Распределенные вычислительные системы

Основной особенностью любой распределенной системы является то, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений и программно при помощи механизма сообщений. При этом управляющие сообщения и данные, пересылаемые между объектами распределенной ВС, передаются в виде информационных пакетов обмена.

В зависимости от масштаба, территориального расположения и принадлежности распределенные вычислительные сети разделяют на локальные, корпоративные, региональные и глобальные.

Локальная сеть представляет собой группу компьютеров, размещенных в пределах нескольких компактно расположенных зданий. Локальная сеть может быть распределена на отдельные сегменты. Под сетевым сегментом понимается часть локальной сети, за пределы которой распространяются только те пакеты сообщений, которые адресованы компьютерам, не входящим в этот сегмент. В пределах сегмента локальной сети реализуется метод множественного доступа, когда пакет, отправляемый одним компьютером, доставляется всем остальным компьютерам в сегменте, но принимается только тем, которому этот пакет адресован. Остальные машины этот пакет игнорируют. Разделение локальной сети на фрагменты улучшает ее производительность, сокращая трафик, т.к. пакет распространяется по всей сети. При отсутствии разделения локальной сети на сегменты считается, что сеть состоит из одного сетевого сегмента.

Корпоративная сеть принадлежит одной организации, региональная охватывает какой-либо регион (город), глобальная – обслуживает страны, континенты. Ярким примером глобальной сети является Internet, которая не имеет владельца, хотя входящие в ее состав компьютерные сети принадлежат различным организациям.

Для наращивания и интеграции сетей используют различные типы аппаратно-программных устройств:

• повторители, которые обеспечивают усиление и разветвление электрического сигнала для увеличения размера сегмента локальной сети;

• мосты предназначены для соединения сегментов, имеющих различные физические среды (витая пара, коаксиальный кабель) или для соединения сегментов, имеющих различные протоколы низкого уровня (Ethernet, Token Ring, FDDI - оптоволоконный интерфейс распределения данных).

• маршрутизаторы служат для подключения к глобальным сетям, а также для объединения локальных сетей и их больших частей; маршрутизаторы соединяют сети с одинаковыми протоколами, а также выбирают из таблицы маршрутов лучший для данного пакета сообщений.

• шлюзы используются в тех случаях, когда нужно объединить сети, созданные по различным фирменным стан­дартам, т.е. использующие различные операционные системы, протоколы передачи данных, несогласованные скорости передачи и пр.

Эталонная модель взаимодействия открытых систем

В настоящее время рынок электронных машин информационных систем, построенных на их основе, очень разнообразен. ЭВМ и системы резко отличаются структурой, параметрами, размерами.

Основная задача, решаемая при создании компьютерных сетей, это обеспечение совместимости оборудования по электрическим и механическим характеристикам и совместимости информационного обеспечения (программ и данных) по системам кодирования и формату данных. Решение этой задачи относится к области стандартизации.

Методологической основой стандартизации в компьютерных сетях является многоуровневый подход к разработке средств сетевого взаимодействия. Именно на этом подходе базируется стандартная модель взаимодействия открытых систем OSI (Open System Interconnection). Она бы создана в начале 80-х годов на основе технических предложений Международного института стандартов ISO.

Система считается открытой, если она выполняет стандартное множество операций взаимодействия, принятое в вычислительных сетях (но не в смысле открытого доступа к информации).

Модель OSI определяет различные уровни взаимодействия систем, дает им стандартные имена и указывает, какие функции должен выполнять каждый уровень.

Область взаимодействия открытых систем разделена на семь уровней. Уровневая организация обеспечивает относительную независимость подсистем. Это позволяет совершенствовать или заменять подсистемы одного уровня, не затрагивая функционирование остальных уровней.

Обмен данными в системах связи происходит путем перемещения данных с верхнего уровня на нижний, затем передача по линиям связи, затем обратное воспроизведение данных в компьютере пользователя в результате их перемещения с нижнего уровня на верхний.

Для обеспечения необходимой совместимости на каждом из семи уровней архитектуры компьютерной сети действуют специальные стандартные протоколы. Они представляют собой формализованные правила, определяющие последовательность и формат сообщений, которыми обмениваются сетевые компоненты, лежащие на одном уровне, но в разных узлах сети.

Иерархически организованный набор протоколов, достаточный для обеспечения взаимодействия узлов в сети, называется стеком коммуникационных протоколов. Коммуникационные протоколы могут быть реализованы как программно, так и аппаратно. Протоколы нижних уровней часто реализуются комбинацией программных и аппаратных средств, а протоколы верхних - программными средствами.

Модули, реализующие протоколы соседних уровней и находящиеся в одном узле сети, должны взаимодействовать друг с другом также в соответствии с четко определенными правилами и при помощи стандартизованных форматов сообщений. Эти правила называются межуровневый интерфейс. Интерфейс определяет набор сервисов, предоставляемый данным уровнем соседнему. Протокол и интерфейс – близкие понятия, но традиционно в сетях за ними закреплены разные области действия: протоколы определяют правила взаимодействия модулей одного уровня в разных узлах сети, а интерфейсы – правила взаимодействия модулей соседних уровней в одном узле.

Рис. 1

Каждый из семи уровней обеспечивает сервис для уровня, расположенного над ним. Благодаря этому, верхний, прикладной уровень предоставляет прикладным процессам весь сервис, обеспечиваемый семью уровнями, т.е. всей областью взаимодействия.

Прикладной уровень является главным, т.к. он непосредственно связан с прикладными процессами и обслуживает взаимодействие этих процессов.

Представительный уровень обеспечивает прикладному уровню понимание смысла передаваемых по сети данных: выполняет согласование формы представления информации (изображение, текст); преобразует данные из одного формата в другой при работе разнотипных ЭВМ (IBM PC, Mac, DEC).

Сеансовый уровень управляет передачей информации между прикладными процессами, т.е. начинает сеанс, управляет передачей и приемом пакетов и завершает сеанс.

Транспортный уровень должен обеспечить эффективные, удобные и надежные формы передачи информации между любой парой систем, в которых расположены взаимодействующие прикладные процессы. Например, если пришел дубликат принятого ранее сообщения, то транспортный уровень опознает это и игнорирует сообщение.

Сетевой уровень выполняет функции переключения и маршрутизации пакетов. Каждый пакет состоит из заголовка, информационного поля и концевика. Единицей данных на этом уровне является датаграмма. Сетевой уровень обеспечивает прокладку виртуальных каналов между взаимодействующими системами. Виртуальный канал - это такое функционирование компонентов сети, которое создает взаимодействующим объектам иллюзию прокладки между ними специального канала.

Канальный уровень определяет процедуры передачи данных по каналу. При больших размерах передаваемых блоков данных канальный уровень делит их на кадры и последовательно передает их. При поступлении кадров канальный уровень восстанавливает из них блоки данных. Единицей данных на этом уровне фрейм.

Физический уровень определяет физические, механические и электрические характеристики линий связи. Уровень также описывает процедуры передачи сигналов в канал и получения их из канала. Единицей данных на этом уровне является бит.

Рассмотрим, как в семиуровневой модели OSI происходит обмен данными между двумя пользователями сети, находящимися в разных местах.

1. На прикладном уровне с помощью специальных приложений пользователь создает документ (сообщение, рисунок и т.п.).

2. На представительном уровне операционная система компьютера фиксирует, где находятся созданные данные (в оперативной памяти, в файле на диске и т.п.) и обеспечивает взаимодействие со следующим уровнем.

3. На сеансовом уровне компьютер пользователя взаимодействует с локальной или глобальной сетью. Протоколы этого уровня проверяют права пользователя на выход в сеть и передают документ протоколам транспортного уровня.

4. На транспортном уровне документ преобразуется в ту форму, в которой положено передавать данные в используемой сети. Так, документ может быть поделен на небольшие пакеты стандартного размера.

5. Сетевой уровень определяет маршрут движения данных в сети. Например, если на транспортном уровне данные были «нарезаны» на пакеты, то на сетевом уровне каждый пакет должен получить адрес, по которому он будет доставлен независимо от прочих.

6. Канальный уровень необходим для того, чтобы промодулировать сигналы, циркулирующие на физическом уровне, в соответствии с данными, полученными с сетевого уровня. В компьютере эти функции выполняет сетевая карта или модем.

7. Реальная передача данных происходит на физическом уровне. Здесь единицей представления данных являются биты. Средства физического уровня находятся за пределами компьютера. В локальных сетях с использованием телефонных модемов это линии телефонной связи, коммутационное оборудование телефонных станций и т.п.

На компьютере получателя информация проходит обратный процесс преобразования от битовых сигналов до документа путем постепенного перехода с нижнего уровня на верхний уровень взаимодействия.

Основные этапы решения проблемы обеспечения информационной безопасности сетей передачи данных общего пользования (СПДОП).

Практическая реализация мер обеспечения ИБ СПДОП в соответствии с технологией, поддерживаемой международными организациями по стандартизации, предполагает наличие трех этапов.

Первый этап – определение задач обеспечения ИБ СПДОП и выработка требований по их обеспечению – включает:

• Определение информационной сферы объекта (объектов) ИБ СПДОП, состава технических средств, алгоритмов функционирования, протоколов и процедур взаимодействия;

• Анализ уязвимости информационной сферы объекта, выявление угроз;

• Анализ риска (прогнозирование возможного ущерба, к которому может привести реализация той или иной угрозы;

• Составление списка задач обеспечения ИБ и перечня наиболее опасных угроз ИБ, защита от которых должна быть обеспечена в СПДОП.

Второй этап – определение правил обеспечения ИБ, которые должны определить способы и функции защиты. При этом необходимо определить:

• Какие ресурсы СПДОП должны быть защищены и в какой степени;

• С помощью каких средств должна быть реализована защита;

• Какова должна быть полная стоимость реализации системы обеспечения ИБ.

В соответствии с ответами составляются правила использования ресурсов СПДОП и выполнения основной задачи – задачи обеспечения заданных требований по качественной передаче данных в условиях возможных воздействий нарушителя.

Третий этап – определение архитектуры системы обеспечения ИБ, т.е. функций, процедур и средств защиты, реализуемых в виде некоторых механизмов защиты, а также действий по обеспечению их поддержки, относящихся к решению задач управления системой безопасности, основной из которых является задача восстановления нарушенного процесса функционирования СПДОП.

Возможные цели воздействия нарушителя на СПДОП:

1. воздействие с целью внесения не обнаруживаемой сетью ошибки в информационную часть сообщения;

2. воздействие с целью повтора ранее переданного сообщения и дезорганизации действий пользователя;

3. воздействие с целью ознакомления с циркулирующей информацией пользователя и управления;

4. воздействие с целью изменения маршрута следования сообщения;

5. воздействие с целью анализа трафика;

6. воздействие с целью задержки передаваемого сообщения;

7. воздействие с целью блокирования доступа определенному абоненту.