Поиск неисправностей.

Сетевой администратор должен уметь обнаруживать широкий спектр неисправностей — от неисправного сетевого адаптера на рабочей станции пользователя до сбоев отдельных портов коммутаторов и маршрутизаторов, а также неправильные настройки сетевых протоколов и служб.

6. Поиск узких мест сети и повышения эффективности работы сети.

В задачу сетевого администрирования входит анализ работы сети и определение наиболее узких мест, требующих либо замены сетевого оборудования, либо модернизации рабочих мест, либо изменения конфигурации отдельных сегментов сети.

7. Мониторинг сетевых узлов.

Мониторинг сетевых узлов включает в себя наблюдение за функционированием сетевых узлов и корректностью выполнения возложенных на данные узлы функций.

8. Мониторинг сетевого трафика.

Мониторинг сетевого трафика позволяет обнаружить и ликвидировать различные виды проблем: высокую загруженность отдельных сетевых сегментов, чрезмерную загруженность отдельных сетевых устройств, сбои в работе сетевых адаптеров или портов сетевых устройств, нежелательную активность или атаки злоумышленников (распространение вирусов, атаки хакеров и др.).

9. Обеспечение защиты данных.

Защита данных включает в себя большой набор различных задач: резервное копирование и восстановление данных, разработка и осуществление политик безопасности учетных записей пользователей и сетевых служб (требования к сложности паролей, частота смены паролей), построение защищенных коммуникаций (применение протокола IPSec, построение виртуальных частных сетей, защита беспроводных сетей), планирование, внедрение и обслуживание инфраструктуры открытых ключей (PKI).

2. Обеспечение иб в администрировании ис

Международные нормативные акты обеспечения ИБ для администрирования.

• нормирование компьютерной безопасности по критериям оценки защищенности надежных систем и ИТ;

• стандартизация процессов создания безопасных информационных систем.

Согласно европейским критериям ITSEC, ИБ включает в себя шесть основных элементов ее детализации:

1) цели безопасности и функции ИБ;

2) спецификация функций безопасности:

• идентификация и аутентификация;

• управление доступом

• подотчетность (протоколирование);

• аудит (независимый контроль);

• повторное использование объектов;

• точность информации (поддержка определенного соответствия между разными частями данных (точность связей) и обеспечение неизменности данных при передаче между процессами (точность коммуникации));

• надежность обслуживания (функции обеспечения, когда действия, критичные по времени, будут выполнены именно тогда, когда нужно);

• обмен данными;

3) конфиденциальность информации (защита от несанкционированного получения информации);

4) целостность информации (защита от несанкционированного изменения информации);

5) доступность информации (защита от несанкционированного или случайного удержания информации и ресурсов системы);

6) описание механизмов безопасности.

3. Администрирование субд. Средства обеспечения отказоустойчивости

Основным средством повышения “живучести” является внесение избыточности в конфигурацию аппаратных и программных средств, поддерживающей инфраструктуры и персонала, резервирование технических средств и тиражирование информационных ресурсов (программ и данных).

Меры по обеспечению отказоустойчивости можно разделить на локальные и распределенные. Локальные меры направлены на достижение “живучести” отдельных компьютерных систем или их аппаратных и программных компонентов (в первую очередь с целью нейтрализации внутренних отказов ИС). Типичные примеры подобных мер – использование кластерных конфигураций в качестве платформы критичных серверов или “горячее” резервирование активного сетевого оборудования с автоматическим переключением на резерв.

4. Автоматизация администрирования sql Server.

Служба SQLServer Agent реализует подсистему автоматизации SQL Server 2000. Основным назначением службы SQLServer Agent является запуск сконфигурированных заданий, анализ различных аспектов функционирования сервера и извещение операторов. Таким образом, для работы подсистемы автоматизации необходим запуск службы SQLServerAgent.

Для создания задания и отдельных его шагов можно использовать следующие инструменты: 

• специальные системные хранимые процедуры; 

• средства Enterprise Manager; 

• мастер Create Job Wizard. 

С целью упрощения администрирования заданий в SQL Server введены категории заданий. Категории выступают в качестве групп, используемых для объединения заданий. При установке SQL Server создаются 14 стандартных категорий, которые вы можете дополнить собственными категориями. Создав задание, вы можете определить любой график его исполнения по четко заданному расписанию. Возможна настройка регулярного выполнения задания через определенный промежуток времени. Естественно, не исключается и возможность однократного выполнения. Каждое задание, как и все объекты SQL Server 2000, имеет своего владельца. Запуск или остановку задания, а также его модификацию может осуществлять только владелец или пользователь, являющийся участником стандартной роли сервера sysadmin.

Оповещения (alerts) представляют собой проявления реакции системы на наступление определенных событий. Администратор сам задает реакцию системы на наступление тех или иных событий. В качестве подобных событий чаще всего выступают различного рода нежелательные ситуации, приводящие к возникновению ошибок:

 • Показания счетчиков производительности (performance counters).

 • Сообщения об ошибках SQL Server 2000.

 • Выполнение задания.

• Извещение оператора. Этот тип реакции используется при наступлении событий, которые не могут быть разрешены в автоматическом режиме и требуют вмешательства администратора.

Операторы (operators) — это люди, которые как раз и получают сообщения, посылаемые SQLServerAgent при активизации оповещений. Каждый из операторов имеет определенное имя, часы работы и для него должен быть указан, как минимум, один способ извещения. Для извещения операторов могут использоваться следующие механизмы:  • электронная почта;  • отправка сообщений на пейджер;  • использование утилиты командной строки net.exe с параметром SEND.

• Перенаправление возникающих ошибок. При работе с этим типом реакции выполняется перенаправление сообщений об инициализации сообщений на один из серверов сети.

5. Администрирование субд. Резервное копирование и восстановление данных.

Резервное копирование (англ. backup) — процесс создания копии данных на носителе (жёстком диске, дискете и т. д.), предназначенном для восстановления данных в оригинальном или новом месте их расположения в случае их повреждения или разрушения.

Резервное копирование необходимо для возможности быстрого и недорогого восстановления информации (документов, программ, настроек и т. д.) в случае утери рабочей копии информации по какой-либо причине.

Кроме этого решаются смежные проблемы:

• Дублирование данных

• Передача данных и работа с общими документами

Виды резервного копирования

Полное резервирование (Full backup)

Полное резервирование обычно затрагивает всю вашу систему и все файлы. Еженедельное, ежемесячное и ежеквартальное резервирование подразумевает полное резервирование. Первое еженедельное резервирование должно быть полным резервированием, обычно выполняемым по пятницам или в течение выходных, в течение которого копируются все желаемые файлы. Последующие резервирования, выполняемые с понедельника по четверг до следующего полного резервирования, могут быть добавочными или дифференциальными, главным образом для того, чтобы сохранить время и место на носителе. Полное резервирование следует проводить, по крайней мере, еженедельно.

Дифференциальное резервирование (Differential backup)

При разностном (дифференциальном) резервировании каждый файл, который был изменен с момента последнего полного резервирования, копируется каждый раз заново. Дифференциальное резервирование ускоряет процесс восстановления. Все, что вам необходимо, это последняя полная и последняя дифференциальная резервная копия. Популярность дифференциального резервирования растет, так как все копии файлов делаются в определенные моменты времени, что, например, очень важно при заражении вирусами.

Инкрементное резервирование (Incremental backup)

При добавочном («инкрементальном») резервировании происходит копирование только тех файлов, которые были изменены с тех пор, как в последний раз выполнялось полное или добавочное резервное копирование. Последующее добавочное резервирование добавляет только файлы, которые были изменены с момента предыдущего добавочного резервирования. В среднем, добавочное резервирование занимает меньше времени, так как копируется меньшее количество файлов. Однако, процесс восстановления данных занимает больше времени, так как должны быть восстановлены данные последнего полного резервирования, плюс данные всех последующих добавочных резервирований. При этом, в отличие от дифференциального резервирования, изменившиеся или новые файлы не замещают старые, а добавляются на носитель независимо.

Резервирование клонированием

Клонирование позволяет скопировать целый раздел или носитель (устройство) со всеми файлами и директориями в другой раздел или на другой носитель. Если раздел является загрузочным, то клонированный раздел тоже будет загрузочным^[1].

Резервирование в виде образа

Образ — точная копия всего раздела или носителя (устройства), хранящаяся в одном файле^[2].

Резервное копирование в режиме реального времени позволяет создавать копии файлов, директорий и томов, не прерывая работу, без перезагрузки компьютера.

Восстановление данных — процедура извлечения информации с запоминающего устройства в случае, когда она не может быть прочитана обычным способом. Необходимость в восстановлении может возникнуть, когда носитель имеет аппаратные или программные повреждения, или же — когда файлы данных были лишь отмечены в качестве удалённых, но продолжают храниться до того, как будут перезаписаны. Восстановление может осуществляться с любого компьютерного носителя, включая CD, DVD,жёсткие диски, флеш-память и т. д. Как правило, восстановлению подлежат данные, представляющие определённую ценность.

Способы восстановления

В настоящее время существует два основных способа восстановления данных. Способ выбирается в зависимости от возникшей неисправности накопителя. Программно-аппаратный метод применяют в тех случаях, когда программный способ не даст результата.

Программный способ

Программный способ — это восстановление данных без физического вмешательства в устройство накопителя, а также в функционирование микропрограммы и структуру модулей служебной информации. Данный способ применяется в случаях, когда сохранена работоспособность самого накопителя, но по той или иной причине доступ к данным, хранящимся на нём, утрачен. Причиной этого может стать форматирование логических дисков, неудачное изменение логической геометрии накопителя, удаление информации, частичное, либо полное разрушение файловой системы, как информации о структуре размещения данных на накопителе. Зачастую в перечисленных случаях удаётся восстановить большую часть данных, однако встречаются случаи, когда восстановление утраченных данных невозможно (частным случаем можно считать перезапись данных). Для автоматизации процесса восстановления написано множество программ, в том числе и бесплатных.

Восстановление структуры файловой системы

В случае форматирования логического диска или раздела, структура и атрибуты данных не нарушаются, но изменяется либо инициализируется (приводится в начальное состояние) информация о расположении данных на данном накопителе. При быстром форматировании обновляется малая часть файловой таблицы, часть служебных записей остается, необходимо лишь интерпретировать ее и прочитать данные в нужном порядке. Полное форматирование может обновить всю файловую таблицу, поэтому восстановление структуры файлов и папок не всегда возможно. Для восстановления данных без информации о структуре можно использовать восстановление файлов по сигнатурам. Если произошло повреждение файловой системы в результате программного сбоя или неисправности носителя, программы для восстановления данных могут восстановить часть информации, зависящую от объема повреждений.

Восстановление удаленных данных

При удалении данных, на самом деле, данные физически остаются на накопителе, однако в файловой системе более не отображаются, а место на носителе, где они располагаются, помечается как свободное и готовое к записи новой информации.

Восстановление по сигнатурам

При данном типе восстановления происходит посекторное сканирование накопителя на предмет наличия известных сигнатур файлов. По результатам сканирования выдается, чаще всего, список файлов, отсортированных по типу.

Смешанное восстановление

Программно-аппаратный способ

Программно-аппаратный способ требуется при физическом повреждении накопителя. Здесь необходимо заострить внимание на типе накопителя: гибкий ли это магнитный диск (НГМД), жёсткий магнитный диск (НЖМД), флеш (накопитель NAND-Flash) или CD/DVD/BD.

6. Средства администрирования sql Server.

Администрирование SQL Server обеспечивается за счет поставляемых утилит с графическим интерфейсом, предназначенных для работы под управлением Windows.

Эти утилиты поставляются в 32-х битном и 16-ти битном вариантах. С помощью утилит администрирования можно управлять несколькими SQL серверами в сети. SQL Server поддерживает опцию интегрированной безопасности, которая обеспечивает один логический вход как в сеть, так и в сервер баз данных. При этом доступ к SQL серверу управляется привилегиями, которые устанавливаются для пользователей и групп пользователей в Windows. Специальная компонента, называемая SQL Monitor, позволяет составить и отработать расписание автоматического копирования данных из базы на устройства резервного копирования, такие как стриммеры.

Средства SQL Server:

• Редактор кода в среде SQL Server Management Studio

• SQL Server Management Studio.

• Диспетчер конфигурации SQL Server

• Помощник по настройке ядра СУБД.

7. Администрирование ис. Мониторинг сети, средства контроля и их оптимизация.

Термином мониторинг сети называют работу системы, которая выполняет постоянное наблюдение за компьютерной сетью в поисках медленных или неисправных систем и которая при обнаружении сбоев сообщает о них сетевому администратору с помощью почты, телефона или других средств оповещения

В качестве оповещения может быть:

• отправлен сигнал тревоги системному администратору;

• автоматически активирована система защиты от сбоев, которая временно выведет проблемный сервер из эксплуатации, до тех пор, пока проблема не будет решена,и так далее.

Весь мониторинг сети состоит из ряда проверок сети и анализа пакетов и производится командой ping.

Команду ping можно применять для проверки работоспособности отдельных компьютеров и сегментов сети.

Если не все пакеты доходят до адресата, то нужно запустить программу traceroute (она описана далее), с тем чтобы выяснить маршрут, по которому пакеты следуют к компьютеру-адресату.

Анализаторы пакетов относятся к инструментальным средствам. Анализаторы пакетов полезны как для решения множества проблем, так и для выявления новых. Время от времени полезно запускать эти программы и проверять, нормально ли обрабатывается сетевой трафик. Так, программы tcpdump, snoop и nettl следят за трафиком в сети и регистрируют либо выводят на экран пакеты, которые удовлетворяют заданным критериям.

8 Администрирование сетей. Управление сервером и организация сервисов

Понятия сервер и клиент и закрепленные за ними роли образуют программную концепцию «клиент-сервер».

Для взаимодействия с клиентом (или клиентами, если поддерживается одновременная работа с несколькими клиентами) сервер выделяет необходимые ресурсы межпроцессного взаимодействия (разделяемая память, пайп, сокет, и т. п.) и ожидает запросы на открытие соединения (или, собственно, запросы на предоставляемый сервис). В зависимости от типа такого ресурса, сервер может обслуживать процессы в пределах одной компьютерной системы или процессы на других машинах через каналы передачи данных (например, COM-порт) или сетевые соединения.

Формат запросов клиента и ответов сервера определяется протоколом. Спецификации открытых протоколов описываются открытыми стандартами, например протоколы Интернета определяются в документах RFC.

В зависимости от выполняемых задач одни серверы, при отсутствии запросов на обслуживание, могут простаивать в ожидании. Другие могут выполнять какую-то работу (например, работу по сбору информации), у таких серверов работа с клиентами может быть второстепенной задачей.

Как правило, каждый сервер обслуживает один (или несколько схожих) протоколов и серверы можно классифицировать по типу услуг которые они предоставляют.

Универсальные серверы

Универсальные серверы — особый вид серверной программы, не предоставляющий никаких услуг самостоятельно.Существуют несколько видов таких серверов:

• inetd от англ. internet super-server daemon демон сервисов IP — стандартное средство UNIX-систем — программа, позволяющая писать серверы TCP/IP

• RPC от англ. Remote Procedure Call удаленный вызов процедур — система интеграции серверов в виде процедур доступных для вызова удаленным пользователем через унифицированный интерфейс

Прикладные клиент-серверные технологии Windows:

• (D-)COM (англ. (Distributed) Component Object Model — модель составных объектов) и др. — Позволяет одним программам выполнять операции над объектами данных используя процедуры других программ.

• Active-X — Расширение COM и DCOM для создания мультимедиа-приложений.

Большинство серверов Windows работают через универсальные серверы (RPC, (D-)COM).

Маршрутизация

Для TCP/IP, маршрутизация является базовой функцией стека IP (кода поддержки TCP/IP). Задачи маршрутизатора при форвардинге пакета:

• принять пакет

• найти машину на которую следует этот пакет или следующий маршрутизатор по маршруту к ней (в таблице маршрутов)

• передать пакет или вернуть ICMP-сообщение о невозможности его доставки по причинам.

Динамическая маршрутизация

Решения динамической маршрутизации призваны собирать информацию о текущем состоянии сложной сети и поддерживать таблицу маршрутов через эту сеть, чтобы обеспечить доставку пакета по кратчайшему и самому эффективному маршруту.

Сетевые службы

Сетевые службы обеспечивают функционирование сети, например серверы DHCP обеспечивают стартовую инициализацию серверов и рабочих станций, DNS — трансляцию имен в адреса и наоборот.

Информационные службы

К информационным службам можно отнести как простейшие серверы сообщающие информацию о хосте (time, daytime, motd), пользователях (finger, ident), так и серверы для мониторинга, например SNMP. Большинство информационных служб работают через универсальные серверы.

Файл-серверы

Файловый сервер

Файл-серверы представляют собой серверы для обеспечения доступа к файлам на диске сервера.

Прежде всего это серверы передачи файлов по заказу, по протоколам FTP, TFTP, SFTP и HTTP. Протокол HTTP ориентирован на передачу текстовых файлов, но серверы могут отдавать в качестве запрошенных файлов и произвольные данные, например динамически созданные веб-страницы, картинки, музыку и т. п.

Другие серверы позволяют монтировать дисковые разделы сервера в дисковое пространство клиента и полноценно работать с файлами на них. Это позволяют серверы протоколов NFS и SMB. Серверы NFS и SMB работают через интерфейс RPC.

Серверы доступа к данным

Серверы доступа к данным обслуживают базу данных и отдают данные по запросам. Один из самых простых серверов подобного типа — LDAP (англ. Lightweight Directory Access Protocol — облегчённый протокол доступа к спискам).

Службы обмена сообщениями

Службы обмена сообщениями позволяют пользователю передавать и получать сообщения (обычно — текстовые).

Серверы удаленного доступа

Серверы удаленного доступа, через соответствующую клиентскую программу, обеспечивают пользователя консольным доступом к удаленной системе.

Серверные решения

Серверные решения — операционные системы и/или пакеты программ оптимизированные под выполнение компьютером функций сервера и/или содержащие в своем составе комплект программ для реализации типичного набора сервисов.

В интегрированных серверных решениях установка всех компонентов выполняется единовременно, все компоненты в той или иной мере тесно интегрированы и предварительно настроены друг на друга. Однако в этом случае, замена одного из серверов или вторичных приложений (если их возможности не удовлетворяют потребностям) может представлять проблему.

Серверные решения служат для упрощения организации базовой ИТ-инфраструктуры компаний, то есть для оперативного построения полноценной сети в компании в том числе и «с нуля».

9. Администрирование файловой системы и учетных записей в сети.

Файловая система (file system) — это структура каталогов, использующаяся для размещения и хранения файлов. Термин «файловая система» употребляется в сле­дующих случаях: * для описания всего дерева каталогов от корневого каталога вниз по иерархиикаталогов; * для описания конкретного типа файловой системы (дисковая, сетевая или виртуальная); * для описания структуры данных дисковой доли (disk slice) или другого устройства хранения данных; * для описания части дерева каталогов, подключенной к точке монтирования, расположенной в составе основного дерева каталогов, благодаря чему пользо­ватели могут обращаться к расположенным в ней файлам. Чтобы определить, в каком именно смысле употребляется термин «файловая система», как правило, достаточно взглянуть на контекст, в котором употребля­ется этот термин.

По предназначению файловые системы можно классифицировать на нижеследующие категории.

• Для носителей с произвольным доступом (например, жёсткий диск): FAT32, HPFS, ext2 и др. Поскольку доступ к дискам в разы медленнее, чем доступ к оперативной памяти, для прироста производительности во многих файловых системах применяется асинхронная запись изменений на диск. Для этого применяется либожурналирование, например в ext3, ReiserFS, JFS, NTFS, XFS, либо механизм soft updates и др. Журналирование широко распространено в Linux, применяется в NTFS. Soft updates — в BSD системах.

• Для носителей с последовательным доступом (например, магнитные ленты): QIC и др.

• Для оптических носителей — CD и DVD: ISO9660, HFS, UDF и др.

• Виртуальные файловые системы: AEFS и др.

• Сетевые файловые системы: NFS, CIFS, SSHFS, GmailFS и др.

• Для флэш-памяти: YAFFS, ExtremeFFS, exFAT.

• Немного выпадают из общей классификации специализированные файловые системы: ZFS (собственно файловой системой является только часть ZFS), VMFS (т. н. кластерная файловая система, которая предназначена для хранения других файловых систем) и др.

Основные функции любой файловой системы нацелены на решение следующих задач:

• именование файлов;

• программный интерфейс работы с файлами для приложений;

• отображения логической модели файловой системы на физическую организацию хранилища данных;

• организация устойчивости файловой системы к сбоям питания, ошибкам аппаратных и программных средств;

• содержание параметров файла, необходимых для правильного его взаимодействия с другими объектами системы (ядро, приложения и пр.).

В многопользовательских системах появляется ещё одна задача: защита файлов одного пользователя от несанкционированного доступа другого пользователя, а также обеспечение совместной работы с файлами, к примеру, при открытии файла одним из пользователей, для других этот же файл временно будет доступен в режиме «только чтение».

Каждый системный администратор хочет, чтобы надежность его систем и корректность прав доступа к данным не стоила ему долгих ночных бдений. Так вот: в ZFS и резервное копирование, и назначение прав доступа, и изменение размеров файловой системы делается очень просто. Ощущение от перехода к ZFS можно передать аналогией с переходом от автомобиля с ручной коробкой передач к машине с автоматической коробкой.

Итак, к делу: как создать пул памяти ZFS, как смонтировать файловые системы и как модифицировать созданные системы?

Создание и уничтожение пулов и файловых систем

Создание пула giant из двух дисков – c1t0d0 и c1t1d0

# zpool create giant c1t0d0 c1t1d0

Система ищет указанные диски в каталоге /dev/dsk, и помечает их как принадлежащие одному пулу.

Так создается зеркальный пул (дисков в зеркале может быть больше, чем два):

# zpool create giant mirror c1d0 c2d0

Массив RAID-Z из нескольких дисков создается командой

# zpool create giant raidz c1t0d0 c2t0d0 c3t0d0 c4t0d0

Для создания массива с двойным контролем четности надо вместо raidz указать raidz2.

Уничтожить пул можно командой zpool destroy. Осторожно: она уничтожает пул, даже если в нем содержатся смонтированные наборы данных.

# zpool destroy giant

Добавление накопителей

Добавление устройства в пул – команда zpool add ; например, для добавления еще двух устройств к зеркалу giant надо скомандовать

zpool add giant mirror c2t1d0 c2t2d0

После создания пула пора создавать файловые системы, которые будут размещаться в нем – командой zfs create, которой требуется аргумент – имя файловой системы; оно указывается как путь, начиная с имени пула: pool-name/[filesystem-name/]filesystem-name

Имя пула и исходные имена файловой системы в пути идентифицируют то местоположение, где будет создана новая файловая система. Все файловые системы верхнего уровня уже должны существовать в пуле. Последнее имя в пути идентифицирует имя создаваемой файловой системы.

Квотирование и резервирование пространства

Ограничение прав пользователей на заполнение всего свободного пространства разнообразным мусором – от псевдо-деловой переписки позапрошлогодней давности до видеоклипов разнообразного толка – давно стало рутинным делом сисадминов, преимущественно с помощью механизма квот.

9. Управление политикой доступа к информации

С традиционной точки зрения средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты (пользователи и процессы) могут выполнять над объектами (информацией и другими компьютерными ресурсами). В данном разделе речь идет о логическом управлении доступом, которое, в отличие от физического, реализуется программными средствами.

Логическое управление доступом -это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность (путем запрещения обслуживания неавторизованных пользователей).

Отношение "субъекты-объекты" можно представить в виде матрицы доступа, в строках которой перечислены субъекты, в столбцах - объекты, а в клетках, расположенных на пересечении строк и столбцов, записаны дополнительные условия (например, время и место действия) и разрешенные виды доступа. Фрагмент матрицы может выглядеть, например, как представлено в таблице

Тема логического управления доступом - одна из сложнейших в области информационной безопасности. Для операционной системы к объектам относятся файлы, устройства и процессы. Применительно к файлам и устройствам обычно рассматриваются права на чтение, запись, выполнение (для программных файлов), иногда на удаление и добавление. Отдельным правом может быть возможность передачи полномочий доступа другим субъектам (так называемое право владения). Процессы можно создавать и уничтожать. Современные операционные системы могут поддерживать и другие объекты.

При принятии решения о предоставлении доступа обычно анализируется следующая информация:

• - идентификатор субъекта (идентификатор пользователя, сетевой адрес компьютера и т.п.). Подобные идентификаторы являются основой произвольного (или дискреционного) управления доступом;

• - атрибуты субъекта (метка безопасности, группа пользователя и т.п.). Метки безопасности - основа принудительного (мандатного) управления доступом.

Матрицу доступа, ввиду ее разреженности (большинство клеток - пустые), неразумно хранить в виде двухмерного массива. Обычно ее хранят по столбцам, то есть для каждого объекта поддерживается список "допущенных" субъектов вместе с их правами. Элементами списков могут быть имена групп и шаблоны субъектов, что служит большим подспорьем администратору. Безусловно, списки являются лучшим средством произвольного управления доступом. Подавляющее большинство операционных систем и систем управления базами данных реализуют именно произвольное управление доступом.

Основное достоинство произвольного управления - гибкость. Вообще говоря, для каждой пары "субъект-объект" можно независимо задавать права доступа (особенно легко это делать, если используются списки управления доступом). К сожалению, у "произвольного" подхода есть ряд недостатков. Рассредоточенность управления доступом ведет к тому, что доверенными должны быть многие пользователи, а не только системные операторы или администраторы. Из-за рассеянности или некомпетентности сотрудника, владеющего секретной информацией, эту информацию могут узнать и все остальные пользователи.

Второй недостаток, который представляется основным, состоит в том, что права доступа существуют отдельно от данных. Ничто не мешает пользователю, имеющему доступ к секретной информации, записать ее в доступный всем файл или заменить полезную  утилиту ее "троянским" аналогом. Подобная "разделенность" прав и данных существенно осложняет проведение несколькими системами согласованной политики безопасности и, главное, делает практически невозможным эффективный контроль согласованности.

11 Администрирование сети. Области администрирования и обязанности сетевого администратора.

Систе́мный администра́тор или «IT-администратор» (англ. system administrator) — сотрудник, должностные обязанности которого подразумевают обеспечение штатной работы парка компьютерной техники, сети и программного обеспечения, а также обеспечение информационной безопасности в организации. Разговорные названия —сисадми́н (англ. sysadmin), нередко просто админ.

Системные администраторы — сотрудники, в обязанности которых входит не только слежение за сетевой безопасностью организации, но и создание оптимальной работоспособности компьютеров и программного обеспечения для пользователей, часто связанных между собой общей работой на определенный результат.

Нередко функции системного администратора перекладывают на компании, занимающиеся IT-аутсорсингом. Обычно такие компании предоставляют более низкую, чем содержание штатного сотрудника, стоимость обслуживания и осуществляют работу на основе абонементных договоров.

Обязанности

В круг типовых задач системного администратора обычно входит:

• подготовка и сохранение резервных копий данных, их периодическая проверка и уничтожение;

• установка и конфигурирование необходимых обновлений для операционной системы и используемых программ;

• установка и конфигурирование нового аппаратного и программного обеспечения;

• создание и поддержание в актуальном состоянии пользовательских учётных записей;

• ответственность за информационную безопасность в компании;

• устранение неполадок в системе;

• планирование и проведение работ по расширению сетевой структуры предприятия;

• документирование всех произведенных действий.

В организациях с большим штатом сотрудников данные обязанности могут делиться между несколькими системными администраторами — например, между администраторами безопасности, учётных записей и резервного копирования.

Существует также такой вид специалистов, как «эникейщики». В их обязанности, как правило, входит поддержка программного обеспечения на уровне опытного пользователя; иногда и несложный ремонт компьютера. «Эникейщик» (от англ. any key — «любая клавиша»)

Специализация

Системных администраторов можно разделить на несколько категорий:

• Администратор веб-сервера — занимается установкой, настройкой и обслуживанием программного обеспечения веб-серверов. Как правило, работает в хостинговойкомпании.

• Администратор базы данных — специализируется на обслуживании баз данных.

• Администратор сети — занимается разработкой и обслуживанием сетей.

• Системный инженер (или системный архитектор) — занимается построением корпоративной информационной инфраструктуры на уровне приложений. Работает, как правило, в аутсорсинговой компании либо крупной компании, корпорации.

• Администратор безопасности сети — занимается, соответственно, проблемами информационной безопасности, документированием политик безопасности, регламентов и положений об информационных ресурсах. Работает, как правило, в аутсорсинговой компании либо крупной компании, корпорации.

• Системный администратор малой компании (от 5 до 50 рабочих мест) — занимается поддержанием работоспособности небольшого парка компьютерной техники и обслуживанием сети.

• Администратор почтовых серверов — занимается настройкой и поддержкой серверов электронной почты.

  12. Правовое обеспечение администрирования сети.

Наилучшая защита — удостовериться в том, что пользователи знают, какой уровень конфиденциальности можно им предоставить. Необходимо объяснить пользователям, могут ли посторонние отслеживать их действия, раскрыть им, можно ли передавать по электронной почте секретные данные, в каких случаях информация, которую они хранят на сервере, может стать известной посторонним.

Необходимо быть осторожным с заявлениями о том, что администратор никогда ни при каких условиях не будет разглашать информацию. Судебное постановление заставит это сделать. Но если не согласиться предоставить имеющуюся информацию, могут возникнуть проблемы с правовыми органами. Учитывая возможность подобной ситуации, надо включить в политику соответствующие правила и удостовериться, что пользователи знают о них.

Политика администрирования должна защищать его. Единственный способ убедиться в этом — проконсультироваться с юристом. Запуск любой ОС требует вмешательства юридических органов.

К правовым вопросам, касающимся распространения информации о пользователях, наше общество обязательно создает новые правовые проблемы, как будто специально предназначенные для того, чтобы усложнить жизнь системному администратору. Поскольку он отвечает за происходящее в системе, то к нему всегда можно предъявить претензии через суд. С другой стороны, в его распоряжении есть политика, которая защитит в случае противоправных действий пользователей и даст возможность организации отреагировать на нарушения.

12. Администрирование субд. Безопасность sql сервера.

Обеспечение безопасности SQL Server можно представить как последовательность шагов в четырех областях: платформа, проверка подлинности, объекты (в том числе данные) и приложения, которые обращаются к системе. В приведенных ниже разделах описано создание и реализация эффективного плана обеспечения безопасности.

Безопасность платформы и сети

Платформа для SQL Server включает в себя физическое оборудование и сетевые компьютеры, с помощью которых клиенты соединяются с серверами базы данных, а также двоичные файлы, применяемые для обработки запросов базы данных.

Физическая безопасность

Рекомендуется строго ограничивать доступ к физическим серверам и компонентам оборудования. Например, оборудование сервера базы данных и сетевые устройства должны находиться в закрытых охраняемых помещениях. Доступ к резервным носителям также следует ограничить. Для этого их рекомендуется хранить в отдельных охраняемых помещениях.

Реализация физической сетевой безопасности начинается с запрета доступа неавторизованных пользователей к сети. Следующая таблица содержит дополнительные сведения об источниках сведений по сетевой безопасности.

Безопасность операционной системы

В состав пакетов обновления и отдельных обновлений для операционной системы входят важные дополнения, позволяющие усилить безопасность. Все обновления для операционной системы необходимо устанавливать только после их тестирования с приложениями базы данных.

Кроме того, эффективную безопасность можно реализовать с помощью брандмауэров. Брандмауэр, распределяющий или ограничивающий сетевой трафик, можно настроить в соответствии с корпоративной политикой информационной безопасности. Следующая таблица содержит дополнительные сведения по использованию брандмауэра с SQL Server.

Если в системе SQL Server используются службы IIS, чтобы обеспечить безопасность контактной зоны платформы, необходимы дополнительные шаги. Следующая таблица содержит сведения о SQL Server и службах IIS.

Безопасность файлов операционной системы sql Server

SQL Server использует файлы операционной системы для работы и хранения данных. Оптимальным решением для обеспечения безопасности файлов будет ограничение доступа к ним. Следующая таблица содержит сведения об этих файлах.

Обновления и пакеты обновления для SQL Server позволяют повысить безопасность.

Безопасность участников и объектов базы данных

Участники — это отдельные пользователи, группы и процессы, которым предоставлен доступ к ресурсам SQL Server. Защищаемые объекты — это сервер, база данных и объекты, которые содержит база данных. У каждого из них существует набор разрешений, с помощью которых можно уменьшить контактную зону SQL Server. Следующая таблица содержит сведения об участниках и защищаемых объектах.

Шифрование и сертификаты

Шифрование не решает проблемы управления доступом. Однако оно повышает безопасность, ограничивая потерю данных даже в тех редких случаях, когда средства управления доступом удается обойти. Например, если компьютер, на котором установлена база данных, был настроен неправильно, и злонамеренный пользователь смог получить конфиденциальные данные (например, номера кредитных карточек), то украденная информация будет бесполезна, если она была предварительно зашифрована. Следующая таблица содержит дополнительные сведения о шифровании в SQL Server.

Сертификаты — это совместно используемые на двух серверах программные «ключи», которые позволяют обеспечить безопасную передачу данных с помощью надежной проверки подлинности. SQL Server позволяет создавать и использовать сертификаты для повышения безопасности объектов и соединений. Следующая таблица содержит дополнительные сведения об использовании сертификатов с SQL Server.

Безопасность приложений

Для SQL Server рекомендуется разрабатывать защищенные клиентские приложения.

Средства, программы, представления и функции безопасности SQL Server

В SQL Server предусмотрены средства, программы, представления и функции, которые используются для настройки и управления безопасностью.

Средства и программы безопасности sql Server

Следующая таблица содержит сведения о средствах и программах SQL Server, с помощью которых можно настраивать и администрировать безопасность.

В среде финансов и бизнеса манипулирование данными является преступлением (конечно, учитывается, какое именно манипулирование было проведено). Поскольку здесь компьютеры содержат финансовую информацию, сохранение целостности дан-ных, создание резервных копий и восстановление информации является правовым вопросом.

Шифрование поможет решить некоторые проблемы с защитой, по крайней мере, усложнит несанкционированное копирование информации. Однако оно само по себе может вызвать юридические проблемы.

Возможно, системному администратору придется отвечать за восстановление данных, закодированных служащими, которые были уволены. Ему необходимо также следить за правильным использованием кодирующего программного обеспечения. Он совместно с администрацией организации отвечает за содержимое личных Web-страниц, которые размещены на сервере фирмы. В этих страницах не должно быть клеветы. Также не должны нарушаться авторские права и торговые марки (включая изображения и логотипы) и не должно быть случаев распространения конфиденциальных данных.

Политика системного администрирования определяет поведение в различных ситуациях. Она определяет ограничения на использование вычислительной техники. С другой стороны, договор об уровне обслуживания содержит список тех услуг, которые он должен предоставить пользователям.

14 Методология обеспечения защиты процессов переработки информации в ис.

Информационная сфера является в настоящее время системообразующим фактором для всех реальных сфер общества и в значительной мере определяет состояние экономической, оборонной, социальной, политической и других составляющих национальной безопасности вообще, а также влияет на безопасность различных общественных структур и институтов в частности. ИБ представляет собой самостоятельную часть безопасности, роль и значение которой с каждым годом неуклонно возрастают, особенно в ИС управления организациями. Особая роль ИБ объясняется теми глобальными процессами, которые характерны в настоящее время для социально-экономического развития общества.Администрирование сетевой безопасности, как и всякий про-цесс регулирования, начинается с планирования.

При планировании сети необходимо внедрить технологии бе-зопасности, причем это следует сделать на стадии планирования установки операционной системы Windows 2000, Unix и т.д.). Та-ким образом можно обеспечить безопасную работу в сети.

По мере разработки плана сетевой безопасности следует:

• выявить ситуации, когда возможен риск снижения сетевой безопасности;

• определить размер сервера и требования размещения;

• подготовить персонал;

• создать и опубликовать политики и процедуры безопасности;

• использовать формальную методологию для создания плана безопасности;

• определить группы пользователей, их нужды и риски сниже-ния безопасности.

Для эффективной реализации плана сетевой безопасности необходимо учесть риски ее снижения, которые значительно зависят от угроз снижения сетевой безопасности, представленных в табл. Для обеспечения доступа к ресурсам и данным только санкционированных пользователей необходимо тщательно спланировать

Угрозы снижения сетевой безопасности

стратегию сетевой безопасности. Это также позволяет вести учет использования сетевых ресурсов. Основные этапы планирования стратегий сетевой безопасности могут быть представлены в следующем виде:

1) составление плана развертывания стратегии безопасности;

2) создание границ безопасности;

3) анализ стратегий сетевой безопасности;

4) внедрение стратегий безопасности для всех пользователей;

5) внедрение стратегий для пользователей корпоративных приложений;

6) внедрение стратегий для персонала организации;

7) внедрение стратегий для партнеров;

8) мониторинг реализации плана.

Для обеспечения безопасной работы ИС в Интернете целесообразно установить между системой и Интернетом брандмауэр. Он уменьшает риски при подключении к Интернету, а также препятствует получению доступа к вашему компьютеру из Интернета, за исключением компьютеров, имеющих право такого доступа.

Брандмауэр использует фильтрование пакетов для разрешения или запрещения потока определенных видов сетевого трафика. Фильтрование пакетов IP позволяет точно определить, какой IP-трафик может пересекать брандмауэр. Эта функция важна при подключении частных сетей к общедоступным сетям, например к Интернету. Многие брандмауэры способны распознавать и отражать сложные атаки.

Брандмауэры часто выступают в роли проксисерверов или маршрутизаторов, потому что они передают трафик между частной и общей сетями. Программное обеспечение брандмауэра или проксисервера проверяет все сетевые пакеты каждого интерфейса и определяет адрес их места назначения. Если они соответствуют определенному заданному критерию, то пакеты передаются по-лучателю другого сетевого интерфейса. Брандмауэр может просто маршрутизировать пакеты или действовать как проксисервер и переводить IP-адреса частной сети.

Как и функции проксисервера, так и некоторые функции брандмауэра, обеспечивает Microsoft Proxy Server. Он выполняется на компьютерах с Windows 2000, и оба они должны быть настроены

Схема подключения брандмауэра

так, чтобы обеспечивать полную сетевую безопасность. Если и ус-тановлена более ранняя, чем 2.0, версия Proxy Server и Service Pack 1, то необходимо обновить ее для совместимости с Windows 2000 (это делается в момент обновления сервера до Windows 2000).

15. Технология администрирования по обеспечению безопасности ис функционирования сети.

При организации защиты любой ИС от вторжения рекоменду-ется пользоваться определенным набором правил, который может носить типовой характер:

1) постоянно следить за тем, не появились ли отклонения от нормального хода работы системы. Нужно обращать внимание на все необычное, например на непонятные журнальные сообщения или изменение характера использования какой-либо учетной записи (резкое усиление активности, работа в необычное время, работа во время отпуска владельца учетной записи);

2) необходимо учиться защищать ОС своими силами, иначе не избавиться от различного рода высокооплачиваемых консультан-тов по вопросам безопасности, которые будут пугать ваших руко-водителей рассказами о том, насколько беззащитны ваши системы. Такие специалисты обучены грамотно доказывать, почему вам нужно вложить «всего» 50 тыс. долл. в обеспечение полной безо-пасности системы;

3) нужно устанавливать ловушки для обнаружения попыток втор-жения. Необходимо следить за отчетами, которые генерируются программами (для Unix-систем — это tripwire, tcpd и crack). Незна-чительная проблема, проигнорированная в отчете, к моменту по-лучения следующего отчета может перерасти в катастрофу;

4) нельзя оставлять без присмотра файлы, которые могут пред-ставлять интерес для хакеров и не в меру любопытных сослужив-цев. Коммерческие тайны, персональные досье, бухгалтерские ведомости, результаты выборов — за всем этим «нужен глаз да глаз». Надежнее зашифровать данные, чем просто пытаться пре-дотвратить к ним несанкционированный доступ. В организаций должен существовать порядок работы с секретной информацией;

5) следует «затыкать дырки», через которые хакеры могут по-лучить доступ к системе. Нужно знакомиться с бюллетенями фирм-производителей и списками рассылки по вопросам защиты, чтобы своевременно узнавать о выходе «заплат». Следует отключить ненужные сервисы;

6) необходимо сделать так, чтобы в системе не было мест, где хакеры могли бы закрепиться. Хакеры часто вламываются в одну систему, а затем используют ее как базу для операций по взлому других систем. Анонимные FTP-каталоги с возможностью записи, групповые учетные записи, учетные записи с плохо подобранными паролями — вот основные уязвимые места.

Кроме того, необходимо рассмотреть основные источники на-рушений. Первый источник нарушений — это уровень безопаснос-ти системы. Многие компоненты программного обеспечения можно сконфигурировать в режиме полной или не очень полной безо-пасности (открытой и полуоткрытой). К сожалению, по умолчанию чаще всего принимается второй вариант. Хакеры вламываются в системы, иезуитски эксплуатируя функциональные возможности, с миссионерской щедростью предоставленные разработчиками в надежде сделать работу пользователей удобнее и гуманнее: учетные записи без паролей, глобальный совместный доступ к жестким дискам и т.д. Одна из самых важных задач, связанных с обеспечением безопасности системы, — убедиться в том, что, заботясь о благополучии пользователей, в системе сохранились действенные инструменты защиты.

Проще всего устранить эти проблемы, хотя их может быть очень много и не всегда очевидно, что именно следует проверять. Большая часть усилий, затраченных за несколько последних лет на разработку программных средств защиты, была связана с анализом причин, по которым система может непреднамеренно оказаться открытой для вторжений.

Второй источник нарушений — воздействие человеческого фактора на функционирование системы. Пользователи (и администраторы) системы часто являются ее слабейшим звеном. Например, компания America Online печально прославилась тем, что ее многократно атаковали хакеры, притворявшиеся служащими компании. Они посылали письма потенциальным жертвам с просьбой выслать пароли для системного теста или плановой проверки учет-ной записи. Наивные пользователи часто выполняли такие просьбы (некоторые до сих пор так делают). Есть масса разновидностей подобного шарлатанства. Одна из задач системного администратора заключается в обучении пользователей правилам техники безопасности. Многие пользователи, начиная работать в Интернете, часто не подозревают, сколько там хакеров. Надо научить их выбирать качественные пароли и хранить их, а главное — никогда не общаться с незнакомыми людьми. Администратор должен не забыть в своих наставлениях упомянуть об неэлектронных средствах коммуникации (в умелых руках телефон тоже может ока-заться опасным оружием).

Третий источник нарушений — это ошибки в программах. За много лет в программном обеспечении (включая сторонние про-граммы, как коммерческие, так и бесплатные) было выявлено несметное количество ошибок, связанных с безопасностью. Ис-пользуя незаметные программистские просчеты или архитектур-ные зависимости, хакерам удавалось манипулировать системой по своему усмотрению. Что может сделать в этом случае администратор? Немногое, по крайней мере, до тех пор, пока ошибка не будет выявлена, а разработчик не исправит ее или не выпустит «заплату». Быть в курсе последних событий — обязанность адми-нистратора.

Процедурные технологии администрирования по обеспечению безопасности ИС

Организация борьбы и предупреждения несанкционированного доступа (НСД) в систему требует, как уже отмечалось ранее, комплексного подхода к администрированию процессов защиты ИС от вторжения. При этом сами технологии администрирования основаны на процедурах организационно-программной реализации отдельных операций по защите. Это дает возможность создать на базе типовых процедур комплексы процедурных технологий администрирования, которые могут быть скомпонованы в разных последовательностях, обеспечивая в любой системе многоуровневую защиту.