Информационные технологии в муниципальной сфере

Понятие “структурированность”  означает, что кабельную систему  здания можно разделить на несколько  уровней в зависимости от назначения и месторасположения компонентов  кабельной системы. Например, кабельная  система SYSTIMAX SCS состоит из :

- Внешней подсистемы (campus subsystem)

- Аппаратных (equipment room)

- Административной подсистемы (administrative subsystem)

- Магистрали (backbone cabling)

- Горизонтальной подсистемы (horizontal subsystem)

- Рабочих мест (work location subsystem)

Внешняя подсистема состоит  из медного оптоволоконного кабеля, устройств электрической защиты и заземления и связывает коммуникационную и обрабатывающую аппаратуру в здании (или комплексе зданий). Кроме  того, в эту подсистему входят устройства сопряжения внешних кабельных линий  и внутренними.

Аппаратные служат для размещения различного коммуникационного  оборудования, предназначенного для  обеспечения работы административной подсистемы.

Административная  подсистема предназначена для быстрого и легкого управления кабельной  системы SYSTIMAX SCS при изменении планов размещения персонала и отделов. В ее состав входят кабельная система (неэкранированная витая пара и оптоволокно), устройства коммутации и сопряжения магистрали и горизонтальной подсистемы, соединительные шнуры, маркировочные  средства и т.д.

Магистраль состоит  из медного кабеля или комбинации медного и оптоволоконного кабеля и вспомогательного оборудования. Она  связывает между собой этажи  здания или большие площади одного и того же этажа.

Горизонтальная система  на базе витого медного кабеля расширяет  основную магистраль от входных точек  административной системы этажа  к розеткам на рабочем месте.

И, наконец, оборудование рабочих мест включает в себя соединительные шнуры, адаптеры, устройства сопряжения и обеспечивает механическое и электрическое соединение между оборудованием рабочего места и горизонтальной кабельной подсистемы.

Наилучшим способом защиты кабеля от физических (а иногда и  температурных и химических воздействий, например, в производственных цехах) является прокладка кабелей с  использованием в различной степени  защищенных коробов. При прокладке  сетевого кабеля вблизи источников электромагнитного  излучения необходимо выполнять  следующие требования:

а) неэкранированная витая пара должна отстоять минимум  на 15-30 см от электрического кабеля, розеток, трансформаторов и т.д.

б) требования к коаксиальному  кабелю менее жесткие - расстояние до электрической линии или электроприборов  должно быть не менее 10-15 см.

Другая важная проблема правильной инсталляции и безотказной  работы кабельной системы - соответствие всех ее компонентов требованиям  международных стандартов.

Наибольшее распространение  в настоящее время получили следующие  стандарты кабельных систем :

Спецификации корпорации IBM, которые предусматривают девять различных типов кабелей. Наиболее распространенным среди них является кабель IBM type 1 -

- экранированная витая  пара (STP) для сетей Token Ring.

Система категорий  Underwriters Labs (UL) представлена этой лабораторией совместно с корпорацией Anixter. Система включает пять уровней кабелей. В настоящее время система UL приведена в соответствие с системой категорий EIA/TIA.

Стандарт EIA/TIA 568 был разработан совместными усилиями UL, American National Standarts Institute (ANSI) и Electronic Industry Association/Telecommunications Industry Association, подгруппой TR41.8.1 для кабельных систем на витой паре (UTP).

В дополнение к стандарту EIA/TIA 568 существует документ DIS 11801, разработанный International Standard Organization (ISO) и International Electrotechnical Commission (IEC). Данный стандарт использует термин “категория” для отдельных кабелей и термин “класс” для кабельных систем.

Необходимо также  отметить, что требования стандарта EIA/TIA 568 относятся только к сетевому кабелю. Но реальные системы, помимо кабеля, включают также соединительные разъемы, розетки, распределительные панели и другие элементы. Использования  только кабеля категории 5 не гарантирует  создание кабельной системы этой категории. В связи с этим все  выше перечисленное оборудование должно быть также сертифицировано на соответствие данной категории кабельной системы.

3.2 Системы электроснабжения

Наиболее надежным средством предотвращения потерь информации при кратковременном отключении электроэнергии в настоящее время  является установка источников бесперебойного питания. Различные по своим техническим  и потребительским характеристикам, подобные устройства могут обеспечить питание всей локальной сети или  отдельной компьютера в течение  промежутка времени, достаточного для  восстановления подачи напряжения или  для сохранения информации на магнитные  носители. Большинство источников бесперебойного питания одновременно выполняет  функции и стабилизатора напряжения, что является дополнительной защитой  от скачков напряжения в сети. Многие современные сетевые устройства - серверы, концентраторы, мосты и  т.д. - оснащены собственными дублированными системами электропитания.

За рубежом корпорации имеют собственные аварийные  электрогенераторы или резервные  линии электропитания. Эти линии  подключены к разным подстанциям, и  при выходе из строя одной них  электроснабжение осуществляется с  резервной подстанции.

3.3 Системы архивирования  и дублирования  информации

Организация надежной и эффективной системы архивации  данных является одной из важнейших  задач по обеспечению сохранности  информации в сети. В небольших  сетях, где установлены один-два  сервера, чаще всего применяется  установка системы архивации  непосредственно в свободные  слоты серверов. В крупных корпоративных  сетях наиболее предпочтительно  организовать выделенный специализированный архивационный сервер.

Хранение архивной информации, представляющей особую ценность, должно быть организовано в специальном  охраняемом помещении. Специалисты  рекомендуют хранить дубликаты  архивов наиболее ценных данных в  другом здании, на случай пожара или  стихийного бедствия.

4 ПРОГРАММНО-ТЕХНИЧЕСКИЕ  СРЕДСТВА

4.1 Идентификация и  аутентификация

Идентификацию и аутентификацию можно считать основой программно-технических  средств безопасности, поскольку  остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация - это первая линия обороны, "проходная" информационного пространства организации.

Идентификация позволяет  субъекту - пользователю или процессу, действующему от имени определенного  пользователя, назвать себя, сообщив  свое имя. Посредством аутентификации вторая сторона убеждается, что субъект  действительно тот, за кого себя выдает. В качестве синонима слова "аутентификация" иногда используют сочетание "проверка подлинности". Субъект может подтвердить  свою подлинность, если предъявит по крайней мере одну из следующих сущностей:

*нечто, что он  знает: пароль, личный идентификационный  номер, криптографический ключ  и т.п.,

*нечто, чем он  владеет: личную карточку или  иное устройство аналогичного  назначения,

*нечто, что является  частью его самого: голос, отпечатки  пальцев и т.п., то есть свои  биометрические характеристики,

*нечто, ассоциированное  с ним, например координаты.

Надежная идентификация  и аутентификация затруднена по ряду принципиальных причин. Во-первых, компьютерная система основывается на информации в том виде, в каком она была получена; строго говоря, источник информации остается неизвестным. Например, злоумышленник  мог воспроизвести ранее перехваченные  данные. Следовательно, необходимо принять  меры для безопасного ввода и  передачи идентификационной и аутентификационной информации; в сетевой среде это сопряжено с особыми трудностями. Во-вторых, почти все аутентификационные сущности можно узнать, украсть или подделать. В-третьих, имеется противоречие между надежностью аутентификации с одной стороны, и удобствами пользователя и системного администратора с другой. Так, из соображений безопасности необходимо с определенной частотой просить пользователя повторно вводить аутентификационную информацию (ведь на его место мог сесть другой человек), а это повышает вероятность подглядывания за вводом. В-четвертых, чем надежнее средство защиты, тем оно дороже.

Необходимо искать компромисс между надежностью, доступностью по цене и удобством использования  и администрирования средств  идентификации и аутентификации. Обычно компромисс достигается за счет комбинирования двух первых из перечисленных базовых механизмов проверки подлинности.

Наиболее распространенным средством аутентификации являются пароли. Система сравнивает введенный  и ранее заданный для данного  пользователя пароль; в случае совпадения подлинность пользователя считается  доказанной. Другое средство, постепенно набирающее популярность и обеспечивающее наибольшую эффективность, - секретные  криптографические ключи пользователей.

Главное достоинство  парольной аутентификации - простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании  пароли могут обеспечить приемлемый для многих организаций уровень  безопасности. Тем не менее по совокупности характеристик их следует признать самым слабым средством проверки подлинности. Надежность паролей основывается на способности помнить их и хранить в тайне. Ввод пароля можно подсмотреть. Пароль можно угадать методом грубой силы(Brutforce), используя, быть может, словарь. Если файл паролей зашифрован, но доступен на чтение, его можно перекачать к себе на компьютер и попытаться подобрать пароль, запрограммировав полный перебор.

Пароли уязвимы  по отношению к электронному перехвату - это наиболее принципиальный недостаток, который нельзя компенсировать улучшением администрирования или обучением  пользователей. Практически единственный выход - использование криптографии для шифрования паролей перед  передачей по линиям связи или  вообще их не передавать, как это  делается в сервере аутентификации Kerberos.

Тем не менее, следующие  меры позволяют значительно повысить надежность парольной защиты:

*наложение технических  ограничений (пароль должен быть  не слишком коротким, он должен  содержать буквы, цифры, знаки  пунктуации и т.п.);

*управление сроком  действия паролей, их периодическая  смена;

*ограничение доступа  к файлу паролей;

*ограничение числа  неудачных попыток входа в  систему, что затруднит применение  метода грубой силы;

*обучение и воспитание  пользователей.

Перечисленные меры целесообразно  применять всегда, даже если наряду с паролями используются другие методы аутентификации, основанные, например, на применении токенов.

Токен - это предмет или устройство, владение которым подтверждает подлинность пользователя. Различают токены с памятью (пассивные, которые только хранят, но не обрабатывают информацию) и интеллектуальные токены (активные).

Самой распространенной разновидностью токенов с памятью являются карточки с магнитной полосой. Для использования подобных токенов необходимо устройство чтения, снабженное также клавиатурой и процессором. Обычно пользователь набирает на этой клавиатуре свой личный идентификационный номер, после чего процессор проверяет его совпадение с тем, что записано на карточке, а также подлинность самой карточки. Таким образом, здесь фактически применяется комбинация двух способов защиты, что существенно затрудняет действия злоумышленника.

Необходима обработка  аутентификационной информации самим устройством чтения, без передачи в компьютер - это исключает возможность электронного перехвата.

Иногда (обычно для  физического контроля доступа) карточки применяют сами по себе, без запроса  личного идентификационного номера.

Как известно, одним  из самых мощных средств в руках злоумышленника является изменение программы аутентификации, при котором пароли не только проверяются, но и запоминаются для последующего несанкционированного использования.

Интеллектуальные  токены характеризуются наличием собственной вычислительной мощности. Они подразделяются на интеллектуальные карты, стандартизованные ISO и прочие токены. Карты нуждаются в интерфейсном устройстве, прочие токены обычно обладают ручным интерфейсом (дисплеем и клавиатурой) и по внешнему виду напоминают калькуляторы. Чтобы токен начал работать, пользователь должен ввести свой личный идентификационный номер.

По принципу действия интеллектуальные токены можно разделить на следующие категории.

*Статический обмен  паролями: пользователь обычным  образом доказывает токену свою подлинность, затем токен проверяется компьютерной системой.

*Динамическая генерация  паролей: токен генерирует пароли, периодически изменяя их. Компьютерная система должна иметь синхронизированный генератор паролей. Информация от токена поступает по электронному интерфейсу или набирается пользователем на клавиатуре терминала.

*Запросно-ответные  системы: компьютер выдает случайное  число, которое преобразуется  криптографическим механизмом, встроенным  в токен, после чего результат возвращается в компьютер для проверки. Здесь также возможно использование электронного или ручного интерфейса. В последнем случае пользователь читает запрос с экрана терминала, набирает его на клавиатуре токена (возможно, в это время вводится и личный номер), а на дисплее токена видит ответ и переносит его на клавиатуру терминала.