- •Экзаменационные вопросы по курсу «Безопасность информационных систем»
- •Функционально-структурная организация информационных систем на архитектуре «клиент-сервер»
- •Функционально-структурная организация информационных систем на web-архитектуре
- •Структура построения политика информационной безопасности объекта защиты.
- •Описание объекта защиты. Определение основных приоритетов информационной безопасности.
- •Анализ рисков. Формирование перечня критичных ресурсов.
- •Определение основных приоритетов информационной безопасности в инфокоммуникационной системе
- •Модель нарушителя в инфокоммуникационной системе в закрытом контуре лвс
- •Модель нарушителя в инфокоммуникационной системе в открытом контуре лвс
- •Значимые угрозы в инфокоммуникационной системе в закрытом контуре лвс
- •Значимые угрозы в инфокоммуникационной системе в открытом контуре лвс
- •Общие требования построения защищенной инфокоммуникационной системе
- •3.1. Общие требования к подсистемам «закрытого» и «открытого» контуров ис
- •3.1.1. Общие требования к подсистеме резервирования и восстановления информации
- •3.1.4. Подсистема антивирусного контроля
- •Общие требования к подсистеме обеспечения безопасности сетевого взаимодействия
- •Требования к подсистеме аутентификации и управления доступом
- •Требования к подсистеме криптографической защиты информации
- •Требования к подсистеме антивирусной защиты
- •Требования к подсистеме резервирования и восстановления информации
- •Требования к подсистеме контроля эталонного состояния информации и рабочей среды
- •Требования к подсистеме управления безопасностью
- •Требования к средствам построения защищенных виртуальных сетей (vpn)
- •Технические решения по защите от нсд межсетевого взаимодействия и передаваемой информации
- •Протокол формирования защищенного туннеля на канальном уровне pptp (Point-to-PointTunnelingProtocol),
- •Протокол формирования защищенного туннеля на канальном уровне l2f (Layer-2 Forwarding)
- •Протокол формирования защищенного туннеля на канальном уровне l2tp (Layer-2 TunnelingProtocol)
- •Общее описание стека протоколов защиты межсетевого уровня iPsec (InternetProtocolSecurity).
- •Протокол обмена ключевой информацией ike (InternetKeyExchange)
- •Протокол аутентифицирующего заголовка (AuthenticationHeader, ан);
- •Протокол инкапсулирующей защиты содержимого (EncapsulatingSecurityPayload, esp).
- •Технические решения по защите от нсд компьютерных ресурсов на уровне серверов и рабочих станций лвс
- •4.1. Технические решения для защиты компьютерных ресурсов серверов и арм
- •4.1.2. Решения по ос hp-ux для обеспечения корпоративной безопасности
- •4.1.3. Организационно-технические решения для защиты субд Oracle
- •4.1.4. Организационно-технические решения для защиты сервера бд
- •4.1.5. Организационно-технические решения для защиты арм пользователей ис
- •Технические решения по реализации подсистемы аутентификации и идентификации
- •Построение системы управления информационной безопаснстью
Функционально-структурная организация информационных систем на web-архитектуре
Многие недостатки, присущие компьютерным сетям с классической архитектурой «клиент-сервер», отсутствуют в новой архитектуре компьютерных сетей, названной Intranet—архитектурой или Web—архитектурой, или архитектурой «клиент-сервер», основанной на Web—технологии. Базисом новой архитектуры является Web—технология. В соответствии с Web—технологией на сервере размещаются так называемые Web—документы, которые визуализируются и интерпретируются программой навигации, функционирующей на рабочей станции
Программу навигации называют еще Web—навигатором, или Web—браузером. Логически Web-документ представляет собой гипермедийный документ, объединяющий ссылками различные Web-страницы, каждая из которых может содержать ссылки и на другие объекты. Физически Web-документ представляет собой текстовый файл специального формата, содержащий ссылки на другие объекты и Web-документы, расположенные в любом узле сети. Web-документ реально включает только одну Web-страницу, но логически может объединять любое количество таких страниц, принадлежащих различным Web-документам. Программа навигации, выполняемая на рабочей станции, может не только визуализировать Web—страницы и выполнять переходы к другим объектам, но и активизировать программы на сервере, а также интерпретировать и запускать на выполнение программы, относящиеся к Web—документу, для исполнения на рабочей станции.
Передачу с сервера на рабочую станцию документов и других объектов по запросам, поступающим от навигатора, обеспечивает функционирующая на сервере программа, называемая Web—сервером. Web—сервер выступает в качестве информационного концентратора, который доставляет информацию из разных источников, а потом однородным образом предоставляет ее пользователю. Навигатор, снабженный универсальным и естественным интерфейсом с человеком, позволяет последнему легко просматривать информацию вне зависимости от ее формата. Можно выделить следующие отличительные черты Intranet—архитектуры:
– на сервере порождается конечная информация, предназначенная для представления пользователю программой навигации, а не полуфабрикат, как в системах с классической архитектурой «клиент-сервер»;
– все информационные ресурсы, а также прикладная система сконцентрированы на сервере;
– для обмена данными между клиентами и сервером используются протоколы открытого стандарта TCP/IP, применяемые в Интернете;
– облегчено централизованное управление не только сервером, но и компьютерами-клиентами, так как они стандартизованы с точки зрения программного обеспечения (на каждой рабочей станции достаточно наличия стандартной программы навигации);
– на рабочих станциях помимо своих программ могут выполняться программы с других компьютеров сети.
Предполагается, что перечисленные особенности, за исключением последней, способствуют решению проблемы информационно-компьютерной безопасности.
Отметим, что важным плюсом использования серверов баз данных является возможность встроить развитую систему безопасности сервера в систему безопасности информационной системы. В частности, серверы баз данных позволяют четко разграничить доступ различных пользователей к объектам БД, журналировать все действия, производимые пользователем, интегрировать систему безопасности ИС с системой безопасности компьютерной сети и т. д. Концентрация на сервере информации и прикладной системы существенно упрощает построение и администрирование системы безопасности. Использование для обмена данными между компьютерами сети протоколов открытого стандарта TCP/IP приводит к унификации всех способов взаимодействия между рабочими станциями и сервером. Не нужно решать задачу обеспечения безопасного информационного взаимодействия для множества приложений каждого компьютера. Решение по безопасности взаимодействия для одного компьютера и будет стандартным для всех. Кроме того, по отношению к протоколам открытого стандарта намного интенсивнее и шире публичное обсуждение вопросов информационной безопасности и богаче выбор защитных средств. Облегченное централизованное управление сервером и компьютерами-клиентами снижает вероятность допущения непреднамеренных ошибок пользователями, операторами и администраторами. Однако возможность выполнения на АРМ программ с сервера порождает новые угрозы безопасности информации, например, появляется угроза подмены передаваемой с сервера программы. Соответственно возможность миграции программ предъявляет дополнительные требования по поддержанию безопасности сетевого взаимодействия.
Таким образом, модель доступа к удаленным данным является оптимальным решением при построении небольших информационных систем, в которых не требуется графический интерфейс с пользователем. В случае необходимости использования графического интерфейса можно ориентироваться на модель сервера управления данными архитектуры «клиент/сервер». Модель трехзвенной архитектуры «клиент/сервер» является лучшим вариантом для создания больших информационных систем, а также в случае использования низкоскоростных каналов связи. В пределах одной информационной системы ее составные части, в принципе, могут быть построены с использованием различных архитектур. Например, часть рабочих мест пользователей, на которых происходит ввод данных в систему, может функционировать в режиме модели доступа к удаленным данным, а рабочие места, на которых происходит анализ информации с использованием графики, — в режиме модели сервера управления данными.