Общесистемное аппаратно-программное обеспечение УНС "Электрофизика"
Сеть состоит из основного сервера, компьютерного класса с рабочими станциями, сетевого коммутатора и шлюза в Internet. В качестве рабочих ОС применяются Windows XP и Debian GNU/Linux, которая была выбрана как постепенная замена XP. Программа установки Debian GNU/Linux позволяет производить установку и обновление ОС с разных носителей в автоматическом режиме, что особенно удобно при обслуживании компьютерного класса. На данный момент Windows XP используется только на трех рабочих станциях, на которых также установлена ОС Debian GNU/Linux.
Главной задачей основного сервера является предоставление санкционированного доступа ко всем сервисам учебно-научного центра. При этом из единого центра обеспечивается авторизация пользователей GNU/Linux и Microsoft Windows. Для этого была использована база LDAP, хранящая все учетные записи. ОС GNU/Linux позволяет использовать различные механизмы авторизации, предоставляемые технологиями Name Service Switch (NSS) и Pluggable Authentication Modules (PAM). Для авторизации через базу LDAP были использованы модули libnss-ldap и libpam-ldap. Помимо авторизации пользователям необходимо иметь доступ к своему домашнему каталогу на сервере. Для этого применяется сетевая файловая система NFS версии 3.
ОС Windows использует доменную авторизацию на основе программы Samba, реализующей возможности Windows на ОС UNIX, настроенной на работу с базой LDAP. Также Samba служит файловым сервером для доступа к домашним каталогам пользователей по протоколу CIFS. Таким образом, пользователь может через одну учетную запись получить доступ ко всем рабочим станциям учебно-научного центра и к своему домашнему каталогу, независимо от типа установленной на данной рабочей станции ОС. Кроме того, имеется возможность получить безопасный доступ к домашнему каталогу пользователя из Internet с применением расширения протокола SSH – SFTP (Secure File Transfer Protocol). Во всех случаях используется стандартный механизм разграничения прав доступа к файлам, заложенный в системе GNU/Linux, а в особых случаях – расширенный метод Unix ACL.
Помимо авторизации и файлового хранилища, основной сервер предоставляет доступ к электронной почте, Web-серверу и сетевым принтерам. Для проверки доступа к ним также используется база LDAP. Электронная почта обеспечивает авторизованную отправку и прием писем по протоколам SMTP, IMAP и POP3. Уязвимым местом этих протоколов является передача учетных данных пользователя в открытом виде, поэтому для предотвращения перехвата связь с сервером осуществляется с применением зашифрованного соединения SSL. Для этого на сервере установлены программы Postfix и CourierIMAP.
Доступ к принтерам осуществляет программа CUPS с использованием протокола IPP (Internet Printing Protocol).
Web-сервер, функционирующий под управлением программы Apache, обеспечивает работу сайта кафедры ЭФУ, на котором размещена учебная информация, программы для самостоятельного выполнения лабораторных работ студентами и портал дистанционного обучения.
Доступ к Internet осуществляется через отдельный шлюз, в качестве которого служит компьютер с двумя сетевыми интерфейсами. Шлюз обеспечивает работу локальных компьютеров в Сети с использованием механизма подмены адресов NAT (Network Address Translation), одновременно защищая их от внешних воздействий. Для доступа к локальным ресурсам учебно-научного центра применяется механизм Port Forwarding, который открывает доступ из внешней сети к IP-портам основного сервера, используемым для работы программ SSH, электронной почты и Web-сервера. Работу NAT и Port Forwarding поддерживает ядро ОС GNU/Linux.
Чтобы обеспечить безопасность всего учебно-научного центра, программы, доступ к которым возможен из Internet, выполняются в изолированном окружении (chroot), что предотвращает доступ ко всей системе при взломе одной из них. Программное обеспечение безопасности хранения информации, кроме традиционных средств ОС, включает средства инструментальной среды дистанционного обучения Moodle (moodle.org), созданной в рамках проекта Collaboration Across Borders, получившего поддержку Европейской образовательной программы Socrates – Minerva. На основе Moodle предполагается построить все формы взаимодействия кафедральных циклов. Имеется три уровня доступа к основным ресурсам кафедрального информационно-вычислительного центра:
- локальная сеть кафедрального компьютерного класса, в состав которого входит базовый UNIX-сервер;
- сеть кампуса МИФИ, включающая в себя компьютеры кафедральных учебно-исследовательских лабораторий, общеинститутские компьютерные классы, ПК студенческих общежитий и т.п.;
- домашние компьютеры преподавателей и студентов.
Защита от непреднамеренных воздействий, связанных с ошибками обслуживающего персонала, сбоями в электросети и т.п., достаточно традиционна и предусматривает:
- резервное копирование личных архивов пользователей, регулярное копирование наиболее важного и часто изменяемого общеинститутского и прикладного ПО;
- избыточность данных, которая обеспечивается как RAID-массивами центрального кафедрального сервера, так и отдельным резервным сервером на базе Unix в сети компьютерных классов МИФИ;
- защиту от сбоев в силовой электрической сети.
Основным средством защиты от нежелательных (преднамеренных) внешних воздействий является межсетевой экран, представляющий собой комплекс программно-аппаратных средств, ограничивающих доступ к информационным ресурсам центра (шлюз Internet). Связь с сервером осуществляется с помощью зашифрованного соединения SSL, при этом используются программы Postfix и Courier IMAD.
Определенную роль в общем комплексе мер информационной безопасности играет proxy-схема с аутентификацией пользователей, которая создает соединение внешней сети с конечным адресатом через промежуточный сервер, и таким образом кафедральная локальная сеть ПК представляет собой частную сеть с виртуальными IP-адресами.