Аппаратная база компьютерной телефонии
Для организации связи по телефонным линиям используется модем, подключаемый к компьютеру и позволяющий принимать данные через телефонную сеть. Модем, как устройство связи между компьютером и телефонной линией, предназначен для автоматического преобразования цифровых электрических сигналов в аналоговые (модуляция) и обратно (демодуляция).
Пропускная способность модема (бит/с) определяется произведением скорости передачи информации и объема цифровой информации в одном аналоговом сигнале. Скорости передачи информации измеряется в бодах и определяется способностью модема переключаться с одного аналогового сигнала на другой. Объем цифровой информации в одном аналоговом сигнале определяется количеством бит, упакованных в этом сигнале. В настоящее время используются модемы со скоростью передачи от 14400 до 56000 бит/с.
Подключенный к компьютеру модем может находиться в одном из двух режимов работы: режим передачи данных (modem is online) или режим команд. В первом режиме все, что посылает модему компьютер, воспринимается им как данные, которые нужно преобразовывать в аналоговый сигнал и передавать в телефонную линию. Второй режим предназначен для управления модемом. В этом режиме используются специальные команды, выдаваемые компьютером, а сам модем работает самостоятельно.
С целью обойти ограничения по скорости передачи данных и при этом сохранить совместимость с существующими телефонными линиями, разработана цифровая телефонная сеть с интеграцией услуг (Integrated Services Digital Network – ISDN). В основе работы такой сети лежит цифровая обработка сигналов. Отличается она от предшественниц многоканальностью. Для подключения к сети используются два интерфейса: базовый и расширенный. Под интерфейсом понимают совокупность устройств, предназначенных для организации взаимодействия клиентов, имеющих оборудование с различными физическими характеристиками. Базовый интерфейс содержит минимум оборудования и предоставляет абоненту два канала: для голоса или для передачи данных со скоростью 64 Кбит/с и служебный канал, по которому абонентское оборудование обменивается информацией с телефонной сетью. Расширенный интерфейс является расширением базового интерфейса и предоставляет дополнительно 30 информационных каналов, в которых телефонные номера не привязаны жестко к каналам. Для передачи данных с высокой скоростью существует специальный протокол (набор правил, определяющий взаимодействие различных абонентских ЭВМ) «инверсного мультиплексирования», позволяющий задействовать несколько информационных каналов одновременно.
В настоящее время для доступа к Internet провайдерами широко предлагается технология ADSL (Asymmetric Digital Subscriber Line) – асимметричная цифровая абонентская линия, позволяющая передавать данные пользователю со скоростью до 8,192 Мбит/с, а от пользователя со скоростью до 768 Кбит/с. Имея линию ADSL, можно одновременно говорить по телефону или передавать факс и работать в сети Internet.
Полоса пропускания телефонной линии при работе ADSL разделяется на два частотных диапазона: ниже 4 кГц (используется для обычной голосовой телефонной связи) и вся доступная полоса частот выше указанной частоты (используется для приема и передачи цифровых данных). Поскольку большинство пользователей Internet получают из сети значительно больший объем данных, чем передает в сеть, для приема данных выделяется более широкая полоса частот, чем для их передачи. Отсюда и название – асимметричная линия.
На рис. 64 показана схема связи по технологии ADSL. Модем может подключаться к персональному компьютеру (ПК) по сетевому кабелю или к порту USB. Сплиттер необходим для объединения сигналов от обычного телефона и модема. Сплиттеры клиента и телефонной станции соединяются по существующей телефонной линии. Со сплиттера телефонной станции сигнал поступает на АТС, обеспечивая прохождение голосовой информации. Основная задача мультиплексора доступа ADSL состоит в выделении высокочастотной составляющей сигнала, содержащей цифровые данные, которые через существующую сеть передачи данных, а затем сеть провайдера передаются в Internet.
Глобальные сети
Глобальные сети бывают четырех основных видов: городские, региональные, национальные и транснациональные. Примером глобальной транснациональной сети является Internet.
Базовая технология, применяемая в глобальных сетях – коммутация пакетов. В соответствии с этой технологией, сообщения, передаваемые между двумя компьютерами (называются хостами), разбиваются на модули, называемые пакетами. Пакеты ограничены по размеру, имеют заголовок с полями, содержащими необходимую адресную информацию, а также сопутствующую информацию, необходимую для сборки сообщения из составляющих его пакетов в пункте назначения.
Телекоммуникационные средства глобальных сетей – Маршрутизаторы (роутеры), высокоскоростные линии связи (от 45 Мбит/с до 160 Гбит/с), повторители, мосты и шлюзы.
Маршрутизаторы – это коммуникационные компьютеры, которые хранят входящие пакеты, анализируют их заголовки, используют таблицы маршрутизации для принятия решения, на какой маршрутизатор послать пакет дальше по его пути к пункту назначения, и помещает пакет в исходящую очередь на выбранную выходную линию.
Шлюзы обеспечивают связь между системами, использующие различные коммуникационные протоколы, структуры и форматы данных, языки, сетевые технологии.
Архитектура Internet. Internet – Всемирная сеть, информация в которой хранится на серверах. Серверы имеют свои адреса и управляются специализированными программами. Доступ отдельных пользователей к информационным ресурсам Internet обычно осуществляется по телефонной сети через провайдера (некоторая организация, имеющая модемный пул для соединения с клиентами и выхода во Всемирную сеть).
Упрощенная схема построения Internet показана на рис. 65. Любая организация для подключения к Internet специальный компьютер, называемый шлюзом. На нем устанавливается специальное программное обеспечение, осуществляющее обработку всех сообщений, проходящих через шлюз. При этом каждый шлюз имеет свой IP-адрес.
Если поступает сообщение, адресованное ЛВС, к которой подключен шлюз, то оно передается в эту ЛВС. Если же сообщение предназначено для другой сети, то оно передается следующему шлюзу. Каждый шлюз имеет информацию обо всех остальных шлюзах и сетях. Шлюзы обмениваются друг с другом информацией о маршрутизации и состоянии сети, используя специальный шлюзовый протокол.
Основные протоколы обмена. Для подключения пользователя к Internet могут использоваться различные способы, отличающиеся по стоимости, удобству и объему предоставляемых услуг.
Электронная почта (E-mail) – наиболее простой и доступный способ доступа в сети Internet. Она позволяет выполнять пересылку любых типов файлов по адресам электронной почты в любую точку планеты за короткий промежуток времени в любое время суток. Работа электронной почты основана на последовательной передаче информации по сети от одного почтового сервера к другому, пока не достигнет адресата. Достоинства – высокая оперативность и низкая стоимость. Недостаток – ограниченность объема пересылаемых файлов.
Usenet разработана как система обмена текстовой информацией. Она позволяет всем пользователям Internet участвовать в групповых дискуссиях, называемых телеконференциями. В настоящее время телеконференции позволяет передавать файлы любых типов. Для работы с телеконференциями наиболее часто используются средства программ просмотра и редактирования Web-документов.
Telnet – это протокол, позволяющий использовать ресурсы удаленного компьютера, т.е. передаче команд от локального компьютера удаленному компьютеру в сети.
FTP – это протокол сети для работы с текстовыми и двоичными файлами. Достоинство – возможность передачи файлов любого типа, вплоть до исполняемых программ. Недостаток – необходимость априорного знания местоположения отыскиваемой информации.
WWW (Всемирная информационная сеть) – гипертекстовая информационно-поисковая система. Гипертекст – текст, содержащий ссылки на другие тексты, графическую, видео- или звуковую информацию. В документе гиперссылка представлена выделенным фрагментом текста. Гипертекстовые документы формируются с помощью специального языка HTML (языка разметка гипертекста). Посредством гипертекстовых ссылок, размещенных на Web-страницах, пользователь может быстро переходить от одного документа к другому, от сайта к сайту, от сервера к серверу.
Блоки данных (страницы) WWW размещаются на отдельных компьютерах, называемых Web-серверами и принадлежащих отдельным организациям или частным лицам. Наименьший документ сети, имеющий собственный доменный адрес, называется Web-страницей. Группа тематически объединенных Web-страниц, размещенных на одном сервере, называется сайтом. Web-страницы, предназначенные для использования в качестве начальных, называются порталами. На них содержится все, что может потребоваться пользователю в первый момент: ссылки для доступа к поисковым службам, последние новости, биржевые сводки, результаты спортивных состязаний, сводки погоды, объявления о появлении новых программ, изделий, товаров, услуг.
Программы, предназначенные для просмотра Web-страницы, называют браузерами (обозревателями). В настоящее время браузеры становятся универсальными клиентами, позволяющими получать файлы, почту, новости, видеоконференции, радиопередачи. Наиболее удобными и многофункциональными программами просмотра являются обозреватели Netscape Communicator и Microsoft Internet Explorer. Они позволяют отображать на экране любые документы, созданные в любой операционной среде и на любом компьютере, конфигурация которого обеспечивает работу в сети.
IRC – прямое общение нескольких человек в режиме реального времени. Этот вид услуг называют еще чат- конференцией.
ICQ – Internet-пейджер, позволяющий вести двухсторонний обмен информацией в режиме реального времени. Программа автоматически ищет заранее отобранных людей и уведомляет пользователя об их подключении к сети.
Internet Phone – Интернет-телефония. Речь преобразуется в цифровой файл, который передается по сети. Возможна также передача видеоизображения, обмен текстовыми сообщениями, совместное использование графического редактора, обмен файлами.
Адресация. В Internet каждому компьютеру назначается свой уникальный сетевой адрес – IP-адрес, имеющий длину 32 бита и состоящий из 4 частей по 8 битов. Каждая часть может принимать значения от 0 до 255 и отделяется от других частей точкой.
Для удобства пользователя сетевому адресу ставится в соответствие доменный (символьный) адрес, записываемый следующим образом:
<протокол службы>:// <имя компьютера>.<имя домена> [/<путь к файлу>],
где в квадратных скобках указан необязательный элемент адреса. Для пользователей Internet адресами могут быть их регистрационные имена на сервере. В этом случае за именем следует знак @ и все это слева присоединяется к имени компьютера (сервера). Имя домена может состоять из сегментов, разделяемых точкой. Обычно сегменты домена (поддомены) образуют иерархическую структуру: первый слева поддомен, как правило, является названием компьютера, которому присвоен этот адрес, следующий относится к названию организации, где находится этот компьютер, а крайний правый является сокращенным обозначением страны.
Указание адресов Web-страниц выполняется с помощью Унифицированного указателя ресурсов (URL – Uniform Resource Locator). В общем случае URL включает в себя указатель на тип ресурса, доменное имя компьютера и необязательную спецификацию файла (папку и имя). Например, в составе URL http://www.firma.ru/catalog/document. htm некоторой страницы компоненты имеют следующий смысл: http указывает на протокол, используемый при адресации; www.firma.ru задает доменное имя компьютера; catalog/document.htm указывает спецификацию файла.
Поиск информации в Internet. Для организации поиска информации на всех WWW-серверах используются следующие основные подходы:
- создание Web-индексов. Здесь подразумевается автоматический сбор, просмотр и индексирование информации с помощью специальных поисковых программ. Наиболее популярными их зарубежными представителями являются Alta Vista (http://altavista.digital.com), HotBot (http://www. hotbot.com), Open Text (http://www. opentext.com). Из отечественных – Aport (http://www.aport.ru/), Rambler (http://www. rambler.ru/), Яндекс (http://www.yandex.ru/). Достоинством поисковых систем такого типа является наличие большой базы данных и очень в высокая скорость обработки запросов. Недостаток – низкое качество обработки информации;
- создание Web-каталогов. Этот подход предполагает организацию предметно-ориентированной информационной системы с каталогами. Анализ и классификация поступающих данных выполняются квалифицированными специалистами. Популярными зарубежными представителями поисковых систем такого типа являются Yahoo! (http://www.yahoo.com) и Magellan (http://www.magellan.com), а отечественным – Атрус (@Rus) (http://www.atrus.ru/). Достоинством их является высокое качество сортировки информации, недостатком – высокая трудоемкость создания и обновления информации;
- гибридные системы поиска. В таких системах можно пользоваться и индексами и тематическими каталогами. Представителями гибридных систем поиска являются Lycos (http://www.lycos.com), Excite (http://www.excite.com) и WebCrawler (http://www.webcrawler.com). Достоинства и недостатки гибридных систем поиска определяются степенью реализации первого и второго принципов хранения и поиска информации;
- онлайновые справочники. Они составляются вручную, но, в отличие от Web-каталогов, не содержат внутренний поисковый механизм, поэтому информацию в них нужно искать самостоятельно. К числу широко известных онлайновых справочников относятся: Whole Internet Catalog (http://nearnet.gnn.com/gnn/wic/index.html), Web Server Directory (http://www.w3.org/hypertext/DataSource/WWW/Servers.html), тематический справочник BigBook (http://www.bigbook.com), алфавитный классификатор Hoovers (http://www.hoovers.com).
Основы защиты информации
Защита информации необходима для уменьшения вероятности утечки (разглашения), модификации (умышленного искажения) или утраты (уничтожения) информации, представляющей определенную ценность для ее владельца.
Методы защиты информации.Методом защиты информации называют порядок и правила применения определенных принципов и средств защиты информации. При обеспечении информационной безопасности на автономных ЭВМ и в сетях ключевую роль играют программно-аппаратные методы защиты информации: метод эталонных характеристик (получил применение в последние десятилетия), криптографические методы и стеганографические методы.
1. Метод эталонных характеристик применяется для решения задач защиты от несанкционированного доступа и поддержания целостности информации. Он заключается в анализе аппаратно-программной среды и формировании уникального идентификатора (пароль, секретные и открытые ключи и т.д.) аппаратно-программной среды. Только субъект, обладающий этим уникальным идентификатором, имеет право доступа к информации.
2. Суть криптографического метода защиты информации заключается в преобразовании при помощи ключа открытых данных в зашифрованные данные. Ключ – информация, необходимая для беспрепятственного шифрования и расшифровывания текстов.
Способы шифрования можно разделить на 4 группы: перестановки, замены, аддитивные и комбинированные. При перестановке все буквы исходного текста остаются без изменения, но перемещаются на другие позиции. Перестановки получаются в результате записи исходного текста по разным путям некоторой геометрической фигуры. При замене позиции букв не меняются, но буквы заменяются символами другого алфавита, в частности числами. В аддитивном методе к числам, заменяющим буквы, добавляются числа секретной псевдослучайной числовой последовательности. Комбинированные методы предполагают использование нескольких методов в определенной последовательности.
Современная криптография включает в себя симметричные криптосистемы, криптосистемы с открытым ключом и системы электронной подписи.
В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ. Поэтому ключ должен быть секретным и доступен только тем, кому предназначено сообщение.
В системах с открытым ключом используются два ключа – открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого (секретного) ключа, известного только получателю сообщения.
Электронной (цифровой) подписью (ЭЦП) называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения. ЭЦП обеспечивает целостность сообщений, передаваемых по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения, с гарантированной идентификацией ее автора.
3. Суть стеганографического метода защиты информации заключается в том, что скрываемое сообщение встраивается в некоторый обычный, не привлекающий внимания объект, который открыто транспортируется адресату. При этом скрывается сам факт существования тайного сообщения.
Цифровая стеганография – наука о незаметном и надежном скрытии одних битовых последовательностей в других, имеющих аналоговую природу. Цифровая стеганография использует встраивание информации с целью ее скрытой передачи, встраивание цифровых водяных знаков, встраивание идентификационных номеров, встраивание заголовков.
При скрытой передаче данные маскируются в сигнале (контейнере), в качестве которого могут выступать ауди-, видеосигнал или графическое изображение.
Цифровой водяной знак (ЦВЗ) – специальная метка, незаметно внедряемая в изображение или другой сигнал с целью контроля его использования. Они могут применяться для защиты от копирования и несанкционированного использования, защиты авторских прав и интеллектуальной собственности, представленной в цифровом виде.
Метод встраивания идентификационных номеров производителей имеет много общего с технологией ЦВЗ. Отличие заключается в том, что каждая защищенная копия имеет свой уникальный встраиваемый номер. Этот идентификационный номер позволяет производителю отследить, не занялся ли кто-нибудь из покупателей незаконным тиражированием. Если да, то наличие номера быстро укажет виновного.
Метод встраивания заголовков может применяться для подписи медицинских снимков, нанесения легенды на карту и в других случаях. Целью является хранение разнородно представленной информации в едином целом.
Средства защиты информации. Под средством защиты информации понимают техническое, программное средство, вещество и/или материал, предназначенное или используемое для защиты информации.
К основным программно-аппаратным средствам защиты информации можно отнести системы разграничения доступа, межсетевые экраны, системы обнаружения атак, средства анализа защищенности и системы построения VPN.
1. При разграничении доступа к ресурсам компьютерной системы пользователь должен пройти процесс первичного взаимодействия с ней – идентификацию и аутентификацию.
Идентификация – процедура распознавания пользователя по его идентификатору (имени).
Аутентификация – процедура проверки подлинности, позволяющая убедиться, что пользователь является именно тем, кем он себя объявляет. При этом субъект может предъявлять системе пароли, персональные идентификационные номера (PIN) и т.п.
После идентификации и аутентификации пользователя система защиты должна определить его полномочия для последующего контроля санкционированности доступа к компьютерным ресурсам.
2. Межсетевой экран (Fire Wall – огненная стена) – это программное или программно-аппаратное средство, реализующее контроль информации, поступающей в компьютерную систему и/или выходящей из нее.
Различают три основных типа межсетевого экрана (МЭ): сегментные, персональные и встраиваемые.
Под сегментными понимают МЭ, установленные на границе двух или более сетей. Таки образом, сегментные МЭ выполняют защиту сетей. Сегментный МЭ можно представить как сетевой маршрутизатор, который помимо основной задачи выполняет и анализ информационных потоков на соответствие требованиям политики безопасности. Информационные потоки, не удовлетворяющие этим требованиям, блокируются.
Персональные МЭ защищают рабочие станции от внешних сетевых угроз и сетевых троянских программ. Среди таких МЭ выделяют пакетные фильтры, прокси-серверы и гибридные МЭ. Пакетные фильтры отслеживают только сетевые пакеты на сетевом и транспортном уровне и не могут отслеживать соответствие пакетов и сетевых приложений. Прокси-серверы отслеживают активность сетевых приложений. Гибридные МЭ поддерживают функциональность и пакетных фильтров, и мониторов приложений, что позволяет реализовывать политику безопасности на уровне сетевых приложений и на пакетном уровне.
Встраиваемые МЭ устанавливаются на прикладных серверах и предназначены для их защиты. Встраиваемые МЭ обеспечивают защиту по принципу персональных фильтрующих МЭ, однако не обеспечивают интерактивности взаимодействия с администратором прикладного сервера.
3. Средства защиты информации на основе методов построения систем обнаружения атак (СОА) условно разделяют на 2 класса:
- СОА на уровне сети анализируют сетевой трафик, вследствие чего они идентифицируют нападения прежде, чем они достигнут атакуемого узла. Анализ заключается в мониторинге сетевого трафика в реальном или близком к реальному времени и использовании, как правило, механизма поиска в трафике определенных строк, которые могут характеризовать несанкционированную деятельность;
- СОА на уровне компьютера пользователя анализирует регистрационные журналы (log, audit trail), создаваемые операционной системой, прикладным программным обеспечением, маршрутизаторами и т.д.
4. Для проведения активного аудита безопасности используются специальные программные средства, выполняющие обследование компьютерной системы с целью выявления уязвимых мест (наличия «дыр») для электронного вторжения, а также, обеспечивающие комплексную оценку степени защищенности от атак нарушителей.
Существуют два метода автоматизации процессов анализа защищенности: использование технологии интеллектуальных программных агентов и активное тестирование механизмов защиты путем эмуляции действий злоумышленника по осуществлению попыток сетевого вторжения в компьютерную систему.
В первом случае система защиты строится на архитектуре консоль/ менеджер/агент. На каждую из контролируемых систем устанавливается программный агент, который выполняет настройки программного обеспечения и проверяет их правильность, контролирует целостность файлов и своевременность установки пакетов программных коррекций. Менеджеры посылают управляющие команды всем агентам контролируемого ими домена и сохраняют все данные, полученные от агентов, в центральной базе данных. Администратор управляет менеджерами при помощи графической консоли, позволяющей выбирать, настраивать и создавать политики безопасности, анализировать изменения состояния системы, осуществлять ранжирование уязвимостей и т.п. Все взаимодействия между агентами, менеджерами и управляющей консолью производятся по защищенному клиент-серверному протоколу. Примерами развитых продуктов этого класса является система ESM компании Symantec и System Scanner компании ISS.
Во втором случае применяются сетевые сканеры. Принцип работы сканера заключается в моделировании действий злоумышленника, производящего анализ сети при помощи стандартных сетевых утилит. При этом используются известные уязвимости сетевых служб, сетевых протоколов и операционных систем для осуществления удаленных атак на системные ресурсы и производится документирование удачных попыток. Одним из наиболее продвинутых коммерческих продуктов этого класса является сетевой сканер Net Recon компании Symantec, база данных которого содержит около 800 уязвимостей Unix, Windows и NetWare систем и постоянно обновляется через Web.
5. Технология VPN (Virtual Private Network) – виртуальная частная сеть, позволяет использовать сети общего пользования для построения защищенных сетевых соединений. Термин «виртуальная» указывает на то, что соединение между двумя узлами сети не является постоянным и существует только во время прохождения трафика по сети. В основе построения лежит следующая идея: если в глобальной сети есть два узла, которые хотят обменяться информацией, то для обеспечения конфиденциальности и целостности передаваемой по открытым сетям информации необходимо построить виртуальный туннель, доступ к которому должен быть затруднен всем возможным внешним наблюдателям.
- Технология VPN выполняет две основные функции: шифрование данных для обеспечения безопасности сетевых соединений и туннелирование высокая скорость обработки запросов. Недостаток – низкое качество обработки информации;
- создание Web-каталогов. Этот подход предполагает организацию предметно-ориентированной информационной системы с каталогами. Анализ и классификация поступающих данных выполняются квалифицированными специалистами. Популярными зарубежными представителями поисковых систем такого типа являются Yahoo! (http://www.yahoo.com) и Magellan (http://www.magellan.com), а отечественным – Атрус (@Rus) (http://www.atrus.ru/). Достоинством их является высокое качество сортировки информации, недостатком – высокая трудоемкость создания и обновления информации;
- гибридные системы поиска. В таких системах можно пользоваться и индексами и тематическими каталогами. Представителями гибридных систем поиска являются Lycos (http://www.lycos.com), Excite (http://www.excite.com) и WebCrawler (http://www.webcrawler.com). Достоинства и недостатки гибридных систем поиска определяются степенью реализации первого и второго принципов хранения и поиска информации;
- онлайновые справочники. Они составляются вручную, но, в отличие от Web-каталогов, не содержат внутренний поисковый механизм, поэтому информацию в них нужно искать самостоятельно. К числу широко известных онлайновых справочников относятся: Whole Internet Catalog (http://nearnet.gnn.com/gnn/wic/index.html), Web Server Directory (http://www.w3.org/hypertext/DataSource/WWW/Servers.html), тематический справочник BigBook (http://www.bigbook.com), алфавитный классификатор Hoovers (http://www.hoovers.com).