Разработка проекта защиты локальной вычислительной сети учебного заведения
Приднестровский
государственный университет им. Т.Г. Шевченко
Инженерно-технический
институт
Кафедра ИТУ
Задание на дипломную работу
студента Кудлаенко Дмитрия Андреевича
1. Тема работы: «Разработка проекта защиты локальной вычислительной сети
учебного заведения» утверждена приказом № 53-ОД от 24.01.2011
2. Срок сдачи студентом законченной работы: 17 июня 2011 г.
3. Исходные данные к проекту (работе): требования к параметрам
работоспособности локальной вычислительной сети, требования к программному
продукту защиты сети.
4. Краткое содержание дипломной работы:
4.1 Исследовательской части: произвести анализ поставленной задачи,
сравнение существующих методологий реализации, найти оптимальный вариант
инструментов для разработки проекта.
4.2 Проектной части: разработка проекта локальной сети
инженерно-технического института с учетом требований информационной
безопасности.
4.3 Программной части: разработка программного средства обеспечения
защиты локальной вычислительной сети.
4.4 Экономической части: рассчитать технико-экономические показатели и
эффективность разработки проекта. Доказать целесообразность внедрения проекта.
.5 Охраны труда: произвести расчеты освещения и заземления
производственного помещения; разработать технические средства и организационные
мероприятия, уменьшающие воздействие на работающих, выявленных вредных
производственных факторов.
АННОТАЦИЯ
Данная дипломная работа посвящена разработке проекта защиты локальной
вычислительной сети инженерно-технического института ПГУ им. Т.Г. Шевченко.
Проект позволяет обеспечить необходимый уровень информационной
безопасности локальной сети института, а также ее надежную и эффективную
работоспособность.
Отдельное внимание было уделено разработке программного средства защиты
локальной сети.
Данный проект предназначен для использования в инженерно-техническом
институте.
ANNOTATION
The given graduated work is devoted development of a security
project for the local area network of Engineer-Technical Institute based on
Transnistirian State University.project provides the necessary level of
information security of Institute LAN and also its stable and efficient
work.special attention has been given to development of a software solution for
providing network security.project is intended for usage in Engineer-Technical
Institute.
СОДЕРЖАНИЕ
Введение
. Анализ
предметной области и выбор средств реализации поставленной задачи
.1 Общие сведения
о локальных сетях
.2 Основные
понятия обеспечения информационной
.3 Программные
методы обеспечения безопасности
.4 Обоснование
выбора средства защиты локальной
.5 Выбор средства
разработки26
. Разработка
проекта локальной вычислительной сети
.1 Постановка и
анализ задачи проектирования
.2 Выбор стандарта
передачи данных внутри сети
.3 Организация
беспроводной сети
.4 Выбор оборудования
и программного обеспечения
.5 Проектирование
кабельной системы
. Разработка
программного средства защиты
.1 Постановка и
анализ задачи разработки57
.2 Построение
объектной модели программной системы
.3 Построение
динамической модели системы
.4 Реализация
алгоритма кэширования
.5 Реализация
алгоритма авторизации
.6 Реализация
алгоритма шифрования по протоколу SSL
.7
Пользовательский интерфейс
.
Организационно-экономическая часть
.1 Общие положения
.2 Расчет затрат
на проектирование и внедрение
.3 Определение
экономической эффективности
. Охрана труда
.1 Организация
рабочего места программиста
.2
Электробезопасность
.3 Пожарная
безопасность
Заключение
Перечень условных
обозначений, символов, единиц и терминов
Список литературы
Приложение а
Приложение б
ВВЕДЕНИЕ
Обеспечение информационной безопасности на сегодняшний день названо
первой из пяти главных проблем сети Internet, которая представляет собой
эффективную, но вместе с тем и непредсказуемую среду, полную разнообразных
угроз и опасностей. Актуальность проблемы сетевой безопасности не подвергается
никаким сомнениям, так как по имеющимся статистическим данным ущерб, наносимый
по средствам реализации сетевых угроз, растет в геометрической прогрессии.
Большая группа угроз связана с несовершенством протоколов, в частности
протоколов стека TCP/IP. Так как эти протоколы разрабатывались в то время,
когда проблема обеспечения информационной безопасности еще не была актуальной,
это привело к появлению целого ряда критических уязвимостей, которые в дальнейшем
начали активно использоваться злоумышленниками для проведения сетевых атак.
Многообразие угроз порождает многообразие методов защиты. В настоящее
время в компьютерных сетях предприятий используются различные технологии
обеспечения информационной безопасности: аутентификация и авторизация,
шифрование и антивирусные средства, сетевые экраны и прокси-серверы, защищенные
каналы и виртуальные частные сети.
Цель данной дипломной работы - подробно рассмотреть проблему обеспечения
безопасности информационной системы, разработать простой проект локальной
вычислительной сети и подготовить проект программного средства защиты данной
сети от внешних угроз.
1. АНАЛИЗ
ПРЕДМЕТНОЙ ОБЛАСТИ И ВЫБОР СРЕДСТВ РЕАЛИЗАЦИИ ПОСТАВЛЕННОЙ ЗАДАЧИ
.1 Общие
сведения о локальных сетях
Локальная вычислительная сеть (ЛВС; англ. Local Area Network, LAN) -
компьютерная сеть, покрывающая обычно относительно небольшую территорию или
небольшую группу зданий (дом, офис, фирму, институт). Также существуют
локальные сети, узлы которых разнесены географически на расстояния более 12 500
км (космические станции и орбитальные центры). Несмотря на такие расстояния,
подобные сети всё равно относят к локальным.
Существует множество способов классификации сетей. Основным критерием
классификации принято считать способ администрирования. То есть в зависимости
от того, как организована сеть и как она управляется, её можно отнести к
локальной, распределённой, городской или глобальной сети. Управляет сетью или
её сегментом сетевой администратор. В случае сложных сетей их права и
обязанности строго распределены, ведётся документация и журналирование действий
команды администраторов.
Компьютеры могут соединяться между собой, используя различные среды
доступа: медные проводники (витая пара), оптические проводники (оптические
кабели) и через радиоканал (беспроводные технологии). Проводные связи
устанавливаются через Ethernet, беспроводные - через Wi-Fi, Bluetooth, GPRS и
прочие средства. Отдельная локальная вычислительная сеть может иметь шлюзы с
другими локальными сетями, а также быть частью глобальной вычислительной сети
(например, Интернет) или иметь подключение к ней.
Чаще всего локальные сети построены на технологиях Ethernet или Wi-Fi.
Следует отметить, что ранее использовались протоколы Frame Relay, Token ring,
которые на сегодняшний день встречаются всё реже, их можно увидеть лишь в
специализированных лабораториях, учебных заведениях и службах. Для построения
простой локальной сети используются маршрутизаторы, коммутаторы, точки
беспроводного доступа, беспроводные маршрутизаторы, модемы и сетевые адаптеры.
Реже используются преобразователи (конвертеры) среды, усилители сигнала
(повторители разного рода) и специальные антенны.
Существует два основных типа сетей: одноранговые и иерархические - сети
(с разделением функций подключенных компьютеров). В одноранговой сети все
компьютеры равноправны: нет иерархии среди компьютеров и нет выделенного (англ.
dedicated) сервера. Как правило, каждый компьютер функционирует и как клиент, и
как сервер; иначе говоря, нет отдельного компьютера, ответственного за
администрирование всей сети. Все пользователи самостоятельно решают, какие
данные на своем компьютере сделать общедоступным по сети. На сегодняшний день
одноранговые сети бесперспективны, но все еще широко применяются для решения
простых задач. Если к сети подключено более 10 пользователей, то одноранговая
сеть, где компьютеры выступают в роли и клиентов, и серверов, может оказаться
недостаточно производительной. Поэтому большинство сетей использует выделенные
серверы. Выделенным называется такой компьютер, который функционирует только
как сервер (исключая функции клиента или рабочей станции и только предоставляя
ресурсы прочим участникам сети). Они специально оптимизированы для быстрой
обработки запросов от сетевых клиентов и для управления защитой файлов и
каталогов. Иерархические сети стали промышленным стандартом, и именно они будут
рассмотрены в этой работе. Существуют и комбинированные типы сетей, совмещающие
лучшие качества одноранговых сетей и сетей на основе сервера.
Рассмотрим преимущества, получаемые при сетевом объединении персональных
компьютеров в виде внутрипроизводственной вычислительной сети.
) Разделение ресурсов: ресурсов позволяет экономно использовать ресурсы,
например, управлять периферийными устройствами, такими как печатающие
устройства, внешние устройства хранения информации, модемы и т.д. со всех
подключенных рабочих станций;
) Разделение данных: предоставляет возможность доступа и управления
базами данных с периферийных рабочих мест, нуждающихся в информации;
) Разделение программных средств: предоставляет возможность
одновременного использования централизованных, ранее установленных программных
средств.
) Разделение ресурсов процессора: делает возможным использование
вычислительных мощностей для обработки данных другими системами, входящими в
сеть. Предоставляемая возможность заключается в том, что на имеющиеся ресурсы
не «набрасываются» моментально, а только лишь через специальный процессор,
доступный каждой рабочей станции.
) Многопользовательский режим: содействует одновременному использованию
централизованных прикладных программных средств, обычно, заранее установленных
на сервере приложения (англ. Application Server).
Таким образом, сеть дает возможность отдельным сотрудникам организации
взаимодействовать между собой и обращаться к совместно используемым ресурсам;
позволяет им получать доступ к данным, хранящимся на персональных компьютерах,
как в удаленных офисах, так и соседних ПК. Кроме того, правильная организация
ЛВС обеспечивает информационную безопасность (исключает несанкционированный
доступ к информационным блокам).
С помощью современного оборудования можно передавать большие
информационные потоки данных не только по проводным линиям, но и по
радиоканалу, что увеличивает эффективность и гибкость создаваемых локальных и
корпоративных сетей связи.
Вложенные на этапе организации финансовые средства обеспечивают системе
долговечность и эффективность, в дальнейшем сеть быстро окупается и требует
минимальных затрат на эксплуатацию.
Основные принципы построения ЛВС:
) Открытость - возможность подключения дополнительных компьютеров и
других устройств, а также линий (каналов) связи без изменения технических и
программных средств существующих компонентов сети;
) Гибкость - сохранение работоспособности при изменении структуры в
результате выхода из строя любого компьютера или линии связи;
) Эффективность - обеспечение требуемого качества обслуживания
пользователей при минимальных затратах.
В настоящее время локальные вычислительные сети также довольно широко
используются в учебных заведениях различного плана. Благодаря технологиям
локальных сетей становится возможным организация компьютерных классов в школах
или вычислительных центров в институтах.
Использование ЛВС внутри учебного заведения, также как и любого другого
предприятия, позволяет выполнять следующие функции:
) Создание единого информационного пространства, способного охватить всех
пользователей и предоставить им информацию, созданную в разное время и в разном
программном обеспечении для ее обработки, а также осуществлять
распараллеливание и жесткий контроль данного процесса.
) Повышение достоверности информации и надежности ее хранения путем
создания устойчивой к сбоям и потери информации вычислительной системы, а так
же создание архивов данных которые можно использовать в дальнейшем, но на
текущий момент необходимости в них нет.
) Обеспечения эффективной системы накопления, хранения и поиска
технологической, технико-экономической и финансово-экономической информации по
текущей работе и проделанной некоторое время назад (архивная информация) с
помощью создания глобальной базы данных.
) Обработка документов и построения на базе этого действующей системы
анализа, прогнозирования и оценки обстановки с целью принятия оптимального
решения и выработки глобальных отчетов.
) Обеспечивать прозрачный доступ к информации авторизованному
пользователю в соответствии с его правами и привилегиями.
Таким образом, в настоящее время без локальной вычислительной сети
невозможно представить себе эффективную работу даже самой скромной по размерам
организации, а тем более учебного заведения, что приводит к необходимости
выполнения работ по проектированию компьютерной сети, ее монтажу и
тестированию, а также выделения денежных средств на реализацию проекта.
.2 Основные
понятия обеспечения информационной безопасности
При проектировании локальной вычислительной сети необходимо особое
внимание уделять обеспечению ее информационной безопасности, что существенно
повысит эффективность ее функционирования.
Под информационной безопасностью понимается состояние защищенности
информационной системы, включая собственно информацию и поддерживающую ее
инфраструктуру. Информационная система находится в состоянии защищенности, если
обеспечена ее конфиденциальность, доступность и целостность.
Конфиденциальность (confidentiality) - это гарантия того, что секретные данные будут доступны
только тем пользователям, которым этот доступ разрешен; такие пользователи
называются легальными или авторизованными.
Доступность (availability) -
это гарантия того, что авторизованные пользователи всегда получат доступ к
данным.
Целостность (integrity) - это гарантия сохранности данными правильных
значений, которая обеспечивается запретом неавторизованным пользователям
каким-либо образом изменять, модифицировать, разрушать или создавать данные.
Данные, находящиеся как в локальной, так и в глобальной сети, постоянно
находятся под воздействием различного рода угроз. Угрозой называется любое
действие, которое может быть направлено на нарушение информационной безопасности
системы. Реализованная угроза, в свою очередь, называется атакой. Вероятностная
оценка величины возможного ущерба, который может понести владелец
информационного ресурса в результате успешно проведенной атаки, называется
риском. Стоит отметить, что угрозы могут исходить как от внешних
злоумышленников, так и от легальных пользователей сети. Таким образом, выделяют
внешние и внутренние угрозы безопасности информационной системы. Внутренние
атаки обычно наносят меньший ущерб, нежели внешние. Внутренние угрозы, в свою
очередь, делятся на умышленные и неумышленные.
К умышленным угрозам можно отнести, например, осуществление мониторинга
системы с целью получить доступ к персональным данным других сотрудников
(идентификаторов или паролей), а также к конфигурационным параметрам
оборудования. Неумышленные угрозы представляют собой ошибки, допущенные
персоналом при работе, которые могут привести к повреждению сетевых устройств,
данных или программного обеспечения.
Внешние угрозы по определению являются умышленными и часто
квалифицируются как преступления.
Различают следующие типы атак, проводимых с целью нарушить безопасность
информационной системы:
атаки отказа в обслуживании (DoS-атаки);
перехват и перенаправление трафика;
внедрение в систему вредоносных программ (вирусов, троянских программ,
шпионских программ и т.д.);
cпам
Обеспечение информационной безопасности - это деятельность, направленная
на достижение состояния защищенности (целостности, конфиденциальности и
доступности) информационной среды, а также на прогнозирование, предотвращение и
смягчение последствий любых случайных или злонамеренных воздействий,
результатом которых может явиться нанесение ущерба самой информации, ее
владельцам или поддерживающей инфраструктуре.
Бурный рост информационных источников, новые технологии поиска и
отображения данных в сети Internet, а также коммерциализация этой сети делают ее все более и более
привлекательной для различных групп пользователей, включая крупные корпорации и
физические лица. Все большее число компаний принимают решения о включении своей
локальной сети в Internet. Однако
сразу после этого в дополнение к уже имеющимся обязанностям администратор сети
получает целый спектр новых проблем: как защитить локальную сеть от
несанкционированного доступа со стороны "хакеров"; как скрыть
информацию о структуре своей сети и ее компонентов от внешних пользователей;
какими средствами разграничить права доступа внешних пользователей,
обращающихся из Internet к своим FTP, WWW серверам, а также и своих пользователей, запрашивающих
сервисы Сети.
Проект обеспечения информационной безопасности локальной вычислительной
сети любого объекта подразумевает наличие целой системы элементов защиты,
которая включает в себя правовой, организационный, инженерно-технический,
программно-аппаратный и криптографический методы защиты.
Правовой элемент системы защиты информации основывается на нормах
информационного права и предполагает юридическое закрепление взаимоотношений
объекта и государства по поводу правомерности использования системы защиты
информации, предприятия и персонала по поводу обязанности персонала соблюдать
установленные собственником информации ограничительные и технологические меры
защитного характера, а также ответственности персонала за нарушение порядка
защиты информации. Этот элемент предполагает:
наличие в организационных документах предприятия, правилах внутреннего
трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и
рабочих инструкциях положений и обязательств по защите конфиденциальной информации;
Рисунок 1.1 - Основные элементы системы защиты информации
формулирование и доведение до сведения всех сотрудников предприятия (в
том числе не связанных с конфиденциальной информацией) положения о правовой
ответственности за разглашение конфиденциальной информации, несанкционированное
уничтожение или фальсификацию документов;
разъяснение лицам, принимаемым на работу, положения о добровольности
принимаемых ими на себя ограничений, связанных с выполнением обязанностей по
защите информации.
Организационный элемент системы защиты информации включает в себя
необходимость:
формирования и организации деятельности службы безопасности;
составления и регулярного обновления перечня защищаемой информации
предприятия, составления и ведения перечня описи защищаемых бумажных,
машиночитаемых и электронных документов предприятия;
наличия разрешительной системы разграничения доступа персонала к
защищаемой информации;
использования методов отбора персонала для работы с защищаемой информацией,
методики обучения и инструктирования сотрудников;
формирования направлений и методов воспитательной работы с персоналом и
контроля соблюдения сотрудниками порядка защиты информации;
технологии защиты, обработки и хранения бумажных, машиночитаемых и
электронных документов предприятия (делопроизводственной, автоматизированной и
смешанной технологий); внемашинной технологии защиты электронных документов;
порядка защиты ценной информации предприятия от случайных или умышленных
несанкционированных действий персонала;
ведения всех видов аналитической работы;
порядка защиты информации при проведении совещаний, заседаний,
переговоров, приеме посетителей, работе с представителями рекламных агентств,
средств массовой информации;
оборудования и аттестации помещений и рабочих зон, выделенных для работы
с конфиденциальной информацией, лицензирования технических систем и средств
защиты информации и охраны, сертификации информационных систем, предназначенных
для обработки защищаемой информации;
пропускного режима на территории, в здании и помещениях предприятия,
идентификации персонала и посетителей;
системы охраны территории, здания, помещений, оборудования, транспорта и
персонала предприятия;
действий персонала в экстремальных ситуациях;
организационных вопросов приобретения, установки и эксплуатации
технических средств защиты информации и охраны;
организационных вопросов защиты персональных компьютеров, информационных
систем, локальных сетей;
работы по управлению системой защиты информации;
критериев и порядка проведения оценочных мероприятий по установлению
степени эффективности системы защиты информации.
Элемент организационной защиты является стержнем, основной частью
комплексной системы безопасности предприятия. По мнению большинства
специалистов, меры организационной защиты информации составляют 50-60% в
структуре большинства систем защиты информации.
Инженерно-технический элемент системы защиты информации предназначен для
пассивного и активного противодействия средствам технической разведки и
формирования рубежей охраны территории, здания, помещений и оборудования с
помощью комплексов технических средств. При защите информационных систем этот
элемент имеет весьма важное значение, хотя стоимость средств технической защиты
и охраны велика. Элемент включает в себя:
сооружения инженерной защиты от проникновения посторонних лиц на
территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые
замки, идентификаторы, сейфы и др.);
средства защиты технических каналов утечки информации, возникающих при
работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других
приборов и офисного оборудования, при проведении совещаний, заседаний, беседах
с посетителями и сотрудниками, диктовке документов и т.п.;
средства защиты помещений от визуальных способов технической разведки;
средства обеспечения охраны территории, здания и помеще-ний (средства
наблюдения, оповещения, охранной и пожарной сигнализации);
средства обнаружения приборов и устройств технической разведки
(подслушивающих и передающих устройств, тайно установленной миниатюрной
звукозаписывающей и телевизионной аппаратуры и т.п.).
Программно-аппаратный элемент системы защиты информации предназначен для
защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и
рабочих станциях локальных сетей и различных информационных системах. Однако
фрагменты этой защиты могут применяться как сопутствующие средства в
инженерно-технической и организационной защите. Элемент включает в себя:
автономные программы, обеспечивающие защиту информации и контроль степени
ее защищенности;
программы защиты информации, работающие в комплексе с программами
обработки информации;
программы защиты информации, работающие в комплексе с техническими
(аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при
нарушении системы доступа, стирающие данные при несанкционированном входе в
базу данных и др.);
Криптографический элемент системы защиты информации предназначен для
защиты конфиденциальной информации методами криптографии. Элемент включает:
регламентацию использования различных криптографических методов в ЭВМ и
локальных сетях;
определение условий и методов криптографирования текста документа при
передаче его по незащищенным каналам почтовой, телеграфной, телетайпной,
факсимильной и электронной связи;
регламентацию использования средств криптографирования переговоров по
незащищенным каналам телефонной и радио связи;
регламентацию доступа к базам данных, файлам, электронным документам
персональными паролями, идентифицирующими командами и другими методами;
регламентацию доступа персонала в выделенные помещения с помощью
идентифицирующих кодов, шифров.
В каждом элементе системы защиты могут быть реализованы на практике
только отдельные составные части в зависимости от поставленных задач защиты
информации циркулирующей на объекте.
В данном дипломном проекте необходимо спроектировать локальную сеть
учебного заведения с учетом требований информационной безопасности, а также
разработать программное средство защиты информации внутри этой сети. Для более ясной
постановки задачи рассмотрим подробнее программные методы обеспечения
информационной безопасности.
.3
Программные методы обеспечения безопасности локальной вычислительной сети
Для решения задач безопасности ЛВС часто используются политики безопасности,
различные методы шифрования трафика, средства аутентификации, средства
антивирусной защиты и т.д. Одними из наиболее часто используемых средств,
обеспечивающих комплексный подход к решению проблемы безопасности сети,
являются сетевые экраны (брандмауэры).
.3.1
Сетевые экраны (брандмауэры)
Брандмауэр - это система или комбинация систем, позволяющие разделить
сеть на две или более частей и реализовать набор правил, определяющих условия
прохождения пакетов из одной части в другую (рисунок 1.2). Как правило, эта
граница проводится между локальной сетью предприятия, хотя ее можно провести и
внутри. В результате брандмауэр пропускает через себя весь трафик и для каждого
проходящего пакета принимает решение пропускать его или отбросить. Для того
чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор
правил.
Рисунок
1.2 - Структура организации межсетевого экрана
Обычно брандмауэры функционируют на какой-либо UNIX-платформе - чаще всего это BSDI, Linux, SunOS, AIX, IRIX и т.д., реже - DOS, VMS, Windows NT, а из аппаратных платформ Intel, Mips Rxxxx, SPARC, RS6000, Alpha, PA-RISC. Помимо Ethernet многие брандмауэры поддерживают FDDI, Token Ring, 100Base-T, 100VG-AnyLan, а также
различные последовательные устройства. Требования к оперативной памяти и объему
жесткого диска зависят от количества машин в защищаемом сегменте сети, но чаще
всего рекомендуется иметь не менее 32 Мбайт ОЗУ и 500 Мбайт на диске.
Как правило, в операционную систему, под управлением которой работает
брандмауэр, вносятся изменения, цель которых - повышение защиты самого
брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы
конфигурации. На самом брандмауэре не разрешается иметь разделов пользователей,
а следовательно, и потенциальных дыр - только раздел администратора. Некоторые
брандмауэры работают только в однопользовательском режиме, а многие имеют
систему проверки целостности программных кодов. При этом контрольные суммы
программных кодов хранятся в защищенном месте и сравниваются при старте
программы во избежание подмены программного обеспечения.
Все брандмауэры можно разделить на три типа:
пакетные фильтры (packet filter);
серверы прикладного уровня (application gateways);
серверы уровня соединения (circuit gateways).
Все типы могут одновременно встретиться в одном брандмауэре. Брандмауэры
с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить,
просматривая в заголовке этого пакета все IP-адреса, флаги или номера TCP-портов. IP-адрес и номер порта - это информация соответственно сетевого и
транспортного уровней, но пакетные фильтры используют и информацию прикладного
уровня (все стандартные сервисы в TCP/IP ассоциируются с определенным номером
порта).
Брандмауэры серверов прикладного уровня используют серверы конкретных
сервисов - TELNET, FTP, прокси-сервер и т.д., запускаемые на брандмауэре и
пропускающие через себя весь трафик, относящийся к данному сервису. Таким
образом, между клиентом и сервером образуются два соединения: от клиента до
брандмауэра и от брандмауэра до места назначения.
Полный набор поддерживаемых серверов различается для каждого конкретного
брандмауэра, однако чаще всего встречаются серверы для следующих сервисов:
терминалы (Telnet, Rlogin), передача файлов (Ftp), электронная почта (SMTP, POP3),
WWW (HTTP), Gopher,
Wais, X Window System (X11),
Принтер, Rsh, Finger, новости (NNTP) и т.д.
Использование серверов прикладного уровня позволяет решить важную задачу
- скрыть от внешних пользователей структуру локальной сети, включая информацию
в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством
является возможность аутентификации - подтверждения действительно ли
пользователь является тем, за кого он себя выдает.
При описании правил доступа используются такие параметры, как название
сервиса, имя пользователя, допустимый период времени использования сервиса,
компьютеры, с которых можно обращаться к сервису, схемы аутентификации. Серверы
протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень
защиты - взаимодействие с внешним миром реализуется через небольшое число
прикладных программ, полностью контролирующих весь входящий и выходящий трафик.
Сервер уровня соединения представляет собой транслятор TCP-соединения. Пользователь
устанавливает соединение с определенным портом на брандмауэре, который
производит соединение с местом назначения по другую от себя сторону. Во время
сеанса этот транслятор копирует байты в обоих направлениях, действуя как
провод. Как правило, пункт назначения задается заранее, в то время как
источников может быть много - соединение типа "один - много".
Используя различные порты, можно создавать различные конфигурации. Данный тип
сервера позволяет создавать транслятор для любого, определенного пользователем
сервиса, базирующегося на TCP,
осуществлять контроль доступа к этому сервису и сбор статистики по его
использованию.
Приведем основные преимущества и недостатки пакетных фильтров и серверов
прикладного уровня.
К положительным качествам пакетных фильтров следует отнести следующие:
относительно невысокая стоимость;
гибкость в определении правил фильтрации;
небольшая задержка при прохождении пакетов.
Недостатки у данного типа брандмауэров следующие:
локальная сеть видна (маршрутизируется) из Internet;
правила фильтрации пакетов трудны в описании, поэтому требуются очень -
хорошие знания технологий TCP и UDP;
при нарушении работоспособности брандмауэра все компьютеры за ним
становятся полностью незащищенными либо недоступными;
аутентификацию с использованием IP-адреса можно обмануть при помощи IP-спуфинга, когда атакующая система выдает себя за другую,
используя ее IP-адрес;
отсутствует аутентификация на пользовательском уровне.
К преимуществам серверов прикладного уровня следует отнести следующие:
локальная сеть невидима из Internet;
при нарушении работоспособности брандмауэра пакеты перестают проходить
через брандмауэр, тем самым не возникает угрозы для защищаемых им машин;
защита на уровне приложений позволяет осуществлять большое количество
дополнительных проверок, снижая тем самым вероятность взлома с использованием
дыр в программном обеспечении;
при организации аутентификации на пользовательском уровне может быть
реализована система немедленного предупреждения о попытке взлома.
Недостатками этого типа серверов являются:
более высокая, чем для пакетных фильтров стоимость;
невозможность использования протоколов RPC и UDP;
производительность ниже, чем для пакетных фильтров.
.3.2
Серверы посредники (прокси-серверы)
Хотя многие брандмауэры в состоянии выполнять посреднические услуги, на
рынке систем защиты стали появляться продукты относительно нового типа,
называемые прокси-серверами. Компании, уделяющие большое внимание Internet, такие как Netscape и Microsoft, выпустили свои системы ещё в 1996
году. Таким образом, на данный момент на рынке представлен достаточно большой
выбор прокси-серверов.
Однако, в отношении прокси-серверов много неясного. Поскольку огромное
число брандмауэров выполняет функции прокси-серверов, многие пользователи
считают, что установка прокси-сервера - это излишество. В действительности
прокси-сервер может значительно укрепить брандмауэр и даже обеспечить
возможности, которые тот предложить не может.
Если говорить в общем, прокси-сервер управляет и контролирует трафик Internet, между сетью компании и внешним
миром, в том числе он направляет весь исходящий трафик через одну точку,
кэширует страницы Web и осуществляет
контроль разрешенных сервисов Internet внутри и вне сети. Но даже описание возможностей прокси-сервера не дает
полной картины, и неопределенности в нахождении различий между брандмауэром и
прокси-серверами по-прежнему остается довольно много.
В то время как большинство брандмауэров являются прокси-серверами,
брандмауэр не заменят прокси-серверы, установленные во многих местах. Вместо
определения различий между брандмауэрами и прокси-серверами и таким образом
классификации продуктов, нас должен занимать более важный вопрос - каким
образом люди используют эти типы продуктов.
Прокси-сервер может или размещаться на той же машине, что и брандмауэр,
или быть установлен за ним (в зависимости от имеющегося на диске места). Так
как настольные системы в компании размещаются часто в нескольких сетевых
сегментах, установка прокси-серверов в различных местах, в том числе в
удаленных офисах, может снизить рабочую нагрузку на одну машину.
В настоящее время абсолютно надежных сетей не существует и при разрешении
передачи данных в Internet
автоматически возникает потенциальная возможность нарушения защиты. В то время
как брандмауэр охраняет сеть от атак извне, прокси-сервер контролирует
деятельность внутренних пользователей, а значит, при регулировании трафика Internet вы можете решить сразу две важнейших
задачи. Поэтому многие эксперты по безопасности рекомендуют комбинацию
брандмауэра и прокси-сервера.
На одном уровне прокси-сервер скрывает внутренние IP-адреса и обеспечивает централизацию
управления и защиты исходящего трафика IP. При передаче всего трафика через прокси-сервер внутренние IP-адреса остаются скрытыми от внешнего
мира. Кроме того, компании могут избавиться от необходимости иметь отдельное Internet-соединение для каждой настольной
системы. Это эквивалентно тому, что все сотрудники компании при осуществлении
связи с внешним миром работают, как один пользователь.
После открытия сеанса Internet, прокси-сервер обеспечивает защищенность коммуникаций. Ведь наличие
скрытой структуры внутренней сети не имеет особого смысла, если отсутствуют
какие-либо средства защиты сеанса Internet. Многие современные прокси-серверы используют протокол Secure Sockets Layer (SSL),
предназначенный для шифрования сообщений между клиентом и удаленным сервером.
Использование SSL заключается в организации SSL-туннелей, технологии для защищенного
обмена сообщениями, например HTTP и
NNTP (Network News Transport Protocol), через большинство брандмауэров.
Несмотря на то, что прокси-сервер поддерживает SSL, брандмауэр все равно необходим. Если трафик
поступает в сеть компании извне, развертывание прокси-сервера без брандмауэра
не имеет смысла, поскольку отсутствует возможность возложить на прокси-сервер
задачу фильтрации пакетов и другие, традиционно осуществляемые брандмауэром,
функции. При этом рекомендуется развертывать один прокси-сервер для каждых 500
пользователей.
Чтобы снизить трафик в Internet, оператору лучше установить прокси-сервер в каждом локальном центре и на
каждом шлюзе Internet. Операторы Internet наиболее заинтересованы в
предлагаемой прокси-серверами возможности кэширования.
1.4
Обоснование выбора средства защиты локальной вычислительной сети для разработки
С каждым днём возрастает значение Web как для одиночных, так и для
корпоративных пользователей. Однако, с ростом числа пользователей, становится
особенно актуальной проблема обеспечения скорости доступа к страницам Web.
Независимо от того, доставлены ли эти страницы с информационных серверов Web,
или они принадлежат корпоративным приложениям, задержки недопустимы.
Увеличение пропускной способности канала не решает целиком эту проблему.
Дело в том, что низкая скорость доставки Web страниц вызвана сочетанием
большого расстояния между пользователями и серверами, и перегрузкой сетей, не
находящихся под контролем вашей организации.
Единственный способ решения этой проблемы “передвинуть” данные ближе к
конечным пользователям. Кэширование информационного наполнения Web, которое
хранит наиболее часто запрашиваемые пользователями страницы, позволяет
значительно увеличить скорость доставки информации и разгрузить канал выхода в
Internet.
Именно для этого предназначен кэширующий прокси-сервер. Он выступает своеобразным
посредником между локальной сетью и глобальной сетью Internet, который
сохраняет наиболее популярные у пользователей страницы Web.
Кэширующий прокси-сервер обладает большим количеством дискового
пространства для хранения документов. Обычно пространство заполнено полностью,
чтобы обеспечить наилучшую производительность.
Кроме кэширующей функции прокси-сервер может также сыграть значительную
роль в обеспечении безопасности ресурсов вашей локальной сети, если вы
подключитесь к Internet через него. В частности, прокси-сервер скрывает
внутренние IP-адреса и обеспечивает централизацию управления и защиты
исходящего трафика IP. При передаче всего трафика через proxy-сервер,
внутренние IP-адреса остаются скрытыми от внешнего мира. Кроме того, компании могут
избавиться от необходимости иметь отдельное Internet-соединение для каждой
настольной системы. Это эквивалентно тому, что все сотрудники компании при
осуществлении связи с внешним миром работают, как один пользователь. С другой
стороны прокси-сервер контролирует деятельность внутренних пользователей.
Брандмауэры и прокси-серверы имеют много общего, но для создания
защищенной системы в сети должны быть установлены и те и другие. Сетей с
абсолютно надежной защитой не существует, но для обеспечения безопасности
сочетание брандмауэра и прокси-сервера оптимально.
В настоящее время систему безопасности принято строить как многоуровневую
систему. Наиболее часто в качестве первой линии защиты для входящего трафика
используют маршрутизатор, поскольку многие маршрутизаторы могут осуществлять
фильтрацию пакетов. Затем, как правило, трафик направляют к брандмауэру, и
после этого - к прокси-серверу. Если же требуется увеличить производительность
сети и связать настольные системы, не поддерживающие IP, в сеть с помощью мостов, то имеет смысл использовать
прокси-сервер. Если же требуется иметь очень высокую производительность и все
системы поддерживают IP, а
сервер Web имеет высокую нагрузку, то
потребуется нечто более высокоскоростное, хотя, возможно, не обеспечивающее столь
высокий уровень защиты.
Выбор средств обеспечения безопасности должен строиться на тщательном
обследовании информационных объектов, позволяющем определить требуемый уровень
обеспечения безопасности. Использование шлюза уровня приложений, который будет
эффективно ограничивать доступ несанкционированным пользователям к данным,
размещенным в локальной сети, позволит многим компаниям почувствовать себя в
полной безопасности. Но добавление отдельного прокси-сервера еще более укрепит
защиту информационных ресурсов.
Таким образом, в качестве программного средства для разработки в рамках
данного дипломного проекта мною был выбран кэширующий прокси-сервер, который
позволит не только обеспечить информационную безопасность компьютерной сети, но
и значительно ускорит ее работу.
.5 Выбор
средства разработки
Развитие Internet и World Wide Web заставляет совершенно по-новому
рассматривать процессы разработки и распределения программного обеспечения. Для
того, чтобы выжить в мире электронного бизнеса и распространения данных, язык
программирования должен быть:
безопасным;
высокопроизводительным;
надёжным.
Язык, предназначенный для решения проблем гетерогенных сред, также должен
быть:
простым - его должны с легкостью использовать все разработчики;
ясным - разработчики должны без больших усилий освоить его;
объектно-ориентированным - он должен использовать все преимущества
современных методологий разработки ПО и подходить для написания распределенных
клиент-серверных приложений;
многопоточным - для обеспечения высокой производительности приложений,
выполняющих одновременно много действий (прокси-сервер может отвечать
одновременно на несколько запросов пользователя);
Наиболее соответствует этим характеристикам язык программирования C#. Рассмотрим более подробно
перечисленные характеристики C#.
Простота языка входит в ключевые характеристики C#: разработчик не должен длительное время изучать язык,
прежде чем он сможет на нем программировать. Фундаментальные концепции языка C# быстро схватываются и программисты
с самого начала могут вести продуктивную работу. Разработчиками C# было принято
во внимание, что многие программисты хорошо знакомы с языком С++, поэтому C#,
насколько это возможно, приближен к С++.
Добавилась автоматическая сборка мусора, упрощающая процесс программирования,
но несколько усложняющая систему в целом. В С и С++ управление памятью вызывало
всегда массу проблем, теперь же об этом не придется много заботиться.
Язык C# с самого начала проектировался как объектно-ориентированный.
Задачам распределенных систем клиент-сервер отвечает объектно-ориентированная
парадигма: использование концепций инкапсуляции, наследования и полиморфизма.
C# предоставляет ясную и действенную объектно-ориентированную платформу
разработки.
Программисты на C# могут использовать стандартные библиотеки объектов,
обеспечивающие работу с устройствами ввода/вывода, сетевые функции, методы
создания графических пользовательских интерфейсов. Функциональность объектов
этих библиотек может быть расширена.
Платформа C# разработана для создания высоконадежного прикладного
программного обеспечения. Большое внимание уделено проверке программ на этапе
компиляции, за которой следует второй уровень - динамическая проверка (на этапе
выполнения).
Модель управления памятью предельно проста: объекты создаются с помощью
оператора new. В C#, в отличие от С++, механизм указателей исключает
возможность прямой записи в память и порчи данных: при работе с указателями
операции строго типизированы, отсутствуют арифметические операции над
указателями. Работа с массивами находится под контролем управляющей системы.
Существует автоматическая сборка мусора.
Данная модель управления памятью исключает целый класс ошибок, так часто
возникающих у программистов на С и С++. Программы на C# можно писать, будучи
уверенным в том, что машина не "повиснет" из-за ошибок при работе с
динамически выделенной памятью.# разработан для оперирования в распределенных
средах, это означает, что на первом плане должны стоять вопросы безопасности.
Средства безопасности, встроенные в язык, и система исполнения C# позволяют
создавать приложения, на которые невозможно "напасть" извне. В
сетевых средах приложения, написанные на C#, защищены от вторжения
неавторизованного кода, пытающегося внедрить вирус или разрушить файловую
систему.
Производительность всегда заслуживает особого внимания. C# достигает
высокой производительности благодаря специально оптимизированному байт-коду,
легко переводимому в машинный код. Автоматическая сборка мусора выполняется как
фоновый поток с низким приоритетом, обеспечивая высокую вероятность доступности
требуемой памяти, что ведет к увеличению производительности. Приложения,
требующие больших вычислительных ресурсов, могут быть спроектированы так, чтобы
те части, которые требуют интенсивных вычислений, были написаны на языке
ассемблера и взаимодействовали с C# платформой. В основном, пользователи
ощущают, что приложения взаимодействуют быстро, несмотря на то, что они
являются интерпретируемыми.#-интерпретатор может выполнять C# байт-код на любой
машине, на которой установлен интерпретатор и система выполнения. На
интерпретирующей платформе фаза сборки программы является простой и пошаговой,
поэтому процесс разработки существенно ускоряется и упрощается, отсутствуют
традиционные трудные этапы компиляции, сборки, тестирования.
Большинству современных сетевых приложений обычно необходимо осуществлять
несколько действий одновременно. В C# реализован механизм поддержки легковесных
процессов-потоков (нитей). Многопоточность C# предоставляет средства создания
приложений с множеством одновременно активных потоков.
Для эффективной работы с потоками в C# реализован механизм семафоров и
средств синхронизации потоков: библиотека языка предоставляет класс Thread, а
система выполнения предоставляет средства диспетчеризации и средства, реализующие
семафоры. Важно, что работа параллельных потоков с высокоуровневыми системными
библиотеками C# не вызовет конфликтов: функции, предоставляемые библиотеками,
доступны любым выполняющимся потокам.
По ряду соображений C# более динамичный язык, чем С++. Он был разработан
специально для подстройки под изменяющееся окружение. В то время как компилятор
C# на этапе компиляции и статических проверок не допускает никаких отклонений,
процесс сборки и выполнения сугубо динамический. Классы связываются только тогда,
когда в этом есть необходимость. Новые программные модули могут подключаться из
любых источников, в том числе, поставляться по сети.
Если описанные выше характеристики рассматривать по отдельности, то их
можно найти во многих программных платформах. Радикальное новшество заключается
в способе, предлагаемом C# и системой выполнения, который сочетает в себе все
характеристики для предоставления гибкой и мощной системы программирования.
В качестве средства разработки мной был выбран пакет Microsoft Visual Studio 2010, разработанный компанией Microsoft, являющейся родоначальником
платформы .NET. Данная среда разработки обладает
удобным интерфейсом, отладчиком, проста и удобна в использовании.
информационный
безопасность локальный сеть
2.
РАЗРАБОТКА ПРОЕКТА ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ
.1
Постановка и анализ задачи проектирования
Согласно техническому заданию, требуется разработать проект локальной
вычислительной сети на территории корпуса «В» инженерно-технического института
(ИТИ) ПГУ им. Т.Г. Шевченко. Объект представляет собой трехэтажное здание, в
котором располагаются:
отдел учебно-методического обеспечения;
кафедры специальностей;
учебные аудитории;
дирекция института.
Помимо предоставления возможности централизованной обработки данных
проектируемая локальная сеть должна обеспечивать доступ в Интернет, а также
обеспечивать беспроводную передачу данных в пределах учебных аудиторий.
Необходимость создания данного проекта связана с тем, что функционирующая
в настоящее время на территории инженерно-технического факультета локальная
сеть не отвечает полному спектру требований, предъявляемых к производительности
и функциональности. Также в данной локальной сети совершенно отсутствует
возможность использования беспроводных технологий, что не позволяет в полной
мере реализовать весь потенциал, которым она обладает.
Что касается сферы использования локальной вычислительной сети
инженерно-технического института, то предполагается, что в будущем она будет
использоваться для хранения и централизованной обработки данных, касающихся
правовой и экономической деятельности института, внедрения электронного
документооборота внутри института, эффективной организации учебного процесса и
других задач. Разрабатывать схему разводку сети и подбирать необходимое
оборудование необходимо с учетом всех вышеупомянутых особенностей использования
сети, чтобы обеспечить возможность удовлетворения всех потребностей.
Также желательно по возможности минимизировать затраты на реализацию
данного проекта, но в то же время стараться не пренебрегать качеством
используемых материалов и оборудования.
Пусть компьютеры здания распределяются между кабинетами следующим
образом:
Таблица 1
Распределение компьютеров между помещениями предприятия
|
Номер этажа
|
Наименование отдела
|
Кол-во компьютеров
|
|
I
|
Отдел УМО
|
2
|
|
Начальник отдела УМО
|
1
|
|
II
|
Кафедра машиноведения
|
1
|
|
Секретарь директора
|
1
|
|
Директор
|
1
|
|
Зам. директора по учебно-научно-производственному комплексу
|
1
|
|
Зам. директора по организационно-методической работе
|
1
|
|
III
|
Кафедра ПОВТ
|
4
|
|
Кафедра ИТУ
|
4
|
|
Зам. директора по хозяйственной части
|
1
|
|
Зам. директора по учебно-воспитательной работе
|
1
|
|
Зам. директора
|
1
|
|
Аудитория 306
|
16
|
|
Аудитория 307
|
16
|
|
Аудитория 309
|
16
|
|
Аудитория 315
|
16
|
|
Аудитория 316
|
16
|
|
Аудитория 317
|
16
|
2.1.1
Характеристика информации, циркулирующей внутри локальной сети института
Для создания проекта безопасной локальной сети необходимо
проанализировать потоки информации, которые будут циркулировать внутри нее.
Известно, что разглашение или утечка информации осуществляется от источника
информации через среду к злоумышленнику. Источниками информации могут быть:
люди, документы, изделия, системы обработки информации, отходы. Носителем
информации может быть либо поле (электромагнитное, акустическое), либо вещество
(бумага, материал, изделие и т.д.). Средой является воздушное пространство,
жесткие среды (стены, коммуникации).
На территории инженерно-технического института основными источниками
информации являются люди и документы. В качестве носителей информации
существенно преобладают бумажные, но в то же время предпринимаются активные
попытки информатизации рабочего процесса института, в том числе введение
электронного документооборота. Использование бумажных носителей информации в
известной степени усложняет сбор и обработку информации, но с другой стороны
делает ее менее уязвимой для злоумышленника, учитывая тот факт, что средства
программно-аппаратной защиты электронных носителей не внедрены в полном объеме
и на должном уровне.
Весь поток информации, циркулирующий внутри ИТИ можно классифицировать
следующим образом:
информация юридического характера (приказы, уставы, договора);
информация финансового характера (бухгалтерская документация, счета,
представления, платежные поручения, зарплатные ведомости и т.д.);
сведения о сотрудниках (личные дела, трудовые договора и т.д.);
сведения о студентах и абитуриентах;
продукты интеллектуальной деятельности (научные работы, изобретения,
открытия);
информационная база образовательного процесса (методические пособия,
учебные пособия, учебные планы и т.д.);
информационные ресурсы общего характера;
информация коммуникативного характера (деловая переписка, протоколы
собраний и совещаний).
Вышеупомянутые виды информации обладают разной степенью важности, и,
следовательно, представляют разную степень ценности и интереса для
злоумышленника, что заставляет использовать различные подходы к ней с точки
зрения информационной безопасности. Рассмотрим подробнее каждый вид и выделим
наиболее важную информацию, требующую самой высокой степени защиты.
Документы юридического характера являются общедоступной информацией и
могут быть подвержены разглашению без каких-либо отрицательных последствий. Они
содержат в себе устав института, приказы, регулирующие работу института,
соглашения о сотрудничестве со сторонними коммерческими и некоммерческими
организациями, и др. Таким образом, эти документы составляют юридическую основу
университета и регулируют все внутренние и внешние отношения. Большинство
документации хранится в бумажном виде, но с постепенным внедрением электронного
документооборота многие документы переводятся и издаются в цифровой форме. По
истечении установленного срока после издания документа, он помещается на
хранение в архив.
Информация финансового характера представляет собой достаточно высокий
интерес для злоумышленника, что автоматически привлекает использование надежных
средств для ее защиты. Она включает в себя сведения обо всех счетах, финансовых
операциях, проводимых университетом, о материальном состоянии университета, и
т.д., т.е. полностью описывает финансовое состояние университета в данный
момент времени или в конкретный выбранный период. Утечка, изменение или
уничтожение этой информации может привести к катастрофическим последствиям,
поэтому не стоит пренебрегать защитой столь ценной информации. Большинство
вышеописанной информации хранится в цифровой форме и обрабатывается с помощью
специального программного обеспечения, что делает ее наиболее уязвимой и
доступной извне для злоумышленников, поэтому защите информации, относящейся к
данному типу, необходимо уделить повышенное внимание.
Сведения о сотрудниках университета включают в себя информацию личного
характера о каждом сотруднике, информацию о месте проживания, семейном
положении, предыдущем месте работы и т.д. Данную информацию каждый сотрудник
предоставляет отделу кадров перед заключением трудового договора с
университетом, после чего на него заводится личное дело, включающее в себя все
собранные данные о сотруднике, которые далее упорядочиваются и хранятся опять
же в отделе кадров. Эта информация является конфиденциальной и доступ к ней
могут осуществлять работники отдела кадров и лица, имеющие на то служебные
полномочия. Основным носителем является бумага, но также присутствует
электронная база данных сотрудников, включающая в себя наиболее важные сведения
и используемая для работы отдела кадров.
Сведения о студентах хранятся в учебно-методическом отделе, где ведется
учет успеваемости, а также учет студенческих льгот. Там хранятся все личные
дела студентов, доступ к которым, аналогично личным делам сотрудников, является
ограниченным. Данная информация также является конфиденциальной, так как
намеренное ее искажение или утрата может привести к негативным последствиям.
Под продуктами интеллектуальной деятельности понимается та информация,
которая была получена в результате умственной деятельности отдельных работников
университета, либо группы взаимодействующих работников. К такой информации
относятся научные работы, написанные сотрудниками института, результаты научных
исследований, открытия, сделанные работниками института и т.д. Вся информация,
полученная таким образом, становится интеллектуальной собственностью лица
продуктом чьей деятельности она является, и поэтому должна защищаться в
соответствии с законами об интеллектуальной собственности. Все промежуточные
данные, полученные в ходе исследований или же написания научной работы, также
являются конфиденциальными, т.к. их утечка может поставить под сомнение
целесообразность дальнейшего проведения работ или исследований в данном
конкретном направлении, а это чревато негативными последствиями, в том числе
невозможностью окупить затраты, направленные на финансирование данных
исследований. Информация описанного типа хранится либо в электронном виде, либо
на бумажных носителях, что в значительной степени зависит от вида
исследовательской деятельности.
Информационную базу образовательного процесса составляют учебные планы и
методические пособия, авторами которых являются преподаватели ПГУ, а также
образовательная программа, разработанная ученым советом университета. Данные
такого характера не являются конфиденциальными и пригодны для свободного
распространения и доступа.
Таким образом, рассмотрев все основные виды информации, используемой
инженерно-техническим институтом в процессе своей деятельности, можно сделать
заключение о том, что внутри локальной вычислительной сети института будет
преимущественно циркулировать информация, связанная с методическими пособиями,
используемыми для обеспечения эффективного протекания образовательного
процесса, научными и исследовательскими разработками преподавателей и
работников института. Наиболее важной информацией, требующей тщательной защиты,
стоит признать информацию финансового характера, а также личные данные
работников института и студентов.
.1.2
Определение основных источников угроз информационной безопасности сети
Все информационные ресурсы объекта постоянно подвергаются объективным и
субъективным угрозам утраты носителя или ценности информации.
Рассмотрим угрозы и их источники применительно к наиболее важной информации
защищаемой на рассматриваемом нами объекте.
Наиболее важная и ценная информация внутри инженерно-технического
института хранится в электронном виде и имеет ограниченное распространение и
повышенную уязвимость, следовательно, к ней закономерно ожидать повышенный
интерес со стороны злоумышленников, а значит и диапазон угроз применительно к
данному виду информации значительно расширяется. Как и во множестве аналогичных
случаев, основной угрозой является угроза несанкционированного доступа злоумышленника
или постороннего лица к информации и как результат - овладение информацией и
противоправное ее использование или совершение иных действий. Зачастую основным
виновником несанкционированного доступа к данным является персонал, работающий
с документами, информацией и базами данных. В большинстве случаев утрата данных
происходит не в результате преднамеренных действий, а из-за невнимательности
или безответственности персонала, а также нехватки профессиональных навыков
работы с вычислительной техникой и программным обеспечением, предназначенным
для обработки данных. В отдельных случаях нехватка компьютерной грамотности
персонала может привести к потере важных данных, типичным случаем является
уничтожение данных в результате действия вредоносного ПО, что вызывает
необходимость использования антивирусных и других защитных программных средств
для предотвращения вирусных атак. Другой возможной угрозой является утрата
пароля или другой специальной информации, предназначенной для получения доступа
к конфиденциальным данным или попадание этой информации в руки к злоумышленнику
в результате его намеренных действий или же по неосторожности персонала.
Объективной угрозой защищаемой информации также могут являться стихийные
бедствия, а также сбои в работе оборудования, используемого для ее обработки,
возникшие в результате механического повреждения или же морального устаревания,
износа и других факторов. Частным случаем такой угрозы может являться
нестабильность напряжения в электрической сети университета, вызванная износом
электропроводки либо иными факторами, что может привести к выходу из строя
вычислительной техники и потере важной информации. Также большое значение имеет
правильное расположение вычислительной техники в помещении, т.е. отсутствие
перепутанных проводов, наличие заземления, отсутствие излишней загроможденности
техникой.
Таким образом, локальная вычислительная сеть института должна быть
спроектирована с учетом всех специфических особенностей информации и источников
угрозы ее безопасности, рассмотренных выше.
.2 Выбор
стандарта передачи данных внутри сети
Наиболее известными технологиями передачи данных в локальной
вычислительной сети на сегодняшний день являются FDDI, Token Ring и Ethernet. Необходимо сравнить их между собой
для того, чтобы выбрать наиболее подходящий вариант для нашего проекта.ring -
это технология локальной вычислительной сети (LAN) кольца с «маркерным
доступом» - протокол локальной сети, который находится на канальном уровне
(DLL) модели OSI. Он использует специальный трехбайтовый фрейм, названный
маркером, который перемещается вокруг кольца. Владение маркером предоставляет
право обладателю передавать информацию на носителе.
Данная технология предлагает вариант решения проблемы коллизий, которая
возникает при работе локальной сети. В технологии Ethernet, такие коллизии
возникают при одновременной передаче информации несколькими рабочими станциями,
находящимися в пределах одного сегмента, то есть использующих общий физический
канал данных. Использование технологии Token Ring позволяет обеспечивать передачу данных на скорости до
16 Мбит/с и подключать до 260 станций в одном сегменте. В качестве среды
передачи данных технология использует витую пару.
Технология FDDI - это первая технология локальных сетей, в которой средой
передачи данных является волоконно-оптический кабель. Сеть FDDI строится на
основе двух волоконно-оптических колец, которые образуют основной и резервный
пути передачи данных между узлами сети. Наличие двух колец - это основной
способ повышения отказоустойчивости в сети. Как и в Token Ring, в FDDI
используется маркерный метод доступа . отличие лишь в том, что здесь имеется
режим раннего освобождения маркера, который передаётся после передачи пакета. В
этой сети не используются приоритеты, но определены два вида станций для подключения:
станции двойного подключения (DAS) имеют скорость передачи данных 200
Мбит/с;
станции одиночного подключения (SAS) - скорость передачи 100 Мбит/с.
Максимальное количество станций двойного подключения в кольце 500,
максимальный диаметр двойного кольца 100 км, а между соседними узлами для
оптоволокна равно 2 км, для UTP категории 5 - 100 м.
Достоинства: - хорошая производительность;
большое расстояние:
высокая отказоустойчивость;
обеспечивает восстановление логической структуры;
Недостаток: дорогая технология.Ethernet - эта технология почти полностью
повторяет технологию Ethernet. Метод доступа остался тот же самый, а скорость
передачи данных увеличилась до 100 Мбит/с. Расстояние между станциями
ограничено и не должно превышать 100 м. В качестве среды передачи данных
используется витая пара или оптоволоконный кабель. В качестве физической
топологии сети Fast Ethernet используется «звезда».
Достоинства:
дешевизна технологии;
скорость передачи 100 Мбит/с;
простота;
распространенность.
Недостатки: малое расстояние.
Таким образом, проанализировав все варианты технологий организации
передачи данных в сети, и, учитывая, что для данного объекта необходимо
организовать высокопроизводительную, надежную, хорошо масштабируемую и
недорогую сеть, я решил остановить свой выбор на технологии Fast Ethernet, так как она наиболее полно отвечает
всем предъявляемым требованиям. Использование этой технологии позволяет
обеспечить качественную и производительную работу сети без сбоев, что
обеспечивает высокую степень доступности информации и минимизирует риски ее
утраты или искажения при передаче и хранении.
.3
Организация беспроводной сети
В настоящее время с целью повышения эффективности обучения учащихся
целесообразно в учебном процессе дополнительно к учебным материалам, изданным
на бумажных носителях, применять электронные учебные и методические материалы,
которые должны быть размещены на файловых серверах и Web-сайтах локальных
(корпоративных) сетей учебных заведений и сети Интернет. Для доступа к
электронным ресурсам учебных заведений предлагается создать современную
беспроводную сеть Wi-Fi.
Организация зон беспроводного доступа Wi-Fi к ресурсам ЛВС учебных
заведений и доступа к сети Интернет можно осуществить двумя способами:
локальное подключение точек доступа Wi-Fi (беспроводных маршрутизаторов)
к локальным сетям учебных заведений в учебных аудиториях (лабораториях);
создание публичной зоны беспроводного доступа или сети Wi-Fi (зоны
радиопокрытия Hotspot), охватывающей всю территорию учебного заведения, и
подключение ее к существующей кабельной локальной (корпоративной) сети учебного
заведения. Каждый пользователь (учащийся, преподаватель), имеющий устройство с
беспроводным адаптером стандарта Wi-Fi, может подключиться к кабельной сети
учебного заведения и «скоростному Интернету».
Локальное подключение точек доступа Wi-Fi к кабельной сети учебного
заведения в аудиториях решает локальные задачи. Для создания таких беспроводных
сетей типа SOHO с выходом в Интернет нашли широкое применение интегрированные
устройства, включающее в себя точку доступа Wi-Fi (приёмопередатчик,
выполняющий роль беспроводного сетевого концентратора, для клиентов
беспроводной сети), маршрутизатор с функцией преобразования IP-адресов (NAT),
DHCP-сервер, сетевой коммутатор LAN и межсетевой экран.
Такие интегрированные устройства получили название "беспроводные
маршрутизаторы" (wireless router). Для подключения к кабельной сети (LAN)
учебного заведения маршрутизаторы должны быть оснащены Ethernet WAN портом.
Беспроводный маршрутизатор подключается к кабельной локальной сети через
Ethernet WAN порт. Встроенная беспроводная точка доступа Wi-Fi маршрутизатора
(организует беспроводную локальную сеть WLAN для клиентов), как правило,
поддерживающая стандарты 802.11b, 802.11g и 802.11n, обеспечивает доступ мобильных
устройств учащихся и преподавателей к информационным ресурсам локальной сети
(LAN) и сети Интернет (WAN).
Для реализации поставленной задачи предлагается схема беспроводной сети
Wi-Fi, скриншот которой представлен на рисунке. Для реализации этой схемы
необходимо приобрести беспроводной широкополосный маршрутизатор и подключить
его к коммутатору существующей локальной или корпоративной сети учебного
заведения.
Для настройки маршрутизатора к нему подключается персональный компьютер
PC, который также может выполнять функции файл-сервера для хранения
информационных ресурсов. Кроме подключенного PC, встроенный коммутатор
маршрутизатора (Wireless router) обеспечивает подключение к Wireless router
через проводную сеть еще трех дополнительных устройств, например подключение
файл-сервера (File-server) для хранения информационных ресурсов.
Рисунок 2.1 - Схема организации беспроводной сети
Такие точки доступа желательно устанавливать в аудиториях, где проводятся
практические (лабораторные) занятия по информатике. В этом случае учащиеся,
имеющие персональное устройство с беспроводным адаптером стандарта Wi-Fi, могут
подключиться к Интернету или к серверу локальной сети Server LAN, также можно
подключиться к любому из персональных компьютеров PC (2), PC (3) и так далее.
Использование беспроводной технологии Wi-fi в локальной
сети внутри института позволяет существенно увеличить доступность необходимой
информации, но она также может стать источником возникновения угроз конфиденциальным
данным. К беспроводной сети достаточно просто осуществить несанкционированный
доступ - необходимо лишь находиться в зоне радиоволн сети. При этом отсутствует
необходимость физического подключения к среде передачи данных, что в отдельных
случаях позволяет злоумышленнику получать данные, находясь вне здания. Для
обеспечения безопасности беспроводной сети технология Wi-fi предусматривает
шифрование данных по протоколу WEP, а
также возможность включения механизма аутентификации при подключении пользователей
к сети. Эти средства необходимо использовать при организации беспроводной сети
в пределах инженерно-технического института.
.4 Выбор
оборудования и программного обеспечения
Подразумевается наличие в учебном заведении нужного количества
персональных компьютеров и серверов с установленным лицензионным программным
обеспечением, указанным в разрабатываемом проекте локальной сети учебного
заведения. Предполагается, что в каждом персональном компьютере и сервере
установлены сетевые платы для подключения к сети. В дальнейшем затраты на
приобретение компьютерной техники и программного обеспечения учтены не будут,
так как предполагают составление специальной сметы на приобретение, настройку и
установку программного обеспечения, что не является целью данной конкретной
работы по проектированию локальной сети предприятия.
В качестве коммуникаторов будут использоваться гигабитные и 100
мегабитные свитчи фирмы D-Link. Выбор фирмы-производителя обусловлен
оптимальным соотношением цена/качество. Основой кабельной системы будет
являться неэкранированный (UTP) кабель типа "витая пара" категории 5.
Для обеспечения доступа в Internet, будет использоваться технология ADSL,
которая позволит получить скорость потока данных в пределах от 1,5 до 8 Мбит/с.
Технология ADSL позволяет телекоммуникационным компаниям предоставлять частный
защищенный канал для обеспечения обмена информацией между пользователем и
провайдером. Кроме того, ADSL эффективна с экономической точки зрения, так как
не требует прокладки специальных кабелей, а использует уже существующие
двухпроводные медные телефонные линии. ADSL открывает совершенно новые
возможности в тех областях, в которых в режиме реального времени необходимо
передавать качественный видеосигнал. К ним относится, например, организация видеоконференций,
обучение на расстоянии и видео по запросу. Технология ADSL позволяет
провайдерам предоставлять своим пользователям услуги, скорость передачи данных
которых более чем в 100 раз превышает скорость самого быстрого на данный момент
аналогового модема (56 Кбит/с) и более чем в 70 раз превышает скорость передачи
данных в ISDN (128 Кбит/с). Решено использовать ADSL-модем производства фирмы Planet, а именно модель PLANET ADE - 4400A.
Он отвечает всем современным требованиям к сетевому оборудованию и наиболее
оптимален по соотношению цена/качество.
В качестве операционной системы сервера выберем Windows Server 2008, а в
качестве операционной системы рабочих станций - Microsoft Windows 7 SP1.
.4.1
Краткое описание сетевого оборудования
а) D-link D-link DES-1026G - неуправляемый коммутатор 10/100 Мбит/с, разработанный для
повышения производительности рабочей группы, обеспечивает высокий уровень
гибкости сети. Наличие 24-х портов 10/100 Мбит/с для подключения рабочих
станций и двух медных гигабитных портов для подключения серверов позволяют
удовлетворить потребности в большой пропускной способности сети и снизить время
отклика. Все порты поддерживают автоопределение скорости 10/100/1000Mбит/с и
автосогласование полу- и полнодуплексного режима работы. Все порты поддерживают
управление потоком методом "обратного давления" и IEEE 802.3x. Эти функции позволяют избежать потери пакетов при
переполнении буфера порта принимающего устройства.
б) D-link DES-1005D -
неуправляемый коммутатор 10/100 Мбит/с D-Link DES-1005D предназначен для
повышения производительности работы малой группы пользователей, обеспечивая при
этом высокий уровень гибкости. Мощный и одновременно с этим простой в
использовании, DES-1005D позволяет пользователям без труда подключить к любому
порту сетевое оборудование, работающее на скоростях 10 Мбит/с или 100 Мбит/с,
понизить время отклика и удовлетворить потребности в большой пропускной
способности сети. Коммутатор может быть использован для непосредственного
подключения компьютеров, так как обладает малой стоимостью подключения на порт.
Это предотвращает возможность образования «узких мест» благодаря предоставлению
каждому компьютеру сети выделенной полосы пропускания.
в) D-link DES-1016D- является неуправляемым коммутатором 10/100 Мбит/с
предназначенным для повышения производительности работы малой группы
пользователей, обеспечивая при этом высокий уровень гибкости.
Коммутатор снабжен 16 портами 10/100 Мбит/с, позволяющими небольшой
рабочей группе гибко подключаться сетям к Ethernet и Fast Ethernet, а также
интегрировать их. Это достигается благодаря свойству портов автоматически
определять сетевую скорость, согласовывать стандарты 10Base-T и 100Base-TX, а
также режим передачи полу/полный дуплекс.
г) Маршрутизатор Planet
ADE-4400 поддерживает стандарты ADSL 2/2+ и способен обеспечить скорость
входящего информационного потока до 24 Мбит/с, а исходящего до 3.5 Мбит/с. Он
предназначен для применения в следующих сегментах рынка: небольшой офис (SOHO),
домашний офис, индивидуальное использование. Благодаря поддержке последних
стандартов и технологий они способны обеспечить более высокоскоростное
подключение к Интернет. Пользователь сможет, используя подключение ADSL,
комфортно пользоваться широкополосными приложениями мультимедиа (например
интерактивные игры), передачи видео через Интернет, аудио в реальном масштабе
времени со значительно большей скоростью, чем на старом оборудовании, не
поддерживающем технологию ADSL 2/2+.
Маршрутизатор имеет дружественный WEB интерфейс управления, что позволяет
настраивать и администрировать их используя стандартный браузер. Он
обеспечивают поддержку большого количества функций и сервисов: NAT, межсетевой
экран, динамический DNS, установку временных зон и автоматическую коррекцию
времени, удаленное управление, UPnP, статические маршруты и т.п.
д) D-LINK DAP-1150 - точка доступа, обеспечивающая работу
беспроводной сети. Для обеспечения защиты сети и передаваемых по ней данных
точка доступа DAP-1150 поддерживает протоколы шифрования WEP (128/152-бит),
WPA, WPA2. Помимо этого точка доступа DAP-1150 снабжена такими инструментами,
позволяющими ограничить доступ извне к сети дома или офиса, как фильтрация
МАС-адресов и функция Disable SSID Broadcast. DAP-1150 может быть настроена для
различных режимов работы, включая такие режимы, как точка доступа - для работы
в качестве концентратора для подключения беспроводных пользователей;
беспроводного клиента - для подключения к игровой консоли; повторитель - для
увеличения радиуса действия беспроводной сети.
.4.2
Краткое описание программного обеспечения, используемого для функционирования
сети
В качестве серверной ОС для обеспечения надежного функционирования сети
будем использовать Microsoft Windows Server 2008. Рассмотрим основные возможности и функционал
данной операционной системы.Windows Server 2008 - это операционная система
Windows Server нового поколения, которая помогает ИТ-специалистам полностью
контролировать инфраструктуру, обеспечивая беспрецедентную доступность и
управляемость, что позволяет достичь более высокого, чем когда-либо, уровня
безопасности, надежности и устойчивости серверной среды. Купив Microsoft
Windows Server 2008, вы откроете новые возможности, предоставляя всем
пользователям, независимо от их местонахождения, доступ к полному набору
сетевых услуг. Кроме того, в Microsoft Windows Server2008 имеются средства для
анализа состояния и диагностики операционной системы, помогающие
администраторам уделять больше времени развитию бизнеса.
В Microsoft Windows Server 2008 не только добавлены новые функции, но и
значительно усовершенствованы многие возможности базовой ОС Microsoft Windows
Server 2003. Среди них следует отметить работу с сетью, расширенные функции
безопасности, удаленный доступ к приложениям, централизованное управление
ролями сервера, средства мониторинга производительности и надежности,
отказоустойчивость кластеров, развертывание и файловую систему.Server 2008
является многозадачной операционной системой, способной централизовано или
распределено управлять различными наборами ролей, в зависимости от потребностей
пользователей. Некоторые из ролей сервера:
файловый сервер и сервер печати;
веб-сервер и веб-сервер приложений;
почтовый сервер;
сервер терминалов;
сервер удаленного доступа/сервер виртуальной частной сети (VPN);
сервер потокового мультимедиа-вещания.
В качестве основной операционной системы, которая будет использоваться на
рабочих станциях сети, выберем Microsoft Windows 7 SP1, так она является наиболее
совместимой со всеми типами современного оборудования, также обеспечивает
доступ к новейшим технологиям хранения, передачи и обработки данных.
Для решения задач связанных с обработкой электронных документов, таблиц и
создания презентаций, я решил использовать в данном проекте популярный
программный пакет программ Microsoft Office 2010, так
как он обеспечивает наиболее гибкую и удобную работу с любыми видами текстовых
и графических документов, что позволяет легко и просто решать повседневные
задачи.
Для сокращения финансовых затрат на приобретение вышеописанных
программных продуктов я предлагаю воспользоваться программой лицензирования от Microsoft, которая носит название «Academic
Open License»Academic Open License - гибкая и эффективная программа,
предоставляющая возможность приобрести постоянные лицензии на ПО Microsoft по
значительно более низким ценам, чем цены на коммерческое ПО или на
академические версии коробочных продуктов.
Эта программа предназначена для широкого круга льготных категорий
участников, приобретающих лицензии для использования на 5 и более ПК. В группу
участников входят государственные и частные высшие учебные заведения, учебные
заведения среднего и среднего специального образования, студенты и
преподаватели высших учебных заведений и др. Так как инженерно-технический
институт попадает в число потенциальных участников данной программы, то
подобное лицензирование является наиболее выгодным решением, обеспечивающим
рациональное расходование денежных средств бюджета.
Приобрести академические лицензии на программные продукты Microsoft можно
у любой компании-реселлера. В качестве таковой мною была выбрана российская
компания «Интерфейс», которая занимается поставками лицензионного программного обеспечения.
Ниже приведена сравнительная таблица цен на ПО, реализуемое по стандартной
лицензии и по академической.
Таблица 2
Сравнение цен на программные продукты от Microsoft
|
Наименование продукта
|
Цена, у.е.
|
|
Коммерческая лицензия
|
Академическая лицензия
|
|
Microsoft Windows Server Standard
2008 R2
|
716
|
110
|
|
Microsoft Windows 7 Professional
|
310
|
32,50
|
|
Microsoft Office Professional Plus
2010
|
620,30
|
49,60
|
.4.3 Выбор
типовой конфигурации рабочих станций и сервера
В соответствии с выбранным ранее программным обеспечением, которое будет
использоваться в проектируемой сети, определим типовые конфигурации рабочих
станций и сервера, которым должны соответствовать используемые компьютеры.
Таблица 3
Типовая конфигурация рабочей станции
|
№
|
Наименование
|
Характеристики
|
|
1
|
Тип процессора
|
Core 2 Duo 2,0 GHz
|
|
2
|
Объем ОЗУ
|
1 Gb
|
|
3
|
Объем HDD
|
60 Gb
|
|
4
|
Видео карта
|
Onboard
|
|
5
|
Звуковая карта
|
Onboard
|
|
6
|
DVD-ROM
|
LG -4х
|
|
7
|
Сетевая карта
|
Realtek 8139
|
Таблица 4
Типовая конфигурация сервера
|
№
|
Наименование
|
Характеристики
|
|
1
|
Тип процессора
|
Core 2 Quad 2,4 GHz
|
|
2
|
Объем ОЗУ
|
4 Gb
|
|
3
|
Объем HDD
|
500 Gb
|
|
4
|
Видео карта
|
Onboard
|
|
5
|
Звуковая карта
|
Onboard
|
|
6
|
DVD-ROM
|
LG - 16x
|
|
7
|
Сетевая карта
|
Realtek 8139
|
|
8
|
UPS
|
Power Man Pro
|
Типовая конфигурация должна соответствовать основным требованиям, предъявляемым
к оборудованию разработчиками выбранного программного обеспечения. Соблюдение
этого правила позволит минимизировать риски отказа рабочей станции при
обработке данных, что позволит обеспечить высокое качество функционирования и
надежность локальной вычислительной сети.
.5
Проектирование кабельной системы
Основой абсолютно любой сети является кабельная система.
Структурированная кабельная система представляет собой набор коммутационных
элементов (кабелей, разъемов, коннекторов, кроссовых панелей и шкафов), а также
методика их совместного использования, которая позволяет создавать регулярные,
легко расширяемые структуры связей в вычислительных сетях.
Технология передачи данных Fast Ethernet,
выбранная мною в качестве использования для организации локальной сети
института, предусматривает использование в качестве среды передачи витую пару.
Витая пара (UTP, STP) на сегодняшний день наиболее часто используемой
средой передачи сигналов в локальных вычислительных сетях. Кабели могут
отличаться по категориям, наличию экранирования, а также типу проводников.
Наиболее распространенным типом кабеля в современных локальных сетях является
кабель UTP5, который состоит из восьми
проводников, обеспечивающих скорость передачи данных до 1 Гбит/с в
полнодуплексном режиме работы. Для соединения кабелей с сетевым оборудованием
используются коннекторы и розетки типа RG-45.
Структурированная кабельная система строится иерархически, с главной
магистралью и многочисленными ответвлениями от нее.
Типичная иерархическая структура структурированной кабельной системы
включает:
горизонтальные подсистемы (в пределах этажа);
вертикальные подсистемы (внутри здания);
подсистему кампуса (в пределах одной территории с несколькими зданиями).
Использование структурированной кабельной системы вместо хаотически
проложенных кабелей дает множество преимуществ:
универсальность;
увеличение срока службы;
уменьшение стоимости добавления новых пользователей и изменения их мест
размещения;
возможность легкого расширения сети;
обеспечение более эффективного обслуживания;
надежность.
Структурированная кабельная система включает в себя: горизонтальную
подсистему (в пределах этажа), абонентскую часть,стационарную часть,
коммутационную часть, вертикальную подсистему (между этажами), подсистему
кампуса (в пределах одной территории с несколькими зданиями).
Горизонтальная подсистема характеризуется большим количеством ответвлений
кабеля, так как его нужно провести к каждой пользовательской розетке. Поэтому к
кабелю, используемому в горизонтальной проводке, предъявляются повышенные
требования к удобству выполнения ответвлений, а так же удобству его прокладки в
помещениях. При выборе кабеля принимаются во внимание следующие характеристики:
полоса пропускания, расстояние, физическая защищенность, электромагнитная
помехозащищенность, стоимость.
Горизонтальную подсистему, то есть этажную, можно разделить на три части:
) Абонентская часть - состоит из розеток RJ-45, соединенных патч-кордом;
) Стационарная часть - представляет собой патч-корд, который соединяет
розетки со шкафчиком с сетевым оборудованием;
) Коммутационная часть - это патч-корд между коммутатором и розетками на
патч-панели.
Кабель вертикальной подсистемы, который соединяет этажи здания, должен
передавать данные на большие расстояния и с большей скоростью по сравнению с
кабелем горизонтальной подсистемы. Она состоит из более протяженных отрезков
кабеля, количество ответвлений намного меньше, чем в горизонтальной подсистеме.
Для простоты монтажа здесь будет использоваться витая пара категории 5. Все кабели
будут укладываться в пластиковый кабель-канал с целью ограничения доступа к
ним, что позволит снизить вероятность обрыва кабеля, а следовательно, обеспечит
необходимую доступность информации в пределах локальной сети.
.5.1
Разработка схемы прокладки кабельной системы
Учитывая то, как распределяются рабочие станции между помещениями здания
института, я разработал логическую схему локальной сети, которая представлена
на рисунке 2.2. В приложении А к дипломному проекту приведены схемы сети
поэтажно. На всех схемах подписаны отделы и сетевые узлы. Каждой подсети на
схеме присвоены буквенные обозначения для удобства ориентирования. Все
коммутаторы отмечены буквой H и пронумерованы. Всего в сети задействуется 9
коммутаторов: один - 24 порта по 1Гбит, шесть - 16 портов по 100Мбит, два - 5
портов 100Мбит.
На третьем этаже в 315 аудитории располагается корпусной коммутатор,
который координирует работу главной магистрали кабельной системы. В целях
обеспечения безопасности локальной сети мною принято решение поместить данный
коммутатор в специальный шкаф. Это ограничит доступ посторонних лиц к сетевому
оборудованию и обезопасит сеть от непредвиденных сбоев в работе. Для данного
проекта мною был выбран шкаф tecnopac IP 55 (рисунок 2.2), стоимостью
приблизительно 200 у.е. Он обладает необходимыми приспособлениями для
настенного монтажа и оснащен стальной дверью, что позволит максимально
эффективно ограничивать доступ к корпусному коммутатору.
2.5.2
Расчет количества кабеля
При расчете длины горизонтального кабеля учитываются следующие очевидные
положения. Каждая телекоммуникационная розетка связывается с коммутационным
оборудованием в кроссовой этажа одним кабелем.
В соответствии со стандартом ISO/IEC 11801 длина кабелей горизонтальной
подсистемы не должна превышать 90 м. Кабели прокладываются по кабельным
каналам. Принимаются во внимание также спуски, подъемы и повороты этих каналов.
Существует два метода вычисления количества кабеля для горизонтальной
подсистемы: метод суммирования и эмпирический метод. Метод суммирования
заключается в подсчете длины трассы каждого горизонтального кабеля с
последующим сложением этих длин. К полученному результату добавляется
технологический запас величиной до 10%, а также запас для выполнения разделки в
розетках и на кроссовых панелях.
Достоинством рассматриваемого метода является высокая точность.
Рисунок 2.2 - Логическая схема сети института
Рисунок 2.3 - Шкаф для сетевого оборудования tecnopac IP 55
Однако при отсутствии средств автоматизации и проектировании СКС с
большим количеством портов такой подход оказывается чрезмерно трудоемким, что
практически исключает, в частности, просчет нескольких вариантов организации
кабельной системы. Он может быть рекомендован для использования только в случае
наличия у разработчика специализированных программ автоматического
проектирования (например, пакета CADdy), когда выполнение рутинных операций
учета всех спусков, поворотов и т.д., а также подсчета общей длины каждого проброса
перекладывается на средства вычислительной техники.
В своей работе я решил воспользоваться эмпирическим методом, т.к. он
реализует на практике положение известной центральной предельной теоремы теории
вероятностей и, как показывает опыт разработки, дает хорошие результаты для
кабельных систем с числом рабочих мест свыше 30. Его сущность заключается в
применении для подсчета общей длины горизонтального кабеля, затрачиваемого на
реализацию конкретной кабельной системы, обобщенной эмпирической формулы.
На основании сделанных предположений средняя длина Lav
кабельных трасс принимается равной:
(2.1)
где Lmin и Lmax - длина кабельной трассы от точки
ввода кабельных каналов в кроссовую до телекоммуникационной розетки соответственно
самого близкого и самого далекого рабочего места, рассчитанная с учетом
особенностей прокладки кабеля, всех спусков, подъемов, поворотов, межэтажных
сквозных проемов (при их наличии) и т.д.;s - коэффициент
технологического запаса - 1.1 (10%);= Х1 + Х2 - запас для
выполнения разделки кабеля.
Со стороны рабочего места (Х1) он принимается равным 30 см. Со
стороны кроссовой - Х2 - он зависит от ее размеров и численно равен
расстоянию от точки входа горизонтальных кабелей в помещение кроссовой до самого
дальнего коммутационного элемента опять же с учетом всех спусков, подъемов и
поворотов. Далее рассчитывается общее количество Ncr кабельных
пробросов, на которые хватает одной катушки кабеля:
(2.2)
где Lcb - длина кабельной катушки (стандартные значения 305,
500 и 1000 м), причем результат округляется вниз до ближайшего целого.
На последнем шаге получаем общее количество кабеля Lc,
необходимое для создания кабельной системы:
(2.3)
где Nt0 - количество телекоммуникационных розеток.
Исходя из эмпирического метода расчетов, я пришел к следующим
результатам: длина максимального сегмента кабеля 35 метров, минимального - 1.5,
количество розеток - 117.
Используя вышеупомянутые формулы расчета, я получил примерную длину
требуемого кабеля 2 400 метра.
Глядя на эту цифру, можно сделать вывод, что для реализации проекта
потребуется 5 бухт витой пары UTP (по 500 метров). Кабель учитывается с
небольшим запасом, который потребуется при прокладке кабеля и в процессе
эксплуатации.
Расчет кабель-канала проводится по периметру каждой комнаты, затем все
суммируется. Потребуется примерно 1500 метров кабель-канала. Углы будут браться
в процентном соотношении - 20% от общей длины кабель-канала.
3.
РАЗРАБОТКА ПРОГРАММНОГО СРЕДСТВА ЗАЩИТЫ КОМПЬЮТЕРНОЙ СЕТИ
.1
Постановка и анализ задачи разработки
На основе вышеприведенного анализа предметной области, мною было принято
решение о разработке кэширующего HTTP
прокси-сервера в качестве средства для защиты спроектированной локальной
вычислительной сети. Данный прокси-сервер должен реализовывать алгоритм
кэширования, поддерживать использование шифрованного канала передачи данных по
протоколу SSL, а также обеспечивать поддержку
процедуры авторизации. Для того, чтобы проанализировать поставленную задачу,
необходимо подробнее рассмотреть принцип работы HTTP прокси-сервера.
HTTP
прокси-сервер - это сервер, который обрабатывает HTTP запросы клиентов. Если клиенты имеет общую
организацию или домен, или они проявляют подобие в просмотре документов,
прокси-сервер может эффективно кэшировать запрошенные документы. Кэширование,
которое перемещает документы из сети ближе к пользователям, разгружает сетевой
трафик, снижает нагрузку на популярных серверах Web и уменьшает время, в течении которого конечные
пользователи ждут запрашиваемые документы.
Прокси-сервер принимает запросы от клиентов. Когда это возможно и
желательно, он генерирует ответ, основанный на документах, сохранённых в
локальном кэше. Иначе, он направляет запрос удалённому серверу, а полученный
ответ направляет клиенту, и если ответ был удачен, кэширует его. На рисунке 3.1
схематически показана работа кэширующего прокси-сервера.
Таким образом, прокси-сервер действует, и как сервер и как клиент. Он
выступает в качестве сервера при приёмке HTTP запросов от клиентов, и клиентом по отношению к
удалённым серверам, с которыми он устанавливает связь, когда не способен
ответить на запрос, воспользовавшись данными из локального кэша.
Рассмотрим работу прокси-сервера более подробно. Когда прокси-сервер
начинает работать, он находится в состоянии ожидания запросов от клиентов на
специальный порт (по умолчанию 8080). После получения, для каждого запроса
создаётся новый поток для обработки. Поток обработки анализирует запрос.
Рисунок 3.1 - Передача информации через кэширующий прокси-сервер
Если запрос должен извлечь документ (обозначается методом запроса “GET”), тогда, если выполняются все ниже
перечисленные условия, то документ берётся из кэша и направляется клиенту, при
этом число удачного использования кэша увеличивается на единицу (cache hit):
необходимый документ имеется в кэше;
в запросе не указано, что документ нельзя взять из кэша (pragma “no cache” не задана в запросе);
в запросе не определена временная область “if-modified-since”;
сервер, с которого запрашивается документ, не входит в список серверов,
доступ к которым осуществляется без прокси-сервера.
Во всех остальных случаях запрос будет послан удалённому серверу, с
которого запрашивается документ, или другому прокси-серверу, если таковой был
определён. При этом число неудачного использования кэша (cache misses), будет увеличено на единицу.
Ответ от удалённого сервера передаётся клиенту. В добавление к этому в
случае удачного ответа на запрос (что обозначается кодом 200 ответа удалённого
сервера) и при условии, что сервер не находиться в списке серверов, доступ к
которым осуществляется без прокси, найденный документ будет сохранён в кэше на
локальном диске. При этом необходимо отметить, что всякий раз, когда получена
новая версия кэшируемого документа (например, при ответе на запрос, содержащий
поле “if-modified-since”), она заменяет более старую версию в кэше.
Статистика, накопленная в течении транзакции с удалённым сервером (время
соединения, ширина пропускной полосы) используется для модификации
статистической базы данных сервера.
.2
Построение объектной модели программной системы
При объектно-ориентированном подходе анализ требований к системе сводится
к разработке моделей этой системы. Моделью системы (или какого-либо другого
объекта или явления) мы называем формальное описание системы, в котором
выделены основные объекты, составляющие систему, и отношения между этими объектами.
Построение моделей - широко распространенный способ изучения сложных объектов и
явлений. В модели опущены многочисленные детали, усложняющие понимание.
Моделирование широко распространено и в науке, и в технике.
Модели помогают:
проверить работоспособность разрабатываемой системы на ранних этапах ее
разработки;
общаться с заказчиком системы, уточняя его требования к системе;
вносить (в случае необходимости) изменения в проект системы (как в начале
ее проектирования, так и на других фазах ее жизненного цикла).
В настоящее время существует несколько технологий
объектно-ориентированной разработки прикладных программных систем, в основе
которых лежит построение и интерпретация на компьютере моделей этих систем. В
данном проекте применена одна из них - OMT (Object Modeling Techniques). Кроме
того построена диаграмма объектной модели на языке UML.
Объектная модель описывает структуру объектов, составляющих систему, их
атрибуты, операции, взаимосвязи с другими объектами. В объектной модели должны
быть отражены те понятия и объекты реального мира, которые важны для
разрабатываемой системы. В объектной модели отражается прежде всего прагматика
разрабатываемой системы, что выражается в использовании терминологии прикладной
области, связанной с использованием разрабатываемой системы.
.2.1
Определение классов объектной модели
Анализ внешних требований к проектируемой системе позволяет определить
объекты и классы объектов, связанные с прикладной проблемой, которую должна
решать эта система. Все классы должны быть осмыслены в рассматриваемой
прикладной области; классов, связанных с компьютерной реализацией, как например
список, стэк и т.п. на этом этапе вводить не следует.
Начнём с выделения возможных классов из письменной постановки прикладной
задачи. При определении возможных классов нужно постараться выделить как можно
больше классов, выписывая имя каждого класса, который приходит на ум. В
частности, каждому существительному, встречающемуся в предварительной
постановке задачи, может соответствовать класс. Поэтому при выделении возможных
классов каждому такому существительному обычно сопоставляется возможный класс.
В результате получаем следующий список возможных имён классов:
Proxy;
Кэш;
Другой proxy;
Запрос;
Документ;
Клиент;
Ответ;
Удалённый Web сервер;
Конфигурация;
Файл;
Информация о документе;
Информация об удалённом Web сервере;
Заголовок запроса;
Заголовок ответа.
3.2.2
Подготовка словаря
Приведём словарь, содержащий определения классов, используемых в проекте:
Proxy - программа, обрабатывающая запросы клиентов;
Запрос - запрос клиента (Http запрос);
Ответ - ответ на запрос (Http ответ на Http запрос);
Кэш - хранилище информации, в котором содержится часть документов,
когда-либо вызываемых пользователем. Существует алгоритм отбора этой части
документов. Параметр “верхний уровень воды” определяет максимальный размер
кэша. Параметр “нижний уровень воды” определяет размер кэша после очередной
очистки.
Документ - документ, запрашиваемый пользователем;
Заголовок ответа - заголовок http ответа;
Удалённый сервер - Web сервер, с которого пользователь хочет загрузить
документ;
Другой proxy - каскадируемый proxy сервер. Если в конфигурации моего
proxy сервера указан адрес другого proxy сервера, то все запросы поступающие
моему серверу буду переадресованы ему (каскадирование);
Клиент - клиентская программа (Browser Internet);
Конфигурация proxy сервера - информация об основных настройках моего
proxy сервера;
Файл - локальный текстовый файл для хранения информации.
.2.3
Определение зависимостей
С каждым объектом связана структура данных, полями которой являются
атрибуты этого объекта и указатели функций (фрагментов кода), реализующих
операции этого объекта. Таким образом, объект - это некоторая структура данных,
тип которой соответствует классу этого объекта.
Между объектами можно устанавливать зависимости по данным. Эти
зависимости выражают связи или отношения между классами указанных объектов.
Зависимость изображается линией, соединяющей классы над которой надписано имя
этой зависимости, или указаны роли объектов (классов) в этой зависимости
(указание ролей - наиболее удобный способ идентификации зависимости).
На этом этапе построения объектной модели определяются зависимости между
классами. Прежде всего из классов исключаются атрибуты, являющиеся явными
ссылками на другие классы; такие атрибуты заменяются зависимостями. Смысл такой
замены в том, что зависимости представляют собой абстракцию того же уровня, что
и классы, и потому не оказывают непосредственного влияния на будущую реализацию
(ссылка на класс лишь один из способов реализации зависимостей).
Аналогично тому, как имена возможных классов получались из
существительных, встречающихся в предварительной постановке прикладной задачи,
имена возможных зависимостей могут быть получены из глаголов или глагольных
оборотов, встречающихся в указанном документе. Таким образом, можно получить
следующие глагольные обороты:
Клиент посылает Запрос Proxy;
Proxy посылает Запрос Другому proxy;
Другой proxy возвращает Ответ Proxy;
Удалённый сервер возвращает Ответ Proxy;
Proxy посылает Ответ Клиенту;
Proxy посылает Запрос Удалённому Web серверу;
Web сервер возвращает Ответ Proxy;
Документ содержится в Ответе;
Заголовок ответа является частью ответа;
Proxy анализирует Заголовок ответа;
Документы содержатся в Кэше;
Документ хранится в Файле;
Конфигурация взаимодействует с Файлом;
Proxy взаимодействует с Кэшем;
Proxy взаимодействует с Конфигурацией.
Затем убираем ненужные или неправильные зависимости, используя следующие
критерии:
зависимости между исключенными классами должны быть исключены, либо
переформулированы в терминах оставшихся классов;
нерелевантные зависимости и зависимости, связанные с реализацией, должны
быть исключены;
действия: зависимость должна описывать структурные свойства прикладной
области, а не малосущественные события;
тренарные зависимости: большую часть зависимостей между тремя или большим
числом классов можно разложить на несколько бинарных зависимостей, используя в
случае необходимости квалификаторы;
производные зависимости: нужно исключать зависимости, которые можно
выразить через другие зависимости, так как они избыточны; при исключении
избыточных (производных) зависимостей нужно быть особенно осторожным, так как
не все дублирующие одна другую зависимости между классами избыточны; в
некоторых случаях другие зависимости позволяют установить только существование
еще одной производной зависимости, но не позволяют установить кратность этой
зависимости; хотя производные зависимости и не добавляют новой информации, они
часто бывают удобны; в этих случаях их можно указывать на диаграмме, пометив
косой чертой.
Обработав список зависимостей, получаем следующие:
Ответ состоит из Ответа и Заголовка ответа
Документ содержится в Кэше;
Кэш хранится в Файле;
Proxy взаимодействует с Кэшем;
Proxy анализирует Заголовок ответа;
Proxy взаимодействует с Конфигурацией proxy;
Кэш взаимодействует с Конфигурацией proxy;
Proxy взаимодействует с Запросом;
Proxy взаимодействует с Ответом;
Клиент посылает Запрос;
Запрос посылается Удалённому серверу;
Запрос посылается Другому proxy;
Клиент получает Ответ;
Другой proxy возвращает Ответ;
Удалённый сервер возвращает Ответ.
После уточнения зависимостей можно составить исходную версию объектной
диаграммы. Для рассматриваемой задачи она будет иметь вид, представленный на
рисунке 3.2.
.2.4
Уточнение атрибутов
На этом этапе уточняется система атрибутов: корректируются атрибуты
классов, вводятся, в случае необходимости, новые атрибуты. Атрибуты выражают
свойства объектов рассматриваемого класса, либо определяют их текущее
состояние.
Атрибуты обычно соответствуют существительным; например цвет_автомобиля
(свойство объекта), позиция_курсора (состояние объекта). Атрибуты, как правило,
слабо влияют на структуру объектной модели.
Рисунок 3.2 - Первая версия объектной диаграммы для прокси-сервера
Необходимо вводить только те атрибуты, которые имеют отношение к
проектируемой прикладной системе, опуская случайные, малосущественные и
производные атрибуты.
Наряду с атрибутами объектов необходимо ввести и атрибуты зависимостей между
классами (связей между объектами).
При уточнении атрибутов руководствуются следующими критериями:
Замена атрибутов на объекты. Если наличие некоторой сущности важнее, чем
ее значение, то это объект, если важнее значение, то это атрибут: например, начальник
- это объект (неважно, кто именно начальник, главное, чтобы кто-то им был),
зарплата - это атрибут (ее значение весьма существенно).
Квалификаторы. Если значение атрибута зависит от конкретного контекста,
его следует сделать квалификатором.
Имена. Именам обычно лучше соответствуют квалификаторы, чем атрибуты
объектов; во всех случаях, когда имя позволяет сделать выбор из объектов
некоторого множества, его следует сделать квалификатором.
Идентификаторы. Идентификаторы объектов связаны с их реализацией. На
ранних стадиях проектирования их не следует рассматривать в качестве атрибутов.
Атрибуты связей. Если некоторое свойство характеризует не объект сам по
себе, а его связь с другим объектом (объектами), то это атрибут связи, а не
атрибут объекта.
Внутренние значения. Атрибуты, определяющие лишь внутреннее состояние
объекта, незаметное вне объекта, следует исключить из рассмотрения.
Несущественные детали. Атрибуты, не влияющие на выполнение большей части
операций, рекомендуется опустить.
Следуя этим рекомендациям, получаем следующую версию объектной диаграммы
для прокси-сервера, представленную на рисунке 3.3.
.3
Построение динамической модели системы
Объектная модель представляет статическую структуру проектируемой
системы. Однако знания статической структуры недостаточно, чтобы понять и
оценить работу системы. Необходимо иметь средства для описания изменений,
которые происходят с объектами и их связями во время работы системы. Одним из
таких средств является динамическая модель системы. Она строится после того,
как объектная модель системы построена и предварительно согласована и отлажена.
Динамическая модель системы состоит из диаграмм состояний ее объектов и
подсистем.
Рисунок 3.3 - Объектная диаграмма для прокси-сервера с учетом основных
атрибутов
.3.1
События системы
Текущее состояние объекта характеризуется совокупностью текущих значений
его атрибутов и связей. Во время работы системы, составляющие ее объекты
взаимодействуют друг с другом, в результате чего изменяются их состояния.
Единицей влияния является событие: каждое событие приводит к смене состояния
одного или нескольких объектов в системе, либо к возникновению новых событий.
Работа системы характеризуется последовательностью происходящих в ней событий.
Событие происходит в некоторый момент времени (нередко оно используется
для определения соответствующего момента времени). Примеры событий: старт
ракеты, старт забега на 100 м и т.п. Событие не имеет продолжительности
(точнее, оно занимает пренебрежимо малое время).
Одно из событий может логически предшествовать другому, либо следовать за
другим, либо они могут быть независимыми; примерами логически (причинно)
связанных событий являются старт и финиш одного забега, примерами независимых
событий - старт ракеты и финиш забега и т.п. Если события не имеют причинной
связи (т.е. они логически независимы), они называются независимыми
(concurrent); такие события не влияют друг на друга. Независимые события не
имеет смысла упорядочивать, так как они могут происходить в произвольном
порядке. Модель распределенной системы обязательно должна содержать независимые
события и активности.
События передают информацию с одного объекта на другой. Существуют классы
событий, которые просто сигнализируют о том, что что-то произошло или
происходит (примеры: загорание лампочки лифта, гудок в телефонной трубке). В
программировании рассматриваются исключительные события (иногда их называют
исключениями), которые сигнализируют о нарушениях работы аппаратуры, либо
программного обеспечения.
Сценарием называется последовательность событий, которая может иметь
место при конкретном выполнении системы. Сценарии могут иметь разные области
влияния: они могут включать все события, происходящие в системе, либо только
события, возникающие и влияющие только на определенные объекты системы.
При анализе динамики работы системы необходимо составить и рассмотреть
несколько сценариев, отражающих типичные варианты ее работы. Ниже приводятся
основные сценарии работы прокси-сервера.
Если запрашиваемый клиентом документ есть в кэше:
клиент посылает запрос;
поиск документа в кэше;
proxy
берёт документ из кэша;
proxy
посылает ответ клиенту;
обновление статистики proxy;
обновление статистики по документу.
Если запрашиваемого клиентом документа нет в кэше, но он есть на
удалённом Web сервере:
клиент посылает запрос;
поиск документа в кэше;
обновление статистики proxy;
proxy
посылает запрос удалённому Web-серверу;
proxy
получает ответ от удалённого Web-сервера;
proxy
посылает ответ клиенту;
proxy
добавляет документ в кэш;
обновление статистики по документу;
обновление статистики по удалённому Web-серверу.
Если запрашиваемого клиентом документа нет в кэше и при этом его нет на
удалённом Web-сервере:
клиент посылает запрос.
поиск документа в кэше.
обновление статистики Proxy.
proxy
посылает запрос удалённому Web-серверу.
proxy
получает ответ от удалённого Web-сервера.
proxy
посылает ответ клиенту.
Следующим этапом после разработки и анализа сценариев является
определение объектов, генерирующих и принимающих каждое событие сценария.
Последовательности событий с привязкой к объектам проектируемой системы удобно
представлять на диаграммах, называемых трассами событий. Вертикальные линии
изображают на этой диаграмме объекты, а горизонтальные стрелки - события
(стрелка начинается в объекте, генерирующем событие, и заканчивается в объекте,
принимающем событие). Более поздние события помещены ниже более ранних,
одновременные - на одном уровне. Ниже на рисунках приводятся трассы событий для
соответствующих сценариев:
Рисунок 3.4 - Диаграмма взаимодействия для работы прокси-сервера, если
искомый документ имеется в кэше.
Рисунок 3.5 - Диаграмма взаимодействия для работы прокси-сервера, если
искомого документа нет в кэше, но он есть на удалённом Web-сервере.
.3.2
Состояния и диаграммы состояний системы
Состояние определяется совокупностью текущих значений атрибутов и связей
объекта. Например, банк может иметь состояния платежеспособный и
неплатежеспособный.
Состояние определяет реакцию объекта на поступающее в него событие.
Реакция объекта на событие может включать некоторое действие и/или перевод
объекта в новое состояние.
Рисунок 3.6 - Диаграмма взаимодействия для работы proxy сервера, если
запрашиваемого клиентом документа нет в кэше и при этом его нет на удалённом
Web-сервере.
Объект сохраняет свое состояние в течение времени между двумя
последовательными событиями, которые он принимает: события представляют моменты
времени, состояния - отрезки времени; состояние имеет продолжительность,
которая обычно равна отрезку времени между двумя последовательными событиями,
принимаемыми объектом, но иногда может быть больше.
При определении состояний мы не рассматриваем тех атрибутов, которые не
влияют на поведение объекта, и объединяем в одно состояние все комбинации
значений атрибутов и связей, которые дают одинаковые реакции на события.
Диаграмма состояний связывает события и состояния. При приеме события
следующее состояние системы зависит как от ее текущего состояния, так и от
события; смена состояния называется переходом.
Диаграмма состояний - это граф, узлы которого представляют состояния, а
направленные дуги, помеченные именами соответствующих событий, - переходы.
Диаграмма состояний позволяет получить последовательность состояний по заданной
последовательности событий.
Условие - это логическая (булева) функция от значений объектов, как
например, температура ниже нуля и т.п. Условие может выполняться в течение
некоторого отрезка времени; событие, в отличие от условия, происходит мгновенно
и не имеет продолжительности во времени.
Условия могут использоваться как ограничения на переходы: условный
переход выполняется только тогда, когда и произошло соответствующее событие, и
выполнено условие этого перехода.
Диаграмма состояний была бы не очень полезной, если бы она содержала
только переходы (безусловные и условные), соответствующие генерируемым во время
работы системы событиям. Являясь описанием поведения объекта, диаграмма состояний
должна описывать, что делает объект в ответ на переход в некоторое состояние
или на возникновение некоторого события. Для этого в диаграмму состояний
включаются описания активностей и действий.
Активностью называется операция, связанная с каким-либо состоянием
объекта (она выполняется, когда объект попадает в указанное состояние);
выполнение активности требует определенного времени. Примеры активностей:
выдача картинки на экран телевизора, телефонный звонок, считывание порции файла
в буфер и т.п.; иногда активностью бывает просто приостановка выполнения
программы (пауза), чтобы обеспечить необходимое время пребывания в
соответствующем состоянии (это бывает особенно важно для параллельной
асинхронной программы). Активность связана с состоянием, поэтому на диаграмме
состояний она обозначается через "do: имя_активности" в узле,
описывающем соответствующее состояние.
В соответствии с этими правилами отобразим диаграммы состояний для
объектов основных классов. Так, на рисунке 4.10 изображена диаграмма состояний
объектов класса кэш.
.4
Реализация алгоритма кэширования
Алгоритмическое обеспечение проекта выражается в алгоритме работы кэша.
Кэш предназначен для хранения наиболее популярных у клиента прокси-сервера
документов.
Рисунок 3.7- Диаграмма состояний объектов класса кэш
Кэш хранит и обрабатывает объекты DocumentInfo, которые обращаются к
локальным файлам в каталоге кэша и содержат информацию относительно их даты
создания, размера, и числа их вызовов. Объект DocumentInfo создан и вставлен в
кэш после успешного получения и сохранения требуемого документа на локальном
диске.
Впервые полученные документы всегда помещаются в кэш (они заменяют более
старые версии, если такие имеются). Так как дисковое пространство ограничено
то, когда нет свободного участка памяти, чтобы вставить новый документ,
необходимо очистить кэш. В данном проекте, верхняя граница размера кэша
определена параметром верхний уровень воды (High Water Mark). Текущий размер
кэшей обозначен параметром текущий уровень воды (Current Water Mark). Во время
очистки кэша документы удаляются до тех пор, пока размер кэша не станет ниже
параметра нижний уровень воды (Low Water Mark).
Алгоритм, который выбирает документы для удаления, называется алгоритмом
удаления. Алгоритм, который я выбрал, чтобы оптимизировать время загрузки
запрашиваемого документа конечным пользователем, основан на Гибридном алгоритме
(HYB) предложенном Вустером и Абрамсом (Wooster and Abrams).
Когда вызывается алгоритм удаления, он приписывает индекс каждому
кэшируемому документу, после чего производится сортировка документов согласно
их индексов и удаление документов с меньшими индексами, пока Current Water Mark
не опуститься до уровня Low Water Mark.
Величина индекса, которым помечается документ зависит от сочетания
следующих факторов:
) Оценка времени соединения с удалённым сервером (Clatserver(i)).
) Оценка пропускной способности соединения с удалённым сервером (Cbwserver
(i)).
) Размер документа (si).
) Частота обращений к документу (Frefi).
Первые два фактора - оценки, основанные на времени соединения и
пропускной способности соединения, измеренные в течение прошлых соединений с
удалённым сервером, сохранённые и обработанные объектом ServersDataBase. Всякий
раз, когда происходит получение нового документ с удалённого сервера,
измеряется время соединения и пропускная способность (время передачи / размер)
для этого документа (обозначаются sclat и scbw соответственно) и обновляются
оценки факторов следующим образом:
Clatserver(i) = (1-Alpha) * Clatserver(i) +
Alpha * sclatserver(i) = (1- Alpha) * Cbwserver(i) +
Alpha * scbw
Где Alpha - коэффициент сглаживания, по умолчанию равен 1/8. Значение
Alpha может быть изменено пользователем.
Необходимо заметить, что статистика по удалённому серверу формируется
исходя из статистики документов этого сервера. Это устраняет проблему более
низкой значимости пропускной способности для малых документов, чем пропускной
способности для больших документов на том же самом сервере. Удалённый сервер, как
ожидается, содержит набор документов различных размеров, так что, на измеряемую
пропускную способность для всех серверов, как ожидается, в равной степени
повлияет вышеупомянутое явление.
За последними двумя факторами следят объекты DocumentInfo. Когда документ
сохраняется локально отмечается их размер и текущая дата. Всякий раз, когда
происходит удачное обращения в кэш, счетчик обращений к документу
увеличивается. Частота обращений к документу - частное числа обращений и
времени, на протяжении которого документ находится в кэше.
Результирующая функция формирования значения индекса значимости документа
объединяет в себе все четыре фактора и будет выглядеть следующим образом:
(WClat * Clatserver (i) + WCbw
* CbWserver (i)) * ( Frefi ^ WFref) / (si
^ Wsi)
Где WClat, WCbw, WFref и Wsi
- настраиваемые веса значимости факторов.
Алгоритм удаления предпочитает удалять документы с более низким значением
индексов. Следовательно, документ, вряд ли будет удалён, если значение индекса
относительно велико, что возможно, если документ находится на сервере, время
соединения с которым велико (то есть большой Clatserver(i)) и
пропускная способность соединения мала (то есть мал Cbwserver(i)), и
при этом документ часто вызывался (то есть большой Frefi), и размер
документа мал (то есть мал si).
.5
Реализация алгоритма авторизации
Список логинов и соответствующих им паролей хранится в классе ProxyConfig, который содержится в каталоге BCCollection. Во внутреннем классе CUserList
авторизация проверяется с помощью метода:
public bool IsItemPresent(string name, string pass)
{ContainsKey(name) && this[name] == pass;
}
Процесс авторизации в классе HttpClient происходит следующим образом: после соединения клиента с
прокси-сервером начинается чтение заголовков от клиента:
public override void StartHandshake() {{.BeginReceive(Buffer,
0, Buffer.Length, SocketFlags.None, new AsyncCallback(this.OnReceiveQuery),
ClientSocket);
} catch {();
}
}
В методе OnReceiveQuery вызывается метод, отвечающий за авторизацию:
if (!this.CheckAuthentication())
{();;
}
В случае если аутентификация не прошла, соединение закрывается. Метод проверки аутентификации:bool
CheckAuthentication()
{(!MiniProxyServer.Program.proxy.Config.IsScurityOn) return
true;headerText = Encoding.Default.GetString(this.Buffer);.Socks.Authentication.BasicAccessAuthentication
ba = new Proxy. Socks.Authentication.BasicAccessAuthentication();.Login(headerText);(!string.IsNullOrEmpty(ba.UserName)
&& !string.IsNullOrEmpty(ba.Password))
{= ba.UserName;true;
}
{.Send(Encoding.Default.GetBytes(ba.AuthenticationRequest()),
SocketFlags.None);
}false;
}
Если в настройках сервера отключена аутентификация, то метод возвращает
true.
Создается объект, который извлекает из заголовков запрос имя пользователя
и пароль и проверяет, являются ли они верными:
DProxy.Socks.Authentication.BasicAccessAuthentication ba =
new DProxy.Socks.Authentication.BasicAccessAuthentication();
Метод проверки:void Login(string header)
{sReader = new StringReader(header);line = string.Empty;((line
= sReader.ReadLine()) != null)
{(line.Contains("Proxy-Authorization"))
{[] t0 = line.Split(new string[] { " " },
StringSplitOptions.RemoveEmptyEntries);(t0.Length == 3)
{[] t1 = Decoding(t0[2]);(t1.Length == 2)
{(Program.proxy.Config.UserList.IsItemPresent(t1[0], t1[1]))
{.UserName = t1[0];.Password = t1[1];
}
}
};
}
}
}
Метод проверяет наличие аутентификационных данных в заголовках запроса, и
если они есть, то расшифровывает их и сохраняет в переменные.
Если авторизация не прошла, то прокси-сервер возвращает следующий ответ:
sBuilder.AppendLine("HTTP/1.0 407 Proxy Authentication
Required");.AppendLine("Server:
HTTPd/1.0");.AppendLine("Date: Tue, 27 Oct 2009 08:47:58
GMT");.AppendLine("Content-Type:
text/html");.AppendLine("Content-Length: 286");.AppendLine("Proxy-Authenticate:
Basic realm=\"Secure
Area\"");.AppendLine("Proxy-Connection:
close");.AppendLine();.AppendLine("<!DOCTYPE HTML PUBLIC
\"-//W3C//DTD HTML 4.01 Transitional//EN\" \"#"522273.files/image016.gif">
Рисунок 3.8 - Вкладка мониторинг активности
4.
ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКАЯ ЧАСТЬ
.1 Общие
положения
Программные средства (ПС) вычислительной техники являются материальными
объектами специфической интеллектуальной деятельности специалистов, состоящими
из программных документально оформленных проектов, реализующих свои
потребительские свойства и качества в составе функционирующих вычислительных
систем или систем обработки данных.
В результате разработки и применения программных средств вычислительной
техники экономический эффект достигается за счет экономии трудовых,
материальных и финансовых ресурсов на основе: снижения трудоемкости
алгоритмизации программирования и отладки программ (задач) за счет
использования программного средства в процессе разработки автоматизированных
систем и систем обработки данных; снижения расходов на материалы (диски, бумага
и прочие материалы); ускорения ввода в эксплуатацию новых систем; улучшение
показателей основной деятельности предприятий в результате использования
программных средств; увеличение объемов и сокращение сроков переработки
информации.
Также целесообразным является применение средств вычислительной техники
для разработки проекта локальной вычислительной сети. В этом случае эффект
достигается за счет использования программных средств, позволяющих
автоматизировать разработку схем разводки сети, а также поиска и отбора
необходимой информации.
Расчет экономической эффективности программных средств вычислительной
техники и проекта вычислительной сети основан на принципах комплексной оценки
эффективности мероприятий, направленных на ускорение работы.
Основными источниками экономии для предприятия, использующего внедряемое
ПС являются: улучшение показателей основной деятельности предприятия,
происходящее в результате использования ПС; повышение технического уровня,
качества и объемов вычислительных работ; сокращение сроков обработки
информации; уменьшение численности персонала, занятого обслуживанием
программных средств автоматизированных систем и систем обработки информации;
снижение трудоемкости работ программистов при программировании прикладных задач
с использованием новых ПС в организации-потребителе ПС; снижение затрат на
эксплуатационные расходы.
увеличение производительности работы сети, а, следовательно, и повышение
качества и объемов вычислительных работ; сокращение сроков обработки данных; обеспечение
безопасности передаваемых данных;
.2 Расчет
затрат на проектирование и внедрение проекта
В структуре капитальных вложений, связанных с автоматизацией управления,
выделяют капитальные вложения на разработку проекта автоматизации (предпроизводственные
затраты) и капитальные вложения на реализацию проекта (затраты на внедрение):
К = Кп + Кр,(4.1)
где Кп - капитальные вложения на проектирование; Кр
- капитальные вложения на реализацию проекта.
Расчет капитальных вложений на проектирование. Капитальные вложения на
проектирование ПС определяются путем составления смет расходов и определяются
по формуле:
Кп=Км+ Кпр + Кмаш + Кс
+ Кн, (4.2)
где Км - стоимость материалов; Кпр - заработная
плата основная и дополнительная с отчислениями в соцстрах инженерно-технического
персонала, непосредственно занятого разработкой проекта; Кмаш -
затраты, связанные с использованием машинного времени на отладку программы; Кс
- оплата услуг сторонним организациям, если проектирование производится с
привлечением сторонних организаций; Кн - накладные расходы отдела
проектирования.
Все расчеты будут производиться в условных единицах (у.е.), что
соответствует стоимости одного доллара США в Приднестровском Республиканском
Банке на момент разработки проекта.
Затраты на материалы. Определим смету затрат и рассчитаем стоимость
материалов Км, пошедших на разработку проекта. Перечень материалов
обусловлен темой дипломной работы. В их состав входит следующее: носители
информации (бумага, магнитные диски) и быстроизнашивающиеся предметы труда
(ручка, карандаш, резинка). Смета затрат на материалы представлена в таблице 5.
Таблица 5
Смета затрат на материалы
|
Материал
|
Единица измерения
|
Цена за единицу (у.е.)
|
Количество
|
Сумма (у.е.)
|
|
CD-RW
диск
|
Шт.
|
1,50
|
1
|
1,50
|
|
Бумага
|
Пач.
|
5
|
1
|
5
|
|
Ручка
|
Шт.
|
0,30
|
2
|
0,60
|
|
Тонер картридж
|
Шт.
|
15
|
1
|
15
|
|
Папка
|
Шт.
|
0,2
|
1
|
0,2
|
|
ИТОГО
|
|
22,30
|
|
Транспортно-заготовительные расходы (5 %)
|
|
1,115
|
|
ВСЕГО
|
|
23,415
|
|
|
|
|
|
|
Затраты на оплату труда. Затраты на основную заработную плату
проектировщика (Кпр) рассчитывается на основе данных о
квалификационном составе разработчиков, их должностных окладах и общей
занятости по теме. Дополнительная заработная плата начисляется в размере 10% от
суммы основной заработной платы, а отчисления на социальные страхования - в
размере 39% от фонда заработной платы. Смета затрат на оплату труда
представлена в таблице 6.
Таблица 6
Смета затрат на оплату труда
|
Должность работника
|
Должностной оклад (у.е.)
|
Дневная ставка
|
Занятость по теме
|
Сумма основной з/п (у.е.)
|
|
Разработчик
|
130
|
5.9
|
100
|
590
|
|
Руководитель проекта
|
150
|
6.5
|
50
|
325
|
|
ИТОГО
|
|
915 у.е.
|
Итого Кпр = 915 у.е
Затраты на отладку программного средства. Затраты, связанные с
использованием машинного времени на отладку программы (Кмаш)
учитываются для следующих этапов проектирования: разработка рабочего проекта;
внедрение - проведение опытной эксплуатации задач и сдача их в промышленную
эксплуатацию.
Затраты на отладку программы определяются по формуле:
,(4.3)
где
Cм -
стоимость одного часа машинного времени; 
- время
отладки программы (ч); 
-
количество программистов.
Подставляя
фактические данные, получаем величину затрат на отладку программы:
Смч
= 0,2 у.е., Тотл = 24 часов, Sпр = 2 программист Кмаш
= 0,2·24·2 =9,6 у.е.
В
связи с тем, что сторонние организации не привлекались к работе, то Кс = 0.
Накладные
расходы на разработку дипломной работы берутся в размере 45% от основной
заработной платы разработчиков для покрытия административно-хозяйственных и
других непредусмотренных расходов:
Кн = Кпр·0,45(4.4)
Так как затраты на основную заработную плату проектировщика (Кпр)
равны 915 у.е., то накладные расходы составят: Кн = 915*0,45 = 411,7
у.е.
Капитальные вложения на реализацию проекта складываются из суммы,
требующейся для закупки необходимого оборудования и материалов, а также
стоимости работ по развертыванию локальной вычислительной сети.
В приведенной ниже таблице представлена смета расходов на приобретение
материалов и оборудования, необходимых для развертывания сети.
Таблица 7
Смета расходов на реализацию проекта локальной вычислительной сети
института
|
Наименование
|
модель
|
Цена за ед., у.е.
|
Кол-во
|
Общая цена
|
|
Коммутаторы
|
|
D-Link Switch 24port 10/100/1000
|
DGS-1016D
|
200
|
1
|
200
|
|
D-Link Switch 16port 10/100
|
DES-1016D
|
40
|
6
|
240
|
|
D-Link Switch 8port 10/100
|
DES-1008D
|
17
|
2
|
34
|
|
Шкаф для сетевого оборудования tecnopac IP 55
|
|
205
|
1
|
205
|
|
Internet
|
|
ADSL Planer ADE-4400
|
|
30
|
1
|
30
|
|
ADSL сплиттер D-Link DSL-30F
|
|
3
|
1
|
3
|
|
D-LINK DAP-1150
|
|
39
|
3
|
117
|
|
Кабели
|
|
UTP 4 пары solid, кат. 5e, (500м.)
|
|
100
|
5
|
500
|
|
Патч-корд UTP,
Категория 5е, 2 метра
|
|
0,80
|
115
|
92
|
|
Коннекторы
|
|
RJ45 под UTP кабель, кат. 5, 50m" gold универсальный
без вставки
|
|
0,15
|
117
|
17,55
|
|
Кабель-канал
|
|
Короб 40*40мм., с крышкой (1м)
|
U060806020
|
1
|
1500
|
1500
|
|
Угол внутренний изменяемый, 40х40мм
|
13022 CBR
|
1,5
|
300
|
172,5
|
|
Розетки
|
|
Розетка внешн. 1xRJ-45 UTP, Категория 5е
|
|
1,8
|
115
|
194,4
|
|
Программное обеспечение
|
|
Microsoft Windows Server 2008 R2
|
|
110
|
1
|
110
|
|
Microsoft Windows 7 Professional
|
|
32,50
|
114
|
3705
|
|
Microsoft Office Professional Plus 2010
|
|
49,60
|
115
|
5704
|
|
Итого
|
|
|
|
12824,45
|
Таблица 8
Общая смета затрат на проектирование
|
Статьи
|
Затраты
|
|
Сумма (у.е.)
|
Удельный вес статьи в общей стоимости (%)
|
|
Материалы и покупные полуфабрикаты
|
23,415
|
0,1
|
|
Основная заработная плата
|
915
|
6,3
|
|
Дополнительная заработная плата
|
91
|
0,6
|
|
Отчисления на единый социальный налог
|
356,85
|
2,4
|
|
Затраты на отладку программы
|
9,6
|
0,01
|
|
Накладные расходы
|
411,7
|
3,8
|
|
Затраты на реализацию
|
12619,45
|
87,5
|
|
ИТОГО:
|
14427,5
|
100
|
Итого общая величина капитальных вложений на реализацию проекта
составляет 14632,5 у.е.
К затратам текущего характера относятся затраты, связанные с обеспечением
нормального функционирования разработанного программного средства.
Это могут быть затраты на ведение информационной базы, эксплуатацию
технических средств, реализацию технологического процесса обработки информации
по задачам, эксплуатацию системы в целом.
Затраты, связанные с эксплуатированием задачи вычисляются по формуле:
Сэз = Смч ·Тэ,(4.5)
где Смч - стоимость одного часа работы технических средств; Тэ
- время эксплуатации задачи в течение года.
Подставляя реальные значения, полученные в ходе опытной эксплуатации
программного средства, получаем величину годовых эксплуатационных расходов с
учетом оплаты за расход электроэнергии компьютера в год:
Сэз = 0,2·1056 = 211,2 у.е.
4.3
Определение экономической эффективности от внедрения проекта
Экономический эффект, как реальная экономия, обусловлена следующими
факторами: сокращением времени обработки информации; сокращением потерь
рабочего времени.
Рассчитаем абсолютную годовую экономию на основе сокращения потерь
рабочего времени, образующуюся в виде экономии на заработной плате за счет:
снижение затрат на оплату простоев служащих; сокращение численности служащих;
увеличение эффективности фонда времени одного служащего; сокращение
сверхурочных работ.
Сокращения затрат при использовании программных средств для решения
поставленной задачи обусловлено снижением трудоемкости работ по обработке
информации и снижением затрат на оплату простоев сотрудников.
Расчет экономии за счет снижения трудоемкости решения задачи. Экономия за
счет снижения трудоемкости решения определенного класса задач, рассчитывается
по формуле:
Этр = (А В Тр·Зчас - Кр·Тоб
Смч) Ue, (4.6)
где А - коэффициент, учитывающий дополнительную заработную плату;
В - коэффициент, учитывающий отчисления на соцстрах;
Тр - трудоемкость решения задачи вручную (ч); Зчас - среднечасовая
тарифная ставка работника (у.е.);
Кр - коэффициент использования технических средств;
Тоб - трудоемкость при автоматизированной обработке (ч);
Смч - стоимость одного машинного часа работы (у.е.); - периодичность
решения задачи (раз/год).
Подставляя реальные данные, полученные в результате исследований при
ручном (полуавтоматизированном) и автоматизированном способах планирования
деятельности предприятия, получаем величину экономии за счет снижения
трудоемкости решения задачи при условии, что
А = 1,1; В = 1,27; Тр = 2 ч; Зчас = 0,738 у.е.
(при основной заработной плате 130 у.е., 8 часовом рабочем дне, 22
рабочих дня в месяц);
Кр = 1,13; Тоб = 0,2 ч; Смч = 0,1 у.е.;
Ue = 700 раз в год.
Этр = (1,1·1,27·2·0,738 - 1,13·0,2·0,2) ·700 = 1475,04 у.е.
Определение годового экономического эффекта. Основной экономический
показатель, определяющий экономическую целесообразность затрат на создание
программного продукта - это годовой экономический эффект, который определяется
по формуле:
Эс=Этр-Ен·Кп-Сэз,
(4.7)
где Этр - годовая экономия от применения внедренной задачи;
Ен - нормативный коэффициент экономической эффективности капитальных
вложений (Ен = 0,15);
Кп - единовременные затраты, связанные с внедрением задачи;
Подставляя в формулу (4.7) реальные данные, определяем величину годового
экономического эффекта при Кп = 1326,65 у.е:
Эс = 1475,04-0,15·1326,65-211,2 = 1064,85 у.е.
Расчет экономической эффективности. Экономическая эффективность
капитальных вложений, связанных с разработкой и внедрением программного
продукта определяется по формуле:
Ерс = Эс/Кп.(4.8)
Подставляя в формулу фактические данные, определяем величину
экономической эффективности:
Ерс = 1064,85 / 1326,65= 0,8.
Так как Ерс > Ен, то внедрение экономически
эффективно. Определяем срок окупаемости внедренной задачи:
Те = Кп/Эс = 1326,65/ 1064,85 = 1,25 года.
Расчеты показали, что использование данного программного продукта
является экономически оправданным и ведет к сокращению потерь рабочего времени
за счет уменьшения времени решения «вручную», что в свою очередь приводит к
значительной экономии человеческих ресурсов и финансовых средств.
5. ОХРАНА ТРУДА
.1
Организация рабочего места программиста
Любая работа с вычислительной техникой, как правило, сопровождается
умственным напряжением, а также чрезвычайно большой нервно-эмоциональной
нагрузкой на операторов. Также стоит отметить тот факт, что работа с ЭВМ
отрицательно отражается на зрении оператора, а использование клавиатуры может
привести к заболеваниям суставов. Чтобы избежать негативных последствий,
описанных выше, необходимо обеспечить рациональную конструкцию рабочего места,
а также правильное расположение всех его ключевых элементов.
При работе с компьютером очень важно соблюдать правильный режим
чередования труда и отдыха. Нарушение данного режима приводит к тому, что со
стороны персонала регулярно появляются жалобы на неудовлетворенность работой,
раздражительность, головную боль, болезненные ощущения в глазах, в области шеи
и в руках.
Площадь рабочего места оператора должна занимать не менее 6 м2,
причем высота помещения не должна быть ниже значения в 4 м, а объем рабочего
пространства не меньше 20 м3 в расчете на одного человека. После
проведенного анализа рабочего места оператора я выяснил, что его параметры не
соответствуют в полной мере всем требованиям безопасности. В связи с этим
заключением было принято решение исправить выявленные ошибки. Рабочую
поверхность необходимо расположить таким образом, чтобы она находилась на
высоту 720 мм над уровнем пола. При этом желательно, чтобы имелась возможность
регулирования высоты рабочего стола оператора в пределах 680-780 мм. Наиболее
оптимальными размерами рабочей поверхности стола являются 1600 х 1000 мм.
Располагающееся под столом пространство для ног должно иметь глубину не менее
450 мм. Рабочий стол также должен быть оборудован подставкой для ног, которая
располагается под углом 15° к его поверхности. Для обеспечения удобной опоры
для предплечий клавиатура должна располагаться на расстоянии 300 мм от края
стола. Расстояние от монитора до глаз оператора должно составлять не менее 40
мм.
Рабочий стул оператора должен быть оснащен подъемно-поворотным
механизмом, а его сиденье должно иметь возможность регулирования высоты. Ширина
и глубина сиденья не должна быть менее 400 мм. Что касается опорной поверхности
спинки, то она не должна быть ниже 300 мм, а ее ширина не должна быть менее 380
мм. Угол наклона спинки должен меняться в пределах от 90 до 110°.
Монитор компьютера является основным источником электромагнитных полей,
которые могут стать причиной ухудшения здоровья оператора. Наиболее часто
используемой мерой борьбы с электромагнитными полями является отдаление
монитора от оператора на максимально возможное расстояние. Электромагнитное
поле может вызвать электризацию пластмассовых деталей, поэтому крайне не
рекомендуется использовать на рабочем месте мебель из пластмассы. Все
оборудование, находящееся на рабочем месте должно быть заземлено, при этом допустимый
уровень напряженности электростатического поля не должен превышать 20 кВ/м. Для
защиты от электростатического поля необходимо регулярно проводить влажную
уборку помещения.
5.2 Электробезопасность
В качестве основных мер защиты от поражения электрическим током выделяют:
применение для облицовки современных электроизоляционных материалов,
прокладывание электропроводки закрытого типа, обеспечение возможности быстрого
отключения подачи электричества с помощью легко доступного щита, а также
наличие заземления.
Расчет выносного заземления. Рассчитаем выносное заземляющее устройство.
Преимуществом такого типа заземляющего устройства является возможность выбора
места размещения электродов с наименьшим сопротивлением грунта (сырое,
глинистое).
Сопротивление группового заземлителя рассчитывается, если:
- мощность установки менее 2 кВА;
- вертикальный заземлитель - стальной прут диаметром 25 мм и длиной 3 м;
- горизонтальный заземлитель - стальная полоса шириной 25 мм, толщиной 5
мм;
- удельное сопротивление грунта (глина) 70 Ом*м.
Сопротивление одиночного вертикального заземлителя рассчитывается по
формуле:
(5.1)
где
- удельное сопротивление грунта
(Ом*м); l - длина вертикального
заземлителя (м); d - диаметр
вертикального заземлителя (м); t - глубина заложения.
(5.2)
.
Расстояние
между заземлителями (м):
(5.3)
.
Ориентировочное
количество вертикальных заземлителей (шт):
(5.4)
где
Rзаз -
нормируемая величина сопротивления заземления (Rзаз=4Ом);
Количество
вертикальных заземлителей определяется по формуле:
(5.5)
где
- коэффициент использования вертикальных заземлителей
(так как ориентировочное n=6 и la=3, поэтому =0,8).
Длина
горизонтального заземлителя (м):
(5.6)
.
Сопротивление
горизонтального заземлителя рассчитывается по формуле:
(5.7)
где
b1 - ширина
полосы (м)
.
Сопротивление
группового заземлителя:
(5.8)
где
- коэффициент использования горизонтальных
заземлителей (
=0,4)
, 
Рассчитанное заземление подходит для помещения, в котором проводилась
реализация программного продукта, и обеспечит защиту персонала от поражения
электрическим током в случае неисправности оборудования (при пробое на корпус).
5.3 Пожарная
безопасность
Огнестойкость здания определяется в зависимости от его назначения, а
также от того, к какой категории пожарной опасности оно относится, от его
этажности и площади этажа в пределах пожарного отсека.
Объект, на территории которого будет использоваться разработанный мною
программный продукт, относится к категории K1 (малопожароопасное), так в его
помещениях имеются горючие вещества, которые могут гореть при взаимодействии с
пламенем без взрыва.
С учетом конструктивных характеристик объект можно отнести к категории
зданий с несущими и ограждающими конструкциями, выполненными из естественных
материалов.
Исходя из вышесказанного, можно сделать вывод, что данное здание обладает
третьей (III) степенью огнестойкости.
По функциональной пожарной опасности здание относится к классу Ф1.3 -
многоквартирные жилые дома.
Объект оборудован пожарным водопроводом высокого давления с пожарными
кранами.
К пожарной безопасности данного объекта предъявляются следующие
требования:
– установка пожарной сигнализации с соответствующими датчиками
дыма и тепла;
– использование электропроводки скрытого типа;
– устранение неисправных выключателей и розеток;
– запрет использования оголенных проводов для
соединения;
– необходимость наличия углекислотных огнетушителей в
доступном месте, минимальное количество - 1 шт.
Возникновение пожара в помещении может привести к очень негативным
последствиям, таким как потеря ценной информации, порча имущества, гибель людей
и т.д. Чтобы избежать этих неприятностей, необходимо вовремя выявлять и
устранять все угрозы возникновения пожара, а также разработать эффективный план
ликвидации пожара в помещении, а также план эвакуации людей в случае пожара.
Основными причинами возникновения пожара являются:
неисправность электропроводки, розеток или выключателей;
эксплуатация неисправных электроприборов;
использование электронагревательных приборов с открытыми нагревательными
элементами;
попадание молнии в здание;
несоблюдение основных правил пожарной безопасности.
Под профилактикой пожара подразумевается комплекс мероприятий
организационного и технического характера, которые направлены на обеспечение
безопасности людей, на предотвращение пожара либо ограничение его
распространения и создание условий для его успешного тушения. Для проведения
эффективной профилактики очень важно правильно оценить пожароопасность здания,
а также определить опасные факторы и обосновать выбор способов и средств
противопожарной защиты.
При возникновении пожара необходимо отключить подачу электричества,
вызвать пожарную команду, обеспечить быструю эвакуацию людей из помещения, а
затем приступить к ликвидации пожара. В случае, если очаг пламени недостаточно
велик, для борьбы с ним можно использовать подручные средства для того, чтобы
прекратить доступ воздуха к объекту возгорания.
ЗАКЛЮЧЕНИЕ
Данная дипломная работа посвящена разработке проекта защиты локальной
вычислительной сети. Для реализации данной задачи требовалось спроектировать
локальную сеть института с учетом всех требований информационной безопасности,
а также разработать программный продукт, обеспечивающий защиту локальной сети
от внешних угроз.
В ходе работы мною была разработана локальная сеть на 115 рабочих
станций, использующая технологию передачи данных Fast Ethernet и предоставляющая возможность обмена
данными по беспроводной технологии Wi-fi. Для обеспечения функционирования
сети предложено использовать активное сетевое оборудование от фирмы D-Link, а также структурированную кабельную систему. Также
было подобрано программное обеспечение для работы локальной сети, которое
планируется приобрести по специальной лицензии для учебных заведений, что
обеспечит значительные скидки.
Во второй части проекта мною был реализован кэширующий HTTP прокси-сервер, поддерживающий
шифрование по протоколу SSL и
авторизацию. Программа разрабатывалась с помощью среды Microsoft Visual Studio 2010 на языке программирования высокого уровня C#. Использование прокси-сервера в
работе сети позволяет скрыть внутреннюю структуру сети от злоумышленников, а
также разгрузить поток сетевого трафика, что обеспечит лучшую доступность
данных размещенных внутри сети.
Таким образом, результаты проделанной мною работы полностью удовлетворяют
заданию и данный дипломный проект можно считать удачно завершенным.
ПЕРЕЧЕНЬ
УСЛОВНЫХ ОБОЗНАЧЕНИЙ, СИМВОЛОВ, ЕДИНИЦ И ТЕРМИНОВ
SSL (Secure Sockets Layer) - уровень защищённых сокетов(Local Area Network) - локальная сеть
ПП - программный продукт(HyperText Transfer Protocol) - протокол передачи гипертекста
Wi-Fi (Wireless Fidelity) - беспроводная технология передачи
данных
ADSL (Asymmetic Digital Subscriber Line) - асимметричная цифровая абонентская линия,
технология используемая для обеспечения доступа в Интернет.
OSI (Open System Interconnection) - взаимодействие открытых систем,
универсальная сетевая модель
СПИСОК
ЛИТЕРАТУРЫ
1. Сергеев,
А.П., «Офисные локальные сети. Самоучитель» - М.: "Вильямс", 2003. -
320 с.
. Рошан,
Педжман, Лиэри, Джонатан «Основы построения беспроводных локальных сетей
стандарта 802.11»: Пер. англ. - М.: "Вильямс", 2004. - 304с.
. В.Г.
Олифер, Н.А. Олифер, «Компьютерные сети» - СПб.: Питер, 2010, - 944 с.: ил.
4.
<#"522273.files/image016.gif">
Рисунок 1 - Главное окно приложения
Внутри окна располагаются три вкладки, на которых сосредоточены основные
функциональные элементы. Первая вкладка обеспечивает вывод информации о текущей
активности сети, а также предоставляет возможность управлять запуском сервера.
Запуск прокси осуществляет нажатием кнопки Старт после предварительного
задания номера прослушиваемого порта в текстовом поле, которое располагается
рядом. В нижней части окна располагается панель состояния, где указывается
информация о текущем IP-адресе сервера и прослушиваемом порте. В правом нижнем
углу располагается кнопка, позволяющая свернуть программу в трей. Вернуть
программу в исходное состояние можно, воспользовавшись контекстным меню,
которое изображено на рисунке 2.
Перейдя на вкладку статистика, пользователь может получить информацию обо
всех подключениях, которые были произведены за выбранный промежуток времени.
Существует возможность фильтрования данных по дате, имени пользователя и имени
хоста.
Рисунок 2 - Контекстное меню
Рисунок 3 - Вкладка статистики подключений
Над таблицей отображается информация о процентном соотношении
использования кэша и подключений к удаленному серверу в Интернете.
На последней третьей вкладке располагаются все доступные настройки
программы. Имеется возможность включения функции SSL шифрования, авторизации,
отключения кэширования страниц с указанным пользователем расширением. Также на
этой вкладке расположена таблица пользователей и инструменты для их создания. Чтобы
создать нового пользователя, необходимо указать логин и пароль и нажать кнопку Добавить.
Удаление выбранного пользователя производится путем нажатия соответствующей
кнопки.