Помощь в написании студенческих работ
Антистрессовый сервис

Разработка защищенной информационно-вычислительной сети организации (учреждения, предприятия)

КурсоваяПомощь в написанииУзнать стоимостьмоей работы

Значительная часть годового бюджета в информационных отделениях крупных компаний расходуется на перемещение рабочих мест, изменение структуры сети, ее расширение и т. д. Деление СКС на подсистемы (структурированность), стандартизированность и документирование упрощают управление ею. Универсальность, гибкость и избыточность СКС означают, что в дальнейшем заказчик сможет экономить… Читать ещё >

Разработка защищенной информационно-вычислительной сети организации (учреждения, предприятия) (реферат, курсовая, диплом, контрольная)

Нормативные ссылки

локальный вычислительный сеть

В настоящем курсовом проекте использованы ссылки на следующие стандарты:

ГОСТ 2.103−68 Единая система конструкторской документации. Стадии разработки ГОСТ 2.105−95 Единая система конструкторской документации. Общие требования к текстовым документам. Общие требования к текстовым документам ГОСТ 2.605−68 Единая система конструкторской документации. Плакаты учебно-технические. Общие технические требования ГОСТ 2.316−2008 ЕСКД. Правила нанесения на чертежах надписей, технических требований и таблиц ГОСТ Р 15.011−96 Система разработки и постановки продукции на производство. Патентные исследования. Содержание и порядок проведения ГОСТ 7.9−95 Система стандартов по информации, библиотечному и издательскому делу. Реферат и аннотация. Общие требования ГОСТ 7.80−2000 Система стандартов по информации, библиотечному и издательскому делу. Библиографическая запись. Заголовок. Общие требования и правила составления ГОСТ 7.32−2001 Система стандартов по информации, библиотечному и издательскому делу. Отчет о научно-исследовательской работе. Структура и правила оформления ГОСТ 7.82−2001 Система стандартов по информации, библиотечному и издательскому делу. Библиографическая запись. Библиографическое описание электронных ресурсов. Общие требования и правила составления ГОСТ Р 7.0.5−2008 Система стандартов по информации, библиотечному и издательскому делу. Библиографическая ссылка. Общие требования и правила составления ГОСТ 7.90−2007 Система стандартов по информации, библиотечному и издательскому делу. Универсальная десятичная классификация. Структура, правила ведения и индексирования ГОСТ 19.101−77 Единая система программной документации. Виды программ и программных документов ГОСТ 19.102−77 Единая система программной документации. Стадии разработки ГОСТ 19.104−78 Единая система программной документации. Основные надписи ГОСТ 19.105−78 Единая система программной документации. Общие требования к программным документам ГОСТ 19.202−78 Единая система программной документации. Спецификация. Требования к содержанию и оформлению ГОСТ 19.401−78 Единая система программной документации. Текст программы. Требования к содержанию и оформлению ГОСТ 19.402−78 Единая система программной документации. Описание программы ГОСТ 19.404−79 Единая система программной документации. Пояснительная записка. Требования к содержанию и оформлению ГОСТ 19.502−78 Единая система программной документации. Описание применения. Требования к содержанию и оформлению ГОСТ 19.701−90 Единая система программной документации. Схемы алгоритмов, программ, данных и систем. Условные обозначения и правила выполнения ГОСТ 24.301−80 Система технической документации на АСУ. Общие требования к выполнению текстовых документов ГОСТ 24.302−80 Система технической документации на АСУ. Общие требования к выполнению схем ГОСТ 24.303−80 Система технической документации на АСУ. Обозначения условные графические технических средств ГОСТ 24.304−82 Система технологической документации на АСУ. Требования к выполнению чертежей ГОСТ 19 781–90 Обеспечение систем обработки информации программное. Термины и определения ГОСТ Р 50 739−95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования ГОСТ Р 51 168−98. Качество служебной информации. Условные обозначения элементов технологических процессов переработки данных ГОСТ Р 51 169−98 Качество служебной информации. Система сертификации информационных технологий в области качества служебной информации. Термины и определения ГОСТ Р 51 170−98. Качество служебной информации. Термины и определения ГОСТ Р 51 171−98. Качество служебной информации. Правила предъявления информационных технологий на сертификацию ГОСТ Р 51 188−98 Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство ГОСТ Р 50 922−2006 Защита информации. Основные термины и определения ГОСТ Р 51 275−2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения ГОСТ 28 147–89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования ГОСТ 34.201−89 Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем ГОСТ 34.601−90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания ГОСТ Р 34.11−94 Информационная технология. Криптографическая защита информации. Функция хэширования ГОСТ Р 34.10−2001 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи ГОСТ Р 50 775−95 Системы тревожной сигнализации. Часть 1. Общие требования. Раздел 1. Общие положения ГОСТ Р 51 241−98 Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний ГОСТ Р 51 558−2000 Системы охранные телевизионные. Общие технические требования и методы испытаний

Термины и определения

Информация

Данные вне зависимости от формы представления

Защита информации

Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию

Система защиты информации

Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.

Политика безопасности (информации в организации)

Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Уязвимость (информационной системы)

Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

Мониторинг безопасности информации

Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации

Требование по защите информации

Установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации.

Несанкционированное воздействие на информацию Воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации

Целью данного курсового проекта является построение локальной вычислительной сети. ЛВС — компьютерная сеть, покрывающая обычно относительно небольшую территорию или небольшую группу зданий (дом, офис, фирму, институт). Также существуют локальные сети, узлы которых разнесены географически на расстояния более 12 500 км (космические станции и орбитальные центры). Несмотря на такие расстояния, подобные сети всё равно относят к локальным.

Компьютеры могут соединяться между собой, используя различные среды доступа: медные проводники (витая пара), оптические проводники (оптоволоконные кабели) и через радиоканал (беспроводные технологии). Проводные связи устанавливаются через Ethernet, беспроводные — через Wi-Fi, Bluetooth, GPRS и прочие средства. Отдельная локальная вычислительная сеть может иметь шлюзы с другими локальными сетями, а также быть частью глобальной вычислительной сети (например, Интернет) или иметь подключение к ней.

Чаще всего локальные сети построены на технологиях Ethernet или Wi-Fi. Для построения простой локальной сети используются маршрутизаторы, коммутаторы, точки беспроводного доступа, беспроводные маршрутизаторы, модемы и сетевые адаптеры. Реже используются преобразователи (конвертеры) среды, усилители сигнала (повторители разного рода) и специальные антенны.

Многие современные организации уже используют в своей работе большое количество компьютеров. Всё будет отлично работать, но в какой-то момент возникнет желание соединить их, ведь работники очень часто работают с одной информацией, и тогда им на помощь приходит сетевое программное обеспечение, которое позволит использовать всю эту информацию вместе, через сеть.

Если посмотреть на эту проблему с общих позиций то вопросом здесь является совместное использование ресурсов, а целью — предоставление доступа к программам, оборудованию и, в особенности, к данным любому пользователи сети, независимо от физического расположения ресурса и пользователя.

В наше время начала сильно развиваться мода на организацию IP-телефонии внутри данной организации, которая позволяет с помощью специального телефона и такой же компьютерной сети без проблем общаться между сотрудниками фирмы. Ведь это поможет сэкономить немалые средства на покупку и использование стационарных телефонов, и затраты времени на путешествия из одного офиса в другой.

Так же сейчас многие фирмы предпочитают вместо обычных встреч видеоконференции. Используя эту технологию, можно устраивать встречи, причем собеседники, возможно находящиеся за тысячи километров друг от друга, будут не только слышать, но и видеть друг друга. Что тоже позволяет сэкономить деньги и время, которые пришлось бы потратить на поездку.

И, конечно же, выход в интернет, работу какой-либо более или менее крупной фирмы можно представить без него.

И вот именно для всего этого необходимо создавать компьютерные сети. Рациональнее всего использовать структурированные кабельные системы. Почему же СКС, почему не организовать простую локальную сеть, потому что именно СКС отличают такие качества, как универсальность (единая среда для передачи информации, совместимость с оборудованием разных производителей и приложениями), гибкость (модульность и расширяемость, удобство коммутаций и внесения изменений), надежность (гарантия качества и совместимости компонентов) и долговечность.

Значительная часть годового бюджета в информационных отделениях крупных компаний расходуется на перемещение рабочих мест, изменение структуры сети, ее расширение и т. д. Деление СКС на подсистемы (структурированность), стандартизированность и документирование упрощают управление ею. Универсальность, гибкость и избыточность СКС означают, что в дальнейшем заказчик сможет экономить на эксплуатационных расходах, менять расположение, число и конфигурацию рабочих мест. Реализация СКС, по некоторым данным, до восьми раз сокращает стоимость владения системой и по истечении трех лет полностью окупает себя.

Благодаря своей универсальности и гибкости, СКС позволяет упростить процедуру перемещения рабочих мест и их наращивания. В любой момент времени СКС обеспечивает быстрый доступ ко всем своим кабелям. Одним словом, СКС, соответствующая международным стандартам, поможет сохранить вложенные деньги, обеспечить гибкость компьютерной и телефонной сети и гарантирует ее использование в течение нескольких лет без существенной переделки и дополнительных затрат.

Применение технологии Active Directory используя контроллеры домена позволяет повысить как информационную безопасность создаваемой сети путем введения разграничения доступа, так же дает возможность более гибкого развертывания и настройки различных политик.

Использование AD предоставляет:

— Разделение ресурсов Разделение ресурсов позволяет экономно использовать ресурсы, например, управлять периферийными устройствами, такими как лазерные печатающие устройства, со всех присоединенных рабочих станций.

— Разделение данных.

Разделение данных предоставляет возможность доступа и управления базами данных с периферийных рабочих мест, нуждающихся в информации.

— Разделение программных средств Разделение программных средств предоставляет возможность одновременного использования централизованных, ранее установленных программных средств.

— Разделение ресурсов процессора.

При разделении ресурсов процессора возможно использование вычислительных мощностей для обработки данных другими системами, входящими в сеть, Предоставляемая возможность заключается в том, что на имеющиеся ресурсы не «набрасываются» моментально, а только лишь через специальный процессор, доступный каждой рабочей станции.

— Многопользовательский режим Многопользовательские свойства системы содействуют одновременному использованию централизованных прикладных программных средств, ранее установленных и управляемых, например, если пользователь системы работает с другим заданием, то текущая выполняемая работа отодвигается на задний план.

Все ЛВС работают в одном стандарте, принятом для компьютерных сетей — в стандарте OSI — Open System Interconnection.

Часть 1. Разработка защищенной информационно-вычислительной сети организации (учреждения, предприятия)

Задание. Определить назначение, представить перечень функций ИВС и основные требования к комплексу технических и программных средств ЛВС разработать сеть для информационной системы в заданной предметной области.

Исходные данные для работы сведены в таблицу 1.

Таблица 1 — Исходные данные для проектирования ЛВС организации

Предметная область

Кол-во рабочих групп (отдельных комнат)

Расстояние между соседними группами, м

Число рабочих станций в группе — min/Max

Размеры зданий, м (длина, ширина)

Кол-во этажей распол. групп в здании

Количество зданий в организации/расстояние между ними, м

Информационная система для автоматизации организационнораспорядительного документооборота производственного предприятия.

50−120

10/15

700*

5/1000

1.1 Выбор оборудования и программного обеспечения

Эксплуатация в составе информационной системы накладывает ряд дополнительных требований на применяемое оборудование и программное обеспечение.

1.1.1 Выбор операционной системы

Было принято решение о выборе ОС для сервера и для АРМ, соответственно Microsoft Windows Server 2008 R2 и ОС Microsoft Windows 7. Professional.

Операционная система Windows Server 2008 R2 расширяет базовые возможности операционной системы Windows Server и предоставляет новые мощные средства, помогая организациям всех размеров повышать управляемость, доступность и гибкость в соответствии с изменяющимися требованиями бизнеса. Новые веб-средства, технологии виртуализации, средства управления и расширенные возможности масштабирования экономят время, снижают затраты и предоставляют надежную платформу для создания ИТ-инфраструктуры организации.

Windows Server 2008 R2 содержит новые и усовершенствованные средства и возможности в следующих пяти категориях.

В сервер Windows Server 2008 R2 включены множество усовершенствований, превращающих его в самую надежную платформу веб-приложений на основе Windows Server среди всех версий Windows. Он содержит обновленную роль веб-сервера и службы IIS 7.5 и обеспечивает расширенную поддержку .NET в режиме Server Core.

Виртуализация играет важнейшую роль в работе современных центров обработки данных. Обеспечиваемое виртуализацией повышение эффективности работы позволяет организациям значительно снизить трудоемкость эксплуатации и энергопотребление. Windows Server 2008 R2 поддерживает следующие типы виртуализации: виртуализацию клиентских и серверных систем с помощью Hyper-V и виртуализацию представлений с помощью служб удаленных рабочих столов.

Windows Server 2008 R2 поддерживает недостижимые ранее объемы рабочих нагрузок, динамическую масштабируемость, доступность и надежность на всех уровнях, а также ряд других новых и обновленных возможностей, включая использование современных архитектур процессоров, повышение уровня компонентного представления операционной системы и повышение производительности и масштабируемости приложений и служб.

Постоянное управление серверами в центрах обработки данных — одна из тех задач, которые отнимают у ИТ-специалистов наибольшее время. Применяемая в организации стратегия управления должна поддерживать управление физическими и виртуальными средами. Чтобы помочь в решении этой задачи, в состав Windows Server 2008 R2 включены новые средства, уменьшающие трудоемкость управления серверами Windows Server 2008 R2 и выполнения повседневных задач по администрированию серверов.

Операционная система Windows Server 2008 R2 поддерживает ряд функций, рассчитанных на работу с клиентскими компьютерами под управлением Windows 7.

Более подробно с основными возможностями ОС Windows Server 2008 R2 можно ознакомиться на сайте компании Microsoft.

Windows 7 была выпущена в свободную продажу осенью 2009 года и за прошедшее время успела стать самой популярной из всех операционных систем компании Microsoft. Попробуем разобраться, какие нововведения и улучшения по сравнению с предшественниками принесли Windows 7 такую популярность и любовь многочисленных пользователей по всему миру.

Большим подарком для любителей новейших технологий стало появление поддержки мультитач-управления. Эта технология позволяет управлять ноутбуком с сенсорным экраном движениями нескольких пальцев одновременно. Кроме того, она распознает различные жесты пользователя, что делает управление простым и интуитивно понятным. Windows 7 тесно интегрирована с производителями драйверов для различных устройств. Благодаря этому пользователи избавлены от необходимости самостоятельно определять, искать и устанавливать необходимые драйвера, в большинстве случаев система сделает это автоматически.

Любителей старых приложений порадует режим совместимости с более ранними операционными системами, например, Windows XP. Это значит, что пользователи смогут без труда запускать игры, которые были разработаны для предыдущих версий Windows.

В состав операционной системы Windows 7 включен пакет установки DirectX 11, которая поддерживает ряд новых технологий в обработке графики. Теперь у пользователей есть возможность сполна насладиться великолепной картинкой на экране компьютера, которая создается благодаря улучшению режима тесселяции и поддержке новых вычислительных шейдеров, а также расширенной возможности рендеринга изображений в несколько потоков.

Наконец-то реализована качественная работа встроенного в операционную систему медиапроигрывателя Windows Media Player, который в этот раз получил порядковый номер 12. Предыдущие версии программы воспроизводили лишь ограниченное количество видеоформатов, для улучшения работы требовалась установка большого количества кодеков. Такой подход не нравился пользователям, из-за чего они все чаще выбирали софт от сторонних производителей. В последней версии проигрывателя список поддерживаемых видеоформатов значительно расширен.

Windows 7 получила измененную, более удобную и функциональную панель задач. Теперь на панели отображаются только иконки без подписей, что позволяет одновременно уместить на ней гораздо больше приложений. Кроме того, на панели появилась кнопка «Свернуть все окна».

Появилась возможность управлять зарезервированным дисковым пространством, отведенным для восстановления системы. Также пользователь может сам определять, что именно следует восстанавливать — настройки системы, измененные файлы или все вместе.

Гаджеты рабочего стола в Windows 7 больше не привязаны к панели в левой части экрана. Пользователь может самостоятельно перемещать их в любое удобное ему место.

В Windows 7 увеличен перечень шрифтов, включенных по умолчанию. Кроме того, шрифты были переработаны для корректного отображения различных символов. Значительно расширен список нелатинских шрифтов, доступных для пользователя.

Интерфейс Aero, известный пользователям по предыдущей версии операционной системы Windows Vista, стал поддерживать несколько вариантов оформления. Кроме того, в него добавлены новые функции, которые позволяют легко управлять расположением и размером окон на рабочем столе.

1.1.2 Требования к оборудованию информационной системы

Напольный шкаф Напольный шкаф серии ШТК-М предназначен для размещения активного и пассивного телекоммуникационного оборудования в офисных и закрытых промышленных помещениях.

Шкаф имеет разборную каркасную конструкцию. Состоит из основания, крыши и двух сварных рам, соединенных комплектом швеллеров (сталь 2 мм.). Легок в сборке. За счет элементов крепления каркас шкафа имеет повышенную жесткость. Комплектуется усиленными боковыми стенками и металлической дверью. Стенки надежно фиксируются пластиковыми защелками и точечными замками. Дверь фиксируется усиленным точечным замком. Дверь имеет как правую, так и левую навеску.

В шкафу предусмотрены места для установки вентиляторных модулей серии МВ-400−2. Для установки модуля демонтируется заглушка, и модуль надежно фиксируется винтами. В основание или крышу ШТК-М возможна установка двух вентиляторных модулей. Крыша имеет дополнительную перфорацию и кабельный ввод — 290×50 мм, основание три кабельных ввода — 250×62 мм. В основание шкафа предусмотрена установка винтовых опор (ножек) позволяющих компенсировать неровности пола. Возможна установка поворотных роликов различной нагрузочной способности (в комплект поставки не входят). ШТК-М высотой 18−27U упакованы в два транспортных места.

Характеристики:

— Вид монтажа: напольный;

— Конструктив: 19″ ;

— Стандарт установки: 18U;

— Размеры (В x Ш x Г): 960×600×620 мм;

— Вес, кг: 56;

— Сайт производителя: http://www.cmo.ru/;

— Размер упаковки: 910×780×380 мм, вес 54 кг.

Коммутатор

Современные управляемые коммутаторы третьего уровня серии DES-38хх, входящие в семейство D-Link xStack, обеспечивают высокую производительность, масштабируемость, безопасность, многоуровневое качество обслуживания (QoS), передачу питания по сети Ethernet (Power Over Ethernet) и возможность подключения резервного источника питания. Коммутаторы серии DES-38хх можно объединять в виртуальный стек и управлять ими через единый IP-адрес.

Устройства поддерживают IP-маршрутизацию и расширенные функции, обычно присущие более дорогим коммутаторам на основе шасси.

Технология Single IP Management позволяет бесшовно объединять коммутаторы серии DES-38хх с гигабитными коммутаторами семейства xStack, имеющими возможность подключения к магистрали сети на скорости 10 Гбит/с. Характеристики:

— Тип: 48-х портовый коммутатор;

— Производитель: D-Link;

— Модель: DGS-1024D/F2A;

— Управление: Управляемые;

— Исполнение: Для монтажа в стойку;

— Количество портов: 48-х портовые;

— Поддерживаемая скорость: 10/100/1000;

— Режим дуплекса: Полу/полный;

— Поддерживаемые сетевые протоколы: IEEE 802.3, IEEE 802.3u, IEEE 802.3ab, IEEE 802.3x, IEEE 802.1p, IEEE 802.3az;

— Поддерживаемые стандарты: Auto MDI/MDIX;

— Поддерживаемая скорость: 15.7 Гбит/сек;

— Таблица MAC адресов: 16 384;

— Питание: От сети;

— Размеры: 441×310×44 мм;

— Вес: 4.25 кг;

— Сайт производителя: www.dlink.ru;

— Размер упаковки: 450×100×580 мм, вес 3 кг.

Рабочая станция

Wind Top AE1921 объединяет все возможности современного компьютера в единый белый корпус.

Характеристики:

— Производитель: MSI;

— Операционная система: Без ОС;

— Чипсет материнской платы: Intel NM10;

— Цвет: Белый;

— Размер LCD экрана: 18.5″ ;

— Разрешение экрана: 1366×768;

— Поверхность экрана: Матовая;

— Тип подсветки экрана: Светодиодная;

— Производитель процессора: Intel;

— Название процессора: Intel Atom D525;

— Частота работы процессора, ГГц: 1,8;

— Тип оперативной памяти: DDR3;

— Объем оперативной памяти: 4096 МБ;

— Максимальный объем оперативной памяти: 4096 МБ;

— Тип видео: Интегрированное;

— Чипсет видео: Intel GMA 3150;

— Объем видеопамяти: Выделяется из оперативной памяти;

— Объем жесткого диска: 320 Гб;

— Частота вращения шпинделя жесткого диска: 5400 Об/мин;

— Проводная сеть: 10/100/1000 Mbps;

— Беспроводные интерфейсы: 802.11b, 802.11g, 802.11n;

— Оптический привод: Привод DVD±RW DL. Чтение и запись обычных и двуслойных DVD дисков, а также чтение и запись CD дисков;

— Устройство чтения карт памяти: MS, MMC, SD;

— Порты и разъемы ввода/вывода: 1 x Сетевой порт (RJ-45), 1 x Вход для микрофона, 1 x Аудиовход (стерео), 4 x USB 2.0;

— Камера: 1.3 Мпикс;

— Аудио: Встроенные динамики, Встроенный микрофон;

— Дополнительно: В комплекте проводные клавиатура и мышь, Регулировка наклона;

— Размеры: 475×362×140 мм;

— Вес, кг: 5.3;

— Сайт производителя: www.msi.com.

Сервер

Сервер MicroXperts Z124HS-01 разработан специально для работы в небольших офисах и выполнения вспомогательных функций в крупных сетях. Он может выполнять функции сервера приложений, сервера электронной почты, прокси-сервера, брандмауэра, сервера виртуальной частной сети (VPN), контроллера домена (DC), сервера управления IP-адресами (DHCP), узла вычислительного кластера, узла фермы виртуализации. Сервер укомплектован жесткими дисками повышенной надежности, объединенными в RAID1 массив, что позволяет обеспечить дополнительную защиту данных.

В настоящее время появилась возможность замены комплектующих на заказ, а также сборки сервера по индивидуальной конфигурации.

Характеристики:

· Назначение: Офисные;

· Процессор: Intel® Xeon® E3−1220V2, Intel® S1200BTL;

· Операционная система: Без ОС;

· Объем оперативной памяти:16 384 МБ.

· Тип видеокарты: Интегрированная;

· Объем жесткого диска: 2×1000 ГБ;

· Сайт производителя: http://www.ulmart.ru/mxp/

· Размер упаковки: 600×300×500 мм, вес 10 кг.

UPS

Основные особенности ИБП Power-Vision Black 3/3:

— Трехфазный вход, трехфазный выход.

— 100% On-Line с двойным преобразованием напряжения и выходным изолирующим трансформатором.

— Инвертор с широтно-импульсной модуляцией (SPWM).

— Инвертор выполнен на мощных IGBT-транзисторах.

— ИБП способен выдерживать 100% несбалансированную по фазам нагрузку.

— Расширяемое время автономной работы.

— Совместим с дизель-генераторными установками (электрогенераторами).

— Функция «холодного» старта.

— Характеристики нагрузки и состояние батарей выводится на дисплей.

— Индикация режимов: сетевой режим, батарейный режим, перегрузка посредством светодиодов и ЖК-экрана.

— Интеллектуальная система управления аккумуляторными батареями (Advanced Battery Management — ABM).

— Коммуникационный интерфейс RS232.

— Дополнительная SNMP-карта.

Имеет сертификат соответствия РОССТАТа (приведен в приложении А).

Маршрутизатор

Cisco 3800 — это высокопроизводительная серия маршрутизаторов с интеграцией сервисов (Integrated Services Routers, ISR).

Маршрутизаторы серии Cisco 3800 сочетают функциональность обеспечения безопасности, обработки голоса и другие интеллектуальные сервисы в единой компактной платформе, исключая необходимость использования нескольких отдельных устройств. Многие сервисные модули, например модули голосовой почты, модули обнаружения вторжений, кэширования трафика и т. д., имеют собственные аппаратные ресурсы, устраняющие влияние сервисов на производительность маршрутизатора и в то же время управляемые с помощью единого интерфейса управления. Интеграция сервисов значительно расширяет область применения маршрутизаторов, снижает сложность сети и ее общую стоимость владения.

Маршрутизаторы серии Cisco 3800 имеют модульную конструкцию. Доступны слоты NME для установки сетевых модулей, слоты HWIC для установки интерфейсных модулей, а также слоты PVDM и гнезда AIM на системной плате маршрутизатора для установки модулей обработки голоса и сервисных модулей соответственно. Слоты NME совместимы с сетевыми модулями NM, усовершенствованными сетевыми модулями NME, расширенными модулями NME-X и модулями двойной ширины NME-XD и NMD, а также с голосовыми модулями EVM и модулями высокой плотности EVM-HD. Слоты HWIC имеют обратную совместимость с модулями WIC, VIC и VWIC.

Высокая производительность и плотность интерфейсов создают основу для дальнейшего расширения сети и внедрения будущих приложений.

Основные возможности:

— Поддержка полного спектра функций ПО Cisco IOSТМ.

— Интеграция голоса и данных.

— Обширный набор функций в рамках одного устройства

— Поддержка широкого спектра модулей (NM, NME, NME-X, NMD, EVM-HD, WIC, HWIC, VIC, VWIC, AIM, PVDM).

— Встроенные средства аппаратного ускорения шифрования (DES, 3DES, AES 128, AES 192, AES 256; поддерживаются в версиях ПО Cisco IOS Software с функциональностью обеспечения сетевой безопасности).

— Встроенные порты Gigabit Ethernet 10/100/1000, порты Gigabit Ethernet SFP (Small Form-Factor Pluggable).

— Интегрированный асинхронный порт (AUX) поддерживает соединения на скорости до 115,2 кбит/с.

— Интегрированные порты USB 1.1 для поддержки USB токенов, хранения ключей на отторгаемом носителе, безопасного распространения ПО и т. д. (в будущих версиях ПО).

— «Горячая» замена (OIR) модулей NME и SFP.

— Поддержка источников питания переменного и постоянного тока.

— Поддержка подачи питания для портов Inline Power от интегрированного блока питания.

— Резервирование интегрированного блока питания (только для Cisco 3845).

— Встроенные часы реального времени для обеспечения точного значения даты и времени.

— Поддержка функциональности Network Admission Control для предоставления доступа в сеть только хостам, соответствующим корпоративной политике безопасности.

— Ограниченная поддержка функциональности MPLS VPN.

SFP — модуль

Трансиверы, или Cisco SFP конверторы, — это устройства, которые подключаются в гигабитный порт Ethernet и предназначены для объединения данного порта с сетью, а так же имеют возможность горячей замены. Трансиверы являются взаимозаменяемыми и могут быть использованы в смешанных комбинациях 1000BASE-SX, 1000BASE-LX/LH, 1000BASE-ZX, или 1000BASE-BX10-D/U. Трансивер GLC-BX-D — это SFP приемопередатчик для одножильной одномодовой оптики с длиной волны в 1490 нанометров. Характеристики:

— Тип модуля: SFP (Mini GBIC)

— Скорость передачи даннях:1000 Мбит/с

— Длина волны (нанометры): 1490 (нисходящий поток)

— Тип оптики: одномодовая

— Поддерживает цифровой оптический мониторинг (DOM support)

— Внутренний диаметр жилы (микрон): G.652

— Полоса пропускания (МГц/км): ;

— Рабочее расстояние: 10 км

— Электропитание: 3,3В

— Мощность передатчика (дБм): От -3 до -9

— Мощность приемника (дБм): От -3 до -19.5

— Размеры: 13×9×57 мм.

1.1.3 Состав программного обеспечения организации

Любая информационная система включает в себя инфраструктурные службы — службы и программы, необходимые для поддержания работы системы и выполнения типовых функций, а также собственно «полезное» программное обеспечении приложения, выполняющие расчеты в целях обеспечения производства данной организации. Если прикладное программное обеспечение весьма разнообразно и общие рекомендации дать достаточно сложно, то инфраструктурные решения во многом схожи.

— ОС для АРМ: Windows 7

— Подсистема разрешения имен: DNS на сервере

— Подсистемы авторизации, аутентификации и контроля доступа: Active Directory

— Программное обеспечение офиса: MS Office 2010 Plus.

1.1.4 Спецификация ЛВС

По результатам проектирования составляется спецификация ЛВС (таблица 2)

Таблица 2 — Технические средства (ТС) вычислительной сети

№ п/п

Тип ТС

Наименование ТС

Цена ТС, руб.

Кол-во ТС, штук

Стоимость ТС, руб.

Сервер

MicroXperts Z124HS-01

41 490

41 490

Сетевой адаптер

Gigabit Ethernet 3COM

Линия связи

1. Одномодовое оптоволокно

2. Gigabit Ethernet

1. 30

2. 5

1. 2 000

2. 800

1. 6 000

2. 4 000

Коммутаторы

D-Link DES-3852.

35 440

1 240 400

Разъемы

Connector RJ-45

Сетевой принтер

HP Laser Jet 2100

4 610

23 050

SFP модуль

CISCO GLC-BX-D

9 450

47 250

Напольный шкаф

19″ ЦМО, ШТК-М-18.6.6−3ААА.

21 700

108 500

Маршрутизаторы

CISCO 3825

45 200

226 000

Программное обеспечение

Сетевая операционная система

Windows Server 2008 R2

96 925

96 925

ОС АРМ

Windows 7 Professional

4 730

378 400

Интегрированная офисная система

Пакет MS Office 2010 Rus

1 547

123 760

Межсетевой экран

Outpost Pro Firewall

1.2 Структура сети и проектирование ЛВС

Современная сеть создается на основе трех уровней: ядра (Core), распределения (Distribution) и доступа (Access), как это показано на Рисунок 8. На уровне доступа обеспечивается подключение конечных рабочих станций. На уровне распределения реализуется маршрутизация пакетов и их фильтрация (на основе списков доступа и т. п.).

Задача оборудования уровня ядра — максимально быстро передать трафик между оборудованием уровня распределения.

Если рассматривать типовую сеть небольшой организации, занимающей несколько этажей одного здания, то уровень распределения будет соответствовать оборудованию, объединяющему коммутаторы каждого этажа, а уровень ядра — активному оборудованию, размещаемому обычно в главной серверной.

Это классическая схема иерархической структуры, которая на практике часто модифицируется с учетом специфики организации, оборудования и т. д. Так, в зависимости от размеров предприятия, может отсутствовать какой-либо уровень, и структура сети станет двухуровневой.

Маршрутизацию данных можно реализовать на уровне ядра, а оборудование уровня распределения будет только пересылать данные внутри сегмента сети.

Все зависит от решаемых задач, распределения потоков информации и предъявляемых к информационной системе требований. Обобщенная структурная схема находится в приложении Б.

Рисунок 8 — Схема трехуровневой структуры сети

Часто в схеме сети выделяют серверную ферму. Принципиально серверная ферма представляет собой обычный узел распределения, но реализованный на быстродействующем оборудовании и, как правило, со 100%-ным резервированным решением. В малых организациях часто практикуется подключение серверов непосредственно к ядру сети передачи данных.

Трехуровневая схема больше свойственна крупным сетям. Для средних и небольших предприятий чаще всего создается двухуровневая схема: существует один, обычно самый мощный коммутатор, к которому подключаются как серверы, так и рабочие станции. К этому коммутатору подключены коммутаторы второго уровня, распределяющие данные на остальные рабочие станции.

На практике структуру сети администраторам обычно приходится «примерять» на уже существующие линии связи, ограничиваться возможностями по созданию новых соединений (учитывая, по какой трассе можно проложить линию связи собственными силами) и т. д. Поэтому одной из основных рекомендаций при изменении топологии сети должна быть минимизация количества коммутаторов между любыми двумя точками подключения компьютеров.

Топология была выбрана «звезда».

1.2.1 Планирование сети

Собранные сведения сведены в таблицу 3.

Таблица 3 — Конфигурация ЛВС

п/п

Компонент/

Характеристика

Реализация

Топология

Звезда

Кабель

Неэкранированная витая пара категории 5 (5е). Расстояние до 100 метров Волоконно-оптическая сеть Одномодовый кабель. Расстояние свыше 200 м

Сетевые адаптеры

Gigabit Ethernet 1000 BaseTX

Ethernet 10G

Коммутаторы и маршрутизаторы

1000 BaseTX (Gigabit Ethernet)

SFP модуль

Совместное использование ресурсов

Сеть на основе сервера с рабочими станциями — клиентами, способными выделять свои ресурсы в совместное использование. Ресурсы, требующие централизованного управления, находятся на сервере, а остальные — на рабочих станциях.

Совместное использование принтера

Часто сетевой принтер подключают к сетевому кабелю через сетевую плату, устанавливаемую непосредственно в принтере. Управление доступом к нему осуществляется с помощью программного обеспечения, которое позволяет серверу контролировать очередь к принтеру. Другой вариант подключения — к одной из рабочих станций, которая открывает доступ к нему, указывая его как общий ресурс сети.

Другие специализированные службы/серверы

Поддержка электронной почты, факсимильных сообщений, удаленный доступ к сети, совместное использование (пула) модемов, работа с базами данных и т. д. Многие из таких специализированных серверов могут устанавливаться на центральном выделенном сервере как дополнительное программное обеспечение, а при большом объеме работ эффективнее использовать выделенный сервер для каждой задачи.

1.2.2 Разработка структурной схемы ВС предприятия

Структура сети приведена на Рисунок 9. При построении кабельной системы подразумевается, что каждое рабочее место на предприятии должно быть оснащено телекоммуникационными розетками (ТО) для подключения компьютера, даже если в данный момент этого не требуется.

Рисунок 9 — Структура универсальной кабельной системы

Горизонтальная кабельная система.

Для нее характерно расширение и удобство использования.

Типовой план этажа приведен на Рисунок 10.

Рисунок 10 — Типовой план этажа

Вертикальная кабельная система, ее схема соединения приведена на Рисунке 11.

Рисунок 11 — Схема межэтажного соединения

Данные о длине кабеля и его характеристиках приведены в таблице 4.

Таблица 4 — Характеристики кабеля

Стандарт Ethernet

Пропускная способность

Тип кабеля

Максимальное расстояние для передачи

100-BaseTX

200 Mbps

Cat5 UTP

100 м

1000-BaseT

1 Gbps

Cat5e UTP

100 м

1000-BaseTX

1 Gbps

Одномодовое оптоволокно

200 км

На каждом этаже есть коммутатор уровня доступа, их всего 5, затем эти коммутаторы соединяются в коммутатор уровня распределения несколькими линиями связи, а этот коммутатор соединяется с главным маршрутизатором корпуса.

1.3 Выделение и определение размеров подсетей

IP адреса характеризуют сетевые соединения, а не компьютеры. IP адреса назначены на сетевые интерфейсы на компьютерах. На настоящий момент большинство компьютеров в IP-сети обладают единственным сетевым интерфейсом (и имеют, как следствие, единственный IP адрес). Но компьютеры (и другие устройства) могут иметь несколько (если не много) сетевых интерфейсов — и каждый интерфейс будет иметь свой IP адрес. Понятие подсети введено, чтобы можно было выделить часть IP-адресов одной организации, часть другой и т. д. Подсеть представляет собой диапазон IP-адресов, которые считаются принадлежащими одной локальной сети. При работе в локальной сети информация пересылается непосредственно получателю. Если данные предназначены компьютеру с IP-адресом, не принадлежащим локальной сети, то к ним применяются специальные правила для вычисления маршрута пересылки из одной сети в другую. Поэтому при использовании протокола TCP/IP важно знать, к какой сети принадлежит получатель информации: к локальной или удаленной. Важно, что организация подсетей имеет локальную конфигурацию, она невидима для остального мира. Сеть разбивают на подсети так, чтобы трафик был сосредоточен внутри подсетей, разгружая, таким образом, всю сеть, без необходимости увеличивать ее общую пропускную способность. Разделение на подсети может быть продиктовано соображениями безопасности, т.к. трафик в общей сети может быть перехвачен.

Так как предприятие имеет 8 рабочих групп, целесообразно разделить сеть на подсети. 23=8, это значит, что 3 бита адресного пространства необходимо выделить для организации подсетей, и в каждой подсети может быть максимум 25-2 = 30 ПК, что так же удовлетворяет условиям поставленной задачи. Поскольку компании выделен адрес класса С, имеющий префикс /24, расширенный сетевой префикс будет /27. Предприятию выделена базовая сеть 197.1.1.0. Маска подсети 255.255.255.224. Составим таблицы адресации IP для всех подсетей.

Таблица 5 — Разбиение на подсети

Отдел

IP адреса

Администрация

197.1.1.1/27 — 197.1.1.10/27

Отдел работы с потребителями

197.1.1.33/27 — 197.1.1.43/27

Отдел информационных технологий

197.1.1.65/27 — 197.1.1.77/27

Отдел инновационных технологий

197.1.1.97/27 — 197.1.1.111/27

Финансовый отдел

197.1.1.127/27 — 197.1.1.137/27

Юридический отдел

197.1.1.159/27 — 197.1.1.168/27

Производственный отдел

197.1.1.191/27 — 197.1.1.215/27

Склад

197.1.1.223/27 — 197.1.1.232/27

1.4 Планирование информационной безопасности

Защита информации включает в себя комплекс мероприятий, направленных на обеспечение информационной безопасности. На практике под этим понимается поддержание целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных.

Информационная безопасность — это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Основной критерий для выбора уровня защиты — важность информации. Сетевые серверы должны быть расположены в защищенном месте. На каждой рабочей станции должен быть предусмотрен уникальный входной пароль с периодическим обновлением. Для регистрации попыток обращения пользователей к ресурсам следует регулярно проводить аудит сети. С целью предотвращения возможности несанкционированного копирования данных следует использовать бездисковые рабочие станции. Наконец, с этой же целью можно предусмотреть шифрование данных.

Для защиты от безвозвратного разрушения данных обычно предусматривают резервное копирование по составленному плану, а также применение резервных источников бесперебойного питания.

Анализ угроз приведен в таблице 6.

Таблица 6 — Анализ угроз ЛВС

Угроза

Последствия

Хищение носителей информации

Нарушение конфиденциальности, целостности, доступности информации

Вандализм

Нарушение нормального функционирования оборудования

Отказы компонентов

Нарушение режима работы ИС

Природные явления

Уничтожение информации или оборудования

Права доступа для групп пользователей показаны в таблице 7.

Таблица 7 — Права доступа для групп пользователей

Название группы

Внутренние ресурсы

Уровни доступа к внутренним ресурсам

Доступ в Internet и электронная почта

Администраторы

Все сетевые ресурсы

Права администратора в каталогах, в том числе изменение уровня и прав доступа

Все сетевые ресурсы

Отдел информационных технологий

Базы данных разрабатываемых документов

Создание, чтение файлов, запись в файл, создание подкаталогов и файлов, удаление каталогов, поиск файлов, изменение каталогов

Все сетевые ресурсы

Отдел инновационных технологий

Вся информация предприятия (учреждения)

Ограничение доступа к папкам (по необходимости)

Ограничение по IPадресу (адресата и источника), ограничение по содержанию (входящей и исходящей корреспонденции)

Финансовый отдел

Вся информация предприятия (учреждения)

Ограничение доступа к папкам (по необходимости)

Ограничение по IPадресу (адресата и источника), ограничение по содержанию (входящей и исходящей корреспонденции), аутентификация удаленного пользователя перед осуществлением доступа

Юридический отдел

Вся информация предприятия (учреждения)

Ограничение доступа к папкам (по необходимости)

Ограничение по IPадресу (адресата и источника), ограничение по содержанию (входящей и исходящей корреспонденции), аутентификация удаленного пользователя перед осуществлением доступа

Производственный отдел

Информация о продукции, чертежи

Доступ только к специально отведенным областям

Ограничение по IPадресу (адресата и источника). Идентификация и аутентификация удаленного пользователя

Склад

Специальные каталоги и папки хранения

Просмотр объектов (чтение и поиск файлов), запись отдельных папок

Ограничение по IPадресу (адресата и источника). Идентификация и аутентификация удаленного пользователя

Также было принято решение об установке на сервер дополнительного средства защиты и фильтрации трафика, межсетевой экран, вендора Outpost Pro Firewall.

1.5 Проектирование аппаратного и программного обеспечения для использования глобальных вычислительных сетей

Глобальные сети представляют собой специфические предприятия по производству (предоставлению) информационного сервиса — электронная почта, телеконференции, новости, биржевые сводки, доступ к сетевым архивам и базам данных (Рисунок 12).

Рисунок 12 — Схема подключения к интернет

Важнейшими компьютерными сетями, которые действуют или в рамках или образуют совместно с Internet мировое сетевое пространство, являются сети ARPANET, NSFNET, BITNET, EARN, USENET, EUnet, NASA Science Internet, FidoNet, Compu Serve, MCI, Mail, GLASNET и др.

Чтобы подключиться к серверам Internet, компьютер должен иметь выход в эту глобальную сеть через соответствующего поставщика услуг с использованием арендованного выделенного канала.

Для подключения компьютера к Internet потребуется поддержка протокола TCP/IP, сконфигурированного так, чтобы компьютер был узлом Internet. Другими словами, компьютер должен иметь Internet-адрес, достижимый для предполагаемых пользователей сервера. В таблице 10 приведены характеристики услуг глобальной сети, которые следует учитывать при выборе способа подключения к Internet.

Таблица 8 — Характеристики услуг глобальной сети

Характеристики Типы ГВС

Ростелеком

Коммуникационные услуги

ЭП, телекс, факс, создание WWW-серверов

Информационные услуги

Доступ к Internet, доступ к службе новостей Clarinet, конференции USENET и другие

Линии связи

Спутниковые, оптоволоконные, кабельные линии связи по frame relay, X.25, IP, ISDN.

Территориальное размещение элементов

Около 30 городов России и СНГ

Сопряжение с другими ВС

Доступ к другим ВС, российским и международным, осуществляется в московском узле через шлюзы

Тарифы (на 14.04.2014)

Подключение — 50 000 руб.

Абонентская плата — 5 000 руб. в месяц.

Технические характеристики

Скорость передачи данных: 100 Мбит/с

Электронные коммерческие услуги

Банковские сети S.W.I.F.T.

Банкоматы, верификация кредитных карточек

Часть 2. Проектирование службы каталогов AD DS ОС Windows Server 2012 защищённой информационно-вычислительной сети организации (учреждения, предприятия)

Во многих организациях инфраструктура службы каталогов Active Directory Domain Services (AD DS) является в среде IT самым важным компонентом. Active Directory представляет собой иерархическую структуру, в которой хранится вся информация по всем сетевым объектам, а также связанные настройки и правила. Основное назначение служб каталогов — управление сетевой безопасностью. AD DS обеспечивать централизованные службы проверки подлинности и авторизации, разрешает сквозной доступ ко многим сетевым службам, предоставляет возможности управления любыми ресурсами и сервисами из любой точки независимо от размеров сети. Следовательно, проектирование инфраструктуры AD DS должно осуществляться строго в соответствии с требованиями организации.

Проектирование инфраструктуры AD DS включает:

— Определение количества лесов в сети,

— Порядок разбивания на домены,

— Планирование доменного пространство имен,

— Создание структуры организационных единиц (OU) для каждого домена,

— Проектирование физических компонент AD DS.

2.1 Определение требований службы каталогов

Учет бизнес-требований в дизайне AD DS

В проектировании AD DS для предприятия должно участвовать руководство компании. Бизнес-пользователи являются основными потребителями служб инфраструктуры Information Technology (IT), поэтому важно, чтобы проект соответствовал их требованиям.

Степень вовлеченности руководства в проектирование зависит от профиля компании. Практически в каждой организации участие руководства может означать утверждение в проекте дизайна высокоуровневых целей, таких как доступность информации, безопасность, удобство в управлении и практичность. Кроме того, руководители компании принимают Решения о том, сколько нужно в сети лесов, доменов и развертываемых доменных пространств имен, которые уже не так просто изменить после развертывания.

2.1.1 Бизнес-требования

Для организации были определены следующие бизнес-требования:

— Более эффективная работа

— Соответствие внешним требованиям (ГОСТам и т. п.)

— Получение максимальной прибыли от предприятия

— Получение наибольшей защищенности информации при минимальных вложениях

— Нацеленность на расширение и развитие

— Избежание нарушений бизнес-процесса

— Использование новых технологий и областей

2.1.2 Функциональные требования

Функциональные требования определяют ожидаемое поведение системы и выводятся из бизнес-требований, определяют методы решения бизнес-задач с помощью технологии. Функциональные требования используются для создания функциональной спецификации с детальным описанием проекта. Таким образом, чтобы найти оптимальное решение в соответствии с указаниями потребителей. Указанные в спецификации детали упростят процедуры утверждения и проверки решения. С помощью функциональной спецификации лучше всего определить количество ресурсов, соответствующие навыки работы.

2.1.3 Соглашения об уровне сервиса SLA

— Доступность. Например, одним из требований SLA может быть предоставление доступ к приложениям в течение 99,99% рабочего и 99,99% нерабочего времени для всех пользователей.

— Производительность. SLA регламентирует, что все пользователи должны войти в AD DS в течение 15 с после ввода учетных данных.

— Восстановление. В SLA указывается, к примеру, что в случае сбоя отдельного сервера службы, поддерживаемые этим сервером, должны быть восстановлены хотя бы до 75% стандартных возможностей в течение 4 ч.

Соглашения SLA оказывают значительное влияние на область проекта и бюджет, поэтому важно определить их на начальной стадии проекта. В соглашении решается, как достичь приемлемого уровня производительности за приемлемую цену.

2.1.4 Официальные правовые нормы и требования

Перечислены в разделе «Нормативные ссылки»

2.1.5 Требования безопасности

Для всех развертываний IT также существуют требования безопасности, которые играют особенно важную роль при развертывании AD DS, поскольку службы AD DS могут использоваться для предоставления безопасного доступ к большей части данных, служб и приложений в сети.

Задачи подсистемы безопасности организации:

— Мобильные пользователи, часто пребывающие в командировках, должны подключаться к внутренней сети, чтобы получить доступ к электронной почте, приложениям или данным.

— Пользователям вне организации может требоваться доступ к веб-сайтам, локализованным по периметру сети, с проверкой подлинности посредством внутренних пользовательских учетных данных AD DS.

— Офисы без системы физической безопасности, где злонамеренные пользователи получают доступ к сети. Другие офисы могут не располагать защищенным местом для хранения контроллеров доменов и других серверов.

— База данных с конфиденциальной пользовательской информацией, которая должна быть доступна для веб-приложений, работающих в сети.

Основные требования или инструкции безопасности:

— Все серверы должны быть локализованы в защищенной серверной, доступ в которую разрешен только авторизованным пользователям.

Показать весь текст
Заполнить форму текущей работой