мережах IP). X.509 є стандартом безпеки та ідентифікації, який підтримує структури безпеки електронного інформаційного транспорту.
Останнім головним елементом системи безпеки є аудит, який необхідний для стеження та верифікації процесу дослідження політики безпеки. Для випробування ефективності інфраструктури системи безпеки, аудит безпеки повинен відбуватися часто, через рівні проміжки часу. Він також повинен включати перевірки установки нової системи, методи для визначення можливої шкідницьких дій будь-кого з внутрішнього персоналу та можливої вЂ‹вЂ‹наявності особливого класу проблем (нападу типу "відмова в сервісі"), а також загальне дотримання політики безпеки об'єкта.
При розробці політики безпеки необхідно враховувати вимогу збалансувати легкість доступу до інформації та адекватний механізм ідентифікації дозволеного користувача та забезпечення цілісності і конфіденційності даних. Політика безпеки повинна упровадяться примусово як технічно, так і організаційно - тоді вона буде по-справжньому ефективна
Основу стабільності мережі складають надійність ЕОМ і мережевого устаткування, а також стійкість каналів зв'язку. Канали зв'язку, особливо якщо мова йде про дротових, дісталися нам від проклятого царизму, їх творці давно померли і запитати нема з кого. Починати треба з того, що у вашій владі, а це насамперед правильна конфігурація вузла, розумний розподіл відповідальності і якість мережевого живлення (стабільність напруги і частоти, амплітуда перешкод). Для вирішення останньої проблеми використовують спеціальні фільтри, мотор-генератори та UPS (Uninterruptable Power Supply). Вибір того чи іншого рішення залежить від конкретних умов, але для серверів використання UPS вкрай бажано (адже ви не хочете відновлювати дискову систему, яка зруйнувалася через відключення живлення в момент запису в FAT або dir). При зниженні напруги мережі змінного струму нижче певного рівня UPS (близько 208v) відключає споживача від мережі і здійснює живлення ЕОМ від ~ 220v, одержуваного від акумулятора самого UPS. Враховуючи нестабільність напруги мережі в Росії, можна вважати корисним застосування активних стабілізаторів на вході UPS.
При виборі UPS потрібно врахувати сумарну споживану потужність обладнання, підключається до джерела живлення, і час, протягом якого UPS здатний працювати без напруги в мережі. При цьому головне завдання UPS - забезпечення завершення операцій обміну з диском до того, як відбудеться повне знеструмлення сервера, або коли буде вироблено перемикання на резервний канал харчування. Це здійсненно при використання спеціального інтерфейсу і відповідного програмного забезпечення, що працює згідно протоколу SNMP (див. рис. 6.1.1). br/>В
Рис. 6.1.1. Схема підключення UPS. br/>
При зникненні первинної напруги ~ 220V через деякий час UPS видає сигнал shutdown обчислювальній машині. Сучасний UPS може моніторувати не тільки напруга живлення, але температуру навколишнього середовища, своєчасно здійснюючи порятунок життєво важливих файлів до настання надмірного перегріву системи. При цьому значення напруги живлення і температури можна зчитувати з використанням протоколу SNMP. Деякі просунуті системи автономного харчування допускають підключення агентів SNMP безпосередньо до локальної мережі, що відкриває додаткові можливості дистанційного керування і моніторингу.
Зазначений інтерфейс забезпечить блокування початку нових операцій обміну або виконає shutdown, якщо напруга в мережі впав нижче допустимого рівня. До UPS НЕ слід підключати дисплеї (ці прилади не настільки критичні до харчування, як диски і оперативна пам'ять) і принтери (лазерні принтери заборонено підключати до UPS через потужні грубок, що входять до складу цих приладів). Мережеві фільтри є бажаними при роботі з будь-якими ЕОМ, тому що мережа в Росії сильно засмічена високочастотними шумами.
Створюючи мережа, слід відразу закладати деякі елементи, що забезпечують безпеку. Так прокладку мережевих кабелів бажано проводити в металевих коробах або трубах, що зробить підключення до них більш скрутним. Повторювачі і концентратори потрібно розміщувати в замикаються шафах. Деякі концентратори контролюють MAC-адреси пакетів. Таке обладнання дозволяє блокувати порт, якщо виявляються пакети з невідомим MAC-адресою, а також виявляти випадки підключення одного і того ж MAC-адреси до різних портів. Певну загрозу мережевої безпеки може представляти можливість привласнення хакером "чужого" MAC-адреси своєї мережевої карті. Сучасні концентратори забороняють підключеному до порту вузла передавати кадри з MAC-адресою, що не збігається з певним адміністратором для даного порту. Це забезпечує додаткову надійність канального рівня.
Активні розробки останнім часом ведуться в області систем ідентифікації, базуються на розпізнавання відбитків пальців, долоні, підписи, голоси або райдужної оболонки очей. Для цих цілей використовуються новітні досягнення в області швидк...
