- •Перечислите функции администратора системы. Чем занимаются службы эксплуатации и сопровождения информационной системы? Дайте определение информационной системы. Из каких компонент она состоит?
- •Дайте техническое задание компании-подрядчику на выполнение работ по установке сетевой операционной системы на файл-сервере.
- •Что такое управление ис? Приведите пример не гетерогенной ис и дайте определение открытой системы.
- •5. Установка
- •Протокол и стандарт — это идентичные понятия или нет? Перечислите стандартизирующие организации в области передачи данных. Что такое модель администрирования?
- •Дайте техническое задание компании-подрядчику на выполнение работ по установке nms
- •Что является объектом администрирования? Опишите 5 функций управления модели iso fcaps. Чему посвящены основные книги itil?
- •Дайте техническое задание компании-подрядчику на выполнение работ по установке принт-сервера
- •В каких организациях применяется модель eTom? Почему все приложения в ис используют технологию rpc?
- •Дайте техническое задание по установке почтового сервера
- •Дайте техническое задание компании-подрядчику на выполнение работ по установке сетевой системы на базе оборудования и программного обеспечения Huawei
- •Дайте техническое задание компании-подрядчику на выполнение работ по установке средств сетевой безопасности.
- •Требования к кабельной системе
- •Требования к hardware
- •3) Требования к software
- •На каком уровне протоколов osi работает мост? Каковы типы маршрутизации мостов? Требуется ли от администратора системы начальная инициализация sr-мостов?
- •Дайте техническое задание компании-подрядчику на выполнение работ по установке средств сетевой диагностики и защиты от сбоев.
- •Дайте техническое задание компании-подрядчику на выполнение работ по установке средств учета.
- •Дайте техническое задание компании-подрядчику на выполнение работ по установке средств конфигурации
- •2.3 Предусмотреть состав средств конфигурации, соответствующий модели iso fcaps:
- •3.Технические требование по установке средств конфигурации
- •В чем состоит трехуровневая модель проектирования сети? Каковы функции маршрутизатора в сети? Что такое маршрутизация и по каким алгоритмам она осуществляется?
- •Дайте техническое задание компании-подрядчику на выполнение работ по установке средств контроля производительности
- •В чём суть протокола rip? Чем протокол ospf принципиально отличается от протокола rip? Приведите пример команды конфигурирования протокола маршрутизации.
- •Дайте техническое задание компании-подрядчику на выполнение работ по установке средств удалённого доступа к вашей системе
- •Перечислите основные подготовительные этапы процесса инсталляции ос. Что нужно сделать администратору системы для инсталляции ос файл-сервера
- •Дайте техническое задание компании-подрядчику на выполнение работ по установке средств подключения к интернету
- •Дайте требования по выполнению международных и российских стандартов в вашей система.
- •Дайте требования к реакции сетевых протоколов протоколов в вашей системе
- •Зачем нужен мониторинг субд администратору системы? Какую статистику необходимо собирать абд по бд в целом? По запросам приложений? По отдельным отношениям бд?
- •Дайте требования к реализации протоколов маршрутизации в вашей системе.
- •Дайте требования к реализации канальных протоколов в вашей системе.
- •Дайте требования к реализации протоколов управления в вашей системе
- •В чем суть проблемы колебания маршрута? Какие факторы влияют на производительность сети?
- •Дайте определение процесса конфигурации. В чем суть задачи инвентаризации параметров ис? Что должна включать политика безопасности с точки зрения конфигурации? Перечислите задачи учета.
- •1. Фиксация параметров при установке любых ос и продуктов
- •2. Все параметры нужно скопировать
- •Разработайте стратегию восстановления системы (тут 2 варианта для винды и для редос)
- •1 Вариант с ос Microsoft Windows 2003/xp.
- •2 Вариант с ред ос
- •Какие события можно отнести к непреднамеренным угрозам? Перечислите виды преднамеренных угроз безопасности/ Каковы средства и мероприятия по обеспечению безопасности ис?
- •Разработайте стратегию поиска ошибок в системе
- •Дайте инструкцию по действиям администратора системы при самых распространенных ошибках ethernet
- •Какие ключевые вопросы безопасности обеспечивает протокол ipSec? Каковы мероприятия администратора системы по реализации vpn сети?
- •Дайте инструкцию по действиям администратора системы при самых распространенных ошибках тсp/iр
- •Инструкция по действиям администратора системы при ошибках ввода/вывода дисковой подсистемы файл-сервера
- •Для чего предназначен протокол snmp? Протокол rmon? Протокол NetFlow? Перечислите команды snmp
- •Дайте инструкцию по действиям администратора системы при потере производительности сервера базы данных на 20 %
- •Приведите пример состава системы администрирования ис и назначения отдельных модулей. Что такое oss система?
- •Дайте инструкцию по действиям администратора системы при потере производительности всей информационной системы на 20%
- •Зачем нужны регламентные работы? Перечислите основные регламентные работы по кабельным подсистемам.
- •Дайте инструкцию по действиям администратора системы при потере производительности подключения к Интернет на 20%
- •Что входит в ежедневные регламентные работы по активному сетевому оборудованию? Приведите пример регламентных работ по поддержке серверов.
- •Дайте инструкцию по действиям администратора системы при потере производительности удаленных пользователей на 20%
- •Дайте инструкцию по действиям администратора системы при потере производительности сетевой системы на 20%
- •Перечислите основные задачи "protection" и основные задачи "security" ис. Способы решения этих проблем в ис.
- •Дайте инструкцию по действиям администратора системы для обеспечения целостности базы данных
- •Основные задачи и проблемы администратора системы по подключению последней мили. Способы их решения.
- •Оптоволокно
- •Микроволновая передача
- •Дайте требования к прикладным программистам по работе с транзакциями субд
- •Raid уровней 4 и 5
Дайте инструкцию по действиям администратора системы при потере производительности сетевой системы на 20%
Из лекции:
Проверить технические метрики и попытаться восстановить те из них, которые отклонились от своих значений.
Если получилось восстановить технические метрики, то можно предположить, что бизнес-метрика тоже будет восстановлена.
Если бизнес-метрика не восстановилась, необходимо вернуть старые параметры, и можно считать, что метрика станет равным значению из System Redness Assistant.
Если этого не возникло, технические метрики были изначально определены неверно.
Заново определить технические метрики. (стараться, чтобы до этого момента не дошло)
Билет 31
Перечислите основные задачи "protection" и основные задачи "security" ис. Способы решения этих проблем в ис.
https://docs.google.com/document/d/16E4q_GEfeA5ZkfAAD4ouNZk7His8-RYFnReCKJbJOvg/edit#heading=h.lsp02jibahpu
Protection - защита от несанкционированного доступа (контроль доступа путем авторизации). Внутренняя задача ИС, решается средствами самой системы,делается на низком уровне ОС (библиотеки и system call).
Контроль ресурсов на основании их ограничений (авторизация, правильное использование)
Каждый процесс в своем домене (области)
Выдает привилегии на право системного прерывания
ААА - это способ защиты от несанкционированного доступа средствами ОС (относится к protection).
Авторизация - имя
Аутентификация – пароль
Аудит – фиксирование событий
security делается средствами вне ОС (хоть и не всегда) и дополнительными средствами внутри ИС.
Проблемы и их решение:
Security:
1. Account – это учёт ресурсов. Для того, чтобы вести account в правильном варианте, есть протокол SYSLOG и Syslog сервер. Этот сервер собирает со всех ОС, поддерживающих данный протокол, все события, которые там случились, то есть ведет тот самый учёт.
Защита от угроз безопасности
Есть угрозы преднамеренные, а есть непреднамеренные.
Преднамеренные связаны с целенаправленными действиями человека.
использование прав доступа, которых у человека не должно было быть
несанкционированный доступ к зданиям, помещениям, кабельным системам и чему-то еще
несанкционированный доступ к зашифрованным данным
Самые опасные - это непреднамеренные. От преднамеренных есть способы защиты, а от непреднамеренных - почти нет.
Непреднамеренные угрозы это:
разрушение данных при отсутствии процедур контроля ввода.
разрушение данных из-за сбоев оборудования или сбоев физической целостности
разрушение данных из-за сбоев ОС, СУБД или программных продуктов
нарушения из-за непрофессиональной работы персонала, программеров и служб сопровождения
сбой по питанию
(главная проблема)
Несанкционированный доступ
Проблема НСД, говорит о том, что нарушили AAA (Authorization, Authentication, Audit). Есть выдача прав, а есть выдача привилегий.
Привилегия – это право дать право, которое должно быть только у администратора системы.
Работа с паролями
Есть разные виды кодирования, например у IBM есть DES, AES. Есть еще MD5.
Должен быть корпоративный стандарт:
бух1 - главный бухгалтер
бух2 - его заместитель
бух10 - какая-нибудь расчетная группа
Функции администратора подсистемы должны быть жестко разбиты на определенные действиями. Пользователь, который обладает всеми правами – это админ и супервизор (их всегда должно быть два).
Сетевые анализаторы и sniffer-ы
Есть атаки, которые при помощи сетевых анализаторов и sniffer-ов. Это опасно, потому что, если это сетевой анализатор Fluke, то снимут всю информацию вместе с паролями вплоть до пятого уровня OSI. И если, что-то не закодировано, раскроют пароли.
Deny of Service
Есть крайне неприятный вид атак — отказ в обслуживании. Проблема в том, что такие атаки делаются легальными средствами.
Используя протокол TCP при работе с сервером, можно делать SYN, но не делать FIN. Если таким образом открыть много соединений и их не закрывать, сервер не сможет их обрабатывать.
Такие атаки крайне опасны и они перегружают систему.
Захват управления
Такая атака тоже очень неприятная и очень опасная. Делается при помощи анализаторов или прорывов к различным управляющими средствам, например, к Nagios.
Существуют способы борьбы: hardware-ные, software-ные и организационные.
Аппаратные способы - контроль доступа, кодовые замки, доступ к помещениям, к вычислительной технике, аппаратная криптография.
Разделены кабельные системы. Их две: одна для внутренних целей, другая для внешних. Ко внутренней сети доступа извне нет.
Порты аппаратуры закрыты. Должны быть закрыты все порты USB.
Кабельные системы прокладываются под потолками в металлических коробах. Это стандарт EIA/TIA 569.
Экранирующие сетки в стенах
Аппаратуру (ноутбук) тебе выдают, со своей ты прийти не можешь.
Программные способы
AAA
Протоколы 802.1х контролируют доступ к портам коммутаторов. Говорим, с какого порта на какой можно, а на какой нельзя передавать.
NAT (Network Address Translation). Это для router-ов, когда мы имеем доступ к IP, а дальше переадресуем эти IP на локальные.
RADIUS (Remote Authentication in Dial-In User Service). Это продукт, входящий в состав всех ОС router-ов. При контроле доступа 802.1х требуется MAC-адрес. Можно настроить, с каких MAC-адресов, куда можно, а куда нельзя передавать. Если MAC-адреса нет, то контролировать доступ к этому порту позволяет RADIUS, который ставится под управление коммутатора.
Классы защиты :
Описаны в Orange book (DoD) – в ней сообщили всем разработчикам ИС, определенные правила.
Система считается защищенной, только в том случае если главная ее часть, top secret доступна членам top secret.
Критерии делятся на 4 раздела: D, C, B и A, из которых наивысшей безопасностью обладает раздел A.
* D – незащищенные системы, нет Protection (Windows 3, MS-DOS);
* C – есть система ААА (С1 – есть защита прав, С2 – есть доступ для групп и для пользователей);
* B1 – доступ пользователей по уровням, В2 – к каким ресурсам какой уровень соотнести, В3 – предполагает наличие ACL;
* A – похож на В3, продукты класса А могут писать программисты сертифицированные с точки зрения национального компьютерного Security centre, и разработанный продукт должен быть им сертифицирован.
Для серверов и рабочих станций — класс C. Для коммутаторов — классы B1, B2, B3.
Протокол SNMP. С помощью него можно поставить trap-ы (ловушки). Если кто-то зайдет работать в 10 вечера, а ему нельзя, то администратору пойдут об этом сообщения, что кто-то куда-то лезет.
Кодирование.
VPN.
IPsec — кодирование всего, что идет по каналу, который организует оператор связи