Суть информатизации общества- Информатизация общества ~ это процесс исследования разработки создания и

Работа добавлена на сайт samzan.net:

1. Суть информатизации общества:

Информатизация общества – это процесс исследования, разработки, создания и внедрения компьютерно - сетевых технологий и средств, предоставляющих пользователям возможность взаимодействия с необходимыми и доступными информационными ресурсами во времени и в пространстве.

2. Три компоненты КИС

1. Корпоративные сети компьютеров
2. Технологии и средства организации и обработки корпоративных данных
3. Безопасность информационных ресурсов

3. Основные показатели корпоративных сетей компьютеров

Производственные информационные ресурсы, обеспечивающие деятельность крупных организаций и предприятий, имеющих развитые инфраструктуры организационного управления, являются, как правило, корпоративными. Компьютерные сети, построенные для информатизации деятельности подобных организаций, называются корпоративными сетями (Enterprise Networks) и характеризируется следующими особенностями:

Во-первых, это большое количество объединяемых в общую сеть компьютеров, в том числе - файловых серверов, серверов баз данных и приложений.
Во-вторых, гетерогенный характер сети: различные протоколы, разнородные среды передачи данных, компьютерные платформы и средства коммутации, произведенные разными компаниями, различные операционные системы и т.п.
В-третьих, корпоративность сети полагает, что функциональные задачи отдельных подсистем могут быть существенно различными, хотя в целом сеть ориентируется на решение единой задачи крупной системы организационного управления.
Наконец, корпоративные сети характеризуются, как правило, наличием многих производственных площадок, распределенных в определенном региональном масштабе.
Наряду с этим корпоративные сети должны обладать расширяемостью и масштабируемостью, что однозначно определяется функциональными возможностями выбранных сетевых аппаратно - программных средств.

4. Механизмы маршрутизации: прямое соединение

Прямое соединение - это маршрут, который является локальным по отношению к маршрутизатору. Если один из интерфейсов маршрутизатора соединен, с какой либо сетью напрямую, то при получении пакета, адресованного такой подсети, маршрутизатор сразу отправляет пакет на интерфейс к которому она подключена, не используя протоколы маршрутизации (Рисунок 2.4).

Прямые соединения всегда являются наилучшим способом маршрутизации. Поскольку маршрутизатору всегда известна непосредственно присоединенная к нему сеть, пакеты, предназначенные для нее, направляются из первых рук, и маршрутизатор не полагается на другие средства определения маршрутов, например на статические или динамические механизмы маршрутизации.

5. Механизмы маршрутизации: статическая маршрутизация

Вариант А:

Статична маршрутизація (static routing) називається маршрутизація при якій маршрути встановлюються адміністратором мережі й не міняються доти, поки адміністратор мережі не поміняє їх. Таблиця маршрутизації IP складається з пар "адреса призначення/маршрутизатор для наступного пересилання".

Основні переваги статичної маршрутизації

Легкість налагодження й конфігурування в малих мережах.
Відсутність додаткових накладних витрат (через відсутність протоколів маршрутизації).
Миттєва готовність (не потрібен інтервал для конфігурування/підстроювання).
Низьке навантаження на процесор маршрутизатора.
Безпека процесу маршрутизації(тільки адміністратор мережі може змінити встановленні маршрути).
Передбачуваність у кожний момент часу.

Основні недоліки статичної маршрутизації

Погане масштабування (додавання (N+1)-ої мережі вимагає зробити 2*(N+1) записів про маршрути, причому на більшості маршрутизаторів таблиця маршрутів буде різною, при N>3-4 процес конфігурування стає досить трудомістким).
Низька стійкість до ушкоджень ліній зв'язку (особливо, у ситуаціях, коли обрив відбувається між пристроями другого рівня й порт маршрутизатора не одержує статус down).
Відсутність динамічного балансування навантаження.
Необхідність у веденні окремої документації до маршрутів, проблема синхронізації документації й реальних маршрутів.

Вариант Б:

Статические маршруты – это такие маршруты к сетям получателям, которые администратор сети вручную вносит в таблицу маршрутизации. Статический маршрут определяет IP адрес следующего соседнего маршрутизатора или локальный выходной интерфейс, который используется для направления трафика к определенной сети получателю. Как следует из самого названия, статический маршрут не может быть автоматически адаптирован к изменениям в топологии сети. Если определенный в маршруте маршрутизатор или интерфейс становятся недоступными, то маршрут к сети получателю становиться недоступным. Преимуществом этого способа маршрутизации является то, что он исключает весь служебный трафик, связанный с поддержкой и корректировкой маршрутов.

Статическая маршрутизация может быть использована в следующих си-

туациях:

Когда администратор нуждается в полном контроле маршрутов используемых маршрутизатором;
Когда необходимо резервирование динамических маршрутов;
Когда есть сети достижимые единственно возможным путем;
Когда нежелательно иметь служебный трафик необходимый для обновления таблиц маршрутизации, например при использовании коммутируемых каналов связи.
Когда используются устаревшие маршрутизаторы не имеющие необходимого уровня вычислительных возможностей для поддержки динамических протоколов маршрутизации.

Наиболее предпочтительной топологией для использования статической маршрутизации является топология «звезда». При данной топологии маршрутизаторы, подключенные к центральной точки сети, имеют только один маршрут для всего трафика, который будет проходить через центральный узел сети. И один или два маршрутизатора в центральной части сети имеют статические маршруты до всех удаленных узлов.

Однако со временем такая сеть может вырасти до десятков и сотен

маршрутизаторов с произвольным количеством подключенных к ним подсетей. Количество статических маршрутов в таблицах маршрутизации будет увеличиваться пропорционально увеличению количества маршрутизаторов в сети. Каждый раз при добавлении новой подсети или маршрутизатора, администратор должен будет добавлять новые маршруты в таблицы маршрутизации на всех необходимых маршрутизаторах. При таком подходе может наступить момент, когда большую часть своего рабочего времени администратор будет заниматься поддержкой таблиц маршрутизации в сети. В этом случае необходимо сделать выбор в сторону использования динамических протоколов маршрутизации.

Другой недостаток статической маршрутизации проявляется при изменении топологии корпоративной сети. При этом администратор должен вручную вносить все изменения в таблицы маршрутизации маршрутизаторов, на которые повлияли изменения в топологии сети.

6. Механизмы маршрутизации: динамическая маршрутизация

Вариант А:

Динамічною маршрутизацією називається маршрутизація при якій маршрути встановлюються автоматично з використанням різних протоколів маршрутизації. Наприклад RIP, OSPF, IGRP, EIGRP, IS-IS, BGP, та ін. Використовуючи обраний протокол маршрутизації, маршрутизатор будує таблицю оптимальних шляхів до мереж призначення на основі різних критеріїв — кількості проміжних вузлів, пропускної здатності каналів, затримки передачі даних і т.п.

Критерії обчислення оптимальних (метрики) маршрутів найчастіше залежать від протоколу маршрутизації, а також задаються конфігурацією маршрутизатора. Такий спосіб побудови таблиці дозволяє автоматично тримати таблицю маршрутизації в актуальному стані й обчислювати оптимальні маршрути на основі поточної топології мережі. Однак динамічна маршрутизація робить додаткове навантаження на пристрої, а висока нестабільність мережі може приводити до ситуацій, коли маршрутизатори не встигають синхронізувати свої таблиці, що приводить до суперечливих відомостей про топологію мережі в різних її частинах і втраті переданих даних.

Вариант Б:

Протоколы динамической маршрутизации могут автоматически отслеживать изменения в топологии сети. При использовании протоколов динамической маршрутизации, администратор сети конфигурирует выбранный протокол на каждом маршрутизаторе в сети. После этого маршрутизаторы начинают обмен информацией об известных им сетях и их состояний. Причем маршрутизаторы обмениваются информацией только с теми маршрутизаторами, где запущен тот же протокол динамической маршрутизации. Когда происходит изменение топологии сети, информация об этих изменениях автоматически распространяется по всем маршрутизаторам, и каждый маршрутизатор вносит необходимые изменения в свою таблицу маршрутизации.

7. Механизмы маршрутизации: маршрутизация по умолчанию

Бывают ситуации, когда маршрутизатору не нужно знать обо всех сетях в топологии (Рисунок 2.7). Такой маршрутизатор может быть сконфигурирован так, что бы посылать весь трафик или часть трафика, не описанного в таблице маршрутизации, по специальному маршруту, так называемому маршруту по умолчанию. Маршруты по умолчанию могут поступать на маршрутизатор с помощью протоколов динамической маршрутизации или быть настроены на нем вручную.

Маршрут по умолчанию возможен для любого адреса сети получателя.

Так как маршрутизатор пытается найти в таблице маршрутизации наибольшее соответствие между записями в таблице и адресом получателя, сети присутствующие в таблице маршрутизации будут просмотрены раньше, чем маршрутизатор обратиться к маршруту по умолчанию. Если альтернативного пути в таблице маршрутизации найдено не будет, то будет использован маршрут по умолчанию.

Внутренние и внешние протоколы маршрутизации

При большом количестве роутеров на предприятии или нескольких провайдеров применение статических маршрутов становится достаточно трудоёмким. В этом случае более практично использовать динамические протоколы маршрутизации. Они автоматически обмениваются информацией о известных им сетях тем самым выбирая наилучшие маршруты для своих таблиц маршрутизации и поддерживая их актуальными.

Протоколы маршрутизации можно разделить на две основные группы:

Внутренние (Interior Gateway Protocol)

Внешние (Exterior Gateway Protocol)

свою очередь внутренние протоколы делятся еще на две группы:

Дистанционно-векторные (Distance Vector Protocols) RIPv1,RIPv2, IGRP, EIGRP

По состоянию канала (Link State Protocols) OSPF IS-IS

Основной внешний протокол всего один — BGP. Так же его называют path vector протокол.

Внутренние протоколы маршрутизации, называются так, потому что используются внутри одной автономной системы. Между автономными системами используется BGP, внешний протокол маршрутизации.

Протоколы маршрутизации внутри автономных систем называются протоколами внутренних шлюзов (interior gateway protocol, IGP), а протоколы, определяющие обмен маршрутной информацией между внешними шлюзами и шлюзами магистральной сети — протоколами внешних шлюзов (exterior gateway protocol, EGP). Внутри магистральной сети также допустим любой собственный внутренний протокол IGP.

Составление таблиц статической маршрутизации

Стати́ческая маршрутиза́ция — вид маршрутизации, при котором маршруты указываются в явном виде при конфигурациимаршрутизатора (задаються вручную). Вся маршрутизация при этом происходит без участия каких-либо протоколов маршрутизации.

При задании статического маршрута указывается:

Адрес сети (на которую маршрутизируется трафик), маска сети
Адрес шлюза (узла), который отвечает за дальнейшую маршрутизацию (или подключен к маршрутизируемой сети напрямую)
(опционально) метрика (иногда именуется также "ценой") маршрута. При наличии нескольких маршрутов на одну и ту же сеть некоторые маршрутизаторы выбирают маршрут с минимальной метрикой

В некоторых маршрутизаторах возможно указывать интерфейс, на который следует направить трафик сети и указать дополнительные условия, согласно которым выбирается маршрут.

Преимущества:

Лёгкость отладки и конфигурирования в малых сетях.
Отсутствие дополнительных накладных расходов (из-за отсутствия протоколов маршрутизации)
Мгновенная готовность (не требуется интервал для конфигурирования/подстройки)
Низкая нагрузка на процессор маршрутизатора
Предсказуемость в каждый момент времени

Недостатки:

Очень плохое масштабирование (процесс конфигурирования становится весьма трудоёмким).
Низкая устойчивость к повреждениям линий связи.
Отсутствие динамического балансирования нагрузки
Необходимость в ведении отдельной документации к маршрутам, проблема синхронизации документации и реальных маршрутов.

Таблица маршрутизации — электронная таблица (файл) или база данных, которая хранится на маршрутизаторе или сетевом компьютере, которая описывает соответствие между адресами назначения и интерфейсами, через которые следует отправить пакет данных до следующего маршрутизатора. Является простейшей формой правил маршрутизации.

Таблица маршрутизации обычно содержит:

адрес сети или узла назначения, либо указание, что маршрут является маршрутом по умолчанию
маску сети назначения (позволяет указать единичный узел сети)
шлюз, обозначающий адрес маршрутизатора в сети, на который необходимо отправить пакет, следующий до указанного адреса назначения
интерфейс (в зависимости от системы это может быть порядковый номер, GUID или символьное имя устройства)
метрику — числовой показатель, задающий предпочтительность маршрута. Чем меньше число, тем более предпочтителен маршрут (интуитивно представляется как расстояние).

В таблице может быть один, а в некоторых операционных системах и несколько шлюзов по умолчанию. Такой шлюз используется для сетей для которых нет более конкретных маршрутов в таблице маршрутизации.

В исходном состоянии в каждом маршрутизаторе программным обеспечением стека TCP/IP автоматически создается минимальная таблица маршрутизации, в которой учитываются только непосредственно подсоединенные сети.

В алгоритмах статической маршрутизации таблица составляется администратором “вручную” с помощью специальных утилит и настраивается маршрутизатором во время его загрузки. При изменении топологии сети таблица не изменяется операционной системой автоматически, требуются дополнительные действия администратора для модификации таблицы.

Операционные системы автоматически создают минимальную таблицу маршрутизации, которая содержит строки, вычисляемые ОС автоматически на основе конфигурации сетевых интерфейсов (IP-адресов, масок) и адреса маршрутизатора по умолчанию. В большинстве ОС минимальная таблица маршрутизации содержит запись для маршрутизатора по умолчанию, записи для непосредственно подключенных к узлу сетей и записи для организации широковещательных рассылок.

Домены маршрутизации и их назначение

В технологии маршрутизации существует два понятия автономная система и домен маршрутизации

Маршрутизация в Internet происходит раздельно для различных уровней группирования в Сети. Каждая локальная сеть использует свои методы маршрутизации. Определённые группы локальных сетей объединяются в RD — Routing Domains — домены (области) маршрутизации, в которых маршрутизация производится согласно единым принципам, алгоритмам и протоколам. Элементарным объектом маршрутизации в RD являются уже не отдельные компьютеры, а сети Internet.

Домен маршрутизации — это совокупность сетей и маршрутизаторов, использующих один и тот же протокол маршрутизации.

Сами RD полностью находятся внутри какого-либо одного AD — Administration Domain — административного домена (автономной системы). AD — это сеть или группа сетей, работающих под единым управляющим началом. В одном административном домене может быть много разных маршрутных доменов. ADобычно соответствует какой-либо организации или ассоциации. Сами AD могут объединяться в AD более высокого уровня и т.д. То есть,административный домен является основным иерархическим элементом в структуре Сети.

Маршрутизация сообщений между конечными системами (хостами) различных доменов маршрутизации происходит на уровне адресации такихдоменов, т.е. в RD имеется особый внешний маршрутизатор, знающий куда следует переправлять сообщения, адресованные в разные RD, он направляет пакеты по соответствующим путям в нужные RD, а доставка пакета внутри RD-получателя производится силами самого этого RD. При этом, если домены маршрутизации находятся в разных административных доменах, начинает работать аналогичная схема с делегацией полномочий маршрутизации вверх.

Автономные системы и их назначение

В технологии маршрутизации существует два понятия автономная система и домен маршрутизации. Автономная система (autonomous system, AS) - это набор сетей, которые находятся под единым административным управлением и в которых используются единая стратегия и правила маршрутизации. Автономная система для внешних сетей представляется как некий единый объект.

В сети Интернет термин автономная система используется для описания крупных логически объединенных сетей, например сетей Internet провайдеров. Каждая такая AS имеет в качестве своего идентификатора шестнадцати-битовое число.

В одном административном домене может быть много разных маршрутных доменов. ADобычно соответствует какой-либо организации или ассоциации. Сами AD могут объединяться в AD более высокого уровня и т.д. То есть, административный домен является основным иерархическим элементом в структуре Сети.

Метрики маршрутизации и их назначение

При перераспределении одного протокола в другой следует помнить, что метрики каждого протокола играют важную роль в перераспределении. Каждый протокол использует разные метрики. Например, метрика протокола RIP основана на количестве переходов, однако протоколы IGRP и EIGRP используют составную метрику в зависимости от пропускной способности, задержки, надежности, загрузки и максимального размера передаваемого блока данных (MTU), где пропускная способность и задержка являются единственными параметрами, используемыми по умолчанию. В процессе перераспределения маршрутов необходимо определить метрику, понятную принимающему протоколу. Есть два метода определения метрик при перераспределении маршрутов.

Можно определить метрику только для конкретного перераспределения
Можно использовать одну и ту же метрику по умолчанию для всего перераспределения (использование команды default-metric упрощает задачу, так как в этом случае не нужно определять метрику отдельно для каждого перераспределения.).

Основные соображения, которые учитываются при построении маршрутной таблицы:

Административное расстояние — это мера надежности источника маршрута. Если маршрутизатор получает данные о назначении из нескольких протоколов маршрутизации, их административные расстояния сравниваются и преимущество

получают маршруты с меньшим административным расстоянием. Другими словами, это степень доверия источнику маршрута.

Метрики — это мера, которую протокол маршрутизации использует для расчета лучшего пути к заданному месту назначения,

если известно о нескольких путях к этому месту назначения. Каждый протокол маршрутизации использует свою метрику.

Длина префикса сети

Маршруты выбираются и встраиваются в таблицу маршрутизации на основе административного расстояния протокола маршрутизации. Маршруты с наименьшим административным расстоянием, полученные от протокола маршрутизации, устанавливаются в таблицу маршрутизации. Если к одному месту назначения существует несколько путей, основанных на одном протоколе маршрутизации, эти будут иметь одинаковые административные расстояния. В этом случае оптимальный путь будет выбираться на основе метрики. Метрики — это значения, привязанные к определенным маршрутам, и классифицирующие их от наиболее предпочтительных до наименее предпочтительных. Параметры, используемые для расчета метрик, зависят от протокола маршрутизации. Путь с самой низкой метрикой выбирается в качестве оптимального пути и устанавливается в таблицу маршрутизации. Если к одному месту назначения существует несколько путей с одинаковыми метриками, нагрузка распределяется по этим путям.

В алгоритмах маршрутизации используется много различных показателей. Сложные алгоритмы маршрутизации при выборе маршрута могут базироваться на множестве показателей, комбинируя их таким образом, что в результате получается один отдельный (гибридный) показатель. Ниже перечислены показатели, которые используются в алгоритмах маршрутизации:

Длина маршрута
Надежность
Задержка
Ширина полосы пропускания
Нагрузка
Стоимость связи

Длина маршрута

Длина маршрута является наиболее общим показателем маршрутизации. Некоторые протоколы маршрутизации позволяют администраторам сети назначать произвольные цены на каждый канал сети. В этом случае длиной тракта является сумма расходов, связанных с каждым каналом, который был траверсирован. Другие протоколы маршрутизации определяют "количество пересылок", т.е. показатель, характеризующий число проходов, которые пакет должен совершить на пути от источника до пункта назначения через изделия об'единения сетей (такие как роутеры).

Надежность

Надежность, в контексте алгоритмов маршрутизации, относится к надежности каждого канала сети (обычно описываемой в терминах соотношения бит/ошибка). Некоторые каналы сети могут отказывать чаще, чем другие. Отказы одних каналов сети могут быть устранены легче или быстрее, чем отказы других каналов. При назначении оценок надежности могут быть приняты в расчет любые факторы надежности. Оценки надежности обычно назначаются каналам сети администраторами сети. Как правило, это произвольные цифровые величины.

Задержка

Под задержкой маршрутизации обычно понимают отрезок времени, необходимый для передвижения пакета от источника до пункта назначения через об'единенную сеть. Задержка зависит от многих факторов, включая полосу пропускания промежуточных каналов сети, очереди в порт каждого роутера на пути передвижения пакета, перегруженность сети на всех промежуточных каналах сети и физическое расстояние, на которое необходимо переместить пакет. Т.к. здесь имеет место конгломерация нескольких важных переменных, задержка является наиболее общим и полезным показателем.

Полоса пропускания

Полоса пропускания относится к имеющейся мощности трафика какого-либо канала. При прочих равных показателях, канал Ethernet 10 Mbps предпочтителен любой арендованной линии с полосой пропускания 64 Кбайт/сек. Хотя полоса пропускания является оценкой максимально достижимой пропускной способности канала, маршруты, проходящие через каналы с большей полосой пропускания, не обязательно будут лучше маршрутов, проходящих через менее быстродействующие каналы.

Протоколы маршрутизации RIP v1 и Rip V2

RIP(англ. Routing Information Protocol) — протокол, предназначен для сравнительно небольших и относительно однородных сетей (алгоритм Белмана-Форда). Протокол разработан в университете Калифорнии (Беркли), базируется на разработках фирмы Ксерокс и реализует те же принципы, что и программа маршрутизации routed, используемая в ОC Unix (4BSD). Маршрут здесь характеризуется вектором расстояния до места назначения. Предполагается, что каждый маршрутизатор является отправной точкой нескольких маршрутов до сетей, с которыми он связан. Описания этих маршрутов хранится в специальной таблице, называемой маршрутной. Таблица маршрутизации RIP содержит по записи на каждую обслуживаемую машину (на каждый маршрут). Запись должна включать в себя:

IP-адрес места назначения.

Метрика маршрута (от 1 до 15; число шагов до места назначения).

IP-адрес ближайшего маршрутизатора (gateway) по пути к месту назначения.

Таймеры маршрута.

Первым двум полям записи мы обязаны появлению термина вектор расстояния (место назначение - направление; метрика - модуль вектора). Периодически (раз в 30 сек) каждый маршрутизатор посылает широковещательно копию своей маршрутной таблицы всем соседям-маршрутизаторам, с которыми связан непосредственно. Маршрутизатор-получатель просматривает таблицу. Если в таблице присутствует новый путь или сообщение о более коротком маршруте, или произошли изменения длин пути, эти изменения фиксируются получателем в своей маршрутной таблице. Протокол RIP должен быть способен обрабатывать три типа ошибок:

Циклические маршруты. Так как в протоколе нет механизмов выявления замкнутых маршрутов, необходимо либо слепо верить партнерам, либо принимать меры для блокировки такой возможности.
Для подавления нестабильностей RIP должен использовать малое значение максимально возможного числа шагов (<16).
Медленное распространение маршрутной информации по сети создает проблемы при динамичном изменении маршрутной ситуации (система не поспевает за изменениями). Малое предельное значение метрики улучшает сходимость, но не устраняет проблему.

Поле версия для RIP равно 1 (для RIP-2 двум). Поле набор протоколов сети i определяет набор протоколов, которые используются в соответствующей сети (для Интернет это поле имеет значение 2). Поле расстояние до сети i содержит целое число шагов (от 1 до 15) до данной сети. В одном сообщении может присутствовать информация о 25 маршрутах. При реализации RIP можно выделить следующие режимы:

Инициализация, определение всех "живых" интерфейсов путем посылки запросов, получение таблиц маршрутизации от других маршрутизаторов. Часто используются широковещательные запросы.

Получен запрос. В зависимости от типа запроса высылается адресату полная таблица маршрутизации, или проводится индивидуальная обработка.

Получен отклик. Проводится коррекция таблицы маршрутизации (удаление, исправление, добавление).

Регулярные коррекции. Каждые 30 секунд вся или часть таблицы маршрутизации посылается всем соседним маршрутизаторам. Могут посылаться и специальные запросы при локальном изменении таблицы. RIP достаточно простой протокол, но, к сожалению не лишенный недостатков:

RIP не работает с адресами субсетей. Если нормальный 16-бит идентификатор ЭВМ класса B не равен 0, RIP не может определить является ли не нулевая часть cубсетевым ID, или полным IP-адресом.
RIP требует много времени для восстановления связи после сбоя в маршрутизаторе (минуты). В процессе установления режима возможны циклы.
Число шагов важный, но не единственный параметр маршрута, да и 15 шагов не предел для современных сетей.

Протокол RIP-2 (RFC-1388, 1993 год) является новой версией RIP, которая в дополнение к широковещательному режиму поддерживает мультикастинг; позволяет работать с масками субсетей. Поле маршрутный демон является идентификатором резидентной программы-маршрутизатора. Поле метка маршрута используется для поддержки внешних протоколов маршрутизации, сюда записываются коды автономных систем. При необходимости управления доступом можно использовать первые 20 байт с кодом набора протоколов сети 0xFFFF и меткой маршрута =2. Тогда в остальные 16 байт можно записать пароль.

Достоинство RIP–протокола – простота реализации, недостатки – большой поток служебных данных при обмене таблицами маршрутизации и не всегда корректное решение задачи с созданием ложных маршрутов. Недостатки RIP–протокола связаны с применяемым алгоритмом формирования таблиц маршрутизации. В алгоритмах состояния связей создание таблиц маршрутизации сложнее, однако в процессе работы маршрутизаторов существенно сокращается обмен служебными данными и отсутствуют ложные маршруты в форме петель и контуров.

Протокол OSPF

OSPF (англ. Open Shortest Path First) — протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала (link-state technology) и использующий для нахождения кратчайшего пути Алгоритм Дейкстры (Dijkstra’s algorithm).

Протокол OSPF был разработан IETF в 1988 году. Последняя версия протокола представлена в RFC 2328. Протокол OSPF представляет собой протокол внутреннего шлюза (Interior Gateway Protocol — IGP). Протокол OSPF распространяет информацию о доступных маршрутах между маршрутизаторами одной автономной системы.

Маршрутизаторы обмениваются hello-пакетами через все интерфейсы, на которых активирован OSPF. Маршрутизаторы, разделяющие общий канал передачи данных, становятся соседями, когда они приходят к договоренности об определённых параметрах, указанных в их hello-пакетах.
На следующем этапе работы протокола маршрутизаторы будут пытаться перейти в состояние смежности со своими соседями. Переход в состояние смежности определяется типом маршрутизаторов, обменивающихся hello-пакетами, и типом сети, по которой передаются hello-пакеты. OSPF определяет несколько типов сетей и несколько типов маршрутизаторов. Пара маршрутизаторов, находящихся в состоянии смежности, синхронизирует между собой базу данных состояния каналов.
Каждый маршрутизатор посылает объявления о состоянии канала маршрутизаторам, с которыми он находится в состоянии смежности.
Каждый маршрутизатор, получивший объявление от смежного маршрутизатора, записывает передаваемую в нём информацию в базу данных состояния каналов маршрутизатора и рассылает копию объявления всем другим смежным с ним маршрутизаторам.
Рассылая объявления внутри одной OSPF-зоны, все маршрутизаторы строят идентичную базу данных состояния каналов маршрутизатора.
Когда база данных построена, каждый маршрутизатор использует алгоритм «кратчайший путь первым» для вычисления графа без петель, который будет описывать кратчайший путь к каждому известному пункту назначения с собой в качестве корня. Этот граф — дерево кратчайших путей.
Каждый маршрутизатор строит таблицу маршрутизации из своего дерева кратчайших путей.

Преимущества OSPF:

Для каждого адреса может быть несколько маршрутных таблиц, по одной на каждый вид IP-операции (TOS).
Каждому интерфейсу присваивается безразмерная цена, учитывающая пропускную способность, время транспортировки сообщения. Для каждой IP-операции может быть присвоена своя цена (коэффициент качества).
При существовании эквивалентных маршрутов OSFP распределяет поток равномерно по этим маршрутам.
Поддерживается адресация субсетей (разные маски для разных маршрутов).
При связи точка-точка не требуется IP-адрес для каждого из концов. (Экономия адресов!)
Применение мультикастинга вместо широковещательных сообщений снижает загрузку не вовлеченных сегментов.

Недостатки:

Трудно получить информацию о предпочтительности каналов для узлов, поддерживающих другие протоколы, или со статической маршрутизацией.
OSPF является лишь внутренним протоколом.

Одно и множество областей OSPF

Автономные системы OSPF разбиваются на области. Области – это небольшие сети внутри АС, имеющие одну топологическую базу данных. Протокольные адреса этих областей не зависят от АС, к которой они принадлежат, и от других областей. В автономной системе OSPF когут быть образованы области трех типов:

• Стандартная область

• Тупиковая область

• Не совсем тупиковая область

Примечание

Существует и четвертый тип области – магистральная. Но магистраль автономной системы OSPF на самом деле не является областью в том же смысле, как три основных типа. Магистраль просто создается из всех маршрутизаторов, не вошедших ни в одну из областей. Назначение магистрали состоит в соединении областей АС друг с другом и с любыми внешними сетями. Прежде чем перейти к рассмотрению того, что делает область каждого типа и как они влияют на общую производительность сети OSPF, следует хорошо представлять себе смысл образования областей. Область диктует правила, полностью определяющие работу содержащихся в ней маршрутизаторов. Маршрутизаторы области имеют достоверную информацию (полученную из первоисточника) только друг о друге. Хотя бы один маршрутизатор области должен заниматься обеспечением связи области с другими областями или с магистралью (магистраль – это множество маршрутизаторов, оставшихся вне основных областей).

Такой маршрутизатор называется пограничным маршрутизатором области (ABR). Маршрутизаторы области имеют прямой доступ к сведениям только друг о друге. При необходимости отправить информацию в другую область они могут переслать пакеты на ABR, который доставит их за пределы области, при этом пакеты будут снабжены косвенными данными о среде маршрутизации. Используя эти данные, маршрутизаторы области могут правильно адресовать пакеты, направляемые в другие области той же АС.

Если области необходима связь с магистралью автономной системы, но она находится за другой областью, можно сконфигурировать виртуальный канал. Виртуальный канал – это канал, идущий от ABR к промежуточному ABR и завершающийся в магистральной области. (При создании виртуальных каналов необходимо придерживаться нескольких важных правил, о которых будет рассказано в разделе «Конфигурирование OSPF».)

Примечание

При конфигурировании виртуального канала транзитная область не может быть

тупиковой.

Маршрутизаторы области получают информацию о внешних маршрутах посредством такого процесса, как объявление маршрутов. Шлюз автономной области, используя EGP, собирает LSA_информацию от внешних автономных систем. Затем шлюз пересылает эту информацию через магистраль на пограничные маршрутизаторы области. ABR ретранслируют информацию о маршрутах всем маршрутизаторам области, которые используют ее для отправки данных за пределы автономной системы.

Рассылка маршрутов может быть обременительной для области из_за дополнительного трафика и множества сообщений LSA. Поэтому, если область непосредственно связана с магистралью АС, вы можете уберечь ее от лишнего трафика, связанного с объявлениями маршрутов, сделав область тупиковой.

Тупиковые области

Тупиковая область – это область, которая специально предназначена для того, чтобы не принимать информацию о маршрутах от областей, находящихся вне АС. Создание тупиковых областей может уменьшить трафик и освободить ресурсы, занятые под обработку дополнительных обновлений. Основным критерием при формировании тупиковой области является то, что она должна быть напрямую связана с магистралью автономной системы. Маршрутизаторы магистрали имеют неявные сведения о внешних для автономной системы маршрутах. Поэтому маршрутизаторы тупиковой области, которым нужно отправить информацию по внешнему маршруту, могут пересылать такие пакеты в магистральную область, что может привести к дополнительной нагрузке на некоторые из наиболее занятых маршрутизаторов АС.

Не совсем тупиковые области (NSSA)

NSSA – это тупиковая область, в которой запрограммированы пряме пути к внешним автономным системам. Как и в тупиковых областях, маршрутизаторы внутри NSSA освобождены от дополнительного трафика по распространению информации о маршрутах. Однако они могут достичь некоторых внешних маршрутов, используя предопределенные маршруты. При конфигурировании маршрутизатора задается информация, необходимая для достижения некоторых внешних по отношению к АС маршрутов.

NSSA не должны быть прямо связаны с магистралью автономной системы. Так как маршрутизаторы обладают информацией, необходимой для правильной адресации пакетов, эти пакеты могут пересылаться через другие области. Но недостаток NSSA в том, что входящие в такую область маршрутизаторы могут достичь не любого внешнего маршрута, а только того, о котором у них имеются заранее введенные сведения.

Примечание

Несмотря на то что область, не соединенная непосредственно с магистралью, может функционировать, не рекомендуется создавать такие области. Многие документы Cisco настойчиво советуют не делать этого.

Чертой, отличающей тупиковые и не совсем тупиковые области от остальных, является их неспособность получать и обрабатывать информацию о маршрутах. Автономные системы передают сведения о своїй внутренней структуре другим областям посредством процесса, носящего название «перераспределение маршрутов». Это процесс делает возможной связь между АС.

Области OSPF

В link-state протоколах маршрутизации, все маршрутизаторы должны иметь копии LSDB. Чем больше маршрутизаторов (и больше каналов между ними), тем больше база LSDB. С одной стороны знание обо всех маршрутах можно отнести к преимуществу, но такой подход не применим к масштабированию в больших сетях. Подход с использованием зон - это компромис. Маршрутизаторы внутри зоны содержат детальную информацию обо всех каналах и маршрутизаторах этой зоны. OSPF можно настроить так, чтобы только общая или суммированная информация о маршрутизаторах и каналах других областей была в БД на маршрутизаторах этой области.

Если OSPF настроен правильно и отказывает канал и маршрутизатор, информация распространяется соседям в пределах этой зоны. Маршрутизаторы за зоной не получают эту информацию. Придерживаясь иерархической структуры и ограничивая число маршрутизаторов в зоне, можно масштабировать OSPF AS до очень больших размеров.

Транзитная область (Backbone area). Промежуточный тип OSPF-области внутри одного домена, главной функцией которого является быстра и эффективная пересылка пакетов. В транзитной области нет конечных пользователей. Она связана с другими типами зон. Область 0 является транзитной областью или ядром.

Обычная область (Regular area). Соединяет пользователей и ресурсы. Обычные области, как правило, устанавливаются по функциональному или географическому принципу. По умолчанию, обычная область не передает трафик от одной области к другой. Такой трафик должен передаваться через транзитную область. Обычная (немагистральная) область имеет ряд разновидностей: standard area, stub-area, totally stubby area (или totally NSSA, или totally stub NSSA, not-so-stubby area (NSSA).

OSPF усиливает эту жесткую двухуровневую иерархию. Структура физических соединение должна быть отображена на двухуровневую иерархию областей, где все немагистральные области должны подключаться непосредственно к области 0.

Объявления о состоянии канала

Type 1 LSA — Router LSA — объявление о состоянии каналов маршрутизатора. Эти LSA распространяются всеми маршрутизаторами. В LSA содержится описание всех каналов маршрутизатора и стоимость (cost) каждого канала. Распространяются только в пределах одной зоны.

Type 2 LSA — Network LSA — объявление о состоянии каналов сети. Распространяется DR в сетях со множественным доступом. В LSA содержится описание всех маршрутизаторов присоединенных к сети, включая DR. Распространяются только в пределах одной зоны.

Type 3 LSA — Network Summary LSA — суммарное объявление о состоянии каналов сети. Объявление распространяется пограничными маршрутизаторами. Объявление описывает только маршруты к сетям вне зоны и не описывает маршруты внутри автономной системы. Пограничный маршрутизатор отправляет отдельное объявление для каждой известной ему сети.

Когда маршрутизатор получает Network Summary LSA от пограничного маршрутизатора он не запускает алгоритм вычисления кратчайшего пути. Маршрутизатор просто добавляет к стоимости маршрута указанного в LSA стоимость маршрута к пограничному маршрутизатору. Затем маршрут к сети через пограничный маршрутизатор помещается в таблицу маршрутизации.

Type 4 LSA — ASBR Summary LSA — суммарное объявление о состоянии каналов пограничного маршрутизатора автономной системы. Объявление распространяется пограничными маршрутизаторами. ASBR Summary LSA отличается от Network Summary LSA тем, что распространяется информация не о сети, а о пограничном маршрутизаторе автономной системы.

Type 5 LSA — AS External LSA — объявления о состоянии внешних каналов автономной системы. Объявление распространяется пограничным маршрутизатором автономной системы в пределах всей автономной системы. Объявление описывает маршруты внешние для автономной системы OSPF или маршруты по умолчанию (default route) внешние для автономной системы OSPF.

Type 6 LSA — Multicast OSPF LSA — специализированный LSA, который используют мультикаст OSPF приложения (Not implemented by CISCO).

Type 7 LSA — AS External LSA for NSSA — объявления о состоянии внешних каналов автономной системы в NSSA зоне. Это объявление может передаваться только в NSSA зоне. На границе зоны пограничный маршрутизатор преобразует type 7 LSA в type 5 LSA.

Type 8 LSA — Link LSA — анонсирует link-local адрес и префикс(ы) маршрутизатора всем маршрутизаторам разделяющим канал (link). Отправляется только если на канале присутствует более чем один маршрутизатор. Распространяются только в пределах канала (link).

Примеры конфигураций протокола OSPF

МаршрутизаторR1:

R1(config)#routerospf 1

R1(config-router)#network 192.168.1. 2 0.0. 0.255 area 0

R1(config-router)#network 10.1. 1.1 0.0. 0.255 area 0

R1(config-router)#network 10.20. 1.2 0.0. 0.255 area 0

R1(config-router)#end

Маршрутизатор R2:

R2(config)#routerospf 1

R2(config-router)#network 192.168.3. 2 0.0. 0.255 area 0

R2(config-router)#network 10.10. 1.2 0.0. 0.255 area 0

R2(config-router)#network 10.20. 1.1 0.0. 0.255 area 0

R2(config-router)#end

Маршрутизатор R3:

R3(config)#routerospf 1

R1(config-router)#network 192.168.2. 2 0.0. 0.255 area 0

R1(config-router)#network 10.1. 1.2 0.0. 0.255 area 0

R1(config-router)#network 10.10. 1.1 0.0. 0.255 area 0

R1(config-router)#end

2.3.3. Перевірити конфігурацію OSPF

R1#showipprotocols (мал. 2.5.)

РИС. 2.5. Настроювання протоколу для маршрутизатора R1.

R2#showipprotocols (мал. 2.6.)

РИС. 2.6. Настроювання протоколу для маршрутизатора R2.

R3#showipprotocols (мал. 2.7.)

РИС. 2.7. Настроювання протоколу для маршрутизатора R3.

Характеристики протокола OSPF

В числе дополнительных характеристик OSRF - равные затраты, многотрактовая маршрутизация (multipath routing) и маршрутизация, базирующаяся на запросах типа услуг высшего уровня (type of service - TOS). Базирующаяся на TOS маршрутизация поддерживает те протоколы высшего уровня, которые могут назначать конкретные типы услуг. Например, какая-нибудь прикладная программа может включить требование о том, что определенная информация является срочной. Если OSPF имеет в своем распоряжении каналы с высоким приоритетом, то они могут быть использованы для транспортировки срочных дейтаграмм.

OSPF обеспечивает один или более показателей. Если используется только один показатель, то он считается произвольным, и TOS не обеспечивается. Если используется более одного показателя, то TOS обеспечивается факультативно путем использования отдельного показателя (и следовательно, отдельной маршрутной таблицы) для каждой из 8 комбинаций, образованной тремя битами IP TOS: битом задержки (delay), производительности (throughput) и надежности (reliability). Например, если биты IP TOS задают небольшую задержку, низкую производительность и высокую надежность, то OSPF вычисляет маршруты во все пункты назначения, базируясь на этом обозначении TOS.

Маски подсети IP включаются в каждый об'явленный пункт назначения, что позволяет использовать маски подсети переменной длины (variable-length subnet masks). С помощью масок подсети переменной длины сеть IP может быть разбита на несколько подсетей разной величины. Это обеспечивает администраторам сетей дополнительную гибкость при выборе конфигурации сети.

Базы данных протокола OSPF и их назначение

Таблица маршрутизации

База данных соседей (neighbours database) — список всех соседей.

База данных состояния каналов (link state database, LSDB) — список всех записей о состоянии каналов. Встречается также

Внутризональные объявления (intra – area)

Межзональные объявления (inter – area)

Внешние объявления (external)

Type 6 LSA — Multicast OSPF LSA — специализированный LSA, который используют мультикаст OSPF приложения (Not implemented by CISCO).

Типы пакетов об объявлении состояния каналов и их назначение

Заголовок пакета OSPF

Version — номер версии протокола OSPF, текущая версия OSPF для сетей IPv4 — 2;
Type — тип OSPF-пакета;
Packet length — длина пакета, включая заголовок;
Router ID — идентификатор маршрутизатора, уникальное 32-битное число, идентифицирующее маршрутизатор в пределах автономной системы;
Area ID — 32-битный идентификатор зоны;
Checksum — поле контрольной суммы, подсчитывается для всего пакета, включая заголовок;
Authentication type — тип используемой схемы аутентификации, возможные значения:
- 0 — аутентификация не используется
- 1 — аутентификация открытым текстом
- 2 — MD5-аутентификация
Authentication — поле данных аутентификации.

Существует 5 типов пакета OSPF:

1. Hello.

Отправляется через регулярные интервалы времени для установления и поддержания соседских взаимоотношений.

2. Database Description.

Описание базы данных. Описывает содержимое базы данных; обмен этими пакетами производится при инициализации смежности.

3. Link-State Request

Запрос о состоянии канала. Запрашивает части топологической базы данных соседа. Обмен этими пакетами производится после того, как какой-нибудь роутер обнаруживает, (путем проверки пакетов описания базы данных), что часть его топологической базы данных устарела.

4. Link-State Update

Корректировка состояния канала. Отвечает на пакеты запроса о состоянии канала. Эти пакеты также используются для регулярного распределения LSA. В одном пакете могут быть включены несколько LSA.

5. Link-State Acknowledgement

Подтверждение состояния канала. Подтверждает пакеты корректировки состояния канала. Пакеты корректировки состояния канала должны быть четко подтверждены, что является гарантией надежности процесса лавинной адресации пакетов корректировки состояния канала через какую-нибудь область.

Hello-пакет

Hello-пакет предназначен для установления и поддержания отношений с соседями. Пакет периодически посылается на все интерфейсы маршрутизатора.

Network mask — сетевая маска интерфейса, через который отправляется hello-пакет;
Hello interval — интервал задающий частоту рассылки приветственных сообщений для обнаружения соседей в автономной системе, для LAN значение по умолчанию равно 10 секундам;
Options — 8-битное поле опций, описывает возможности маршрутизатора;
Router priority — приоритет маршрутизатора, 8-битное число, символизирующее приоритет маршрутизатора при выборе DR (англ. Designated router) и BDR (англ. Backup designated router);
Router dead interval — период времени, в течение которого маршрутизатор ожидает ответа соседей;
Designated router (DR) — IP-адрес DR;
Backup designated router (BDR) — IP-адрес BDR;
Neighbor ID — идентификатор соседа. Список составляется из идентификаторов соседей, от которых маршрутизатор получил hello-пакеты в течение времени, заданного в поле router dead interval;

Database Description

Пакет Database Description описывает содержание базы данных состояния канала. Обмен пакетами производится при установлении состояния смежности.

Interface MTU — размер в байтах наибольшей IP дейтаграммы, которая может быть послана через данный интерфейс без фрагментации;
I-бит — устанавливается для первого пакета в последовательности;
M-бит — указывает наличие последующих дополнительных пакетов;
MS-бит — устанавливается для ведущего, сбрасывается для ведомого;
DD sequence number — в начальном пакете устанавливается на уникальное значение, при передаче каждого последующего пакета увеличивается на единицу, пока не будет передана вся база данных;
LSA headers — массив заголовков базы данных состояния каналов.

Link State Request

Пакет Link State Request предназначен для запроса части базы данных соседнего маршрутизатора.

LS Type — тип объявления о состоянии канала;
Link State ID — идентификатор домена маршрутизации;
Advertising Router — идентификатор маршрутизатора, создавшего объявление о состоянии канала.

Link State Update

Пакет Link State Update предназначен для рассылки объявлений о состоянии канала. Пакет посылается по групповому адресу на один транзитный участок.

Number of LSA — количество объявлений в пакете.

Link State Acknowledgment

Подтверждает получение пакета Link State Update.

Три зоны OSPF и их назначение

Широковещательные сети со множественным доступом (Ethernet, Token Ring)
Точка-точка (T1, E1, коммутируемый доступ)
Нешироковещательные сети со множественным доступом (NBMA) (Frame relay)

Або див. 28. Типы зон OSPF протокола и их назначение

Состояние маршрутизаторов

Маршрутизаторы, использующие протоколы состояния канала, периодически отправляют друг другу обновления. Эти обновления, называемые LSA (link state advertisements – объявления состояния канала), сообщают каждому маршрутизатору статус (состояние) каждого маршрутизатора (канала) среды.

New - состояние когда процесс установления соседства только начинается. Маршрутизатор переходит в это состояние в момент загрузки или при настройке начальной конфигурации протокола.

One-Way - маршрутизатор переходит в это состояние после Hello. Машрутизатор находится в этом состоянии пока не будет получен Hello пакет содержащий адрес локального маршрутизатора в качестве соседа.

Initializing - состояние в которое переходит маршрутизатор при получении Hello пакета в котром указан его собственный локальный адрес в качестве соседа. Это состояние означает, что была установлена двунаправленная связь.

Up - состояние полного функционирования отношений. Это состояние означает, что были сформированы отношения соседства и произошла синхронизация баз данных маршрутизаторов.

Down - состояние утерянного соседства. Маршрутизатор переходит в это состояние по одной из нескольких причин: несоответствие зоны (area), окончание таймаута удержания или ошибка аутентификации.

Reject - состояние маршрутизатора после сбоя проверки подлинности. Маршрутизатор будет постоянно менять свое состояние между этим и состоянием Down.

Типы маршрутизаторов OSPF и их назначение

Внутренний маршрутизатор (internal router) — маршрутизатор, все интерфейсы которого принадлежат одной зоне. У таких маршрутизаторов только одна база данных состояния каналов.

Пограничный маршрутизатор (area border router, ABR) — соединяет одну или больше зон с магистральной зоной и выполняет функции шлюза для межзонального трафика. У пограничного маршрутизатора всегда хотя бы один интерфейс принадлежит магистральной зоне. Для каждой присоединенной зоны маршрутизатор поддерживает отдельную базу данных состояния каналов.

Магистральный маршрутизатор (backbone router) — маршрутизатор у которого всегда хотя бы один интерфейс принадлежит магистральной зоне. Определение похоже на пограничный маршрутизатор, однако магистральный маршрутизатор не всегда является пограничным. Внутренний маршрутизатор, интерфейсы которого принадлежат нулевой зоне, также является магистральным.

Пограничный маршрутизатор автономной системы (AS boundary router, ASBR) — обменивается информацией с маршрутизаторами принадлежащими другим автономным системам. Пограничный маршрутизатор автономной системы может находиться в любом месте автономной системы и быть внутренним, пограничным или магистральным маршрутизатором.

Выделенный маршрутизатор (designated router, DR) — управляет процессом рассылки LSA в сети. Каждый маршрутизатор сети устанавливает отношения смежности с DR. Информация об изменениях в сети отправляется DR маршрутизатором, обнаружившим это изменение, а DR отвечает за то, чтобы эта информация была отправлена остальным маршрутизаторам сети.

Недостатком в схеме работы с DR маршрутизатором является то, что при выходе его из строя должен быть выбран новый DR. Новые отношения соседства должны быть сформированы и, пока базы данных маршрутизаторов не синхронизируются с базой данных нового DR, сеть будет недоступна для пересылки пакетов. Для устранения этого недостатка выбирается BDR.

Резервный выделенный маршрутизатор (backup designated router, BDR). Каждый маршрутизатор сети устанавливает отношения соседства не только с DR, но и BDR. DR и BDR также устанавливают отношения соседства и между собой. При выходе из строя DR, BDR становится DR и выполняет все его функции. Так как маршрутизаторы сети установили отношения соседства с BDR, время недоступности сети минимизируется.

Маршрутизатор, выбранный DR или BDR в одной присоединённой к нему сети со множественным доступом, может не быть DR (BDR) в другой присоединённой сети. Роль DR (BDR) является свойством интерфейса, а не свойством всего маршрутизатора.

Типы зон OSPF протокола и их назначение

Как уже было сказано, OSPF требует иерархической структуры, т.е. требуя чтобы все зоны подключались напрямую к нулевой зоне. На рисунке справа показаны типы маршрутизаторов OSPF.

Рекомендации позволяющие не перегружать маршрутизаторы расчётами OSPF:

Зона должна содержать не более 50 маршрутизаторов.
Маршрутизатор должен быть не более чем в 3 зонах.

Конечно, не последюю роль играет стабильность каналов и дизайн сети.

При разделении автономной системы на зоны, маршрутизаторам принадлежащим к одной зоне не известна информация о детальной топологии других зон.

Разделение на зоны позволяет:

Снизить нагрузку на ЦП маршрутизаторов за счёт уменьшения количества перерасчётов по алгоритму OSPF
Уменьшить размер таблиц маршрутизации
Уменьшить количество пакетов обновлений состояния канала

Каждой зоне присваивается идентификатор зоны (area ID). Идентификатор может быть указан в десятичном формате или в формате записи IP-адреса. Однако идентификаторы зон не являются IP-адресами и могут совпадать с любым назначенным IP-адресом.

Существует несколько типов зон:

Магистральная зона (backbone area)

Магистральная зона (известная также как нулевая зона или зона 0.0.0.0) формирует ядро сети OSPF. Все остальные зоны соединены с ней, и межзональная маршрутизация происходит через маршрутизатор соединенный с магистральной зоной. Магистральная зона ответственна за распространение маршрутизирующей информации между немагистральными зонами. Магистральная зона должна быть смежной с другими зонами, но она не обязательно должна быть физически смежной; соединение с магистральной зоной может быть установлено и с помощью виртуальных каналов.

Стандартная зона (standard area)

Обычная зона, которая создается по умолчанию. Эта зона принимает обновления каналов, суммарные маршруты и внешние маршруты.

Тупиковая зона (stub area)

Тупиковая зона не принимает информацию о внешних маршрутах для автономной системы, но принимает маршруты из других зон. Если маршрутизаторам из тупиковой зоны необходимо передавать информацию за границу автономной системы, то они используют маршрут по умолчанию. В тупиковой зоне не может находиться ASBR. Исключение из этого правила — ABR может быть и ASBR.

Виртуальные каналы OSPF протокола и их назначение

Virtual link — специальное соединение, которое позволяет соединять, например, разорванную на части зону или присоединить зону к магистральной, через другую зону. Настраивается между двумя Area Border Router.

Для того, чтобы маршрутизаторы могли передать пакеты OSPF через virtual link, они инкапсулируют их в IP-пакеты. Этот механизм используется как временное решение или как backup на случай выхода из строя основных соединений.

Некоторые характеристики virtual link:

Работа hello-протокола в virtual link не отличается от его работы при обычных соединениях.
Через virtual link маршрутизаторы могут установить отношения соседства также как и в случае, если они непосредственно присоединены друг к другу.
В LSA, которые отправляются через virtual link, устанавливается опция DoNotAge (DNA).
Virtual link находится в area 0.

Параметры команды virtual link:

<area-id> — транзитная зона, через которую идет virtual link (транзитная зона не может быть тупиковой),
<router-id> — Router ID соседа, с которым устанавливается соединение с помощью virtual link.

Двухуровнеувая иерархия протокола OSPF требует, чтобы все области соединялись с магистралью (area 0) напрямую. Все немагистральные зоны должны передают маршруты в магистральную зон затем, чтобы они были переданы в другие зоны. Виртуальный канал — это связь, которая позволяет соединить несмежные части магистрали между собой, либо присоединить к магистрали какую-либо область через промежуточную область.

Рекомендуется использовать данную возможность OSPF в достаточно специфических случаях, например при временном соединении областей или на время восстановления сети в случае сбоев. Не следует использовать виртуальные каналы как средство соединения областей при дизайне сети , рекомендуется избегать их по возможности.

Виртуальные каналы - это часть стандарта OSPF. Поддерживаются маршрутизаторами Cisco с IOS 10.0

Ниже перечислены некоторые характеристики и приведены рекомендации по использованию виртуальных каналов.

Стабильность виртуального канала зависит от стабильности области, которую пересекает виртуальный канал.
Настройка конфигурации виртуальных каналов может быть выполнена только в маршрутизаторах ABR.
Виртуальные каналы не могут проходить более чем через одну зону.
Виртуальные каналы не могут проходить через тупиковые области.
Виртуальные каналы помогают на время решить проблему нарушения связности сети.
Виртуальные каналы позволяют обеспечить логическое резервирование.
В протоколе OSPF два маршрутизатора, соединенных виртуальным каналом, рассматриваются так, как если бы они были связаны с помощью ненумерованной двухточечной сети.
Настройка конфигурации виртуальных каналов не может быть выполнена как ненумерованных каналов.
Если требуется прокинуть виртуальный канал к магистральной зоне через две немагистральные зоны, то потребуется два виртуальных канала, по одному на зону.

29. Технология обработки корпоративных данных

Поддержка принятия решения

У Вас в транзакционной (OLTP)

информационной системе

есть данные:

1 миллион записей о банковских транзакциях

или 2 миллиона записей о посещении Web-сайтов

или 5 миллионов записей о телефонных звонках

или …

Это ДАННЫЕ, но это не ИНФОРМАЦИЯ

Данные против Информации

Данные	Информация
Данные о телефонных звонках	Каковы доходы от услуги роуминга за последний месяц по всем тарифным планам?
Данные о посещении Web-сайтов	Какие разделы сайтов наиболее популярны?
Данные о банковских транзакциях	На сколько больше денег клиенты перевели в Швейцарию за последний квартал?

30. Иерархия обработки корпоративных данных

31. Сравнительные характеристики OLTP и OLAP технологий

Сравнение OLTP и OLAP

	OLTP	OLAP
users	clerk, IT professional	knowledge worker
function	day to day operations	decision support
DB design	application-oriented	subject-oriented
data	current, up-to-date detailed, flat relational isolated	historical, summarized, multidimensional integrated, consolidated
usage	repetitive	ad-hoc
access	read/write index/hash on prim. key	lots of scans
unit of work	short, simple transaction	complex query
# records accessed	tens	millions
#users	thousands	hundreds
DB size	100MB-GB	100GB-TB
metric	transaction throughput	query throughput, response

32. Концепция «от данных к знаниям»

От данных к знаниям

33. Сравнительные характеристики экспертных систем и Data Manıng

40. Концепция доступа к данным в хранилище данных

обрав в одном месте всю информацию об истории развития организации, ее успехах и неудачах, о взаимоотношениях с поставщиками и заказчиками, об истории развития и состоянии рынка, менеджеры получают уникальную возможность для анализа прошлой деятельности, сегодняшнего дня и построения обоснованных прогнозов на будущее. Однако не следует забывать и о том, что если не обеспечены надлежащие средства защиты и ограничения прав доступа, вы можете снабдить этой информацией и ваших конкурентов.

Одним из первых же вопросов, встающих при обсуждении проекта Хранилища Данных, является вопрос защиты данных. Чисто психологически, многих пугают не столько затраты на реализацию системы Хранилищ Данных (чаще всего есть понимание, что эффект от ее использования будет больше), а то, что доступ к критически значимой информации может получить кто либо, не имеющий на это права.

В таких системах, часто оказывается недостаточно защиты обеспечиваемой в стандартных конфигурациях коммерческих СУБД (обычно уровень защиты по классу “C2 OrangeBook”.) Региональный менеджер должен видеть только те данные, которые относятся к его региону, а менеджер подразделения не должен видеть данные, относящиеся ко всей фирме. Но, для повышения эффективности доступа к данным, в целевой БД Хранилища Данных, все эти данные, как правило, хранятся в виде единой фактологической таблицы. Следствием этого, является то, что средства реализации должны поддерживать ограничения доступа не только на уровне отдельных таблиц и их колонок, но и отдельных строк в таблице (класс “B1 OrangeBook”).

41. Многомерная модель данных

Реляционные СУБД предназначались для информационных систем оперативной обработки информации и в этой области весьма эффективны. В системах аналитической обработки они показали себя несколько неповоротливыми и недостаточно гибкими. Более эффективными здесь оказываются многомерные СУБД. Многомерные СУБД являются узкоспециализированными СУБД, предназначенными для интерактивной аналитической обработки информации.

Основные понятия, используемые в этих СУБД: агрегируемость , историчность и прогнозируемость. Агрегируемость данных означает рассмотрение информации на различных уровнях ее обобщения. В информационных системах степень детальности представления информации для пользователя зависит от его уровня: аналитик, пользователь, управляющий, руководитель. Историчность данных предполагает обеспечение высокого уровня статичности собственно данных и их взаимосвязей, а также обязательность привязки данных ко времени. Прогнозируемость данных подразумевает задание функций прогнозирования и применение их к различным временным интервалам .Многомерность модели данных означает не многомерность визуализации цифровых данных, а многомерное логическое представление структуры информации при описании и в операциях манипулирования данными. По сравнению с реляционной моделью многомерная организация данных обладает более высокой наглядностью и информативностью. Измерение – это множество однотипных данных, образующих одну из граней гиперкуба. В многомерной модели измерения играют роль индексов, служащих для идентификации конкретных значений в ячейках гиперкуба. Ячейка – это поле, значение которого однозначно определяется фиксированным набором измерений. Тип поля чаще всего определен как цифровой. В зависимости от того, как формируются значения некоторой ячейки, она может быть переменной (значения изменяются и могут быть загружены из внешнего источника данных или сформированы программно) либо формулой (значения, подобно формульным ячейкам электронных таблиц, вычисляются по заранее заданным формулам). Основным достоинством многомерной модели данных является удобство и эффективность аналитической обработки больших объемов данных, связанных со временем. Недостатком многомерной модели данных является ее громоздкость для простейших задач обычной оперативной обработки информации. Примерами систем, поддерживающими многомерные модели данных, является Essbase , MediaMulti — matrix , OracleExpressServer , Cache . Существуют программные продукты, например Media / MR , позволяющие одновременно работать с многомерными и с реляционными БД.

42. Концепция представление данных конечному пользователю из хранилище даннях

Взглядсостороны конечного пользователя (выраженный Э.Коддом), которыйглавным образом сосредоточен на концептуальномуровнепредставленияданных и на выработкеметодологиианализаданных. При этом он естественноговорит о том, чтоисходныеданныемогутхраниться в различныхисточниках и должныбытьобеспеченыэффективныесредства для ихвыборки и транспортировки. Но для него, этипроцессывторичны, а главноесостоит в том, что конечному пользователюдолженбытьпредоставлен максимально комфортный и эффективныйинструментарийвизуализации и манипулированияданными - OLAP Tools.

OLAP (англ. onlineanalyticalprocessing, аналитическаяобработка в реальномвремени) — технологияобработкиданных, заключающаяся в подготовкесуммарной (агрегированной) информации на основебольшихмассивовданных, структурированных по многомерному принципу. Реализациитехнологии OLAP являются компонентами программныхрешенийклассаBusinessIntelligence.

Причина использования OLAP для обработки запросов — это скорость. Реляционные БД хранят сущности в отдельных таблицах, которые обычно хорошо нормализованы. Эта структура удобна для операционных БД (системы OLTP), но сложные многотабличные запросы в ней выполняются относительно медленно.OLAP-структура, созданная из рабочих данных, называется OLAP-куб. Куб создаётся из соединения таблиц с применением схемы звезды или схемы снежинки. В центре схемы звезды находится таблица фактов, которая содержит ключевые факты, по которым делаются запросы. Множественные таблицы с измерениями присоединены к таблице фактов. Эти таблицы показывают, как могут анализироваться агрегированные реляционные данные. Количество возможных агрегирований определяется количеством способов, которыми первоначальные данные могут быть иерархически отображены.

43. Компонентысистемыподдержкипринятиярешений и ихназначение

В состав системы поддержки принятия решений входят три главных компонента: база данных, база моделей и программная подсистема, которая состоит из системы управления базой данных (СУБД), системы управления базой моделей (СУБМ) и системы управления интерфейсом между пользователем и компьютером.База данных играет в информационной технологии поддержки принятия решений (СППР) важную роль. Данные могут использоваться непосредственно пользователем для расчетов при помощи математических моделей. Рассмотрим источники данных и их особенности:

1. Часть данных поступает от информационной системы операционного уровня. Чтобы использовать их эффективно, эти данные должны быть предварительно обработаны.

Для этого существуют две возможности:

– использовать для обработки данных об операциях фирмы систему управления базой данных, входящую в состав системы поддержки принятия решений;

– сделать обработку за пределами системы поддержки принятия решений, создав для этого специальную базу данных. Этот вариант более предпочтителен для фирм, производящих большое количество коммерческих операций. Обработанные данные об операциях фирмы образуют файлы, которые для повышения надежности и быстроты доступа хранятся за пределами системы поддержки принятия решений.

2. Помимо данных об операциях фирмы для функционирования системы поддержки принятия решений требуются и другие внутренние данные, например данные о движении персонала, инженерные данные и т.п., которые должны быть своевременно собраны, введены и поддержаны.

3. Важное значение, особенно для поддержки принятия решений на верхних уровнях управления, имеют данные из внешних источников. В числе необходимых внешних данных следует указать данные о конкурентах, национальной и мировой экономике. В отличие oт внутренних внешние данные обычно приобретаются у специализирующихся на их сборе организаций.

4. В настоящее время широко исследуется вопрос о включении в базу данных еще одного источника данных – документов, содержащих записи, письма, контракты, приказы и т.п. Если содержание этих документов будет записано в памяти и затем обработано по некоторым ключевым характеристикам (поставщикам, потребителям, датам, видам услуг и др.), то система получит новый мощный источник информации.

Система управления данными (СУБД) должна обладать следующими возможностями:

составление комбинаций данных, получаемых из различных источников посредством использования процедур агрегирования и фильтрации;

быстрое прибавление или исключение того или иного источника данных;

построение логической структуры данных в терминах пользователя;

использование и манипулирование неофициальными данными для экспериментальной проверки рабочих альтернатив пользователя;

обеспечение полной логической независимости этой базы данных от других операционных баз данных, функционирующих в рамках фирмы.

База моделей. Целью создания моделей являются описание и оптимизация некоторого объекта или процесса. Использование моделей обеспечивает проведение анализа в системах поддержки принятия решений. Модели, базируясь на математической интерпретации проблемы, при помощи определенных алгоритмов способствуют нахождению информации, полезной для принятия правильных решений.

44. MOLAP технология

MOLAP (Multidimensional OLAP) — многомерноеконцептуальноепредставление. Являетсобоймножественную систему, состоящуюизнесколькихнезависимыхизмерений, вдолькоторыхмогутбытьпроанализированыопределенныесовокупностиданных. Одновременныйанализ по несколькимизмерениямопределяетсякакмногомерныйанализ.

MOLAP — это классическая форма OLAP, так что её часто называют просто OLAP. Она использует суммирующую БД, специальный вариант процессора пространственных БД и создаёт требуемую пространственную схему данных с сохранением как базовых данных, так и агрегатов.

Преимущества MOLAP:

-высокая производительность. Поиск и выборка данных производятся намного быстрее, чем в реляционных базах данных

-структура и интерфейсы наилучшим образом соответствуют структуре аналитических запросов

-многомерные СУБД легко справляются с интеграцией в информационную модель разнообразных дополнительных функций

Недостатки MOLAP:

-MOLAP могут работать только со своими собственными многомерными БД и основываются на патентованных лицензионных решениях для многомерных СУБД, что отражается на цене. Такие технологии обеспечивают полный цикл OLAP-обработки и либо включают в себя, помимо серверного модуля, собственный интегрированный клиентский интерфейс, либо используют для связи с пользователем внешние программы работы с электронными таблицами

-низкие показатели эффективности использования внешней памяти, худшие, по сравнению с реляционными, БД механизмы транзакций

-Отсутствуют единые стандарты на интерфейс, языки описания и управления данными

-Не поддерживают репликацию данных, часто используемую в качестве механизма загрузки

45. ROLAP технология

ROLAP (реляционная OLAP) — OLAP-системы, которыеимеютпрямой доступ к существующим базам данныхилииспользуютданные, выгруженные в собственныелокальныетаблицы.

ROLAP работает напрямую с реляционным хранилищем, факты и таблицы с измерениями хранятся в реляционных таблицах, и для хранения агрегатов создаются дополнительные реляционные таблицы.

ROLAP-системы имеют свои преимущества и недостатки в сравнении с многомерными системами.

Достоинства

реляционные СУБД могут работать с очень большими БД и имеют развитые функции администрирования. При использовании ROLAP размер хранилища не является настолько важным параметром, как в случае с MOLAP
при оперативной аналитической обработке содержимого хранилища данных инструменты ROLAP позволяют производить анализ непосредственно над хранилищем, ведь обычно корпоративные хранилища данных реализуются с помощью реляционных СУБД
при изменяющейся размерности задачи, когда изменения в структуру измерений вносятся достаточно часто, ROLAP системы с динамическим представлением размерности предстают наилучшим решением, так как в них такие манипуляции не требуют физической реорганизации БД.
Системы ROLAP могут функционировать на гораздо менее мощных клиентских станциях, поскольку основная вычислительная нагрузка приходится на сервер, где выполняются сложные аналитические SQL-запросы, формируемые системой
реляционные СУБД обеспечивают значительно более высокий уровень защиты данных и хорошие возможности разграничения прав доступа

Недостатки

Ограниченные возможности расчета значений функционального типа.
Меньшая производительность, чем у MOLAP. Для обеспечения сравнимой с MOLAP производительности реляционные системы требуют тщательной проработки схемы БД и специальной настройки индексов. Но в результате такой работы производительность хорошо настроенных реляционных систем при использовании схемы «звезда» сравнима с производительностью систем на основе многомерных БД.

46. HOLAP технология

HOLAP (Hybrid OLAP) используетреляционныетаблицы для хранениябазовыхданных и многомерныетаблицы для агрегатов

HOLAP использует реляционные таблицы для хранения базовых данных и многомерные таблицы для агрегатов.
Особым случаем ROLAP является ROLAP реального времени (Real-time ROLAP — R-ROLAP). В отличие от ROLAP в R-ROLAP для хранения агрегатов не создаются дополнительные реляционные таблицы, а агрегаты рассчитываются в момент запроса. При этом многомерный запрос к OLAP-системе автоматически преобразуется в SQL-запрос к реляционным данным.Разработаны с целью совмещения достоинств и минимизации недостатков, присущих MOLAP и ROLAP. В отличие от MOLAP, которая работает лучше, когда данные более плотные, серверы ROLAP лучше в тех случаях, когда данные довольно разрежены. Серверы HOLAP применяют подход ROLAP для разреженных областей многомерного пространства и подход MOLAP – для плотных областей. Серверы HOLAP разделяют запрос на несколько подзапросов, направляют их к соответствующим фрагментам данных, комбинируют результаты, а затем предоставляют результат пользователю. Материализация выборочных представлений в HOLAP, выборочное построение индексов, а также планирование запросов и ресурсов аналогично тому, как это реализовано в серверах MOLAP иROLAP.

47. Современныйподход к построению ИАС

Задачами любойинформационно-аналитическойсистемыявляютсяэффективноехранение, обработка и анализданных. В настоящеевремянакоплензначительныйопыт в этойобласти.

Эффективноехранениеинформациидостигаетсяналичием в составеинформационно-аналитическойсистемыцелогорядаисточниковданных. Обработка и объединениеинформациидостигаетсяприменениеминструментовизвлечения, преобразования и загрузки данных. Анализданныхосуществляется при помощисовременныхинструментовделовогоанализаданных.

Информационно-аналитическая система среднего и крупного предприятия или организации должна обеспечивать пользователям доступ к аналитической информации, защищенной от несанкционированного использования и открытой как через внутреннюю сеть организации, так и пользователям сети интранет и Интернет. Таким образом, архитектура современной информационно-аналитической системы насчитывает следующие уровни:

1) сбор и первичная обработка данных;

2) извлечение, преобразование и загрузка данных;

3) складирование данных;

4) представление данных в витринах данных;

5) анализ данных;

6) Web-портал.

48. Уровнипринятиярешений

49. Развитиеархитектуркорпоративныхсетейкомпьютеров

Корпоративные сети интересны для специалистов, занимающихся системами управления базами данных и по другой причине. В широком смысле вычислительная сеть тождественна вычислительной системе - к ней относятся компьютеры, коммуникационное оборудование, операционные системы, системы управления базами данных и приложения. Сеть в узком смысле - это программно-аппаратный комплекс, организующий надежную и быструю доставку сообщений между взаимодействующими приложениями. Для базы данных сеть является универсальной транспортной платформой, которая берет на себя выполнение рутинных коммуникационных задач, подобно тому, как файловая система освобождает СУБД от необходимости заниматься низкоуровневыми вопросами форматирования диска, физическими и логическими аспектами организации файлов и т.п.

Многие СУБД для достижения высоких эксплуатационных показателей могут подменять и "исправлять" существующие операционные системы. Например, создавать на свободном разделе диска файловую систему такой структуры, при которой достигается высокая скорость специфических для базы данных операций поиска и сортировки записей небольших размеров. Ускорение достигается за счет специализации функций файловой или операционной систем на операциях определенного вида.

Аналогичным образом некоторые СУБД поступают и с коммуникационными функциями операционных систем. Примерами здесь могут служить такие компоненты баз данных как Oracle SQL*Net или IngresNet, в которых реализованы популярные транспортные протоколы. Понятно, что дублирование транспортных функций ОС дополнительными компонентами СУБД происходит не от хорошей жизни, а от ограниченности сетевых возможностей универсальных операционных систем: отсутствия тех или иных протоколов или низкоскоростной их реализации.

Однако, использование специализированных реализаций транспортных средств влечет за собой не только положительные, но и отрицательные последствия. СУБД - отнюдь не единственное приложение в сети, способное поддерживать собственные средства транспортировки, такие средства могут быть встроены и в другие приложения - почту, системы коллективной работы, графические системы автоматизированного проектирования и т.д. и т.п. У администратора в этом случае прибавляется забот по поддержанию разнородных продуктов, выполняющих одну и ту же функцию, но по-своему.

Очевидно, что использование единой транспортной системы для всех приложений вычислительной системы облегчило бы жизнь и пользователям, и администраторам. И в этом направлении корпоративные сети быстро развиваются, позволяя своим пользователям отказаться от транспортных услуг отдельных, хотя и очень важных приложений и использовать общие средства.

Итак, что же такое корпоративные сети? В англоязычной литературе этот вид сетей чаще называется "enterprise-widenetworks" (дословно - сеть масштаба предприятия), а в нашей стране прижился другой термин иностранного происхождения - корпоративные сети, что, на наш взгляд, больше соответствует самой сути таких сетей. Термин "корпоративная" отражает с одной стороны величину сети, так как корпорация - это крупное, большое предприятие. С другой стороны, этот термин несет в себе смысл объединения, то есть корпоративная сеть - это сеть, получившаяся в результате объединения нескольких, как правило, разнородных сетей. Кроме того, дух корпоративности - это дух некоего единства, общности, и в этом смысле корпоративные сети - это сети, в которых неоднородные компоненты живут в счастливом согласии.

Появление корпоративных сетей - это хорошая иллюстрация известного философского постулата о переходе количества в качество. При объединении отдельных сетей крупного предприятия, имеющего подразделения в различных городах и странах, в единую сеть, многие количественные характеристики объединенной сети часто превосходят некоторый критический порог, за которым начинается новое качество. При этом число пользователей и компьютеров может измеряться тысячами, число серверов - превышать несколько сотен, число записей в базе данных - несколько миллионов, а расстояния между сетями могут оказаться такими, что использование глобальных связей становится необходимостью.

Кроме того, непременным атрибутом такой сложной и крупномасштабной сети является гетерогенность - нельзя удовлетворить потребности тысяч пользователей с помощью однотипных элементов и однородных структур. В корпоративной сети обязательно будут использоваться различные типы компьютеров - от мейнфреймов до персоналок, 3-5 типов операционных систем, с десяток различных коммуникационных протоколов, несколько СУБД и множество других приложений.

50. EAI, B2B, BPA

EnterpriseApplicationIntegration (EAI) — это технологии и приложения, задача которых вовлечь несколько приложений, используемых в одной организации, в единый процесс и осуществлять преобразование форматов данных между ними.

Необходимость в интеграции приложений обычно возникает, если информационные системы разработаны различными производителями. А также если количество информационных систем достаточно велико, так что осуществлять интеграцию между каждой парой из них ресурсозатратно.

B2B-системы обычнобываютдвухтипов - открытые (public) и закрытые, иликорпоративные (private).

51. Этапы интеграции

Интеграция данных включает объединение данных, находящихся в различных источниках и предоставление данных пользователям в унифицированном виде. Этот процесс становится существенным как в коммерческих задачах (когда двум похожим компаниям необходимо объединить их базы данных), так и в научных (комбинирование результатов исследования из различных биоинформационных репозиториев, для примера). Роль интеграции данных возрастает, когда увеличивается объём и необходимость совместного использования данных

Информационные системы многих компаний представляют собой набор приложений, автоматизирующих отдельные бизнес-задачи. Эти системы, как правило, почти не связаны друг с другом на технологическом уровне, а данные в них часто не согласованы между собой. Автоматизация и управление бизнес процессами (Business Process Automation (BPA) состоит из EAI (Интеграция приложений внутри предприятия) и B2B (Взаимодействие с партнерами по бизнесу).

Enterprice Application Integration (EAI) Интеграция приложений внутри предприятия

Этапы EAI :

Планирование стратегии интеграции
Проектирование архитектуры интеграции
Выбор методики и конфигурации
Индивидуальная разработка решения по интеграции
Анализ бизнес-требований
Моделирование бизнес-процессов
Разработка и создание корпоративных порталов
Бесшовная интеграция на всех ступенях
Автоматизация предприятия
Развертывание интернет-архитектуры во всей организации
Решения "под ключ"

Взаимодействие с партнерами по бизнесу (Business To Business (B2B))

52. Походы к организации взаимодействия приложений

Точка-Точка (Point to Point)
Звезда (Hub and Spoke)
Издатель/Подписчик (Publish & Subscribe)
Интеграция через интерфейс пользователя
Интеграция через хранилище данных
Интеграция через API

Точка-Точка (Point to Point)

Простейший вид компьютерной сети, при котором два компьютера соединяются между собой напрямую через коммуникационное оборудование.

Плюсы:
- Высокая производительность и наиболее тесная связь между приложениями.
- Простота реализации при небольшом числе приложений (до 3).
Минусы:
- Сложность проекта при большом числе приложений N*(N-1)/2. Система становиться неуправляемой.
- Сложность замены/обновления любого приложения входящего в систему.

Здезда

базовая топология компьютерной сети, в которой все компьютеры сети присоединены к центральному узлу (обычно коммутатор), образуя физический сегмент сети. Подобный сегмент сети может функционировать как отдельно, так и в составе сложной сетевой топологии (как правило, «дерево»). Весь обмен информацией идет исключительно через центральный компьютер, на который таким способом возлагается очень большая нагрузка, поэтому ничем другим, кроме сети, он заниматься не может. Как правило, именно центральный компьютер является самым мощным, и именно на него возлагаются все функции по управлению обменом. Никакие конфликты в сети с топологией звезда в принципе невозможны, потому что управление полностью централизовано.

Плюсы:
- Независимость исходного и целевого приложений друг от друга. Документы передаются через хаб.
- Возможность интеграции множества систем. Существенное упрощение администрирования.
Минусы:
- Накладные расходы при передаче данных. Хаб должен установить соотношение между исходным и целевым приложениями.
- Приложения должны уметь работать независимо.

Издатель/подписчик

Плюсы:
- Исходное и целевое приложения полностью «развязаны».
- Возможность интеграции множества систем. Существенное упрощение администрирования.
Минусы:
- Накладные расходы при передаче данных. Хаб должен установить соотношение между исходным и целевым приложениями.
- Приложения должны уметь работать независимо.

Интеграция через интерфейс пользователя

Интеграция через хранилище данных

Технология интеграции данных является ключевым фактором для объединения этих данных и создания информационной инфраструктуры, удовлетворяющей стратегическим проектам Business Intelligence (BI). Такая информационная инфраструктура включает Хранилища данных, витрины данных и операционные склады данных. Создание Хранилища данных (или, в более ограниченном масштабе, витрины данных, содержащей данные только об одном предмете) существенно упрощает доступ к необходимым данным. Сбор и консолидация данных, необходимых для Хранилища или витрины данных, и периодическое пополнение их содержимого новыми значениями при сохранении более ранних величин является практическим приложением технологии интеграции данных.

Интеграция через API (application programming interface)

Интерфейс программирования приложений

API - набор готовых классов, процедур, функций, структур и констант, предоставляемых приложением (библиотекой, сервисом) для использования во внешних программных продуктах. Используется программистами для написания всевозможных приложений.Для увеличения функциональных возможностей и полной автоматизации бизнес-процессов может быть интегрирован с другими системами, используемыми для ведения бизнеса. Взаимосвязь систем обеспечивается с помощью импорта и экспорта данных, а также путем полной интеграции с использованием API.

Автоматизировать создание и редактирование задач, проектов, дел, карточек сотрудников и другие процессы можно с помощью API – языка запросов, которые понимает Мегаплан. Сторонняя система, например, сайт компании или программа, используемая для решения отдельных задач, может обращаться напрямую к базе данных Мегаплана, получая данные и выполняя определенные действия в Мегаплане. С помощью API можно:

— создавать и редактировать задачи и проекты;

— добавлять и редактировать сотрудников;

— создавать списки дел и события в ежедневнике;

— получать комментарии к задачам и отвечать на них;

— получать уведомления о событиях (постановке задачи, появлении комментариев и т.д.);

— работать со списком избранного;

— автоматизировать создание сделок.

53. Недостатки традиционной архитектуры создания КИС

Традиционная архитектура информационно-аналитических систем (ROLAP) - работает напрямую с реляционным хранилищем, факты и таблицы с измерениями хранятся в реляционных таблицах, и для хранения агрегатов создаются дополнительные реляционные таблицы. Благодаря реляционным таблицам, архитектура ROLAP позволяет хранить большие объемы данных. Поскольку в архитектуре ROLAP листовые значения берутся непосредственно из витрины данных, то возвращаемые ROLAP-системой листовые значения всегда будут соответствовать актуальному на данный момент положению дел. Другими словами, ROLAP-системы лишены запаздывания в части листовых данных.

НЕДОСТАТКИ:

Необходимость наличия высокоскоростного сетевого канала к серверу
Высокие требования к аппаратно-программному обеспечению клиентских рабочих станций
Сложность внедрения, развертывания и поддержки информационно-аналитических систем
Высокая стоимость реализованного решения

Создание распределенной информационно-аналитической системы на основе традиционной архитектуры – нетривиальная задача

54. Использование веб-технологий при создании КИС

Позволяет:

Возможность подключения удаленных пользователей, в том числе и по модемным каналам
Упрощенное внедрение и поддержка системы
«Нулевые» затраты на внедрение на уровне клиента
Снижение требований к аппаратно-программному обеспечению клиентских мест
Централизация информационных ресурсов

55. Пример структуры информационно-аналитической системы: общая схема

56. Пример структуры информационно-аналитической системы: подсистема мониторинга

Пример. Подсистема учета производства инженерных изысканий

Подсистема учета производства инженерных изысканий предназначена для автоматизации функций регистрации разрешений на производство инженерных изысканий, выдачи исходных данных (картматериалов) для производства инженерных изысканий, приема отчетов по инженерных изысканиям.

Подсистема выполняет следующие функции:

ввод информации о разрешении на производство инженерных изысканий (пространственные и реестровые данные);
поиск и отображение разрешений на производство инженерных изысканий;
формирование разрешений на производство инженерных изысканий;
сохранение и отображение документов – разрешений на производство инженерных изысканий;
формирование документа – перечень планшетов, выданных изыскательской организации для производства инженерных изысканий;
поиск и отображение планшетов, выданных изыскательской организации;
учет изменений, вносимых на планшете (история исправлений);
ввод информации об отчетах по инженерным изысканиям (реквизиты отчета);
поиск и отображение информации по отчетам по инженерным изысканиям.

Подсистема позволяет вести следующие реестры:

реестр входящих обращений (заявок);
реестр разрешений на производство инженерных изысканий;
реестр планшетов (картматериалов);
реестр отчетов по инженерным изысканиям.

Пример структуры информационно-аналитической системы: аналитическая подсистема

Пример. Информационно-аналитическая подсистема АСУ Чеченской Республики (ИАП АСУ ЧР)

сбор, предварительная обработка, накопление и хранение информационных ресурсов, характеризующих различные сферы жизнедеятельности Республики;
анализ информации и прогноз развития сфер жизнедеятельности Республики;
моделирование и прогнозирование социально-экономического развития Республики, поиск на этой основе различных вариантов решения существующих проблем;
подготовка информационно-аналитических материалов для Президента ЧР, Правительства ЧР, руководителей отраслевых и территориальных органов исполнительной и муниципальной власти Республики;
повышение эффективности информационного взаимодействия исполнительных органов государственной власти и органов местного самоуправления в процессе планирования социально-экономического развития Республики и ее территорий;
обеспечение исполнительных органов государственной власти Чеченской Республики актуальными и достоверными данными о социально-экономическом развитии Республики и ее территорий.

58. Пример структуры информационно-аналитической системы: подсистема прогнозирования

Пример.

Структура подсистемы прогнозирования, состоит из двух блоков. Моделирующий блок предназначен для расчетов концентраций загрязняющих веществ в различных условиях прогнозирования (типы источников, метеоусловия, расстояния, время) – структурный анализ. Блок анализа результатов используется для сравнения результатов прогнозирования с ПДК загрязняющих веществ и выработки стратегии действий, направленных на управление качеством атмосферы. Информация, получаемая в результате работы подсистемы прогнозирования, передается с использованием локальных вычислительных сетей в информационно-модели-рующую подсистему или блок идентификации источников загрязнения.

Наиболее известные средства доступа к корпоративной информации
Географичиские информационные системы (ГИС)
Средства добычи данных (data mining)
Системы аналитической обработки в реальном времени (on-line analytical processing systems – OLAP – системы.)
Реляционные OLAP – системы (Relational OLAP – ROLAP)
Многомерные OLAP – системы (Multidimensional OLAP – MOLAP)
Средства визуализации данных
Информационные системы руководителей (Executive Information System – EIS)
Средства обработки статистики
Броузеры Internet
Броузеры метаданных
Языки програмирования четвертого поколения (так называемые 4GL)
Средства разработки графического интерфейса пользователя
Электронные таблицы
Генераторы отчётов.
1. Концептуальная модель хранилища даннях

Концептуальная модель хранилища данных представляет собой описание главных (основных) сущностей и отношений между ними. Концептуальная модель является отражением предметных областей, в рамках которых планируется построение хранилища данных.

Концептуальная модель создается специалистом по модели данных (Data Modeler) на основе предъявленных бизнес-требований с учетом наличия информации в системах-источниках и служит базой для построения логической модели.

Процесс формирования концептуальной модели включает в себя следующие работы:

проведение анализа полученных бизнес-требований;
классификация данных и определение функциональных областей (Subject Area);
формирование набора сущностей (Entitys) концептуальной модели, отнесение каждой сущности к конкретной функциональной области;
верификация модели по результатам анализа источников;
верификация модели по бизнес требованиям;
формирование рабочего документа с описанием концептуальной модели;
согласование концептуальной модели с функциональными специалистами Заказчика.

Описание данных

Высокоуровневая корпоративная модель данных

Для прикладу можна використати свої моделі БД з курсу Мякшило.

Базові засоби захисту мережного периметра

Периметр – это укрепленная граница вашей сети, которая может включать:

- маршрутизаторы
- брандмауэры
- систему обнаружения вторжений (IDS)
- устройства виртуальной частной сети (VPN)
- программное обеспечение
- демилитаризованную зону (DMZ) и экранированные подсети

63. Сетевой периметр и его назначение

Все аппаратно – программные средства, протоколы и интерфейсы, являющиеся входными и выходными «воротами» (прямыми и косвенными) корпоративных сетей для взаимодействия с другими аналогичными или глобальными сетями образует сетевой периметр. Соответственно все аппаратно-программные средства, протоколы и интерфейсы, предназначенные для обеспечения конфиденциальности, целостности и доступности корпоративных информационных ресурсов с учетом всевозможных угроз из сетевого периметра образуют средства обеспечения безопасности этого же периметра.

Периметр – это укрепленная граница вашей сети, которая может включать:

- маршрутизаторы
- брандмауэры
- систему обнаружения вторжений (IDS)
- устройства виртуальной частной сети (VPN)
- программное обеспечение
- демилитаризованную зону (DMZ) и экранированные подсети

64 Пограничный маршрутизатор

Маршрутизаторы (routers) можно сравнить с дорожными регулировщиками. Они осуществляют управление трафиком, поступающим в сеть, выходящим из сети или трафиком внутри самой сети.

Пограничный маршрутизатор (border router) является последним маршрутизатором, который вы контролируете непосредственно перед выходом в Интернет. В силу того, что весь Интернет-трафик организации проходит через этот маршрутизатор, последний часто функционирует в роли первой и последней линии защиты сети, обеспечивая фильтрацию входящего и исходящего трафика.

Автономная система может содержать множество маршрутизаторов, но взаимодействие с другими AS она осуществляет только через один маршрутизатор, называемый пограничным (border gateway, именно он дал название протоколу BGP).

Пограничный маршрутизатор нужен лишь тогда, когда автономная система имеет более одного внешнего канала, в противном случае его функции выполняет порт внешнего подключения (gateway; поддержка внешнего протокола маршрутизации в этом случае не требуется).

Пограничный маршрутизатор сообщает связанным с ним другим пограничным маршрутизаторам, какие сети каких автономных систем достижимы через него. Обмен подобной информацией позволяет пограничным маршрутизаторам занести в таблицу маршрутов записи о сетях, находящихся в других АС. При необходимости эта информация потом распространяется внутри своей автономной системы с помощью протоколов внутренней маршрутизации с тем, чтобы обеспечить внешнюю коннективность своей АС.

65. Брандмауэр, или межсетевой экран

(firewall) представляет собой устройство, анализирующее трафик с использованием набора правил, которые позволяют определить, можно ли передавать это трафик по сети или нельзя. Область действия брандмауэра начинается там, где заканчивается область действия пограничного маршрутизатора, и он выполняет гораздо более тщательную проверку пакетов при фильтрации трафика. Существует несколько различных типов брандмауэров, к которым относятся статические пакетные фильтры (static packet filters), брандмауэры экспертного уровня (stateful-брандмауэры), а также прокси-брандмауэры (proxy firewalls). Для блокирования доступа к подсети можно использовать, к примеру, встроенный статический пакетный фильтр маршрутизатора Nortel Accellar, для контроля за разрешенными сервисами – брандмауэры экспертного уровня, например Cisco PIX, а для контроля за содержимым (content) – прокси-брандмауэр, например Secure Computing's Sidewinder. Несмотря на то, что брандмауэры не являются совершенными модулями, они смогут заблокировать все, что мы укажем им блокировать, и разрешить все, что мы им разрешим.

66. IDS (Intrusion Detection System – система обнаружения вторжений) — это что-то вроде охранной сигнализации вашей сети, используемой для обнаружения и извещения обо всех вторжениях и потенциально опасных событиях. Система может содержать множество детекторов различного типа, размещенных в стратегических точках сети. Существует два основных типа систем обнаружения вторжений: система обнаружения вторжений на уровне сети (Network-based IDS, NIDS) и система обнаружения вторжений на уровне хоста (Host-based IDS, HIDS). Детекторы NIDS представляют собой устройства, выполняющие наблюдение за сетевым трафиком и фиксирующие любую подозрительную активность. Детекторы NIDS часто размещаются в подсетях, которые непосредственно соединены с брандмауэром, а также в критических точках внутренней сети. Детекторы HIDS функционируют на отдельных хостах. Вообще говоря, детекторы IDS ищут заранее заданные сигнатуры нежелательных событий и могут выполнять статистический анализ и анализ аномальных событий. В случае обнаружения нежелательных событий детекторы IDS оповещают администратора различными способами: используя электронную почту, пейджинговую связь или размещая запись в log-файле. Детекторы IDS могут составлять отчет для центральной базы данных, которая коррелирует поступающую от них информацию.

67. VPN (Virtual Private Network – виртуальная частная сеть) представляет собой защищенный сеанс, для организации которого используются незащищенные каналы, например, Интернет. Очень часто под VPN подразумевают аппаратный компонент периметра, поддерживающий шифрование сеансов, например Nortel Contivity. Доступ к корпоративной сети через VPN могут использовать деловые партнеры компании, сотрудники, находящиеся в командировке либо работающие дома. При непосредственном подключении к внутренней сети компании VPN позволяет удаленным пользователям работать в ней так, как если бы они находились в офисе. Многие организации имеют ошибочное представление о безопасности в отношении удаленного доступа, мотивируя это тем, что у них есть VPN. Если атакующий взломает удаленный компьютер легитимного пользователя, VPN может предоставить атакующему зашифрованный канал для доступа в корпоративную сеть. Вы можете доверять безопасности вашего периметра, однако доверили бы вы безопасность одному из ваших сотрудников, работающему на дому или в номере гостиницы и использующему для связи кабельный модем? Даже если вы доверяете собственным сотрудникам и их защите, можете ли вы доверять защите ваших деловых партнеров, которые для вас являются удаленными пользователями, подключенными в вашу же VPN?

Архитектура программного обеспечения

Термин архитектура программного обеспечения (software architecture) относится к приложениям, функционирующих в сети, и определяет их структурную организацию. Мы могли бы, например, структурировать приложение для электронной коммерции, расчленив его на три отдельные части:

1. Внешний web-интерфейс, отвечающий за то, в каком виде данное приложение будет представлено пользователю.
2. Код приложения, реализующий бизнес-логику приложения.
3. Внутренние базы данных, в которых хранятся данные, имеющие отношение к приложению.
Архитектура программного обеспечения играет существенную роль при обсуждении инфраструктуры безопасности, поскольку основной задачей периметра сети является защита данных, относящихся к приложениям, и сервисов. При организации защиты приложения убедитесь, что архитектура приложения и сеть гармонируют между собой.

69. Демилитаризованные зоны Обычно мы используем термины "демилитаризованная зона" и "экранированные подсети", подразумевая небольшую сеть, содержащую ресурсы общего пользования, подключенные непосредственно к брандмауэру или другому фильтрующему устройству — которые и защищают ее от вторжений извне. DMZ (DeMilitarized Zone – демилитаризованная зона) и экранированная подсеть отличаются друг от друга, даже если пользователи употребляют оба эти термина как синонимы. Термин DMZ берет свое начало еще со времен войны в Корее. Так называлась закрытая для военных действий полоса земли, расположенная на 38 параллели. DMZ представляет собой незащищенную область между защищенными участками. Если в Корее DMZ оказывалась перед любой линией обороны, то применительно к сетям DMZ размещается перед брандмауэром. Брандмауэр или соответствующее устройство, экранирующее трафик, защищает экранированную подсеть, подключенную непосредственно к нему. Запомните следующее: DMZ размещена перед брандмауэром, в то время как экранированная подсеть размещается позади брандмауэра. В контексте нашей книги мы будем твердо придерживаться этих определений.

70. экранированные подсети (screened subnet) представляет собой изолированную сеть, соединенную с определенным интерфейсом брандмауэра или другого фильтрующего трафик устройства. Экранированная подсеть часто используется для изоляции серверов, к которым необходимо обеспечить доступ из Интернета, использующимися исключительно внутренними пользователями данной организации. Экранированная подсеть обычно содержит сервисы "общего использования" (public services), включая DNS, почту и web. Нам хотелось бы рассматривать подобные серверы в качестве бастионных хостов. Здесь под бастионом (bastion) мы подразумеваем хорошо укрепленную (fortified -фортификацированную) позицию. В применении к хостам в сети фортификацирование включает укрепление операционной системы и приложений наилучшим для этого способом. Как показывает опыт зарегистрированных атак, эти серверы не всегда в достаточной мере фортификацированы; на самом деле они бывают уязвимыми, вопреки их защищенности брандмауэрами. Как профессионалы в области безопасности, мы вынуждены укреплять защиту этих хостов, поскольку они являются мишенью для большинства атак и буквально весь мир через них видит вашу организацию.

71.Эшелонированная защита (DefenseinDepth)

Ни одна из концепций не является столь важной при анализе безопасности сети, как эшелонированная, многоуровневая защита; она используется в качестве основы при проектировании и реализации периметра. Принцип эшелонирования поможет защитить ресурсы сети, даже если один из уровней периметра взломан. В конце концов, ни один из уровней защиты не может гарантировать необходимую устойчивость при каждой атаке.

Мы работаем в реальном мире плохо сконфигурированных систем, дефектов в программном обеспечении, недовольных сотрудников и отягощенных заботами системных администраторов. Более того, любой практический проект безопасности нуждается в определенных капиталовложениях, направленных на открытие нескольких портов брандмауэров, на выполнение дополнительных сервисов на сервере или во избежание последующего внесения изменений в систему защиты, поскольку она может повредить важному бизнес-приложению. Попытайтесь рассматривать все компоненты безопасности периметра как части логически последовательной многоуровневой защиты – это поможет вам развернуть их таким образом, чтобы учесть все недостатки и достоинства каждого индивидуального компонента. Естественно, что с учетом требований вашей организации вы можете реализовать не все компоненты, которые рассматриваются в данной главе. Степень эшелонирования уровней защиты зависит от требований и возможностей вашего бизнеса.

Должным образом защитить сеть могут многие компоненты, работающие совместно. Эшелонированная (многослойная, многоуровневая) защита (defenseindepth), представляет собой совокупность уровней таких компонентов, в которой возможности каждого компонента выполняют свои функции должным образом. Эта технология является гибкой в том смысле, что позволяет выбирать компоненты, соблюдая при этом технические ограничения, ограничения бюджета и ограничения в политике, и комбинируя их таким способом, который бы не подверг риску общую безопасность или степень использования сети.

72.Внутренняя сеть

Внутренняя сеть представляет собой сеть, защищенную периметром. Эта сеть содержит все серверы, рабочие станции и ИТ-инфраструктуру, с которой организация ведет свой бизнес.

Как часто говорят администраторы: "Мы можем доверять нашим людям". Организации зачастую пренебрегают безопасностью внутренней сети в силу того, что риск от проявления внутренних атак не учитывается. Внутренняя атака не обязательно должна исходить от злоумышленного сотрудника — атаку может породить и небрежный сотрудник. Поскольку организации учатся на собственном опыте с появлением каждого нового червя, они не могут позволить себе пренебречь защищенностью внутренней сети!

Во внутренней сети мы можем иметь следующие устройства "периметра", которые способны остановить атаку взломщика:

- входящая и исходящая фильтрация на каждом маршрутизаторе;

- внутренние брандмауэры для разделения ресурсов;

- прокси для повышения производительности и безопасности;

- детекторы IDS, функционирующие, подобно канарейкам в угольной шахте (они использовались в качестве живых индикаторов наличия в воздухе взрывоопасного метана), для мониторинга за внутренней сетью;

Внутри мы можем использовать следующее:

- персональные брандмауэры;

- антивирусное ПО;

- укрепление операционной системы;

- управление конфигурацией;

- аудиты

Внутренняя сеть - это сеть предприятия, которая не подключена кИКС напрямую и компьютеры которой выходят в интернет через ИКС.

74. Концепция пакетной фильтрации. Примеры

Пакетная фильтрация – одно из самых старых и наиболее распространенных средств управления доступом к сети. Идея пакетной фильтрации проста: установить, разрешено ли данному пакету вводить в сеть либо выходить из нее. Для этого анализируются некоторые идентифицирующие данные, размещенные в заголовке пакета. Технология пакетной фильтрации применяется в операционных системах, программных и аппаратных брандмауэрах, а также в большинстве маршрутизаторов.

Маршрутизатор Cisco в качестве пакетного фильтра

На данный момент Cisco ACL представляет собой один из наиболее доступных пакетных фильтров. Маршрутизатор Cisco выполняет фильтрацию пакетов посредством списка управления доступом (access control list, ACL). ACL представляет собой длинный список всех элементов, которые маршрутизатор должен просматривать в заголовках пакетов для принятия решения относительно разрешения или запрета доступа пакету к сегменту сети. Эта процедура лежит в основе управления трафиком маршрутизатора Cisco.

Cisco ACL – это просто средство фильтрации трафика, проходящего через ваш маршрутизатор. Его можно представить двумя основными синтаксическими типами: пронумерованными и именованными списками, он выполняет функции нескольких типов фильтрации, включая стандартную, расширенную и рефлексивную, которые мы рассмотрим далее в этой главе.

76. Компоненты безопасности клиентских компьютеров и их назначения

Компоненты безопасности клиентских компьютеров

Обновления ПО. Своевременная установка обновлений и исправлений
Политика паролей. Использование сложных паролей во всех системах
Защита данныхАрхивирование, шифрование и контроль доступа к данным
Защита приложений.Безопасное внедрение и настройка приложений
Управление рабочей станцией.Использование шаблонов безопасности в групповых политиках ActiveDirectory
Защита мобильных клиентов. Технологии защиты мобильных и беспроводных коммуникаций
Антивирусы.Установка и своевременное обновление антивирусного ПО
Брандмауэры. Использование межсетевых экранов для защиты периметра

77. Политикапаролей. Примеры

Политика паролей

Объяснить пользователям, как правильно задавать и защищать пароли
Использовать в качестве паролей сложные комбинации, содержащие цифры, специальные символы и т.п.
Для разных ресурсов нужно использовать разные пароли
При отсутствии пользователя на рабочем месте, его рабочая станция должна быть заблокирована
Использовать многофакторную аутентификацию для усиления защиты

Примеры:

Политика паролей SqlServer:

Сложность пароля.

Политикасложностипаролейпозволяетотражать атаки, использующиепростойперебор, путемувеличения числа возможныхпаролей. Еслиприменяетсяполитикасложностипаролей, новыепаролидолжныудовлетворятьследующимтребованиям.

Пароль не долженсодержатьимяучетной записи пользователяилиеечасть. Частьимениучетной записи определяетсякак три илиболеепоследовательныхалфавитно-цифровыхсимвола, ограниченных с обеихсторонпробельными символами (пробелом, табуляцией, переводом строки) илилюбымизследующихсимволов: запятая (,), точка (.), дефис (-), подчеркивание (_) илирешетка (#).
Длина пароля составляет не менее восьми символов.
пароль содержитсимволы, соответствующиетремизследующихчетырехкатегорий:

-прописныелатинскиебуквы (А-Z)

-строчныелатинскиебуквы (a-z)

-цифры (0-9)

-следующиесимволы: восклицательный знак (!), знак доллара ($), решетка (#) или знак процента (%).

Паролимогутиметьдлину до 128 символов. Рекомендуетсяиспользовать максимально длинные и сложныепароли.

Надежность пароля

При выборе пароля всегдаследует проявлять особуювнимательность. Надежный пароль имеетследующие характеристики:

содержиткакминимум 8 символов;
сочетает в себе буквы, числа и специальныесимволы;
не содержится в словарях;
не являетсяименемкоманды;
не являетсяименемчеловека;
не являетсяименемпользователя;
не являетсяименемкомпьютера;
регулярно меняется;
в значительнойстепениотличается от предыдущихпаролей.

Истечениесрокадействия пароля.

Политикаистечениясрокадействияпаролейиспользуется для управленияпродолжительностьюдействия пароля. Когда SQL Server применяетполитикуистечениясрокадействияпаролей, пользователиполучаютуведомления о необходимостиизменениястарыхпаролей, а учетные записи с истекшимсрокомдействия пароля отключаются.

78.Защита данных в рабочих местах. Примеры

Защита данных

Шифрующая файловая система
Цифровые подписи в документах и исполняемых модулях
Служба управления правами на доступ к данным

Примеры:

BitLocker Drive Encryption —технология, являющаясячастьюоперационныхсистем Microsoft Windows Vista Ultimate/Enterprise, Windows 7Ultimate/Enterprise, Windows Server 2008 R2 и Windows 8.BitLocker позволяет защищать данные путём полного шифрования диска(ов) (логических, с Windows 7 - и карт SD и USB-флешек) (в терминологии Microsoft — тома(ов)). Поддерживаются следующие алгоритмы шифрования:

AES 128
AES 256

Цифровую подпись в цифровых документах ставят в тех же случаях, что и в бумажных. Цифровая подпись используется для аутентификации цифровой информации — например, документов, сообщений электронной почты и макросов — с помощью методов компьютерной криптографии. Цифровые подписи помогают удостоверить следующее:

подлинность Цифровая подпись помогает гарантировать, что поставивший подпись — тот, кем он является в действительности.
целостность Цифровая подпись помогает гарантировать, что содержимое документа не менялось и не подделывалось после ввода цифровой подписи.
Неотрекаемость Цифровая подпись помогает доказать любой из сторон авторство подписанного содержимого. «Отказ» означает, что владелец подписи отрицает свою связь с подписанным содержимым.

Как цифровые подписи используются в документах Office?

Цифровыми подписями можно воспользоваться для подписи документов Office двумя различными способами:

Добавить видимые строки подписи в документ для ввода одной или более цифровых подписей.
Добавить невидимую цифровую подпись в документ.

Добавление одной или более строк подписи в документ

Строка подписи выглядит как обычное место для подписи в печатном документе, но действует по-другому. Когда строка подписи вставлена в документ Office, автор документа может предоставить сведения о предполагаемом лице, которое будет подписывать документ, а также поместить инструкции для этого лица. Когда электронная копия документа отправлена лицу, которое будет его подписывать, последний видит строку подписи и уведомление о том, что требуется его подпись. Можно щелкнуть строку подписи и поставить цифровую подпись в документе. Затем можно впечатать подпись, выбрать цифровое изображение своей подписи или подписать документ вручную, используя графические возможности планшетного компьютера. Одновременно с появлением в документе видимого представления подписи добавляется цифровая подпись для удостоверения личности подписавшего. После того как в документе появилась цифровая подпись, он становится доступен только для чтения, чтобы не допустить внесение изменений.

Добавление невидимой цифровой подписи в документ

Если нет необходимости вставлять видимые строки подписи в документ, но требуется гарантировать подлинность, целостность и происхождение документа, добавьте невидимую цифровую подпись в документ. Такие подписи можно добавить в документы Word, книги Excel и презентации PowerPoint.

В отличие от строки подписи невидимая цифровая подпись не видна в содержимом документа, но позволяет получателю документа определить, что документ имеет цифровую подпись, отобразив ее или отыскав кнопку подписи в строке состояния внизу экрана.

Служба управления правами ActiveDirectory (ADRMS; ее роль появилась в WindowsServer 2008, ранее RightsManagementServices были доступны как отдельный компонент) – одно из самых доступных IRM-решений, так как идет в составе довольно популярной в компаниях ОС и замечательно интегрируется с остальными компонентами. То есть для внедрения ADRMS не требуются дополнительные финансовые вливания и работа с напильником для интеграции в существующую инфраструктуру. Например, при работе с SharePoint нет необходимости вручную назначать разрешения на каждый документ, так как разрешения применяются на уровне библиотеки. Кроме того, WindowsServer 2008 R2 включает в себя FileClassificationInfrastructure, что позволяет автоматизировать классификацию файлов на основании местоположения, владельца или создателя файла, содержимого, размера и других параметров.

AD RMS позволяетзадаватьследующиеразрешениянаработу с файлами: Full Control, View, Edit, Save, Extract, Export, Print, Allow Macros, Forward, Reply, Reply All, View Rights. ADRMS по умолчанию может работать со следующими типами документов:

Документы Word, Excel, PowerPoint и InfoPath, начиная с 2003 версии офиса. В версиях офиса, кроме MicrosoftOfficeUltimate 2007, OfficeEnterprise 2007, OfficeProfessionalPlus 2007 и Office 2003 Profession, можно только читать, но нельзя создавать документы, защищенные с помощью AD RMS.
Файлы Microsoft XML Paper Specification (XPS).

79.Концепция защиты мобильных компьютеров в корпоративных сетях. Примеры

Мобильные компьютеры

Использование мобильных компьютеров требует дополнительных мер по обеспечению безопасности
- Мобильные устройства, подключенные к информационной системе предприятия, расширяют ее периметр
Дополнительные уровни защиты:
- Пароли доступа к BIOS
- Карантин службы удаленного доступа
- Аутентификация в беспроводных соединениях
- Усиленная защита данных, хранящихся на мобильных устройствах

Примеры:

Карантин службы удаленного доступа:

Компонент NetworkAccessQuarantineControl

Компонент NetworkAccessQuarantineControl (NAQC) на сервере политики сети обеспечивает поэтапный доступ к сети для удаленных клиентских компьютеров, ограничивая их работу режимом карантина. После того как конфигурация клиентского компьютера станет считаться соответствующей политики сети организации, ограничения карантина (IP-фильтры карантина и таймеры сеанса карантина) снимается, и в отношении подключения начинает действовать стандартная политика сети.Компонент NAQC обеспечивает защиту сети в том случае, если пользователь в организации случайно изменил ключевые параметры и не восстановил их перед подключением к сети. Например, пользователь мог отключить антивирусное программное обеспечение, которое обязательно должно быть подключено при работе в сети. Хотя компонент NAQC не предоставляет защиту от атак, конфигурации компьютера для авторизованных пользователей могут быть проверены и при необходимости исправлены перед предоставлением им доступа к сети. Также доступен параметр таймера, позволяющий указать промежуток времени, по истечении которого подключение разрывается, если конфигурация клиентского компьютера не соответствует предъявляемым требованиям. Для обработки параметров RADIUS, отправленных сервером политики сети, выполнения работы по изменению конфигурации клиента и снятию ограничений карантина (либо разрыва подключения) в зависимости от результатов проверки конфигурации можно использовать службу маршрутизации и удаленного доступа.

Аутентификация в беспроводных соединениях

Opensystemauthentication

В случае если используется аутентификация типа OpenSystem, то клиент отсылает точке доступа запрос с её идентификатором (MAC-адресом). Точка доступа проверяет, проходит ли клиент по списку MAC-адресов (если он включен), затем соответствие WEP-ключей (если включено WEP-шифрование). Поддерживается роуминг между точками доступа.

Используемые шифры: без шифрования, статическийWEP, CKIP.

Sharedsystemauthentication

В этом случае клиент отсылает запрос на соединение к точке доступа. Затем точка доступа отсылает клиенту последовательность, которую он шифрует и отсылает обратно. Если последовательность зашифрована верно, то аутентификация проходит успешно. Внимание! В этом варианте защита слабее, чем в случае OpenSystem!

Используемые шифры: без шифрования, динамическийWEP, CKIP.

Cisco centralized key management (cckm)

Вариант аутентификации от фирмы CISCO. Поддерживает роуминг между точками доступа. Клиент один раз проходит аутентификацию на RADIUS-сервере, после чего может переключаться между точками доступа.

Используемые шифры: WEP, CKIP, TKIP, AES-CCMP

80.Иерархия организационных подразделений

Организационные подразделения (organizationalunits — OU) являются логическими контейнерами, обычно используемыми для определения департаментов или других отделений.Если необходимо определить административную структуру департамента или отдела компании, вместо доменов можно воспользоваться подразделениями.Использование организационных подразделений позволяет быстро группировать пользователей и компьютеры для упрощения процесса администрирования. Некоторым пользователям даже можно предоставить возможность управления объектами, входящими в подразделение.Например, в подразделении “SupportManager” можно предоставить право создания и удаления учетных записей и сброса паролей пользователей. Это делается с помощью Мастера делегирования управления (DelegationofControlWizard). Предоставление пользователю необходимых прав администратора позволяет упростить администрирование в пределах предприятия, не снижая общий уровень безопасности.Как и в случае доменов, подразделения могут иметь дочерние подразделения. Но подразделения отличаются от доменов отсутствием общего пространства имен.Кроме делегирования административных привилегий и логической организации объектов по департаментам и отделениям, настройка подразделений позволяет связать развертывание объектов групповых политик с определенными департаментами и группами пользователей.

81.Административные шаблоны и шаблоны безопасности

Административные шаблоны -готовые наборы конфигурационных параметров рабочих станций для импорта в объекты Групповых политик.

Административные шаблоны WindowsXPSP1 содержат более 850 параметров
- «WindowsXPSecurityGuide» содержит
  10 административных шаблонов
- Дополнительные административные шаблоны могут поставляться в комплекте с программными продуктами

Шаблоны безопасности-Готовые наборы параметров безопасности для импорта
в объекты Групповых политик.

Каждый шаблон представлен в 2 версиях:

Стандартный уровень защиты
- Высокий уровень защиты

При помощи оснастки «Шаблоны безопасности» можно создать политику безопасности для компьютера или сети. Используя эту единственную оснастку, можно управлять всей безопасностью системы. Оснастка «Шаблон безопасности» не предоставляет новых параметров безопасности, а упорядочивает и создает удобный доступ ко всем имеющимся атрибутам безопасности, упрощая администрирования. При импорте шаблона безопасности в объект групповой политики облегчается администрирование домена, так как безопасность настраивается для домена или подразделения только один раз.

Шаблоны безопасности можно использовать, чтобы определить представленные далее элементы.

Политики учетных записей

Политика паролей

Политика блокировки учетной записи

Политика Kerberos

Локальные политики

Политика аудита

Назначениеправпользователя
- Параметры безопасности

Журнал событий. Параметры журналов событий приложений, системных событий и событий безопасности

Группы с ограниченным доступом. Состав групп с особыми требованиями к безопасности

Параметры безопасности системных служб. Параметры запуска и разрешения для системных служб

Параметры безопасности реестра. Разрешения для разделов реестра

Параметры безопасности файловой системы. Разрешения для файлов и папок

Примерыстандартных шаблонов вWindows:

Шаблон с базовыми настройками для всех пользователей и
компьютеров домена
- Шаблон с настройками для стационарных рабочих станций
- Шаблон со специальными настройками для портативных компьютеров

82.Иерархия подразделений и применение шаблонов

Смотри вопрос 80 и 81

83.Параметры безопасности

Параметры безопасности

Политика паролей-правила и ограничения для создания и смены паролей.

Политика блокировки учетной записи-критерии для отключения учетной записи при многократных неуспешных попытках регистрации

Политика аудита-параметры, определяющие ведение аудита для различных типов событий

Журнал регистрации-растройки журнала регистрации: максимальный размер журнала, права доступа к журналам

Файловая система-разрешения и аудит доступа к файловым объектам

Политики IPSec-настройки фильтров IPSecurity

Настройки реестра-разрешения и аудит доступа к ключам реестра

Ограниченные группы-указания, какие учетные записи могут являться членами групп

Параметры безопасности-Набор настроек, определяющих безопасность компьютеров

Политика ограничений на исполнение программ-правила, разрешающие или запрещающие исполнение определенных программ

Системные службы-режим запуска и права доступа для сервисов

Права пользователей -указания, каким учетным записям разрешены определенные операции

84.Локальные политики безопасности рабочих станций

Для рабочих станций, которые не включены в домен ActiveDirectory,управлениенастройками безопасности происходит через Локальную политику.

Примеры

Доступ к данному компьютеру из сети-определяет пользователей и группы, которым разрешено подключаться к компьютеру через сеть. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. Группами по умолчанию, у которых есть это право на каждой платформе, являются следующие: рабочие станции и серверы; администраторы; операторы резервного копирования; опытные пользователи; пользователи; все; контроллеры домена; аутентифицированные пользователи.

Резервные файлы и каталоги-определяет пользователей, которые могут игнорировать разрешения файлов и каталогов в целях резервного копирования данных системы. Действие этой привилегии аналогично предоставлению пользователю или группе следующих разрешений для всех файлов и папок системы: проход по папкам/выполнение файла; просмотр папки/чтение данных; чтение атрибутов; чтение расширенных атрибутов; чтение разрешений. Это право определяется в политике группы контроллера домена по умолчанию, а также в локальной политике безопасности рабочих станций и серверов. Группами по умолчанию, у которых есть это право на каждой платформе, являются: рабочие станции и серверы; администраторы; операторы резервного копирования; контроллеры домена.

Создание файла подкачки-определяет пользователей и группы, которые могут создавать и изменять размер файла подкачки. Размер файла подкачки для данного диска указывается в параметрах производительности в окне свойств системы. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. По умолчанию возможность создания файлов подкачки имеется у администраторов.

Принудительное отключение с удаленной системы-определяет пользователям, которым разрешено отключать удаленный компьютер сети. Это право определяется в политике группы контроллера домена по умолчанию и в локальной политике безопасности рабочих станций и серверов. На каждом компьютере это право по умолчанию имеется у следующих групп: рабочие станции и серверы; администраторы; контроллеры домена; операторы сервера.

85.Лучшие практики защиты приложений. Примеры

Обучить пользователей правилам безопасной загрузки файлов изИнтернет и правилам обращения c почтовыми вложениями
Устанавливать на рабочие станции только те приложения, которые необходимы для работы и проверены
Своевременно обновлять приложения

86.Ограничения на исполнение программ

Ограничения на исполнение программ-политика, определяющая, какие программы можно запускать на компьютере.

Базовый уровень и дополнительные правила

Базовый уровень

Базовый уровень = Disallowed . По умолчанию все программы запрещены.Дополнительные правила содержат список разрешенных приложений
Базовый уровень = Unrestricted. По умолчанию все программы разрешены.Дополнительные правила содержат «черный список» запрещенных программ

Дополнительные правила

Хеш

Программа идентифицируется по хеш-значению (MD5 или SHA1) исполняемого модуля
- Для запрета или разрешения конкретного программного файла

Сертификат

Проверяется цифровая подпись программы (например, Authenticode)
- Для ограничений как на программы Win32, так и ActiveX

Путь

Указывается папка, содержащая файлы приложения
- Правило применяется ко всем исполняемым модулям, расположенным в указанной папке

Зона Интернет

Указывается зона Интернет
- Правило применяется ко всем модулям, загруженным из указанной зоны

87.Лучшие практики политики ограничения программ

Продумать и подготовить план отката на случай возникновения проблем
Использовать для ограничения программ отдельные Групповые политики
Использовать политики ограничения в комбинации с системой контроля доступа NTFS
Применять политику только в рамках своего домена
Тщательно протестировать все параметры политики ограничения

88. Использование межсетевых экранов для защиты рабочих станций

Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Соединение локальной сети с Интернет должно быть защищено полноценным межсетевым экраном
- Многоуровневый контроль и анализ трафика между локальной сетью и Интернет
- Обнаружение и защита от внешних атак

Соединения с Интернет, установленные в обход корпоративного межсетевого экрана, необходимо защищать с помощью персональных брандмауэров
- Прямые модемные соединения стационарных рабочих станций с Интернет
- Мобильные подключения портативных компьютеров

89.Лучшие практики использования брандмауэров. Примеры

При нахождении рабочей станции вне периметра локальной сети предприятия, InternetConnectionFirewall должен быть включен
При установлении клиентом VPN-соединения с сервером удаленного доступа, InternetConnectionFirewall должен быть включен автоматически
(с помощью сценария)
На рабочих станциях, физически подключенных к локальной сети внутри периметра, InternetConnectionFirewall нужно отключить
(с помощью Групповой политики)

Internet Connection Firewall

Базовая защита соединения с Интернет
- Всоставе Windows XP и Windows Server 2003
- Запрет входящего трафика

Ограничения
- Отсутствует фильтрация исходящего трафика
- Ряд функций управляющего ПО не могут работать при включенномICF,SMS, MBSA
- Ограниченные возможности настройки

Примеры политик:

Windows Firewall: Protect all network connections - брандмауэр Windows: Защититьвсесетевыесоединения
Windows Firewall: Do not allow exceptions - брандмауэр Windows: Неразрешатьисключения
Windows Firewall: Define program exceptions - брандмауэр Windows: Задатьисключениядляпрограмм
Windows Firewall: Define port exceptions - брандмауэр Windows: Задатьисключениядляпортов
Windows Firewall: Allow local port exceptions - брандмауэр Windows: Разрешитьисключениядлялокальныхпортов
Windows Firewall: Allow local program exceptions - брандмауэр Windows: Разрешитьисключениядлялокальныхпрограмм
Windows Firewall: Allow remote administration exception - брандмауэр Windows: Разрешитьисключениядляудаленногоадминистрирования
Windows Firewall: Allow file and printer sharing exception - брандмауэр Windows: Разрешитьисключениядлясовместногоиспользованияфайлов и принтеров
Windows Firewall: Allow ICMP exceptions - брандмауэр Windows: Разрешитьисключения ICMP
Windows Firewall: Allow Remote Desktop exception - брандмауэр Windows: Разрешитьисключенияудаленногодоступа к рабочемустолу
Windows Firewall: Allow UPnP framework exception - брандмауэр Windows: Разрешитьисключения UPnP framework
Windows Firewall: Prohibit notifications - брандмауэр Windows: Запретитьуведомления
Windows Firewall: Allow logging - брандмауэр Windows: Разрешитьведениежурналов
Windows Firewall: Prohibit unicast response to multicast or broadcast requests - брандмауэр Windows: Запретитьодноадресныеответынамногоадресныеилишироковещательныезапросы

90. Общая концепция анализа информационной безопасности сети предприятия

Рассмотрим, как в настоящее время обстоит вопрос обеспечения ИБ на предприятии связи. Исследовательская компания Gartner Group выделяет 4 уровня зрелости компании с точки зрения обеспечения информационной безопасности (ИБ):

0 уровень:

ИБ в компании никто не занимается, руководство компании не осознает важности проблем ИБ;

Финансирование отсутствует;

ИБ реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам).

Наиболее типичным примером здесь является компания с небольшим штатом сотрудников, занимающаяся, например, куплей/продажей товаров. Все технические вопросы находятся в сфере ответственности сетевого администратора, которым часто является студент. Здесь главное, что бы все работало.

1 уровень:

ИБ рассматривается руководством как чисто "техническая" проблема, отсутствует единая программа (концепция, политика) развития системы обеспечения информационной безопасности (СОИБ) компании;

Финансирование ведется в рамках общего ИТ - бюджета;

ИБ реализуется средствами нулевого уровня + средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (традиционные средства защиты).

2 и 3 уровни:

ИБ рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности ИБ для производственных процессов, есть утвержденная руководством программа развития СОИБ компании;

Финансирование ведется в рамках отдельного бюджета;

ИБ реализуется средствами первого уровня + средства усиленной аутентификации, средства анализа почтовых сообщений и web контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).

3 уровень отличается от 2-го следующим:

ИБ является частью корпоративной культуры, назначен CISA (старший офицер по вопросам обеспечения ИБ);

Финансирование ведется в рамках отдельного бюджета, который согласно результатам исследований аналитической компании Datamonitor в большинстве случаев составляет не более 5% ИТ бюджета;

ИБ реализуется средствами второго уровня + системы управления ИБ, CSIRT (группа реагирования на инциденты нарушения ИБ), SLA (соглашение об уровне сервиса).

Таким образом, серьезный подход к вопросам обеспечения ИБ появляется только на 2-ми 3-м уровнях. А на 1-м и частично 0-м уровне зрелости согласно данной классификации имеет место так называемый «фрагментарный» подход к обеспечению ИБ. «Фрагментарный» подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы ит.п.

91. Планирование анализа сетевой безопасности

Фаза проекта	Планируемые этапы
Подготовка к анализу	Диапазон Цели Временные рамки Основные правила
Анализ	Выбор технологий Проведение оценки Объединение результатов
Обработка результатов	Оценка рисков, привносимых обнаруженными уязвимостями Создание плана устранения Определение уязвимостей, которые не могут быть устранены Определение временного графика устранения уязвимостей
Отчет об исследовании	Создание итогового отчета Представление исследования Планирование следующих исследований

Отчет об анализе информации:

Определите уязвимости
Документируйте планы исправлений
Определите, где должны произойти изменения
Назначьте ответственных за реализацию принятых рекомендаций
Порекомендуйте время следующего анализа безопасности

92. Сбор информации об организации для анализа безопасности

Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Различают внешний и внутренний аудит. Внешний аудит – это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Рекомендуется проводить внешний аудит регулярно, а, например, для многих финансовых организаций и акционерных обществ это является обязательным требованием. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ аудита. Целями проведения аудита безопасности являются:

анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС
оценка текущего уровня защищенности ИС;
локализация узких мест в системе защиты ИС;
оценка соответствия ИС существующим стандартам в области информационной безопасности;
выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Этапность работ по проведению аудита безопасности информационных систем

Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ аудита АС, который включает в себя следующее:

Инициирование процедуры аудита
Сбор информации аудита
Анализ данных аудита
Выработка рекомендаций
Подготовка аудиторского отчета

Сбор информации аудита

Этап сбора информации аудита, является наиболее сложным и длительным. Это связано с отсутствием необходимой документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации.

Компетентные выводы относительно положения дел в компании с информационной безопасностью могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа. Получение информации об организации, функционировании и текущем состоянии ИС осуществляется аудитором в ходе специально организованных интервью с ответственными лицами компании, путем изучения технической и организационно-распорядительной документации, а также исследования ИС с использованием специализированного программного инструментария. Остановимся на том, какая информация необходима аудитору для анализа.

Обеспечение информационной безопасности организации – это комплексный процесс, требующий четкой организации и дисциплины. Он должен начинаться с определения ролей и распределения ответственности среди должностных лиц, занимающихся информационной безопасностью. Поэтому первый пункт аудиторского обследования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений. В связи с этим аудитору требуется следующая документация:

Схема организационной структуры пользователей;
Схема организационной структуры обслуживающих подразделений.

Обычно, в ходе интервью аудитор задает опрашиваемым следующие вопросы:

Кто является владельцем информации?
Кто является пользователем (потребителем) информации?
Кто является провайдером услуг?

Назначение и принципы функционирования ИС во многом определяют существующие риски и требования безопасности, предъявляемые к системе. Поэтому на следующем этапе аудитора интересует информация о назначении и функционировании ИС. Аудитор задает опрашиваемым примерно следующие вопросы:

Какие услуги и каким образом предоставляются конечным пользователям?
Какие основные виды приложений, функционирует в ИС?
Количество и виды пользователей, использующих эти приложения?

Ему понадобиться также следующая документация, конечно, если таковая вообще имеется в наличие (что, вообще говоря, случается нечасто):

Функциональные схемы;
Описание автоматизированных функций;
Описание основных технических решений;
Другая проектная и рабочая документация на информационную систему.

Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов безопасности по структурным элементам и уровням функционирования ИС. Типовые вопросы, которые обсуждаются в связи с этим во время интервью, включают в себя:

Из каких компонентов (подсистем) состоит ИС?
Функциональность отдельных компонент?
Где проходят границы системы?
Какие точки входа имеются?
Как ИС взаимодействует с другими системами?
Какие каналы связи используются для взаимодействия с другими ИС?
Какие каналы связи используются для взаимодействия между компонентами системы?
По каким протоколам осуществляется взаимодействие?
Какие программно-технические платформы используются при построении системы?

На этом этапе аудитору необходимо запастись следующей документацией:

Структурная схема ИС;
Схема информационных потоков;
Описание структуры комплекса технических средств информационной системы;
Описание структуры программного обеспечения;
Описание структуры информационного обеспечения;
Размещение компонентов информационной системы.

93. Тест на проникновение

Задачи теста на проникновение

Сегодня, когда защита информационных ресурсов компании является необходимым требованием бизнеса, появившаяся несколько лет назад на российском рынке услуга «тест на проникновение» позволяет получить объективную оценку того, насколько легко осуществить несанкционированный доступ к ресурсам корпоративной сети и сайта вашей компании, каким способом и через какие уязвимости. Тест на проникновение представляет собой частичное моделирование действий злоумышленника по проникновению в вашу информационную систему. Таким образом, проводимые работы позволяют обнаружить уязвимости в сети и, если это возможно, осуществить показательное проникновение, реализовав найденные уязвимости.

Как проводится тест на проникновение

Этап 1. Утверждение с заказчиком режима тестирования

Режим тестирования – уровень информированности исполнителя о тестируемой системе и уровень информированности Заказчика о проведении теста на проникновение. В случае если о факте проведения теста на проникновения не знает никто кроме руководителей службы информационной безопасности, при этом стоит задача полностью имитировать действия злоумышленника, действуя максимально незаметно, не оставляя следов, удается проверить не только защищенность информационной системы, но и уровень оперативной готовности специалистов служб ИБ и ИТ. В случае если специалисты служб ИБ и ИТ проинформированы о проведении теста на проникновение, основная задача – обнаружить возможные уязвимости и оценить возможность проникновения в систему.

Этап 2. Подписание договора

В договоре отражаются все утвержденные условия работ, условия конфиденциальности информации, полученной в ходе тестирования, и ответственность сторон.

Этап 3. Выполнение теста на проникновение

Тест на проникновение в информационную систему Заказчика занимает не менее месяца работы команды аудиторов в области информационной безопасности. Инструментальные средства (сканеры) используются лишь на этапе подготовки к проведению теста на проникновение, так как инструментальные средства помогают только в тривиальных случаях, когда уязвимости очевидны. В рамках теста на проникновение аудиторы проводят полный анализ всех деталей исследуемого объекта, выбирают подходящие сценарии атак с учетом человеческого фактора, возможно, разрабатывают уникальное для каждого конкретного случая программное обеспечение для попытки проникновения в информационную систему.

Объектами тестирования, как правило, являются корпоративная сеть по внешнему периметру IP-адресов и/или сайт. Помимо технологических проверок в процессе внешнего теста на проникновение проводится тестирование возможности проникновения в информационную систему с использованием методик социальной инженерии путем почтовой рассылки на адреса электронной почты пользователей специализированно сформированного сообщения. Рассылка осуществляется по заранее согласованному с Заказчиком фиксированному списку адресов электронной почты сотрудников и в заранее оговоренное время. Функциональные возможности программы строго ограничены алгоритмом, безопасным для информационной системы Заказчика.

94. Что такое многоуровневая защита?

Межсетевой экран располагается между защищаемой (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети). В первом случае говорят о внешнем МЭ, во втором – о внутреннем. В зависимости от точки зрения, внешний межсетевой экран можно считать первой или последней (но не единственной) линией обороны. Первой – если смотреть на мир глазами внешнего злоумышленника. Последней – если стремиться к защищенности всех компонентов корпоративной сети и пресечению неправомерных действий внутренних пользователей.

Межсетевой экран – идеальное место для встраивания средств активного аудита. С одной стороны, и на первом, и на последнем защитном рубеже выявление подозрительной активности по-своему важно. С другой стороны, МЭ способен реализовать сколь угодно мощную реакцию на подозрительную активность, вплоть до разрыва связи с внешней средой.

На межсетевой экран целесообразно возложить идентификацию/аутентификацию внешних пользователей, нуждающихся в доступе к корпоративным ресурсам (с поддержкой концепции единого входа в сеть).

В силу принципов эшелонированности обороны для защиты внешних подключений обычно используется двухкомпонентное экранирование(рис.3). Первичная фильтрация (например, блокирование пакетов управляющего протокола SNMP, или пакетов с определенными IP-адресами, включенными в "черный список") осуществляется граничным маршрутизатором, за которым располагается так называемая демилитаризованная зона(сеть с умеренным доверием безопасности – Web, электронная почта и т.п.) и основной МЭ, защищающий внутреннюю часть корпоративной сети.

Теоретически межсетевой экран (особенно внутренний) должен быть многопротокольным. Однако на практике при доминирование семейства протоколов TCP/IP поддержка других протоколов представляется излишеством, вредным для безопасности (чем сложнее сервис, тем он более уязвим).

И внешний, и внутренний межсетевой экран может стать узким местом по объему сетевого трафика. Один из подходов к решению этой проблемы предполагает разбиение МЭ на несколько аппаратных частей и организацию специализированныхсерверов-посредников. Основной межсетевой экран может проводить грубую классификацию входящего трафика по видам и передоверять фильтрацию соответствующим посредникам (например, при анализе HTTP-трафика. Исходящий трафик сначала обрабатывается сервером-посредником, который может выполнять и функционально полезные действия, такие как кэширование страниц внешних Web-серверов (Proxy), что снижает нагрузку на сеть вообще и основной МЭ в частности).

Ситуации, когда корпоративная сеть содержит лишь один внешний канал, являются скорее исключением, чем правилом. Напротив, типична ситуация, при которой корпоративная сеть состоит из нескольких территориально разнесенных сегментов, каждый из которых подключен к Internet. В этом случае каждое подключение должно защищаться своим экраном. Точнее говоря, можно считать, что корпоративный внешний межсетевой экран является составным, и требуется решать задачу согласованного администрирования (управления и аудита) всех компонентов.

Противоположностью составным корпоративным МЭ являются персональные межсетевые экраны и персональные экранирующие устройства. Первые являются программными продуктами, которые устанавливаются на ПЭВМ и защищают только их, вторые реализуются на отдельных устройствах и защищают небольшую локальную сеть, такую как сеть домашнего офиса.

95. Для чего выполнять анализ безопасности?

Актуальность и важность проблемы обеспечения информационной

Безопасности обусловлены следующими факторами:

• Современные уровни и темпы развития средств информационной безопасности значительно отстают от уровней и темпов развития информационных технологий.

• Высокие темпы роста парка персональных компьютеров, применяемых в разнообразных сферах человеческой деятельности. Согласно данным исследований компании Gartner Dataquest в настоящее время в мире более миллиарда персональных компьютеров. А следующий миллиард будет достигнут уже в 2009 году.

• Резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных;

Доступность средств вычислительной техники, и, прежде всего персональных ЭВМ, привела к распространению компьютерной грамотности в широких слоях населения. Это, в свою очередь, вызвало многочисленные попытки вмешательства в работу государственных и коммерческих систем, как со злым умыслом, так и из чисто «спортивного интереса». Многие из этих попыток имели успех и нанесли значительный урон владельцам информации и вычислительных систем. По неофициальным данным до 70% всех противо нарушений, совершаемых так называемыми хакерами, приходится на долю script-kiddies, в дословном переводе - дети, играющиеся со скриптами. Детьми их называют, потому что они не являются специалистами в компьютерных технологиях, но умеют пользоваться готовыми программными средствами, которые достают на хакерских сайтах в Интернете, для осуществления деструктивных действий.

• Значительное увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средства автоматизации;

По оценкам специалистов в настоящее время около 70-90% интеллектуального капитала компании хранится в цифровом виде - текстовых файлах, таблицах, базах данных.

• Многочисленные уязвимости в программных и сетевых платформах;

96. Планирование анализа безопасности

смотрите 92 билет.. одно и то же!

97. Определение диапазона анализа безопасности.

Определение целей сканирования. Определение целей сканирования на наличие уязвимостей включает в себя предварительное понимание того, что установлено у Вас в сети.Понимание этого дает типы уязвимостей, которые можно искать и соответствующие им типы сканеров уязвимостей, кторые будут использоваться в проекте.Чтобы было проще определить цели, разделите вашу сеть на компоненты, такие как: сетевые сегменты; сетевые устройства; операционные системы; приложения.

Диапазоны целей сканирования. The target area can include the following types of scans including components such as the timeline for the assessment:

Вертикальное сканирование. Проверка одного узла на наличие разнообразных уязвимостей. Например, сканируем узел с Windows XP на установленные обновления безопасности, общеизвестные уязвимости Windows, слабые пароли.
- Горизонтальное сканирование. Проверяем все узлы на наличие определенной уязвимости. Например, проверяем все сетевые устройства и компьютеры на уязвимость атаки типа «отказ в обслуживании».
- Вертикальное и горизонтальное сканирование. Объединение первых двух типов.

Определение временных рамок анализа.

Определение типов уязвимостей, на наличие которых будем сканировать. After you determine the target of your project, including which devices, operating systems, and applications will be scanned and the size and shape of the scanning, you should define the types of vulnerabilities for which you will scan. For example, if you decide to scan all servers for Windows 2000 and Windows Server 2003 on three specific subnets, you might decide to search only for susceptibility to exploits of known product vulnerabilities.

В конце фазы планирования, Вы получите набор условий, которые определят рамки проекта, обеспечат его цели, и определят набор используемых технологий

98. Типы анализа безопасности

Каждый тип анализа безопасности требует определенных знаний от людей, проводящих тестирование.

Наиболее популярные типы анализа безопасности:

Сканирование уязвимостей. Это базовый уровень анализа безопасности, требующий минимального привлечения экспертов. Этот способ дает возможность определить хорошо известные и понятные уязвимости. Обычно выполняется с помощью специальных программ, однако могут быть автоматизированы и с использованием пользовательских сценариев. Результат сканирования зависит от качества используемых программ.

Тестовое проникновение (penetrationtesting=pentesting). Этот способ тестирования наиболее сложен, и требует привлечения высококвалифицированных и заслуживающих доверия экспертов. Здесь акцент делается на поиске известных и неизвестных уязвимостей сети в целом, также включая уязвимости, вносимы сотрудниками и организационными процессами. Тестирование вторжением может сообщить сетевым администраторам, ИТ-менеджерам, и руководству о возможных последствиях взлома сети. Из-за того, что единственное отличие между реальным взломщиком и тестером состоит только в намерениях, к таким тестам нужно относиться с повышенным вниманием. Тестовый взлом, выполненный непрофессионально, может привести к сбоям сетевых сервисов и приостановке нормальной работы предприятия..

Аудит безопасности IT. Здесь фокус находится на сотрудниках и бизнес-процессах. Хорошо выполненный аудит безопасности IT может сообщить, есть ли в организации все компоненты, необходимые для построения безопасной компьютерной среды. Это важный элемент анализа безопасности, позволяющий установить соответствие организации государственным законодательным документам.

99. Использование сканирования уязвимостей для анализа сетевой безопасности

100. Использование тестового проникновения для анализа сетевой защищенности

Грамотные взломщики-тестеры редко пытаются провести тестовую атаку в произвольном направлении. Такие действия можно признать неэффективными, пожирающими время, и результаты такого исследования высокой вероятностью могут ввести в заблуждение. Кроме того, непродуманный заранее тестовый взлом может привести к сбоям в работе сети. Следуя следующей методологии Вы повышаете шансы найти максимальное число уязвимостей и уложиться в отведенное для тестирования время. Кроме того, эта методология по сути это является основой для отчета, написание которого становится несравненно проще.

Определитенаиболеевероятныедействиявзломщикасетиилиприложения (Determine how the attacker is most likely to go about attacking a network or an application). Этот шаг обычно выполняется на этапе выбора диапазона тестирования и целей исследования. Здесь определяются применяемые методы и утилиты.
Найдитенедостаткивзащитесетиилиприложений (Locate areas of weakness in network or application defenses). На этом шаге собирается информация о цели.Например, не помешает ознакомиться со списком обнаруженных уязвимостей на сайте производителя программного продукта.
Определите, как атакующий может использовать уязвимость (Determinehowanattackercouldexploitweaknesses). После успешного изучения целевой системы, обобщите собранную информацию и определите, как потенциальный взломщик может использовать ее для проникновения в сеть. Одна из основных целей тестирования- попытаться получить полномочия администратора или системы. Если это удалось Вам- может удастся и другим. Кроме того, Вы можете получить полномочия любой другой учетной записи.
Найдите ресурсы, к которым есть доступ на чтение, модификацию или удаление (Locateassetsthatcouldbeaccessed, altered, ordestroyed). После того, как получен доступ к целевой системе, уделите время описанию ресурсов, к которым у Вас есть доступ.Очень важно в отчете уделить внимание описанию доступных после взлома ресурсов и возможным мерам противодействия.
Определите, былалиобнаруженаатака (Determine whether the attack was detected). Это отличная идея поинтересоваться, после того, как будет закончена активная фаза тестирования, где и как (и была ли) обнаружена ваша попытка взлома. Это повысит Ваши знания и поможет сетевым администраторам в тонкой настройке IDS.
Определитесигнатурыихарактеристикиатаки (Determine what the attack footprint looks like). Во время тестового вторжения, тщательно соберите все ее следы, которые могут пригодиться в реальной ситуации. Вооруженные этой информацией, администраторы будут иметь возможность провести улучшения в процедурах, технологиях и операциях, чтобы предотвращать и определять обнаруженные вами эксплойты.

Дайте рекомендации (Makerecommendations). Чем понятнее вы объясните администраторам, как вы смогли скомпрометировать сеть- тем лучше они смогут сделать необходимые улучшения в защите. Подробное документирование методов, использованных в процессе тестирования (вне зависимости от их успешности при взломе сети) может быть использовано для определения областей, в которых Вашей организации стоит повысить уровень безопасности.

101. Что такое неагрессивная атака?

102. Техника информационной разведки

Информационная разведка это процесс сбора информации о целевой системе без фактического взлома. Эта информация полезна взломщику, так как дает ему представление о вашей компании и на что направить его усилия.

Основные типы разыскиваемой взломщиком информации:

Конфигурация системы. Знание системной конфигурации поможет взломщику спланировать метод атаки, который он будет применять.

Действующие учетные записи пользователей. Может пригодится для атак на пароили методом грубой силы (перебора).

Контактная информация. Рабочие телефоны и имена сотрудников будут полезны для атак методом социальной инженерии.

Ресурсы экстранет и сервера удаленного доступа. Экстранет и сервера удаленного доступа дуют сотрудникам и деловым партнерам доступ к внутренним сетевым ресурсам во время работы вне офиса. Известно о дурной славе слабых паролей учетных записей, принадлежащих деловым партнерам. Взломщики знают об этом и пытаются использовать в своих интересах.

Деловые партнеры, слияния и поглощения.Когда объединяется бизнес, компьютерные сети также объединяются. Это сложная задача, и если выполнить ее без должной аккуратности, можно создать уязвимости в итоговой объединенной сети, которые затем станут легкими точками доступа для взломщиков.

Информация о Вашей сети может быть получена из:

Запросов в каталоги. Хорошим началом для взломщика, желающего узнать основную информацию о Вашей компании: место расположения, контактную информацию- связаться с регистратором домена. www.internic.com/whois.html, www.ripn.ru

Выяснения выделенныхIP-адресов. http://www.arin.net.

Корпоративного веб-сайта. На Вашем сайте должна быть только та информация, которая без всякого риска может быть предоставлена для открытого просмотра.

Поисковых машин. Поисковые машины- отличный инструмент для поиска информации о предмете пристального изучения. Простой поиск по имени Вашей компании даст груду полезной для взломщика информации о деловых партнерах, слияниях, информации о сетевых узлах, списках рассылки. Поисковые машины также могут оповестить об ошибках в настройке веб-сервера.

Открытых форумов. Такие форумы, как группы новостей NNTP, Usenet, IRC- отличный способ поделиться информацией. Сотрудники, отсылающие вопросы с просьбой совета в устранении неполадок создают реальный риск для компании, так как могут выдать секретную информацию о применяемых системах и сетевой конфигурации.

103. Какая информация может быть получена из сканирования портов?

104. Защита информации о конфигурации сетевого узла

Подсистема мониторинга

Отслеживание тенденций социально-экономического развития регионов
Наглядное представление оперативных данных
Оценка исполнения бюджетов субьектов
Составление паспортов регионов
Блок картограмм, диаграмм, графиков

Аналитическая подсистема

Динамический анализ
Структурный анализ
Кластерный анализ
Статический анализ
Комплексный анализ

Подсистема прогнозирования

Динамический анализ
Структурный анализ
Кластерный анализ
Статический анализ
Комплексный анализ

Хранилище данных Проект модели данных

Нацелено на известные недостатки
Может быть автоматизировано
Требует минимальной обработки экспертами

Сканирование уязвимостей:

Типы анализа безопасности

Тестовое проникновение:

Нацелено на известные и неизвестные недостатки
Требует высококвалифицированных экспертов
Несет угрозу нарушения законов в некоторых странах или внутренних распоряжений организаций

Аудит IT- безопасности:

Нацелен на политики и процедуры в области безопасности
Используется для обеспечения обоснований внутренних распоряжений

Определение диапазона анализа безопасности

1. Современная законодательная база Украины в области страхования
2. ции Совр тенденции развития полит
3. Анализ чувствительности финансовых результатов к изменениям цены, различных элементов издержек
4. Водопропускные трубы
5. Основные закономерности макроэволюции
6. сверлильная пер
7. Еліпс На цей момент еліпс означений своїм канонічним рівнянням- 1
8. Управление офисом преподаватель- к
9. 76 1e7 12e7 13D123 1
10. Вариант 3 1 Процессуальная форма это- 1 порядок рассмотрения гражданских дел; 2 деятельность суда и др
11. Развитие традиций ПА Федотова в жанровой живописи 1850-1860х годов
12. Первобытная культура.html
13. Виды контроля для соблюдения торговыми предприятиями законадательства- 1
14. А Радугина ХРЕСТОМАТИЯ ПО ФИЛОСОФИИ Gudemus igitur Juvenes dum sumus Post jucundm juventutem Post molestm senectutem Nos hbebit humus Ubi sunt
15. кольцо Вальдейера Пирогов
16. МОРДОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ им
17. государстве жилбыл царь и была у него дочка красавица Звали её Эльза.html
18. Российский государственный торговоэкономический университет СПО группы 3 гост А очной формы обучен
19. восточ деспотиянеогр монарх
20. А Преподаватель ассистент Битин М

Материалы собраны группой SamZan и находятся в свободном доступе