- •Часть 6. Эффективность и качество функционирования вычислительных систем Глава 22. Надежность, достоверность и безопасность информационных систем После изучения этой главы вы должны знать:
- •Надежность информационных систем
- •Основные показатели надежности
- •Единичные показатели надежности
- •Показатели безотказности
- •Показатели ремонтопригодности
- •Показатели долговечности
- •Комплексные показатели надежности
- •Обеспечение надежности функционирования ис
- •Виды обеспечения надежности
- •Избыточность информационных систем
- •Практическая реализация надежных информационных систем
- •Обеспечение надежности баз данных
- •Кластеризация компьютеров
- •Отказоустойчивые компьютеры
- •Достоверность информационных систем
- •Показатели достоверности информации
- •Единичные показатели достоверности информации
- •Показатели корректируемости информационных систем
- •Комплексные показатели достоверности
- •Обеспечение достоверности информации
- •Классификация методов контроля достоверности
- •Классификация методов контроля достоверности по назначению
- •Классификация методов контроля достоверности по уровню исследования информации
- •Классификация методов контроля достоверности по способу реализации
- •Классификация методов контроля достоверности по степени выявления и коррекции ошибок
- •Основные показатели качества контроля достоверности
- •Помехозащищенное кодирование информации
- •Десятичные коды с обнаружением однократных ошибок
- •Десятичные коды с автоматическим исправлением однократных ошибок
- •Безопасность информационных систем
- •Защита информации от несанкционированного доступа
- •Защита сетей на базе ms Windows nt/2000 Server
- •Брандмауэр как средство контроля межсетевого трафика
- •Криптографическое закрытие информации
- •Электронная цифровая подпись
- •Защита информации от компьютерных вирусов
- •Способы защиты от вирусов
- •Основные меры по защите компьютеров от вирусов
- •Вопросы для самопроверки
Защита сетей на базе ms Windows nt/2000 Server
Сетевые операционные системы Windows NT/2000 используют единую схему аудита, проверки подлинности и полномочий пользователя:
пользователь указывает имя своей учетной записи и пароль только один раз во время входа в систему, а затем получает доступ ко всем информационным ресурсам корпоративной сети;
администратор ограничивает доступ к данным, модифицируя списки прав доступа к ресурсам;
доступ пользователей к документам контролируется посредством аудита.
В частности, каждому пользователю в сети соответствует персональная учетная запись, параметры которой определяют его права и обязанности в домене. Учетная запись содержит такую информацию о пользователе, как его имя, пароль или ограничения на доступ к ресурсам.
Учетные записи бывают двух типов: глобальные и локальные. Локальные учетные записи определяют права пользователей на конкретном компьютере и не распространяются на весь домен. При регистрации по локальной учетной записи пользователь получает доступ только к ресурсам данного компьютера. Для доступа к ресурсам домена пользователь должен зарегистрироваться в домене, обратившись к своей глобальной учетной записи. Если сеть состоит из нескольких доменов и между ними установлены доверительные отношения, то возможна так называемая сквозная регистрация, то есть пользователь, отмечаясь один раз в своем домене, получает доступ к ресурсам доверяющего домена, в котором у него нет персональной учетной записи.
Создавать, модифицировать учетные записи и управлять ими администратор может с помощью программы User Manager for Domains. При создании новой учетной записи администратор может определить следующие параметры: пароль и правила его модификации, локальные и глобальные группы, в которые входят: пользователь, профиль пользователя, имена рабочих станций, с которых он может регистрироваться, разрешенные часы работы, срок действия учетной записи и другие.
Пароль играет одну из самых важных ролей при регистрации пользователя в сети, так как именно путем подбора пароля может происходить незаконный доступ к сетевым ресурсам. Поэтому Windows NT/2000 содержит ряд мощных механизмов, связанных с паролем пользователя. Это:
уникальность пароля и хранение истории паролей;
максимальный срок действия, после которого пароль необходимо изменить;
минимальная длина и минимальный срок хранения пароля;
блокировка учетной записи при неудачной регистрации.
Учетные записи обычно объединяются в группы, так что администратор может оперировать правами большого числа пользователей с помощью одной учетной записи. Изменение в учетной записи группы приводит к автоматическому изменению учетных записей всех пользователей, входящих в эту группу.
Полномочия (возможности) пользователя в системе определяются набором его прав. Права пользователей бывают стандартные и расширенные.
К стандартным относятся такие права, как возможность изменять системное время, выполнять резервное копирование файлов, загружать драйверы устройств, изменять системную конфигурацию, выполнять выключение сервера и т. п.
Расширенные права во многом являются специфичными для операционной системы или приложений.
Механизмы защиты Windows NT/2000 позволяют гибко ограничивать права пользователей или предоставлять их на доступ к любым ресурсам системы. Права на доступ к файлам и каталогам определяют, может ли пользователь осуществлять к ним обращение, и если да, то как. Владение файлом или каталогом позволяет пользователю изменять права на доступ к нему. Администратор может вступить во владение файлом или каталогом без согласия владельца. Предоставление прав на доступ к файлам и каталогам — основа защиты Windows NT/2000 и важнейший механизм файловой системы NTFS.
В Windows NT/2000 поддерживается заполнение трех журналов регистрации: системного журнала, который содержит информацию о компонентах ОС; журнала безопасности, куда заносится информация о входных запросах в систему и другая информация, связанная с безопасностью, и журнала приложений, регистрирующего все события, записываемые приложениями. По умолчанию аудит выключен и журнал безопасности не ведется, но он может быть подключен администратором сети.