К другим распространенным средствам защиты информации можно отнести межсетевые экраны и системы криптографической защиты.
5.7.3.Межсетевые экраны
Межсетевые экраны, называемые также брандмауэрами или файерволами ( firewall – дословно огненная стена) выступают в роли защитников границ между локальными сетями и Интернетом. Персональные брандмауэры выполняют те же функции, но на границе между домашним компьютером и Интернетом. Первоначальное происхождение данного термина связано с использованием специальных противопожарных стен в зданиях.
С точки зрения компьютерных сетей значение термина брандмауэр изменилось. Первые компьютерные брандмауэры были созданы для того, чтобы препятствовать распространению сетевого программного обеспечения, содержащего множество ошибок, на всю сеть с одного ее сегмента на другой. Подобно своим техническим прототипам они являются средством локализации пожара.
Для построения системы защиты информации между локальной и глобальной сетями используются специальные промежуточные серверы, которые осуществляют мониторинг проходящих через них сообщений на сетевом и транспортном уровне. Это снижает угрозу доступа извне в корпоративные сети, но не устраняет полностью. Для повышения эффективности данного метода весь поток информации из локальной сети передают от имени firewall-сервера, делая, тем самым, локальную сеть невидимой.
Брандмауэры бывают аппаратными или программными. Аппаратный брандмауэр — это устройство, которое подключается к сети физически, фильтрует входящий и исходящий трафик и защищает от нежелательных проникновений во внутреннюю сеть или на персональный компьютер. Программный брандмауэр выполняет те же функции, но является не внешним аппаратным устройством, а программой, установленной на компьютере. В роли параметров фильтрации выступают адреса получателя и отправителя каждого сетевого пакета, протокол передачи данных, например, HTTP, FTP, программное приложение, которое отсылает или принимает сетевой пакет и т.д. Принцип работы брандмауэра проиллюстрирован нарис. 5.8. Несанкционированный пользователь не сможет получить доступ в локальную сеть, если ее защищает брандмауэр.
Рис. 5.8. Защита доступа в локальную сеть из Интернета
Брандмауэр запрещает доступ в локальную сеть из Интернета пользователям, не имеющим соответствующих полномочий, и отфильтровывает те данные, обмен которыми запрещен. Если в локальной сети, имеющей выход в Интернет, нет брандмауэра, то злоумышленник сможет проникнуть на любой из компьютеров из Интернета. Работу брандмауэра можно сравнить с работой службы безопасности, просматривающей почту.
Брандмауэры, предназначенные для защиты корпоративной сети, часто имеют встроенные proxy-сервер (proxy — представитель, уполномоченный) и систему обнаружения вторжений. Proxy-сервер играет роль посредника между внутренней сетью организации и Интернетом. Сервер-посредник сохраняет часто запрашиваемые web-страницы в своей памяти и когда пользователь запрашивает страницу из Интернета, proxy-сервер проверяет, есть ли она в его базе данных. Если есть, то страница сразу же отправляется к пользователю, иначе proxy-сервер запрашивает оригинальный сервер, где размещена страница, и, получив ее, отправляет пользователю.
Если брандмауэры рассматривать как шлагбаум, через который могут пройти те, кто наделен соответствующими полномочиями, то система обнаружения будет выступать здесь в роли устройства внешнего видеонаблюдения и охранной сигнализации. Охранная система включается, когда злоумышленник перелез через забор или сломал калитку и теперь намеревается захватить центральный пульт управления. То есть когда хакер уже проник внутрь и готовится поразить жизненно важную систему.
Работа системы обнаружения вторжений строится на законах математической статистики. Каждое действие, происходящее в системе, подвергается анализу на соответствие сценарию сетевой атаки. Так как действия злоумышленника разнятся от случая к случаю, системе обнаружения вторжений приходится учитывать отклонения реально происходящих событий от сценария нападения.
Персональные брандмауэры.Персональные брандмауэры защищают отдельные автономные компьютеры, подсоединенные к Интернету. Чаще всего персональные брандмауэры используются на домашних персональных компьютерах. Основная задача этого средства защиты — фильтровать входящий и исходящий сетевой трафик (поток данных), контролировать сетевую активность приложений и блокировать любые опасные действия. Персональный брандмауэр умеет фильтровать входящие и исходящие соединения по целому ряду признаков. Это прежде всего адреса абонентов, используемых для соединения, порт (число, которое идентифицирует процесс или приложение внутри компьютера) и полномочия приложения, осуществляющего обмен информацией. Есть и более сложные способы фильтрации. Например, при анализе входящих соединений брандмауэр всегда может проверить, запрашивало ли какое-нибудь приложение соединение с данным узлом. Если нет, то входящее соединение нужно запретить, а если да, то это значит, что на персональный компьютер просто пришел ответ на посланный ранее запрос. Для того чтобы эффективно фильтровать трафик, в брандмауэре должна быть реализована поддержка большого числа протоколов и технологий. В операционной системе Microsoft Windows XP имеется свой встроенный брандмауэр. БрандмауэрWindows представляет собой фильтр сетевых пакетов способный отразить стандартные сетевые атаки и не допустить низкоуровневого сетевого подключения к защищенному компьютеру. Также брандмауэр умеет корректно обрабатывать диагностические и служебные пакеты, приходящие из Интернета. Между тем, служебные пакеты чаще всего используются для организации сетевых атак. Благодаря брандмауэру Windows компьютер пользователя намного сложнее обнаружить в Интернете и атаковать. В операционную систему Microsoft Windows XP Service Pack 2 (пакет обновлений 2) включен Центр обеспечения безопасности, который следит за тем, чтобы встроенный в ОС брандмауэр был включен и правильно настроен.
Kaspersky Anti-Hacker.Этотперсональный брандмауэр разработан Лабораторией Касперского. В продукте реализована технология невидимости, затрудняющая обнаружение защищенного компьютера извне. В результате несанкционированный пользователь просто не может определить объект для атаки и все его попытки получения доступа к компьютеру исключены. Данная технология также помогает предотвратить любые атаки типа отказ в обслуживании («DoS-атаки»). Данный персональный брандмауэр защищает компьютер от целого ряда сетевых атак, приводящих к зависанию системы, аварийной перезагрузке, сбору сведений о работе компьютера и другим деструктивным последствиям. Kaspersky Anti-Hacker отличается легкой и удобной настройкой и пользователь может выбрать один из возможных режимов работы:
- запрет всех соединений, в результате чего программа не сможет работать с Интернетом;
- разрешить работать с Интернетом только некоторым программам;
- режим, в котором персональный брандмауэр запрашивает у пользователя разрешение на работу у каждой программы;
- режим, в котором работать могут все программы, кроме тех, которым это явно запрещено;
- разрешить все соединения — все программы могут работать с Интернетом.
5.7.4.Криптографические средства
Криптография (Cryptos — тайный) — это наука и технология шифрования важной информации для защиты ее от несанкционированного доступа и модификации. Данные средства представляют собой совершенно особый класс в системе защиты информации. Криптография — это совокупность технических, математических и программных методов шифрование данных, защищающих их от пользователей, не знающих ключа для расшифровки. Математические методы криптографии были разработаны Клодом Шенноном. Технологии криптографии позволяют реализовать следующие основные процедуры информационной защиты:
- идентификация объекта или субъекта сети или информационной системы;
- аутентификация объекта или субъекта сети;
- контроль и разграничение доступа к ресурсам локальной сети или внесетевым сервисам;
- обеспечение и контроль целостности данных.
Идентификация- это установление личности физического лица, а не его виртуальной учетной записи.
Аутентификация пользователей — это процедура проверки соответствия пользователя и его учетной записи в компьютерной системе. В простейшем случае пользователь вводит имя пользователя (user name) или логин (login) и пароль (password), после чего предоставляется вход. Компьютер сравнивает аутентификационные данные пользователя с теми, что хранятся в базе, и при совпадении пользователю предоставляется доступ в сеть. При пересылки сообщения получатель должен быть уверен, что оно исходит от конкретного отправителя.
Неоспоримость — после отсылки сообщения его отправитель должен быть лишен возможности отрицать свое авторство.
Целостность– получатель сообщения должен иметь возможность проверить истинность сообщения и отсутствие в нем изменений.
Авторизация — это процесс установления набора прав, которыми обладает пользователь. Этот набор прав определяет его допустимые действия, доступ к ресурсам и службам. Уровень прав доступа (привилегий) определяется администратором системы на основе корпоративных требований безопасности.
Шифрование данных является одним из популярных программных средств защиты информации, имеющих практическое применение. Число используемых программ шифрования ограничено, и часть из них являются стандартами. Даже, если алгоритм шифрования не является секретным, выполнить дешифрование без знания специального ключа очень сложно. Ключ — это программа, реализующая специальную математическую функцию. Существуют два основных алгоритма шифрования с использованием ключей: симметричный и ассимметричный.
Симметричный алгоритм использует только один секретный ключ, который применяется как для шифрования сообщения, так и для его дешифрования
Асимметричный алгоритм шифрование использует два различных ключа. открытый — публичный и секретный — частный. Сообщение можно зашифровать любому отправителю публичным ключом, а расшифровать – только секретным (частным). Асимметричный алгоритм шифрования используется в реализации электронно-цифровой подписи, которая в электронном документе юридически равнозначна подписи в документе на бумажном носителе
5.8. Тесты
1. Поток сообщений в сети передачи данных определяется:
a. треком;
b. трассой;
c. трафиком;
d. объемом памяти канала передачи сообщений.
2. Адресом электронной почты может быть:
b. [email protected]/ivanov/mail;
c. http://gov.nicola;
d. mail.ru@egorov/mail.
3. Компьютер, подключенный к Интернету, обязательно имеет:
a. доменное имя;
b. IP-адрес;
c. Web-страницу;
d. E-mail (электронную почту).
4. Какие виды сетей известны:
a. локальные;
b. местные;
c. глобальные;
d. региональные.
5. Способы соединения сети:
a. коаксиальный кабель;
b. опто-волоконный кабель;
c. витая пара;
d. волоконно-коаксиальный кабель.
6. Способы объединения локальных вычислительных сетей:
a. маршрутизатор;
b. трансфер;
c. мост;
d. шлюз.
7. Для передачи в сети Web- страниц используется протокол:
a. WWW;
b. FTP;
c. HTTP;
d. DNS.
8. Какие из способов подключения к Интернету обеспечивает наибольшие возможности для доступа к информационным ресурсам?
a. постоянное соединение по оптоволоконному каналу;
b. удаленный доступ по коммутируемому телефонному каналу;
c. постоянное соединение по выделенному телефонному каналу;
d. терминальное соединение коммутируемому телефонному каналу.
9. Гипертекст – это…
a. очень большой текст;
b. текст, набранный на компьютере;
c. текст, в котором используется шрифт большого размера
d. структурированный текст, в котором могут осуществляться переходы по выделенным меткам.
10. Гиперссылки на Web- странице могут обеспечить переход:
a. только на web- страницы данного сервера;
b. на любую web- страницу любого сервера Internet;
c. только в пределах данной Web- страницы;
d. только на Web- страницу данного региона.
11. Браузеры являются:
a. трансляторами языка программирования;
b. средством просмотра Web-страниц;
c. серверами Internet;
d. антивирусными программами.
12. «Провайдер Интернет» — это:
a. кабельное соединение участков сети;
b. поставщик услуг Internet;
c. административный центр сети.
13.Электронная почта Internet позволяет передавать:
a. звук;
b. видеоизображение;
c. сообщения и вложенные в них файлы;
d. только файлы;
e. только сообщения.
14. Защитить информацию от несанкционированного доступа можно при помощи
a. шифрования информации;
b. конвертирования данных;
c. установки пароля;
d. архивации данных.
15. ЭВМ, выделенная для обслуживания запросов в сети, называется:
a. клиент;
b. рабочая станция;
c. сервер;
d. концентратор.
16. Кто является абонентом сети:
a. терминалы;
b. конечные пользователи;
c. отдельные ЭВМ;
d. комплексы ЭВМ.
17. Модем – это:
a. устройство, преобразующее цифровые сигналы компьютера в аналоговый телефонный сигнал и обратно;
b. почтовая программа;
c. программа, с помощью которой осуществляется диалог между несколькими компьютерами;
d. мощный компьютер, к которому подключается остальные компьютеры.
18. Какой из адресов соответствует домену второго уровня?
a. www.fizika.ru;
b. interweb.spb.ru/present;
c. www.junior.ru/nikolaeva;
d. www.junior.ru/nikolaeva/word.htm;
19. Компьютерные телекоммуникации — это…:
a. соединение нескольких компьютеров в единую сеть;
b. перенесение информации с одного компьютера на другой с помощью дискет;
c. дистанционная передача данных с одного компьютера на другой;
d. обмен информацией между пользователями о состоянии работы компьютера.
20. Домен – это:
a. единица измерения информации;
b. часть адреса, определяющая адрес компьютера пользователя в сети;
c. название программы, для осуществления связи между компьютерами;
d. название устройства, осуществляющего связь между компьютерами.
21. Модем может передать две странице текста (3600 байт) по телефонной линии со скоростью 33600бит/с, в течение:
a. 1 минута;
b. 1 час;
c. 1секунды;
d. 1 дня.
22. HTML является:
a. средством просмотра Web-страниц;
b. транслятором языка программирования;
c. сервером Интернет;
d. средством создания Web-страниц.
23. Скорость передачи данных – это:
a. количество бит информации, передаваемой через модем в единицу времени;
b. количество байт информации, переданной с одного компьютера на другой;
c. количество информации, передаваемой в одну секунду;
d. количество байт информации, передаваемой за одну минуту.
24. В качестве гипертекстовых ссылок можно использовать:
a. только слово;
b. только картинку;
c. любое слово или любую картинку;
d. слово, групп слов или картинку, при подведении мыши к которым ее курсор принимает форму человеческой руки;
Ответы на тесты главы 5
| c | a | b | a,c,d | a,b,c | a,d | a | a | d | b | b | b | c | a,c | c | a |
| a | c | b | c | d | a | c |
Глава 6. Основы информационных систем и баз данных
6.1. Понятие информационных систем и баз данных
В информатике понятие система имеет несколько значений и может содержать набор технических средств и компьютерных программ. Системой может являться как аппаратная часть компьютера, так и множество программ для решения конкретных прикладных задач. Будем рассматривать системы, которые служат для преобразования информации. Под информационной системой будем понимать программно-аппаратную систему, предназначенную для автоматизации целенаправленной деятельности конечных пользователей и содержащую ресурсы, позволяющие выполнять сбор, хранение, редактирование и санкционированный доступ к информации, организованной в виде баз данных. Базы данных являются необходимыми в различных областях деятельности и жизни человека. Например, в университетах может существовать база данных с информацией о студентах, преподавателях, читаемых ими дисциплинах, зарплатах, личных данных. Примерами информационных систем являются автоматизированные системы управления предприятиями, банковские системы, системы резервирования билетов, мест в гостиницах и т. д. Информационные системы, как правило, хранят большие объемы данных, имеющих достаточно сложную логическую структуру связанных данных и их описаний.
История развития систем управления базами данных (СУБД) насчитывает десятки лет. Первая промышленная СУБД фирмы IBM была введена в эксплуатацию в 1968 году, а в 1975 году появился первый стандарт, который определил ряд основных понятий в теории систем баз данных. В 1981 году американский математик Э. Ф. Кодд за создание реляционной алгебры и реляционной модели базы данных получил премию Тьюринга.
Развитие вычислительной техники, появление персональных компьютеров, мощных рабочих станций и компьютерных сетей обусловило развитие технологии баз данных. Компьютеры стали инструментом для ведения документации, что заставляло разработчиков программного обеспечения создавать системы, которые принято называть настольными СУБД.
С появлением локальных сетей информация передается между компьютерами, поэтому возникла задача согласования данных, хранящихся и обрабатывающихся в разных местах, но связанных логически. Решение этой задачи привело к появлению распределенных баз данных, позволяющих организовать параллельную обработку информации и сохранять целостность баз данных.
Для распределенного хранения данных и доступа к базе компьютеры объединяют в локальные, региональные и даже глобальные сети. В настоящее время широко используется технология клиент-сервер для построения сетей. Система клиент-сервер — это обычная локальная вычислительная сеть, которая содержит группу компьютеров-клиентов и один специальный компьютер – сервер. Компьютеры-клиенты обращаются к серверу за различными услугами. Компьютер-сервер может пересылать им различные программы, например, обработки текстов, работы с таблицами, выполнение запросов к базе данных и возвращать результаты. Основная идея состоит в том, что каждый компьютер выполняет то, что он делает наиболее эффективно. Сервер извлекает и обновляет данные, клиент выполняет специальные расчеты и предоставляет результаты конечному пользователю. Вначале серверы выполняли простейшие функции: серверы печати, файловые серверы, по запросу клиента на доступ к какому-нибудь файлу сервер пересылал данный файл компьютеру-клиенту. Сервер базы данных – это программа, которая запускается на компьютере-сервере и обслуживает доступ клиентов к базе данных. Таким образом, в основе системы клиент-сервер лежит принцип разделения труда. Клиент-это компьютер, с которым работает пользователь, а компьютер-сервер выполняет обслуживание группы клиентов : доступ к базе данных, обновление базы данных и т.п. Прогрессивным путем коллективного доступа к базам данных в последние 20 лет является использование всемирной сети Интернет с группой ее служб. Локальные сети, использующие базовые протоколы сети Интернет называют Интранет.
Информационные системы состоят из четырех основных компонентов: аппаратные средства, программное обеспечение, базы данных и персонал.
1.Аппаратные средства – это комплекс технических средств для сбора, регистрации, хранения, обработки, отображения и обеспечения безопасности информации. Они включают компьютеры, мощные серверные и сетевые устройства, оргтехнику, телекоммуникационные средства связи. Объем дисков для хранения баз данных должен быть очень большим и компьютеры должны иметь высокое быстродействие для эффективного обслуживания пользователей.
2. Программное обеспечение включают два вида программ: программное обеспечение общего назначения для управления базой данных и называемое СУБД и прикладное программное обеспечение, использующее средства СУБД для выполнения конкретных задач, например анализ продаж, ведение бухгалтерии и т.д. Прикладное программное обеспечение обычно создается сотрудниками фирмы для решения своих задач, оно может быть разработано на базе универсальных алгоритмических языков Кобол, Си или специальных языковых средств , входящих в состав СУБД. СУБД – это программное средство для создания и обслуживания баз данных в различных областях деятельности человека.
3.База данных – основа информационной системы, должна быть при проектировании логично и тщательно организована в единую логическую структуру данных с установленной системой отношений между данными.
4. Пользователи , Основными категориями которых являются:
- конечные пользователи -это пользователи, которые иногда или постоянно обращаются к базе данных за получением некоторой информации. От конечных пользователей не требуются какие-либо специальных знаний в области вычислительной техники и программных средств;
- администраторы базы данных, которые отвечают за оптимальную организацию и корректную работы системы в многопользовательском режиме;
- разработчики программных приложений.
Для создания сложных информационных систем в группу разработчиков входят системные аналитики, проектировщики структур данных и методов обработки данных, системные и прикладные программисты, специалисты по обслуживанию системы.
База данных (БД)– это поименованная совокупность взаимосвязанных структурированных данных, относящихся к определенной предметной области. Базы данных представляют собой совокупность сведений об объектах, событиях и т.п., Она должна быть организована компактно в виде единого целого. База данных наиболее часто представляет собой множество взаимосвязанных таблиц, каждая из которых содержит информацию об объектах определенного типа. Каждая строка таблицы включает данные об одном объекте ,например, товаре, сотруднике , а столбцы таблицы содержат различные характеристики этих объектов – атрибуты.
Необходимо различать набор данных, составляющих собственно БД, и программное обеспечение, предназначенное для разработки и ведения баз данных – систему управления базой данных (СУБД). Отличительной чертой баз данных следует считать то, что данные хранятся совместно с их описанием, а в прикладных программах описание данных не содержится.
Основными функциями СУБД являются следующие:
- определение данных — определяется информация, которая должна храниться в базе данных, задается структура данных, их тип, а также указывается то, как данные будут связаны между собой;
- обработка данных — данные можно обрабатывать различными способами: выбирать любые поля, фильтровать и сортировать данные, объединять данные и вычислять итоговые значения;
- управление данными — определяются правила доступа к данным, их изменение и добавление новых данных, задаются правила коллективного пользования данными.
Кроме того, необходимо обеспечить защиту от неразрешенного доступа, реализацию многопользовательского режима и обеспечение целостности и согласованности данных. Защита от неразрешенного доступа позволяет с помощью пароля пользователю иметь доступ, а иногда и право изменения данных. Средства, реализующие одновременную работу различных пользователей, не позволяют им одновременно изменять одни и те же данные. Средства обеспечения целостности данных не разрешают выполнять некорректные действия.
6.2. Модели баз данных
Компьютерную базу данных можно создать с использованием алгоритмических языков, что требует хороших профессиональных знаний или с помощью специальных программ, облегчающих данную задачу. Но в любом случае вначале разработчик должен определиться с моделью данных создаваемой базы данных. Модель данных объединяет набор понятий для описания данных, связей между ними и ограничений, накладываемых на данные. Модель отражает реальный мир объектов и событий, а также связей между ними и таким образом саму организацию, для которой создается база данных. Модель данных представляет сочетание следующих компонентов:
- структурная часть, то есть набор правил, по которым может быть построена база данных;
- управляющая часть, определяющая типы дополнительных операций с данными (обновление, изменение связей, удаление).
Выбор модели данных возлагается на пользователя и зависит от технического и программного обеспечения, определяется сложностью задач и объемом информации. Организация способов хранения данных в компьютерных системах задается на логическом и на физическом уровне. Физический уровень определяет способ размещения данных непосредственно на машинном носителе. Этот уровень обеспечивается автоматически прикладными программами, без вмешательства пользователя. Пользователь в прикладных программах оперирует представлениями логической организации данных. Для размещения одной и той же информации в компьютере могут быть использованы различные структуры и модели данных. Существуют три основных модели данных:
1. иерархическая;
2. сетевая;
3. реляционная.
6.2.1.Иерархическая модель данных
Первые информационные системы, появившиеся в конце 60-х годов, использовали иерархические модели данных, что означает использование отношений между данными иерархической структуры. Иерархическая модель данных – это модель, в которой связи между данными имеют вид иерархий. Множество данных распределены по уровням от главного к частному и образуют граф , на рис. 6.1 показан пример данной модели.
Рис.6.1. Иерархическая модель данных
Данную модель можно характеризовать количеством уровней, узлов и типов связей. Имеются объекты двух типов: главный и подчиненный, связи – один ко многим. У каждого потомка не более одного предка, а связи жестко заданы. Указатели ссылок устанавливаются и хранятся в базе данных. Основные типы структур данных рассматриваемой модели – поле, запись, файл. Запись является основной структурной единицей обработки данных и единицей обмена между оперативной и внешней памятью. В модели на основе записей база данных состоит из записей фиксированного формата, которые могут быть разного типа, Каждый тип записи определяет фиксированное количество полей, каждое из которых имеет фиксированную длину.
Поле – это элементарная единица логической организации данных, которая соответствует отдельной, неделимой единице информации – реквизиту.
Запись – это совокупность полей, соответствующих логически связанным реквизитам. Структура записи определяется составом и последовательностью входящих в нее полей, каждое из которых содержит элементарное данное.
Файл – это множество одинаковых по структуре записей со значениями в отдельных полях, причем поля имеют единственное значение.
В настоящее время файловые системы устарели.
6.2.2. Сетевая модель
Под сетевой моделью понимается модель данных, похожая на иерархическую, но допускающая свободную систему связей между элементами различных уровней. Она является расширением иерархической модели данных. Таким образом, сетевые модели допускают наличие двух и более «предков» (рис.6.2).
Рис. 6.2. Сетевая модель данных
В отличие от иерархической модели, у потомка сетевой модели может быть более одного предка и один объект может быть одновременно главным и подчиненным. Таким образом, в данной модели отношения между данными такие, что каждая запись может быть подчинена записям более, чем из одного файла. В сетевых моделях можно по ключу иметь непосредственный доступ к любому объекту независимо от уровня, на котором он находится в модели.
