Курсовая Вычислительные сети

Содержание

Вычислительные сети 3
Телекоммуникационные технологии в информационных системах. Глобальные компьютерные сети. 12
I. Принципы построения глобальных компьютерных сетей. 14
II. Протоколы и адресация в Internet 19
III. Виды информационного сервиса в Internet (Intranet) 22
Обеспечение безопасности информации в автоматизированных информационных системах. 27
Заключение 43
Список литературы 45

Вычислительные сети

Локальные вычислительные сети. Принципы построения и базовые технологии ЛВС.
При физическом соединении двух и более компьютеров образуется компьютерная (вычислительная) сеть.
Вычислительная сеть (в дальнейшем сеть) – сложная система программных и аппаратных компонентов, взаимосвязанных друг с другом. К аппаратным компонентам относятся непосредственно сами компьютеры и коммуникационное оборудование. К программным компонентам – операционные системы и сетевые приложения.
Простейшая сеть образуется при временном соединении двух компьютеров через последовательные (COM) или параллельные (LPT) порты с помощью специальных кабелей. Такое соединение называется прямым соединением.
По территориальному признаку вычислительные сети можно разделить на локальные (LAN – Local Area Network) и глобальные (WAN – Wide Area Network). Локальные сети отличаются компактностью. Глобальные сети имеют, как правило, увеличенные географические размеры. Они могут объединять как отдельные компьютеры, так и отдельные локальные сети, в том числе и использующие различные протоколы.
Протоколы – это специальные стандарты, предназначенные для обеспечения необходимой совместимости, как по аппаратуре, так и по программам в компьютерных сетях.
Компьютеры локальной вычислительной сети преимущественно используют единый комплект протоколов.
Группа сотрудников, работающих над одним проектом в рамках локальной сети, называются рабочими группами.
Для объединения в стационарную сеть нескольких (от единиц до нескольких сотен) ПК в качестве линий связи в ЛВС могут использоваться разные физические среды.
В настоящее время в ЛВС широкое распространение получила кабельная связь. В кабельной связи используются три вида кабелей: коаксиальный кабель (до 10 Мбит/с, длина сегмента толстый –500 м, тонкий –185 м), витая пара (до 100 Мбит/с, длина сегмента – 100 м) и волоконно-оптический кабель (до 10 Гбит/с, длина сегмента 1000-2000 м).
Кабели подсоединяются к ПК через специальное устройство, называемое сетевой картой (адаптером), которая вставляется в слот расширения на материнской плате компьютера.
Физическое расположение компьютеров и коммуникационного оборудования в сети зависит от базовой топологии ЛВС.
Все сети строятся на основе трех базовых топологий: «звезда», «кольцо» и «шина».
Топология звезда характерна тем, что в ней все узлы соединены с одним центральным узлом.

Топология «Звезда»
Достоинства подобной структуры состоят в экономичности и удобстве с точки зрения организации управления взаимодействием компьютеров.
Недостатком, является низкая надежность, при отказе центрального узла, выходит из строя вся сеть.

Топология «Кольцо»
В топологии кольцо компьютеры подключаются повторителям (repeater – устройство, усиливающее или регенерирующее пришедший сигнал) сигналов, связанным в однонаправленное кольцо.
Достоинством кольцевых сетей является равенство компьютеров по доступу к сети и высокая расширяемость. Недостаток – выход из строя всей сети при выходе из строя одного повторителя.

Топология «Шина»
В топологии шина все компьютеры подключены к единому каналу связи. Канал связи ограничивается с двух сторон пассивными терминаторами, поглощающими передаваемые сигналы. Достоинством данной топологии является ее высокая надежность, при выходе из строя одной ПЭВМ, сеть остается работоспособной. Другим достоинством является высокая расширяемость и экономичность в организации каналов связи. Недостатком данной топологии относится уменьшение пропускной способности сети при значительных объемах трафика (объем передаваемых данных по сети).
В нас время часто используются топологии, комбинирующие базовые: «звезда-шина», «звезда-кольцо».

Для работы двух разных устройств необходимо иметь соглашение, требования которого будет удовлетворять работа каждого устройства.
В начале 80-х годов была разработана модель взаимодействия открытых систем OSI (Open System Interconnection), которая стала одной из основных моделей, описывающих процесс передачи между компьютерами.
Модель OSI разделяет средства взаимодействия на семь уровней:

  1. Прикладной уровень;
  2. Представительский уровень;
  3. Сеансовый уровень;
  4. Транспортный уровень;
  5. Сетевой уровень;
  6. Канальный уровень;
  7. Физический уровень.
    Каждый уровень относительно независим. Модули каждого уровня могут быть легко заменены без внесения изменений в модули других уровней.
    На физическом уровне описывается передача битов информации по физическим каналам связи. Функции физического уровня на компьютере выполняются сетевой картой.
    На канальном уровне определяется доступность среды передачи данных и механизм обнаружения и коррекции ошибок. Протоколы канального уровня, используемые в локальных сетях, разрабатываются для сетей с определенной топологией. Протоколы канального уровня поддерживают топологи: шина, звезда и кольцо.
    На сетевом уровне решаются вопросы объединения сетей с различными топологиями, с разными принципами передачи данных между конечными узлами для образования единой системы.
    На транспортном уровне решаются вопросы обеспечения надежности передачи данных, обнаружения и исправления ошибок передачи.
    На сеансовом уровне реализуется средства синхронизации, при помощи которых в длинных передачах устанавливаются специальные точки для возможного отката в случае сбоя не в начало, а на последнюю контрольную точку.
    На представительском уровне происходит преобразование формы представления данных для восприятия прикладным уровнем принимающей системы.
    Протоколы прикладного уровня обеспечивают доступ пользователей к сетевым ресурсам.
    Все компьютеры сети без исключения имеют одно назначение – обеспечение совместного доступа к общим ресурсам. По ресурсами ПК будет пониматься любой из следующих элементов:
    • логические диски;
    • каталоги (папки);
    • подключенные к ПК устройства.
    Первые два из перечисленных видов ресурсов называются информационными, а ресурсы третьего вида – техническими. Ресурс, доступный только с ПК, на котором он находится, называется локальным. Ресурс ПК, доступный для других компьютеров в сети, называется сетевым. Компьютер, предоставляющий сетевой ресурс, называется сервером, потребители этого сетевого ресурса – клиентами. Понятия локального и сетевого ресурса динамические. Локальный ресурс можно сделать сетевым и наоборот, сетевому ресурсу можно вернуть статус локального, т.е. запретить доступ к нему других пользователей сети.
    Современное программно-техническое обеспечение работы сети базируется на следующих средствах:
    • сетевая карта. Работа сетевой карты управляется специальной программой (драйвером устройства);
    • тип сервера, т.е. тип операционной системы, управляющей компьютером, представляющим ресурсы;
    • тип клиента, т.е. вид программного обеспечения, управляющего доступом к сетевым ресурсам;
    • протокол — правила, определяющие формат сообщений между компьютерами;
    • службы, реализующие различные операции в сети (совместный доступ, контроль за работой и др.).
    Совершенно необходимо, чтобы клиент и сервер работали по единому протоколу.
    Все устройства, подключаемые к сети, можно разделить на три функциональные группы: рабочие станции, серверы сети, коммуникационные узлы.
    Рабочая станция – это персональный компьютер, подключенный к сети, на котором пользователь выполняет свою работу. Можно выделить три типа рабочих станций: рабочая станция с локальным диском, бездисковая рабочая станция и удаленная рабочая станция.
    Сервер сети – это компьютер, подключенный к сети и представляющий пользователям сети определенные услуги.
    К коммуникационным узлам сети относятся следующие устройства: повторители, коммутаторы (мосты), маршрутизаторы, шлюзы.
    Повторитель (repeater) – устройство, усиливающее или регенерирующее пришедший сигнал. Поддерживает обмен данными только между двумя станциями разных сегментов.
    Коммутатор, или мост – устройство позволяющее объединять несколько сегментов. Поддерживает несколько процессов обмена данными для каждой пары станций разных сегментов.
    Маршрутизатор (router) – устройство, соединяющее сети одного или разных типов по одному протоколу обмена данных. Маршрутизатор анализирует адрес назначения и направляет данные по оптимальному маршруту.
    Шлюз (gateway) – устройство, позволяющее организовать обмен данными между разными сетевыми объектами, использующие разные протоколы обмена данными.
    Локальные вычислительные сети подразделяются на два кардинально различных класса: одноранговые и иерархические.
    Одноранговая сеть представляет собой сеть равноправных компьютеров, каждый из которых имеет уникальное имя, и в любой момент времени работать как клиент, так и сервер.
    В иерархических локальных сетях имеется один или несколько специальных компьютеров – серверов. Сами серверы могут быть клиентами только серверов более высокого уровня. Иерархические сети называют сетями с выделенным или невыделенным сервером.
    Способ организации и хранения информации на сервере устанавливается специальным лицом – администратором сети.
    Программное обеспечение, управляющее работой иерархической сети, всегда состоит из двух частей:
    • сетевой операционной системы, устанавливаемой на сервере;
    • программного обеспечения на рабочей станции.
    В общем случае сетевая ОС состоит из следующих частей:
    • Средства управления локальными ресурсами компьютера;
    • Серверная часть (предоставление собственных ресурсов сети);
    • Клиентская часть (обеспечивает доступ к удаленным ресурсам и услугам и их использование);
    Сетевые ОС можно подразделить на одноранговые ОС и ОС с выделенным сервером.
    В одноранговых сетевых ОС каждый компьютер выполняет как функции клиента, так и функции сервера. Самой распространенной ОС на сегодняшний день является Windows 9x.
    При построении сложных сетей, как правило, один или несколько компьютеров выделяют для выполнения отдельных сетевых функций. Такие компьютеры называются серверами, на которые устанавливаются специальные ОС, сетевые ОС с выделенным сервером. Обычно в серверах отсутствует клиентская часть. Типичными представителями сетевой ОС являются: Unix, Novell Net Ware, Windows NT.
    Операционная система Windows NT разработана в двух версиях.
    Workstation (рабочая станция) предназначена для установки на сетевых рабочих станциях. Она позволяет использовать компьютер, как клиент сети, так и как невыделенный сервер. Правда, возможности такого сервера сильно ограничены.
    Windows NT Server может выступать как:
  • Файл-сервер;
  • Сервер печати;
  • Сервер приложений;
  • Контролер домена;
  • Сервер удаленного доступа;
  • Сервер Интернета;
  • Сервер обеспечения безопасности данных;
  • Сервер резервирования данных;
  • Сервер связи;
  • Сервер вспомогательных служб.
    В локальной сети под управлением Windows NT могут работать рабочие станции с разными локальными ОС. На рабочей станции под управлением Windows 9x должен быть установлен соответствующий сетевой клиент (служба), конфигурацию которого можно изменять.
    Вычислительная сеть создается для обеспечения потенциального доступа к любому ресурсу сети для любого пользователя сети. Качество доступа к сети может быть описана многими показателями. Среди основных показателей сети можно выделить: производительность, надежность, управляемость, расширяемость, масштабируемость и прозрачность.
    Производительность сети — ее пропускной способностью (количество информации, переданной через сеть в единицу времени), которая измеряется в битах в секунду.
    Под надежностью понимается надежность работы всех ее компонентов и способность обеспечить защиту информации.
    Управляемость – это возможность воздействовать на работу любого элемента сети.
    Расширяемость – добавление новых элементов сети.
    Масштабируемость – это расширение сети без существенного снижения ее производительности. Единственный недостаток ЛВС – это плохая масштабируемость, так как используемые технологии накладывают жесткие ограничения на длину линий связи и количество подключаемых компьютеров.
    Прозрачность – это скрытие особенностей сети от конечного пользователя.
    Специфика ЛВС нашла свое отражение в разделении канального уровня на два подуровня: логической передачи данных LLC (Logical Link Control) и управление доступом к сети MAC (Media Access Control).
    Уровень LLC организует передачу кадров с различной степенью надежности.
    Уровень MAC обеспечивает корректное использование общей среды передачи данных.
    В современных вычислительных сетях имеют распространение несколько протоколов уровня MAC: Ethernet, 100VG-AnyLAN, Token Ring и др.
    Ethernet – самая популярная в настоящее время сетевая архитектура. В качестве метода доступа к среде передачи данных используется метод коллективного доступа. Данные передаются кадрами, в которых указывается адрес узла-получателя и адрес узла-отправителя. Данная технология не позволяет одновременную передачу или прием более одного кадра. В случае, когда два узла пытаются одновременно передать свои кадры возникает коллизия. При увеличении коллизий, когда среда заполняется повторными кадрами, реальная пропускная способность резко уменьшается.
    Используемые топологии – шина, звезда и смешанные структуры.
    Технология 100VG-AnyLAN использует приоритетный доступ к сети. В роли арбитра доступа к сети выступает концентратор. Концентратор отправляет кадр не ко всем узлам, только к узлу назначения.
    В технологии Token Ring кадр данных передается от узла к узлу, по кольцу в одном направлении. Для доступа к среде передачи данных применяется маркерный метод.
    Высокое качество передачи данных дает возможность сети предоставлять пользователю широкий спектр услуг: файловую службу, печать, факс, электронную почту, сканер, базы данных и другие услуги, реализация которых отдельно на локальном компьютере непозволительно дорога. Практически услуги локальной сети будут рассмотрены нами на следующем занятии.
    Вывод:
    Создание локальной сети характерно для отдельных подразделений и предприятий. А поэтому знание основных вопросов связанных с построением и эксплуатацией ЛВС необходимо для дальнейшей практической деятельности. При подключении локальной сети к глобальной важную роль играет понятие безопасности. Некоторые вопросы которой, мы и рассмотрим во втором и третьем вопросе.
    Телекоммуникационные технологии в информационных системах. Глобальные компьютерные сети.

Развитие и широкое применение информационных и коммуникационных технологий (далее — ИКТ) является глобальной тенденцией мирового развития и научно-технической революции последних десятилетий. Применение ИКТ имеет решающее значение для повышения конкурентоспособности экономики, расширения возможностей ее интеграции в мировую систему хозяйства, повышения эффективности государственного управления и местного самоуправления.
Федеральная целевая программа «Электронная Россия » рассчитана на 2002-2010 годы и должна обеспечить формирование нормативной правовой базы в сфере ИКТ; развитие информационной и телекоммуникационной инфраструктуры, сформировать условия для подключения к открытым информационным системам (в том числе посредством сети Интернет), а также обеспечить эффективное взаимодействие органов государственной власти и органов местного самоуправления с гражданами и хозяйствующими субъектами на основе широкого внедрения ИКТ.
В ходе выполнения программы планируется:
• сформировать единую информационную и телекоммуникационную инфраструктуру для органов государственной власти и органов местного самоуправления, бюджетных и некоммерческих организаций (включая унифицированные информационные системы для ВС РФ, предприятий оборонно-промышленного комплекса). Интеграция государственных и муниципальных информационных ресурсов в единую информационную систему позволит создать систему мониторинга финансово-экономической деятельности; сократить возможности для финансовых махинаций, нарушения законов, уклонения от уплаты налогов.
• реализовать проекты по переходу к электронному документообороту в органах государственной власти и органах местного самоуправления. Долю электронного документооборота в общем объеме документооборота в этих органах предполагается довести до 65 процентов внутри ведомств и до 40 процентов в межведомственном документообороте;
• реализовать систему электронных расчетов;
• реализовать систему электронной торговли в сфере поставок продукции для федеральных государственных нужд. Создание системы электронной торговли для осуществления закупок продукции для федеральных государственных нужд позволит сэкономить от 20 до 40 процентов средств соответствующих бюджетов, выделяемых на подготовку и проведение торгов и организацию закупок.
Реализация мероприятий Программы обеспечит опережающий рост числа пользователей компьютерных сетей и объемов передаваемой информации по сравнению с ростом числа компьютеров. По утверждению фонда «Общественное мнение» по состоянию на ноябрь 2002 года, аудитория Интернета в России составляет 8,8 млн. человек. Прогнозируется, что количество пользователей сети Интернет вырастет к 2005 году в 4-5 раз. Расширение рынка услуг в сфере ИКТ позволит снизить эти тарифы на подключение и использование Интернет к 2005 году на 40 процентов, к 2010 году примерно вдвое.
С учетом реализации федеральной целевой программы «Развитие единой образовательной информационной среды в 2001-2005 годах)» предполагается подключить к информационным системам (включая подключение к сети Интернет) к 2005 году все высшие учебные заведения, а к 2010 году — все средние специальные учебные заведения.
Министр Российской Федерации по налогам и сборам Г.И. Букаев заявил 12 ноября 2002 года, что Интернет должен стать главным каналом общения МНС с налогоплательщиками. Как только на практике отрегулируется процесс применения электронно-цифровой подписи, каждый налогоплательщик получит возможность общаться с налоговым инспектором, не покидая своего рабочего места при помощи электронной почты, а также видеть свой лицевой счет, выходя в Интернет на сайт МНС.
В целом реализация Программы позволит существенно повысить конкурентоспособность экономики страны за счет снижения издержек и повышения качества продукции и услуг, эффективности государственного управления и местного самоуправления, обеспечит рост качества жизни граждан, сократит отставание от развитых стран мира, позволит избежать информационной и экономической изоляции от мировой экономики и мирового сообщества, обеспечит развитие процессов международной интеграции.
I. Принципы построения глобальных компьютерных сетей.

Как известно при физическом соединении двух и более компьютеров образуется компьютерная (вычислительная) сеть.
Компьютерная сеть – сложная система программных и аппаратных компонентов, взаимосвязанных друг с другом. К аппаратным компонентам относятся непосредственно сами компьютеры и коммуникационное оборудование (кабельные системы, повторители, мосты, маршрутизаторы). К программным компонентам относятся операционные системы и сетевые приложения (прикладные программные комплексы, расширяющие возможности сетевых ОС; например, почтовые программы или распределенные базы данных).
По ряду признаков компьютерные сети можно разделить на локальные (LAN – Local Area Network) и глобальные (WAN – Wide Area Network). Промежуточное положение между ними занимают корпоративные сети (сети кампусов).
Общее представление о локальных сетях было получено в ходе изучения дисциплины «Информатика». На¬помним, что компьютеры, входящие в состав локальной сети, размещаются, как правило, в пределах одного помещения (здания) и используют ограниченный набор протоколов (например, TCP/IP, NetBEUI или IPX/SPX). Набор протоколов определяется составом программных и аппаратных компонентов ЛВС, а также решаемыми задачами (напомним, что протоколы – это специальные стандарты, предназначенные для обеспечения совместимости аппаратных и программных компонентов в компьютерных сетях и организации обмена данными).
В большинстве случаев основным компонентом коммуникационного оборудования в ЛВС являются концентраторы (HUB), кабельная система строится на основе неэкранированной витой пары (UTP 3 или категории) или оптоволокна. Кабель UTP обеспечивает скорость передачи данных до 100 Мбит/с и длину сегмента сети до 100 м (328 футов), оптоволокно — до 2000 м. При передаче данных используются технологии Ethernet (10 Base — T); Fast Ethernet (100 Base — T4 для витой пары и 100 Base — FX для оптоволокна); Gigabit Ethernet (1000 Base — T). При построении локальной компьютерной сети за основу берется топология «звезда» и ее модификации (рис.1).
В последнее время широкое распространение получили беспроводные сети, использующие устройства, работающие в инфракрасном или радио диапазоне.
Организация взаимодействия аппаратных и программных компонентов компьютерной сети реализуется на основе модели взаимодействия открытых систем OSI (Open System Interconnection). Модель OSI разделяет средства взаимодействия на семь уровней: прикладной уровень; представительский уровень; сеансовый уровень; транспортный уровень; сетевой уровень; канальный уровень; физический уровень.
Обеспечение безопасности информации в одноранговых ЛВС (без сервера) возлагается на пользователей; в централизованных сетях (с сервером) — на администратора сети. Основными операционными системами являются: для рабочих станций — Windows 9x; для серверов — Windows NT for Server и Windows 2000 for Server.
Корпоративные компьютерные сети (сети кампусов) отличаются от локальных только большим количеством компьютеров (до нескольких сотен) и их территориальным разносом (например, в нескольких зданиях).
Глобальные компьютерные сети — это совокупности компьютеров, объединенных коммуникационной средой, охватывающей значительные территории. Они могут объединять как отдельные компьютеры, так и локальные и корпоративные сети, в том числе и использующие различные протоколы.
В структуре аппаратных компонентов глобальной сети можно выделить узлы сети (хосты), в которых размещаются ПК и коммуникационное оборудование, и каналы передачи данных (магистральные сети).
Кабельные системы глобальных сетей базируются на использовании телекоммуникационных каналов передачи данных (между крупными узлами сети) с высокой пропускной способностью (магистральных сетей). Как правило, они организуются на кабельных (чаще всего оптоволоконных) или спутниковых линиях связи.
Организация подключения к магистральным каналам в точках сетевого доступа является достаточно сложной проблемой (проблема последней мили); подключение реализуется с использованием телевизионных кабельных систем; модемов — по коммутируемым (через АТС) и выделенным каналам связи (в т.ч. по выделенной цифровой линии ISDN — xDSL модемы); по радио каналу (радио Ethernet) или через спутник; через электрическую проводку.
За свою более чем 20-летнюю историю модем (принципы работы на слайде) претерпел ряд изменений, позволивших ему достичь предельно возможной скорости соединения по коммутируемой телефонной линии — 64 кБит/с. Оценить долю пользователей, получающих доступ в Интернет посредством модема, очень сложно — это зависит от их территориальной и государственной принадлежности. Например, в Москве около 84% частных лиц и 43% предприятий мелкого и среднего бизнеса остановили свой выбор на этих простых и надежных устройствах. А в Соединенных Штатах эти цифры заметно меньше (по разным оценкам, 17 и 12% соответственно).
Высокая популярность модемов в нашей стране вызвана, во-первых, тем, что для подключения к сети необходима только телефонная линия, за функционирование которой отвечает местная телефонная компания, во-вторых, низкой (25-200 долл.) стоимостью пользовательского комплекта оборудования (для сравнения — комплект каналообразующего оборудования для радио Ethernet стоит порядка 2 тысяч долларов).
Для увеличения скорости передачи данных по телефонному каналу используются технологии xDSL. Однако применение xDSL возможно только при тесном сотрудничестве с местной телефонной компанией, поскольку на каждую АТС приходится устанавливать дополнительный комплект оборудования (рис.3). При использовании технологии xDSL выделяемый диапазон передачи данных не пересекается со стандартным частотным диапазоном обыкновенной телефонии, что дает возможность организовать на одной паре два независимых канала. На практике это означает, что по одной физической паре одновременно можно работать в Интернете и говорить по обычному телефону.
Беспроводный доступ (радио Ethernet или через спутник) обеспечивает высокую скорость передачи данных (более 100 Мбит/с). Кроме того, в ряде случаев системы беспроводного доступа позволяют с учетом асимметрии трафика (как правило, входящий поток данных в несколько раз больше исходящего) реализовать асимметричную организацию физической составляющей «последней мили» (например, входящий трафик может идти по спутниковому каналу, а исходящий — по классическому модему). Возможности оперативного подключения практически в любой точке мира, оперативного сворачивания системы и быстрого развертывания ее на новом месте, а также простота эксплуатации позволили данным системам занять прочную позицию на корпоративном сегменте рынка.
В связи со сложностью объединения разнотипных локальных сетей существенно возрастает сложность коммуникационного оборудования, используемого в глобальных компьютерных сетях.
К коммуникационному оборудованию сети относятся следующие устройства: повторители, коммутаторы (мосты), маршрутизаторы, шлюзы.
Повторитель (repeater) – устройство, усиливающее или регенерирующее пришедший сигнал. Поддерживает обмен данными только между двумя станциями разных сегментов.
Коммутатор, или мост – устройство позволяющее объединять несколько сегментов. Поддерживает несколько процессов обмена данными для каждой пары станций разных сегментов.
Маршрутизатор (router) – устройство, соединяющее сети одного или разных типов по одному протоколу обмена данных. Маршрутизатор поддерживает таблицы маршрутизации, анализирует адрес назначения передаваемых данных и направляет их по оптимальному маршруту.
Шлюз (gateway) – устройство, позволяющее организовать обмен данными между разными сетевыми объектами (в т.ч. использующими разные протоколы обмена данными). Шлюз переупаковывает и преобразует данные, передаваемые из одной среды в другую, изменяет формат сообщения.
Программные компоненты глобальной компьютерной сети включают в себя операционные системы: для рабочих станций (Windows 9x), для серверов (Windows NT for Server, Windows 2000 for Server, Unix), а также программное обеспечение для реализации различных сетевых служб и сервисов (например, почтовый сервер).
Наиболее известной глобальной компьютерной сетью в настоящее время является Интернет.
По данным периодической печати Интернет объединяет более 30 000 компьютерных сетей различного типа, к которым подключено более 10 000 000 компьютеров. Интернет появился в 60-е годы в результате попыток объединить разнотипные компьютерные сети МО США с использованием радио- и спутниковых каналов связи (ARPANET). За основу были взяты принципы коммутации и негарантированной доставки пакетов (для повышения устойчивости к частичным отказам сети). Сеть считается заведомо ненадежной — любая ее часть может в любой момент выйти из строя. Поэтому сеть построена так, что при передаче данных пот¬ребность в информации от компьютеров-клиентов минимальна.
Ключом к объединению сетей стал протокол межсетевого взаимодействия TCP (1973 г.), обеспечивающий доставку данных в Интернет.
Выводы: глобальные компьютерные сети — это совокупности компьютеров, объединенных коммуникационной средой, охватывающей значительные территории. Основными принципами построения глобальных компьютерных сетей являются:

  1. Основу глобальной сети составляют магистральные сети передачи данных.
  2. Подключение к магистральной сети осуществляется в точках сетевого доступа с использованием различных технических и программных решений (модем, xDSL и т.п.).
  3. Подключаемые компьютерные сети рассматриваются как автономные системы (с независимой маршрутизацией и управлением).
  4. Передача данных реализуется с коммутацией пакетов и их негарантированной доставкой.
    II. Протоколы и адресация в Internet

В Интернет в основном используется стек протоколов TCP/IP, включающий протокол транспортного уровня TCP, управляющий передачей данных, и адресный протокол IP, функционирующий на сетевом уровне.
Протокол IP (Internet Protocol) разбивает поток данных на дейтаграммы или IP-пакеты, независимые друг от друга. Основная задача протокола IP — передача IP-пакетов между сетями. Протокол IP относится к протоколам без установления соединений и не гарантирует доставку пакета.
Задачу гарантированной доставки данных решает протокол TCP. Протокол делит отправляемые данные на сегменты и маркирует их таким образом, чтобы обеспечить правильную сборку передаваемых данных на компьютере получателя. В случае неполучения или искажения отдельных сегментов передача повторяется. Для транспортировки каждый сегмент упаковывается в IP-пакет.
IP-пакет (для метода доступа Ethernet) имеет длину от 64 до 1518 байт (из них 18 байт — служебные). Каждый пакет содержит управляющую информацию и имеет общую с другими кад¬рами организацию:
Преамбула Приемник Источник Тип Данные CRC

Преамбула — отмечает начало кадра; приемник и источник — ад¬реса; тип — для идентификации протокола; CRC (control …) — контрольная сумма.
Обеспечение передачи данных возлага¬ется на взаимодействующие узлы, передающие пакет по исправному участку сети. Непосредственно маршрут пе¬редачи определяется маршрутизатором — по оптимальному маршруту. В результате конечного числа пересылок пакетов данные достигают адресата.
Для обеспечения возможности передачи данных каждый компьютер в Интернет имеет уникальный IP-адрес — четыре десятичных числа (4 байта), каждое из которых в диапазоне 0…256.
Например, 127.0.0.1 — адрес рабочей станции.
Задача протокола TCP заключается в передаче данных между прикладными процессами, выполняющимися на компьютерах в сети. На каждом ПК одновременно выполняются несколько процессов (многозадачная операционная система), поэтому для идентификации определенного процесса используется номер порта. Номер порта и IP-адрес однозначно определяют процесс в сети. За некоторыми процессами номер порта закреплен жестко: например, 21 порт — FTP, 80 порт — WWW.
Пример: 127.0.0.1:21 — процесс FTP на ПК с адресом 127.0.0.1.
Постоянный IP-адрес устанавливается пользователю провайдером. В ряде случаев используется динамический IP-адрес (например, или при автоматическом определении IP-адреса в настройках сети).
Для упрощения работы с IP — адресами в Интернет разработана система доменных имен (DNS), позволяющая ставить в соответствие IP-адресам символьные имена.
Имя в такой систе¬ме состоит из доменов (как правило, не более пяти уровней), разделенных точками. Самый главный домен — корневой. Домены первого уровня назначаются для каждой страны или организации (EDU- учебные заведения, MIL — воен¬ные учреждения, RU — Россия). Таблица соответствия IP-адресов и доменных имен для каждого домена хранится на DNS сервере.
Пример,
WWW.MINFIN.RU — министерство финансов РФ;
WWW.CBR.RU — ЦБ РФ;
WWW.NALOG.RU — министерство по налогам и сборам РФ;
WWW.RAMBLER.RU — поисковый сервер;
Кроме стека протоколов TCP/IP в Интернет для реализации сетевых сервисов и служб используются протоколы HTTP (для WWW), SMTP (почта), PPP, POP3 и другие.
Выводы: в Интернет в основном используется стек протоколов TCP/IP, включающий протокол транспортного уровня TCP, управляющий передачей данных, и адресный протокол IP, функционирующий на сетевом уровне. Протокол IP разбивает поток данных на дейтаграммы или IP-пакеты, независимые друг от друга. Протокол TCP делит отправляемые данные на сегменты и маркирует их таким образом, чтобы обеспечить правильную сборку передаваемых данных на компьютере получателя. Для транспортировки каждый сегмент упаковывается в IP-пакет.
Для обеспечения передачи данных каждый компьютер в Интернет имеет уникальный IP-адрес — четыре десятичных числа (4 байта), каждое из которых в диапазоне 0…256. Номер порта и IP-адрес однозначно определяют процесс в сети. Для упрощения работы с IP — адресами в Интернет разработана система доменных имен (DNS), позволяющая ставить в соответствие IP-адресам символьные имена.
Кроме стека протоколов TCP/IP транспортного уровня и службы имен доменов DNS в Интернет для управления, реализации сетевых сервисов и служб используются прикладные протоколы: HTTP (для WWW), FTP, SMTP, PPP, POP3 (почта) и другие.
III. Виды информационного сервиса в Internet (Intranet)

Использование Интернет для пользователя сводится к использованию сетевых сервисов и служб.
Сетевая служба — это клиент — серверное приложение, использующее прикладные протоколы.
Протоколы служб Интернет называются прикладными. Соблюдение прикладных протоколов обеспечивается работой специальных программ. Для использования службы Интернет необходимо установить клиентское ПО, поддерживающее соответствующий прикладной протокол, и подключиться к серверному ПО через компьютерную сеть.
Основные сетевые службы в Интернет:

  • Telnet (удаленный доступ);
  • FTP (передача файлов);
  • e-mail (электронная почта);
  • mailing list (списки рассылки);
  • Usenet (телеконференции);
  • IRC (Internet Relay Chat);
  • ICQ (Интернет — пейджер);
  • WWW (World Wide Web).
    Служба Telnet используется для обеспечения удаленного доступа к компьютеру (хосту), подключенному в Интернет. Подключившись к ПК по протоколу Telnet, можно управлять его работой в терминальном режиме (часто используется для управления работой удаленных устройств, имеющих совместимый с ПК интерфейс, например, коммуникационного оборудования). Простейший клиент данной службы входит в состав Windows 98 — файл telnet.exe.
    Служба FTP (File Transfer Protocol) используется для передачи объемных файлов с FTP-сервера на компьютер пользователя. Служба FTP имеет свои серверы в Интернет, в качестве клиентского ПО можно использовать обычный броузер. Протокол FTP работает одновременно с двумя соединениями TCP: по одному соединению идет передача данных, по второму — управление. Протокол FTP предоставляет серверу средства для идентификации пользователя, поэтому для подключения к серверу необходимо знать имя и пароль (есть сервера с анонимным доступом). Протокол позволяет передавать как двоичные, так и текстовые файлы (в т.ч. в фоновом режиме).
    Служба e-mail (электронная почта) обеспечивает обмен почтовыми сообщениями между пользователями. На почтовом сервере на каждого пользователя заводится учетная запись. Адрес электронной почты включает имя пользователя и доменное имя почтового сервера (например, Иванов@mail.ru). Почтовые серверы получают сообщения от пользователей и пересылают их на почтовый сервер адресата, где сообщения накапливаются. При подключении адресата к своему серверу для просмотра почты происходит автоматическая передача сообщений на ПК адресата. Почтовая служба основана на прикладных протоколах SMTP и POP3; SMTP (Simple Mail Transfer Protocol)- отправляет сообщения на сервер, PОPЗ (Post Office Protocol) — принимает поступившие сообщения. В качестве клиентского ПО используется, например, Outlook Express, входящий в состав стандартных программWindows 98. Из специализированных почтовых программ широко используются The Bat!, Eudora и др.
    Служба mailing list (списки рассылки) обеспечивает получение информации с тематических серверов, собирающих данные по определенной тематике и переправляющих их адресатам в виде сообщений электронной почты. Для получения подобной почтовой информации необходимо подписаться на соответствующий список рассылки. Списки рассылки позволяют эффективно решать вопросы регулярной доставки данных (например, биржевые новости).
    Служба Usenet (телеконференции) функционирует аналогично электронной почте, но сообщение передается не одному адресату, а большой группе (телеконференции или группе новостей). При этом сообщение хранится на каждом промежуточном почтовом сервере в течение некоторого времени. В мире насчитывается около 50000 групп новостей. Для работы необходимо зарегистрироваться на сервере группы новостей, оформить подписку по интересующей тематике. Затем все сообщения по данной тематике периодически будут передаваться в ваш почтовый ящик.
    Служба IRC (Internet Relay Chat или чат- конференции) — предназначена для прямого сообщения нескольких пользователей в режиме реального времени. В отличие от системы телеконференций, обеспечивающей обмен информацией всех желающих, в система чат- конференций общение производится в пределах одного канала, в работе которого принимает участие несколько человек.
    Служба ICQ (Интернет — пейджер) предназначен для поиска IP-адреса пользователя, подключенного к Интернету (большинство пользователей не имеют постоянного IP-адреса). Для работы необходимо зарегистрироваться на сервере (http://www.icq.com) и получить персональный номер. По данному номеру выполняется поиск абонента и передаются сообщения.
    Служба WWW (World Wide Web) самая популярная служба Интернета.WWW — это единое информационное пространство, состоящее из взаимосвязанных гипертекстовых документов (более 2 млрд.), хранящихся на Web-серверах. Группы тематически связанных Web-страниц составляют Web -узел. Корпоративный Web -узел называется порталом. При подготовке документов к опубликованию в Интернет выполняется их разметка с использованием языка разметки гипертекста HTML, в результате текст дополняется управляющими командами (тегами). С помощью тегов с любым фрагментом HTML -документа можно связать через гиперссылку любой другой HTML документ. В состав Web -документа могут внедряться активные компоненты, содержащие программный код (аплеты Java и т.п.)
    Для передачи страниц WWW ис¬пользуется протокол HTTP (Hypertext Transport Protocol).
    Для работы в Интернет требуется броузер (программа просмотра данных), например, NetScape Navigator или MS Internet Explorer. При работе с броузером для указания сервера, метода доступа и местонахождения ресурса используется идентификатор местонахожде¬ния URL (universal resource locator). В URL указываются: тип протокола, доменное имя сервера и полное имя файла на сервере (через /)
    Пример:
    HTTP:// WWW.RAMBLER.RU — поисковый сервер;
    HTTP:// WWW.MAIL.RU — почтовая служба;
    HTTP:// WWW.YAROSLAVL.RU — Web-сервер Яртелеком;
    FTP:// WWW.YAROSLAVL.RU — FTP-сервер Яртелеком.
    Через WWW могут быть реализованы такие службы, как e- mail.
    В качестве Web -серверов используются: в рабочей группе — Personal Web Server (PWS), входящий в состав средств Интернет Windows 98; в корпоративной сети — Internet Information Server (IIS) из состава ОС Windows NT for Server, Windows 2000 for Server. Наполнение Web -узла осуществляется, например, средствами MS Office 2000.
    Электронные сервисы (e-services) — это вид услуг, реализуемых на базе сетевых служб и предполагающих применение Internet и телекоммуникационных технологий. Примерами могут служить разнообразные услуги электронной коммерции — B2C (Business-to-Customer), B2B (Business-to-Business); услуги, предоставляемые телекоммуникационными компаниями (например, IP-телефония или предоставление через Internet владельцу банковского счета сведений о состоянии счета e-banking), системы электронных платежей, i- house, i- goverment.
    Электронная коммерция подразумевает использование Интернет для ведения бизнеса (в основном используются две сетевые службы — WWW и e-mail). Существуют две модели электронной коммерции: предприниматель-предприниматель (B2B) и предприниматель-потребитель (B2C). Динамика доходов от услуг электронной коммерции приведена на рис.7.
    Изменяется не только объем электронных услуг, но и их структура — рис8., при этом акцент смещается в область использования приложений B2B и B2C.
    Электронная коммерция реализуется через электронные магазины (розничная торговля B2C) и торговые площадки (оптовая торговля B2B). Например, в России на сегодняшний день открыто около 20 торговых площадок издательских домов и книжных дилеров (Сolibri, Books.ru, Boomerang, «Библио-Глобус» и др). Торговые площадки активно используются, например, в нефтяном бизнесе или торговле зерном.
    При расчетах через Интернет используются электронные платежные системы (например, CyberPlat). Схема расчетов и организация проекта зарплаты с использованием пластиковых карт приведена на слайдах.
    Как правило, разработка собственной торговой ИС стоит очень недешево, однако компания, заинтересованная в реализации товаров и услуг через Интернет, может арендовать соответствующее приложение либо купить электронный магазин или виртуальную торговую площадку. Например, торговая система Elit, предлагаемая компанией «АйТи», предназначена для создания как отдельных Интернет- магазинов, так и виртуальных торговых площадок. ПО Elit размещается на Web-узле, а управление Интернет- магазином производится с удаленного компьютера через терминалы продавцов.
    Программа «1С:Аркадия» предназначена для создания Интернет- магазина на базе «1С:Торговля и Склад». Для работы системе требуются ОС Microsoft Windows NT for Server 4.0, Web-сервер Microsoft Internet Information Server (IIS) 3.0 и система «1С:Торговля и Склад 7.5» для хранения и обработки информации. В основе технологии лежит архитектура «клиент-сервер».
    Вывод: использование Интернет для пользователя сводится к использованию сетевых сервисов и служб. Сетевая служба — это клиент — серверное приложение, использующее прикладные протоколы. Основные сетевые службы в Интернет: Telnet (удаленный доступ); FTP (передача файлов); e-mail (электронная почта); mailing list (списки рассылки); Usenet (телеконференции); IRC (Internet Relay Chat); ICQ (Интернет — пейджер); WWW (World Wide Web).
    Электронные сервисы (e-services) — это вид услуг, реализуемых на базе сетевых служб и предполагающих применение Internet и телекоммуникационных технологий (услуги электронной коммерции — B2C (Business-to-Customer), B2B (Business-to-Business); IP-телефония; e-banking, системы электронных платежей. Системы электронной коммерции являются составной частью ERP-информационных корпоративных систем. Для реализации электронных сервисов арендуются приложения или используются соответствующие средства разработки.
    Обеспечение безопасности информации в автоматизированных информационных системах.

В доктрине Информационной безопасности, утвержденной Президентом РФ в сентябре 2000 года, отмечается: «Воздействию угроз информационной безопасности РФ в сфере экономики наиболее подвержены:

  • системы бухгалтерского учета предприятий независимо от формы собственности;
  • системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации …».
    По данным МВД компьютерная преступность в РФ стала в последнее время одним из наиболее динамичных видов преступлений. Причина кроется в огромной ценности циркулирующей в информационных системах конфиденциальной информации. Для преступных сообществ большой интерес представляет информация правоохранительных органов и финансовых структур, для недобросовестных предпринимателей важны данные информационных систем налоговых органов и т.д.
    Официальная история компьютерных преступлений начинается в 1973 году, когда кассир одного из нью-йоркского банков с помощью компьютеров присвоил 2 миллиона долларов.
    За последние три года в РФ общее количество преступлений в сфере высоких технологий возросло более чем в 63 раза; в 30 раз возросло количество преступлений, связанных с несанкционированным доступом к компьютерной информации; в 137 раз — с создание и использованием вредоносных программ для ЭВМ.
    Желанной целью для информационных атак стала компьютерная сеть Газпрома (официально зарегистрировано 852 случая электронных атак). В 2000 году в Твери при помощи компьютеров мошенникам удалось похитить 5 млн. акций РАО «Газпром». Используя недостатки средств защиты информации межбанковской платежной системы «Золотая Корона» Сибирского региона, в 1998 году злоумышленники успешно провели информационную атаку, нанеся значительный финансовый урон.
    По статистике Symantec Antivirus Research Center процент содержания вирусов в файлах, отправленных из России, примерно в 10 раз выше, чем в среднем по Европе, а уровень защищенности информационных систем — один из самых низких в мире.
    Огромные проблемы в области информационной безопасности существуют в США и других странах с развитой информационной инфраструктурой. Потенциальная уязвимость информационной инфраструктуры привела к появлению информационного оружия, которое используется в том числе и в политических целях.
    4 мая 2000 года началась эпидемия вируса ILOVEYOU, распространявшегося в виде файла-приложения к электронным письмам. Пострадало более 45 миллионов компьютеров по всему миру, включая компьютеры Пентагона и парламента Великобритании.
    В августе 2000 года была подвергнута взлому компьютерная система разведки Канады. Хакеры получили доступ к сверхсекретным документам, поставив под угрозу национальную безопасность страны.
    В сентябре 2000 года был взломан хакерами сайт компании Western Union, злоумышленники сняли копии 15700 кредитных карт клиентов.
    В октябре 2000 года была взломана сеть компании MicroSoft.
    В январе 2001 года сотрудник охраны взломал компьютерную сеть управления АЭС в городе Бредвелле (Великобритания).
    В мае 2001 года в результате информационной атаки нарушена работа системы энергоснабжения в Калифорнии, 400000 потребителей были отключены от электроснабжения.
    Событиям 11 сентября 2001 года в США предшествовала информационная атака на сети разведывательных ведомств, что позволило террористам свободно использовать для организации взаимодействия открытые средства связи (электронную почту и т.п.).
    В ноябре 2002 года предприняты атаки на компьютеры, управляющие основными потоками Интернет — трафика. По заявлениям официальных лиц, в результате хакерской атаки пострадали 9 из 13 главных компьютеров в Сети.
    Хакеру «всех времен и народов» Маккиннону (Великобритания) удалось взломать 92 компьютерные сети, принадлежащие военным и НАСА, в 14 штатах, а также 6 сетей частных компаний и организаций. В США действия Маккинона называют самым крупным взломом военных компьютеров за всю историю. Известно, что в течение года он украл пароли, стер файлы и отключил компьютерные сети на военных базах от Перл-Харбора до Коннектикута. Двум из приписываемых Маккиннону компьютерных взломов подвергся Пентагон.
    Многочисленные обвинения раздаются в отношении происламски настроенных хакеров, которые, якобы, постоянно совершают вылазки на «веб-территории» развитых стран. Как показывают данные за октябрь 2002 года, количество атак перевалило отметку в 16559, и это по-настоящему стало рекордом, т.к., начиная с 1995 года, таких показателей активности по взломам и другим инцидентам еще не было.
    Самый знаменитый российский хакер — Владимир Левин (Санкт-Петербург), обвиненный в незаконном переводе 10 миллионов долларов со счетов Сити-банка (Лондон), предпринял более 100 попыток незаконного проникновения в банковс¬кие системы, оформил 40 подложных платежных поручений на сумму более 100 миллионов долларов.
    В целом, по данным исследовательского органа конгресса США число атак на информационные системы удваивается каждый год. По данным ФБР в течение двух последних лет 78 % опрошенных компаний отметили наличие финансовых потерь, связанных с недостаточной информационной безопасностью, причем только 37 % смогли определить величину потерь. Бухгалтерия выявляет компь¬ютерных воров только в каждом третьем случае, причем в большинс¬тве случаев — чисто случайно.
    По данным Международного института по компьютерной безопасности (ICSA) среднестатистическая вирусная атака на сервер обходится компании в 8355 долларов. Среди пострадавших операционных систем — все разновидности Unix, Windows, MacOs. Общий ущерб от компьютерных вирусов в 2000 году составил 17,1 млрд долларов (по данным от 500 крупнейших корпораций мира), причем только ущерб от вируса LoveLetter исчисляется в 10 млрд. Отметим, что по размеру причиненного финансового ущерба вирусы занимают только второе место (12%), 1 место принадлежит компьютерной преступности.
    Причины, затрудняющие обеспечение надежности и безопасности ИС:
  1. развитие глобальных сетей, расширяющее число пользователей, имеющих потенциальную возможность для информационной атаки;
  2. появление новых сетевых служб и сервисов, приводящее к появлению новых угроз;
  3. повышение производительности компьютеров, позволяющее методом грубой силы преодолевать криптографические барьеры;
  4. снижение сроков и качества разработки ПО, приводящие к дефектам защиты (следствие высокой конкуренции);
  5. снижение доли ассигнований на безопасность вследствие навязанной необходимости наращивания аппаратного и программного обеспечения;
  6. отсутствие комплексного подхода в решении проблемы безопасности ИС.
    Только комплексный подход к решению проблемы информационной безопасности способен эффективно противостоять возрастающему числу и сложности угроз.
    Основные направления обеспечения безопасности информации в компьютерных системах.
    Информационная система считается надежной и безопасной, если выполняются следующие требования:
  7. Технические средства ИС (включая кабельные системы и магистральные сети) обеспечивают высокий коэффициент готовности (доля времени, в течение которой ИС позволяет решать функциональные задачи). Надежность технических средств может быть повышена путем введения избыточности (резервирования) основных элементов ИС (например, несколько серверов).
  8. Технические и программные средства ИС обеспечивают сохранность, целостность и непротиворечивость данных (все базы данных, в т.ч. и расположенные на разных серверах, защищены и согласованы между собой).
  9. Технические и программные средства ИС обеспечивают безопасность данных (защиту данных от несанкционированного доступа).
  10. Отказ отдельных элементов информационной системы не приводит к полному прекращению функционирования (отказоустойчивость).
    Надежность и безопасность информационной системы являются важнейшими условиями обеспечения информационной безопасности.
    Жизненный цикл работ по обеспечению информационной безопасности:
     анализ информационных угроз;
     разработка политики безопасности;
     реализация организационных, технических и программно-аппаратных мероприятий;
     анализ остаточных информационных угроз.
    Политика безопасности реализуется для обеспечения надежности и безопасности корпоративной ИС; в ней отражены мероприятия по созданию и совершенствованию защищенной информационной инфраструктуры организации (предприятия).
    Политика безопасности содержит:
  • перечень и категории используемых информационных ресурсов;
  • категории пользователей ИС (администратор, пользователь, мобильный пользователь и т.п.);
  • определение информационного пространства предприятия; разделение его на зоны в соответствие с информационным содержанием (Internet, Intranet) и определение точек входа;
  • перечень правовых, экономических, организационных, технических и программно-аппаратных мероприятий в соответствие с категориями информационных ресурсов, пользователей и зонами информационного пространства.
    Правовые методы базируются на признании права собственности на информацию и введении санкций за ее неправомерное использование. Экономические методы призваны повысить заинтересованность персонала в обеспечении информационной безопасности (надбавки, страхование информационных рисков и т.п.). Правовые и экономические методы используются как в Intranet, так и в Internet зонах.
    В зоне Intranet (внутрикорпоративная безопасность) к средствам обеспечения информационной безопасности корпоративных ИС относятся:
  1. средства защиты персональных компьютеров и серверов от вирусов;
  2. средства разграничения доступа к информационным ресурсам и защиты локальных сетей от несанкционированного доступа;
  3. средства защиты от непреднамеренного повреждения информации;
  4. средства обеспечения надежного хранения информации.
    Средства защиты от компьютерных вирусов (например, программные средства AVP или DrWeb) изучались в курсе учебной дисциплины «Информатика». Отметим, что для обеспечения полномасштабной структуры компьютерной безопасности для систем корпоративного масштаба используются иные продукты, например, Kaspersky Corporate Suite. Главное преимущество данного пакета — создание независимой от платформенного обеспечения, централизованно управляемой структуры защиты от вирусов и хакерских атак для корпоративных сетей любой топологической сложности, с возможным подключением удаленных участков сети, расположенных в любой точке земного шара.
    Разграничение доступа в компьютерных сетях реализуется на уровне ресурсов (обеспечивает возможность установки пароля для каждого из совместно используемых ресурсов) или на уровне пользователей (обеспечивает возможность указания пользователей и групп, имеющих доступ к каждому общему ресурсу) администратором сети средствами сетевой операционной системы и прикладного программного обеспечения (как правило, его серверной части). Для каждого пользователя на сервере (первичном PDC или вторичном BDC контроллере домена) создается учетная запись (login) и определяются его права. В соответствие с правами разрешается доступ к информационным ресурсам компьютерной сети (рис.1 и 2 + видеофрагменты на слайде). Права доступа устанавливаются администратором сети на основании анализа требований к сохраннос¬ти конфиденциальных данных. Разграничение доступа на уровне пользователей обеспечивает более высокий уровень управления доступом к ресурсам и более строгий режим бе¬зопасности, чем защита паролем на уровне ресурсов. Для упрощения организации защиты, как правило, права предоставляются группам пользователей.
    При разграничении доступа в большинстве случаев используются системы, основанные на паролях и PIN-кодах; также для идентификации пользователя могут использоваться биометрические системы (идентификация по отпечаткам пальцев, по радужной оболочке глаз, на основе распознавания речи) или интеллектуальные смарт- карты, использующие сложные криптографические алгоритмы.
    Разграничение доступа обеспечивает защиту информации от умышленного повреждения. Для защиты информации от непреднамеренного повреждения необходимо допускать к работе только подготовленных пользователей (обученный пользователь не допустит непреднаме¬ренного уничтожения или искажения данных).
    Надежное хранение информации в корпоративной информационной системе обеспечивается следующими способами:
  • физи¬ческая защита оборудования (особенно серверов). В компьютер¬ных системах серверы должны быть физичес¬ки защищены от случайного или преднамеренного вмешательства. Простейшее решение данной проблемы — разместить сервер в отдель¬ном помещении или в монтажном шкафу;
  • резервирование основных элементов ИС (например, несколько серверов — PDC, BDC);
  • защита данных от потерь при отказах и других непредвиденных событиях;
  • защита данных от электронного подслушивания.
    Основными методами, предупреждающими потерю данных при отка-зах компонентов ПК или источников питания, других непредвиденных событиях (природные явления и т.п.) являются:
  • резервное копирование данных;
  • использование источников бесперебойного питания;
  • использование отказоустойчивых компьютерных систем.
    Периодическое резервное копирование данных — наиболее прос¬той и недорогой способ предупредить катастрофическую потерю дан¬ных. Надежная стратегия резервирования (выбор оборудования, методов и периодичности резервирования данных) сводит к минимуму риск потери данных.
    Источник бесперебойного питания (UPS) — это автоматический внешний источник энергии, поддерживающий работоспособность серве¬ра и других элементов сети при сбоях в электрической сети. Стан¬дартная система бесперебойного питания обеспечивает выполнение двух основных функций:
  • питание сервера в течение некоторого времени;
  • управление безопасным завершением работы системы.
    Источником энергии обычно служат аккумуляторы. При нарушении питания UPS извещает пользователей о сбое и позволяет корректно завершить работу в компьютерной сети.
    Отказоустойчивые компьютерные системы обеспечивают безопас¬ность данных, дублируя и размещая их на различных носителях (дис¬ках). Подобная избыточность данных позволяет осуществлять доступ к ним даже в случае выхода из строя части системы. Типы отказоус¬тойчивых систем классифицируются как избыточные массивы недорогих дисков (RAID) различных уровней (от 0 до 5).
    Основные методы защиты данных в отказоустойчивых системах:
  • чередование дисков;
  • зеркализация дисков;
  • замена секторов.
    При чередовании дисков данные делятся на блоки по 64 kB и равномерно распределяются по всем дискам массива RAID (все сво¬бодное пространство всех дисков выступает как один логический диск, за счет чего улучшается использование дискового пространс¬тва; использование нескольких контроллеров HDD повышает произво¬дительность системы).
    Зеркализация дисков — дублирование раздела и запись его ко¬пии на другом физическом диске (винчестере), используется как форма непрерывного резервного копирования данных.
    В современных сетевых операционных системах (например, WIN-DOWS NT) обеспечивается возможность автоматической замены секто¬ров во время работы. Если при выполнении операции чтения/записи обнаружен дефектный сектор, операционная система пытается пере¬нести данные на хороший сектор, помечая плохой сектор. За¬мена секторов возможна только для SCSI-устройств (винчестеров). Реализация отказоустойчивых систем осуществляется средствами сетевой операционной системы (Novell, Windows NT и т.п.).
    Электронное подслушивание возможно путем перехвата электро-магнитных излучений (монитора, процессора, принтера, кабеля и т.п.). Для исключения утечки важной информации необходимо исполь¬зовать мониторы на жидких кристаллах, струйные принтеры; экрани¬ровать кабель или использовать оптоволоконный кабель и т.п.
    К дополнительным методам защиты информации в Intranet можно отнести:
  • аудит (запись определенных событий в журнал безопасности сервера);
  • использование корпоративных терминалов;
  • использование криптографических методов и технологий кодирования на файловом уровне для обеспечения конфиденциальности данных.
    Процесс аудита помогает отслеживать действия пользователей в сети, фиксируя такие действия, как попытки входа в сеть, измене¬ние паролей, подключение к ресурсам и т.п. Например, повторяющие¬ся неудачные попытки входа в сеть могут указывать на попытку дос¬тупа несанкционированного пользователя.
    Корпоративные терминалы — это системы класса «тонкий клиент», обеспечивающие многоплатформенный доступ к прикладным приложениям в информационной системе. На терминале не устанавливается операционная система и клиентское программное обеспечение, вся вычислительная нагрузка и администрирование сосредоточены на сервере. Терминал используется только для отображения и ввода информации. Доступ с терминала разрешается при наличие у пользователя специальной смарт — карты.
    При решении вопросов надежности и информационной безопасности корпоративных ИС не следует забывать о человеческом и организационном факторах. Самые изощренные аппаратно-программные решения не помогут, если:
     сотрудники игнорируют меры безопасности (например, передают пароли или оставляют подключенными рабочие станции);
     сотрудники копируют конфиденциальную информацию и передают ее за пределы организации;
     любой желающий может проникнуть к серверу и демонтировать жесткие диски;
     отсутствует квалифицированный сетевой администратор.
    Выводы: обеспечение надежности и безопасности корпоративных ИС является обязательным условием их эффективного использования. Средства и методы обеспечения информационной безопасности корпоративных ИС в зоне Intranet (внутрикорпоративная безопасность) могут использоваться и в зоне Internet.
    Защита информации в Internet.
    Особенностью развития информационных технологий, используемых для организации систем управления предприятиями, информационно-аналитического взаимодействия, платеж но — финансовых операций (т.е. комплексной информатизации бизнес- процессов), является распределенный характер информационных систем и использование инфраструктуры Интернет в бизнес- процессах. При помощи Интернет осуществляются электронные платежи, функционируют системы электронной коммерции, осуществляется взаимодействие с удаленными клиентами и филиалами. Все это приводит к снижению уровня защищенности ИС, их надежности и информационной безопасности.
    В зоне Internet к средствам обеспечения информационной безопасности корпоративных ИС относятся средства защиты внешнего периметра:
  1. средства защиты от внешних информационных угроз и управления доступом с использованием технологии межсетевых экранов и фильтрации;
  2. средства обеспечения конфиденциальности, целостности и подлинности информации, передаваемой по открытым каналам связи с использованием технологий виртуальных частных сетей (VPN), электронной цифровой подписи и криптографических методов;
  3. аудит информационной безопасности и средства активного исследования защищенности информационных систем.
    При подключении корпоративной сети к Интернет рекомендуется обеспечить единственность точки входа и защитить сеть от несанкционированного доступа с использованием межсетевых экранов и фильтрации данных.
    Использование средств защиты на основе брандмауэра (рис.3) обеспечивают максимальная степень безопасности, и позволяет реализовать следующие возможности:
     фильтрация потоков данных (семантическая, на основе адресов отправителя и получателя, на уровне сетевых служб и сервисов);
     обнаружение попыток нарушения правил фильтрации;
     запрет доступа без аутентификации субъекта;
     обнаружение информационных атак (в т.ч. типа «отказ от обслуживания», при которых большое количество ложных запросов блокирует работу легальных пользователей); обеспечение безопасности маршрута (авторизация маршрута, создание туннеля для маршрута, криптозащита).
    Брандмауэры могут иметь аппаратно-программное (например, межсетевой экран Cisco Firewall 525) или программное (например, на основе технологии модулей-посредников proxy — рис.4) исполнение.
    Для дополнительной защиты серверов в корпоративной ИС устанавливаются дополнительные межсетевые экраны между серверами и Интернет (рис.3, 6).
    Отметим, что поскольку через брандмауэр осуществляется весь информационный обмен ИС, то по мере возрастания нагрузки его производительность может оказаться недостаточной для решения функциональных задач корпоративной ИС.
    В качестве сетевого брандмауэра может использоваться ISA Server 2000 (сервер удаленного доступа), осуществляющий фильтрацию данных, как на уровне приложений, так и на уровне отдельных IP-пакетов. В частности, с его помощью можно управлять доступом пользователей корпоративных сетей к Web-ресурсам и предотвращать несанкционированное использование Интернета сотрудниками фирмы, а также защитить внутрикорпоративную сеть и Web-узлы от несанкционированного доступа, гарантируя пропуск только того трафика, который удовлетворяет правилам, определенным администратором. Основными особенностями ISA Server 2000 как брандмауэра являются средства проверки состояния соединений, усиления защиты системы, интеллектуальных фильтров приложений, а также средства создания виртуальных частных сетей (Virtual Private Networking, VPN — рис.5).
    Если для создания подключения к частной сети (private) используется общедоступная сеть, то совокупность таких подключений называется виртуальной частной сетью (VPN). При использовании VPN подключение через Интернет является шифрованным и безопасным, поскольку сервер удаленного доступа использует протоколы аутентификации и шифрования. Клиенты VPN перехватывают сетевой трафик и путем криптографических преобразований каждого IP-пакета делают его недоступным для компьютеров, не входящих в VPN (туннель).
    В результате конфиденциальные данные надежно защищены от пользователей Интернет, но доступны для пользователей VPN.
    Для защиты от несанкционированной модификации данных и установления авторства подписанных электронных документов используется электронная цифровая подпись.
    Электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе (федеральный закон от 10 января 2002 г. N 1-ФЗ «Об электронной цифровой подписи»). Проблема правового обеспечения деятельности в области электронного документооборота с использованием ЭЦП является достаточно сложной и требует изучения (в США ЭЦП используется более 30 лет, а закон об использовании ЭЦП подписан президентом Клинтоном только в 2000 году).
    Оригинальным решением по защите информации от несанкционированной модификации данных и установления авторства подписанных электронных документов является использование речевой подписи (оцифрованная речь — сонограмма).
    В реальных системах вышеперечисленные средства обеспечения информационной безопасности корпоративных ИС (межсетевые экраны, VPN, ЭЦП) используются в комплексе (рис.6.).
    С целью оценки текущего состояния безопасности корпоративной ИС и выдачи рекомендаций не менее одного раза в год необходимо проводить аудит информационной безопасности. В ходе проверки проверяется соответствие системы безопасности требованиям положения «По аттестации объектов информатизации по требованиям безопасности информации» Гостехкомиссии РФ, а также международных стандартов ISO 17799 и ISO 15408.
    При проверке системы информационной безопасности могут быть использованы средства активного исследования защищенности информационных систем, позволяющие обнаружить уязвимые места (открытые порты, неиспользуемые сервисы и т.п.).
    В критичных информационных технологиях (например, автоматизированная система ЦБ РФ) используются специальные методы обеспечения информационной безопасности:
     физическая изоляция корпоративной сети от Интернет (использование единой телекоммуникационной банковской сети ЕТКБС в ЦБ, информационно-телекоммуникационной системы специального назначения ИТКС «Атлас» в органах государственной власти, защищенной информационной системы ИСИНПОЛ для налоговой полиции, ИТКП ОВ ФЭО для финансово-экономической службы ВС);
     использование сертифицированных средств защиты от несанкционированного доступа и предпочтение программно-аппаратным средствам отечественной разработки (включая операционные системы — в ЦБ используется Windows NT);
    Внимание! В феврале 2000 года разведка Франции опубликовала отчет, в котором утверждается об участии сотрудников АНБ в установке секретных компонентов в продукты Microsoft. В апреле 2001 года МИД и МО Германии отказались от использования продуктов Microsoft (информация об используемых в данных программных продуктах закрытых ключах хранится в агентстве национальной безопасности АНБ) и от использования спутниковых каналов для транслирования видеоконференций в представительствах за рубежом (каналы проходят через Денвер США; госсекретарь Германии заявил, что с таким же успехом видеоконференции можно проводить непосредственно в Лэнгли). В марте 2000 года норвежские власти заявили о рассмотрении возможности замены Windows на Linux для снижения зависимости от иностранных программных продуктов.
     технологические ограничения на действия легальных пользователей (основные угрозы в автоматизированных банковских системах именно с их стороны)
    В заключение лекции сформулируем 10 правил, рекомендованных специалистами международных консалтинговых компаний по информационной безопасности:
     создание «сильных паролей»;
     периодическая смена паролей (не реже чем через 90 дней);
     периодическое обновление систем антивирусной защиты;
     использование настроек, предупреждающих об открытии макросов и прикрепленных файлов (в почтовые сообщения);
     анализ информационных атак и выявление их новых видов;
     обновление системного программного обеспечения (операционных систем) и программного обеспечения для работы в Internet (IIS, Internet Explorer, Web-сервер);
     запрет неиспользуемых сетевых служб и сервисов;
     ограничения на удаленный доступ к серверам и коммуникационному оборудованию;
     контроль за увольняющимися сотрудниками;
     внедрение комплексных решений в сфере безопасности.
    Выводы: информационная безопасность достигается за счет комплексного применения технологических, организационных, криптографических, программно-технических методов и средств защиты информации на всех этапах функционирования информационных систем.

Заключение

  1. Выводы по лекции: возрастающее число и сложность информационных угроз требуют использования комплексного подхода к решению проблемы информационной безопасности. Комплексный подход реализуется в ходе разработки и реализации политики безопасности.
    Политика безопасности содержит: перечень и категории используемых информационных ресурсов; категории пользователей ИС (администратор, пользователь, мобильный пользователь и т.п.); определение информационного пространства предприятия; разделение его на зоны в соответствие с информационным содержанием (Internet, Intranet) и определение точек входа; перечень правовых, экономических, организационных, технических и программно-аппаратных мероприятий в соответствие с категориями информационных ресурсов, пользователей и зонами информационного пространства. Правовые методы базируются на признании права собственности на информацию и введении санкций за ее неправомерное использование. Экономические методы призваны повысить заинтересованность персонала в обеспечении информационной безопасности (надбавки, страхование информационных рисков и т.п.).
    К средствам обеспечения внутрикорпоративной безопасности (зона Intranet) относятся:
     средства защиты персональных компьютеров и серверов от вирусов;
     средства разграничения доступа к информационным ресурсам и защиты локальных сетей от несанкционированного доступа;
     средства защиты от непреднамеренного повреждения информации;
     средства обеспечения надежного хранения информации.
    К средствам защиты внешнего периметра (зона Internet) относятся:
     средства защиты от внешних информационных угроз и управления доступом с использованием технологии межсетевых экранов и фильтрации;
     средства обеспечения конфиденциальности, целостности и подлинности информации, передаваемой по открытым каналам связи с использованием технологий виртуальных частных сетей (VPN), электронной цифровой подписи и криптографических методов;
     аудит информационной безопасности и средства активного исследования защищенности информационных систем.

Список литературы

  1. Экономическая информатика /Под ред. П.В.Конюховского и Д.Н.Колесова. — СПб: Питер, 2001. — 560 с.
  2. Информатика для юристов и экономистов / Симонович С.В. и др. — СПб.: Питер, 2002. -688с.
  3. Информатика: Учебник. — 3-е перераб. изд./ Под ред. проф. Н.В. Макаровой. — М.: Финансы и статистика, 1999. — 768 с.
  4. Компьютерные системы и сети: Учебное пособие/ В.П.Косарев и др. / Под ред. В.П.Косарева и Л.В.Еремина. — М.: Финансы и статистика, 1999. — 464 с.
  5. Автоматизированные информационные технологии в экономике: Учебник/ М.И.Семенов, И.Т.Трубилин. — М.: Финансы и статисти¬ка, 2000. — 416 с.
  6. Информационные системы / Петров В.Н. -СПб.: Питер, 2002. 688с.
  7. Все об Internet: Пер. с англ. — К.: Торгово-издательское бюро BHV, 1995. — 592 с.
Оцените статью
Поделиться с друзьями
BazaDiplomov