Распределенная среда обработки данных
(Distributed Computing Environment (DCE*)) - технология распределенной обработки данных, предложенная фондом открытого программного обеспечения.
Она не противопоставляется другим технологиям (RPC, ORB), а является средой для их использования.
Среда DCE* , разработанная в 1990 г., представляет собой набор сетевых служб, предназначенный для выполнения прикладных процессов, рассредоточенных по группе абонентских систем гетерогенной (неоднородной) сети. Основные ее компоненты показаны в табл.1.
Табл. Основные компоненты DCE*.
| № п/п | Служба | Выполняемые функции |
| 1. | Имена | База Данных (БД) имен пользователей и средств, предназначенных для доступа пользователей к сетевым службам. |
| 2. | Удаленный доступ | Технология, обеспечивающая взаимодействие двух прикладных программ, расположенных в различных абонентских системах. |
| 3. | Защита данных | Программное Обеспечение (ПО) разрешения на доступ к ресурсам системы или сети. |
| 4. | Многопоточность | Программы, обеспечивающие одновременное выполнение нескольких задач. |
Системы, имеющие программы распределенной среды, соответственно, являются серверами и клиентами. Серверы связаны друг с другом логическими каналами , по которым передают друг другу файлы (рис.188)
Каждый сервер имеет свою группу клиентов.
Среда имеет трехступенчатую архитектуру: прикладная программа - база данных - клиент.
Функции, выполняемые средой, включают прикладные службы:
· · каталогов, позволяющую клиентам находить нужные им серверы;
· · интерфейса многопоточной обработки;
· · удаленного вызова процедур;
· · обслуживания файлов;
· · безопасности данных;
· · времени, синхронизирующей часы в абонентских системах.
Программное Обеспечение (ПО) среды погружается в Сетевую Операционную Систему (СОС). Серверы имеют свои, различные, Операционные Системы (ОС). В роли сервера может, также, выступать главный компьютер со своей ОС.
Функционирование распределенной среды требует выполнения ряда административных задач. К ним, в первую очередь, относятся средства:
· регистрации и контроля за лицензиями пользователей на работу с прикладными программами;
· унифицированных интерфейсов прикладных программ;
· обеспечения безопасности данных;
· инвентаризации программного и технического обеспечения абонентских систем, работающих в сети.
С точки зрения логического управления среда обработки данных делится на ячейки DCE*. В каждую из них может включаться от нескольких единиц до тысяч абонентских систем. Размеры ячеек территориально не ограничены. Входящие в одну и ту же ячейку системы могут быть расположены даже на разных континентах. В ячейках выполняются службы:
· контроля права работы с прикладными программами и базами данных;
· каталогов, назначающих адреса объектов ;
· времени, синхронизирующей часы систем;
· лицензии, отслеживающей использование видов сервиса.
Распределение прикладных процессов по ячейкам защищает от сбоев, позволяет приспособить процессы к конкретным нуждам групп пользователей. Последние могут иметь доступ только к определенным ячейкам.
БЕЗОПАСНОСТЬ ИНФОРМАЦИИ
Безопасность данных (data security) - концепция защиты программ и данных от случайного либо умышленного изменения, уничтожения, разглашения, а также несанкционированного использования.
Интенсивное развитие средств связи и широкое внедрение информационных технологий во все сферы жизни делают все более актуальной проблему защиты информации. Преступления в сфере передачи и обработки информации в ряде стран, по мнению специалистов, превратились в национальное бедствие. Особенно широкий размах получили преступления в системах телекоммуникаций, обслуживающих банковские и торговые учреждения. По официальным источникам, ежегодные потери только делового сектора США от несанкционированного проникновения в информационные базы данных составляют 150-300 млрд. долл.
Средства обеспечения информационной безопасности можно условно разделить на следующие группы:
· системы контроля доступа (управляют правами доступа пользователей, регистрируют обращения к защищаемым данным, осуществляют аутентификацию пользователей и сетевых систем (установление подлинности имени объекта для получения им права использования программ и данных));
· системы шифрования информации;
· системы электронно-цифровой подписи (обеспечивают аутентификацию получаемой информации и контроль ее целостности);
· системы антивирусной защиты;
· системы защиты firewall (осуществляют авторизацию входящего и исходящего трафика между локальной компьютерной сетью и территориальными сетями);
· системы резервного хранения и восстановления информации (обеспечивают запись информации на резервные носители и, в случае необходимости, ее восстановление на жестких дисках компьютеров предприятия).
Система (служба) обеспечения безопасности информации - это совокупность правовых, организационных и технических мероприятий, позволяющих не допустить или существенно затруднить нанесение ущерба интересам поставщиков и потребителей информации. Реализация этих мер должна способствовать:
· обеспечению целостности информации (полноты, точности, достоверности);
· сохранению конфиденциальности информации (конфиденциальной называется информация, не являющаяся общедоступной), предупреждение несанкционированного получения информации;
· обеспечению доступности, т.е. доступа к информации со стороны пользователей, имеющих на то надлежащие полномочия.
Перечислим наиболее характерные угрозы безопасности информации при ее передаче:
· перехват данных - обзор данных несанкционированным пользователем; эта угроза проявляется в возможностях злоумышленника непосредственно подключаться к линии связи для съема передаваемой информации либо получать информацию "на дистанции", вследствие побочного электромагнитного излучения средств передачи информации по каналам связи;
· анализ трафика - обзор информации, касающейся связи между пользователями (например, наличие/отсутствие, частота, направление, последовательность, тип, объем и т.д.). Даже если подслушивающий не может определить фактического содержания сообщения, он может получить некоторый объем информации, исходя из характера потока трафика (например, непрерывный, пакетный, периодический или отсутствие информации);
· изменение потока сообщений (или одного сообщения) - внесение в него необнаруживаемых искажений, удаление сообщения или нарушение общего порядка следования сообщений;
· повтор процесса установления соединения и передачи сообщения - записывание несанкционированным пользователем с последующим повтором им процесса установления соединения с передачей ранее уже переданного и принятого пользователем сообщения;
· отказ пользователя от сообщения - отрицание передающим пользователем своего авторства в предъявленном ему принимающим пользователем сообщении или отрицание принимающим пользователем факта получения им от передающего пользователя сообщения;
· маскарад - стремление пользователя выдать себя за некоторого другого пользователя с целью получения доступа к дополнительной информации, получения дополнительных привилегий или навязывание другому пользователю системы ложной информации, исходящей якобы от пользователя, имеющего санкции на передачу такого рода информации;
· нарушение связи - недопущение связи или задержка срочных сообщений.
Рекомендациями МОС и МСЭ-Т предусматриваются следующие основные механизмы защиты:
· шифрование данных;
· обеспечение аутентификации;
· обеспечение целостности данных;
· цифровая подпись;
· контроль доступа.
Механизм шифрования может обеспечивать конфиденциальность либо передаваемых данных, либо информации о параметрах трафика и может быть использован в некоторых других механизмах безопасности или дополнять их. Существование механизма шифрования подразумевает использование, как правило, механизма управления ключами.
При рассмотрении механизмов аутентификации основное внимание уделяется методам передачи в сети информации специального характера (паролей, аутентификаторов, контрольных сумм и т.п.). В случае односторонней или взаимной аутентификации обеспечивается процесс проверки подлинности пользователей (передатчика и приемника сообщений), что гарантирует предотвращение соединения с логическим объектом, образованным злоумышленником.
Механизм обеспечения целостности данных предполагает введение в каждое сообщение некоторой дополнительной информации, являющейся функцией от содержания сообщения. При этом гарантируется устранение неупорядоченности, потерь, повторов, вставок или модификации данных при помощи специальной нумерации блоков, либо введением меток времени.
Механизм цифровой подписи применяется для подтверждения подлинности содержания сообщения и удостоверения того факта, что оно отправлено абонентом, указанным в заголовке в качестве источника данных, а также для предотвращения возможности отказа передатчика от факта выдачи какого-либо сообщения, а приемника - от его приема.
Механизмом цифровой подписи определяются две процедуры:
· формирование блока данных, добавляемого к передаваемому сообщению;
· подписание блока данных.
Процесс формирования блока данных содержит общедоступные процедуры и в отдельных случаях специальные (секретные) ключи преобразования, известные на приеме.
Процесс подписания блока данных использует информацию, которая является информацией частного использования (т.е. уникальной и конфиденциальной). Этот процесс подразумевает либо шифрование блока данных, либо получение криптографического контрольного значения блока данных с использованием частной информации подписавшего пользователя в качестве ключа шифрования частного пользования.
Механизмы контроля доступа могут использовать аутентифицированную идентификацию объекта (отождествление анализируемого объекта с одним из известных объектов) или информацию объекта (например, принадлежность к известному множеству объектов) либо возможности этого объекта для установления и применения прав доступа к нему.