КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Системы с высокой эксплуатационной готовностью
|
|
|
|
Защита киберкорпорации
По мере того как компании все больше полагаются на компьютерные сети при проведении своих операций, им необходимо принимать дополнительные меры по обеспечению бесперебойной работы информационных систем и приложений, связанных с компьютеризированными бизнес-процессами.
Информационная инфраструктура киберкорпорации должна обеспечивать постоянную доступность всех услуг в условиях использования различных компьютерных платформ и технологии распределенных вычислений. Многие факторы могут негативно влиять на работу web-сайта, включая сбои в работе сети, большой объем интернет-трафика или нехватку ресурсов сервера. Сбои и перерывы в работе компьютеров могут привести к оттоку клиентов, миллионным убыткам
и невозможности выполнения важнейших операций. Такие предприятия, как авиакомпании или финансовые структуры, деятельность которых требует применения технологии интерактивной обработки транзакций, используют отказоустойчивые компьютерные системы уже долгие годы, причем их надежность составляет 100%. При интерактивной обработке все транзакции вводятся в компьютер в диалоговом режиме и немедленно обрабатываются. Множественные изменения в базах данных, подготовка отчетов и запросов — все эти действия производятся в определенные моменты (а не одновременно). Отказоустойчивые компьютерные системы содержат резервное оборудование, программы и компоненты энергоснабжения, позволяющие им работать непрерывно. Отказоустойчивые компьютеры содержат добавочные модули памяти, процессоры и устройства хранения данных. В них используются специальные программные процедуры самопроверки, позволяющие вовремя обнаружить неисправность и переключиться на резервные компоненты. Отдельные части таких компьютеров можно заменять в «горячем» режиме, т. е. не выключая всю систему. Канадская компания E-Smait Direct Services, Inc. (г. Этобикоке, штат Онтарио), являющаяся поставщиком услуг по обработке электронных платежей и их авторизации, нуждается в абсолютно надежной технологической платформе, которая может работать 24 часа в сутки. Для этой цели компания использует отказоустойчивые системы Stratus.
Отказоустойчивость нельзя путать с высокой эксплуатационной готовностью. И отказоустойчивые системы, и системы с высокой эксплуатационной готовностью разрабатываются с целью достичь максимальной работоспособности приложений и всей системы в целом. Системы обоих типов используют резервные аппаратные ресурсы. Однако высокая эксплуатационная готовность компьютеров позволяет фирмам быстро восстанавливать свои системы после аварий, тогда как отказоустойчивость позволяет информационным системам работать непрерывно и без сбоев. Для фирм, деятельность которых во многом связана с компьютерами, использование систем быстрого восстановления является минимальным требованием для обеспечения нормального функционирования. При этом нужно использовать широкий спектр инструментов и технологий, чтобы обеспечить максимальную производительность компьютерных систем и сетей, включая применение резервного оборудования, «зеркальных» серверов, распределе-
ние нагрузки, кластеризации и составление четкого плана восстановления системы после аварии. Компьютерная платформа предприятия должна быть надежной и масштабируемой в плане вычислительных мощностей, памяти и пропускной способности сетей.
Технология балансирования нагрузки используется для распределения большого числа запросов на выполнение заданий между несколькими серверами. Запросы направляются к наиболее доступному серверу, что позволяет избежать перегрузки отдельных компонентов системы. Если какой-либо сервер перегружен, то запрос перенаправляется на другой сервер, обладающий свободными ресурсами. Система «зеркал» заключается в использовании резервных серверов, дублирующих все процессы и транзакции главного сервера. В случае «падения» главного сервера резервный компьютер немедленно занимает его место. К сожалению, использование подобной технологии обходится очень дорого, поскольку каждый сервер должен иметь свое «зеркало» — абсолютно идентичный компьютер, который будет использоваться только в случае сбоя или аварии. Кластеризация — менее дорогостоящая методика обеспечения непрерывной эксплуатационной готовности. В этом случае два компьютера связываются между собой таким образом, что вспомогательный компьютер дублирует работу основного. Если основной компьютер перестает работать, все его функции моментально берет на себя вспомогательный. (Также связанные между собой компьютеры можно использовать для ускорения процесса обработки данных.) Все перечисленные системы нуждаются в инфраструктуре безопасности, которая описана в следующем разделе.
Проблемы безопасности в Интернете
Связь с Интернетом (передача информации через экстрасети и интранет-сети) требует принятия специальных мер безопасности. Крупные сети общего пользования, включая Интернет, очень уязвимы, поскольку они открыты практически для всех и настолько велики, что любая авария может затрагивать множество пользователей. Когда корпоративная локальная сеть подключается к Интернету, она становится уязвимой для действий «внешних» пользователей. Архитектура интернет-приложений, как правило, включает web-клиент, сервер и корпоративные информационные системы, подключенные к базам данных (рис. 7.21 в гл. 7 и рис. 9.3 в гл. 9). Каждый из этих компонентов обладает своими уязвимыми местами и может создавать проблемы при обеспечении информационной безопасности предприятия (Joshi, Aref, Ghafoor, and Soaffird, 2001).
Компьютеры, постоянно подключенные к Интернету через кабельные модемы или по DSL-линии, больше уязвимы для взлома, поскольку они используют постоянный интернет-адрес (IP), который легко можно определить (при коммутируемом соединении при каждом подключении компьютеру присваивается новый адрес).
Электронная коммерция и электронный бизнес требуют от компаний быть более «открытыми» и «закрытыми» одновременно. Чтобы использовать все преимущества электронной коммерции, технологий управления снабжением и других электронных бизнес-процессов, компании должны держать свои информационные системы открытыми для внешних пользователей — клиентов, поставщиков и торговых партнеров. Корпоративные системы также не должны ограничиваться пределами организации, чтобы обеспечить сотрудникам возможность использования беспроводных и других мобильных вычислительных устройств. Помимо этого, все системы должны быть защищены от хакеров и других незваных гостей. Новая информационная инфраструктура предполагает введение новых политик безопасности, позволяющих организациям достичь «золотой середины» в вопросах открытости своих ресурсов.
В гл. 9 рассказывалось об использовании брандмауэров для предотвращения несанкционированного подключения пользователей к частным сетям. С ростом количества предприятий, подключающихся к Интернету, использование брандмауэров становится необходимостью.
Брандмауэр обычно размещается между внутренними локальными сетями (ЛВС и глобальными сетями (ГВС), например Интернет). Брандмауэр управляет доступом к внутренним сетям организации, выступая в роли «привратника», который определяет права пользователя, прежде чем открыть ему доступ. Этот компонент идентифицирует имена, интернет-адреса (IP), приложения и другие характеристики входящего потока данных (трафика). Он проверяет соответствие запросов правилам, запрограммированным сетевым администратором, и предотвращает несанкционированные подключения изнутри и снаружи сети, позволяя организации проводить в жизнь политику безопасности.
Брандмауэры основаны на двух основных типах технологий: прокси и кумулятивная проверка (инспекция). Прокси-серверы проверяют данные на входе брандмауэра и пропускают «на другую сторону». Если пользователь, находящийся за пределами организации, хочет связаться с компьютером внутри организации, то вначале он должен «договориться» с прокси-программой, а она, в свою очередь, свяжется с компьютером в локальной сети. Точно так же и пользователь, находящийся «внутри», должен обращаться к прокси-программе для связи с внешними компьютерами. Поскольку оригинальное сообщение не проходит через брандмауэр (замещается копией), такая технология является более безопасной, чем использование кумулятивного контроля. Однако ее внедрение и эксплуатация отнимают много времени и сил, потребляют много системных ресурсов и сокращают общую производительность сети. Одним из примеров применения прокси-технологии является брандмауэр Raptor Firewall.
При использовании методики кумулятивной проверки брандмауэр сканирует каждый пакет входящих данных, определяет его источник, адрес назначения или
сервис. Программа создает таблицы переходов для отслеживания сразу нескольких пакетов. Определяемые пользователями правила доступа должны перечислять все типы данных, которые организация не хочет принимать. Хотя такой подход потребляет меньше системных ресурсов, он менее безопасен, поскольку некоторые данные проходят через брандмауэр в неизменном виде. На данной технологии основаны брандмауэры, выпускаемые компанией Cisco Systems. Существуют и «гибридные» брандмауэры. Например, Check Point использует в основном технологию кумулятивного контроля, но в нем содержатся и некоторые возможности прокси-программ.
Чтобы создать хороший брандмауэр, разработчик должен написать и реализовать на практике внутренние правила, где будут подробно описаны пользователи, приложения или адреса, доступ к которым разрешен или запрещен. Брандмауэры могут сдерживать злоумышленников, но полностью защитить от них сеть они не могут, поэтому их нужно рассматривать только как одну из составляющих комплексного плана безопасности предприятия (Segev, Porra, and Roldan, 1998).
В дополнение к брандмауэрам компании, предоставляющие услуги по обеспечению безопасности, предлагают системы обнаружения вторжений, контролирующие подозрительную сетевую активность. Такие системы содержат инструменты непрерывного мониторинга всех уязвимых мест корпоративных сетей и могут выявлять и сдерживать усилия взломщиков. Сканирующее программное обеспечение отслеживает неправильные пароли, изменения важных файлов и сообщает обо всех подобных случаях системному администратору. Также ведется мониторинг всех событий в системе, что дает возможность заметить начало ха-керской атаки. При этом система может быть настроена таким образом, чтобы отключать определенные части сети при получении подозрительных данных.
|
|
|
|
|
Дата добавления: 2015-04-29; Просмотров: 480; Нарушение авторских прав?; Мы поможем в написании вашей работы!