Экранирующие концентраторы

- оптимизация работы локальной сети за счет организации виртуальных локальных сетей

Экранирующие маршрутизаторы

- пакетные фильтры

- анализ используемых портов, адресов

Транспортное экранирование

- контроль за процессом установления виртуальных соединений и передачей информации по ней

- более тонкий контроль за виртуальными соединениями

- контроль за количеством передаваемых данных

Прикладные экраны

- интерпретация протоколов прикладного уровня (HTTP, SMTP, FTP и д.р.)

- заслоняет внутреннюю сеть от внешнего окружения

Анализ защищенности компьютерных сетей.

- Сервис анализа защищенности предназначен для выявления уязвимых мест с целью их оперативной ликвидации

- Системы анализа защищенности (сканеры защищенности) основаны на накоплении и использовании знаний → использование базы уязвимостей

Наиболее эффективными являются:

1. Сканеры могут выявлять уязвимые места путем (основаны на накоплении и использовании знаний – знания о пробелах в защите: о том как искать, насколько они серьёзные и как устранить. Ядро таких систем – база уязвимостей).

a. Пассивного анализа, т.е изучение конфигурационных файлов, задействованных портов

b. Активного анализа, т.е имитация действий атакующего

Способы устранения уязвимых мест:

• Автоматическое

• Сообщение администратору

2. Антивирусные средства

Обеспечение высокой доступности.

ИС предоставляет пользователям определенный набор услуг (сервисов)

В ИС обеспечен требуемый уровень доступности сервисов, если показатели эффективность услуг и время недоступности находятся в заданных пределах

Эффективность услуг

  • максимальное время обслуживание запроса
  • количество поддерживаемых пользователей

Время недоступности

  • сервис является недоступным, если его эффективность не удовлетворяет наложенным ограничениям
  • вероятность возникновения ситуации недоступности

Отказ– событие, которое заключается в нарушении работоспособности сервиса

- Интенсивность отказов

- Среднее время наработки

- Показатели эффективности отдельных элементов ИС

- Показатели эффективности функционирования всей ИС

- Длительность однократного простоя

- Суммарная продолжительность простоев

Для повышения доступности → структурированный подход

Архитектурные принципы

- апробированность (испытанность) всех процессов и составных частей ИС

- унификация процессов и составных частей ИС

- управляемость процессов, контроль состояния частей

- автоматизация процессов

- модульность архитектуры

- ориентация на простоту решений

Меры повышения доступности направлены на повышение:

  • безотказности (минимизация вероятности возникновения отказа)
  • отказоустойчивости (способность к нейтрализации отказов, способность сохранять требуемую эффективность сервиса при отказах отдельных компонентов)
  • обслуживаемости (минимизация времени простоя отказавших компонентов, а также отрицательное влияние ремонтных работ на эффективность сервисов, то есть быстрое и безопасное восстановление после отказов)

Полнота и систематичность.

Поддержка в актуальном состоянии карты ИС организации.

Отказоустойчивость

Использование графа сервисов.

Зона поражения – множество выведенных из строя сервисов.

Зона риска – множество сервисов, эффективность которых при конкретной атаки падает ниже допустимого предела.

Элементы зоны поражения – подмножество зоны риска.

Зона нейтрализации угрозы – совокупность ресурсов, вовлеченных в механизм устранения отказа, возникшего в процессе реализации угрозы.

Минимизация разности между зоной риска и зоной нейтрализации.

Внесение избыточности в конфигурацию аппаратных и программных средств, поддерживающей инфраструктуры и персонала.

Резервирование технических средств и тиражирование информационных ресурсов (программ и данных).

Меры обеспечения отказоустойчивости:

  • локальные
  • распределенные

Резервирование программ и данных (тиражирование):

- зеркалирование дисков

- резервное копирование и восстановление

- репликация БД и прочее

Классы тиражирования:

  • симметричные/асимметричные
  • синхронные/асинхронные
  • осуществляемыми средствами сервиса

Обслуживаемость

Меры направлены на снижение сроков диагностирования и устранения отказов и их последствий

Архитектурные принципы:

- ориентация на построение ИС из унифицированных компонентов с целью упрощения замены отказавших частей

- ориентация на решения модульной структуры с возможностью автоматического отнаружения отказов, динамического переконфигурирования аппаратных и программных средств

Динамическое конфигурирование направлено на

  • изоляцию отказавших компонентов
  • сохранение работоспособности сервисов

- Планирование реакции на отказ → стратегия реагирования на отказы

- Возможность удаленного выполнения административных действий

- Поддержка консультационной службы для пользователей

Вывод:

Централизованное распространение и конфигурирование ПО, управление компонентами ИС и диагностирование

Наши рекомендации