- оптимизация работы локальной сети за счет организации виртуальных локальных сетей
Экранирующие маршрутизаторы
- пакетные фильтры
- анализ используемых портов, адресов
Транспортное экранирование
- контроль за процессом установления виртуальных соединений и передачей информации по ней
- более тонкий контроль за виртуальными соединениями
- контроль за количеством передаваемых данных
Прикладные экраны
- интерпретация протоколов прикладного уровня (HTTP, SMTP, FTP и д.р.)
- заслоняет внутреннюю сеть от внешнего окружения
Анализ защищенности компьютерных сетей.
- Сервис анализа защищенности предназначен для выявления уязвимых мест с целью их оперативной ликвидации
- Системы анализа защищенности (сканеры защищенности) основаны на накоплении и использовании знаний → использование базы уязвимостей
Наиболее эффективными являются:
1. Сканеры могут выявлять уязвимые места путем (основаны на накоплении и использовании знаний – знания о пробелах в защите: о том как искать, насколько они серьёзные и как устранить. Ядро таких систем – база уязвимостей).
a. Пассивного анализа, т.е изучение конфигурационных файлов, задействованных портов
b. Активного анализа, т.е имитация действий атакующего
Способы устранения уязвимых мест:
• Автоматическое
• Сообщение администратору
2. Антивирусные средства
Обеспечение высокой доступности.
ИС предоставляет пользователям определенный набор услуг (сервисов)
В ИС обеспечен требуемый уровень доступности сервисов, если показатели эффективность услуг и время недоступности находятся в заданных пределах
Эффективность услуг
- максимальное время обслуживание запроса
- количество поддерживаемых пользователей
Время недоступности
- сервис является недоступным, если его эффективность не удовлетворяет наложенным ограничениям
- вероятность возникновения ситуации недоступности
Отказ – событие, которое заключается в нарушении работоспособности сервиса
- Интенсивность отказов
- Среднее время наработки
- Показатели эффективности отдельных элементов ИС
- Показатели эффективности функционирования всей ИС
- Длительность однократного простоя
- Суммарная продолжительность простоев
Для повышения доступности → структурированный подход
Архитектурные принципы
- апробированность (испытанность) всех процессов и составных частей ИС
- унификация процессов и составных частей ИС
- управляемость процессов, контроль состояния частей
- автоматизация процессов
- модульность архитектуры
- ориентация на простоту решений
Меры повышения доступности направлены на повышение:
- безотказности (минимизация вероятности возникновения отказа)
- отказоустойчивости (способность к нейтрализации отказов, способность сохранять требуемую эффективность сервиса при отказах отдельных компонентов)
- обслуживаемости (минимизация времени простоя отказавших компонентов, а также отрицательное влияние ремонтных работ на эффективность сервисов, то есть быстрое и безопасное восстановление после отказов)
Полнота и систематичность.
Поддержка в актуальном состоянии карты ИС организации.
Отказоустойчивость
Использование графа сервисов.
Зона поражения – множество выведенных из строя сервисов.
Зона риска – множество сервисов, эффективность которых при конкретной атаки падает ниже допустимого предела.
Элементы зоны поражения – подмножество зоны риска.
Зона нейтрализации угрозы – совокупность ресурсов, вовлеченных в механизм устранения отказа, возникшего в процессе реализации угрозы.
Минимизация разности между зоной риска и зоной нейтрализации.
Внесение избыточности в конфигурацию аппаратных и программных средств, поддерживающей инфраструктуры и персонала.
Резервирование технических средств и тиражирование информационных ресурсов (программ и данных).
Меры обеспечения отказоустойчивости:
- локальные
- распределенные
Резервирование программ и данных (тиражирование):
- зеркалирование дисков
- резервное копирование и восстановление
- репликация БД и прочее
Классы тиражирования:
- симметричные/асимметричные
- синхронные/асинхронные
- осуществляемыми средствами сервиса
Обслуживаемость
Меры направлены на снижение сроков диагностирования и устранения отказов и их последствий
Архитектурные принципы:
- ориентация на построение ИС из унифицированных компонентов с целью упрощения замены отказавших частей
- ориентация на решения модульной структуры с возможностью автоматического отнаружения отказов, динамического переконфигурирования аппаратных и программных средств
Динамическое конфигурирование направлено на
- изоляцию отказавших компонентов
- сохранение работоспособности сервисов
- Планирование реакции на отказ → стратегия реагирования на отказы
- Возможность удаленного выполнения административных действий
- Поддержка консультационной службы для пользователей
Вывод:
Централизованное распространение и конфигурирование ПО, управление компонентами ИС и диагностирование
