|
№
|
Сервер
|
Конфигурация
|
|
1
|
Inf
|
ABIT
IS-10 Socket478, Pentium(R) 4 CPU 2.80GHz, 512 Мб DDR2, HDD WDC WD3200AAJS-00L7A0 320 Гб, HDD ST2000DM001-1CH164 2 Тб, 3Com 3c905C-TX Fast Etherlink XL
|
|
2
|
Kodeks
|
INTEL
Entry Server Board S845WD1-E (S845WD11U) Socket478, 1 Гб DDR1, WD3200AAJB 320
Гб.
|
|
3
|
Nfs
|
Asus
A7V133-C Socket A, AMD Athlon 650MHz, Transcend TS64MLR72V8E 512 Мб DDR1, HDD
ST3320620A 250 Гб
|
|
4
|
1CServer
|
2x
Intel Xeon 2800MHz, Intel Eden Prairie SE7320EP2, 8192 Мб DDR2 ECC, SSD OCZ-VERTEX4 128 Гб, HDD WDC WD10EZEX-00RKKA0 1024 Гб.
|
|
5
|
Athlon
|
DualCore
AMD Athlon II X2 270 3416 MHz, MSI GF615M-P33, 2 Гб DDR3, SAMSUNG HD161HJ 160 Гб, 7200 RPM, SATA-II.
|
|
6
|
Kodweb
|
DualCore
AMD Phenom II X2 545 3000 MHz, Gigabyte GA-890GPA-UD3H v2, 4 Гб DDR3, WDC WD10EALX-009BA0 1024 Гб.
|
|
7
|
Lotuslin
|
Intel(R)
Core(TM) i7-2600 CPU 3400 MHz, 16 ГБ
DDR3, HDD WDC WD1003FBYX-0 1024 Гб.
|
Рассмотрим состав программных средств рабочих станций офиса:
. ОС: Windows XP SP3, Windows 7 Home Edition,
Mandriva 2010.2.
2. Антивирусная защита: Kaspersky Antivirus, DrWeb 7, AVG Free.
3. Офисный пакет: LibreOffice4, просмотр PDF Adobe Reader.
4. Интернет: Браузер Mozilla Firefox, почтовый клиент Mozilla
Thunderbird, ICQ - клиент QIP 2005, клиент интернет-телефонии Skype.
5. Прочее: аудио- и видеоплеер VLC, файловый менеджер FreeCommander.
За время работы были выявлены следующие проблемы, вызывающие
необходимость модернизации локальной сети, а именно:
. Ввиду того, что имеется широкий канал доступа в
Интернет без лимита на скачивание, необходима замена кеширующего прокси-сервера
Wingate на маршрутизатор с
возможностью контроля доступа пользователей к сайтам.
. Ввиду нарастающей нагрузки на ftp-сервер, совмещающий
функции шлюза и сетевого экрана, по факту главного сервера компании, необходима
разворачивание ftp-сервиса на основе NAS (сетевая система хранения данных) по возможности
с подключением к выделенному Интернет-каналу.
. Ввиду угрозы целостности и безопасности данных
необходима замена устаревшей технической и программной части двух файловых
серверов Kodeks и Nfs, объединение файлового хранилища в один сервер.
файловый сервер программный вычислительный
1.5 Характеристика
автоматизированных бизнес-процедур
Одной из бизнес-процедур, выполняемых в организации, является
назначение встреч с потенциальными пользователями для менеджеров по продажам.
Ниже представлена характеристика данной бизнес-процедуры.
Бригадир диспетчерской службы по конкретному городу с помощью
Интернет-ресурсов и бесплатных справочно-информационных систем формирует список
потенциальных клиентов, предоставляет информацию диспетчерам для совершения
телефонных звонков. Сотрудник диспетчерской службы в свою очередь, создаёт
карточку клиента в клиентской части CRM-системы IBM Lotus Domino - Lotus Notes.
Осуществив телефонный звонок, результаты его заносятся в карточку клиента, и на
их основе принимается решение о назначении встречи менеджера по продажам и
потенциального клиента для демонстрации продаваемого продукта.
Менеджер по продажам имеет доступ к той же БД, для просмотра
и редактирования заявок, назначенных на конкретное время данному сотруднику.
Следующая бизнес-процедура, которую можно рассмотреть - это
проведение сотрудником отдела сбыта демонстрации продаваемого продукта
потенциальному клиенту. Результаты встречи заносятся в карточку организации. В
случае согласия покупки продукта, бухгалтерией посредством системы 1С
«Предприятие» выставляется счёт на продукт. После покупки продукта клиент
переходит из разряда потенциальных в контрагенты.
Можно выделить ещё одну бизнес-процедуру - проведение
послепродажного обслуживание организации, где установлен продукт,
осуществляемое ежемесячно менеджерами отдела послепродажного обслуживания.
Сотрудник отдела раз в месяц посещает организацию-контрагента, осуществляет
обновление баз данных продукта, информирует сотрудников обслуживаемой
организации об изменениях нормативно-технической документации в их отрасли. По
результатам встречи в карточку организации вносится информация о проведённых
действиях.
1.6 Обоснование
темы дипломного проекта
В процессе прохождения практики была выявлена проблема,
угрожающая целостности и безопасности информации компании.
В сети работают два файловых сервера под управлением ОС Debian версий 4 и 5: Kodeks и Nfs. Техническая
конфигурация данных машин, как и версии ОС являются устаревшими. Также
технические особенности материнских плат не позволяют увеличить объём файлового
хранилища и осуществлять полноценное резервное копирование.
На сервере Kodeks периодически возникали ошибки поверхности
жёстких дисков, означающих необходимость их замены. Сервер Nfs, являющийся главным
файловым сервером, несколько лет назад разворачивался как тестовый, не
предназначавшийся для постоянной работы под нагрузкой.
Поэтому назрела необходимость объединить оба файловых сервера
в один на новой технической базе, проработав структуру файлового хранилища,
меры разграничения доступа пользователей, с настройкой планового антивирусного
сканирования и резервирования, как данных пользователей, так и самой ОС.
Периодически возникающие неполадки технически устаревших
компьютеров угрожали как минимум простоем деятельности компании на время
устранения неполадок, а как максимум потерей важных данных. Всё это приводит к
финансовым потерям для компании.
Таким образом, для межрегиональной группы компаний
«Информпроект» является актуальной проблема модернизации вычислительной сети
посредством внедрения файлового сервера и экономическое обоснование
целесообразности изменений.
2.
Модернизация сети посредством внедрения файлового сервера
2.1 Обоснование
новой технической базы
Одной из причин, побудивших модернизировать сеть путём
внедрения файлового сервера, является устаревшая техническая база серверов Kodeks и Nfs.
Во-первых, это недостаток ресурсов во время ежемесячного
обновления БД, пришедших на жёстком диске с USB интерфейсом от поставщика
программного продукта. В течение нескольких дней нагрузка на файловое хранилище
возрастает в связи с большим количеством пользователей, скачивающим эту
информацию одновременно.
Во вторую очередь, в связи с необходимостью наращивания
объёмов файлового хранилища и подключении новых жёстких дисков нужно наличие
достаточного количества SATA-портов, устаревшая же версия материнской платы
имела только IDE-порты, что сказывалось на скорости передачи данных.
В итоге появилась необходимость приобретения материнской
планы с необходимым количеством SATA-портов версии 3 без покупки платы расширения PCI во избежание
дополнительных трат.
В качестве системного жёсткого диска было решено использовать
накопитель SSD (твёрдотельный накопитель на основе микросхем памяти) для
достижения нужной производительности системы. Ниже приведены преимущества
использования SSD перед HDD (накопитель на жёстких магнитных дисках):
- отсутствие подвижных частей и,
следовательно, отсутствие шума, высокая скорость работы;
- более низкое энергопотребление в
зависимости от объёма диска;
- надёжность из-за отсутствия подвижных
частей исключается возможность механической поломки деталей;
- хорошая способность переносить перегрузки
и вибрации;
- одинаковая скорость обработки данных по
всему объёму;
- независимость от фрагментации данных.
Из недостатков можно выделить высокую стоимость, ограниченный
по сравнению с HDD объём, ограничение циклов перезаписи данных на флеш-память.
Установка SDD-диска значительно увеличит производительность
системы. Ограничение циклов перезаписи данных компенсируется тем, что система
будет работать с диском преимущественно в режиме чтения.
Было решено не использовать RAID для снижения стоимости
технической базы.
Рассмотрим характеристики выбранного оборудования:
. Материнская плата GigaByte GA-A75M-D2H:
- форм-фактор MicroATX;
- сокет FM1 и поддержка 32-нм процессоров
AMD серий A и E2;
- слот оперативной памяти (ОП) DDR3 DIMM с
поддержкой частот 2400/1866/1600/1333/1066 МГц и двухканального режима работы;
- 4 порта интерфейса USB 3.0 с пропускной
способностью до 5 Гб/с;
- 6 портов SATA 3 6 Гб/с и поддержкой RAID
0, 1, 10.
. Процессор AMD A6-3650 APU:
- частота работы 2,6 ГГц;
- количество ядер 4;
- теплопакет 100 Вт;
- техпроцесс 32 нм;
- встроенный контроллер памяти;
- интегрированное графическое ядро Radeon HD 6530D с частотой процессора
443 МГц;
- объём кэша L1 128 Кб, L2 4096 Кб.
. Оперативная память Patriot PSD34G1333k:
- тип памяти DDR3;
- форм-фактор DIMM 240 контактов;
- частота 1333 МГц;
- 2 модуля объёмом 2 Гб.
. Твёрдотельный накопитель SSD OCZ Vertex4 VTX4-25SAT:
- объём 128 Гб;
- интерфейс SATA3 6 Гб/с;
- наработка на отказ (MTBF) 2 млн. часов;
- ежегодная вероятность сбоев (AFR) 0,58%.
. Жёсткий диск Western Digital Red WD20EFRX:
- объём 2 Тб;
- объём буфера 64 Мб;
- скорость вращения 5400 rpm;
- интерфейс SATA3 6 Гб/с;
- наработки на отказ (MTBF) 1 млн. часов;
- ежегодная вероятность сбоев (AFR) 0,87%.
. Сетевая карта D-Link DGE-528T Gigabit Ethernet.
7. Блок питания FSP ATX-350PNR/350N 350 Вт.
. Корпус Minitower ZALMAN T4.
2.2 Обоснование
выбора программного обеспечения
Для сокращения расходов на модернизацию сети рассматривается
вариант по использованию ОС из семейства систем с открытым ядром Linux.- общее
название Unix-подобных операционных систем, основанных на одноимённом ядре.
Ядро Linux создаётся и распространяется в соответствии с моделью разработки
свободного и открытого программного обеспечения. Рассмотрим основные
характеристики Linux:
- реальная многозадачность - все процессы
независимы, для этого ядро осуществляет режим разделения времени
центрального процессора, поочередно выделяя каждому процессу интервалы времени
для выполнения;
- многопользовательский доступ - система
может предоставлять все системные ресурсы пользователям, работающим с хостом
через различные удаленные терминалы или виртуальные консоли;
- технология своппинга - позволяет работать
при ограниченном объеме физической оперативной памяти, содержимое некоторых
страниц оперативной памяти записываются в выделенную область на жестком диске
при недостатке в оперативной памяти места;
- страничная организация памяти - системная
память организована в виде страниц объемом 4 Кб; если оперативная память
полностью исчерпана, ОС будет искать давно не использованные страницы памяти
для их перемещения из памяти на жесткий диск;
- загрузка выполняемых модулей «по
требованию» - выделение страниц памяти по требованию, при котором только
необходимая часть кода исполняемой программы находится в оперативной памяти, а
не используемые в данный момент части остаются на диске;
- совместное использование исполняемых
программ - в случае запуска одной и той же программы разными пользователями в
память загружается только одна копия исполняемого кода этого приложения;
- общие библиотеки - существует некоторое
количество стандартных библиотек, используемых одновременно более чем одним
процессом, библиотеки не включаются в исполняемый файл;
- динамическое кеширование диска -
использование части оперативной памяти для хранения часто используемых данных с
диска, что существенно ускоряет доступ к часто используемым программам и
задачам.
- соответствие стандарту POSIX - стандарт
задаёт интерфейс Unix-систем, который описывается набором процедур языка C, обеспечивает работу ОС
на разных архитектурах.
Преимущества использования Linux:
- доступность исходных текстов для
модификации;
- бесплатность и как следствие отсутствие
проблем с лицензированием;
- удобство и гибкость в сопровождении в
связи с доступом к системным файлам;
- нетребовательность к системным ресурсам;
- минимальная подверженность взломам и
угрозам вирусной атаки.(General Public License) - это проект по разработке
свободного программного обеспечения.- многозадачная многопользовательская
операционная система, состоящая как из свободного ПО с открытым исходным кодом,
так и из закрытых компонентов. Debian GNU/Linux - один из самых популярных
дистрибутивов Linux, оказывающий значительное влияние на развитие этого типа ОС
в целом. Дистрибутив Debian является бесплатным для распространения и использования.
Особенности Debian:
- высокая стабильность работы дистрибутива в
связи с жёсткой политикой используемых программных пакетов;
- большой выбор пакетов программ (более 29
тысяч пакетов) для разных архитектур;
- система управления пакетами Advanced Packaging
Tool (APT) для гибкой работы с пакетами и репозиториями (интернет-хранилищами
программных пакетов); автоматическая установка и настройка программы как из
предварительно откомпилированных пакетов, так и из исходных кодов;
- единый стандарт Alternatives - механизм
выбора предпочтительного ПО среди нескольких вариантов.
Таким образом, выбранным дистрибутивом Linux стал Debian GNU/Linux.
Далее рассмотрим пакеты программ, разворачивающих сервис для
совместного использования файлов по сетевому протоколу SMB, используемому ОС Windows.
Компании Microsoft и Intel разработали на базе NetBIOS
протокол совместного использования файлов. Позже он был переименован в протокол
Server Message Block (SMB). Далее протокол SMB эволюционировал в систему CIFS
(Common Internet File System - Общая межсетевая файловая система), которая
представляла собой улучшенную и настроенную для работы в глобальных сетях
версию SMB. Эта система CIFS по сей день остается главной технологией для
совместного использования файлов на компьютерах, работающих под управлением ОС
Windows.
Популярный пакет Samba распространяется на условиях открытой
лицензии GNU и реализует серверную часть CIFS в системах Linux. Он был создан
австралийцем Эндрю Триджеллом (Andrew Tridgell), который путем «обратного»
проектирования воссоздал код протокола SMB и опубликовал полученный результат в
1992 году.
Сегодня пакет Samba хорошо поддерживается и постоянно
совершенствуется для расширения его функциональных возможностей. Он
предоставляет собой стабильный, надежный механизм для интеграции в сеть Linux, состоящую из
компьютеров, работающих под управлением системы Windows.
Система CIFS предоставляет пять основных служб:
- совместное использование файлов;
- сетевая печать;
- аутентификация и авторизация;
- разрешение имен;
- объявление служб.
Пакет Samba не только обрабатывает файлы с помощью системы
CIFS, но и выполняет основные функции контроллера службы Windows Active
Directory. Как контроллер домена, пакет Samba поддерживает такие функциональные
возможности, как регистрация доменов Windows, роуминг профилей пользователей
Windows и буферизация заданий на печать в системе CIFS.
Большинство функциональных возможностей пакета Samba
реализуется двумя демонами (программа, работающая в фоновом режиме): smbd и
nxnbd. Демон smbd реализует обслуживание файлов и заданий на печать, а также
выполняет аутентификацию и авторизацию. Демон nmbd обслуживает другие
основные компоненты системы CIFS: разрешение имен и объявление служб.
В отличие от файловой системы NFS, которая тесно связана с
ядром, пакет Samba не требует модификации ядра и запускается исключительно как
пользовательский процесс. Он устанавливает соединения с сокетами, через которые
посылаются NBT-запросы, и ждет клиентских запросов на доступ к ресурсам. Как
только запрос поступил и был аутентифицирован, демон smbd создает новый
экземпляр самого себя, который работает от имени пользователя, сделавшего
запрос. В результате все права доступа к файлам (включая групповые права)
остаются ненарушенными. Единственная дополнительная функциональная возможность,
которую демон smbd реализует, - это сервис блокировки файлов, позволяющий
клиентским персональным компьютерам придерживаться привычной для них семантики
блокировок.
Для более корректного доступа рабочих станций, под
управлением ОС Linux, к файловому серверу был выбран протокол NFS.
Сетевой протокол NFS (Network File System) позволяет
пользователям совместно работать с файлами, расположенными на разных
компьютерах. Протокол NFS почти прозрачен для пользователей, т.е. при сбое сервера,
поддерживающего протокол NFS, информация не пропадает. Клиенты просто ждут,
когда сервер вновь начнет функционировать, а затем продолжают работать так,
будто ничего не произошло.
Протокол NFS разработала компания Sun Microsystems в 1984
году. Первоначально протокол NFS был реализован как суррогат файловой системы
для бездисковых клиентов, однако предложенный протокол оказался столь удачным,
что со временем стал универсальным решением проблемы совместного использования
файлов. Все дистрибутивные пакеты систем UNIX и Linux содержат версию протокола
NFS.
Последняя версия NFS 4 является результатом крупной
переработки протокола. Она содержит много усовершенствований и новых
функциональных возможностей:
- совместимость и взаимодействие со всеми
брандмауэрами и устройствами NAT;
- интегрирование в основном протоколе NFS
протоколов блокировки и монтирования;
- операции с сохранением состояния;
- высокая интегрированная безопасность;
- поддержка репликации и миграции;
- поддержка клиентов как UNIX, так и Windows;
- списки управления доступом (ACL);
- поддержка файлов в кодировке Unicode;
- хорошая производительность даже при узкой
полосе пропускания.
В версии NFS 2 применялся протокол UDP, поскольку он
обеспечивал наилучшую производительность в локальных сетях 80-х годов. Несмотря
на то что протокол NFS сам выполняет сборку пакетов и осуществляет контроль
ошибок, ни в UDP, ни в NFS не реализованы алгоритмы управления перегрузкой,
которые необходимы для достижения нормальной производительности в крупных IР-сетях.
С целью решения этих проблем в большинстве UNIX-систем теперь
разрешено использовать в качестве транспортного протокола в версии NFS 4 -
только TCP. Первоначально эта возможность предназначалась для обеспечения
работы NFS в сетях с маршрутизаторами и в Интернете. По мере удешевления памяти
и роста производительности центральных процессоров и сетевых контроллеров,
первоначальное преимущество протокола UDP над протоколом TCP улетучилось.
2.3 Разработка
структуры файлового хранилища
Рассмотрим структуру файлового сервера.
/ - корневой раздел на накопителе SSD.
Раздел для подкачки /swap было решено не использовать, так
как для сервисов Samba и NFS достаточно 4 Гб оперативной памяти, так же раздел
подкачки активно осуществляет чтение-запись на диск, что сокращает длительность
использования SSD накопителя.
Для файлового хранилища данных пользователей использован
жёсткий диск объёмом 2 Тб. Рассмотрим структуру файлового хранилища в каталоге
/home на рисунке 3.
/home
├── Backup
├── boss-fin
├── boss
├── chief-buh
├── control
├── chief-control
├── dispatcher
├── chief-dispetcher
├── infotd
├── chief-infotd
├── jurist
├── chief-jurist
├── kadry
├── market
├── chief-market
├── personal
├── chief-personal
├── Public
│ ├── kodeks
│ ├── Бланки договоров >
/home/jurist/Бланки договоров
│ └── Расчётный счёт >
/home/raschet/Расчётный счёт
├── raschet
├── sbyt
└── chief-sbyt
Рисунок 3 - Структура файлового хранилища
В каталог Backup предполагается монтирование жёсткого диска
объёмом 2 Тб для размещения архивированной резервной копии.
Было решено использовать общие папки отделов вместо именных
каталогов для каждого сотрудника. Последний вариант вызовет излишнюю
избыточность данных и вынудит постоянно заниматься созданием и удалением
учётных записей пользователей.
Вариант же с общими папками отделов позволит настроить
совместное хранение и использование данных сотрудниками одного отдела. Внутри
папки отделов будут созданы именные папки сотрудников.
Рассмотрим состав папок отделов:
- control - отдел контроля качества;
- dispеtcher - диспетчерский отдел;
- infotd - отдел послепродажного
обслуживания;
- jurist - юридический отдел;
- kadry - отдел кадров;
- market - отдел маркетинга;
- personal - отдел по набору персонала;
- sbyt - отдел сбыта.
Также имеется общая для всех сотрудников публичная папка
Public. В ней размещён каталог kodeks, который является точкой монтирования для
жёсткого диска объёмом 500 Гб с базами данных и дистрибутивами продаваемых
программных продуктов. В папке Public созданы символические ссылки на каталоги для
общего пользования в режиме чтения: Бланки договоров и Расчётный счёт. Таким
образом, сотрудник отдела имеет доступ на редактирование документов в папке
своего отдела, а посредством символической ссылки все остальные пользователи
видят в публичной папке всегда актуальные файлы для чтения. Для работы с
расчётным счётом предприятия создана отдельная папка raschet, символическая
ссылка на который отражена в публичной папке.
Для разграничения доступа к файлам одного отдела созданы
каталоги руководителей отделов с префиксом chief. Так же для финансового
исполнительного директора офиса были созданы каталоги boss-fin и boss
соответственно.
Далее перейдём к выбору файловой системы. Рассмотрим самые
популярные файловые системы, используемые ОС с ядром Linux. Это Ext4, ReiserFS, XFS.
. Ext4 - журналируемая файловая система. Это результат
эволюции файловой системы Ext3, наиболее популярной файловой системы в Linux.
Особенности:
) Использование экстентов. Экстенты позволяют
адресовать большое количество (до 128 MB) последовательно идущих блоков одним
дескриптором. До 4х указателей на экстенты может размещаться непосредственно в
inode (индексный дескриптор, где хранится метаинформация о файлах), что
достаточно для файлов маленького и среднего размера.
) 48-битные номера блоков. При размере блока 4K это
позволяет адресовать до одного эксбибайта.
) Выделение блоков группами. Файловая система хранит
не только информацию о местоположении свободных блоков, но и количество
свободных блоков, идущих друг за другом. Что позволяет выделять блоки без
фрагментации.
) Отложенное выделение блоков. Выделение блоков для
хранения данных файла происходят непосредственно перед физической записью на
диск группами, что минимизирует фрагментацию и ускоряет процесс выделения
блоков, но увеличивает вероятность потери при сбоях питания.
) Превышен лимит в 32000 каталогов.
) Резервирование inode при создании каталога.
) Размер inode увеличен с 128 до 256 байтов.
) Временные метки с наносекундной точностью,
хранящихся в inode.
) Версия inode. В inode появился номер, который
увеличивается при каждом изменении inode файла.
) Хранение расширенных атрибутов в inode, что
позволяет повысить производительность.
) Контрольное суммирование транзакций в журнале.
Позволяют быстрее найти и (иногда) исправить ошибки при проверке целостности
системы после сбоя.
) Предварительное выделение. Резервирование множества
блоков для записи без траты времени на инициализацию (заполнение нулями
пространства файла) лишнее время
) Дефрагментация без размонтирования.
. ReiserFS - журналируемая файловая система,
разработанная специально для Linux компанией Namesys.
Особенности:
) Возможность упаковки нескольких небольших файлов в
один блок во избежание фрагментации и потери дискового пространства.
) Несколько режимов журналирования: только
метаданные/все данные.
) Возможность изменения размера файловой системы «на
лету».
) Высокая скорость работы с файлами небольшого
размера.
) Проблемы в восстановлении информации в случае краха
файловой системы
) На данным момент не развивается, проект заморожен.
. XFS - высокопроизводительная журналируемая файловая
система, созданная компанией Silicon Graphics.
Особенности:
) 64-битная файловая система.
) Журналирование по умолчанию только метаданных.
) Возможность потери данных во время записи при сбое
питания, так как большое количество буферов данных хранится в памяти
) Выделение места экстентами.
) Отложенное выделение места.
) Увеличение размера «на лету», невозможность
уменьшения «на лету».
) Дефрагментация «на лету».
) API ввода / вывода реального времени.
) Инструменты резервного копирования и восстановления.
) Динамическое управление inode
) Малый размер служебных структур данных.
) Сложный процесс восстановления удалённых файлов.
) Эффективная работа с большими файлами и каталогами
при невысокой нагрузке на процессор.
В итоге была выбрана файловая система Ext4 как самая стабильная и
хорошо поддающаяся восстановлению, занимает среднюю позицию по работе с
большими и маленькими файлами.
Файловая система XFS из-за высокой производительности была
выбрана только для каталога kodeks, для хранения крупных файлов БД продукта. Так
как эта файловая система сложно поддаётся восстановлению, то она подходит
скорее для хранения больших файлов с неуникальной информацией, что подходит в
данном случае.
От ReiserFS решено отказаться, не смотря на быструю работу с
маленькими файлами, хотя они будут преобладать в создаваемом файловом
хранилище. ReiserFS на данный момент не поддерживается и сложно поддаётся
восстановлению.
2.4 Разработка
политики информационной безопасности
Проблема информационной безопасности (ИБ) корпоративной
системы обычно решается в двух плоскостях: во-первых, рассматриваются
формальные критерии, которым должны соответствовать защищенные информационные
технологии, а во-вторых, практический аспект - конкретный комплекс мер
безопасности.
При создании систем ИБ важно не упустить каких-либо
существенных аспектов - в этом случае применяемой информационной технологии
будет гарантирован некоторый минимальный (базовый) уровень ИБ. Базовый уровень
ИБ предполагает упрощенный подход к анализу рисков, при котором рассматривается
стандартный набор распространенных угроз безопасности без оценки вероятностей
этих угроз. Для нейтрализации угроз применяется типовой комплекс контрмер, а
вопросы эффективности защиты в расчет не берутся. Подобный подход приемлем,
если ценность защищаемых ресурсов в данной организации не слишком высока.
Стратегия безопасности при обеспечении базового уровня ИБ в
практическом плане сводится к следующим шагам:
. Определение необходимых руководящих документов и
стандартов в области ИБ, а также основных положений политики ИБ, включая:
- управление доступом к средствам
вычислительной техники, программам и данным;
- антивирусную защиту;
- вопросы резервного копирования;
- проведение ремонтных и восстановительных
работ;
- информирование об инцидентах в области ИБ.
. Определение подходов к управлению рисками: является
ли достаточным базовый уровень защищенности или нужно проводить полный вариант
анализа рисков.
. Структуризация контрмер по уровням.
. Порядок сертификации на соответствие стандартам в
области ИБ: график совещаний по тематике ИБ на уровне руководства,
периодичность пересмотра положений политики ИБ, а также порядок обучения всех
категорий пользователей системы в этой области.
Самыми распространёнными системами управления доступом к
данным являются системы идентификации и аутентификации. Их задачей является
определение и верификация набора полномочий субъекта при доступе к системе.
Идентификация - это процесс сопоставления его с некоторой
хранимой системой характеристикой субъекта - идентификатором. В дальнейшем,
идентификатор субъекта используется для предоставления субъекту определенного
уровня прав и полномочий при использовании системой.
Аутентификация - это процедура верификации принадлежности
идентификатора субъекту. Аутентификация производится на основании того или
иного секретного элемента (аутентификатора), которым располагают как субъект,
так и система. Обычно система располагает не самим аутентификатором, а
некоторой информацией о нем, на основании которой принимается решение об
адекватности субъекта идентификатору.
Перед началом интерактивного сеанса работы большинство ОС
запрашивают у пользователя его имя и пароль. Введенное имя является
идентификатором пользователя, а его пароль - аутентификатором. ОС обычно хранит
не сам пароль, а его хэш-сумму, обеспечивая, тем самым, практическую
невозможность восстановления пароля.
Разработка
политик доступа к данным
При разработке политик доступа к данным файлового хранилища
необходимо выбрать режим безопасности Samba:
. Общий уровень безопасности (share) - позволяет
клиентам подключаться к разделяемому ресурсу без предоставления имени
пользователя и пароля.
. Режим безопасности пользователя (user) - требует от
клиента предоставить имя пользователя и пароль для подключения к ресурсу,
учетные записи пользователей Samba отделены от системных учетных записей.
. Режим безопасности домена (domain) - позволяет
серверу Samba представляться клиентам Windows первичным доменным контроллером
(PDC), резервным доменным контроллером (BDC) или сервером-членом домена (DMS).
. Режим безопасности ADS - позволяет серверу Samba
присоединиться к домену Active Directory как родному.
Оптимальным режимом безопасности с прохождением
аутентификации в отсутствие Active Directory является режим безопасности
пользователя. На пользовательским уровне безопасности если сервер принимает
пару имя пользователя / пароль, то клиент получает возможность доступа к общим
ресурсам без указания пароля в дальнейшем. Клиент ожидает, что все права
доступа соответствуют имени пользователя / паролю, указанным при инициализации
сессии.
В данном режиме безопасности учетные записи пользователей
Samba отделены от системных учетных записей, но пакет libpam-smbpass
синхронизирует системных пользователей и пароли с пользовательской базой Samba.
Таким образом, настройка политик доступа производится
посредством работы с группами пользователей в системе и назначения прав на
каталоги. Список пользователей и групп пользователей с назначенными правами
доступа приведён в таблице 4. Нахождение пользователя в дополнительной группе
обозначает наличие доступа к соответствующему каталогу отдела. UID - это
уникальный в пределах системы идентификатор пользователя, его значение равно GID - универсальному в
пределах системы идентификатору группы.
Таблица 4 - Список пользователей и групп пользователей
|
№
|
Отдел
|
Пользователь
|
Группа
|
UID/GID
|
Дополнительные
группы
|
|
1
|
Отдел контроля
качества
|
control
|
control
|
1010
|
personal buh
sbyt dispetcher
|
|
2
|
Руководитель
отдела контроля качества
|
chief-control
|
chief-control
|
1012
|
сontrol personal buh sbyt
dispetcher
|
|
3
|
Отдел
маркетинга
|
market
|
market
|
1002
|
sbyt infotd
|
|
4
|
Руководитель
отдела маркетинга
|
chief
- market
|
chief
- market
|
1014
|
market sbyt
infotd
|
|
5
|
Отдел по
подбору персонала
|
personal
|
personal
|
1003
|
kadry
|
|
6
|
Руководитель
отдела по подбору персонала
|
chief
- personal
|
chief
- personal
|
1016
|
personal kadry
|
|
7
|
Бухгалтерия
|
buh
|
buh
|
1005
|
|
|
8
|
Руководитель
бухгалтерии
|
chief
- buh
|
chief
- buh
|
1017
|
buh
|
|
9
|
Отдел сбыта
|
sbyt
|
sbyt
|
1006
|
|
|
10
|
Руководитель
отдела сбыта
|
chief
- sbyt
|
chief
- sbyt
|
1018
|
sbyt
|
|
11
|
Диспетчерская
служба
|
dispetcher
|
dispetcher
|
1007
|
|
|
12
|
Руководитель
диспетчерской службы
|
chief - dispetcher
|
chief - dispetcher
|
1019
|
dispetcher
|
|
13
|
Отдел
послепродажного обслуживания (ОПО)
|
infotd
|
infotd
|
1008
|
market sbyt
|
|
14
|
Руководитель
ОПО
|
chief - infotd
|
chief - infotd
|
1020
|
infotd market
sbyt
|
|
15
|
Юридический
отдел
|
jurist
|
jurist
|
1013
|
personal
|
|
16
|
Руководитель
юридического отдела
|
chief - jurist
|
chief - jurist
|
1021
|
jurist personal
|
|
17
|
Расчётный счёт
|
raschet
|
raschet
|
1011
|
inford
|
|
18
|
Отдел кадров
|
kadry
|
kadry
|
1009
|
personal
|
|
19
|
ИТ-отдел
|
itotdel
|
itotdel
|
1015
|
users
|
|
20
|
Исполнительный
директор
|
boss
|
boss
|
1022
|
control
buh infotd jurist
|
|
21
|
Финансовый
директор
|
boss-fin
|
boss-fin
|
1023
|
buh
|
Нахождение в группе users обозначает администраторский доступ к каталогам
по CIFS. Пользователь itotdel не имеет своего
каталога, так как используется исключительно для администраторского доступа к
каталогам Samba.
Таким образом, пользователь не может попасть в каталог другого
отдела, если он не находится в группе пользователей этого отдела. Также
параметрами конфигурационного файла будет настроена скрытость списка каталогов
отделов, перейти в каталог можно только воспользовавшись командной строкой.
Исключения составляют публичный каталог и каталог своего отдела.
Рассмотрим требования к аутентификатору - сложность пароля:
- минимальная длина - 8 символов;
- латинские символы;
- обязательное присутствие хотя бы одной
цифры;
- обязательное присутствие хотя бы одной
прописной буквы.
Программная
настройка файлового сервера
Для настройки файлового сервера использовались такие пакеты
программ, как сервис SSH - сетевой протокол прикладного уровня, позволяющий
производить удалённое управление ОС, - и Webmin - программный комплекс, позволяющий
администрировать операционную систему через веб-интерфейс.
Программная настройка файлового сервера в первую очередь
заключалась в конфигурировании сервера Samba и NFS.
Рассмотрим конфигурационный файл Samba smb.comf, а именно секцию
глобальных настроек (global):
. name resolve order = dns lmhosts wins #порядок
использования сервисов имён
2. passwd chat =
*Enter\snew\s*\spassword:*%n\n *Retype\snew\s*\spassword:*%n\n
*password\supdated\ssuccessfully*. #описывает последовательность пар отклик-прием, которые
используются демоном smbd для определения того, что нужно передать программе
passwd и чего ждать в ответ
. passwd program = /usr/bin/passwd % u #имя
программы, которую можно использовать для смены паролей
. use client driver = no #при обслуживании клиента
Windows NT/2000 без установленного драйвера принтера клиент установит локальный
драйвер для принтера
. dns proxy = No #определяет будет ли демон nmbd
делать запрос к DNS
6. netbios name = nfs #NetBIOS имя сервера
7. writeable = yes #доступ для записи
. printing = cups # контролирует как статусная
информация о принтере будет интерпретироваться в системе
. dos charset = CP866 # кодировка Samba для работы
с DOS клиентами
. display charset = CP1251 #кодировка символов
. local master = no #разрешает демону nmbd
попытаться стать локальным мастер-браузером в этой подсети
. workgroup = INFORM #имя рабочей группы
. os level = 255 #устанавливает уровень Samba,
который используется в выборах обозревателя
. security = user #режим безопасности -
пользовательский
. getwd cache = yes #использоваться
алгоритм кеширования для сокращения времени, необходимого для getwd () вызовов
. max log size = 5000 # максимальный размер файла
журнал
. log level = 0 vfs:2 #степень
детализации журнала событий
. log file = /var/log/samba/log.users #имя файла
журнала событий
. smb passwd file = /etc/samba/smbpasswd #путь
к шифрованному файлу с паролями
. security mask = 0777 #права доступа на файл
. socket options = SO_KEEPALIVE TCP_NODELAY
SO_SNDBUF=32768 SO_RCVBUF=32768 #параметры сокета, который будет
использоваться для обслуживания клиентов
. client ntlmv2 auth = Yes #использовать
NTLMv2 шифрование при передаче пароля
. force directory mode = 0777 #набор разрешений,
которые будут устанавливаться на созданном каталоге
. deadtime = 15 #время бездействия в минутах, по
истечении которого соединение считается утраченным и происходит разъединение
. create mask = 0777 #права доступа,
рассчитывающиеся в соответствии с преобразованием из DOS прав в права UNIX
. follow symlinks = yes # включение переходов по
символическим ссылкам
. domain master = no #заставляет nmbd требовать
NetBIOS имя домена, идентифицирующее его как мастер браузер домена для данной
рабочей группы
. encrypt passwords = true #шифрование
паролей между клиентом и сервером
. directory security mask = 0777 #устанавливает
какие биты прав доступа UNIX могут измениться, если клиент Windows NT управляет
разрешением UNIX на каталоге, используя родное NT диалоговое окно прав доступа
. unix extensions = no # поддержка расширений CIFS
UNIX от HP
. netbios aliases = nfs #дополнительное имя
сервера Samba
. server string =%h Server_Debian #строка
комментария к имени сервера
. wide links = yes #разрешение использования
символических ссылок
. kernel oplocks = No #разрешение использования
блокировок ядра
. unix password sync = yes #синхронизация пароля
UNIX с паролем SMB при изменении зашифрованного пароля SMB
. force create mode = 0777 #набор разрешений,
которые будут устанавливаться на созданном файлы
. directory mask = 0777 #набор разрешений для
преобразования значения прав доступа DOS в значение прав доступа UNIX при
создании каталогов UNIX
. syslog = 0 #уровень отладки журналов событий
. unix charset = utf-8 #кодировка компьютера, на
котором работает Samba
. preferred master = no #предпочитаемый обозреватель
для рабочей группы
. bind interfaces only = Yes #ограничивать
интерфейсы на машине, обслуживающие запросы SMB
. vfs objects = recycle full_audit #использование
подсистем Samba - корзина и аудит
44. recycle:repository = /home/trash/%U #расположение корзины
45. recycle:keeptree = Yes #выстраивать дерево каталогов
. recycle:touch = Yes #изменение даты файла при
доступе к нему
. recycle:maxsize = 104000000 #максимальный размер
файла, перемещаемый в корзину
. recycle:exclude = *.TMP *.tmp *.mp3 *.MP3 *.wma
*.WMA#файлы, неперемещаемые в корзину
. recycle:directory_mode = 0774 #набор прав на
перемещаемые в корзину файлы
. recycle:versions = Yes #версификация файлов, если
имена одинаковы
. full_audit:prefix=%U % m #префикс сообщения в
лог файле
. full_audit:success = unlink rmdir mkdir write
rename#разрешённые для регистрации операции
. full_audit:facility = local5 # программа,
которая посылает регистрационное сообщения
. full_audit:priority = notice #уровень
серьезности регистрационного сообщения
Рассмотрим конфигурацию для секции корзины (trash).
. browseable = no #отображение папки в списке общих
ресурсов в сетевом окружении
2. path = /home/trash #путь к папке
3. force directory mode = 0774
. force create mode = 077
. public = yes #для подключения к
ресурсу не требуется пароль
. create mode = 0774
. directory mode = 0774
Рассмотрим конфигурацию для домашних папок пользователей
(секция home).
1. comment = Home Directories #комментарий к каталогу
2. browseable = no
. writable = yes #доступ на запись
. read only = no #режим только для чтения
. create mode = 0777
. directory mode = 0777
Рассмотрим конфигурацию для конкретной папки пользователя
Отдел ОПО (секция infotd), настройки для других папок пользователей аналогичны.
5. browseable = no
. nt acl support = No #преобразование
прав доступа UNIX в списки доступа Windows NT
7. acl check permissions = No #проверка разрешений
при запросе «открыть для удаления»
8. acl map full control = No #сопоставление
POSIX настройки «rwx» (чтение / запись / выполнение)
9. delete readonly = yes #разрешение удалять
файлы только для чтения
10. path = /home/infotd
. force group = infotd #первичная группа
для соединившихся пользователей
12. force user = infotd #первичное
имя пользователя UNIX для всех соединившихся
13. valid users = raschet, market, sbyt, admin, control,@infotd #список пользователей,
которым разрешён доступ к сервису
14. blocking locks = No #блокировка на
часть открытого файла
Рассмотрим файл с параметрами монтирования файловых систем по
NFS -/etc/exports. В этом файле
перечисляются файловые системы, экспортируемые посредством NFS, к которым могут
получать доступ клиенты.
/home/user (wdelay, sync, insecure,
no_subtree_check, rw=user, nohide)
В таблице 5 показаны используемые опции экспортирования.
Таблица 5 - Опции экспортирования NFS
|
Опция
|
Описание
|
|
wdelay
|
Задержка
записей в надежде на объединение множества обновления
|
|
sync
|
Сервер не будет
отвечать на запросы раньше, чем запрошенные изменения будут записаны на диск
|
|
insecure
|
Разрешает
удалённый доступ с любого порта
|
|
no_subtree_check
|
Проверяет,
относятся ли запросы на данный файл к экспортируемой файловой системе
|
|
rw=список
|
В списке
указаны клиенты, которым разрешено монтирование для записи, остальным только
для чтения
|
|
nohide
|
Показывает
файловые системы, смонтированные внутри экспортируемых деревьев файлов
|
Настройка
плана антивирусного сканирования и резервного копирования
Clam AntiVirus - пакет антивирусного ПО, работающий в разных
ОС, в том числе в Linux. Является свободным ПО и выпускается под лицензией GNU
GPL (General Public License).не является антивирусом для защиты рабочих
станций, его основное назначение - работа на почтовых шлюзах и файловых
серверах.
Возможности Clam AntiVirus:
- управление из командной строки;
- возможность использования с большинством
почтовых серверов, включая реализацию milter-интерфейса для Sendmail;
- сканер в виде библиотеки Си;
- сканирование файлов и почты «на лету»;
- определение свыше 850 тысяч вирусов,
червей, троянов, сообщений фишинга;
- анализ сжатых файлов.
Одним из несомненных плюсов является высокая скорость
сканирования, этот параметр положен во главу угла для использования на
почтовых, файловых серверах и шлюзах. Недостатком является не столь широкая
антивирусная база, как у известных коммерческих антивирусов DrWeb и Kaspersky
Antivirus, но при этом показывает результаты лучше, чем Microsoft Security
Essentials.
Использование ClamAV является дополнительной мерой защиты
данных и ОС Windows от заражения в совокупности с антивирусным ПО рабочей
станции.
При настройке антивирусной защиты было решено отказаться от
варианта проверки файлов «на лету», чтобы не снижать скорость работы с
каталогами Samba.
Рассмотрим установку и настройку ClamAV. Для работы нам
необходимо установить два пакета: clamav содержит утилиту командной строки,
clamav-daemon - демон для работы в фоне.
Для обновления антивирусных баз воспользуемся командой
freshclam.
Ниже приведён текст скрипта bash для еженедельной плановой
антивирусной проверки перед резервным копированием.
#!/bin/bash=»/home/boss-fin /home/boss
/home/chief-buh /home/control /home/chief-control /home/dispatcher
/home/chief-dispetcher /home/infotd /home/chief-infotd /home/jurist
/home/chief-jurist /home/kadry /home/market /home/chief-market /home/personal
/home/chief-personal /home/raschet /home/sbyt
/home/chief-sbyt»=/home/admin/clamav/clamav.log=/home/admin/clamav/infected #обновление антивирусных баз- r - i -
move=$scaninf - l $scanlog $scanpath
Последняя команда запускает рекурсивное сканирование папок
пользователей с выводом информации только об инфицированных файлах и сохранение
её в файле /home/admin/clamav/clamav.log. Инфицированные файлы будут перемещаться в папку /home/admin/clamav/infected.
Для еженедельного запуска воспользуемся демоном Cron - планировщик в UNIX-системах. В файл /etc/crontab впишем задание для
выполнения еженедельно в пятницу в 19 часов.
19 * * 5 root /etc/cron.weekly/scanclam
В качестве дополнительной защиты в файл монтирования дисков
/etc/fstab для раздела /home был добавлен параметр noexec, препятствующий
запуску выполняемых файлов, даже если уставлены соответствующие права.
Для организации резервного копирования было решено не
использовать сторонние пакетные программ, а написать скрипт bash.
Создание ежедневной резервной копии будет производиться
каждый будний день в 21:00. Архивироваться будут только офисные документы
расширений doc, docx, xls, xlsx, odt, ods, rtf, txt, odp, ppt, pptx, vsd, vdx. Ниже приведён код скрипта backup-dialy.
#!/bin/bash
SRCD=»/home» # исходный каталог
TGTD=»/home/Backup/dialy/» #
конечный каталог 1'Монтируем
локальный диск для резервных копий'
sleep 1/dev/sda1 /home/Backup/home/trash - type f
- mtime +31 - exec rm - r {} \; очистка корзины от файлов, старше месяца=`date +' % d'` #занесение в
переменную текущей даты
find /home/Backup/dialy - type f - mtime +14 - exec rm - r {} \; #удаление файлов
ежедневной резервной копии старше двух недель2'Создаю каталоги даты…' 'Число
дня: '$DATES
mkdir - p $TGTD$DATES #создание каталога для архива за текущий день'''Начало
резервного архивирования файлов…''''Архивирую каталог infotd…'
if [- f $TGTD$DATES/infotd.tar.bz2]; then #проверка существования архиваФайл
$TGTD$DATES/infotd.tar.bz2 уже существует на данное число, удалите файл для выполнения
нового копирования$SRCD/infotd - regex
'.*\(docx\|doc\|odt\|rtf\|xls\|xlsx\|ods\|txt\)' - exec tar - cjf
$TGTD$DATES/infotd.tar.bz2 {} \; #поиск файлов по маске и их
архивирование со сжатием
… # код повторяется для каждого каталога Samba'''Отмонтируем диск…'
sleep 5/home/Backup5
echo 'Резервное архивирование завершено'''0
В файл /etc/crontab впишем задание для выполнения:
0 21 * * 1-4 root /etc/cron.
dialy/backup-dialy
Создание полной резервной копии будет производиться раз в
неделю в субботу с 7 часов утра, при этом из архивирования будут исключаться
файлы, тяжелее 2 Гб. Еженедельный архив будет перезаписывать старый. Как
правило, файлы такого размера - это фильмы, не являющиеся уникальной
информацией.
#!/bin/bash
SRCD=»/home» # исходный каталог
TGTD=»/home/Backup/weekly/» #
конечный каталог 1'Монтируем
локальный диск для резервных копий'
sleep 1/dev/sda1 /home/Backup/home/trash - type f
- mtime +31 - exec rm - r {} \; очистка корзины от файлов, старше месяца
sleep 2'''Начало резервного архивирования
файлов…''''Архивирую каталог infotd…'
if [- f $TGTD /infotd.tar]; then #проверка существования архиваФайл
$TGTD$DATES/infotd.tar уже существует на данное число, удалите файл для выполнения
нового копирования$SRCD/infotd - size 2G - exec tar - cf $TGTD$DATES/infotd.tar {} \;#поиск файлов по
маске и их архивирование
… # код повторяется для каждого каталога Samba'''Отмонтируем диск…'
sleep 5/home/Backup5
echo 'Резервное архивирование завершено'''0
В файл /etc/crontab впишем задание для выполнения:
0 7 * * 6 root /etc/cron.weekly/backup-weekly
2.5 Тестирование
настроек
При работе демона Samba главная нагрузка осуществляется на дисковую
подсистему. Поэтому при тестирование проводился анализ показателей работы
подсистемы ввода / вывода.(Input/Output Operations Per Second) - один из
ключевых параметров при измерении производительности систем хранения данных,
обозначающий количество операций ввода / вывода. IOPS - это количество блоков,
которое успевает считаться или записаться на носитель. Чем больше размер
блока, тем меньше частей, из которых состоит файл, и тем меньше будет IOPS, так
как на чтение части большего размера будет затрачиваться больше времени.
Для определения IOPS надо знать скорость и размер блока при
операции чтения / записи. Параметр IOPS равен скорости, деленной на размер
блока при выполнении операции.
В ходе тестирования работы файлового сервера доступ к нему
имели все отделы организации, около 150 пользователей. Время тестирования с 13
до 15 часов.
Для определения показателей работы дисковой подсистемы
использовалась утилита iostat базового пакета sysstat.
Информация о состоянии дисковой подсистемы выводится на
каждый указанный момент времени. Пример вывода команды iostat приведён ниже.
avg-cpu: %user %nice % system % iowait %steal %idle
0,10 0,00 0,12 0,07 0,00 99,70: rrqm/s wrqm/s r/s
w/s rkB/s wkB/s avgrq-sz avgqu-sz await svctm %util0,00 0,00 0,00 0,00 0,00
0,00 0,00 0,00 0,00 0,00 0,000,00 0,00 0,00 0,30 0,00 1,20 8,00 0,00 10,67
10,67 0,320,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,00 0,000,00 0,20
0,00 2,50 0,00 10,80 8,64 0,00 0,00 0,00 0,000,00 0,00 0,00 0,00 0,00 0,00
0,00 0,00 0,00 0,00 0,00
В первых строках вывода команды приведена загрузка процессора
на конкретный момент времени. Далее приведены характеристики для каждого
дискового устройства, нас интересуют следующие показатели:
- r/s, w/s (Read IOPS и Write
IOPS) (операция в секунду) - интенсивность чтения и записи с диска;
- rkB/s, wkB/s (Кб/с) - пропускная
способность при чтении и записи;
- await (мс) - полное время ответа от диска;
- util (%) - утилизация диска, общее время,
которое тратит устройство в процессе, I/O деленное на обычное время, это даёт
возможность представить, насколько то или иное блочное устройство занято.
В процессе тестирования информация о состоянии дисковой
подсистемы снималась каждые 10 секунд в течение 2 часов. Графики работы
подсистемы показаны на рисунках 4, 5, 6,7.
Рисунок 4 - График количества операций ввода / вывода в
секунду
Рисунок 5 - График пропускной способности при чтении и записи
Рисунок 6 - График полного времени отклика от диска
Рисунок 7 - График использования процессора и утилизации
диска
Для сравнения был проведён синтетический тест программой iometer с высокой нагрузкой на
жёсткий диск, параметры теста: размер блока 2Мб, 100% случайного выбора блока
диска для 100% чтения. Такая нагрузка на жёсткий диск нетипична, показатель Read IOPS равен 452,69, Write IOPS равен 424,67. На рисунке
8 приведены результаты синтетического тестирования.
Рисунок 8 - Результаты выполнения синтетического теста iometer
Из приведённых результатов тестирования можно сделать вывод,
что нагрузка на дисковую подсистему в штатном режиме работы всех отделов
невелика. Время обработки запроса подсистемы в пределах нормы, составляет в
среднем 7 мс. Пиковый показатель утилизации диска не превышает 10%, что также
является нормой работы. Показатель утилизации выше 10% означает загруженность
дисковой подсистемы и снижение скорости доступа к каталогам Samba соответственно.
3.
Обоснование экономической эффективности модернизации сети посредством внедрения
файлового сервера
3.1 Расчёт
стоимости внедрения файлового сервера
Проведём расчёт стоимости внедрения файлового сервера. Она
состоит из нескольких слагаемых: стоимость технического обеспечения, стоимость
программного обеспечения, стоимость затрат на электроэнергию стоимость
выполнения работ по настройке.
На таблице 6 приведёна стоимость комплектующих материалов
технического обеспечения.
Таблица 6 - Стоимость комплектующих материалов технического
обеспечения
|
№
|
Название
комплектующего
|
Количество, шт.
|
Цена, руб.
|
|
1
|
Материнская
плата GigaByte GA-A75M-D2H
|
1
|
2 138,00
|
|
2
|
Процессор AMD
A6-3650 APU
|
1
|
2 505,00
|
|
3
|
Оперативная
память Patriot PSD34G1333k 2x2 Gb
|
1
|
1 757,00
|
|
4
|
Твёрдотельный накопитель SSD OCZ Vertex4 VTX4-25SAT
|
1
|
6 110,00
|
|
5
|
Жёсткий диск
Western Digital Red WD20EFRX
|
2
|
3 908,00
|
|
6
|
Сетевая карта
D-Link DGE-528T
|
1
|
281,00
|
|
7
|
Блок питания
FSP ATX-350PNR/350N 350 Вт
|
1
|
835,00
|
|
8
|
Корпус
Minitower ZALMAN T4
|
1
|
1 002,00
|
|
ИТОГО
|
22 444,00
|
Стоимость программного обеспечения равна нулю, так как используется
исключительно свободное программное обеспечение.
В итоге суммарные затраты на комплектующие материалы (Зм)
файлового сервера составляют 22 444 рублей.
Для определения стоимости работ по настройке и внедрению
сервера необходимо провести расчёт заработной платы. Необходимо провести
следующие работы:
. Установка операционной системы Linux.
. Установка дополнительных пакетов системного ПО.
. Настройка BIOS.
. Настройка сети.
. Настройка ПО и демонов.
Должностной оклад специалиста отдела информационных технологий
составляет 22 000 руб.
Продолжительность работ приведена в таблице 7.
Таблица 7 - Продолжительность работ
|
№
|
Наименование
работы
|
Норма времени,
час
|
|
1
|
Установка
операционной системы Linux
|
2
|
|
2
|
Установка
дополнительных пакетов системного ПО
|
3
|
|
3
|
Настройка BIOS
|
1
|
|
4
|
Настройка сети
|
3
|
|
5
|
Настройка ПО и
демонов
|
12
|
|
Итого
|
21
|
Продолжительность всего объёма работ составила 21 час.
Расчёт стоимости затрат электроэнергии (Зэ)
приведён в таблице 8.
Таблица 8 - Расчёт стоимости затраченной электроэнергии
|
Количество
часов использования ЭВМ
|
Стоимость
киловатт часа, руб.
|
Стоимость, руб.
|
|
21
|
2,96
|
62,16
|
Расчёт заработной платы и стоимости работ по настройке
сервера приведён в таблице 9.
Для расчета показателей необходимо определить несколько
показателей. Среднее количество рабочих дней в месяце - 22 дня. Длительность
рабочего дня - 8 часов. Размер дополнительной заработной платы - 10% от
основной заработной платы. Размер премии - 30% от заработной платы за период
выполнения работ. Размер социальных отчислений - 30% от фонда оплаты труда.
Таблица 9 - Расчёт заработной платы и стоимости работ по
настройке сервера
|
Наименование
работ, затрат
|
Условное
обозначение
|
Формула
|
Значение
|
|
Должностной
оклад специалиста, руб.
|
Докл
|
Докл
|
22000,00
|
|
Трудоемкость
работ, час
|
Тр
|
Тр
|
21
|
|
Заработная
плата за один час работы специалиста, руб.
|
Дч
|
Докл /
(22 * 8)
|
125,00
|
|
Заработная
плата специалиста за период выполнения работ, руб.
|
Звр
|
Тр *
Дч
|
2625,00
|
|
Размер премий,
руб.
|
П
|
Звр *
0,3
|
787,50
|
|
Основная
заработная плата, руб.
|
Зосн
|
Зв * П
|
3412,50
|
|
Дополнительная
заработная плата, руб.
|
Зд
|
Зосн *
0,1
|
341,25
|
|
Фонд оплаты
труда, руб.
|
Зф
|
Зосн
+ Зд
|
3753,75
|
|
Отчисления на
социальные нужды, руб.
|
Ос
|
Зф *
0,3
|
1126,13
|
|
Стоимость работ
по настройке, руб.
|
Сн
|
Зф +
Ос + Зэ
|
4942,04
|
Стоимость выполнения работ по настройке сервера составила 4
942,04 рубля.
Просуммировав затраты на техническое обеспечение и выполнение
работ по настройке итоговая стоимость внедрения сервера (С) составила 27 386,04
рубля.
3.2 Расчёт
выгоды от внедрения файлового сервера
Для того чтобы определить выгоду от внедрения файлового
сервера, проведём сравнение технических характеристик комплектующих материалов
в таблице 10.
Таблица 10 - сравнительные характеристики комплектующих
материалов
|
Наименование
характеристики (1)
|
Старая конфигурация
сервера NFS (2)
|
Старая
конфигурация сервера Kodeks (3)
|
Новая
конфигурация сервера NFS (4)
|
|
Материнская
плата
|
|
Модель
|
Asus
A7V133-C
|
INTEL
Entry Server Board S845WD1-E
|
GigaByte
GA-A75M-D2H
|
|
Сокет
|
462 (A)
|
478
|
FM1
|
|
Чипсет
|
VIA KT133A
|
Intel 845E +
ICH2
|
AMD A75
|
|
Частота FSB
|
266 МГц
|
533 МГц
|
5000 МГц
|
|
Тип ОП
|
DDR SDRAM
|
DDR
SDRAM
|
DDR3, Dual channel
|
|
Интерфейс
дисковых накопителей
|
ATA-100 (IDE)
|
ATA-100 (IDE)
|
SATA3
|
|
Поддержка RAID
|
нет
|
RAID 1, 0
|
RAID 1, 0, 10
|
|
Максимальное
количество ОП
|
1,5 Гб
|
2 Гб
|
64 Гб
|
|
Поддерживаемые
процессоры
|
Duron, Athlon
|
Intel Pentium
4, Celeron
|
AMD APU A и
E2-серия
|
|
Тип
конденсаторов
|
электролитические
|
электролитические
|
твёрдотельные
|
|
Процессор
|
|
Модель
|
AMD
Athlon 650
|
Intel Celeron
1.7 GHz
|
AMD A6-3650 APU
|
|
Разрядность
|
32
|
32
|
64
|
|
Техпроцесс
|
180 нм
|
180 нм
|
32 нм
|
|
Частота
|
650 МГц
|
1,7 ГГц
|
2,6 ГГц
|
|
Теплопакет
|
54 Вт
|
68,4 Вт
|
100 Вт
|
|
Количество ядер
|
1
|
1
|
4
|
L1 64 Кб, L2 512 Кб
|
L1 8 Кб, L2 128 Кб
|
L1 128 Кб, L2 4096 Кб
|
|
Оперативная
память
|
|
Модель
|
Transcend
TS64MLR72V8E
|
Kingston
VR400X72C3
|
Patriot
PSD34G1333k
|
|
Тип
|
DDR1
|
DDR1
|
DDR3
|
|
Частота
|
100 МГц
|
400 МГц
|
1333 МГц
|
|
Объём
|
512 Мб
|
2x512 Мб
|
2x2 Гб
|
|
Поддержка ECC
|
Нет
|
Есть
|
Нет
|
|
Дисковый
накопитель
|
|
Модель
|
Seagate
Barracuda ST3320620A
|
WD3200AAJB
|
WD Red WD20EFRX
|
OCZ Vertex4
VTX4-25SAT
|
|
Вид накопителя
|
HDD
|
HDD
|
HDD
|
SSD
|
|
Объём
|
250 Гб
|
320GB
|
2x2 Тб
|
128 Гб
|
|
Интерфейс
|
IDE
|
IDE
|
SATA3
|
SATA3
|
|
1
|
2
|
3
|
4
|
|
Пропускная
способность интерфейса
|
100 Мб/сек
|
100 Мб/сек
|
6 Гб/с
|
6 Гб/с
|
|
Скорость вращения
|
7200rpm
|
7200rpm
|
7200rpm
|
Нет
|
|
Размер кэша
|
16 Мб
|
8 Мб
|
64 Мб
|
Нет
|
|
Установившаяся
скорость передачи данных
|
72 Мб/сек
|
61 Мб/сек
|
145 Мб/сек
|
550 Мб/сек
|
|
Наработка на
отказ
|
700 тыс. час.
|
650 тыс. час.
|
1 млн. час.
|
2 млн. час.
|
Чтобы рассчитать экономическую выгоду от внедрения файлового
сервера, необходимо определить оценочные показатели. А именно простой сервера и
затраты на оплату труда сотрудников, не работавших по причине простоя сервера,
в базовом и предлагаемом варианте. Среднее время простоя работы серверов в
месяц составляет 30 минут (0,5 часа). Размер среднего оклада в компании составляет
15 000 рублей. Количество сотрудников центрального офиса компании - 132
человека. В расчёт берутся все сотрудники, так как их работа всё время зависит
от файлового хранилища. Соответственно, при простое серверов сотрудники
организации не могут выполнять работу, а расходы на выплату заработной платы за
это время входят в совокупную стоимость владения ЛВС. В таблице 11 представлен
расчёт убытка компании за время простоя серверов в месяц.
Таблица 11 - Расчёт убытка компании за время простоя серверов
|
Показатель
|
Условное
обозначение
|
Формула
|
Значение
|
|
Время простоя
серверов, час.
|
Tп
|
|
0,5
|
|
Средний оклад
за месяц, руб.
|
Ом
|
|
15 000
|
|
Средний оклад
за час, руб.
|
Оч
|
Ом /
(22 * 8)
|
85,23
|
|
Количество
работников, чел.
|
n
|
|
132
|
|
Убыток за время
простоя, руб.
|
Уп
|
Tп * Оч * n
|
5 625,00
|
Время простоя сервера в предлагаемом варианте - после
внедрения файлового сервера с новой технической и программной частью -
составляет 0 часов, соответственно убыток компании также равен нулю, и
снижается совокупная стоимость владения ЛВС.
Таким образом, можно сделать вывод об экономической
эффективности внедрения файлового сервера по следующим причинам:
- высокой производительность и стабильность
системы при новом техническом и программном обеспечении;
- устранение ежемесячного убытка компании (Уп)
в размере 5 625 рублей;
- стоимость внедрения нового файлового
сервера (С) составила 27386,04 рубля;
- период времени (Т), за который окупится
внедрение нового файлового сервера, составит около 5 месяцев (Т = С/ Уп).
Заключение
По результатам дипломного проекта была достигнута цель -
совершенствование системы информационной безопасности МКГ «Информпроект» путем
модернизации ЛВС центральном офисе. Была решена проблема угрозы целостности и
безопасности данных путём внедрения нового файлового сервера под управлением ОС
Debian GNU/Linux, предоставляющего сервис совместного доступа к файлам по
протоколу SMB с помощью пакета Samba версии 3.5.6 и протоколу сетевой файловой
системы NFS версии 4.
В полной мере были выполнены задачи дипломного проекта: обоснование
новой технической базы файлового сервера; обоснование выбора программного
обеспечения; разработка структуры файлового хранилища; разработка политики
информационной безопасности; программная настройка файлового сервера; настройка
плана антивирусного сканирования и резервного копирования; тестирование
файлового сервера; обоснование экономической эффективности модернизации сети
посредством внедрения файлового сервера.
По результатам выполнения был внедрён файловый сервер при
техническом и ПО, обеспечивающем производительность и стабильность работы
системы. Был устранён ежемесячный убыток компании в размере 5 625 рублей.
Стоимость внедрения нового файлового сервера составила 27 386,04 рубля, срок
окупаемости затрат составляет около 5 месяцев. Была доказана целесообразность
внедрения нового файлового сервера.
В июле 2013 года сервер прошёл тестирование и апробацию, с
августа 2013 года - 5 месяцев - прошёл внедрение и работает в штатном режиме.
За время эксплуатации не возникало серьёзных проблем, вызывающих простой
сервера и внеплановую перезагрузку. В приложении А представлена справка о
внедрении файлового сервера в МГК «Информроект».
Список литературы
1. Игнатьев В.А. Информационная безопасность. -
М.: Тонкие наукоёмкие технологии, 2005. -119, 125 с.
2. Информационная безопасность и защита
информации: учеб. пособие для студ. высш. учеб. заведений / В.П. Мельников,
С.А. Клейменов, А.М. Петраков. - 3-е изд., стер. - М.: Издательский центр
«Академия», 2008. - 256-268 с.
. Руководство администратора Linux / Э. Немет, Г. Снайдер,
Т.Р. Хейн. - 2-е издание. - М.: ООО «И.Д. Вильямс», 2008. - 906-908, 543-560 с.
. Костомин В.А. Linux для пользователя //
Linux по-русски: книги, статьи, ссылки по ОС GNU/Linux. 2013. URL:
http://rus-linux.net/book1.php? name=book1/gl-01/gl_01_01.html (дата обращения: 17.10.2013).
5. Операционная система GNU // Проект GNU -
Фонд свободного программного обеспечения. 2013. URL:
http://www.gnu.org/gnu/gnu.html (дата обращения: 18.10.2013).
. О Debian // Debian. 2013. URL:
http://www.debian.org/intro/about (дата обращения: 18.10.2013).
. Debian - история, особенности, релизы //
Debian Linux, Lenny, Squeeze, Wheezy. 2013. URL:
http://www.debian-blog.ru/news/debian-istoriya-osobennosti-relizy.html (дата
посещения: 18.10.2013).
8. Advanced Packaging Tool // Википедия. 2013. URL:
http://ru.wikipedia.org/wiki/Advanced_Packaging_Tool (дата обращения: 18.10.2013).
9. Особенности ext4 // Хабрахабр. 2013. URL:
http://habrahabr.ru/post/58183/ (дата обращения: 22.10.2013).
. Основы построения операционных систем
промышленного назначения. Особенности файловых систем в Linux // IBM
developerWorks Россия.2013.URL:
http://www.ibm.com/developerworks/ru/edu/os_architecture_course3/section12.html
(дата обращения: 25.10.2013).
. Защита серверов Samba. Режимы
безопасности Samba // Русскоязычная документация по Ubuntu. 2012. URL:
http://help.ubuntu.ru/wiki/руководство_по_ubuntu_server/сеть_windows/securing_samba_servers
(дата обращения: 03.11.2013).
. Уваров А.С. Насколько эффективен ClamAV
// Записки IT-специалиста. 12.12.2012. URL:
http://interface31.ru/tech_it/2012/12/naskolko-effektiven-clamav.html (дата
обращения: 07.11.2013).
. Уваров А.С. Ubuntu Server. Антивирусная защита для файлового сервера (Samba
+ ClamAV) // Записки IT-специалиста. 19.09.2010. URL: http://interface31.ru/tech_it/2010/09/ubuntu-server-antivirusnaya-zashhita-dlya-fajlovogo-servera-samba-clamav.html (дата обращения:
07.11.2013).
. Уваров А.С. Файловый сервер. Какую ОС и
файловую систему выбрать? // Записки IT-специалиста. 19.09.2010. URL: http://interface31.ru/tech_it/2010/08/fajlovyj-server-kakuyu-os-i-fajlovuyu-sistemu-vybrat.html (дата обращения:
25.10.2013).
. Всё о самба. 2013. URL: http://smb-conf.ru (дата обращения:
05.11.2013).
. Переводы официальной документации по
Samba, OpenLDAP, Smbldap-tools на русском. 2013. URL: http://samba-doc.ru
(дата обращения: 05.11.2013).
17. About ClamAV // ClamAV. 2013. URL:
http://www.clamav.net/lang/ru/about/ (дата обращения: 07.11.2013).
. IOPS - что это такое, и как его считать
// Хабрахабр. 29.12.2012. URL: http://habrahabr.ru/post/164325/ (дата
обращения: 15.11.2013).
. Лебедев. А. О % util и iostat, а так же
не много примеров из жизни. 22.11.2012. URL:
http://beastea.blogspot.ru/2012/11/util-iostat.html (дата обращения: 15.11.2013).
. Тестирование с помощью программы IOmeter
// Хабрахабр. 18.12.2009. URL: http://habrahabr.ru/post/78632/ (дата обращения:
15.11.2013).
21. JefferiesС. Western Digital Caviar
Blue 1TB Review (WD10EALX) // StorageReview.com - Storage Reviews. 14.04.2011. URL:
http://www.storagereview.com/western_digital_caviar_blue_1tb_review_wd10ealx
(дата обращения: 15.11.2013).
. ГОСТ 7.1-2003. Библиографическая запись.
Библиографическое описание - Введ. 2004-07-01. - М.: ИПК Изд-во стандартов,
2004. - 89, 92 с.
. ГОСТ 2.105-95 ЕСКД. Общие требования к
текстовым документам - Введ. 1996-07-01. - М.: Стандартинформ, 2011. - 6, 16 с.
. ГОСТ 7.0.5-2008 СИБИД. Библиографическая
ссылка. - Введ. 2009-01-01. - М.: Стандартинформ, 2008. - 23-25 с.
. Методические указания по выполнению
дипломных работ студентами дневного отделения специальности 080801 «Прикладная
информатика в экономике» / Сост. Горская Н.Н. - НКИ, Н. Новгород, 2013.