Сети эвм и телекоммуникации. Принципы построения сетей эвм Сети эвм основные понятия классификация

Самый нижний (уровень IV ) – уровень межсетевых интерфейсов – соответствует физическому и канальному уровням модели OSI. Этот уровень в протоколах TCP/IP не регламентируется, но поддерживает все популярные стандарты физического и канального уровня: для локальных каналов это Ethernet , Token Ring , FDDI, для глобальных каналов – собственные протоколы работы на аналоговых коммутируемых и выделенных линиях SLIP/PPP, которые устанавливают соединения типа "точка - точка" через последовательные каналы глобальных сетей, и протоколы территориальных сетей X.25 и ISDN. Разработана также специальная спецификация, определяющая использование технологии ATM в качестве транспорта канального уровня.

Следующий уровень (уровень III ) – это уровень межсетевого взаимодействия, который занимается передачей дейтаграмм с использованием различных локальных сетей, территориальных сетей X.25, линий специальной связи и т. п. В качестве основного протокола сетевого уровня (в терминах модели OSI) в стеке используется протокол IP , который изначально проектировался как протокол передачи пакетов в составных сетях, состоящих из большого количества локальных сетей, объединенных как локальными, так и глобальными связями. Поэтому протокол IP хорошо работает в сетях со сложной топологией, рационально используя наличие в них подсистем и экономно расходуя пропускную способность низкоскоростных линий связи. Протокол IP является дейтаграммным протоколом.

К уровню межсетевого взаимодействия относятся и все протоколы, связанные с составлением и модификацией таблиц маршрутизации, такие как протоколы сбора маршрутной информации RIP (Routing Internet Protocol ) и OSPF (Open Shortest Path First ), а также протокол межсетевых управляющих сообщений ICMP (Internet Control Message Protocol ). Последний протокол предназначен для обмена информацией об ошибках между маршрутизатором и шлюзом, системой-источником и системой-приемником, то есть для организации обратной связи. С помощью специальных пакетов ICMP сообщается о невозможности доставки пакета, о превышении времени жизни или продолжительности сборки пакета из фрагментов, об аномальных величинах параметров, об изменении маршрута пересылки и типа обслуживания, о состоянии системы и т.п.

Следующий уровень (уровень II ) называется основным. На этом уровне функционируют протокол управления передачей TCP (Transmission Control Protocol ) и протокол дейтаграмм пользователя UDP (User Datagram Protocol ). Протокол TCP обеспечивает устойчивое виртуальное соединение между удаленными прикладными процессами. Протокол UDP обеспечивает передачу прикладных пакетов дейтаграммным методом, то есть без установления виртуального соединения, и поэтому требует меньших накладных расходов, чем TCP.

Верхний уровень (уровень I ) называется прикладным. За долгие годы использования в сетях различных стран и организаций стек TCP/IP накопил большое количество протоколов и сервисов прикладного уровня. К ним относятся такие широко используемые протоколы, как протокол копирования файлов FTP, протокол эмуляции терминала telnet , почтовый протокол SMTP, используемый в электронной почте сети Internet и ее российской ветви РЕЛКОМ, гипертекстовые сервисы доступа к удаленной информации, такие как WWW и многие другие. Остановимся несколько подробнее на некоторых из них, наиболее тесно связанных с тематикой данного курса.

Протокол SNMP (Simple Network Management Protocol ) используется для организации сетевого управления. Проблема управления разделяется здесь на две задачи. Первая задача связана с передачей информации. Протоколы передачи управляющей информации определяют процедуру взаимодействия сервера с программой-клиентом, работающей на хосте администратора. Они определяют форматы сообщений, которыми обмениваются клиенты и серверы, а также форматы имен и адресов. Вторая задача связана с контролируемыми данными. Стандарты регламентируют, какие данные должны сохраняться и накапливаться в шлюзах, имена этих данных и синтаксис этих имен. В стандарте SNMP определена спецификация информационной базы данных управления сетью. Эта спецификация, известная как база данных MIB (Management Information Base ), определяет те элементы данных, которые хост или шлюз должен сохранять, и допустимые операции над ними.

Протокол пересылки файлов FTP (File Transfer Protocol ) реализует удаленный доступ к файлу. Для того, чтобы обеспечить надежную передачу, FTP использует в качестве транспорта протокол с установлением соединений – TCP. Кроме пересылки файлов протокол, FTP предлагает и другие услуги. Так пользователю предоставляется возможность интерактивной работы с удаленной машиной, например, он может распечатать содержимое ее каталогов, FTP позволяет пользователю указывать тип и формат запоминаемых данных. Наконец, FTP выполняет аутентификацию пользователей. Прежде, чем получить доступ к файлу, в соответствии с протоколом пользователи должны сообщить свое имя и пароль.

В стеке TCP/IP протокол FTP предлагает наиболее широкий набор услуг для работы с файлами, однако он является и самым сложным для программирования. Приложения, которым не требуются все возможности FTP, могут использовать другой, более экономичный протокол – простейший протокол пересылки файлов TFTP (Trivial File Transfer Protocol ). Этот протокол реализует только передачу файлов, причем в качестве транспорта используется более простой, чем TCP, протокол без установления соединения – UDP.

Протокол telnet обеспечивает передачу потока байтов между процессами, а также между процессом и терминалом. Наиболее часто этот протокол используется для эмуляции терминала удаленной ЭВМ.

Классификация компьютерных сетей осуществляется по наиболее характерным признакам – структурным, функциональным, информационным.

По степени территориальной рассредоточенности основных элементов сети (абонентских систем, узлов связи) различают глобальные, региональные и локальные компьютерные сети.

Глобальные компьютерные сети (ГКС) объединяют абонентские системы, рассредоточенные на большой территории, охватывающей различные страны и континенты. Они решают проблему объединения информационных ресурсов всего человечества и организации доступа к ним.

Региональные компьютерные сети (РКС) объединяют абонентские системы, расположенные в пределах отдельного региона – города, административного района; функционируют в интересах организаций и пользователей региона и, как правило, имеют выход в ГКС. Взаимодействие абонентских систем осуществляется также с помощью ТСС.

Локальные компьютерные сети (ЛКС) объединяют абонентские системы, расположенные в пределах небольшой территории (этаж здания, здание, несколько зданий одного и того же предприятия). К классу ЛКС относятся сети предприятий, фирм, банков, офисов, учебных заведений и т.д. Принципиальным отличием ЛКС от других классов сетей является наличие своей штатной системы передачи данных.

Отдельный класс представляют корпоративные компьютерные сети (ККС), которые являются технической базой компаний, корпораций, организаций и т.д. Такая сеть играет ведущую роль в реализации задач планирования, организации и осуществления производственно-хозяйственной деятельности корпорации. Объединение ЛКС, РКС, ККС, ГКС позволяет создавать сложные многосетевые иерархии.

По способу управления различают сети с централизованным управлением, когда в сети имеется один или несколько управляющих органов, децентрализованным (каждая АС имеет средства для управления сетью) и смешанным управлением, в которых в определенном сочетании реализованы принципы централизованного и децентрализованного управления (например, под централизованным управлением решаются только задачи с высшим приоритетом, связанные с обработкой больших объемов информации).

По организации передачи информации различают сети с селекцией информации и маршрутизацией информации.

Первые строятся на основе моноканала, взаимодействие АС осуществляется выбором (селекцией) адресованных им блоков данных (кадров): всем АС сети доступны все передаваемые в сети кадры, но копию кадра снимают только АС, которым они предназначены. Вторые используют механизм маршрутизации для передачи кадров (пакетов) от отправителя к получателю по одному из альтернативных маршрутов. По типу организации передачи данных сети с маршрутизацией информации делятся на сети с коммутацией каналов, коммутацией сообщений и коммутацией пакетов. В эксплуатации находятся сети, в которых используются смешанные системы передачи данных.

Важным признаком классификации сетей ЭВМ является их топология. Под топологией (компоновкой, конфигурацией, структурой) компьютерной сети обычно понимается физическое расположение компьютеров сети друг относительно друга и способ соединения их линиями связи. Важно отметить, что понятие топологии относится, прежде всего, к локальным сетям, в которых структуру связей можно легко проследить. В глобальных сетях структура связей обычно скрыта от пользователей и не слишком важна, так как каждый сеанс связи может производиться по собственному пути.

По топологии , т.е. по конфигурации элементов в сети, различают широковещательные сети и последовательные. Широковещательные сети и значительная часть последовательных конфигураций (кольцо, звезда с «интеллектуальным центром») характерны для ЛКС. Для глобальных и региональных сетей наиболее распространенной является произвольная (ячеистая) топология.

В сетях с широковещательной конфигурацией характерен широковещательный режим работы, когда на передачу может работать только одна рабочая станция, а все остальные станции сети – на прием. Это локальные сети с селекцией информации: общая шина, «дерево», «звезда» с пассивным центром.

Для построения сетей ЭВМ используются следующие топологические структуры:

Кольцевая;

Радиальная (звездообразная);

Полносвязная;

Древовидная (иерархическая);

Смешанная.

Топология шина (или, как ее еще называют, общая шина) самой своей структурой предполагает идентичность сетевого оборудования компьютеров, а также равноправие всех абонентов по доступу к сети (рис. 1). Компьютеры в шине могут передавать информацию только по очереди, так как линия связи в данном случае единственная. Если несколько компьютеров будут передавать информацию одновременно, она исказится в результате наложения (конфликта, коллизии). В шине всегда реализуется режим так называемого полудуплексного (half duplex) обмена (в обоих направлениях, но по очереди, а не одновременно).

Рис. 1. Сетевая топология шина

В топологии шина отсутствует явно выраженный центральный абонент, через который передается вся информация, это увеличивает ее надежность (ведь при отказе центра перестает функционировать вся управляемая им система). Добавление новых абонентов в шину довольно просто и обычно возможно даже во время работы сети. В большинстве случаев при использовании шины требуется минимальное количество соединительного кабеля по сравнению с другими топологиями.

Поскольку центральный абонент отсутствует, разрешение возможных конфликтов в данном случае ложится на сетевое оборудование каждого отдельного абонента. В связи с этим сетевая аппаратура при топологии шина сложнее, чем при других топологиях. Тем не менее, из-за широкого распространения сетей с топологией шина (прежде всего наиболее популярной сети Ethernet) стоимость сетевого оборудования не слишком высока.

Важное преимущество шины состоит в том, что при отказе любого из компьютеров сети, исправные машины смогут нормально продолжать обмен.

В случае разрыва или повреждения кабеля нарушается согласование линии связи, которое обеспечивают специальные согласующие устройства – терминаторы, и прекращается обмен даже между теми компьютерами, которые остались соединенными между собой. Короткое замыкание в любой точке кабеля шины выводит из строя всю сеть.

Отказ сетевого оборудования любого абонента в шине может вывести из строя всю сеть. К тому же такой отказ довольно трудно локализовать, поскольку все абоненты включены параллельно, и понять, какой из них вышел из строя, невозможно.

При прохождении по линии связи сети с топологией шина информационные сигналы ослабляются и никак не восстанавливаются, что накладывает жесткие ограничения на суммарную длину линий связи. Причем каждый абонент может получать из сети сигналы разного уровня в зависимости от расстояния до передающего абонента. Это предъявляет дополнительные требования к приемным узлам сетевого оборудования.

Для увеличения длины сети с топологией шина часто используют несколько сегментов (частей сети, каждый из которых представляет собой шину), соединенных между собой с помощью специальных усилителей и восстановителей сигналов – репитеров или повторителей. Однако такое наращивание длины сети не может продолжаться бесконечно. Ограничения на длину связаны с конечной скоростью распространения сигналов по линиям связи.

Топология звезда – это единственная топология сети с явно выделенным центром, к которому подключаются все остальные абоненты . Обмен информацией идет исключительно через центральный компьютер (рис. 2), на который ложится большая нагрузка, поэтому ничем другим, кроме сети, он, как правило, заниматься не может. Понятно, что сетевое оборудование центрального абонента должно быть существенно более сложным, чем оборудование периферийных абонентов . О равноправии всех абонентов (как в шине) в данном случае говорить не приходится. Обычно центральный компьютер самый мощный, именно на него возлагаются все функции по управлению обменом. Никакие конфликты в сети с топологией звезда в принципе невозможны, так как управление полностью централизовано.

Если говорить об устойчивости звезды к отказам компьютеров, то выход из строя периферийного компьютера или его сетевого оборудования никак не отражается на функционировании оставшейся части сети, зато любой отказ центрального компьютера делает сеть полностью неработоспособной. В связи с этим должны приниматься специальные меры по повышению надежности центрального компьютера и его сетевой аппаратуры.

Обрыв кабеля или короткое замыкание в нем при топологии звезда нарушает обмен только с одним компьютером, а все остальные компьютеры могут нормально продолжать работу. В отличие от шины, в звезде на каждой линии связи находятся только два абонента : центральный и один из периферийных. Чаще всего для их соединения используется две линии связи , каждая из которых передает информацию в одном направлении, то есть на каждой линии связи имеется только один приемник и один передатчик. Это так называемая передача точка - точка . Все это существенно упрощает сетевое оборудование по сравнению с шиной и избавляет от необходимости применения дополнительных, внешних терминаторов.

Проблема затухания сигналов в линии связи также решается в звезде проще, чем в случае шины, ведь каждый приемник всегда получает сигнал одного уровня. Предельная длина сети с топологией звезда может быть вдвое больше, чем в шине.

Серьезный недостаток топологии звезда состоит в жестком ограничении количества абонентов . Обычно центральный абонент может обслуживать не более 8-16 периферийных абонентов . В этих пределах подключение новых абонентов довольно просто, но за ними оно просто невозможно. В звезде допустимо подключение вместо периферийного еще одного центрального абонента (в результате получается топология из нескольких соединенных между собой звезд).

Звезда, показанная на рис. 2, носит название активной или истинной звезды. Существует также топология , называемая пассивной звездой, которая только внешне похожа на звезду (рис. 3). В настоящее время она распространена гораздо более широко, чем активная звезда. Достаточно сказать, что она используется в наиболее популярной сегодня сети Ethernet.

В центре сети с данной топологией помещается не компьютер, а специальное устройство – концентратор или, как его еще называют, «хаб» (hub), которое выполняет ту же функцию, что и повторитель, то есть восстанавливает приходящие сигналы и пересылает их во все другие линии связи .

Получается, что хотя схема прокладки кабелей подобна истинной или активной звезде, фактически речь идет о шинной топологии , так как информация от каждого компьютера одновременно передается ко всем остальным компьютерам, а никакого центрального абонента не существует. Безусловно, пассивная звезда дороже обычной шины, так как в этом случае требуется еще и концентратор. Однако она предоставляет целый ряд дополнительных возможностей, связанных с преимуществами звезды, в частности, упрощает обслуживание и ремонт сети. Именно поэтому в последнее время пассивная звезда все больше вытесняет истинную звезду, которая считается малоперспективной топологией .

Большое достоинство звезды (как активной, так и пассивной) состоит в том, что все точки подключения собраны в одном месте. Это позволяет легко контролировать работу сети, локализовать неисправности путем простого отключения от центра тех или иных абонентов (что невозможно, например, в случае шинной топологии ), а также ограничивать доступ посторонних лиц к жизненно важным для сети точкам подключения. К периферийному абоненту в случае звезды может подходить как один кабель (по которому идет передача в обоих направлениях), так и два (каждый кабель передает в одном из двух встречных направлений), причем последнее встречается гораздо чаще.

Общим недостатком для всех топологий типа звезда (как активной, так и пассивной) является значительно больший, чем при других топологиях , расход кабеля. Это существенно влияет на стоимость сети в целом и заметно усложняет прокладку кабеля.

К недостаткам сетей с радиальной топологией можно отнести: нарушение связи при выходе из строя центрального узла коммутации, отсутствие свободы выбора различных маршрутов для установления связи между АС, увеличение задержек в обслуживании запросов при перегрузке центра обработки, значительное возрастание общей протяженности линий связи при размещении АС на большой территории.

Топология кольцо – это топология , в которой каждый компьютер соединен линиями связи с двумя другими: от одного он получает информацию, а другому передает (рис. 4). На каждой линии связи , как и в случае звезды, работает только один передатчик и один приемник (связь типа точка-точка). Это позволяет отказаться от применения внешних терминаторов. Важная особенность кольца состоит в том, что каждый компьютер ретранслирует (восстанавливает, усиливает) приходящий к нему сигнал, то есть выступает в роли повторителя. Затухание сигнала во всем кольце не имеет никакого значения, важно только затухание между соседними компьютерами кольца. Если предельная длина кабеля, ограниченная затуханием, составляет L пр, то суммарная длина кольца может достигать NL пр, где N – количество компьютеров в кольце. Полный размер сети в пределе будет NL пр /2, так как кольцо придется сложить вдвое. На практике размеры кольцевых сетей достигают десятков километров (например, в сети FDDI). Кольцо в этом отношении существенно превосходит любые другие топологии . Четко выделенного центра при кольцевой топологии нет, все компьютеры могут быть одинаковыми и равноправными. Однако довольно часто в кольце выделяется специальный абонент , который управляет обменом или контролирует его. Понятно, что наличие такого единственного управляющего абонента снижает надежность сети, так как выход его из строя сразу же парализует весь обмен .

Строго говоря, компьютеры в кольце не являются полностью равноправными (в отличие, например, от шинной топологии ). Ведь один из них обязательно получает информацию от компьютера, ведущего передачу в данный момент, раньше, а другие – позже. Именно на этой особенности топологии и строятся методы управления обменом по сети, специально рассчитанные на кольцо. В таких методах право на следующую передачу (или, как еще говорят, на захват сети) переходит последовательно к следующему по кругу компьютеру. Подключение новых абонентов в кольцо выполняется достаточно просто, хотя и требует обязательной остановки работы всей сети на время подключения. Как и в случае шины, максимальное количество абонентов в кольце может быть довольно велико (до тысячи и больше). Кольцевая топология обычно обладает высокой устойчивостью к перегрузкам, обеспечивает уверенную работу с большими потоками передаваемой по сети информации, так как в ней, как правило, нет конфликтов (в отличие от шины), а также отсутствует центральный абонент (в отличие от звезды), который может быть перегружен большими потоками информации.

Сигнал в кольце проходит последовательно через все компьютеры сети, поэтому выход из строя хотя бы одного из них (или же его сетевого оборудования) нарушает работу сети в целом. Это существенный недостаток кольца.

Точно так же обрыв или короткое замыкание в любом из кабелей кольца делает работу всей сети невозможной. Из трех рассмотренных топологий кольцо наиболее уязвимо к повреждениям кабеля, поэтому в случае топологии кольца обычно предусматривают прокладку двух (или более) параллельных линий связи , одна из которых находится в резерве. Иногда сеть с топологией кольцо выполняется на основе двух параллельных кольцевых линий связи , передающих информацию в противоположных направлениях. Цель подобного решения – увеличение (в идеале – вдвое) скорости передачи информации по сети. К тому же при повреждении одного из кабелей сеть может работать с другим кабелем (правда, предельная скорость уменьшится).

Кроме трех рассмотренных базовых топологий нередко применяется также сетевая топология дерево (tree), которую можно рассматривать как комбинацию нескольких звезд (рис.5). При активном дереве в центрах объединения нескольких линий связи находятся центральные компьютеры, а при пассивном – концентраторы (хабы).

Информационная безопасность в сетях ЭВМ

Защита данных в компьютерных сетях становится одной из самых открытых проблем в

современных информационно-вычислительных системах. Насегодняшний день

сформулировано три базовых принципа информационной безопасности, задачей которой

является обеспечение:

Целостности данных - защита от сбоев, ведущих к потере информации или ее

уничтожения;

Конфиденциальности информации;

Рассматривая проблемы, связанные с защитой данных в сети, возникает вопрос о

классификации сбоев и несанкционированности доступа,что ведет к потере или

нежелательному изменению данных. Это могут быть сбои оборудования (кабельной

системы, дисковых систем, серверов, рабочих станций ит.д.), потери информации

(из-за инфицирования компьютерными вирусами, неправильного хранения архивных

данных, нарушений прав доступа к данным),некорректная работа пользователей и

обслуживающего персонала. Перечисленные нарушения работы в сети вызвали

необходимость создания различных видов защитыинформации. Условно их можно

разделить на три класса:

Средства физической защиты;

Программные средства (антивирусные программы, системы разграничения

полномочий, программные средства контроля доступа);

Административные меры защиты (доступ в помещения, разработка стратегий

безопасности фирмы и т.д.).

Одним из средств физической защиты являются системы архивирования и дублирования

информации. В локальных сетях, где установлены один-двасервера, чаще всего

система устанавливается непосредственно в свободные слоты серверов. В крупных

корпоративных сетях предпочтение отдается выделенномуспециализированному

архивационному серверу, который автоматически архивирует информацию с жестких

дисков серверов и рабочих станций в определенное время,установленное

администратором сети, выдавая отчет о проведенном резервном копировании.

Наиболее распространенными моделями архивированных серверовявляются Storage

Express System корпорации Intel ARCserve for Windows.

Для борьбы с компьютерными вирусами наиболее часто применяются антивирусные

программы, реже - аппаратные средства защиты. Однако,в последнее время

наблюдается тенденция к сочетанию программных и аппаратных методов защиты. Среди

аппаратных устройств используются специальныеантивирусные платы, вставленные в

стандартные слоты расширения компьютера. Корпорация Intel предложила

перспективную технологию защиты от вирусов в сетях,суть которой заключается в

сканировании систем компьютеров еще до их загрузки. Кроме антивирусных программ,

проблема защиты информации вкомпьютерных сетях решается введением контроля

доступа и разграничением полномочийпользователя. Для этого используются

встроенные средства сетевых операционных систем, крупнейшим производителем

которых является корпорацияNovell. В системе, например, NetWare, кроме

стандартных средств ограничения доступа (смена паролей, разграничение

полномочий), предусмотрена возможностькодирования данных по принципу "открытого

ключа" с формированием электронной подписи для передаваемых по сети пакетов.

Однако, такая система защиты слабомощна, т.к. уровень доступа и возможность

входа в систему определяются паролем, который легкоподсмотреть или подобрать.

комбинированный подход - пароль +идентификация пользователя по персональному

"ключу". "Ключ" представляет собой пластиковую карту (магнитная или совстроенной

микросхемой - смарт-карта) или различные устройства для идентификации личности

по биометрической информации - по радужной оболочкеглаза, отпечаткам пальцев,

размерам кисти руки и т.д. Серверы и сетевые рабочие станции, оснащенные

устройствамичтения смарт-карт и специальным программнымобеспечением, значительно

повышают степень защиты от несанкционированного доступа.

Смарт-карты управления доступом позволяют реализовать такие функции, как

контроль входа, доступ к устройствам ПК, к программам,файлам и командам. Одним

из удачных примеров создания комплексного решения для контроля доступа в

открытых системах, основанного как на программных, так и нааппаратных средствах

защиты, стала система Kerberos, в основу которой входят три компонента:

База данных, которая содержит информацию по всем сетевым ресурсам,

пользователям, паролям, информационным ключам и т.д.;

обработка запросов пользователей на предоставлениетого или иного вида сетевых

услуг. Получая запрос, он обращается к базе данных и определяет полномочия

пользователя на совершение определенной операции.Пароли пользователей по сети не

передаются, тем самым, повышая степень защиты информации;

Ticket-granting server (сервер выдачи разрешений) получает от авторизационного

сервера "пропуск" с именемпользователя и его сетевым адресом, временем запроса,

а также уникальный "ключ". Пакет, содержащий "пропуск", передается также

взашифрованном виде. Сервер выдачи разрешений после получения и расшифровки

"пропуска" проверяет запрос, сравнивает "ключи" и притождественности дает

"добро" на использование сетевой аппаратуры или программ.

По мере расширения деятельности предприятий, роста численности абонентов и

появления новых филиалов, возникает необходимостьорганизации доступа удаленных

пользователей (групп пользователей) к вычислительным или информационным ресурсам

к центрам компаний. Для организацииудаленного доступа чаще всего используются

кабельные линии и радиоканалы. В связи с этим защита информации, передаваемой по

каналам удаленного доступа,требует особого подхода. В мостах и маршрутизаторах

удаленного доступа применяется сегментация пакетов - их разделение и передача

параллельно по двумлиниям, - что делает невозможным "перехват" данных при

незаконном подключении "хакера" к одной из линий. Используемая при

передачеданных процедура сжатия передаваемых пакетов гарантирует невозможность

расшифровки "перехваченных" данных. Мосты и маршрутизаторы удаленногодоступа

могут быть запрограммированы таким образом, что удаленным пользователям не все

ресурсы центра компании могут быть доступны.

В настоящее время разработаны специальные устройства контроля доступа к

вычислительным сетям по коммутируемым линиям. Примером можетслужить,

разработанный фирмой AT&T модуль Remote Port Securiti Device (PRSD), состоящий

из двух блоков размером с обычный модем: RPSD Lock (замок),устанавливаемый в

центральном офисе, и RPSD Key (ключ), подключаемый к модему удаленного

пользователя. RPSD Key и Lock позволяют устанавливать несколькоуровней защиты и

контроля доступа:

Шифрование данных, передаваемых по линии при помощи генерируемых цифровых

Контроль доступа с учетом дня недели или времени суток.

Прямое отношение к теме безопасности имеет стратегия создания резервных копий и

восстановления баз данных. Обычно эти операциивыполняются в нерабочее время в

пакетном режиме. В большинстве СУБД резервное копирование и восстановление

данных разрешаются только пользователям с широкимиполномочиями (права доступа на

уровне системного администратора, либо владельца БД), указывать столь

ответственные пароли непосредственно в файлах пакетнойобработки нежелательно.

прикладную программу, которая сама бы вызывала

утилитыкопирования/восстановления. В таком случае системный пароль должен быть

"зашит" в код указанного приложения. Недостатком данного методаявляется то, что

всякий раз присмене пароля эту программу следует перекомпилировать.

Применительно к средствам защиты от НСД определены семь классов защищенности

(1-7) средств вычислительной техники (СВТ) и девятьклассов

(1А,1Б,1В,1Г,1Д,2А,2Б,3А,3Б) автоматизированных систем (АС). Для СВТ самым

низким является седьмой класс, а для АС - 3Б.

Рассмотрим более подробно приведенные сертифицированные системы защиты от НСД.

Система "КОБРА" соответствует требованиям 4-ого класса защищенности (для СВТ),

реализует идентификацию и разграничениеполномочий пользователей и

криптографическое закрытие информации, фиксирует искажения эталонного состояния

рабочей среды ПК (вызванные вирусами, ошибкамипользователей, техническими сбоями

и т.д.) и автоматически восстанавливает основные компоненты операционной среды

терминала.

Подсистема разграничения полномочий защищает информацию на уровне логических

дисков. Пользователь получает доступ копределенным дискам А,В,С,...,Z. Все

абоненты разделены на 4 категории:

Суперпользователь (доступны все действия в системе);

Администратор (доступны все действия в системе, за исключением изменения

имени, статуса иполномочий суперпользователя, ввода или исключения его из списка

пользователей);

Программисты (может изменять личный пароль);

Коллега (имеет право на доступ к ресурсам, установленным ему

суперпользователем).

Помимо санкционирования и разграничения доступа к логическим дискам,

администратор устанавливает каждому пользователю полномочиядоступа к

последовательному и параллельному портам. Если последовательный порт закрыт, то

невозможна передача информации с одного компьютера на другой. Приотсутствии

доступа к параллельному порту, невозможен вывод на принтер.

Классифицировать сети можно по различным признакам – однородности компонентов, иерархичности, территориального размещения, принадлежности, среде передачи.

Однородность компонентов. Сеть может состоять как из однотипных устройств (гомогенные), так и из устройств различного типа (гетерогенные). Гомогенные сети были распространены в 70-80 годы, когда была характерна поставка "под ключ" единого комплекта сети от одного производителя. В настоящее время практически не встречаются.

Иерархичность . Одноранговые сети, все компьютеры в которых имеют одинаковые права, и иерархические (сети с выделенными серверами и управляющими устройствами). Применяются сети обоих типов, например, сеть небольшого офиса часто состоит из равноправных компьютеров без выделенного сервера, сетью здания удобнее управлять из единого центра, сеть Интернет – формально одноранговая.

Территориальное размещение. Чёткого критерия нет, особенно в настоящее время, когда сети всех типов строятся на общих принципах семейства протоколов TCP/IP, но принято различать локальные (комната, здание, типичное расстояние между компьютерами – от единиц до сотен метров), территориальные (крупное предприятие, небольшой город, типичные расстояния – единицы километров) и глобальные сети (сотни и тысячи километров). Также иногда выделяют городские сети (десятки километров) и личные сети (десятки метров).

Принадлежность. Частные, корпоративные, государственные и публичные сети. Классификация ясна из названия.

Среда передачи . Сети с общей средой передачи, когда все участники сети общаются через единое физическое пространство, или сети с коммутируемой средой передачи, когда в сети поддерживается множество отдельных каналов связи. Также по среде передачи можно различать проводные (электрические, оптические) и беспроводные (радио) сети.

1. Эталонная модель взаимодействия открытых систем osi. Основные функции уровневых подсистем.

Организация взаимодействия между устройствами в сети является сложной задачей. Как известно, для решения сложных задач используется универсальный прием - декомпозиция, то есть разбиение одной сложной задачи на несколько более простых задач-модулей. В результате достигается логическое упрощение задачи, а кроме того, появляется возможность модификации отдельных модулей без изменения остальной части системы.

Все множество модулей разбивают на уровни. Уровни образуют иерархию, то есть имеются вышележащие и нижележащие уровни. Множество модулей, составляющих каждый уровень, сформировано таким образом, что для выполнения своих задач они обращаются с запросами только к модулям непосредственно примыкающего нижележащего уровня. С другой стороны, результаты работы всех модулей, принадлежащих некоторому уровню, могут быть переданы только модулям соседнего вышележащего уровня. Такая иерархическая декомпозиция задачи предполагает четкое определение функции каждого уровня и интерфейсов между уровнями.

В результате иерархической декомпозиции достигается относительная независимость уровней, а значит, и возможность их легкой замены. Средства сетевого взаимодействия тоже могут быть представлены в виде иерархически организованного множества модулей.

Без принятия всеми производи­те­ля­ми общих правил построения оборудования прогресс в деле строительства сетей был бы невозможен. Поэтому всё развитие компьютерной отрасли отражено в стандартах – любая новая технология только тогда может широко использоваться, когда ее содержание закрепляется в соответствующем стандарте, а пока стандарта нет – это не технология, а всего лишь экспериментальная разработка.

В компьютерных сетях идеологической основой стандартизации является многоуровневый подход к разработке средств сетевого взаимодействия. Именно на основе этого подхода была разработана стандартная модель взаимодействия OSI (Open Systems Interconnection) – абстрактная сетевая модель коммуникации и разработки сетевых протоколов. Модель рассматривает сеть по уровням, каждый уровень обслуживает свою часть процесса взаимодействия. Благодаря такой структуре совместная работа сетевого оборудования и программного обеспечения становится гораздо проще и прозрачнее.

Уровни нумеруются от низшего (физического) до высшего (прикладного), но рассмотрим мы их сверху вниз – по порядку использования.

7. Прикладной уровень (Application layer)

Верхний уровень модели, обеспечивает взаимодействие пользовательских программ – то есть собственно то, что нужно пользователю от сети.

6. Представительский уровень (Presentation layer)

Отвечает за преобразование протоколов и кодирование/декодирование данных. Запросы приложений, полученные с уровня приложений, он преобразует в формат для передачи по сети, а полученные из сети данные преобразует в формат, понятный приложениям. На этом уровне может осуществляться сжатие/распаковка или кодирование/декодирование данных, а также перенаправление запросов другому сетевому ресурсу, если они не могут быть обработаны локально.

5. Сеансовый уровень (Session layer)

Отвечает за поддержание сеанса связи, позволяя приложениям взаимодействовать между собой длительное время. Уровень управляет созданием/завершением сеанса, обменом информацией, синхронизацией задач, определением права на передачу данных и поддержанием сеанса в периоды неактивности приложений. Синхронизация передачи обеспечивается помещением в поток данных контрольных точек, начиная с которых возобновляется процесс при нарушении взаимодействия.

4. Транспортный уровень (Transport layer)

Предназначен для доставки данных без ошибок, потерь и дублирования в той последовательности, как они были переданы. При этом не важно, какие данные передаются, откуда и куда, то есть он предоставляет сам механизм передачи. Блоки данных он разделяет на фрагменты, размер которых зависит от протокола, короткие объединяет в один, а длинные разбивает.

3. Сетевой уровень (Network layer)

Предназначен для определения пути передачи данных. Отвечает за трансляцию логических адресов и имён в физические, определение кратчайших маршрутов, коммутацию и маршрутизацию, отслеживание неполадок и заторов в сети.

2. Канальный уровень (англ. Data Link layer)

Этот уровень предназначен для обеспечения взаимодействия сетей и контроля за ошибками, которые могут возникнуть. Полученные с физического уровня данные он упаковывает во фреймы, проверяет на целостность, если нужно исправляет ошибки (посылает повторный запрос поврежденного кадра) и отправляет на сетевой уровень. Канальный уровень может взаимодействовать с одним или несколькими физическими уровнями, контролируя и управляя этим взаимодействием.

1. Физический уровень (Physical layer)

Самый нижний уровень модели предназначен непосредственно для передачи потока данных. Осуществляет передачу электрических или оптических сигналов в кабель или в радиоэфир и, соответственно, их приём и преобразование в биты данных в соответствии с методами кодирования цифровых сигналов.

Семиуровневая модель OSI является теоретической , непосредственно на основе этой модели сети не строят, но она очень полезна для понимания построения сети.

Тема 1.

Типы сетей.

В зависимости от способа организации обработки данных и взаимодействия пользователей, который поддерживается конкретной сетевой операционной системой, выделяют два типа информационных сетей:

Иерархические сети;

Сети клиент/сервер.

В иерархических сетях все задачи, связанные с хранением, обработкой данных, их представлением пользователям, выполняет центральный компьютер. Пользователь взаимодействует с центральным компьютером с помощью терминала. Операциями ввода/вывода информации на экран управляет центральный компьютер.

Достоинства иерархических систем:

Отработанная технология обеспечения сохранности данных;

Надежная система защиты информации и обеспечения секретности.

Недостатки:

Высокая стоимость аппаратного и программного обеспечения, высокие эксплуатационные расходы;

Быстродействие и надежность сети зависят от центрального компьютера.

Модели клиент-сервер - это технология взаимодействия компьютеров в сети, при которой каждый из компьютеров имеет свое назначение и выполняет свою определенную роль. Одни компьютеры в сети владеют и распоряжаются информационно-вычислительными ресурсами (процессоры, файловая система, почтовая служба, служба печати, база данных), другие имеют возможность обращаться к этим службам, пользуясь их услугами.

Компьютер, управляющий тем или иным ресурсом называют сервером этого ресурса, а компьютер, пользующийся им - клиентом .

Каждый конкретный сервер определяется видом того ресурса, которым он владеет. Например, назначением сервера баз данных является обслуживание запросов клиентов, связанных с обработкой данных; файловый сервер, или файл-сервер, распоряжается файловой системой и т.д.

Один из основных принципов технологии клиент-сервер заключается в разделении функций стандартного интерактивного приложения на четыре группы, имеющие различную природу.

Первая группа - это функции ввода и отображения данных.

Вторая группа - объединяет чисто прикладные функции, характерные для данной предметной области (для банковской системы - открытие счета, перевод денег с одного счета на другой и т.д.).

Третья группа - фундаментальные функции хранения и управления информационно-вычислительными ресурсами (базами данных, файловыми системами и т.д.).

Четвертая группа - служебные функции, осуществляющие связь между функциями первых трех групп.

В соответствии с этим в любом приложении выделяются следующие логические компоненты:

Компонент представления (presentation), реализующий функции первой группы;

Прикладной компонент (business application), поддерживающий функции второй группы;

Компонент доступа к информационным ресурсам (resource manager), поддерживающий функции третьей группы, а также вводятся и уточняются соглашения о способах их взаимодействия (протокол взаимодействия).

Различия в реализации технологии клиент-сервер определяются следующими факторами:

Видами и механизмами программного обеспечения, в которые интегрирован каждый из этих компонентов;

Способом распределения логических компонентов между компьютерами в сети;

Механизмами, используемыми для связи компонентов между собой.

Выделяются четыре подхода, реализованные в следующих моделях:

Модель файлового сервера (File Server - FS);

Модель доступа к удаленным данным (Remote Data Access - RDA);

Модель сервера баз данных (Data Base Server - DBS);

Модель сервера приложений (Application Server - AS).

По организации взаимодействия принято выделять два типа систем, использующих метод клиент/сервер:

Равноправная сеть;

Сеть с выделенным сервером.

Равноправная сеть - это сеть, в которой нет единого центра управления взаимодействием рабочих станций, нет единого устройства хранения данных. Операционная система такой сети распределена по всем рабочим станциям, поэтому каждая рабочая станция одновременно может выполнять функции как сервера, так и клиента. Пользователю в такой сети доступны все устройства (принтеры, жесткие диски и т.п.), подключенные к другим рабочим станциям.

Достоинства:

Низкая стоимость (используются все компьютеры, подключенные к сети, и умеренные цены на ПО для работы сети);

Высокая надежность (при выходе из строя одной рабочей станции, доступ прекращается лишь к некоторой части информации).

Недостатки:

Работа сети эффективна только при количестве одновременно работающих станций не более 10;

Трудности организации эффективного управления взаимодействием рабочих станций и обеспечение секретности информации;

Трудности обновления и изменения ПО рабочих станций.

Сеть с выделенным сервером - здесь один из компьютеров выполняет функции хранения данных общего пользования, организации взаимодействия между рабочими станциями, выполнения сервисных услуг - сервер сети. На таком компьютере выполняется операционная система, и все разделяемые устройства (жесткие диски, принтеры, модемы и т.п.) подключаются к нему, выполняет хранение данных, печать заданий, удаленная обработка заданий. Рабочие станции взаимодействуют через сервер, поэтому логическую организацию такой сети можно представить топологией "звезда", где центральное устройство - сервер.

Достоинства:

Выше скорость обработки данных (определяется быстродействием центрального компьютера, и на сервер устанавливается специальная сетевая операционная система, рассчитанная на обработку и выполнение запросов, поступивших одновременно от нескольких пользователей);

Обладает надежной системой защиты информации и обеспечения секретности;

Проще в управлении по сравнению с равноправными.

Недостатки:

Такая сеть дороже из-за отдельного компьютера под сервер;

Менее гибкая по сравнению с равноправной.

Сети с выделенным сервером являются более распространенными. Примеры сетевых операционных систем такого типа: LAN Server, IBM Corp., VINES, Banyan System Inc., NetWare, Novell Inc.

Тема 2.

Методы передачи данных в сетях ЭВМ.

При обмене данными между узлами используются три метода передачи данных:

Симплексная (однонаправленная) передача (телевидение, радио);

Полудуплексная (прием/передача информации осуществляется поочередно);

Дуплексная (двунаправленная), каждая станция одновременно передает и принимает данные.

Для передачи данных в информационных системах наиболее часто применяется последовательная передача. Широко используются следующие методы последовательной передачи:

Асинхронная;

Синхронная.

При асинхронной передаче каждый символ передается отдельной посылкой (рис.1). Стартовые биты предупреждают приемник о начале передачи. Затем передается символ. Для определения достоверности передачи используется бит четности (бит четности = 1, если количество единиц в символе нечетно, и 0 в противном случае. Последний бит "стоп бит" сигнализирует об окончании передачи.

Преимущества:

Несложная отработанная система;

Недорогое (по сравнению с синхронным) интерфейсное оборудование.

Недостатки:

Третья часть пропускной способности теряется на передачу служебных битов (старт/стоповых и бита четности);

Невысокая скорость передачи по сравнению с синхронной;

При множественной ошибке с помощью бита четности невозможно определить достоверность полученной информации.

Асинхронная передача используется в системах, где обмен данными происходит время от времени и не требуется высокая скорость передачи данных. Некоторые системы используют бит четности как символьный бит, а контроль информации выполняется на уровне протоколов обмена данными (Xmodem, Zmodem, MNP).

При использовании синхронного метода данные передаются блоками. Для синхронизации работы приемника и передатчика в начале блока передаются биты синхронизации. Затем передаются данные, код обнаружения ошибки и символ окончания передачи. При синхронной передаче данные могут передаваться и как символы, и как поток битов. В качестве кода обнаружения ошибки обычно используется Циклический Избыточный Код Обнаружения Ошибок (CRC). Он вычисляется по содержимому поля данных и позволяет однозначно определить достоверность принятой информации.

Преимущества:

Высокая эффективность передачи данных;

Высокая скорость передачи данных;

Надежный встроенный механизм обнаружения ошибок.

Недостатки:

Интерфейсное оборудование более сложное и, соответственно, более дорогое.