Основы администрирования информационных систем. Тема 1

Содержание

Слайд 2

Основная литература: Беленькая М. Н., Малиновский С. Т., Яковенко Н. В.

Основная литература:
Беленькая М. Н., Малиновский С. Т., Яковенко Н. В. Администрирование

в информационных системах. 2-е изд., испр. и доп., 408 c. - М.: Горячая линия - Телеком, 2014.
Слайд 3

Тема 1. Основы администрирования информационных систем. Управление конфигурацией информационной системы. Управление

Тема 1. Основы администрирования информационных систем.

Управление конфигурацией информационной системы.
Управление системой безопасности.

Управление общим доступом.
Выявление и контроль сбойных и ошибочных ситуаций.
Необходимость процедур администрирования в ИС.
Слайд 4

Функции и процедуры администрирования. Администрирование (административные механизмы) – это процедуры управления,

Функции и процедуры администрирования.

Администрирование (административные механизмы) – это процедуры управления, регламентирующие

некоторые процессы или их часть.
К таковым процессам относят планирование работ, построение, эксплуатацию и поддержку эффективной ИТ-инфраструктуры, интегрированной в общую архитектуру информационной системы – один из критических факторов успешной реализации стратегических бизнес-целей организации.
Слайд 5

Функции и процедуры администрирования. Инфраструктура включает решения по программному обеспечению, аппаратному

Функции и процедуры администрирования.

Инфраструктура включает решения по программному обеспечению, аппаратному комплексу

и организационному обеспечению ИС, что соответствует пониманию системы в современных стандартах типа ISO/IEC 15288.
Слайд 6

Функции и процедуры администрирования. В инфраструктуру ИТ входят: вычислительное и телекоммуникационное

Функции и процедуры администрирования.

В инфраструктуру ИТ входят:
вычислительное и телекоммуникационное оборудование;


каналы связи;
инженерно-техническое оборудование, обеспечивающее работу вычислительных и телекоммуникационных средств;
программные приложения, реализующие функциональность ИТ-систем (прикладное программное обеспечение) и обеспечивающие функционирование оборудования (системное программное обеспечение);
администрация и персонал, осуществляющие эксплуатацию ИС;
внутренние положения и инструкции, регламентирующие работу персонала с ИТ-системами;
исходные тексты программных приложений, входящих в ИТ-систему (прикладное и системное ПО);
системная и пользовательская документация программных приложений и аппаратных комплексов и др.
Слайд 7

Функции и процедуры администрирования. ИС и инфраструктура ИТ требуют организационной, программной

Функции и процедуры администрирования.

ИС и инфраструктура ИТ требуют организационной, программной и

технической поддержки. Это реализуется через работу системного администратора.
Действия, выполняемые администратором, могут изменяться в зависимости от рабочей среды и приложений, с которыми приходится работать. Но независимо от среды необходимо иметь системную политику и строго следовать ей, а также ознакомить с данной политикой всех пользователей.
Слайд 8

Функции и процедуры администрирования. основной задачей системного администратора является поддержка работы

Функции и процедуры администрирования.

основной задачей системного администратора является поддержка работы компьютеров.

При работе с системой необходимо ее запускать и останавливать работу. При этом необходимо проверять, работает ли система, есть ли на дисках свободное место и корректно ли работают необходимые сервисы.
Т.е. необходимы упреждающие действия
Слайд 9

Функции и процедуры администрирования. Упреждающие действия (процедуры) центральный процессор (ЦП) —

Функции и процедуры администрирования.

Упреждающие действия (процедуры)
центральный процессор (ЦП) — здесь фиксируется

использование ЦП, обычно по средней нагрузке, и определяется производительность системы;
память — сбор данных для ее мониторинга осуществляется перемещением на жесткий диск блоков памяти (страниц памяти), в том числе и блоков с оперативной памятью, и, наоборот, восстановлением в оперативной памяти страниц, хранящихся на диске. При интенсивном обмене информацией между памятью и диском происходит «пробуксовывание» системы;
Слайд 10

Функции и процедуры администрирования. файлы журналов — они служат документальным подтверждением

Функции и процедуры администрирования.
файлы журналов — они служат документальным подтверждением ошибок

и отказов сервисов, работающих в системе;
диски — на них хранятся файлы операционных систем (ОС) и БД. Команды ОС прежде всего задействуются с дисков;
пользователи — их мониторинг распространяется как на авторизованных регистрацией пользователей, так и на законных. Обе эти группы могут быть источниками проблем, возникающих при функционировании системы.
Слайд 11

Управление конфигурацией При создании проектов сложных ИС, состоящих из многих компонентов,

Управление конфигурацией

При создании проектов сложных ИС, состоящих из многих компонентов, каждый

из которых может иметь разновидности или версии, возникает проблема учёта их связей и функций, создания унифицированной структуры и обеспечения развития всей системы.
Управление конфигурацией позволяет организовать, систематически учитывать и контролировать внесение изменений в ПО на всех стадиях ЖЦ.
Общие принципы и рекомендации конфигурационного учёта, планирования и управления конфигурациями ПО отражены в проекте стандарта ISO/IEC 12207.
К управлению конфигурацией следует отнести функции анализа производительности и оптимизации системы.
Слайд 12

Управление конфигурацией Управление конфигурацией – один из вспомогательных процессов, поддерживающих основные

Управление конфигурацией

Управление конфигурацией – один из вспомогательных процессов, поддерживающих основные процессы

жизненного цикла ПО, прежде всего процессы разработки и сопровождения ПО ИС.
Слайд 13

Управление конфигурацией Процесс управления конфигурацией включает следующие действия: подготовительную работу; идентификацию

Управление конфигурацией

Процесс управления конфигурацией включает следующие действия:
подготовительную работу;
идентификацию конфигурации;
контроль конфигурации;
учет состояния

конфигурации;
оценку конфигурации;
управление выпуском и поставку.
Слайд 14

Управление конфигурацией Подготовительная работа заключается в планировании управления конфигурацией. Идентификация конфигурации

Управление конфигурацией

Подготовительная работа заключается в планировании управления конфигурацией.
Идентификация конфигурации устанавливает правила,

с помощью которых можно однозначно идентифицировать и различать компоненты ПО и их версии. Кроме того, каждому компоненту и его версиям соответствует однозначно обозначаемый комплект документации. В результате создается база для однозначного выбора и манипулирования версиями компонентов ПО, использующая ограниченную и упорядо­ченную систему символов, идентифицирующих различные версии ПО.
Слайд 15

Управление конфигурацией Контроль конфигурации предназначен для систематической оценки предполагаемых модификаций ПО

Управление конфигурацией

Контроль конфигурации предназначен для систематической оценки предполагаемых модификаций ПО и

координированной их реализации с учетом эффективности каждой модификации и затрат на ее выполнение. Он обеспечивает контроль состояния и развития компонентов ПО и их версий, а также адекватность реально изменяю­щихся компонентов и их комплектной документации.
Учет состояния конфигурации представляет собой регистрацию состояния компонентов ПО, подготовку отчетов обо всех реализованных и отвергнутых модификациях версий компонентов ПО. Совокупность отчетов обеспечивает однозначное отражение текущего состояния си­стемы и ее компонентов, а также ведение истории модификаций.
Слайд 16

Управление конфигурацией Оценка конфигурации заключается в оценке функциональной полноты компонентов ПО,

Управление конфигурацией

Оценка конфигурации заключается в оценке функциональной полноты компонентов ПО, а

также соответствия их физического состояния текущему техническому описанию.
Управление выпуском и поставка охватывают изготовление эталонных копий программ и документации, их хранение и поставку пользо­вателям в соответствии с порядком, принятым в организации.
Слайд 17

Инсталляция информационных систем. Планирование инсталляционных работ. Выбор аппаратно-программных средств. Инсталляция информационной

Инсталляция информационных систем.

Планирование инсталляционных работ. Выбор аппаратно-программных средств. Инсталляция информационной системы

на примере Windows 2008 Server. Настройка информационной системы.
Слайд 18

Планирование инсталляционных работ Планирование инсталляционных работ является одним из составляющих Управления

Планирование инсталляционных работ

Планирование инсталляционных работ является одним из составляющих Управления конфигурации.
Планирование

инсталляционных работ сводиться к выбору программно-аппаратных средств.
Слайд 19

Выбор аппаратно-программных средств

Выбор аппаратно-программных средств

Слайд 20

Выбор аппаратно-программных средств

Выбор аппаратно-программных средств

Слайд 21

Выбор аппаратно-программных средств

Выбор аппаратно-программных средств

Слайд 22

Выбор аппаратно-программных средств

Выбор аппаратно-программных средств

Слайд 23

Выбор аппаратно-программных средств

Выбор аппаратно-программных средств

Слайд 24

Тема 2. Администрирование серверов Windows.

Тема 2. Администрирование серверов Windows.

Слайд 25

Администрирование ОС

Администрирование ОС

Слайд 26

Администрирование ОС

Администрирование ОС

Слайд 27

Администрирование ОС

Администрирование ОС

Слайд 28

Администрирование ОС

Администрирование ОС

Слайд 29

Администрирование ОС

Администрирование ОС

Слайд 30

Администрирование ОС

Администрирование ОС

Слайд 31

Администрирование ОС

Администрирование ОС

Слайд 32

Администрирование ОС

Администрирование ОС

Слайд 33

Администрирование ОС

Администрирование ОС

Слайд 34

Администрирование ОС

Администрирование ОС

Слайд 35

Администрирование ОС

Администрирование ОС

Слайд 36

Администрирование ОС

Администрирование ОС

Слайд 37

Администрирование ОС

Администрирование ОС

Слайд 38

Администрирование ОС

Администрирование ОС

Слайд 39

Администрирование ОС

Администрирование ОС

Слайд 40

Тема 3. Базовые средства администрирования Windows 2003 Server. Администрирование сетей передачи

Тема 3. Базовые средства администрирования Windows 2003 Server. Администрирование сетей передачи

данных. Сетевые службы и протоколы.

Службы управления конфигурацией.
Службы управления безопасностью.
Службы управления общего пользования. Службы регистрации, сбора и обработки информации.
Службы контроля характеристик, ошибочных ситуаций.
Информационные службы.
Интеллектуальные службы.
Службы планирования и развития.

Слайд 41

Сетевые службы В основе серверных функций операционной системы Windows лежат специальные

Сетевые службы

В основе серверных функций операционной системы Windows лежат специальные службы.

Служба – программа, выполняющая некоторую базовую задачу в фоновом режиме.
Примеры служб Windows
Alerter (оповещатель)
Browser (обозреватель)
Clipbook (сервер папки обмена)
Dhcp client
Messenger
Netlogon
Server
Workstation
Spooler
Слайд 42

Сетевые службы Оповещатель (Alerter) – отображает для выбранных пользователей и компьютеров

Сетевые службы

Оповещатель (Alerter) – отображает для выбранных пользователей и компьютеров административные сообщения.

При отключении этой службы программы, использующие функции API NetAlertRaise или NetAlertRaiseEx, не смогут уведомить пользователя или компьютер (посредством окна Службы сообщений (Messenger service)) о поступлении административного сообщения.
Слайд 43

Сетевые службы Сервер папки обмена (ClipBook) – позволяет программе просмотра страниц

Сетевые службы

Сервер папки обмена (ClipBook) – позволяет программе просмотра страниц папок обмена

создавать страницы данных и предоставлять к ним общий доступ для просмотра с удаленных компьютеров. Эта служба зависит от Службы сетевого DDE (Network Dynamic Data Exchange, NetDDE) – динамического обмена данными по сети, с помощью которой создаются общие файлы, к которым могут подключиться другие компьютеры, в то время как служба и приложение сервера папки обмена позволяют пользователям предоставлять страницы данных для общего доступа.
Слайд 44

Сетевые службы Обозреватель компьютеров (Computer Browser) – отвечает за актуальность списка

Сетевые службы

Обозреватель компьютеров (Computer Browser) – отвечает за актуальность списка компьютеров Вашей

сети и поставляет этот список программам, которые его запрашивают. Эта служба используется Windows-системами для просмотра доменов и ресурсов сети. Компьютеры, определенные как обозреватели, создают списки обзора, в которых отображаются все общие ресурсы сети. Ранние версии Windows-приложений, таких как Мое сетевое окружение (My Network Places), команда NET VIEW и Проводник Windows NT®, требуют возможности обзора сети. Например, при запуске компонента Мое сетевое окружение на компьютере под управлением Windows 95 отображается полный список доменов и компьютеров, который является копией списка обзора компьютера, выступающего в роли обозревателя.
Слайд 45

Сетевые службы DHCP-клиент (DHCP Client) – управляет конфигурацией сети, регистрируя и

Сетевые службы

DHCP-клиент (DHCP Client) – управляет конфигурацией сети, регистрируя и выдавая IP-адреса

и имена DNS. Вам не придется вручную менять настройки IP в тех случаях, когда клиент – например, перемещаемый пользователь, - входит в сеть с разных компьютеров. Клиент автоматически получит новый IP-адрес независимо от того, к какой подсети он подключается, пока DHCP-сервер доступен для каждой из этих подсетей.
Слайд 46

Сетевые службы DHCP-сервер (DHCP Server) – используя протокол DHCP, эта служба

Сетевые службы

DHCP-сервер (DHCP Server) – используя протокол DHCP, эта служба распределяет IP-адреса

и позволяет DHCP-клиентам автоматически получать параметры сетевых настроек, такие как DNS- и WINS-серверы и т.д. Если эта служба отключена, DHCP-клиенты не смогут автоматически получить IP-адреса или сетевые параметры
Слайд 47

Сетевые службы Служба IIS Admin (IIS Admin) – позволяет администрировать службы

Сетевые службы

Служба IIS Admin (IIS Admin) – позволяет администрировать службы Internet Information

Services (IIS). Если эта служба не запущена, Вы не сможете запустить службы Web, FTP, NNTP и SMTP или настроить IIS. 
Служба индексирования (Indexing Service) – индексирует содержимое и свойства файлов на локальном и удаленном компьютерах и обеспечивает быстрый доступ к файлам посредством гибкого языка запросов. Также включает в себя быстрый поиск документов на локальном или удаленных компьютерах и поиск индексируемого содержимого интернета. Служба индексирования создает индексы всей текстовой информации в файлах и документах. После того как первоначальное построение индекса завершено, служба поддерживает индексы в актуальном состоянии, отслеживая создание, изменение или удаление файлов.
Слайд 48

Сетевые службы Служба проверки подлинности в Интернете (Internet Authentication Service, IAS)

Сетевые службы

Служба проверки подлинности в Интернете (Internet Authentication Service, IAS) – выполняет

централизованную проверку подлинности, авторизацию, аудит и учет пользователей, подключающихся к сети с использованием виртуальных частных сетей (Virtual Private Network, VPN), службы удаленного доступа (Remote Access Service, RAS) или беспроводных (802.1x Wireless) и Ethernet/Switch точек доступа. IAS включает поддержку протокола удаленной проверки подлинности пользователей RADIUS (Remote Authentication Dial-In User Service) стандарта IETF, который позволяет использовать разнородное оборудование сетевого доступа. Если эта служба остановлена или отключена, запросы проверки подлинности будут переданы дополнительному IAS-серверу. Если ни один из дополнительных IAS-серверов недоступен, пользователи не смогут подключиться.
Слайд 49

Сетевые службы Служба сообщений (Messenger) – отправляет и принимает сообщения для

Сетевые службы

Служба сообщений (Messenger) – отправляет и принимает сообщения для пользователей и

компьютеров, а также сообщения, переданные администратором или службой Оповещатель (Alerter). При отключении Службы сообщений уведомления не могут быть отправлены или получены компьютером или пользователем, работающим в данный момент в системе; команды NET SEND и NET NAME перестают функционировать.
Слайд 50

Сетевые службы Сетевой вход в систему (Net Logon) – поддерживает сквозную

Сетевые службы

Сетевой вход в систему (Net Logon) – поддерживает сквозную идентификацию событий

входа учетной записи для компьютеров в домене. Эта служба запускается автоматически, если компьютер является членом домена. Она используется для поддержки безопасного канала к контроллеру домена, необходимого компьютеру для идентификации пользователей и запускаемых на компьютере служб. На контроллере домена эта служба производит регистрацию DNS-имен компьютеров, определенных локатором обнаружения контроллера домена, а также разрешает сквозную идентификацию с другого контроллера домена с запущенной службой Сетевого входа в систему, которая перенаправляет идентификацию на контроллер домена, предназначенный для проверки учетных данных. Если эта служба отключена, компьютер не будет правильно работать в домене. Прежде всего он может отвергать запросы проверки подлинности NTLM, а в случае контроллера домена – он не будет обнаруживаться клиентскими компьютерами.
Слайд 51

Сетевые службы Сервер (Server) – обеспечивает поддержку RPC (Удаленный вызов процедур

Сетевые службы

Сервер (Server) – обеспечивает поддержку RPC (Удаленный вызов процедур (Remote Procedure

Call, RPC) и общий доступ к файлам, принтерам и именованным каналам. Служба сервера разрешает общий доступ к Вашим локальным ресурсам (таким как диски и принтеры), для других пользователей в сети. Она также разрешает связь по именованным каналам между приложениями, запущенными на других компьютерах, и Вашим компьютером (используется для RPC).
Результатами отключения данной службы являются:
•Невозможность предоставлять общий доступ к файлам и принтерам на Вашем компьютере для других компьютеров в сети••Невозможность обслуживания Вашим компьютером запросов RPC••Невозможность связи по именованным каналам между компьютерами•
Слайд 52

Сетевые службы Служба workstation позволяет организовать доступ компьютеров к информации и

Сетевые службы

Служба workstation позволяет организовать доступ компьютеров к информации и данным,

расположенным на других компьютерах сети
Слайд 53

Сетевые службы Диспетчер очереди печати (Print Spooler) – ставит в очередь

Сетевые службы

Диспетчер очереди печати (Print Spooler) – ставит в очередь задания на

печать и управляет ими локально и удаленно. Диспетчер очереди печати – основа подсистемы печати Windows, он контролирует все задания на печать. Данная служба управляет очередью печати в системе и взаимодействует с драйверами печатных устройств и компонентами ввода-вывода – такими как USB-порты, TCP/IP и т.д. При ее отключении Вы не сможете отправить задания на печать.
Слайд 54

Запуск и остановка служб Для запуск и остановки служб в Windows

Запуск и остановка служб

Для запуск и остановки служб в Windows используются

команды:
net start <служба>
net stop <служба>
net pause <служба>
net continue <служба>
Слайд 55

Сетевые службы Служба Workstation позволяет организовать доступ компьютеров к информации и

Сетевые службы

Служба Workstation позволяет организовать доступ компьютеров к информации и данным,

расположенным на других компьютерах сети.
Возможности службы workstation могут быть настроены с помощью команды net config workstation
net config workstation /charwait: - задает время, которое должно пройти прежде, чем будет превышен лимит времени для устройства и оно не будет больше признаваться сетью.
Слайд 56

Сетевые службы Служба Server другим системам, подключенным к сети, получать доступ

Сетевые службы

Служба Server другим системам, подключенным к сети, получать доступ к

данным компьютера. Серверные платформы запускают данную службу автоматически, для операционных систем Windows 2000/XP Professional служба запускается, если установлена служба File and Printer Sharing.
Конфигурирование службы выполняется с помощью команды net config server:
Net config server /autodisconnect: - задает количество времени, в течение которого соединение может не использоваться, прежде чем прекратить текущий сеанс (по умолчанию 15 мин)
Net config server /hidden:yes|no – удаляет имя системы из списка сервера
Net config server /srvcomment:”text” – выводит текстовое сообщение или описание с именем компьютера
Слайд 57

Мониторинг служб Для мониторинга служб Workstation и Server используются команды: Net

Мониторинг служб

Для мониторинга служб Workstation и Server используются команды:
Net statistics workstation

– выводит статистику соединений, работы в сети и сеансов для службы со времени ее последнего запуска
Net statistics server – выводит статистику сеансов, нарушения безопасности и информацию о доступе к устройствам сервера со времени ее последнего запуска
Net session – используется для определения соединений с текущим сервером, а также управления соединениями
Net session – отображает все текущие подключения к серверу
Net session \\<компьютер> /delete – завершает подключения между сервером и указанным компьютером
Net file – показывает список открытых файлов на сервере. Для принудительного закрытия файла используется команда
Net file \close
Слайд 58

Управление службами Для управления службами можно использовать GUI интерфейс.

Управление службами

Для управления службами можно использовать GUI интерфейс.

Слайд 59

Администрирование ЛВС Управление сетями — это прежде всего мониторинг, контроль и

Администрирование ЛВС

Управление сетями — это прежде всего мониторинг, контроль и их

оптимизация по функционированию. Это формирует следующие задачи:
Слайд 60

Администрирование ЛВС • поиск неисправностей в сетях, шлюзах и важных серверах;

Администрирование ЛВС

• поиск неисправностей в сетях, шлюзах и важных серверах;

разработка схем уведомления администратора о наличии проблем;
• общий мониторинг сети в целях распределения нагрузки в ней и планирования ее дальнейшего расширения;
• документирование и визуализация работы сети;
• управление сетевыми устройствами с центральной станции
Слайд 61

Администрирование ЛВС По мере роста сети процедуры управления должны становиться более

Администрирование ЛВС

По мере роста сети процедуры управления должны становиться более систематизированными.


В сети, где несколько подсетей объединяются посредством мостов или маршрутизаторов, решение управленческих задач можно автоматизировать с помощью командных сценариев и простейших программ.
Если в организации задействованы протоколы глобальных сетей или сложные ЛВС, то рассмотрите вопрос приобретения выделенных станций управления сетью со специальным программным обеспечением.
Слайд 62

Понятие сети Сеть (network) – группа компьютеров, принтеров, маршрутизаторов, сетевых устройств,

Понятие сети

Сеть (network) – группа компьютеров, принтеров, маршрутизаторов, сетевых устройств, которые

обмениваются информацией через некоторую среду передачи данных.
Локальные сети (Local Area Networks) – позволяют объединить информационные ресурсы предприятия (файлы, принтеры, БД) для повышения эффективности применения вычислительной техники.
Городские сети (Metropolitan Area Networks) – позволяют организовать обмен данными между отдельными компьютерами и сетями отдельного региона, города.
Глобальные сети (Wide Area Networks) – позволяют обмениваться данными между отдельными сетями предприятий, удаленными на значительные расстояния.
Слайд 63

Организация сети Организацией сети называется обеспечение взаимодействия между рабочими станциями, периферийным

Организация сети

Организацией сети называется обеспечение взаимодействия между рабочими станциями, периферийным оборудованием

и другими устройствами.
Важной задачей является согласование различных типов компьютеров (Macintosh, IBM-совместимые, мэйнфреймы).
Для обеспечения совместимости обмена данными используются сетевые протоколы – формальное описание набора правил о том, как устройства выполняют обмен информацией.
Слайд 64

Преимущества сетевых технологий Первые вычислительные системы представляли собой автономные системы. Для

Преимущества сетевых технологий

Первые вычислительные системы представляли собой автономные системы.
Для повышения

эффективности использования компьютерных систем используется их объединение в вычислительную сеть.
Такой подход позволяет:
Устранить дублирование оборудование и ресурсов;
Обеспечить эффективный обмен данными между устройствами;
Обеспечить разделение процессов хранения и обработки информации.
Слайд 65

Локальные сети Локальные сети служат для объединения рабочих станций, периферийных устройств,

Локальные сети

Локальные сети служат для объединения рабочих станций, периферийных устройств, терминалов

и других устройств.
Характерные особенности локальной сети:
Ограниченные географические пределы;
Обеспечение пользователям доступа к среде с высокой пропускной способностью;
Постоянное подключение к локальным сервисам;
Физическое соединение рядом стоящих устройств.
Слайд 66

Глобальные сети Глобальные сети служат для объединения локальных сетей и обеспечивают

Глобальные сети

Глобальные сети служат для объединения локальных сетей и обеспечивают связь

между компьютерами, находящимися в локальных сетях.
Глобальные сети охватывают значительные географические пространства и обеспечивают возможность связать устройства на большом удалении друг от друга.
Слайд 67

Сетевые стандарты Для решения проблемы совместимости различных систем Международная организация по

Сетевые стандарты

Для решения проблемы совместимости различных систем Международная организация по стандартизации

(International Organization for Standardization, ISO) в 1984 году выпустила эталонную модель взаимодействия открытых систем (OSI).
Эталонная модель OSI является основной архитектурной моделью взаимодействия между компьютерами.
Слайд 68

Модель взаимодействия открытых систем (OSI) Эталонная модель OSI – концептуальная схема

Модель взаимодействия открытых систем (OSI)

Эталонная модель OSI – концептуальная схема сети,

определяющая сетевые функции, реализуемые на каждом уровне.
Эталонная модель OSI делит задачу перемещения информации между компьютерами через сетевую среду на семь подзадач.
Разделение на уровни называется иерархическим представлением.
Слайд 69

Семь уровней эталонной модели OSI

Семь уровней эталонной модели OSI

Слайд 70

Модель OSI Нижние уровни (с 1 по 3) модели OSI управляют

Модель OSI

Нижние уровни (с 1 по 3) модели OSI управляют физической

доставкой сообщений и их называют уровнями среды передачи данных (media layers).
Верхние уровни (с 4 по 7) модели OSI призваны обеспечить точную доставку данных между компьютерами в сети и их называют уровнями хост-машины (host layers).
Модель OSI не является схемой реализации сети, она только определяет функции каждого уровня.
Слайд 71

Цель разработки эталонной модели Деление функциональных задач сети на семь уровней

Цель разработки эталонной модели

Деление функциональных задач сети на семь уровней в

рамках модели OSI обеспечивает следующие преимущества:
Делит аспекты межсетевого взаимодействия на ряд менее сложных элементов;
Определяет стандартные интерфейсы для автоматического интегрирования в систему новых устройств и обеспечения совместимости сетевых продуктов разных поставщиков;
Позволяет закладывать в различные модульные функции межсетевого взаимодействия симметрию;
Изменения в одной области не требует изменений в других областях;
Делит сложную межсетевую структуру на дискретные, более простые для изучения подмножества операций.
Слайд 72

Семь уровней эталонной модели OSI Уровень 7 (уровень приложений) Уровень приложений

Семь уровней эталонной модели OSI

Уровень 7 (уровень приложений)
Уровень приложений – самый

близкий к пользователю уровень модели OSI. Данный уровень не предоставляет услуги другим уровням, а только обслуживает прикладные процессы вне пределов модели OSI.
Уровень приложений идентифицирует и устанавливает доступность синхронизирует совместно работающие прикладные программы, а также устанавливает договоренности о процедурах восстановления после ошибок и контроля целостности данных.
Слайд 73

Семь уровней эталонной модели OSI Уровень 6 (уровень представлений) Уровень представлений

Семь уровней эталонной модели OSI

Уровень 6 (уровень представлений)
Уровень представлений отвечает за

то, чтобы информация, посылаемая из уровня приложений одной системы, была читаемой для уровня приложений другой системы.
При необходимости уровень представлений преобразовывает форматы данных путем использования общего формата представления информации.
Слайд 74

Семь уровней эталонной модели OSI Уровень 5 (сеансовый) Сеансовый уровень устанавливает,

Семь уровней эталонной модели OSI

Уровень 5 (сеансовый)
Сеансовый уровень устанавливает, управляет и

завершает сеансы взаимодействия приложений.
Сеансы включают диалог между двумя или более объектами представления. Сеансовый уровень синхронизирует диалог между объектами уровня представлений и управляет обменом информации между ними.
Сеансовый уровень обеспечивает класс услуг и средства формирования отчетов для формирования отчетов об особых ситуациях.
Слайд 75

Семь уровней эталонной модели OSI Уровень 4 (транспортный) Транспортный уровень сегментирует

Семь уровней эталонной модели OSI

Уровень 4 (транспортный)
Транспортный уровень сегментирует и повторно

собирает данные в один поток.
Транспортный уровень обеспечивает транспортировку данных, изолируя верхние уровни от деталей ее реализации.
Транспортный уровень обеспечивает механизмы для установки, поддержания и упорядоченного завершения действий виртуальных каналов, обнаружения и устранения неисправностей транспортировки, а также управления информационным потоком.
Слайд 76

Семь уровней эталонной модели OSI Уровень 3 (сетевой) Сетевой уровень –

Семь уровней эталонной модели OSI

Уровень 3 (сетевой)
Сетевой уровень – комплексный уровень,

обеспечивающий соединение и выбор маршрута между конечными системами, которые могут располагаться географически в разных сетях.
Уровень 2 (канальный)
Канальный уровень обеспечивает надежный транзит данных через физический канал.
Канальный уровень решает вопросы физической адресации, топологии сети, уведомления об ошибках, упорядоченной доставки кадров, а также управления потоком данных.
Слайд 77

Семь уровней эталонной модели OSI Уровень 1 (физический) Физический уровень определяет

Семь уровней эталонной модели OSI

Уровень 1 (физический)
Физический уровень определяет электротехнические, механические,

процедурные и функциональные характеристики активизации, поддержания и деактивизации физического канала между конечными системами.
Спецификации физического уровня определяют такие характеристики, как уровни напряжений, временные параметры изменения напряжений, скорости физической передачи данных и т.п.
Слайд 78

Одноранговая модель взаимодействия Многоуровневая модель OSI исключает прямую связь между равными

Одноранговая модель взаимодействия

Многоуровневая модель OSI исключает прямую связь между равными по

положению уровнями в разных компьютерных системах.
Каждый уровень решает свои задачи. Для выполнения своих задач, он должен общаться с соответствующим уровнем в другой системе.
Обмен сообщениями (блоками данных протокола – protocol data units, PDU) осуществляется с помощью протокола соответствующего уровня.
Обмен данными достигается за счет использования услуг уровней, лежащих на более низких уровнях.
Слайд 79

Тема 4. Администрирование дисковых ресурсов. Файловые системы Windows 2003 Server. Администрирование

Тема 4. Администрирование дисковых ресурсов. Файловые системы Windows 2003 Server.

Администрирование

баз данных.
Администрирование операционных систем.
Администрирование локальных вычислительных сетей.
Администрирование почтовых и Internet серверов.
Слайд 80

Администрирование баз данных. Администрирование базой данных – это её инсталляция (установка),

Администрирование баз данных.

Администрирование базой данных – это её инсталляция (установка), управление

доступом к ней, обеспечение целостности базы данных и др.
Выделяют три основные категории пользователей баз данных (пользователей ИС): разработчики, администраторы баз данных и собственно пользователи.
Слайд 81

Администрирование данных 1.Организация администрирования БД. Администраторы и пользователи БД, их задачи,

Администрирование данных

1.Организация администрирования БД. Администраторы и пользователи БД, их задачи,

права и обязанности. 2. Методы администрирования. Конфигурирование БД. Методы планирования работ. Создание групп пользователей БД и распределение пользователей по группам в соответствии с их категориями. 3. Управление конфигурацией. Идентификация и контроль конфигураций. Аудит и тестирование БД. 4. Сетевое и системное администрирование. 5. Аппаратно-программные платформы администрирования. Выбор технической платформы и ОС. Распределение дискового пространства. Инсталяция БД. Совсместимость, расширяемость и масштабируемость. 6. Управление и обслуживание технических средств. Эксплуатация и сопровождение БД. 7. Резервное копирование и восстановление данных. Журнализация. Регистрация событий и сбоев, контроль условий функционирования оборудования. 8. Управление безопасностью.
Слайд 82

Администрирование данных В обязанности разработчика входит: • проектирование и разработка базы

Администрирование данных

В обязанности разработчика входит: • проектирование и разработка базы данных;

• проектирование структуры базы данных в соответствии с установленными требованиями; • оценка требований необходимой памяти; • формулирование модификаций структуры базы данных; • передача этой информации администратору базы данных (инструкция администратору), а также создание иных инструктивных документов (инструкции оператору, пользователю и т.п.); • установка мер по защите базы данных в процессе её разработки и эксплуатации и др.
Слайд 83

Администрирование данных В обязанности администратора могут входить: • инсталляция БД и

Администрирование данных

В обязанности администратора могут входить: • инсталляция БД и обновление

версий СУБД; • распределение дисковой памяти и планирование требований системы к памяти; • создание структур памяти в базе данных (табличных пространств); • создание первичных объектов (таблиц, индексов); • модификация структуры базы данных; • отслеживание и оптимизация производительности базы данных; • соблюдение лицензионных соглашений; • зачисление пользователей и поддержание защиты системы; • управление и отслеживание доступа пользователей к базе данных; • планирование резервного копирования и восстановления; • поддержание архивных данных на устройствах хранения информации; • осуществление резервного копирования и восстановления.
Слайд 84

Администрирование данных Очень велик объем служебной информации: описание схем баз данных,

Администрирование данных

Очень велик объем служебной информации: описание схем баз данных, индексы,

временные таблицы, пространство для сортировки, файлы журнала, архивы и др.
Для такой информации требуется объем, превосходящий объем собственно данных.
Файлы журналов транзакций, архивов целесообразно размещать на других физических дисках.

планирование требований системы к памяти

Слайд 85

Администрирование данных Рациональный способ – обеспечение основных задач обработки данных одним

Администрирование данных

Рациональный способ – обеспечение основных задач обработки данных одним или

несколькими дисками.
Один диск – ОС, второй диск – данные, третий – журнал транзакций, четвертый – индексы.

Распределение дисковой памяти

Слайд 86

Администрирование данных С целью обеспечения достоверности и постоянной работоспособности БД периодически

Администрирование данных

С целью обеспечения достоверности и постоянной работоспособности БД периодически вручную

или автоматически осуществляется копирование базы данных. Основными причинами, побуждающими выполнение процедур копирования, являются различные структурные изменения базы данных: • создание или удаление табличного пространства; • добавление или переименование (перемещение) файла данных в существующем табличном пространстве; • добавление, переименование (перемещение) или удаление журнала повторения и др.

Резервное копирование данных

Слайд 87

1. Непротиворечивое (холодное) резервное копирование, когда копии создаются, в случае закрытой

1. Непротиворечивое (холодное) резервное копирование, когда копии создаются, в случае закрытой

для пользователей БД (close). Копия базы данных, созданной в автономном режиме, содержит: все файлы данных, журналы повторов и управляющие файлы. После остановки БД, все файлы базы копируются на один из backup дисков. По окончании копирования осуществляется перезагрузка базы данных.
2. Резервное (горячее) копирование в оперативном режиме, к примеру, когда БД всё время находиться в оперативном режиме и доступна пользователям.

Резервное копирование данных

Слайд 88

Администрирование данных Добавление нового пользователя, предоставление ему прав доступа; Создание групп

Администрирование данных

Добавление нового пользователя, предоставление ему прав доступа;
Создание групп пользователей, ролей
Защита

баз данных
Безопасность Microsoft SQL Server

работа с пользователями

Слайд 89

Тема 5. Служба каталогов ActiveDirectory. Механизм групповой политики. Для управления пользователями

Тема 5. Служба каталогов ActiveDirectory. Механизм групповой политики.

Для управления пользователями

в MS Windows используется понятие учетной записи.
Учетная запись в Active Directory — объект, содержащий все сведения, позволяющие определить пользователя домена.
К таким сведениям относятся:
имя пользователя,
пароль
группы, членом которых является его учетная запись.
Учетные записи пользователей хранятся либо в Active Directory, либо на локальном компьютере.
На компьютерах с Windows XP Professional и рядовых серверах с Windows Server 2003 управление локальными учетными записями пользователей осуществляется с помощью компонента «Локальные пользователи и группы».
На контроллерах домена под управлением Windows Server 2003 для этого используется компонент «Active Directory — пользователи и компьютеры».
Слайд 90

Код безопасности Учетные записи пользователей и компьютеров (а также группы) называются

Код безопасности

Учетные записи пользователей и компьютеров (а также группы) называются участниками

безопасности. Участники безопасности являются объектами каталогов, которые автоматически назначают коды безопасности (SID) для доступа к ресурсам домена.
Код безопасности – структура данных переменной длины, определяющая учетные записи пользователей, групп и компьютеров. Код безопасности присваивается учетной записи при ее создании. Внутренние процессы Windows обращаются к учетным записям по их кодам безопасности, а не по именам пользователей или групп.
Слайд 91

Использование учетных записей Учетная запись пользователя или компьютера используется для следующих

Использование учетных записей

Учетная запись пользователя или компьютера используется для следующих целей:
Проверка

подлинности пользователя или компьютера. Учетная запись пользователя дает право войти в компьютеры и в домен с подлинностью, проверяемой доменом. Каждый входящий в сеть пользователь должен иметь собственную учетную запись и пароль. Для обеспечения максимальной безопасности следует запретить пользователям использовать одну и ту же учетную запись.
Разрешение или запрещение доступа к ресурсам домена. Как только проверка подлинности пользователя завершена, он получает или не получает доступ к ресурсам домена в соответствии с явными разрешениями, назначенными данному пользователю на ресурсе.
Администрирование других участников безопасности. Active Directory создает объект «Участник внешней безопасности» в локальном домене для представления каждого участника безопасности из внешнего доверенного домена.
Аудит действий, выполняемых с использованием учетной записи пользователя или компьютера.
Слайд 92

Управление пользователями Управление пользователями включает такие функции: Создание учетной записи для

Управление пользователями

Управление пользователями включает такие функции:
Создание учетной записи для пользователя;
Изменение пароля;
Отключение/включение

учетной записи;
Удаление учетной записи пользователя.
Для управления учетными записями в домене Windows 2003 можно использовать оснастку Active Directory — пользователи и компьютеры или команду dsadd user.
Слайд 93

Графический интерфейс управления пользователями

Графический интерфейс управления пользователями

Слайд 94

Командный интерфейс управления пользователями Добавление пользователя в домен Windows осуществляется командой

Командный интерфейс управления пользователями

Добавление пользователя в домен Windows осуществляется командой
dsadd

user
dsadd user "CN=Иван Петров, CN=Users, DC=UFO, DC=ROSNOU, DC=RU"
Опциями команды являются:
- pwd – устанавливает новый пароль пользователя;
- mail – устанавливает адрес электронной почты
- mustchpwd yes|no – определяет должен ли пользователь поменять пароль при следующем входе
- canchpwd yes|no – определяет может ли пользователь изменить пароль
- disabled yes|no – определяет может ли пользователь войти в домен
Слайд 95

Командный интерфейс управления пользователями Другие команды управления пользователями через командную строку:

Командный интерфейс управления пользователями

Другие команды управления пользователями через командную строку:
dsmod user

– внесение изменений в учетную запись пользователя
dsrm user – удаляет пользователя из Active Directory
dsmove user – перемещает учетную запись
dsquery user – запрашивает в Active Directory список пользователей по заданным критериям поиска
dsget user – показывает атрибуты заданного объекта
Слайд 96

Командный интерфейс управления пользователями Команды, позволяющие удаленно управлять пользователями через сеть,

Командный интерфейс управления пользователями

Команды, позволяющие удаленно управлять пользователями через сеть, являются:
net

user /domain – вывод списка пользователей домена
net user /add /domain – добавление пользователя в домен
net user /domain – изменение пароля пользователя
net user /delete /domain – удаление пользователя
net accounts – настройка свойств учетной записи (мин. длина пароля и т.д.)
Слайд 97

Управление группами Другая задача администрирования – управление группами. Управление группами включает

Управление группами

Другая задача администрирования – управление группами. Управление группами включает в

себя:
создание группы;
добавление пользователей в группу;
удаление группы.
В Active Directory определены следующие типы групп безопасности:
локальные группы;
глобальные группы;
универсальные группы.
Слайд 98

Группы безопасности Локальная группа – группа, права членства и доступа которой

Группы безопасности

Локальная группа – группа, права членства и доступа которой не

распространяются на другие домены.
Глобальная группа – определяет область действия как все деревья в лесе домена. Глобальная группа привязана к конкретному домену и в нее могут входить только объекты и другие группы, принадлежащие к данному домену.
Универсальная группа – определяет область действия все домены в рамках того леса, в котором они определены. Универсальная группа может включать в себя объекты, ассоциированные с учетными записями пользователей, компьютеров и групп, принадлежащих любому домену леса.
Слайд 99

Создание группа в Active Directory Для создания группы с помощью графического

Создание группа в Active Directory

Для создания группы с помощью графического интерфейса

используется оснастка Active Directory — пользователи и компьютеры. Необходимо открыть контейнер Users и создать новую группу.
В нижнем левом углу определяется область действия группы.
Группы распространения применяются только в электронной почте.
Группы безопасности используются как для управления доступом, так и в качестве списков рассылки.
Слайд 100

Командный интерфейс управления группами Для управления группами можно использовать и команды

Командный интерфейс управления группами

Для управления группами можно использовать и команды управления

объектами Active Directory:
dsadd group – добавляет группу
dsmod group – внесение изменений в учетную запись пользователя
dsrm – удаляет объект из Active Directory
dsquery group – запрашивает в Active Directory список групп по заданным критериям поиска
dsget group – показывает атрибуты заданного объекта
Другой вариант – применение команды net:
net group /add /domain
net group /delete /domain
net localgroup /add /domain
net localgroup /delete /domain
Слайд 101

Управление подразделениями Использование подразделений (организационных единиц – OU) представляет способ упрощения

Управление подразделениями

Использование подразделений (организационных единиц – OU) представляет способ упрощения задач

управления пользователями и компьютерами предприятия.
Управление подразделениями включает в себя задачи создания и удаления организационных единиц.
Для создания нового подразделения необходимо воспользоваться командой контекстного меню оснастка Active Directory — пользователи и компьютеры.
Для управления подразделением, как объектом службы каталогов Active Directory применяется условное обозначение OU, например:
dsadd ou ou=434,dc=ufo,dc=rosnou, dc=ru
Слайд 102

Управление учетными записями компьютера Учетная запись, хранящаяся в Active Directory и

Управление учетными записями компьютера

Учетная запись, хранящаяся в Active Directory и однозначно

определяющая компьютер в домене. Учетная запись компьютера соответствует имени компьютера в домене.
Для добавления, изменения учетной записи компьютера можно использовать, как графический интерфейс оснастки Active Directory — пользователи и компьютеры, так и командный интерфейс.
Например, команды:
net computer \\comp /add
net computer \\comp /delete
Компьютеры могут участвовать в группах безопасности.
Слайд 103

Внесение пактеных изменений Команды службы каталогов полезны при работе с несколькими

Внесение пактеных изменений

Команды службы каталогов полезны при работе с несколькими пользователями,

компьютерами или подразделениями.
Для повышения эффективности работы с сотнями объектов Active Directory можно использовать команды пакетных изменений:
csvde – Импорт и экспорт данных из Active Directory с помощью файлов, хранящих данные в формате CSV (comma-separated value). Кроме того, возможна поддержка пакетных операций на основе файлового стандарта CSV.
ldifde – Служебный инструмент, позволяющий производить пакетные изменения. Создает, изменяет и удаляет объекты папок на компьютерах с операционной системой Windows Server 2003 или Windows XP Professional. Пользователь может также использовать Ldifde для расширения схемы, экспорта сведений Active Directory о пользователе и группе в другие приложения или службы и для заполнения Active Directory данными из других служб каталогов.
Слайд 104

Безопасность в Active Directory Спецификации каталогов X.500 были определены в одели

Безопасность в Active Directory

Спецификации каталогов X.500 были определены в одели OSI

в 1988 г. Протокол службы каталогов является основным коммуникационным протоколом, использующимся для организации запросов к каталогу X.500.
Lightweight Directory Access Protocol (LDAP) – основной протокол, используемый для доступа к Active Directory.
Для того, чтобы X.500-клиент мог организовать запрос к каталогу, необходимо установить сеанс связи с сервером каталога. Для установления связи необходимо пройти операцию связывания, требующую аутентификации.
Слайд 105

Защита Active Directory Для обеспечения безопасности хранимой информации в Active Directory

Защита Active Directory

Для обеспечения безопасности хранимой информации в Active Directory необходимо

решить вопросы:
Каким образом разрешается доступ для зарегистрированных пользователей?
Каким образом запрещается доступ к конфиденциальным данным для незарегистрированных пользователей?
Каким образом разделяется доступ к информационным объектам для различных пользователей?
Слайд 106

Методы обеспечения безопасности Аутентификация – проверка подлинности пользователя, входящего в сеть

Методы обеспечения безопасности

Аутентификация – проверка подлинности пользователя, входящего в сеть Windows,


Доступ к объектам – для управления доступом к объектам каталога используются списки контроля доступа (ACL).
Групповые политики – Active Directory позволяет использовать политики, которые разрешают и запрещают доступ к ресурсам и участкам сети.
Слайд 107

Списки контроля доступа Список средств защиты, которые применяются для всего объекта,

Списки контроля доступа

Список средств защиты, которые применяются для всего объекта, набора

его свойств или для его отдельного свойства. Существует два типа таблиц управления доступом:
избирательные (DACL) – часть дескриптора безопасности объекта, предоставляющая или запрещающая доступ к объекту для конкретных пользователей или групп. Изменять разрешения управления в избирательной таблице доступом может только владелец объекта;
системные (SACL) – часть дескриптора безопасности объекта, определяющая перечень проверяемых событий для пользователя или группы. Примерами таких событий являются: доступ к файлам, вход в систему, выключение системы .
Слайд 108

Управление доступом Для управления доступом к объектам в Windows используется список

Управление доступом

Для управления доступом к объектам в Windows используется список контроля

доступа, для получения данного списка используется закладка Безопасность в контекстном меню объекта
Добавляя пользователей и задавая им разрешения в нижней части окна, определяются права доступа пользователя или группы к выбранному объекту.
В качестве объектов могут выступать файлы, папки, разделы реестра Windows и другие объекты.
Для файлов и папок необходимо, чтобы данный раздел был отформатирован в виде файловой системы NTFS.
Слайд 109

Групповые политики Инфраструктура в рамках службы каталогов Active Directory, обеспечивающая изменение

Групповые политики

Инфраструктура в рамках службы каталогов Active Directory, обеспечивающая изменение и

настройку параметров пользователей и компьютеров, включая безопасность и данные пользователя, на основе каталогов.
Групповая политика используется для определения конфигураций для групп пользователей и компьютеров. С помощью групповой политики можно задавать параметры политик на основе реестра, безопасности, установки программного обеспечения, сценариев, перенаправления папки, служб удаленного доступа и Internet Explorer.
Параметры созданной пользователем групповой политики содержатся в объекте групповой политики (GPO). Связав GPO с выбранными контейнерами Active Directory; сайтами, доменами и подразделениями; можно применить параметры политики этого GPO к пользователям и компьютерам в соответствующих контейнерах Active Directory.
Для создания GPO используется редактор объектов групповой политики. Для управления объектами групповой политики на предприятии можно использовать консоль управления групповой политикой (GPMC).
Слайд 110

Анализ и настройка безопасности Оснастка «Анализ и настройка безопасности» используется для

Анализ и настройка безопасности

Оснастка «Анализ и настройка безопасности» используется для анализа

и настройки безопасности локального компьютера.
Слайд 111

Шаблоны безопасности Шаблоны безопасности (Security Templates) – файл, содержащий параметры безопасности.

Шаблоны безопасности

Шаблоны безопасности (Security Templates) – файл, содержащий параметры безопасности. Шаблоны

безопасности могут быть применены на локальном компьютере, импортированы в объект групповой политики или использованы для анализа безопасности.
Для управления шаблонами используется изолированная оснастка mmc, позволяющая создавать текстовые файла шаблонов, которые содержат параметры настройки безопасности.
Конфигурации безопасности может быть применена к локальному компьютеру или импортирована в объект групповой политики (GPO) Active Directory.
При импорте шаблона безопасности в GPO групповая политика обрабатывает шаблон и соответствующим образом изменяет члены GPO, которыми могут являться пользователи или компьютеры.
Слайд 112

Примеры шаблонов безопасности В Windows 2003 существует несколько готовых шаблонов безопасности:

Примеры шаблонов безопасности

В Windows 2003 существует несколько готовых шаблонов безопасности:
Setup security

и DC security – шаблоны по умолчанию для рядового сервера и контроллера домена
Compatws – используется, чтобы устранить необходимость вхождения пользователей в группу «Опытные пользователи»
Securews повышает безопасность путем удаления всех членов группы «Опытные пользователи» на компьютерах работающих под управлением Windows 2000 и XP.
Hisecws и HisecDC используется для работы в однородном домене Windows 2000, 2003.
Готовые шаблоны безопасности представляют собой отправную точку в создании политик безопасности, которые настраиваются, чтобы удовлетворять организационным требованиям.
По умолчанию готовые шаблоны безопасности сохранены в расположении:
системный_корневой_каталог\Security\Templates
Слайд 113

Стандартные шаблоны безопасности Безопасность по умолчанию (Setup security.inf) Шаблон Setup security.inf

Стандартные шаблоны безопасности

Безопасность по умолчанию (Setup security.inf)
Шаблон Setup security.inf создается

во время установки для каждого компьютера. Шаблон может различаться на разных компьютерах, в зависимости от того, производилась ли новая установка или обновление.
Шаблон Setup security.inf содержит параметры безопасности, используемые по умолчанию, которые применяются во время установки операционной системы, включая разрешения для файлов корневого каталога системного диска. Он может быть использован на компьютерах-серверах и компьютерах-клиентах, но не на контроллерах домена. Части этого шаблона могут быть использованы для восстановления системы после сбоя.
Шаблон Setup security.inf нельзя применять при помощи оснастки «Групповая политика». Данный шаблон имеет большой объем, при его применении с помощью оснастки «Групповая политика» возможно серьезное снижение производительности в связи с периодическим обновлением политики и перемещением значительного объема данных в домене.
Шаблон рекомендуется применять по частям. Рекомендуется использование средства командной строки Secedit, дающего такую возможность.
Слайд 114

Стандартные шаблоны безопасности Безопасность по умолчанию для контроллеров домена (DC security.inf)

Стандартные шаблоны безопасности

Безопасность по умолчанию для контроллеров домена (DC security.inf)
Данный

шаблон создается при назначении сервера контроллером домена. Он отражает настройки безопасности, используемые по умолчанию для файлов, реестра и системных служб.
Применение этого шаблона приводит к установке значений по умолчанию в данных областях, но может перезаписать разрешения для новых файлов, ключей реестра и системных служб, созданных другими приложениями.
Шаблон может быть применен с помощью оснастки «Анализ и настройка безопасности» или средства командной строки Secedit.
Слайд 115

Стандартные шаблоны безопасности Совместимый (Compatws.inf) Разрешения по умолчанию для рабочих станций

Стандартные шаблоны безопасности

Совместимый (Compatws.inf)
Разрешения по умолчанию для рабочих станций и

серверов сначала создаются для их локальных групп: «Администраторы», «Опытные пользователи» и «Пользователи». Члены группы «Администраторы» обладают наибольшими правами, тогда как члены группы «Пользователи» — наименьшими, можно значительно повысить безопасность, надежность и снизить общую стоимость владения системой, если придерживаться следующих правил:
убедиться, что конечные пользователи являются членами группы «Пользователи»;
внедрить приложения, которые могут успешно запускаться и выполняться членами группы «Пользователи».
Лица, обладающие правами группы «Пользователи» могут работать с сертифицированными приложениями
Члены группы «Опытные пользователи» обладают наследуемыми возможностями, такими как создание пользователей, групп, принтеров и общих ресурсов, некоторые администраторы предпочитают предоставить дополнительные разрешения группе «Пользователи», вместо зачисления конечных пользователей в группу «Опытные пользователи». Для этих целей служит «Совместимый» шаблон.
При помощи шаблона «Совместимый» можно изменить разрешения для файлов и реестра, используемые по умолчанию для группы «Пользователи», и соответствующие требованиям большинства приложений, не входящих в число сертифицированных.
Слайд 116

Стандартные шаблоны безопасности Защита (Secure*.inf) В шаблоне «Защита» определяются параметры повышенной

Стандартные шаблоны безопасности

Защита (Secure*.inf)
В шаблоне «Защита» определяются параметры повышенной безопасности.

Наименее вероятно, что они оказывают влияние на совместимость. Например, в шаблоне «Защита» определяются параметры надежных паролей, блокировки и аудита.
Помимо этого, шаблоном «Защита» ограничивается использование LAN Manager и протоколов проверки подлинности NTLM путем настройки клиентов на отправку ответов в формате NTLMv2, а также настройки серверов на откз от ответов в этом формате.
Шаблоны безопасности также определяют дополнительные ограничения для анонимных пользователей. Анонимные пользователи (такие как пользователи доменов, с которыми не установлены доверительные отношения) не могут выполнять следующие действия.
Ввод имен учетных записей и общих ресурсов.
Выполнение перевода SID-имя или имя-SID.
Шаблоны безопасности включают подпись пакетов SMB на сервере, которая по умолчанию отключена для серверов. Поскольку подпись пакетов SMB на стороне клиента включена по умолчанию, она выполняется, если рабочие станции и серверы работают на безопасном уровне.
Слайд 117

Графический интерфейс работы с шаблонами безопасности

Графический интерфейс работы с шаблонами безопасности

Слайд 118

Анализ и настройка безопасности Для тестирования шаблонов безопасности в Windows может

Анализ и настройка безопасности

Для тестирования шаблонов безопасности в Windows может быть

использован графический интерфейс оснасти «Анализ и настройка безопасности».
При выполнении прогнозов безопасности данный инструмент анализирует параметры настройки безопасности на локальном компьютере и сравнивает ее с тем шаблоном, что вы собираетесь применить. Данная операция производится путем импорта шаблона (.inf-файла) в файл базы данных(.sdb-файл).
Командный интерфейс для выполнения анализа шаблонов задается командой:
secedit
secedit /analyze
secedit /configure
secedit /export
secedit /import
secedit /validate
secedit /GenerateRollback
Слайд 119

Службы каталогов Основная цель объединения компьютеров в вычислительную сеть – обеспечение

Службы каталогов

Основная цель объединения компьютеров в вычислительную сеть – обеспечение совместного

использования ресурсов.
Одна из основных решаемых задач – реализация оптимального метода организации общих ресурсов.
В крупной организации речь идет о множестве ресурсов и множестве потребителей данных ресурсов. Для эффективного управления такими списками применяются разные методы. Один из методов – развертывание службы каталогов.
Служба каталогов – сетевая служба позволяющая пользователям получить доступ к ресурсу без знания точного месторасположения ресурса.
При использовании службы каталогов вся информация об объектах сети объединяется в каталог (directory).
Внутри каталога объекты организуются в соответствии с физической или логической структурой сети.
Слайд 120

Службы каталогов Службы каталогов решают следующие задачи: Управление сетевыми ресурсами. Служба

Службы каталогов

Службы каталогов решают следующие задачи:
Управление сетевыми ресурсами. Служба каталогов облегчает

пользователям поиск необходимых ресурсов, скрывая подробности реализации механизма поиска.
Управление пользователями. Каждый пользователь в сети идентифицируется набором реквизитов. Это позволяет осуществлять управление доступом к сетевым ресурсам.
Управление приложениями. В крупных вычислительных сетях возникает задача централизованного управления программным обеспечением, включая развертывание новых приложений и обновление существующих.
Обеспечение функционирования сети. Использование службы каталогов позволяет решить вопросы выделения IP-адресов, других параметров сети.
Сети Microsoft организуются с использованием службы каталогов Active Directory.
Слайд 121

Пространство имен X.500 и протокол LDAP Пространство имен (в соответствии со

Пространство имен X.500 и протокол LDAP

Пространство имен (в соответствии со стандартом

X.500) представляет собой иерархическую структуру имен, которая идентифицирует уникальный путь к контейнеру службы каталога.
Это пространство имен определяется в числовой (точечной) нотации или в строковой.
В строковой нотации пользовательский объект представляемый как:
cn=Dmitry, cn=Users, dc=Rosnou, dc=ru
Для удовлетворения требованию уникальности в пространстве имен X.500 в домене Rosnou.ru в контейнере Users может быть единственное имя Dmitry.
Слайд 122

Протокол LDAP Протокол LDAP (облегченный протокол службы каталогов) является протоколом доступа.

Протокол LDAP

Протокол LDAP (облегченный протокол службы каталогов) является протоколом доступа. В

данном протоколе для именования объектов используется система характерных имен (Distinguish Name), предоставляющая информацию обо всех узлах дерева каталогов.
Представление иерархии имен LDAP имеет вид:
LDAP: // cn=Dmitry, cn=Users, ou=faculty, dc=Rosnou, dc=ru
При записи характерного имени используются специальные ключевые слова:
DC – составная часть доменного имени;
OU – организационная единица;
CN – общее имя.
Имя, идентифицирующее сам объект, согласно терминологии LDAP, выступает в качестве относительного характерного имени. Относительное имя может быть не уникальным в рамках всего дерево, но должно быть уникальным в пределах контейнера.
Каноническое имя подобно характерному имени, за исключением того, что опускаются сокращения, обозначающие тип контейнера:
Rosnou.ru/faculty/Users/Dmitry
Слайд 123

Доменная модель службы каталогов В рамках каталога Active Directory одним из

Доменная модель службы каталогов

В рамках каталога Active Directory одним из основных

понятий является понятие домена – совокупность компьютеров, характеризующихся наличием общей базы учетных записей пользователей и единой политики безопасности.
Использование доменов позволяет разделить пространство имен на несколько фрагментов. Каждый объект может принадлежать только одному домену.
Цели создания доменов:
Разграничение административных полномочий.
Создание единой политики безопасности.
Разделение доменного контекста имен.
Центральным компонентом домена выступают серверы, хранящие фрагменты каталогов. Такие серверы называются контроллерами домена.
Слайд 124

Иерархия доменов Windows позволяет организовать разные типа иерархии доменов. Отношение между

Иерархия доменов

Windows позволяет организовать разные типа иерархии доменов.
Отношение между доменами по

схеме «родитель-потомок». Имя дочернего домена включает в себя имя родительского домена.
Отношения, включающие несколько связанных деревьев – лес доменов (forest).

rosnou.ru

office.rosnou.ru

stud.rosnou.ru

Дерево доменов

rosnou.ru

office.rosnou.ru

rnu.ua

kiev.rnu.ua

Лес доменов

Слайд 125

Доверительные отношения Для объединения объектов, хранящихся в разных доменов должны существовать

Доверительные отношения

Для объединения объектов, хранящихся в разных доменов должны существовать определенные

связи – доверительные отношения.
Механизм установленных доверительных отношений позволяет организовать процесс аутентификации объектов и субъектов системы.
Выделяют два типа доверительных отношений:
Односторонние доверительные отношения
Двусторонние доверительные отношения
Слайд 126

Контроллеры домена Контроллеры домена в доменах Windows отвечают за аутентификацию пользователей

Контроллеры домена

Контроллеры домена в доменах Windows отвечают за аутентификацию пользователей и

содержат фрагмент каталога.
Некоторые операции могут выполняться только одним контроллером. Эти операции называются операции с одним исполнителем (flexible single-master operations – FSMO).
Контроллеры доменов могут выполнять специализированные роли:
Роли, требующие уникальности в пределах всего леса доменов:
Исполнитель роли владельца доменных имен
Исполнитель роли владельца схемы
Роли, требующие уникальности в пределах домена:
Исполнитель роли владельца идентификаторов
Исполнитель роли эмулятора основного контроллера домена
Исполнитель роли владельца инфраструктуры каталога.
По умолчанию все данные роли возлагаются на первый контроллер домена, установленный в лесе.
Процесс принудительной передачи функций специализированной роли другому контроллеру называется захватом роли.
Слайд 127

Разделы каталога В рамках каталога Active Directory выделяется несколько крупных фрагментов

Разделы каталога

В рамках каталога Active Directory выделяется несколько крупных фрагментов каталога

– разделов каталога, представляющих законченные непрерывные поддеревья (контексты имен):
Доменный раздел каталога
Раздел схемы каталога
Раздел конфигурации
Разделы приложений
Раздел глобального каталога
Слайд 128

Раздел глобального каталога Глобальный каталог – специализированная база данных, содержащая фрагменты

Раздел глобального каталога

Глобальный каталог – специализированная база данных, содержащая фрагменты всех

доменных контекстов имен.
Для исключения чрезмерного разрастания базы данных в нее включены значения только наиболее часто используемых атрибутов.
Контроллер домена, выступающий в качестве носителя такой базы данных, называется сервером глобального каталога. Он выполняется следующие функции:
Предоставление пользователям возможности поиска объектов в лесу доменов по атрибутам
Разрешение основного имени пользователя
Предоставление информации о членстве пользователя в различных группах с универсальной областью действия.
В лесу доменов присутствует по крайней мере один сервер глобального каталога. По умолчанию это первый контроллер созданный в домене.
Слайд 129

Другие разделы Раздел конфигурации – используется для размещения сведений о структуре

Другие разделы

Раздел конфигурации – используется для размещения сведений о структуре системы:

список всех доменов и деревьев леса, перечень существующих контроллеров домена и серверов глобального каталога.
Доменный раздел – используется для размещения объектов, являющихся непосредственно частью домена. Здесь хранятся объекты, ассоциированные с пользователями, компьютерами, общими ресурсами. Данный раздел передается в рамках домена.
Разделы приложений – могут быть созданы для различных сетевых приложений. Разделы могут быть созданы администратором вручную или самими приложениями при помощи интерфейса программирования ADSI (Active Directory Service Interfaces). Создание таких разделов позволяет обращаться к приложениям используя общий подход доменных имен.
Слайд 130

Организационные единицы В структуре службы каталога можно использовать специальные объекты контейнерного

Организационные единицы

В структуре службы каталога можно использовать специальные объекты контейнерного типа,

позволяющие группировать объекты. Такими объектами являются организационные единицы, позволяющие объединять объекты в логическую структуру. Используются для упрощения управления входящими в них объектами.
Иерархия организационных единиц образуется только в пределах домена. Организационные единицы принадлежащие разным доменам леса не связаны друг сдругом.
Слайд 131

Управление службой Active Directory Для управления службой каталогов Active Directory используются

Управление службой Active Directory

Для управления службой каталогов Active Directory используются специальные

средства администрирования.

Утилиты администрирования службы каталогов:
. Active Directory – пользователи и компьютеры
Active Directory – домены и доверие
Active Directory – сайты и службы

Слайд 132

Управление службой Active Directory Оснастка «Active Directory — сайты и службы»

Управление службой Active Directory

Оснастка «Active Directory — сайты и службы» является

консолью управления Microsoft Management Console, которую можно использовать для администрирования репликации данных каталога.
Другими средствами управления Active Directory являются программы командной строки.
Программа Ntdsutil используется для обслуживания базы данных Active Directory, управления действиями одиночного хозяина операций и удаления метаданных, оставленных контроллерами домена, которые были удалены из сети без выполнения соответствующих операций
Слайд 133

Службы ИНТЕРНЕТ в Windows Server 2003 Информационные службы Интернета (IIS) вместе

Службы ИНТЕРНЕТ в Windows Server 2003

Информационные службы Интернета (IIS) вместе с

продуктами семейства Microsoft Windows Server 2003 обеспечивают комплексные, надежные, масштабируемые, безопасные и регулируемые возможности веб-сервера при работе с внутренними и внешними сетями, а также с Интернетом.
IIS является инструментом для создания мощных коммуникационных платформ динамических сетевых приложений.
Различные организации используют IIS для поддержки и управления веб-страниц в Интернете или во внутренней сети, для поддержки и управления FTP-узлами, для маршрутизации новостей и почты, которые используют протоколы NNTP и SMTP.

Тема 6. Администрирование информационных систем. Администрирование интранет-сервера IIS, корпоративный сайт и виртуальный каталог.

Слайд 134

Возможности служб IIS IIS 6.0 поддерживает последние веб-стандарты, такие как Microsoft

Возможности служб IIS

IIS 6.0 поддерживает последние веб-стандарты, такие как Microsoft ASP.NET,

XML и протокол SOAP, для разработки, реализации и управления веб-приложениями.
IIS 6.0 включает новые возможности для достижения высокой производительности, надежности, масштабируемости и безопасности большого числа веб-узлов на одном или нескольких серверах IIS.
Слайд 135

Повышенная надежность служб IIS 6.0 IIS 6.0 обладает повышенной надежностью по

Повышенная надежность служб IIS 6.0

IIS 6.0 обладает повышенной надежностью по сравнению

с предыдущими версиями благодаря новой архитектуре обработки запросов, которая обеспечивает изолированную среду для выполнения приложений.
Это позволяет отдельным веб-приложениям работать независимо друг от друга в виде независимых рабочих процессов.
Слайд 136

Режимы работы IIS 6.0 можно настроить либо для работы в режиме

Режимы работы

IIS 6.0 можно настроить либо для работы в режиме

изоляции рабочих процессов, в котором любой процесс запускается в изолированной среде, либо в режиме изоляции IIS 5.0, в котором можно запускать веб-приложения, несовместимые с режимом изоляции рабочих процессов.
В режиме изоляции рабочих процессов можно изолировать любой объект или процесс — от отдельного веб-приложения до нескольких узлов, обеспечив их работу в виде самостоятельного независимого рабочего процесса службы веб-публикации.
Это позволит исключить возможность сбоя в работе одного приложения или узла из-за сбоя другого. Изоляция приложений или узлов в отдельные процессы упрощает ряд задач по управлению.
Слайд 137

Группы приложений Режим изоляции рабочих процессов позволяет клиентам создавать несколько групп

Группы приложений

Режим изоляции рабочих процессов позволяет клиентам создавать несколько групп приложений,

где каждая группа приложений может иметь уникальную конфигурацию.
При этом повышается производительность и надежность, поскольку эти группы приложений получают ответы на запросы непосредственно из ядра, а не от службы Интернета.
Группа приложений может быть настроена в режиме изоляции рабочих процессов для обслуживания любых объектов — от одного веб-приложения до нескольких веб-приложений и узлов.
Назначение приложения группе приложений позволяет еще глубже изолировать приложения и выполняется так же просто, как назначение этому приложению группы в метабазе, к которой оно должно маршрутизироваться.
Узлы по умолчанию считаются обычным приложением, где корневое пространство имен "/" настраивается в качестве приложения.
Слайд 138

Обеспечение безопасности IIS 6.0 предоставляет набор средств и технологий обеспечения безопасности,

Обеспечение безопасности

IIS 6.0 предоставляет набор средств и технологий обеспечения безопасности, гарантирующих

согласованность содержимого веб- и FTP-узлов, а также передаваемых через эти узлы данных.
Функции обеспечения безопасности IIS решают следующие связанные с безопасностью задачи:
проверка подлинности клиента и сервера,
управление доступом,
шифрование потока данных,
использование цифровых сертификатов,
аудит.
Слайд 139

Проверка подлинности

Проверка подлинности

Слайд 140

Управление доступом Правильное управление доступом к содержимому веб- и FTP-узлов является

Управление доступом

Правильное управление доступом к содержимому веб- и FTP-узлов является основным

элементом организации защищенного веб-сервера.
Используя возможности Windows и системы безопасности IIS, можно эффективно управлять доступом пользователей к содержимому веб- и FTP-узлов. Управление доступом может быть организовано на нескольких уровнях, от всего веб- или FTP-узла до отдельных файлов.
Каждой учетной записи предоставляются права пользователя и разрешения.
Права пользователя являются правами на выполнение определенных действий на компьютере или в сети.
Разрешения представляют правила, связанные с объектом, таким как файл или папка, которые определяют, какие учетные записи могут получить доступ к объекту.
Слайд 141

Схема управление доступом Клиент запрашивает ресурс на сервере. IP-адрес клиента проверяется

Схема управление доступом

Клиент запрашивает ресурс на сервере.
IP-адрес клиента проверяется на

ограничения IP-адресов, заложенные в IIS. Если IP-адресу отказано в доступе, запрос отклоняется и пользователю возвращается сообщение «403 Доступ запрещен».
Сервер, если это задано в настройке, запрашивает у клиента информацию для проверки подлинности. Обозреватель либо приглашает пользователя указать имя и пароль, либо предоставляет эту информацию автоматически.
IIS проверяет допустимость учетной записи пользователя. Если учетная запись пользователя не является допустимой, запрос отклоняется и пользователю возвращается сообщение «401 Отказано в доступе».
IIS проверяет наличие у пользователя веб-разрешений для запрашиваемого ресурса. Если таких разрешений нет, запрос отклоняется и пользователю возвращается сообщение «403 Доступ запрещен».
Добавляются любые модули безопасности, такие как олицетворение Microsoft ASP.NET.
IIS проверяет для ресурса разрешения NTFS на статические файлы, ASP-страницы и CGI-файлы. Если у пользователя нет разрешений NTFS, запрос отклоняется и пользователю возвращается сообщение «401 Отказано в доступе».
Если у пользователя имеются разрешения NTFS, запрос выполняется.
Слайд 142

Шифрование Шифрованием называют преобразование элементов информации с помощью математической функции, после

Шифрование

Шифрованием называют преобразование элементов информации с помощью математической функции, после которого

восстановление исходной информации становится исключительно трудным для всех, кроме лица, которому адресована информация. Основой этого процесса является математическое значение, которое называют ключом, используемое функцией для однозначного сложного преобразования информации.
Веб-сервер использует для защиты связи с пользователями в значительной степени один и тот же процесс шифрования. После установления защищенной связи специальный ключ сеанса используется и веб-сервером, и веб-обозревателем пользователя как для шифрования, так и для расшифровки информации. Например, когда правомочный пользователь пытается загрузить файл с веб-узла, для которого требуется безопасный канал связи, веб-сервер использует ключ сеанса для шифрования файла и относящихся к нему заголовков HTTP. После получения зашифрованного файла веб-обозреватель использует копию того же ключа сеанса для восстановления файла.
Этот метод шифрования, несмотря на защиту, имеет существенный недостаток: при создании защищенного канала по незащищенной сети может передаваться копия ключа сеанса. Это означает, что компьютерному взломщику, желающему нарушить систему безопасности подключения, достаточно перехватить ключ сеанса. Для предотвращения таких ситуаций на веб-сервере применяется дополнительный способ шифрования.
Слайд 143

Шифрование с открытым ключом Средство безопасности веб-сервера, работающее по протоколу SSL,

Шифрование с открытым ключом

Средство безопасности веб-сервера, работающее по протоколу SSL, использует

метод шифрования, известный под именем шифрования с открытым ключом для защиты ключа сеанса от перехвата при передаче. Шифрование с открытым ключом, в котором используются два дополнительных ключа, закрытый и общий, выполняется следующим образом:
Веб-обозреватель пользователя устанавливает защищенную связь (https://) с веб-сервером.
Веб-обозреватель пользователя и сервер вступают в диалог, чтобы определить уровень шифрования, который должен использоваться для защиты подключений.
Веб-сервер отправляет обозревателю его открытый ключ.
Веб-обозреватель шифрует сведения, используемые при создании ключа сеанса, с помощью открытого ключа и отправляет их на сервер.
С помощью закрытого ключа сервер расшифровывает сообщение, создает ключ сеанса, шифрует его с помощью открытого ключа и отправляет обозревателю.
Ключ сеанса используется как сервером, так и веб-обозревателем для шифрования и расшифровывания передаваемых данных.
Слайд 144

Сертификаты Сертификаты содержат сведения, используемые для проверки подлинности пользователей сети. Как

Сертификаты

Сертификаты содержат сведения, используемые для проверки подлинности пользователей сети. Как и

обычные формы установления подлинности, сертификаты позволяют веб-серверам и пользователям проверить подлинность друг друга перед установлением соединения.
Сертификаты содержат также значения для шифрования, или ключи, которые используются для установления соединения по протоколу SSL между клиентом и сервером. При использовании соединения SSL такие данные, как номера банковских карт, передаются по сети в зашифрованном виде, поэтому не могут быть перехвачены и использованы неавторизованными лицами.
Существуют два типа сертификатов, используемых протоколом SLL, — серверные и клиентские сертификаты. Каждый из них имеет свой формат и назначение.
Серверные сертификаты содержат сведения о сервере, что позволяет клиенту однозначно идентифицировать сервер до передачи важной информации.
Клиентские сертификаты содержат личные данные клиентов, запрашивающих доступ к узлу, и позволяют идентифицировать пользователей перед предоставлением доступа к ресурсам узла.
Слайд 145

Аудит Для отслеживания действий пользователей и обнаружения попыток несанкционированного доступа к

Аудит

Для отслеживания действий пользователей и обнаружения попыток несанкционированного доступа к каталогам

и файлам в системе NTFS можно использовать средства аудита.
В журнал аудита могут быть записаны следующие события:
успешные и неуспешные попытки входа пользователей в систему;
попытки доступа пользователей к запрещенным учетным записям;
попытки выполнения пользователями запрещенных команд.
Слайд 146

Администрирование IIS Для удовлетворения потребностей различных групп пользователей IIS предоставляет широкий

Администрирование IIS

Для удовлетворения потребностей различных групп пользователей IIS предоставляет широкий спектр

средств управления и администрирования.
Администраторы могут настроить сервер, на котором работает IIS 6.0, с помощью:
Диспетчера IIS
Административных сценариев
Редактируя неформатированный файл конфигураций IIS
Удаленного доступа.
Слайд 147

Неформатированная метабаза Метабаза является хранилищем для большинства значений конфигурации IIS. Ее

Неформатированная метабаза

Метабаза является хранилищем для большинства значений конфигурации IIS. Ее модернизация

привела к значительному ускорению процессов запуска и завершения работы сервера, а также к увеличению общей производительности и удобства использования самой метабазы. Данная версия IIS включает в себя редактируемый вручную или программно неформатированный файл конфигураций метабазы .XML. Для хранения метабазы используются два неформатированных файла формата .XML:
файл MetaBase.xml содержит значения конфигурации IIS;
файл MBSchema.xml хранит схему метабазы XML и следит за правильностью ее настройки.
Поскольку оба файла являются неформатированными, то их можно прочитать только с помощью соответствующего редактора.
Слайд 148

Сценарии администрирования Администрирование из командной строки позволяет выполнять задачи управления более

Сценарии администрирования

Администрирование из командной строки позволяет выполнять задачи управления более эффективно.


IIS предоставляет сценарии для следующих задач:
создание, удаление, запуск, остановка и регистрация веб-узлов;
создание, удаление, запуск, остановка и регистрация FTP-узлов;
создание и удаление виртуальных веб-каталогов;
создание и удаление приложений;
экспорт и импорт конфигурации IIS;
создание резервных копий и восстановление конфигурации IIS.
Слайд 149

Создание веб-узлов Сценарий для командной строки iisweb.vbs, хранящийся в папке корневой_каталог_системы\system32,

Создание веб-узлов

Сценарий для командной строки iisweb.vbs, хранящийся в папке корневой_каталог_системы\system32, используется

для создания конфигураций веб-узлов на локальных и удаленных компьютерах под управлением операционной системы из семейства Windows Server 2003 с установленной службой версией IIS 6.0.
Команда не создает и не удаляет содержимое, она настраивает структуру каталога и некоторые файлы конфигурации IIS.
Синтаксис
iisweb /create путь имя_узла [/b порт] [/i IP-адрес] [/d заголовок_узла] [/dontstart] [/s компьютер [/u [домен\]пользователь/p пароль]]
Слайд 150

Удаление веб-узлов Синтаксис iisweb /delete веб_узел [веб_узел...] [/s компьютер [/u [домен\]пользователь/p

Удаление веб-узлов

Синтаксис
iisweb /delete веб_узел [веб_узел...] [/s компьютер [/u [домен\]пользователь/p пароль]]
Пример
В следующем примере удаляются

несколько конфигураций веб-узлов на удаленном компьютере.
Веб-узлы «Finance», «Work Group» и «Logo» расположены на сервере SRV01. В команде первые два узла определяются по имени, а веб-узел «Logo» — по пути к метабазе, «W3SVC/79116006». К тому же в команде используется параметр /s для ввода имени удаленного компьютера, а также параметры /u и /p для запуска команды с разрешениями пользовательской учетной записи «Администратор».
iisweb /delete Finance "Work Group" W3SVC/79116006 /s SRV01 /u Alice /p p@##word
Слайд 151

Запуск, приостановка и остановка веб-узлов Запуск веб-узла выполняется командой iisweb/start веб_узел

Запуск, приостановка и остановка веб-узлов

Запуск веб-узла выполняется командой
iisweb/start веб_узел [веб_узел...] [/s компьютер

[/u [домен\]пользователь/p пароль]]
Остановка веб-узла выполняется командой
iisweb/stop веб_узел [веб_узел...] [/s компьютер [/u [домен\]пользователь/p пароль]]
Приостановка веб-узла выполняется командой
iisweb/pause веб_узел [веб_узел...] [/s компьютер [/u [домен\]пользователь/p пароль]]
Слайд 152

Управление ftp-узлом Сценарий для командной строки iisftp.vbs, хранящийся в папке корневой_каталог_системы\system32,

Управление ftp-узлом

Сценарий для командной строки iisftp.vbs, хранящийся в папке корневой_каталог_системы\system32, используется

для создания конфигураций FTP-узлов (File Transfer Protocol) на локальных и удаленных компьютерах под управлением одной из операционных систем семейства Windows Server 2003 с установленной версией IIS 6.0.
Данная команда не создает и не удаляет содержимое, а производит настройку структуры каталога и файлов конфигурации IIS.
При использовании сценария iisftp.vbs для создания нового FTP-узла задаются только основные свойства, необходимые для создания узла и определения его содержимого.
Сценарий iisftp.vbs использует те же свойства по умолчанию, которые диспетчер IIS использует при создании новых FTP-узлов, и следует тем же правилам наследования свойств. Для настройки дополнительных свойств FTP-узла следует использовать диспетчер IIS.
Слайд 153

Создание, удаление, запуск и остановка ftp-узла Для создания, запуска, остановки и

Создание, удаление, запуск и остановка ftp-узла

Для создания, запуска, остановки и удаления

ftp-узла используются команды подобные командам управления веб-узлами:
Создание:
iisftp /create путь имя_узла [/b порт] [/i IP_адрес] [/dontstart] [/isolation {AD|локальный} [/domain имя_домена /Admin [домен\]пользователь /AdminPwdпароль]] [/s компьютер [/u [домен\]пользователь/p пароль]]
Запуск
iisftp/start FTP_узел [FTP_узел...] [/s компьютер [/u [домен\]пользователь/p пароль]]
Остановка
iisftp/stop FTP_узел [FTP_узел...] [/s компьютер [/u [домен\]пользователь/p пароль]]
Удаление
iisftp /delete FTP_узел [FTP_узел...] [/s компьютер [/u [домен\]пользователь/p пароль]]
Слайд 154

Виртуальные каталоги Сценарий для командной строки iisvdir.vbs, хранящийся в папке корневой_каталог_системы\system32,

Виртуальные каталоги

Сценарий для командной строки iisvdir.vbs, хранящийся в папке корневой_каталог_системы\system32, используется

для создания виртуальных веб-каталогов на локальных и удаленных компьютерах под управлением операционной системы из семейства Windows Server 2003 с установленной версией IIS 6.0.
Команда не создает и не удаляет содержимое, она настраивает структуру виртуального каталога и файлы конфигурации IIS.
При использовании сценария iisvdir.vbs для создания нового виртуального веб-каталога задаются только основные свойства, необходимые для создания узла и определения его содержимого.
Сценарий iisvdir.vbs использует те же свойства по умолчанию, которые диспетчер IIS использует при создании новых виртуальных каталогов, и следует тем же правилам наследования свойств.
Для настройки дополнительных свойств каталога следует использовать диспетчер IIS.
Например, для создания виртуального каталога используется команда:
iisvdir /create веб_узел[/виртуальный_путь] имя физический_путь [/s компьютер [/u [домен\]пользователь/p пароль]]
Слайд 155

Управление конфигурациями IIS Для создания и управления файлами конфигурации IIS на

Управление конфигурациями IIS

Для создания и управления файлами конфигурации IIS на компьютерах

под управлением операционной системы из семейства Windows Server 2003 с установленной версией IIS 6.0, используются два сценария для командной строки, хранящихся в папке корневой_каталог_системы\System32.
Сценарий iisback.vbs создает архивные копии конфигурации IIS (метабазы и схемы) локального или удаленного компьютера и управляет ими.
Сценарий iiscnfg.vbs импортирует и экспортирует все или выбранные элементы метабазы IIS на локальном или удаленном компьютере, или полностью копирует конфигурацию IIS (метабазу и схему) на другой компьютер.
Слайд 156

Управление резервными копиями При каждой операции архивирования (/backup) создается два файла:

Управление резервными копиями

При каждой операции архивирования (/backup) создается два файла: файл

.MDx для хранения метабазы и файл .SCx для хранения схемы, где x является номером версии резервной копии. Служба IIS и сценарий iisback.vbs сохраняют файлы резервных копий в папке корневой_каталог_системы\System32\inetsrv\MetaBack.
Метабаза и схема конфигурации IIS включают свойства системы и свойства сеанса.
Не следует выполнять копирование или импорт метабазы или схемы одного сервера IIS на другой сервер IIS, не внося изменений.
Для полного или частичного копирования конфигурации метабазы с одного сервера на другой используйте сценарий iiscnfg.vbs.
Создание резервной копии:
iisback /backup [/b имя_резервной_копии] [/v {Integer | HIGHEST_VERSION | NEXT_VERSION}] [/overwrite] [/e пароль_шифрования] [/s компьютер [/u [домен\]пользователь/p пароль]]
Восстановление из резервной копии
iisback /restore/b имя_резервной_копии [/v {целое | HIGHEST_VERSION}] [/e пароль_шифрования] [/s компьютер [/u [домен\]пользователь/p пароль]]
Удаление архивной конфигурации
iisback /delete [/bимя_резервной_копии] [/v {целое | HIGHEST_VERSION}] [/sкомпьютер [/u [домен\]пользователь/pпароль]]
Вывод списка резервных копий
iisback /list [/s компьютер [/u [домен\]пользователь/p пароль]]
Слайд 157

Копирование конфигураций Сценарий для командной строки iiscnfg.vbs, хранящийся в папке корневой_каталог_системы\system32,

Копирование конфигураций

Сценарий для командной строки iiscnfg.vbs, хранящийся в папке корневой_каталог_системы\system32, используется

для копирования метабазы и схемы IIS с одного компьютера на другой. Оба компьютера должны работать под управлением одной из операционных систем семейства Windows Server 2003 с установленной версией IIS 6.0.
Операция копирования (/copy) сценария iisback.vbs используется для создания резервной копии исходной метабазы и схемы. Затем резервные копии файлов (.MDx и .SCx) копируются на конечный компьютер, при этом сценарий iisback.vbs заменяет метабазу и схему конечного компьютера резервной копией.
Все эти операции можно выполнить вручную, однако операция /copy представляет собой удобный одношаговый способ репликации конфигурации IIS. Операция /copy обладает возможностями сценария iissync.exe, средства, ранее включавшегося в Windows.
Операция /copy не копирует содержимое сервера, например веб-страницы и файлы FTP, связанное с конфигурацией IIS. Вместо этого операция /copy изменяет свойства метабазы, связанные с компьютером и системой, таким образом, что они становятся применимы на конечном компьютере. Однако настройка путей к каталогам и файлам при этом не производится. В результате пути конфигурации могут оказаться недействительными на конечном компьютере.
Слайд 158

Установка дополнительных компонентов

Установка дополнительных компонентов

Слайд 159

Диспетчер служб IIS

Диспетчер служб IIS

Слайд 160

Тема 7. Администрирование сервера баз данных. Планирование инфраструктуры сервера баз данных

Тема 7. Администрирование сервера баз данных. Планирование инфраструктуры сервера баз данных

и выбор версий WindowsSQLServer

Средства администрирования операционной системы (на примере Windows 2008 Server). Администрирование учетных записей. Администрирование дисковых массивов.
Средства администрирования баз данных (на примере SQL Server 2008).
Средства администрирования локальных вычислительных сетей (на примере домена Windows 2008 Server).
Средства администрирования службы каталога (на примере домена Windows 2008 Server).
Разработка структуры подразделений и групповых политик безопасности. Применение политик безопасности на примере Windows 2008 Server.
Средства администрирования интернет-служб WWW, FTP, SMTP, NNTP в глобальных сетях (на примере служб Microsoft IIS).
Средства администрирования служб маршрутизации и удаленного доступа на примере Microsoft RRAS.

Слайд 161

Безопасность в SQL Server 2000 SQL Server 2000 является системой, удовлетворяющей

Безопасность в SQL Server 2000

SQL Server 2000 является системой, удовлетворяющей самым

жестким требованиям к безопасности информации. Условно система безопасности может быть разделена на два уровня:
• уровень сервера;
• уровень базы данных.
Слайд 162

Безопасность в SQL Server 2000 На уровне сервера разрешается или отклоняется

Безопасность в SQL Server 2000

На уровне сервера разрешается или отклоняется доступ

пользователей к самому серверу.
На уровне базы данных пользователи, имеющие доступ на уровне сервера, получают доступ к объектам базы данных.
Такой подход позволяет более гибко управлять доступом пользователей к базам данных.
Слайд 163

Безопасность в SQL Server 2000 На уровне сервера система безопасности оперирует

Безопасность в SQL Server 2000

На уровне сервера система безопасности оперирует следующими

понятиями:
• аутентификация (authentication);
• учетная запись (login);
• встроенные роли сервера (fixed server roles).
Слайд 164

Безопасность в SQL Server 2000 На уровне базы данных используются понятия:

Безопасность в SQL Server 2000

На уровне базы данных используются понятия:
пользователь базы

данных (database user);
фиксированная роль базы данных (fixed database role);
пользовательская роль базы данных (users database role);
роль приложения (application role).
Слайд 165

Безопасность в SQL Server 2000 Каждый пользователь, прежде чем получить право

Безопасность в SQL Server 2000

Каждый пользователь, прежде чем получить право совершать

какие-либо действия в системе, должен идентифицировать себя.
Обычный способ идентификации — ввод имени пользователя при входе в систему.
В свою очередь система должна убедиться, что пользователь, пытающийся получить доступ, действительно является тем, за кого себя выдает. Для этого предназначена аутентификация.
Аутентификация — это проверка подлинности пользователя. Стандартное средство аутентификации — ввод пароля.
Такой метод регистрации применяется повсеместно, в т. ч. в Windows и в SQL Server 2000.
Слайд 166

Безопасность в SQL Server 2000 SQL Server 2000 поддерживает два метода

Безопасность в SQL Server 2000

SQL Server 2000 поддерживает два метода аутентификации

(Authentication Modes):
средствами Windows (Windows Authentication);
средствами SQL Server 2000 (SQL Server Authentication).
Слайд 167

Безопасность в SQL Server 2000 Оба метода обладают своими недостатками и

Безопасность в SQL Server 2000

Оба метода обладают своими недостатками и преимуществами.


Администратор должен сам решить, какой из них более подходит в том или ином случае.
SQL Server 2000 способен по разному использовать эти способы.
Слайд 168

Безопасность в SQL Server 2000 Система безопасности SQL Server 2000 может

Безопасность в SQL Server 2000

Система безопасности SQL Server 2000 может работать

в одном из двух режимов:
Mixed Mode
Windows Authentication Mode
Слайд 169

Безопасность в SQL Server 2000 Mixed Mode (режим смешанной аутентификации). При

Безопасность в SQL Server 2000

Mixed Mode (режим смешанной аутентификации).
При работе

в этом режиме SQL Server 2000 поддерживает проверку подлинности пользователей как с применением аутентификации Windows , так и аутентификации SQL Server.
Данный режим предлагает некоторые удобства по сравнению со следующим режимом (режим Windows).
В частности, когда пользователь не имеет учетной записи в домене Windows, он не может получить доступа к серверу баз данных, если разрешена аутентификация только средствами домена Windows.
Смешанный режим аутентификации позволяет избежать этой проблемы;
Слайд 170

Безопасность в SQL Server 2000 Windows Authentication Mode (режим аутентификации Windows).

Безопасность в SQL Server 2000

Windows Authentication Mode (режим аутентификации Windows).
При

работе системы безопасности в этом режиме пользователи смогут получить доступ к серверу только с помощью аутентификации Windows.
Режим является более защищенным по сравнению с предыдущим. Это, в первую очередь, связано с тем, что аутентификация Windows является гораздо более защищенной, чем аутентификация SQL Server.
Слайд 171

Аутентификация Windows При аутентификации Windows подлинность пользователя проверяется операционной системой. Регистрируясь

Аутентификация Windows

При аутентификации Windows подлинность пользователя проверяется операционной системой. Регистрируясь в

домене Windows, пользователь должен ввести свое доменное имя и пароль.
SQL Server 2000 предполагает, что процесс регистрации пользователей в сети достаточно защищен, и поэтому не выполняет никаких дополнительных проверок.
Пользователь автоматически получает соответствующие права доступа к данным SQL Server 2000 сразу же после регистрации в домене.
Слайд 172

Аутентификация Windows При аутентификации средствами Windows необходимо следить за доверительными отношениями

Аутентификация Windows

При аутентификации средствами Windows необходимо следить за доверительными отношениями (trusted

relationships) между доменами.
Если серверы SQL Server 2000 находятся в разных доменах, то для предоставления доступа к серверу пользователям "чужого" домена необходимо настроить доверительные отношения.
Если пользователь пытается подключиться к SQL Server 2000, установленному в домене, с которым не сконфигурированы доверительные отношения, то ему будет предложено идентифицировать себя с помощью аутентификации SQL Server.
Слайд 173

Аутентификация Windows Если в сети имеется небольшое количество пользователей, то будет

Аутентификация Windows

Если в сети имеется небольшое количество пользователей, то будет не

обременительным предоставление доступа каждому из них персонально.
Однако, в больших сетях с сотнями пользователей подобный подход не оправдывает себя.
Гораздо более удобным и эффективным является подход, когда доступ к SQL Server 2000 предоставляется целым группам пользователей.
На уровне домена создается несколько групп, каждая из которых будет предназначена для решения специфических задач.
Слайд 174

Аутентификация SQL Server Этот тип аутентификации реализуется на самом SQL Server

Аутентификация SQL Server

Этот тип аутентификации реализуется на самом SQL Server 2000.


Вся информация о пользователях хранится в системной базе Master.
Для каждого пользователя указывается имя учетной записи, уникальный идентификатор SQL Server, пароль и другая информация.
Слайд 175

Учетные записи доступ к серверу SQL Server 2000 предоставляется пользователю на

Учетные записи

доступ к серверу SQL Server 2000 предоставляется пользователю на основе

информации, называемой учетной записью (account или login) пользователя.
Если пользователь успешно прошел регистрацию в сети Windows NT, он получает набор идентификаторов, включающий идентификатор самой учетной записи и идентификаторы всех групп, в которые включена учетная запись.
Слайд 176

Учетные записи Информация об учетных записях как SQL Server 2000, так

Учетные записи

Информация об учетных записях как SQL Server 2000, так и

Windows хранится в таблице sysxlogins системной базы данных Master. Каждая строка этой таблицы соответствует одной учетной записи.
Слайд 177

Учетные записи процессе инсталляции SQL Server 2000 мастер установки создает две специальные учетные записи:

Учетные записи

процессе инсталляции SQL Server 2000 мастер установки создает две специальные

учетные записи:
Слайд 178

Учетные записи sa (system administrator). BUILTIN\Administrators

Учетные записи

sa (system administrator).
BUILTIN\Administrators

Слайд 179

Управление пользователями Пользователь базы данных (user) — это административная единица системы

Управление пользователями

Пользователь базы данных (user) — это административная единица системы безопасности,

через которую предоставляется доступ учетной записи к объектам базы данных.
Через права, выданные пользователю базы данных, администратор может контролировать действия, которые станет выполнять владелец учетной записи в той или иной базе данных.
Слайд 180

Управление пользователями Специальные пользователи В любой базе данных автоматически создаются два

Управление пользователями

Специальные пользователи
В любой базе данных автоматически создаются два пользователя:
dbo (database

owner). Это специальный пользователь базы данных, являющийся ее владельцем. Владелец базы данных имеет абсолютные права по управлению ею. Пользователя dbo нельзя удалить. По умолчанию в пользователя dbo отображается учетная запись sa, которой тем самым предоставляются максимальные права в базе данных. Кроме того, все члены роли базы данных dbowner также считаются владельцами базы данных. Пользователь dbo включен в роль db_owner и не может быть удален из нее;
guest. Если учетной записи явно не предоставлен доступ к базе данных, то она автоматически отображается сервером в пользователя guest. С помощью этого пользователя можно предоставлять разрешения на доступ к объектам базы данных, необходимые любому пользователю. Разрешив доступ пользователю guest, вы, тем самым, даете аналогичные права доступа всем учетным записям, сконфигурированным на SQL Server 2000. Для повышения безопасности хранящейся информации рекомендуется удалять пользователя guest из базы данных.
Слайд 181

Роли В SQL Server 7.0 был добавлен новый механизм — роли

Роли

В SQL Server 7.0 был добавлен новый механизм — роли (roles),

которые пришли на смену группам SQL Server 6.x.
В SQL Server 2000 доступны как роли, так и группы.
Слайд 182

Роли РОЛИ СЕРВЕРА РОЛИ БАЗ ДАННЫХ

Роли

РОЛИ СЕРВЕРА
РОЛИ БАЗ ДАННЫХ

Слайд 183

Роли сервера Набор ролей сервера строго ограничен. Никто, включая администратора сервера,

Роли сервера

Набор ролей сервера строго ограничен. Никто, включая администратора сервера, не

может создать новую или удалить существующую роль сервера. Поэтому
они называются фиксированными ролями (fixed server roles).
Слайд 184

Роли сервера SQL Server 2000

Роли сервера SQL Server 2000

Слайд 185

Роли сервера SQL Server 2000

Роли сервера SQL Server 2000

Слайд 186

Роли базы данных В базе данных SQL Server 2000 имеются три

Роли базы данных

В базе данных SQL Server 2000 имеются три следующих

типа ролей:
фиксированные роли базы данных (fixed database role);
пользовательские роли базы данных (user database role);
роли приложений (application role).
Слайд 187

Роли баз данных Фиксированные роли делают возможным предоставление пользователям набора прав,

Роли баз данных

Фиксированные роли делают возможным предоставление пользователям набора прав, которые

нельзя организовать никаким другим способом.
Количество и назначение фиксированных ролей стандартно и не может быть изменено.
Кроме того, нельзя управлять правами доступа фиксированных ролей к объектам базы данных.

Фиксированные роли баз данных

Слайд 188

Фиксированные роли базы данных

Фиксированные роли базы данных

Слайд 189

Фиксированные роли базы данных

Фиксированные роли базы данных

Слайд 190

Роли баз данных Если фиксированные роли предназначены для наделения пользователей специальными

Роли баз данных

Если фиксированные роли предназначены для наделения пользователей специальными правами

в базе данных, то пользовательские роли служат лишь для группировки пользователей с целью облегчения управления их правами доступа к объектам.

Пользовательские роли баз данных

Слайд 191

Роли баз данных Если в базе данных существуют пользователи, которым необходимы

Роли баз данных

Если в базе данных существуют пользователи, которым необходимы одинаковые

права доступа, то лучше объединить их в единую административную единицу, чем управлять каждым из них по отдельности.

Пользовательские роли баз данных

Слайд 192

Права доступа Для того чтобы пользователь имел возможность выполнять те или

Права доступа

Для того чтобы пользователь имел возможность выполнять те или иные

действия с объектами базы данных, он должен предварительно получить необходимые права доступа.
Слайд 193

Права доступа права доступа к данным; права на выполнение хранимых процедур; права на выполнение команд Transact-SQL.

Права доступа

права доступа к данным;
права на выполнение хранимых процедур;
права на выполнение

команд Transact-SQL.
Слайд 194

Права доступа к данным INSERT. Это право позволяет вставлять в таблицу

Права доступа к данным

INSERT. Это право позволяет вставлять в таблицу или

представление новые строки. Как следствие, право INSERT может быть выдано только на уровне таблицы или представления и не может быть выдано на уровне столбца.
UPDATE. Данное право выдается либо на уровне таблицы, что позволяет изменять все данные в таблице, либо на уровне отдельного столбца, что разрешает изменять данные только в пределах конкретного столбца.
DELETE. Право позволяет удалять строки из таблицы или представления. Как и право INSERT, право DELETE может быть выдано только на уровне таблицы или представления и не может быть выдано на уровне столбца.

Доступ к данным можно разделить на несколько категорий:

Слайд 195

Права доступа к данным SELECT. Разрешает выборку данных. Может выдаваться как

Права доступа к данным

SELECT. Разрешает выборку данных. Может выдаваться как на

уровне таблицы, так и на уровне отдельного столбца.
REFERENCES. Возможность ссылаться на указанный объект. Применительно к таблицам разрешает пользователю создавать внешние ключи, ссылающиеся на первичный ключ или уникальный столбец этой таблицы

Доступ к данным можно разделить на несколько категорий:

Слайд 196

Права на выполнение отдельных процедур и функций Единственное право доступа, которое

Права на выполнение отдельных процедур и функций

Единственное право доступа, которое может

быть предоставлено для хранимой процедуры — это право на ее выполнение (EXECUTE).
Владелец хранимой процедуры может просматривать и изменять ее код.
Слайд 197

Права на выполнение команд Transact-SQL Предназначены для управления возможностями пользователя по созданию новых объектов базы данных.

Права на выполнение команд Transact-SQL

Предназначены для управления возможностями пользователя по созданию

новых объектов базы данных.
Слайд 198

Права на выполнение команд Transact-SQL CREATE DATABASE. Право создания базы данных.

Права на выполнение команд Transact-SQL

CREATE DATABASE. Право создания базы данных. Выдается

учетной записи.
CREATE TABLE. Право на создание таблицы.
CREATE VIEW. Право на создание представления.
CREATE PROCEDURE. Право на создание хранимой процедуры.
CREATE FUNCTION. Право на создание пользовательской функции.
CREATE RULE. Право на создание правила.
CREATE DEFAULT. Право на создание умолчания.
BACKUP DATABASE. Право на создание резервной копии базы данных.
BACKUP LOG. Право на создание резервной копии журнала транзакций.
ALL. С помощью этого права предоставляются все вышеперечисленные права.
Слайд 199

Управление разрешениями средствами Enterprise Manager Enterprise Manager предоставляет простой интерфейс для

Управление разрешениями средствами Enterprise Manager

Enterprise Manager предоставляет простой интерфейс для управления

разрешениями: их просмотра предоставления, блокирования и отзыва.
Для доступа к управлению необходимо выбрать БД и в меню Свойства выбрать закладку Permissions.
Слайд 200

Права на выполнение команд Transact-SQL Члены фиксированной роли сервера sysadmin и

Права на выполнение команд Transact-SQL

Члены фиксированной роли сервера sysadmin и фиксированной

роли базы данных dbowner автоматически имеют право ALL. Члены других фиксированных ролей имеют набор прав, соответствующих функциям роли.
Слайд 201

Управление правами доступа новый пользователь автоматически является членом фиксированной роли базы

Управление правами доступа

новый пользователь автоматически является членом фиксированной роли базы данных

public, он автоматически получает набор прав, выданный для этой роли.
Если же такого набора прав не достаточно, то необходимо явно предоставить доступ (allow access) к тому или иному объекту базы данных.
Права доступа могут быть выданы пользователю непосредственно или как члену роли базы данных.
Слайд 202

Создание учетной записи средствами Enterprise Manager

Создание учетной записи средствами Enterprise Manager

Слайд 203

Выбор ролей сервера для учетной записи

Выбор ролей сервера для учетной записи

Слайд 204

Предоставление доступа к БД

Предоставление доступа к БД

Слайд 205

Создание пользовательской роли БД Для создания пользовательской роли базы данных, выберите

Создание пользовательской роли БД

Для создания пользовательской роли базы данных, выберите необходимую

базу данных.
Раскройте список объектов и выберите объект Roles.
С помощью контекстного меню вызывается команда New Database Role.
Слайд 206

Создание пользовательской роли БД После создания роли, установка разрешений выполняется с

Создание пользовательской роли БД

После создания роли, установка разрешений выполняется с помощью

команды Permissions в свойствах роли.
Слайд 207

Административные задачи (обязанности администратора) Администрирование сервера и баз данных имеет мало

Административные задачи (обязанности администратора)

Администрирование сервера и баз данных имеет мало общих задач.

Тем не менее, некоторые из них могут решаться как на уровне сервера, так и на уровне базы данных.
Например, изменение размера и создание резервных копий базы данных способен выполнять как администратор сервера, так и администратор базы данных.
Слайд 208

Ограничения целостности в MS SQL Server Ограничения целостности – constraints Ограничения

Ограничения целостности в MS SQL Server

Ограничения целостности – constraints
Ограничения целостности Check

были введены в SQL Server 7.0. В более ранних версиях для контроля значений в столбцах использовались правила (rules). В SQL Server 2000 правила были оставлены для обеспечения совместимости с предыдущими версиями.

Тема 8. Администрирование информационных систем. Проектирование и архивирование баз данных для Windows SQL Server.

Слайд 209

Ограничения целостности в MS SQL Server Ограничение целостности Check предназначено для

Ограничения целостности в MS SQL Server

Ограничение целостности Check предназначено для создания

ограничений на значения, которые могут храниться в поле строки.
Ограничение целостности NULL – запрет на неопределенные значения.
Ограничение целостности Default – значение по умолчанию (с версии 7.0)
Слайд 210

Ограничения целостности в MS SQL Server Ограничение целостности Unique обеспечивает уникальность

Ограничения целостности в MS SQL Server

Ограничение целостности Unique обеспечивает уникальность значений

в столбце таблицы. Кроме того, уникальность может контролироваться на основе значений более чем одного столбца.
Слайд 211

Ограничения целостности в MS SQL Server В основе ограничения целостности Primary

Ограничения целостности в MS SQL Server

В основе ограничения целостности Primary Key

лежит применение уникального индекса (Unique Index), который, как и ограничение целостности Unique, обеспечивает уникальность хранящихся в столбце (или столбцах) данных. Использование уникального индекса, а не ограничения целостности Unique позволяет повысить скорость доступа к данным первичного ключа.
Слайд 212

Ограничения целостности в MS SQL Server Для создания внешнего ключа в

Ограничения целостности в MS SQL Server

Для создания внешнего ключа в таблице

SQL Server 2000 используется ограничение целостности Foreign Key. Таким образом обеспечивается ссылочная целостность данных.
Слайд 213

Ограничения целостности в MS SQL Server В SQL Server 2000 реализованы

Ограничения целостности в MS SQL Server

В SQL Server 2000 реализованы механизмы,

позволяющие переложить на сервер выполнение сопутствующих действий — удаление (или обновление) строк во всех зависимых таблицах.
No Action и Cascade - эти ограничения целостности определяются не в главной, а в зависимой таблице.
Слайд 214

Ограничения целостности в MS SQL Server No Action предписывает не выполнять

Ограничения целостности в MS SQL Server

No Action предписывает не выполнять никаких

действий в зависимой таблице при изменении данных в главной таблице.
Cascade – выполнять соответствующие действия в зависимой таблице.
Слайд 215

Тема 9. Системы безопасности и администрирование SQLServer. Проектирование защиты баз данных

Тема 9. Системы безопасности и администрирование SQLServer. Проектирование защиты баз данных

(проектирование схем и шифрование).

Законодательный уровень политики безопасности, определяемый нормативно-правовой информационной базой страны.
Административный уровень - определяется рядом организационно-управленческих мероприятий, предпринимаемых на каждом предприятии или фирме. Он обеспечивается совокупностью документированных управленческих решений, направленных на защиту информации.

Уровни безопасности

Слайд 216

Безопасность ИС Процедурный уровень - меры безопасности, реализуемы на низшем (операционном)

Безопасность ИС

Процедурный уровень - меры безопасности, реализуемы на низшем (операционном) уровне

управления (управление персоналом, физическая защита, реагирование на нарушения режима безопасности, планирование восстановительных работ).
Программно-технологический уровень включает меры безопасности, реализуемые за счет программно-технических средств. Этот уровень можно считать уровнем реализации, в то время как остальные уровни - уровни организации.

Уровни безопасности

Слайд 217

Безопасность ИС технологическая логическая физическая Для обеспечения технологической безопасности в информационных

Безопасность ИС

технологическая

логическая

физическая

Для обеспечения технологической безопасности в информационных системах используют “зеркальные” серверы,

двойные жёсткие диски, надёжные системы бесперебойного питания и др.

Логическая безопасность заключается в использовании программных средств борьбы с компьютерными вирусами, защиты от несанкционированного доступа, идентификации и кодирования информации.

Физическая безопасность включает персонал, меры и преграды, препятствующие проникновению несанкционированных лиц на недоступные для них объекты.

Слайд 218

Управление системой безопасности Администрирование сетевой безопасности, как и всякий процесс регулирования,

Управление системой безопасности

Администрирование сетевой безопасности, как и всякий процесс регулирования, начинается

с планирования.
При планировании сети необходимо внедрить технологии безопасности, причем это следует сделать на стадии планирования установки операционной системы Windows, Unix и т.д.). Таким образом можно обеспечить безопасную работу в сети.
Слайд 219

Управление системой безопасности Основные этапы планирования стратегий сетевой безопасности могут быть

Управление системой безопасности

Основные этапы планирования стратегий сетевой безопасности могут быть представлены

в следующем виде:
1) составление плана развертывания стратегии безопасности;
2) создание границ безопасности;
3) анализ стратегий сетевой безопасности;
4) внедрение стратегий безопасности для всех пользователей;
5) внедрение стратегий для пользователей корпоративных при-ложений;
6) внедрение стратегий для персонала организации;
7) внедрение стратегий для партнеров;
8) мониторинг реализации плана.
Слайд 220

Управление системой безопасности По мере разработки плана сетевой безопасности следует: •

Управление системой безопасности

По мере разработки плана сетевой безопасности следует:
• выявить

ситуации, когда возможен риск снижения сетевой безопасности;
• определить размер сервера и требования размещения;
• подготовить персонал;
• создать и опубликовать политики и процедуры безопасности;
• использовать формальную методологию для создания плана безопасности;
• определить группы пользователей, их нужды и риски сниже-ния безопасности.
Слайд 221

Управление общим доступом Важным аспектом моделей безопасности является управление доступом. Существует

Управление общим доступом

Важным аспектом моделей безопасности является управление доступом. Существует два

подхода:
добровольное управление доступом;
принудительное управление доступом.
Слайд 222

Управление общим доступом При добровольном управлении доступом вводится так называемое владение

Управление общим доступом

При добровольном управлении доступом вводится так называемое владение объектами.


Как правило, владельцами объектов являются те субъекты базы данных, процессы которых создали соответствующие объекты.
Добровольное управление доступом заключается в том, что права на доступ к объектам определяют их владельцы.
В результате при добровольном управлении доступом реализуется полностью децентрализованный принцип организации и управления процессом разграничения доступа.
Слайд 223

Управление общим доступом Такой подход обеспечивает гибкость настраивания системы разграничения доступа

Управление общим доступом

Такой подход обеспечивает гибкость настраивания системы разграничения доступа в

базе данных на конкретную совокупность пользователей и ресурсов,
Но затрудняет общий контроль и аудит состояния безопасности данных в системе.
Слайд 224

Управление общим доступом Принудительный подход к управлению доступом предус­матривает введение единого

Управление общим доступом

Принудительный подход к управлению доступом предус­матривает введение единого централизованного

администрирования доступом.
Принудительный способ обеспечивает более жесткое централизованное управление доступом.
На практике может применяться комбинированный способ управления доступом, когда определенная часть полномочий на доступ к объектам устанавливается администратором, а другая часть владельцами объектов.
Слайд 225

Управление общим доступом Cанкционированный доступ – это доступ к объектам, программам

Управление общим доступом

Cанкционированный доступ – это доступ к объектам, программам и

данным пользователей, имеющих право выполнять определённые действия (чтение, копирование и др.), а также полномочия и права пользователей на использование ресурсов и услуг, определённых администратором вычислительной системы.
Слайд 226

Управление общим доступом Аутентификация – это метод независимого от источника информации

Управление общим доступом

Аутентификация – это метод независимого от источника информации установления

подлинности информации на основе проверки подлинности её внутренней структуры (“это тот, кем назвался?”).
Авторизация – в информационных технологиях это предоставление определённых полномочий лицу или группе лиц на выполнение некоторых действий в системе обработки данных. (“имеет ли право выполнять данную деятельность?”). Посредством авторизации устанавливаются и реализуются права доступа к ресурсам.
Идентификация – это метод сравнения предметов или лиц по их характеристикам, путём опознавания по предметам или документам, определения полномочий, связанных с доступом лиц в помещения, к документам и т. д. (“это тот, кем назвался и имеет право выполнять данную деятельность?”).
Слайд 227

Управление общим доступом По принципу разграничения доступа модель безопасности бывает: Одноуровневая Многоуровневая

Управление общим доступом

По принципу разграничения доступа модель безопасности бывает:
Одноуровневая
Многоуровневая

Слайд 228

Управление общим доступом Простейшая (одноуровневая) модель безопасности данных строится на основе

Управление общим доступом

Простейшая (одноуровневая) модель безопасности данных строится на основе дискреционного

(избирательного) принципа разграничения доступа, при котором доступ к объектам осу­ществляется на основе множества разрешенных отношений доступа в виде троек — «субъект доступа– тип доступа– объект доступа». Наглядным и распространенным способом формализованного представления дискреционного доступа является матрица доступа, устанавливающая перечень пользователей (субъектов) и перечень разрешенных операций (про­цессов) по отношению к каждому объекту базы данных (табли­цы, запросы, формы, отчеты).
Слайд 229

Управление общим доступом Многоуровневая безопасность означает, что в БД хранится информация,

Управление общим доступом

Многоуровневая безопасность означает, что в БД хранится информация, относящаяся

к разным классам безопасности, и, что часть пользователей не имеет доступа к информации, относящейся к высшему классу безопасности. То есть пользователь, имеющий низший уровень доступа, может выполнять свою работу с БД, содержащей совершенно секретные данные, но он не имеет прав доступа к ним.
Слайд 230

Классы безопасности В частности традиционные подходы используют категорирование информационных ресурсов по

Классы безопасности

В частности традиционные подходы используют категорирование информационных ресурсов по уровню

конфиденциальности (совершенно секретно — СС, секретно — С, конфиденциаль­но — К, и т. п.).
Понятие допуска определяет мандатный (полномочный) принцип разграничения доступа к информации.
Соответственно субъекты доступа к ним (сотрудники) также категорируются по соответствующим уровням доверия, получая так называемого допуска (допуск степени 1, допуск степени 2 и т. д.).
Слайд 231

Управление общим доступом

Управление общим доступом

Слайд 232

Управление общим доступом В модели Белл —ЛаПадула устанавливаются и поддерживаются два

Управление общим доступом

В модели Белл —ЛаПадула устанавливаются и поддерживаются два основных

ограничения политики безопасности:
• запрет чтения вверх (no read up — NRU);
• запрет записи вниз (no write down — NWD).
Ограничение NRU является логическим следствием ман­датного принципа разграничения доступа, запрещая субъектам читать данные из объектов более высокой степени конфиден­циальности, чем позволяет их допуск.
Ограничение NWD предотвращает перенос (утечку) кон­фиденциальной информации путем ее копирования из объек­тов с высоким уровнем конфиденциальности в неконфиденциальные объекты или в объекты с меньшим уровнем конфиден­циальности.
Слайд 233

Тема 5 Эксплуатация и сопровождение информационных систем Ведение статистики использования ресурсов

Тема 5 Эксплуатация и сопровождение информационных систем

Ведение статистики использования ресурсов

ИС. Управление пользователями ИС. Выявление и устранение проблемных мест информационной системы.
Оперативное управление и регламентные работы. Методы выявления неполадок в работе информационной системы. Устранение неполадок в системе.
Технические средства в информационных системах. Управление и обслуживание технических средств. Методы тестирования технических средств.
Слайд 234

Управление пользователями Для управления пользователями в MS Windows используется понятие учетной

Управление пользователями

Для управления пользователями в MS Windows используется понятие учетной записи.


Учетная запись в Active Directory — объект, содержащий все сведения, позволяющие определить пользователя домена.
К таким сведениям относятся:
имя пользователя,
пароль
группы, членом которых является его учетная запись.
Учетные записи пользователей хранятся либо в Active Directory, либо на локальном компьютере.
На компьютерах с Windows XP Professional и рядовых серверах с Windows Server 2003 управление локальными учетными записями пользователей осуществляется с помощью компонента «Локальные пользователи и группы».
На контроллерах домена под управлением Windows Server 2003 для этого используется компонент «Active Directory — пользователи и компьютеры».
Слайд 235

Оперативное управление и регламентные работы Для корректной работы КИС необходимы средства,

Оперативное управление и регламентные работы

Для корректной работы КИС необходимы средства,

позволяющие вовремя диагностировать состояние сети, выявлять неполадки и их устранять.
Команды обслуживания сети
Слайд 236

Команды обслуживания сети При работе с сетевым окружением администратору необходимо иметь

Команды обслуживания сети

При работе с сетевым окружением администратору необходимо иметь инструменты

управления и обслуживания сети. Команды работы с сетью разделяются на категории:
Диагностика
Устранение неполадок
Конфигурирование
Слайд 237

Диагностика сети Команды диагностики в реальном времени предоставляют информацию о работе

Диагностика сети

Команды диагностики в реальном времени предоставляют информацию о работе сети

и сетевых подключений. К числу команд диагностики сети относятся команды
netstat (команда выводит статистику протокола и текущие сетевые подключения TCP/IP)
Синтаксис
netstat [-a] [-e] [-n] [-o] [-p протокол] [-r] [-s] [интервал]
Слайд 238

Параметры -a Вывод всех активных подключений TCP и прослушиваемых компьютером портов

Параметры
-a Вывод всех активных подключений TCP и прослушиваемых компьютером портов TCP

и UDP.
-e Вывод статистики Ethernet, например количества отправленных и принятых байтов и пакетов. Этот параметр может комбинироваться с ключом -s.
-n Вывод активных подключений TCP с отображением адресов и номеров портов в числовом формате без попыток определения имен.
-o вывод активных подключений TCP и включение кода процесса (PID) для каждого подключения. Код процесса позволяет найти приложение на вкладке Процессы диспетчера задач Windows. Этот параметр может комбинироваться с ключами -a, -n и -p.
-p протокол Вывод подключений для протокола, указанного параметром протокол. В этом случае параметр протокол может принимать значения tcp, udp, tcpv6 или udpv6. Если данный параметр используется с ключом -s для вывода статистики по протоколу, параметр протокол может иметь значение tcp, udp, icmp, ip, tcpv6, udpv6, icmpv6 или ipv6.
-s Вывод статистики по протоколу. По умолчанию выводится статистика для протоколов TCP, UDP, ICMP и IP. Если установлен протокол IPv6 для Windows XP, отображается статистика для протоколов TCP через IPv6, UDP через IPv6, ICMPv6 и IPv6. Параметр -p может использоваться для указания набора протоколов.
-r Вывод содержимого таблицы маршрутизации IP. Эта команда эквивалентна команде route print.
интервал Обновление выбранных данных с интервалом, определенным параметром интервал (в секундах). Нажатие клавиш CTRL+C останавливает обновление. Если этот параметр пропущен, netstat выводит выбранные данные только один раз.
/? Отображение справки в командной строке.
Слайд 239

Диагностика сети Команда netdiag позволяет выводить статистику и выполнять диагностику сетевого

Диагностика сети

Команда netdiag позволяет выводить статистику и выполнять диагностику сетевого интерфейса.


Синтаксис: netdiag [/опции]
Опции:
/q - Quiet output (errors only)
/v - Verbose output
/l - Log output to NetDiag.log
/debug - Even more verbose.
/d: - Find a DC in the specified domain.
/fix - fix trivial problems.
/DcAccountEnum - Enumerate DC machine accounts.
/test:
/? вызов подсказки
netdiag /test:server выводит статистику и запускает диагностику сетевой карты
Слайд 240

Устранение неполадок Для выявления участков в сети TCP/IP,на которых присутствуют неполадки

Устранение неполадок

Для выявления участков в сети TCP/IP,на которых присутствуют неполадки имеется

несколько команд
ping
Синтаксис ping [-t] [-a] [-n число] [-l размер] [-f] [-i TTL] [-v T
[-r число] [-s число] [[-j списокУзлов] | [-k списокУзлов
[-w таймаут] конечноеИмя
Параметры:
-t Отправка пакетов на указанный узел до команды преры
Для вывода статистики и продолжения нажмите
+, для прекращения - +.
-a Определение адресов по именам узлов.
-n число Число отправляемых запросов.
-l размер Размер буфера отправки.
-f Установка флага, запрещающего фрагментацию пакета.
-i TTL Задание срока жизни пакета (поле "Time To Live").
-v TOS Задание типа службы (поле "Type Of Service").
-r число Запись маршрута для указанного числа переходов.
-s число Штамп времени для указанного числа переходов.
-j списокУзлов Свободный выбор маршрута по списку узлов.
-k списокУзлов Жесткий выбор маршрута по списку узлов.
-w таймаут Таймаут каждого ответа в миллисекундах.
/? Вызов справки
Слайд 241

Устранение неполадок Другими командами устанавливающими наличие соединения с удаленным ip-узлом являются

Устранение неполадок

Другими командами устанавливающими наличие соединения с удаленным ip-узлом являются команды:
tracert

– выводит имена и ip-адреса всех маршрутизаторов,через которые проходит пакет
Параметры:
-d Без разрешения в имена узлов.
-h максЧисло Максимальное число прыжков при поиске узла.
-j списокУзлов Свободный выбор маршрута по списку узлов.
-w интервал Интервал ожидания каждого ответа в миллисекундах.
pathping – выводит сетевую статистику при каждом переходе пакета через маршрутизатор
Параметры:
-g Список При прохождении по элементам списка узлов игнорировать предыдущий маршрут.
-h Число_прыжков Максимальное число прыжков при поиске узла.
-i Адрес Использовать указанный адрес источника.
-n Не разрешать адреса в имена узлов.
-p Пауза Пауза между отправками (мсек).
-q Число_запросов Число запросов при каждом прыжке.
-w Таймаут Время ожидания каждого ответа (мсек).
-P Тестировать на связность пути полученного с помощью RSVP.
-R Тестировать, если каждый прыжок резервируется с помощью RSVP.
-T Тестировать возможность взаимодействия для каждого
-4 Принудительно использовать IPv4.
-6 Принудительно использовать IPv6.
Слайд 242

Конфигурирование сети Для просмотра конфигурации сетевых интерфейсов используется команда ipconfig Синтаксис:

Конфигурирование сети

Для просмотра конфигурации сетевых интерфейсов используется команда ipconfig
Синтаксис:
ipconfig

[/? | /all | /release [адаптер] | /renew [адаптер] |
/flushdns | /displaydns /registerdns |
/showclassid адаптер |
/setclassid адаптер [устанавливаемый_код_класса_dhcp] ]
ключи:
/? Отобразить это справочное сообщение.
/all Отобразить полную информацию о настройке параметров.
/release Освободить IP-адрес для указанного адаптера.
/renew Обновить IP-адрес для указанного адаптера.
/flushdns Очистить кэш разрешений DNS.
/registerdns Обновить все DHCP-аренды и перерегистрировать DNS-имена
/displaydns Отобразить содержимое кэша разрешений DNS.
/showclassid Отобразить все допустимые для этого адаптера коды (IDs) ыDHCP-классов.
/setclassid Изменить код (ID) DHCP-класса.
Слайд 243

Конфигурирование сети Для конфигурирования сети может быть использована команда route. Данная

Конфигурирование сети

Для конфигурирования сети может быть использована команда route. Данная команда

управляет таблицами маршрутов.
ROUTE [-f] [-p] [команда [узел] [MASK маска] [шлюз] [METRIC метрика] [IF-интерфейс]
-f Очистка таблиц маршрутов от записей для всех шлюзов. При указании одной из команд, таблицы очищаются до выполнения команды.
-p При использовании с командой ADD задает сохранение маршрута при перезагрузке системы. По умолчанию маршруты не сохраняются при перезагрузке. Игнорируется для остальных команд изменяющих соответствующие постоянные маршруты.
команда:
PRINT Печать маршрута
ADD Добавление маршрута
DELETE Удаление маршрута
CHANGE Изменение существующего маршрута
узел Адресуемый узел.
MASK Если вводится ключевое слово MASK, то следующий параметр интерпретируется как параметр "маска".
маска Значение маски подсети, связываемое с записью для данного маршрута. Если этот параметр не задан, по умолчанию подразумевается 255.255.255.255.
шлюз Шлюз.
METRIC Определение параметра метрика/цена для адресуемого узла.
Слайд 244

Аудит ИС Информационный аудит – это проверка и оценка практики использования

Аудит ИС

Информационный аудит – это проверка и оценка практики использования ИТ-систем

в организации, осуществляемая специализированной независимой организацией.
Слайд 245

Аудит. Первая прична Первая причина – информационным технологиям большинства Российских компаний

Аудит. Первая прична

Первая причина – информационным технологиям большинства Российских компаний свойственен

эволюционный путь создания и дальнейшего их развития. Он характеризуется тем, что информационные системы включаются в инфраструктуру ИТ или модернизируются по мере возникновения необходимости и (или) по мере возможности (в том числе и финансовой). В итоге в ИТ-инфраструктуре формируется сложная (порой разнородная) и поэтому плохо управляемая совокупность программно-технических и системных платформ. Даже если ИС прошла все стадии создания, последующие изменения бизнес-процессов или введение новых приложений могут привести к тому, что параметры её программно-аппаратных платформ перестанут соответствовать требованиям бизнеса.
Слайд 246

Аудит. Вторая причина Вторая причина связана с зависимостью успешности бизнеса от

Аудит. Вторая причина

Вторая причина связана с зависимостью успешности бизнеса от способности

управленцев вовремя получать и быстро обрабатывать нужную информацию.
Слайд 247

Аудит. Составные части внутренний контроль, осуществляемый организацией, эксплуатирующей ИС; внешний контроль,

Аудит. Составные части

внутренний контроль, осуществляемый организацией, эксплуатирующей ИС;
внешний контроль, осуществляемый

внешней организацией в рамках разделения полномочий организации, эксплуатирующей ИС, и вышестоящего ведомства или организации;
независимый информационный аудит.
Слайд 248

Виды аудитов процессов управления службой ИТ, структуры службы ИТ, информационной системы,

Виды аудитов

процессов управления службой ИТ,
структуры службы ИТ,
информационной системы,
ТЗ

и проектной документации на создание ИС,
систем резервирования данных.
Слайд 249

Виды аудитов Аудит процессов управления службой ИТ включает ряд специализированных аудитов,

Виды аудитов

Аудит процессов управления службой ИТ включает ряд специализированных аудитов, среди

которых выделим аудиты процесса управления инцидентами, изменениями и конфигурациями, а также управления доступностью и информационной безопасностью.
Слайд 250

Виды аудитов Аудит информационной системы используется для определения (оценки степени) соответствия

Виды аудитов

Аудит информационной системы используется для определения (оценки степени) соответствия сервисов

текущим и планируемым в будущем потребностям бизнеса организации и услугам, предоставляемым информационной системой сотрудникам организации.
Результатом такого аудита являются предварительные рекомендации по совершенствованию (модернизации) и предложения по структуре проекта совершенствования (модернизации) ИС.
Слайд 251

Аудит В процессе проведения информационного аудита предполагается получить ответы на вопросы,

Аудит

В процессе проведения информационного аудита предполагается получить ответы на вопросы, связанные

с полезностью, доступностью, целостностью и конфиденциальностью аудируемой системы.
Слайд 252

Аудит Полезность выявляется путём определения как и на сколько используемая система

Аудит

Полезность выявляется путём определения как и на сколько используемая система способствует

достижению целей, стоящих перед аудируемым лицом и в интересах указанных заинтересованных лиц, а также соответствия издержек создания и эксплуатации системы приобретаемым выгодам.
Слайд 253

Аудит Доступность определяется установлением возможности системы обеспечивать её использование (доступность) уполномоченными

Аудит

Доступность определяется установлением возможности системы обеспечивать её использование (доступность) уполномоченными лицами

в требуемые моменты с получением необходимой информации вовремя и в адекватных форматах.
Слайд 254

Аудит Целостность системы устанавливается в процессе выявления возможностей пользователей получать точную,

Аудит

Целостность системы устанавливается в процессе выявления возможностей пользователей получать точную, непротиворечивую

и своевременную информацию с соблюдением принципов транзакционности обработки данных и журналирования изменений в данных.
Слайд 255

Аудит Конфиденциальность системы определяется путём установления доступности к информации в системе только её авторизованных пользователей.

Аудит

Конфиденциальность системы определяется путём установления доступности к информации в системе только

её авторизованных пользователей.
Слайд 256

Тестирование ИС Под тестированием понимается процесс исполнения программы с целью обнаружения ошибок

Тестирование ИС

Под тестированием понимается процесс исполнения программы с целью обнаружения ошибок

Слайд 257

Эксплуатация и сопровождение ИС Эксплуатация включает работы по внедрению компонентов ПО

Эксплуатация и сопровождение ИС

Эксплуатация включает работы по внедрению компонентов ПО в

эксплуатацию, в том числе конфигурирование БД и рабочих мест пользователей, обеспечение эксплуатационной документацией, проведение обучения персонала и т.д., и непосредственно эксплуатацию, в том числе локализацию проблем и устранение причин их возникновения, модификацию ПО в рамках установленного регламента, подготовку предложений по совершенствованию, развитию и модернизации системы.
Слайд 258

Эксплуатация и сопровождение ИС Важным вопросом сопровождения ИС является мониторинг работы

Эксплуатация и сопровождение ИС

Важным вопросом сопровождения ИС является мониторинг работы сетевого

и иного вычислительного оборудования. Эту задачу оперативного управления ИС выполняет администратор системы.
В первую очередь принято обращать внимание на критически важные инциденты. Затем рекомендуется осуществлять контроль сроков исполнения, оптимизировать контролируемы параметры и др.
Слайд 259

Управление рисками и инцидентами Определение рисков является сложной задачей. Некоторые специалисты

Управление рисками и инцидентами

Определение рисков является сложной задачей. Некоторые специалисты полагают,

что мы ещё не на такой стадии, когда можем оценить все риски. При этом успешное выявление и ликвидация рисков зависит от умения их распознавать.
Слайд 260

Управление рисками и инцидентами 1) недостаточное внимание к проекту со стороны

Управление рисками и инцидентами

1) недостаточное внимание к проекту со стороны руководства

заказчика (компании) и неостаточное в нём участие;
2) неконкретная постановка задачи или непонимание сторонами конечных целей проекта;
3) изменения, вносимые заказчиком в процессе реализации проекта;
4) недостаточная квалификация работников;
Слайд 261

Управление рисками и инцидентами 5) отсутствия мотивации сотрудников заказчика, противодействие персонала;

Управление рисками и инцидентами

5) отсутствия мотивации сотрудников заказчика, противодействие персонала;
6)

срыв сроков;
7) технические проблемы;
8) недостаточное или нестабильное финансирование.
Слайд 262

Риски администрирования ● сокращение установленных в соответствующих планах (графиках) сроков выполнения

Риски администрирования

● сокращение установленных в соответствующих планах (графиках) сроков выполнения работ;

увеличение стоимости сопровождения, эксплуатации и администрирования ИС из-за системных и иных ошибок, недостаточного уровня поддержки со стороны руководства и администраторов ИС;
● сложность эксплуатации системы;
● несоблюдение условий безопасности ИС и хранящихся в ней данных;
● сбои;
● увольнение администраторов и специалистов, осуществляющих эксплуатацию и поддержку ИС и др.
Слайд 263

Риски Риски надо постоянно анализировать и актуализировать как в ходе проектирования,

Риски

Риски надо постоянно анализировать и актуализировать как в ходе проектирования, так

и в ходе эксплуатации ИС. Существует мнение, что если вероятность наступления какого-либо события превышает 50%, то следует быть готовым, что оно действительно произойдёт, а если она составляет 90%, то это уже серьёзная угроза.
Слайд 264

ISO 12207 Вспомогательные процессы: Процесс аудита Процесс решения проблем

ISO 12207

Вспомогательные процессы:
Процесс аудита
Процесс решения проблем

Слайд 265

Аудит Процесс аудита является процессом определения соответствия требованиям, планам и условиям

Аудит

Процесс аудита является процессом определения соответствия требованиям, планам и условиям договора.

Данный процесс может выполняться двумя любыми сторонами, участвующими в договоре, когда одна сторона (ревизующая) проверяет другую сторону (ревизуемую).
- Предыдущая
Space tourism Advantages and disadvantages essay
Следующая -
Морские стационарные платформы

Похожие презентации

Рекомендации по подготовке мультимедийного выступления
Архитектура ОС. Планирование процессов и нитей. (Лекция 2)
Обработка фотографий
Презентация "MSC.Mvision Workshops 11" - скачать презентации по Информатике
Network Island. L1 diagram
Язык SQL. Понятие базы данных
Инструкция по накрутке установок игры Zombie Park в Play Market
Применение органами местного самоуправления социальных сетей в целях повышения эффективности рассмотрения обращения граждан
Презентация "О правовой охране программ для электронных вычислительных машин и баз данных" - скачать презентации по Информат
Анимация Power Point
В мире кодов QR код
Новая система информирования студентов
Представление чисел в памяти компьютера. 10 класс
Симметричные криптосистемы. Лекция 1. Основные понятия и определения криптографии
Электронно-цифровая подпись и криптография
Введение в JavaScript
Кодирование и обработка звуковой информации
Разработка интернет-магазина по продаже чая гайвань
Как стать хакером
Система 112 - 3
Поиск подстрок
Применение современных информационных технологий, позволяющих создавать и использовать ЭОР
Презентация "Ссылки в Ms Excel" - скачать презентации по Информатике
КОЛИЧЕСТВО ИНФОРМАЦИИ ЕДИНИЦЫ ИЗМЕРЕНИЯ ИНФОРМАЦИИ
Урок информатика
B3: Анализ программы Что нужно знать: основные конструкции языка программирования: объявление переменных оператор присваивания
Pinterest
Подготовка к ГИА по информатике
Вы можете прислать нам Вашу презентацию и мы опубликуем ее на сайте.
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть