Разработка защищенной информационно-вычислительной сети организации (учреждения, предприятия)
Нормативные
ссылки
локальный вычислительный сеть
В настоящем курсовом проекте использованы ссылки на следующие стандарты:
ГОСТ 2.103-68 Единая система конструкторской документации. Стадии
разработки
ГОСТ 2.105-95 Единая система конструкторской документации. Общие
требования к текстовым документам. Общие требования к текстовым документам
ГОСТ 2.605-68 Единая система конструкторской документации. Плакаты
учебно-технические. Общие технические требования
ГОСТ 2.316-2008 ЕСКД. Правила нанесения на чертежах надписей, технических
требований и таблиц
ГОСТ Р 15.011-96 Система разработки и постановки продукции на
производство. Патентные исследования. Содержание и порядок проведения
ГОСТ 7.9-95 Система стандартов по информации, библиотечному и
издательскому делу. Реферат и аннотация. Общие требования ГОСТ 7.80-2000
Система стандартов по информации, библиотечному и издательскому делу.
Библиографическая запись. Заголовок. Общие требования и правила составления
ГОСТ 7.32-2001 Система стандартов по информации, библиотечному и
издательскому делу. Отчет о научно-исследовательской работе. Структура и
правила оформления
ГОСТ 7.82-2001 Система стандартов по информации, библиотечному и
издательскому делу. Библиографическая запись. Библиографическое описание
электронных ресурсов. Общие требования и правила составления
ГОСТ Р 7.0.5-2008 Система стандартов по информации, библиотечному и
издательскому делу. Библиографическая ссылка. Общие требования и правила
составления
ГОСТ 7.90-2007 Система стандартов по информации, библиотечному и издательскому
делу. Универсальная десятичная классификация. Структура, правила ведения и
индексирования
ГОСТ 19.101-77 Единая система программной документации. Виды программ и
программных документов
ГОСТ 19.102-77 Единая система программной документации. Стадии разработки
ГОСТ 19.104-78 Единая система программной документации. Основные надписи
ГОСТ 19.105-78 Единая система программной документации. Общие требования
к программным документам
ГОСТ 19.202-78 Единая система программной документации. Спецификация.
Требования к содержанию и оформлению
ГОСТ 19.401-78 Единая система программной документации. Текст программы.
Требования к содержанию и оформлению
ГОСТ 19.402-78 Единая система программной документации. Описание
программы
ГОСТ 19.404-79 Единая система программной документации. Пояснительная
записка. Требования к содержанию и оформлению
ГОСТ 19.502-78 Единая система программной документации. Описание
применения. Требования к содержанию и оформлению
ГОСТ 19.701-90 Единая система программной документации. Схемы алгоритмов,
программ, данных и систем. Условные обозначения и правила выполнения
ГОСТ 24.301-80 Система технической документации на АСУ. Общие требования
к выполнению текстовых документов
ГОСТ 24.302-80 Система технической документации на АСУ. Общие требования
к выполнению схем
ГОСТ 24.303-80 Система технической документации на АСУ. Обозначения
условные графические технических средств
ГОСТ 24.304-82 Система технологической документации на АСУ. Требования к
выполнению чертежей
ГОСТ 19781-90 Обеспечение систем обработки информации программное.
Термины и определения
ГОСТ Р 50739-95 Средства вычислительной техники. Защита от
несанкционированного доступа к информации. Общие технические требования
ГОСТ Р 51168-98. Качество служебной информации. Условные обозначения
элементов технологических процессов переработки данных
ГОСТ Р 51169-98 Качество служебной информации. Система сертификации
информационных технологий в области качества служебной информации. Термины и
определения
ГОСТ Р 51170-98. Качество служебной информации. Термины и определения
ГОСТ Р 51171-98. Качество служебной информации. Правила предъявления
информационных технологий на сертификацию
ГОСТ Р 51188-98 Защита информации. Испытания программных средств на
наличие компьютерных вирусов. Типовое руководство
ГОСТ Р 50922-2006 Защита информации. Основные термины и определения
ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы,
воздействующие на информацию. Общие положения
ГОСТ 28147-89 Системы обработки информации. Защита криптографическая.
Алгоритм криптографического преобразования
ГОСТ 34.201-89 Информационная технология. Комплекс стандартов на
автоматизированные системы. Виды, комплектность и обозначение документов при
создании автоматизированных систем
ГОСТ 34.601-90 Информационная технология. Комплекс стандартов на
автоматизированные системы. Автоматизированные системы. Стадии создания
ГОСТ Р 34.11-94 Информационная технология. Криптографическая защита
информации. Функция хэширования
ГОСТ Р 34.10-2001 Информационная технология. Криптографическая защита
информации. Процессы формирования и проверки электронной цифровой подписи
ГОСТ Р 50775-95 Системы тревожной сигнализации. Часть 1. Общие
требования. Раздел 1. Общие положения
ГОСТ Р 51241-98 Средства и системы контроля и управления доступом.
Классификация. Общие технические требования. Методы испытаний
ГОСТ Р 51558-2000 Системы охранные телевизионные. Общие технические
требования и методы испытаний
Термины и определения
Информация
Данные вне зависимости от формы представления
Защита информации
Деятельность, направленная на предотвращение утечки защищаемой
информации, несанкционированных и непреднамеренных воздействий на защищаемую
информацию
Система защиты информации
Совокупность органов и (или) исполнителей, используемой ими техники защиты
информации, а также объектов защиты информации, организованная и
функционирующая по правилам и нормам, установленным соответствующими
документами в области защиты информации.
Политика безопасности (информации в организации)
Совокупность документированных правил, процедур, практических приемов или
руководящих принципов в области безопасности информации, которыми
руководствуется организация в своей деятельности.
Уязвимость (информационной системы)
Свойство информационной системы, обусловливающее возможность реализации
угроз безопасности обрабатываемой в ней информации.
Мониторинг безопасности информации
Постоянное наблюдение за процессом обеспечения безопасности информации в
информационной системе с целью установить его соответствие требованиям
безопасности информации
Требование по защите информации
Установленное правило или норма, которая должна быть выполнена при
организации и осуществлении защиты информации, или допустимое значение
показателя эффективности защиты информации.
Несанкционированное воздействие на информацию Воздействие на защищаемую информацию
с нарушением установленных прав и (или) правил доступа, приводящее к утечке,
искажению, подделке, уничтожению, блокированию доступа к информации, а также к
утрате, уничтожению или сбою функционирования носителя информации
Введение
Целью данного курсового проекта является построение локальной
вычислительной сети. ЛВС - компьютерная сеть, покрывающая обычно относительно
небольшую территорию или небольшую группу зданий (дом, офис, фирму, институт).
Также существуют локальные сети, узлы которых разнесены географически на
расстояния более 12 500 км (космические станции и орбитальные центры). Несмотря
на такие расстояния, подобные сети всё равно относят к локальным.
Компьютеры могут соединяться между собой, используя различные среды
доступа: медные проводники (витая пара), оптические проводники (оптоволоконные
кабели) и через радиоканал (беспроводные технологии). Проводные связи
устанавливаются через Ethernet, беспроводные - через Wi-Fi, Bluetooth, GPRS и
прочие средства. Отдельная локальная вычислительная сеть может иметь шлюзы с
другими локальными сетями, а также быть частью глобальной вычислительной сети
(например, Интернет) или иметь подключение к ней.
Чаще всего локальные сети построены на технологиях Ethernet или Wi-Fi.
Для построения простой локальной сети используются маршрутизаторы, коммутаторы,
точки беспроводного доступа, беспроводные маршрутизаторы, модемы и сетевые
адаптеры. Реже используются преобразователи (конвертеры) среды, усилители
сигнала (повторители разного рода) и специальные антенны.
Многие современные организации уже используют в своей работе большое
количество компьютеров. Всё будет отлично работать, но в какой-то момент
возникнет желание соединить их, ведь работники очень часто работают с одной
информацией, и тогда им на помощь приходит сетевое программное обеспечение,
которое позволит использовать всю эту информацию вместе, через сеть.
Если посмотреть на эту проблему с общих позиций то вопросом здесь
является совместное использование ресурсов, а целью - предоставление доступа к
программам, оборудованию и, в особенности, к данным любому пользователи сети,
независимо от физического расположения ресурса и пользователя.
В наше время начала сильно развиваться мода на организацию IP-телефонии внутри
данной организации, которая позволяет с помощью специального телефона и такой
же компьютерной сети без проблем общаться между сотрудниками фирмы. Ведь это
поможет сэкономить немалые средства на покупку и использование стационарных
телефонов, и затраты времени на путешествия из одного офиса в другой.
Так же сейчас многие фирмы предпочитают вместо обычных встреч
видеоконференции. Используя эту технологию, можно устраивать встречи, причем
собеседники, возможно находящиеся за тысячи километров друг от друга, будут не
только слышать, но и видеть друг друга. Что тоже позволяет сэкономить деньги и
время, которые пришлось бы потратить на поездку.
И, конечно же, выход в интернет, работу какой-либо более или менее
крупной фирмы можно представить без него.
И вот именно для всего этого необходимо создавать компьютерные сети.
Рациональнее всего использовать структурированные кабельные системы. Почему же
СКС, почему не организовать простую локальную сеть, потому что именно СКС
отличают такие качества, как универсальность (единая среда для передачи
информации, совместимость с оборудованием разных производителей и
приложениями), гибкость (модульность и расширяемость, удобство коммутаций и
внесения изменений), надежность (гарантия качества и совместимости компонентов)
и долговечность.
Значительная часть годового бюджета в информационных отделениях крупных
компаний расходуется на перемещение рабочих мест, изменение структуры сети, ее
расширение и т. д. Деление СКС на подсистемы (структурированность),
стандартизированность и документирование упрощают управление ею.
Универсальность, гибкость и избыточность СКС означают, что в дальнейшем
заказчик сможет экономить на эксплуатационных расходах, менять расположение,
число и конфигурацию рабочих мест. Реализация СКС, по некоторым данным, до
восьми раз сокращает стоимость владения системой и по истечении трех лет
полностью окупает себя.
Благодаря своей универсальности и гибкости, СКС позволяет упростить
процедуру перемещения рабочих мест и их наращивания. В любой момент времени СКС
обеспечивает быстрый доступ ко всем своим кабелям. Одним словом, СКС,
соответствующая международным стандартам, поможет сохранить вложенные деньги,
обеспечить гибкость компьютерной и телефонной сети и гарантирует ее
использование в течение нескольких лет без существенной переделки и
дополнительных затрат.
Применение технологии Active Directory
используя контроллеры домена позволяет повысить как информационную безопасность
создаваемой сети путем введения разграничения доступа, так же дает возможность
более гибкого развертывания и настройки различных политик.
Использование AD предоставляет:
Разделение ресурсов
Разделение ресурсов позволяет экономно использовать ресурсы, например,
управлять периферийными устройствами, такими как лазерные печатающие устройства,
со всех присоединенных рабочих станций.
Разделение данных.
Разделение данных предоставляет возможность доступа и управления базами
данных с периферийных рабочих мест, нуждающихся в информации.
Разделение программных средств
Разделение программных средств предоставляет возможность одновременного
использования централизованных, ранее установленных программных средств.
Разделение ресурсов процессора.
При разделении ресурсов процессора возможно использование вычислительных
мощностей для обработки данных другими системами, входящими в сеть,
Предоставляемая возможность заключается в том, что на имеющиеся ресурсы не
"набрасываются" моментально, а только лишь через специальный
процессор, доступный каждой рабочей станции.
Многопользовательский режим
Многопользовательские свойства системы содействуют одновременному
использованию централизованных прикладных программных средств, ранее
установленных и управляемых, например, если пользователь системы работает с
другим заданием, то текущая выполняемая работа отодвигается на задний план.
Все ЛВС работают в одном стандарте, принятом для компьютерных сетей - в
стандарте OSI - Open System Interconnection.
Часть 1.
Разработка защищенной информационно-вычислительной сети организации
(учреждения, предприятия)
Задание. Определить назначение, представить перечень функций ИВС и основные
требования к комплексу технических и программных средств ЛВС разработать сеть
для информационной системы в заданной предметной области.
Исходные данные для работы сведены в таблицу 1.
Таблица 1 - Исходные данные для проектирования ЛВС организации
|
Предметная область
|
Кол-во рабочих групп (отдельных комнат)
|
Расстояние между соседними группами, м
|
Число рабочих станций в группе - min/Max
|
Размеры зданий, м (длина, ширина)
|
Кол-во этажей распол. групп в здании
|
Количество зданий в организации/расстояние между ними, м
|
|
Информационная система для автоматизации организационно-
распорядительного документооборота производственного предприятия.
|
8
|
50-120
|
10/15
|
700* 200
|
5
|
5/1000
|
1.1 Выбор
оборудования и программного обеспечения
Эксплуатация в составе информационной системы накладывает ряд
дополнительных требований на применяемое оборудование и программное
обеспечение.
1.1.1 Выбор
операционной системы
Было принято решение о выборе ОС для сервера и для АРМ, соответственно
Microsoft Windows Server 2008 R2 и ОС Microsoft Windows 7. Professional.
Операционная система Windows Server 2008 R2 расширяет базовые возможности
операционной системы Windows Server и предоставляет новые мощные средства,
помогая организациям всех размеров повышать управляемость, доступность и
гибкость в соответствии с изменяющимися требованиями бизнеса. Новые
веб-средства, технологии виртуализации, средства управления и расширенные
возможности масштабирования экономят время, снижают затраты и предоставляют
надежную платформу для создания ИТ-инфраструктуры организации.Server 2008 R2
содержит новые и усовершенствованные средства и возможности в следующих пяти
категориях.
В сервер Windows Server 2008 R2 включены множество усовершенствований,
превращающих его в самую надежную платформу веб-приложений на основе Windows
Server среди всех версий Windows. Он содержит обновленную роль веб-сервера и
службы IIS 7.5 и обеспечивает расширенную поддержку .NET в режиме Server Core.
Виртуализация играет важнейшую роль в работе современных центров
обработки данных. Обеспечиваемое виртуализацией повышение эффективности работы
позволяет организациям значительно снизить трудоемкость эксплуатации и
энергопотребление. Windows Server 2008 R2 поддерживает следующие типы виртуализации:
виртуализацию клиентских и серверных систем с помощью Hyper-V и виртуализацию
представлений с помощью служб удаленных рабочих столов.Server 2008 R2
поддерживает недостижимые ранее объемы рабочих нагрузок, динамическую
масштабируемость, доступность и надежность на всех уровнях, а также ряд других
новых и обновленных возможностей, включая использование современных архитектур
процессоров, повышение уровня компонентного представления операционной системы
и повышение производительности и масштабируемости приложений и служб.
Постоянное управление серверами в центрах обработки данных - одна из тех
задач, которые отнимают у ИТ-специалистов наибольшее время. Применяемая в
организации стратегия управления должна поддерживать управление физическими и
виртуальными средами. Чтобы помочь в решении этой задачи, в состав Windows
Server 2008 R2 включены новые средства, уменьшающие трудоемкость управления
серверами Windows Server 2008 R2 и выполнения повседневных задач по
администрированию серверов.
Операционная система Windows Server 2008 R2 поддерживает ряд функций,
рассчитанных на работу с клиентскими компьютерами под управлением Windows 7.
Более подробно с основными возможностями ОС Windows Server 2008 R2 можно
ознакомиться на сайте компании Microsoft.7 была выпущена в свободную продажу
осенью 2009 года и за прошедшее время успела стать самой популярной из всех
операционных систем компании Microsoft. Попробуем разобраться, какие
нововведения и улучшения по сравнению с предшественниками принесли Windows 7
такую популярность и любовь многочисленных пользователей по всему миру.
Большим подарком для любителей новейших технологий стало появление
поддержки мультитач-управления. Эта технология позволяет управлять ноутбуком с
сенсорным экраном движениями нескольких пальцев одновременно. Кроме того, она
распознает различные жесты пользователя, что делает управление простым и
интуитивно понятным. Windows 7 тесно интегрирована с производителями драйверов
для различных устройств. Благодаря этому пользователи избавлены от необходимости
самостоятельно определять, искать и устанавливать необходимые драйвера, в
большинстве случаев система сделает это автоматически.
Любителей старых приложений порадует режим совместимости с более ранними
операционными системами, например, Windows XP. Это значит, что пользователи
смогут без труда запускать игры, которые были разработаны для предыдущих версий
Windows.
В состав операционной системы Windows 7 включен пакет установки DirectX
11, которая поддерживает ряд новых технологий в обработке графики. Теперь у
пользователей есть возможность сполна насладиться великолепной картинкой на
экране компьютера, которая создается благодаря улучшению режима тесселяции и
поддержке новых вычислительных шейдеров, а также расширенной возможности
рендеринга изображений в несколько потоков.
Наконец-то реализована качественная работа встроенного в операционную
систему медиапроигрывателя Windows Media Player, который в этот раз получил
порядковый номер 12. Предыдущие версии программы воспроизводили лишь
ограниченное количество видеоформатов, для улучшения работы требовалась
установка большого количества кодеков. Такой подход не нравился пользователям,
из-за чего они все чаще выбирали софт от сторонних производителей. В последней
версии проигрывателя список поддерживаемых видеоформатов значительно расширен.7
получила измененную, более удобную и функциональную панель задач. Теперь на
панели отображаются только иконки без подписей, что позволяет одновременно
уместить на ней гораздо больше приложений. Кроме того, на панели появилась
кнопка «Свернуть все окна».
Появилась возможность управлять зарезервированным дисковым пространством,
отведенным для восстановления системы. Также пользователь может сам определять,
что именно следует восстанавливать - настройки системы, измененные файлы или
все вместе.
Гаджеты рабочего стола в Windows 7 больше не привязаны к панели в левой
части экрана. Пользователь может самостоятельно перемещать их в любое удобное
ему место.
В Windows 7 увеличен перечень шрифтов, включенных по умолчанию. Кроме того,
шрифты были переработаны для корректного отображения различных символов.
Значительно расширен список нелатинских шрифтов, доступных для пользователя.
Интерфейс Aero, известный пользователям по предыдущей версии операционной
системы Windows Vista, стал поддерживать несколько вариантов оформления. Кроме
того, в него добавлены новые функции, которые позволяют легко управлять
расположением и размером окон на рабочем столе.
1.1.2
Требования к оборудованию информационной системы
Напольный шкаф
Напольный шкаф серии ШТК-М предназначен для размещения активного и
пассивного телекоммуникационного оборудования в офисных и закрытых промышленных
помещениях.
Шкаф имеет разборную каркасную конструкцию. Состоит из основания, крыши и
двух сварных рам, соединенных комплектом швеллеров (сталь 2мм.). Легок в
сборке. За счет элементов крепления каркас шкафа имеет повышенную жесткость.
Комплектуется усиленными боковыми стенками и металлической дверью. Стенки
надежно фиксируются пластиковыми защелками и точечными замками. Дверь
фиксируется усиленным точечным замком. Дверь имеет как правую, так и левую
навеску.
В шкафу предусмотрены места для установки вентиляторных модулей серии
МВ-400-2. Для установки модуля демонтируется заглушка, и модуль надежно
фиксируется винтами. В основание или крышу ШТК-М возможна установка двух
вентиляторных модулей. Крыша имеет дополнительную перфорацию и кабельный ввод -
290х50 мм, основание три кабельных ввода - 250х62 мм. В основание шкафа
предусмотрена установка винтовых опор (ножек) позволяющих компенсировать
неровности пола. Возможна установка поворотных роликов различной нагрузочной
способности (в комплект поставки не входят). ШТК-М высотой 18-27U упакованы в
два транспортных места.
Характеристики:
- Вид монтажа: напольный;
- Конструктив: 19";
- Стандарт установки: 18U;
- Размеры (В x Ш x Г): 960 x 600 x 620 мм;
- Вес, кг: 56;
- Сайт производителя: #"804318.files/image001.gif">
Рисунок 8 - Схема трехуровневой структуры сети
Часто в схеме сети выделяют серверную ферму. Принципиально серверная
ферма представляет собой обычный узел распределения, но реализованный на
быстродействующем оборудовании и, как правило, со 100%-ным резервированным
решением. В малых организациях часто практикуется подключение серверов
непосредственно к ядру сети передачи данных.
Трехуровневая схема больше свойственна крупным сетям. Для средних и
небольших предприятий чаще всего создается двухуровневая схема: существует
один, обычно самый мощный коммутатор, к которому подключаются как серверы, так
и рабочие станции. К этому коммутатору подключены коммутаторы второго уровня,
распределяющие данные на остальные рабочие станции.
На практике структуру сети администраторам обычно приходится
"примерять" на уже существующие линии связи, ограничиваться
возможностями по созданию новых соединений (учитывая, по какой трассе можно
проложить линию связи собственными силами) и т. д. Поэтому одной из основных
рекомендаций при изменении топологии сети должна быть минимизация количества
коммутаторов между любыми двумя точками подключения компьютеров.
Топология была выбрана «звезда».
1.2.1
Планирование сети
Собранные сведения сведены в таблицу 3.
Таблица 3 - Конфигурация ЛВС
|
№ п/п
|
Компонент/ Характеристика
|
Реализация
|
|
1
|
Топология
|
Звезда
|
|
2
|
Кабель
|
Неэкранированная витая пара категории 5 (5е). Расстояние до
100 метров Волоконно-оптическая сеть Одномодовый кабель. Расстояние свыше 200
м
|
|
3
|
Сетевые адаптеры
|
Gigabit Ethernet 1000 BaseTX
Ethernet 10G
|
|
4
|
Коммутаторы и маршрутизаторы
|
1000 BaseTX (Gigabit Ethernet) SFP модуль
|
|
5
|
Совместное использование ресурсов
|
Сеть на основе сервера с рабочими станциями - клиентами,
способными выделять свои ресурсы в совместное использование. Ресурсы,
требующие централизованного управления, находятся на сервере, а остальные -
на рабочих станциях.
|
|
6
|
Совместное использование принтера
|
Часто сетевой принтер подключают к сетевому кабелю через
сетевую плату, устанавливаемую непосредственно в принтере. Управление
доступом к нему осуществляется с помощью программного обеспечения, которое
позволяет серверу контролировать очередь к принтеру. Другой вариант
подключения - к одной из рабочих станций, которая открывает доступ к нему,
указывая его как общий ресурс сети.
|
|
7
|
Другие специализированные службы/серверы
|
Поддержка электронной почты, факсимильных сообщений,
удаленный доступ к сети, совместное использование (пула) модемов, работа с
базами данных и т.д. Многие из таких специализированных серверов могут
устанавливаться на центральном выделенном сервере как дополнительное
программное обеспечение, а при большом объеме работ эффективнее использовать
выделенный сервер для каждой задачи.
|
1.2.2
Разработка структурной схемы ВС предприятия
Структура сети приведена на Рисунок 9. При построении кабельной системы
подразумевается, что каждое рабочее место на предприятии должно быть оснащено
телекоммуникационными розетками (ТО) для подключения компьютера, даже если в
данный момент этого не требуется.
Рисунок 9 - Структура универсальной кабельной системы
Горизонтальная кабельная система.
Для нее характерно расширение и удобство использования.
Типовой план этажа приведен на Рисунок 10.
Рисунок 10 - Типовой план этажа
Вертикальная кабельная система, ее схема соединения приведена на Рисунке
11.
Рисунок 11 - Схема межэтажного соединения
Данные о длине кабеля и его характеристиках приведены в таблице 4.
Таблица 4 - Характеристики кабеля
|
Стандарт Ethernet
|
Пропускная способность
|
Тип кабеля
|
Максимальное расстояние для передачи
|
|
100-BaseTX
|
200 Mbps
|
Cat5 UTP
|
100 м
|
|
1000-BaseT
|
1 Gbps
|
Cat5e UTP
|
100 м
|
|
1000-BaseTX
|
1 Gbps
|
Одномодовое оптоволокно
|
200 км
|
На каждом этаже есть коммутатор уровня доступа, их всего 5, затем эти
коммутаторы соединяются в коммутатор уровня распределения несколькими линиями
связи, а этот коммутатор соединяется с главным маршрутизатором корпуса.
1.3 Выделение
и определение размеров подсетей
IP адреса характеризуют сетевые соединения, а не компьютеры. IP адреса
назначены на сетевые интерфейсы на компьютерах. На настоящий момент большинство
компьютеров в IP-сети обладают единственным сетевым интерфейсом (и имеют, как
следствие, единственный IP адрес). Но компьютеры (и другие устройства) могут
иметь несколько (если не много) сетевых интерфейсов - и каждый интерфейс будет
иметь свой IP адрес. Понятие подсети введено, чтобы можно было выделить
часть IP-адресов одной организации, часть другой и т. д. Подсеть представляет
собой диапазон IP-адресов, которые считаются принадлежащими одной локальной
сети. При работе в локальной сети информация пересылается непосредственно
получателю. Если данные предназначены компьютеру с IP-адресом, не принадлежащим
локальной сети, то к ним применяются специальные правила для вычисления
маршрута пересылки из одной сети в другую. Поэтому при использовании протокола
TCP/IP важно знать, к какой сети принадлежит получатель информации: к локальной
или удаленной. Важно, что организация подсетей имеет локальную конфигурацию,
она невидима для остального мира. Сеть разбивают на подсети так, чтобы трафик
был сосредоточен внутри подсетей, разгружая, таким образом, всю сеть, без
необходимости увеличивать ее общую пропускную способность. Разделение на
подсети может быть продиктовано соображениями безопасности, т.к. трафик в общей
сети может быть перехвачен.
Так как предприятие имеет 8 рабочих групп, целесообразно разделить сеть
на подсети. 23=8, это значит, что 3 бита адресного пространства
необходимо выделить для организации подсетей, и в каждой подсети может быть
максимум 25-2 = 30 ПК, что так же удовлетворяет условиям
поставленной задачи. Поскольку компании выделен адрес класса С, имеющий префикс
/24, расширенный сетевой префикс будет /27. Предприятию выделена базовая сеть
197.1.1.0. Маска подсети 255.255.255.224. Составим таблицы адресации IP для
всех подсетей.
Таблица 5 - Разбиение на подсети
|
Отдел
|
IP адреса
|
|
Администрация
|
197.1.1.1/27 - 197.1.1.10/27
|
|
Отдел работы с потребителями
|
197.1.1.33/27 - 197.1.1.43/27
|
|
Отдел информационных технологий
|
197.1.1.65/27 - 197.1.1.77/27
|
|
Отдел инновационных технологий
|
197.1.1.97/27 - 197.1.1.111/27
|
|
Финансовый отдел
|
197.1.1.127/27 - 197.1.1.137/27
|
|
Юридический отдел
|
197.1.1.159/27 - 197.1.1.168/27
|
|
Производственный отдел
|
197.1.1.191/27 - 197.1.1.215/27
|
|
Склад
|
197.1.1.223/27 - 197.1.1.232/27
|
1.4
Планирование информационной безопасности
Защита информации включает в себя комплекс мероприятий, направленных на
обеспечение информационной безопасности. На практике под этим понимается
поддержание целостности, доступности и, если нужно, конфиденциальности
информации и ресурсов, используемых для ввода, хранения, обработки и передачи
данных [8].
Информационная безопасность - это защищенность информации и
поддерживающей инфраструктуры от случайных или преднамеренных воздействий
естественного или искусственного характера, чреватых нанесением ущерба
владельцам или пользователям информации и поддерживающей инфраструктуры [8].
Основной критерий для выбора уровня защиты - важность информации. Сетевые
серверы должны быть расположены в защищенном месте. На каждой рабочей станции
должен быть предусмотрен уникальный входной пароль с периодическим обновлением.
Для регистрации попыток обращения пользователей к ресурсам следует регулярно
проводить аудит сети. С целью предотвращения возможности несанкционированного
копирования данных следует использовать бездисковые рабочие станции. Наконец, с
этой же целью можно предусмотреть шифрование данных.
Для защиты от безвозвратного разрушения данных обычно предусматривают
резервное копирование по составленному плану, а также применение резервных
источников бесперебойного питания.
Анализ угроз приведен в таблице 6.
Таблица 6 - Анализ угроз ЛВС
|
Угроза
|
Последствия
|
|
Хищение носителей информации
|
Нарушение конфиденциальности, целостности, доступности
информации
|
|
Вандализм
|
Нарушение нормального функционирования оборудования
|
|
Отказы компонентов
|
Нарушение режима работы ИС
|
|
Природные явления
|
Уничтожение информации или оборудования
|
Права доступа для групп пользователей показаны в таблице 7.
Таблица 7 - Права доступа для групп пользователей
|
Название группы
|
Внутренние ресурсы
|
Уровни доступа к внутренним ресурсам
|
Доступ в Internet и электронная почта
|
|
Администраторы
|
Все сетевые ресурсы
|
Права администратора в каталогах, в том числе изменение
уровня и прав доступа
|
Все сетевые ресурсы
|
|
Отдел информационных технологий
|
Базы данных разрабатываемых документов
|
Создание, чтение файлов, запись в файл, создание подкаталогов
и файлов, удаление каталогов, поиск файлов, изменение каталогов
|
Все сетевые ресурсы
|
|
Отдел инновационных технологий
|
Вся информация предприятия (учреждения)
|
Ограничение доступа к папкам (по необходимости)
|
Ограничение по IP- адресу (адресата и источника),
ограничение по содержанию (входящей и исходящей корреспонденции)
|
|
Финансовый отдел
|
Вся информация предприятия (учреждения)
|
Ограничение доступа к папкам (по необходимости)
|
Ограничение по IP- адресу (адресата и источника),
ограничение по содержанию (входящей и исходящей корреспонденции),
аутентификация удаленного пользователя перед осуществлением доступа
|
|
Юридический отдел
|
Вся информация предприятия (учреждения)
|
Ограничение доступа к папкам (по необходимости)
|
Ограничение по IP- адресу (адресата и источника),
ограничение по содержанию (входящей и исходящей корреспонденции),
аутентификация удаленного пользователя перед осуществлением доступа
|
|
Производственный отдел
|
Информация о продукции, чертежи
|
Доступ только к специально отведенным областям
|
Ограничение по IP- адресу (адресата и источника).
Идентификация и аутентификация удаленного пользователя
|
|
Склад
|
Специальные каталоги и папки хранения
|
Просмотр объектов (чтение и поиск файлов), запись отдельных
папок
|
Ограничение по IP- адресу (адресата и источника).
Идентификация и аутентификация удаленного пользователя
|
Также было принято решение об установке на сервер дополнительного
средства защиты и фильтрации трафика, межсетевой экран, вендора Outpost Pro Firewall.
1.5
Проектирование аппаратного и программного обеспечения для использования
глобальных вычислительных сетей
Глобальные сети представляют собой специфические предприятия по
производству (предоставлению) информационного сервиса - электронная почта,
телеконференции, новости, биржевые сводки, доступ к сетевым архивам и базам
данных (Рисунок 12).
Рисунок 12 - Схема подключения к интернет
Важнейшими компьютерными сетями, которые действуют или в рамках или
образуют совместно с Internet мировое сетевое пространство, являются сети ARPANET, NSFNET,
BITNET, EARN, USENET,
EUnet, NASA Science Internet, FidoNet,Compu Serve, MCI, Mail, GLASNET
и др.
Чтобы подключиться к серверам Internet, компьютер должен иметь выход в
эту глобальную сеть через соответствующего поставщика услуг с использованием
арендованного выделенного канала.
Для подключения компьютера к Internet потребуется поддержка протокола
TCP/IP, сконфигурированного так, чтобы компьютер был узлом Internet. Другими
словами, компьютер должен иметь Internet-адрес, достижимый для предполагаемых
пользователей сервера. В таблице 10 приведены характеристики услуг глобальной
сети, которые следует учитывать при выборе способа подключения к Internet.
Таблица 8 - Характеристики услуг глобальной сети
|
Характеристики \ Типы ГВС
|
Ростелеком
|
|
Коммуникационные услуги
|
ЭП, телекс, факс, создание WWW-серверов
|
|
Информационные услуги
|
Доступ к Internet, доступ к службе новостей Clarinet,
конференции USENET и другие
|
|
Линии связи
|
Спутниковые, оптоволоконные, кабельные линии связи по frame
relay, X.25, IP, ISDN.
|
|
Территориальное размещение элементов
|
Около 30 городов России и СНГ
|
|
Сопряжение с другими ВС
|
Доступ к другим ВС, российским и международным,
осуществляется в московском узле через шлюзы
|
|
Тарифы (на 14.04.2014)
|
Подключение - 50 000 руб. Абонентская плата - 5 000 руб. в
месяц.
|
|
Технические характеристики
|
Скорость передачи данных: 100 Мбит/с
|
|
Электронные коммерческие услуги
|
Банковские сети S.W.I.F.T. Банкоматы, верификация кредитных
карточек
|
Часть 2.
Проектирование службы каталогов AD DS ОС Windows Server 2012 защищённой
информационно-вычислительной сети организации (учреждения, предприятия)
Во многих организациях инфраструктура службы каталогов Active Directory
Domain Services (AD DS) является в
среде IT самым важным компонентом. Active Directory представляет собой
иерархическую структуру, в которой хранится вся информация по всем сетевым
объектам, а также связанные настройки и правила. Основное назначение служб
каталогов - управление сетевой безопасностью. AD DS обеспечивать централизованные
службы проверки подлинности и авторизации, разрешает сквозной доступ ко многим
сетевым службам, предоставляет возможности управления любыми ресурсами и
сервисами из любой точки независимо от размеров сети. Следовательно,
проектирование инфраструктуры AD DS должно осуществляться строго в соответствии
с требованиями организации.
Проектирование инфраструктуры AD DS включает:
- Определение количества лесов в сети,
- Порядок разбивания на домены,
- Планирование доменного пространство имен,
- Создание структуры организационных единиц (OU) для каждого
домена,
- Проектирование физических компонент AD DS.
2.1
Определение требований службы каталогов
Учет бизнес-требований в дизайне AD DS
В проектировании AD DS для предприятия должно участвовать руководство компании.
Бизнес-пользователи являются основными потребителями служб инфраструктуры
Information Technology (IT), поэтому важно, чтобы проект соответствовал их
требованиям.
Степень вовлеченности руководства в проектирование зависит от профиля
компании. Практически в каждой организации участие руководства может означать
утверждение в проекте дизайна высокоуровневых целей, таких как доступность
информации, безопасность, удобство в управлении и практичность. Кроме того,
руководители компании принимают Решения о том, сколько нужно в сети лесов,
доменов и развертываемых доменных пространств имен, которые уже не так просто
изменить после развертывания.
2.1.1
Бизнес-требования
Для организации были определены следующие бизнес-требования:
- Более эффективная работа
- Соответствие внешним требованиям (ГОСТам и т.п.)
- Получение максимальной прибыли от предприятия
- Получение наибольшей защищенности информации при минимальных
вложениях
- Нацеленность на расширение и развитие
- Избежание нарушений бизнес-процесса
- Использование новых технологий и областей
2.1.2
Функциональные требования
Функциональные требования определяют ожидаемое поведение системы и
выводятся из бизнес-требований, определяют методы решения бизнес-задач с
помощью технологии. Функциональные требования используются для создания
функциональной спецификации с детальным описанием проекта. Таким образом, чтобы
найти оптимальное решение в соответствии с указаниями потребителей. Указанные в
спецификации детали упростят процедуры утверждения и проверки решения. С
помощью функциональной спецификации лучше всего определить количество ресурсов,
соответствующие навыки работы.
2.1.3
Соглашения об уровне сервиса SLA
- Доступность. Например, одним из требований SLA может быть
предоставление доступ к приложениям в течение 99,99% рабочего и 99,99 %
нерабочего времени для всех пользователей.
- Производительность. SLA регламентирует, что все пользователи
должны войти в AD DS в течение 15 с после ввода учетных данных.
- Восстановление. В SLA указывается, к примеру, что в случае
сбоя отдельного сервера службы, поддерживаемые этим сервером, должны быть
восстановлены хотя бы до 75% стандартных возможностей в течение 4 ч.
Соглашения SLA оказывают значительное влияние на область проекта и бюджет,
поэтому важно определить их на начальной стадии проекта. В соглашении решается,
как достичь приемлемого уровня производительности за приемлемую цену.
2.1.4
Официальные правовые нормы и требования
Перечислены в разделе «Нормативные ссылки»
2.1.5
Требования безопасности
Для всех развертываний IT также существуют требования безопасности,
которые играют особенно важную роль при развертывании AD DS, поскольку службы
AD DS могут использоваться для предоставления безопасного доступ к большей
части данных, служб и приложений в сети.
Задачи подсистемы безопасности организации:
- Мобильные пользователи, часто пребывающие в командировках,
должны подключаться к внутренней сети, чтобы получить доступ к электронной
почте, приложениям или данным.
- Пользователям вне организации может требоваться доступ к
веб-сайтам, локализованным по периметру сети, с проверкой подлинности
посредством внутренних пользовательских учетных данных AD DS.
- Офисы без системы физической безопасности, где злонамеренные
пользователи получают доступ к сети. Другие офисы могут не располагать
защищенным местом для хранения контроллеров доменов и других серверов.
- База данных с конфиденциальной пользовательской информацией,
которая должна быть доступна для веб-приложений, работающих в сети.
Основные требования или инструкции безопасности:
- Все серверы должны быть локализованы в защищенной серверной,
доступ в которую разрешен только авторизованным пользователям.
- Весь трафик проверки подлинности должен быть защищен при
передаче по сети.
- Все пользователи, получающие доступ к внутренней сети через
виртуальную частную сеть (VPN), должны применять двухкомпонентную проверку
подлинности.
Требования безопасности часто включают ограничения, в соответствии с
которыми должна проводиться разработка проекта.
2.1.6
Проектные ограничения
Проектные ограничения определяют параметры проекта. Например, если для
проекта выделен фиксированный бюджет, для планирования используется
оборудование в соответствии с возможностями, а не с потребностями.
- Бюджет проекта неограничен
- Дефицита кадров среди персонала нет
- Никаких ограничений по ресурсам нет
2.2
Документирование текущей среды
Здание кампуса имеет оптоволоконное подключение через маршрутизатор с
остальными кампусами, откуда через трехуровневую структуру коммутаторы получают
1000 Мбит/с канал, выдаваемый конечным пользователям, Интернет подключен только
в одном кампусе, остальные получают его через корпоративную сеть. Все кампусы
располагают системами контроля физического доступа.
- Число, географическое положение и скорость ссылок всех
сайтов, где используются элементы сетевой инфраструктуры. Имеется 5
зданий по 4 этажа, 8 рабочих комнат.
Топология сети представлена на Рисунке 13.
Рисунок 13 - Топология сети
Адресное пространство разбито на подсети в части 1, пункт 3.
Пропускная способность сети для конечного пользователя равна 1000 Мбит/с.
Задержка не более 16 мс.
Приложения, использующие сеть:
- Система электронного документооборота;
- Система обслуживания клиентов;
- Межсетевые экраны;
- Корпоративные системы общения.
Брандмауэры располагаются перед маршрутизатором (или после, если смотреть
снаружи сети) и фильтруют трафик по содержимому и по адресам отправителя или
получателя.
Никаких иных нетехнических ограничений нет.
2.2.1
Документирование инфраструктуры разрешения имен
В AD DS требуется инфраструктура DNS (Domain Name System), чтобы
контроллеры доменов локализовали друг друга, а клиентские компьютеры -
контроллеры доменов.
Служба DNS развертывается в организации на
сервере под управлением системного администратора.
Владелец домена осуществляет управление этим отдельным доменом. Его
задачи следующие:
- Создание политик безопасности на уровне домена. Политики
паролей, политики блокировки учетных записей и политики Kerberos.
- Проектирование конфигурации групповой политики на уровне
домена. Владелец домена проектирует объекты групповой политики (GPO) для всего
домена и делегирует право привязки GPO к OU на уровне OU.
- Создание высшего уровня структуры OU в домене. После создания
в домене высшего уровня структуры OU задачу создания подчиненных OU можно
возложить на администраторов уровня OU.
- Делегирование административных полномочий внутри домена
Владелец домена должен установить административные политики на уровне домена
(включая политики именования схем, дизайна групп и т.д.), а затем делегировать
полномочия администраторам уровня OU.
Управление административными группами уровня домена. Как уже было
сказано, администраторы в каждом домене должны располагать высокой степенью
доверия, поскольку их действия могут влиять на весь лес. Роль владельца домена
состоит в ограничении членства в административных группах уровня домена и
делегировании административных привилегий более низких уровней.
Схема именных пространств приведена на Рисунке 14.
Рисунок 14 - Схема именных пространств
Создаются группы пользователей в соответствии с таблицей 9.
2.2.3
Документирование дополнительных компонентов инфраструктуры
Дополнительно устанавливается антивирусное ПО - Антивирус Касперского.
2.2.4
Документирование административных моделей и процессов
В централизованной среде одна группа администраторов может выполнять эти
задачи для всех пользователей в организации. В децентрализованной среде эти
обязанности нередко возлагаются на группу в подразделении или другую группу
(например, отдел кадров или отдел корпоративной безопасности).
Сервера есть в каждом кампусе, по одному на корпус.
Среда является децентрализованной, что отражается в разделе, посвященном
созданию OU единиц.
2.3
Проектирование структуры леса
У организации есть ДМЗ и один лес AD DS.
Лес AD DS является независимой единицей. Внутри него легко совместно
использовать информацию и сотрудничать с другими пользователями в той же
единице. Но поскольку лес независим, действия одной персоны могут потенциально
повлиять на всех остальных пользователей в лесе. При проектировании наивысшего
уровня инфраструктуры AD DS нужно определить необходимо в развертывании одного
или множества лесов. Каждый лес является интегрированной единицей, поскольку
располагает характеристиками, описанными ниже. Структурная схема леса с
указанием доверительных отношения представлена на Рисунке 15.
Рисунок 15 - Схема леса
- Глобальный каталог. Лес содержит лишь один сервер,
позволяющий локализовать объекты в любом домене леса и войти в любой домен леса
независимо от домена, содержащего учетную запись пользователя.
- Раздел каталогов конфигурации. Все контроллеры доменов совместно
используют один раздел каталогов конфигурации. Эта информация конфигурации
применяется для оптимизации репликации данных в лесе, хранения данных
приложений каталогов и совместного использования информации в разделах
каталогов приложений.
- Доверительные отношения. Все домены в лесе подключены через
двусторонние доверительные связи. Эти связи изменить нельзя.
Хотя в AD DS предусмотрено совместное использование информации,
существует также множество ограничений, согласно которым различные организационные
единицы в компании должны кооперировать несколькими разными способами.
.4 Порядок
разбивания на домены
Домены используются для разделения леса на небольшие компоненты
изначально в целях администрирования или репликации. В дизайне AD DS очень
важны следующие характеристики доменов:
Границы репликации. Границы домена являются границами реплика раздела
каталогов домена и информации в папке SYSVOL на всех контроллерах доменов.
В то время как другие разделы каталогов (например, схема, конфигурация и
глобальный каталог) реплицируются во всем лесе, репликация раздела каталогов
домена выполняется только в пределах одного домена.
Границы доступа к ресурсам. Границы доменов также являются границами
доступа к ресурсам.
По умолчанию пользователи в одном домен не получат доступ к ресурсам в
еще одном домене, если не отконфигурировать доверительную связь и не
предоставить явным образом соответствуют разрешения.
Границы политики безопасности. Некоторые политики, безопасно используемые
на уровне домена, применяются ко всем учетном записям пользователей в этом
домене.
Это относится к политикам паролей, и политикам блокировки учетных записей
и политикам Kerberos, причем доменные границы не
являются границами безопасности.
Схема доменных пространств представлена на Рисунке 16.
Рисунок 16 - Схема доменных пространств
В организации имеется один домен: «chizic.ru»,
он является поддоменом глобального географического домена «.ru»
2.5
Создание структуры организационных единиц (OU) для каждого домена
Путем группирования всех пользователей в OU для этой организационной
единицы (OU) назначается групповая политика, автоматически конфигурирующая
рабочий стол пользователя. Объекты также группируются с целью назначения
администратора для этой группы объектов.
Организационные единицы OU отделов могут содержать еще несколько
OU.учетных записей. Эти OU содержат учетные записи пользователей и групп
отдела. В некоторых случаях единицы OU учетных записей разбиваются на OU,
содержащие группы, пользовательские учетные записи или удаленных
пользователей.рабочих станций. Эта единица OU содержит все рабочие станции
пользователей и может включать отдельные OU для рабочих станций Windows 2003,
Microsoft Windows XP Professional, а также для мобильных компьютеров.ресурсов.
Эта организационная единица OU содержит ресурсы, привязанные к отделу, которые
могут включать такие объекты, как локальные группы домена, серверы, принтеры и
общие папки.приложений или проектов. Если группа лиц и ресурсов работает с
отдельным проектом или приложением, для которого требуется уникальная система
управления, то для этих пользователей можно создать структуру OU, а затем
сгруппировать в этом OU пользователей, ресурсы и компьютеры для этого проекта.
Примечание. Теоретически структура OU может содержать сколь угодно
уровней, однако рекомендуется использовать не более десяти. Для того чтобы
удовлетворить потребности большинства компаний, вполне достаточно четырех-пяти
уровней.
Схема OU для организации приведена на Рисунке
17.
Рисунок 27 - Схема распределения OU организации
.6
Проектирование физических компонент AD DS. Создание проекта узлов (сайтов)
Понятие быстрого сетевого подключения в значительной степени зависит от
таких факторов, как количество пользователей в размещении, общее количество
объектов в домене и количество доменов в лесе. Кроме того, потребуется
определить общую пропускную способность, доступную для репликации. В
большинстве случаев сетевые подключения внутри узла должны предоставлять
пропускную способность не меньше 512 кбит/с (Kbps). В крупной компании для
сетевых подключений внутри узла пропускная способность обычно не должна быть
менее 10 Мбит/с (Mbps). Если узлы создаются для того, чтобы пользователи
входили в AD DS, то каждый узел должен содержать контроллер домена, а
большинство узлов - сервер глобального каталога. Следовательно, при создании
узла для офиса компании с небольшим количеством пользователей и медленным
сетевым подключением к другим офисам компании возникает вопрос: следует ли
устанавливать контроллер домена в этом офисе? Для того чтобы ответить на этот,
вопрос, нужно определить, кто создает больший объем трафика: клиенты, входящие
на контроллер домена в другом офисе компании, или репликация между
контроллерами домена. Кроме того, понадобится учесть и другие факторы. Если не
добавлять контроллер домена в это размещение компании, нужно учесть вероятность
отказов сетевого подключения, в результате чего пользователи не смогут входить
в домен. Сервер также может быть добавлен в размещение компании по другим
причинам. Например, сервер Windows Server, который в любом случае
развертывается в этом размещении, добавляется, если он выполняет роль
контроллера домена для этого узла.
Схема узлов в сети представлена на Рисунке 18.
Рисунок 18 - Схема размещения WEB-сайтов
Для каждого сайта был в ДМЗ организован свой сервер, под управлением ОС FreeBSD. Так как узлы развертываются в ДМЗ
за межсетевым экраном, идентифицировать их подсети не требуется - узлы
физически отрезаны от внутренней корпоративной сети.
Следующий этап - создание топологии репликации для узлов. С этой целью
между размещениями компании назначаются узловые ссылки, для каждой из которых
нужно планировать расписание и интервал репликации, а также стоимость узловой
ссылки. В случае назначения мостовых серверов репликации для каждого, узла
следует идентифицировать все разделы AD DS, которые будут локализованы в узле,
и выделить сервер-плацдарм для каждого раздела.
Вычисление стоимости каждой узловой ссылки представляет собой довольно,
особенно при наличии множества возможных маршрутов между размещениями компании,
когда сетевой ссылке требуется назначить стоимость с целью использования
оптимального маршрута для репликации AD DS.
Один из способов определить стоимость, которую следует назначить для
каждой узловой ссылки, связывающую пропускную способность сети со стоимостью
узловой ссылки (таблица 8).
Таблица 8 - Связывание пропускной способности сети со стоимостью узловых
ссылок
|
Доступная пропускная способность
|
Стоимость узловой ссылки
|
|
Больше или равна 100 Мбит/с Больше или равна 10 Мбит/с От
10 Мбит/с до 1,544 Мбит/с От 1,544 Мбит/с до 512 кбит/с От 512 кбит/с до 128
кбит/с От 128 кбит/с до 56 кбит/с Меньше 56 кбит/с
|
5 10 100 200 400 800 2000
|
Стоимость в проектируемой сети будет всегда 5, поэтому дополнительных
управлений и настроек маршрутизации не требуется.
Часть 3.
Расчет экономической эффективности от внедрения вычислительной сети
3.1
Источники экономической эффективности
По оценке зарубежных специалистов в области автоматизации управления,
автоматизация работы служащих в условиях промышленных предприятий может
сократить общие расходы на конторскую деятельность примерно на 25%. Однако,
наиболее важной целью автоматизации работы служащих является повышение качества
административных решений (качество вырабатываемой информации).
Источниками экономической эффективности, возникающей от применения
компьютеров и вычислительных сетей в организационном управлении, являются:
- уменьшение затрат на обработку единицы информации;
- повышение точности расчетов;
- увеличение скорости выполнения вычислительных и печатных
работ;
- возможность моделирования изменения некоторых переменных и
анализ результатов;
- способность автоматически собирать, запоминать и накапливать
разрозненные данные;
- систематическое ведение баз данных;
- уменьшение объемов хранимой информации и стоимости хранения
данных;
- стандартизация ведения документов;
- существенное уменьшение времени поиска необходимых данных;
- улучшение доступа к архивам данных;
- возможность использования вычислительных сетей при обращении
к базам данных.
При анализе эффективности важно учитывать, что конечный эффект от
применения ЭВМ связан не только с возмещением затрат на покупку, монтаж и
эксплуатацию оборудования, а, в первую очередь, за счет дополнительного
улучшения качества принимаемых решений.
Экономическая эффективность информационных процессов определяется
соотношением затрат на технические средства и на заработную плату работников с
результатами их деятельности. Известен ряд подходов к определению основных
составляющих эффекта информационной деятельности. В основу этих понятий
положены понятия информационной продукции (различные виды информации),
информационного эффекта, величины предотвращения потерь, общественно
необходимого уровня информированности и другие.
3.2 Расчет
суммы затрат на разработку: внедрение и эксплуатацию вычислительной сети
Капитальные вложения при внедрении предлагаемой задачи или подсистемы АСУ
(К) рассчитываются в том случае, если внедрение задачи влечет за собой
приобретение дополнительных технических средств. Таким образом, затраты на
внедрение вычислительной сети должны рассчитываться по следующей формуле:
= Као + Кпо + Кпл + Кмн +Кпп,
где Као - стоимость аппаратного обеспечения ВС;
Кпо - стоимость программного обеспечения ВС;
Кпд - стоимость дополнительных площадей;
Кмн - единовременные затраты на наладку, монтаж и пуск ВС;
Кпп - предпроизводственные затраты (на научно- исследовательские, опытно-
конструкторские работы подготовку и освоение производства).
Рассчитаем два значения в связи с разыми инженерными подходами:
K1= 3 643 885 + 475 686+24 000+120
000+100 000=4 363 571
К2 = 4 422 287
Если новые технические средства не будут полностью загружены предлагаемой
задачей или подсистемой, то капитальные затраты определяются с учетом
коэффициента загрузки технических средств:
Кзад = К·r,
где r - коэффициент загрузки технических средств предлагаемой задачей.
= Тv / Тэфф.v,
где Тv - время решения задачи на v - м виде технических средств;
Тэфф.v - годовой эффективный фонд времени работы технических средств v-го
вида.
Затраты на постановку задач, решаемых с использованием ВС, их
программирование и внедрение определяются на основании экспертных оценок. В
качестве экспертов выступают специалисты, создающие и эксплуатирующие
информационные системы.
Эти затраты носят единовременный характер и при расчете эффективности
учитываются вместе с дополнительными капитальными затратами.
Использование вычислительной сети требует дополнительных расходов на ее
эксплуатацию и обслуживание. Затраты на расходные материалы при использовании
ПЭВМ и периферийного оборудования (приобретение бумаги и ленты для принтера,
гибких магнитных дисков, картриджей для заправки принтера и т.д.) по сравнению
с затратами на расходные материалы при решении задач вручную, как
свидетельствуют экспертные данные, даже увеличиваются приблизительно на 5 %.
Эксплуатационные расходы на вычислительную сеть определяются по следующей
формуле:
Рэ = Рзп + Ротч + Р накл + Ра.о + Рэл + Р рм + Роб + Раб,
где Рэ - эксплуатационные расходы на ВС;
Рзп - расходы на суммарную заработную плату работников, обслуживающих ВС;
Ротч - расходы по отчислению из заработной платы в фонды социальной
защиты;
Р накл - расходы по отчислениям из заработной платы на содержание АУП;
Ра.о - амортизационные отчисления;
Рэл - расходы на электроэнергию в год при использовании ВС;
Ррм - затраты на расходные материалы;
Роб - затраты на обучение пользователей использованию ВС;
Раб - абонентская плата поставщику услуг ВС (для глобальной сети).
Рассчитаем два коэффициента Рэ в связи с разными подходами к реализации:
Рэ1 = 172 606 786
Рэ2 = 166 899 150
Рзп = (Ор · Кур + Ор · Кдз) · m,
где m- количество работников;
Рзп = (300 000·1,2) · 350 = 126 000 000
Ротч = Рзп · Отч = 16 380 000
Рнакл = Рзп · Накл = 12 600 000
Ра.о = Цоб · а / 100 = 617 986
Рэл рассчитывается для каждого вида оборудования отдельно и, затем,
полученные результаты суммируются:
Рэл = N · Fд · Цэн = 122 640 000 + 13 140 000 = 13 780 000
где Fд - действительный годовой фонд времени работы оборудования.
д = D·T,
где D - количество рабочих дней в году;- время работы оборудования в
сутки;
Ррм = Цгд · n + Цп·m = 7 200·4+8400·350 = 2 968 800
где n и m - соответственно количество использованных расходных
материалов.
Исходные данные для расчета затрат сведены в таблицу 9:
Таблица 9 - Исходные данные для расчета затрат
|
№
|
Статья расхода
|
Сокращенное наименование
|
Значение
|
|
1
|
Оклад работника обслуживающего ВС
|
(Ор)
|
300 000
|
|
2
|
Региональный коэффициент
|
(Кур)
|
1
|
|
3
|
Коэффициент дополнительной зарплаты
|
(Кдз)
|
0,2
|
|
4
|
Отчисления
|
(Отч)
|
0,13
|
|
5
|
Накладные расходы
|
(Накл)
|
0,1
|
|
6
|
Затраты на обучение персонала
|
Роб
|
35 000
|
|
7
|
Цена оборудования ВС и ПО
|
(Цоб)
|
4 119 571
|
|
8
|
Норма амортизации
|
(а)
|
15
|
|
9
|
Нормативный коэффициент эффективности
|
(Ен)
|
75
|
|
10
|
Стоимость гибкого диска
|
(Цгд)
|
7 200
|
|
11
|
Стоимость расходных материалов для принтера
|
(Цп)
|
8 400
|
|
12
|
Цена 1 Квт. Час электроэнергии
|
(Цэн)
|
3
|
|
13
|
Мощность ЭВМ
|
(Nэвм)
|
100
|
|
14
|
Мощность принтера
|
(Nпр)
|
20
|
|
15
|
Мощность UPS
|
(Nups)
|
1 500
|
|
16
|
Время работы ЭВМ в сутки
|
(Tэвм)
|
8
|
|
17
|
Время работы принтера в сутки
|
(Tпр)
|
8
|
|
18
|
Время работы UPS в сутки
|
(Tups)
|
24
|
3.3 Методика расчета экономической
эффективности
Принимается решение об отрасли и условиях внедрения вычислительной сети.
В зависимости от этого выбирается соответствующая методика [5].
Выбор базы зависит от того, какая задача ставится при расчете
эффективности. Для этого анализируются в совокупности основные направления
экономической эффективности информационных систем и схема их влияния на
технико-экономические показатели. В данном курсовом проекте необходимо
выполнить сравнение нескольких вариантов инженерных решений по расчетному
коэффициенту эффективности капитальных вложений (Ер).
Ер = (Рэ1 - Рэ2) / К2 - К1
Ер = ( 5 706 636 ) / 58716 = 97,2
Рассматриваемые инженерные решения признаются эффективными при
Ер>= Ен
Как видно из расчетов, рассматриваемые варианты решений являются
применимыми с точки зрения экономической эффективности.
Для некоторых информационных систем изначально не преследуется цель
сокращения рабочих мест, экономии средств, отводимых на трудовой процесс, а
установка вычислительной сети проводится с целью повышения качества принимаемых
решений, установки единого регламента проведения деловых процессов, повышения
качества обслуживания клиентов, обеспечить коллективную работу служащих,
работающих в территориально удаленных подразделениях, стремление превзойти
конкурентов и так далее. В связи с этим вычисление показателей экономической
эффективности не представляется возможным, а эффект от установки вычислительной
сети можно определить на качественном уровне. Мировая практика показывает, что
интрасети обеспечивают огромные преимущества и предприятиям и организациям
следует подготовиться к их использованию.
Заключение
На основе технического задания и поставленной задачи, была разработан
ЛВС, отвечающая таким требованиям как: функциональность, расширяемость,
адаптируемость, управляемость. Комплекс технических средств наиболее оптимален
и соответствует наилучшему соотношению цена / качество. Топология локальной
вычислительной сети звездообразная, а инфраструктура основана на
Ethernet-коммутации.
На АРМ реализована технология Ethernet 100 BASE TX. В качестве среды
используется неэкранированная витая пара категории 5. Рабочие станции
подключаются к коммутатору (switch). Данная сеть использует не все ресурсы,
возможно добавление коммутаторов и компьютеров. При этом скорость передачи
данных и информационный поток останутся неизменными. Все пользователи локальной
сети получают доступ к ресурсам файлового сервера с персонального рабочего
места. Предлагаемая конфигурация локальной сети соответствует требованиям сети
Ethernet.
Также имеется возможность расширить сеть почти вдвое, не нарушая ни
требований СанПИН, ни стандартов построения кабельных структурированных сетей.
Из экономического обоснования видно, что выбранное решение целесообразно
с позиции экономической эффективности, что говорит о целесообразности внедрения
ЛВС.
Список
использованных источников
1 В.Г Олифер, Н.А. Олифер. Компьютерные сети. Принципы,
технологии, протоколы. - СПб.: Издательство «Питер», 3-е издание, 2006.
В.Г Олифер, Н.А. Олифер. Сетевые операционные системы. -
СПб.: Издательство «Питер», 2001.
В. Зима, А. Молдовян, Н. Молдовян. Безопасность глобальных
сетевых технологий. - СПб.: БХВ-Петербург, 2000.
Ю.В. Новиков, С.В. Кондратенко. Локальные сети: архитектура,
алгоритмы, проектирование. - М.: Издательство «Эком», 2000.
М. Кульгин. Технология корпоративных сетей. Энциклопедия. -
СПб.: Издательство «Питер», 1999.
В. Зима, А. Молдовян, Н. Молдовян. Компьютерные сети и защита
передаваемой информации. - СПб.: Издательство СПбГУ, 1998.
Э.А. Якубайтис. Информационные сети и системы. - М.: Финансы
и статистика, 1996.
Компьютерные сети: учебный курс. - М.: Издательский отдел
“Русская редакция” ТОО ”Channel Trading Ltd.”, 1998.
В.С. Люцарев, К.В. Ермаков, Е.Б. Рудный, И.В. Ермаков.
Безопасность компьютерных сетей на основе Windows NT. - М.: Издательский отдел
“Русская редакция” ТОО ”Channel Trading Ltd.”, 1998.
Администрирование сети Microsoft Windows NT: учебный курс. -
М.: Издательский отдел “Русская редакция” ТОО ”Channel Trading Ltd.”, 1997.
А. Выскубов. Linux для профессионалов. Руководство
администратора. - СПб.: Издательство «Питер», 1999.
Одом, Уэнделл. Официальное руководство Cisco по подготовке к сертифицированным
экзаменам ССNA ICDN1, 2-е изд.: Пер с англ. - М ООО» И.Д. Вильямс « ,
2011. -672 с.; ил.
Одом, Уэнделл. Официальное руководство Cisco по подготовке к сертифицированным
экзаменам ССNA ICDN2 , 2-е изд.: Пер с англ. - М ООО» И.Д. Вильямс « ,
2011. - 736 с.; ил.
Яремчук С. Матвеев А. Системное администрирование WINDOWS 7 и WINDOWS SERVER 2008 R2 на
100%. - Спб.: Питер , 2011. -384 с.: ил. - (Серия на 100%).
Бройдо В.Л., Ильина О.Н. Вычислительные системы, сети и
телекоммуникации.- СП-б.: Питер, 2008. - 704 с.
Поляк-Брагинский А.В. Администрирование сети на примерах. -
2-е изд., перераб. и доп. - Спб.: БХВ-Петербург, 2008. - 432 с. ил.
Кенин А.М. Самоучитель системного администратора . - 2-е изд.
Перераб. и доп. Спб.: БХВ-Петербург, 2008. - 560с.: ил.- (Системный
администратор).
Витаманюк А. И. Создание и обслуживание локальных сетей. -
Спб.: Питер,2008. -304 с.: ил.
Яремчук С. Матвеев А. Системное администрирование WINDOWS 7 WINDOWS SERVER 2008 R2 на
100%. - Спб.: Питер , 2011. -384 с.: ил. - (Серия на 100%).
Сердюк В.А. Организация и технологии защиты информации;
обнаружение и предотвращение информационных атак в автоматизированных системах
предприятий: учебное пособие. Гос ун-т - Высшая школа экономики. М.: Изд. Дом
Гос.ун-та- Высшей школы экономики,2011. -572,с.
Леонтьев В.П. Безопасность в сети Интернет. - М.: ОЛМА Медиа
Групп, 2008.- 256 с.: ил.
Чипига А.Ф. Информационная безопасность автоматизированных
систем: учебное пособие для студентов вузов, обучающихся в области инф.
безопасности / М.: Гелиос АРВ, 2010. - 336 с.
Остапенко Г.А., Мешкова Г.А. Информационные операции и атаки
в социотехнических системах: организационно-правовые аспекты противодействия.
Учебное пособи для вузов. / Под редакцией В.Г.Кулакова. М.: Горячая линия -
Телеком , 2008 с.: ил.
Гордейчик С.В., Дубровин В.В. Безопасность беспроводных
сетей. М.: Горячая линия - Телеком , 2008. - 288 с:.ил.
Жуков Ю.В. Основы веб-хакинга: нападение и защита. Спб.:
Питер, 2011.-176 с.: ил.
Безопасная сеть вашей компании./ Джон Маллери, Джейсон Занн,
Патрик Келли, Уэсли Нунан, Эрик Сигрен, Пол Лав, Роб Крафт, Марк О. Нилл; пер.
с англ. Е. Лидеман. - М.: НТ Пресс, 2007. - 640с.:ил. - (Защита и
администрирование).
Донцов Д. Как защитить компьютер от ошибок, вирусов, хакеров.
- Спб.: Питер, 2007. - 144с.: ил.
Фэйр Т., Нордфелт М., Ринг С. Киберщпионаж; пер с англ. И.В.
Багаутдиновой. М. НТ Пресс , 2008 -384с. ил. (защита и администрирование).
Саати Т.Л. Математические модели конфликтных ситуаций. Пер.с
англ. - М.: Сов. Радио, 1977. - 304 с.
Галатенко В.А. Информационная безопасность - основы / Системы
Управления Базами Данных, N1, 1996, с. 6-28.
Ващенко Б.И. Методические указания к курсовому проектированию
по курсам «Сети ЭВМ» и «Глобальные сети». Система автоматизированного
проектирования компьютерной сети Netwizard. - МГТУ им. Н.Э.Баумана. Факультет
“Информатика и системы управления”. Кафедра «Компьютерные системы и сети». -
Москва, 2003.
Ващенко Б.И. Методические указания к курсовому проектированию
по курсам «Сети ЭВМ» и «Глобальные сети». Проектирование сети кампуса. - МГТУ
им. Н.Э.Баумана. Факультет “Информатика и системы управления”. Кафедра
«Компьютерные системы и сети». - Москва, 2003. (настоящие методические
указания)
Как построить кабельную систему для Вашей сети. По адресу URL #"804318.files/image012.gif">
Рисунок А.1 - Сертификат соответствия UPS
Структурная схема ЛВС
Рисунок Б.1 - Структурная схема ЛВС