Основы информатики

Сетевые стандарты

Работа сети заключается в передаче данных от одного компьютера к другому. В этом процессе можно выделить следующие задачи:

1. Распознавание данных.

2. Разбиение данных на управляемые блоки.

3. Добавление информации к каждому блоку о местонахождении данных и получателе.

4. Добавление информации для синхронизации и проверки ошибок.

5. Перемещение данных в сеть и отправка их по заданному адресу. Сетевая ОС при выполнении этих задач строго следует определенному набору процедур. Эти процедуры называются протоколами. Они регламентируют каждую сетевую операцию. Стандартные

протоколы позволяют программному и аппаратному обеспечению разных производителей нормально взаимодействовать. Существует два главных набора стандартов: эталонная модель OSI и ее модификация Project 802. Для понимания технической стороны функционирования сетей необходимо иметь представление об этих моделях.

Эталонная модель OSI. В 1984 г. ISO выпустила новую версию своей модели, названную эталонной моделью взаимодействия открытых систем ISO. Эта версия стала международным стандартом. Ее спецификации используют производители при разработке сетевых продуктов, ее придерживаются при построении сетей. Полностью модель носит название ISO

OSI (Open System Interconnection Reference Model). Для краткости будем ее называть модель OSI. Модель OSI не является сетевой архитектурой, так как не описывает службы и протоколы, используемые на каждом уровне. Она просто определяет, что должен делать каждый уровень. Важно также понимать, что эталонная модель не является чем-то реальным, таким, что обеспечивает связь. Сама по себе она не заставляет коммуникации функционировать и служит лишь для классификации. Она классифицирует то, что непосредственно работает, а именно -- протоколы. Протоколом считается набор спецификаций, определяющих реализацию одного или нескольких уровней OSI. ISO разработала также стандарты для каждого уровня, хотя эти стандарты не входят в саму эталонную модель. Каждый из них был опубликован как отдельный международный стандарт. Модель OSI имеет семь уровней. Каждому уровню соответствуют различные сетевые операции, оборудование и протоколы. Появление именно семи уровней было обусловлено функциональными особенностями модели.

Стандарт IEEE Project 802

Два нижних уровня модели OSI относятся к оборудованию, а именно: сетевой плате и кабелю. Для постановки более четких требований к аппаратуре, которая работает на этих уровнях, IEEE разработал расширения, предназначенные для разных сетевых плат и кабелей. Эти расширения широко известны как Project 802, названные в соответствии с годом (1980) и месяцем (февраль) своего издания. Стандарты IEEE были опубликованы раньше модели OSI, но оба проекта разрабатывались примерно в одно время и при полном обмене информацией. Это и привело к созданию двух совместимых продуктов.

Project 802 установил стандарты для физических компонентов сети -- интерфейсных плат и кабельной системы, которые работают на Канальном и Физическом уровнях модели OSI. Эти стандарты, называемые 802-спецификациями, распространяются на платы СА, компоненты ГВС, компоненты сетей, использующих коаксиальный кабель и витую пару. 802-спецификации определяют способы, в соответствии с которыми платы СА осуществляют доступ к физической среде и передают по ней данные. Это соединение, поддержка и разъединение сетевых устройств. Выбор протокола канального уровня -- наиболее важное решение при проектировании ЛВС. Этот протокол определяет скорость сети, метод доступа к физической среде,

тип кабелей, сетевые платы и драйверы.

31. Сетевые архитектуры. Передача данных по сети

Сетевые архитектуры - это комбинация стандартов, топологий и протоколов, необходимых для создания работоспособной сети.Для использования сетевого ресурса необходимо получить доступ к нему. Существуют три метода доступа: множественный доступ с контролем несущей, доступ с передачей маркера, доступ по приоритету запроса. Метод доступа -- набор правил, которые определяют, как компьютер должен отправлять и принимать данные по сетевому кабелю.

Компьютеры получают доступ к сети поочередно на короткое время. Обычно несколько компьютеров в сети имеют совместный доступ к кабелю. Однако если два компьютера попытаются передавать данные одновременно, их пакеты столкнутся и будут испорчены. Возникает так называемая коллизия. Все компьютеры в сети должны использовать один и тот же метод доступа, иначе произойдет сбой в работе сети, когда отдельные компьютеры, чьи методы доминируют, не позволят остальным осуществлять передачу. Множественный доступ с контролем несущей подразделяется на:

* множественный доступ с обнаружением коллизий;

* множественный доступ с предотвращением коллизий.

Рассмотрим особенности каждого метода доступа.

Множественный доступ с контролем несущей и обнаружением коллизий (Carrier-Sense Multiple Access with Collision Detection, CSMA/CD).

Все компьютеры в сети -- и клиенты, и серверы -- прослушивают кабель, стремясь обнаружить передаваемые данные, т.е. трафик. Компьютер может начать передачу только тогда, когда убедится, что кабель свободен -- трафик отсутствует. Пока кабель занят, ни один из компьютеров не может вести передачу. Если возникает коллизия, то эти компьютеры приостанавливают передачу на случайный интервал времени, а затем вновь стараются наладить связь. Множественный доступ с контролем несущей и предотвращением коллизий (Carrier-Sense Multiple Access with Collision Avoidance, CSMA/ CA). Этот метод самый непопулярный среди всех методов доступа. Каждый компьютер перед передачей данных в сеть сигнализирует о своем намерении, поэтому остальные компьютеры «узнают» о готовящейся передаче и могут избежать коллизий. Однако широковещательное оповещение увеличивает общий трафик и уменьшает пропускную способность сети. Поэтому CSMA/CA работает медленнее, чем CSMA/CD. Доступ по приоритету запроса (demand priority). Относительно новый метод доступа, разработанный для сети Ethernet со скоростью передачи 100 Мбит/с -- 100VG-AnyLan. Он стандартизован IEEE в категории 802.12. Этот метод учитывает своеобразную конфигурацию сетей 100VG-AnyLan, которые состоят только из концентраторов и оконечных узлов. Концентраторы управляют доступом к кабелю, последовательно опрашивая каждый узел в сети и выявляя запросы на передачу. Концентратор должен знать все адреса связи и узлы и проверять их работоспособность. Оконечным узлом в соответствии со спецификацией 100VG-AnyLan может быть компьютер, мост, маршрутизатор или коммутатор.

Передача данных по сети

Чтобы быстро, не тратя времени на ожидание, передавать информацию по сети, данные разбиваются на маленькие управляемые блоки, содержащие все необходимые сведения для их передачи. Эти блоки называются пакетами. Под термином «пакет» подразумевается единица информации, передаваемая между устройствами сети как единое целое. При разбиении данных на пакеты сетевая ОС добавляет к каждому пакету специальную управляющую информацию, которая обеспечивает передачу исходных данных небольшими блоками, сбор данных в определенном порядке (при их получении), проверку данных на наличие ошибок (после сборки).

Компоненты пакета группируются по трем разделам: заголовок, данные и трейлер.

Заголовок включает:

* сигнал о том, что передается пакет,

* адрес источника,

* адрес получателя,

* информацию, синхронизирующую передачу.

Для большинства сетей размер пакета составляет от 512 байт до 4 Кбайт. Содержимое трейлера зависит от протокола связи (протокол -- это набор правил или стандартов для осуществления связи и обмена информацией между компьютерами). Чаще всего трейлер содержит информацию для проверки ошибок, называемую избыточным циклическим кодом (Cyclical Redundancy Check, CRC). CRC -- это число, получаемое в результате математических преобразований данных пакета и исходной информации. Когда пакет достигает места назначения, эти преобразования повторяются. Если результат совпадает с CRC -- пакет принимается без ошибок. В противном случае передача пакета повторяется.

Формат и размер пакета зависят от типа сети. Максимальный размер пакета определяет количество пакетов, которое будет создано сетевой ОС для передачи большого блока данных.

32. Сети Ethernet. Сети Token Ring. Сетевые протоколы. Среда клиент-сервер

Ethernet -- самая популярная сейчас архитектура. Используется в сетях любого размера. Ethernet -- это промышленный стандарт, нашедший широкую поддержку среди производителей сетевого оборудования. В конце 60-х гг. Гавайский университет разработал ГВС под названием ALOHA. Университет, расположенный на обширной территории, решил объединить в сеть все компьютеры. Одной из ключевых характеристик созданной сети стал метод доступа CSMA/CD. Первоначальная версия Ethernet представляла собой систему со скоростью передачи 2,94 Мбит/с и объединяла более 100 компьютеров с помощью кабеля длиной 1 км. Сеть Ethernet фирмы Xerox имела такой успех, что компании Xerox, Intel Corporation и Digital Equipment Corporation разработали стандарт Ethernet со скоростью передачи 10 Мбит/с. Ethernet использует немодулированную передачу, топологию шина и метод доступа CSMA/CD. Другие используемые топологии -- звезда-шина. Спецификация -- IEEE 802.3. Скорость передачи данных -- 10 или 100 Мбит/с. Кабельная система -- толстый и тонкий коаксиальный кабель, UTP. Ethernet разбивает данные на пакеты (кадры), формат которых отличается от формата пакетов в других сетях. Длина 64--1518 байтов, но сама структура использует 18 байтов, поэтому остается 46-- 1500 байтов. Максимальная общая длина сети 925 м. Общее число компьютеров в сети достигает 1024.

Версия сети Token Ring была представлена IBM в 1984 г. как часть предложенного фирмой способа объединения в сеть всего ряда выпускаемых IBM компьютеров и компьютерных систем. В 1985 г. Token Ring стала стандартом ANSI/IEEE (ANSI -- представитель ISO в США). Сеть Token Ring является реализацией стандарта IEEE 802.5. От других сетей ее отличает не только наличие уникальной кабельной системы, но и использование метода доступа с передачей маркера.

Топология типичной сети -- звезда/кольцо. Соединение выполняется через концентратор в виде звезды, а физическое кольцо реализуется в концентраторе. Кабельная система - UTP и STR Скорость передачи -- 4 и 16 Мбит/с. Основным компонентом сетей Token Ring является концентратор, реализующий физическое кольцо. В сети с передачей маркера вышедший из строя компьютер или соединение останавливают движение маркера, что ведет к прекращению работы всей сети. Концентраторы разработаны таким образом, чтобы обнаруживать вышедшую из строя плату СА и вовремя отключать ее.

Протоколы -- это набор правил и процедур, регулирующих порядок осуществления некоторой связи. Протоколы реализуются во всех областях деятельности человека, например, дипломатических. В сетевой среде -- это правила и технические процедуры, позволяющие нескольким компьютерам общаться друг с другом.

Различают три определяющих свойства протоколов:

1. Каждый протокол предназначен для различных задач и имеет свои преимущества и недостатки.

2. Протоколы работают на разных уровнях модели OSI.

Функции протокола определяются уровнем, на котором он работает.

3. Несколько протоколов могут работать совместно. В этом случае они образуют так называемый стек, или набор протоколов. Как сетевые функции распределяются по всем уровням модели OSI, так и протоколы совместно работают на различных уровнях стека. Компьютер-отправитель в соответствии с протоколом выполняет следующие действия: разбивает данные на небольшие блоки -- пакеты, с которыми может работать протокол; добавляет к пакетам адресную информацию, чтобы компьютер-получатель мог определить, что эти данные предназначены именно ему; подготавливает данные к передаче через плату СА по сетевому кабелю.

Компьютер-получатель в соответствии с протоколом выполняет те же действия, но в обратном порядке. Он принимает пакеты данных из сетевого кабеля и через плату СА передает пакеты в компьютер. Затем он удаляет из пакета всю служебную информацию, добавленную компьютером-отправителем; копирует данные из пакета в буфер для их объединения в исходный блок данных; передает приложению собранный из пакетов блок данных в том формате, который использует это приложение. TCP/IP -- стандартный промышленный набор протоколов, обеспечивающий связь в неоднородной среде, т.е. между компьютерами разных типов. Совместимость -- одно из основных преимуществ TCP/IP, поэтому его поддерживают большинство ЛВС. Кроме того, TCP/IP предоставляет маршрутизируемый протокол для корпоративных сетей и доступ в Интернет.

В настоящее время большинство сетей использует модель клиент- сервер. Сеть архитектуры клиент-сервер -- это сетевая среда, в которой компьютер-клиент инициирует запрос компьютеру-серверу, выполняющему этот запрос. Рассмотрим работу модели на примере системы управления БД -- приложения, часто используемого в среде клиент-сервер. Клиент (пользователь) генерирует запрос с помощью интерфейсного приложения, которое обеспечивает интерфейс пользователя, формирует запросы и отображает данные, полученные с сервера.

В клиент-серверной среде сервер не наделяется пользовательским интерфейсом. Сервер в клиент-серверной среде обычно предназначен для хранения данных и управления ими. Именно сервер выполняет большинство операций с данными. Сервер называют также прикладной частью модели клиент-сервер, так как именно он выполняет запросы клиентов. Технология клиент-сервер создает мощную среду, обладающую множеством реальных преимуществ. В частности, хорошо спланированная клиент-серверная система обеспечивает относительно недорогую платформу, которая обладает в то же время вычислительными возможностями мэйнфрейма и легко настраивается на выполнение конкретных задач. Кроме того, в среде клиент-сервер резко уменьшается сетевой трафик, так как по сети пересылаются только результаты запросов. Файловые операции выполняются в основном более мощным сервером, поэтому запросы лучше обслуживаются. Это означает, что нагрузка на сеть распределяется более равномерно, чем в традиционных сетях на основе файл-сервера.

33.Internet как иерархия сетей. Адресация в Интернет. Варианты доступа в Интернет. Доменные имена. Сервисы Интернет

Internet как иерархия сетей

Слово Internet происходит от выражения interconnected networks (связанные сети). Это глобальное сообщество малых и больших сетей. В широком смысле - это глобальное информационное пространство, хранящее огромное количество информации на миллионах компьютеров, которые обмениваются данными. К концу 1969 г. в США был завершен проект ARPAnet подключением в одну компьютерную сеть 4 исследовательских центров: University of California Los Angeles, Stanford Research Institute, University of California at Santa Barbara, University of Utah.

В 1983 г. был осуществлен перевод ARPAnet на TCP/IP. В 1989 г. в Европейской лаборатории физики элементарных частиц (CERN, Швейцария, Женева) Тим Бернерс-Ли разработал технологию гипертекстовых документов -- World Wide Web, позволяющую пользователям иметь доступ к любой информации, находящейся в сети Интернет на компьютерах по всему миру. Рассмотрим схему подключения компьютера к Интернет и проследим, по каким каналам передается информация, посылаемая в Сеть и принимаемая из Сети. Подключение к Интернету домашнего компьютера выполняется, как правило, с помощью модема.

При этом чаще всего осуществляется так называемое сеансовое соединение с провайдером по телефонной линии. Набирается один из телефонных номеров, предоставленных провайдером, для соединения с одним из его модемов. У провайдера имеется набор модемов, так называемый модемный пул. После того, как вы соединились с ISP (Internet Service Provider), ваш компьютер становится частью сети данного ISP Каждый провайдер имеет свою магистральную линию или backbone. ISP-провайдеры имеют так называемые точки присутствия POP (Point of Presence), где происходит подключение локальных пользователей. Провайдер может иметь точки присутствия POP в нескольких городах. Скорость передачи информации на различных участках Интернета существенно различается. Магистральные линии -- это высокоскоростные каналы, построенные на основе волоконно-оптических кабелей. Кабели обозначаются ОС (optical carrier), например ОС-3, ОС-12 или ОС-48. Так, линия ОС-3 может передавать 155 Мбит/с, а ОС-48 -- 2488 Мбит/с (2,488 Гбит/с). Но максимальная скорость получения информации на домашний компьютер с модемным подключением не превышает 56 Кбит/с.

Каждому компьютеру, подключенному к Интернету, присваивается идентификационный номер, который называется IP-адресом. При сеансовом подключении к Интернету IP-адрес выделяется компьютеру только на время этого сеанса. Присвоение адреса компьютеру на время сеанса связи называется динамическим распределением IP-адресов. Оно удобно для провайдера, поскольку один и тот же IP-адрес в разные периоды времени может быть выделен разным пользователям. Таким образом, Интернет-провайдер должен иметь по одному IP-адресу на каждый обслуживаемый им модем, а не на каждого клиента.

IP-адрес имеет формат ххх.ххх.ххх.ххх, где ххх -- числа от 0 до 255. Рассмотрим типичный IP-адрес: 193.27.61.137. Для облегчения запоминания IP-адрес обычно выражают рядом чисел в десятичной системе счисления, разделенных точками. Но компьютеры хранят его в бинарной форме. Например, тот же IP-адрес в двоичном коде будет выглядеть так:

11000001. 00011011. 00111101. 10001001.

Четыре числа в IP-адресе называются октетами, поскольку в каждом из них при двоичном представлении имеется восемь разрядов: 4 * 8=32. Таким образом, при пересылке информации компьютеры используют цифровые адреса, люди -- буквенные, а DNS-сервер служит своеобразным переводчиком. Когда происходит обращение на Web или посылается e-mail, то используется доменное имя. Например, адрес http://www.microsoft.com содержит доменное имя microsoft.com. Аналогично e-mail-адрес

algol@rambler.ru содержит доменное имя rambler.ru.

В доменной системе имен реализуется принцип назначения имен с определением ответственности за их подмножество соответствующих сетевых групп.

Каждая группа придерживается этого простого правила. Имена, которые она присваивает, единственны среди множества ее непосредственных подчиненных, поэтому никакие две системы, где бы они ни находились в Интернете, не смогут получить одинаковые имена.

Так же уникальны адреса, указываемые на конвертах при доставке писем обычной почтой. Таким образом, адрес на основе географических и административных названий однозначно определяет точку назначения. Домены имеют подобную иерархию. В именах домены отделяются друг от друга точками: addressx.msk.ru, addressy.spb.ru. В имени может быть различное количество доменов, но обычно их не больше пяти. По мере движения по доменам в имени слева направо, количество имен, входящих в соответствующую группу, возрастает.

Для перевода буквенного доменного имени в IP-адрес цифрового формата служат DNS-серверы.

Существует целый ряд технологий, позволяющих использовать имеющуюся инфраструктуру -- телефонные линии, сети кабельного телевидения и т.д., -- для осуществления доступа в Интернет. Наиболее распространенный среди домашних пользователей в

России способ доступа в Интернет -- доступ по коммутируемой телефонной линии с помощью модема. Скорость доступа при таком способе подключения не более 56 Кбит/с, но такая скорость сегодня мало кого устраивает. DSL-технология (Digital Subscriber Line -- цифровая абонентская линия) позволяет использовать более широкую полосу пропускания для передачи данных без ущерба для использования телефонной линии по прямому назначению. Существует целое семейство технологий под общим названием xDSL, где приставка х указывает на конкретную спецификацию семейства DSL. Эта технология весьма перспективна, она позволяет одновременно работать в Интернете и разговаривать по телефону. ADSL (Asymmetrical DSL), или асимметричный DSL, позволяет передавать данные пользователю со скоростью, на порядок превышающую скорость передачи данных от пользователя. При этом сигнал от пользователя в Сеть передается на более низких частотах, чем сигнал из Сети к пользователю. На стороне пользователя компьютер подключается к ADSL-модему. Принцип действия ADSL-модема заключается в том, что диапазон частот в интервале 24--1100 КГц разбивается на 4 КГц полосы, на каждую из которых назначается виртуальный модем. Таким образом, каждый из этих 249 виртуальных модемов работает со своим диапазоном. ADSL-модем подключается к частотному разделителю. Мультиплексор доступа DSLAM (Digital Subscriber Line Access Multiplexer) -- это устройство, установленное на телефонной станции, которое осуществляет подключение всех DSL-абонентов к одной высокоскоростной линии.

ADSL -- весьма экономичная технология. Обычно такая линия обходится потребителю намного дешевле, чем выделенный канал аналогичной пропускной способности. По данной технологии может быть подключен не только отдельный компьютер, но и локальная сеть.

DSL-технология позволяет также использовать широкополосный доступ. Понятие «широкополосный доступ» означает, что канал предоставляет расширенную полосу частот для передачи информации. Выделенная телефонная линия -- это арендованная телефонная линия связи, соединяющая без коммутации двух абонентов. Наиболее распространенной технологией выделенной линии является технология ISDN (Integrated Services Digital Network). ISDN -- это стандарт цифровой передачи. Основным компонентом любой ISDN-линии является однонаправленный канал или В-канал с пропускной способностью 64 Кбит/с. Сеть кабельного телевидения первоначально была разработана как система для передачи аналогового видеосигнала в одном направлении -- в сторону пользователя.

Обычно пользователи идентифицируют Интернет со службой WWW (World Wide Web -- Всемирная паутина). Но это далеко не так, ибо WWW -- одна из многочисленных служб Интернета. По аналогии Интернет можно сравнить с системой транспортных магистралей, а виды сервисов Интернет -- с различными службами доставки. В число наиболее часто используемых служб Интернет входят электронная почта, WWW, служба новостей Интернет, передача файлов по протоколу FTP, терминальный доступ по протоколу Telnet и ряд других служб.

Электронная почта. Электронная почта возникла раньше, чем Интернет, однако она не только не устарела, но, напротив, является наиболее массовой службой Сети и постоянно приобретает новых пользователей. Электронное письмо, как и обычное, содержит адреса отправителя и получателя. Адрес электронной почты имеет формат: имяпользователя @ имядомена, например Ivanov@abc.rst.ru.

Часть слева от значка @ -- это имя почтового ящика (E-mail Account Name) на сервере, из которого владелец этого адреса забирает письма (в данном примере -- Ivanov). Как правило, имя пользователя совпадает с именем почтового ящика. Часть справа от значка @ называется доменом и указывает на местонахождение этого почтового ящика. -- самый популярный сервис Интернета. Именно он, благодаря своей относительной простоте и наглядности для пользователей, сделал столь массовыми обращения к ресурсам Сети.

В самом общем плане WWW -- это система Web-серверов, поддерживающая документы, форматированные специальным образом.

Служба WWW реализована в виде клиент-серверной архитектуры. Пользователь с помощью клиентской программы (браузера) осуществляет запрос той или иной информации на сервере, а Web-сервер обслуживает запрос браузера. Браузер -- это программа, обеспечивающая обращение к искомому ресурсу на сервере по его URL, интерпретирующая полученный результат и демонстрирующая его на клиентском компьютере. WWW -- это глобальная гипертекстовая система, организованная на базе Internet. WWW представляет собой механизм, при помощи которого связывается информация, доступная посредством многочисленных Web-серверов во всем мире. Web-сервер -- это программа, которая умеет получать http-запросы и выполнять в соответствии с этими запросами определенные действия, например запускать приложения и генерировать документы. Документ, доступный через Web, называют Web-страницей, а группы страниц, объединенные общей темой и навигационно, -- Web- узлами, или Web-сайтами.

34. Основы и методы защиты информации. Основные понятия информационной безопасности

Усложнение методов и средств организации машинной обработки, повсеместное использование глобальной сети Интернет приводит к тому, что информация становится все более уязвимой. Этому способствуют такие факторы, как постоянно возрастающие объемы обрабатываемых данных, накопление и хранение данных в ограниченных местах, постоянное расширение круга пользователей, имеющих доступ к ресурсам, программам и данным, недостаточный уровень защиты аппаратных и программных средств компьютеров и коммуникационных систем и т.п. Учитывая эти факты, защита информации в процессе ее сбора, хранения, обработки и передачи приобретает исключительно важное значение.

___ Компьютерная система (КС) -- организационно-техническая система, представляющую совокупность следующих взаимосвязанных компонентов: технические средства обработки и передачи данных; методы и алгоритмы обработки в виде соответствующего программного обеспечения; данные -- информация на различных носителях и находящаяся в процессе обработки; конечные пользователи -- персонал и пользователи, использующие КС с целью удовлетворения информационных потребностей; объект доступа, или объект, -- любой элемент КС, доступ к которому может быть произвольно ограничен (файлы, устройства, каналы); субъект доступа, или субъект, -- любая сущность, способная инициировать выполнение операций над объектом (пользователи, процессы). Информационная безопасность -- состояние КС, при котором она способна противостоять дестабилизирующему воздействию внешних и внутренних информационных угроз и при этом не создавать таких угроз для элементов самой КС и внешней среды. Конфиденциальность информации -- свойство информации быть доступной только ограниченному кругу конечных пользователей и иных субъектов доступа, прошедших соответствующую проверку и допущенных к ее использованию. Целостность информации -- свойство сохранять свою структуру и содержание в процессе хранения, использования и передачи. Достоверность информации -- свойство, выражаемое в строгой принадлежности информации субъекту, который является ее источником. Доступ к информации -- возможность субъекта осуществлять определенные действия с информацией. Санкционированный доступ к информации -- доступ с выполнением правил разграничения доступа к информации.

Несанкционированный доступ (НСД) -- доступ с нарушением правил разграничения доступа субъекта к информации, с использованием штатных средств (программного или аппаратного обеспечения), предоставляемых КС. Правила разграничения доступа -- регламентация прав доступа субъекта к определенному компоненту системы. Идентификация -- получение от субъекта доступа к сведениям (имя, учетный номер и т.д.), позволяющим выделить его из множества субъектов. Аутентификация -- получение от субъекта сведений (пароль, биометрические параметры и т.д.), подтверждающих, что идентифицируемый субъект является тем, за кого себя выдает. Угроза информационной безопасности КС -- возможность воздействия на информацию, обрабатываемую КС, с целью ее искажения, уничтожения, копирования или блокирования, а также возможность воздействия на компоненты КС, приводящие к сбою их функционирования. Уязвимость КС -- любая характеристика, которая может привести к реализации угрозы. Атака КС -- действия злоумышленника, предпринимаемые с целью обнаружения уязвимости КС и получения несанкционированного доступа к информации. Безопасная, или защищенная, КС -- КС, снабженная средствами защиты для противодействия угрозам безопасности. Комплекс средств защиты -- совокупность аппаратных и программных средств, обеспечивающих информационную безопасность.

Политика безопасности -- совокупность норм и правил, регламентирующих работу средств защиты от заданного множества угроз. Дискреционная модель разграничения доступа -- способ разграничения доступа субъектов к объектам, при котором права доступа задаются некоторым перечнем прав доступа субъекта к объекту. При реализации представляет собой матрицу, строками которой являются субъекты, а столбцами -- объекты; элементы матрицы характеризуют набор прав доступа.

Полномочная (мандатная) модель разграничения доступа -- способ разграничения доступа субъектов к объектам, при котором каждому объекту ставится в соответствие уровень секретности, а каждому субъекту уровень доверия к нему. Субъект может получить доступ к объекту, если его уровень доверия не меньше уровня секретности объекта.

35. Анализ угроз информационной безопасности. Критерии защищенности средств компьютерных систем

Современные КС и сети являются сложными системами, подверженными, кроме того, влиянию чрезвычайно большого числа факторов и поэтому формализовать задачу описания полного множества угроз не представляется возможным. Как следствие, для защищенной КС определяется не полный перечень угроз, а перечень классов угроз, которым должен противодействовать комплекс средств защиты.

Классификация угроз может быть проведена по ряду базовых признаков:

1. По природе возникновения: объективные природные явления, не зависящие от человека; субъективные действия, вызванные деятельностью человека.

2. По степени преднамеренности: ошибки конечного пользователя или персонала; преднамеренного действия, для получения НСД к информации.

3. По степени зависимости от активности КС: проявляющиеся независимо от активности КС (вскрытие шифров, хищение носителей информации); проявляющиеся в процессе обработки данных (внедрение вирусов, сбор «мусора» в памяти, сохранение и анализ работы клавиатуры и устройств отображения).

4. По степени воздействия на КС: пассивные угрозы (сбор данных путем выведывания или подсматривания за работой пользователей); активные угрозы (внедрение программных или аппаратных закладок и вирусов для модификации информации или дезорганизации работы КС).

5. По способу доступа к ресурсам КС: получение паролей и прав доступа, используя халатность владельцев и персонала, несанкционированное использование терминалов пользователей, физического сетевого адреса, аппаратного блока кодирования и др.; обход средств защиты, путем загрузки посторонней операционной защиты со сменного носителя; использование недокументированных возможностей операционной системы.

6. По текущему месту расположения информации в КС: внешние запоминающие устройства; оперативная память; сети связи; монитор или иное отображающее устройство (возможность скрытой съемки работы принтеров, графопостроителей, световых панелей и т.д.). Необходимо отметить, что абсолютно надежных систем защиты не существует. Кроме того, любая система защиты увеличивает время доступа к информации, поэтому построение защищенных КС не ставит целью надежно защититься от всех классов угроз. Уровень системы защиты -- это компромисс между понесенными убытками от потери конфиденциальности информации, с одной стороны, и убытками от усложнения, удорожания КС и увеличения времени доступа к ресурсам от введения систем защиты, с другой стороны.

Министерством обороны США в 1983 г. были разработаны определения требований к аппаратному, программному и специальному программному обеспечению под названием «Критерии оценки. Критерий 1. Политика безопасности. КС должна поддерживать точно определенную политику безопасности. Возможность доступа субъектов к объектам должна определяться на основании их идентификации и набора правил управления доступом. Там, где это возможно, должно использоваться мандатное управление доступом, позволяющее эффективно разграничивать доступ к информации разной степени конфиденциальности.

Критерий 2. Метки. Каждый объект доступа в КС должен иметь метку безопасности, используемую в качестве исходной информации для исполнения процедур контроля доступа. Критерий 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Доступ субъекта к ресурсам КС должен осуществляться на основании результатов идентификации и подтверждения подлинности их идентификаторов (аутентификация). Идентификаторы и аутентификационные данные должны быть защищены от НСД, модификации и уничтожения. Критерий 4. Регистрация и учет. Для определения степени ответственности пользователей за действия в системе, все происходящие в ней события, имеющие значение для поддержания конфиденциальности и целостности информации, должны отслеживаться и регистрироваться в защищенном объекте (файле-журнале). Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность КС. Доступ к объекту аудита для просмотра должен быть разрешен только специальной группе пользователей -- аудиторов. Запись должна быть разрешна только субъекту, олицетворяющему систему.

Критерий 5. Контроль корректности функционирования средств защиты. Все средства защиты, обеспечивающие политику безопасности, должны находиться под контролем средств, проверяющих корректность их функционирования и быть независимыми от них.

Критерий 6. Непрерывность защиты. Все средства защиты должны быть защищены от несанкционированного воздействия или отключения. Защита должна быть постоянной и непрерывной в любом режиме функционирования системы, защиты и КС. Это требование должно распространяться на весь жизненный цикл КС.

Руководящие материалы представляют семь критериев защиты КС:

1. Защита КС основывается на положениях существующих законов, стандартов и нормативно-методических документов по защите информации.

2. Защита средств вычислительной техники обеспечивается комплексом программно-технических средств.

3. Защита КС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.

4. Защита КС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.

5. Программно-технические средства не должны существенно ухудшать основные функциональные характеристики КС (надежность, производительность, возможность изменения конфигурации).

6. Оценка эффективности средств защиты, учитывающей всю совокупность технических характеристик, включая технические решения и практическую реализацию средств защиты.

7. Защита КС должна предусматривать контроль эффективности средств защиты от НСД, который может быть периодическим или включаться по мере необходимости пользователем или контролирующими органами.

36. Криптографические методы защиты данных. Определение и классификация вирусов

Криптографические методы являются наиболее эффективными средствами защиты информации в КС, при передаче же по протяженным линиям связи они являются единственным реальным средством предотвращения несанкционированного доступа к ней. Метод шифрования характеризуется показателями надежности и трудоемкости. Важнейшим показателем надежности криптографического закрытия информации является его стойкость -- тот минимальный объем зашифрованного текста, который можно вскрыть статистическим анализом. Таким образом, стойкость шифра определяет допустимый объем информации, зашифровываемый при использовании одного ключа.

Трудоемкость метода шифрования определяется числом элементарных операций, необходимых для шифрования одного символа исходного текста. Шисррование заменой (подстановка) Наиболее простой метод шифрования. Символы шифруемого текста заменяются другими символами, взятыми из одного (моноалфавитная подстановка) или нескольких (полиалфавитная подстановка) алфавитов.

Наиболее простой метод -- прямая замена символов шифруемого сообщения другими буквами того же самого или другого алфавита. Шифрование методом перестановки Этот метод заключается в том, что символы шифруемого текста переставляются по определенным правилам внутри шифруемого блока символов. Методы шифрование, использующие ключи

Эти методы предполагают знание ключа при шифровании и дешифровании. При этом важной задачей является безопасная передача ключа, который при этом обычно тоже шифруется. Учитывая короткую длину фразы, содержащей ключ, стойкость шифра ключа значительно выше, чем у основного текста.

Системы с открытым ключом. Наиболее перспективными системами криптографической защиты данных в настоящее время являются системы с открытым ключом. В таких системах для шифрования данных используется один ключ, а для дешифрования -- другой. Использование хэш-функций Функции хэширования широко используются для шифрования паролей пользователей КС и при создании электронной подписи.

Они отображают сообщение любой длины в строку фиксированного размера. Особенностью ее применения является тот факт, что не существует функции, которая могла бы по сжатому отображению восстановить исходное сообщение, -- это односторонняя хэш-функция. Электронная цифровая подпись При обмене электронными документами очень важным является установление авторства, подлинности и целостности информации в полученном документе. Решение этих задач возлагается на цифровую подпись, сопровождающую электронный документ.

Компьютерным вирусом называется программа, способная самостоятельно создавать свои копии и внедряться в другие программы, в системные области дисковой памяти компьютера, распространяться по каналам связи. Целью создания и применения программ-вирусов является нарушение работы программ, порчи файловых систем и компонентов компьютера, нарушение нормальной работы пользователей. По среде обитания вирусов Сетевые вирусы используют для своего распространения команды и протоколы телекоммуникационных сетей. Файловые вирусы чаще всего внедряются в исполняемые файлы, имеющие расширение .ехе и com, но могут внедряться и в файлы с компонентами операционных систем, драйверы внешних устройств, объектные файлы и библиотеки, в командные пакетные файлы. Загрузочные вирусы внедряются в загрузочный сектор дискеты или в главную загрузочную запись жесткого диска. Документные вирусы (макровирусы) заражают текстовые файлы редакторов или электронных таблиц, используя макросы, которые сопровождают такие документы. По способу заражения среды обитания

Резидентные вирусы после завершения инфицированной программы остаются в оперативной памяти и продолжают свои деструктивные действия, заражая другие исполняемые программы, вплоть до выключения компьютера.

Нерезидентные вирусы запускаются вместе с зараженной программой и удаляются из памяти вместе с ней. По алгоритмам функционирования

Паразитирующие -- вирусы, изменяющие содержимое зараженных файлов. Эти вирусы легко обнаруживаются и удаляются из файла, так как имеют всегда один и тот же внедряемый программный код.

Троянские кони -- вирусы, маскируемые под полезные программы, которые очень хочется иметь на своем компьютере. Вирусы-невидимки способны прятаться при попытках их обнаружения. Мутирующие вирусы периодически изменяют свой программный код, что делает задачу обнаружения вируса очень сложной.

37. Меры по поддержанию работоспособности компьютерных систем. Типичные приемы атак на локальные и удаленные компьютерные системы

Наряду с мерами поддержания политики безопасности информации, предоставляемыми стандартным аппаратным и программным обеспечением, любой пользователь, особенно начинающий, должен соблюдать ряд простых правил, которые избавят его от потери важной для него информации при случайных сбоях или авариях аппаратуры, разрушения программ и данных из-за ошибок в работе самого пользователя или администратора. Недооценка фактора безопасности в повседневной работе приводит к тяжелым последствиям, связанным с потерей или нарушением конфиденциальности информации. Правила проведения повседневных мероприятий администратором системы и пользователем для предотвращения случайных сбоев или утраты информации можно сформулировать так:

* администратор должен организовать поддержку пользователей при решении возникающих у них проблем, выявляя при этом общие вопросы, связанные с безопасностью и указывая пользователям способы их решения;

* администратор должен следить за целостностью программного обеспечения, установленного на компьютерной системе, и ограничивать возможности самостоятельной установки пользователями дополнительных программ, которые могут содержать вредоносные коды, следить за изменением файлов программ, для чего периодически запускать утилиты, проверяющие целостность файлов программных кодов;

* пользователь должен иметь возможность проводить резервное копирование своих данных, которые могут понадобиться для восстановления данных после аварии; резервные копии необходимо сохранять на съемных носителях или других внешних носителях с ограниченным правом доступа;

* каждая компьютерная система должна быть в обязательном порядке снабжена источником бесперебойного питания, предотвращающего потерю информации при кратковременных перебоях с энергоснабжением.

1. Сканирование файловой системы. Злоумышленник пытается просматривать файловую систему и прочесть, скопировать или удалить файлы. 2. Кража ключевой информации. Пароль может быть подсмотрен по движению рук на клавиатуре или снят видеокамерой. Некоторые программы входа в КС удаленного сервера допускают набор пароля в командной строке, где пароль отображается на экране, а иногда для ввода используются пакетные файлы для упрощения входа в ОС. 3. Сборка мусора. Информация, удаляемая пользователем, не удаляется физически, а только помечается к удалению и помещается в сборщик мусора. 4. Превышение полномочий. Используя ошибки в системном программном обеспечении и/или политики безопасности, пользователь пытается получить полномочия, превышающие те, которые были ему выделены. 5. Программные закладки. Программы, выполняющие хотя бы одно из следующих действий: -- внесение произвольных искажений в коды программ, находящихся в оперативной памяти (программная закладка первого типа); -- перенос фрагментов информации из одних областей оперативной или внешней памяти в другие (программная закладка второго типа); -- искажение информации, выводимой другими программами на внешние устройства или каналы связи (программная закладка третьего типа).

6. Жадные программы. Программы, преднамеренно захватывающие значительную часть ресурсов КС, в результате чего другие программы работают значительно медленнее или не работают вовсе. Часто запуск такой программы приводит к краху ОС.

7. Атаки на отказ в обслуживании (deny-of-service -- DoS). Атаки DoS являются наиболее распространенными в компьютерных сетях и сводятся к выведению из строя объекта, а не к получению несанкционированного доступа. 8. Атаки маскировкой. Маскировка -- общее название большого класса сетевых атак, в которых атакующий выдает себя за другого пользователя. 9. Атаки на маршрутизацию. Для достижения узла -- жертвы в таких атаках применяется изменение маршрута доставки пакета. 10. Прослушивание сети (sniffing). Различают межсегментный и внутрисегментный сниффинг. В первом случае устройство подслушивания должно быть размещено у входа или выхода взаимодействующих узлов или у одного из транзитных узлов. Для защиты от прослушивания, в основном, используются средства шифрования. При внутрисегментном прослушивании в равноранговой сети с общей шиной (Ethernet), в качестве прослушивающего устройства может использоваться одна из КС сети.

38. История развития вычислительной техники. Защита информации от компьютерных вирусов. Способы защиты от вирусов

Для защиты от проникновения вирусов необходимо проводить мероприятия, исключающие заражение программ и данных компьютерной системы. Основными источниками проникновение вирусов являются коммуникационные сети и съемные носители информации. Для обнаружения и удаления компьютерных вирусов разработано много различных программ, которые можно разделить на детекторы, ревизоры, фильтры, доктора и вакцины. Детекторы осуществляют поиск компьютерных вирусов в памяти и при обнаружении сообщают об этом пользователю. Ревизоры выполняют значительно более сложные действия для обнаружения вирусов. Они запоминают исходное состояние программ, каталогов, системных областей и периодически сравнивают их с текущими значениями. При изменении контролируемых параметров ревизоры сообщают об этом пользователю. Фильтры выполняют выявление подозрительных процедур, например, коррекция исполняемых программ, изменение загрузочных записей диска, изменение атрибутов или размеров файлов и др. При обнаружении подобных процедур фильтры запрашивают пользователя о правомерности их выполнения. Доктора являются самым распространенным типом антивирусных программ. Эти программы не только обнаруживают, но и удаляют вирусный код из файла -- «лечат» программы. Доктора способны обнаружить и удалить только известные им вирусы, поэтому их необходимо периодически, обычно раз в месяц, обновлять. Вакцины -- это антивирусные программы, которые так модифицируют файл или диск, что он воспринимается программой-вирусом уже зараженным и поэтому вирус не внедряется. Популярные антивирусные средства Среди наиболее популярных у российских пользователей антивирусных пакетов назовем программы: Norton Antivirus, Антивирус Касперского и Dr.Web. По различным оценкам, в настоящее время продукты Лаборатории Касперского занимают большую часть российского рынка. Прочие производители, в первую очередь Symantec, «Диалог-Наука», Trend Micro и Panda, делят оставшуюся долю рынка.

Вычислительная техника является важнейшим компонентом процесса вычислений и обработки данных. Первыми приспособлениями для вычислений были, вероятно, всем известные счётные палочки, которые и сегодня используются в начальных классах многих школ для обучения счёту. Развиваясь, эти приспособления становились более сложными, например, такими как финикийские глиняные фигурки, также предназначаемые для наглядного представления количества считаемых предметов, однако для удобства помещаемые при этом в специальные контейнеры. Такими приспособлениями, похоже, пользовались торговцы и счетоводы того времени.

Постепенно из простейших приспособлений для счёта рождались всё более и более сложные устройства: абак (счёты), логарифмическая линейка, механический арифмометр, электронный компьютер. Несмотря на простоту ранних вычислительных устройств, опытный счетовод может получить результат при помощи простых счёт даже быстрее, чем нерасторопный владелец современного калькулятора. Естественно, сама по себе, производительность и скорость счёта современных вычислительных устройств давно уже превосходят возможности самого выдающегося расчётчика-человека.

Ранние приспособления и устройства для счёта1801: появление перфокарт

Перфокарточная система музыкального автомата

В 1801 году Жозеф Мари Жаккар разработал ткацкий станок, в котором вышиваемый узор определялся перфокартами. В 1838 году Чарльз Бэббидж перешёл от разработки Разностной машины к проектированию более сложной аналитической машины.

1835--1900-е: первые программируемые машиныВ 1835 году Чарльз Бэббидж описал свою аналитическую машину. Это был проект компьютера общего назначения, с применением перфокарт в качестве носителя входных данных и программы, а также парового двигателя в качестве источника энергии.

1930-е -- 1960-е: настольные калькуляторы

Арифмометр «Феликс» -- самый распространённый в СССР. Выпускался в 1929--1978 гг.

К 1900-у году ранние механические калькуляторы, кассовые аппараты и счётные машины были перепроектированы с использованием электрических двигателей с представлением положения переменной как позиции шестерни. С 1930-х такие компании как Friden, Marchant и Monro начали выпускать настольные механические калькуляторы, которые могли складывать, вычитать, умножать и делить.

Появление аналоговых вычислителей в предвоенные годыПеред Второй мировой войной механические и электрические аналоговые компьютеры считались наиболее современными машинами, и многие считали, что это будущее вычислительной техники.

Первые электромеханические цифровые компьютеры. В 1936 году, работая в изоляции в нацистской Германии, Конрад Цузе начал работу над своим первым вычислителем серии Z, имеющим память и (пока ограниченную) возможность программирования.

Британский «Колосс»Код немецкой шифровальной машины «Энигма» был подвергнут анализу с помощью электромеханических машин, которые носили название «бомбы».

«Колосс» стал первым полностью электронным вычислительным устройством.

Американские разработки

В 1937 году Клод Шеннон показал, что существует соответствие один-к-одному между концепциями булевой логики и некоторыми электронными схемами, которые получили название «логические вентили», которые в настоящее время повсеместно используются в цифровых компьютерахмериканский ENIAC, который часто называют первым электронным компьютером общего назначения, публично доказал применимость электроники для масштабных вычислений. Первой работающей машиной с архитектурой фон Неймана стал манчестерский «Baby» -- Small-Scale Experimental Machine (Малая экспериментальная машина), созданный в Манчестерском университете в 1948 году; в 1949 году за ним последовал компьютер Манчестерский Марк I, который уже был полной системой, с трубками Уильямса и магнитным барабаном в качестве памяти, а также с индексными регистрами.

1950-е -- начало 1960-х: второе поколение. Следующим крупным шагом в истории компьютерной техники стало изобретение транзистора в 1947 году. Они стали заменой хрупким и энергоёмким лампам.

1960-е и далее: третье и последующие поколения

Бурный рост использования компьютеров начался с т. н. «3-им поколением» вычислительных машин. В течение 1960-х наблюдалось определённое перекрытие технологий 2-го и 3-го поколений. В конце 1975 года, в Sperry Univac продолжалось производство машин 2-го поколения, таких как UNIVAC 494.

Появление микропроцессоров привело к разработке микрокомпьютеров -- небольших недорогих компьютеров, которыми могли владеть небольшие компании или отдельные люди. Микрокомпьютеры, представители четвёртого поколения, первые из которых появился в 1970-х, стали повсеместным явлением в 1980-х и позже. Стив Возняк, один из основателей Apple Computer, стал известен как разработчик первого массового домашнего компьютера, а позже -- первого персонального компьютера. Компьютеры на основе микрокомпьютерной архитектуры, с возможностями, добавленными от их больших собратьев, сейчас доминируют в большинстве сегментов рынка.