Asp защита и надежность метабазы


Содержание

Актуальность защиты базы данных. Методы защиты баз данных. Методы восстановления базы данных

Методы защиты баз данных: защита паролем, шифрование, разграничение прав доступа

К основным средствам защиты относится: защита паролем, шифрование данных и программ, разграничение прав доступа к объектам базы данных, защита полей и записей таблиц БД.

Пароли устанавливаются пользователями или администраторами БД. Учет и хранение паролей выполняется самой СУБД. Обычно, пароли хранятся в определенных системных файлах СУБД в зашифрованном виде. Неудобство парольной защиты для пользователя состоит в том, что пароль надо запоминать или записать

Более мощным средством защиты данных от просмотра является их шифрование. Шифрование – это преобразование читаемого текста в нечитаемый текст, при помощи некоторого алгоритма; применяется для защиты уязвимых данных.

В целях контроля использования основных ресурсов СУБД во многих системах имеются средства установления прав доступа к объектам БД. Права доступа определяют возможные действия над объектами. Владелец объекта и администратор БД имеют все права. Остальные пользователи к разным объектам могут иметь различные уровни доступа. Разрешение на доступ к конкретным объектам базы данных сохраняется в файле рабочей группы.

Защита данных в полях таблиц предусматривает следующие уровни прав доступа: полный запрет доступа; только чтение; разрешение всех операций.

К дополнительным средствам защиты БД можно отнести такие средства, которые непосредственно влияют на безопасность данных. Их составляют следующие средства:

§встроенные средства контроля значений данных в соответствии с типами;

§повышения достоверности вводимых данных;

§обеспечения целостности связей таблиц;

§организации совместного использования объектов БД в сети.

Восстановление базы данных применяется при повреждениях, не позволяющих пользователю открыть базу данных или работать с ней. Повреждение базы данных может проявляться при попытке пользователя открыть, сжать, зашифровать или дешифровать БД. При наличии повреждений базы данных, созданной в СУБД Access, для ее восстановления необходимо:

ü закрыть базу данных. При работе в сети необходимо убедиться, что другие пользователи закрыли базу данных;

ü создать резервную копию базы данных;

ü выполнить команду Сервис / Служебные данные / Восстановить;

ü указать имя папки и файла восстанавливаемой базы данных.

Не нашли то, что искали? Воспользуйтесь поиском:

Лучшие изречения: Да какие ж вы математики, если запаролиться нормально не можете. 8426 — | 7330 — или читать все.

188.64.174.135 © studopedia.ru Не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования. Есть нарушение авторского права? Напишите нам | Обратная связь.

Отключите adBlock!
и обновите страницу (F5)

очень нужно

Требования к защите компьютерной информации. Подходы к проектированию системы защиты , страница 3

Грозы по приоритетности:

1. Несанкционированный доступ

2. Отказ в обслуживании DDOS

4. Несанкционированный запуск исполняющего кода

Угрозы, описанные выше напрямую используют недостатки ОС. Необходима добавочная защита.

При разработке новых ОС разработчики допускают 2 ошибки:

1. Некорректная реализация механизма управления доступа к защищаемым объектам для системных процессов и пользователей с правами администратора.

2. Отсутствие возможности обеспечение замкнутости программной среды.

Подходы к проектированию системы защиты. Оценка надежности СЗИ

Отказоустойчивость систем защиты информации

Надежность системы защиты информации – это свойство СЗИ обеспечивать защиту информации от НСД в течении заданного промежутка времени в стандартах и предусмотренных условиях эксплуатации СЗИ.

Отказ СЗИ – случайное событие, приводящее к невозможности выполнения системой возложенных на неё функций ( для невосстанавливаемых систем) в течении некоторого промежутка времени (для восстанавливаемых систем).

Отказ СЗИ не только переход СЗИ в неработоспособное состояние, это и наличии уязвимости в системе.

Под отказом СЗИ НСД будем понимать обнаружение злоумышленником канала НСД к информации.

Под отказоустойчивостью будем понимать свойство СЗИ выполнять свои функции в условиях обнаружения канала несанкционированного доступа.

Интенсивность отказа НСД – это интенсивность обнаружения СЗИ канала от НСД.

Интенсивность отказа – величина постоянна.

Любая из них приводит к отказу

Тогда вероятность работы СЗИ заданного промежутка может задаваться промежутком:

Средний промежуток времени между двумя отказами называется наработкой на отказ.

По возможности обнаружения злоумышленником канала НСД системы можно классифицировать следующим образом:

· С очень высокой возможностью обнаружения каналов НСД (очень слабо защищен)
Как правило, это некоммерческие, свободно распространяемые системы в том числе ОС, со свободными исходными кодами.

· С высокой возможностью обнаружения каналов НСД.
Широкораспространенные коммерческие средства и системы без доступа к исходным кодам.

· С низкой возможностью обнаружения каналов НСД.
Ограниченно использующиеся средства без доступа к исходным кодам. (ОС для маршрутизаторов, коммутаторов)

· Очень низкая возможностью обнаружения каналов НСД
Использующаяся на практике коммерческая система, имеющая формализованные правила, ограничения и закрытые коды.

Время восстановления и коэффициент готовности.

Интервал времени в течении которого после возникновения отказа НСД и обнаруженный канал НСД устраняется.

Ту — время устранения уязвимости

Твн – время внедрения исправленной версии СЗИ

Тв — Основная характеристика разработчика СЗИ – характеризует, насколько быстро разработчик устраняет уязвимость СЗИ.

С позиции надежности эксплуатационные свойства системы защиты могут характеризоваться коэффициентом готовности (Тг)

Коэффициент готовности характеризует относительную дою времени в течении которого СЗИ работоспособно.

Коэффициент неготовности (Кнг)

Эти коэффициенту характеризуют, что СЗИ готово или не готово.

Надежность элементов систем автоматики


Читайте также:

  1. A) Системный подход
  2. A.4.1 Подсистемы
  3. Aрхитектурныe основы построения нейросистем на базе нейрочипа
  4. CASE-технология создания информационных систем.
  5. CMMS и EAM системы
  6. CRM системы
  7. CSRP — стандарт(Customer Synchronized Resource Planning) и система
  8. Cовременные взгляды на атопические болезни как на системные заболевания. Алергические заболевания, класификация, клинические примеры.
  9. Data Warehouse – хранилище данных — ХД — систем обработки данных
  10. DNS (Domain Name System)-система адресов
  11. DNS — доменная система имен
  12. DSS — системы поддержки принятия решений — СППР

Надежность систем автоматики — это способность сохранять наиболее существенные свойства на заданном уровне в процессе эксплуатации. Для надежной работы системы необходимо использовать элементы, обладающие хорошими показателями надежности. Это особенно важно в связи с возрастающим многообразием систем автоматики, применением их для выполнения очень ответственных задач. Но чем сложнее эти системы, чем большее число элементов они содержат, тем больше появляется причин для снижения надежности. Возникает противоречие: чем ответственнее и сложнее задача, выполняемая системой автоматики, тем меньше может оказаться надежность этой системы. Основными путями преодоления этого противоречия являются следующие. Прежде всего это повышение надежности элементов автоматики, кроме того, разработка методов создания надежных систем, состоящих из ненадежных элементов; разработка систем контроля, предупреждающих и обнаруживающих отказы; разработка методов обслуживания сложных систем.

Рассмотрим основные показатели надежности, по которым оцениваются элементы автоматики. При оценке надежности используется термин «отказ». Отказами в работе элемента называют как выход из строя, так и изменение его параметров, приводящее к неудовлетворительному выполнению элементов его функций. Отказы, как правило, появляются внезапно, случайно, т.е. подчиняются законам, свойственным случайным величинам. Их изучают с помощью математической статистики. Для количественной оценки надежности элементов автоматики обычно используют следующие показатели: P(t) — вероятность безотказной работы в течение заданного отрезка времени; X(t) — интенсивность отказов; Тср — среднее время безотказной работы.

Основной количественной характеристикой надежности является вероятность безотказной работы P(t) — вероятность того, что за время t не произойдет отказа в работе. Эта величина может находиться в пределах от 0 до 1.

На рис.1.5 показан график функции P(t). Вероятность безотказной работы элемента автоматики можно определить по результатам испытаний большого количества одинаковых элементов в течение заданного промежутка времени t.

где N — общее число испытанных элементов, п — число элементов, вышедших из строя за время испытаний.

Рис.1.5. Зависимость безотказной работы элемента от времени работы

Интенсивность отказов λ(t), или λ-характеристика, очень часто используется для количественной оценки надежности элементов и при расчете надежности системы автоматики, состоящей из нескольких элементов. Величину λ можно оценить как отношение числа отказавших элементов к числу оставшихся к данному моменту времени работоспособными элементов, взятое за единицу времени. Обычно единицей измерения интенсивности отказов является число отказов в час. Типичная кривая интенсивности отказов в зависимости от времени эксплуатации для большого числа однотипных элементов, изготовленных на одном и том же заводе по одинаковой технологии, приведена на рис.1.6.

Рис.1.6. Типичная зависимость интенсивности отказов от времени

На этой кривой можно выделить три характерных участка. Первый участок от 0 до t1 — называют периодом приработки и тренировки. В этот период выходят из строя некачественно изготовленные элементы. Обычно этот период проходит на заводе-изготовителе, дорожащем своей репутацией. Дефектные элементы заранее, как говорится, «выжигают», а не пускают в продажу. Второй участок (от t1 до t2) — это период нормальной эксплуатации элемента, в течение которого интенсивность отказов низкая и примерно постоянная. На этом участке вероятность безотказной работы определяется по формуле

Третий участок начинается с момента t2 и характеризуется нарастанием интенсивности отказов, что объясняется старением и износом элементов. Обычно рекомендуется произвести замену элементов до наступления момента времени t2.

Среднее время безотказной работы при постоянной интенсивности отказов определяется очень просто: Тср = 1/ λ.

Следует отметить, что на величину интенсивности отказов и соответственно на среднее время безотказной работы очень сильно влияют условия эксплуатации.

Раздел 2. Электрические, электронные, пневматические, гидравлические, и комбинированные средства автоматизации

| следующая лекция ==>
Обратная связь в системах автоматики | Электрические датчики

Дата добавления: 2014-01-11 ; Просмотров: 2643 ; Нарушение авторских прав? ;

Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет

Обеспечение безопасности системы и защита данных в Windows 2003 (стр. 6 из 15)

Хотя объем деловой информации, доступной в цифровой форме, заметно увеличился, теперь можно выполнить более быстрый поиск и более быстрое обновление такой информации, а также творчески проанализировать ее и предоставить более широкому кругу пользователей. Windows Server 2003 позволяет организациям повысить производительность труда, несмотря на постоянное увеличение объема хранимой ими информации.

Возможность Преимущества Примечания
Теневое копирование общих папок Пользователи могут быстро восстанавливать удаленные или измененные файлы, хранящиеся в сети, без помощи администратора, что повышает продуктивность и снижает административные затраты. Добавлено в Windows Server 2003
Расширенное перенаправление папки «Мои документы» Пользователи будут всегда иметь доступ к своим данным, даже работая в автономном режиме или в условиях потери подключения к сети. Усовершенствования в пользовательском интерфейсе облегчают администраторам процесс настройки перенаправления папок Перенаправленные папки автоматически делаются доступными в автономном режиме ля организаций, уже развернувших домашние каталоги, поддерживается перенаправление папки «Мои документы» в назначенный ранее домашний каталог пользователей
Информирование о местонахождении принтера средствами Active Directory Пользователи могут искать принтеры, используя информацию, хранящуюся в базе данных Active Directory, что повышает продуктивность их работы. Добавлено в Windows 2000 Server
Печать без подготовки В Windows Server 2003 драйверы печати автоматически устанавливаются на компьютеры пользователей, без какого-либо дополнительного администрирования. Добавлена в Windows NT 4 Server
Индексация содержимого Обеспечивает быстрый, удобный и надежный метод поиска данных, хранящихся на локальном компьютере или в сети. Добавлена в Windows 2000 Server
Удаленный общий доступ к документам (WebDAV) Упрощает удаленный доступ к документам через Интернет, повышая производительность труда пользователя. Добавлен в Windows 2000 Server Windows XP поддерживает перенаправление DAV
Печать через Интернет Отправка заданий печати через Интернет на определенный адрес. Добавлена в Windows 2000 Server

IIS 6.0 — это мощный веб-сервер, доступный во всех версиях Microsoft Windows Server 2003, который предоставляет весьма надежную, управляемую, масштабируемую и безопасную архитектуру для веб-приложений. IIS 6.0 позволяет организациям любых размеров быстро и легко развертывать веб-узлы и предоставляет высокопроизводительную платформу для приложений, разработанных с использованием Microsoft ASP.NET и Microsoft .NET Framework. В этой статье приводится обзор преимуществ, новых возможностей и усовершенствований, отличающих IIS в Windows Server 2003.

Кроме перечисленных здесь новых возможностей, в Windows Server 2003 с пакетом обновления 1 (SP1) для IIS 6.0 становятся доступны дополнительные возможности в области совместимости, функции ведения журналов и отслеживания, усовершенствования, касающиеся безопасности, а также функция аудита метабазы.

IIS 6.0 позволяет повысить надежность веб-инфраструктуры и безопасность информационных систем, снизить совокупную стоимость владения благодаря упрощенной системе управления и объединения серверов, а также создать условия для повышения производительности труда разработчиков.

Преимущества Описание
Повышенная производительность и доступность веб-сервера IIS 6.0 имеет новую, устойчивую к сбоям архитектуру с контролем работоспособности и обработкой процессов, которая значительно повышает надежность инфраструктуры веб-сервера. IIS 6.0 гарантирует, что неполадки в одном приложении не вызовут отказ другого приложения или всего сервера. Благодаря этим особенностям повышается доступность веб-узлов и приложений и потенциально снижается количество времени, затрачиваемое администраторами на управление приложениями.
Упрощенная система управления сервером В IIS 6.0 включено множество новых средств управления, призванных сократить количество времени, которое тратится на управление инфраструктурой веб-сервера. Среди этих средств — конфигурационный файл в формате XML, который можно редактировать, не останавливая сервер, а также возможность написания сценариев командной строки. Благодаря этим особенностям IIS 6.0 один администратор может управлять большим количеством серверов.
Объединение серверов IIS 6.0 обладает высокой масштабируемостью, что открывает новые возможности для объединения веб-серверов. Сочетая в себе надежную архитектуру и высокую производительность, обеспечиваемую кэшированием в режиме ядра, IIS 6.0 позволяет размещать большее количество приложений на одном сервере. Объединение серверов ведет к снижению затрат на содержание персонала, оборудование и управление веб-узлом.
Ускоренная разработка приложений Windows Server 2003 и IIS 6.0 предоставляют разработчикам приложений единую интегрированную среду для размещения приложений. Располагая такими средствами, как IIS 6.0, .NET Framework и ASP.NET, Windows Server 2003 предлагает разработчикам широкий выбор языков программирования для быстрой разработки приложений, а также высокопроизводительную и надежную среду для их размещения. IIS 6.0 также обеспечивает поддержку локализации и последних веб-стандартов.
Повышенная безопасность IIS 6.0 обеспечивает значительно большую безопасность веб-серверов. По умолчанию IIS 6.0 работает в режиме блокировки; число уязвимых мест сведено к минимуму за счет использования стандартных настроек, ориентированных на предельно жесткую защиту от атак. Кроме того, были усовершенствованы проверка подлинности и авторизация. В IIS 6.0 расширены возможности управления, обеспечено большее удобство администрирования за счет использования XML-метабазы и добавлены новые средства командной строки. IIS 6.0 позволяет повысить безопасность информационных систем, снизив затраты на управление системой.

В версии 6.0 веб-сервер IIS претерпел значительные изменения, направленные на повышение его надежности и доступности. Новая, устойчивая к сбоям архитектура процессов и другие особенности помогают сократить число незапланированных простоев сервера и повысить доступность приложений.

Методы защиты и безопасность базы данных

физико-математические науки

  • Дудкина Анастасия Сергеевна , бакалавр, студент
  • Баш­кирс­кий го­су­дарст­вен­ный аг­рар­ный уни­вер­си­тет
  • Похожие материалы

    В настоящее время практически ни одна современная организация не обходится без использования баз данных в своей деятельности. Базы данных (БД) — это наиболее значимый и ценный актив для любой компании. Поскольку в БД может храниться очень деликатная или конфиденциальная информация, необходимо очень серьезно относиться к ее защите. Любые сбои в работе СУБД и баз данных могут привести к катастрофическим последствиям.

    К основным средствам защиты информации относят следующие:

    • парольная защита;
    • защита полей и записей таблиц БД.
    • установление прав доступа к объектам БД;
    • шифрование данных и программ;

    Защита БД производится на двух уровнях:

    • на уровне пароля;
    • на уровне пользователя (защита учетных записей пользователей и идентифицированных объектов).

    Безопасная система авторизации и регистрации является одним из важнейших элементов при создании проекта. Один из возможных способов — это создание системы регистрации с помощью PHP и MySQL.

    РhpMyAdmin — это программа написанная на PHP и предназначенная для управления сервером MySQL через всемирную сеть. phpMyAdmin поддерживает широкий набор операций над MySQL. Наиболее часто используемые операции поддерживаются с помощью пользовательского интерфейса (управление базами данных, таблицами, полями, связями, индексами, пользователями, правами, и т. д.), одновременно вы можете напрямую выполнить любой SQL запрос.

    Обеспечение информационной безопасности разрабатываемого проекта осуществляется на нескольких уровнях. На первом уровне защиту информации обеспечивает сама система «phpMyAdmin» начиная со входа в панель управления где панель требуется ввести логин и пароль.

    Рисунок 1. Авторизация в системе «phpMyAdmin»

    Следующий уровень защиты обеспечивает СУБД MySQL, разграничивая также права доступа.

    Рисунок 2. Обзор учетных записей

    Кроме того, также можно ограничить доступ не только к самой системе управления базами данных, но и отдельно к базам данных, к таблицам базы данных, к записям конкретных таблиц и даже к значениям полей таблиц или записей. Стоит отметить, что встроенные функции шифрования присутствуют далеко не во всех СУБД. Следовательно, универсальным данный метод назвать нельзя. Данная СУБД предлагает два однотипных набора функций шифрования, в одном из которых реализован алгоритм DES, а в другом — AES. Кроме того, в MySQL реализовано несколько алгоритмов хэширования. Набор криптографических функций данной СУБД выглядит так:

    Таблица 1. Криптографические функции СУБД

    Зашифрование данных алгоритмом AES.

    Расшифрование данных алгоритмом AES.

    Зашифрование данных алгоритмом DES.

    Расшифрование данных алгоритмом DES.

    Зашифрование данных функцией crypt().

    Хэширование данных алгоритмом MD5.

    Хэширование данных алгоритмом SHA-1.


    Функции шифрования данных алгоритмом AES используют 128-битный ключ шифрования, т. е. шифрование ключами размером 192 и 256 бит, предусмотренными стандартом AES , в MySQL не реализовано. Ключ шифрования задается явным образом как один из параметров функции. В отличие от них, функции DES_ENCRYPT() и DES_DECRYPT(), которые шифруют алгоритмом TripleDES, помимо явного задания ключа шифрования, допускают простейший вариант управления ключами в виде ключевого файла, содержащего пронумерованные значения ключей. Однако, данные функции по умолчанию выключены, для их использования необходимо включить поддержку протокола SSL в конфигурации СУБД.

    Функция ENCRYPT() может быть использована только в операционных системах семейства Unix, поскольку она шифрует данные с помощью системного вызова crypt(). Что касается используемых функций хэширования, то в документации на MySQL содержится предупреждение о том, что лежащие в их основе алгоритмы взломаны (подробно об этом написано, в частности, в, поэтому использовать их следует с осторожностью. Однако, MySQL пока не предлагает более стойких функций хэширования взамен существующих. Перечисленные выше криптографические функции также весьма просты в использовании. Например, следующий запрос помещает в таблицу table значение “text”, зашифрованное на ключе “password” : INSERT INTO table VALUES ( 1, AES_ENCRYPT( ‘text’, ‘password’ ) ); Отметим, что формат поля, в которое записывается зашифрованное значение, должен соответствовать ограничениям, накладываемым используемым криптоалгоритмом — в данном случае, оно должно быть двоичным (например, типа VARBINARY) и предполагать выравнивание в соответствии со 128-битным размером блока алгоритма AES.

    Система защиты БД играет важнейшую роль в автоматизации контроля над действиями пользователей, работающими с базами данных, защите от внешних и внутренних угроз и повышении надежности функционирования баз данных.

    Список литературы

    1. Мельников,В.П.Информационная безопасность и защита информации. / В.П.Мельников,
    2. С.А.Клейменов, А.М.Петраков // 3-е изд., стер. — М.: Академия, 2008. — 336 с.
    3. Панасенко С.П. Комплексная защита информации. // Информационные технологии. -2001 — № 3 — с. 14-16
    4. Рабочая программа дисциплины «Информационная безопасность» : направление подготовки 080500 Бизнес-информатика [Электронный ресурс] : профиль подготовки Информационные системы в бизнесе : квалификация (степень) выпускника Бакалавр / Башкирский ГАУ, [Каф. информатики и информационных технологий ; сост. А. Р. Басыров]. — Уфа : [б. и.], 2013. — 16 с. — Б. ц.
    5. Сайт PHP веб-приложения «phpMyAdmin» [Электронный ресурс]. – Режим доступа: http://www.phpmyadmin.net/home_page/ , свободный

    Электронное периодическое издание зарегистрировано в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), свидетельство о регистрации СМИ — ЭЛ № ФС77-41429 от 23.07.2010 г.

    Соучредители СМИ: Долганов А.А., Майоров Е.В.

    Подход к интеграции баз данныхпо свойствам неорганических веществ на основе метабазы Текст научной статьи по специальности « Автоматика. Вычислительная техника»

    Аннотация научной статьи по автоматике и вычислительной технике, автор научной работы — Дударев В.А., Филоретова О.А.

    В настоящее время существует огромное количество баз данных (БД) по свойствам неорганических веществ и материалов, содержащих разнонаправленную информацию. Разработка современных многофункциональных устройств требует знания самых разных свойств материалов, что делает актуальной задачу интеграции БД в данной предметной области. Статья посвящена вопросам создания интегрированной информационной системы по свойствам неорганических веществ .

    Похожие темы научных работ по автоматике и вычислительной технике , автор научной работы — Дударев В.А., Филоретова О.А.,

    A metabase based approach to databases integration on inorganic substances properties

    Currently an enormous number of databases on inorganic substances and materials properties exist that contains multidirectional information. Modern multifunctional devices development requires knowledge of a diverse set of materials properties. That makes the integration task of databases in the problem domain of great importance. The article is devoted to questions of integrated information system on inorganic material properties creation.

    Текст научной работы на тему «Подход к интеграции баз данныхпо свойствам неорганических веществ на основе метабазы»

    В. А. Дударев, канд. техн. наук, доцент Московского государственного университета

    тонких химических технологий им. М. В. Ломоносова О. А. Филоретова, канд. техн. наук, Московский государственный университет тонких химических технологий им. М. В. Ломоносова

    Подход к интеграции баз данных по свойствам неорганических веществ на основе метабазы

    Обеспечение химиков достоверной информацией о свойствах современных веществ представляется необходимым условием развития инновационной промышленности. На текущем этапе качественная информационная поддержка специалистов осуществляется с использованием специализированных баз данных (БД), основным преимуществом использования которых по сравнению с печатными публикациями является существенное сокращение времени поиска требуемой информации.

    Разработка информационных систем (ИС) по свойствам неорганических веществ ведется во многих странах [1]. При этом наибольшего прогресса в этом вопросе добились США и Япония, которые на базе NIST (National Institute of Standards and Technology — Национальный институт стандартов и технологий, США) и NIMS (National Institute for Materials Science Technology — Национальный институт материаловедения, Япония) предлагают обширные комплексы материаловедческих баз данных. Россия также обладает неплохим потенциалом и все еще находится в лидирующей группе, однако в последние годы можно отметить определенный застой в этой области, связанный с недостаточным финансированием. В результате в нашей стране существует ряд специализированных баз данных, разработанных различными организациями и никак не связанных друг с другом.

    Ни одна из разработанных БД по свойствам неорганических веществ и материалов (БД СНВМ) не способна предоставить исчерпывающую информацию о совокупно-

    сти свойств конкретного вещества или материала. Очень часто специалисты вынуждены просматривать десятки БД СНВМ, чтобы найти необходимые им значения параметров заданного вещества. Одним из путей решения проблемы является интеграция информационных источников с целью предоставления пользователям полной совокупности данных о неорганических веществах.

    иерархия химических сущностей

    Ключевой проблемой при интеграции является стандартизация понятий предметной области. Описание химических сущностей и их свойств в различных БД СНВМ происходит с разной степенью детализации. Значения свойств, хранимые в информационных источниках, определяются, в первую очередь, составом неорганических веществ (набором образующих их химических элементов и соотношением их друг с другом). В свою очередь, физические свойства веществ во многом зависят от кристаллической структуры.

    Таким образом, может быть построена иерархия понятий, используемая при описании свойств химических сущностей (рис. 1).

    i i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

    В первом случае разрабатывается программный интерфейс доступа (API — Application Programming Interface) к информационным источникам, с помощью которого можно извлекать необходимые данные из разных БД. То есть строится некая центральная информационная система, взаимодействующая с распределенными источниками данных, извлекающая и предоставляющая пользователю агрегированную информацию о запрашиваемом веществе из разных БД СНВМ.

    Использование второго подхода (EAI) наиболее целесообразно, когда БД СНВМ включают прикладные программы. При реализации этого подхода объединяются не сами БД, а только их пользовательские интерфейсы, осуществляющие доступ к расчетным подсистемам. Такими интерфейсами могут быть веб-приложения соответствующих информационных систем.

    В связи с тем, что интегрируемые БД СНВМ могут пересекаться по набору

    свойств веществ, а качество информации (достоверность и полнота) в каждой БД отличается для разных свойств, необходима подсистема, поддерживающая экспертные оценки информации интегрируемых БД. Экспертиза должна проводиться высококвалифицированными специалистами, которые выставляют оценки, характеризующие качество данных в раз интегрируемых ИС. Таким образом, при наличии информации по какому-либо свойству вещества в нескольких интегрируемых БД интегрированная система должна выдавать не только сами данные, но и степень их достоверности, рассчитанную на основе экспертных оценок. Разработка такой подсистемы экспертизы информации интегрируемых баз данных — одна из самых сложных организационных задач интеграции БД СНВМ.

    Необходимо также учесть, что квалифи-з цированные пользователи не всегда доверяют экспертным оценкам коллег. В связи | с этим БД СНВМ должны содержать гипер-§ ссылки на полные тексты исходных публи-§ каций, из которых извлечена информация. и Таким образом, квалифицированные польза зователи смогут получить доступ не только Ц к значениям конкретных свойств, но также § и к информации о том, каким образом, ко-| гда и кем были получены соответствующие результаты.

    | интегрированная система баз данных | по свойствам неорганических веществ | и материалов иМЕт РАн

    | Авторский опыт интеграции информаци-§ онных ресурсов в области неорганического § материаловедения [5] показал, что ни один Л из существующих подходов не решает все проблемы объединения информационных ^ источников и программных приложений баз Ц данных по свойствам неорганических ве-¡2 ществ и материалов. Поэтому был предло-| жен уникальный комплексный подход к ин-* теграции, сочетающий интеграцию на уров-|| не данных и пользовательских интерфейсу сов + EAI) [7]. В рамках предлагаемого

    подхода предоставляется как доступ к текущим пользовательским интерфейсам БД и свободное перемещение пользователей между ними (EAI), так и богатые возможности по сбору и агрегации информации, полученной из разнородных распределенных источников данных по свойствам веществ, согласно общей разработанной информационной схеме (EII). Использование описанного подхода для интеграции российских БД СНВМ, разработанных в ИМЕТ РАН, показало, что он предоставляет мощные инструментальные средства виртуальной интеграции информационных ресурсов, созданных с использованием самых разных компьютерных платформ, операционных систем, СУБД, отличающихся по языку и достоверности информации.

    В настоящее время интегрированная система баз данных по свойствам неорганических веществ и материалов объединяет все разработанные в ИМЕТ РАН информационные системы (БД Фазы, Elements, Диаграмма, Кристалл и BandGap), а также БД AtomWork, разработанную в NIMS (Япония) [7]. Интегрированная система также включает подсистему для компьютерного конструирования неорганических соединений и прогнозирования их свойств (ИАС — Информационно-Аналитическая Система) [2]. Особенностью разработанной интегрированной системы является то, что входящие в ее состав БД СНВМ созданы с использованием различных СУБД и функционируют на принципиально различных компьютерных платформах: Sun UltraSPARC (БД «Диаграмма») и Intel (прочие БД) под управлением разных операционных систем: от Sun Solaris (БД Диаграмма) и Unix (AtomWork) до Microsoft Windows Server (прочие БД).

    При интеграции баз данных необходимо предусмотреть возможность просмотра информации, содержащейся в других БД, о выбранном пользователем веществе. Таким образом, нужен некоторый координирующий центр, который знает о том, в каких БД и какая информация хранится. То есть должен существовать некий центр, который

    описывает информацию, содержащуюся в интегрируемых БД. Такую функцию выполняет предложенная нами метабаза — специальная база данных, содержащая справочные сведения о содержимом интегрируемых БД [5].

    Формализация метабазы и релевантной информации

    Ограничившись для простоты изложения только самым верхним уровнем иерархии (уровень химических систем), получим следующую формализацию для описания метабазы. В метабазе содержится информация по интегрируемым информационным системам (множество D), химическим системам (множество S) и их свойствам (множество P). Для описания взаимосвязи между элементами множеств D, S и P определено тернарное отношение W на множестве U = D х S х P. Принадлежность элемента ^, в,p) отношению W, где d е D, в е S, p е P, интерпретируется следующим образом: «в интегрируемой информационной системе d содержится информация по свойству р химической системы в».

    Поиск релевантной информации по конкретной химической системе э сводится к определению отношения Я, являющегося подмножеством декартова произведения S х S (иными словами, Я с S2). Таким образом, о любой паре (э1, в2) е Я можно сказать, что система в2 релевантна системе э1. То есть чтобы решить задачу поиска релевантной информации в интегрируемых информационных системах, необходимо определить отношение Я. Можно предложить следующие правила для построения Я:

    1. Для любых множеств е S, э2 е S, состоящих из химических элементов е-ф

    в1 = е12. е1п >, в2 = <е21,е22. е2 т >BерH0,

    что если с э2 (т. е. все химические элементы из системы содержатся в системе в2), то (э1, в2) е Я.

    2. Отношение Я симметрично. Иными словами, для любых е S, э2 е S верно, что если (э1, э2) е Я, то и (э2, э1) е Я.

    i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

    Базовые сведения об IIS

    Метабаза

    Метабаза похожа на реестр IIS и содержит все данные о конфигурации IIS . В предыдущих версиях метабаза представляла собой исполняемый файл , редактирование которого было возможно только при помощи редактора метабазы, входящего в состав пакета утилит. В IIS 6 метабаза имеет формат XML (см. рис. 1.4), и для редактирования используется Notepad (Блокнот). Несмотря на коренные отличия метабазы IIS 6 от предыдущей версии, она совместима с метабазой IIS 5, поэтому все прежние API и сценарии будут функционировать.

    Метабаза находится в папке %systemroot%\system32\inetsrv и имеет достаточно информативное имя – MetaBase.xml . Схема метабазы хранится в файле MBSchema.xml . Так как метабаза представляет собой текстовый файл , ее можно легко изменить при помощи любого текстового редактора. Менее вероятно и повреждение такого файла. Даже в случае повреждения метабазу можно легко исправить или восстановить.

    Журнал метабазы

    Метабаза в IIS периодически резервируется и сортируется по версиям. При этом используются два номера версии: главный и дополнительный. Именами файлов резервных копий являются MetaBase_[10-значный главный номер версии]_[10-значный дополнительный номер версии].xml и MBSchema_[10-значный главный номер версии]_[10-значный дополнительный номер версии].xml . Например, MBSchema_0000000160_0000000000.xml .

    По умолчанию сохраняются десять копий метабазы, что позволяет осуществлять откат, восстанавливая одну из предыдущих версий. Количество резервируемых версий настраивается с помощью редактирования свойства MaxHistoryFiles метабазы. Как правило, число сохраняемых копий не должно быть меньше десяти. При каждом сохранении метабазы ее резервная копия и соответствующая схема записываются в папку history . IIS проверяет количество пар резервных файлов, и если оно становится больше, чем значение параметра MaxHistoryFiles, то удаляются наиболее старые пары.


    Расположение папки истории

    По умолчанию папка history расположена в каталоге %systemroot%\System32\inetsrv\history . Настроить место расположения можно посредством изменения ключа реестра HKEY_LOCAL_MACHINE\Software\Microsoft\InetMGR\Parameters\ . Добавьте новое строковое значение с именем MetadataFile. Значение ключа MetadataFile должно представлять собой абсолютный путь к месту расположения, в котором необходимо сохранять файлы метабазы (например: D:\IISMetadata\ThisIsMyMetabase.xml ).

    Предупреждение. В любом случае редактирование реестра является весьма опасным, поэтому здесь подходят все классические предупреждения. Будьте очень, очень осторожны!

    При изменении места расположения файлов метабазы убедитесь, что все файлы метабазы перемещены в это место, иначе при запуске IIS в этом месте расположения будет создана новая метабаза по умолчанию. Изменение места расположения метабазы не вступит в силу до тех пор, пока не будут перезапущены службы IIS Admin и World Wide Web Publishing.

    Резервирование и восстановление метабазы

    Несмотря на то, что можно использовать файлы истории для восстановления файлов конфигурации метабазы, выполнение ее резервного копирования имеет некоторые преимущества. Одним из них является то, что файлы истории метабазы используются только на том компьютере, на котором они были созданы, в то время как резервные копии можно восстановить на любом другом компьютере. Резервирование метабазы выполняется по запросу через IIS MMC.

    Полное резервирование метабазы и ее восстановление выполняется также с помощью опции Backup/Restore Configuration (Настройка резервного копирования/восстановления) в IIS MMC. Для получения доступа к этой опции выделите компьютер в IIS и выберите Action\All Tasks\Backup\Restore Configuration (Действие \ Все задачи\ Резервирование/восстановление конфигурации).

    С помощью диалогового окна Configuration Backup/Restore (Резервирование/восстановление конфигурации) (см. рис. 1.5) создается, восстанавливается или удаляется резервная копия метабазы. В этом окне отображены все резервные копии метабазы.

    Опция Backup (Резервирование)

    При создании резервной копии необходимо указать ее имя. Файл резервной копии располагается в папке %system%\System32\Inetsrv\MetaBack . Файл метабазы имеет расширение .MD0 , а файл схемы – расширение .SC0 . Каждой последующей резервной копии с тем же самым именем будет присваиваться номер, на единицу больший предыдущего. Опция пароля защищает резервную копию при помощи указанного вами пароля. Парольная защита снимается только при помощи ввода того же самого пароля. Это позволяет переносить веб-сайт с одного компьютера на другой с сохранением защищенности метабазы.

    Предупреждение. Перенос метабазы на другой компьютер будет выполнен должным образом, если конфигурация дискового устройства на новом компьютере идентична прежней. Поскольку пути хранятся в метабазе, то в случае размещения содержимого на другом диске веб-сайт будет работать неправильно. Необходимо также соблюдать особую внимательность при наличии у сайта сертификата SSL.

    Опция Restore (Восстановление)

    Для восстановления выберите нужную конфигурацию, затем нажмите на кнопку Restore (Восстановить). Появится предупреждение о том, что все настройки будут удалены (они будут восстановлены в варианте, сохраненном в зарезервированной копии конфигурации), и что все службы будут остановлены и перезапущены. Это действие необходимо выполнять обдуманно.

    Опция Delete (Удаление)

    Для удаления резервной копии метабазы выберите нужную копию и нажмите на кнопку Delete (Удалить). В появившемся окне подтверждения на удаление файла выберите Yes (Да). Резервная копия будет удалена.

    Моментальная копия метабазы

    Еще один способ резервирования метабазы – использование утилиты Windows Backup (Архивация Windows). Утилита архивации автоматически использует компонент Metabase Snapshot Writer для проверки успешного резервирования файлов MetaBase.xml и MBSchema.xml . Если утилита архивации обнаружит на резервируемом диске метабазу, она запишет метабазу, находящуюся в памяти, в файлы и запретит внесение в нее изменений в течение двух минут (максимум).

    Совет. Компонент Metabase Snapshot Writer не используется при восстановлении с помощью утилиты Backup Utility. При необходимости восстановления файлов метабазы остановите службы IIS для предотвращения потери данных.

    Изменение метабазы

    Если в окне Properties (Свойства) включена опция Enable Direct Metabase Edit (Включить прямое изменение метабазы) (см. рис. 1.3), то для изменения метабазы в процессе работы IIS используют несколько различных методов.

    Блокнот или текстовый редактор

    Любимое средство тех пользователей, которые привыкли все делать вручную – текстовый редактор – используется для непосредственного редактирования метабазы. Просто откройте файл MetaBase.xml , внесите изменения и сохраните его. Изменения вступят в силу немедленно.

    IIS WMI

    Компания Microsoft реализовала новый подход, согласно которому все программы должны быть доступны для инструментария управления Windows ( WMI ). Поэтому необходимо иметь возможность использования WMI для тех же элементов конфигурации, с которыми работают и через пользовательский интерфейс. WMI редактирует копию метабазы, сохраненную на диске.

    IIS ADSI

    ADSI (Интерфейс сценариев Active Directory) редактирует копию метабазы, находящуюся в памяти компьютера. ADSI создает вхождение объекта метабазы, с которым можно выполнять действия на программном уровне.

    Подробная информация об изменении метабазы приведена в «Задачи по администрированию» .

    Обеспечение безопасности системы и защита данных в Windows 2003

    Описание преимуществ использования серверной системы Windows Server 2003. Усовершенствования служб Active Directory и приложений. Новшества технологий кластеризации, файловых и корпоративных служб, работы в сети и связи, в управлении хранилищами.

    Рубрика Программирование, компьютеры и кибернетика
    Вид реферат
    Язык русский
    Дата добавления 25.11.2010
    Размер файла 108,2 K

    Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

    Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

    Теневое копирование общих папок

    Пользователи могут быстро восстанавливать удаленные или измененные файлы, хранящиеся в сети, без помощи администратора, что повышает продуктивность и снижает административные затраты.

    Добавлено в Windows Server 2003

    Расширенное перенаправление папки «Мои документы»

    Пользователи будут всегда иметь доступ к своим данным, даже работая в автономном режиме или в условиях потери подключения к сети.

    Усовершенствования в пользовательском интерфейсе облегчают администраторам процесс настройки перенаправления папок

    Перенаправленные папки автоматически делаются доступными в автономном режиме

    ля организаций, уже развернувших домашние каталоги, поддерживается перенаправление папки «Мои документы» в назначенный ранее домашний каталог пользователей

    Информирование о местонахождении принтера средствами Active Directory

    Пользователи могут искать принтеры, используя информацию, хранящуюся в базе данных Active Directory, что повышает продуктивность их работы.

    Добавлено в Windows 2000 Server

    Печать без подготовки

    В Windows Server 2003 драйверы печати автоматически устанавливаются на компьютеры пользователей, без какого-либо дополнительного администрирования.

    Добавлена в Windows NT 4 Server

    Обеспечивает быстрый, удобный и надежный метод поиска данных, хранящихся на локальном компьютере или в сети.

    Добавлена в Windows 2000 Server

    Удаленный общий доступ к документам (WebDAV)

    Упрощает удаленный доступ к документам через Интернет, повышая производительность труда пользователя.

    Добавлен в Windows 2000 Server

    Windows XP поддерживает перенаправление DAV

    Печать через Интернет

    Отправка заданий печати через Интернет на определенный адрес.

    Добавлена в Windows 2000 Server

    Новые возможности IIS 6.0

    IIS 6.0 — это мощный веб-сервер, доступный во всех версиях Microsoft Windows Server 2003, который предоставляет весьма надежную, управляемую, масштабируемую и безопасную архитектуру для веб-приложений. IIS 6.0 позволяет организациям любых размеров быстро и легко развертывать веб-узлы и предоставляет высокопроизводительную платформу для приложений, разработанных с использованием Microsoft ASP.NET и Microsoft .NET Framework. В этой статье приводится обзор преимуществ, новых возможностей и усовершенствований, отличающих IIS в Windows Server 2003.


    Кроме перечисленных здесь новых возможностей, в Windows Server 2003 с пакетом обновления 1 (SP1) для IIS 6.0 становятся доступны дополнительные возможности в области совместимости, функции ведения журналов и отслеживания, усовершенствования, касающиеся безопасности, а также функция аудита метабазы.

    IIS 6.0 позволяет повысить надежность веб-инфраструктуры и безопасность информационных систем, снизить совокупную стоимость владения благодаря упрощенной системе управления и объединения серверов, а также создать условия для повышения производительности труда разработчиков.

    Повышенная производительность и доступность веб-сервера

    IIS 6.0 имеет новую, устойчивую к сбоям архитектуру с контролем работоспособности и обработкой процессов, которая значительно повышает надежность инфраструктуры веб-сервера. IIS 6.0 гарантирует, что неполадки в одном приложении не вызовут отказ другого приложения или всего сервера. Благодаря этим особенностям повышается доступность веб-узлов и приложений и потенциально снижается количество времени, затрачиваемое администраторами на управление приложениями.

    Упрощенная система управления сервером

    В IIS 6.0 включено множество новых средств управления, призванных сократить количество времени, которое тратится на управление инфраструктурой веб-сервера. Среди этих средств — конфигурационный файл в формате XML, который можно редактировать, не останавливая сервер, а также возможность написания сценариев командной строки. Благодаря этим особенностям IIS 6.0 один администратор может управлять большим количеством серверов.

    IIS 6.0 обладает высокой масштабируемостью, что открывает новые возможности для объединения веб-серверов. Сочетая в себе надежную архитектуру и высокую производительность, обеспечиваемую кэшированием в режиме ядра, IIS 6.0 позволяет размещать большее количество приложений на одном сервере. Объединение серверов ведет к снижению затрат на содержание персонала, оборудование и управление веб-узлом.

    Ускоренная разработка приложений

    Windows Server 2003 и IIS 6.0 предоставляют разработчикам приложений единую интегрированную среду для размещения приложений. Располагая такими средствами, как IIS 6.0, .NET Framework и ASP.NET, Windows Server 2003 предлагает разработчикам широкий выбор языков программирования для быстрой разработки приложений, а также высокопроизводительную и надежную среду для их размещения. IIS 6.0 также обеспечивает поддержку локализации и последних веб-стандартов.

    IIS 6.0 обеспечивает значительно большую безопасность веб-серверов. По умолчанию IIS 6.0 работает в режиме блокировки; число уязвимых мест сведено к минимуму за счет использования стандартных настроек, ориентированных на предельно жесткую защиту от атак. Кроме того, были усовершенствованы проверка подлинности и авторизация. В IIS 6.0 расширены возможности управления, обеспечено большее удобство администрирования за счет использования XML-метабазы и добавлены новые средства командной строки. IIS 6.0 позволяет повысить безопасность информационных систем, снизив затраты на управление системой.

    Повышенная производительность и надежность сервера

    В версии 6.0 веб-сервер IIS претерпел значительные изменения, направленные на повышение его надежности и доступности. Новая, устойчивая к сбоям архитектура процессов и другие особенности помогают сократить число незапланированных простоев сервера и повысить доступность приложений.

    Устойчивая к сбоям архитектура процессов

    Устойчивая к сбоям архитектура процессов, используемая в IIS 6.0, предусматривает изоляцию веб-узлов и приложений в замкнутых блоках, называемых группами приложений. Группы приложений представляют собой удобный способ администрирования набора веб-узлов и приложений, а также повышения надежности, поскольку ошибки в одной группе приложений не могут привести к ошибкам в другой группе приложений или к сбою всего сервера.

    Службы IIS 6.0 выполняют периодическую проверку состояния группы приложений и автоматически перезапускают ее в случае отказа веб-узлов или приложений группы, повышая, таким образом, доступность приложений. IIS 6.0 защищает сервер и другие приложения, автоматически отключая веб-узлы и приложения, которые слишком часто дают сбои в течение короткого промежутка времени.

    Автоматическая обработка процессов

    IIS 6.0 автоматически останавливает и перезапускает веб-узлы и приложения, испытавшие сбой, применяя гибкий набор условий (в том числе использование процессора и потребление памяти) и одновременно поддерживая очередь запросов. При обработке рабочего процесса IIS 6.0 сохраняет соединение с клиентом по протоколу TCP/IP, благодаря чему клиентские приложения веб-служб оказываются, изолированы от нестабильности веб-приложений.

    Защита от частых сбоев

    Если приложение дает слишком много сбоев за короткий промежуток времени, IIS 6.0 автоматически отключает это приложение и возвращает сообщение об ошибке «503 Service Unavailable» («503: служба недоступна») в ответ на вновь поступающие или стоящие в очереди запросы к этому приложению. При этом можно также инициировать специальные действия — например, запуск отладки или уведомление администратора. Функция защиты от быстрых сбоев может также защитить веб-сервер от атак типа «отказ в обслуживании».

    Ускоренная разработка приложений

    Среда приложений Windows Server 2003 позволяет повысить производительность труда разработчиков, поскольку содержит полный набор интегрированных служб приложений и поддерживает передовые средства разработки.

    Интеграция ASP.NET и IIS

    Семейство Windows Server 2003 обеспечивает большее удобство разработки благодаря интеграции ASP.NET и IIS. Усовершенствования в Windows Server 2003, основанные на IIS 6.0, предоставляют разработчикам разнообразные функциональные возможности высокого уровня — в частности, быструю разработку приложений и широкий выбор языков. В Windows Server 2003 использование ASP.NET и .NET Framework стало более удобным, поскольку архитектура обработки запросов интегрирована с IIS 6.0.

    Microsoft .NET Framework

    Среда .NET Framework позволяет разработчикам создавать превосходные веб-приложения при помощи ASP.NET и других технологий. Она также помогает в создании приложений, аналогичных разрабатываемым в настоящее время. .NET Framework характеризуется нейтральностью по отношению к языку; может использоваться фактически любой язык программирования. Создавать приложения и службы на платформе .NET можно с использованием следующих языков: Visual C++® .NET, Visual Basic® .NET, Jscript® и Visual C#® .NET.

    Веб-службы на базе XML

    IIS 6.0 предоставляет высокопроизводительную платформу для веб-служб на базе XML. Веб-службы на базе XML позволяют удаленно обращаться к функциям сервера. С помощью веб-служб предприятия могут предоставлять программные интерфейсы для доступа к своим данным или бизнес-логике, которые, в свою очередь, могут получаться и обрабатываться клиентскими и серверными приложениями.

    Общий доступ к информации без географических ограничений

    Общий доступ к информации без географических ограничений и на различных языках становится все более важным в глобальной экономике. Раньше структура протокола HTTP, не приспособленная для использования кодировки Юникод, ограничивала возможности разработчиков использованием системной кодовой страницы. Теперь, когда для URL используется кодировка UTF-8, работа в кодировке Юникод стала возможна, что позволяет поддерживать более сложные языки, такие как китайский. IIS 6.0 предоставляет доступ к серверным переменным в кодировке Юникод. Добавлен также ряд новых серверных функций, позволяющих разработчикам обращаться к представлению URL в кодировке Юникод, за счет чего повышается качество поддержки в различных регионах.

    IIS 6.0 является гораздо более безопасным сервером, чем IIS 4.x или IIS 5.x. В нем реализовано множество новых возможностей, призванных увеличить защищенность веб-инфраструктуры. Кроме того, по умолчанию IIS 6.0 работает в режиме блокировки и со строгими лимитами на время ожидания и типы содержимого.

    Сервер в режиме блокировки

    IIS 6.0 обеспечивает большую безопасность по сравнению с предыдущими версиями. Чтобы сузить диапазон возможностей для атаки, IIS 6.0 не устанавливается по умолчанию в Windows Server 2003 —администратор должен явным образом выбрать его при установке. По умолчанию IIS 6.0 устанавливается в состоянии блокировки, в котором возможна выдача только статического содержимого. Включать и выключать отдельные функции IIS в зависимости от потребностей организации позволяет узел расширений веб-службы в диспетчере IIS.

    Список расширений веб-службы

    В стандартном варианте установки IIS не будет компилировать, выполнять или выдавать страницы с динамическими расширениями. Чтобы их выдача стала возможной, каждое допустимое расширение файла должно быть занесено в список расширений веб-службы. Это требование позволяет предотвратить вызов страницы с динамическим расширением, для которого не были предприняты соответствующие меры безопасности.

    Учетная запись по умолчанию с наименьшими привилегиями

    Все рабочие процессы IIS 6.0 в Windows Server 2003 по умолчанию выполняются под учетными записями пользователя типа «Сетевая служба» — нового встроенного типа учетных записей, обладающего ограниченными системными привилегиями. Все встроенные функции ASP всегда работают под учетными записями с ограниченными привилегиями (анонимный пользователь).

    IIS 6.0 расширяет использование новой структуры авторизации, входящей в состав Windows Server 2003. Кроме того, веб-приложения могут использовать авторизацию URL (в сочетании с диспетчером авторизации) для управления доступом. Ограниченная делегированная авторизация предоставляет администраторам доменов возможность делегировать полномочия только избранным компьютерам и службам.

    В IIS 6.0 появилось много новых возможностей, связанных с ролью сервера веб-приложений в Windows Server 2003. IIS 6.0 дает более широкие возможности для разработки приложений, предоставляя платформу, интегрированную с другими технологиями Windows Server 2003, — в частности, ASP.NET и .NET Framework. Windows Server 2003 в сочетании с IIS 6.0 представляет собой в высшей степени надежное, управляемое, масштабируемое и безопасное решение.

    Новые возможности проверки подлинности по протоколу Kerberos в Windows Server 2003

    Рассмотрим новые возможности системы проверки подлинности по протоколу Kerberos в Windows Server 2003 и дадим основные сведения об использовании данных средств.

    Ни одна из возможностей системы проверки подлинности по протоколу Kerberos, присутствовавших в Windows 2000, не была изъята из употребления или перемещена в другие линии продуктов.

    Для входа на клиентский компьютер с Windows XP не требуется учетной записи на компьютере

    Обычно для проверки подлинности по протоколу Kerberos необходима учетная запись на компьютере. Чтобы получить доступ к ресурсам компьютера, пользователь должен иметь билет службы для этого компьютера. Без этой проверки подлинности пользователя на компьютере компьютер должен осуществлять управление доступом, сопоставляя имя пользователя с именем, хранимым в местной базе данных учетных записей. Чтобы установить такое локальное сопоставление, пользователю необходимо запустить программу KSETUP.

    Имя участника службы более не преобразуется к канонической форме

    Ранее имя участника службы (SPN) приводилось к канонической форме диспетчера учетных записей безопасности (SAM) — например, mycomputer$. Это приводило к проблемам в тех случаях, когда пользователь запрашивал службу с неканоническим именем: система не могла определить, что у нее имеется кэшированный билет для этой службы, и запрашивала новый билет. Теперь решение заключается в использовании имени участника службы, которое было запрошено (без приведения к каноническому виду).

    Чтобы центр распределения ключей мог выдать билет службы, необходимо установить имя участника службы для участника безопасности, действующего как служба

    Это означает, что центр распределения ключей не выдаст билет службы учетной записи, которая не имеет имени участника службы (например, учетной записи пользователя). Причина заключается в том, что против службы, которая представляет собой обычную учетную запись с паролем, придуманным человеком, было бы проще организовать словарную атаку в автономном режиме. Для учетной записи, не имеющей имени участника службы, центр распределения ключей возвратит код ошибки, указывающий на то, что необходима процедура «пользователь-пользователь».

    Расширенная проверка адреса клиента

    Центр распределения ключей в Windows 2000 проверяет адреса в билетах, если они там есть. Однако при этом он не помещает запрошенные адреса в билет.

    В Windows Server 2003 центр распределения ключей по умолчанию работает в режиме совместимости с клиентами Windows 2000 и не помещает в билет адреса, указанные в AS-REQ, если в системный реестр не будет добавлен новый ключ (HKLM/System/CCS/Services/Kdc/KdcUseClientAddresses со значением типа DWORD, равным 1). Когда билет представляется службе выдачи билетов (TGS), адреса проверяются, если они есть. В Windows Server 2003 это можно запретить, добавив в реестр новый ключ (HKLM/System/CCS/Services/Kdc/KdcDontCheckAddresses со значением типа DWORD, равным 0). По умолчанию производится проверка адресов, если они есть (для совместимости с Windows 2000).

    Поддержка номеров версии ключа

    Номера версии ключа — это необязательная часть спецификации протокола Kerberos. Они могут включаться в данные, шифруемые с помощью Kerberos, если эти данные шифруются с использованием ключа с длительным сроком службы. В Windows Server 2003 впервые появилась возможность использования номера версии ключа.

    Выбор типа шифрования

    В Windows 2000 центр распределения ключей выбирает первый тип шифрования из имеющихся. В Windows Server 2003 центр распределения ключей выбирает самый надежный тип шифрования из числа поддерживаемых клиентом.

    Обновление билета TGT в Windows XP и Windows 2000 с пакетом обновления 2 (SP2) или более поздним

    По умолчанию срок действия билетов TGT равен десяти часам, однако это время может быть увеличено до семи дней (по умолчанию). Для продления срока ввод учетных данных не требуется. Продление будет осуществлено только в том случае, если билет TGT использовался менее чем за пять минут до истечения срока его действия. В противном случае срок действия билета TGT истечет, и его необходимо будет обновить (для чего требуются учетные данные).

    Обновление билета TGT в Windows Server 2003


    По умолчанию срок действия билетов TGT равен десяти часам, однако это время может быть увеличено до семи дней (по умолчанию). Для продления срока ввод учетных данных не требуется. Обновление происходит с использованием на компьютере потока очистки. Если по какой-либо причине билет TGT не удастся продлить, он перестанет действовать, и его необходимо будет обновить (для чего требуются учетные данные).

    В Windows XP и Windows 2000 с пакетом обновления 2 (SP2) или более поздним обновление билета TGT инициируется, если он используется менее чем за пять минут до истечения срока его действия.

    В Windows Server 2003 система периодически обновляет билеты TGT, срок действия которых истекает.

    В Kerberos всегда предоставлялся механизм, позволяющий клиенту делегировать свой билет TGT промежуточному серверу. Этот механизм позволяет промежуточному серверу получать билеты службы для других служб от имени клиента. Например, такое делегирование позволяет промежуточному серверу в трехуровневой системе представляться конечному приложению в качестве клиента. Однако данный механизм позволяет промежуточному серверу получать билеты для любой службы от имени клиента. Ограниченное делегирование — это функция в Windows Server 2003, с помощью которой контроллер домена выдает промежуточному серверу билеты только для тех служб, для которых ему разрешено получать делегированные билеты (это определяется административной политикой). Таким образом, возможность делегирования для промежуточного сервера ограничивается административной политикой.

    Ограниченное делегирование с преобразованием протоколов

    Преобразование протоколов — это функция, позволяющая промежуточному серверу запрашивать билет, не требуя от клиента предварительно проходить проверку подлинности по протоколу Kerberos. Таким образом, клиент может использовать проверку подлинности по протоколу SSL при обращении к промежуточному серверу, а тот — проверку подлинности по протоколу Kerberos при обращении к конечному приложению.

    Доверенные отношения между лесами

    Многим организациям, развертывающим несколько лесов, требуется сотрудничество с лесами в других организациях. В этом случае установление внешних доверительных отношений требует огромных усилий и не позволяет использовать новейшие технические достижения. В Windows Server 2003 вводится понятие межлесных доверительных отношений, облегчающее развертывание нескольких лесов. Межлесные доверительные отношения позволяют федерализовать два леса Active Directory одним отношением доверия, обеспечив легкость проверки подлинности и авторизации между лесами.

    Новые возможности служб управления

    Вследствие роста объемов вычислений на настольных системах, портативных компьютерах и переносных устройствах значительно возросла стоимость обслуживания распределенных сетей персональных компьютеров. Совокупная стоимость владения включает не только изначальную стоимость приобретения оборудования и программного обеспечения, но и расходы на развертывание, обновление оборудования и программного обеспечения, обучение, текущее обслуживание и техническую поддержку.

    Операционная система Windows Server 2003 базируется на фундаменте, заложенном в Windows 2000, что позволяет повысить ценность инвестиций при одновременном снижении общих затрат на вычислительные ресурсы. Более простая для развертывания, настройки и эксплуатации операционная система Windows Server 2003 предоставляет централизованные настраиваемые службы управления, позволяющие снизить совокупную стоимость владения. В этой статье приводится обзор преимуществ, новых возможностей и усовершенствований, отличающих службы управления в Windows Server 2003.

    Windows Server 2003 предоставляет следующие возможности.

    Средства управления, впервые появившиеся в Windows 2000, стали в Windows Server 2003 еще более надежными и доступными. Усовершенствования коснулись важнейших возможностей, таких как инструментарий управления Windows (WMI), групповая политика и результирующая политика (RSoP). Кроме того, новые параметры политики облегчают администраторам задачу блокировки требуемых конфигураций для групп пользователей по всей организации.

    Служба управления Microsoft IntelliMirror® предоставляет пользователям доступ к их приложениям, данным и настройкам вне зависимости от места входа в систему, что позволяет выполнять больший объем работы. Приложения можно устанавливать и обновлять удаленно. Возможность использования специализированных конфигураций для настольных компьютеров позволяет сократить расходы на индивидуальную поддержку пользователей. Пользователи получают гибкость, необходимую им для выполнения своей работы, не тратя времени на настройку системы собственными силами.

    Такие усовершенствования, как управление с помощью WMI из командной строки и средства удаленного управления, обеспечивают невиданную гибкость при администрировании. Упрощенное перенаправление папок и улучшенный роуминг облегчают доступ пользователей к данным и приложениям по всей организации. Кроме того, благодаря поддержке межлесных доверительных отношений организации могут реализовывать и другие варианты взаимодействия, что дает дополнительную гибкость.

    Новые возможности и усовершенствования

    Windows Server 2003 предоставляет следующие возможности:

    1. Улучшенные средства управления политиками

    2. Мощные инструменты и службы развертывания

    3. Широкие возможности управления с помощью командной строки

    4. Windows Update

    5. Windows Server Update Services (WSUS)

    6. Интегрированные решения для управления на уровне предприятия

    Улучшенные средства управления политиками

    Windows Server 2003 совершенствует методы использования групповой политики для управления конфигурацией широкого спектра пользовательских элементов — рабочих столов, настроек, параметров безопасности, профилей роуминга, содержимого меню «Пуск» и т.д.

    Консоль управления групповой политикой

    Консоль управления групповой политикой (GPMC) предоставляет новую структуру для управления политиками групп. Благодаря GPMC устанавливать групповую политику стало легче, чем в предыдущих версиях, — это удобно для организаций, которые хотят использовать преимущества службы Active Directory® и предоставляемые ею широкие возможности управления.

    В частности, GPMC обеспечивает резервное копирование и восстановление объектов групповой политики (GPO), их импорт, экспорт, копирование и вставку, составление отчетов о настройках GPO и данных результирующей политики (RSoP), использование шаблонов для управляемых конфигураций, а также управление всеми операциями GPMC из сценариев.

    Кроме того, GPMC позволяет администраторам управлять групповой политикой множества доменов и узлов, принадлежащих к конкретному лесу, с помощью упрощенного интерфейса пользователя с поддержкой перетаскивания объектов мышью. Благодаря межлесным доверительным отношениям администраторы могут также управлять групповой политикой разных лесов с одной и той же консоли. GPMC позволяет управлять групповой политикой доменов Windows 2000 и Windows Server 2003.

    Результирующая политика (RSoP)

    Поддержка результирующей политики (RSoP) дает администраторам возможность планировать, отслеживать и отлаживать групповую политику. С помощью RSoP администраторы могут предсказывать, как изменения в групповой политике отразятся на конкретном пользователе или компьютере. Возможна также удаленная проверка политики, действующей в настоящий момент для конкретного компьютера.

    Новые параметры политики

    Благодаря появлению в Windows Server 2003 более чем 200 новых параметров политики организации могут легко блокировать и изменять конфигурации, настраивая или отключая сотни возможностей, таких как удаленный помощник, Auto Update и отчет об ошибках.

    Улучшенный интерфейс пользователя в редакторе объектов групповой политики

    Благодаря интеграции с веб-представлением в редакторе объектов групповой политики стало легче понимать параметры политики, управлять ими и проверять их. Когда пользователь щелкает интересующую его политику, на экране появляется текст, поясняющий ее функцию и поддерживаемую среду (например, Windows XP или только Windows 2000).

    Фильтр WMI позволяет администраторам определять, следует ли использовать конкретный объект групповой политики для конкретного компьютера или пользователя, исходя из их конфигурации, роли или других критериев. Например, использование протокола IPSec можно ограничить только теми компьютерами, на которых сетевая карта оптимизирована под этот протокол.

    Поддержка межлесных отношений

    Хотя объекты групповой политики могут привязываться только к веб-узлам, доменам или организационным единицам (OU) внутри данного леса, благодаря поддержке межлесных отношений в Windows Server 2003 появляется возможность осуществить ряд новых сценариев использования групповой политики.

    Например, можно сделать так, чтобы пользователь из леса A мог войти на компьютер в лесу B, даже если для каждого из этих лесов установлена собственная политика. Кроме того, параметры объекта групповой политики могут ссылаться на серверы в других лесах — например, пункты распространения программного обеспечения. Групповая политика в Windows Server 2003 успешно поддерживает эти варианты взаимодействия.

    Управление пользовательскими данными и настройками

    Администраторы могут автоматически настраивать клиентские компьютеры в соответствии с конкретными требованиями, которые диктуются бизнес-ролями пользователя, его членством в группах и местоположением. К усовершенствованиям в этой сфере относятся упрощенное перенаправление папок и более мощные возможности роуминга.

    Политики ограниченного использования программ

    С увеличением роли Интернета растет и исходящая от вирусов угроза для безопасности сети. С помощью политик ограниченного использования программ можно защитить компьютерную среду от программ неизвестного происхождения, определив программы, разрешенные для запуска.

    Базируясь на фундаменте, заложенном в Windows 2000, Windows Server 2003 предоставляет централизованные настраиваемые службы управления, облегчающие администрирование и одновременно повышающие продуктивность работы пользователей.

    Новые возможности работы в сети и связи

    Никогда еще связь и работа в сети не были настолько важны для организаций, столкнувшихся с необходимостью конкурировать на глобальном рынке. Сотрудникам необходимо всегда оставаться на связи, где бы они ни были и с какого бы устройства ни выходили в сеть. Партнерам, поставщикам и другим заинтересованным лицам, находящимся за пределами сети предприятия, нужно эффективно взаимодействовать с ключевыми ресурсами. При этом как никогда важна безопасность.

    Базируясь на фундаменте, заложенном в Windows 2000, усовершенствованные и новые возможности работы в сети, которые предоставляет Windows Server 2003, повышают гибкость, управляемость и надежность сетевой инфраструктуры. В этой статье приводится обзор преимуществ, новых возможностей и усовершенствований в Windows Server 2003, касающихся работы в сети и связи.

    Реагируя на непрерывно меняющиеся потребности бизнеса, Windows Server 2003 предоставляет организациям доступ к новейшим сетевым технологиям, упрощая управление и повышая гибкость, как того требует бизнес.

    Одна из главных задач, стоящих перед организациями, — успевать эффективно и оперативно реагировать на меняющиеся потребности бизнеса. ОС Windows Server 2003, позволяющая заглянуть в будущее сетей и в то же время поддерживающая существующие технологии, является самой гибкой сетевой операционной системой на сегодняшний день.

    Такие передовые технологии, как протокол IPv6, закладывают фундамент для будущего, а поддержка протокола PPP через Ethernet (PPPoE) и протокола IPSec через NAT отвечает текущим потребностям заказчиков, обеспечивая простой и безопасный доступ в Интернет.

    Windows Server 2003 улучшает надежность за счет значительного повышения устойчивости к сбоям и безопасности. С появлением на клиентских компьютерах основного брандмауэра (брандмауэра Интернета) и новых возможностей безопасного доступа в сеть с использованием протокола IEEE 802.1X (расширяемый протокол проверки подлинности в локальной сети) Windows Server 2003 предлагает революционные методы обеспечения безопасного доступа и защиты проводных и беспроводных сетей.

    Добавления в сфере устойчивости включают балансировку нагрузки для виртуальных частных сетей (VPN) на базе IPSec и серверов службы проверки подлинности в Интернете (IAS).

    Корпорация Майкрософт всегда просит своих заказчиков предоставлять отзывы о приобретенных продуктах. Многие из усовершенствований в сфере управляемости Windows Server 2003 своим появлением обязаны предложениям, внесенным нашими заказчиками.

    Windows Server 2003 предлагает широкий набор возможностей, облегчающих выполнение задач управления. К ним, в частности, относятся упрощение управления с помощью групповой политики и изменения в пакете администрирования диспетчера подключения (CMAK), обеспечивающие централизованное развертывание клиентов удаленного доступа.

    Улучшенный мастер управления сервером делает задачу построения шлюза коммутируемого доступа или VPN как никогда легкой. IAS включает богатый набор новых средств, упрощающих сетевую проверку подлинности и управление доступом для VPN, коммутируемых подключений и проводных или беспроводных подключений на базе IEEE 802.1X.

    Новые возможности и усовершенствования


    Windows Server 2003 предоставляет следующие возможности:

    1. Повышенная универсальность

    2. Гибкость в управлении

    3. Высокая надежность

    Windows Server 2003 предоставляет следующие возможности, обеспечивающие повышенную универсальность.

    IPv6 — это новое поколение IP-протоколов из семейства протоколов TCP/IP. IPv6 устраняет недостатки используемого в настоящий момент протокола IPv4, связанные с нехваткой адресного пространства, безопасностью, автоматической настройкой, расширяемостью и другими аспектами.

    Драйвер протокола IPv6, поставляемый с Windows Server 2003, позволяет решать множество задач и включает служебные программы, поддержку всевозможных прикладных программных интерфейсов (Windows Sockets, удаленный вызов процедур [RPC] и IPHelper), а также системные компоненты с поддержкой IPv6 — обозреватель Microsoft Internet Explorer, Telnet-клиент, FTP-клиент, веб-сервер IIS 6.0, общий доступ к файлам и устройствам печати, а также другие компоненты. IPv6 в Windows Server 2003 также обеспечивает поддержку технологий взаимодействия между протоколами IPv6 и IPv4, таких как 6to4 и ISATAP.

    В Windows Server 2003 имеется встроенный драйвер PPPoE, обеспечивающий широкополосное подключение к определенным поставщикам услуг Интернета без дополнительного программного обеспечения.

    Малые предприятия или корпоративные филиалы могут также использовать предоставляемые протоколом PPPoE возможности набора по требованию для интеграции со службой маршрутизации и удаленного доступа, а также NAT.

    Сетевые мосты позволяют администраторам соединять между собой различные сегменты сети с помощью компьютеров под управлением Windows Server 2003. В многосегментной сети на одном или нескольких компьютерах может быть установлено более одного сетевого адаптера — например, адаптер беспроводной связи, адаптер коммутируемого доступа или адаптер Ethernet.

    Создавая мосты между этими адаптерами, можно обеспечивать обмен данными через эти мосты между компьютерами и устройствами, находящимися в разных сегментах, или выход в Интернет, если включена функция общего доступа к Интернету.

    Протокол IPSec через NAT

    Данная возможность позволяет устранить трудности, которые связаны с работой через NAT виртуальных частных сетей (VPN) на базе IPSec или приложений, защищенных с помощью IPSec. Windows Server 2003 позволяет работать через NAT, используя протокол L2TP поверх IPSec (L2TP/IPSec) или IPSec-соединение. Эта возможность обеспечивается новейшими стандартами IETF.

    Администратор может также использовать данную возможность для того, чтобы обеспечить безопасность трафика сервера Microsoft Exchange Server, находящегося в экранируемой подсети, — привязав его к внутренней сети под управлением Exchange Server, или сервера приложений в экранируемой подсети — привязав его к серверу приложений партнера в Интернете, не используя VPN-сервер.

    Windows Server 2003 предоставляет следующие возможности, упрощающие управление.

    Усовершенствования групповой политики

    Усовершенствования групповой политики в Windows Server 2003 позволяют администраторам точно управлять большинством сетевых параметров.

    Например, теперь администраторы могут устанавливать некоторые параметры DNS-клиента на компьютерах, работающих под управлением Windows Server 2003, с помощью групповой политики. Групповую политику можно также использовать для того, чтобы разрешить или запретить пользователю настраивать отдельные компоненты сетевого интерфейса пользователя.

    Усовершенствованный пакет администрирования диспетчера подключений (CMAK)

    Пакет администрирования диспетчера подключений (CMAK) дает администраторам возможность задавать профили подключения для удаленного доступа пользователей операционных систем Windows XP, Windows 2000, Microsoft Windows NT® 4.0, Windows Millennium Edition (Windows Me) и Windows 98.

    В Windows Server 2003 этот пакет был усовершенствован и дополнен новыми функциями. В частности, теперь администраторы могут задавать более одного VPN-сервера для соединений, включать запись журналов конечных пользователей, автоматически настраивать параметры прокси-сервера в обозревателе на клиентских компьютерах, включать или отключать раздельное туннелирование на клиентской стороне, а также настраивать предварительные ключи для соединений L2TP/IPSec.

    Функция раздельного туннелирования позволяет клиентским VPN-соединениям направлять корпоративный трафик через VPN-соединение, ограничивая при этом трафик Интернета только пользовательским локальным подключением к Интернету и тем самым предотвращая использование пропускной способности корпоративной сети для доступа к веб-узлам. Компании, для которых особенно важна безопасность, могут использовать установленную по умолчанию нераздельную модель, чтобы гарантировать защиту всех данных, передаваемых и принимаемых VPN-клиентами, корпоративным брандмауэром.

    Усовершенствования в IAS

    Развертывание беспроводных сетей резко увеличивает потребность в нескольких RADIUS-серверах и более совершенных средствах для диагностики проблем, связанных с проверкой подлинности, и управления контролем доступа к сети.

    Для этого в Windows Server 2003 предусмотрен ряд возможностей. Прежде всего, IAS может передавать данные журнала RADIUS на сервер Microsoft SQL Server™, что позволяет выполнять сложные SQL-запросы о событиях доступа в сеть по всему предприятию. Кроме того, реализованы новые функции проверки подлинности по протоколу 802.1X, межлесная проверка подлинности и другие возможности.

    При использовании IAS Windows Server 2003 облегчает развертывание крупномасштабных решений для управления доступом с проверкой подлинности в проводных и беспроводных сетях, а также при удаленном доступе.

    Новые возможности в сфере управления и интеграции

    В семействе Windows Server 2003 реализованы новые возможности, упрощающие управление корпоративной сетью.

    Новый диспетчер балансировки нагрузки сети обеспечивает централизованную настройку балансировки нагрузки и управление ею. Поддержка RFC 2734 позволяет передавать трафик TCP/IP по последовательной шине IEEE 1394.

    В соответствии с твердой нацеленностью корпорации Майкрософт на обеспечение безопасности в Windows Server 2003 реализована поддержка 2048-разрядной группы Диффи-Хеллмана. Эта группа обеспечивает более сильный алгоритм обмена ключами Диффи-Хеллмана, позволяя получать более надежные секретные ключи.

    Windows Server 2003 предоставляет следующие возможности, обеспечивающие повышенную надежность.

    Брандмауэр Интернета, предназначенный для использования в малом бизнесе, обеспечивает базовую защиту компьютеров, напрямую подключенных к Интернету или к сегменту локальной сети.

    Брандмауэр доступен для подключений по локальной сети, коммутируемого доступа, VPN и PPPoE. Предусмотрена интеграция брандмауэра с общим доступом к Интернету или службой маршрутизации и удаленного доступа.

    Балансировка нагрузки сети для IPSec

    Функция балансировки нагрузки сети в Windows Server 2003 теперь поддерживает трафик протокола IPSec. Администраторы могут использовать балансировку нагрузки сети на группе серверов для обеспечения надежного и мощного горизонтального масштабирования приложений, защищенных с помощью IPSec, и шлюзов Windows VPN.

    Для VPN-шлюзов отныне поддерживаются как VPN на базе L2TP, защищенные IPSec-шифрованием, так и VPN-соединения на базе PPTP.

    Безопасность доступа к сети при использовании протокола 802.1X

    В Windows Server 2003 реализована модель безопасности, основанная на поддержке протокола 802.1X, которая гарантирует, что любой физический доступ будет осуществляться с проверкой подлинности и шифрованием трафика. Компании, использующие точки или коммутаторы беспроводного доступа по протоколу 802.1X, могут быть уверены, что подключение и обмен пакетами с защищенными сетями будут разрешены только доверенным системам.

    Поскольку в беспроводных сетях стандарта 802.1X используется динамическое определение ключей, шифрование данных в них значительно более надежно благодаря устранению многих проблем, связанных с надежностью ключей WEP, которые используются в сетях IEEE 802.11.

    Используя протокол PEAP, разработанный корпорацией Майкрософт как проект интернет-стандарта IETF, компании могут организовывать беспроводной доступ с проверкой подлинности и шифрованием, при котором будут использоваться пароли доменов Windows, не развертывая инфраструктуру сертификатов и сохраняя совместимость с любыми точками беспроводного доступа по протоколам IEEE 802.11 и 802.1X.

    С помощью IAS компании могут также предоставлять доступ к Интернету пользователям-«гостям», используя проверку подлинности по протоколу 802.1X, или загружать конфигурацию системы в сети с проверкой подлинности. Администраторы теперь могут устанавливать карантин для запросов на подключение, не предоставивших действительных учетных данных при проверке подлинности, изолируя обмен данными по сети в конкретном диапазоне адресов или виртуальной локальной сети (VLAN), например, в Интернете или сегменте сети с загрузкой конфигурации.

    Поддержка прокси-серверов RADIUS и балансировки нагрузки в IAS

    IAS поддерживает прокси-серверы RADIUS, обеспечивая гибкую переадресацию на основе правил, избирательную переадресацию запросов для проверки подлинности и учета на другие RADIUS-серверы, а также возможность принуждения клиента к обязательному использованию туннеля с проверкой подлинности пользователя или без нее.

    Возможность переадресации можно использовать при подключении пользователей из не доверяющих друг другу лесов или доменов. Поддержка прокси-серверов в IAS позволяет также балансировать трафик проверки подлинности RADIUS между несколькими IAS-серверами, обеспечивая масштабируемость и отказоустойчивость с географическим разнесением.

    Базируясь на фундаменте, заложенном в Windows 2000, семейство Windows Server 2003 предоставляет новые и усовершенствованные возможности работы в сети и является одной из самых гибких операционных систем на сегодняшнем рынке.

    Новые возможности системы безопасности Windows Server 2003

    На современных предприятиях произошел переход от традиционных локальных сетей к сочетанию сетей интранет и экстранет с Интернетом, в результате чего особенно актуальной стала задача повышения безопасности систем. Для обеспечения безопасности вычислительной среды операционная система Windows Server 2003 предоставляет множество новых средств, а также совершенствует средства, впервые появившиеся в операционной системе Windows 2000 Server.

    Концепция защищенных компьютерных систем

    Ввиду широкого распространения компьютерных вирусов вопросы безопасности программного обеспечения требуют постоянного внимания. Поэтому корпорация Майкрософт рассматривает концепцию защищенных компьютерных систем как инициативу первостепенной важности, распространяющуюся на все разрабатываемые продукты. Концепция защищенных компьютерных систем — это структура для разработки устройств, управляемых компьютерами и программным обеспечением, которые должны быть так же безопасны и надежны, как обычные устройства и приспособления, используемые в быту. Хотя на сегодняшний день платформа защищенных компьютерных систем существует лишь в проекте, фундаментальная переработка Windows Server 2003 представляет собой твердый шаг к воплощению этого замысла в жизнь.

    Среда Common Language Runtime

    Программное ядро Common Language Runtime (CLR) является ключевым элементом Windows Server 2003, который повышает надежность и гарантирует безопасность вычислительной среды. Оно позволяет сократить число неполадок и прорех в системе безопасности, возникающих из-за обычных ошибок программирования. В результате становится меньше уязвимых мест, которые могут быть использованы злоумышленниками для атаки.

    Компонент Common Language Runtime проверяет приложения на возможность безошибочной работы и на наличие соответствующих разрешений безопасности, тем самым предотвращая выполнение программами нежелательных операций. В частности, проверяется, из какого источника был загружен или установлен код, имеет ли он цифровую подпись доверенного разработчика и не подвергался ли изменению со времени подписания.

    Платформа Windows Server 2003 отличается повышенной безопасностью и экономической эффективностью, которые необходимы в бизнесе.

    Снижение затрат обеспечивается за счет упрощения работы со средствами управления безопасностью, такими как списки доступа и диспетчер учетных данных.

    Реализация открытых стандартов

    Протокол IEEE 802.1X позволяет легко защитить беспроводные локальные сети от угрозы перехвата данных внутри предприятия.

    Защита мобильных компьютеров и других новых устройств


    Такие средства безопасности, как шифрованная файловая система (EFS), службы сертификатов и автоматическая подача заявок по смарт-картам, облегчают защиту самых разных устройств.

    EFS — это базовая технология для шифрования и дешифровки файлов в томах NTFS. Открывать зашифрованный файл и работать с ним может только тот пользователь, который зашифровал его. Служба сертификатов — это составляющая ядра операционной системы, позволяющая предприятию организовать собственный центр сертификации, выдавать цифровые сертификаты и управлять ими.

    Функции автоматической подачи заявок по смарт-картам и саморегистрации обеспечивают повышенную безопасность для корпоративных пользователей, добавляя дополнительный уровень проверки подлинности, что в сочетании с упрощением работы со средствами безопасности должно найти широкое применение на предприятиях, выдвигающих вопросы безопасности на первый план.

    Новые возможности и усовершенствования

    Семейство Windows Server 2003 обеспечивает следующие преимущества:

    1. Более безопасная платформа для бизнеса

    2. Наилучшая платформа для инфраструктуры открытых ключей

    3. Возможность безопасной работы предприятия через Интернет

    Более безопасная платформа для бизнеса

    Windows Server 2003 содержит много новых возможностей и усовершенствований, которые в совокупности создают более безопасную платформу для бизнеса.

    Безопасность работы в Интернете обеспечивается в Windows Server 2003 с помощью программного брандмауэра, носящего название «Брандмауэр Интернета». Он обеспечивает защиту компьютеров, подключенных к Интернету напрямую или расположенных за компьютером службы общего доступа в Интернет, на котором и работает данный брандмауэр.

    Безопасный сервер IAS/RADIUS

    Сервер проверки подлинности в Интернете (IAS) представляет собой RADIUS-сервер, управляющий проверкой подлинности и авторизацией пользователей. Он также управляет подключениями к сети с помощью всевозможных технологий — коммутируемого доступа, виртуальных частных сетей (VPN) и брандмауэров.

    Безопасные беспроводные и проводные (на базе Ethernet) локальные сети

    Windows Server 2003 позволяет осуществлять проверку подлинности и авторизацию пользователей, подключающихся к беспроводным и проводным (на базе Ethernet) локальным сетям. Это возможно благодаря поддержке в Windows Server 2003 протоколов IEEE 802.1X. (Стандартами IEEE 802 определяются методы доступа в локальные сети и управления ими.)

    Политики ограниченного использования программ

    Windows Server 2003 позволяет системному администратору устанавливать политики, предотвращающие запуск на компьютере определенных программ.

    Например, можно запретить запуск конкретных приложений, используемых на всем предприятии, из любого другого места, кроме определенного каталога. Политики ограниченного использования программ можно также использовать для предотвращения запуска зараженного или вредоносного кода.

    Усовершенствования в системе безопасности серверов в проводных (на базе Ethernet) и беспроводных локальных сетях

    Windows Server 2003 обеспечивает безопасность как проводных (на базе Ethernet), так и беспроводных сетей, которые соответствуют стандарту IEEE 802.11 и поддерживают открытые сертификаты, развертываемые с помощью автоматической подачи заявок или смарт-карт.

    Эти усовершенствования позволяют осуществлять управление доступом в сетях Ethernet общественных учреждений — например, универмагов или аэропортов. Кроме того, поддерживается проверка подлинности компьютеров в среде, использующей расширяемый протокол проверки подлинности (EAP).

    Повышенная безопасность веб-сервера

    Обеспечение информационной безопасности является проблемой первостепенной важности для всех организаций. С целью повышения безопасности веб-серверов для конфигурации IIS 6.0 при установке по умолчанию настраивается максимальный уровень безопасности: в этом случае сервер работает в режиме блокировки.

    К числу передовых функций безопасности IIS 6.0 относятся возможность выбора криптографических служб, расширенная краткая проверка подлинности и гибкое управление доступом для процессов. Эти и многие другие новые возможности IIS 6.0 позволяют безопасно вести бизнес в Интернете.

    Шифрование базы данных автономных файлов

    Теперь имеется возможность шифровать базу данных автономных файлов. Это — усовершенствование по сравнению с Windows 2000, где кэшированные файлы нельзя было шифровать.

    Эта функция поддерживает шифрование и дешифровку всей базы данных. Для настройки параметров шифрования необходимы административные привилегии.

    FIPS-совместимый криптографический модуль в режиме ядра

    Этот криптографический модуль работает как драйвер в режиме ядра и реализует криптографические алгоритмы, признанные соответствующими стандарту FIPS. Эти алгоритмы включают SHA-1, DES, 3DES и утвержденный генератор случайных чисел.

    FIPS-совместимый криптографический модуль в режиме ядра позволяет правительственным организациям развертывать отвечающие стандарту FIPS 140—1 безопасные системы на базе протокола IPSec, используя:

    VPN-клиент и сервер протокола L2TP/IPSec

    L2TP/IPSec-туннели для межшлюзовых VPN-соединений

    IPSec-туннели для межшлюзовых VPN-соединений

    Сквозное шифрование сетевого трафика между клиентом и сервером и двумя серверами с помощью IPSec

    Новый сокращенный пакет безопасности

    Новый сокращенный пакет безопасности использует протокол краткой проверки подлинности, а также RFC 2617 и RFC 2222. Эти протоколы поддерживаются как IIS, так и службой Active Directory®.

    Повышение общесистемной безопасности

    Значительного повышения общесистемной безопасности удалось достичь за счет следующих усовершенствований:

    Повышение производительности более чем на 35 процентов при использовании SSL.

    IIS не устанавливается по умолчанию. Для развертывания IIS необходимо сначала установить его с помощью средства «Установка и удаление программ» на панели управления. Контроль буфера в Microsoft Visual Studio®. (Ошибки переполнения буфера часто используются злоумышленниками для компрометации системы.)

    Диспетчер учетных данных

    Диспетчер учетных данных в Windows Server 2003 обеспечивает безопасное хранение учетных данных пользователей, включая пароли и сертификаты X.509.

    Это обеспечивает единоразовую регистрацию для пользователей, в том числе и мобильных. Прикладной программный интерфейс Win32® позволяет клиентским и серверным приложениям получать учетные данные пользователя.

    Усовершенствования в системе проверки подлинности клиента SSL

    В Windows Server 2003 кэш SSL-сеанса может совместно использоваться множеством процессов. Тем самым сокращается необходимость повторно вводить учетные данные при работе с приложениями, и экономятся ресурсы процессора на сервере приложений.

    Подобные документы

    Изучение возможностей операционной системы Windows Server 2003 — ОС семейства Windows NT от компании Microsoft, предназначенной для работы на серверах. Анализ основных изданий ОС: Web Edition, Standard Edition, Еnterprise Edition, Datacenter Edition.

    презентация [3,4 M], добавлен 23.05.2010

    Семейство ОС Windows 2000. Windows 2000 Server. Windows 2000 Advanced Server. Windows 2000 Datacenter Server. ОС Windows Server 2003. Организация сети на основе Windows 2000. Службы каталогов, DHCP, DNS, WINS. Конфигурирование сервера.

    курсовая работа [307,1 K], добавлен 06.10.2006

    Применение службы каталога Active Directory для решения задач управления ресурсами в сетях под управлением Windows. Обеспечение доступа к базе данных, в которой хранится информация об объектах сети. Логическая и физическая структура Active Directory.

    презентация [207,2 K], добавлен 10.09.2013

    Базовые технологии безопасности, обеспечивающие защиту сетей и доменов Windows Server 2003. Основы шифрования с открытыми ключами. Общие понятия и термины, относящиеся к защите данных и методам шифрования. Алгоритмы шифрования, использование сертификатов.

    реферат [1,6 M], добавлен 02.12.2010

    Особенности проектирования корпоративных сетей. Информационные потоки в ЛВС предприятия. Обзор операционных систем: Nowell NetWare, семейство Windows 2000. Сетевая архитектура и ресурсы. Логическая структура Active Directory. Защита информации в сети.

    дипломная работа [1,2 M], добавлен 31.10.2013

    Серверные операционные системы, их особенности и сферы применения. Функции и ресурсы операционной системы Windows Server 2003. Сервер как программный компонент вычислительной системы. Аппаратные и серверные решения. Минимальные системные требования.


    презентация [1005,9 K], добавлен 05.12.2013

    Общая характеристика Microsoft Windows Server 2008: особенности, гибкость, защита, контроль. Усовершенствования операционной системы: Server Core, службы терминалов, Windows PowerShell, самовосстанавливающаяся NTFS, Server Manager, улучшение надежности.

    реферат [452,3 K], добавлен 15.12.2009

    Универсальная многоцелевая сетевая операционная система Windows NT Server. Использование Windows NT Workstation как невыделенного сервера в одноранговых сетях и в качестве клиента сетей. Операционные системы Windows 2003, Windows Vista и Windows 7.

    презентация [6,2 K], добавлен 23.10.2013

    Создание виртуальной машины для гостевой операционной системы Microsoft Windows Server 2003. Первоначальная настройка установленной операционной системы. Создание DHCP-сервера с диапазоном рабочих адресов. Настройка доменного имени для IP-адреса сервера.

    лабораторная работа [3,2 M], добавлен 20.12.2012

    Операционная система офисной сети, преимущества и недостатки. Реализация офисной сети под управлением операционной системы Windows Server 2003: сетевые свойства, средства удаленного доступа, соединение локальных сетей через Интернет, организация защиты.

    дипломная работа [1,4 M], добавлен 08.06.2011

    Обеспечение надежности и работоспособности базы данных

    В отношении опасностей, угрожающих компьютерным системам, могут быть приняты контрмеры самых различных типов, начиная от физического наблюдения и заканчивая административно-организационными процедурами. Несмотря на широкий диапазон компьютерных средств контроля, доступных в настоящее время на рынке, общий уровень защищенности СУБД определяется возможностями используемой операционной системы, поскольку работа этих двух компонентов тесно связана между собой. Общая схема типичной многопользовательской компьютерной системы представлена на рис. 15.

    Cуществуют следующие типы защиты данных:

    • Резервное копирование и восстановление.

    1) Авторизация– предоставление прав (или привилегий), позволяющих их владельцу иметь законный доступ к системе или к ее объектам.

    Средства авторизации пользователей могут быть встроены непосредственно в программное обеспечение и управлять не только предоставленными пользователям правами доступа к системе или объектам, но и набором операций, которые пользователи могут выполнять с каждым доступным ему объектом. По этой причине механизм авторизации часто иначе называют подсистемой управления доступом. Термин “владелец” в определении может представлять пользователя-человека или программу. Термин “объект” может представлять таблицу данных, представление, приложение, процедуру или любой другой объект, который может быть создан в рамках системы. В некоторых системах все предоставляемые субъекту права должны быть явно указаны для каждого из объектов, к которым этот субъект должен обращаться. Авторизация пользователей с помощью средств языка SQL будет обсуждаться в юните 2. Процесс авторизации включает аутентификацию субъектов, требующих получения доступа к объектам.

    Аутентификация –механизм определения того, является ли пользователь тем, за кого себя выдает.

    За предоставление пользователям доступа к компьютерной системе обычно отвечает системный администратор, в обязанности которого входит создание учетных записей пользователей. Каждому пользователю присваивается уникальный идентификатор, который используется операционной системой для определения того, кто есть кто. С каждым идентификатором связывается определенный пароль, выбираемый пользователем и известный операционной системе. При регистрации пользователь должен предоставлять системе свой пароль для выполнения проверки (аутентификации) того, является ли он тем, за кого себя выдает.

    Рис. 15. Общая схема типичной многопользовательской компьютерной системы

    Подобная процедура позволяет организовать контролируемый доступ к компьютерной системе, но не обязательно предоставляет право доступа к СУБД или иной прикладной программе. Для получения пользователем права доступа к СУБД может использоваться отдельная подобная процедура. Ответственность за предоставление прав доступа к СУБД обычно несет администратор базы данных, в обязанности которого входит создание индивидуальных идентификаторов пользователей, но на этот раз уже в среде самой СУБД. Каждый из идентификаторов пользователей СУБД также связывается с паролем, который должен быть известен только данному пользователю. Этот пароль будет использоваться подпрограммами СУБД для идентификации данного пользователя.

    Некоторые СУБД поддерживают списки разрешенных идентификаторов пользователей и связанных с ними паролей, отличающиеся от аналогичного списка, поддерживаемого операционной системой. Другие типы СУБД поддерживают списки, элменты которых приведены в соответствие существующим спискам пользователей операционной системы и выполняют регистрацию исходя из текущего идентификатора пользователя, указанного им при регистрации в системе. Это предотвращает попытки пользователей зарегистрироваться в среде СУБД под идентификатором, отличным от того, который они использовали при регистрации в системе.

    Использование паролей является наиболее распространенным методом аутентификации пользователей. Однако этот подход не дает абсолютной гарантии, что данный пользователь является именно тем, за кого себя выдает.

    Привилегии.Как только пользователь получит право доступа к СУБД, ему могут автоматически предоставляться различные другие привилегии, связанные с его идентификатором. В частности, эти привилегии могут включать разрешение на доступ к определенным базам данных, таблицам, представлениям и индексам или же право запуска различных утилит СУБД. Некоторые типы СУБД функционируют какзакрытые системы, поэтому пользователям помимо разрешения на доступ к самой СУБД потребуется иметь отдельные разрешения и на доступ к конкретным ее объектам. Эти разрешения выдаются либо АБД, либо владельцами определенных объектов системы. В противоположность этому,открытые системы по умолчанию предоставляют авторизированным пользователям полный доступ ко всем объектам базы данных. В этом случае привилегии устанавливаются посредством явной отмены тех или иных прав конкретных пользователей. Типы привилегий, которые могут быть предоставлены авторизированным субъектам, включают, например, право доступа к указанным базам данных, право выборки данных, право создания таблиц и других объектов.

    Право владения и привилегии.Некоторыми объектами в среде СУБД владеет сама СУБД. Обычно это владение организуется посредством использования специального идентификатора особого суперпользователя, например с именем Database Administrator. Как правило, владение некоторым объектом предоставляет его владельцу весь возможный набор привилегий в отношении этого объекта. Это правило применяется ко всем авторизированным пользователям, получающим права владения определенными объектами. Любой вновь созданный объект автоматически передается во владение его создателю, который и получает весь возможный набор привилегий для данного объекта. Тем не менее, хотя пользователь может быть владельцем некоторого представления, единственной привилегией, которая будет предоставлена ему в отношении этого объекта, может оказаться право выборки данных из этого представления. Причина подобных ограничений состоит в том, чтобы данный пользователь имеет столь ограниченный набор прав в отношении базовых таблиц созданного им представления. Принадлежащие владельцу привилегии могут быть переданы им другим авторизированным пользователям. Например, владелец нескольких таблиц базы данных может предоставить другим пользователям право выборки информации из этих таблиц, но не позволить им вносить в эти таблицы какие-либо изменения. В некоторых типах СУБД всякий раз, когда пользователю предоставляется определенная привилегия, дополнительно может указываться, передается ли ему право предоставлять эту привилегию другим пользователям (уже от имени этого пользователя). Естественно, что в этом случае СУБД должна контролировать всю цепочку предоставления привилегий пользователям с указанием того, кто именно ее предоставил, что позволит поддерживать корректность всего набора установленных в системе привилегий. В частности, эта информация будет необходима в случае отмены предоставленных ранее привилегий для организации каскадного распространения вносимых изменений среди цепочки пользователей.

    Если СУБД поддерживает несколько различных типов идентификаторов авторизации, с каждым из существующих типов могут быть связаны различные приоритеты. В частности, если СУБД поддерживает использование идентификаторов как отдельных пользователей, так и их групп, то, как правило, идентификатор пользователя будет иметь более высокий приоритет, чем идентификатор группы.

    2) Представления (подсхемы)– это динамический результат одной или нескольких реляционных операций с базовыми отношениями с целью создания некоторого иного отношения.

    Представление являетсявиртуальным отношением, которого реально в базе данных не существует, но которое создается по требованию отдельного пользователя в момент поступления этого требования.

    Механизм представления представляет собой мощный и гибкий инструмент организации защиты данных, позволяющий скрывать от определенных пользователей некоторые части базы данных. В результате пользователи не будут иметь никаких сведений о существовании любых атрибутов или строк данных, которые недоступны через представления, находящиеся в их распоряжении. Представление может быть определено на базе нескольких таблиц, после чего пользователю будут предоставлены необходимые привилегии доступа к этому представлению, но не к базовым таблицам. В данном случае использование представления – более жесткий механизм контроля доступа, чем обычное предоставление пользователю тех или иных прав доступа к базовым таблицам.

    3) Резервное копирование и восстановление –периодически выполняемая процедура получения копии базы данных и ее файла журнала (а также, возможно, программ) на носителе, сохраняемом отдельно от системы.

    Любая современная СУБД должна предоставлять средства резервного копирования, позволяющие восстанавливать базу данных в случае ее разрушения. Кроме того, рекомендуется создавать резервные копии базы данных и ее файла журнала с некоторой установленной периодичностью, а также организовывать хранение созданных копий в местах, обеспеченных необходимой защитой. В случае отказа, в результате которого база данных становится непригодной для дальнейшей эксплуатации, резервная копия и зафиксированная в файле журнала оперативная информация используются для восстановления базы данных до последнего согласованного состояния.

    4) Поддержка целостности.Средства поддержки целостности данных также вносят определенный вклад общую защищенность базы данных, поскольку их назначением является предотвращение перехода данных в несогласованное состояние, а значит, и предотвращения угрозы получения ошибочных или некорректных результатов расчетов.

    5) Шифрование– кодирование данных с использованием специального алгоритма, в результате чего данные становятся недоступными для чтения любой программой, не имеющей ключа дешифрования.

    Если в системе с базой данных содержится весьма важная конфиденциальная информация, то имеет смысл закодировать ее с целью предупреждения возможной угрозы несанкционированного доступа с внешней стороны (по отношению СУБД). Некоторые СУБД включают средства шифрования, предназначенные для использования в подобных целях. Подпрограммы таких СУБД обеспечивают санкционированный доступ к данным (после их декодирования), хотя это будет связано с некоторым снижением производительности, вызванным необходимостью перекодировки. Шифрование также может использоваться для защиты данных при их передаче по линиям связи. Существует множество различных технологий кодирования данных с целью сокрытия передаваемой информации, причем одни из них называют необратимыми, а другие обратимыми. Необратимые методы, как и следует из их названия, не позволяют установить исходные данные, хотя последние могут использоваться для сбора достоверной статистической информации. Обратимые технологии используются чаще. Для организации защищенной передачи данных по незащищенным сетям должны использоваться схемы шифрования, включающие следующие компоненты:

    – ключ шифрования, предназначенный для шифрования исходных данных (обычного текста);

    – алгоритм шифрования, который описывает, как с помощью ключа шифрования преобразовать обычный текст в шифротекст;

    – ключ дешифрования, предназначенный для дешифрования шифротекста;

    – алгоритм дешифрования, который описывает, как с помощью ключа шифрования преобразовать шифротекст в исходный обычный текст.

    Некоторые системы шифрования, называемыесимметричными, использующие один и тот же ключ как для шифрования, так и для дешифрования, при это предполагается наличие защищенных линий связи, предназначенных для обмена ключами. Однако большинство пользователей не имеют доступа к защищенны линиям связи, поэтому для получения надежной защиты длина ключа должна быть не меньше длины самого сообщения. Тем не менее большинство эксплуатируемых систем построено на использовании ключей, которые короче самих сообщений. Одна из распространенных систем шифрования называется DES (Data Encryption Standard) – в ней используется стандартный алгоритм шифрования, разработанный фирмой IBM. В этой схеме для шифрования и дешифрования используется один и тот же ключ, который должен храниться в секрете, хотя сам алгоритм шифрования не является секретным. Этот алгоритм предусматривает преобразование каждого 64-битового блока обычного текста с использованием 51-битового ключа шифрования. Система шифрования DES расценивается как достаточно надежная далеко не всеми – некоторые разработчики полагают, что следовало бы использовать более длинное значение ключа. Так, в системе шифрования PGP (Pretty Good Privacy) используется 128-битовый симметричный алгоритм, применяемый для шифрования блоков отсылаемых данных.

    В настоящее время ключи длиной до 64 бит раскрываются с достаточной степень вероятности правительственными службами развитых стран, для чего используется специальное оборудование, хотя и достаточно дорогое.

    Термины “сильное шифрование” и “слабое шифрование” иногда используются для подчеркивания различий между алгоритмами, которые не могут быть раскрыты с помощью существующих в настоящее время технологий и теоретических методов (сильные), и теми, которые допускают подобное раскрытие (слабые).

    Другой тип систем шифрования предусматривает использование для шифровки и дешифровки сообщений различных ключей – подобные системы принято называтьнесимметричными. Примером такой системы является система с открытым ключом, предусматривающая использование двух ключей, один из которых является открытым, а другой хранится в секрете. Алгоритм шифрования также может быть открытым, поэтому любой пользователь, желающий направить владельцу ключей зашифрованное сообщение, может использовать его открытый ключ и соответствующий алгоритм шифрования. Однако дешифровать данное сообщение сможет только тот, кто знает закрытый ключ шифрования. Системы шифрования с открытым ключом могут также использоваться для отправки вместе с сообщением “цифровой подписи”, подтверждающей, что данное сообщение было действительно отправлено владельцем открытого ключа. Наиболее популярной несимметричной системой шифрования является RSA. Как правило, симметричные алгоритмы являются более быстродействующими, чем несимметричные, однако на практике обе схемы часто применяются совместно, когда алгоритм с открытым ключом используется для шифрования случайным образом сгенерированного ключа шифрования, а уже этот случайный ключ – для шифровки самого сообщения с применением некоторого симметричного алгоритма.

    6) Вспомогательные процедуры.Хотя выше уже были описаны различные механизмы, которые могут использоваться для защиты данных в среде СУБД, сами по себе они не гарантируют необходимого уровня защищенности и могут оказаться неэффективными в случае неправильного применения или управления. По этой причине мы обсудим различные вспомогательные процедуры, которые должны использоваться совместно с описанными выше механизмами защиты.

    Копирование.Процедуры, регламентирующие процессы создания резервных копий, определяются типом и размерами эксплуатируемой базы данных, а также тем набором соответствующих инструментов, который предоставляется используемой СУБД. Эти процедуры должны включать необходимые этапы, на которых будет непосредственно выполняться создание резервной копии. Крупные базы данных могут полностью копироваться раз в неделю или даже раз в месяц, но при этом следует организовать обязательное инкрементное копирование, выполняемое с более высокой частотой. День и час выполнения резервного копирования должен устанавливаться ответственными лицами.

    В процедурах копирования также может указываться, какие еще части системы (например, прикладные программы), помимо самих данных, должны подлежать копированию. В зависимости от частоты внесения в систему изменений, в течение одних суток может выполняться несколько копирований, созданные копии должны помещаться в безопасное место. Место хранения последних копий должно быть оборудовано как минимум несгораемыми шкафами. Кроме того, желательно использовать некоторое внешнее хранилище, в которое будет помещаться второй экземпляр созданных копий. Все упомянутые детали должны найти свое четкое отражение в разработанных процедурах резервного копирования, которые должны неукоснительно выполняться обслуживающим персоналом.

    Восстановление.Как и процедуры копирования, процедуры восстановления также должны быть тщательно продуманы и проработаны. То, какие именно процедуры восстановления будут выполняться, должно определяться типом имевшего место отказа (разрушение носителя, отказ программного обеспечения или отказ оборудования системы). Кроме того, процедурами восстановления должны учитываться особенности методов восстановления, принятых в используемой СУБД. В любом случае разработанные процедуры восстановления должны быть тщательно протестированы, поскольку необходимо получить полную гарантию, что они работают правильно, еще до того, как произойдет реальный отказ системы. В идеале, процедуры восстановления должны регулярно тестироваться с некоторым установленным интервалом.

    Установка нового прикладного программного обеспечения.Новые приложения, разработанные собственными силами или сторонними организациями, обязательно следует тщательно протестировать, прежде чем принимать решение об их развертывании и передаче в эксплуатацию. Если уровень тестирования будет недостаточным, существенно возрастает риск разрушения базы данных. Следует считать хорошей практикой выполнение резервного копирования базы данных непосредственно перед сдачей нового программного обеспечения в эксплуатацию. Кроме того, в первый период эксплуатации нового приложения обязательно следует организовать тщательное наблюдение за функционированием системы. Отдельным вопросом, который должен быть согласован со сторонними разработчиками программ, является право собственности на разработанное ими программное обеспечение. Данная проблема должна быть решена еще до начала разработки, причем это особенно важно в тех случаях, когда существует вероятность, что впоследствии организации обязательно потребуется вносить изменения в создаваемые приложения. Риск, связанный с подобной ситуацией, состоит в том, что организация не будет иметь юридического права использовать созданное программное обеспечение или модернизировать его. Потенциально подобная ситуация угрожает организации серьезными потерями.

    Установка или модернизация системного программного обеспечения.В обязанности АБД входит выполнение модернизации программного обеспечения СУБД при поступлении от разработчика очередных пакетов изменений. В некоторых случаях вносимые изменения оказываются совсем незначительными и касаются только небольшой части модулей системы. Однако возможны ситуации, когда потребуется полная ревизия всей установленной системы. Как правило, каждый поступающий пакет изменений сопровождается печатной или интерактивной документацией, содержащей подробные сведения о сути изменений и их назначении. Многие склонны полагать, что после установки любого из пакетов модернизации продолжение нормального функционирования существующих баз данных и прикладного программного обеспечения автоматически гарантируется. С ростом интенсивности использования базы данных и увеличением объема сопроводительной документации к пакету эта убежденность укрепляется. Однако обеспечение защиты данных и приложений имеет превалирующую важность, и это следует учитывать. Никакие изменения и модернизации ни в коем случае не должны вноситься в систему без предварительной оценки их возможного влияния на имеющиеся данные и программное обеспечение.

    Результатом ознакомления с сопроводительной документацией пакета должен стать план действий по его установке. В этом плане должны быть отражены любые изменения, которые могут повлиять на базу данных и приложения, а также предложены решения по их реализации. В некоторых случаях может потребоваться, чтобы программисты выполнили поиск в тексте программ определенных конструкций или осуществили какие-либо иные подготовительные действия. Иногда требуемые изменения могут оказаться минимальными – после модернизации системы достаточно будет просто перекомпилировать некоторые из программ. В других случаях могут потребоваться более существенные подготовительные действия, например изменение типа используемых данных. Однако какие бы изменения ни потребовались, все они должны быть учтены и для каждого из них должна быть дана оценка времени выполнения с учетом объема всего имеющегося программного обеспечения. Главная задача АБД – обеспечить плавный и безболезненный переход от старой версии системы к новой.

    В функционирующей системе, которая должна быть постоянно доступна на протяжении всего рабочего времени, установки любых пакетов модернизации обычно выполняются во внерабочее время, например в выходные дни. Непосредственно перед выполнением модернизации должна быть сделана полная резервная копия существующей системы на случай возможного отказа. Затем выполняется установка пакета модернизации, а в данные и программы вносятся все необходимые изменения, сопровождаемые требуемыми процедурами тестирования. Только после полного завершения указанных процедур система может быть запущена в работу с использованием реальных данных.

    Изменения, вносимые в программы СУБД в результате модернизации, могут оказать влияние на любые используемые прикладные программы, созданные различными программистами. Поэтому список необходимых изменений должен быть либо разослан всем заинтересованным лицам, либо открыт для всеобщего доступа. Некоторые из вносимых изменений могут представлять особый интерес, если они связаны, например, с исправлением замеченных ранее ошибок и позволяют удалить использовавшиеся до этого искусственные способы их обхода. Кроме того, желательно, чтобы сопроводительная документация включала список известных ошибок с указанием использовавшихся путей их обхода (“заплат”). Эти сведения также должны быть разосланы всем заинтересованным лицам или сделаны общедоступными.

    Контрмеры.Некомпьютерные средства контроля включают такие методы, как выработку ограничений, соглашений и других административных мер, не связанных с компьютерной поддержкой:

    – меры обеспечения безопасности и планирование защиты от непредвиденных обстоятельств;

    – контроль за персоналом;

    – защита помещений и хранилищ;

    – договоры о сопровождении;

    – контроль за физическим доступом.

    Меры обеспечения безопасности и планирование защиты от непредвиденных обстоятельств.Понятия выработки мер обеспечения безопасности и планирования защиты от непредвиденных обстоятельств существенно отличаются друг от друга. Первое предполагает исчерпывающее определение средств, посредством которых будет обеспечиваться защита вычислительной системы данной организации. Второе состоит в определении методов, с помощью которых будет поддерживаться функционирование организации в случае возникновения любой аварийной ситуации. Каждая организация должна подготовить и реализовать как перечень мер обеспечения безопасности, так и план защиты от непредвиденных обстоятельств.

    В документе по мерам обеспечения безопасности должно быть определено следующее:


    – область деловых процессов организации, для которой они устанавливаются;

    – ответственность и обязанности отдельных работников;

    – дисциплинарные меры, принимаемые в случае обнаружения нарушения установленных ограничений;

    – процедуры, которые должны обязательно выполняться.

    Процедуры, определяемые как меры обеспечения безопасности, могут потребовать разработки других процедур, определение которых выходит за рамки данного документа. Например, одно из установленных в системе ограничений может заключаться в требовании, чтобы доступ к прикладным приложениям системы могли получать только авторизированные пользователи, однако способ реализации этого требования в данном документе не конкретизируется. Для исчерпывающего определения методов авторизации различных пользователей потребуется разработать отдельный набор процедур. Кроме того, дополнительно может быть подготовлен стандарт выполнения процедуры авторизации, устанавливающий, например, принятый формат паролей (если они используются в системе). В подобном случае документ с определением мер обеспечения безопасности постоянно сохраняет свою значимость, хотя может потребоваться его периодический пересмотр, тогда как выполняемые процедуры реализации этих требований должны модифицироваться при каждом внесении изменений в систему или модернизации используемой технологии.

    Планирование защиты от непредвиденных обстоятельств.План защиты от непредвиденных обстоятельств разрабатывается с целью подробного определения последовательности действий, необходимых для выхода из различных необычных ситуаций, не предусмотренных процедурами нормального функционирования системы, например в случае пожара или диверсии. В системе может существовать единый план защиты от непредвиденных обстоятельств, а может быть несколько – каждый по отдельному направлению. Типичный план защиты от непредвиденных обстоятельств должен включать такие элементы, как:

    – сведения о том, кто является главным ответственным лицом и как можно установить с ним контакт;

    – информацию о том, кто и на каком основании принимает решение о возникновении необычной ситуации;

    – технические требования к передаче управления резервным службам, которые могут включать следующее:

    • сведения о расположении альтернативных сайтов;

    • сведения о необходимом дополнительном оборудовании;

    • сведения о необходимости дополнительных линий связи;

    • организационные требования в отношении персонала, который осуществляет передачу управления резервным службам;

    • сведения о любых внешних источниках, в которых можно будет получить помощь, например о поставщиках оборудования;

    • сведения о наличии страховки на случай конкретной ситуации.

    Любой разработанный план защиты от непредвиденных обстоятельств должен периодически пересматриваться и тестироваться на предмет его осуществимости.

    Контроль за персоналом.Создатели коммерческих СУБД возлагают всю ответственность за эффективность управления системой на ее пользователей. Поэтому с точки зрения защиты системы исключительно важную роль играют отношение к делу и действия людей, непосредственно вовлеченных в эти процессы. Важность этого замечания подчеркивается тем, что основной риск в любой организации связан с действиями сотрудников самой организации, а не с возможными внешними угрозами. Отсюда следует, что обеспечение необходимого уровня контроля за персоналом позволит минимизировать возможный риск.

    Защита помещений и хранилищ. Основное оборудование системы, включая принтеры, если они используются для печати конфиденциальной информации, должно размещаться в запираемом помещении с ограниченным доступом, который должен быть разрешен только основные специалистам. Все остальное оборудование, особенно переносное, должно быть надежно закреплено в месте размещения и снабжено сигнализацией. Однако условие держать помещение постоянно запертым может оказаться нежелательным или нe осуществимым, поскольку работникам может требоваться постоянный доступ к установленному там оборудованию.

    Контроль за физическим доступом. Внутренний контроль. Этот метод контроля используется внутри отдельных зданий и предназначен для управления тем, кто будет иметь доступ в определенные помещения этих зданий. Например, наиболее “ответственные” помещения (в которых установлены основные компьютеры) могут быть оборудованы системами входного контроля. В подобных системах могут использоваться самые различные принципы, например специальные ключи, карточки, кодовые замки или средства указания пароля. Наиболее сложные комплексы предполагают использование отпечатков пальцев, снимков радужной оболочки глаз, фиксацию особенностей голоса или почерка. Однако в настоящее время очень немногие коммерческие организации применяют столь изощренные методы контроля – в основном из-за их высокой стоимости.

    Внешний контроль.Данный метод контроля применяется вне строений и предназначен для ограничения доступа в отдельные здания. Для наблюдения за территорией может использоваться специальная охрана, в обязанности которой входит контроль входа/выхода персонала и посетителей организации. Следует отметить, что основной задачей любых механизмов контроля за физическим доступом является обеспечение их эффективности, однако требуемая эффективность должна достигаться без создания дополнительных препятствий персоналу в выполнении их служебных обязанностей. В противном случае возрастает опасность поиска персоналом всевозможных путей обхода установленных требований.

    Защита ПК.В отличие от больших компьютерных систем защита вычислительных комплексов, состоящих из обычных персональных компьютеров, может представлять собой серьезную проблему, поскольку их перемещение ни для кого не составит труда. Общепринятые меры контроля доступа, применяемые для мейнфреймов и мини-компьютеров, мало подходят для систем, состоящих из ПК. Основное затруднение состоит в том, что подобные компьютеры обычно располагаются непосредственно на рабочих местах сотрудников. Поэтому какой-либо специальный контроль за физическим доступом к этим устройствам, как правило, отсутствует – за исключением мер, принимаемых для защиты всего здания или отдельных его помещений.

    В настоящее время большинство персональных компьютеров оборудуется замками, блокирующими несанкционированный доступ к клавиатуре. Этот способ не обеспечивает высокой степени защиты компьютера, однако вполне подходит для предотвращения случайного доступа к ПК. Более высокую степень защищенности предоставляет организация доступа к системе с использованием индивидуальных идентификаторов пользователей и соответствующих личных паролей. Однако в этом случае необходимо, чтобы пользователи не оставляли компьютер в активном состоянии на сколько-нибудь продолжительный период времени.

    Защита от компьютерных вирусов. Важнейшей проблемой, особенно актуальной для среды ПК, является риск занесения в систему нежелательных и зачастую просто опасных программ, называемых компьютерными вирусами. Беспечное и небрежное отношение к методам использования оборудования часто приводит к поражению систем различными вирусами – например, в тех случаях, когда персонал приносит на рабочие места и запускает на своих компьютерах различные игровые программы. Распространению вирусов в системе способствует бесконтрольный обмен дискетами, хотя некоторые вирусы способны самостоятельно распространяться в сетевой среде.

    Установленные требования к защите системы должны содержать четкие указания о процедурах, которые должны применяться к любому программному обеспечению, прежде чем оно будет допущено к установке в системе – даже в тех случаях, когда оно поступило непосредственно от разработчика или другого надежного источника. Кроме того, в этих требованиях должно явно указываться, что в системе может использоваться только программное обеспечение, прошедшее необходимый контроль. Надежной защитой от данного типа угрозы могут также служить надлежащие процедуры проверки и тестирования нового и модернизированного программного обеспечения.

    СУБД и защита в Web. К мерам защиты, связанным с использованием СУБД в среде Web, относятся следующие:

    – использование цифровой подписи;

    – алгоритмы создания дайджеста сообщений и цифровой подписи;

    Что такое надежность оборудования

    Под надежностью понимается свойство объекта сохранять во времени в установленных пределах значения параметров, характеризующих способность выполнять требуемые функции в заданных режимах и условиях применения технического обслуживания, ремонтов, хранения и транспортирования. Надежность является сложным свойством, которое в зависимости от назначения объекта и условий его применения состоит из сочетания безопасности, ремонтопригодности и сохраняемости (рисунок 1).

    Рисунок 1 – Надёжность оборудования

    Для абсолютного большинства круглогодично применяемых технических устройств при оценке их надежности наиболее важными являются три свойства: безотказность, долговечность и ремонтопригодность.

    • Безотказность — свойство объекта непрерывно сохранять работоспособное состояние в течение некоторого времени..
    • Долговечность — свойство сохранять работоспособность до наступления предельного состояния при установленной системе технического обслуживания и ремонта.
    • Ремонтопригодность — свойство изделия, заключающееся в приспособленности к поддержанию и восстановлению работоспособного состояния путем технического обслуживания и ремонта.

    В то же время техника сезонного применения (уборочные сельскохозяйственные машины, некоторые коммунальные машины, речные суда замерзающих рек и т.д.), а также машины и оборудование для ликвидации критических ситуаций (противопожарное и спасательное оборудование), имеющие по своему назначению длительный период нахождения в режиме ожидания работы, должны оцениваться с учетом сохраняемости, т.е. показателями всех четырех свойств.

    • Сохраняемость— свойство изделия сохранять в заданных пределах значения параметров, характеризующих способность изделия выполнять требуемые функции, в течение и после хранения или транспортирования.
    • Ресурс (технический) — наработка изделия до достижения им предельного состояния, оговоренного в технической документации. Ресурс может выражаться в годах, часах, километрах, гектарах, числе включений. Различают ресурс: полный — за весь срок службы до конца эксплуатации; доремонтный — от начала эксплуатации до капитального ремонта восстанавливаемого изделия; использованный — от начала эксплуатации или от предыдущего капитального ремонта изделия до рассматриваемого момента времени; остаточный — от рассматриваемого момента времени до отказа невосстанавливаемого изделия или его капитального ремонта, межремонтный.
    • Наработка— продолжительность функционирования изделия или объем выполняемой им работы за некоторый промежуток времени. Измеряется в циклах, единицах времени, объема, длины пробега и т.п. Различают суточную наработку, месячную наработку, наработку до первого отказа.
    • Наработка на отказ — критерий надежности, являющийся статической величиной, среднее значение наработки ремонтируемого изделия между отказами. Если наработка измеряется в единицах времени, то под наработкой на отказ понимается среднее время безотказной работы.

    Есть наконец, целый ряд изделий (например, резинотехнические), оценивающийся главным образом сохраняемостью и долговечностью.

    Перечисленные свойства надежности (безотказность, долговечность, ремонтопригодность и сохраняемость) имеют свои количественные показатели.

    Так безотказность характеризуется шестью показателями, в том числе таким важным, как вероятность безотказной работы. Этот показатель широко применяется в народном хозяйстве для оценки самых различных видов технических средств: электронной аппаратуры, теплообменные аппараты систем воздушного отопления, летательных аппаратов, деталей, узлов и агрегатов, транспортных средств, нагревательных элементов. Расчет этих показателей проводят на основе государственных стандартов.

    • Отказ— одно из основных понятий надежности, заключающееся в нарушении работоспособности изделия (один или несколько параметров изделия выходят за допускаемые пределы).
    • Интенсивность отказа — условная плотность вероятности возникновения отказа невосстанавливаемого объекта, определяется при условии, что до рассматриваемого момента времени отказ не возник.
    • Вероятность безотказной работы — возможность того, что в пределах заданной наработки отказ объекта не возникает.

    Долговечность также характеризуется шестью показателями, представляющие различные виды ресурса и срока службы. С точки зрения безопасности наибольший интерес представляет гамма-процентный ресурс — наработка, в течение которой объект не достигнет предельного состояния с вероятностью g, выраженной в процентах. Так для объектов металлургического оборудования (машины для подъема и перемещения жидких металлов, насосы и устройства для перекачивания вредных жидкостей и газов) назначают g = 95 %.

    Ремонтопригодность характеризуется двумя показателями: вероятностью и средним временем восстановления работоспособного состояния.

    Ряд авторов подразделяют надежность на идеальную, базовую и эксплуатационную. Идеальная надежность — это максимально возможная надежность, достигаемая путем создания совершенной конструкции объекта при абсолютном учете всех условий изготовления и эксплуатации. Базовая надежность — надежность, фактически достигаемая при конструировании, изготовлении и монтаже объекта. Эксплуатационная надежность — действительная надежность объекта в процессе его эксплуатации, обусловленная как качеством проектирования, конструирования, изготовления и монтажа объекта, так и условиями его эксплуатации, технического обслуживания и ремонта.

    Основные положения надежности будут неясны без определения такого важного понятия, как резервирование.

    Резервирование — это применение дополнительных средств или возможностей с целью сохранения работоспособного состояния объекта при отказе одного или нескольких его элементов.

    Одной из наиболее распространенных разновидностей резервирования является дублирование — резервирование с кратностью резерва один к одному. В связи с тем, что резервирование требует значительных материальных затрат, его применяют лишь для наиболее ответственных элементов, узлов или агрегатов, отказ которых угрожает безопасности людей или влечет тяжелые экономические последствия. Так пассажирские и грузопассажирские лифты подвешиваются на несколько канатов, самолеты снабжены несколькими двигателями, имеют дублированную электропроводку, в автомобилях применяется двойная и даже тройная система тормозов. Большое распространение получило и прочностное резервирование, основанное на концепции коэффициента запаса. Считается, что понятие прочности имеет самое непосредственное отношение не только к надежности, но и к безопасности. Более того, считается, что инженерные расчеты конструкций на безопасность почти исключительно строятся на использовании коэффициента запаса прочности. Значения этого коэффициента зависят от конкретных условий. Для сосудов, работающих под давлением, он составляет от 1,5 до 3,25, а для лифтовых канатов — от 8 до 25.

    При рассмотрении производственного процесса во взаимосвязи его основных элементов необходимо использовать понятие надежности в более широком смысле. При этом надежность системы в целом будет отличаться от совокупности надежности ее элементов за счет влияния различных связей.

    В теории надежности доказано, что надежность устройства, состоящего из отдельных элементов, соединенных (в надежностном смысле) последовательно, равна произведению значений вероятностей безотказной работы каждого элемента.

    Связь надежности и безопасности совершенно очевидна: чем надежнее система, тем она безопаснее. Более того, вероятность несчастного случая можно трактовать как «надежность системы».

    В то же время безопасность и надежность являются родственными, но не тождественными понятиями. Они дополняют одно другое. Так с точки зрения потребителя оборудование может быть надежным или не надежным, а по технике безопасности — безопасным или опасным. При этом оборудование бывает безопасным и надежным (приемлемо во всех отношениях), опасным и не надежным (безоговорочно отвергается), безопасным и не надежным (чаще всего отвергается потребителем), опасным и надежным (отвергается по техники безопасности, но может быть приемлемо для потребителя, если степень опасности не слишком велика).

    Требования безопасности часто выступают в качестве ограничений на ресурс и срок службы оборудования или устройства. Это происходит, когда требуемый уровень безопасности нарушается до достижения предельного состояния вследствие физического или морального старения. Ограничения из-за требований безопасности играют особенно важную роль при оценке индивидуального остаточного ресурса, под которым понимается продолжительность эксплуатации от данного момента времени до достижения предельного состояния. В качестве меры ресурса может быть выбран любой параметр, характеризующийся продолжительностью эксплуатации объекта. Для летательных аппаратов мерой ресурса служит налет в часах, для транспортных средств — пробег в километрах, для прокатных станов — масса прокатного метала в тоннах и т.д.

    Наиболее универсальной единицей с точки зрения общей методологии и теории надежности является единица времени. Это обусловлено следующими обстоятельствами. Во — первых, время эксплуатации технического объекта включает и перерывы, в течение которых суммарная наработка не нарастает, а свойства материалов могут изменяться. Во — вторых, применение экономико-матеатических моделей для обоснования назначенного ресурса возможно лишь с использованием назначенного срока службы (срок службы определяется как календарная продолжительность от начала эксплуатации объекта или его возобновления после ремонта определенного вида до перехода в предельное состояние и измеряется в единицах календарного времени). В — третьих, исчисление ресурса в единицах времени позволяет ставить задачи прогнозирования в наиболее общей форме.

    Начальный импульс к созданию численных методов оценки надежности был дан в связи с развитием авиационной промышленности и низким уровнем безопасности полетов на начальных этапах. Значительное число авиационных катастроф при постоянно возрастающей интенсивности воздушных ресурсов обусловило необходимость выработки критериев надежности для самолетов и требований к уровню безопасности. В частности, был проведен сравнительный анализ одного из многочисленных самолетов с точки зрения успешного завершения полетов.

    Показательной с точки зрения безопасности является хронология развития теории и техники надежности. В 40-х годах основные усилия для повышения надежности были сконцентрированы на всестороннем улучшении качества, причем превалирующее значение имел экономический фактор. Для увеличения долговечности узлов и агрегатов различных видов оборудования разрабатывались улучшенные конструкции, прочные материалы, совершенные измерительные инструменты. В частности, электротехническое отделение фирмы «General Motors» (США) увеличило активный ресурс приводных двигателей локомотивов с 400 тыс. до 1,6 млн. км за счет использования улучшенной изоляции и применения усовершенствованных конических и сферических роликовых подшипников, а также проведения испытаний при высокой температуре. Был достигнут прогресс в разработке ремонтопригодных конструкций и в обеспечении предприятий оборудованием, инструментом и документацией для выполнения профилактических работ и операций по техническому обслуживанию.

    Одновременно получило распространение составление и утверждение типовых графиков периодических проверок, карт контроля высокопроизводительного станочного оборудования.

    В 50-е годы большое значение стали придавать вопросам обеспечения безопасности, особенно в таких перспективных отраслях, как космонавтика и атомная энергетика. Этот период является началом использования многих широко распространенных в настоящее время понятий по надежности элементов технических устройств, таких, как ожидаемая долговечность, соответствие конструкции заданным требованиям, прогнозирование показателей надежности.

    В 60-е годы стала очевидной острая необходимость в новых методах обеспечения надежности и более широкое их применения. Центр внимания переместился от анализа поведения отдельных элементов различного типа (механических, электрических или гидравлических) на последствия, вызываемые отказом этих элементов в соответствующей системе. В течение первых лет эры космических полетов значительные усилия были затрачены на испытания систем и отдельных элементов. Для достижения высокой степени надежности получил развитие анализ блок-схем в качестве основных моделей. Однако с увеличением сложности блок-схем появилась необходимость в другом подходе, был предложен, а затем получил широкое распространение принцип анализа систем с помощью дерева отказов. Впервые он использовался в качестве программы для оценки надежности системы управления запуском ракет «МИНИТМЕН».

    Впоследствии методика построения дерева отказов была усовершенствована и распространена на широкий круг различных технических систем. После катастрофических аварий на подземных комплексах запуска межконтинентальных баллистических ракет в США официально было введено в практику изучение безопасности систем как отдельной независимой деятельности. Министерство обороны США ввело требование по проведению анализа надежности на всех этапах разработки всех видов вооружения. Параллельно были разработаны требования по надежности, работоспособности и ремонтопригодности промышленных изделий.

    В 70-е годы наиболее заметной была работа по оценке риска, связанного с эксплуатацией атомных электростанций, которая проводилась на основе анализа широкого спектра аварий. Ее основная направленность заключалась в оценке потенциальных последствий подобных аварий для населения в поисках путей обеспечения безопасности.

    В последнее время проблема риска приобрела очень серьезное значение и до настоящего времени привлекает все возрастающее внимание специалистов самых различных областей знаний. Это понятие настолько присуще как безопасности, так и надежности, что термины «надежность», «опасность» и «риск» часто смешивают.

    Среди технических причин несчастных случаев на производстве причины, связанные с недостаточной надежностью производственного оборудования, сооружений, устройств или их элементов, занимают особое место, поскольку чаще всего они проявляются внезапно и в связи с этим характеризуются высокими показателями тяжести травм.

    Большое количество видов, используемых в промышленности, строительстве и на транспорте металлоемкого оборудования и конструкций является источником опасных производственных факторов вследствие существующей возможности аварийного выхода из строя отдельных деталей и узлов.

    Основной целью анализа надежности и связанной с ней безопасности производственного оборудования и устройств является уменьшение отказов (в первую очередь травмоопасных) и связанных с ними человеческих жертв, экономических потерь и нарушений в окружающей среде.

    В настоящее время существует довольно много методов анализа надежности и безопасности. Так наиболее простым и традиционным для надежности является метод структурных схем. При этом объект представляется в виде системы отдельных элементов, для которых возможно и целесообразно определить показатели надежности. Структурные схемы применяются для расчета вероятности отказов при условии, что в каждом элементе одновременно возможен только один отказ. Подобные ограничения вызвали появление других методов анализа.

    • Метод предварительного анализа опасности определяет опасности для системы и выявляет элементы для определения видов отказов при анализе последствий, а также для построения дерева отказов. Он является первым и необходимым шагом при любом исследовании.
    • Анализ последствий по видам отказов ориентирован главным образом на аппаратуру и рассматривает все виды отказов по каждому элементу. Недостатки заключаются в больших затратах времени и в том, что часто не учитывается сочетание отказов и человеческого фактора.
    • Анализ критичности определяет и классифицирует элементы для усовершенствования систем, однако часто не учитывает отказы с общей причиной взаимодействия систем.
    • Анализ с помощью дерева событий применяется для определения основных последовательностей и альтернативных результатов отказов, но не пригоден при параллельной последовательности событий и для детального изучения.
    • Анализ опасностей и работоспособности представляет расширенный вид анализа последствий по видам отказов, который включает причины и последствия изменений основных переменных параметров производства.
    • Анализ типа «причина-последствие» хорошо демонстрирует последовательные цепи событий, достаточно гибок и насыщен, но слишком громоздкий и трудоемкий.

    Наиболее распространенным методом, получившим широкое применение в различных отраслях, является анализ с помощью дерева отказов. Данный анализ четко ориентирован на отыскание отказов и при этом выявляет такие аспекты системы, которые имеют важное значение для рассматриваемых отказов. Одновременно обеспечивается графический, наглядный материал. Наглядность дает специалисту возможность глубоко проникнуть в процесс работы системы и в тоже время позволяет сосредотачиваться на отдельных конкретных ее отказах.

    Главное преимущество дерева отказов по сравнению с другими методами заключается в том, что анализ ограничивается выявлением только тех элементов системы и событий, которые приводят к данному конкретному отказу системы. В тоже время построение дерева отказов является определенным видом искусства в науке, поскольку нет аналитиков, которые бы составили два идентичных дерева отказов.

    Чтобы отыскать и наглядно представить причинную взаимосвязь с помощью дерева отказов, необходимо использовать элементарные блоки, подразделяющие и связывающие большое число событий.

    Таким образом, применяемые в настоящее время методы анализа надежности и безопасности оборудования и устройств, хотя и имеют определенные недостатки, все же позволяют достаточно эффективно определять причины различного рода отказов даже у сравнительно сложных систем. Последнее особенно актуально в связи с большой значимостью проблемы возникновения опасностей, обусловленных недостаточной надежностью технических объектов.

    Илон Маск рекомендует:  Что такое код move_uploaded_file
Понравилась статья? Поделиться с друзьями:
Кодинг, CSS и SQL