Сетевая безопасность в большой распределенной сети предприятия.
Сеть большого распределенного предприятия по принципу реализации подобна к среднему и отличается большим распределением функций между устройствами, высшим требованием к отказоустойчивости, наличием выделенной WAN сети для передачи данных между филиалами. Модуль подключения к WAN в целях безопасности реализуется отдельно от модуля подключения к Интернету.
Для построения такой сети используется оборудование тех же производителей, которые были перечислены для среднего предприятия.
Таким образом, во многих организациях управление обновлениями представляет собой большую проблему. Отслеживание обновлений для снижения уровня уязвимости систем, а также тестирование этих обновлений перед установкой на функционирующие системы занимает очень много времени, но эти задачи очень важны для любой организации.
Заключение
На сегодняшний день компьютеризация на рабочих местах не является чем-то необычным. Наличие компьютеров в офисе с большим потоком информации и объем работы с документами замедляет работу сотрудников, создает неудобства.
Успех практически любого предприятия, организации связан или зависит от наличия и настройки информационных систем, которые сейчас часто называют корпоративными сетями.
Съемные носители данных больше не нужны для обмена данными, нет необходимости печатать на бумажных документах, которые необходимо предоставить нескольким пользователям.
Сетевой принтер, модем, сканер можно установить в сети, а сетевой сервер используется в качестве сервера приложений.
Кроме того, такие сети являются закрытыми сетями, доступ к ним разрешен только определенному числу пользователей, что вызывает защиту информации.
Все эти функции не могут быть реализованы с использованием только операционных систем и прикладных программ. Поэтому большинство современных предприятий используют ЛВС.
Сеть передачи данных, открытые широкие возможности для бизнеса. Трудно представить современную организацию, которая не использует ее системы, электронную почту, телефонию для организации своей деятельности.
Локальные и глобальные сети часто являются основой, без которой невозможно работать с внутренними и внешними услугами, деятельностью отдельных сотрудников, отделов или даже всей компании в целом.
Поэтому обеспечение бесперебойной работы сети является одной из важнейших задач этого сервиса.
Использование систем мониторинга сетевой инфраструктуры значительно улучшит доступность сети, предотвратит возникновение аварий и сократит время, необходимое для восстановления после сбоев.
Выбор конкретной реализации зависит от конфигурации сети, которая будет использовать систему мониторинга, функциональные требования системы, возможности развертывания и возможности поддержки.
Контрольные вопросы:
Опишите структуру сетевой файловой системы
ФС в общем случае включает следующие элементы: локальная файловая система; интерфейс локальной файловой системы; сервер сетевой файловой системы; клиент сетевой файловой системы; интерфейс сетевой файловой системы; протокол клиентсервер сетевой файловой системы.
Дайте характеристику использования симметричных алгоритмы шифрования в сетевой ФС
В симметричных схемах шифрования (классическая криптография) секретный ключ зашифровки совпадает с секретным ключом расшифровки.
Дайте характеристику средств аутентификации в сетевой ФС
В процедуре аутентификации участвуют две стороны: одна сторона доказывает свою аутентичность, предъявляя некоторые доказательства, а другая сторона – аутентификатор – проверяет эти доказательства и принимает решение. В качестве доказательства аутентичности используются самые разнообразные приемы: аутентифицируемый может продемонстрировать знание некоего общего для обеих сторон секрета: слова (пароля) или факта (даты и места события , прозвища человека и т. п.); аутентифицируемый может продемонстрировать, что он владеет неким уникальным предметом (физическим ключом), в качестве которого может выступать, например, электронная магнитная карта; аутентифицируемый может доказать свою идентичность, используя собственные биохарактеристики: рисунок радужной оболочки глаза или отпечатки пальцев, которые предварительно были занесены в базу данных аутентификатора .
Дайте характеристику средств авторизации доступа
Средства авторизации (authorization) контролируют доступ легальных пользователей к ресурсам системы, предоставляя каждому из них именно те права, которые ему были определены администратором. Кроме предоставления прав доступа пользователям к каталогам, файлам и принтерам система авторизации может контролировать возможность выполнения пользователями различных системных функций, таких как локальный доступ к серверу, установка системного времени, создание резервных копий данных, выключение сервера и т. п.
Дайте характеристику средств аудита
Аудит (auditing) – фиксация в системном журнале событий, связанных с доступом к защищаемым системным ресурсам. Подсистема аудита современных ОС позволяет дифференцирование задавать перечень интересующих администратора событий с помощью удобного графического интерфейса. Средства учета и наблюдения обеспечивают возможность обнаружить и зафиксировать важные события, связанные с безопасностью, или любые попытки создать, получить доступ или удалить системные ресурсы. Аудит используется для того, чтобы засекать даже неудачные попытки «взлома» системы.
Опишите способы построения защищенного канала связи
В первом случае защищенный канал образуется программными средствами, установленными на двух удаленных компьютерах, принадлежащих двум разным локальным сетям одного предприятия и связанных между собой через публичную сеть. Преимуществом этого подхода является полная защищенность канала вдоль всего пути следования, а также возможность использования любых протоколов создания защищенных каналов, лишь бы на конечных точках канала поддерживался один и тот же протокол. Недостатки заключаются в избыточности и децентрализованности решения. Избыточность состоит в том, что вряд ли стоит создавать защищенный канал на всем пути прохождения данных: уязвимыми для злоумышленников обычно являются сети с коммутацией пакетов, а не каналы телефонной сети или выделенные каналы, через которые локальные сети подключены к территориальной сети. Поэтому защиту каналов доступа к публичной сети можно считать избыточной. Децентрализация заключается в том, что для каждого компьютера, которому требуется предоставить услуги защищенного канала, необходимо отдельно устанавливать, конфигурировать и администрировать программные средства защиты данных. Подключение каждого нового компьютера к защищенному каналу требует выполнения этих трудоемких работ заново.
Во втором случае клиенты и серверы не участвуют в создании защищенного канала – он прокладывается только внутри публичной сети с коммутацией пакетов, например внутри Интернета. Канал может быть проложен, например, между сервером удаленного доступа поставщика услуг публичной сети и пограничным маршрутизатором корпоративной сети. Это хорошо масштабируемое решение, управляемое централизованно как администратором корпоративной сети, так и администратором сети поставщика услуг. Для компьютеров корпоративной сети канал прозрачен – программное обеспечение этих конечных узлов остается без изменений. Такой гибкий подход позволяет легко образовывать новые каналы защищенного взаимодействия между компьютерами независимо от их места расположения. Реализация этого подхода сложнее — нужен стандартный протокол образования защищенного канала, требуется установка у всех поставщиков услуг программного обеспечения, поддерживающего такой протокол, необходима поддержка протокола производителями пограничного коммуникационного оборудования. Однако вариант, когда все заботы по поддержанию защищенного канала берет на себя поставщик услуг публичной сети, оставляет сомнения в надежности защиты: во-первых, незащищенными оказываются каналы доступа к публичной сети, во-вторых, потребитель услуг чувствует себя в полной зависимости от надежности поставщика услуг. И тем не менее, специалисты прогнозируют, что именно вторая схема в ближайшем будущем станет основной в построении защищенных каналов.