Основні поняття
При розгляді питань інформаційної безпеки використовуються поняття суб'єкта та об'єкта доступу. Суб'єкт доступу може здійснювати деякий набір операцій над кожним об'єктом доступу. Ці операції можуть бути доступними або заборонені певному суб'єкту або групі суб'єктів. Доступ до об'єктів зазвичай визначається лише на рівні операційної системи її архітектурою та поточною політикою безпеки. Розглянемо деякі визначення, що стосуються методів та засобів розмежування доступу суб'єктів до об'єктів.
Визначення 1
Метод доступу до об'єкту- Операція, визначена для даного об'єкта. Обмежити доступ до об'єкта можна за допомогою обмеження можливих методів доступу.
Визначення 2
Власник об'єкту– суб'єкт, який створив об'єкт несе відповідальність за конфіденційність інформації, що міститься в об'єкті, та за доступ до нього.
Визначення 3
Право доступу до об'єкту– право на доступ до об'єкта за одним або декількома методами доступу.
Визначення 4
Розмежування доступу- Набір правил, який визначає для кожного суб'єкта, об'єкта та методу наявність або відсутність права на доступ за допомогою зазначеного методу.
Моделі розмежування доступу
Найбільш поширені моделі розмежування доступу:
- дискреційна (виборча) модель розмежування доступу;
- повноважна (мандатна) модель розмежування доступу.
Дискреційна
- будь-який об'єкт має власника;
- власник має право довільно обмежувати доступ суб'єктів до цього об'єкта;
- кожному за набору суб'єкт – об'єкт – метод декларація про доступ визначено однозначно;
- наявність хоча б одного привілейованого користувача (наприклад, адміністратора), який може звертатися до будь-якого об'єкта за допомогою будь-якого методу доступу.
У дискреційній моделі визначення прав доступу зберігається у матриці доступу: у рядках перераховані суб'єкти, а стовпцях – об'єкти. У кожному осередку матриці зберігаються права доступу даного суб'єкта до об'єкту. Матриця доступу сучасної операційної системи займає десятки мегабайт.
Повноважнамодель характеризується такими правилами:
- кожен об'єкт має гриф секретності. Гриф секретності має числове значення: чим вона більша, тим вище секретність об'єкта;
- кожен суб'єкт доступу має рівень допуску.
Допуск до об'єкта в цій моделі суб'єкт отримує тільки у випадку, коли суб'єкт має значення рівня допуску не менше значення грифу секретності об'єкта.
Перевага повноважної моделі полягає у відсутності необхідності зберігання великих обсягів інформації про розмежування доступу. Кожним суб'єктом виконується збереження лише значення рівня доступу, а кожним об'єктом – значення свого грифа секретності.
Методи розмежування доступу
Види методів розмежування доступу:
Розмежування доступу за списками
Суть методу полягає у завданні відповідності: для кожного користувача задається список ресурсів і права доступу до них або для кожного ресурсу визначається список користувачів і права доступу до цих ресурсів. За допомогою списків можливе встановлення прав точності до кожного користувача. Можливий варіант додавання прав або заборони доступу. Метод доступу за списками використовується у підсистемах безпеки операційних систем та систем керування базами даних.
Використання матриці встановлення повноважень
При використанні матриці встановлення повноважень застосовується матриця доступу (таблиця повноважень). У матриці доступу в рядках записуються ідентифікатори суб'єктів, які мають доступ до комп'ютерної системи, а в шпальтах – об'єкти (ресурси) комп'ютерної системи.
У кожному осередку матриці може міститися ім'я і обсяг ресурсу, право доступу (читання, запис та інших.), посилання іншу інформаційну структуру, яка уточнює права доступу, посилання програму, яка управляє правами доступу та інших.
Цей метод є досить зручним, оскільки вся інформація про повноваження зберігається у єдиній таблиці. Нестача матриці – її можлива громіздкість.
Розмежування доступу за рівнями секретності та категоріями
Розмежування за ступенем таємності поділяється на кілька рівнів. Повноваження кожного користувача можуть бути задані відповідно до максимального рівня секретності, до якого він допущений.
Парольне розмежування доступу
Парольне розмежування використовує методи доступу суб'єктів до об'єктів за допомогою пароля. Постійне використання паролів призводить до незручностей для користувачів та тимчасових затримок. Тому методи парольного розмежування використовуються у виняткових ситуаціях.
Насправді прийнято поєднувати різні методи розмежувань доступу. Наприклад, перші три методи посилюються парольним захистом. Використання розмежування прав доступу є обов'язковою умовою захищеної комп'ютерної системи.
На своїй практиці веб-розробки я дуже часто стикався з ситуаціями, в яких замовники ставили конкретну мету, а саме поділ частин адмінки щодо доступності тим чи іншим користувачам. При цьому розробка даного модуля велася в контексті системи, що розширюється, а тобто з нефіксованим числом модулів, до яких організовується доступ, ну і, відповідно, необмеженим числом користувачів системи.
Що ж, сама по собі ця тема досить важка, і потребує певного часу на аналіз та постачання завдання.
У контексті цієї статті, ми будемо вести розробку в контексті деякої абстрактної інформаційної системи, зі своєю інфраструктурою та архітектурою, при цьому дана система надає користувачеві можливість розширювати функціонал, тобто встановлювати нові модулі, і відповідно встановлювати права доступу до них тому чи іншому користувачеві , зареєстрованому як адміністратор системи.
Давайте спочатку обговоримо архітектуру модульної системи на обраній нами псевдо-системі.
Усі модулі представлені у вигляді вставок, що підключаються до головного документа (індекс-файлу). Запит модуля походить з рядка запиту QUERY_STRING, і назва модуля, що підключається, передається як аргумент act. У деякому місці індексу файлу відбувається вилучення та обробка цього параметра. Після, якщо у користувача достатньо прав для доступу до модуля в контексті читання, відбувається перевірка існування зазначеного у рядку запиту модуля, і якщо такий існує, то відбувається його підключення до індексу файлу.
Я не просто так згадав про "контекст читання", оскільки наша система передбачає існування двох контекстів роботи з системою, а саме – читання та запис. У цьому під читанням передбачається безпосередній доступом до модулю і його частинам, які передбачають внесення змін у структуру даних у БД. Під записом передбачається безпосереднє внесення змін до інформації, що зберігається в базі даних.
Для здійснення даного механізму ми перевірятимемо значення змінного рядка запиту `do`, яка обробляється в самому модулі і носить інформацію про те, до якого розділу модуля необхідно надати доступ користувачеві.
Значення do буду фіксованими, ця змінна прийматиме наступні значення:
- main - головна частина модуля (доступно у контексті читання)
- config - розділ налаштування модуля (доступно у контексті запису)
- create - зробити деякі дії з додавання інформації в БД (доступно в контексті запису)
- delete - доступ до розділу, що надає можливості видалити деяку інформацію, у контексті даного модуля (доступно у контексті запису)
- edit - доступ до редагування інформації у контексті модуля (доступно у контексті запису)
В цілому, цей список можна збільшити, при цьому все залежить лише від масштабів проекту та його потреб у функціоналі.
Тепер безпосередньо про модулі. Крім фізичного існування деякого модуля в контексті файлової системи проекту, модуль також повинен бути доданий до спеціальної таблиці БД, яка міститиме інформацію про всі існуючі модулі в системі. Додавання і зміна даних даної таблиці, зазвичай, проводиться у контексті модулів, тобто під час їх інсталяції у системі. Однак це вже поглиблення в принципи перегляду систем, що розширюються, про що ми якось в інший раз поговоримо, і тому, ми обмежимося ручним оновленням і додаванням даних про модулі.
Так, запис про модуль системи буде містити таку інформацію: англійський ідентифікатор назви модуля, який буде ідентичний значенню змінного середовища GET - act (щодо нього буде здійснюватися безпосередньо запит модуля), російський ідентифікатор модуля, який буде використаний у списку модулів.
Крім модулів у нас будуть ще дві таблиці, а саме таблиця в якій зберігатимуться дані щодо профілів прав доступу та таблиця з інформацією про користувачів безпосередньо.
Таблиця профілів безпеки складатиметься всього з трьох полів - ідентифікатор профілю (числове значення ідентифікатора запису), текстовий ідентифікатор модуля (призначений для користувачів), а також особливим чином сформована текстова мітка, що містить інформацію про права користувача в контексті кожного з модулів.
Що ж, розгляньмо цю особливу структуру. Вона буде наступною: [module_indefier: + \: + \;] *
Тобто йде список із пар: ім'я модуля ":" права читання "," права запису ";". При цьому мітка оновлюється в момент внесення змін про права доступу користувача до системи. Якщо в системі з'являється інформація про модуль, який не увійшов до цієї мітки, то варто просто зробити процедуру редагування, і дані збережуться автоматично.
Тепер же нам залишилося розглянути структуру лише однієї таблиці БД, і ми зможемо взятися за реалізацію алгоритмічної частини, а саме таблиці з інформацією про користувачів системи, адже призначення їм прав доступу і є нашим головним завданням.
Я не додаватиму нічого зайвого до неї, але лише те, що буде використовуватися в контексті теми цієї статті. Таблиця користувачів буде містити такі поля: ідентифікатор користувача (числовий лічильник), логін, пароль (хеш оригінального пароля), профіль безпеки користувача (ідетифікатор групи користувача щодо прав у системі), і все. Мені здається цієї інформації нам з вами цілком вистачить, для реалізації поставленого завдання, а всі інші надбудови я надаю можливість зробити самим.
Отже, структуру ми обговорили, і, сподіваюся, у всіх склалося вже деяке уявлення про те, як ми реалізовуватимемо поставлене у темі статті завдання. Зараз я наведу допоміжний SQL-код таблиць, описаних вище, після чого відразу ж перейду до втілення алгоритму перевірки прав доступу користувача, а також створення та зміни профілів доступу. Після кожного окремого модуля ми детально обговоримо всі питання, які можуть виникнути читачі.
Таблиця `modules`:
CREATE TABLE `modules` (`id` bigint(20) NOT NULL auto_increment, `indefier` text collate utf8_unicode_ci NOT NULL, `title` text collate utf8_unicode_ci NOT NULL, PRIMARY KEY (`id`)) ENGINEM CHARSET=utf8 COLLATE=utf8_unicode_ci;
Таблиця `secure_groups`:
CREATE TABLE `secure_groups` (`id` bigint(20) NOT NULL auto_increment, `title` text collate utf8_unicode_ci NOT NULL, `perms` text collate utf8_unicode_ci NOT NULL, PRIMARY KEY (`id`)) ENGINE= CHARSET=utf8 COLLATE=utf8_unicode_ci;
Таблиця `users`
CREATE TABLE `users` (`id` bigint(20) NOT NULL auto_increment, `login` text collate utf8_unicode_ci NOT NULL, `passwd` text collate utf8_unicode_ci NOT NULL, `groupId` int(1) NOT NULL default " KEY (`id`)) ENGINE=MyISAM AUTO_INCREMENT=1 DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci ;
temp = array (); $this->temp["_result"]=0; $this->temp["_uid"]=explode("::",$_COOKIE["site_hash"]); $this->temp["_uid"]=$this->temp["_uid"]; $this->temp["_gid"]=$this->getUserSecurityAccess($this->temp["_uid"]); $this->temp["_conn_id"]=mysql_connect("host","user","passwd"); mysql_select_db("database"); $this->temp["_q1"]=mysql_query("SELECT perms" ."FROM `secure_groups`" ."WHERE id=".$this->temp["_gid"])); $this->temp["_access_stamp"]=mysql_fetch_assoc($this->temp["_q1"]); $this->temp["_access_stamp"]=$this->temp["_access_stamp"]["perms"]; $this->temp["_access_stamp"]=explode(";",$this->temp["_access_stamp"]); $this->temp["_access_stamp"]=array_slice($this->temp["_access_stamp"],0,-1); foreach($this->temp["_access_stamp"] as $this->temp["v"])( $this->temp["_mod_access"]=explode(":",$this->temp["v "]); $this->temp["_mod_indefier"]=$this->temp["_mod_access"]; if($this->temp["_mod_indefier"]==$module)( $this->temp[ "_perms"]=explode(",",$this->temp["_mod_access"]), switch($act)( case "r": $this->temp["_result"]=($this-> temp["_perms"]==1)? 1:0; break; case "w": $this->temp["_result"]=($this->temp["_perms"]==1)? :0; break; ) break; ) ) mysql_close($conn_id); return $this->temp["_result"]; ) ) ?>
Цей клас впроваджує функції, призначені для втілення алгоритмічного завдання, описаного вище. Наразі ми обговоримо кожну функцію окремо.
Функція secure::getUserId()
Використовуючи цю функцію, ми маємо на увазі, що під час авторизації користувача в системі в змінному середовищі $_COOKIE була встановлена змінна `site_hash`, що складається з ідентифікатора користувача в системі та хеша для перевірки його автентичності в системі. Функція просто вилучає значення ідентифікатора, повертаючи значення на виході.
Функція secure::getUserSecurityAccess($id)
На виході ця функція повертає ідентифікатор профілю безпеки поточного користувача у системі.
Функція secure::checkUserPermission($module,$act))
Виконується запит до БД щодо прав користувача на добуток дій читання/запису в контексті переданого як параметр модуля.
Залишилося лише описати процедуру формування змінної серед $_COOKIE, і тему статті вважатимуться розкритою.
Процедура авторизації буде виглядати через внесення особистих даних користувача (логін і пароль) у спеціальну форму, після відправки якої відбудеться обробка даних, переданих користувачем, по-методу функції checkAuthData(), і, у разі коректності даних, буде здійснено збереження даних про користувача у вигляді куки запису на період встановлений користувачем, або у відсутності заданого значення на період за замовчуванням.
Для перевірки автентичності даних, що зберігаються в змінному середовищі $_COOKIE, ми будемо використовувати функцію EatCookie(), яка вироблятиме валідацію даних, повертаючи результат результату перевірки (істина - брехня).
Я не наводжу форму для відправки, оскільки це не частина теорії програмування, вказавши лише ідентифікатори полів.
- `ulogin` - логін користувача
- `upasswd` - пароль користувача
- `stime` - час сесії, що встановлюється користувачем (від 1 до 5 годин)
- `auth` - ім'я кнопки відправки
Ось, загалом і все. Залишилося лише куштувати, експериментувати, помиляться і шукати рішення, що я повністю і залишаю вам.
Сподіваюся, що ми скоро зустрінемося, а для тих хто має до мене питання щодо статті, та й не тільки – писати на [email protected], або на [email protected].
З повагою Карпенка Кирило, голова ІТ-відділу ІНПП.
Лабораторна робота
Тема: Розмежування прав доступу до мережі, загальний дисковий простір у локальній мережі
Ціль: освоєння прийомів обміну файлами між користувачами локальної комп'ютерної мережі.
Теоретичні відомості до лабораторної роботи
Основними пристроями швидкої передачі на великі відстані нині є телеграф, радіо, телефон, телевізійний передавач, телекомунікаційні мережі з урахуванням обчислювальних систем.
Передача інформації між комп'ютерами існує з моменту виникнення ЕОМ. Вона дозволяє організувати спільну роботу окремих комп'ютерів, вирішувати одне завдання з допомогою кількох комп'ютерів, спільно використовувати ресурси і багато інших проблем.
Під комп'ютерною мережею розуміють комплекс апаратних та програмних засобів, призначених для обміну інформацією та доступу користувачів до єдиних ресурсів мережі.
Основне призначення комп'ютерних мереж – забезпечити спільний доступ користувачів до інформації (баз даних, документів тощо) та ресурсів (жорсткі диски, принтери, накопичувачі CD-ROM, модеми, вихід у глобальну мережу тощо).
Абоненти мережі - Об'єкти, що генерують або споживають інформацію.
Абонентами мережі можуть бути окремі ЕОМ, промислові роботи, верстати з ЧПК (верстати з числовим програмним управлінням) тощо. Будь-який абонент мережі підключено до станції.
Станція – апаратура, яка виконує функції, пов'язані з передачею та прийомом інформації.
Для організації взаємодії абонентів і станції необхідне фізичне середовище, що передає.
Фізичне передавальне середовище – лінії зв'язку або простір, у якому поширюються електричні сигнали, та апаратура передачі.
Однією з основних характеристик ліній чи каналів зв'язку є швидкість передачі (пропускна здатність).
Швидкість передачі даних - кількість біт інформації, що передається за одиницю часу.
Зазвичай швидкість передачі вимірюється в бітах в секунду (біт/с) і кратних одиницях Кбіт/с і Мбіт/с.
Співвідношення між одиницями виміру: 1 Кбіт/с = 1024 біт/с; 1 Мбіт/с = 1024 Кбіт/с; 1 Гбіт/с = 1024 Мбіт/с.
За підсумками фізичної передавальної середовища будується комунікаційна мережу. Таким чином, комп'ютерна мережа – це сукупність абонентських систем та комунікаційної мережі.
Види мереж.За типом використовуваних ЕОМ виділяютьоднорідні інеоднорідні мережі . У неоднорідних мережах містяться програмно несумісні комп'ютери.
За територіальною ознакою мережі ділять на локальні і Світові.
| Локальні мережі (LAN, Local Area Network)об'єднують абонентів, що розташовані в межах невеликої території, зазвичай не більше 2–2.5 км. Локальні комп'ютерні мережі дозволять організувати роботу окремих підприємств та установ, у тому числі й освітніх, вирішити завдання організації доступу до загальних технічних та інформаційних ресурсів. | Глобальні мережі (WAN, Wide Area Network)об'єднують абонентів, розташованих один від одного на значних відстанях: у різних районах міста, різних містах, країнах, на різних континентах (наприклад, мережа Інтернет).Взаємодія між абонентами такої мережі може здійснюватися на базі телефонних ліній зв'язку, радіозв'язку та систем супутникового зв'язку. Глобальні комп'ютерні мережі дозволять вирішити проблему об'єднання інформаційних ресурсів людства та організації доступу до цих ресурсів. |
|
|
Основні компоненти комунікаційної мережі:
передавач;
приймач;
повідомлення (цифрові дані певного формату: файл бази даних, таблиця, відповідь на запит, текст чи зображення);
засоби передачі (фізичне передавальне середовище та спеціальна апаратура, що забезпечує передачу інформації).
Топологія локальних мереж.Під топологією комп'ютерної мережі зазвичай розуміють фізичне розташування комп'ютерів мережі щодо один одного та спосіб з'єднання їх лініями.
Топологія визначає вимоги до обладнання, тип кабелю, методи управління обміном, надійність роботи, можливість розширення мережі. Існує три основні види топології мережі: шина, зірка та кільце.
Шина (bus), коли всі комп'ютери паралельно підключаються до однієї лінії зв'язку, та інформація від кожного комп'ютера одночасно передається до решти комп'ютерів. Відповідно до цієї топології створюється однорангова мережу. При такому з'єднанні комп'ютери можуть передавати інформацію лише по черзі, тому що лінія зв'язку єдина. 
Переваги:
простота додавання нових вузлів до мережі (це можливо навіть під час роботи мережі);
мережа продовжує функціонувати, навіть якщо окремі комп'ютери вийшли з експлуатації;
недороге мережеве обладнання за рахунок поширення такої топології.
Недоліки:
складність мережного обладнання;
складність діагностики несправності мережного обладнання через те, що всі адаптери включені паралельно;
обрив кабелю тягне у себе вихід із ладу всієї мережі;
обмеження на максимальну довжину ліній зв'язку через те, що сигнали під час передачі послаблюються і не відновлюються.
Зірка (star), коли до одного центрального комп'ютера приєднуються інші периферійні комп'ютери, причому кожен із новачків використовує свою окрему лінію зв'язку. Весь обмін інформацією йде виключно через центральний комп'ютер, на який лягає дуже велике навантаження, тому він призначений лише обслуговування мережі. 
Переваги:
вихід з ладу периферійного комп'ютера ніяк не відбивається на функціонуванні частини мережі, що залишилася;
простота використовуваного мережного устаткування;
всі точки підключення зібрані в одному місці, що дозволяє легко контролювати роботу мережі, локалізувати несправності мережі шляхом відключення від центру тих чи інших периферійних пристроїв;
не відбувається загасання сигналів.
Недоліки:
вихід із ладу центрального комп'ютера робить мережу повністю непрацездатною;
жорстке обмеження кількості периферійних комп'ютерів;
значні витрати кабелю.
Кільце (ring), при якому кожен комп'ютер передає інформацію завжди тільки одному комп'ютеру, що йде в ланцюжку, а отримує інформацію тільки від попереднього в ланцюжку комп'ютера, і цей ланцюжок замкнутий. Особливістю кільця є те, що кожен комп'ютер відновлює сигнал, що приходить до нього, тому згасання сигналу в усьому кільці не має ніякого значення, важливо лише згасання між сусідніми комп'ютерами. 
Переваги:
легко підключити нові вузли, хоча при цьому потрібно призупинити роботу мережі;
велика кількість вузлів, яку можна підключити до мережі (понад 1000);
висока стійкість до перевантажень.
Недоліки:
вихід із ладу хоча б одного комп'ютера порушує роботу мережі;
обрив кабелю хоча в одному місці порушує роботу мережі.
В окремих випадках під час конструювання мережі використовують комбіновану топологію. Наприклад, дерево(Tree) - комбінація декількох зірок.
Кожен комп'ютер, який функціонує у локальній мережі, повинен мати мережевий адаптер (мережну карту).Функцією мережного адаптера є передача та прийом сигналів, що розповсюджуються кабелями зв'язку. Крім того, комп'ютер повинен бути оснащений мережевою операційною системою.
При конструюванні мереж використовують такі види кабелів:
неекранована кручена пара.Максимальна відстань, де можуть бути розташовані комп'ютери, з'єднані цим кабелем, досягає 90 м. Швидкість передачі інформації - від 10 до 155 Мбіт/с; екранована кручена пара.Швидкість передачі - 16 Мбіт/с на відстань до 300 м. 
коаксіальний кабель.Відрізняється вищою механічною міцністю, перешкодно захищеністю і дозволяє передавати інформацію на відстань до 2000 м зі швидкістю 2-44 Мбіт/с; 
Ідеальне середовище, що передає, він не схильний до дії електромагнітних полів, дозволяє передавати інформацію на відстань до 10 000 м зі швидкістю до 10 Гбіт/с.
Концепція глобальних мереж. Глобальна мережа-це об'єднання комп'ютерів, що розташовані на віддаленій відстані, для загального використання світових інформаційних ресурсів. На сьогоднішній день їх налічується у світі понад 200. З них найвідомішою та найпопулярнішою є мережа Інтернет.
На відміну від локальних мереж у глобальних мережах немає єдиного центру управління. Основу мережі складають десятки та сотні тисяч комп'ютерів, з'єднаних тими чи іншими каналами зв'язку. Кожен комп'ютер має унікальний ідентифікатор, що дозволяє прокласти до нього маршрут для доставки інформації. Зазвичай у глобальній мережі об'єднуються комп'ютери, що працюють за різними правилами (що мають різну архітектуру, системне програмне забезпечення тощо). Тому передачі інформації з одного виду мереж до іншої використовуються шлюзи.
Шлюзи (gateway) - це устрою (комп'ютери), службовці об'єднання мереж із різними протоколами обміну.
Протокол обміну - це набір правил (угода, стандарт), визначальний принципи обміну даними між різними комп'ютерами у мережі.
Протоколи умовно поділяються на базові (нижчого рівня), відповідальні за передачу інформації будь-якого типу, і прикладні (вищого рівня), відповідальні функціонування спеціалізованих служб.
Головний комп'ютер мережі, який надає доступ до загальної бази даних, забезпечує спільне використання пристроїв введення-виводу та взаємодії користувачів називається сервером .
Комп'ютер мережі, що тільки використовує мережеві ресурси, але сам свої ресурси в мережу не віддає, називається клієнтом(часто його ще називають робочою станцією).
Для роботи в глобальній мережі користувачу необхідно мати відповідне апаратне та програмне забезпечення.
Програмне забезпечення можна розділити на два класи:
програми-сервери, що розміщуються на вузлі мережі, що обслуговує комп'ютер користувача;
програми-клієнти, розміщені на комп'ютері користувача та послуг сервера.
Глобальні мережі надають користувачам різноманітні послуги: електронна пошта, віддалений доступ до будь-якого комп'ютера мережі, пошук даних та програм тощо.
Зміст роботи:
Завдання №1.
Створіть на «Обмінник 403» папку під ім'ям Пошта_1 (цифра імені відповідає номеру вашого комп'ютера).
За допомогою текстового редактораWordабо WordPadстворіть лист до одногрупників.
Збережіть текст у папці Пошта_1 на комп'ютері у файлі лист1.doc, де 1 – номер комп'ютера.
Відкрийте папку іншого комп'ютера, наприклад, Пошта_2 і скопіюйте в нього файл лист1 зі своєї папки Пошта_1.
У папці Пошта_1 прочитайте листи від інших користувачів, наприклад лист2. Допишіть у них свою відповідь.
Перейменуйте файл лист2.docу файл лист2_ответ1.doc
Перемістіть файл лист2_ответ1.docв папку Пошта _2 і видаліть його зі своєї папки
Прочитайте повідомлення від інших користувачів у своїй папці та повторіть дії п.5-8.
Завдання №2. Відповісти на питання:
Вкажіть основне призначення комп'ютерної мережі.
Вкажіть об'єкт, який є абонентом мережі.
Укажіть основну характеристику каналів зв'язку.
Що таке локальна мережа, глобальна мережа?
Що розуміється під топологією локальної мережі?
Які є види топології локальної мережі?
Охарактеризуйте коротко топологію «шина», «зірка», «кільце».
Що таке протокол обміну?
Розв'яжіть завдання. Максимальна швидкість передачі в локальній мережі 100 Мбіт/с. Скільки сторінок тексту можна передати за 1 с, якщо 1 сторінка тексту містить 50 рядків і на кожному рядку - 70 символів
Завдання №3. Зробити висновок про виконану лабораторну роботу:
Мережева та інформаційна безпека це те, без чого неможливе функціонування будь-якого підприємства. Наприклад, у вас є фінансовий відділ, секретарі та відділ продажу. Ви хочете, щоб ні секретарі, ні відділ продажу не мали доступу до документів та серверів з фінансового відділу. У той же час доступ має бути тільки у фахівців фінансового профілю. Крім цього, ви хочете щоб або просто важливі файлові сховища, не були доступні з мережі інтернет, а лише з локальної мережі. На допомогу приходимо ми.
Розмежування доступу користувачів
Розмежування прав доступу користувачів мережі - це налаштування, пов'язані з сегментуванням на окремі частини та визначення правил взаємодії цих частин один з одним. Якщо говорити технічною мовою, це процес створення VLAN для кожного конкретного підрозділу та налаштування доступності цих VLAN між собою.
VLAN(Virtual Local Area Network) – це віртуальний поділ мережі на частини (локальні мережі). За замовчуванням комутатор вважає всі свої інтерфейси (порти) в одній і тій же локальній мережі. За допомогою додаткової конфігурації можна створювати окремі підмережі та виділяти певні порти комутатора для роботи в цих мережах. Найкращим визначенням VLAN вважатимуться те, що VLAN - це один широкомовний домен.
Розмежування прав доступу користувачів потрібне, коли Ваша організація має ресурси, які призначені для конкретних фахівців (бухгалтерські звіти, наприклад). Таким чином, можна створити окремий VLAN для фахівців із бухгалтерії, заборонивши доступ до звітності з інших підрозділів.
Обмеження доступу до соціальних мереж
Якщо ви не хочете, щоб Ваші співробітники мали доступ до конкретних ресурсів (соціальних мереж, заборонених сайтів), ми можемо запропонувати 4 доступні способи це зробити:
— Заборонити доступ локально до конкретного ПК. Це можна зробити через файл /etc/hosts.
— Настроювання ACL (Access Control List) на граничному маршрутизаторі. Сенс полягає у забороні доступу з конкретної підмережі до конкретних адрес.
— Налаштування сервера DNS (Domain Name System). Суть методу у забороні дозволу конкретних доменних імен. Це означає, що при введенні в адресний рядок браузера сайту vk.com, наприклад, це доменне ім'я не буде перетворене на IPv4 адресу, і користувач не зможе зайти на цей сайт.
- Спеціальне ПЗ. Ми пропонуємо спеціальне (антивірусне) програмне забезпечення від наших партнерів.
Мережева безпека
Іноді, навіть випадково відкрита web - сторінка в інтернеті, може загрожувати всій корпоративній мережі, містить у собі шкідливий код. Саме для подібних випадків ми пропонуємо скористатися рішеннями від лідерів ринку інформаційної ІТ безпеки – наших партнерів.
Одним із найпоширеніших методів кібератак є "фішинг", метою якого є отримання логіну та пароля користувача. Програмне забезпечення наших партнерів забезпечує заходи для захисту від атак та підтримує мережеву безпеку на підприємстві.
Фішинг- метод кібератак, у якому головною метою є отримання даних авторизації користувачів. Наприклад, це можуть бути дані логіну та пароля для входу в особистий кабінет банку, дані від SIP - акаунта і так далі.
Спеціалізоване програмне забезпечення від наших партнерів забезпечить високий рівень інформаційної безпеки:
- Захист інформації на персональних комп'ютерах.
- Забезпечення безпеки зберігання даних на серверах.
— Захист інформації у рамках хмарних рішень.
Статистика безпеки
"Лабораторія Касперського" та B2B International провели дослідження, згідно з яким, 98,5% компаній МСБ (малого та середнього бізнесу) зазнавали зовнішніх кібер - загроз. З них 82% відчули на собі дію внутрішніх загроз.
Компанії МСБ (малого та середнього бізнесу) втрачають 780 тис. рубліввід одного випадку порушення інформаційної безпеки для підприємства.
Допоможемо
Статистика бажає кращого, але боятися не варто. Забезпечення заходів захисту через рішення від наших партнерів закриє вразливості в корпоративній мережі.
Персональні дані, внутрішні ресурси, бази даних та електронна пошта будуть захищені та ізольовані від несанкціонованого доступу. Дії зловмисників не зможуть нашкодити Вашому бізнесу.
План робіт
Досліджуємо Вашу поточну мережну інфраструктуру
- передавач;
- приймач;
- повідомлення (цифрові дані певного формату: файл бази даних, таблиця, відповідь на запит, текст чи зображення);
- засоби передачі (фізичне передавальне середовище та спеціальна апаратура, що забезпечує передачу інформації).
- Топологія локальних мереж. Під топологією комп'ютерної мережі зазвичай розуміють фізичне розташування комп'ютерів мережі щодо один одного та спосіб з'єднання їх лініями.
- Топологія визначає вимоги до обладнання, тип кабелю, методи управління обміном, надійність роботи, можливість розширення мережі. Існує три основні види топології мережі: шина, зірка та кільце.
| Локальні мережі(LAN, Local Area Network) об'єднують абонентів, які розташовані в межах невеликої території, зазвичай не більше 2–2.5 км. Локальні комп'ютерні мережі дозволять організувати роботу окремих підприємств та установ, у тому числі й освітніх, вирішити завдання організації доступу до загальних технічних та інформаційних ресурсів. | Глобальні мережі(WAN, Wide Area Network) об'єднують абонентів, розташованих один від одного на значних відстанях: у різних районах міста, у різних містах, країнах, різних континентах (наприклад, мережа Інтернет). Взаємодія між абонентами такої мережі може здійснюватися на базі телефонних ліній зв'язку, радіозв'язку та систем супутникового зв'язку. Глобальні комп'ютерні мережі дозволять вирішити проблему об'єднання інформаційних ресурсів людства та організації доступу до цих ресурсів. |
Переваги:
простота додавання нових вузлів до мережі (це можливо навіть під час роботи мережі);
мережа продовжує функціонувати, навіть якщо окремі комп'ютери вийшли з експлуатації;
недороге мережеве обладнання за рахунок поширення такої топології.
Недоліки:
складність мережного обладнання;
складність діагностики несправності мережного обладнання через те, що всі адаптери включені паралельно;
обрив кабелю тягне у себе вихід із ладу всієї мережі;
обмеження на максимальну довжину ліній зв'язку через те, що сигнали під час передачі послаблюються і не відновлюються.
Зірка (star), коли він до одного центральному комп'ютеру приєднуються інші периферійні комп'ютери, причому кожен із новачків використовує свою окрему лінію зв'язку. Весь обмін інформацією йде виключно через центральний комп'ютер, на який лягає дуже велике навантаження, тому він призначений лише обслуговування мережі.
Переваги:
вихід з ладу периферійного комп'ютера ніяк не відбивається на функціонуванні частини мережі, що залишилася;
простота використовуваного мережного устаткування;
всі точки підключення зібрані в одному місці, що дозволяє легко контролювати роботу мережі, локалізувати несправності мережі шляхом відключення від центру тих чи інших периферійних пристроїв;
не відбувається загасання сигналів.
Недоліки:
вихід із ладу центрального комп'ютера робить мережу повністю непрацездатною;
жорстке обмеження кількості периферійних комп'ютерів;
значні витрати кабелю.
Кільце (ring), у якому кожен комп'ютер передає інформацію завжди лише одному комп'ютеру, наступному в ланцюжку, а отримує інформацію лише від попереднього в ланцюжку комп'ютера, і це ланцюжок замкнута. Особливістю кільця є те, що кожен комп'ютер відновлює сигнал, що приходить до нього, тому згасання сигналу в усьому кільці не має ніякого значення, важливо лише згасання між сусідніми комп'ютерами.
Переваги:
легко підключити нові вузли, хоча при цьому потрібно призупинити роботу мережі;
велика кількість вузлів, яку можна підключити до мережі (понад 1000);
висока стійкість до перевантажень.
Недоліки:
вихід із ладу хоча б одного комп'ютера порушує роботу мережі;
обрив кабелю хоча в одному місці порушує роботу мережі.
В окремих випадках під час конструювання мережі використовують комбіновану топологію. Наприклад, дерево (tree) - комбінація кількох зірок.
Кожен комп'ютер, який функціонує в локальній мережі, повинен мати адаптер мережі (мережеву карту). Функцією мережного адаптера є передача та прийом сигналів, що розповсюджуються кабелями зв'язку. Крім того, комп'ютер повинен бути оснащений мережевою операційною системою.
При конструюванні мереж використовують такі види кабелів:
неекранована кручена пара.Максимальна відстань, де можуть бути розташовані комп'ютери, з'єднані цим кабелем, досягає 90 м. Швидкість передачі інформації - від 10 до 155 Мбіт/с; екранована кручена пара.Швидкість передачі - 16 Мбіт/с на відстань до 300 м.
коаксіальний кабель.Відрізняється вищою механічною міцністю, перешкодно захищеністю і дозволяє передавати інформацію на відстань до 2000 м зі швидкістю 2-44 Мбіт/с;
волоконно-оптичний кабель.Ідеальне середовище, що передає, він не схильний до дії електромагнітних полів, дозволяє передавати інформацію на відстань до 10 000 м зі швидкістю до 10 Гбіт/с.
Концепція глобальних мереж. Глобальна мережа -це об'єднання комп'ютерів, що розташовані на віддаленій відстані, для загального використання світових інформаційних ресурсів. На сьогоднішній день їх налічується у світі понад 200. З них найвідомішою та найпопулярнішою є мережа Інтернет.
На відміну від локальних мереж у глобальних мережах немає єдиного центру управління. Основу мережі складають десятки та сотні тисяч комп'ютерів, з'єднаних тими чи іншими каналами зв'язку. Кожен комп'ютер має унікальний ідентифікатор, що дозволяє прокласти до нього маршрут для доставки інформації. Зазвичай у глобальній мережі об'єднуються комп'ютери, що працюють за різними правилами (що мають різну архітектуру, системне програмне забезпечення тощо). Тому передачі інформації з одного виду мереж до іншої використовуються шлюзи.
Шлюзи (gateway) -це устрою (комп'ютери), службовці об'єднання мереж із різними протоколами обміну.
Протокол обміну -це набір правил (угода, стандарт), визначальний принципи обміну даними між різними комп'ютерами у мережі.
Протоколи умовно поділяються на базові (нижчого рівня), відповідальні за передачу інформації будь-якого типу, і прикладні (вищого рівня), відповідальні функціонування спеціалізованих служб.
Головний комп'ютер мережі, який надає доступ до загальної бази даних, забезпечує спільне використання пристроїв введення-виводу та взаємодії користувачів називається сервером.
Комп'ютер мережі, що тільки використовує мережеві ресурси, але сам свої ресурси в мережу не віддає, називається клієнтом(часто його ще називають робочою станцією).
Для роботи в глобальній мережі користувачу необхідно мати відповідне апаратне та програмне забезпечення.
Програмне забезпечення можна розділити на два класи:
програми-сервери, що розміщуються на вузлі мережі, що обслуговує комп'ютер користувача;
програми-клієнти, розміщені на комп'ютері користувача та послуг сервера.
Глобальні мережі надають користувачам різноманітні послуги: електронна пошта, віддалений доступ до будь-якого комп'ютера мережі, пошук даних та програм тощо.
Завдання №1.
Створіть у папці «Мої документи» папку під іменем Пошта_1 (цифра імені відповідає номеру вашого комп'ютера).
За допомогою текстового редактора Word або WordPad створіть листа до одногрупників.
Збережіть текст у папці Пошта_1 свого комп'ютера у файлі лист1.doc, де 1 – номер комп'ютера.
Відкрийте папку іншого комп'ютера, наприклад, Пошта_2 і скопіюйте в нього файл лист1 зі своєї папки Пошта_1.
У папці Пошта_1 прочитайте листи від інших користувачів, наприклад лист2. Допишіть у них свою відповідь.
Перейменуйте файл лист2.doc на файл лист2_ответ1.doc
Перемістіть файл лист2_ответ1.doc до папки Пошта _2 і видаліть його зі своєї папки
Далі повторіть пункт 2-4 для інших комп'ютерів.
Прочитайте повідомлення від інших користувачів у своїй папці та повторіть дії п.5-8.
Завдання №2. Відповісти на запитання та запишіть їх у зошит:
| |
| |
| |
| |
| |
| |
| |
| |
|
