Международные сети - глобальный масштаб, специфические проблемы

V. Защита данных в международных сетях

Продолжение. Начало в CW-R ## 20, 26, 30, 32

Эта заметка завершает серию очерков о международных сетях - новой разновидности мировой телекоммуникационно-информационной среды. Мы видели, как потребности пользователей в этой области стимулировали развитие новых технологий, а, казалось бы, чисто количественное изменение масштаба сетей привело к качественному изменению в подходах к решению старых проблем и возникновению новых, которых просто не существовало на предыдущих стадиях развития информационной среды.

Сегодня мы поговорим еще об одной старой проблеме, способы решения которой существенно меняются при переходе к международным сетям, - об обеспечении безопасности бизнеса при использовании международных сетей. Речь здесь пойдет не только о традиционной защите данных (например от злоумышленного вмешательства), но и об обеспечении "живучести" сети при отказах оборудования, а также экономичных способах обработки заторов при пиковых нагрузках.

Решение проблемы безопасности требует, во-первых, разумного подбора сетевого оборудования и тщательного проектирования сети, а во-вторых, правильного применения различных чисто программных средств защиты, вроде паролей, процедур идентификации пользователя и так далее.

Начнем с "живучести" сети. Традиционным методом обеспечения отказоустойчивости является дублирование ресурсов. При работе с международными сетями отказоустойчивость оборудования приобретает особое значение, поскольку простои чрезвычайно дорогостоящих линий связи ведут к большим финансовым потерям. Кроме того, экстренная замена отказавшего оборудования может быть существенно затруднена глобальным масштабом сети (не так-то легко отправить технического сотрудника компании в какой-нибудь удаленный филиал, да и сама дорога туда может занять относительно много времени). Чтобы линии, подключенные к отказавшему оборудованию, не простаивали, для передачи информации можно использовать обходные пути. Возможность формирования канала передачи информации в обход отказавшего узла обязательно должна быть предусмотрена, однако использование такого обходного канала, во-первых, увеличивает стоимость связи (поскольку протяженность пути передачи возрастает), а во-вторых, может привести к возникновению заторов на обходном пути: речь ведь идет не о резервной свободной линии (такого не может себе позволить даже очень богатая компания), а о распределении нагрузки с заблокированных линий на другие, также используемые для передачи информации. Попутно отметим, что при неправильном проектировании сети единичный отказ может развалить всю систему: заторы на обходном пути приведут к тому, что станции, для которых этот путь является основным, также начнут искать обходные пути передачи информации, там тоже возникнут заторы и так далее - в общем, повторится известная ситуации из истории энергосистем, когда относительно небольшая авария на подстанции привела к полному отключению электроэнергии на территории нескольких штатов США на много часов. Итак, вывод первый: нельзя экономить на отказоустойчивом сетевом оборудовании; даже единичный отказ может привести к очень серьезным убыткам. В этом смысле требования международных сетей существенно выше, чем запросы сетей локальных.

Теперь - о заторах в сети. При работе в пакетном режиме данные от нескольких источников передаются по одному и тому же каналу. При этом, разумеется, предполагается, что в одно и то же время данные передеют (или принимает) только часть станций; в первом приближении можно считать, что станции начинают принимать и передавать данные в случайные моменты времени. Но тогда может возникнуть ситуация, когда число одновременно работающих станций превышает пропускную способность канала. Это и есть затор. Реальная пропускная способность канала между узлами определяется компромиссом между стоимостью пропускной способности канала и предполагаемой частотой заторов с учетом расходов, связанных с преодолением затора.

Основная задача здесь - не допустить ущерба для функционирования сети в целом при возникновении единичного затора (в духе того, о чем говорилось чуть выше). Каким именно образом сеть борется с возникшим затором - это зависит от используемого протокола. В сетях на базе X.25 (и ряда других протоколов) имеется возможность отдать передающим станциям команду временно прекратить посылку информации. При применении других протоколов единственное, что можно сделать, - это игнорировать избыточные пакеты; при этом остается только надеяться на то, что утрата пакетов будет обнаружена на более высоких уровнях стека протоколов. Очень важной задачей является раннее обнаружение возникающего затора - при этом, возможно, удастся избежать серьезных потерь в производительности. Почему обработка заторов особенно важна именно для международных сетей? Дело здесь, опять-таки, в высокой стоимости линий. Чем более эффективно обрабатываются заторы, тем меньший запас по пропускной способности можно иметь и меньшие финансовые потери влечет за собой возникновение заторов (а полностью исключить такую ситуацию, разумеется, нельзя).

Поговорим теперь о так называемом "человеческом факторе". Выражение это, чрезвычайно модное лет шесть-семь назад, теперь как-то подзабылось. Между тем именно "человеческий фактор" играет решающую роль в нашей жизни вообще - и в защите данных в международных сетях в частности.

Как уберечься от злоумышленника? Как избежать тяжелых последствий случайных ошибок пользователей и администраторов сети (совершаемых в силу недостатка квалификации или просто по рассеянности)? Мы рассмотрим лишь некоторые аспекты защиты сетей от неправильных действий. Тема эта нескончаема, и любой обзор не будет полным. Поэтому мы сосредоточимся на собственно сетевых функциях обеспечения безопасности.

Ахиллесова пята любой сети - система управления. Недостаточно квалифицированный оператор своими действиями может полностью дезорганизовать работу сети. Поэтому обязательно должна быть предусмотрена многоуровневая система привилегий операторов. Каждому оператору в соответствии с его квалификацией должна быть присвоена определенная "степень допуска" к управлению сетью. Кроме того, необходимо предусмотреть полное протоколирование всех действий операторов, с тем чтобы при возникновении нештатной ситуации впоследствии можно было выяснить ее причины.

Необходимо также контролировать доступ к сетевым ресурсам как по соображениям безопасности, так и с целью снижения затрат на работу с сетью. Иногда приходится ограничивать доступ определенных групп пользователей, например, к дорогим линиям связи или другим ресурсам. Рост контактов между разными компаниями, частое возникновение ситуаций, когда одна компания осуществляет доступ к сети другой компании, также заставляют очень строго контролировать доступ к ресурсам. Не чиня препятствий к свободному обмену открытой информацией, система должна полностью исключить доступ посторонних к данным, являющимся коммерческой тайной.

Проблемы, связанные с контролем доступа к ресурсам, можно решить созданием замкнутых групп пользователей. Замкнутая группа пользователей определяется набором соответствующих сетевых адресов и может использоваться для определения набора действий, разрешенных данной группе. Концепция замкнутой группы пользователей (впервые появившаяся в сетях X.25) позволяет, например, ограничивать доступ к данным и применение сетевых ресурсов, определять номера телефонов, с которых пользователи из данной группы могут осуществлять вход в систему, ограничивать доступ пользователей к дорогим международным линиям связи и платным сетям передачи данных и предотвращать использование ресурсов компании в личных целях.

Другим средством защиты данных является трансляция адресов. При этом реальные адреса назначения скрыты от пользователей, запрашивающих соединение с удаленными узлами. Пользователь может знать, например, только часть адреса или "псевдоним" узла. Получив введенный пользователем адрес, сетевое оборудование по нему вычисляет реальный адрес назначения и обеспечивает соединение. Алгоритм вычисления адреса держится в секрете.