Классификация компьютерных вычислительных сетей.

В зависимости от территориального расположения АС сети делят на 3 класса:

– глобальные (WAN – Wide Area Network);

– региональные (MAN – Metropolitan Area Network);

– локальные (LAN – Local Area Network).

Глобальные: АС расположены в разных странах, на разных континентах. Коммуникационные сети строятся на базе телефонных линий, радиосвязи, спутниковой связи.

Региональные: АС расположены внутри страны, региона, большого города. Используют для связи волокнно-оптические кабели, телефонные линии, радиосвязь.

Локальные: АС привязаны к одному месту: предприятие, здание, фирма. Средства связи: коаксиальный кабель, витая пара.

В настоящее время реализуется тенденция объединения компьютерных сетей (комплексирование сетей, корпорация сетей). При этом создаются сложные многосетевые иерархии. Аппаратурной базой для объединения служат мосты (в пределах одного протокола), маршрутизаторы и шлюзы (согласование протоколов).

Иерархия компьютерных сетей.

Эталонная модель взаимодействия открытых систем

Архитектура связей компьютерных сетей. Концепция архитектуры связей означает, что сеть строится из набора структурных элементов между которыми устанавливаются пути передачи информации ( каналы связи и интерфейс ) и оговаривается методика их взаимодействия. Метод, посредством которого сообщения обрабатываются структурными элементами и передаются по сети называется сетевым протоколом. Каждому структурному элементу соответствует определенный уровень сетевого протокола, т.е. части протокола реализуются в частях архитектуры.

Рассмотрим обобщенную модель архитектуры вычислительной сети.

рис. 3.1 Архитектура связей.

Модель содержит m - узлов, канал связи и m - интерфейсов между узлами и каналом ( у/к ). Сообщения формируются и потребляются в узлах сети . Задача состоит в обеспечении надежной и быстрой передачи сообщений от источников ( узлы в которых формируются сообщения ) к получателям ( узлы в которых сообщения потребляются ).Каждый узел может формировать и потреблять сообщения, все узлы имеют равноправный доступ к каналу связи и каждый узел может связываться со всеми другими узлами. Поэтому на рис. 3.1 все связи двунаправлены. Здесь можно выделить два уровня: уровень узлов и уровень среды.

Рассмотрим архитектуру более подробно. Разделим внутренние операции узла между прикладным процессором (ПП) и связным процессором (СП). В данном случае ПП и СП чисто абстрактные.

Сообщения формируются и потребляются ПП, в то время как СП отвечают за передачу сообщений от ПП- источника к ПП- получателю.

Интерфейс между ПП и СП ( П/С- интерфейс ) можно рассматривать как "почтовый ящик", куда процессор ПП опускает посылаемые сообщения и собирает принятые.

Сообщения , опущенные в почтовый ящик процессором ПП в узле источника, необходимо выбирать процессором СП и передать через С/К- интерфейс и канал связи процессору СП в узле назначения, который должен поместить их в свой П/С- интерфейс, а оттуда они должны выбираться и потребляться ПП узла назначения.

Здесь три уровня:

Верхний уровень - ПП

Средний уровень - СП

Нижний уровень - канал связи.

Рис. 3.2 Трехуровневая архитектура.

Достоинство трехуровневой сети:

Каждый уровень можно определить и реализовать отдельно. Можно определить протокол каждого уровня. Таким образом, возникает концепция многоуровневой архитектуры.

Преимущество многоуровневой архитектуры заключается в том, что более высокие уровни могут использовать услуги, обеспечиваемые нижними уровнями, не вдаваясь в детали операций на нижних уровнях. Т.е. ПП верхнего уровня формирует сообщение, передает его в П/С- интерфейс и полагает, что сообщение будет передано без ошибок и найдет адресата. Если случаются ошибки, то их исправляют средний и нижний уровень и это не затрагивает верхний. Т.е. с точки зрения ПП сеть работает без ошибок.

Как только сообщение анализируется в П/С- интерфейсе узла источника рано или поздно оно достигнет П/С- интерфейс узла назначения. Таким образом при рассмотрении обмена сообщениями между парой ПП операции нижних уровней являются прозрачными с точки зрения верхнего уровня. Можно предположить, будто два ПП обмениваются сообщениями напрямую , т.е. между ними существует прямая связь, называемая виртуальной.

Эталонная модель сети OSI ( взаимосвязь открытых систем ). Фирмы оптимизируют изделие, делая их дешевле и конкурентноспособнее. В результате изделия разных фирм оказываются несовместимыми и проблема их стыковки в сети очень усложняется.

Международная организация по стандартизации (МОС) англ. (ISO) - International Standards Organization разработала модель архитектуры вычислительной сети, названной моделью взаимосвязи открытых систем Open System Interconnection (OSI).

Она основана на разработке ряда логических ограничений для сетевых стандартов, приемлемых для изготовителей , что с одной стороны позволяет создавать конкурентноспособные изделия, а с другой стороны стыковать их с изделиями других изготовителей.

Проблема сложности стыковки в ЛВС лучше всего решается с использованием подхода многоуровневой архитектуры, в котором все функции сети разделены на несколько групп,называемые уровнями.

Вышележащие уровни используют услуги , предоставляемые нижележащими. Модель (OSI) основана на концепции уровневой архитектуры и определяет ряд уровней, выполняемые ими уровни и межуровневые интерфейсы. Разделение функций сети между уровнями проводится с учетом двух взаимоисключающих ограничений. Если использовать много уровней, то каждый становится меньше и проще, с другой стороны использование большого количества уровней создает много межуровневых интерфейсов и это сводит на нет выгоду от упрощения уровней. Модель OSI разделяет сетевые функции по семи уровням.

Процесс - динамический объект, реализующий целенаправленную активную обработку данных.

Прикладной процесс - выполнение прикладной программы, а так же функционирование терминала ( пользователя работающего на терминале ). Ввод сообщений в процесс и вывод сообщений из процесса производится через входные и выходные логические точки ( программно - организованные порты ). Таким образом процесс, как объект представляется совокупностью портов, через которые он взаимодействует с другими процессами сети.

Прикладные процессы

Верхний уровень

7

6/7 интерфейс

6

5/6 интерфейс

5

4/5 интерфейс

4

3/4 интерфейс

3

2/3 интерфейс

2

1/2 интерфейс

1

Нижний уровень

У ровни реализуются в виде программных и аппаратных модулей. Модули уровня n физически взаимодействуют с модулями соседних уровней (n+1) и (n-1).

Уровни удобно рассматривать, начиная с нижнего.

1). Физический уровень - обеспечивает электрическими, механическими и функциональными характеристиками подключение к каналу связи и физический путь для электрических ( оптических ) сигналов, представляет биты переданной информации. Он устанавливает характеристики этих сигналов, например, значение напряжения и тока, частоты и длительности. Он определяет типы кабелей и разъемов. Физический уровень представляет единственную реальную взаимосвязь между узлами сети. Из-за наличия помех воздействующих на канал, в передаваемые данные вносятся искажения и уменьшают достоверность передачи: вероятность искажения ошибок на бит. Повышение достоверности передачи данных достигается применением специальных методов и средств контроля правильности передачи, автоматическое повторение передачи при появлении ошибки или автоматическую коррекцию. Эти методы реализует канальный уровень.

2). Канальный уровень- определяет правило совместного использования физического уровня узлами ЛВС, осуществляет установление, поддержание и разъединение каналов, и управляет каналом передачи данных .Канальный уровень обеспечивает передачу через недостаточно надежный физический канал данных с достоверностью, необходимой для нормальной работы ЛВС ( не более ошибок на бит ).Например в ЛВС с шиной КУ делит канал по временному принципу, Информация передается адресными порциями (кадрами)- по одному кадру в единицу времени. Определяет формат этих кадров и способ, согласно которому узел решает когда можно передать или принять кадр. Используются два основных типа кадров: кадры данных - пакеты ( сообщения верхних уровней ), управляющие кадры - ( пакеты, подтверждающие и т.д. ).

С точки зрения верхних уровней канальный и физический уровень обеспечивает безошибочное прохождение пакетов от узлов источника к узлам назначения.

3).Сетевой уровень - в ГВС отвечает за выбор маршрута связи. Для ЛВС функции сетевого уровня сводятся к адресации и временному хранению ( буферизации ) пакетов. Первые три уровня организуют базовую систему передачи данных ( СПД ).

4).Транспортный уровень - управляет передачей данных от системы - источника к системе - адресату. С передающей стороны ТУ делит длинные сообщения, приходящие от верхниъх уровней на пакеты данных. Деление необходимо из-за того, что пакеты ограничены по длине и для передачи длинных сообщений требуется несколько пакетов.

С принимающей стороны ТУ должен собирать сообщения из набора пакетов, получаемых зи КУ и СУ.

Поскольку многие узлы одновременно могут передавать сообщения в один и тот же узел, то в момент прибытия пакеты разных узлов могут передаваться. Сетевой уровень производит хранение ( буферизацию ) пакетов, а ТУ должен обеспечить правильную сборку пакетов каждого сообщения и исключить их смещение и потерю.

ТУ является границей, ниже которой единица информации пакет управляемый сетью, а выше единица информации - это сообщение. Можно сказать, что ТУ - это уровень управляющий передачей данных от источника к адресату.

5). Сеансный уровень - отвечает за обеспечение сеанса связи между двумя процессами пользователя, протекающих в разных узлах ЛВС. Сеанс организуется по запросу процесса пользователя, переданному через прикладной уровень и уровень представления. В запросе определяется как пункт назначения ( адрес ) сеанса связи, так и партнер ( например аналогичный пользователь ). Сеанс может начаться только в том случае, если партнер существует ( его процесс активен ) и согласен связаться. Сеансный уровень определяет возможность начать сеанс, поддерживает сеанс и заканчивает его. Можно сказать, что на сеансном уровне по запросам процессов создаются порты для приема и передачи сообщений и организуются соединение - виртуальные каналы.

6). Уровень представления - его функция заключается в преобразовании сообщений пользователя из формы, используемой прикладным уровнем,. в форму, используемую более низшими уровнями и наоборот. целью преобразования является сжатие данных или их защита,

Процедуры уровня представления интерпретируют стандартные сообщения применительно к конкретным операционным системам ЭВМ и терминалам различных типов. Этим создается возможность взаимодействия, например, одной программы с терминалом различных типов.

В интерфейсе выше уровня представления поля данных сообщений имеют смысловую форму, ниже уровня представления поля данных сообщений и пакетов рассматриваются как передаточный груз и их смысловое значение не влияет на их обработку.

7). Прикладной уровень - это верхний уровень является границей между процессами сети и прикладными пользовательскими процессами. В ПУ происходит выполнение прикладных программ, управление терминалами, администрированное управление сетью.

Предположим, что процесс пользователя, работающий в узле N_i запрашивает данные, находящиеся в распоряжение другого узла ЛВС. Прикладной уровень должен определить, в каком узле находятся данные, сформировать запрос и послать его через сеть, получить запрошенные данные и сделать их доступными для запрашивающего процесса пользователя.

Типовые топологии локальных вычислительных сетей

Локальной вычислительной сетью (ЛВС) называется совокупность взаимосвязанных и распределенных по сравнительно небольшой территории вычислительных ресурсов (микро-ЭВМ, ПК, терминалов и т.д.), взаимодействие которых обеспечивается специальной системой передачи данных. ЛВС предназначены для сбора информационных данных, их передачи, распределенной обработки информации в пределах одного предприятия или организации для управления сложными процессами (ядерными реакторами, системами управления атомных кораблей и т.д.).

Распределенная обработка данных в ЛВС позволяет значительно повысить производительность и быстродействие систем. В условиях рыночной экономики информация выступает как один из важнейших и дорогих товаров. Успех коммерческой, предпринимательской, а применительно к вузу, научной и образовательной деятельности напрямую связан с соответствующими информационными системами (биржевыми, банковскими, научными и т. д.), с возможностью доступа к тем или иным банкам данных.

Как правило, работа этих систем базируется на локальных компьютерных сетях различной архитектуры или на их объединении, получивших название корпоративных сетей.

Наличие в том или ином учреждении ЛВС создает для ее пользователей новые возможности (и новые технологии) интегрального характера:

• организуется безбумажный документооборот (электронная почта)

• создаются различные банки информации (управленческой, коммерческой и др.) доступ к которой имеют все пользователи

• каждый пользователь получает доступ ко всем ресурсам сети (принтерам, сканерам, теле вводу, файл-серверу)

• появляется возможность решения тех или иных профессиональных задач (подготовка отчетов, ведомостей, создание сложных прикладных программ).

Кроме организации внутренних служб, ЛВС позволяет организовать внешние по отношению к данному учреждению службы, такие как телексные, электронная почта, электронные доски объявлений, электронные газеты и журналы, а также выход в региональные и глобальные сети и использование их услуг (выход в Internet).

Локальную вычислительную сеть можно рассматривать как совокупность серверов и рабочих станций.

Сервер - это компьютер, подключенный к сети и обеспечивающий ее пользователей определенными услугами: хранением данных, управлением базой данных, удаленной обработкой заданий, печатью заданий и т.д. Различают файл-серверы, принт-серверы, серверы баз данных и др. Серверы являются источниками ресурсов локальной компьютерной сети.

Рабочая станция - это ПК, подключенный к сети, через который пользователь получает доступ к ее ресурсам. Рабочая станция (РС) работает в сетевом и локальном режимах. Эти режимы поддерживает собственная операционная система рабочей станции (MS DOS, Windows и т.д.).

Файл-сервер (ФС) на своих дисках хранит данные и обеспечивает доступ к ним. На ФС устанавливается сетевая операционная система. Она обеспечивает функции хранения, архивации, синхронизации изменения данных различными пользователями, передачи файлов по сети. Обработка данных осуществляется на рабочих станциях. Такая организация сети с ФС называется архитектурой "файл - сервер".

Существует также архитектура "клиент - сервер". Клиент - это задача, рабочая станция или пользователь сети. Клиент посылает запрос на сервер базы данных для выборки данных в соответствии с условием запроса. Запрос формируется на специальном языке запросов SQL. Сервер выполняет запрос, представляет извлеченные данные в удобном для клиента виде и посылает их клиенту по сети. В результате объем данных, передаваемых по сети, значительно меньше, чем в архитектуре "файл - сервер".

Архитектура "клиент - сервер" может использоваться как в одноранговых ЛВС, так и в ЛВС с выделенным сервером.

В одноранговых сетях все рабочие станции имеют равные права. Каждый компьютер может выполнять функции как клиента, так и сервера. Пользователю доступны все устройства сети.

В сетях с выделенным сервером один или несколько компьютеров выполняют роль сервера и управляют всеми процессами в сети. Такие сети имеют топологическую структуру типа "звезда с активным центром".

Типовые топологии ЛВС. Конфигурации ЛВС делят на два основных класса: широковещательные и последовательные.

Широковещательные конфигурации : Каждый ПК передаёт сигналы, которые могут быть восприняты всеми остальными ПК. Это конфигурации: общая шина, дерево, звезда с пассивным центром (это ЛВС с селекцией информации ).

Последовательные конфигурации : Сигналы передаются только одному ПК (это ЛВС с маршрутизацией информации : кольцо , цепочка и др.).

В широковещательной конфигурации должны применятся мощные приёмники и передатчики. К основным топологическим схемам широковещательных конфигураций относят: общую шину, дерево, звезду с пассивным центром. В ЛВС с шинной топологией подключение рабочих станций к шине можно проводить без прерывания сетевых процессов, однако в такой топологии прослушивание информации осуществляется достаточно легко, вследствие чего защищенность такой ЛВС низкая. Сети с древовидной структурой образуются из нескольких сегментов. В корнях дерева расположены устройства, называемые концентраторами. (хабами). Бывают активные и пассивные концентраторы.

П оследовательные конфигурации

Параметры надежности и производительности звезды с активным центром зависят от центрального узла. Центральный узел позволяет реализовать оптимальный механизм защиты от несанкционированного доступа. В кольцевой топологии сообщения циркулируют по кругу. Главная проблема - невысокая надежность, т.к. каждая рабочая станция участвует в передаче информации и выход из строя любой из них парализует работу всей сети.

Управление доступом и передачей данных в локальных сетях

Доступ к каналу. Из соображения надёжности каналы ЛВС строятся в основном по принципу распределения управления доступом к каналу, так как при централизованном управлении выход из строя контроллера канала является катастрофическим для сети в целом.

При распределении управления все узлы функционируют одинаковым образом, получая информацию о занятости и освобождении канала только исходя из состояния физического канала. То есть для каждого узла канал равнодоступен. Порядок доступа определяет протокол. Приём данных производится путём селекции - выделения из множества данных тех, которые адресованы конкретному узлу.

Различают три основных способа доступа к моноканалу: свободный, управляемый и комбинированный доступ.

При свободном (случайном) доступе каждый узел захватывает канал для передачи данных в произвольный момент времени. Если две или более системы одновременно передают данные в канал, то происходит коллизия - интерференция сигналов. Данные при этом искажаются и подлежат повторной передаче, момент которой назначается по специальному алгоритму.

Управляемый (детерминированный) доступ основан на поочерёдном предоставлении систематического разрешения на передачу данных.

Комбинированный доступ основан на использовании свободного и управляемого доступа к каналу на разных фазах работы систем.

Наибольшее распространение в локальных компьютерных сетях получили конкретные реализации методов доступа: Ethernet, Arcnet и Token Ring. Эти реализации основаны на стандартах соответственно: IEEE 802.3; IEEE 802.4; IEEE 802.5.

Метод доступа Ethernet. Наиболее популярен. Подходит для топологии “общая шина”. Метод Ethernet является методом множественного доступа с прослушиванием несущей и разрешением коллизий (CSMА/CD ). Коллизии приводят к заметному уменьшению быстродействия только в том случае, если работает порядка 80-100 станций. В шинной структуре для любой пары источник-адресат узел источника посылает широковещательное сообщение в сетевую среду (шину). При такой передаче сигнал распространяется по всей среде и достигает всех других узлов сети практически одновременно, поэтому сообщения должны иметь адрес.

Другое свойство сетей с шинной структурой - это возможность возникновения сетевых коллизий.

Коллизия в сети с шиной возникает всякий раз, когда одновременно работают два или более передающих узлов (источников) сети .В результате коллизий в принимающие узлы сигналы прибывают уже разрушенными и содержание сообщений нельзя расшифровать, то есть сообщения теряются . Коллизии устраняются сетевыми протоколами .

Метод доступа Arcnet. Фирма Datapoint Corp. Он ориентируется на использование дешевого оборудования. подходит для топологии “звезда” и “шина”. Использует принцип последовательной передачи маркера. Данный метод характеризуется тем, что в нем право пользования среды передается от узла к узлу организационным способом, а не состязательным путем. Право на использование среды передается посредством уникального кадра, называемого маркером вдоль логического кольца в сети с использованием адресации узлов ( ID ).

В схеме типа шины с передачей маркера каждому узлу известен идентификатор следующего узла в логическом кольце ( NID – next ID). Обычно следующий узел имеет адрес с большим значением ID.

Помимо передачи маркера, схема с шиной должна решать проблему потери маркера и реконфигурации кольца. Потеря маркера может произойти из-за повреждений одного из узлов логического кольца. Т.е. в некоторый момент времени маркер приходит в порядок данный узел, но узел не пропускает его дальше и другие узлы не получают маркер.

Реконфигурация кольца выполняется, когда в логическое кольцо добавляется или из него удаляется один из узлов.

Во время нормальной работы ( когда не выполняется восстановление маркер или реконфигурации кольца) , каждый узел работает в соответствии с диаграммой состояний представленной на рисунке.

Большую часть времени канальный уровень находится в состоянии прослушивания. Если заголовок приходящего кадра в начале адреса содержит ID данного узла (MID) , то узел переходить в состояние приема и происходит прием кадра. Если принятый кадр является кадром пакета данных, то сетевой уровень (3) информируется о приеме, а канальный уровень (2) возвращается в состояние прослушивания.

Однако, если принятый кадр является маркером это означает, что узел получает право передачи в среду. Если в это время имеется пакет данных, ждущий передачи, состояние изменяется на состояние передачи пакета и начинается его передача.

После завершения передачи пакета состояние изменяется на состояние передачи маркера и начинается передача маркера. Если в момент получения маркера узел не имеет пакета данных для передачи, состояние опять меняется на состояние прослушивания среды.

Метод доступа Token Ring. Фирма IBM. Рассчитан на топологию типа “кольцо”. Использует принцип передачи маркера по кольцу. Как и в случае с шинной структурой с передачей маркера (эстафетный доступ) в качестве маркера используется уникальная последовательность битов. Однако в этом случае маркер не имеет адреса. Вместо этого маркер может находиться в двух состояниях: в свободном и занятом.

Если ни у одного из узлов кольца не имеется пакетов данных передачи, свободный маркер циркулирует по кольцу. В каждый конкретный момент времени в кольце циркулирует только один свободный маркер. Узел у которого имеется пакет данных для передачи, должен ждать пока не получит свободный маркер.

В момент прихода свободного маркера узел меняет его состояние на занятое, передает его дальше по кольцу и добавляет к занятому маркеру пакет данных. Занятый маркер вместе с пакетом данных передается по всему кольцу. Изменить состояние маркера на свободный может только тот узел, который изменил его на занятое. Пакет данных содержит в своем заголовке адрес назначения. При прохождении через узел назначения пакет копируется. Например, если пакет данных, порожденный в узле А был послан узлу С, занятый маркер (вместе с пакетом данных) должен быть ретранслирован узлам В, С и Д. Однако в узле С пакет данных будет скопирован, т.е все узлы кольца, за исключением узла источника, ретранслируют пакет, но его принимает только один из них (узел назначения). Когда занятый маркер вместе с пакетом возвращается в узел источника, состояние маркера меняется на свободное, а пакет данных удаляется из кольца (просто не передается).

Как только маркер становится свободным, любой узел может изменить его состояние на занятое и начать передачу данных. В результате ошибок при передаче и при сбоях в узле или среде может происходить потеря маркера. Протокол кольцевой сети с передачей маркера должен содержать процедуру восстановления кольца и маркера. Эти функции выполняются сетевым мониторным узлом, как обнаружится потеря маркера, сетевой монитор начинает процедуру восстановления кольца.

Безопасность передачи информации в локальных сетях

Сложная организация сетей создает предпосылки для совершения различного рода правонарушений, связанных с несанкционированным доступом к конфиденциальной информации. Следствием опасности сетевых систем стали постоянно увеличивающиеся расходы и усилия на защиту информации, доступ к которой можно осуществить через сетевые каналы связи. Сохранить целостность данных можно только при условии принятия специальных мер контроля доступа к данным и шифрования передаваемой информации.

Угрозы безопасности сети. Пути утечки информации и несанкционированного доступа в сетях:

• побочные электромагнитные излучения и наводки в линиях связи;

• возможность незаконного подключения к линиям связи

• дистанционное преодоление систем защиты и несанкционированный доступ

• ошибки в коммутации каналов

• нарушение работы линий связи и сетевого оборудования.

Вопросы обеспечения безопасности передачи информации в сети решаются в рамках специально разработанной политики безопасности. В рамках структуры политики безопасности различают три составляющие:

• анализ угроз безопасности;

• службы безопасности сети;

• механизмы обеспечения безопасности.

Под угрозой безопасности понимают действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информации или ресурсов сети. Угрозы принято делить на две группы: случайные и умышленные. Случайные возникают в результате тех или иных ошибок. Умышленные преследуют цель нанести ущерб пользователям сети. Они подразделяются на пассивные и активные. Пассивные связаны с несанкционированным доступом путем прослушивания сети.

Активные угрозы имеют целью нарушение нормального режима функционирования сети посредство целенаправленного воздействия на сеть. Это искажение системной информации, вывод из строя систем защиты и т.д. К основным угрозам безопасности относятся:

• Раскрытие конфиденциальной информации (несанкционированный доступ к БД);

• Компрометация информации (внесение несанкционированных изменений в БД);

• Несанкционированное использование ресурсов сети;

• Несанкционированный обмен информацией между абонентами сети;

• Отказ от информации (непризнание получателем или отправителем фактов получения или отправки);

• Отказ в обслуживании (задержка или отказ предоставления ресурсов сети ее законным пользователям).

Службы безопасности сети. Предназначены для нейтрализации угроз безопасности. Международная организация стандартизации (МОС) определяет следующие службы безопасности:

Аутентификация (подтверждение подлинности);

Обеспечение целостности;

Засекречивание данных;

Контроль доступа;

Защита от отказов.

Служба аутентификации обеспечивает подтверждение того факта, что отправитель является именно тем, за кого он себя выдает.

Под целостностью подразумевается точное соответствие отправленных и полученных данных между собой.

Службы засекречивания данных обеспечивает секретность всех данных, как отдельных пакетов, так и всего трафика - нейтрализует возможность получения сведений об абонентах сети и характере использования сети.

Механизмы безопасности. МОС выделяет следующие основные механизмы безопасности сетей:

• Шифрование;

• Контроль доступа;

• Цифровая подпись.

Шифрование применяется для реализации служб засекречивания и представляет собой криптографическое преобразование открытого текста в шифртекст, передачу его по сети и обратное преобразование (расшифрование) на приемной стороне. Для реализации процедур зашифрования / расшифрования используется специальный криптографический ключ.

Механизмы контроля доступа обеспечивают реализацию соответствующей службы, они осуществляют проверку полномочий объектов сети, т.е. программ и пользователей на доступ к ресурсам сети. Механизмы контроля делятся на две основные группы:

• Аутентификацию объектов, требующих ресурса, с проверкой допустимости доступа на основании матрицы доступа;

• Использование меток безопасности, связываемых с объектами; наличие у объекта мандата на право доступа к ресурсу.

Самым распространенным является мало надежный парольный доступ. В настоящее время появились пластиковые карточки и электронные жетоны, содержащие PIN-код. Применяются также методы аутентификации по особым приметам личности, так называемые биометрические методы.

Цифровая подпись. Используется для реализации служб аутентификации и защиты от отказов от информации. Электронная подпись - это аналог обычной подписи. Она основана на знании и проверке открытого ключа отправителя.

Кроме указанных, МОС предусматривает еще и дополнительные механизмы безопасности:

Механизмы обеспечения целостности данных на основе контрольных сумм и криптографии;

Механизмы обеспечения взаимной аутентификации;

Механизмы управления маршрутизацией, на основе выбора наиболее безопасных маршрутов;

Механизмы арбитража, обеспечивающие подтверждение характеристик данных, передаваемых между объектами сети. Третьей стороной.

Коммутация и маршрутизация пакетов в компьютерных сетях

Для обеспечения связи между абонентами сети используются системы передачи данных (СПД). Они состоят из:

• физической линии связи;

• приемо-передающей аппаратуры;

• узлов коммутации, в которых процессы связи управляют выбором маршрутов передачи данных в сети, осуществляют кодирование и декодирование информации, формируют пакеты данных.

Различают следующие разновидности СПД: с коммутацией каналов; с коммутацией сообщений; с коммутацией пакетов.

СПД с коммутацией каналов. В них между ИИ (источник информации) и А (адресом) устанавливается непосредственное физическое соединение путем образования составного канала из последовательно соединенных отдельных канальных участков с одинаковой пропускной способностью.

Такой коммутируемый канал создается через узел коммутации (УК) посылкой сигнализирующего сообщения из пункта отправления. Образованный канал доступен для других передач до тех пор, пока не будет освобожден ИИ.

Достоинства: сохранение неизменными временных соотношений между элементами передаваемой информации (работа в реальном времени, диалоговая связь).

Недостатки: низкая пропускная способность при больших сообщениях; большое время установления связи; неравномерность в загрузке каналов сети; потери запросов на связь в случае перегрузки канала, т.к. нет буферной; памяти для хранения запросов.

СПД с коммутацией сообщений Информация передается дискретными порциями (сообщениями), причем между ИИ и А заранее не установлена физического канала. При передаче сообщений отправитель указывает адрес получателя. В СПД с коммутацией сообщений, имеются узлы коммутации, называемые ЦКС (центры коммутации сообщений), которые передают сообщение по свободным, в данный момент, каналам связи. Из числа свободных выбирается канал, передача по которому сопряжена с наименьшей потерей времени.

ЦКС осуществляют: коммутацию сообщений; промежуточное хранение в буферной памяти; контроль ошибок; формирование сигналов для извещения отправителя о приеме сообщения получателем.

Достоинства: низкая задержка при передаче данных; высокая пропускная способность;

Недостаток - плохо обеспечивается диалоговый режим.

СПД с коммутацией пакетов. Это основной метод. Пакет – это часть сообщения фиксированной длины. Прежде чем рассматривать прием и передачу пакетов приведем типовой формат кадра (пакета).

ПНК

Адрес получателя

Адрес отправителя

Тип кадра

Данные

ПКК (бит приема )

Каждый пакет снабжается служебной информацией – заголовком, где указан адрес отправителя, адрес получателя и номер пакета в сообщении. ПНК – последовательность начала кадра состоит из 2 – 16 битов используемых в качестве флага начала пакета и кода управления доступом к моноканалу. ПКК - последовательность конца кадра, включает бит приема, устанавливаемый при приеме кадра в состояние "1". Поле данных в различных ЛВС имеет разную длину – обычно от 4 до 128, а в отдельных случаях до 1 Кбайта. Деление сообщения от источника информации на пакеты (пакетирование сообщения) осуществляется в интерфейсных процессорах. Пакеты передаются в сети как независимые сообщения. Они поступают в узел коммутации пакетов, где накапливаются в буферной памяти, затем по мере освобождения каналов отправляются в соседний узел коммутации. В пункте назначения интерфейсный процессор формирует из пакетов исходное сообщение.

Пакеты одного и того же сообщения могут передаваться одновременно, независимо друг от друга, разными маршрутами. Это уменьшает время и увеличивает надежность передачи сообщения. Т.к. пакеты небольшие, уменьшается время занятости каналов. Метод коммутации пакетов сочетает достоинства двух предыдущих. Он обеспечивает большую пропускную способность. Эти пакеты нумеруются и снабжаются адресами и прокладывают себе путь по сети (методом передачи с промежуточным хранением), которая их коммутирует. Т.о. множество пакетов одного и того же сообщения может передаваться одновременно, что и является одним из главных преимуществ систем КП (передача данных напоминает течение по трубе). Приемник в соответствии с заголовками пакетов выполняет сшивку пакетов в исходное сообщение и отправляет его получателю. Благодаря возможности не накапливать сообщения целиком в узлах коммутации не требуется внешних запоминающих устройств, и вполне можно ограничиться оперативной памятью, а в случае ее переполнения использовать различные механизмы «притормаживания» передаваемых пакетов в местах их генерации.

Части одного и того же сообщения могут в одно и тоже время находиться в различных каналах связи, более того, когда начало сообщения уже принято, его конец отправитель может еще даже не передавать в канал.

Пакеты, относящиеся к одному сообщению, могут передаваться по разным маршрутам в зависимости от того, по какому из них в данный момент они с наименьшей задержкой могут пойти к адресату. В связи с тем, что время прохождения до сети пакетов одного сообщения может быть различным (в зависимости от маршрута и задержек в УК), порядок их перехода в ОП (к получателю) может не соответствовать порядку пакетов.

Способы пакетной коммутации. Существует два способа пакетной коммутации. Первый способ – это способ дейтаграммный, второй – способ виртуальных соединений.

1. Дейтаграммный метод (ДМ).

ДМ эффективен для передачи коротких сообщений. Он не требует громоздкой процедуры установления соединения между абонентами. Термин дейтаграмма применяют для обозначения самостоятельного пакета движущегося по сети независимо от других пакетов. Пакеты доставляются получателю различными маршрутами. Эти маршруты определяются сложившейся динамической ситуацией на сети. Каждый пакет снабжается необходимым служебным маршрутным признаком, куда входит и адрес получателя.

Пакеты поступают на прием не в той последовательности, в которой они были переданы, поэтому приходиться выполнять функции связанные со сборкой пакетов.

Получив дейтаграмму, узел коммутации направляет ее в сторону смежного узла максимально приближенного к адресату. Когда смежный узел подтверждает получение пакета, узел коммутации стирает его в своей памяти. Если подтверждение не получено, узел коммутации (УК) отправляет пакет в другой смежный узел, и так до тех пор, пока пакет не будет принят.

Все узлы, окружающие данный УК ранжируются по степени близости к адресату, и каждому присваивается 1, 2 и т.д. ранг.

Пакет сначала посылается в узел первого ранга, при неудаче – в узел второго ранга и т.д.

Эта процедура называется алгоритмом маршрутизации. Существуют алгоритмы, когда узел передачи выбирается случайно, и тогда каждая дейтаграмма будет идти по случайной траектории.

Дейтаграммный режим объединяет в себе сетевой и транспортный уровень, поэтому протокол передачи сети Internet называется протоколом TCP/IP, где протокол ТСР – протокол четвертого транспортного уровня, а IP – сетевой протокол.

2. Виртуальный метод (ВМ).

В ВМ предполагается предварительное установление маршрута передачи всего сообщения от отправителя до получателя с помощью специального служебного пакета – запроса на соединение. Для этого пакета выбирается маршрут, который в случае согласия получателя этого пакета на соединение закрепляется для прохождения по нему всего трафика. Т.е. пакет запроса на соединение как бы прокладывает путь через сеть, по которому пойдут все пакеты, относящиеся к этому вызову. В этом есть что-то общее от процедуры коммутации каналов, когда сигнал запроса проходит через сеть, и в соответствии с его путем, происходит коммутация сквозного канала, по которому потом пойдут данные. Здесь есть принципиальное отличие, которое отражено уже в названии самого соединения. В телефонной сети коммутируется реальный физический тракт, а в пакетной сети – воображаемый (виртуальный) тракт. Виртуальным он называется потому, что ему соответствует не сам канал, а логическая связка между отправителем и получателем.

Пакеты беспрепятственно проходят друг за другом по виртуальному соединению и в том же порядке попадают абоненту-получателю, где, освободившись от концевиков и заголовков, образуют передаваемое сообщение, которое направляется на 7 уровень. Виртуальное соединение может существовать до тех пор, пока отправленный одним из абонентов, специальный служебный пакет не сотрет инструкции в узлах. Режим виртуальных соединений эффективен при передаче больших массивов информации и обладает всеми преимуществами методов коммутации каналов и пакетов.

Преимущества режима ВС перед дейтаграммным заключается в обеспечении упорядоченности пакетов, поступающих в адрес получателя и сравнительной простоте управления потоком данных вдоль маршрута в целях ограничения нагрузки в сети и возможности предварительного резервирования ресурсов памяти на узлах коммутации.

К недостаткам следует отнести отсутствие воздействия изменившейся ситуации в сети на маршрут, который не корректируется до конца связи. Виртуальная сеть в значительно меньшей степени подвержена перегрузкам и зацикливанию пакетов, за что приходится платить худшим использованием каналов и большей чувствительностью к изменению топологии сети.

Каналы передачи данных локальных компьютерных сетей

С истема передачи данных - это один из ключевых элементов сети, поскольку стоимость собственно передачи данных может превышать стоимость обработки информации. Большое распространение в сетях получили различные способы и средства сжатия информации, т.к. стоимость передачи информации определяется объемом передаваемой информации. СПД опирается на сеть каналов пере6дачи данных.

Каналы передачи данных - состоят из линии связи, по которым передаются сигналы, и аппаратуры передачи данных (АПД), преобразующей данные в сигналы, соответствующих типу линии связи.

Основные характеристики канала передачи данных - пропускная способность или скорость передачи данных и достоверность передачи данных: Пропускная способность канала оценивается предельным числом бит данных, передаваемых по каналу за единицу времени [бит/с] или [1/c]. Достоверность передачи данных характеризуется вероятностью искажения бита. Основная причина искажений - воздействие помех на линию связи и шумы в АПД и линии связи.

Термин канал связи (среда, линия связи) служит для описания физического пути между передающим и приемным устройствами в коммуникационной сети. Линии связи бывают различных типов: проводные, кабельные, радио, ультразвуковые, световые, инфракрасные.

Радиоволны используются для ГВС (спутниковая связь). Инфракрасные и ультразвуковые каналы используются для ЛВС редко . Оптический канал используется в ответственных случаях, когда необходимо защитить информацию от несанкционированных доступов. Телефонная сеть предназначена для поддержания речевой связи в диапазоне частот 300-3400 Гц и состоит из кабелей и радиоканалов, используется для ГВС (для ЛВС она медленна). Для ЛВС применяется коаксиальные кабели и двухпроводные соединения (витые пары проводов). Кабельные линии и оптоволоконные линии для высокоскоростных ЛВС используют коаксиальный кабель. Витая пара обеспечивает скорости передачи данных до 100Мбит/с. Она более чувствительна к электромагнитным помехам, но дешевле коаксиального кабеля.

Основные характеристики линий связи: полоса частот, удельная стоимость и помехоустойчивость. Полоса частот F=fв-fн определяет диапазон частот [fн,fв], где fн, fв- нижняя и верхняя границы частот сигналов, эффективно передаваемые по линиям. Удельная стоимость - затраты на создание линии протяженностью 1км. Помехоустойчивость зависит от мощности помех, создаваемых в линии внешней среды ( или возникающих из-за шумов в самой линии). Наименее помехоустойчивы - радиолинии. Хорошую помехоустойчивость имеет коаксиальный кабель, отличную - волоконно-оптические линии, невосприимчивые к электромагнитным помехам.

Классификация каналов связи (КС). Ели КС имеют пропускную способность значительно выше, чем производительность источника сообщения, то в целях уменьшения стоимости передачи информации и более полного использования каналов их уплотняют. Получается уплотненные каналы связи (УКС).

Различают методы: частотного уплотнения (определенные полосы частот в канале выделяют для использования в качестве отдельных каналов); временного уплотнения (определенный период времени в канале выделяют для использования в качестве отдельного канала).

Каждый индивидуальный канал, получаемый в процесс уплотнения, несет информацию только от одного источника сообщения. Таким образом, по УКС осуществляется одновременная передача ряда независимых сообщений от нескольких источников к нескольким получателям. Число источников сообщения называется кратностью уплотнения, а системы связи с УКС – многоканальными системами передачи информации.

КС подразделяются на коммутируемые и некоммутируемые. Коммутируемые каналы связи создаются из отдельных участков только на время передачи по ним информации. По окончании передачи канал ликвидируется. Такие каналы используются при передаче информации большому числу абонентов. Некоммутируемые каналы связи – закрепленные за абонентами на длительное время. Используются при больших информационных потоках между двумя абонентами.

В зависимости от возможного направления передачи информации различают следующие типы КС: симплексные – в одном направлении (сбор данных). полудуплексные – попеременная передача в двух направлениях по одной линии. дуплексные – одновременная передача в двух направлениях.

Методы защиты от ошибок при передаче информации в сетях

Достоверность передачи данных в СПД. Определяется степенью соответствия принятого сообщения переданному и оценивается отношением числа ошибочно принятых символов к общему числу переданных (для телефонных каналов достоверность составляет 10^-3, для кабелей и витых пар 10^-4- 10^-5. Появление ошибок вызвано наличием в каналах посторонних сигналов и помех.

Из-за наличия помех воздействующих на канал, в передаваемые данные вносятся искажения и уменьшают достоверность передачи. Повышение достоверности передачи данных достигается применением специальных методов и средств контроля правильности передачи, автоматическое повторение передачи при появлении ошибки или автоматическую коррекцию. Эти методы реализует канальный уровень. .Канальный уровень обеспечивает передачу через недостаточно надежный физический канал данных с достоверностью, необходимой для нормальной работы ЛВС ( не более 10^-9ошибок на бит).

Различают следующие методы защиты от ошибок при передаче информации в сетях: помехоустойчивое кодирование (с обнаружением и исправлением ошибок); автоматическое повторение передачи при обнаружении ошибок.

Использование помехоустойчивой корректировки кодов основано на избыточности: добавление к информационным сигналам контрольных символов. Кодирование и декодирование осуществляется либо аппаратно, либо программно.

Автоматическое повторение передачи осуществляется при обнаружении ошибок с помощью корректирующих кодов. В этом случае используют СПД с обратной связью (ОС).

СПД с ОС бывают двух типов: с решающей ОС и с информационной ОС.

СПД с решающей ОС (наиболее распространены). Это системы с перезапросом. С помощью корректирующего кода на приемном пункте проверяется принимаемая информация. В случае обнаружения ошибки по каналу ОС на передающий пункт посылается сигнал перезапроса, свидетельствующий о необходимости повторной передачи. С появлением сигнала перезапроса осуществляется повторная передача всей информации, начиная с неверно принятого сообщения. При отсутствии ошибки посылается сигнал о подтверждении правильного приема, который автоматически определяет начало следующей передачи.

СПД с информационной ОС. Помехоустойчивое кодирование и корректирующие коды не используются. Принятая и записанная в запоминающее устройство приемника информация возвращается к передатчику по каналу ОС. На передающем пункте переданная информация сравнивается с принятой по каналу ОС. При правильной передаче приемнику посылается сигнал подтверждения, в противном случае производится повторная передача. У этих систем есть существенный недостаток – низкая пропускная способность.

Понятие и основные особенности автоматизированных рабочих мест (АРМ)

Под АРМ принято понимать совокупность методических, языковых, программных и технических средств, обеспечивающих работу пользователей с информацией в конкретной предметной области. Автоматизированное рабочее место представляет собой профессионально ориентированную малую компьютерную систему, предназначенную для автоматизации работ конкретного специалиста. Разработка и внедрение автоматизированных рабочих мест (АРМ), дающих возможность использовать работникам органов внутренних дел весь накопленный современный арсенал знаний в целях эффективного решения стоящих перед ними задач, является одним из важных направлений развития новых информационных технологий.

Рассмотрим основные особенности современных АРМ в ОВД.

1. Интеграция АРМов в сетевые структуры. АРМы в сетевых структурах поддерживают проблемно-ориентированные базы данных и связаны каналами связи. Конечно, возможно существование и автономных АРМ, но современные концепции автоматизированных информационных систем состоят в том, что строятся интегрированные базы данных по принципу сети, где поддерживаются большие информационные массивы данных.

2. Система АРМ обеспечивает децентрализацию обработки информации. Под децентрализацией понимается возможность решения определенного круга задач непосредственно на рабочем месте без обращения к другим техническим и информационным ресурсам.

3. Система АРМ позволяет организовать распределенную обработку информации. В этом случае организуется одноуровневая либо двухуровневая (в перспективе многоуровневая) структура. Одноуровневая обработка предполагает соединение АРМов в локальную сеть, что позволяет вести обмен данными между ними и распределенную обработку информации (например, автоматизированная бухгалтерия). Результирующие документы накапливаются и хранятся в локальных (личных) базах данных. При двухуровневой обработке АРМы специалистов накапливают и осуществляют предварительную обработку информации на местах, далее по сети осуществляется передача информации на следующий уровень обработки - например, информационный центр УВД. Необходимые руководящие директивы также передаются по сети непосредственно на рабочие места. Таким образом реализуется концепция безбумажной технологии.

Наиболее эффективно организованной формой использования персональных компьютеров (ПК) в органах внутренних дел является создание на их базе АРМ конкретных специалистов в оперативно служебной и управленческой деятельности. Этому способствуют такие свойства ПК как компактность и развитость программного обеспечения.

По своей структуре АРМ состоит из трех частей: технической (аппаратной), программной и информационного (документального) обеспечения.

В состав технического обеспечения АРМа обычно включают стандартный комплект вычислительной техники, устройства ввода-вывода информации (символьной, графической, речевой), информационное табло, аппаратные устройства защиты информации, комплект нестандартного оборудования, устройства связи с другими компьютерами.

Автоматизированные рабочие места в МВД, УВД должны быть связаны между собой в единую информационно-вычислительную сеть для коммуникации сотрудников и взаимопередачи данных. Органическое слияние АРМов в органах внутренних дел позволит реализовать принцип распределенного управления, при котором предусматривается достаточно полная и законченная обработка информации на каждом уровне иерархии В таких системах управления организуется передача снизу вверх только той информации, в которой имеется потребность у руководства МВД, УВД. При этом значительная часть результатов обработки информации и исходные данные должны храниться в локальных базах данных. Все АРМы связаны с центральной машиной, в которой хранятся и постоянно пополняются архивные данные, являющиеся ядром автоматизированного банка данных. В первую очередь объединять в локальную сеть следует АРМы сотрудников, имеющих интенсивный документопоток.