
- •27 Июня 2011 г.
- •Кафедра «Автоматизированных систем обработки информации» Северо-Западного государственного заочного технического университета
- •Введение
- •1 . Основы администрирования и управления в информационных системах
- •1.1. Цели и задачи администрирования в ис
- •1.2. Основные направления административного управления
- •1.2.1. Работа с пользователями
- •1.2.2. Управление данными
- •1.2.3. Анализ и управление производительностью
- •1.2.4. Учет системных ресурсов
- •1.2.5. Техническое обслуживание
- •1.2.6. Защита данных и информационная безопасность
- •1.2.7. Аудит ис
- •1.2.8. Функции системы административного управления
- •1.2.9. Разделение административных функций
- •1.3. Требования, предъявляемые к административной системе
- •1.4. Организационная структура административной системы
- •1.4.1. Служба прикладной области
- •1.4.2. Служба трафика
- •1.4.3. Служба качества обслуживания
- •1.4.4. Служба технического обслуживания и сопровождения
- •1.4.5. Служба развития
- •1.4.6. Сетевые службы
- •1.5. Документы и аппаратно-программные средства администратора
- •2. Схема администрирования и управления в ис
- •2.1. Основные положения администрирования и управления
- •2.2. Архитектура системы администрирования и управления
- •2.3. Подсистема регистрации, сбора, обработки и передачи информации. Информация администрирования
- •2.3.1. Подсистема управления конфигурацией
- •2.3.3. Реконфигурация сети
- •2.3.3. Контроль и изменение характеристик функционирования системы
- •3. Управление в аномальных ситуациях и восстановление ис
- •3.1. Надежность и отказоустойчивость ис
- •3.2. Задачи технического обслуживания ис
- •3.3. Аппаратно-программные средства администрирования
- •Инструментальные средства
- •3.4. Разработка и содержание стратегии восстановления
- •4. Управление качеством
- •4.1. Качество обслуживания. Основные понятия
- •Функции качества обслуживания
- •Распределение ресурсов
- •Маршрутизация
- •4.2. Требования приложений разных типов к качеству обслуживания
- •4.2.1. Возможная классификация пользователей, порождающих потоки данных
- •4.2.2. Требования приложений к качеству обслуживания
- •4.3. Служба качества обслуживания QoS
- •4.3.1. Структура службы QoS
- •4.3.2. Алгоритмы управления очередями
- •5. Администрирование структурированной кабельной системы
- •5.1. Краткие сведения о скс
- •5.2. Особенности администрирования скс
- •Заключение
- •Библиографический список
- •Оглавление
- •1 94021, Санкт-Петербург, Институтский пер., 5.
1.4.5. Служба развития
Служба развития определяет степень соответствия информационной системы тем целям, которые ставились при ее проектировании, оценивает предложения по реконфигурации. Любые изменения в конфигурации, пропускной способности или рабочей нагрузке оцениваются с точки зрения удовлетворения новым требованиям прикладной области, возможного влияния изменений на доступность, затраты и производительность существующей сети. Служба развития сети должна иметь доступ к информации службы трафика и качества обслуживания, которые позволяют обнаружить перегруженные компоненты ИС. Прогнозирование узких мест позволяет своевременно предпринять действия, предотвращающие возникновение аномальных ситуаций.
1.4.6. Сетевые службы
Сетевая служба (сервис) – это определенный вид обслуживания, предоставляемый сервером.
Сетевые службы занимаются предоставлением:
совместно используемых аппаратных ресурсов: процессорного времени, памяти, диска, принтеров;
различных сетевых услуг.
В табл. 1.6 приведен перечень основных сетевых служб, используемых в современных локальных и глобальных компьютерных сетях.
Таблица 1.6
Служба (сервис) |
Ресурсы/услуги |
Сервер |
Клиент |
Файловая |
дисковое пространство |
файловый сервер |
клиентская ОС |
Печати |
сетевой принтер |
принт-сервер (сервер печати) |
клиентская ОС |
Удаленного доступа |
сетевой доступ по модему |
удаленного доступа |
клиент удаленного доступа |
Терминальная |
вычислительные, оперативная память |
сервер приложений |
клиент терминала |
Управление базами данных |
базы данных (БД) |
сервер баз данных |
программное обеспечение БД |
Web-служба |
гипертекстовые документы |
веб-сервер |
браузер |
Почтовая |
доставка почты |
почтовый |
почтовый |
Шлюз HTTP |
доступ в сеть Интернет |
прокси-сервер |
браузер |
Сетевой безопасности |
проверка паролей, шифрование и т. д. |
сервер безопасности |
клиентская ОС |
Файловая служба. На компьютере с достаточным свободным дисковым пространством сетевая операционная система настраивается администратором таким образом, чтобы другие компьютеры (клиенты) могли использовать накопители первого для записи файлов, пересылая их по компьютерной сети. Такой компьютер-сервер называется файловым или файл-сервером. Служба широко распространена в локальных сетях. Файловый сервер можно рассматривать как логическое развитие файловой системы персональных компьютеров. Файловый сервер имеет в своем распоряжении определенный объем дискового пространства для хранения файлов, на нем имеются специальные механизмы для организации и управления доступом пользователей, быстрого восстановления данных и т.д.
Также он имеет разнообразные средства для управления доступом к информации, хранящейся на диске, обслуживания пользовательских запросов и др. Отдельные файл-серверы могут взаимодействовать друг с другом и объединяться в большие файловые системы для хранения терабайтных объемов информации.
Обычно при организации файл-серверов создаются RAID-массивы Redundant Array of Independent Disks. RAID-массивы – это наборы из отдельных дисков (обычно стандарта SCSI), на которых хранятся большие объемы информации. Обычно они располагают комплексом средств для быстрого доступа к информации, предоставляют администратору возможность быстрой замены отдельных дисков массива без потери данных, хранимых на нем, обеспечивают дублирование данных и многое другое. За счет использования RAID-массивов файл-серверы являются надежными средствами хранения корпоративных файлов, организации доступа к ним и их восстановления в случае сбоя.
Основными функциями файл-серверов являются:
Организация доступа. На дисках файл-серверов могут храниться файлы различных типов, при этом пользователи будут получать информацию в том виде, который для них наиболее удобен. Например, с помощью файл-сервера можно организовать подмену графических изображений. Вследствие этого, одни пользователи, имеющие ограниченные права доступа, будут получать изображения ухудшенного качества, а другие, располагающие расширенным набором прав доступа, получат изображения необходимого качества. При этом решаются две задачи. Во-первых, разграничивается доступ к критически важной информации, а во-вторых, уменьшается нагрузка на каналы передачи данных.
Управление правами доступа. На уровне файл-сервера разграничиваются права доступа к отдельным директориям или файлам. При этом администратор можно быть полностью уверен, что конфиденциальная информация не попадет в руки некомпетентных или неквалифицированных пользователей.
Сбор статистики. Файл-серверы имеют набор средств для отслеживания статистики использования файлов. Благодаря этому можно проследить, к каким файлам и каталогам обращаются пользователи в первую очередь. На основе этой информации можно оптимизировать размещение файлов на дисках и путем резервного копирования информации дополнительно подстраховаться от сбоев системы.
Архивирование и каталогизация. В том случае, если файловый сервер используется в качестве архива, то для него предусмотрены специальные механизмы каталогизации и поиска информации. Благодаря чему пользователь может в считанные секунды найти необходимый файл или набор данных.
Управление пользовательскими сессиями. Обрабатывая запросы, файл-серверу часто приходится пересылать файлы больших объемов (например, при хранении больших объемов графической информации в издательских системах). В этом случае на него ложиться огромная нагрузка, например, при передаче пользователю файла большого объема (допустим, размером в 700 Мб) в сети произошел сбой, что привело к разрыву соединения. После того как соединение будет восстановлено, файл-сервер должен продолжить передачу данных с того места, когда она прервалась.
Служба печати. На компьютере, к которому подключен принтер, сетевая операционная система настраивается администратором таким образом, чтобы пользователи других компьютеров (клиенты) также могли бы распечатывать свои документы. Эффективность использования дорогостоящих устройств (принтеров) при этом увеличивается. Серверы печати используются в основном в локальных сетях.
Сервер печати – компьютер, связанный с локальными и сетевыми устройствами печати. Сервер печати получает и обрабатывает документы, поступающие с клиентских компьютеров, а также позволяет клиентам эффективно использовать сетевые принтеры.
Различают несколько конфигураций клиентов, серверов и устройств печати, которые определяются:
– удаленностью устройства печати (подключено к сети либо прямо к компьютеру);
– принадлежностью принтера – локальный или сетевой.
Можно выделить четыре базовые конфигурации.
Первая (простейшая) конфигурация (рис. 1.10) – конфигурация с локальным устройством печати и локальным компьютером.
Рис. 1.10. Конфигурация с локальным устройством печати и локальным компьютером (первая конфигурация)
Устройство печати подключено к параллельному порту компьютера, на котором выполняется приложение. На этом же компьютере находится драйвер принтера и очередь заданий на печать. Данные пересылаются на устройство печати напрямую.
Вторая конфигурация (рис. 1.11) – компьютеры сети, совместно использующие сетевое устройство печати.
Рис. 1.11. Компьютеры, совместно использующие сетевое устройство печати (вторая конфигурация)
Все компьютеры имеют равноправный доступ к устройству печати. Централизованного управления печатью и безопасностью не осуществляется. Каждый компьютер формирует свою очередь печати и не «видит» очереди печати на других компьютерах
Третья конфигурация (рис. 1.12) – сеть с выделенным сервером печати. Клиенты осуществляют совместный доступ к принтеру через сервер печати, к которому локально подсоединено устройство печати.
Рис. 1.12. Сеть с выделенным сервером печати (третья конфигурация)
Подключение принтера через принт-сервер осуществляется для того, чтобы он не был привязан к какому-либо компьютеру, а работал независимо. Подключение печатающих устройств через принт-сервер также более надежно, чем подключение их непосредственно к ПК, при этом возрастает и скорость печати. Очередь печати находится на сервере видна и доступна каждому клиенту. Вариант физического подключения нескольких компьютеров к принтерам через коммутатор и принт-сервер представлен на рис. 1.13.
Рис. 1.13. Вариант соединения
К основным функциям принт-сервера можно отнести:
Печать документов – к принт-серверу могут быть подключены один или несколько принтеров, к каждому из которых пользователи имеют доступ. При этом принт-сервер управляет печатью документов на каждом из подключенных к нему принтеров, разбирает документы по копиям и сортирует по листам.
Управление принтером – многие принт-серверы имеют встроенный интерфейс для удаленного управления ими. Используя функции данного программного интерфейса, можно управлять заданиями принтера из пользовательского приложения (такими, как пауза, остановка печати документов и др.) или применять готовые механизмы работы с документами.
Разграничение прав доступа к принтеру – в том случае, если администраторы не имеют базового набора средств для управления правами доступа к принтеру, эти функции можно переложить на принт-сервер. Это один из возможных механизмов для настройки параметров доступа отдельных пользователей к данному ресурсу.
Дополнительная обработка – часто в некоторых системах требуется производить конвертацию документов из одного формата в другой. Примером может служить конвертация PostScript-документов в формат для печати на принтере определенной модели.
Последняя четвертая конфигурация (рис. 1.15) отличается от предыдущей тем, что устройство соединено с сервером печати через сеть.
Рис. 1.15. Устройство печати соединенное с сервером печати через сеть (четвертая конфигурация)
Это обеспечивает расширяемость, поскольку один сервер печати может управлять несколькими устройствами.
Все пользователи по умолчанию имеют только право печати.
Управлять принтерами и серверами печати могут члены групп Администраторы, Операторы печати, Операторы сервера, Опытные пользователи.
Некоторые параметры принтера можно настроить на сервере печати. Настроенные параметры будут относиться ко всем принтерам, обслуживаемых данным сервером печати: какие типы документов могут печататься, какие порты и драйверы принтеров доступны, а также настройки диспетчера очереди печати.
Служба удаленного доступа. Часть компьютеров сети может находиться на расстоянии, превышающем возможности технологий локальных сетей. Служба удаленного доступа позволяет удаленным или мобильным работникам подключаться к корпоративным вычислительным сетям, например, по телефонной коммутируемой линии (коммутируемый доступ) и работать с ресурсами сети как обычно. Для связи в этом случае используется пара модемов, подключаемых к удаленным компьютерам и к телефонной линии общего пользования. Компьютер, принимающий «звонки», называется сервером удаленного доступа. При таком соединении клиент удаленного доступа устанавливает коммутируемую связь для подключения к физическому порту на сервере удаленного доступа, используя службу-посредник для передачи данных, например аналоговый телефон, ISDN или Х.25. Наиболее типичный пример коммутируемого доступа – установление соединения клиентом удаленного доступа при помощи модема, то есть путем набора телефонного номера одного из портов сервера удаленного доступа.
Удаленный доступ также обеспечивает поддержку виртуальных частных сетей (Virtual Private Network, VPN), чтобы пользователи могли устанавливать безопасное соединение с корпоративной сетью через общественные сети, например, через Интернет.
Виртуальное частное соединение (VPN-соединение). Это защищенное соединение типа «точка-точка» через сеть общего пользования (например, Интернет) или большую корпоративную сеть. Чтобы послать виртуальный запрос к виртуальному порту на VPN-сервере, VPN-клиент использует специальные протоколы на базе стека TCP/IP, которые называются протоколами туннелирования (tunneling protocols). Наиболее типичный пример организации виртуальной частной сети – установление соединения VPN-клиента с частной сетью через сервер удаленного доступа, который подключен к Интернету. Сервер удаленного доступа отвечает на виртуальный запрос, затем аутентифицирует вызывающую программу и осуществляет обмен данными между клиентом VPN и корпоративной сетью. В отличие от коммутируемого доступа, VPN-соединение не является непосредственным, «прямым» соединением между VPN-клиентом и VPN-сервером. Чтобы гарантировать безопасность, данные, передаваемые по соединению, нужно шифровать.
Служба терминалов. Вычислительные мощности компьютеров значительно отличаются. Для использования компьютерами процессорных ресурсов более быстродействующего компьютера, на последнем устанавливается сервис терминалов (терминал-сервер, сервер приложений). Клиентские компьютеры с помощью сети могут запускать задачи на сервере приложений и видеть результат их выполнения на своих мониторах. Служба используется в глобальных и локальных сетях. Данная служба предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах. Является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника и служб терминалов. Службы терминалов являются многосеансовой средой, которая разрешает доступ удаленных компьютеров к рабочему столу сервера. Службы терминалов включают в себя средства администрирования, которые можно использовать для управления серверами и подключениями. Служба терминалов обычно обеспечивает среду, которую принято называть «тонким клиентом». В этой среде, только изображение на мониторе, нажатия клавиш клавиатуры и движения мыши пересылаются между сервером и клиентом. Все процессы происходят и обрабатываются только на сервере, что значительно снижает требования к системным ресурсам на стороне клиента. Обычно служба терминалов не устанавливается по умолчанию.
Управление базами данных. Распространенной задачей, как в локальных, так и в глобальных сетях является хранение и обработка больших объемов структурированной информации – баз данных. При этом к системам управления базами данных выдвигаются требования надежного централизованного хранения данных, быстрого поиска, выборки по запросу с любой станции компьютерной сети.
При администрировании необходимо учитывать следующие особенности:
В базах данных может храниться информация различных типов. В базе данных может храниться программный код, текстовая, графическая и мультимедийная информация.
Пользовательские запросы отсылаются со стороны клиента с помощью, например, языка структурированных запросов Structured Query Language (SQL), как универсального языка, применяемого для создания, модификации и управления данными в реляционных БД. Помимо SQL в качестве промежуточного слоя для обмена данными между распределенными системами используется язык XML, который позволяет применять типичные способы разметки данных или определять свои собственные.
Если СУБД обрабатывает огромное число транзакций в секунду и является узким местом системы, то вычисление отдельных значений и полей можно перенести на клиентскую часть системы. В противном случае, большую часть логики стоит оставить на сервере БД, то есть имеется возможность распределения нагрузки между клиентом и сервером БД. Возможность встраивания виртуальной машины Java в базу данных также позволяет перенести часть вычислительных функций с клиентского компьютера на сервер.
В БД хранится информация, являющаяся критичной для того или иного бизнеса. Ее стоимость определяет возможные затраты клиентов на приобретение высоконадежного и стойкого к атакам извне решения для построения БД. Обеспечение высокого уровня безопасности хранения информации реализуется поддержкой протоколов SSL (Secure Socket Layer) и RADIUS (Remote Authentication Dial-In User Service).
Указанные особенности реализуются сервером баз данных. Серверам баз данных требуется большая мощность, так как на них ложится задача не только по организации хранения информации, но и работа с базами данных, обработка запросов пользователей, резервное копирование и прочие задачи.
Web-служба. Услуги, предоставляемые сетью Internet, оказались настолько удобны и просты в использовании, что она распространилась на весь мир и составила глобальную сеть. Более того, даже в локальных сетях, не подключенных к глобальной, стали использоваться технологии Internet. При этом локальную (корпоративную) сеть со службами Internet обычно называют Intranet.
Web-служба – это приложение, которое получает запросы от других систем через интернет или интранет, используя для этого коммуникационные технологии, независимые от платформы и поставщика.
Web-службы позволяют стандартным способом получать необходимые данные, без какого-либо специально для этого созданного программного или аппаратного обеспечения. Основой технологии Web-служб является их способность передавать данные от поставщика к потребителю, используя всего лишь повсеместно распространенный HTTP-протокол; при этом в качестве формата данных используется XML. Использование XML в качестве формата данных существенно облегчает преобразование первичных данных в формат, пригодный для просмотра пользователем.
Рассматривая Web-службу как вид интернет-приложений, обеспечивающий связь или интеграцию разнородных приложений через Интернет на основе использования единых стандартов и протоколов они позволяют создавать распределенные приложения, компоненты которых взаимодействуют между собой.
Все web-службы реализуются на следующих принципах:
– разработчик конкретной web-службы определяет формат запросов к ней и формат ответов на запросы;
– запрос к web-службе можно реализовать через Интернет;
– web-служба выполняет заданную последовательность действий и отправляет обратно результат.
Применение web-служб способно обеспечить:
– интеграцию бизнес-приложений. В этом случае web-службы обеспечат совместное использование данных и бизнес-функций. Разрозненные ранее системы смогут взаимодействовать друг с другом, предоставляя пользователям новые возможности. Например, можно с одного сервера через Интернет получать финансовую информацию (или любую другую) и преобразовывать ее при помощи приложений, установленных на другом сервере, а результаты передавать на третий сервер;
– доступ к сервисам через различные интерфейсы, включая интернет-браузеры и беспроводные устройства;
– гибкость, заключающуюся в возможности взаимодействия web-служб друг с другом через различные программно-аппаратные платформы и интерфейсы, а также административные (корпоративные, ведомственные, государственные) границы.
Можно построить приложение, реализующее требуемую бизнес-логику, используя для этого как собственные web-службы, так и службы сторонних компаний. В процессе работы с этим приложением можно заменять одни службы другими, удалять устаревшие и добавлять новые.
Веб-служба является наиболее распространенной службой Интернет/Интранет, которая реализуется веб-сервером.
Веб-сервер – это сложный и многофункциональный программный комплекс, в котором огромное значение играет его структура. Структура же определяется набором веб-страниц и вспомогательных элементов, служащих для перехода с одной страницы на другую. Она позволяет получить доступ к любой необходимой пользователю информации.
Веб-сервер решает следующие задачи:
Обработка запросов пользователей – это основная функция, для выполнения который и был создан данный класс серверов. Веб-сервер имеет развитый механизм для управления наборами виртуальных сайтов, которые, в свою очередь, могут состоять из огромного числа веб-страниц и других наборов информации в различных форматах.
Преобразование данных из одного формата в другой (например, XML в HTML или в PDF). Веб-сервер может выполнять преобразование данных из одного формата в другой в соответствии с потребностями пользователей. Например, данные, которые необходимо отобразить в сети, хранятся в базе данных в формате XML. Во время обращения к ним пользователя веб-сервер извлекает их из БД, преобразовывает в необходимый формат (например, HTML) и пересылает на клиентский компьютер.
Реализация программных интерфейсов для взаимодействия с пользовательскими приложениями. Разработчики могут создавать клиентские или серверные программные приложения. В первом случае, главным образом, задействуются ресурсы клиентского компьютера, во втором – веб-сервера. Для создания серверных приложений существует набор программных интерфейсов (таких как Netscape Server API или Internet Server API), которые могут использовать разработчики в своих приложениях.
Обработка платформенно-независимого кода (Java и С#). На веб-сервере может быть развернута виртуальная машина (VM). Обрабатывая платформенно-независимый код, VM отображает результат в браузере пользователя. Благодаря этому пользователь может работать с апплетами, встроенными в веб-страницы.
Почтовая служба. В компьютерных сетях работает служба, занимающаяся доставкой сообщений до востребования – электронных писем, по аналогии с обычной почтой. В электронных письмах обычно пересылается текстовая, графическая и реже звуковая информация. Серверы, занимающиеся приемом и отправкой почты, а также хранением почтовых ящиков (баз данных электронных писем) пользователей, называются почтовыми серверами. Почтовые службы работают в Интернете и в корпоративных сетях.
Почтовый сервер предназначен для выполнения следующих задач.
Отправка и получение электронных сообщений. Все почтовые сообщения, отсылаемые и получаемые пользователем, попадают на почтовый сервер. Согласно настройкам этого сервера, они устанавливаются в очередь сообщений для доставки получателю. Поскольку клиент последнего не может постоянно находиться подключенным к сети, то все сообщения сначала хранятся на почтовом сервере, а при подключении клиента пересылаются на локальный компьютер. Почтовый сервер имеет развитые механизмы для управления подобными очередями сообщений.
Интеллектуальная маршрутизация. Почтовый сервер может устанавливать несколько соединений с другим сервером. Резервные соединения используются для того, чтобы можно было переслать почтовое сообщение на другой почтовый сервер в случае разрыва основного соединения.
Автоматическая обработка электронных сообщений. При необходимости почтовый сервер может быть настроен таким образом, что он будет выполнять определенные действия с сообщением, удовлетворяющим заданным критериям. Например, при получении сообщения с определенного пользователем адреса сервер может сгенерировать ответное сообщение (которое проинформирует отправителя о том, что получатель в данный момент отсутствует на рабочем месте), а также переместить полученное сообщение в определенную папку на сетевом или локальном ресурсе.
Организация работы отдельных сотрудников и групп. Современные почтовые серверы имеют развитые средства для организации совместной работы отдельных сотрудников и групп за счет собственных средств планирования, управления задачами и проектами, а также интеграции с распространенными программными пакетами для управления рабочим временем сотрудников.
Аутентификация пользователей. Каждый пользователь, имеющий доступ к ящику на почтовом сервере, идентифицируется. Для этого служат распространенные механизмы доступа (логин и пароль), которые прозрачны и просты в использовании.
Обеспечение безопасности. При обмене электронными сообщениями первый вопрос, возникающий у пользователей, – это вопрос безопасности пересылки сообщений. Почтовый сервер может задействовать встроенные механизмы для шифровки сообщений с открытым ключом (по алгоритму RSA) или организовать доступ по безопасному каналу передачи данных, используя протокол SSL (Secure Socket Layer) для передачи данных.
Службы интерактивного общения (общение по сети в режиме on-line) включают в себя мультимедийные сетевые технологии (голосовую и видеосвязь) и электронную переписку (чат). Данные службы появились относительно недавно, и благодаря простоте и удобству работы уже стали популярными среди пользователей Интернет и локальных сетей.
Прокси-сервер. Дефицит IP-адресов в сети Интернет, а также необходимость защиты локальной сети от несанкционированных проникновений привели к появлению специальных шлюзов – прокси-серверов. Их основные задачи – соединение локальной сети с Интернет (или предоставление клиентам временных адресов) и предоставление доступа к службам сети Интернет, кэширование полученной информации, фильтрация трафика. Для выполнения последней задачи прокси-сервер включает в себя функции межсетевого экрана.
Функциональность прокси-сервера можно разделить на задачи, решаемые администраторами и пользователями. Для администраторов прокси-сервер реализует набор функций для настройки доступа в Интернет. Используя его, они могут ограничить или запретить доступ к тем или иным ресурсам в сети, установить политики безопасности, обеспечить простейший уровень защиты от вредоносных действий вирусов и хакеров, а также многое другое.
Что касается пользователей, то и для них прокси-сервер предоставляет дополнительные возможности. Так большое количество веб-страниц, выбираемых пользователем, кэшируется на дисках прокси-сервера, за счет чего достигается ускорение работы в Интернете. В том случае, если через прокси-сервер в Интернет выходит небольшое количество пользователей, то ускорение работы практически незаметно, однако стоит этой цифре возрасти, то скорость доступа к веб-страницам заметно возрастает. Помимо этого, прокси-сервер позволяет пользователям работать в Интернете, используя в качестве собственного IP-адреса адрес прокси-сервера. Такая подмена адресов очень удобна. В том случае, если атакуется компьютер пользователя, то вместо него будет атакован прокси-сервер, который, несомненно, имеет больше средств для защиты, чем отдельный компьютер локальной сети.
Сетевая безопасность. В локальных сетях стоит проблема разграничения доступа. Технические средства режима доступа включают в себя аутентификацию (проверку паролей), шифрование (криптографическое преобразование) информации, формирование и проверка подлинности электронных подписей и электронных ключей. Эти задачи выполняются серверами, которые можно объединить в группу серверов безопасности.
В корпоративных сетях используются брандмауэры (или firewall). Брандмауэр – это сервер промежуточного уровня, который служит для обеспечения определенного уровня безопасности сети, пользователи которой имеют доступ в Интернет. Суть работы данного программного решения состоит в фильтрации исходящих и входящих пакетов. Брандмауэр пропускает в локальную сеть только «разрешенные» пакеты и выпускает наружу также только те пакеты, которые удовлетворяют политике безопасности.
Брандмауэр позволяет следующее:
Сосредоточить настройки безопасности в одном месте – благодаря тому, что от администратора требуется настроить только один компьютер (брандмауэр), а не все компьютеры локальной сети, экономя ресурсы компании. Администратор настраивает уровень безопасности, разрешая доступ к определенным сайтам, открывая или закрывая отдельные порты и т. п.
Обеспечить высокий уровень конфиденциальности информация. Гарантия ее конфиденциальности – одна из первостепенных проблем, которая стоит перед администраторами. Конфигурируя брандмауэр, можно разрешить или запретить использование определенных портов для отсылки электронной корреспонденции, организовать работу отдельных экономических программ, применяющих в своей работе нестандартные протоколы, запретить использование «пользовательских» прокси-серверов и многое другое.
Дополнительно защитить программное обеспечение от возможных стандартных ошибок при его проектировании и разработке. Для их исправления производители ПО постоянно выпускают патчи и обновляют программы. Однако, несмотря на это, ошибки присутствуют и позволяют злоумышленникам получить доступ даже на самый защищенный компьютер. Брандмауэр закрывает доступ на такие компьютеры. Патч (patch – заплатка), отдельно поставляемое программное средство, используемое для устранения проблем в ПО или изменение его функционала. Исправление может применяться к уже установленной программе, либо к ее исходным кодам. Сюда входит исправление ошибок, изменение внешнего вида, улучшение эргономичности или функциональных возможностей программ, а также любые другие изменения, которые пожелал сделать разработчик.
Настраивать политики безопасности. Используя только один компьютер для настройки безопасности целой сети, администратор может в сжатые сроки устанавливать и изменять политики безопасности. Согласно этим политикам отдельные пользователи могут получать расширенные права для доступа к ресурсам, для других же они могут максимально ограничиваться.
Протоколировать и осуществлять сбор статистики обращений. Администраторы, могут выявлять начальные стадии хакерских атак, просматривая и анализируя собранные данные (сканирование открытых портов, получение расширенного набора прав и т. п.).
Межсетевой экран (firewall) позволяет предотвратить несанкционированный доступ к информационным системам компании из открытых сетей и Интернета, а также разграничить доступ к различным локальным сетям компании.
В первом случае он ставится на стыке локальной сети и Интернета, во втором – между различными участками внутренней сети компании.
Контроль сетевой активности необходим в различных случаях: учет корпоративного подключения к Интернету, настройка сетей и их сегментов, при оптимизации внутрисетевого трафика, для обеспечения информационной безопасности компьютерной сети организации.
В межсетевом экране может быть реализовано несколько видов защиты. К их числу относятся: фильтрация сетевых пакетов, средства идентификации и аутентификации пользователей, средства оповещения и сигнализации о выявленных нарушениях и другие.
Многие сетевые нападения проходят через уязвимые приложения, и можно существенно уменьшить площадь атаки, сократив число активных приложений в сети. Другими словами, следует отключить неиспользуемые службы, установить брандмауэр на выделенной системе для проверки законности трафика и составить исчерпывающий список управления доступом (access control list – ACL) для брандмауэра на периметре сети.
Современной тенденцией развития служб, особенно в сети Internet, является их комплексирование и создание на основе традиционных – интегрированных служб.