Для предприятий, где сеть имеет небольшое количество пользователей и групп, но должна быть разделена на домены из организационных соображений, основная модель домена может быть наилучшим выбором. Эта модель дает централизованное управление и организационные преимущества управления многими доменами.
В этой модели один домен - основной домен, в котором регистрируются все пользователи и глобальные группы. Все другие домены сети доверяют этому домену и таким образом можно использовать пользователей и глобальные группы, зарегистрированные в них.
Основная цель главного домена - управление сетевыми учетными карточками пользователя. Другие домены в сети - домены ресурса; они не хранят учетные карточки пользователя и не управляют ими, а только обеспечивают ресурсы (как например, файлы и принтеры коллективного использования) сети.
В этой модели только первичные и резервные контроллеры домена в основном домене имеют копии учетных карточек пользователей сети[1].
Для больших предприятий, которые хотят иметь централизованную администрацию, модель многочисленных основных доменов может оказаться наилучшим выбором, поскольку он наиболее масштабируемый.
В этой модели небольшое количество основных доменов. Основные домены служат в качестве учетных доменов и каждая учетная карточка пользователя создается в одном из этих основных доменов.
Каждый основной домен доверяет всем другим основным доменам. Каждый ведомственный домен доверяет всем основным доменам, но ведомственным доменам не нужно доверять друг другу[1].
При желании управлять пользователями и доменами, распределенными среди различных отделов, децентрализовано, можно использовать модель полного доверия. В ней каждый домен сети доверяет другому домену. Таким способом каждый отдел управляет своим собственным доменом и определяет своих собственных пользователей и глобальные группы, и эти пользователи и глобальные группы могут, тем не менее, использоваться во всех других доменах сети.
Из-за количества связей доверия, необходимого для этой модели, она не практична для больших предприятий[1].
1.4.5.Выбор модели организации сети
Проанализировав оргонизационно-штатную структуру подразделения, можно заключить, что оптимальным выбором является модель основного домена. Ее достоинства и недостатки сведены в табл.1.1.
Таблица 1.1
Преимущества и недостатки модели основного домена.
Таблица 1.1(продолжение)
Логическая структура сети показана на рис.1.5.
Рис.1.5. Логическая структура сети.
Функциональная схема подразделения, разработанная с учетом всего вышесказанного, приведена на рис.1.6.
Рис.1.6. Функциональная схема ЛВС подразделения
2.СТРУКТУРНАЯ СХЕМА ЗАЩИТЫ ИНФОРМАЦИИ В ЛВС
2.1.Потенциальные угрозы безопасности информации
Исследование и анализ многочисленных случаев воздействий на информацию и несанкционированного доступа к ней показывают, что их можно разделить на случайные и преднамеренные.
Для создания средств защиты информации необходимо определить природу угроз, формы и пути их возможного проявления и осуществления в автоматизированной системе. Для решения поставленной задачи все многообразие угроз и путей их воздействия приведем к простейшим видам и формам, которые были бы адекватны их множеству в автоматизированной системе.
2.1.1.Случайные угрозы
Исследование опыта проектирования, изготовления, испытаний и эксплуатации автоматизированных систем говорят о том, что информация в процессе ввода, хранения , обработки, ввода и передачи подвергается различным случайным воздействиям.
Причинами таких воздействий могут быть:
· Отказы и сбои аппаратуры
· Помехи на линии связи от воздействий внешней среды
· Ошибки человека как звена системы
· Системные и системотехнические ошибки разработчиков
· Структурные, алгоритмические и программные ошибки
· Аварийные ситуации
· Другие воздействия.
Частота отказов и сбоев аппаратуры увеличивается при выборе и проектировании системы, слабой в отношении надежности функционирования аппаратуры. Помехи на линии связи зависят от правильности выбора места размещения технических средств АСУ относительно друг друга и по отношению к аппаратуре соседних систем.
К ошибкам человека как звена системы следует относить ошибки человека как источника информации, человека-оператора, неправильные действия обслуживающего персонала и ошибки человека как звена, принимающего решения.
Ошибки человека могут подразделяться на логические (неправильно принятые решения), сенсорные (неправильное восприятие оператором информации) и оперативные, или моторные (неправильная реализация решения). Интенсивность ошибок человека может колебаться в широких пределах: от 1-2% до 15-40% и выше общего числа операций при решениях задачи.
К угрозам случайного характера следует отнести аварийные ситуации, которые могут возникнуть на объекте размещения автоматизированной системы. К аварийным ситуациям относятся:
· Отказ от функционирования САУ в целом, например выход из строя электропитания
· Стихийные бедствия: пожар, наводнение, землетрясение, ураганы, удары молнии и т.д.
Вероятность этих событий связана прежде всего с правильным выбором места размещения АСУ, включая географическое положение[2].
2.1.2.Преднамеренные угрозы
Преднамеренные угрозы связаны с действиями человека, причинами которых могут быть определенное недовольство своей жизненной ситуацией, сугубо материальный интерес или простое развлечение с самоутверждением своих способностей, как у хакеров, и т.д.
Для вычислительных систем характерны следующие штатные каналы доступа к информации:
· Терминалы пользователей
· Терминал администратора системы
· Терминал оператора функционального контроля
· Средства отображения информации
· Средства загрузки программного обеспечения
· Средства документирования информации
· Носители информации
· Внешние каналы связи.
Имея в виду, что при отсутствии защиты нарушитель может воспользоваться как штатными, так и другими физическими каналами доступа, назовем возможные каналы несанкционированного доступа (ВКНСД) в вычислительной системе, через которые возможно получить доступ к аппаратуре, ПО и осуществить хищение, разрушение, модификацию информации и ознакомление с нею:
· Все перечисленные штатные средства при их использовании законными пользователями не по назначению и за пределами своих полномочий
· Все перечисленные штатные средства при их использовании посторонними лицами
· Технологические пульты управления
· Внутренний монтаж аппаратуры
· Линии связи между аппаратными средствами данной вычислительной системы
· Побочное электромагнитное излучение аппаратуры системы
· Побочные наводки по сети электропитания и заземления аппаратуры
· Побочные наводки на вспомогательных и посторонних коммуникациях
· Отходы обработки информации в виде бумажных и магнитных носителей.
Очевидно, что при отсутствии законного пользователя, контроля и разграничения доступа к терминалу квалифицированный нарушитель легко воспользуется его функциональными возможностями для несанкционированного доступа к информации путем ввода соответствующих запросов и команд. При наличии свободного доступа в помещение можно визуально наблюдать информацию на средствах отображения и документирования, а на последних похитить бумажный носитель, снять лишнюю копию, а также похитить другие носители с информацией: листинги, магнитные ленты, диски и т.д.
Особую опасность представляет собой бесконтрольная загрузка программного обеспечения в ЭВМ, в которой могут быть изменены данные, алгоритмы или введена программа “троянский конь”, выполняющая дополнительные незаконные действия: запись информации на посторонний носитель, передачу в каналы связи другого абонента вычислительной сети, внесение в систему компьютерного вируса и т.д.
Опасной является ситуация, когда нарушителем является пользователь системы, который по своим функциональным обязанностям имеет законный доступ к одной части информации, а обращается к другой за пределами своих полномочий.
Со стороны законного пользователя существует много способов нарушить работу вычислительной системы, злоупотреблять ею, извлекать, модифицировать или уничтожать информацию. Свободный доступ позволит ему обращаться к чужим файлам и банкам данных и изменять их случайно или преднамеренно.
