Администрирование информационных систем Обзорная лекция
Основные понятия Информационная вычислительная система (ИВС) комплекс программных и аппаратных средств для обеспечения автоматизации производства и других сфер жизнедеятельности человека, включающий в качестве составных частей серверное и сетеобразующее оборудование.
Основные понятия Пользователь ИВС (User) – физическое лицо, имеющее доступ к определенным ресурсам ИВС идентифицируемое бюджетом пользователя (учетной записью). Администратор ИВС также является пользователем ИВС обладая, в общем случае, неограниченным доступом ко всем ресурсам ИВС.
Основные понятия Администратор ИВС (Administrator) – должностное лицо, ответственное за работоспособность и надлежащее функционирование всех частей ИВС. У администратора большой ИВС в подчинении могут находиться администраторы частей и подсистем ИВС – например администратор локально- вычислительной сети, администратор сетевой ОС, администратор БД, а также технический персонал.
Функции администратора ИВС Администратор ИВС обеспечивает надлежащую работоспособность ИВС, выполняя определенные функции (или должностные обязанности). К основным функциям администратора относятся: 1. Управление учетными записями пользователей. Включает регистрацию пользователей, контроль использования учетных записей, задание ограничений на использование
Функции администратора ИВС учетных записей, блокирование временно не использующихся учетных записей, удаление учетных записей. 2. Управление доступом к ресурсам. Включает создание логических и регистрацию физических ресурсов ИВС, обеспечение управляемого доступа к ресурсам с помощью списков управления доступом, контроль использования ресурсов.
Функции администратора ИВС 3. Обеспечение сохранности, секретности и актуальности данных. Включает создание и поддержание нужного количества резервных копий, восстановление при необходимости данных, защиту данных от несанкционированного доступа (путем установки соответствующих прав доступа), своевременное обновление данных.
Функции администратора ИВС 4. Установка и сопровождение программного и аппаратного обеспечения. Включает установку ОС на серверах и рабочих станциях ИВС, установку серверного и клиентского ПО, установку дополнительного аппаратного обеспечения; настройку и контроль работоспособности программного и аппаратного обеспечения.
«Золотые» правила администратора 1. Никогда не проводи экспериментов на работающей системе. Если это все-таки необходимо, сделай сначала полную резервную копию данных. 2. Никогда не меняй конфигурацию сервера (как аппаратную, так и программную), не сделав предварительно полную резервную копию данных.
«Золотые» правила администратора 3. Всегда документируй свои действия в журнале администратора. Если это возможно, пользуйся встроенными в серверные ОС средствами аудита и журналирования. 4. Если можно переложить часть работы на подчиненного, сделай это. Но если ты не уверен, что подчиненный справится с заданием должным образом, сделай это сам.
«Золотые» правила администратора 5. Всегда соотноси назначаемые права с мерой ответственности, связанной с теми или иными правами, т.е. пользователь, имеющий больше прав, берет на себя больше ответственности. Администратор должен обладать полными правами на вверенную ему систему.
«Золотые» правила администратора 6. При работе с ресурсами ИВС в качестве пользователя (редактирование документов, просмотр и отправка почтовых сообщений, разработка ПО и т. п.) используй учетную запись с обычными правами доступа, а не учетную запись администратора.
«Золотые» правила администратора 7. Регулярно меняй пароль учетной записи администратора. Но не полагайся на свою память - записывай пароль на бумаге и храни в месте с ограниченным доступом посторонних лиц (сейф, от которого ключи только у тебя и. может быть, твоего прямого начальника).
Основные задачи администрирования ИС Основная цель организации администрирования ИС – реализация задачи обеспечения политики информационной безопасности и обеспечение функционирования ИС. Инструменты администрирования – программные и аппаратные средства, обеспечивающие выполнение политики безопасности.
Политика безопасности среднего уровня К среднему уровню относят вопросы, относящиеся к отдельным аспектам информационной безопасности. Например, организация доступа сотрудников в сеть Интернет или установка и использование ПО. Политика среднего уровня для каждого аспекта должна освещать: описание аспекта; область применения; позиция организации по данному вопросу; роли и обязанности; законопослушность; точки контакта.
Политика безопасности нижнего уровня Политика безопасности нижнего уровня относится к работе конкретных информационных сервисов. Такая политика включает в себя два аспекта: цели; правила достижения заданных целей. Политика безопасности данного уровня быть выражена полно, четко и конкретно. Например, определять сотрудников, имеющих право на работу с конкретной информационной системой и данными. Из целей выводятся правила безопасности, описывающие кто, что и при каких условиях может выполнять те или иные процедуры с информационными сервисами.
Административный уровень защиты информации После формулирования политики безопасности, составляется программа обеспечения информационной безопасности. Программа безопасности также структурируется по уровням. В простом случае достаточно двух уровней: верхнего (центрального) – охватывающего всю организацию; нижнего (служебного) – относящегося к отдельным услугам или группам однородных сервисов.
Программа верхнего уровня Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. Цели такой программы: Управление рисками (оценка рисков, выбор эффективных решений); Координация деятельности в области информационной безопасности Стратегическое планирование Контроль деятельности в области информационной безопасности. Контроль деятельности в области ИБ должен гарантировать, во-первых, что действия организации не противоречат законам, во-вторых, что состояние безопасности в организации соответствует требованиям и реагировать на случаи нарушений.
Программы служебного уровня Цель программы нижнего уровня – обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов. На нижнем уровне осуществляется выбор механизмов защиты, технических и программных средств. Ответственность за реализацию программ нижнего уровня обычно несут администраторы соответствующих сервисов.
Составные части ИС
Составные части ИВС
Техническое (аппаратное) обеспечение Техническое (аппаратное) обеспечение является основой ИВС и определяет вычислительную мощность ИВС в целом. Все аппаратное обеспечение можно разделить на вычислительные установки, кабельное, каналов- и сетеобразуюшее, периферийное и дополнительное оборудование. Вычислительные установки можно разделить на две большие группы: серверы и рабочие станции.
Техническое (аппаратное) обеспечение Сервер (Server) это вычислительная установка, которая служит преимущественно для совместного использования его информационно-вычислительных ресурсов, к которым относятся, прежде всего, центральный процессор или процессоры (например, если это SMP-система), оперативная и внешняя память (прежде всего, жесткие диски).
Основные требования к современному серверу: 1. Масштабируемость (Scalability) возможность наращивания мощности ВУ (количество и быстродействие процессоров, объем оперативной и внешней памяти) для пропорционального увеличения скорости и плотности (определенное количество запросов в единицу времени) обработки запросов, а также объемов хранимой информации.
Основные требования к современному серверу: 1. Масштабируемость (Scalability) возможность наращивания мощности ВУ (количество и быстродействие процессоров, объем оперативной и внешней памяти) для пропорционального увеличения скорости и плотности (определенное количество запросов в единицу времени) обработки запросов, а также объемов хранимой информации.
Основные требования к современному серверу: 2. Отказоустойчивость (Intolerance) возможность системы полностью восстанавливать свою работоспособность при аппаратных сбоях и высокая доступность ( High Level of Availability) возможность системы продолжать обслуживание запросов при аппаратных сбоях. Обеспечивается Дублированием (Duplexing) основных аппаратных компонентов ВУ, чаше всего выходящих из строя (обычно имеющих механические части, а также избыточностью (Redundancy) хранящейся информации.
Основные требования к современному серверу: 3. Управляемость (Manageability) возможность удаленного управления, сбора сведений о работе подсистем сервера. Обеспечивается специальными программно- аппаратными комплексами, разрабатываемыми и поставляемыми производителями серверов.
Основные требования к современному серверу: Для обеспечения отказоустойчивости и высокой доступности в современных серверах используются следующие технологии и компоненты: горячая замена компонент (Hot Swapping) позволяет менять компоненты аппаратного обеспечения, не отключая электропитания от ВУ. Есть решения для жестких дисков, источников питания, вентиляторов и плат расширения;
Основные требования к современному серверу: большое количество оперативной памяти Массивы независимых резервных дисков (Redundant Array of Independent Disks / RAID)
Политики, процедуры Физическая защита Модель многослойной защиты Использование многослойной модели защиты позволяет: Уменьшить шанс успеха атаки Увеличить вероятность обнаружения атаки Защита ОС, аутентификация, управление обновлениями Брандмауэры, управление карантином доступа Охрана, замки и запирающие устройства Сегментация сети, IPSec Защита приложений, антивирусы ACL, шифрование, EFS Документы по безопасности, обучение пользователей Периметр сети Внутренняя сеть Компьютер Приложения Данные
Описание уровня данных Документы Каталоги Файлы приложений
Документы Каталоги Файлы приложений Просмотр, изменение и удаление информации Считывание данных каталогов Подмена и искажение файлов приложений Угрозы на уровне данных
Задачи администрирования – уровень данных На уровне данных задача администрирования – управление доступом к данным. Политики управления доступом – дискреционная, мандатная, ролевая. Инструменты управления доступом – списки прав доступа (ACL), метки доступа, биты защиты и т.п. Доступ к данным регулируется на уровне файловой системы – доступ к файлам, на уровне объектов БД – доступ к таблицам, представлениям. Шифрование данных – установка и администрирование PKI. Обеспечение регулярного резервного копирования.
Описание уровня приложений Данный уровень включает как клиентскую, так и серверную часть приложения Требуется поддержка функционирования Клиентские приложения: Microsoft Outlook, Microsoft Office Suite Серверные приложения: Web Servers, Exchange Server, SQL Server
Нарушения на уровне приложений Потеря функциональности приложения Исполнение вредоносного кода Чрезмерная нагрузка на приложение – DoS атака Нежелательное использование приложения
Задачи администрирования – уровень приложений На уровне приложений основные задачи администрирования – определение прав пользователей на запуск и управление процессами. Установление прав доступа к прикладным программам и процессам. Управление групповыми политиками на ограничение использования ПК.
Описание уровня хоста Включает отдельные ПК пользователей сети Часто играет специальную роль в ИС Обеспечение ИБ хоста требует баланса между защищенностью и удобством работы пользователя
Уязвимости уровня хоста Использование небезопасной конфигурации ОС Использование уязвимостей ОС Распространение вирусов Несанкционированный доступ
Задачи администрирования – уровень хоста На уровне хоста основные задачи администрирования – определение прав пользователей на работу с компьютером (разграничение входа). Определение ограничений на выполнение программ и приложений в вычислительной системе.
Описание уровня ЛВС Wireless Network Отдел продаж Финансовый отдел Отдел кадров Отдел маркетинга
Нарушения уровня ЛВС НСД к системе Доступ к сетевому трафику НСД в Wireless Networks НСД к портам Перехват сетевых пакетов
Задачи администрирования – уровень локальной сети На уровне локальной сети основные задачи администрирования – определение прав пользователей на работу в сети (многофакторная аутентификация). Использование инфраструктуры открытых ключей – PKI для шифрования трафика. Использование служб каталогов для публикации ресурсов и разграничения прав доступа. Сегментация сети и администрирование сетевых служб.
Бизнес партнер Удаленный офис Описание уровня периметра сети LAN Периметр сети включает следующие соединения: Internet Удаленный офис Бизнес партнеры Удаленные пользователи Wireless networks Интернет-приложения Internet Удаленный офис Бизнес партнеры Удаленные пользователи Wireless networks Интернет-приложения Удаленный пользователь Internet Головной офис LAN Internet Services LAN Wireless Network
Угрозы на уровне периметра сети включаюи: Угрозы на уровне периметра сети Бизнес партнер Удаленный офис LAN Удаленный пользователь Internet Головной офис LAN Internet Services LAN Атаки на корп. сеть Атаки на уд. пользователей Атаки со стороны бизнес- партенров Атаки со стороны уд. Офиса Атаки со стороны служб Интернет Атаки из Интернет Атаки на корп. сеть Атаки на уд. пользователей Атаки со стороны бизнес- партенров Атаки со стороны уд. Офиса Атаки со стороны служб Интернет Атаки из Интернет Wireless Network
Защита на уровне периметра сети Защита периметра сети включает: Бизнес партнер Удаленный офис Wireless Network LAN Удаленный пользователь Internet Головной офис LAN Internet Services LAN Файерволлы Блокирование портов Трансляция портов и IP адресов VPN Туннелирование VPN карантин Файерволлы Блокирование портов Трансляция портов и IP адресов VPN Туннелирование VPN карантин
Задачи администрирования – уровень периметра сети На уровне периметра сети основные задачи администрирования – определение прав пользователей доступ в сеть Интернет из локальной сети и доступ к локальной сети из Интернет. Использование инфраструктуры открытых ключей – PKI для шифрования трафика. Администрирование инфраструктурных сетевых служб для работы в сети Интернет. Администрирование веб-сервисов.