостатком пропускной способности (упреждающее, или профилактическое, администрирование, proactive management).

Для реализации упреждающего администрирования оно должно быть дополнено мощным инструментарием ретроспективного анализа поведения информационной системы. Основную роль в этом процессе может играть разбиение множества возможных состояний системы на классы и прогнозирование вероятностей её миграции из одного класса в другой.

Сюда же относятся формирование единого представления сети в целях внесения изменений в её конфигурацию, учёт сетевых ресурсов, управление IP-адресами пользователей, фильтрация пакетов в целях обеспечения информационной безопасности и ряд других задач.

Трудоёмкость процессов администрирования распределённой вычислительной среды явилась одним из стимулов к появлению редуцированных распределённых вычислительных моделей.

Конечной целью управления сетью является достижение параметров функционирования ИС, соответствующих потребностям пользователей.

Интегрированная система управления сетью (Integrated network management system, INMS) - система управления, обеспечивающая объединение функций, связанных с анализом, диагностикой и управлением сетью.

При этом сетевое администрирование порой стало рассматриваться как одна из множества составных частей администрирования системного, а сеть - как один из управляемых ресурсов наряду с компьютерами, периферийными устройствами, базами данных, приложениями и т.д.

Трудоемкость процессов администрирования распределённой вычислительной среды привела к тому, что осенью 1996 года компании Oracle и Sun Microsystems предложили создание сетевых компьютеров, а полгода спустя Intel и Microsoft - концепцию сетевых персональных компьютеров (Net PC). Несмотря на существенные отличия этих двух архитектур, они ознаменовали частичный возврат к централизованной вычислительной модели и к соответствующей организации всех процессов администрирования.

2. Что представляет собой система доменных имен?

Система доменных имен

Как известно, имена запоминаются проще, чем числа. Многие люди обладают феноменальной способностью запоминать телефонные номера, адреса, денежные суммы и другие числа, но в настоящее время существует слишком много -адресов, чтобы можно было запомнить хотя бы их малую часть. По этой причине, идя навстречу пожеланиям различных организаций, которые хотели бы получить гибкую и масштабируемую схему именования, центр IпterNIC (Iпterпet Network Iпformatioп Ceпter) создал иерархическое пространство доменных имен DNS (Domaiп Name System).

DNS- это схема именования, внешне похожая на структуру каталогов на диске, то есть имеет структуру дерева, называемого пространством доменных имён, в котором каждый домен (узел дерева) определяет группу компьютеров, образующих часть сети и управляемых как единое целое в соответствии с общими правилами и процедурами.

Пространство доменных имен состоит из:

· корневого домена - представляет корень пространства имен и обозначается концевой точкой. Обычно эта точка опускается и заменяется пустым символом (null).

· доменов верхнего уровня - расположены непосредственно под корнем и указывают тип организации, а также назначаются для каждой страны. Имена этих доменов должны следовать международному стандарту ISO 3166, за что отвечает IпterNIC. Для обозначения стран используются трехбуквенные и двухбуквенные аббревиатуры, а для различных типов организаций, классифицированных по выполняемым функциям, используются следующие аббревиатуры:

СОМ - Коммерческая организация (например, microsoft.com);

EDU - Образовательное учреждение (например, mit.edu);

GOV - Правительственное учреждение (например, whitehouse.gov);

MIL - Военная организация (например, army.mil);

NET- Центр поддержки сетей (например, pautina.net)

ORG - Некоммерческие организации (например, logoped.org);

INT - Международная организация (например, nato.int);

· доменов второго уровня - располагаются за доменами верхнего уровня и идентифицируют конкретные организации. За поддержку имен доменов второго уровня и соблюдение их уникальности в Интернете отвечает IпterNIC;

· поддоменов - принадлежат конкретной организации и располагаются за доменами второго уровня. За создание и поддержку своих поддоменов отвечают сами организации.

администратор информационная система

Каждый домен имеет уникальное имя, а каждый из поддоменов имеет уникальное имя внутри своего домена. Имя домена идентифицирует его положение в пространстве доменных имён по отношению к родительскому домену, причем точки в имени отделяют части, соответствующие узлам домена, называемые суффиксами домена. Однако, если полное имя файла формируется из пути к этому файлу от корневого каталога с добавлением в конце собственно имени файла, то хост-имя формируется из цепочки доменов в обратном порядке, т. е. от хоста к корню. Получаемое таким образом уникальное хост-имя, отражающее положение хоста в иерархии, составляется из имён поддоменов, в которые он входит и называется полным доменным именем (Fиllу Qиаlifiеd Domain Name, FQDN). Имя домена, не чувствительное к регистру букв, может содержать до 63 символов, а полное доменное имя может достигать глубины 127 уровней, пока общая длина вместе с точками не достигнет 254 символов. Но на практике регистраторы доменных имён используют более строгие ограничения.

Например, полное доменное имя хоста:

ftpsrv.wcoast.reskit.com

· Концевая точка обозначает, что данное полное доменное имя относительно корню пространства доменных имен. Обычно эта точка опускается.

· com - домен верхнего уровня, обозначающий коммерческую организацию.

· reskit - домен второго уровня, указывающий конкретную организацию -- «Windows 2000 Resource Кit».

· wcoast - поддомен reskit.com, указывающий подразделение «West Coast» организации «Windows 2000 Resource Kit».

· Ftpsrv - имя FTR-сервера в подразделении «West Coast».

Организации, не соединенные с Интернетом, могут использовать произвольные имена доменов верхнего и второго уровня. Но обычно даже такие организации придерживаются спецификации InterNIC, чтобы впоследствии - при подключении к Интернету - не пришлось переименовывать домены.

Хост-имена могут иметь различные формы. Самые распространенные из них - это, уже упомянутое, доменное имя и понятие имя (nickname). Понятное имя является псевдонимом IP-адреса, произвольно назначенного отдельным пользователем. Оно, как и доменное имя, может быть длинной до 255 знаков и включать алфавитно-цифровые символы, а также дефисы и точки. Каждый вправе создать любые нужные записи, присвоив часто используемым ресурсам понятные имена, которые нетрудно запоминать. Однако понятные имена неэффективны при наличии большого количества записей.

К адресам хост-компьютеров в сети предъявляются специальные требования. Адрес должен иметь формат, с одной стороны, позволяющий просто выполнять его синтаксическую автоматическую обработку; с другой стороны, он должен иметь семантическую окраску, то есть нести информацию об адресуемом объекте. Поэтому адреса хост-компьютеров в сети Интернет могут иметь двойную кодировку:

· Обязательную кодировку, удобную для работы системы телекоммуникации в сети: дружественный компьютеру цифровой IP-адрес (IP, Internet Protocol);

· Необязательную кодировку, удобную для абонента сети: дружественный пользователю DNS-адрес (DNS, Domain Name System).

Цифровой IP-адрес версии v.4 представляет собой 32-разрядное двоичное число. Для удобства он разделяется на четыре блока по 8 битов, которые можно записать в десятичном виде. Адрес содержит полную информацию, необходимую для идентификации компьютера.

Возможный вариант: два старших блока определяют адрес сети, а два другие - адреса подсети и хост-компьютера внутри этой подсети. Например, в двоичном коде цифровой адрес записывается следующим образом: 10011000001001010100100010001010. В десятичном коде он имеет вид: 152.37.72.138. Адрес сети - 152.37; адрес подсети - 72; адрес компьютера - 138.

Ввиду огромного количества подключенных к сети компьютеров и различных организаций ощущается ограниченность 32-разрядных IP-адресов, поэтому ведется разработка модернизированного протокола IP-адресации, имеющего целью:

· Повышение пропускной способности сети;

· Создание лучше масштабируемой и адаптируемой схемы адресации;

· Обеспечение гарантий качества транспортных услуг;

· Обеспечение защиты информации, передаваемой в сети.

Основой этого протокола являются 128-битовые адреса, обеспечивающие более 1000 адресов на каждого жителя земли. Внедрение этой адресации (IP-адресация х. 6) снимет проблему дефицита цифровых адресов.

Однако главной целью разработки нового протокола является не столько расширение разрядности адреса, сколько увеличение уровней иерархии в адресе, отражающей теперь 5 идентификаторов: два старших для провайдеров сети (идентификаторы провайдера и его реестра) и три для абонентов (абонента, его сети и узла сети).

Доменный адрес состоит из нескольких, отделяемых друг от друга точкой, буквенно-цифровых доменов (domain - область). Этот адрес построен на основе иерархической классификации: каждый домен, кроме крайнего левого, определяет целую группу компьютеров, выделенных по какому-либо признаку, при этом домен группы, находящийся слева, является подгруппой правого домена. Всего в Сети сейчас насчитывается более 120 000 разных доменов.

Например, географические двухбуквенные домены некоторых стран:

· Австрия - at;

· Болгария - bg;

· Канада - ca;

· Россия - ru;

· США - us;

· Франция - fr.

Доменный адрес может иметь произвольную длину. В отличие от цифрового адреса он читается в обратном порядке. В начале указывается домен нижнего уровня - имя хост-компьютера, затем домены - имена подсетей и сетей, в которой он находиться, и, наконец, домен верхнего уровня - чаще всего идентификатор географического региона (страны).

Итак, доменный адрес хост-компьютера включает в себя несколько уровней доменов. Каждый уровень отделяется от другой точкой. Слева от домена верхнего уровня располагаются другие имена. Все, находящиеся слева, -- поддомен для общего домена.

Например: доменный адрес www.engec.spb.ru:

· Ru - домен России;

· Spb - поддомен Санкт -- Петербурга;

· Engec - поддомен Государственного инженерно-экономического университета;

· www - Word Wide Web

Для пользователей Интернета почтовыми адресами могут быть просто их имена, зарегистрированные в службе электронной почты и не отражающие такой длинной иерархии. Например: почтовый адрес автора учебника: Broido@hotbox.ru - за именем пользователя следует знак @, а далее доменный адрес почтового сервера, включая и домен страны.

Преобразование (разрешение) доменного адреса в соответствующий цифрой IP-адрес выполняют специальные серверы DNS (Domain Name Server) - серверы имен. Поэтому пользователю нет необходимости знать цифровые адреса.

Для работы в Интернете достаточно знать только доменный адрес компьютера или пользователя, с которым вы хотите установить связь.

Но более эффективно для адресации использовать не просто доменный адрес, а унифицированный указатель ресурса - URL (Uniform Resource Locator), который дополнительно к доменному адресу содержит указания на используемую технологию доступа к ресурсам и спецификацию ресурса внутри файловой структуры компьютера.

3. В чем состоит особенность работы протокола Kerberos на этапе доступа к ресурсам?

Протокол Kerberos предлагает механизм взаимной аутентификации клиента и сервера перед установлением связи между ними, учитывая тот факт, что начальный обмен информацией между клиентом и сервером происходит в незащищённой среде, а передаваемые пакеты могут быть перехвачены и модифицированы. Другими словами, протокол идеально подходит для применения в Интернет и аналогичных сетях. Начиная с Windows 2000 система Kerberos встроена как основной компонент безопасности, также он может работать в среде многих популярных ОС.

В основе этой системы лежит несколько простых принципов:

- в сетях, использующих систему безопасности Kerberos, все процедуры аутентификации между клиентами и серверами сети выполняются через систему-посредника, которому доверяют обе стороны аутентификационного процесса, причем таким авторитетным арбитром является сама система Kerberos;

- в системе Kerberos клиент должен доказывать свою аутентичность для доступа к каждой службе, услуги которой он вызывает;

- все обмены данными в сети выполняются в защищенном виде с использованием алгоритма шифрования DES.

Сетевая служба Kerberos построена по архитектуре клиент-сервер, что позволяет ей работать в самых сложных сетях. Kerberos-клиент устанавливается на всех компьютерах сети, которые могут обратиться к какой-либо сетевой службе, В таких случаях Kerberos-клиент от лица пользователя передает запрос на Kerberos-сервер и поддерживает с ним диалог, необходимый для выполнения функций системы Kerberos.

В системе Kerberos имеются следующие участники: Kerberos-cepвep, Кеrberos-клиентпы, ресурсные серверы (рис. 17.1.). Kerberos-клиенты пытаются получить доступ к сетевым ресурсам - файлам, приложением, принтеру и т.д. Этот доступ может быть предоставлен, во-первых, только легальным пользователям, а во-вторых, при наличии у пользователя достаточных полномочий, определяемых службами авторизации соответствующих ресурсных серверов - файловым сервером, сервером приложений, сервером печати. Однако в системе Kerberos ресурсным серверам запрещается «напрямую» принимать запросы от клиентов, им разрешается начинать рассмотрение запроса клиента только тогда, когда на это поступает разрешение от Kerberos-сервера. Таким образом, путь клиента к ресурсу в системе Kerberos состоит из трех этапов:

1. Определение легальности клиента, логический вход в сеть, получение разрешения на продолжение процесса получения доступа к ресурсу.

2. Получение разрешения на обращение к ресурсному серверу.

3. Получение разрешения на доступ к ресурсу.

Для решения первой и второй задач клиент обращается к Кеrbеros-серверу. Каждая из этих двух задач решается отдельным сервером, входящим в состав Kerberos-сервера. Выполнение первичной аутентификации и выдача разрешения на продолжение процесса получения доступа к ресурсу осуществляется так называемым аутентификационным сервером (Authentication Server, AS). Этот сервер хранит в своей базе данных информацию об идентификаторах и паролях пользователей.

Вторую задачу, связанную с получением разрешения на обращение к ресурсному серверу решает другая часть Kerberos-сервера - сервер квитанций (Ticket Granting Server, TGS). Сервер квитанций для легальных клиентов выполняет дополнительную проверку и дает клиенту разрешение на доступ к нужному ему ресурсному серверу, для чего наделяет его электронной формой-квитанцией. Для выполнения своих функций сервер квитанций использует копии секретных ключей всех ресурсных серверов, которые хранятся у него в базе данных. Кроме этих ключей сервер TGS имеет еще один секретный DES-ключ, который разделяет с сервером AS.

Третья задача - получение разрешения на доступ непосредственно к ресурсу - решается на уровне ресурсного сервера.

При описании протоколов взаимодействия Kerberos-клиента и Kerberos-сервера, а также Kerberos-клиента и ресурсного сервера использован термин «квитанция или билет» (ticket), означающий в данном случае электронную форму, выдаваемую Kerberos-сервером клиенту, которая играет роль некоего удостоверения личности и разрешения на доступ к ресурсу.

Первичная аутентификация

Процесс доступа пользователя к ресурсам включает две процедуры: во-первых, пользователь должен доказать свою легальность (аутентификация), а во-вторых, он должен получить разрешение на выполнение определенных операций с определенным ресурсом (авторизация). В системе Kerberos пользователь один раз аутентифицируется во время логического входа в сеть, а затем проходит процедуры аутентификации и авторизации всякий раз, когда ему требуется доступ к новому ресурсному серверу.

Выполняя логический вход в сеть, пользователь, а точнее клиент Kerberos, установленный на его компьютере, посылает аутентификационному серверу AS идентификатор пользователя ID.

Вначале аутентификационный сервер проверяет в базе данных, есть ли запись о пользователе с таким идентификатором, затем, если такая запись существует, извлекает из нее пароль пользователя р. Данный пароль потребуется для шифрования всей информации, которую направит аутентификационный сервер Kerberos-клиенту в качестве ответа. А ответ состоит из квитанции TTGS на доступ к серверу квитанций Kerberos и ключа сеанса KS. Под сеансом здесь понимается все время работы пользователя, от момента логического входа в сеть до момента логического выхода. Ключ сеанса потребуется для шифрования в процедурах аутентификации в течение всего пользовательского сеанса. Квитанция шифруется с помощью секретного DES-ключа K, который разделяют аутентификационный сервер и сервер квитанций. Все вместе - зашифрованная квитанция и ключ сеанса - еще раз шифруются с помощью пользовательского пароля р. Таким образом, квитанция шифруется дважды ключом К и паролем р. В приведенных выше обозначениях сообщение-ответ, которое аутентификационный сервер посылает клиенту, выглядит так: {{TTGS}K,KS}p.

После того как такое ответное сообщение поступает на клиентскую машину, клиентская программа Kerberos просит пользователя ввести свой пароль. Когда пользователь вводит пароль, то Kerberos-клиёнт пробует с помощью пароля расшифровать поступившее сообщение. Если пароль верен, то из сообщения извлекается квитанция на доступ к серверу квитанций {TTGS}K (в зашифрованном виде) и ключ сеанса KS (в открытом виде). Успешная расшифровка сообщения означает успешную аутентификацию. Заметим, что аутентификационный сервер AS аутентифицирует пользователя без передачи пароля по сети.

Квитанция TTGS на доступ к серверу квитанций TGS является удостоверением легальности пользователя и разрешением ему продолжать процесс получения доступа к ресурсу. Эта квитанция содержит:

- идентификатор пользователя;

- идентификатор сервера квитанций, на доступ к которому получена квитанция;

- отметку о текущем времени;

- период времени, в течение которого может продолжаться сеанс;

- копию ключа сессии KS.

Как уже было сказано, клиент обладает квитанцией в зашифрованном виде. Шифрование повышает уверенность в том, что никто, даже сам клиент - обладатель данной квитанции - не сможет квитанцию подделать, подменить или изменить. Только сервер TGS, получив от клиента квитанцию, сможет ее расшифровать, так как в его распоряжении имеется ключ шифрования К.

Время действия квитанции ограничено длительностью сеанса. Разрешенная длительность сеанса пользователя, содержащаяся в квитанции на доступ к серверу квитанций, задается администратором и может изменяться в зависимости от требований к защищенности сети. В сетях с жесткими требованиями к безопасности время сеанса может быть ограничено 30 минутами, в других условиях это время может составить 8 часов. Информация, содержащаяся в квитанции, определяет ее срок годности. Предоставление квитанции на вполне определенное время защищает ее от неавторизованного пользователя, который мог бы ее перехватить и использовать в будущем.

Достоинства и недостатки Kerberos

Изучая довольно сложный механизм системы Kerberos, нельзя не задаться вопросом: какое влияние оказывают все эти многочисленные процедуры шифрования и обмена ключами на производительность сети, какую часть ресурсов сети они потребляют и как это сказывается на ее пропускной способности?

Ответ достаточно оптимистичный - если система Kerberos реализована и сконфигурирована правильно, она незначительно уменьшает производительность сети. Так как квитанции используются многократно, сетевые ресурсы, затрачиваемые на запросы предоставления квитанций, невелики. Хотя передача квитанции при аутентификации логического входа несколько снижает пропускную способность, такой обмен должен осуществляться и при использовании любых других систем и методов аутентификации. Дополнительные же издержки незначительны. Опыт внедрения системы Kerberos показал, что время отклика при установленной системе Kerberos существенно не отличается от времени отклика без нее - даже в очень больших сетях с десятками тысяч узлов. Такая эффективность делает систему Kerberos весьма перспективной.

Среди уязвимых мест системы Kerberos можно назвать централизованное хранение всех секретных ключей системы. Успешная атака на Kerberos-сервер, в котором сосредоточена вся информация, критическая для системы безопасности, приводит к крушению информационной защиты всей сети. Альтернативным решением могла бы быть система, построенная на использовании алгоритмов шифрования с парными ключами, для которых характерно распределенное хранение секретных ключей. Однако в настоящий момент еще не появились коммерческие продукты, построенные на базе несимметричных методов шифрования, которые бы обеспечивали комплексную защиту больших сетей.

Еще одной слабостью системы Kerberos является то, что исходные коды тех приложений, доступ к которым осуществляется через Kerberos, должны быть соответствующим образом модифицированы. Такая модификация называется «керберизацией» приложения. Некоторые поставщики продают «керберизованные» версии своих приложений. Но если такой версии нет и нет исходного текста, то Kerberos не может обеспечить доступ к такому приложению.

Список использованной литературы

1. http://cleric-23.narod.ru/Bos/bos17.htm

2. http://sysadminstvo.ru/seti/sistema-domennyx-imen.html

3. http://inftis.narod.ru/admv/admv-n1.htm

Размещено на Allbest.ru

...

Подобные документы

  • Виды угроз безопасности в экономических информационных системах: цель, источники, средства реализации. Основные пути несанкционированного доступа к информации. Методы и средства защиты, используемые в АИТ маркетинговой деятельности, их классификация.

    реферат [30,1 K], добавлен 12.03.2011

  • Характеристика центра социального обслуживания населения. Компьютерное обеспечение предприятия, контроль за техническим состоянием компьютерной техники. Программное обеспечение предприятия, администрирование сетевых ресурсов в информационных системах.

    отчет по практике [176,5 K], добавлен 18.05.2019

  • Классификация информационных систем. Использование баз данных в информационных системах. Проектирование и реализация информационной системы средствами MS Access. Анализ входной информации предметной области и выделение основных информационных объектов.

    курсовая работа [2,5 M], добавлен 09.08.2012

  • Виды угроз безопасности в экономических информационных системах, проблема создания и выбора средств их защиты. Механизмы шифрования и основные виды защиты, используемые в автоматизированных информационных технологиях (АИТ). Признаки современных АИТ.

    курсовая работа [50,8 K], добавлен 28.08.2011

  • Реализация "облачных" технологий в корпоративных информационных системах. Применение "облачных" технологий на РУП "Белоруснефть". Пуско-наладочные работы, установка и запуск облачного сервиса, начальное конфигурирование и предложения по масштабированию.

    курсовая работа [2,9 M], добавлен 24.07.2014

  • Кластерные системы, структура и параметры Beowulf. Анализ целесообразности обучения будущих учителей сетевому администрированию и выбор виртуальной машины для обучения. Инструкции по работе с программным обеспечением. Контрольно-измерительные материалы.

    дипломная работа [875,8 K], добавлен 06.01.2009

  • Повышение эффективности системы управления информационной безопасностью в корпоративных информационных системах. Разработка структуры процесса классификации объектов защиты и составляющих его процедур; требования к архитектуре программного обеспечения.

    дипломная работа [1,8 M], добавлен 19.05.2013

  • Факторы угроз сохранности информации в информационных системах. Требования к защите информационных систем. Классификация схем защиты информационных систем. Анализ сохранности информационных систем. Комплексная защита информации в ЭВМ.

    курсовая работа [30,8 K], добавлен 04.12.2003

  • Сущность, основные характеристики и компоненты информационных технологий и необходимость их использования в системах управления. Автоматизация уровня исполнительной деятельности персонала. Информационная, коммуникационная и системная модели офиса.

    курсовая работа [56,0 K], добавлен 13.08.2010

  • Основные аспекты обеспечения информационной безопасности, конфиденциальности и целостности информации. Примеры угроз, которые являются нарушением целостности и доступности информации. Субъекты, объекты и операции в информационных системах, права доступа.

    контрольная работа [19,4 K], добавлен 30.12.2010

  • Причины внедрения корпоративных информационных систем, их классификация. Угрозы нарушения конфиденциальности и целостности информации. Последовательность рубежей защиты данных от несанкционированного доступа, актуальные механизмы его разграничения.

    курсовая работа [72,9 K], добавлен 22.02.2012

  • Правовое регулирование защиты персональных данных. Общий принцип построения соответствующей системы. Разработка основных положений по охране личных документов. Подбор требований по обеспечению безопасности персональных данных в информационных системах.

    дипломная работа [1,3 M], добавлен 01.07.2011

  • Структура, специфика и архитектура многопроцессорных систем; классификация Флинна. Организация взаимного исключения для синхронизации доступа к разделяемым ресурсам. Запрещение прерываний; семафоры с драйверами устройств. Кластеры распределения нагрузки.

    курсовая работа [455,9 K], добавлен 07.06.2014

  • Аналитический обзор корпоративной сети. Анализ существующей сети, информационных потоков. Требования к системе администрирования и маркировке элементов ЛВС. Разработка системной защиты от несанкционированного доступа. Инструкция системному администратору.

    дипломная работа [765,0 K], добавлен 19.01.2017

  • Понятие администрирования баз данных, функции и роли администраторов. Управление целостностью данных в системах управления базами данных, буферизация, транзакция, журнализация. Управление безопасностью в системах, источники нарушения целостности данных.

    курсовая работа [164,7 K], добавлен 15.07.2012

  • История развития операционных систем семейства Windows и основные понятия системного администрирования. Определение востребованности операционных систем Windows, сравнительная характеристика их функции и возможностей, особенности применения на практике.

    курсовая работа [38,5 K], добавлен 08.05.2011

  • Понятие информационной системы как системы сбора, хранения, накопления, поиска и передачи информации, применяемая в процессе управления или принятия решений. Классификация и структура информационных систем. Разнообразие задач, решаемых с помощью ИС.

    контрольная работа [160,6 K], добавлен 18.01.2010

  • Принцип работы механизма аутентификации пользователей в системе 1С:Предприятие. Составление списков общих информационных баз и журнала регистрации. Выгрузка и загрузка информационной базы, ее тестирование и исправление. Обновление конфигурации системы.

    презентация [2,3 M], добавлен 12.06.2013

  • Анализ моделей и средств построения игровой компьютерной среды предметной области. Разработка алгоритмов построения игровой компьютерной среды. Отладка и экспериментальное тестирование компьютерной игры "Представление знаний в информационных системах".

    дипломная работа [2,9 M], добавлен 12.08.2017

  • Основные протоколы доступа к именованным ресурсам через WWW-сеть. Техника поиска и перемещения в сетях WWW. Загрузка и просмотр веб-страниц и определение местонахождения ресурсов в сети. Технология идентификации URI и система доменных имён DNS.

    контрольная работа [2,5 M], добавлен 28.02.2017

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.