Программная безопасность

Защита в виде ААА (3А) должна быть элементом любой системы, но она стоит на последнем месте, в первую очередь – организационные методы.

ААА – это Authorization, Autentification и Audit. Является элементом любой OC, СУБД, ОС аппаратуры.

– Авторизация. Все пользователи должны иметь имена и права доступа. Имена нужно давать согласно функциям (семантически связаны) (например, admin (может давать права), maint (инсталляция и конфигурация), sysload (массовые загрузки), supervision (обслуживает всю систему)).

– Аутентификация. Проверка подлинности пользователя с помощью пароля. Пароли должны быть закрыты и зашифрованы средствами ОС (стандарт – DES, его придумал IBM, ключ 56-битный промышленный стандарт). Пароли должны периодически меняться. Существуют генераторы паролей (как часть ОС), их мы будем применять для пользователей. Но администратор не запомнит много сгенерированных паролей, их должно быть несколько, два или три, и эти комбинации должны помнить руки, механическая память сильнее.

Если ОС умеет шифровать, то можно шифровать не только пароли, но и данные. Но особо ценную информацию лучше не шифровать, так как, возможно, не сможем расшифровать обратно.

– Аудит. Любая ОС имеет средства получения отчетов.

Реально делают по-другому, так система сетевая. Относится протокол контроля доступа 802.1x, EAP, EAPOL, RADIUS(для осуществления 3А с удаленными пользователями).

Задачи администратора по организации защиты:

1. Защищаем кабельную систему. Кабельные системы в коробах, спец трубах, местах, где нет доступа. Сделать отсутствие доступа к кабельным системам.

2. Есть специальная аппаратура для снятия информации, проходящей по меди. Надо помещать витую пару в спец экранированные короба или трубы. Оптоволокно прослушать не так просто, как медь.

2. Защита помещений. Все помещения должны быть запираемые. Лучший способ защиты- ключ. Разные сотрудники имеют разные права доступа в помещения. Должны быть кодовые замки. Вести журнал доступа к оборудованию системы с подписями тех, кто входил/выходил.

Внутренняя система и внешняя система. Внутренняя система не имеет выхода во внешнюю систему. Люди, работающие во внешней системе, не имеют доступ во внутреннюю систему. При строительстве зданий в стены вставляют металлические сетки.

3.Защищать доступ к электрическим сетям. Защищать доступ к распределительным сетям. Фильтры, которые не позволяют получать доступ к полю электрических сетей.

4.Структурируем систему. Система модульная. Отсечка системы делается патч-панелями.

2. Дайте инструкцию по действиям, необходимым для повышения производительности в вашей сети.

Инструкция:

1.Должны разобраться, что для данной системы – номинал. BaseLine – определить топологию системы, построить функциональные и сетевые схемы. Определить время хорошее для тестирования системы (приемлемое время передачи информации по системе, не создавая трудностей в ее работе). Определить во время тестирования: - Время инициализации приложения; - Время отклика системы; - Время записи информации на диск; и т.д. Создать документ «Оценка Готовности» с этими данными. Записать параметры которые посчитаете важными (TCP/IP), эти метрики могут влиять на нашу сеть.

2.Посмотреть отхождения от номинала. Проконтролировать, как параметры из п1. меняются. Делается с помощью PORBE (RMON) или NETFLOW. Просмотреть : -Текущее время отклика; -Вход/выход битов; -кол-во потерянных пакетов; кол-во ошибок и коллизий и т.д.

3.Сделать отчет. Создать отчет и проанализировать (особенно если производительность описывается по часам).

4.Корректировать. –Добавление новых устройств; -Добавление каналов ввода/вывода на сервере(самое эффективное); -изменение конфигурации устройства; -Изменять и конфигурировать загрузку ОС и СУБД; -Применять уст-ва оптимизации СУБД; -Проектирование и модифицирование физических БД.

Советы администратора:

1. Серьезные знания.

2. Правила: не менять default и их фиксировать.

3. Всегда трепетно и подозрительно относится к управляющим системам работают по протоколу SNMP они создают в системе дополнительный опрос – дополнительный трафик. Как часто производить опрос – раз в 5 минут.

Метрики производительности.

Метрика стандартная единица измерения (сек) или более широкая система количественные и качественные оценки процесса.

С метрикой имеем процедуру ее измерения и процедуру интерпретации. Метрика определяется областью, в которой работаем, если в ИТ-технологии, это может быть надежность, нагрузки системы, ширина пропускания, % занятости процессором в единицу времени, размер исходного кода.

Для сетевой подсистемы ИС, следующие ключевые метрики:

1,2 метрика – характеризуют канал (от коммутатора к любому коммутатору)

- 1 метрика - утилизация канала

- 2 метрика – задержка передачи данных (латенция)

3 остальные метрики характеризуют состояния устройств.

- 3 метрика – ошибки портов (интерфейсов)

- 4 метрика – утилизация ресурсов сетевых устройств

- 5 метрика – утилизация буферизации сетевых устройств.

Рассмотрим метрики для Ethernet:

1 метрика - Утилизация пропускной способности (ширины канала). Это основная метрика. Есть практическая реализация пропускная способность, это не пользовательская метрика, она является метрикой профессионала (бит/с, пакет/с). Пропуская способность бывает средняя, максимальная, мгновенная.

Утилизация – это процент использования в единицу времени канала, процессора, какого-либо оборудования и т.д., т.е. насколько полон данный канал, насколько загружено данное оборудование в единицу времени.

Норма для Ethernet – 40-60% (для Token Ring это 60-75%, для процессора – 70-80%).

2 метрика - Задержки (латенции, latence).

Любое оборудование задерживает данные, т.к он обрабатывает. Коммутатор будет дошедший до него пакет регенировать (восстанавливать) сигнал, форму сигнала. Задержки на маршрутизаторах больше задержки, чем на коммутаторах. Эти задержки зависят от технологий. Задержка важна для голоса, изображение. Не важна задержка для электронной почты, файловой подсистемы. В спутниковых системах пропуская способность 2 Мбит/с задержка не сказывается, но она все равно будет обязательно 0,24 с на каждом устройстве из-за скорости распространения сигнала 300 тыс/с.

Задержка в Ethernet (для шинного) называется PDV – Pass Delay Value.

PDV=ΣLSDV+ΣRDelay+DTEDelay+SM, где

LSDV - Link Segment Delay Value, задержка на каждом сегменте сети (5 в шинном), зависит от типа кабеля.

LSDV= длина_сегмента * задержка_на_метр_сегмента.

Для оптоволокна задержка_на_метр_сегмента равна 1бит/м, для UTP cat 5 – 1.122 бит/м.

RDelay – Repeater Delay, задержка на всем сетевом оборудовании, т.к. все устройства в сети выполняют функции репитера.

Эти задержки даются производителем

Если это неуправляемый коммуторор= 140 бит/с.

DTEDelay – задержка на сетевых адаптеров с двух сторон, 100Мбит/с=100 бит/с.

SM – Safety Margin, задержка на непредвиденности, 4-5 бит/с.

Задержка в Ethernet должна быть не более 512 бит.

Задержка является наиболее используемой метрикой для сетевых приложений и оценки производительности. Потому что она тесно связана с утилизацией канала (нельзя измерить, а задержку легко измерить (ping)). Если канал занят, задержка будет высокая. Админу нужно выяснять задержку м/у FS и станцией, где работают приложения, смотреть задержку (чем меньше хопот, тем лучше).

3 метрика – ошибка интерфейсов любого оборудования из-за шумов, некорректно работающих устройств, ошибок кабельной системы. Следствием этого будет потеряны и испорчены данные и мы должны их будем ретранслировать, следовательно упадет производительность системы. Админ должен правильно задавать QoS (качество сервиса для определенных портов оборудования, задание определенной скорости работы – выброс пакетов).

4 метрика – утилизация ресурсов сетевых устройств, каждый коммутатор, маршрутизатор – это комп со специализированной ОС, утилизация ресурсов влияет на производительность ресурсов. Это параметры: загрузка процессора, загрузка ОП, буферов вв/выв. Загрузка ОП должна быть максимальная.

Загрузка буферов вв/выв, это параметр, поддающийся конфигурации и админ должен обращать внимание на:

- общее кол-во буферов (при загрузке системных устройств)

- кол-во постоянно загруженных буферов (ОС, которые использует для вв/выв)

- кол-во свободных буферов (release - свободные)

- кол-во ошибок буферов.

Для FS влияют выше перечисленные параметры на производительность, а также:

- утилизация процессора – 70-80% процент загруженности процессора в единицу времени.

- параметр дисковой подсистемы, это сказывает на работе всей ИС. Задача FS передача данных от дисковой подсистемы к пол-ю, чем он отличается от ПК. - увеличение производительности, увеличение каналов вв/выв

- замена одного большого диска на несколько маленьких, чем больше дисков тем больше контроллеров, т.е параллельных операций

- замена контроллера процессора на контроллеры с процессором работой с памятью (ЦПУ память и диск- память).

- буфера вв/выв и всегда создает очередь команд с контроллеру вв/выв и м/у ними должно быть соответствие (есть у всех ОС и систем вв/выв). Если буфера загружены, а очередь команд вв/выв маленькая = неправильно заданы параметры. Буфера вв/выв загружены и очередь вв/выв большая = производи. Низкая, необходимо модификация подсистем вв/выв.

- параметры вв/выв шины процессора

- параметры вв/выв сетевых адаптеров на сервере

Вв/выв шины процессора и доступ к ОП осуществляется через кэш-память.

В современных FS реализован доступ как к шинам, там и к процессору, если не так то надо обратить внимание и менять сервер.

5 метрика - Буфера сетевого адаптера – обрабатывают файлы изображения, большой объем данных передающий через сетевой адаптер, файлы печати, графики большие. Админу это будет заметно по сообщениям ОС (ошибки на принимаемых пакетах). Решение: изменение конфигурации буферов сетевого адаптер (увеличение буферов), либо сетевой адаптер имеет несколько каналов работающих с шиной процессора - распараллеливание, либо сегментировать разбивать систему на сегменты (разбивать трафик).

Бизнес-метрики.

Потребуем от производителя какие оценки производительности для него существенны. Значение этих метрик понятно, но они не будут нас устраивать на этапе коррекции ошибок.

- время отклика приложения интегральная метрика – упал на 20%, то пользователь будет работать на 20% менее производительно, это означает потеря денег (10%). Это метрика определяет как интервал времени м/у запроса от станции и отклика приложения сервера (она будет определять пропускную способность, задержки, работу вв/выв, спроектирована БД, задали параметры).

Что же реально делается в бизнесе:

Существует SLA – Service Level Agreements. Это договор между руководством и техническим персоналом администрации системы.

Обычно договор содержит:

– сколько времени в день должна работать система (например, 8 часов);

– минимальное время восстановления MTTR (например, 4 часа);

– время отклика (3 сек);

– скорость (например, 512 Кбит/с);

– задержка (например, меньше 50 мс);

Особенно такие договоры развиты для больших систем.

Договор состоит:

1. Спецификация уровня обслуживания – SLS инструкция по оказанию услуг.

2. Цели обслуживания SLO составная часть SLS, которая определяет нюансы.

SLA может поддерживать разные метрики качества услуг.

Бизнес метрики (сall-центра):

- кол-во звонков в % ожидаемые ответа;

- среднее время ответа на поступивший звонок

- кол-во звонков в % обслуженный за определенный период.

Разделы SLA:

1. услуги и как они должны предоставляться

2. производительность системы

3. problem management – минимизация неприятных воздействий

4. обязательство пользователя (при форс-мажоре)

5. вопросы безопасности, пользователь должен дать доступ необходимым устройствам

6. восстановление – после катастроф, обеспечение непрерывности работы

7. терминация отношений – при разрыве договора.

Технические метрики +бизнес метрики = современных технология, такую комбинацию стандартизируют.

МEF 10 описывается стандарт на бизнес метрики и технические.

Бизнес-метрики:

1. время бесперебойной работы системы – 99%

2. время поднятия системы

3. доступность услуги (время внедрения услуги, доступность соединения, время восстановления).

Технические метрики:

1) задержки framedelay

2) потери кадров – 0,95%, больше 3% потеря связи

3) вариация задержки (измерение пакета по одному пути в разное время, при разных обстоятельствах).

4) параметр пропускной способности