- •9.1.2 Основные понятия информационной безопасности
- •9.1.3 Определения основных понятий информационной безопасности
- •9.1.4. Классификация сетевых атак
- •9.1.4.1. Понятие сетевой атаки
- •9.1.4..2. Пассивная атака
- •9.1.4..3. Активная атака
- •Создание ложного потока (фальсификация)
- •Повторное использование
- •9.2. Уровни информационной безопасности
- •9.2.1. Основные уровни
- •9.2.2. Законодательный уровень информационной безопасности
- •9.2.3. Административный уровень информационной безопасности
- •9.2.4. Процедурный уровень информационной безопасности
- •9.2.5. Программно-технический уровень информационной безопасности
- •9.3. Архитектурная безопасность
- •9.3.1 Понятие архитектурной безопасности
- •9.3.2 Принципы архитектурной безопасности
- •9.4. Сервисы информационной безопасности
- •9.4.1. Идентификация и аутентификация
- •9.4.1.1.Основные понятия
- •9.4.1.2.Аутентификаторы
- •9.4.1.3.Обмент данными аутоинтефикации
- •9.4.1.4.Концепция единого входа в сеть
- •9.4.2 Управление доступом
- •9.4.2.1 Основные понятия
- •9.4.2.2 Матрица доступа
- •9.4.2.3 Списки управления доступом
- •9.4.3 Протоколирование и аудит
- •9.4.3.1 Основные понятия
- •9.4.3.1 Протоколируемая информация
- •9.4.3.1 Активный аудит
- •9.4.4. Криптография
- •9.4.4.1. Основные понятия
- •9.4.4.2. Симметричное шифрование
- •9.4.4.3. Асимметричное шифрование
- •9.4.4.3. Эффективное шифрование
- •9.4.4.4. Шифрование с составным ключом
- •9.4.5.Контроль целостности
- •9.4.5.1. Основные понятия
- •9.4.5.3. Электронная цифровая подпись
- •9.4.5.4. Цифровые сертификаты
- •9.4.6. Экранирование
- •9.4.6.1 Основные понятия
- •9.4.6.2 Экран как последовательность фильтров
- •9.4.6.3 Задачи экрана
- •9.4.7. Анализ защищенности
- •9.4.7.1 Основные понятия
- •9.4.7.2 Сетевые сканеры
- •9.4.8. Обеспечение отказоустойчивости
- •9.4.9.Обеспечение обслуживаемости
- •9.4.10 Туннелирование
- •9.4.10.1 Основные понятия
- •9.4.10.2 Виртуальные частные сети
- •9.4.11 Управление
- •9.4.11.1 Основные понятия
- •9.4.11.2 Области управления
- •Тема 10. Надежность
- •10.1. Основные понятия теории надежности
- •10.1.1. Понятие надежности
- •10.1.2. Вероятность безотказной работы
- •10.2.2. Экспоненциальное распределение
- •10.2.3. Нормальное распределение (распределение Гаусса)
- •10.3. Надежность распределенной системы
- •10.3.1 Надежность компонентной системы
- •10.3.2. Надежность распределенных программно-аппаратных систем
- •10.3.2.1 Факторы надежности распределенной системы
- •10.3.2.2 Надежность соединений и питания
- •10.3.2.3 Надежность узла.
- •10.3.2.3.1 Аппаратная часть.
- •10.3.2.3.2 Програмное обеспечение.
- •10.4.Механизм контрольных точек в распределенных системах
- •10.3.1. Модель системы и модель отказа
- •10.3.2. Консистентные состояния системы
- •10.3.3. Восстановление, основанное на контрольных точках
9.4.7.2 Сетевые сканеры
В принципе, могут выявляться бреши самой разной природы: наличие вредоносного ПО (в частности, вирусов), слабые пароли пользователей, неудачно сконфигурированные операционные системы, небезопасные сетевые сервисы, неустановленные заплаты, уязвимости в приложениях и т.д. Однако наиболее эффективными являются сетевые сканеры (очевидно, в силу доминирования семейства протоколов TCP/IP), а также антивирусные средства. Антивирусную защиту мы причисляем к средствам анализа защищенности, не считая ее отдельным сервисом безопасности.
Сканеры могут выявлять уязвимые места как путем пассивного анализа, то есть изучения конфигурационных файлов, задействованных портов и т.п., так и путем имитации действий атакующего. Некоторые найденные уязвимые места могут устраняться автоматически (например, лечение зараженных файлов), о других сообщается администратору.
Системы анализа защищенности снабжены традиционным "технологическим сахаром": автообнаружением компонентов анализируемой ИС и графическим интерфейсом (помогающим, в частности, эффективно работать с протоколом сканирования).
9.4.8. Обеспечение отказоустойчивости
РПС предоставляет своим пользователям определенный набор услуг (сервисов). Говорят, что обеспечен нужный уровень доступности этих сервисов, если следующие показатели находятся в заданных пределах:
Эффективность услуг. Эффективность услуги определяется в терминах максимального времени обслуживания запроса, количества поддерживаемых пользователей и т.п. Требуется, чтобы эффективность не опускалась ниже заранее установленного порога.
Время недоступности. Если эффективность информационной услуги не удовлетворяет наложенным ограничениям, услуга считается недоступной. Требуется, чтобы максимальная продолжительность периода недоступности и суммарное время недоступности за некоторой период (месяц, год) не превышали заранее заданных пределов.
В сущности, требуется, чтобы РПС почти всегда работала с нужной эффективностью. Для некоторых критически важных систем (например, систем управления) время недоступности должно быть нулевым, без всяких "почти".
К подавляющему большинству коммерческих систем предъявляются менее жесткие требования, однако современная деловая жизнь и здесь накладывает достаточно суровые ограничения, когда число обслуживаемых пользователей может измеряться тысячами, время ответа не должно превышать нескольких секунд, а время недоступности – нескольких часов в год.
Вопросы отказоустойчивости будут подробно рассмотрены в следующей теме.
9.4.9.Обеспечение обслуживаемости
Меры по обеспечению обслуживаемости направлены на снижение сроков диагностирования и устранения отказов и их последствий.
Для обеспечения обслуживаемости рекомендуется соблюдать следующие архитектурные принципы:
ориентация на построение РПС из унифицированных компонентов с целью упрощения замены отказавших частей;
ориентация на решения модульной структуры с возможностью автоматического обнаружения отказов, динамического переконфигурирования аппаратных и программных средств и замены отказавших компонентов в "горячем" режиме.
Динамическое переконфигурирование преследует две основные цели:
изоляция отказавших компонентов;
сохранение работоспособности сервисов.
Вопросы восстановления будут подробно рассмотрены в теме 10.