Информационные технологии и платформы разработки информационных систем

Назначение устройств для сертификации кабельных систем, непосредственно следует из их названия. Сертификация выполняется в соответствии с требованиями одного из международных стандартов на кабельные системы.

Кабельные сканеры используются для диагностики медных кабельных систем.

Тестеры предназначены для проверки кабелей на отсутствие физического разрыва.

Экспертные системы. Этот вид систем аккумулирует человеческие знания о выявлении причин аномальной работы сетей и возможных способах приведения сети в работоспособное состояние. Экспертные системы часто реализуются в виде отдельных подсистем различных средств мониторинга и анализа сетей: систем управления сетями, анализаторов протоколов, сетевых анализаторов. Простейшим вариантом экспертной системы является контекстно-зависимая help-система. Более сложные экспертные системы представляют собой так называемые базы знаний, обладающие элементами искусственного интеллекта. Примером такой системы является экспертная система, встроенная в систему управления Spectrum компании Cabletron.

Многофункциональные устройства анализа и диагностики. В последние годы, в связи с повсеместным распространением локальных сетей возникла необходимость разработки недорогих портативных приборов, совмещающих функции нескольких устройств: анализаторов протоколов, кабельных сканеров и, даже, некоторых возможностей ПО сетевого управления. В качестве примера такого рода устройств можно привести Compas компании MicrotestInc. или 675 LANMeterкомпании FlukeCorp.



Маршрутизация

Маршрутизация (англ. Routing) - процесс определения маршрута следования информации в сетях связи.

Маршруты могут задаваться административно (статические маршруты), либо вычисляться с помощью алгоритмов маршрутизации, базируясь на информации о топологии и состоянии сети, полученной с помощью протоколов маршрутизации (динамические маршруты).

Статическими маршрутами могут быть:

маршруты, не изменяющиеся во времени;

маршруты, изменяющиеся по расписанию;

Маршрутизация в компьютерных сетях выполняется специальными программно-аппаратными средствами - маршрутизаторами; в простых конфигурациях может выполняться и компьютерами общего назначения, соответственно настроенными.

Маршрутизатор - это устройство, распределяющее пакеты по сети с помощью информации сетевого уровня. Маршрутизатор извлекает данные об адресации сетевого уровня из пакета данных. В маршрутизаторе также имеются алгоритмы, называемые протоколами маршрутизации, с помощью которых он строит таблицы. В соответствии с этими таблицами и определяется тот маршрут, по которому должен быть направлен пакет, чтобы достичь конечного пункта назначения.

Маршрутизация - это процесс передачи данных с одного ПК на другой ПК, когда эти ПК находятся в разных сетях.

При передаче пакета из одной подсети в другую происходит модификация заголовка пакета с учетом адреса следующей подсети (т. е. следующего маршрутизатора). Это похоже на путь письма с адресом кода страны, города, улицы и т. д. В данном примере роль маршрутизатора играют почтовые отделения разного уровня (международный почтамт, городской почтамт, почтовое отделение района). В сложных сетях обычно есть несколько альтернативных маршрутов для передачи пакетов между узлами.

Маршрут - это последовательность маршрутизаторов, которые должен пройти пакет от отправителя до пункта назначения.

Маршрут выбирается маршрутизатором на основании нескольких критериев (текущая схема сети, длина пути, пропускная способность выбранного пути).

Вся информация для выбора пути хранится в таблице маршрутизации, которая может создаваться и обновляться самими маршрутизаторами либо администратором (статическая маршрутизация). В первом случае это делается на основании обмена служебной информацией между самими маршрутизаторами (динамическая маршрутизация). Таблицы маршрутизации содержат только список путей к сетям, но не к отдельным узлам. Когда с какого-либо узла приходит пакет, маршрутизатор проверяет таблицу маршрутизации. Если узел-получатель пакета не указан в таблице маршрутизации, то данные отправляются на шлюз по умолчанию (если он задан). Если узел-адресат найден, то пакет отправляется ему. Если нет, то узел-отправитель получает сообщение об ошибке.

В сети может быть определено несколько шлюзов, но в качестве шлюза по умолчанию будет выбран первый из них.

Соединение маршрутизатора с двумя сетями

Удаленный доступ

Удаленный доступ - это новая функция, которая позволяет Вам подключиться к Вашему компьютеру через Интернет с любого другого компьютера. Для использования этой функции, Ваш компьютер должен быть включен, а функция удаленного доступа должна быть установлена и включена. В этом случае, при условии, что Вы корректно настроили удаленный доступ, Вы сможете получить доступ и работать с Вашим компьютером с любого другого компьютера, подключенного к Интернету. При этом Вам не требуется устанавливать удаленный доступ на том компьютере, с которого Вы пытаетесь подключиться к своему компьютеру. Вы можете подключиться с любого компьютера, подключенного к Интернету.

В дополнение к тому, что функция позволяет Вам использовать Ваш компьютер удаленно, данная функция также предлагает Вам и другие полезные возможности, включая:

Передача файла: Позволяет Вам копировать файлы или папки с удаленного компьютера на текущий компьютер или наоборот.

Доступ к файлу: Позволяет Вам отправлять файлы, которые, в силу их специфических характеристик или размера, сложно отправить по электронной почте. Удаленный доступ генерирует безопасную ссылку, которую Вы можете отправить другим пользователям для того, чтобы они скачали эти файлы непосредственно с Вашего удаленного компьютера.

Гостевой доступ: Полезная функция, которая позволяет Вашим друзьям получить удаленный доступ к Вашему компьютеру, например, чтобы помочь Вам решить какую-то проблему на компьютере. в результате, они смогут увидеть Ваш рабочий стол, контролировать мышку и клавиатуру, передавать файлы...

Коммуникации между компьютерами с удаленным доступом являются зашифрованными и содержат цифровую подпись для предотвращения доступа со стороны третьих лиц.

Функция удаленного доступа имеет свой собственный файл Справки, который содержит всю необходимую информацию для работы с данным модулем.

Удаленный доступ не установлен по умолчанию

Удаленный доступ - технология взаимодействия абонентских систем с локальными сетями через территориальные коммуникационные сети. Удаленный доступ осуществляется посредством сервера удаленного доступа. При удаленном доступе используются модели "дистанционного управления" и "удаленной системы".

Виртуальная частная сеть

VPN (англ. Virtual Private Network - виртуальная частная сеть[1]) - обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим или неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.



Классификация VPN

Классификация VPN

Классифицировать VPN решения можно по нескольким основным параметрам:

По степени защищенности используемой среды

Защищённые

Наиболее распространённый вариант виртуальных частных сетей. С его помощью возможно создать надежную и защищенную сеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP.

Доверительные

Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Проблемы безопасности становятся неактуальными. Примерами подобных VPN решений являются: Multi-protocol label switching (MPLS) и L2TP (Layer 2 Tunnelling Protocol) (точнее будет сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec).

По способу реализации

В виде специального программно-аппаратного обеспечения

Реализация VPN сети осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищённости.

В виде программного решения

Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.

Интегрированное решение

Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

По назначению

Intranet VPN

Используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.

Remote Access VPN

Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера, корпоративного ноутбука, смартфона или интернет-киоскa.

Extranet VPN

Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.

Internet VPN

Используется для предоставления доступа к интернету провайдерами, обычно если по одному физическому каналу подключаются несколько пользователей. Протокол PPPoE стал стандартом в ADSL-подключениях.

L2TP был широко распространён в середине 2000-х годов в домовых сетях: в те времена внутрисетевой трафик не оплачивался, а внешний стоил дорого. Это давало возможность контролировать расходы: когда VPN-соединение выключено, пользователь ничего не платит. В настоящее время (2012) проводной интернет дешёвый или безлимитный, а на стороне пользователя зачастую есть маршрутизатор, на котором включать-выключать интернет не так удобно, как на компьютере. Поэтому L2TP-доступ отходит в прошлое.

Client/Server VPN

Он обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, но вместо разделения трафика, используется его шифрование.

По типу протокола

Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его. Адресация в нём чаще всего выбирается в соответствии со стандартом RFC5735, из диапазона Приватных сетей TCP/IP.

По уровню сетевого протокола

По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.

Обеспечение информационной безопасности сетей

Способы обеспечения информационной безопасности

Существует два подхода к проблеме обеспечения безопасности компьютерных систем и сетей (КС): «фрагментарный» и комплексный.

«Фрагментарный» подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т. п.

Достоинством такого подхода является высокая избирательность к конкретной угрозе. Существенный недостаток - отсутствие единой защищенной среды обработки информации. Фрагментарные меры защиты информации обеспечивают защиту конкретных объектов КС только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты.

Комплексный подход ориентирован на создание защищенной среды обработки информации в КС, объединяющей в единый комплекс разнородные меры противодействия угрозам. Организация защищенной среды обработки информации позволяет гарантировать определенный уровень безопасности КС, что является несомненным достоинством комплексного подхода. К недостаткам этого подхода относятся: ограничения на свободу действий пользователей КС, чувствительность к ошибкам установки и настройки средств защиты, сложность управления.

Комплексный подход применяют для защиты КС крупных организаций или небольших КС, выполняющих ответственные задачи или обрабатывающих особо важную информацию. Нарушение безопасности информации в КС крупных организаций может нанести огромный материальный ущерб как самим организациям, так и их клиентам. Поэтому такие организации вынуждены уделять особое внимание гарантиям безопасности и реализовы-вать комплексную защиту. Комплексного подхода придерживаются большинство государственных и крупных коммерческих предприятий и учреждений. Этот подход нашел свое отражение в различных стандартах.

Комплексный подход к проблеме обеспечения безопасности основан на разработанной для конкретной КС политике безопасности. Политика безопасности регламентирует эффективную работу средств защиты КС. Она охватывает все особенности процесса обработки информации, определяя поведение системы в различных ситуациях. Надежная система безопасности сети не может быть создана без эффективной политики сетевой безопасности. Политики безопасности подробно рассматриваются в гл. 3.

Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

* законодательного (стандарты, законы, нормативные акты и т. п.);

* административно-организационного (действия общего характера, предпринимаемые руководством организации, и конкретные меры безопасности, имеющие дело с людьми);

* программно-технического (конкретные технические меры). Меры законодательного уровня очень важны для обеспечения

информационной безопасности. К этому уровню относится комплекс мер, направленных на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности.

Информационная безопасность - это новая область деятельности, здесь важно не только запрещать и наказывать, но и учить, разъяснять, помогать. Общество должно осознать важность данной проблематики, понять основные пути решения соответствующих проблем. Государство может сделать это оптимальным образом. Здесь не нужно больших материальных затрат, требуются интеллектуальные вложения.

Меры административно-организационного уровня. Администрация организации должна сознавать необходимость поддержания режима безопасности и выделять на эти цели соответствующие ресурсы. Основой мер защиты административно-организационного уровня является политика безопасности (см. гл. 3) и комплекс организационных мер.

К комплексу организационных мер относятся меры безопасности, реализуемые людьми. Выделяют следующие группы организационных мер:

* управление персоналом;

* физическая защита;

* поддержание работоспособности;

* реагирование на нарушения режима безопасности;

* планирование восстановительных работ.

Для каждой группы в каждой организации должен существовать набор регламентов, определяющих действия персонала.

Меры и средства программно-технического уровня. Для поддержания режима информационной безопасности особенно важны меры программно-технического уровня, поскольку основная угроза компьютерным системам исходит от них самих: сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т. п. В рамках современных информационных систем должны быть доступны следующие механизмы безопасности:

* идентификация и проверка подлинности пользователей;

* управление доступом;

* протоколирование и аудит;

* криптография;

* экранирование;

* обеспечение высокой доступности.

Необходимость применения стандартов. Информационные системы (ИС) компаний почти всегда построены на основе программных и аппаратных продуктов различных производителей. Пока нет ни одной компании-разработчика, которая предоставила бы потребителю полный перечень средств (от аппаратных до программных) для построения современной ИС. Чтобы обеспечить в разнородной ИС надежную защиту информации требуются специалисты высокой квалификации, которые должны отвечать за безопасность каждого компонента ИС: правильно их настраивать, постоянно отслеживать происходящие изменения, контролировать работу пользователей. Очевидно, что чем разнороднее ИС, тем сложнее обеспечить ее безопасность. Изобилие в корпоративных сетях и системах устройств защиты, межсетевых экранов (МЭ), шлюзов и VPN, а также растущий спрос на доступ к корпоративным данным со стороны сотрудников, партнеров и заказчиков приводят к созданию сложной среды защиты, трудной для управления, а иногда и несовместимой.

Интероперабельность продуктов защиты является неотъемлемым требованием для КИС. Для большинства гетерогенных сред важно обеспечить согласованное взаимодействие с продуктами других производителей. Принятое организацией решение безопасности должно гарантировать защиту на всех платформах в рамках этой организации. Поэтому вполне очевидна потребность в применении единого набора стандартов как поставщиками средств защиты, так и компаниями - системными интеграторами и организациями, выступающими в качестве заказчиков систем безопасности для своих корпоративных сетей и систем.

Стандарты образуют понятийный базис, на котором строятся все работы по обеспечению информационной безопасности, и определяют критерии, которым должно следовать управление безопасностью. Стандарты являются необходимой основой, обеспечивающей совместимость продуктов разных производителей, что чрезвычайно важно при создании систем сетевой безопасности в гетерогенных средах.

Комплексный подход к решению проблемы обеспечения безопасности, рациональное сочетании законодательных, административно-организационных и программно-технических мер и обязательное следование промышленным, национальным и международным стандартам - это тот фундамент, на котором строится вся система защиты корпоративных сетей.

Угроза информационной безопасности

Угроза информационной безопасности - совокупность условий и факторов, создающих опасность нарушения информационной безопасности.

Угрозы информационной безопасности могут быть классифицировать по различным признакам:

По аспекту информационной безопасности, на который направлены угрозы:

Угрозы конфиденциальности (неправомерный доступ к информации).

Угрозы целостности (неправомочное изменение данных).

Угрозы доступности (осуществление действий, делающих невозможным или затрудняющих доступ к ресурсам информационной системы).

По степени преднамеренности действий:

Случайные (неумышленные действия, например, сбои в работе систем, стихийные бедствия).

Преднамеренные (умышленные действия, например, шпионаж и диверсии).

По расположению источника угроз:

Внутренние (источники угроз располагаются внутри системы).

Внешние (источники угроз находятся вне системы).

По размерам наносимого ущерба:

Общие (нанесение ущерба объекту безопасности в целом, причинение значительного ущерба).

Локальные (причинение вреда отдельным частям объекта безопасности).

Частные (причинение вреда отдельным свойствам элементов объекта безопасности).

По степени воздействия на информационную систему:

Пассивные (структура и содержание системы не изменяются).

Активные (структура и содержание системы подвергается изменениям).

По способу доступа к ресурсам автоматизированных систем выделяют:

- Угрозы, использующие стандартный доступ. Пример такой угрозы -несанкционированное получение пароля путём подкупа, шантажа, угроз или физического насилия по отношению к законному обладателю.

- Угрозы, использующие нестандартный путь доступа. Пример такой угрозы

- использование не декларированных возможностей средств защиты. Критерии классификации угроз можно продолжать, однако на практике чаще всего используется следующая основная классификация угроз, основывающаяся на трёх введённых ранее базовых свойствах защищаемой информации:

Угрозы нарушения конфиденциальности информации, в результате реализации которых информация становится доступной субъекту, не располагающему полномочиями для ознакомления с ней.

Угрозы нарушения целостности информации, к которым относится любое злонамеренное искажение информации, обрабатываемой с использованием автоматизированных систем.

Угрозы нарушения доступности информации, возникающие в тех случаях, когда доступ к некоторому ресурсу автоматизированной системе для легальных пользователей блокируется. Отметим, что реальные угрозы информационной безопасности далеко не всегда можно строго отнести к какой-то одной из перечисленных категорий. Так, например, угроза хищения носителей информации может быть при определённых условиях отнесена ко всем трём категориям. Заметим, что перечисление угроз, характерных для той или иной автоматизированной системы, является важным этапом анализа уязвимостей автоматизированных систем, проводимого, например, в рамках аудита информационной безопасности, и создаёт базу для последующего проведения анализа рисков.

Средста защиты

Принцип простоты применения средств защиты

Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).

Разумная достаточность

Создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).

Принцип комплексности

В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем. Комплексное их использование предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонированно.

Принцип системности

Системный подход к защите компьютерных систем предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности АС.

При создании системы защиты необходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

Принцип непрерывности защиты

Защита информации - это не разовое мероприятие и даже не определенная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс.

Желательно, чтобы разработка системы защиты должна вестись параллельно с разработкой самой защищаемой системы.

Большинству средств защиты для эффективного выполнения своих функций необходима постоянная организационная поддержка : своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.

Гибкость системы защиты

Часто приходится создавать систему защиты в условиях большой неопределенности. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования.

Открытость алгоритмов и механизмов защиты

Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже автору). Однако, это вовсе не означает, что информа

Аутентификамция

Аутентификамция (англ. Authentication) - процедура проверки подлинности, например: проверка подлинности пользователя путём сравнения введённого им пароля с паролем в базе данных пользователей; подтверждение подлинности электронного письма путём проверки цифровой подписи письма по ключу проверки подписи отправителя; проверка контрольной суммы файла на соответствие сумме, заявленной автором этого файла.

Аутентификация - это незаменимая процедура для каждого пользователя, компьютера и служебной учетной записи Windows, но ее механизм не изучается системными администраторами досконально. Каждый знает, что для регистрации в компьютере необходимо указать верный пароль, но многим ли известно, что происходит потом? Аутентификация Windows и связанные с ней протоколы активизируются каждый раз, когда пользователь, компьютер или служба регистрируются локально или на контроллере домена (DC). В данной статье речь пойдет сначала об основных принципах аутентификации Windows, а затем о связанных с ней протоколах. В заключение приводятся краткие рекомендации по повышению надежности процедуры аутентификации в сети Windows.

Аутентификация: общие принципы

Аутентификация представляет собой один из компонентов любой компьютерной системы управления доступом. Как системы управления доступом обеспечивают идентификацию, аутентификацию, авторизацию и отчетность.

Механизмы управления доступом и аутентификация Windows

Идентификация (identification). В процессе идентификации используется набор данных, который уникально идентифицирует объект безопасности (например, пользователя, группу, компьютер, учетную запись службы) в общей службе каталогов. Служба каталогов, такая как Active Directory (AD), позволяет уникально идентифицировать объекты, подобно тому как DNS удостоверяет, что два человека не могут иметь одинаковые адреса электронной почты. Во внутренних механизмах Windows используются SID, глобально уникальные идентификаторы (globally unique identifier, GUID) и другие уникальные тэги. В большинстве случаев для идентификации достаточно ввести уникальное имя учетной записи, такое как Rgrimes. В большом лесу AD приходится применять полные имена пользователей (user principal name, UPN), например rgrimes@banneretcs.com. При использовании смарт-карт субъект безопасности может представить свой цифровой сертификат или ключ.

Аутентификация или проверка подлинности (authentication). После того как субъект безопасности вводит с клавиатуры или иным способом предоставляет необходимую для идентификации информацию (например, имя пользователя, маркер безопасности) , он должен ввести с клавиатуры или представить частную информацию для аутентификации (например, пароль и PIN-код) . В Windows субъект безопасности вводит эту информацию на экране регистрации с помощью программ Microsoft Graphical Identification and Authentication DLL (msgina.dll) и Winlogon.exe. Протокол аутентификации и механизм системы кодируют представленную информацию на настольном компьютере и передают запрос аутентификации. Служба аутентификации Windows может быть базой данных SAM или AD. База данных SAM обслуживает локальные процедуры регистрации и регистрацию на контроллерах домена Windows NT 4.0. AD аутентифицирует запросы в Windows 2000 или доменах более поздних версий этой операционной системы. Протокол аутентификации (например, LAN Manager, NT LAN Manager, NTLM, NTLMv2, Kerberos) используется для транспортировки запросов аутентификации и последующих транзакций между экраном регистрации и службой аутентификации. Чуть ниже каждый протокол аутентификации будет рассмотрен отдельно.

Авторизация (authorization). Если служба аутентификации удостоверяет комбинацию идентификатора и «секретных» данных аутентификации, то подлинность субъекта безопасности считается успешно подтвержденной. Затем система собирает информацию о членстве субъекта безопасности (т. е. пользователя) в группах. Нередко пользователь принадлежит к нескольким точно определенным группам - локальным (local), доменным (domain local), глобальным (global) и универсальным (universal) - в результате обычных процедур назначения членства. Система сверяет локальные группы с локальной базой данных SAM и проверяет локальные и глобальные группы на контроллерах DC в домашнем домене пользователя, а также универсальные группы на DC, который содержит глобальный каталог Global Catalog. Прямо или косвенно

Правовые основы защиты информации

Правовые основы защиты информации - это законодательный орган защиты информации, в котором можно выделить до 4 уровней правового обеспечения информационной безопасности информации и информационной безопасности предприятия.

Первый уровень правовой основы защиты информации

Первый уровень правовой охраны и защиты информации состоит из международных договоров о защите информации и государственной тайны, к которым присоединилась и Российская Федерация с целью обеспечения надежной информационной безопасности РФ. Кроме того, существует доктрина информационной безопасности РФ, поддерживающая правовое обеспечение информационной безопасности нашей страны.

Правовое обеспечение информационной безопасности РФ:

Международные конвенции об охране информационной собственности, промышленной собственности и авторском праве защиты информации в Интернете;

Конституция РФ (ст.23 определяет право граждан на тайну переписки, телефонных, телеграфных и иных сообщений);

Гражданский кодекс РФ (в ст.139 устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тайне);

Уголовный кодекс РФ (ст.272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст.273 - за создание, использование и распространение вредоносных программ для ЭВМ, ст.274 - за нарушение правил эксплуатации ЭВМ, систем и сетей);

Федеральный закон "Об информации, информатизации и защите информации" от 20.02.95 № 24-ФЗ (ст.10 устанавливает разнесение информационных ресурсов по категориям доступа: открытая информация, государственная тайна, конфиденциальная информация, ст.21 определяет порядок защиты информации);

Федеральный закон "О государственной тайне" от 21.07.93 № 5485-1 (ст.5 устанавливает перечень сведений, составляющих государственную тайну; ст.8 - степени секретности сведений и грифы секретности их носителей: "особой важности", "совершенно секретно" и "секретно"; ст.20 - органы по защите государственной тайны, межведомственную комиссию по защите государственной тайны для координации деятельности этих органов; ст.28 - порядок сертификации средств защиты информации, относящейся к государственной тайне); Защита информации курсовая работа.

Федеральные законы "О лицензировании отдельных видов деятельности" от 08.08.2001 № 128-ФЗ, "О связи" от 16.02.95 № 15-ФЗ, "Об электронной цифровой подписи" от 10.01.02 № 1-ФЗ, "Об авторском праве и смежных правах" от 09.07.93 № 5351-1, "О правовой охране программ для электронных вычислительных машин и баз данных" от 23.09.92 № 3523-1 (ст.4 определяет условие при знания авторского права - знак © с указанием правообладателя и года первого выпуска продукта в свет; ст.18 - защиту прав на программы для ЭВМ и базы данных путем выплаты компенсации в размере от 5000 до 50 000 минимальных размеров оплаты труда при нарушении этих прав с целью извлечения прибыли или путем возмещения причиненных убытков, в сумму которых включаются полученные нарушителем доходы).

Таким образом, правовое обеспечение информационной безопасности весьма на высоком уровне, и многие компании могут рассчитывать на полную экономическую информационную безопасность и правовую охрану информации, и защиту, благодаря ФЗ о защите информации.

Второй уровень правовой защиты информации

На втором уровне правовой охраны информации и защиты (ФЗ о защите информации) - это подзаконные акты: указы Президента РФ и постановления Правительства, письма Высшего Арбитражного Суда и постановления пленумов ВС РФ. 1

Третий уровень правового обеспечения системы защиты экономической информации

К данному уровню обеспечения правовой защиты информации относятся ГОСТы безопасности информационных технологий и обеспечения безопасности информационных систем.

Также на третьем уровне безопасности информационных технологий присутствуют руководящие документы, нормы, методы информационной безопасности и классификаторы, разрабатывающиеся государственными органами.

Четвертый уровень стандарта информационной безопасности

Четвертый уровень стандарта информационной безопасности защиты конфиденциальной информации образуют локальные нормативные акты, инструкции, положения и методы информационной безопасности и документация по комплексной правовой защите информации рефераты по которым часто пишут студенты, изучающие технологии защиты информации, компьютерную безопасность и правовую защиту информации.

Использование оснастки «Управление дисками»

Для запуска оснастки «Управление дисками» выполните указанные ниже действия.

Войдите в систему с учетной записью администратора или члена группы «Администраторы».

Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду compmgmt.msc и нажмите кнопку ОК.

В дереве консоли щелкните элемент Управление дисками. На экране появится окно управления дисками. В этом окне диски и тома представлены графически и в виде списка. Для изменения представления томов и дисков в верхней и нижней областях выберите пункт Верх или Низ в меню Вид и выберите нужное представление.

Примечание. Корпорация Microsoft рекомендует перед любым изменением дисков и томов создать резервную копию всех хранящихся на дисках данных.

Создание раздела или логического диска

Чтобы создать раздел или логический диск на базовом диске, выполните указанные ниже действия.

В окне «Управление дисками» выполните одну из описанных ниже процедур, а затем перейдите к действию 2.

Чтобы создать раздел, щелкните правой кнопкой мыши незанятое место базового диска, в котором требуется создать раздел, и выберите команду Создать раздел.

Чтобы создать логический диск в дополнительном разделе, щелкните правой кнопкой мыши свободное место дополнительного раздела, в котором требуется создать логический диск, и выберите команду Создать логический диск.

В окне мастера создания разделов нажмите кнопку Далее.

Выберите тип раздела, который нужно создать (Основной раздел, Дополнительный раздел или Логический диск) и нажмите кнопку Далее.

В поле Выбранный размер раздела (МБ) укажите размер раздела, а затем нажмите кнопку Далее.

Выберите способ назначения буквы новому разделу или логическому диску (вручную, автоматически или не назначать) и нажмите кнопку Далее.

Установите необходимые параметры форматирования, выполнив одну из описанных ниже процедур.

Если раздел не нужно форматировать, выберите вариант Не форматировать данный раздел и нажмите кнопку Далее.

Если раздел необходимо отформатировать, выберите вариант Форматировать данный раздел следующим образом и в диалоговом окне Форматирование выполните указанные ниже действия.

В поле Метка тома укажите имя тома. Это необязательное действие.

В поле Файловая система выберите файловую систему.

Можно изменить размер кластера на диске, а затем выбрать быстрое форматирование или включить сжатие файлов и папок для томов с файловой системой NTFS.

Нажмите кнопку Далее.

Убедитесь, что выбраны правильные параметры, и нажмите кнопку Готово.

Будет создан новый раздел или логический диск, который появится на соответствующем базовом диске в окне «Управление дисками». Если на этапе 6 было указано форматировать том, начнется процесс форматирования.

Форматирование базового тома

Для форматирования раздела, логического диска или базового тома выполните указанные ниже действия.

В окне «Управление дисками» щелкните правой кнопкой мыши раздел или логический диск, который необходимо отформатировать (переформатировать), и выберите команду Форматировать.

В диалоговом окне Форматирование введите имя тома в поле Метка тома. Это необязательное действие.

В поле Файловая система выберите файловую систему. При необходимости можно изменить размер кластера на диске, выполнить быстрое форматирование или включить сжатие файлов и папок для томов с файловой системой NTFS.

Нажмите кнопку ОК.

Нажмите кнопку ОК, чтобы подтвердить начало форматирования. Начнется процесс форматирования.

Просмотр свойств базового тома

Чтобы просмотреть свойства раздела или логического диска, выполните указанные ниже действия.

В окне «Управление дисками» щелкните правой кнопкой мыши необходимый раздел или логический диск и выберите пункт Свойства.

Откройте соответствующую вкладку.

Удаление раздела или логического диска

Чтобы удалить раздел или логический диск, выполните указанные ниже действия.

В окне «Управление дисками» щелкните правой кнопкой мыши раздел или логический диск, который необходимо удалить, и выберите команду Удалить раздел или Удалить логический диск.

Нажмите кнопку Да, чтобы подтвердить удаление раздела или логического диска. Раздел или логический диск будет удален.

Важно!

При удалении раздела или логического диска удаляются все данные, которые в нем содержатся, а также сам раздел или логический диск.

Удалить системный раздел, загрузочный раздел или раздел, содержащий активный файл подкачки, невозможно.

Также невозможно удалить дополнительный раздел, если он содержит данные. Перед удалением дополнительного раздела необходимо удалить все логические диски в нем.

Устранение неполадок

В графическом представлении окна «Управление дисками» и в столбце Состояние в представлении списка указано текущее состояние диска или тома. Эти сведения полезны при поиске и устранении неполадок с дисками и томами. Ниже описаны некоторые из возможных состояний дисков и томов.

Подключен

Это нормальное состояние диска, который доступен и работает правильно.

Исправен

Это нормальное состояние тома, который доступен и работает правильно.

Не читается

Диск недоступен из-за аппаратного сбоя, повреждения или ошибки ввода-вывода.

Для устранения таких неполадок перезапустите компьютер или повторно просканируйте диск, чтобы вернуть его в состояние Подключен. Чтобы выполнить повторное сканирование диска, откройте оснастку «Управление компьютером» и щелкните элемент Управление дисками. В меню Действие выберите команду Повторить сканирование дисков.

Полный список состояний дисков и томов, а также процедур устранения сбоев см. в справке по оснастке «Управление дисками». В окне «Управление дисками» или «Управление компьютером» выберите пункт Справка в меню Действие.

Резервное копирование

Резервное копирование (англ. backup copy) - процесс создания копии данных на носителе (жёстком диске, дискете и т. д.), предназначенном для восстановления данных в оригинальном или новом месте их расположения в случае их повреждения или разрушения.



Наименование операций

Резервное копирование данных (резервное дублирование данных) - процесс создания копии данных

Восстановление данных - процесс восстановления в оригинальном месте

Цель

Резервное копирование необходимо для возможности быстрого и недорогого восстановления информации (документов, программ, настроек и т. д.) в случае утери рабочей копии информации по какой-либо причине.

Кроме этого решаются смежные проблемы:

Передача данных и работа с общими документами

Требования к системе резервного копирования

Надёжность хранения информации - обеспечивается применением отказоустойчивого оборудования систем хранения, дублированием информации и заменой утерянной копии другой в случае уничтожения одной из копий (в том числе как часть отказоустойчивости).

Простота в эксплуатации - автоматизация (по возможности минимизировать участие человека: как пользователя, так и администратора).

Быстрое внедрение - простая установка и настройка программ, быстрое обучение пользователей.

Ключевыми параметрами резервного копирования являются:

RPO - Recovery Point Objective и

RTO - Recovery Time Objective.

RPO определяет точку отката - момент времени в прошлом, на который будут восстановлены данные, а RTO определяет время, необходимое для восстановления из резервной копии.

Виды резервного копирования[1][2]

Полное резервное копирование (Full backup)

Полное копирование обычно затрагивает всю вашу систему и все файлы. Еженедельное, ежемесячное и ежеквартальное резервное копирование подразумевает создание полной копии всех данных. Обычно оно выполняется по пятницам или в течение выходных, когда копирование большого объёма данных не влияет на работу организации. Последующие резервные копирования, выполняемые с понедельника по четверг до следующего полного копирования, могут быть дифференциальными или инкрементными, главным образом для того, чтобы сохранить время и место на носителе. Полное резервное копирование следует проводить, по крайней мере, еженедельно.

Дифференциальное резервное копирование (Differential backup)

При разностном (дифференциальном) резервном копировании каждый файл, который был изменен с момента последнего полного резервного копирования, копируется каждый раз заново. Дифференциальное копирование ускоряет процесс восстановления. Все, что вам необходимо - это последняя полная и последняя дифференциальная резервная копия. Популярность дифференциального резервного копирования растет, так как все копии файлов делаются в определенные моменты времени, что, например, очень важно при заражении вирусами.

Инкрементное резервное копирование (Incremental backup)

При добавочном («инкрементном») резервном копировании происходит копирование только тех файлов, которые были изменены с тех пор, как в последний раз выполнялось полное или добавочное резервное копирование. Последующее инкрементное резервное копирование добавляет только файлы, которые были изменены с момента предыдущего. В среднем, инкрементное резервное копирование занимает меньше времени, так как копируется меньшее количество файлов. Однако процесс восстановления данных занимает больше времени, так как должны быть восстановлены данные последнего полного резервного копирования, плюс данные всех последующих инкрементных резервных копирований. При этом, в отличие от дифференциального копирования, изменившиеся или новые файлы не замещают старые, а добавляются на носитель независимо.

Клонирование

Клонирование позволяет скопировать целый раздел или носитель (устройство) со всеми файлами и директориями в другой раздел или на другой носитель. Если раздел является загрузочным, то клонированный раздел тоже будет загрузочным[3].

Резервное копирование в виде образа

Образ - точная копия всего раздела или носителя (устройства), хранящаяся в одном файле[4].

Резервное копирование в режиме реального времени

Резервное копирование в режиме реального времени позволяет создавать копии файлов, директорий и томов, не прерывая работу, без перезагрузки компьютера.[5]

Резервирование системных баз данных

Поскольку системные базы данных содержат жизненно важную для функционирования сервера информацию, они подлежат обязательному резервному копированию. Особенно это критично, когда Вы вносите такие изменения в структуру баз сервера, которые могут повлиять на его работу. Минимальным требованием к резервированию системной информации является резервное копирование системных баз до и после изменений, вносимых в структуру его баз и системных объектов. В таком случае, возможные фатальные последствия таких изменений могут быть преодолены, путём восстановления предыдущего состояния из имеющихся копий.

Резервное копирование системной информации следует организовывать таким образом, что бы в любой момент времени у Вас была возможность восстановить любую системную базу данных, причём, состояние этой базы было бы актуально на этот момент и содержало все внесённые до этого момента изменения. Как вариант, официальный курс предлагает настроить расписание резервного копирования системных баз данных и обязательно делать копии после внесения изменений.

Планирование резервного копирования

Если данные, содержащиеся в базах Вашего сервера не критичны к их частичной потере в результате сбоя или аварии сервера, или если они редко изменяются, а изменения легко восполнимы, Вы можете использовать самый простой план резервирования, заключающийся в периодическом, полном резервном копировании баз данных. Можно даже ограничится копированием только баз, исключая журнал транзакций. В таком случае, если Вам потребуется восстановить данные из резервной копии, Вы сможете восстановить только прошлую копию.

Отказы

Под надежностью понимают свойство изделия выполнять заданные функции, сохраняя свои эксплуатационные показатели в заданных пределах в течение требуемого промежутка времени или требуемой наработки при соблюдении режимов эксплуатации, правил технического обслуживания, хранения и транспортировки. Надежность - это сложное комплексное понятие, с помощью которого оценивают такие важнейшие характеристики изделий, как работоспособность, долговечность, безотказность, ремонтопригодность, восстанавливаемость и др.

В любой момент времени ЭВМ может находиться в исправном или неисправномсостоянии. Если ЭВМ в данный момент времени удовлетворяет всем требованиям, установленным как в отношении основных параметров, характеризующих нормальное выполнение вычислительных процессов (точность, быстродействие и др.), так и в отношении второстепенных параметров, характеризующих внешний вид и удобство эксплуатации, то такое состояние называют исправным состоянием. В соответствии с этим определением неисправное состояние - состояние ЭВМ, при котором она в данный момент времени не удовлетворяет хотя бы одному из этих требований, установленных в отношении как основных, так и второстепенных параметров. Не каждая неисправность приводит к невыполнению ЭВМ заданных функций. Например, образование вмятин или ржавчины на корпусе машины, выход из строя лампочек подсветки не могут препятствовать эксплуатации ЭВМ.

Работоспособность - состояние изделия, при котором оно способно выполнять заданные функции с параметрами, установленными требованиями технической документации.

Отказ - событие, состоящее в полной или частичной утрате работоспособности системы. Так как не всякая неисправность приводит к отказу, то различают неисправности основные и второстепенные.

Только основные неисправности приводят к отказу. Второстепенные неисправности называют дефектами. По характеру измененияпараметров до момента возникновенияотказы делят на внезапные и постепенные.

[AD]

Внезапные (катастрофические) отказы возникают в результате мгновенного изменения одного или нескольких параметров элементов, из которых построена ЭВМ (обрыв или короткое замыкание). Устранение внезапного отказа производят заменой отказавшего элемента (блока, устройства) исправным или его ремонтом.

Постепенные(параметрические) отказы возникают в результате постепенного изменения параметров элементов до тех пор, пока значение одного из параметров не выйдет за некоторые пределы, определяющие нормальную работу элементов - (старение элементов, воздействие окружающей среды, колебания температуры, влажности, давления, уровня радиации и т. п.), механические воздействия (вибрации, удары, перегрузки). Устранение постепенного отказа связано либо с заменой, ремонтом, регулировкой параметров отказавшего элемента, либо с компенсацией за счет изменения параметров других элементов.

По характеру устраненияотказы делят на устойчивые и самоустраняющиеся. Для устранения устойчивыхотказов оператор, обслуживающий ЭВМ, должен отрегулировать или заменить отказавший элемент. Самоустраняющиесяотказы исчезают без вмешательства оператора и проявляются в форме сбояили перемежающего отказа. Сбой - однократно возникающий самоустраняющийся отказ. Если несколько сбоев следуют друг за другом, то имеет место перемежающийся отказ. Отказ типа сбоя особенно характерен для ЭВМ.

Появление сбоев обусловливается внешними и внутреннимифакторами. К внешним факторам относятся колебания напряжения питания, вибрации, температурные колебания. Специальными мерами (стабилизации питания, амортизация, термостатирование и др.) влияние этих факторов может быть значительно ослаблено. К внутренним факторамотносятся флуктуационные колебания параметров элементов, несинхронность работы отдельных устройств, внутренние шумы и наводки. Если в ЭВМ возникает сразу несколько отказов, то по их взаимной связиразличают независимыеотказы (возникновение их не связано с предшествующими отказами) и зависимые(появление их вызвано отказом в предыдущий момент времени).

По внешним проявлениямотказы делят на явные и неявные. Явные отказыобнаруживаются при внешнем осмотре, а неявные отказы- специальными методами контроля.

СУБД

Системма управлемния бамзами дамнных (СУБД) - совокупность программных и лингвистических средств общего или специального назначения, обеспечивающих управление созданием и использованием баз данных[1].

SQL (??s?kju??l; англ. structured query language - «язык структурированных запросов») - формальный непроцедурный язык программирования, применяемый для создания, модификации и управления данными в произвольной реляционной базе данных, управляемой соответствующей системой управления базами данных (СУБД).

...