Professional Documents
Culture Documents
Лекції ОБТТ
Лекції ОБТТ
Рис.1. Телекомунікаційна мережа
Ланка (link) - це сегмент, що забезпечує передачу даних між двома сусідніми вузлами
мережі. Тобто ланка не містить проміжних пристроїв комутації і мультиплексування.
У найзагальнішому вигляді задача комутації - завдання з'єднання кінцевих вузлів через мережу
транзитних вузлів - може бути представлена у вигляді декількох взаємопов'язаних окремих
завдань:
Стандартизація взаємозв’язку систем охоплює три рівні опису засобів інформаційного обміну. На
першому рівні специфікується еталонна модель взаємодії відкритих систем, у рамках якої
визначаються основні поняття і загальна структура взаємозв’язку, описуються принципи
побудови системи базових стандартів, тобто визначаються мова опису і методологічні основи
побудови й опису стандартів ЕМВВС.
Третій рівень опису є найбільш детальним. На цьому рівні здійснюється специфікація протоколів
інформаційного обміну між функціональними елементами еталонної моделі, що визначають
правила й формати взаємодії елементів.
Для створення моделі взаємодії відкритих систем у 1977 році Міжнародною організацією зі
стандартизації був створений підкомітет щодо розробки стандартів в галузі інформаційних
систем, до завдань якого входило розв’язання питань:
У результаті проведеної роботи був розроблений ряд специфікацій, які визначають правила
взаємодії різних технічних пристроїв, на основі яких у ході спільної діяльності ряду міжнародних
організацій зі стандартизації — ISO, ITU-T і деяких інших у 1984 р. було створено модель, відому
як еталонна модель взаємодії відкритих систем — ЕМВВС (Open System Interconnection, OSI).
У моделі OSI (рис. 1) засоби взаємодії поділять на сім рівнів: прикладний, представницький,
сеансовий, транспортний, мережний, канальний і фізичний. Кожний рівень має справу з певним
аспектом взаємодії мережних пристроїв.
У моделі OSI розрізняють два види протоколів: протоколи із встановленням з’єднання і протоколи
без попереднього встановлення з’єднання. У першому випадку перед обміном даними відправник
і отримувач спочатку мають встановити з’єднання й вибрати певні параметри протоколу, які
використовуватимуться при обміні даними. Після завершення обміну даними відправник і
отримувач мають розірвати з’єднання. У другому випадку відправник передає повідомлення без
попередніх дій.
Слід також мати на увазі, що аплікація може взяти на себе функції деяких верхніх рівнів моделі
OSI. Наприклад, окремі системи управління базами даних мають вбудовані засоби
віддаленого доступу до файлів. У цьому разі аплікація, виконуючи доступ до віддалених ресурсів,
не використовує системну файлову службу; вона обходить верхні рівні моделі OSI і звертається
безпосередньо до системних засобів, відповідальних за транспортування повідомлень по мережі,
які розташовуються на нижніх рівнях моделі OSI.
Логіка роботи ЕМВВС полягає в такому (рис. 2). Нехай аплікація звертається із запитом до
прикладного рівня, наприклад до файлової служби. На підставі цього запиту програмне
забезпечення прикладного рівня формує повідомлення стандартного формату. Звичайне
повідомлення складається із заголовка і поля даних. Заголовок містить службову інформацію, яку
необхідно передати через мережу прикладному рівню машини-адресата, щоб повідомити йому,
яку роботу слід виконати. У цьому разі заголовок, очевидно, має містити інформацію про
місцезнаходження файлу і про тип операції, яку необхідно виконати. Проте для того щоб
доставити цю інформацію за призначенням, слід розв’язати ще багато задач, відповідальність за
які несуть уже нижчі рівні.
- Рівень мережевого інтерфейсу.
- Рівень Internet.
- Транспортний рівень.
Співвідношення рівнів сімейства TCP / IP і рівнів моделі OSI / ISO наведено на рис.1.
Рис.1. Співвідношення моделей OSI/ISO і TCP/IP
Загальні положення
Усвідомлення необхідності розробки стратегічних підходів до захисту інформації витікає з
усвідомлення важливості і складності захисту та неможливості ефективного його здійснення
простим використанням деякого набору засобів захисту.
Стратегія включає:
· прийоми або заходи короткочасної дії, що мають обмежені цілі та маневр із метою досягнення
переваги;
Стосовно інформаційної системи вся безліч загроз можна розбити на дві групи: зовнішні та
внутрішні, кожна з яких, у свою чергу, ділитися на навмисні та випадкові загрози, які можуть бути
явними або прихованими.
Таким чином, можна вважати, що загрози інформації можуть виникати унаслідок здійснення цих
чинників і фактично є їх результатом.
Архітектурна безпека в корпоративних мережах
Інформаційна система типової сучасної організації є дуже складним утворенням, побудованим у
багаторівневій архітектурі клієнт/сервер, яка користується численними зовнішніми сервісами і, у
свою чергу, надає власні сервіси зовні. З точки зору безпеки істотними видаються наступні
аспекти ІС:
- на кожній з рознесених частин ІС можуть знаходитися критично важливі сервери, в доступі до
яких мають потребу співробітники, які працюють на віддалених робочих місцях,
мобільні користувачі і, можливо, співробітники інших організацій;
Архітектурна безпека
Сервіси безпеки, якими б потужними вони не були, самі по собі не можуть гарантувати надійність
програмно-технічного рівня захисту. Тільки перевірена архітектура здатна зробити ефективним
об'єднання сервісів, забезпечити керованість інформаційної системи, її здатність розвиватися і
протистояти новим загрозам при збереженні таких властивостей, як висока продуктивність,
простота і зручність використання.
Якщо який-небудь (складений) сервіс не має повного набору захисних засобів, потрібне
залучення додаткових сервісів, які називаються такими, що екранують. Екрануючі сервіси
встановлюються на шляхах доступу до недостатньо захищених елементів; в принципі, один такий
сервіс може екранувати (захищати) скільки завгодно велике число елементів.
- посилення найслабкішої ланки;
- мінімізація привілеїв;
- розділення обов'язків;
- ешелонованість оборони;
- приховують уразливі системи, які не можна убезпечити від атак з Інтернету іншим способом;
- приховують інформацію, таку як імена систем, топологія мережі, типи мережевих пристроїв і
внутрішні ідентифікатори користувачів, від Інтернету;
У цих правилах, окрім інформації, що міститься у фільтрованих потоках, можуть фігурувати дані,
отримані з оточення, наприклад, поточний час, кількість активних з'єднань, порт, через який
поступив мережевий запит, і так далі. Таким чином, в мережевих екранах використовується дуже
потужний логічний підхід до розмежування доступу. Чим вище рівень в моделі ISO/OSI, на якому
функціонує МЕ, тим більше змістовна інформація йому доступна і, отже, тим тонше і надійніше
він може бути конфігурований.
Комплексність МЕ може досягатися різними способами: "від низу до верху", від мережевого рівня
через накопичення контексту до прикладного рівня, або зверху "вниз", за допомогою доповнення
прикладного МЕ механізмами транспортного і мережевого рівнів.
• апаратно програмний;
• програмний.
За схемою підключення: