6.1 Технические средства сетевой безопасности

При выборе UPS нужно учесть суммарную потребляемую мощность оборудования, подключаемого к источнику питания, и время, в течение которого UPS способен работать без напряжения в сети. При этом главная задача UPS - обеспечение завершения операций обмена с диском до того, как произойдет полное обесточивание сервера, или когда будет произведено переключение на резервный канал питания. Это осуществимо при использование специального интерфейса и соответствующего программного обеспечения, работающего согласно протокола SNMP(см. рис. 6.1.1).

Рис. 6.1.1. Схема подключения UPS.

При исчезновении первичного напряжения ~220V спустя некоторое время UPS выдает сигнал shutdown вычислительной машине (например, через интерфейс RS-232 или USB). Современный UPS может мониторировать не только напряжение питание, но температуру окружающей среды, своевременно осуществляя спасение жизненно важных файлов до наступления чрезмерного перегрева системы. При этом значение напряжения питания и температуры можно считывать с использованием протокола SNMP. Некоторые продвинутые системы автономного питания допускают подключение агентов SNMP непосредственно к локальной сети, что открывает дополнительные возможности дистанционного управления и мониторинга.

Указанный интерфейс обеспечит блокировку начала новых операций обмена или выполнит shutdown, если напряжение в сети упало ниже допустимого уровня. К UPS не следует подключать дисплеи (эти приборы не столь критичны к питанию, как диски и оперативная память) и принтеры (лазерные принтеры запрещено подключать к UPS из-за мощных печек, входящих в состав этих приборов). Сетевые фильтры являются желательными при работе с любыми ЭВМ, так как сеть в России сильно засорена высокочастотными помехами.

Создавая сеть, следует сразу закладывать некоторые элементы, обеспечивающие безопасность. Так прокладку сетевых кабелей желательно производить в металлических коробах или трубах, что сделает подключение к ним более затруднительным. Повторители и концентраторы нужно размещать в запираемых шкафах. Некоторые концентраторы контролируют MAC-адреса пакетов. Такое оборудование позволяет блокировать порт, если обнаруживаются пакеты с неизвестным MAC-адресом, а также выявлять случаи подключения одного и того же MAC-адреса к разным портам. Определенную угрозу сетевой безопасности может представлять возможность присвоение хакером “чужого” MAC-адреса своей сетевой карте. Современные концентраторы запрещают подключенному к порту узлу передавать кадры с MAC-адресом, не совпадающим с определенным администратором для данного порта. Это обеспечивает дополнительную надежность канального уровня.

Активные разработки в последнее время ведутся в области систем идентификации, базирующихся на распознавания отпечатков пальцев, ладони, подписи, голоса или радужки глаз. Для этих целей используются новейшие достижения в области быстрых Фурье-преобразований, нейронных сетей и пр. В качестве вводных устройств используются оптические сканеры, а также резистивные экраны. Для ввода подписи служат специальные планшеты , а также изощренные методы сравнения и установления идентичности. К числу таких устройств следует отнести также генераторы разовых ключей доступа и карты доступа. В последнее время в этот ряд встали и мобильные телефоны, которые позволяют идентифицировать владельца (здесь имеются в виду многопараметрические системы аутентификации).

Так как современные системы шифрования предполагают использование довольно трудоемких вычислений, которые заметно замедляют процесс, разрабатываются специальные микросхемы. Такие системы могут использоваться, например, в VPN. При этом ключи могут быть встроенными или внешними. В некоторых особо важных случаях применяется криптографическая защита всего диска FDE (Full Disc Encription) на самой машине.

Поскольку абсолютная надежность недостижима, одним из средств сохранения информации является дублирование носителей (напр. дисков), копирование и сохранение копий в надежном месте. Появились ленточные ЗУ с объемом 5 ТБ. Сопоставим это с тем, что в 2005 году были доступны ЗУ с емкостью лишь 500 ГБ. Десятикратный рост емкости за 6 лет! Скорость обмена для этих ленточных накопителей составляет 240 МБ/сек. Альтернативой им могут стать накопители с перезаписываемыми DVD (например, blu-ray - 25Гбайт), где стоимость устройства существенно ниже. Не исключено, что в скором времени основным средством сохранения информации станет ее дублирование на независимом жестком диске. Это может произойти при широком внедрении компактных жестких дисков емкостью 1 Тбайт и более (появились в 2009 году). Выбор средства для резервного копирования определяется его емкостью, ценой, временем восстановления (копирования) и надежностью (отказ при попытке восстановления с резервной копии стоит очень дорого).

В публикации "Executive Brief on VMware Backup and Recovery: Challenges and Solutions". W. Curtis Preston (Sponsored by VEEAM) дан обзор состояния технологии резервного копирования (http://www.veeam.com/survey). Самая популярная схема представлена на рис. 6.1.2.

Рис. 6.1.2. Традиционная схема резервного копирования.

Пожалуй самым ненадежном элементом персонального компьютеря является жесткий диск. Стоимость дисков падает и появилась возможность использования систем RAID (Redundant Array of Intelligent/Independent Drives). Такие системы автоматически дублируют все хранящиеся данные и мониторируют локальные сбои, что делает систему более устойчивой.

Ежегодние потери данных в США из персональных машин составляет 18.2 миллиардов долларов. Средняя цена инцидента с потерей данных составляет $3,957. Ошибки при отказах восстановления содержимого с резервных копий стоят более $400,000 в год. Следует иметь в виду, что время полного восстановления машины составляет коло 5 часов. Смотри также обзор "The Expert Guide to VMware Data Protection and Disaster Recovery. Eric Siebert, (Sponsored by VEEAM) .

Мало периодически выполнять резервное копирование носителей, хранящих существенную информацию. Важно разумно организовать сохранность этих копий. Даже если они хранятся в суперсейфе в том же помещении, что и сервер, ваша система резервного копирования уязвима в случае пожара или залива помещения водой. По этой причине резервные копии желательно хранить в другом здании. Другой важной стороной работы с резервными копиями является свод правил доступа к ним и методов использования. Особенно важно, чтобы резервные копии с конфиденциальными данными не могли попасть в чужие руки (потеря или кража laptop'а с резервной копией может быть хорошей иллюстрацией такого рода проблем). Для конфиденциальной информации должен действовать строгий запрет резервного копирования на носитель рабочей станции при знакомстве с документом. Это с неизбежностью приведет к неконтролируемому распространению конфиденциальных данных. Одним из путей повышения безопасности является криптографическая защита данных.

Прогнозирование отказов жестких дисков

Важным элементом любого сервера или рабочей станции является жесткий диск. Его отказ может не только вывести из строя компьютер, но и привести к потере важной информации. Регистрируя ошибки при чтении диска, можно прогнозировать вероятность его отказа и своевременно создать резервную копию или просто заменить диск. Смотри "The 5 SMART stats that actually predict hard drive failure", Lucas Mearian, Computerworld, November 12, 2014. На рис. 6.1.3 приведены зависимости вероятности отказа диска от числа ошибочных чтений. Данные получены на основе анализа результатов измерения проведенных для 40000 устройств. В статистику на рисунке попали случаи, когда была получена диагностика - SMART 187 - Reported_Uncorrectable_Errors.

Рис. 6.1.3. Связь числа ошибочных чтений и вероятности отказа жесткого диска.