Мельников Д. А. - Организация и обеспечение безопасности информационно-технологических сетей и систем - 2012
.pdf12 Введение
руются на ЭВМ (прикладных серверах или серверных кластерах) с их запоминающими устройствами и аппаратурой ввода-вывода ин формации, и средства передачи информации, предназначенные для обеспечения взаимосвязи между ЭВМ (коммутаторы и маршру тизаторы), а также средства дистанционного доступа (серверы дос тупа) к ЭВМ с удаленных абонентских пунктов.
Средства передачи данных в ИТС представляют собой само стоятельную сеть специализированных ЭВМ, функцией которой является транспортировка информации между абонентскими пунк тами и вычислительными машинами, осуществляющими обработку информации и предоставляющими пользователям разнообразные услуги по организации вычислительных работ на ЭВМ, доступу к информационно-поисковым системам (базам данных), сбору, обра ботке и накоплению информации и т.п.
Специфика и эффективность работы ИТС в значительной степени определяются особенностями (протоколами) организации в сети информационного обмена, к которой подключены вычисли тельные машины и абонентские пункты пользователей.
Разработчики ИТС закладывают в протоколы весь необходи мый набор функций, обеспечивающих высококачественный инфор мационный обмен с помощью различных абонентских терминалов и использованием различных сред передачи (первичных систем элек тросвязи). Очевидно, что ошибки при организации и ведении ин формационного обмена вероятны и их появление обусловлено эф фективностью функционирования отдельных сетевых программно аппаратных комплексов и всей сети в целом, а также помеховой об становкой в тех или иных каналах (линиях) связи. Однако защита от такого рода ошибок не являются предметом ИБ ИТС.
Вся мировая история показывает, что шпионская (противо правная) деятельность по добыванию различного рода информации является «основой основ» политики любого государства. Человек непредсказуем: окружающие обстоятельства могут повлечь его к поиску информации, доступ к которой ограничен определенным кругом лиц, - это с одной стороны. А с другой, - любой владелец конфиденциальной информации желает обезопасить ее от посто ронних. Именно наличие человеческого фактора при эксплуатации и функционировании ИТС обусловливает необходимость дополне ния стандартного набора функций для открытых систем еще одной функцией - функцией обеспечения безопасности ИТС.
Необходимо отметить, что сами угрозы ИБ ИТС могут варьиро ваться, изменяться и обновляться («совершенствоваться»), так как в основе таких угроз лежит человек, поведение которого весьма сложно предсказать (практически невозможно). С другой стороны, существует
Введение |
13 |
вероятность возникновения той или иной угрозы, а это означает, что «отдавать предпочтение» какой-либо группе угроз (или угрозе) весьма неразумно, так как угроза может возникнуть там, «где её совсем не ждешь». Более того, чем изощреннее нарушитель, тем изощреннее угроза. Но с точки зрения их реализации (претворения в жизнь) и достижения результата, они все приводят к вполне конкретным по следствиям, которые могут быть объединены в группы (виды). Спе циалисты, занимающиеся проблемой ИБ, определили четыре вида последствий угроз: вскрытие, обман, разрушение, захват (узурпа ция). Последствием воздействия угроз является нарушение ИБ ИТС.
Создание и развитие широкомасштабной Internet-сети, часто называемой «киберпространством», и её повсеместная доступность позволили говорить о новой социально-экономической среде. Ки берпространство по своей сути является отражением реального ми ра, но со своими «виртуальными особенностями». Естественно, что оно затронуло и сферу экономики и финансов, сделав себя конку рентоспособной и весьма эффективной (прибыльной) сферой биз неса. Именно слияние традиционных форм коммерческой деятель ности с глобальной информационно-телекоммуникационной ин фраструктурой стало причиной появления «виртуального (элек тронного) бизнеса» и «виртуальной (электронной) коммерции».
Одним из важнейших направлений развития Internet-сети яв ляется создание эффективных и безопасных условий для ведения электронного бизнеса. С этой целью в IETF (Internet Engineering Task Force) создана рабочая группа по развитию электронной коммер ции - Trade Working Group (TWG). Главное предназначение дея тельности TWG разработка и внедрение международных стандар тов в области открытой электронной Internet-торговли. Первым ос новополагающим документом для этого вида деятельности является «Протокол открытой торговли в Internet» («Internet Open Trading Protocol» vl.O - IOTP, RFC-2801), а также «Прикладной программный интерфейс для системы электронных платежей» («Payment Applica tion Programmer Interface» vl.O - PAPI, RFC-3867).
РАЗДЕЛ I.
ОБЩАЯ ХАРАКТЕРИСТИКА ОРГАНИЗАЦИИ
ИНФОРМАЦИОННОГО ОБМЕНА
В ИНФОРМАЦИОННО ТЕХНОЛОГИЧЕСКИХ СЕТЯХ
Глава 1. Общие характеристики организации ИТС
Для создания крупномасштабных систем передачи, хранения и обработки информации (данных) ЭВМ и вычислительные ком плексы объединяются с помощью средств передачи данных в ИТС, обеспечивающие пользователям различные услуги.
1.1. Структура и топология ИТС
Структура ИТС представлена на рис. 1.1,а. ИТС включает, как правило, три взаимосвязанные подсети: базовую сеть передачи дан ных (СПД), сеть ЭВМ и терминальную сеть.
Терминальная
сеть
Рис. 1.1,а. Структура информационно-технологической сети
Раздел L |
15 |
Базовая СПД - совокупность средств для передачи данных между ЭВМ - состоит из линий связи и узлов связи (УС). Узел связи - совокуп ность средств коммутации и передачи данных в одном пункте - при нимает данные, поступающие по каналам связи, и передает данные в каналы, ведущие к абонентам. УС реализуется на основе коммутацион ной ЭВМ (КВМ, коммутаторы, маршрутизаторы) и аппаратуры пере дачи данных. КВМ управляет приёмом и передачей данных и, в част ности, выбирает целесообразный путь передачи данных.
Базовая СПД - ядро вычислительной сети. Она обеспечивает фи зическое объединение ЭВМ и прочих устройств сеть ЭВМ, которая включает в себя главные и терминальные ЭВМ. Главные ЭВМ (ГВМ (a host computer), прикладные серверы) выполняют задания абонентов сети (пользователей) по обработке и хранению информации. Терми нальные ЭВМ (ТВМ, серверы доступа) предназначены для сопряжения терминалов с базовой СПД. Основная функция сопряжения сводится к преобразованию данных в форму, обеспечивающую их передачу сред ствами базовой сети и вывод данных на терминалы.
Терминальная сеть - совокупность терминалов и терминальной сети передачи данных. Терминалы - устройства, с помощью которых абоненты осуществляют ввод и вывод данных. В терминальной сети могут использоваться интеллектуальные терминалы и абонентские пункты. В состав интеллектуального терминала входит процессор, обеспечивающий локальную обработку данных - редактирование текстов, отображение данных в специальной форме, хранение дан ных и манипуляции с ними и др. Абонентский пункт состоит из взаимосвязанных устройств ввода-вывода, обеспечивающих ввод данных от нескольких источников и вывод данных в различной форме - на экраны дисплеев, печатающие устройства, устройства вывода графической информации и др. Для подключения терми налов к сети ЭВМ используются линии связи и обслуживающие их удаленные мультиплексоры передачи данных (УМПД), в совокуп ности образующие терминальную сеть передачи данных.
Контроль состояния ИТС и управление ее функционировани ем обеспечиваются административной системой, включающей в себя ЭВМ, терминальное оборудование и программные средства, с по мощью которых производится включение и выключение сети и ее компонентов, контролируется ее работоспособность, устанавливает ся режим функционирования компонентов, систем и сети в целом, учитывается объем услуг, предоставляемых абонентам сетью, и др.
Отдельные ИТС могут быть связаны между собой с помощью линий связи, подключаемых к узлам межсетевой связи. В узле межсе тевой связи используется ЭВМ, обеспечивающая согласование и преобразование данных при передаче их от одной сети к другой.
16 |
Глава 1. Общие характеристики организации ИТС |
Таким образом, под структурой ИТС понимается вся совокупность входящих в нее элементов (УС, КВМ, ТВМ, ГВМ и др.) и взаимосвязи между ними.
Рис. 1.1,6. Структура (1) и топология (2) фрагмента ИТС
Для понимания сущности термина «топология сети» рассмотрим два следующих рисунка (рис. 1.1,6). На них представлен один и тот же фрагмент ИТС в двух формах: а) в форме неориентированного графа (рис. 1.1,6-1); 6) в форме ориентированного графа (рис. 1.1,6-2), дугам которого приписаны весовые коэффициенты (последние могут иметь различную физическую природу: пропускная способность, стоимость, величина задержки и др.). Очевидно, что рис. 1.1,6-1 представляет собой структуру фрагмента сети, то есть описывает состав этого фрагмента ИТС и связи между УС. Однако этот рису нок недостаточно информативен и не позволяет провести достаточ ный анализ ИТС, например, для решения задач маршрутизации, управления потоками и др.
Второй рисунок (рис. 1.1,6-2) «устраняет» недостатки пре дыдущего, то есть он достаточно информативен и позволяет бо лее глубоко проанализировать итс (на нем показаны не только сами связи между элементами сети, но и их качественные и коли чественные характеристики). Вместе с этим связи между рассмат риваемыми узлами сети являются односторонними, что чрезвы чайно важно при решении задачи выбора маршрута передачи пакета через эти УС.
Раздел I. |
17 |
Теперь возникает справедливый вопрос: А откуда появился термин «топология сети»? Под топологией в математике понимается раздел, изучающий топологические свойства фигур, то есть свойст ва, не изменяющиеся при любых деформациях, производимых без разрывов и склеивания (точнее при взаимно однозначных и непре рывных отображениях). Топологическое пространство (математиче ское понятие, обобщающее понятие метрического пространства) - множество элементов любой природы, в котором тем или иным спо собом определены предельные значения.
Таким образом, под топологией ИТС понимается её структура с определенными на ней предельными функциональными парамет рами и направлениями информационных потоков.
1.2. Зачем нужны сети?
Основной эффект от объединения ЭВМ и терминалов в ИТС - полная доступность ресурсов сети для пользователей. Пользователи, подключенные к сети, имеют доступ ко всем главным ЭВМ, входя щим в сеть, и, следовательно, получают возможность использовать память этих ЭВМ для хранения данных и процессоры для их обра ботки. Пользователям доступны программное обеспечение, имею щееся в сети, и базы данных в ЭВМ, что позволяет им оперативно их использовать. Как правило, сети предоставляют возможность парал лельно обрабатывать данные сразу несколькими ЭВМ. Возможно построение распределенных баз данных, размещенных в памяти не скольких ЭВМ, а за счет этого - создание сложных информацион ных структур. Информационные связи между пользователями по зволяют группам пользователей решать задачи моделирования сложных систем, выполнять проектные и другие работы, опираю щиеся на распределенные между многими ЭВМ программное обес печение и базы данных. Таким образом, сетевая обработка и хране ние данных - качественно новая организация обработки, при кото рой в значительной мере увеличиваются сложность и скорость ре шения задач, требующих участия большого числа пользователей.
ИТС позволяет повысить уровень загрузки ЭВМ, программно го обеспечения и баз данных. Это обусловлено двумя факторами. Во-первых, ИТС обслуживает большое количество пользователей, поэтому нагрузка, создаваемая всеми пользователями, в меньшей степени подвержена колебаниям, чем нагрузка, создаваемая отдель ным пользователем или группой. Этот эффект имеет статистиче скую природу и оценивается дисперсией среднего значения нагруз ки, создаваемой пользователями. Так, если среднее квадратическое
18 |
Глава 1. Общие характеристики организации ИТС |
отклонение нагрузки, создаваемое одним пользователем, равно Ь, то п пользователей создают суммарную нагрузку, среднее квадратиче
ское отклонение которой равно Ъ/4п , т.е. колебания нагрузки, соз даваемой, например 100 пользователями, в 10 раз меньше, чем у соз даваемой одним пользователем. Следовательно, увеличивается ве роятность того, что в каждый момент времени существует работа для каждого компонента сети, т.е. увеличивается загрузка сети.
Во-вторых, стабилизируется загрузка сети, когда сеть охватывает территорию, расположенную в нескольких часовых поясах. Эффект стабилизации особенно существен для эксплуатации специализиро ванных и проблемно-ориентированных ЭВМ, аналого-цифровых вы числительных комплексов, информационно-справочных систем и др.
Как показывает практика, за счет расширения возможностей обработки данных и лучшей загрузки ресурсов стоимость обработ ки данных средствами сети снижается в полтора раза и более по сравнению с обработкой данных на несвязанных ЭВМ.
1.3. Характеристики ИТС
Основными характеристиками ИТС являются операционные возможности, время доставки сообщений, производительность и стоимость обработки данных.
Операционные возможности сети - перечень основных действий по обработке и хранению данных. Главные ЭВМ, входящие в состав сети, предоставляют пользователям, как правило, следующие виды услуг:
1)передача файлов (наборов данных) между ЭВМ сети;
2)доступ к пакетам прикладных программ, базам данных и уда ленным файлам - обработку файлов, хранимых в удаленных ЭВМ;
3)передача текстовых и, возможно, речевых сообщений между терминалами (пользователями);
4)распределенные базы данных, размещаемые в нескольких ЭВМ;
5)удаленный ввод заданий - выполнение заданий, поступающих с любых терминалов, на любой главной ЭВМ в пакетном или диалоговом режиме;
6)защита данных и ресурсов от несанкционированного доступа;
7)выдача справок об информационных и программных ресурсах;
8)автоматизация программирования и распределенная обработ ка - параллельное выполнение задачи несколькими ЭВМ. Время доставки сообщений определяется как статистическое
среднее времени от момента передачи сообщения в сеть до момента получения сообщения адресатом.
Раздел I. |
19 |
Производительность сети представляет собой суммарную про изводительность главных ЭВМ. При этом обычно производитель ность главных ЭВМ означает номинальную производительность их процессоров.
Цена обработки данных формируется с учетом средств, исполь зуемых для ввода-вывода, передачи, хранения и обработки данных. На основе цен рассчитывается стоимость обработки данных, которая зависит от объема используемых ресурсов вычислительной сети (ко личество передаваемых данных, процессорное время), а также от режима передачи и обработки данных.
Рис. 1.2. Модель процесса
Указанные характеристики зависят от структурной и функ циональной организации сети, т.е. набора параметров, основные из которых: структура (топология) ИТС (состав ЭВМ, структура базо вой СПД и терминальной сети), метод передачи данных в базовой сети, способы установления соединений между взаимодействую щими абонентами, выбор маршрутов передачи данных и др. Кроме того, они зависят от нагрузки, создаваемой пользователями. Нагруз ка определяется числом активных терминалов (пользователей) и интенсивностью взаимодействия пользователей с сетью. Последний параметр характеризуется количеством данных, вводимых и выво димых терминалом за единицу времени, и потребностью в ресурсах главных ЭВМ для обработки этих данных.
1.4. Требования к организации ИТС
Организация ИТС должна удовлетворять следующим основ ным требованиям:
1. Открытость - возможность включения дополнительно главных ЭВМ, терминалов, узлов и линий связи без изменения техниче ских и программных средств действующих компонентов.
20 |
Глава 1. Общие характеристики организации ИТС |
2.Гибкость - сохранение работоспособности при изменении структуры в результате выхода из строя ЭВМ, узлов и линий связи, допустимость изменения типа ЭВМ и линий связи, а также возможность работы любых главных ЭВМ с терминала ми различных типов.
3.Эффективность - обеспечение требуемого качества обслужи вания пользователей при минимальных затратах.
Указанные требования реализуются за счет модульного прин
ципа организации управления процессами в сети по многоуровне вой схеме, в основе которой лежат понятия процесса, уровня управле ния, интерфейса и протокола.
1.5. Процессы
Функционирование ИТС представляется в терминах процес сов. Процесс - это динамический объект, реализующий собой целе направленный акт обработки данных. Процессы подразделяются на два класса: прикладные и системные. Прикладной процесс - выполне ние прикладной или обрабатывающей программы операционной системы ЭВМ, а также функционирование терминала, т.е. пользова теля, работающего на терминале. Системный процесс - выполнение программы (алгоритма), реализующей вспомогательную функцию, связанную с обеспечением прикладных процессов. Примеры сис темных процессов: активизация терминала для прикладного про цесса, организация связи между процессами и др.
Рис. 1.3. Взаимодействие процессов
Модель процесса представлена на рис. 1.2. Процесс порожда ется программой или пользователем и связан с данными, посту пающими извне в качестве исходных и формируемыми процессом
Раздел 1. |
21 |
для внешнего пользования. Ввод данных, необходимых процессу, и вывод данных производятся в форме сообщений - последовательно сти данных, имеющих законченное смысловое значение. Ввод сооб щений в процесс и вывод сообщений из процесса производится че рез логические (программно организованные) точки, называемые
портами. Порты подразделяются на входные и выходные. Таким обра зом, процесс как объект представляется совокупностью портов, че рез которые он взаимодействует с другими процессами сети.
Взаимодействие процессов сводится к обмену сообщениями, ко торые передаются по каналам, создаваемым средствами сети (рис. 1.3). Промежуток времени, в течение которого взаимодействуют процес сы, называется сеансом (сессией). Важно подчеркнуть, что в ЭВМ и вычислительных комплексах взаимодействие процессов обеспечива ется за счет доступа к общим для них данным (общей памяти) и об мена сигналами прерывания. В ИТС единственная форма взаимо действия процессов - обмен сообщениями.
Это различие связано с территориальной распределённостью процессов в ИТС, а также с тем, что для физического сопряжения компонентов сети используются каналы связи, которые обеспечи вают передачу сообщений, но не отдельных сигналов.
Система А |
Система В |
Система С |
Уровень
Прикладной
Представления
Сеансовый
Транспортный
Сетевой
Канальный
Физический
Рис. 1.4. Многоуровневая организация ИТС