Принципы построения и алгоритмы функционирования корпоративной сети в условиях информационного конфликта

Размещено на http://www.allbest.ru/

Принципы построения и алгоритмы функционирования корпоративной сети в условиях информационного конфликта

А.В. Веденеев

АО «Концерн «Созвездие», Воронеж, Российская Федерация

Аннотация

Рассмотренные в данной работе принципы и алгоритмы являются основополагающими при построении корпоративных сетей в различных организациях в условиях информационного конфликта, но так как каждая корпоративная сеть является уникальной для каждой организации, возникает необходимость систематизации и апробации существующих алгоритмов.

Ключевые слова: корпоративная сеть, информационный конфликт, домен, взаимодействие.

PRINCIPLES OF BUILDING AND ALGORITHMS FOR THE FUNCTIONING OF THE CORPORATE NETWORK IN THE CONDITIONS OF INFORMATION CONFLICT

A.V. Vedeneev

Concern “Constellation” JSC, Voronezh, Russian Federation

Abstract. The principles and algorithms considered in this paper are fundamental when building corporate networks in various organizations in the context of informational conflict, but since each corporate network is unique for each organization, it becomes necessary to systematize and test existing algorithms.

Keywords: corporate network, information conflict, domain, interaction.

Введение

Взаимодействие средств информационного воздействия и средств их нейтрализации лежат в основе информационного конфликта и могут рассматриваться как его базис. При этом информационный конфликт является неотъемлемой частью, практически, любого взаимодействия в корпоративных сетях, так как корпоративные сети подвергаются периодическим информационным воздействиям[1]. Возникает необходимость в осуществлении фильтрации информационных потоков, критерии фильтрации для каждой корпоративной сети будут различны, например, для выявления деструктивных потоков информации используются статистические, сигнатурные и системные методы анализа уязвимостей[2].Целью данной работы является рассмотрение принципов и алгоритмов взаимодействия корпоративной сети для возможности реализации информационной защиты.

Общие представления о корпоративной сети

Корпоративная сеть -- коммуникационная система, принадлежащая или управляемая организацией/организациями в соответствии с правилами этой организации. Корпоративная сеть отличается от сети, например, интернет провайдера тем, что правила распределения IP адресов, работы с интернет ресурсами и т. д. едины для всей корпоративной сети, в то время как провайдер контролирует только магистральный сегмент сети, позволяя своим клиентам самостоятельно управлять их сегментами сети, которые могут являться как частью адресного пространства провайдера, так и быть скрыты механизмом сетевой трансляции адресов за одним или несколькими адресами провайдера. Важное значение имеет территориальный принцип распределения для корпоративной сети, так как возникает необходимость в создании дополнительных локальных либо облачных хранилищ информации, что в свою очередь усложняет организацию защиты сети.

Корпоративную сеть рассматривают как сложную систему, состоящую из нескольких взаимодействующих слоев. В основании пирамиды, представляющей корпоративную сеть, лежит слой компьютеров - центров хранения и обработки информации, и транспортная подсистема[3], обеспечивающая надежную передачу информационных пакетов между компьютерами.

Над транспортной системой работает слой сетевых операционных систем, который организует работу приложений в компьютерах и предоставляет через транспортную систему ресурсы своего компьютера в общее пользование.

Над операционной системой работают различные приложения, но из-за особой роли систем управления базами данных, хранящих в упорядоченном виде основную корпоративную информацию и производящих над ней базовые операции поиска, этот класс системных приложений обычно выделяют в отдельный слой корпоративной сети.

На следующем уровне работают системные сервисы, которые, пользуясь СУБД, как инструментом для поиска нужной информации среди миллионов и миллиардов байт, хранимых на дисках, предоставляют конечным пользователям эту информацию в удобной для принятия решения форме, а также выполняют некоторые общие для предприятий всех типов процедуры обработки информации. К этим сервисам относится служба WWW, система электронной почты, системы коллективной работы и многие другие.

И, наконец, верхний уровень корпоративной сети представляют специальные программные системы, которые выполняют задачи, специфические для данного предприятия или предприятий данного типа. Примерами таких систем могут служить системы автоматизации банка, организации бухгалтерского учета, автоматизированного проектирования, управления технологическими процессами и т. п. На рисунке 1 представлен пример организации корпоративной сети.

информационный корпоративный сеть взаимодействие

Рис. 1. Схема организации корпоративной сети.

Конечная цель корпоративной сети воплощена в прикладных программах верхнего уровня, но для их успешной работы абсолютно необходимо, чтобы подсистемы других слоев четко выполняли свои функции.

Доменная структура в корпоративной сети

Для идентификации компьютеров аппаратное и программное обеспечение в сетях TCP/IP полагается на IP-адреса. Например, команда ftp://192.45.66.17 будет устанавливать сеанс связи с нужным ftp-сервepoм, а команда http://203.23.106.33 откроет начальную страницу на корпоративном веб-сервере. Однако пользователи обычно предпочитают работать с более удобными символьными именами компьютеров.

Символьные идентификаторы сетевых интерфейсов в пределах составной сети строятся по иерархическому признаку. Составляющие полного символьного (или доменного) имени в IP-сетях разделяются точкой и перечисляются в следующем порядке: сначала простое имя хоста, затем имя группы хостов (например, имя организации), затем имя более крупной группы (домена) и так до имени домена самого высокого уровня (например, домена, объединяющего организации по географическому принципу: RU- Россия, UK- Великобритания, US - США).

Примером доменного имени может служить имя base2.sales.zil.ru.

Между доменным именем и IP-адресом узла нет никакой функциональной зависимости, поэтому единственный способ установления соответствия - это таблица. В сетях TCP/IP используется специальная система доменных имен (Domain Name System, DNS), которая устанавливает это соответствие на основании создаваемых администраторами сети таблиц соответствия. Поэтому доменные имена называют также DNS-именами.

В общем случае сетевой интерфейс может иметь несколько локальных адресов, сетевых адресов, доменных имен.

В операционных системах, которые первоначально разрабатывались для локальных сетей, таких как Novell NetWare, Microsoft Windows или IBM OS/2, пользователи всегда работали с символьными именами компьютеров. Так как локальные сети состояли из небольшого числа компьютеров, применялись так называемые плоские имена, состоящие из последовательности символов, не разделенных на части. Примерами таких имен являются: mail2, MOSC0W_SALES_2. Для установления соответствия между символьными именами и МАС-адресами в этих операционных системах применялся механизм широковещательных запросов, подобный механизму запросов протокола ARP. Так, широковещательный способ разрешения имен реализован в протоколе NetBIOS, на котором были построены многие локальные ОС. Так называемые NetBIOS-имена стали на долгие годы одним из основных типов плоских имен в локальных сетях.

Для стека TCP/IP, рассчитанного в общем случае на работу в больших территориально распределенных сетях, подобный подход оказывается неэффективным.

В стеке TCP/IP применяется доменная система имен, которая имеет иерархическую древовидную структуру, допускающую наличие в имени произвольного количества составных частей, представленных на рисунке 2.

Рис. 2. Пространство доменных имён.

Иерархия доменных имен аналогична иерархии имен файлов, принятой во многих популярных файловых системах. Дерево имен начинается с корня, обозначаемого здесь точкой(.). Затем следует старшая символьная часть имени, вторая по старшинству символьная часть имени и т.д. Младшая часть имени соответствует конечному узлу сети.[3] В отличие от имен файлов, при записи которых сначала указывается самая старшая составляющая, затем составляющая более низкого уровня и т. д., запись доменного имени начинается с самой младшей составляющей, а заканчивается самой старшей. Составные части доменного имени отделяются друг от друга точкой. Например, в имени partnering.microsoft.com составляющая partnering является именем одного из компьютеров в домене microsoft.com.

Если в каждом домене и поддомене обеспечивается уникальность имен следующего уровня иерархии, то и вся система имен будет состоять из уникальных имен.

По аналогии с файловой системой в доменной системе имен различают краткие имена, относительные имена и полные доменные имена. Краткое имя -- это имя конечного узла сети: хоста или порта маршрутизатора. Краткое имя -- это лист дерева имен. Относительное имя -- это составное имя, начинающееся с некоторого уровня иерархии, но не самого верхнего. Например, wwwl.zil - это относительное имя. Полное доменное имя (Fully Qualified Domain Name, FQDN) включает составляющие всех уровней иерархии, начиная от краткого имени: и кончая корневой точкой: www1.zil.mmt.ru.

Компьютеры входят в домен в соответствии со своими составными именами при этом они могут иметь абсолютно независимые друг от друга IP-адреса, принадлежащие различным сетям и подсетям. Например, в домен mgu.ru могут входить хосты с адресами 132,13.34.15, 201.22.100.33 и 14.0.0.6.

Доменная система имен реализована в Интернете, но она может работать и как автономная система имен в любой крупной корпоративной сети, которая хотя и использует стек TCP/IP, но никак не связан с Интернетом.

Взаимодействие между устройствами в сети является сложной задачей. Для ее решения применяют универсальный прием - декомпозицию, который заключается в разбиении одной сложной задачи на несколько более простых задач-модулей. Декомпозиция состоит из четкого определения функций каждого модуля, который решает отдельную задачу и интерфейсов между ними. В итоге достигается логическое упрощение задачи, к тому же появляется возможность преобразования отдельных модулей без изменения остальной части системы.

Сетевые взаимодействия в корпоративной сети

При декомпозиции иногда применяют многоуровневый подход. В этом случае все модули разбивают на уровни, которые образуют иерархию, т. е. имеются вышележащие и нижележащие уровни. Модули, составляющие каждый уровень, сформированы таким образом, что для выполнения своих задач они обращаются с запросами только к тем модулям, которые непосредственно примыкают к нижележащим уровням. Однако результаты работы всех модулей, которые принадлежат некоторому уровню, могут быть переданы только модулям соседнего вышележащего уровня. При данной иерархической декомпозиции задачи необходимо четкое определение функции каждого уровня и интерфейсов между уровнями. Интерфейс устанавливает набор функций, предоставляемых нижележащим уровнем вышележащему. В итоге иерархической декомпозиции достигается значительная независимость уровней, т. е. возможность их легкой замены.

Средства сетевого взаимодействия тоже могут быть представлены в форме иерархически организованного множества модулей. В этом случае модули нижнего уровня способны, в частности, решать все вопросы, связанные с надежной передачей электрических сигналов между двумя соседними узлами. Модули более высокого уровня создадут транспортировку сообщений в пределах всей сети, используя для этого средства нижележащего уровня. На верхнем уровне работают модули, которые предоставляют пользователям доступ к различным службам, среди которых файловая служба, служба печати и т. п. Однако это только один из множества возможных способов для деления общей задачи организации сетевого взаимодействия на частные, более мелкие подзадачи.

Многоуровневый подход, применяемый к описанию и реализации функций системы, используется не только в отношении сетевых средств. Данная модель действия применяется, например, в локальных файловых системах, если поступивший запрос на доступ к файлу по очереди обрабатывается несколькими программными уровнями, в первую очередь верхним уровнем, осуществляющим последовательный разбор составного символьного названия файла и определение уникального идентификатора файла. Последующий уровень находит по уникальному имени все оставшиеся характеристики файла: адрес, атрибуты доступа и т. п. После этого на более низком уровне производится проверка прав доступа к этому файлу, и затем, после расчета координат области файла, содержащей необходимые данные, выполняется физический обмен с внешним устройством с помощью драйвера диска.

Многоуровневое представление средств сетевого взаимодействия обладает своей спецификой, которая связана с тем, что в обмене сообщениями участвуют две машины, т. е. в этом случае следует организовать согласованную работу двух «иерархий». При передаче сообщений оба участника сетевого обмена должны принять много соглашений. Например, им необходимо согласовать уровни и форму электрических сигналов, способ определения длины сообщений, договориться о способах контроля достоверности и т. п. Таким образом, соглашения должны быть приняты для всех уровней, начиная от самого низкого, которым являются уровни передачи битов, до самого высокого, который выполняет сервис для пользователей сети.

Модули, которые реализуют протоколы соседних уровней и находящиеся в одном узле, также взаимодействуют друг с другом в соответствии с четко определенными нормами и с помощью стандартизованных форматов сообщений. Эти правила называют интерфейсом. Интерфейс - это набор сервисов, которые предоставляются данным уровнем соседнему уровню. На самом деле протокол и интерфейс определяют одно и то же понятие, но традиционно в сетях за ними закрепили различные области действия: протоколы назначают правила взаимодействия модулей одного уровня в разных узлах, а интерфейсы определяют модули соседних уровней в одном узле.

Средства любого из уровней должны отрабатывать, во-первых, свой собственный протокол, а во-вторых, интерфейсы с соседними уровнями.

Иерархически организованный набор протоколов, который достаточен для организации взаимодействия узлов в сети, носит название стеков коммуникационных протоколов.

Коммуникационные протоколы можно выполнить как программно, так и аппаратно. Протоколы нижних уровней чаще всего реализуются комбинацией программных и аппаратных средств, а протоколы верхних уровней - обычно чисто программными средствами.

Программный модуль, который реализует некоторый протокол, часто для краткости также именуют протоколом. В данном случае соотношение между протоколом - формально определенной процедурой и протоколом - программным модулем, который выполняет эту процедуру, аналогично соотношению между алгоритмом решения некоторой задачи и программой, решающей эту задачу.

Один и тот же алгоритм можно запрограммировать с разной степенью эффективности. Аналогично и протокол может обладать несколькими программными средствами реализации. При сравнении протоколов необходимо учитывать не только логику их работы, но и качество программных решений. Кроме того, на эффективность взаимодействия устройств в сети оказывает влияние качество всей совокупности протоколов, которые составляют стек, в частности, насколько рационально распределены функции между протоколами различных уровней и насколько хорошо определены интерфейсы между ними [3].

Протоколы организуются не только компьютерами, но и другими сетевыми устройствами, например, концентраторами, мостами, коммутаторами, маршрутизаторами и т. д. В общем случае связь компьютеров в сети выполняется не напрямую, а через различные коммуникационные устройства. В зависимости от вида устройства в нем необходимы определенные встроенные средства, которые реализуют тот или иной набор протоколов.

На рисунке 3 показаны основные элементы компьютерной сети: конечные узлы - компьютеры и промежуточные узлы -- коммутаторы и маршрутизаторы (для примера выбраны протоколы стека TCP/IP, как наиболее распространенного).

Рис. 3. Соответствие функций различных устройств сети уровням модели OSI.

Из рисунка 3 видно, что полный стек протоколов реализован только на конечных узлах, а промежуточные узлы поддерживают протоколы всех трех нижних уровней. Это объясняется тем, что коммуникационным устройствам для продвижения пакетов достаточно функциональности нижних трех уровней. Более того, коммуникационное устройство может поддерживать только протоколы двух нижних уровней или даже одного физического уровня -- это зависит от типа устройства.

Компьютеры, на которых работают сетевые приложения, должны поддерживать протоколы всех уровней. Протоколы прикладного уровня, пользуясь сервисами протоколов уровня представления и сеансового уровня, предоставляют приложениям набор сетевых услуг в виде сетевого интерфейса API. Протокол транспортного уровня также работает на всех конечных узлах. При передаче данных через сеть два модуля транспортного протокола, работающие на узле-отправителе и узле-получателе, взаимодействуют друг с другом для поддержания транспортного сервиса нужного качества. Коммуникационные устройства сети переносят сообщения транспортного протокола прозрачным образом, не вникая в их содержание.

В компьютерах коммуникационные протоколы всех уровней (кроме физического и части функций канального уровня) реализуются программно операционной системой или системными приложениями.

Конечные узлы сети (компьютеры и компьютеризованные устройства, например, мобильные телефоны) всегда предоставляют как информационные, так и транспортные услуги, а промежуточные узлы сети, только транспортные. Когда же мы говорим, что некоторая сеть предоставляет только транспортные услуги, то мы подразумеваем, что конечные узлы находятся за границей сети. Это обычно имеет место в обслуживающих клиентом коммерческих сетях.

Заключение

Таким образом, алгоритмы построения и принципы функционирования в корпоративных сетях является очень индивидуальными, так как структура, конфигурация, тип, параметры корпоративных сетей различны в зависимости от организации, на которой она применяется.

Литература

1. Толстых Н.Н. Программно-аппаратные средства обеспечения информационной безопасности - Воронеж: ФГБОУ ВПО «Воронежский государственный технический университет», 2013. с. 167.

2. Павлов В.А. Обобщенная модель процесса функционирования автоматизированных систем в режиме информационного конфликта / В.А. Павлов, Р.В. Павлов, Н.Н. Толстых // Информация и безопасность, 1999. Вып. 4.

3. Компьютерные сети. Принципы, технологии, протоколы : учеб. пособие для вузов / В. Г. Олифер, Н. А. Олифер. - Санкт-Петербург: Питер, 2001. - 672 с.

4. Матяш, С.А. Корпоративные информационные системы: учебное пособие /С.А. Матяш. - М.; Берлин : Директ-Медиа, 2015. - 471 с.

References

1. 1. Thick N.N. Software and hardware tools of information security support - Voronezh: FGBOU VPO "Voronezh state technical university", 2013. page 167.

2. 2. Pavlov V. A. The generalized process model of functioning of automated systems in the mode of information conflict/VA. Pavlov, R.V. Pavlov, N.N. Tolstykh//Information and safety, 1999. Issue 4.

3. 3. Computer networks. Principles, technologies, protocols: studies. a grant for higher education institutions / V.G. Olifer, N.A. Olifer. - St. Petersburg: St. Petersburg, 2001. - 672 pages.

4. 4. Matyash, S.A. Enterprise information systems: manual / S.A. Matyash. - M.; Berlin: Direkt-media, 2015. - 471 pages.

Размещено на Allbest.ru