Transcript - Современное техническое образование

Администрирование
информационных систем
Обзорная лекция
Основные понятия
 Информационная вычислительная система
(ИВС) — комплекс программных и
аппаратных средств для обеспечения
автоматизации производства и других
сфер жизнедеятельности человека,
включающий в качестве составных частей
серверное и сетеобразующее
оборудование.
Основные понятия
 Пользователь ИВС (User) – физическое
лицо, имеющее доступ к определенным
ресурсам ИВС идентифицируемое
бюджетом пользователя (учетной
записью). Администратор ИВС также
является пользователем ИВС обладая, в
общем случае, неограниченным доступом
ко всем ресурсам ИВС.
Основные понятия
 Администратор ИВС (Administrator) –
должностное лицо, ответственное за
работоспособность и надлежащее
функционирование всех частей ИВС. У
администратора большой ИВС в
подчинении могут находиться
администраторы частей и подсистем ИВС –
например администратор локальновычислительной сети, администратор
сетевой ОС, администратор БД, а также
технический персонал.
Функции администратора ИВС
Администратор ИВС обеспечивает
надлежащую работоспособность ИВС,
выполняя определенные функции (или
должностные обязанности). К основным
функциям администратора относятся:
1. Управление учетными записями
пользователей.
Включает регистрацию пользователей,
контроль использования учетных записей,
задание ограничений на использование
Функции администратора ИВС
учетных записей, блокирование временно
не использующихся учетных записей,
удаление учетных записей.
2. Управление доступом к ресурсам.
Включает создание логических и регистрацию
физических ресурсов ИВС, обеспечение
управляемого доступа к ресурсам с помощью
списков управления доступом, контроль
использования ресурсов.
Функции администратора ИВС
3. Обеспечение сохранности,
секретности и актуальности данных.
Включает создание и поддержание нужного
количества резервных копий, восстановление
при необходимости данных, защиту данных
от несанкционированного доступа (путем
установки соответствующих прав доступа),
своевременное обновление данных.
Функции администратора ИВС
4. Установка и сопровождение
программного и аппаратного обеспечения.
Включает установку ОС на серверах и рабочих
станциях ИВС, установку серверного и
клиентского ПО, установку дополнительного
аппаратного обеспечения; настройку и
контроль работоспособности программного и
аппаратного обеспечения.
«Золотые» правила администратора
1. Никогда не проводи экспериментов на
работающей системе. Если это все-таки
необходимо, сделай сначала полную
резервную копию данных.
2. Никогда не меняй конфигурацию
сервера (как аппаратную, так и
программную), не сделав предварительно
полную резервную копию данных.
«Золотые» правила администратора
3. Всегда документируй свои действия в
журнале администратора. Если это возможно,
пользуйся встроенными в серверные ОС
средствами аудита и журналирования.
4. Если можно переложить часть работы
на подчиненного, сделай это. Но если ты не
уверен, что подчиненный справится с
заданием должным образом, сделай это сам.
«Золотые» правила администратора
5. Всегда соотноси назначаемые права с
мерой ответственности, связанной с теми или
иными правами, т.е. пользователь, имеющий
больше прав, берет на себя больше
ответственности. Администратор должен
обладать полными правами на вверенную ему
систему.
«Золотые» правила администратора
6. При работе с ресурсами ИВС в
качестве пользователя (редактирование
документов, просмотр и отправка почтовых
сообщений, разработка ПО и т. п.) используй
учетную запись с обычными правами доступа,
а не учетную запись администратора.
«Золотые» правила администратора
7. Регулярно меняй пароль учетной
записи администратора. Но не полагайся на
свою память - записывай пароль на бумаге и
храни в месте с ограниченным доступом
посторонних лиц (сейф, от которого ключи
только у тебя и. может быть, твоего прямого
начальника).
Основные задачи
администрирования ИС
 Основная цель организации
администрирования ИС – реализация
задачи обеспечения политики
информационной безопасности и
обеспечение функционирования ИС.
 Инструменты администрирования –
программные и аппаратные средства,
обеспечивающие выполнение политики
безопасности.
Политика безопасности среднего
уровня
 К среднему уровню относят вопросы, относящиеся
к отдельным аспектам информационной
безопасности. Например, организация доступа
сотрудников в сеть Интернет или установка и
использование ПО.
 Политика среднего уровня для каждого аспекта
должна освещать:






описание аспекта;
область применения;
позиция организации по данному вопросу;
роли и обязанности;
законопослушность;
точки контакта.
Политика безопасности нижнего
уровня
 Политика безопасности нижнего уровня относится
к работе конкретных информационных сервисов.
 Такая политика включает в себя два аспекта:
 цели;
 правила достижения заданных целей.
 Политика безопасности данного уровня быть
выражена полно, четко и конкретно. Например,
определять сотрудников, имеющих право на
работу с конкретной информационной системой и
данными.
 Из целей выводятся правила безопасности,
описывающие кто, что и при каких условиях
может выполнять те или иные процедуры с
информационными сервисами.
Административный уровень
защиты информации
 После формулирования политики безопасности,
составляется программа обеспечения
информационной безопасности.
 Программа безопасности также структурируется
по уровням. В простом случае достаточно двух
уровней:
 верхнего (центрального) – охватывающего всю
организацию;
 нижнего (служебного) – относящегося к отдельным
услугам или группам однородных сервисов.
Программа верхнего уровня
 Программу верхнего уровня возглавляет лицо,
отвечающее за информационную безопасность
организации. Цели такой программы:
 Управление рисками (оценка рисков, выбор эффективных
решений);
 Координация деятельности в области информационной
безопасности
 Стратегическое планирование
 Контроль деятельности в области информационной
безопасности.
 Контроль деятельности в области ИБ должен
гарантировать, во-первых, что действия организации не
противоречат законам, во-вторых, что состояние
безопасности в организации соответствует требованиям и
реагировать на случаи нарушений.
Программы служебного
уровня
 Цель программы нижнего уровня – обеспечить
надежную и экономичную защиту конкретного
сервиса или группы однородных сервисов.
 На нижнем уровне осуществляется выбор
механизмов защиты, технических и программных
средств.
 Ответственность за реализацию программ
нижнего уровня обычно несут администраторы
соответствующих сервисов.
Составные части ИС
Составные части ИВС
Техническое (аппаратное)
обеспечение
Техническое (аппаратное) обеспечение
является основой ИВС и определяет
вычислительную мощность ИВС в целом. Все
аппаратное обеспечение можно разделить на
вычислительные установки, кабельное,
канало- и сетеобразуюшее, периферийное и
дополнительное оборудование.
Вычислительные установки можно
разделить на две большие группы: серверы и
рабочие станции.
Техническое (аппаратное)
обеспечение
Сервер (Server) — это вычислительная
установка, которая служит преимущественно
для совместного использования его
информационно-вычислительных ресурсов, к
которым относятся, прежде всего,
центральный процессор или процессоры
(например, если это SMP-система),
оперативная и внешняя память (прежде всего,
жесткие диски).
Основные требования к
современному серверу:
1. Масштабируемость (Scalability) —
возможность наращивания мощности ВУ
(количество и быстродействие процессоров,
объем оперативной и внешней памяти) для
пропорционального увеличения скорости и
плотности (определенное количество запросов
в единицу времени) обработки запросов, а
также объемов хранимой информации.
Основные требования к
современному серверу:
1. Масштабируемость (Scalability) —
возможность наращивания мощности ВУ
(количество и быстродействие процессоров,
объем оперативной и внешней памяти) для
пропорционального увеличения скорости и
плотности (определенное количество запросов
в единицу времени) обработки запросов, а
также объемов хранимой информации.
Основные требования к
современному серверу:
2.Отказоустойчивость (Intolerance)—
возможность системы полностью
восстанавливать свою работоспособность при
аппаратных сбоях и высокая доступность (
High Level of Availability) — возможность
системы продолжать обслуживание запросов
при аппаратных сбоях. Обеспечивается
Дублированием (Duplexing) основных
аппаратных компонентов ВУ, чаше всего
выходящих из строя (обычно имеющих
механические части, а также избыточностью
(Redundancy) хранящейся информации.
Основные требования к
современному серверу:
3. Управляемость (Manageability) —
возможность удаленного управления, сбора
сведений о работе подсистем сервера.
Обеспечивается специальными программноаппаратными комплексами, разрабатываемыми
и поставляемыми производителями серверов.
Основные требования к
современному серверу:
Для обеспечения отказоустойчивости и
высокой доступности в современных серверах
используются следующие технологии и
компоненты:
• горячая замена компонент (Hot
Swapping) — позволяет менять компоненты
аппаратного обеспечения, не отключая
электропитания от ВУ. Есть решения для
жестких дисков, источников питания,
вентиляторов и плат расширения;
Основные требования к
современному серверу:
• большое количество оперативной
памяти
• Массивы независимых резервных
дисков (Redundant Array of Independent Disks /
RAID)
Модель многослойной защиты
Использование многослойной модели защиты позволяет:
 Уменьшить шанс успеха атаки
 Увеличить вероятность обнаружения атаки
Данные
ACL, шифрование, EFS
Приложения
Защита приложений, антивирусы
Компьютер
Защита ОС, аутентификация,
управление обновлениями
Внутренняя сеть
Периметр сети
Физическая защита
Политики, процедуры
Сегментация сети, IPSec
Брандмауэры, управление
карантином доступа
Охрана, замки и запирающие
устройства
Документы по безопасности,
обучение пользователей
Описание уровня данных
Документы
Каталоги
Файлы
приложений
Угрозы на уровне данных
Просмотр,
изменение и
удаление
информации
Считывание
данных
каталогов
Подмена и
искажение файлов
приложений
Документы
Каталоги
Файлы
приложений
Задачи администрирования –
уровень данных
 На уровне данных задача администрирования –
управление доступом к данным.
 Политики управления доступом – дискреционная,
мандатная, ролевая.
 Инструменты управления доступом – списки прав
доступа (ACL), метки доступа, биты защиты и т.п.
 Доступ к данным регулируется на уровне файловой
системы – доступ к файлам, на уровне объектов БД
– доступ к таблицам, представлениям.
 Шифрование данных – установка и
администрирование PKI.
 Обеспечение регулярного резервного копирования.
Описание уровня приложений
 Данный уровень включает как клиентскую,
так и серверную часть приложения
 Требуется поддержка функционирования
Клиентские приложения:
Microsoft Outlook, Microsoft
Office Suite
Серверные приложения: Web
Servers, Exchange Server, SQL
Server
Нарушения на уровне приложений
 Потеря функциональности приложения
 Исполнение вредоносного кода
 Чрезмерная нагрузка на приложение –
DoS атака
 Нежелательное использование
приложения
Задачи администрирования –
уровень приложений
 На уровне приложений основные задачи
администрирования – определение прав
пользователей на запуск и управление
процессами.
 Установление прав доступа к прикладным
программам и процессам.
 Управление групповыми политиками на
ограничение использования ПК.
Описание уровня хоста
 Включает отдельные ПК пользователей
сети
 Часто играет специальную роль в ИС
 Обеспечение ИБ хоста требует баланса
между защищенностью и удобством
работы пользователя
Уязвимости уровня хоста
Использование
небезопасной
конфигурации ОС
Использование
уязвимостей ОС
Распространение
вирусов
Несанкционированный
доступ
Задачи администрирования –
уровень хоста
 На уровне хоста основные задачи
администрирования – определение
прав пользователей на работу с
компьютером (разграничение
входа).
 Определение ограничений на
выполнение программ и
приложений в вычислительной
системе.
Описание уровня ЛВС
Отдел
продаж
Wireless
Network
Отдел
маркетинга
Финансовый
отдел
Отдел
кадров
Нарушения уровня ЛВС
НСД к портам
НСД к системе
НСД в Wireless
Networks
Перехват
сетевых
пакетов
Доступ к сетевому
трафику
Задачи администрирования –
уровень локальной сети
 На уровне локальной сети основные задачи
администрирования – определение прав
пользователей на работу в сети (многофакторная
аутентификация).
 Использование инфраструктуры открытых ключей –
PKI для шифрования трафика.
 Использование служб каталогов для публикации
ресурсов и разграничения прав доступа.
 Сегментация сети и администрирование сетевых
служб.
Описание уровня периметра сети
Бизнес партнер
Головной офис
Internet
LAN
LAN
Services
Периметр сетиInternet
включает
следующие соединения:
Internet
Удаленный офис
Бизнес партнеры
Удаленные пользователи
Wireless networks
Интернет-приложения
Internet Services
Удаленный
пользователь
Удаленный офис
Wireless
Network
LAN
Угрозы на уровне периметра сети
Бизнес партнер
Головной офис
Internet
LAN
LAN
Internet Services
Угрозы на уровне периметра
сети включаюи:
Атаки на корп. сеть
Атаки на уд. пользователей
Атаки со стороны бизнеспартенров
Атаки со стороны уд. Офиса
Атаки со стороны служб
Интернет
Атаки из Интернет
Internet Services
Удаленный
пользователь
Удаленный офис
Wireless
Network
LAN
Защита на уровне периметра сети
Бизнес партнер
Головной офис
Internet
LAN
LAN
Internet Services
Защита периметра сети
включает:
Файерволлы
Блокирование портов
Трансляция портов и IP
адресов
VPN
Туннелирование
VPN карантин
Internet Services
Удаленный
пользователь
Удаленный офис
Wireless
Network
LAN
Задачи администрирования –
уровень периметра сети
 На уровне периметра сети основные
задачи администрирования –
определение прав пользователей доступ
в сеть Интернет из локальной сети и
доступ к локальной сети из Интернет.
 Использование инфраструктуры
открытых ключей – PKI для шифрования
трафика.
 Администрирование инфраструктурных
сетевых служб для работы в сети
Интернет.
 Администрирование веб-сервисов.