Реферат: Построение локальной вычислительной сети подразделения организации под управлением операционной системы WindowsNT

Оглавление
ВВЕДЕНИЕ

В данном дипломном проекте рассматривается проблемапостроения локальной вычислительной сети подразделения организации подуправлением операционной системы Windows NT.

Реализация предложенного проекта позволит сократить бумажныйдокументооборот внутри подразделения, повысить производительность труда,сократить время на обработку информации.

Но объединение компьютеров в локальную вычислительную сетьпривносит и новые трудности. Так как подразделение ведет работу с закрытойинформацией, доступ к которой посторонним лицам строго запрещен, то возникаетпроблема защиты информации в ЛВС.

Локальная вычислительная сеть должна быть спроектированатаким образом, чтобы обеспечить надлежащую степень защищенности данных. Надопомнить, что от этого не должно страдать удобство пользователей иадминистраторов сети.

ЛВС подразделения управляется операционной системой WindowsNT. Предполагается провести исследование встроенных возможностей этой ОС позащите информации от несанкционированного доступа. На основе проведенногоанализа сделать выводы и выбрать дополнительные средства, повышающие степеньзащиты данных.

1.ФУНКЦИОНАЛЬНАЯ СХЕМА ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ1.1.Организационно-штатная структура подразделения

Рассмотрим организационно-штатную структуру подразделения.

Во главе подразделения стоит начальник подразделения.

В состав подразделения входят 3 отделения, а такжеспециализированный отдел прямого подчинения начальнику.

Каждое отделение делится на 2 отдела.

Каждый отдел, в свою очередь разделяется на 3 сектора.

Все вышесказанное иллюстрирует рис.1.1.

Всего в подразделении задействовано 60 человек, которымпредполагается выделить в пользование персональный компьютер.

6-ой отдел

5-ый отдел

3-ий отдел

2-ой отдел

20 сектор

19 сектор

7-ой

отдел

1-ый отдел

Отдел прямого подчинения

3-е отделение

2-ое отделение

1-ое отделение

Начальник подразделения

21 сектор

4-ый отдел

1 сектор

4 сектор

7 сектор

10 сектор

13 сектор

16 сектор

2 сектор

5 сектор

8 сектор

11 сектор

14 сектор

17 сектор

3 сектор

6 сектор

9 сектор

12 сектор

15 сектор

18 сектор

Рис.1.1.Организационная структура подразделения.

1.2.Информационные потоки в сети подразделения

На рис.1.2 представлена схема информационных потоков врассматриваемом подразделении.

Рис.1.2. Схема информационных потоков ЛВС

Наиболее подробно показаны информационные потоки впределах одного сектора (для примера взят 1-ый сектор). В других секторахкартина потоков информации аналогична.

1.3.Логическая организация сетей Windows NT1.3.1.Понятие домена и связи доверия

Основным элементом централизованного администрирования вWindows NT Server является домен.Домен — это группа серверов, работающих под управлением Windows NT Server,которая функционирует, как одна система. Все серверы Windows NT в доменеиспользуют один и тот же набор учетных карточек пользователя, поэтомудостаточно заполнить учетную карточку пользователя только на одном сервередомена, чтобы она распознавалась всеми серверами этого домена.

Связи доверия — это связи между доменами, которые допускают сквознуюидентификацию, при которой пользователь, имеющий единственную учетнуюкарточку в домене, получает доступ к целой сети. Если домены и связи доверияхорошо спланированы, то все компьютеры Windows NT распознают каждую учетнуюкарточку пользователя и пользователю надо будет ввести пароль для входа всистему только один раз, чтобы потом иметь доступ к любому серверу сети[1].

1.3.2.Домены: основные административные блоки

Группирование компьютеров вдомены дает два важных преимущества сетевым администраторам и пользователям.Наиболее важное — серверы домена составляют (формируют) единый административныйблок, совместно использующий службу безопасности и информацию учетных карточекпользователя. Каждый домен имеет одну базу данных, содержащую учетные карточки пользователяи групп, а также установочные параметры политики безопасности. Все серверыдомена функционируют либо как первичный контроллер домена, либо как резервныйконтроллер домена, содержащий копию этой базы данных. Это означает, чтоадминистраторам нужно управлять только одной учетной карточкой для каждогопользователя, и каждый пользователь должен использовать (и помнить) парольтолько одной учетной карточки. Расширяя административный блок с единственногокомпьютера на целый домен, Windows NT Server сохраняет усилия администраторов ивремя пользователей.

Второе преимущество доменов сделано для удобствапользователей: когда пользователи просматривают сеть в поисках доступныхресурсов, они видят сеть, сгруппированную в домены, а не разбросанные по всейсети серверы и принтеры[1].

1.3.3.Связи доверия

Устанавливая связь доверия между доменами сети, мы позволяемиспользовать учетные карточки пользователя и глобальных групп одного домена вдругих доменах. Домен облегчает администрирование, поскольку нужно создатьучетную карточку для каждого пользователя только один раз, и она даст емудоступ к любому компьютеру сети, а не только к компьютерам одного домена.

Когда устанавливаются отношения доверия между доменами, одиндомен (доверяющий домен) доверяет другому домену (домен, которому доверяют илидоверенный домен).

Согласно этому, доверяющий домен распознает всехпользователей и глобальные группы, учтенные в домене, которому доверяют. Этиучетные карточки могут быть по-разному использованы в доверяющем домене; онимогут начать сеанс на рабочих станциях доверяющего домена, могут быть добавленык локальной группе доверяющего домена и им могут быть даны разрешения и правадоверяющего домена.

Отношение (связь) доверия может быть односторонним илидвухсторонним. Двухстороннее отношение (связь) доверия — просто параодносторонних связей, где каждый домен доверяет другому.

Доверие между доменами не наследуется. Например, если Адоверяет В, а В доверяет С, А автоматически не доверяет С. Чтобы А доверял С (итаким образом можно было бы использовать учетные карточки С в домене А),необходимо установить дополнительное отношение доверия непосредственно междуэтими доменами[1](рис.1.3).

Домен А

Домен С

Домен В

Рис.1.3. Наследование связей доверия.

1.3.4.Требования к домену

<img src="/cache/referats/11322/image075.jpg" v:shapes="_x0000_s1161">
Минимальное требование для домена — один сервер, работающий под управлениемWindows NT Server, который служит в качестве первичного контроллера домена и хранит оригинал базы данных учетныхкарточек пользователя и групп домена. В дополнение к сказанному, домен можеттакже иметь другие серверы, работающие под управлением Windows NT Server ислужащие в качестве резервныхконтроллеров домена, а также компьютеры, служащие в качестве стандартныхсерверов, серверов LAN Manager 2.x, клиентов Windows NT Workstation и другихклиентов, как например, работающих с MS-DOS(рис.1.4).

Рис.1.4. Структура домена.

Первичный контроллер домена должен быть сервером, работающимпо управлением Windows NT Server. Все изменения базы данных, учетных карточекпользователя и групп домена должны выполняться в базе данных первичногоконтроллера домена.

Резервные контроллеры домена, работающие под управлениемWindows NT Server, хранят копию базы данных учетных карточек домена. Базаданных учетных карточек копируется во все резервные контроллеры домена.

Все резервные контроллеры домена дополняют первичныйконтроллер и могут обрабатывать запросы на начала сеанса от пользователейучетных карточек домена. Если домен получает запрос на начало сеанса, первичныйконтроллер домена или любой из резервных контроллеров домена можетидентифицировать попытку начала сеанса.

Дополнительно к первичным и резервным контроллерам домена,работающим под управлением Windows NT Server, есть другой тип серверов. Вовремя установки Windows NT они определяются, как “серверы”, а не контроллерыдомена. Сервер, который входит в домен, не получает копию базы данныхпользователей домена[1].

1.3.5.Модели домена

Очень важным моментом является планировка домена.

Есть четыре модели для организации сети: модель единственного домена, модельосновного домена, модель многочисленных основных доменов и модель полногодоверия.

1.4.Выбор модели домена1.4.1.Модель единственного домена

Если сеть имеет не слишком много пользователей и не должнаделиться по организационным причинам, можно использовать самую простую модель — модель единственного домена. В этой модели сеть имеет только один домен.Естественно, все пользователи регистрируются в этом домене.

Никаких связей доверия не нужно, поскольку в сети существуеттолько один домен.

Чтобы гарантировать хорошую производительность сети, можноиспользовать модель единственного домена, при условии, что у нее небольшоеколичество пользователей и групп. Точное количество пользователей и группзависит от количества серверов в домене и аппаратных средств серверов[1].

1.4.2.Модель основного домена

Для предприятий, где сеть имеет небольшое количествопользователей и групп, но должна быть разделена на домены из организационныхсоображений, основная модель домена может быть наилучшим выбором. Эта модельдает централизованное управление и организационные преимущества управлениямногими доменами.

В этой модели один домен — основной домен, в которомрегистрируются все пользователи и глобальные группы. Все другие домены сетидоверяют этому домену и таким образом можно использовать пользователей иглобальные группы, зарегистрированные в них.

Основная цель главного домена — управление сетевыми учетнымикарточками пользователя. Другие домены в сети — домены ресурса; они не хранятучетные карточки пользователя и не управляют ими, а только обеспечивают ресурсы(как например, файлы и принтеры коллективного использования) сети.

В этой модели только первичные и резервные контроллерыдомена в основном домене имеют копии учетных карточек пользователей сети[1].

1.4.3.Модель многочисленных основных доменов

Для больших предприятий, которые хотят иметьцентрализованную администрацию, модель многочисленных основных доменов можетоказаться наилучшим выбором, поскольку он наиболее масштабируемый.

В этой моделинебольшое количество основных доменов. Основные домены служат в качествеучетных доменов и каждая учетная карточка пользователя создается в одном изэтих основных доменов.

Каждый основной домен доверяет всем другим основным доменам.Каждый ведомственный домен доверяет всем основным доменам, но ведомственнымдоменам не нужно доверять друг другу[1].

1.4.4.Модель полного доверия

При желании управлять пользователями и доменами,распределенными среди различных отделов, децентрализовано, можно использоватьмодель полного доверия. В ней каждый домен сети доверяет другому домену. Такимспособом каждый отдел управляет своим собственным доменом и определяет своихсобственных пользователей и глобальные группы, и эти пользователи и глобальныегруппы могут, тем не менее, использоваться во всех других доменах сети.

Из-за количества связей доверия, необходимого для этоймодели, она не практична для больших предприятий[1].

1.4.5.Выбор модели организации сети

Проанализировав оргонизационно-штатную структуруподразделения, можно заключить, что оптимальным выбором является модельосновного домена. Ее достоинства и недостатки сведены в табл.1.1.

Таблица 1.1

Преимущества и недостатки модели основного домена.

Преимущества

Недостатки

Учетные карточки пользователей могут управляться централизовано.

Ухудшение производительности в случае, если домен будет дополнен большим числом пользователей и групп.

Ресурсы сгруппированы логически.

Локальные группы должны быть определены в каждом домене, где они будут использоваться.

Таблица 1.1(продолжение)

Преимущества

Недостатки

Домены отделений могут иметь своих собственных администраторов, которые управляют ресурсами в отделе.

Глобальные группы должны быть определены только один раз (в основном домене).

Логическая структура сети показана на рис.1.5.

1-ое отделение

3-е отделение

· Локальные группы

Основной

домен

Отдел прямого подчинения

· Все пользователи

· Глобальные группы

· Локальные группы

2-ое отделение

· Локальные группы

Рис.1.5. Логическая структура сети.

Функциональная схема подразделения, разработанная с учетомвсего вышесказанного, приведена на рис.1.6.

Рис.1.6. Функциональная схема ЛВС подразделения

2.СТРУКТУРНАЯ СХЕМА ЗАЩИТЫ ИНФОРМАЦИИ В ЛВС2.1.Потенциальные угрозы безопасности информации

Исследование и анализ многочисленных случаев воздействий наинформацию и несанкционированного доступа к ней показывают, что их можноразделить на случайные и преднамеренные.

Для создания средств защиты информации необходимо определитьприроду угроз, формы и пути их возможного проявления и осуществления вавтоматизированной системе. Для решения поставленной задачи все многообразиеугроз и путей их воздействия приведем к простейшим видам и формам, которые былибы адекватны их множеству в автоматизированной системе.

2.1.1.Случайные угрозы

Исследование опыта проектирования, изготовления, испытаний иэксплуатации автоматизированных систем говорят о том, что информация в процессеввода, хранения, обработки, ввода и передачи подвергается различным случайнымвоздействиям.

Причинами таких воздействий могут быть:

Частота отказов и сбоев аппаратурыувеличивается при выборе и проектировании системы, слабой в отношениинадежности функционирования аппаратуры. Помехи на линии связи зависят отправильности выбора места размещения технических средств АСУ относительно другдруга и по отношению к аппаратуре соседних систем.

К ошибкам человека как звена системыследует относить ошибки человека как источника информации, человека-оператора,неправильные действия обслуживающего персонала и ошибки человека как звена,принимающего решения.

Ошибки человека могут подразделятьсяна логические (неправильно принятыерешения), сенсорные (неправильноевосприятие оператором информации) и оперативные,или моторные (неправильная реализациярешения). Интенсивность ошибок человека может колебаться в широких пределах: от1-2% до 15-40% и выше общего числа операций при решениях задачи.

К угрозам случайного характера следуетотнести аварийные ситуации, которые могут возникнуть на объекте размещенияавтоматизированной системы. К аварийным ситуациям относятся:

Вероятность этих событийсвязана прежде всего с правильным выбором места размещения АСУ, включаягеографическое положение[2].

2.1.2.Преднамеренные угрозы

Преднамеренные угрозы связаныс действиями человека, причинами которых могут быть определенное недовольствосвоей жизненной ситуацией, сугубо материальный интерес или простое развлечениес самоутверждением своих способностей, как у хакеров, и т.д.

Для вычислительных системхарактерны следующие штатные каналы доступа к информации:

Имея в виду, что приотсутствии защиты нарушитель может воспользоваться как штатными, так и другимифизическими каналами доступа, назовем возможные каналы несанкционированногодоступа (ВКНСД) в вычислительной системе, через которые возможно получитьдоступ к аппаратуре, ПО и осуществить хищение, разрушение, модификациюинформации и ознакомление с нею:

Очевидно, что приотсутствии законного пользователя, контроля и разграничения доступа к терминалуквалифицированный нарушитель легко воспользуется его функциональнымивозможностями для несанкционированного доступа к информации путем вводасоответствующих запросов и команд. При наличии свободного доступа в помещениеможно визуально наблюдать информацию на средствах отображения идокументирования, а на последних похитить бумажный носитель, снять лишнююкопию, а также похитить другие носители с информацией: листинги, магнитныеленты, диски и т.д.

Особую опасностьпредставляет собой бесконтрольная загрузка программного обеспечения в ЭВМ, вкоторой могут быть изменены данные, алгоритмы или введена программа “троянский конь”, выполняющаядополнительные незаконные действия: запись информации на посторонний носитель,передачу в каналы связи другого абонента вычислительной сети, внесение всистему компьютерного вируса и т.д.

Опасной является ситуация,когда нарушителем является пользователь системы, который по своимфункциональным обязанностям имеет законный доступ к одной части информации, аобращается к другой за пределами своих полномочий.

Со стороны законногопользователя существует много способов нарушить работу вычислительной системы,злоупотреблять ею, извлекать, модифицировать или уничтожать информацию.Свободный доступ позволит ему обращаться к чужим файлам и банкам данных иизменять их случайно или преднамеренно.

При техническомобслуживании (профилактике и ремонте) аппаратуры могут быть обнаружены остаткиинформации на магнитной ленте, поверхностях дисков и других носителяхинформации. Обычное стирание информации не всегда эффективно. Ее остатки могутбыть легко прочитаны. При транспортировке носителя по неохраняемой территориисуществует опасность его перехвата и последующего ознакомления посторонних лицс секретной информацией.

Не имеет смысла созданиесистемы контроля и разграничения доступа к информации на программном уровне,если не контролируется доступ к пульту управления ЭВМ, внутреннему монтажуаппаратуры, кабельным соединениям.

Срабатывание логическихэлементов обусловлено высокочастотным изменением уровней напряжений и токов,что приводит к возникновению в эфире, цепях питания и заземления, а также впараллельно расположенных цепях и индуктивностях посторонней аппаратуры, электромагнитныхполей и наводок, несущих в амплитуде, фазе и частоте своих колебаний признакиобрабатываемой информации. С уменьшением расстояния между приемником нарушителяи аппаратными средствами вероятность приема сигналов такого рода увеличивается.

Непосредственноеподключение нарушителем приемной аппаратуры и специальных датчиков к цепямэлектропитания и заземления, к каналам связи также позволяет совершитьнесанкционированное ознакомление с информацией, а несанкционированноеподключение к каналам связи передающей аппаратуры может привести и кмодификации информации[2].

За последнее время вразных странах проведено большое количество исследовательских работ с цельюобнаружения потенциальных каналов несанкционированного доступа к информации ввычислительных сетях. При этом рассматриваются не только возможностинарушителя, получившего законный доступ к сетевому оборудованию, но ивоздействия, обусловленные ошибками программного обеспечения или свойствамииспользуемых сетевых протоколов. Несмотря на то, что изучение каналов НСДпродолжается до сих пор, уже в начале 80-ых годов были сформулированы пятьосновных категорий угроз безопасности данных в вычислительных сетях:

Угрозы 1 и 2 можно отнести к утечкеинформации, угрозы 3 и 5 – к ее модификации, а угрозу 4 – к нарушению процессаобмена информацией[2].

2.2.Средства защиты информации в ЛВС

Принято различать пятьосновных средств защиты информации:

Рассмотрим эти средства подробнее иоценим их возможности в плане дальнейшего их использования при проектированииконкретных средств защиты информации в ЛВС.

2.2.1.Технические средства защиты информации

Техническиесредства защиты – это механические, электромеханические, оптические, радио,радиолокационные, электронные и другие устройства и системы, способныевыполнять самостоятельно или в комплексе с другими средствами функции защитыданных.

Технические средства защиты делятся нафизические и аппаратные. К физическим средствам относятся замки, решетки,охранные сигнализации, оборудование КПП и др.; к аппаратным – замки, блокировкии системы сигнализации о вскрытии, которые применяются на средствахвычислительной техники и передачи данных.

2.2.2.Программные средства защиты информации

Программныесредства защиты – это специальные программы, включаемые в составпрограммного обеспечения системы, для обеспечения самостоятельно или вкомплексе с другими средствами, функций защиты данных.

По функциональному назначениюпрограммные средства можно разделить на следующие группы:

1.Программныесредства идентификации и аутентификации пользователей.

Идентификация– это присвоение какому-либо объекту или субъекту уникального образа, имени иличисла. Установление подлинности (аутентификация) заключается в проверке,является ли проверяемый объект (субъект) тем, за кого себя выдает.

Конечнаяцель идентификации и установления подлинности объекта в вычислительной системе– допуск его к информации ограниченного пользования в случае положительногорезультата проверки или отказ в допуске в противном случае.

Одним израспространенных методов аутентификации является присвоение лицу уникальногоимени или числа – пароля и хранение его значения в вычислительной системе. Привходе в систему пользователь вводит свой код пароля, вычислительная системасравнивает его значение со значением, хранящимся в своей памяти, и присовпадении кодов открывает доступ к разрешенной функциональной задаче, а принесовпадении – отказывает в нем.

Наиболее высокийуровень безопасности входа в систему достигается разделением кода пароля на двечасти, одну, запоминаемую пользователем и вводимую вручную, и вторую,размещаемую на специальном носителе – карточке, устанавливаемой пользователемна специальное считывающее устройство, связанное с терминалом.

2.Средстваидентификации и установления подлинности технических средств.

Дополнительныйуровень защиты по отношению к паролям пользователей.

ВЭВМ хранится список паролей и другая информация о пользователях, которымразрешено пользоваться определенными терминалами, а также таблица ресурсов,доступных с определенного терминала конкретному пользователю.

3. Средства обеспечения защиты файлов.

Вся информация всистеме, хранимая в виде файлов делится на некоторое количество категорий поразличным признакам, выбор которых зависит от функций, выполняемых системой.Наиболее часто можно встретить разделение информации:

Доступадолжностных лиц к файлам осуществляется в соответствии с их функциональнымиобязанностями и полномочиями.

4. Средства защиты операционной системы ипрограмм пользователей.

Защитаоперационной системы – на

еще рефераты

Еще работы по компьютерным сетям

Реферат по компьютерным сетям

Построение сетевого графика

29 Августа 2013

Реферат по компьютерным сетям

Разработка верхнего уровня Информационной Системы Университета

29 Августа 2013

Реферат по компьютерным сетям

Разработка технологии ремонта, модернизации сервера с двумя процессорами Pentium

29 Августа 2013

Реферат по компьютерным сетям

Реализация сетевых компьютерных технологий в системе международного маркетинга Интернет-Маркетинг

29 Августа 2013