Файл: Модель клиент-сервер (Основы модели «Клиент-сервер).pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 27.06.2023

Просмотров: 60

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Более четко принципы создания защищенных средств связи объектов в распределенных системах могут быть сформулированы следующим образом:

1. Взаимодействие между объектами должно осуществляться по физически выделенному каналу.

2. Нужно заранее предусмотреть ситуацию, когда все сообщения, передаваемые по каналу связи, могут быть перехвачены. Это не должно нарушить безопасность системы в целом, либо отрицательные последствия должны быть минимальными.

3. Взаимодействие объектов должно быть организовано по виртуальному каналу связи.

4. Для создания виртуального канала рекомендуется использование криптоалгоритмов с открытым ключом (цифровая подпись сообщений и их шифрование).

5. На сетевом уровне должен быть обеспечен контроль за маршрутом сообщений для аутентификации адреса отправителя.

6. Для обеспечения доступности всех сетевых ресурсов должен осуществляться контроль за виртуальными соединениями - как при их создании, так и при использовании.

7. Полезно руководствоваться принципом, согласно которому наиболее безопасна та система, в которой информация об объектах изначально полностью определена, и в которой не используются алгоритмы удаленного поиска.

8. Использование алгоритмов удаленного поиска лучше всего организовать на выделенном сервере, взаимодействие с которым осуществляется только по виртуальному (а не широко-вещательному) каналу с применением надежных алгоритмов защиты соединения при обязательном использовании статической ключевой информации.[30]

Рассмотрим средства обеспечения безопасности, имеющиеся в арсенале администратора системы клиент-сервер.

Во-первых, это разнообразные коммерческие продукты третьих фирм. Например, аппаратно-программный комплекс PacketShaper для назначения приоритетов доступа (группам, пользователям) к ресурсам Internet. Для трафика выделяются участки полосы пропускания (10 Мбит/с шириной) по приоритетам, определяемым по IP-адресу или типу используемого приложения. Аппаратная часть комплекса имеет два порта Ethernet и устанавливается между концентратором и маршрутизатором. Программная часть управляет пропускной способностью TCP-соединения по заголовкам пакетов без прерывания сеанса связи; а также контролирует уровни сервиса с возможностью регулировать скорость соединения и предотвращать перегрузку сети. Управление этим комплексом осуществляется через обычный браузер - Netscape Navigator или Microsoft Internet Explorer.

Вторым примером может служить FloodGate. Это средство динамически управляет пропускной способностью сети на основе весовых коэффициентов и регулирует трафик, направляемый группам и отдельным пользователям в зависимости от использования и активности подключений и их приоритетов.


Во-вторых, это встроенные возможности СУБД, которые администратор может и должен использовать в целях защиты информации. Их ценность в том, что контроль доступа происходит постоянно, а не только в момент загрузки приложения. Контроль доступа к БД может быть полностью реализован на сервере. Клиентское приложение просто считывает пароль пользователя и отсылает его на сервер. Далее СУБД по своим внутренним таблицам пользователей проверяет, имеет ли право данный пользователь работать в БД. В случае положительного ответа формируется соединение с рабочей станцией, в противном случае выдается предупреждение, и связь с сервером не устанавливается.[31]

В крупных информационных системах число таблиц может достигать нескольких сотен, и задавать права доступа по всем таблицам для каждого пользователя утомительно. Этот процесс упрощается за счет функций предоставления прав доступа группам пользователей с последующей корректировкой индивидуальных прав. Принадлежность пользователя к конкретной группе определяется типом выполняемых им функций, или ролей, в системе (например, группа разработчиков, менеджеров, операторов, участников тестирования). К сожалению, во многих СУБД минимальным элементом данных, для которого возможен контроль доступа, является таблица. На практике же часто требуется контролировать доступ по отдельным записям или полям. В этом случае проблему приходится решать либо на уровне приложения, например, с помощью табличных фильтров, либо за счет модификации структуры БД путем денормализации таблиц, либо комбинируя оба способа.

Применение средств защиты на уровне приложения - наиболее сложный и дорогой вариант, так как реализовать его может только сам разработчик приложения. Этот метод предоставляет более строгий контроль доступа к данным, поскольку позволяет заложить в систему алгоритмы всевозможных проверок, отличные от стандартных, хорошо известных хакерам.

Некоторые разработчики коммерческих приложений вместе с основными продуктами поставляют собственные программы администрирования своих же приложений. При этом администратору системы не нужны внешние программы администрирования, так как вся необходимая информация (списки пользователей, их пароли и права доступа) контролируется упомянутыми утилитами.

Чтобы обеспечить контроль целостности структуры БД, прикладная система, или утилита, администрирования может проверить текущее состояние БД и сравнить его с эталоном (аналогом контрольной суммы), характеристика которого жестко "зашита" в код приложения. При обнаружении несовпадения в аудиторском журнале будет сделана соответствующая запись, или приложение само перестанет работать. Например, легко подменить стандартную процедуру одноименной новой, которая будет делать то же, что и старая, плюс дополнительные функции, полезные хакеру.[32]


Особую роль играют аудиторские журналы, но не те, которые ведутся самой СУБД, а собственные журналы приложения, где фиксируются ошибки и сообщения прикладной системы, а также информация обо всех действиях пользователей. Анализ этих журналов позволяет произвести статистический учет ошибок, установить, какие функции системы пользуются наибольшей популярностью, составить профиль активности пользователей (с какими данными они работают, сколько времени на это тратят и т.д.).

Наконец, на прикладном уровне можно реализовать традиционные защитные мероприятия, касающиеся процедуры регистрации пользователей, работы экранных заставок и блокираторов клавиатуры.[33]

Мониторы безопасности - это программы управления безопасностью в распределенных системах, использующие глобальные таблицы безопасности, в которых хранятся пользовательские пароли для доступа ко всем узлам системы. Если пользователь правильно вводит первый пароль, от ввода остальных он освобождается. Всю работу за него выполняет монитор, который следит за тем, к какой подсистеме обращается пользователь, выбирает нужный пароль из таблицы и передает его на вход соответствующей подсистемы. В сложных сетевых средах для реализации процедур однократной регистрации применяются также доверительные отношения между серверами разных доменов.[34]

Самый простой и распространенный способ - это централизованный контроль средств безопасности. Суть его заключается в том, что для всех элементов распределенной системы используется единый пароль, который после ввода или замены тиражируется по всем узлам системы. Недостаток этой схемы заключается в следующем: при зависании процессора, на котором работает процедура тиражирования, блокируется работа всей системы. Кроме того, если кто-то сумеет перехватить (расшифровать, угадать) пароль на одном узле, то получит свободный доступ к системе в целом.

Другой, более надежный, но и более сложный в реализации способ заключается в том, что глобальные таблицы безопасности доступны всем подчиненным системам. В результате можно отказаться от унификации паролей на всех подсистемах и контролировать доступ ко всем ресурсам из любого узла. При таком подходе администратор только раз настраивает пароли пользователей для всех уровней (сетевого, операционной системы и сервера БД). Эти первичные пароли запоминаются в глобальной таблице безопасности и затем используются монитором безопасности, сопровождающим пользователя в его перемещении по узлам распределенной среды. В дальнейшем пароли каждого уровня не требуется менять вручную, поскольку они автоматически генерируются имеющимися на более низких уровнях подсистемами защиты.[35]


Таким образом, на всех узлах системы действуют уникальные пароли, которые сгенерированы машинным способом и с трудом поддаются подбору. Несмотря на то, что на практике машинные пароли никто не вводит вручную, системы защиты каждого уровня все же могут администрироваться индивидуально, а не только из центрального пункта. Недостаток описанной схемы заключается в том, что сбой централизованной системы защиты, работающей на выделенном процессоре, блокирует доступ всех пользователей к системе в целом. Для борьбы с этой проблемой приходится прибегать к "горячему" резервированию, т.е. хранить копии таблиц безопасности на резервной машине. В этом случае отказ одного процессора будет активизировать работу другого.

Заключение

Архитектура «Клиент-сервер» хорошо подходит для сетей в которые входит много компьютеров. Она отлично подходит для компаний, так как обладает всеми нужными качествами, в том числе безопасность, надежность, экономичность и пр.

Архитектура «Клинт-сервер» с легкостью адаптируется под любые нужды, ее легко обновлять, ею удобно пользоваться даже при 100 и более подключенных к серверу пользователям.

Архитектура «Клиент-сервер» не уступает другим архитектурам, и если выбирать для сети в которую входит более 20 компьютеров, то следует выбрать именно ее.

Список используемой литературы:

  1. Руководство системного администратора для профессионалов, Бруксбэнк Э., Хабербергер Дж., изд. «Питер», 2001.
  2. Сеть для офиса и Linux-сервер своими руками, Стахнов А. А., изд. «БХВ-Петербург», 2006.
  3. Локальные сети: архитектура, алгоритмы, проектирование, Новиков Ю.В., Кондратенко С.В., Эд Уилсон, изд. «Эком», 2000.
  4. Информационная безопасность, В. Шаньгин, изд. «ДМК ПРЕСС», 2014 г.
  5. Базы данных. Язык SQL для студента, В. Дунаев, изд. «БХВ-Петербург», 2006.
  6. Локальные сети. Модернизация и поиск неисправностей, А. Поляк-Брагинский, изд. «БХВ-Петербург», 2012.
  7. Администрирование структурированных кабельных систем, А. Семенов, изд. «Компания АйТи», 2014.
  8. Базы данных. Курс лекций, Р. Латыпова, изд. «Проспект», 2015.
  9. Информационные системы, С. Жданов, М. Соболева, изд. «Прометей», 2015 г.
  10. Сети интранет. Внутреннее движение, Д. Саймино, изд. «Book Media Publisher», 1997.
  11. Аудит безопасности Intranet, С. Петренко, 2002 г.
  12. Информационная безопасность, В.Мельников, изд. «Academia», 2013 г.
  13. Информационная безопасность и защита информации, В. Шаньгин, изд. «ДМК Пресс», 2014 г.

  1. Руководство системного администратора для профессионалов, Бруксбэнк Э., Хабербергер Дж., изд. «Питер», 2001

  2. Сеть для офиса и Linux-сервер своими руками, Стахнов А. А., изд. «БХВ-Петербург», 2006.

  3. Сеть для офиса и Linux-сервер своими руками, Стахнов А. А., изд. «БХВ-Петербург», 2006.

  4. Сеть для офиса и Linux-сервер своими руками, Стахнов А. А., изд. «БХВ-Петербург», 2006.

  5. Сеть для офиса и Linux-сервер своими руками, Стахнов А. А., изд. «БХВ-Петербург», 2006.

  6. Руководство системного администратора для профессионалов, Бруксбэнк Э., Хабербергер Дж., изд. «Питер», 2001

  7. Руководство системного администратора для профессионалов, Бруксбэнк Э., Хабербергер Дж., изд. «Питер», 2001

  8. Локальные сети: архитектура, алгоритмы, проектирование, Новиков Ю.В., Кондратенко С.В., Эд Уилсон, изд. «Эком», 2000.

  9. Информационная безопасность, В. Шаньгин, изд. «ДМК ПРЕСС», 2014 г.

  10. Информационная безопасность, В. Шаньгин, изд. «ДМК ПРЕСС», 2014 г.

  11. Базы данных. Язык SQL для студента, В. Дунаев, изд. «БХВ-Петербург», 2006

  12. Локальные сети. Модернизация и поиск неисправностей, А. Поляк-Брагинский, изд. «БХВ-Петербург», 2012

  13. Администрирование структурированных кабельных систем, А. Семенов, изд. «Компания АйТи», 2014.

  14. Администрирование структурированных кабельных систем, А. Семенов, изд. «Компания АйТи», 2014.

  15. Локальные сети. Модернизация и поиск неисправностей, А. Поляк-Брагинский, изд. «BHV», 2009.

  16. Базы данных. Курс лекций, Р. Латыпова, изд. «Проспект», 2015.

  17. Базы данных. Курс лекций, Р. Латыпова, изд. «Проспект», 2015.

  18. Информационные системы, С. Жданов, М. Соболева, изд. «Прометей», 2015 г.

  19. Информационные системы, С. Жданов, М. Соболева, изд. «Прометей», 2015 г.

  20. Информационные системы, С. Жданов, М. Соболева, изд. «Прометей», 2015 г.

  21. Сети интранет. Внутреннее движение, Д. Саймино, изд. «Book Media Publisher», 1997.

  22. Аудит безопасности Intranet, С. Петренко, 2002 г.

  23. Аудит безопасности Intranet, С. Петренко, 2002 г.

  24. Сети интранет. Внутреннее движение, Д. Саймино, изд. «Book Media Publisher», 1997.

  25. Сети интранет. Внутреннее движение, Д. Саймино, изд. «Book Media Publisher», 1997.

  26. Информационная безопасность, В.Мельников, изд. «Academia», 2013 г.

  27. Информационная безопасность и защита информации, В. Шаньгин, изд. «ДМК Пресс», 2014 г.

  28. Информационная безопасность и защита информации, В. Шаньгин, изд. «ДМК Пресс», 2014 г.

  29. Информационная безопасность и защита информации, В. Шаньгин, изд. «ДМК Пресс», 2014 г.

  30. Информационная безопасность, В.Мельников, изд. «Academia», 2013 г.

  31. Информационная безопасность, В.Мельников, изд. «Academia», 2013 г.

  32. Информационная безопасность, В.Мельников, изд. «Academia», 2013 г.

  33. Информационная безопасность, В.Мельников, изд. «Academia», 2013 г.

  34. Информационная безопасность и защита информации, В. Шаньгин, изд. «ДМК Пресс», 2014 г.

  35. Информационная безопасность и защита информации, В. Шаньгин, изд. «ДМК Пресс», 2014 г.