Можно выделить три различных концептуальных подхода к проектированию защиты ИС:
- «от продукта интегратора». Вся технология проектирования информационной безопасности ориентирована на то, чтобы продукт, производимый компанией, являлся центральным вне зависимости от решаемой задачи;
- «от нескольких продуктов независимых производителей». Понимая отсутствие единого продукта, защищающего от всех угроз, предлагается комбинация нескольких технологий защиты, например, брандмауэров от атак из Интернета, частная сеть для закрытия каналов связи, антивирусные программы - для защиты от вирусов.
- «от решения заказчика». Ответственность за принятие решений по защите информации возлагается на заказчика, т. е. заказчик сам выбирает решение и технологии по информационной безопасности. Системный интегратор должен реализовывать единую комплексную политику, как техническую, так и организационную, проводя ее на всех уровнях организации-заказчика. Независимо от выбранного способа любая система информационной безопасности, защищающая предприятие с распределенной информационной системой, должна быть разумно достаточной и не должна мешать работе сотрудников.
4. Общая классификация архитектур информационных приложений
4.1 Традиционные архитектурные решения
Эти решения основаны на использовании выделенных файл-серверов или серверов баз данных.
Привлекательность файл-серверной организации ИС объясняется тем, что сохраняется автономность прикладного и системного программного обеспечения, работающего на каждой рабочей станции локальной сети предприятия. В классическом случае в каждой рабочей станции дублируются не только прикладные программы, но и средства управления базами данных, а файл-сервер представляет собой разделяемое расширение дисковой памяти.
В файл-серверной архитектуре имеется «толстый» клиент и очень «тонкий» сервер в том смысле, что почти вся работа выполняется на стороне клиента, а от сервера требуется только достаточная емкость дисковой памяти.
Под клиент-серверным приложением понимают ИС, основанную на использовании серверов баз данных. В этом случае на стороне клиента выполняется код приложения, в который обязательно входят компоненты, поддерживающие интерфейс с конечным пользователем, производящие отчеты, выполняющие другие специфичные для бизнес-приложения функции. Клиентская часть приложения взаимодействует с клиентской частью СУБД. Клиентская часть сервера баз данных, используя средства сетевого доступа, обращается к серверу баз данных, передавая ему текст оператора языка SQL (языка структурированных запросов). В клиент-серверной организации клиенты могут являться достаточно «тонкими», а сервер должен быть «толстым» настолько, чтобы быть в состоянии удовлетворить потребности всех клиентов.
На практике распространена ситуация, когда для эффективной работы отдельной клиентской составляющей ИС требуется только небольшая часть общей базы данных. Это приводит к идее поддержки локального кэша общей базы данных на стороне каждого клиента (это частный случай концепции реплицированных (тиражируемых) баз данных). Естественно, клиенты становятся более «толстыми» при том, что сервер «тоньше» не делается.
4.2 Intranet-приложения
Информационная Intranet-система - это корпоративная система, в которой используются методы и средства Интернета. Хотя в общем случае в Intranet-системе могут использоваться все возможные службы Интернета, но наибольшее распространение получила WWW (WorldWideWeb - Всемирная Паутина). Потому, что с помощью языка HTML можно сравнительно просто разработать удобную для использования информационную структуру, которая в дальнейшем будет обслуживаться одним из Web-серверов, а наличие нескольких Web-браузеров (клиентов) избавляет от создания собственных интерфейсов доступа.
При таком подходе в ИС отсутствует прикладная обработка данных. Пользователь может только просмотреть информацию, поддерживаемую Web-сервером. Для изменения наполнения Web-сервера необходимо приостановить работу системы, внести изменения в HTML-описания и только затем продолжить ее обычную работу. При этом базы данных и соответствующие средства выборки данных для большинства задач остаются необходимыми.
Что касается логики бизнес-приложения, то она может быть реализована на стороне Web-сервера с помощью CGI {CommonGatewayInterface) и API {ApplicationProgrammingInterface). Оба эти интерфейса основываются на наличии в языке HTML специальных конструкций, информирующих клиент-браузер, что ему следует послать Web-серверу специальное сообщение, при получении которого сервер должен вызвать соответствующую внешнюю процедуру, получить ее результаты и вернуть их клиенту в стандартном формате HTTP.
В Intranet получили распространение и созданные на интерпретируемом объектно-ориентированном языке Java так называемые апплеты. Они могут быть привязаны в HTML-документу, и поступая на сторону клиента вместе с документом, выполняются либо автоматически, либо по явному указанию.
4.3 Хранилища данных и системы оперативной аналитической обработки данных
Кроме архитектур ИС, предназначенных для оперативной обработки данных, т. е. для получения текущей информации, очень важны системы для анализа всех имеющихся данных. Для этого необходимо иметь «datawarehouse» («хранилище данных», или «склад данных»), в котором накапливаются данные из оперативных баз данных за все периоды работы предприятия.
Основным источником информации, поступающей в оперативную базу данных, является деятельность корпорации, а для проведения анализа данных требуется привлечение внешних источников информации (например, статистических отчетов).
Если для оперативной обработки требуются свежие данные, то в хранилище данных нужно поддерживать хранение информации о деятельности корпорации и состоянии рынка на протяжении нескольких лет.
Оперативные базы данных могут содержать информацию, представленную в разных форматах, с разным указанием времени ее поступления, иногда даже противоречивую (например, из-за ошибок ввода данных). Склад данных корпорации должен содержать единообразно представленные данные из всех оперативных баз данных.
Оперативные ИС проектируются и разрабатываются в расчете на решение конкретных задач. При этом информация из базы данных выбирается часто и небольшими порциями. Хранилища данных существуют, чтобы отвечать на неожиданные запросы аналитиков и поэтому они должны обеспечивать:
- многомерное концептуальное представление данных;
- прозрачность данных;
- доступность к данным;
- эффективное генерирование отчетов;
- поддержку архитектуры «клиент-сервер»;
- поддержку многопользовательского режима;
- неограниченные операции между измерениями;
- интуитивное манипулирование данными;
- гибкую систему отчетов;
- неограниченное число измерений и уровней агрегации (суммирования).
4.4 Моделирование вычислительной сети
Как известно, самый простой и дешевый способ решения многих задач в науке и технике, - это моделирование происходящих процессов. Поэтому при проектировании ИС также приемлем подход, предполагающий разработку модели и моделирование поведения вычислительной системы.
Для моделирования используются так называемые системы высокоуровневого моделирования, к которым относятся, например, ARIS, RationalRose, С их помощью реализуются принципы структурного анализа, когда предприятие представляется в виде системы взаимосвязанных объектов. Эти средства позволяют определить и отразить в моделях основные объекты предприятия, протекающих процессов, используемой информации, а также представить взаимосвязи между этими компонентами.
Так как непосредственное моделирование функций вычислительной системы сегодня не представляется возможным, то для этого применяется динамическое моделирование. Его основу составляют модели оборудования и процессов (технологий, программного обеспечения), используемых при работе интересующего объекта.
При моделировании можно «экспериментировать» с исследуемым объектом, не прибегая к его физической реализации. В результате моделирования определяются способы получения, хранения, обработки и использования различной корпоративной и внешней информации, определяются минимальные потребности в оборудовании, оценивается его необходимый запас производительности. Причем можно выбирать из нескольких вариантов оборудования с учетом текущих потребностей, перспективы развития на основании критерия его стоимости.
В зависимости от предоставляемых возможностей моделирования изменяется и стоимость программных продуктов для динамического моделирования (табл. 5). Дешевые программы, например, Prophesy($600), отличаются от дорогих (несколько десятков тысяч долларов) тем, насколько подробно удается в них описать характеристики отдельных частей моделируемой вычислительной системы. Они не дают статистических характеристик и не предоставляют возможности проведения подробного анализа системы. Дорогостоящие системы позволяют собирать исчерпывающую статистику по каждому из компонентов сети при передаче данных по каналам связи и проводить оценку полученных результатов.
Моделирование становится эффективным при числе рабочих станций 50-100, а когда их более 300, то экономия средств может достигать 30-35 % от стоимости проекта.
Таблица 5 - Программы для динамического моделирования вычислительных систем
Продукт | Информация, | Тип вычислительнойсистемы | Операционная система | Краткая характеристика |
HyPerformix Workbench 4.1 | www.hvperformix. com | Локальные и глобальные сети | Windows, Solaris | позволяет выполнять моделирование на уровне приложений, канальном и физическом уровнях, а также моделирование сложных приложений и СУБД. Кроме того, она позволяет провести стоимостной анализ вариантов оборудования |
Net MAGIC Pro | www.netmaqicinc. com | Локальные сети | поддерживает стандартные тесты производительности, имитирует пиковую нагрузку на файл-сервер и сервер печати; позволяет моделировать взаимодействие пользователей с файл-сервером | |
NetDA/2 | www.ibm.com | Глобальные и локальные сети | OS/2 | позволяет анализировать и оптимизировать состояние сетей, задавать собственные алгоритмы маршрутизации, а также моделировать сценарии «что, если» |
NetworkVanta-ge 8.0 | www.comouware. com | Локальные и глобальные сети, клиентсерверные архитектуры | Windows,OS/2,Unix | позволяет моделировать уровни: приложений, транспортный, сетевой, канальный; легко настраивается на модель оборудования и может импортировать и экспортировать данные о топологии и сетевом трафике, в также учитывать алгоритмы маршрутизации |
NPAT | www.sun.com | Глобальные сети | Solaris | предназначена для моделирования интегрированных сетей данные/голос на базе магистралей Т1 и ТЗ |
OPNET | www.oonet.com | Локальные и глобальные сети, клиент-серверные архитектуры | Windows, Unix | анализирует воздействие приложений клиент - сервер и новых технологий на работу сети; позволяет импортировать и экспортировать данные о топологии и сетевом трафике; включает следующие продукты: Netbiz (проектирование и оптимизация вычислительной системы), Modeler (моделирование и анализ производительности сетей, компьютерных систем, приложений и распределенных систем), ITGuru (оценка производительности коммуникационных сетей и распределенных систем) |
Optimal Perfomance | www.ootimal.com | Локальные и глобальные сети | Windows | имеет возможности быстрого оценочного и точного моделирования, помогает оптимизировать распределенное программное обеспечение |
Prophesy | www.abstraction. com | Локальные и глобальные сети | Windows, OS/2 | позволяет оценить время реакции компьютера на запрос, количество «хитов» на WWW-сервере, количество рабочих станций для обслуживания активного оборудования, запас производительности сети при выходе из строя оборудования |
WinMIND | vww.salestar.com / products / winmind | Глобальные сети | Windows | предназначена для проектирования, настройки конфигурации и оптимизации сети; :одержит данные о стоимости типичных конфигураций с возможностью точной оценки производительности и тарифной платы |
5. Что нужно учитывать при выборе бизнес-приложений