Разработка проекта корпоративной информационной системы бизнес-центра 'Севен'
Разработка проекта корпоративной информационной системы
бизнес-центра "Севен"
Оглавление
Исследование
объекта
1. Разработка
технического задания
1.1 Состав,
назначение и размещение серверов
1.2 Требования к сетевой политике
1.2.1 Распределение прав доступа к
внутренним ресурсам и сервисам сети
1.2.2 Распределение прав доступа к внешним
ресурсам и сервисам сети
1.3 Требования к технологии управления
сетью
1.3.1 Мониторинг устройств, серверов,
рабочих станций
1.3.2 Архивация данных
1.4 Требования к распределению сетевых
адресов
2. Реализация сетевой политики
2.1 Доступ к внутренним ресурсам сети
2.2 Доступ к ресурсам серверов
2.3 Физический доступ к комуникационным
узлам
2.4 Антивирусная защита
2.5
Обеспечение безопасности подключения к внешней сети
2.5.1 Доступ
к внешним ресурсам
2.6 Учет
сетевого трафика
2.7
Ограничение прав доступа сотрудников в Интернет
2.8 Адресная
схема сети
3.
Структурированное описание компании
3.1 Матрица
функциональной ответственности
3.2 Модель
организации
4. Модель Базы
Данных
4.1 Модель
SNMP
4.2 Структура
управляющей информации
4.3 База
управляющей информации
4.4 Протокол
SNMP
5.
Информационные технологии моделирования бизнес-процессов (WorkFlow) и потоков
данных (DataFlow)
5.1 Стандарт
IDEF0
Список
используемой литературы
Исследование объекта
1. Корпоративная информационная сеть необходима для автоматизации
работы администрации бизнес-центра «СЭВЭН», состоящей из 9 отделов
(Бухгалтерия, IT отдел, Юридический отдел, Отдел кадров, Договорной отдел,
Отдел аренды, Отдел хозяйства, Отдел безопасности, Секретариат (включая
ресепшн), а также руководства. Количество сотрудников, работающих в каждом
отделе представлено в Таблице 3.1.
2. Администрация расположена на первом этаже семи этажного здания.
. В каждом отделе есть конфиденциальная информация, доступ к
которой должен быть закрыт для сотрудников других отделов.
. Сотрудникам всех отделов разрешен доступ в интернет. Для этих
целей уинтернет провайдер был арендован пул адресов 13.113.113.0/ 28.
. Необходимо обеспечить безопасность и контроль за трафиком при
работе сотрудников с интернет.
. Непрерывность связи между офисами является критичной, поэтому
необходимо обеспечить запасной канал между площадками.
1. Разработка технического задания
1.1 Состав, назначение и размещение серверов
Как и всё активное оборудование, серверы находятся в серверном помещении
в отдельной стойке. За начинку решено было взять серверную платформу платформа IntelSR1630GPGrossePoint, 1 xLGA 1156, i3420,
6 xDDR3 DIMM, 2 xInternalSATA, SWRAID 0, 1, 10, 2 xGLAN, 5 xUSB
2.0, 350WFixed, 1U в количестве четырех штук. Перед каждым из них стоит своя
определенная задача, а именно: первый - веб-сервер, второй - почтовый сервер,
третий - сервер баз данных, четвертый - контроллер домена/DNS-сервер. На первых трех будет
установлена ОС GNU/Linux, на последнем MicrosoftWindows 2003 Server.
1.2 Требования
к сетевой политике
1.2.1 Распределение
прав доступа к внутренним ресурсам и сервисам сети
Внутренняя безопасность сети обеспечивается использованием контроллера
домена. У каждого сотрудника есть своя учетная запись для входа в систему и
свой пароль, который необходимо менять раз, в несколько месяцев. У всех
сотрудников четко разграниченные права, например, сотрудники, технической
поддержки не смогут получить доступ к базам данных бухгалтера, соответственно
бухгалтер, не сможет воспользоваться информацией, с которой работает служба
технической поддержки. Так же основным слабым местом является точка доступа wi-fi. Однако, это слабое место легко убирается, для этого
необходимо зашифровать соединения wi-fi с помощью протокола шифрования WPA-2 и включить доступ только для
определенных MAC-адресов. Это на порядок обезопасит
внутренние ресурсы сети от вторжения.
1.2.2 Распределение
прав доступа к внешним ресурсам и сервисам сети
Доступ к внешним ресурсам необходимо частично ограничить, для всех
сотрудников. Сделать это можно на шлюзе. Это благоприятно скажется на работе
сотрудников и обезопасит локальную сеть от вредного контента и вредноносных
приложений. Так же по усмотрению руководства компании, можно ограничить доступ
к некоторым сетевым сервисам, которые могут использоваться вне рабочих целей.
Среди этих сервисов можно выделить IM-мессенджеры, такие, как: icq, mail.ruagent, jabber.
Интернет-телефоны: skype, googletalk. Обмен информацией по протоколам p2p: torrent, dc++. Самое главное онлайн игры.
Ограничение происходит на главном маршрутизаторе, используемом в локальной
сети, а именно для встроенного брандмауэра пишется правило доступа из
внутренней сети, к внешней, на определённые порты, и доступ к ним прекращается.
1.3 Требования
к технологии управления сетью
моделирование функциональное бизнес процесс сервер
Сетью управляет администратор. Он устанавливает все ограничения. Он же
настраивает все активное и пассивное оборудование и следит за его правильной
работой. Если в сети возникают неполадки, он же через систему мониторинга
пытается анализировать проблему и устранить её в кратчайшие сроки.
1.3.1 Мониторинг
устройств, серверов, рабочих станций
Мониторинг активного оборудования очень удобно производить с помощью
утилиты, под названием Nagios.
Это программа мониторинга компьютерных систем и сетей с открытым кодом.
Предназначена для наблюдения, контроля состояния вычислительных узлов и служб,
оповещает администратора в том случае, если какие-то из служб прекращают (или
возобновляют) свою работу.
Мониторинг серверов удобно производить с помощью утилиты Cacti. Это open-source веб-приложение,
система позволяет строить графики при помощи RRDtool. Cacti собирает
статистические данные за определённые временные интервалы и позволяет
отобразить их в графическом виде. Преимущественно используются стандартные
шаблоны для отображения статистики по загрузке процессора, выделению
оперативной памяти, количеству запущенных процессов, использованию
входящего/исходящего трафика.
Мониторинг рабочих станций возможно осуществлять с помощью утилиты для
управления удаленным рабочим столом, под названием VNC. Управление осуществляется путём передачи нажатий
клавиш на клавиатуре и движений мыши с одного компьютера на другой и
ретрансляции содержимого экрана через компьютерную сеть. С помощью VNC возможен, как просмотр происходящего
на экране компьютера, так и перехват управления компьютером.
1.3.2 Архивация
данных
Процесс резервного копирования данных один из самых важных момент по
обеспечению безопасности и сохранности данных. Т.к. мы используем ОС GNU/Linux, то для резервного копирования лучше всего
использовать утилиту backup-manager. Это набор bash-скриптов, позволяющих:
) архивировать любые папки, в том числе и создавать инкрементальные
архивы. В конфигурации просто указывается список директорий, которые должны
быть скопированы, а также «черный список» файлов, которые копироваться не
будут;
) делать резервное копирование баз данных MySQL. В конфигурации
указываются логин и пароль mysql-пользователя, имеющего доступ к базам, а всю
остальную работу backup-manager делает сам;
) делать резервное копирование svn-репозиториев, причем бэкап делается не
копированием папки с хранилищем, а с помощью команды svnadmindump;
) шифровать архивы;
) копировать созданные архивы на удаленные сервера по FTP, SSH или в
хранилище Amazon S3, а также записывать их на DVD;
Данных мер будет вполне достаточно для того, чтобы сохранить все важные
данные от внезапной потери.
1.4 Требования
к распределению сетевых адресов
В локальной сети будет использоваться сеть 192.168.0.0/24. Все активное
сетевое оборудование и серверы будут занимать диапазон ip-адресов от 192.168.0.1 до 192.168.0.10. Рабочие станции будут
иметь ip-адреса в диапазоне 192.168.0.11 и
заканчивая 192.168.0.255. Пользователи беспроводной сети будут использовать
сеть 172.16.0.0/24, т.к. wi-fi роутер создаёт отдельную сеть для
беспроводных соединений
2. Реализация сетевой политики
Таблица 2.1 Разбиение ЛВС по VLAN с сопоставлением им адресов подсетей
|
№
|
Название VLAN
|
Наименование структурной
единицы организации
|
IP адреса подсетей
|
Количество рабочих станций
|
|
1
|
IT
|
Отдел по обслуживанию
Вычислительной техники и ЛВС, сетевое оборудование
|
10.0.1.64
/26
|
20
|
|
2
|
Accounting
|
Бухгалтерия
|
10.0.1.16
/ 28
|
12
|
|
3
|
Kadry
|
Отдел кадров
|
10.0.1.32
/ 28
|
9
|
|
4
|
Main
|
Директор, зам.директора,
секретарь, главный инженер и пр.
|
10.0.1.1 / 28
|
5
|
|
5
|
Material
|
Отдел снабжения
|
10.0.1.48 / 28
|
8
|
|
6
|
Employees
|
Остальные отделы
|
10.0.2.0 / 24
|
200
|
|
7
|
Wi-Fi
|
Беспроводная сеть
|
10.0.1.128/ 25
|
<126
|
|
8
|
1 floor
|
1 этаж
|
192.168.1.0/26
|
<60
|
|
9
|
2 floor
|
2 этаж
|
192.168.2.0/26
|
<60
|
|
10
|
3 floor
|
3 этаж
|
192.168.3.0/26
|
<60
|
|
11
|
4 floor
|
4 этаж
|
192.168.4.0/26
|
<60
|
|
12
|
5 floor
|
5 этаж
|
192.168.5.0/26
|
<60
|
|
13
|
6 floor
|
6 этаж
|
192.168.6.0/26
|
<60
|
|
14
|
7 floor
|
7 этаж
|
192.168.7.0/26
|
<60
|
2.1 Доступ
к внутренним ресурсам сети
Доступ к внутренним ресурсам сети должен быть строго ограничен. Порты,
пароли и внешние ip-адреса должны
быть известны узкому кругу лиц, желательно только администраторам сети. На
веб-сервере должен быть открыт только 80 порт, только для доступа к
веб-серверу, на почтовом сервере должны быть открыты порты 110 и 25, для
получения и отправки почты, соответственно и 80 порт для доступа к веб-интерфейсу
почты. Брандмауэр основного маршрутизатора должен быть настроен по правилу
“все, что не разрешено - то зарещено”. Т.е. если какой-то порт не указан в
списке разрешенных, то доступ к нему будет закрыт.
Таблица 2.2 Доступ к внутренним ресурсам сети
|
№
|
Название VLAN
|
WEB сервер
|
MAIL сервер
|
DB 1 сервер
|
DB 2 сервер
|
Активное сетевое
оборудование
|
|
1
|
IT
|
Полный
|
Полный
|
Полный
|
Полный
|
Полный
|
|
2
|
Accounting
|
По HTTP
|
По POP3, SMTP
|
По FTP
|
По FTP
|
Нет
|
|
3
|
Kadry
|
По HTTP
|
По POP3, SMTP
|
По FTP
|
По FTP
|
Нет
|
|
4
|
Main
|
По HTTP
|
По POP3, SMTP
|
По FTP
|
По FTP
|
Нет
|
|
5
|
Material
|
По HTTP
|
По POP3, SMTP
|
По FTP
|
По FTP
|
Нет
|
|
6
|
Employees
|
По HTTP
|
По POP3, SMTP
|
По FTP
|
По FTP
|
Нет
|
|
7
|
Wi-Fi
|
По HTTP
|
По POP3, SMTP
|
Нет
|
Нет
|
Нет
|
|
|
|
|
|
|
|
2.2 Доступ
к ресурсам серверов
Т.к. в большинстве своем сервера находятся под управлением ОС GNU/Linux, то их администрирование будет осуществляться по
протоколу shh. Этот протокол использует 22 порт.
Для безопасности в настройках ssh-сервера
можно изменить этот порт на любой другой, для предотвращения подбора пароля, либо
ограничить доступ к этому порту, только для разрешенных ip-адресов.
Для администрирования windows-сервера
лучше всего воспользоваться программой для удаленного управления рабочим
столом, под названием Vnc.
Пользоваться стандартным протоколом управления рабочим столом RDP не рекомендуется, потому что он не
использует никаких типов шифрования и передается в открытом виде.
Все активное сетевое оборудование лучше вообще закрыть от посторонних
глаз. Получить доступ к нему можно, подключившись к одному из серверов.
2.3 Физический
доступ к комуникационным узлам
Т.к. все оборудование установлено в серверной, то необходимо позаботиться
чтобы доступ туда смогли получить только определенные сотрудники компании, а
именно обслуживающих персонал (администраторы). Для этого в рамках компании
можно внедрить СКУД (систему контроля и управления доступом). СКУД -
совокупность совместимых между собой аппаратных и программных средств,
направленных на ограничение и регистрацию доступа людей, транспорта и других
объектов в (из) помещения, здания, зоны и территории. Система должна включать в
себя:
) Устройства преграждающие управляемые (двери оборудованные управляемыми
замками);
) Контроллеры СКУД. Электронные микропроцессорные модули, реализующие
идентификацию объектов доступа, разграничение доступа на территорию, управление
преграждающими и сигнализирующими устройствами, логирование событий от датчиков
и уведомление удаленных постов охраны;
) Устройства считывающие (УС), «считыватели»;
) Идентификаторы. Например, RFID метки, "таблетки" TouchMemory.
С помощью данных компонентов можно построить несложную СКУД, которая
оградит серверую от посторонних и обеспечит доступ только тем, у кого он
действительно имеется.
2.4 Антивирусная защита
Антивирусная защита является обязательным элементом безопасности.
Антивирусом необходимо оснастить все рабочие станции и windows-сервер. Для
этого лучше всего подойдет отечественная разработка под названием Dr.Web. Вот
список его некоторых преимуществ:
) Лучшее детектирование троянов;
) Защита от руткитов;
) Технология несигнатурного поиска;
) Защита от массовых рассылок;
) Проверка любых архивов.
Сервера с ОС GNU/Linux оснащать антивирусом не обязательно, потому что
под данную ОС практически нет вредноносного ПО, для установки ПО будут использоваться
только проверенные репозитории, x-server не будет устанавливаться.
Следовательно, вероятность попадания на сервер вирусов стремится практически к
нулю.
2.5 Обеспечение безопасности подключения к внешней
сети
.5.1 Доступ к внешним ресурсам
Осуществляется через интернет сервер.
Таблица 2.3 Доступ к внешним ресурсам
|
№
|
Название VLAN
|
HTTP
|
Telnet
|
FTP
|
POP3, SMTP
|
SNMP
|
DNS
|
NetBIOS
|
|
1
|
IT
|
Полный
|
Полный
|
Полный
|
Полный
|
Полный
|
Полный
|
Нет
|
|
2
|
Accounting
|
Ограниченный
|
Нет
|
Нет
|
Полный
|
Нет
|
Полный
|
Нет
|
|
3
|
Kadry
|
Ограниченный
|
Нет
|
Нет
|
Полный
|
Нет
|
Полный
|
Нет
|
|
4
|
Main
|
Полный
|
Нет
|
Полный
|
Полный
|
Нет
|
Полный
|
Нет
|
|
5
|
Material
|
Ограниченный
|
Нет
|
Полный
|
Полный
|
Нет
|
Полный
|
Нет
|
|
6
|
Employees
|
Нет
|
Нет
|
Нет
|
Полный
|
Нет
|
Полный
|
Нет
|
|
7
|
Wi-Fi
|
Нет
|
Нет
|
Нет
|
Полный
|
Нет
|
Полный
|
Нет
|
|
|
|
|
|
|
|
|
|
2.6 Учет сетевого трафика
Одним из ключевых факторов для прибыльного и динамичного развития бизнеса
является снижение затрат и оптимизация оперативных расходов компании. При
работе с Интернетом многие компании сталкиваются с тем, что корпоративные
платежи за услуги не всегда детализируются провайдером. Это означает, что
каждый месяц компания получает общий счет за использование услуг Интернет без
детализации по каждому сотруднику. Понятно, что не всем сотрудникам компании
требуется постоянный доступ в Интернет. Сотрудники не всегда используют
корпоративные ресурсы исключительно по работе, поэтому задача учета трафика
становится все более актуальной. Для ведения учета выходов в Интернет по
пользовательским группам и индивидуально по каждому пользователю существуют системы
учета Интернет трафика.
2.7 Ограничение прав доступа сотрудников в Интернет
Разграничение прав доступа сотрудников в Интернет начинается с
разграничения пользователей по группам. Каждой группе пользователей внутри
компании назначается свой приоритет уровня доступа.
Фильтрация идет категориям сайтов, по доменному имени и отдельному URL и
типу запрашиваемого файла. Иными словами современные инструменты фильтрации
трафика позволяют прописать каждый запрещенный сайт поименно. Сотрудникам можно
запретить с рабочего места просмотр игровых, развлекательных ресурсов, сайтов
социальных систем. Для снижения трафика сотрудникам можно запретить массовый
просмотр видеороликов, торговых интернет- каталогов и т.д. Для всех групп
пользователей можно автоматически заблокировать доступа к сайтам, содержащим
закладки и шпионское ПО.
2.8 Адресная схема сети
Таблица 2.3. Адресная схема сети
|
№
|
Название VLAN
|
Адрес подсети
|
Диапазон используемых
адресов
|
Наименование сетевого
устройства
|
Адрес сетевого устройства
|
|
1
|
IT
|
10.0.1.64
/26
|
10.0.1.65-10.0.1.126
|
|
|
|
|
|
|
Router
|
10.0.1.65
|
|
|
|
|
Switch1
|
10.0.1.66
|
|
|
|
|
Switch2
|
10.0.1.67
|
|
|
|
|
Switch3
|
10.0.1.68
|
|
|
|
|
WEB-сервер
|
10.0.1.70
|
|
|
|
|
MAIL-сервер
|
10.0.1.71
|
|
|
|
|
DB-сервер
1
|
10.0.1.72
|
|
|
|
|
Сетевой принтер
|
10.0.1.80
|
|
2
|
Accounting
|
10.0.1.16
/28
|
10.0.1.17-10.0.1.30
|
|
|
|
|
|
|
DB-сервер
2
|
10.0.1.17
|
|
|
|
|
Сетевой принтер
|
10.0.1.18
|
|
3
|
Kadry
|
10.0.1.32
/28
|
10.0.1.33-10.0.1.46
|
|
|
|
|
|
|
Сетевой принтер
|
10.0.1.33
|
|
4
|
Main
|
10.0.1.1 / 28
|
10.0.1.2-10.0.1.14
|
|
|
|
5
|
Material
|
10.0.1.48 / 8
|
10.0.1.49-10.0.1.62
|
|
|
|
|
|
|
Сетевой принтер
|
10.0.1.49
|
|
6
|
Employees
|
10.0.2.0 / 24
|
|
|
|
7
|
Wi-Fi
|
10.0.1.128/25
|
10.0.1.129-10.0.1.254
|
|
|
|
|
|
|
Wi-Fi коммутатор
|
10.0.1.129
|
3. Структурированное описание компании
Названия отделов и количество работающих в них сотрудников представлены в
таблице 3.1.
Таблица
3.1. Функциональные компоненты компании
|
№
|
Название
|
Количество сотрудников,
работающих в отделе
|
|
1
|
Руководство
|
5
|
|
2
|
Бухгалтерия
|
3
|
|
3
|
IT отдел
|
7
|
|
4
|
Юридический отдел
|
3
|
|
5
|
Отдел кадров
|
4
|
|
6
|
Договорной отдел
|
2
|
|
7
|
Отдел аренды
|
3
|
|
8
|
Отдел хозяйства
|
10
|
|
9
|
Отдел безопасности
|
8
|
|
10
|
Секриториат (вкл.ресепшн)
|
7
|
3.1 Матрица
функциональной ответственности
Таблица 3.2. Матрица функциональной ответственности
|
контрольная
|
учет и отчетность
|
контроль за доставкой
|
работа с клиентами
|
работа с кадрами
|
поддержка сети
|
|
Директор
|
x
|
+
|
|
|
+
|
|
|
Заместитель директора
|
x
|
+
|
|
x
|
+
|
|
|
Заместитель директора по
хозяйственным делам
|
x
|
+
|
+
|
|
|
|
|
Юридический отдел
|
+
|
x
|
x
|
+
|
|
|
|
Отдел кадров
|
+
|
+
|
х
|
х
|
|
|
|
Договорной отдел
|
|
х
|
|
|
х
|
|
|
Бухалтерия
|
+
|
x
|
+
|
+
|
+
|
|
|
IT отдел
|
+
|
+
|
|
|
+
|
x
|
|
ГлавныITспециалист
|
х
|
|
|
|
|
+
|
|
Системный администратор
|
+
|
|
|
|
|
х
|
|
Отдел аренды
|
+
|
x
|
+
|
x
|
|
|
|
Отдел хозяйства
|
+
|
x
|
+
|
+
|
|
|
|
Главный инженер
|
+
|
x
|
|
+
|
|
|
|
Отдел снабжения
|
|
|
х
|
х
|
|
|
|
Отдел безопасности
|
x
|
x
|
|
x
|
x
|
|
x -
основная функция
+ - побочная функция
.2 Модель организации
Рисунок 3.2. Модель организации
4. Модель Базы Данных
Рисунок 4.1. Модель Базы Данных
4.1 Модель SNMP
Модель SNMP состоит из четырех компонентов:
1) управляемых узлов;
2) станций управления (менеджеров);
) управляющей информации;
) протокола управления.
Рисунок 10.2. Структура базы управляющей информации. Как и многие другие
иерархические пространства имен, MIB начинается с безымянного корневого узла. В
этом дереве узел MIB-2 уникальным образом идентифицируется с помощью
идентификатора объекта 1.3.6.1.2.1.
Управляемыми узлами могут быть компьютеры, маршрутизаторы, коммутаторы,
принтеры или любые другие устройства, способные сообщать информацию о своем
состоянии. Чтобы им можно было управлять с помощью SNMP, узел должен выполнять
управляющий процесс SNMP, иными словами, иметь агента SNMP. Каждый агент ведет
собственную локальную базу данных о состоянии устройства и истории событий.
Управление сетью осуществляется со станций управления, которые
представляют собой компьютеры общего назначения со специальным программным
обеспечением для управления. Станции управления выполняют один или более
процессов, взаимодействующих с агентами по сети. При такой схеме вся сложность
(и вся интеллектуальность) сосредоточена на станциях управления, чтобы агенты
были как можно более просты и чтобы они потребляли как можно меньшие ресурсы
устройств, на которых выполняются.
Спрашивать, например, у маршрутизатора, сколько пакетов было потеряно,
бессмысленно, если он не ведет их учет или не понимает запроса. Поэтому SNMP
самым тщательным образом описывает, какую информацию агент должен собирать и в
каком формате ее следует предоставлять. Таким образом, каждое устройство
поддерживает несколько переменных с описанием своего состояния. Все возможные
переменные объединены в такую структуру, как база управляющей информации.
Станции управления взаимодействуют с агентами с помощью протокола SNMP.
Он позволяет станции запрашивать значения локальных переменных агента и при
необходимости изменять их.
Однако иногда в сети могут происходить нежелательные события. Управляемые
узлы могут сломаться, линии связи - выйти из строя и т. п. Как только агент
замечает какое-либо значительное событие, он немедленно сообщает о нем всем
станциям из своего конфигурационного списка. Это сообщение называется
прерыванием SNMP. Агент лишь сообщает о событии, а все подробности станция
управления должна выяснять самостоятельно. Из-за ненадежности коммуникаций
между станцией и агентами (получение сообщений не подтверждается) каждая
станция периодически проводит опрос управляемых узлов для выявления необычных
событий. Такая модель опроса через длительные интервалы времени с немедленным
опросом при получении прерывания называется инициируемым прерываниями опросом.
4.2 Структура управляющей информации
Структура управляющей информации (StructureofITInformation, SMI)
определяет допустимые в базе управляющей информации типы данных и способы их
представления. Кроме того, она определяет иерархическую структуру имен, чтобы
управляемые объекты имели уникальные однозначные имена. SMI представляет своего
рода надподмножество ASN.1 - она использует часть типов данных этого стандарта
и вводит несколько своих типов данных. (АSN - абстрактное описание синтаксиса -
представляет собой стандартный язык описания объектов, принятый в OSI. Как и
многие другие протоколы OSI, он сложен, громоздок и неэффективен.)
Для того чтобы агенты и менеджеры могли управлять объектами в сети со
множеством устройств и протоколов разных поставщиков, объекты должны быть
описаны, а также стандартным образом закодированы для передачи по сети. Термин
"объекты" относится к переменным, описывающим состояние устройства.
Он несколько сбивает с толку, так как это далеко не те же объекты, что и в
объектно-ориентированных системах, в частности они имеют состояния, но не имеют
методов (помимо чтения и записи значений объектов). Однако этот термин
используется в официальных стандартах.
Объекты базы управляющей информации обычно имеют шесть атрибутов. Как
правило, это имя, например ifInErrors или tcpAttemptFails; идентификатор
объекта в точечно-десятичной нотации вида 1.3.6.1.2.1.2.2.1.1.4; поле
синтаксиса для выбора одного из нескольких возможных типов данных - Integer,
IPAddress или Counter; поле метода доступа - "недоступен",
"только чтение", "чтение-запись" и "только
запись"; поле статуса - "обязательный",
"необязательный" или "вышедший из употребления", а также
текстовое описание объекта.задает правила описания объектов. Все эти
абстрактные правила и зарезервированные слова позволяют получить машиночитаемые
спецификации, понятные человеку. Объекты MIB имеют статичную природу. Они
компилируются из текстов файлов с описанием в двоичную форму, которую агенты и
управляющие процессы и загружают. Используя SMI, производитель может написать
собственное определение объекта управления (например,
PacketsContainingWordSpam), пропустить текст через стандартный компилятор MIB и
создать таким образом исполнимый код. Этот код можно затем установить на агенты
с надлежащим аппаратным и программным обеспечением для подсчета количества
содержащих слово spam пакетов.
4.3 База управляющей информации
Множество объектов, которыми управляет SNMP, составляет базу управляющей
информации (ITInformationBase, MIB). Для удобства эти объекты объединены в
десять групп, каждая из которых представляет собой дочерний для mib-2 узел в
дереве имен объектов (см. Рисунок 1). Изначально база управляющей информации
содержала восемь групп. Спецификация MIB-2 добавила еще две группы и исключила
одну прежнюю. Производители могут определять собственные объекты. Информация по
всем десяти группам сведена в Таблицу 10.1.
Таблица 10.4. Группы объектов в
Internet MIB-2
|
Группа
|
Количествообъектов
|
Описание
|
|
System
|
7
|
Имя, местонахождение и
описание оборудования
|
|
Interfaces
|
23
|
Сетевые интерфейсы и трафик
через них
|
|
AT
|
3
|
Трансляция адресов (вышла
из употребления)
|
|
IP
|
42
|
Статистика по IP-пакетам
|
|
ICMP
|
26
|
Статистика по полученным
сообщениям ICMP
|
|
TCP
|
19
|
Алгоритмы, параметры и
статистика TCP
|
|
UDP
|
6
|
Статистика трафика UDP
|
|
EGP
|
20
|
Статистика трафика для
ExteriorGatewayProtocol
|
|
Transmission
|
0
|
Зарезервирована для
специфических MIB
|
|
SNMP
|
29
|
Статистика о трафике SNMP
|
Группа System позволяет определить, как называется устройство, кем оно
произведено, какое программное и аппаратное обеспечение оно содержит, где
находится и какие функции выполняет. Кроме того, она предоставляет информацию о
том, когда последний раз производилась загрузка и каковы имя и координаты
ответственного лица. Зная эту информацию, администратор из центрального офиса
может, например, без труда установить конфигурацию устройства в удаленном
офисе.
Группа Interface служит для сбора статистики о работе сетевых адаптеров,
в том числе о количестве переданных и полученных пакетов и байтов, о числе
широковещательных пакетов и текущем размере выходной очереди.
Присутствовавшая в MIB-1 группа АТ предоставляла данные о соответствии
адресов (например, MAC- и IP-адресов). В SNMPv2 эта информация была перемещена
в базы управляющей информации для конкретных протоколов.
Группа IP описывает трафик через узел. Она изобилует счетчиками для
подсчета числа отброшенных по каждой из причин кадров (например, кадр был
отброшен, потому что его адресат неизвестен). Кроме того, она позволяет
получить данные о фрагментации и сборке дейтаграмм. Как нетрудно понять, эта
группа особенно полезна для получения статистики о работе маршрутизатора.
Группа ICMP собирает данные о сообщениях об ошибках в IP. Она имеет
счетчики для подсчета количества зафиксированных сообщений каждого возможного
типа.
Группа TCP служит для учета числа открытых соединений, количества
переданных и полученных сегментов и различного рода ошибок.
Группа UDP позволяет фиксировать число переданных и полученных
дейтаграмм, а также количество дейтаграмм, потерянных из-за того, что порт
неизвестен, или по другим причинам.
Группа EGP используется маршрутизаторами,
поддерживающимиExteriorGate-wayProtocol. Она позволяет подсчитывать число
полученных из внешней сети кадров, а также сколько из них было передано
правильно, а сколько отброшено и т. п.
Группа Transmission служит родительским узлом для специфичных баз
управляющей информации. Например, сюда может быть помещена группа для сбора
статистики об Ethernet. Цель включения пустой группы в MIB-2 состоит
исключительно в резервировании идентификатора для подобных целей.
Последняя группа - группа SNMP - предназначена для сбора статистики о
функционировании самого протокола SNMP: сколько сообщений было послано, что это
за сообщения и т.п.
4.4 Протокол SNMP
Собственно SNMP представляет собой протокол по типу запрос-ответ,
которыми сетевые станции управления и агенты обмениваются между собой. Первая
версия протокола SNMP предусматривает всего пять различных сообщений. Три из
них может посылать менеджер агенту, а два других - агент менеджеру.
Если в сети ничего необычного не происходит, то SNMP используется
менеджером для отправки агенту запроса с просьбой передать запрошенную
информацию или с приказом изменить свое состояние указанным образом. Агент
посылает в ответ требуемую информацию или подтверждает изменение своего
состояния. Однако агент может передать сообщение об ошибке, например "нет
такой переменной". В чрезвычайных же обстоятельствах, в частности при
превышении заданного порога, агент отправляет менеджеру прерывание. Данные
передаются с использованием синтаксиса ASN.1.
Менеджер агенту может послать следующие три сообщения: GetRequest,
GetNextRequest и SetRequest. Первые два служат для запроса у агента значений
конкретных переменных. Первое из них содержит имя переменной в явном виде.
Второе запрашивает значение следующей переменной в алфавитном порядке. Третье
позволяет менеджеру изменять значения переменных, если определение объекта это
позволяет.
Агент может отправлять два различных сообщения: одно из них - GetResponse
- служит для ответа (и подтверждения) на запрос от менеджера, а второе - Trap -
посылается при обнаружении агентом предопределенного чрезвычайного события.
Протоколом SNMPv2 вводится еще два типа сообщений. GetBulkRequest
позволяет запросить целый массив переменных, например таблицу, а InformRequest
- одному менеджеру сообщить другому, какими переменными он управляет.
Все типы сообщений сведены в Таблице 10.5.
|
Сообщение
|
Описание
|
|
GetRequest
|
Запрос для получения
значения одной или более переменных
|
|
GetNextRequest
|
Запрос следующей переменной
|
|
GetBulkRequest
|
Запрос большой таблицы
|
|
SetRequest
|
Изменение значения одной
или более переменных
|
|
InformRequest
|
Сообщение менеджером
другому менеджеру описания своей локальной MIB
|
|
Snmpv2Trap
|
Сообщение о прерывании от
агента
|
предназначался в первую очередь для управления сетями на базе протоколов
Internet. Как протокол прикладного уровня он может, однако, использовать в
качестве транспортного любой другой протокол, помимо UDP и IP. Например, он
может выполняться поверх IPX, отображаться напрямую в кадры Ethernet,
инкапсулироваться в ячейки ATM и т. п.
Протокол SNMP разрабатывался в расчете на то, что обмен сообщениями между
агентами и менеджерами будет происходить без установления соединения. В
результате SNMP не предоставляет гарантии, что сообщения будут доставлены по
назначению. Однако на практике большинство сообщений достигает адресата, а те,
что теряются по пути, могут быть переданы повторно. Исходя из этого - и,
естественно, ориентации SNMP на протоколы Internet, основным транспортом для
SNMP является UDP.
Благодаря своей простоте и транспорту без установления соединения SNMP
оказывается весьма эффективным протоколом. И агенты, и менеджеры могут работать
независимо друг от друга. Таким образом, менеджер будет продолжать работать,
даже если удаленный агент окажется недоступен. После возобновления
функционирования агент отправит менеджеру прерывание, дабы известить его о
своей работоспособности.
Обмен сообщениями при использовании в качестве транспорта протокола UDP
осуществляется следующим образом. Агент следит за поступлением дейтаграмм на
порт 161. Ответы посылаются запрашивающей сетевой станции управления на
динамически назначаемый порт, однако многие агенты используют тот же номер
порта - 161. Асинхронные прерывания станция управления принимает на порт 162.
Максимальная допустимая длина сообщений SNMP ограничивается мак-симальным
размером сообщения UDP, т. е. 65 507 байт. Однако спецификация SNMP
предусматривает, что все агенты и менеджеры должны принимать пакеты лишь длиной
до 484 байт, поэтому некоторые из них могут не уметь обрабатывать пакеты длиной
свыше 484 байт.более подходит для транспорта SNMP, нежели TCP, в частности,
когда сеть сталкивается с проблемами и пакеты передаются каждый раз по новым
маршрутам, т. е. когда управление наиболее необходимо. Кроме того, он
предъявляет меньшие требования к сетевым ресурсам, нежели TCP, т. е. накладные
расходы на управление оказываются меньше. Однако в результате задача
обнаружения потерянных и ошибочных пакетов возлагается непосредственно на
менеджеров и агентов.
ЗАЩИТА В SNMP
Одно из самых слабых (и критикуемых) мест SNMP - реализация защиты. Так,
станция управления может не только узнать практически все о находящихся в сфере
ее контроля узлах, но и остановить их. Поэтому агенты должны быть уверены, что
полученный ими запрос действительно исходит от станции управления.
В SNMPv1 простейшая идентификация отправителя осуществляется посредством
включения в сообщения имени группы (communityname), причем имя передается
открытым текстом. После проверки имени группы агент или менеджер проверяет
наличие у отправителя с данным адресом прав на выполнение запрошенной операции.
Таким образом, проверка прав осуществляется на основании имени группы и адреса
отправителя.
В SNMPv2 сделана попытка укрепить защиту SNMP за счет использования
современных криптографических методов, в частности DES. Однако это еще более
усложнило протокол. Кроме того, в такой реализации SNMPv2 оказался обратно
несовместим с SNMPv1.
5. Информационные технологии моделирования бизнес-процессов (WorkFlow) и потоков данных (DataFlow)
Моделирование бизнес-процессов позволяет документировать
последовательность операций, провести анализ для выявления недостатков и причин
снижения эффективности бизнес-процессов компании, построить идеальную модель
деятельности предприятия.
Для моделирования разработаны различные методологии, к числу наиболее
популярных для моделей бизнес-процессов и структур данных относятся оформленные
в виде стандартов международного уровня нотации:
· IDEF0 - методология функционального моделирования. С помощью
наглядного графического языка IDEF0, изучаемая система предстает перед
разработчиками и аналитиками в виде набора взаимосвязанных функций
(функциональных блоков - в терминах IDEF0). Моделирование средствами IDEF0
является первым этапом изучения любой системы.
· IDEF1 - методология моделирования информационных потоков
внутри системы, позволяющая отображать и анализировать их структуру и
взаимосвязи.
· IDEF1X (IDEF1 Extended) - методология построения реляционных
структур. IDEF1X относится к типу методологий «Сущность-взаимосвязь» (ER -
Entity-Relationship). Используется для моделирования реляционных баз данных,
имеющих отношение к рассматриваемой системе.
· IDEF2 - методология динамического моделирования развития
систем, позволяющая превращать набор статических диаграмм IDEF0 в динамические
модели, построенные на базе «раскрашенных сетей Петри» (CPN - ColorPetriNets),
в настоящее время практически не используется.
· IDEF3 - методология документирования процессов, происходящих
в системе, используется при исследовании технологических процессов на
предприятиях, при сценарном подходе к последовательности операций. IDEF3
взаимосвязан с методологией IDEF0 , функциональный блок которого может быть
представлена в виде отдельного процесса средствами IDEF3.
· IDEF4 - методология построения объектно-ориентированных
систем, наглядного отображения структуры объектов и их взаимодействия,
предназначен для анализа и оптимизации сложных объектно-ориентированных систем.
· IDEF5 - методология онтологического исследования сложных
систем. Онтология системы может быть описана при помощи определенного слооваря
терминов и правил, на основании которых могут быть сформированы достоверные
утверждения о состоянии рассматриваемой системы в некоторый момент времени. На
основе этих утверждений формируются выводы о дальнейшем развитии системы и
производится её оптимизация.
Типичным представителем инструментальных средств функционального
моделирования является пакет AllFusionProcessModeler (BPWin), который обеспечивает создание моделей в нотациях
IDEF0, IDEF3 и DFD (DataFlowDiagrams).
5.1 Стандарт IDEF0
IDEF0
- FunctionModeling - методология
<#"579419.files/image004.gif">
Рисунок
1. Контекстная диаграмма
Диаграмма
декомпозиции - содержат родственные (дочерние) работы, имеющие общую
родительскую работу (рис.2). Работы нумеруются автоматически слева направо.
Номер работы показывается в правом нижнем углу. В левом верхнем углу
изображается небольшая диагональная черта, которая показывает, что данная
работа не была декомпозирована.
Рисунок
2 Диаграмма декомпозиции
Диаграмма
дерева узлов (NodeDiagram) - иерархическая структура работ, представленных на
диаграммах декомпозиции. Диаграммы деревьев узлов можно строить произвольной
глубины, не обязательно с корня.
Диаграммы
для экспозиций (FEO)- иллюстрация фрагментов модели.
Организационная
диаграмма (OrganizationChart) - организационная структура, показывает взаимосвязь RoleGroup (ролевые группы, структурные подразделения), Role (функциональные
роли) и Resources (ресурсы: исполнители, материальные ресурсы, основные
средства, финансовые ресурсы и т.п.).
Для
своего курсовой работы я спроектировал модель для БЦ «Севен» в программе BPWin.
Ниже представлены скриншоты.
Список используемой литературы
1. Интернет-Университет
Информационных Технологий <http://www.intuit.ru/>
. <http://www.flylink.ru/>