Проектирование сети

 

6.2.7 Планирование информационной безопасности

Защита информации включает в себя комплекс мероприятий, направленных на обеспечение информационной безопасности. На практике под этим понимается поддержание  целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных [8].

Информационная безопасность - это  защищенность информации и поддерживающей инфраструктуры от случайных или  преднамеренных воздействий естественного  или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры [8].

Основной критерий для выбора уровня защиты - важность информации. Если в  проектируемой вычислительной сети будут обрабатываться конфиденциальные данные, следует выбрать централизованную защиту на основе сервера (независимо от количества обслуживаемых пользователей).

На этом этапе необходимо для  разработанной архитектуры ЛВС  и требований к ее безопасности с  учетом области применения  произвести следующие работы:

• составить таблицу угроз информационной безопасности;
• составить таблицу прав доступа пользователей к информации;
• составить перечень (таблицу) мероприятий по защите информации.

Всем защитным мерам должен предшествовать анализ угроз. К числу угроз можно отнести все, что влечет за собой потерю данных в сети, в том числе:

• воровство или вандализм;
• пожар;
• отказы источников питания и скачки напряжения;
• отказы компонентов;
• природные явления (молния, наводнения, бури и землетрясения).

Существуют методы и системы, предотвращающие катастрофическую потерю данных:

• резервное копирование на магнитную ленту;
• источники бесперебойного питания;
• отказоустойчивые системы;
• предупреждение кражи данных;
• пароли и шифрование;
• аудит;
• бездисковые компьютеры;
• обучение пользователей;
• физическая защита оборудования;
• защита от вирусов

Аудит - это запись определенных событий в журнал безопасности сервера.

В проекте нужно выбрать методы и системы для предотвращения потери данных, соответствующие перечню  наиболее реальных угроз безопасности в заданной предметной области, приводящих к наиболее тяжелым последствиям для вычислительной сети. Необходимой функцией средств обеспечения безопасности является регистрация деятельности пользователей. Для каждой базы данных, отдельного документа и даже отдельного поля записи в файле базы данных могут быть установлены:

• список пользователей, имеющих право доступа;
• функции, которые может выполнять пользователь;
• привилегии для доступа к выбранной информации.

В проектируемой вычислительной сети нужно выборочно наделить пользователей правами доступа к каталогам и создать группы для предоставления доступа к общим сетевым ресурсам. Пример определения прав доступа для групп пользователей показан в таблице 7.

Таблица 7 Права доступа для групп пользователей

Название группы	Внутренние ресурсы	Уровни доступа к  внутренним ресурсам	Доступ в Internet и электронная  почта
Администраторы	Все сетевые ресурсы	Права администратора в каталогах, в том числе изменение уровня и прав доступа	Все сетевые ресурсы
Разработчики	Базы данных разрабатываемых документов	Создание, чтение файлов, запись в  файл, создание подкаталогов и файлов, удаление каталогов, поиск файлов, изменение  каталогов	Все сетевые ресурсы
Сотрудники в офисе	Вся информация предприятия (учреждения)	Ограничение доступа к папкам (по необходимости)	Ограничение по IP- адресу (адресата и  источника), ограничение по содержанию (входящей и исходящей корреспонденции)
Сотрудники вне офиса	Вся информация предприятия (учреждения)	Ограничение доступа к папкам (по необходимости)	Ограничение по IP- адресу (адресата и  источника), ограничение по содержанию (входящей и исходящей корреспонденции), аутентификация удаленного пользователя перед осуществлением доступа
Поставщики, деловые партнеры, клиенты	Специальные каталоги и папки для производителей, партнеров и клиентов	Доступ только к специально отведенным областям	Ограничение по IP- адресу (адресата и  источника). Идентификация и аутентификация удаленного пользователя
Потенциальные клиенты	Специальные каталоги и папки для клиентов	Просмотр объектов (чтение и поиск  файлов)	При открытом доступе Интрасеть  должна быть изолирована; идентификация  пользователя не требуется

6.3. Проектирование аппаратного  и программного обеспечения для  использования глобальных вычислительных сетей

Проектирование средств для  использования глобальных вычислительных сетей производится в следующей  последовательности.

6.3.1. Выбор оптимальной конфигурации  ядра и пограничных устройств

Выбрать оптимальную конфигурацию ядра и пограничных устройств кампусной сети, подобрать состав сетевых устройств и определить типы линий связи и их длины. Составить структурную схему сети (см.[6]).

Предусмотреть в структурной схеме  введение типовых серверов (файлового, почтового, WWW…).

Протяженные линии связи в глобальных сетях часто выполняются на оптоволокне. При этом для конкретных реализаций линии обычно проводят поверочный расчет оптических линий.

Каждый оптический порт характеризуется  мощностью передатчика, чувствительностью  и динамическим диапазоном приемника. Разница между выходной мощностью передатчика и чувствительностью приемника (в децибелах) называется бюджетом мощности (Power Budget). Обычно предполагается, что оборудование на концах линии симметрично (стандартная пара трансиверов). Бюджет определяется активным оборудованием и характеризует уровень потерь, который может вносить линия без нарушения устойчивого соединения. Для современных технологий бюджет составляет величину порядка 11-40дб [18].Потери в линии рассчитываются по спецификациям на компоненты (волокно, коннекторы), где они указаны для конкретных  длин волн и режимов передачи (SM, MM). Потери в линии зависят от температуры, деформации волокон, уровня радиации, времени (старение), чистоты поверхности в коннекторах, возможные дополнительные соединения. По отношению к потерям в линии бюджет мощности должен иметь положительный запас в 3-6дб, рассчитанный на эти случаи.

6.3.2 Пример расчета энергетического баланса линии.

 

Схема линии:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Рисунок 13 – К примеру расчета энергетического баланса линии

Исходные данные:

Передатчик: мощность P_TR= -6 дб/мвт; диаметр излучателя D_TR=100мкм; апертура NA_TR=0,3;

Приемник: чувствительность P_RSV=-39дб/мвт; диаметр приемника D_TR=100мкм; апертура NA_TR=0,3; динамический диапазон P_D=18 дб

Волокно 1: 50/125мкм; поглощение Att_F1=3,5дб/км; длина L _F1=3км; апертура NA _F1=0,2;

Волокно 2: 62,5/125мкм; поглощение Att_F2=3,5дб/км; длина L _F2=2км; апертура NA _F2=0,4;

Потери в каждом соединении LOSS_c обычно составляют до1дб.

Потери из-за несогласованности  диаметров D1,D2    LOSS_Д=20lg(D1/D2)

Потери из-за несогласованности  апертур NA1,NA2   LOSS_A=20lg(NA1/NA2)

Расчет.

Потери от передатчика до волокна 1:

LOSS_TR-1= LOSS_c+LOSS_Д+LOSS_A=1+20lg(100/50)+20lg(0,3/0,2)=1+6+3,5=10,5дб.

Потери в волокне 1:

LOSS _F1=Att _F1* L _F1=3,5*3=10,5дб.

Потери на соединении двух волокон (диаметры и апертуры согласованы):

LOSS_F1-F2= LOSS_c=1дб.

Потери в волокне 2:

LOSS _F2=Att _F2* L _F2=3,5*2=7дб.

Потери от волокна 2 до приемника (диаметры и апертуры согласованы):

LOSS_{F2- RSV}= LOSS_c=1дб.

Итого потери = 10,5+10,5+1+7+1= 30дб.

Бюджет мощности = P_TR- P_RSV=-6-39=33дб

Запас бюджета мощности = 33-30=3дб.

Вывод: линия работоспособна, т.к. имеет достаточный запас бюджета мощности, величина которого меньше динамического диапазона приемника.

Если линия вносит настолько  малые потери (короткая линия), что  уровень сигнала на входе приемника  не вписывается в его динамический диапазон (запас бюджета мощности превышает динамический диапазон минус 3-6дб), применяют оптические аттенюаторы с фиксированным или изменяемым уровнем затухания (путем, например, введения воздушного зазора между волокном и коннектором). В данном примере запас бюджета (3дб) меньше динамического диапазона приемника (18дб), поэтому введения таких аттенюаторов не требуется.

6.3.3. Выбор услуг, предоставляемых глобальной вычислительной сетью

Выбор услуг, предоставляемых глобальной вычислительной сетью, выбор поставщика услуг глобальной вычислительной производится в соответствии с выбранной конфигурацией кампусной сети и для выполнения необходимых функций и состоит из следующих этапов:

• Выбрать поставщика услуг (провайдера), ориентируясь на географическое местоположение, наличие предоставляемой выделенной линии и ее качество, предоставляемые услуги и их цены;
• Разработать структурную схему средств выхода в Интернет;

Глобальные сети представляют собой  специфические предприятия по производству (предоставлению) информационного сервиса - электронная почта, телеконференции, новости, биржевые сводки, доступ к  сетевым архивам и базам данных и т.д.

Важнейшими компьютерными сетями, которые действуют или в рамках или образуют совместно с Internet мировое  сетевое пространство, являются сети ARPANET, NSFNET, BITNET, EARN, USENET, EUnet, NASA Science Internet, FidoNet,Compu Serve, MCI, Mail, GLASNET и др.

Чтобы подключиться к серверам Internet, компьютер должен иметь выход  в эту глобальную сеть через соответствующего поставщика услуг  с использованием арендованного выделенного канала (например, спутникового, рисунок 14).

Рисунок 14 - Схема ГВС со средствами спутниковой связи

Для подключения компьютера к Internet потребуется поддержка протокола TCP/IP, сконфигурированного так, чтобы компьютер был узлом Internet. Другими словами, компьютер должен иметь Internet-адрес, достижимый для предполагаемых пользователей сервера.

В Российской Федерации действует примерно тридцать общедоступных компьютерных сетей, предоставляющих возможность IP соединения с Internet, в том числе Relcom, Совам Телепорт, SPRINT, , Glasnet, FREEnet, RUNNet. В таблице 8 приведен пример характеристик услуг глобальной сети, которые следует учитывать при выборе способа подключения к Internet.

Таблица 8  Характеристики услуг глобальной сети

Характеристики \ Типы ГВС	SOVAM TELEPORT
Коммуникационные услуги	ЭП, телекс, факс, создание WWW-серверов
Информационные услуги	Доступ к Internet, доступ к службе новостей Clarinet, конференции USENET и другие
Линии связи	Спутниковые, оптоволоконные, кабельные  линии связи по frame relay, X.25, IP, ISDN.
Территориальное размещение элементов	Около 30 городов России и СНГ
Сопряжение с другими ВС	Доступ к другим ВС, российским и международным, осуществляется в  московском узле через шлюзы
Тарифы ( на 14.04.98)	Подключение - 50 $  Абонентская плата - 35 $ в месяц  Почасовая плата (сверх 7 час. В месяц) - 1,5 $/ч.
Технические характеристики	Скорость передачи данных: (9.6 - 256) Кбит/с
Электронные коммерческие услуги	Банковские сети  S.W.I.F.T.  Банкоматы, верификация кредитных карточек

Для выбора поставщика услуг вычислительных сетей нужно составить аналогичную  таблицу, поместив в ней характеристики 3 - 4 поставщиков услуг вычислительных сетей. Эти характеристики являются исходными данными для выбора поставщика услуг глобальных вычислительных сетей по одному из известных методов решения задачи выбора, аналогично задаче выбора конфигурации локальной вычислительной сети.

6.4. Расчет экономической эффективности  от внедрения вычислительной  сети [5]

6.4.1. Источники экономической эффективности

По оценке зарубежных специалистов в области автоматизации управления, автоматизация работы служащих в условиях промышленных предприятий может сократить общие расходы на конторскую деятельность примерно на 25%. Однако, наиболее важной целью автоматизации работы служащих является повышение качества административных решений (качество вырабатываемой информации).