Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Системы с высокой эксплуатационной готовностью




Защита киберкорпорации

По мере того как компании все больше полагаются на компьютерные сети при проведении своих операций, им необходимо принимать дополнительные меры по обеспечению бесперебойной работы информационных систем и приложений, связанных с компьютеризированными бизнес-процессами.

Информационная инфраструктура киберкорпорации должна обеспечивать по­стоянную доступность всех услуг в условиях использования различных компью­терных платформ и технологии распределенных вычислений. Многие факторы могут негативно влиять на работу web-сайта, включая сбои в работе сети, боль­шой объем интернет-трафика или нехватку ресурсов сервера. Сбои и перерывы в работе компьютеров могут привести к оттоку клиентов, миллионным убыткам

и невозможности выполнения важнейших операций. Такие предприятия, как авиакомпании или финансовые структуры, деятельность которых требует при­менения технологии интерактивной обработки транзакций, используют отказо­устойчивые компьютерные системы уже долгие годы, причем их надежность состав­ляет 100%. При интерактивной обработке все транзакции вводятся в компьютер в диалоговом режиме и немедленно обрабатываются. Множественные изменения в базах данных, подготовка отчетов и запросов — все эти действия производятся в определенные моменты (а не одновременно). Отказоустойчивые компьютерные системы содержат резервное оборудование, программы и компоненты энерго­снабжения, позволяющие им работать непрерывно. Отказоустойчивые компью­теры содержат добавочные модули памяти, процессоры и устройства хранения данных. В них используются специальные программные процедуры самопровер­ки, позволяющие вовремя обнаружить неисправность и переключиться на резерв­ные компоненты. Отдельные части таких компьютеров можно заменять в «горя­чем» режиме, т. е. не выключая всю систему. Канадская компания E-Smait Direct Services, Inc. (г. Этобикоке, штат Онтарио), являющаяся поставщиком услуг по обработке электронных платежей и их авторизации, нуждается в абсолютно на­дежной технологической платформе, которая может работать 24 часа в сутки. Для этой цели компания использует отказоустойчивые системы Stratus.

Отказоустойчивость нельзя путать с высокой эксплуатационной готовно­стью. И отказоустойчивые системы, и системы с высокой эксплуатационной го­товностью разрабатываются с целью достичь максимальной работоспособности приложений и всей системы в целом. Системы обоих типов используют резерв­ные аппаратные ресурсы. Однако высокая эксплуатационная готовность компью­теров позволяет фирмам быстро восстанавливать свои системы после аварий, тогда как отказоустойчивость позволяет информационным системам работать непре­рывно и без сбоев. Для фирм, деятельность которых во многом связана с ком­пьютерами, использование систем быстрого восстановления является минималь­ным требованием для обеспечения нормального функционирования. При этом нужно использовать широкий спектр инструментов и технологий, чтобы обеспе­чить максимальную производительность компьютерных систем и сетей, вклю­чая применение резервного оборудования, «зеркальных» серверов, распределе-

ние нагрузки, кластеризации и составление четкого плана восстановления систе­мы после аварии. Компьютерная платформа предприятия должна быть надежной и масштабируемой в плане вычислительных мощностей, памяти и пропускной способности сетей.

Технология балансирования нагрузки используется для распределения боль­шого числа запросов на выполнение заданий между несколькими серверами. За­просы направляются к наиболее доступному серверу, что позволяет избежать пе­регрузки отдельных компонентов системы. Если какой-либо сервер перегружен, то запрос перенаправляется на другой сервер, обладающий свободными ресурса­ми. Система «зеркал» заключается в использовании резервных серверов, дубли­рующих все процессы и транзакции главного сервера. В случае «падения» глав­ного сервера резервный компьютер немедленно занимает его место. К сожалению, использование подобной технологии обходится очень дорого, поскольку каждый сервер должен иметь свое «зеркало» — абсолютно идентичный компьютер, кото­рый будет использоваться только в случае сбоя или аварии. Кластеризация — менее дорогостоящая методика обеспечения непрерывной эксплуатационной го­товности. В этом случае два компьютера связываются между собой таким обра­зом, что вспомогательный компьютер дублирует работу основного. Если основ­ной компьютер перестает работать, все его функции моментально берет на себя вспомогательный. (Также связанные между собой компьютеры можно использо­вать для ускорения процесса обработки данных.) Все перечисленные системы нуж­даются в инфраструктуре безопасности, которая описана в следующем разделе.

Проблемы безопасности в Интернете

Связь с Интернетом (передача информации через экстрасети и интранет-сети) требует принятия специальных мер безопасности. Крупные сети общего пользо­вания, включая Интернет, очень уязвимы, поскольку они открыты практически для всех и настолько велики, что любая авария может затрагивать множество пользователей. Когда корпоративная локальная сеть подключается к Интернету, она становится уязвимой для действий «внешних» пользователей. Архитектура интернет-приложений, как правило, включает web-клиент, сервер и корпоратив­ные информационные системы, подключенные к базам данных (рис. 7.21 в гл. 7 и рис. 9.3 в гл. 9). Каждый из этих компонентов обладает своими уязвимыми места­ми и может создавать проблемы при обеспечении информационной безопасности предприятия (Joshi, Aref, Ghafoor, and Soaffird, 2001).

Компьютеры, постоянно подключенные к Интернету через кабельные модемы или по DSL-линии, больше уязвимы для взлома, поскольку они используют по­стоянный интернет-адрес (IP), который легко можно определить (при коммути­руемом соединении при каждом подключении компьютеру присваивается новый адрес).

Электронная коммерция и электронный бизнес требуют от компаний быть более «открытыми» и «закрытыми» одновременно. Чтобы использовать все пре­имущества электронной коммерции, технологий управления снабжением и дру­гих электронных бизнес-процессов, компании должны держать свои информаци­онные системы открытыми для внешних пользователей — клиентов, поставщиков и торговых партнеров. Корпоративные системы также не должны ограничивать­ся пределами организации, чтобы обеспечить сотрудникам возможность исполь­зования беспроводных и других мобильных вычислительных устройств. Помимо этого, все системы должны быть защищены от хакеров и других незваных гостей. Новая информационная инфраструктура предполагает введение новых политик безопасности, позволяющих организациям достичь «золотой середины» в вопро­сах открытости своих ресурсов.

В гл. 9 рассказывалось об использовании брандмауэров для предотвращения несанкционированного подключения пользователей к частным сетям. С ростом количества предприятий, подключающихся к Интернету, использование бранд­мауэров становится необходимостью.

Брандмауэр обычно размещается между внутренними локальными сетями (ЛВС и глобальными сетями (ГВС), например Интернет). Брандмауэр управля­ет доступом к внутренним сетям организации, выступая в роли «привратника», который определяет права пользователя, прежде чем открыть ему доступ. Этот компонент идентифицирует имена, интернет-адреса (IP), приложения и другие характеристики входящего потока данных (трафика). Он проверяет соответствие запросов правилам, запрограммированным сетевым администратором, и предот­вращает несанкционированные подключения изнутри и снаружи сети, позволяя организации проводить в жизнь политику безопасности.

Брандмауэры основаны на двух основных типах технологий: прокси и куму­лятивная проверка (инспекция). Прокси-серверы проверяют данные на входе брандмауэра и пропускают «на другую сторону». Если пользователь, находящий­ся за пределами организации, хочет связаться с компьютером внутри организа­ции, то вначале он должен «договориться» с прокси-программой, а она, в свою очередь, свяжется с компьютером в локальной сети. Точно так же и пользователь, находящийся «внутри», должен обращаться к прокси-программе для связи с внеш­ними компьютерами. Поскольку оригинальное сообщение не проходит через бранд­мауэр (замещается копией), такая технология является более безопасной, чем использование кумулятивного контроля. Однако ее внедрение и эксплуатация отнимают много времени и сил, потребляют много системных ресурсов и сокра­щают общую производительность сети. Одним из примеров применения прокси-технологии является брандмауэр Raptor Firewall.

При использовании методики кумулятивной проверки брандмауэр сканирует каждый пакет входящих данных, определяет его источник, адрес назначения или

сервис. Программа создает таблицы переходов для отслеживания сразу несколь­ких пакетов. Определяемые пользователями правила доступа должны перечис­лять все типы данных, которые организация не хочет принимать. Хотя такой под­ход потребляет меньше системных ресурсов, он менее безопасен, поскольку некоторые данные проходят через брандмауэр в неизменном виде. На данной тех­нологии основаны брандмауэры, выпускаемые компанией Cisco Systems. Суще­ствуют и «гибридные» брандмауэры. Например, Check Point использует в основ­ном технологию кумулятивного контроля, но в нем содержатся и некоторые возможности прокси-программ.

Чтобы создать хороший брандмауэр, разработчик должен написать и реализо­вать на практике внутренние правила, где будут подробно описаны пользователи, приложения или адреса, доступ к которым разрешен или запрещен. Брандмауэры могут сдерживать злоумышленников, но полностью защитить от них сеть они не могут, поэтому их нужно рассматривать только как одну из составляющих комп­лексного плана безопасности предприятия (Segev, Porra, and Roldan, 1998).

В дополнение к брандмауэрам компании, предоставляющие услуги по обеспе­чению безопасности, предлагают системы обнаружения вторжений, контроли­рующие подозрительную сетевую активность. Такие системы содержат инстру­менты непрерывного мониторинга всех уязвимых мест корпоративных сетей и могут выявлять и сдерживать усилия взломщиков. Сканирующее программное обеспечение отслеживает неправильные пароли, изменения важных файлов и со­общает обо всех подобных случаях системному администратору. Также ведется мониторинг всех событий в системе, что дает возможность заметить начало ха-керской атаки. При этом система может быть настроена таким образом, чтобы отключать определенные части сети при получении подозрительных данных.




Поделиться с друзьями:


Дата добавления: 2015-04-29; Просмотров: 432; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.012 сек.