Деревянко_БС ЭВМ
.pdfлей ни в коем случае не должна использоваться в качестве единственного контрольного механизма.
Внедрение современных средств аутентификации затрудняется, во-первых, из-за их дороговизны. Стоимость дополнительного устройства (для снятия отпечатка пальца, картридера, видеооборудования), устанавливаемого на рабочую станцию, составляет около 100 долл. Достаточно высокая цена
исерверной части, предназначенной для надежного хранения
иобработки биометрической информации. Кроме того, сложные методы аутентификации являются дорогостоящими решениями и с точки зрения управления. Сюда включаются затраты на конфигурирование, инсталляцию, инвентаризацию, поддержку аппаратных и программных составляющих. Все эти ежегодные затраты на поддержку обычно превышают первоначальную стоимость в несколько раз.
Во-вторых, из-за ограниченной масштабируемости подобных систем. Проблемой часто является загрузка телекоммуникационных каналов при внедрении централизованной аутентификации в распределенных сетях.
Основополагающие элементы построения любой системы безопасности масштаба предприятия — это системы аутентификации и управления доступом. Их необходимо планировать, внедрять и администрировать комплексно, поскольку ни одна из них в отдельности не является полнофункциональной. Если невозможно распределение уровней доступа к информации на основе полученных данных, то однозначная идентификация пользователей бесполезна.
Системы аутентификации и авторизации совместно выполняют одну задачу, поэтому необходимо предъявлять одинаковый уровень требований к системам авторизации и аутентификации. Ненадежность одного звена здесь не может быть компенсирована высоким качеством другого звена.
Какой смысл в системе управления доступом, если нельзя точно установить, кем является пользователь, от имени которого поступает запрос на доступ к ресурсу? Такие ком-
291
плексные решения выделены в отдельный тип корпоративных систем.
При построении единой централизованной системы аутентификации масштаба предприятия от пользователя требуется только однократный процесс авторизации (сколь угодно сложный) с последующим единым, прозрачным, административно настраиваемым и управляемым доступом ко всем корпоративным ресурсам, включая файловые серверы, серверы приложений, web-ресурсы.
292
ЗАКЛЮЧЕНИЕ
В качестве заключения рассмотрим кратко перспективы развития вычислительных сетей.
Несколько лет назад предполагалось, что вычислительные сети будут обеспечивать вычислительные услуги (мощности), так как это сейчас делается в энергетических сетях, предоставляющих потребителям электроэнергию. По аналогии с сетями энергетическими (grid) предоставление «коммунальных услуг» для вычислений получило название gridтехнологий. Теперь коммунальные услуги трансформируются в облачные вычисления.
Важным направлением развития информационных технологий является их стандартизация. Разрабатываются стандарты для различного рода приложений, например для мультимедийных, для распределённых вычислений, для управления вычислительными сетями и т. п. Разрабатывается стандарт для ОС Linux, который должен обеспечить функционирование приложений на платформах, образованных по различным дистрибутивам ОС Linux.
Продолжающийся рост скорости передачи данных в сетях, в том числе в беспроводных сетях, обеспечит широкое распространение не только широкополосного доступа в Интернет, но и доступа в Интернет с сотового телефона, постепенно превращающегося в карманную ЭВМ со встроенным радиотелефоном.
Вычислительные сети будут связывать робототехнические устройства, а в перспективе и нанороботы, функционирующие совместно.
При этом будет возрастать роль средств обеспечения безопасности информации.
293
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1.Трельсен, Э. Модель СОМ и применение ATL
3.0[Текст]: пер. с англ. / Э. Трельсен. – СПб.: БХВ-Петербург,
2001. – 928 с.
2.Олифер, В. Г. Компьютерные сети. Принципы, технологии, протоколы [Текст] / В. Г. Олифер, Н. А. Олифер. – СПб: Питер, 2001. – 672 с.
3.Олифер, В. Г. Основы компьютерных сетей [Текст] / В. Г. Олифер, Н. А. Олифер. – СПб: Питер, 2009. – 352 с.
4.Олифер, В. Г. Сетевые операционные системы [Текст]: учебник для вузов. 2-е изд. / В. Г. Олифер, Н. А. Олифер — СПб.: Питер, 2009. — 669 с.
5.Робачевский, А. М. Операционная система UNIX [Текст] / А. М. Робачевский. –СПб.: БХВ – Санкт-Петербург,
2000. – 528 с.
6.Снейдер, Й. Эффективное программирование TCP/IP. Библиотека программиста [Текст] / Й. Снейдер. – СПБ.: Питер, 2002. – 320 с.
7.Зима, В. М. Безопасность глобальных сетевых технологий [Текст]: 2-е изд. / В. М. Зима, А. А. Молдовян, Н. А. Молдовян. – СПб.: БХВ-Петербург, 2003. – 368 с.
8.Тюлин, А. На страже конфиденциальной информации [Текст] / А. Тюлин, И. Жуков, Д. Ефанов // Открытые системы. – 2001. – № 10.
9.Зубинский, А. Блог [Электронный ресурс] – Режим доступа: http://www.itc.ua.
10.Вагнер, В. Использование бездисковых X- терминалов на базе Linux-PC. [Электронный ресурс] – Режим доступа: http://ppg.ice.ru/ppg/vitus,
11.Елманова, Н. Терминальный доступ для малых и средних предприятий [Текст] / Н. Елманова // Компьютер пресс. – 2005. – №11.
12.Котенко, И. В. Обманные системы для защиты информационных ресурсов в компьютерных сетях [Текст] / И. В.
294
Котенко, М. В. Степашкин // Труды СПИИРАН. – 2004.– Т. 1.
–Вып. 2.
13.Коваленко, О. С., Обзор проблем и состояний об-
лачных вычислений и сервисов[Текст] / О. С. Коваленко, В. М. Курейчик // Известия ЮФУ. Технические науки. – 2012.
–№7 (132).
14.Новиков, И.. Облачные вычисления: на пороге перемен [Электронный ресурс] – Режим доступа: http://www.pcmagazine.ru.
15.Викторов. Д. Гадкие вопросы об «облаках»
.[Электронный ресурс] – Режим доступа: http://www.ibusiness.ru/topic/blog/dvi%d1%81torov.
16.Просянников, Р. Виды аудита информационной безопасности[Текст] / Р. Просянников // Connect!. – 2004. – №12.
17.Запечников, С. В. Основы построения виртуальных частных сетей [Текст]: Учеб. пособие для вузов / С. В. Запечников, Н. Г. Милославская, А. И. Толстой. – М.: Горячая линия-Телеком, 2003. – 249 с.
18.Задонский, А. Аутентификация в современных информационных системах [Текст] / А. Задонский // Connect! – 2005. – № 10.
19.Робертс, П. Для FFIEC одних паролей мало [Текст] / П. Робертс // PC WEEK/RE – 2005 – № 41.
20.Ховард, М. Защищенный код [Текст]: пер. с англ., 2-е изд., испр. / М. Ховард, Д. Лебланк. – М.: Русская редакция, 2004. – 704 с.
21.Шаров, В. Базовые технологии мультисервисных сетей [Текст] / В. Шаров // BYTE Россия. – 2006. – №6.
22.Нетес, В. А. Готовность и доступность — почувствуйте разницу [Текст] / В. А. Нетес // Вестник связи. – 2005.
–№ 8.
23.Камер, Д. Компьютерные сети и Internet. Разработка приложений для Internet [Текст]: Пер с англ. / Д. Камер.
–М.: Вильямс, 2002. – 640 с.
295
24.Брэгг, Р. Безопасность сетей. Полное руководство [Текст]: пер. с англ./ Р. Брэгг, М. Родс-Оусли, К. Страссберг. – М.: ЭКОМ, 2006. – 912с.
25.Пахомов, С. Аппаратная защита сетей класса SOHO с помощью брандмауэров [Текст] / С. Пахомов // Компьютер пресс. – 2006. – № 4.
26.Стеллингс, В. Федеративное управление идентификацией [Текст] / В. Стеллингс // Computerworld Россия. –
2007.
27.Горнэк, А. М. IP VPN: дополняя друг друга [Текст] / А. М. Горнэк // Технологии и средства связи. – 2005. –
№6.
28.Силин, С. Электронно-цифровая подпись в СЭД: что нужно знать? [Текст] / С. Силин // PC WEEK/RE. – 2006. –
№34.
296
СОДЕРЖАНИЕ |
|
ВВЕДЕНИЕ .................................................................................... |
3 |
1. РАЗРАБОТКА СЕТЕВЫХ ПРИЛОЖЕНИЙ .......................... |
4 |
1.1. Введение в модель компонентных объектов (COM) ...... |
4 |
1.1.1. Сведения из области объектно-ориентированного |
|
программирования ................................................................. |
4 |
1.1.2. Технология COM......................................................... |
5 |
1.1.3. Программирование на основе интерфейсов ............. |
8 |
1.1.4. Интерфейс IUnknown................................................ |
13 |
1.2. Основы разработки программ, использующих СОМ ... |
19 |
1.2.1. Макросы СОМ........................................................... |
19 |
1.2.2. Строки в модели СОМ.............................................. |
21 |
1.2.3. Создание объектов СОМ .......................................... |
22 |
1.2.4. Регистрация СОМ-сервера ....................................... |
26 |
1.2.5. Разработка клиента СОМ ......................................... |
28 |
1.2.6. Язык определения интерфейса MIDL ..................... |
31 |
1.3. Технология DCOM........................................................... |
35 |
1.3.1. Организация обмена между клиентом |
|
и сервером (маршалинг) ...................................................... |
35 |
1.3.2. Виды маршалинга в модели СОМ........................... |
40 |
1.3.3. Построение локального СОМ-сервера.................... |
42 |
1.3.4. Построение удаленного СОМ-сервера ................... |
43 |
1.3.5. Безопасность в СОМ................................................. |
44 |
1.3.6. Библиотека активных шаблонов (ATL) .................. |
49 |
1.3.7. Потоковые модели СОМ .......................................... |
49 |
1.4. Удаленный вызов процедур (RPC)................................. |
52 |
1.4.1. Работа программы, использующей RPC................. |
52 |
1.4.2. Разработка программы, использующей RPC ......... |
54 |
1.4.3. Пример ....................................................................... |
58 |
1.5. Разработка приложений для UNIX................................. |
64 |
1.5.1. Сетевая организация системы X Window ............... |
64 |
1.5.2. Создание программ для системы X Window .......... |
66 |
297
1.5.3. Программирование с управлением |
|
по сообщениям (событиям)................................................. |
68 |
1.5.4. ОС МСВС................................................................... |
70 |
1.5.5. Обеспечение безопасности в ОС МСВС ................ |
71 |
1.5.6. Программирование с использованием Qt ............... |
75 |
1.6. Механизм сокетов ОС Unix ............................................ |
76 |
2. ОСНОВЫ ПОСТРОЕНИЯ КОМПЬЮТЕРНЫХ СЕТЕЙ.... |
84 |
2.1. Сетевые и распределенные ОС ....................................... |
84 |
2.1.1. Сетевые службы и сетевые сервисы ....................... |
85 |
2.1.2. Концепции распределенной обработки |
|
в сетевых ОС......................................................................... |
88 |
2.1.3. Облачные вычисления .............................................. |
94 |
2.2. Сетевые службы ............................................................... |
99 |
2.2.1. Сетевые файловые системы ..................................... |
99 |
2.2.2. Интерфейс сетевой файловой службы .................. |
102 |
2.2.3. Вопросы реализации сетевой файловой системы 106 |
|
2.2.4. Кэширование ........................................................... |
107 |
2.2.5. Репликация............................................................... |
111 |
2.3. Примеры сетевых файловых служб: FTP и NFS......... |
114 |
2.3.1. Протокол передачи файлов FTP ............................ |
114 |
2.3.2. Файловая система NFS ........................................... |
117 |
2.4. Служба каталогов........................................................... |
120 |
2.4.1. Назначение и принципы организации |
|
службы каталогов............................................................... |
120 |
2.4.2. Служба каталогов NDS........................................... |
122 |
2.4.3. Средства защиты объектов в NDS......................... |
125 |
2.4.4. Служба каталогов Active Directory....................... |
127 |
2.5. Межсетевое взаимодействие......................................... |
129 |
2.5.1. Основные подходы к организации |
|
межсетевого взаимодействия........................................... |
129 |
2.5.2. Трансляция............................................................... |
130 |
2.5.3. Мультиплексирование стеков протоколов ........... |
133 |
2.5.4. Инкапсуляция протоколов ..................................... |
140 |
2.6. Принципы объединения сетей на основе |
|
протоколов сетевого уровня ................................................. |
142 |
298
2.6.1. Объединение сетей на основе протоколов |
|
|
сетевого уровня .................................................................. |
142 |
|
2.7.2. Принципы маршрутизации .................................... |
143 |
|
2.7.3. Протоколы и алгоритмы маршрутизации............. |
147 |
|
2.7.4. Функции маршрутизатора ...................................... |
155 |
|
2.7. Анализ и управление сетями......................................... |
157 |
|
2.7.1. Функции и архитектура систем |
|
|
управления сетями ............................................................. |
158 |
|
2.7.2. Схема менеджер – агент ......................................... |
165 |
|
2.7.3. Структуры распределенных систем управления . 167 |
||
2.7.4. Стандарты систем управления............................... |
170 |
|
3. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ |
|
|
КОМПЬЮТЕРНЫХ СЕТЕЙ ..................................................... |
174 |
|
3.1. Задачи обеспечения безопасности локальных |
|
|
и глобальных сетей ................................................................ |
174 |
|
3.2. Определение, цели и задачи виртуальных |
|
|
частных сетей ......................................................................... |
178 |
|
3.3. Специфика построения.................................................. |
181 |
|
3.4. Виртуальные частные сети в сетях |
|
|
с коммутацией пакетов.......................................................... |
182 |
|
3.4.1. |
X.25........................................................................... |
182 |
3.4.2. Frame Relay .............................................................. |
184 |
|
3.4.3. ATM.......................................................................... |
186 |
|
3.4.4. SDH........................................................................... |
193 |
|
3.4.5. TCP/IP....................................................................... |
196 |
|
3.4.6. PPP ............................................................................ |
196 |
|
3.4.7. Мультисервисная сеть ............................................ |
198 |
|
3.4.8. Услуги по построению VPN .................................. |
199 |
|
3.5. Туннелирование в виртуальных частных сетях .......... |
200 |
|
3.6. Схема виртуальной частной сети ................................. |
202 |
|
3.7. Политики безопасности в виртуальных |
|
|
частных сетях ......................................................................... |
204 |
|
3.8. Защита информации в виртуальных |
|
|
частных сетях ......................................................................... |
206 |
|
299
3.9. Стандартные протоколы создания |
|
виртуальных частных сетей .................................................. |
209 |
3.9.1. Уровни защищенных каналов................................ |
209 |
3.9.2. Защита данных на канальном уровне ................... |
211 |
3.9.3. Защита данных на сетевом уровне ........................ |
217 |
3.9.4. Защита на сеансовом уровне.................................. |
228 |
3.10. Решения для построения |
|
виртуальных частных сетей .................................................. |
235 |
3.10.1. Виртуальные частные сети на базе |
|
сетевой операционной системы....................................... |
239 |
3.10.2. Виртуальные частные сети |
|
на базе маршрутизаторов .................................................. |
240 |
3.10.3. Виртуальные частные сети |
|
на базе межсетевых экранов ............................................. |
240 |
3.10.4. Применения перенаправления пакетов............... |
251 |
3.10.5. Виртуальные частные сети на базе |
|
специализированного программного обеспечения......... |
254 |
3.10.6. Виртуальные частные сети на базе |
|
аппаратных средств ........................................................... |
254 |
3.11. Аутентификация, авторизация, аудит в сетях ........... |
255 |
3.11.1. Аутентификация.................................................... |
255 |
3.11.2. Авторизация доступа ............................................ |
260 |
3.11.3. Аудит сетей ЭВМ.................................................. |
262 |
3.11.4. Технологии сетевой аутентификации ................. |
263 |
3.11.5. Аутентификация на основе сертификатов.......... |
269 |
3.11.6. Система Kerberos................................................... |
278 |
3.12. Проблемы обеспечения сетевой безопасности ......... |
281 |
3.12.1. Контроль внешнего периметра сети ................... |
281 |
3.12.2. Контроль доступа к сетевым службам ................ |
282 |
3.12.3. Активный аудит .................................................... |
284 |
3.12.4. Противодействие компьютерным вирусам ........ |
285 |
3.12.5. Организация ложного информационного |
|
ресурса в сети ..................................................................... |
288 |
3.12.6. Построение систем аутентификации .................. |
290 |
ЗАКЛЮЧЕНИЕ .......................................................................... |
293 |
БИБЛИОГРАФИЧЕСКИЙ СПИСОК ...................................... |
294 |
300