CC BY
21
рованных информационных систем» США, германский стандарт BSI[8]. К сожалению, такие стандарты и рекомендации в УИС отсутствуют, что приводит к необходимости разработки временных положений и рекомендаций в региональных УИН самостоятельно.
7. Средства мониторинга и аудита вычислительных сетей
Создание системы ИБ начинается с анализа информации о структуре сети, ее загрузке, узких местах, контроля за системными ресурсами, пакетами передающимися между устройствами сети. Проведение этой работы в корпоративных информационных сетях невозможно без средств автоматизации мониторинга и анализа.
Часто возникает необходимость в количественном измерении некоторых характеристик сети, таких, например, как интенсивность потоков данных по сетевым линиям связи, задержки, возникающие на различных этапах обработки пакетов, время реакции на запросы того или иного вида, частота возникновения определенных событий и др.
Некоторые измерения на сети могут быть выполнены встроенными в операционную систему программными измерителями. Примером этому служит компонент ОС Windows NT PerformanceMonitor. Однако стандартные средства Windows NT не позволяют решить все проблемы, связанные с сопровождением аудита. При возникновении конкретных проблем применяются программы независимых производителей. В первую очередь это вспомогательные программы и информация из ресурсов Windows NT, затем бесплатные и условно бесплатные служебные программы Frank Heyne.
Наиболее совершенным средством исследования сети является анализатор протоколов, захватывающий циркулирующие в сети пакеты. Основываясь на результатах их анализа, можно осуществлять обоснованное и взвешенное изменение каких-либо компонентов сети, оптимизацию ее производительности, поиск и устранение неполадок.
Lotus Notes имеет средства мониторинга, позволяющие собирать информацию о работе серверов. Это помогает администратору в управлении, обнаружении неисправностей, обоснованном планировании системы, предоставляющий хронологию выполнения всех операций, связанных
Е.А. АЛЬТМАН, А.В. АЛЕКСАНДРОВ
Омский государственный университет путей сообщения
УДК 004.3
Развитие железнодорожного транспорта приводит к появлению сложных производственных, экономических и социальных структур, эффективное управление которыми требует постоянно растущих объемов информации. В связи с этим возникает вопрос о развитии информационных систем. Создание информационных систем является важным резервом повышения эффективности работы железнодорожного транспорта. Информационные системы на железнодорожном транспорте могут использоваться для контроля и оптимизации перевозок, инженерных задач, повышения качества предоставляемых услуг.
Сложность информационных систем предъявляет высокие требования при подготовке специалистов. Спе-
с доступом к серверам, базам данных, документам, список авторов, которые последовательно редактировали документ, даты и продолжительность сеансов редактирования. Система протоколирования событий позволяет собирать информацию обо всех ошибках, возникающих на серверах. Все версии документа содержат записи внутри аудиторского журнала, которые предоставляют исчерпывающую историю жизненного цикла документа.
В настоящих условиях вопрос обеспечения ИБ является хоть и сложным, но в значительной степени выполнимым. Одним из условий его реализации является воля руководства управлений и учреждений, наличие подготовленных специалистов. Грамотное, повседневное администрирование, организация аудита являются основной составляющей обеспечения устойчивой работы информационных систем, обеспечения целостности и конфиденциальности данных.
Литература
1. Основы рассматриваемого подхода. -Jetlnfo, 1997, 1 (32).
2. Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по доступу к информации», 1992.
3. Г.Салливан, Д.Бенаж Microsoft BackOffice в подлиннике: В 2т.: пер. с англ.-СПб.: BHV, 1997.-С. 1101
4. Шахов В.Г. Безопасность информационных систем. -М: Транспорт, 2000. - 89 с.
5. Апрышкина Г. Мониторинг в корпоративных сетях. / КомпьютерПресс, 2001.
6. Атаками весь мир полнится.'/ Компьютер Пресс. -2001.-№ 10.-С. 50.
7. Безопасность информационных систем. / КомпьютерПресс.-1998.-№ 6.-С. 117.
8. Анализ рисков, управление рисками,-Jetlnfo, 1999, 1 (68).
ЗАКОПАЙЛО Павел Леонидович, начальник отдела автоматизации Управления исполнения наказаний Минюста РФ по Омской области.
циалисты, обслуживающие информационные системы, должны обладать широким спектром знаний в области компьютерных технологий. При этом необходимо постоянное повышение квалификации ввиду быстрого развития данной области.
Специалисты по информационным системам должны обладать знаниями в следующих направлениях: Интернет/ Интранет технологии, сетевое администрирование локальных и глобальных сетей, управление потоками информации и оптимизация трафика, конфигурирование сетевого оборудования, в том числе и современного высокоскоростного, обеспечение информационной безопасности сети.
СПЕЦИАЛИЗИРОВАННАЯ ЛАБОРАТОРИЯ КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ
Для решения проблем подготовки квалифицированных кадров была разработана концепция специализированной лаборатории компьютерных технологий.
Структура лаборатории приведена на рисунке. Главной ее составляющей являются устройства фирмы Cisco Sistems. Выбор оборудования этой фирмы обусловлен хорошими техническими характеристиками, широким спектром предлагаемого оборудования и большим распространением данной продукции как в публичных сетях (Интернет), так и в корпоративных сетях, таких как сеть передачи данных железной дороги (СПД).
Для различных режимов работы выбирается соответствующее оборудование, необходимое для отражения существующих систем передачи данных в информационных сетях железной дороги. Центральным элементом лаборатории является схема, имитирующая глобальные сети, построенная на трех типах маршрутизаторов: Cisco 1601, Cisco 2620 и Cisco 3620.
Серия маршрутизаторов Cisco 1600 предназначена для подключения удаленных офисов и малого бизнеса к Интер-нет/Интранет. Основными его особенностями является:
1. Cisco IOS (internetworking operating system, межсетевая операционная система). Операционная система, работающая на оборудовании фирмы Cisco Systems, содержит набор команд, позволяющих конфигурировать сетевые устройства для работы с различными сетевыми технологиями.
2. Наличие модульных карт WIC (WAN Interface Card, интерфейсные карты для глобальных сетей). Эти устройства служат для организации связи друг с другом территориально разделенных сетевых устройств.
3. Дополнительное программное обеспечение для организации firewall (защитного экрана) для повышения информационной безопасности сетей.
4. Возможность работы в режиме VPN (Virtual Private Network, виртуальных частных сетей), для организации сетей предприятий, использующих общественные линии связи.
5. Наличие карт Flash Memory (PC Card), представляющих собой перезаписываемый носитель информации и используемых для модернизации программного обеспечения.
6. Возможность улучшенной безопасности через использование ACL (Access Control Lists, списков доступа), которые описывают трафик, разрешенный или запрещенный для передачи в определенную сеть.
7. Дополнительный режим NAT (NetworkAdress Translate, преобразование сетевых адресов), преобразующий внутрисетевые адреса в адреса глобальной сети, что позволяет повысить безопасность подключения к глобальным сетям и сэкономить диапазон адресов.
8. Включение режимов РАР/СНАР (простой и улучшенный протоколы аутентификации), MS-CHAP (протокол аутентификации фирмы Microsoft), протоколы проверки пароля и имени пользователя.
9. Дополнительные функции Bandwidth-on-Demand (включение линии при перегрузке: в момент превышения определенного порогового значения происходит включение резервной линии для увеличения полосы пропускания) и Dial-on-Demand (включение линии по требованию, происходящее при получении определенного типа трафика). Поддерживаются и другие технологии, позволяющие оптимизировать использование линий связи.
Модели Cisco 2620 и 3620 (см. рисунок) обладают поддержкой технологий Fast Ethernet и VLAN. VLAN (Virtual Local Area Network, виртуальные локальные сети передачи данных). При этом возможно объединение групп пользователей согласно их функциональным признакам. Объединение происходит соответствующим конфигурированием сетевого оборудования. Эти технологии поддерживаются семейством маршрутизаторов совместно с функциями обеспечения доступа к данным, интеграции
голосового трафика и данных, а также функций организации удаленного доступа по коммутируемым каналам для небольших компаний и удаленных офисов. Весь этот набор программных и аппаратных средств делает семейства маршрутизаторов Cisco 2600 и 3600 Series способными на предоставление комплексных решений по организации защищенного доступа к сетевым ресурсам; Модели Cisco 2620 и 3620 обладают одним портом Fast Ethernet 10/100 Мбит/с, оснащены двумя слотами WAN, обеспечивающими установку интерфейсных модулей WIC (WAN Interface Card) и одним слотом для сетевого модуля.
Кроме того, устройства Cisco 2600 Series и 3600 Series могут обеспечивать выполнение функций Firewall и функций доступа к сетям VPN.
Сетевые модули, доступные для маршрутизаторов семейств Cisco 2600 и 3600 Series, включают поддержку большого числа сетевых приложений, включая:
- интеграцию данных и голоса для передачи по одной линии связи;
- обеспечение аналогового и цифрового абонентского доступа;
- подключение к другим устройствам по выделенным каналам.
Интерфейсы Fast Ethernet, установленные в маршрутизаторах Cisco 2620 и 3620, обеспечивают поддержку протокола ISL (Inter-Switch Link, протокол компании Cisco для переключения виртуальных сетей), что позволяет подключать их сразу к нескольким VLAN, используя одно физическое подключение. При использовании технологии VLAN перемещения пользователей внутри корпоративной распределенной сети могут производиться более эффективно с точки зрения затрат, независимо от географического расположения того или иного пользователя.
Сетевой модуль NM-2FE2W (см. рис.) содержит два разъема для подключения интерфейсов глобальных сетей и два интерфейса FastEthernet. Модуль WIC-1T устанавливается в блок NM-2FE2W Он представляет собой устройство для подключения серийных линий связи. В качестве физического интерфейса данного модуля используется DB-60. Во второй разъем NM-2FE2W устанавливается модуль VWIC-1MFT-E1. Этот модуль используется для присоединения к линиям, работающим по протоколу Е1.
Одним из способов соединения локальных сетей на предприятиях железнодорожного транспорта является использование модемных соединений через телефонные линии. Такой способ соединения эмулируется в лаборатории. Cisco 1601 и 2620 соединены с помощью модемов TaiNetT-ЗЗбСХ, подключенных к серийным портам маршрутизаторов на модулях WIC-1Т; Cisco 1601 и 3620 - с помощью модемов Zyxel U336S. Использование данных моделей модемов обусловлено широким их распространением в железнодорожных сетях. Эти модемы поддерживают стандартные модемные протоколы V34 и V42bis. В качестве среды передачи информации используется кабель UTP-5 (Unshield Twisted Pair, неэкранированная витая пара 5-й категории). Маршрутизаторы 2620 и 3620 подключены друг к другу с помощью протокола Е1.
Конфигурация оборудования и протоколов позволяет проводить лабораторные работы по изучению глобальных сетей. Лабораторные занятия включают настройки модемов на разные режимы передачи информации, принципы конфигурирования маршрутизаторов, настройку серийных соединений, удаленного доступа, протоколов маршрутизации, аутентификации и другие типы работ.
Второй контур, состоящий из коммутаторов Catalyst 8510, Catalyst 2924M-XL, предназначен для изучения LAN уровня предприятия на основе Fast Ethernet и современных методов коммутации и маршрутизации, а также на основе ATM (Asynchronous Transfer Mode, асинхронный режим передачи). Технология ATM является современной технологией, ориентированной на предоставление гарантированного качества обслуживания. В качестве среды
а
Структурная схема лаборатории 'Информационные системы и сети железнодорожного транспорта'
Рабочие станции 1 -325-5 ... 1 -325-8
Коммутатор Cat 2924M-XL +WS-X2961-XL SW1.R 1-325-2
Маршрутизатор Cisco 1601 RT1.R 1-325-3 +WIC"1T
Коммутатор Cat 2924M-XL
Рабочие станиции 1-325-1 ... 1-325-4
Коммутатор Cat 2912-XL
SW1.R1-325-1
Рабочие станции 1-325-9... 1-325-12
Fasl Ethernet
Подключение к учебной СПД
АРМ преподавателя 1-325-ARM
Сетевой принтер PRN1-325-1
Сервер, сервер БД, стоечный сервер
SVR1-325-1 SVR1 -325-2 SVR1 -325-3
®
Режимы работы класса
изучение WAN
изучение LAN уровня предприятия на основе Fast Ethernet и коммутации L3
изучение LAN уровня предприятия на основе ATM
м IMI idm шнхзха ЦПНЫУН (РПЭМО
передачи данных в большинстве случаев используются высокоскоростные оптические линии. Технология может работать как в локальных, так и в глобальных сетях. В настоящий момент применяется в основном на высокоскоростных магистралях.
Коммутатор Catalyst 8510 является коммутатором третьего уровня. Он представляет собой шасси для подключения дополнительных модулей. Основным модулем, используемым в лабораторной установке, является муль-тисервисный маршрутизирующий процессор коммутации MSRP (Multiservice Switch Route Processor), C8515-MSRP, позволяющий использовать Catalyst 8510 как обычный коммутатор третьего уровня и как мультисервисный коммутатор ATM. Модуль C85FE-8T-16K содержит в себе 16 портов Fast Ethernet. Из этих портов один используется для подключения к центральному контуру лабораторной сети, два порта предназначены для соединения с другими коммутаторами. Оставшиеся порты используются для подключения рабочих станций и серверов. Модуль WAI-OC3-4MM используется для присоединения к другим коммутаторам по волоконно-оптическим линиям связи при работе сети в режиме ATM. Установка этого модуля в шасси осуществляется с помощью адаптера WATM-CAM-2P.
В качестве двух других коммутаторов этого уровня использованы Catalyst 2924M-XL.
Catalyst 2924M-XL содержит 24 универсальных порта 10/100 Mbps Ethernet с автоматическим определением скорости и режима передачи, а также два слота для установки дополнительных интерфейсных карт.
Модульный коммутатор 2924M-XL позволяет устанавливать дополнительные 4- портовые модули 10/100 Mbps Ethernet (витая пара), 2- и 4-портовые 100 Mbps Ethernet (многомодовая оптика), и другие модули. В лаборатории используется модуль WS-X2961-XL, который представляет собой оптический многомодовый ATM модуль.
Второй контур служит для изучения локальных сетей уровня предприятия. Он позволяет изучить сетевые технологии, такие как коммутируемые сети Fast Ethernet, виртуальные локальные сети, коммутацию третьего уровня, а также использование технологии ATM.
Изучение систем безопасности основывается на подключенном между контурами сетевого экрана PIX FireWall. PIX позволяет работать с такими технологиями безопасности, как Terminal Access Controller Access Control System (TACACS)+ или Remote Access Dial-In User Service (RADIUS), являющиеся перспективными средствами обеспечения аутентификации, авторизации и учета. PIX FireWall совместим с маршрутизаторами, работающими на Cisco IOS, а также имеет некоторые дополнительные функции (например, ведение аудита, трансляцию адресов, а также поддержку основных сетевых сервисов WWW, FTP, Telnet, активно использующихся в среде Intranet/Internet [ID-
Данное оборудование может использоваться как для учебных целей при проведении лабораторных занятий со студентами, так и для научных работ, включающих исследования и моделирование различных режимов работы информационных сетей, а также для решения прикладных задач.
В качестве возможного дальнейшего развития лаборатории предусматривается расширение оборудованием, предназначенным для реализации современных технологий (например, проведение видеоконференций, обеспечение качества обслуживания, исследование новых технологий второго уровня, таких как DSL, дальнейшее развитие лабораторной сети ATM).
Кроме того, планируется подключение лаборатории к сети передачи данных железной дороги с целью доступа к содержащимся в ней информационным ресурсам.
Литература
1.0лифер В.Г., Олифер H.A. Компьютерные сети. Принципы, технологии, протоколы. - СПб.: Питер-пресс, 2001.-672 с.
2. Олифер В.Г., Олифер H.A. Новые технологии и оборудование IP-сетей. - СПб.: БХВ, 2001.— 512 с.
3. Кульгин М. И. Технологии корпоративных сетей. -СПб.: Питер, 2001.-704 с.
4. Cisco Connection Documentation http://www.cisco.com/ univercd/home/home.htm, 04.02.2002.
