Проектирование информационно-коммуникационной распределенной сети предприятия

Рабочая температура: от 0°C до +45°C с уменьшением мощности.
Относительная влажность: 5 - 95%, без конденсата.
Классификация, сертификаты: VFI-SS-111, IEC 62040-2

Автоматическое управление электропитанием ЛВС обычно включает в себя:
1) Автоматическое свертывание работы сети (или компьютера) при возникновении длительных перебоев в электроснабжении.
2) Контроль параметров входного и выходного напряжения и тока
3) Дистанционный (удаленный) мониторинг состояния ИБП/ UPS и его агрегатов.
ИБП Powerware может передавать информацию во «внешний мир» тремя способами:
1) Через Web/SNMP адаптер Connect UPS по сети
2) Через COM (USB) порт рабочей станции по протоколу RS-232
3) Через релейные «сухие» контакты (relay contacts) ИБП
Удаленный мониторинг ИБП (UPS) Powerware, используя Web/SNMP адаптер Connect UPS.
При подключении к ИБП Web/SNMP адаптера со своим IP адресом, к ИБП можно обратиться через компьютерную сеть, т.е. осуществлять дистанционный мониторинг по сети. Связь можно поддерживать, как используя SNMP протокол, так и связку Программное Обеспечение Lansafe 5 + протокол Операционной Системы (Windows NT, Novell, Unix и т.д.)
Web/SNMP адаптер Connect UPS позволяет:
1) Производить свертку ОС и сохранение данных на выбранных серверах/рабочих станциях по сигналу от ИБП.
2) Производить мониторинг параметров входной и выходной сети (входное/выходное напряжение, частота и т.д.) и представлять данные в графическом виде в режиме реального времени.
3) Вести дневник событий (создается файл учета - в какой момент времени что происходило с самим ИБП, параметрами входной/выходной сети).
4) Производить контроль работы ИБП и его узлов (более 50 параметров)
Web/SNMP адаптеры Connect UPS могут отображать информацию в Web браузере по-русски. Дистанционный мониторинг, используя рабочую станцию, COM порт, протокол RS 232. Расстояние от ИБП до рабочей станции не более 5-10 метров.
ПО Lansafe 5, поставляемое в комплекте с каждым UPS Powerware, позволяет использовать вместо Web/SNMP адаптера Connect UPS любую рабочую станцию сети: компьютер, подключенный к ИБП по RS-232 (он будет Master) можно объединить в логическую группу с другими компьютерами (которые, могут находиться под разными ОС), они будут Slave. Вся информация, которую получает головной компьютер (Master) транслируется всем членам логической группы (Slave). Таким образом, можно обеспечить свертку ОС нескольких компьютеров сети. Выделенный компьютер Master со своим IP адресом будет играть роль Web/SNMP карты, полностью замещая ее.
Специальное ПО Powervision поставляемое Eaton Powerware (платное, есть 30 дневный период для тестирования) позволяет:
1) Осуществлять мониторинг параллельных систем 1+1 и N+1.
2) Осуществлять одновременный мониторинг большого количества ИБП Powerware и ИБП других производителей. Мониторинг ведется как через Web/SNMP карты, так и порты RS-232
3) Осуществлять свертку ОС и сохранение данных по сложной схеме на большом количетве ИБП
Мониторинг, используя «сухие» контакты: В составе каждого ИБП Powerware включены «сухие контактов». При изменении состояния ИБП и внешней сети («напряжение питающей сети в норме», «ИБП работает от аккумуляторов», «низкий уровень заряда батарей») эти контакты размыкаются или замыкаются. Таким образом, порт «сухих контактов» позволяет использовать ИБП в составе автоматизированных систем управления технологическими процессами.Для увеличения контролируемых "сухих контактов" иожно использовать карту X-slot AS/400
EMP (Environmental Monitoring Probe) - устройство контроля температуры и влажности в помещении + 2 дополнительных входных «сухих контакта». «Сухие контакты» EMP позволяют подключать через него внешние устройства (например, пожарные и охранные сигнализации). Данные о состоянии температуры и влажности (+ состояние внешних «сухих контактов) доступны по сети через Web/SNMP карту ИБП Connect UPS. C использованием ПО Lansafe можно настроить рассылку сообщений/осуществить свертку ОС при достижении температуры или влажности критических значений
Environmental Rack Monitor (ERM) со встроенным Web сервером осуществляет через 2 датчика EMP замеры температуры в двух разных точках стойки, отслеживает изменения состояний четырех дополнительных датчиков (сухих контактов). Данные в режиме реального времени выводятся на монитор компьютера по IP, SNMP или NMS протоколу. Для снятия информации сам ИБП непосредственно не требуется.
X-slot ModBus карта позволяет подключать ИБП к сетям, использующим протокол ModBus
X-slot Multi-server карта позволяет увеличить количество RS-232 портов у ИБП до 5 шт. ИБП может общаться с разными серверами под разными ОС через RS-232 интерфейс. Шестой порт на карте – дополнительный порт «сухих» контактов.
Основныехарактеристики:
Мониторинг состояния и управление работой ИБП посредством веб-браузеров и веб-совместимых адаптеров без установки специального ПО:
Широкие возможности мониторинга электропитания сетевого оборудования по протоколу SNMP;
Корректное завершение работы операционных систем при помощи программного обеспечения NetWatch или 5-ой версии ПО LanSafe;
Обеспечение управления сегментами нагрузки;
Средства оповещения о проблемах с электропитанием по электронной почте;
Возможности удаленного конфигурирования и обновления;
Встроенная память для хранения информации о событиях;
Представление результатов измерений в графической форме;
Работа в сетях 10/100 Мб (автовыбор);
Датчик параметров окружающей среды, позволяющий контролировать уровень температуры и влажности, с двумя дополнительными сухими контактами.
Обзор продукта:
Тип: cетевой адаптер для ИБП Powerware.
Инсталляция: «горячая» установка.
Операционные системы: ПО NetWatch совместимо с Windows, Novell, MacOS X, а также с различными версиями Unix, включая Lunix.
Дополнительно: встроенный 3-х портовый сетевой коммутатор (ConnectUPS-Х) и датчик параметров окружающей среды.
Адаптеры ConnectUPS Web/SNMP – мощное и гибкое средство управления работой ИБП в сетевом компьютерном окружении. Интерфейс через web-браузер позволяет оперативно отслеживать как текущее состояние ИБП, так и сохранять на будущее данные о его работе. Поддержка протокола SNMP позволяет легко интегрировать адаптер в такие системы сетевого управления, как HP Open View, IBM Director и т.д. В случае необходимости адаптер может инициировать контролируемое отключение до 265 компьютеров. Благодаря программному компоненту завершения работы NetWatch, способному выполнять и ряд других задач, пользователи заблаговременно получают информацию о возникновении проблем с электропитанием и предупреждение о закрытии операционной системы. NetWatch совместим с Windows, Novell, MacOS X и большинством платформ Unix. ConnectUPS Web/SNMP адаптеры совместимы также с новой (пятой) версией ПО закрытия сетевых приложений LanSafe. При возникновении неисправности в работе системы адаптер может Решения для управления, мониторинга и завершения работы ИБП оповестить об этом системных администраторов несколькимиразличными способами: по электронной почте или с помощью всплывающего сообщения на терминале пользователя. Посредством SNMP адаптер информирует о неисправности системы сетевого управления. Датчик параметров окружающей среды, устанавливаемый дополнительно, добавляет адаптеру ConnectUPS Web/SNMP возможность контролировать температуру, влажность и два внешних сигнала, которые можно использовать для определения несанкционированных вторжений, протечек, наличия в помещении дыма или огня. Датчик параметров окружающей среды также может быть использован для автоматического завершения работы операционной системы с помощью NetWatch. Использование ConnectUPS Web/SNMP адаптеров дает возможность дистанционно включать и отключать подключенные к ИБП нагрузки, а также перезагружать работающее от ИБП оборудование. Кроме того, посредством Web-браузера или протокола SNMP можно инициировать тестирование батарей.
АВМ – технология продления жизни батарей в ИБП Powerware.
Системы параллельного резервирования N+1 и 2N и системы увеличения мощности используются для создания отказоустойчивых систем гарантированного электроснабжения и масштабируемых по мощности систем бесперебойного питания
Для создания параллельных систем, Powerware разработал специальную отказоустойчивую технологию HotSync. Параллельная система на основе ИБП Powerware с резервированием N+1 или с увеличением мощности, построенная по технологии Hotsync, состоит от 2 до 4 системных блоков и батарей. Уникальность технологии HotSync заключается в отсутствии дополнительных сигнальных или интерфейсных связей между ИБП при параллельном включении источников. В нормальном ИБП Powerware режиме не имеют постоянной синхронизации через платы параллельной работы и не работают в режиме “Master-Slave”, как у остальных производителей ИБП. Это значительно повышает надежность системы, исключает дополнительную «точку отказа», удешевляет инсталляцию системы.

4.1.2 Информационной безопасности

Качество информационной системы — это совокупность свойств системы, обусловливающих возможность ее использования для удовлетворения определенных в соответствии с ее назначением потребностей.
Основными показателями качества информационных систем являются надежность, достоверность, безопасность.
Надежность — свойство системы сохранять во времени в установленных пределах значения всех параметров, характеризующих способность выполнять требуемые функции в заданных режимах и условиях применения.
Надежность информационных систем не самоцель, а средство обеспечения своевременной и достоверной информации на ее выходе. Поэтому показатель достоверности функционирования имеет для информационных систем главенствующее значение, тем более что показатель своевременности информации в общем случае охватывается показателем достоверности.
Достоверность функционирования — свойство системы, обусловливающее безошибочность производимых ею преобразований информации. Достоверность функционирования информационной системы полностью определяется и измеряется достоверностью ее выходной информации.
Безопасность информационной системы — свойство, заключающееся в способности системы обеспечить конфиденциальность и целостность информации, то есть защиту информации от несанкционированного доступа с целью ее раскрытия, изменения или разрушения.
Надежность — комплексное свойство системы; оно включает в себя более простые свойства, такие как безотказность, ремонтопригодность, долговечность и т. д.
Безотказность — свойство системы сохранять работоспособное состояние в течение некоторого времени или наработки (наработка — продолжительность или объем работы системы).
Ремонтопригодность — свойство системы, заключающееся в приспособленности к предупреждению и обнаружению причин возникновения отказов, повреждений и поддержанию и восстановлению работоспособного состояния путем проведения технического обслуживания и ремонтов.
Долговечность — свойство системы сохранять при установленной системе технического обслуживания и ремонта работоспособное состояние до наступления предельного состояния, то есть такого момента, когда дальнейшее использование системы по назначению недопустимо или нецелесообразно.
Одним из основных понятий теории надежности является отказ. Отказом называют полную или частичную потерю работоспособности системы или ее элемента.
В соответствии с видом отказов можно рассматривать и надежность трех видов: аппаратную; эргатическую; программную.
В многофункциональных системах часто вводят понятие функциональной надежности выполнения локальной функции системы. Это понятие важно тогда, когда разные функции системы различны по значимости, обеспечиваются различными подсистемами и дифференцируются по предъявляемым к ним требованиям.
Все системы в теории надежности классифицируются по ряду признаков. Важными классификационными группами являются: восстанавливаемые; невосстанавливаемые; обслуживаемые; необслуживаемые системы.
На предприятии организована восстанавливаемая система – это такая системы, работоспособность которой в случае возникновения отказа подлежит восстановлению.
Система является необслуживаемой.
Для пользователей сложных информационных систем понятие их надежности ощущается в наибольшей степени по коэффициенту готовности системы Кг , то есть по отношению времени работоспособного состояния системы к времени ее незапланированного простоя.
Для сервера предприятия коэффициент готовности составляет Кг = 0,99, что означает примерно 3,5 суток простоя в год.
Обеспечение надежности технических компонентов информационных систем на предприятии реализуется аппаратным и программным способами.
В первом случае ИС использует аппаратную избыточность:
- все операции выполняются параллельно на одинаковых компонентах системы, а результаты их работы затем сравниваются, что позволяет выявить ошибки;
- в случае выхода из строя какого-либо компонента его резервные аналоги продолжают работу без остановки, а отказавший компонент заменяется на работоспособный.
Программный способ предусматривает:
- последовательное во времени выполнение одних и тех же информационных процессов и дублирование данных;
- автоматическое восстановление отказавших операционных систем, приложений и искаженных данных.
Для обеспечения надежности технических средств производится: резервирование (дублирование) технических средств (компьютеров и их компонентов, сегментов сетей и т. д.); использование стандартных протоколов работы устройств ИС; применение специализированных технических средств защиты информации.

4.3 Программные средства

Сетевая операционная система масштаба предприятия прежде всего должна обладать основными свойствами любых корпоративных продуктов, в том числе:
масштабируемостью, то есть способностью одинаково хорошо работать в широком диапазоне различных количественных характеристик сети,
совместимостью с другими продуктами, то есть способностью работать в сложной гетерогенной среде интерсети в режиме plug-and-play.
Все компоненты, отвечающие за защиту от тех или иных угроз, сгруппированы в меню "Защита". Модуль "Анти-Шпион" дополнен средством защиты от несанкционированной отправки конфиденциальных данных. Суть его работы заключается в следующем. Допустим, некий вредоносный код, который по какой-либо причине был пропущен и не идентифицирован антивирусным модулем, запускает какое-либо доверенное приложение, к примеру - браузер Internet Explorer. В данном случае браузер является лишь средством передачи по http-протоколу конфиденциальной информации, извлеченной из соответствующего файла. Кроме того, вредоносные программы могут обращаться к "Защищенному хранилищу Windows", в котором хранятся пароли к электронной почте, защищенным сайтам и т.д. Здесь все реализовано просто и понятно - при попытке чтения данных из этого хранилища любой программой, не имеющей цифровой подписи Microsoft, Kaspersky Internet Security немедленно известит пользователя.
Компонент "Родительский контроль" вполне может быть применен в качестве инструмента, ограничивающего нецелевое использование Интернета пользователями, т.е. работниками предприятия. Стоит лишь отметить необходимые пункты, и сайты, которые им соответствуют, просто не будут открываться. Пользователь увидит страницу, которая гласит, что доступ к данному ресурсу запрещен, а информация о попытке открыть нежелательный сайт будет записана в лог-файл модуля "Родительский контроль". Предусмотрен "белый" и "черный" список, куда можно вносить разрешенные и запрещенные сайты вручную.
Еще один немаловажный аспект - значительное увеличение быстродействия компонента "Сетевой экран". Как сообщили разработчики, пользователи приложений, которые требовали постоянного и высокоскоростного соединения с интернетом, в первую очередь онлайн-игр, зачастую жаловались на существенное замедление вследствие работы Kaspersky Internet Security 6.0. Теперь ситуация изменилась, и пропускная способность сети выросла в несколько раз.
Одним из наиболее важных элементов KIS 7.0 является антивирусный сканер. Еще в пятой и шестой версиях в его работе были применены технологии, способствующие ускорению проверки системы за счет пропуска тех файлов, которые были уже проверены. В шестой версии также был реализован механизм перераспределения системных ресурсов в пользу одновременно выполняющегося приложения. Действительно, при первоначальном запуске файловый антивирус тратит несколько минут на проверку всех объектов находящихся в памяти, но в дальнейшем он их проверять уже не будет, и, соответственно, никаких задержек при загрузке системы не произойдет.
Работа файлового антивируса основывается на трех методах защиты - сигнатурном, эвристическом и поведенческом. Наиболее ресурсоемким является эвристический анализ, так как он вначале требует запуска программы в специальной безопасной среде, после чего уже разрешает ее запуск в обычных условиях. Данный метод позволяет проанализировать все действия программы и с высокой вероятностью заранее сделать вывод о ее потенциальной опасности. По умолчанию эвристический анализатор выключен, но даже если у вас относительно слабый компьютер, хотя бы изредка рекомендуется производить его полную проверку с включенной эвристикой, а после этого ее снова можно отключать. Еще одно интересное нововведение - индикатор влияния настроек файлового антивируса на производительность компьютера. Работает он следующим образом. Вы выбираете те или иные параметры проверки, а в том же окне активируется красная, желтая или зеленая полоски, которые символизируют, соответственно, низкую, среднюю и высокую производительность.

4.4 Организационные меры безопасности

Защита информации – это комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п. Поскольку утрата информации может происходить по сугубо техническим, объективным и неумышленным причинам, под это определение подпадают также и мероприятия, связанные с повышением надежности сервера из-за отказов или сбоев в работе винчестеров, недостатков в используемом программном обеспечении и т.д.
Переход от работы на персональных компьютерах к работе в сети усложняет защиту информации по следующим причинам:
большое число пользователей в сети и их переменный состав. Защита на уровне имени и пароля пользователя недостаточна для предотвращения входа в сеть посторонних лиц;
значительная протяженность сети и наличие многих потенциальных каналов проникновения в сеть;
уже отмеченные недостатки в аппаратном и программном обеспечении, которые зачастую обнаруживаются не на предпродажном этапе, называемом бета- тестированием, а в процессе эксплуатации. В том числе неидеальны встроенные средства защиты информации даже в таких известных и "мощных" сетевых ОС, как Windows NT или NetWare.
Возможна утечка информации по каналам, находящимся вне сети:
хранилище носителей информации,
элементы строительных конструкций и окна помещений, которые образуют каналы утечки конфиденциальной информации за счет так называемого микрофонного эффекта,
телефонные, радио-, а также иные проводные и беспроводные каналы (в том числе каналы мобильной связи).
Любые дополнительные соединения с другими сегментами или подключение к Интернет порождают новые проблемы. Атаки на локальную сеть через подключение к Интернету для того, чтобы получить доступ к конфиденциальной информации, в последнее время получили широкое распространение, что связано с недостатками встроенной системы защиты информации в протоколах TCP/IP. Сетевые атаки через Интернет могут быть классифицированы следующим образом:
Сниффер пакетов (sniffer – в данном случае в смысле фильтрация) – прикладная программа, которая использует сетевую карту, работающую в режиме promiscuous (не делающий различия) mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки).
IP-спуфинг (spoof – обман, мистификация) – происходит, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя.
Отказ в обслуживании (Denial of Service – DoS). Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.
Парольные атаки – попытка подбора пароля легального пользователя для входа в сеть.
Атаки типа Man-in-the-Middle – непосредственный доступ к пакетам, передаваемым по сети.
Атаки на уровне приложений.
Сетевая разведка – сбор информации о сети с помощью общедоступных данных и приложений.
Злоупотребление доверием внутри сети.
Несанкционированный доступ (НСД), который не может считаться отдельным типом атаки, так как большинство сетевых атак проводятся ради получения несанкционированного доступа.
Вирусы и приложения типа "троянский конь".
В сети используется дискреционная модель разграничения доступа. В рамках этой модели для каждого субъекта определено, какой вид доступа он может осуществлять к каждому объекту сети. На основе этих определений была построена матрица доступа, которая приведена в таблице 3.

Таблица 3. Матрица доступа организации.
ПС СУБД СРК АРМ АБД АРМ Рук. Сет. обор. АРМ прогр. БД этал. АРМ АИБ СОР АИБ 2 2 1 2 2 2 2 2 2 2 АБД 1 2 2 0 2 2 1 0 0 0 Рук-во 2 2 2 2 1 1 2 2 0 2 Разраб. 1 1 0 0 2 2 1 1 0 2 Прочие. 1 0 0 0 1 1 1 0 0 0
Применяемые сокращения:
АИБ – администратор информационной безопасности
АБД – администратор базы данных
Рук-во. – руководство организации
Разраб. – разработчики
ПС – почтовый сервер
СУБД – система управления базой данных
СРК – сервер резервного копирования
АРМ - автоматизированное рабочее место.
СОР – сервер отдела разработки.
0 – нет доступа
1 – чтение
2 – чтение/запись.

Для обеспечения безопасности необходимо сделать следующие мероприятия:
1) Для серверов необходимо выделить специальную комнату и ограничить в неё доступ персонала, в комнате поставить сигнализацию и систему наблюдения;
2) На сетевых коммутаторах, маршрутизаторах отключить все не используемые порты
3) Осуществить защиту по МАС- и IP-адресам;
4) Изменить на всём управляющем сетевом оборудование имя и пароль, которое стоит по умолчанию;
5) Отключить все не безопасные протоколы: TelNet, Web;
6) Сделать централизованную авторизацию;
7) Установить антивирусную защиту, брандмауэр;
8) У пользователей отключить все не используемые службы;
9) Менять пароль не менее одного раза в месяц;, парольдолжна содержать цифры и буквы, не менее 8 символов;
10) Для всех данных на сервере производить Backup
11) Производить выход в интернет используя VPN тоннель (IPSec);
VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.
IPsec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет.
Протоколы IPsec работают на сетевом уровне (слой 3 модели OSI). Другие широко распространённые защищённые протоколы сети Интернет, такие как SSL и TLS, работают на транспортном уровне (слои OSI 4 — 7). Это делает IPsec более гибким, поскольку IPsec может использоваться для защиты любых протоколов базирующихся на TCP и UDP. В то же время увеличивается его сложность из-за невозможности использовать протокол TCP (слой OSI 4) для обеспечения надёжной передачи данных.
IPsec-протоколы можно разделить на два класса: протоколы отвечающие за защиту потока передаваемых пакетов и протоколы обмена криптографическими ключами. На настоящий момент определён только один протокол обмена криптографическими ключами — IKE (Internet Key Exchange) и два протокола обеспечивающие защиту передаваемого потока — ESP (Encapsulating Security Payload — инкапсуляция зашифрованных данных) обеспечивает целостность и конфиденциальность передаваемых данных, в то время как AH (Authentication Header — аутентифицирующий заголовок) гарантирует только целостность потока (передаваемые данные не шифруются).
Протоколы защиты передаваемого потока могут работать в двух режимах — в транспортном режиме, и в режиме туннелирования. При работе в транспортном режиме IPsec работает только с информацией транспортного уровня, в режиме туннелирования — с целыми IP-пакетами.
IPsec-трафик может маршрутизироваться по тем же правилам, что и остальные IP-протоколы, но, так как маршрутизатор не всегда может извлечь информацию характерную для протоколов транспортного уровня, то прохождение IPsec через NAT-шлюзы невозможно. Для решение этой проблемы IETF определила способ инкапсуляции ESP в UDP получивший название NAT-T (NAT traversal).
IPsec можно рассматривать как границу между внутренней (защищённой) и внешней (незащищённой) сетью. Эта граница может быть реализована как на отдельном хосте, так и на шлюзе, защищающем локальную сеть. Заголовок любого пакета, проходящего через границу, анализируется на соответствие политикам безопасности, то есть критериям, заданным администратором. Пакет может быть либо передан дальше без изменений, либо уничтожен, либо обработан с помощью протоколов защиты данных. Для защиты данных создаются так называемые SA (Security Associations) — безопасные соединения, представляющие собой виртуальные однонаправленные каналы для передачи данных. Для двунаправленной связи требуется два SA.
Параметры политик безопасности и безопасных соединений хранятся в двух таблицах: базе данных политик безопасности (SPD — Security Policy Database) и базе данных безопасных соединений (SAD — Security Association Database). Записи в SPD определяют в каких случаях нужно включать шифрование или контроль целостности, в то время как в SAD хранятся криптографические ключи, которые будут использованы для шифрования или подписи передаваемых данных. Если согласно SPD передаваемый пакет должен быть зашифрован, но в SAD нет соответствующего SA, реализация IPsec по протоколу IKE согласовывает с другой стороной создание нового SA и его параметры.
RFC 4301 дополнительно определяет третью таблицу — базу данных для авторизации узлов (PAD, Peer Authorization Database), предназначенную для хранения сведений об узлах, которым разрешено создавать SA с данным узлом и о допустимых параметрах этих SA.
Существует два режима работы IPsec: транспортный режим и туннельный режим.
В транспортном режиме шифруется (или подписывается) только информативная часть IP-пакета. Маршрутизация не затрагивается, так как заголовок IP пакета не изменяется (не шифруется). Транспортный режим как правило используется для установления соединения между хостами. Он может также использоваться между шлюзами, для защиты туннелей, организованных каким-нибудь другим способом (IP tunnel, GRE и др.).
В туннельном режиме IP-пакет шифруется целиком. Для того, чтобы его можно было передать по сети он помещается в другой IP-пакет. По существу, это защищённый IP-туннель. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети.
Режимы IPsec не являются взаимоисключающими. На одном и том же узле некоторые SA могут использовать транспортный режим, а другие — туннельный.
Особенности: IPSec
Аппаратная независимость: Да
Код не требуется изменений для приложений. Может потребовать доступ к исходному коду стека TCP/IP
Защита: IP-пакет целиком. Включает защиту для протоколов высших уровней .
Фильтрация пакетов: Основана на Аутентифицированных заголовках, адресах отправителя и получателя и т.п. Простая и дешевая. Подходит для роутеров Производительность: Меньшее число переключений контекста и перемещения данных:
Платформы: Любые системы, включая маршрутизаторы;
Firewall/VPN: Весь трафик защищен;
Прозрачность: Для пользователей и приложений;
Текущий статус: Появляющийся стандарт.

Переход от работы на персональных компьютерах к работе в сети усложняет защиту информации по следующим причинам.

1. Большое число пользователей в сети и их переменный состав. Защита на уровне имени и пароля пользователя недостаточна для предотвращения входа в сеть посторонних лиц.
2. Большая протяженность сети и наличие многих потенциальных каналов проникновения в сеть.
3. Уже упомянутые недостатки в аппаратном и программном обеспечении, которые зачастую обнаруживаются не на предприятия или организации). Преимущества организационных средств - возможность решения многих разнородных проблем, простота реализации, возможность быстрого реагирования на нежелательные действия в сети, неограниченные возможности модификации и развития. Недостатки — высокая зависимость от субъективных факторов, в том числе от общей организации работы в данном конкретном подразделении.

Шифрование данных представляет собой разновидность программных средств защиты информации и имеет особое значение на практике как единственная надежная защита информации, передаваемой по протяженным последовательным линиям, от утечки.

Понятие «шифрование» часто употребляется в связи с более общим понятием криптографии. Криптография включает шифрование и дополнительно рассматривает способы решения проблем, связанных с возможной подменой цифровых данных: как проверить достоверность цифровых данных и как по аналогии с рукописной подписью на бумаге проставить визу на электронных документах, имея в распоряжении лишь последовательности нулей и единиц.
Число используемых программ шифрования ограничено, причем часть из них являются стандартами де-факто или де-юре. Однако даже если алгоритм шифрования не представляет собой секрета, произвести дешифрование (или расшифровку) без знания закрытого ключа чрезвычайно сложно. Это свойство в современных программах шифрования обеспечивается в процессе многоступенчатого преобразования исходной открытой информации («plain text» в англоязычной литературе) с использованием ключа (или двух ключей — по одному для шифрования и дешифрования). В конечном счете каждый из используемых сложных методов (алгоритмов) шифрования представляет собой комбинацию относительно простых методов.
Экспорт текстовых файлов из PageMaker Мультиплексор или коммутационная схемав случае передачи цифровых сигналов с временным разделением строится на тех же самых базовых схемах, которые используются при построении цифровых вычислительных машин, а именно: на логических элементах и элементах памяти .
Различают следующие классические алгоритмы шифрования:
подстановка (простая - одноаалфавитная, многоалфавитная однопетлевая, многоалфавитная многопетлевая);
перестановка (простая, усложненная);
гаммирование (смешивание с короткой, длинной или неограниченной маской).
Устойчивость каждого из перечисленных методов к дешифрованию бег знания ключа характеризуется количественно с помощью показателя S представляющего собой минимальный объем зашифрованного текста который может быть дешифрован посредством статистического анализа

5. Экономический и социальный эффект от внедрения проекта
При технико-экономическом обосновании внедрения новой системы необходимой частью проекта должен быть расчет капитальных вложений.
5.1. Капитальные затраты
Сметная стоимость разработки локальной вычислительной сети - это сумма денежных средств, определяемых сметными документами, необходимых для ее осуществления в соответствии с проектом. Сметная стоимость локальной вычислительной сети, утвержденная подрядчиком и заказчиком, играет роль цены на данную сеть.
Локальная смета представляет собой первичный документ и составляется на монтажные работы, приобретение и монтаж оборудования. Сметная стоимость оборудования и материалов определяется на основании ведомостей на приобретение оборудования и материалов. Локальная смета представляет собой первичный документ, на основании которого определяется стоимость отдельных видов работ и затрат, входящих в объектную смету. Локальные сметы составляются на строительные и монтажные работы, приобретение и монтаж оборудования и на другие цели.
В приведенной ниже смете будет рассчитана общая стоимость оборудования для всех беспроводных частей сети и затраты на кабель и сопутствующие расходные материалы для подключения каждой беспроводного устройства. Все данные сведены в таблицу 5.1.
Таб. 5.1 Стоимость капитальных затрат на построение сети
Наименование расходов Количество Цена за единицу, р. Сумма, р. Cisco Airnet 1140 Series 802.11x 6 шт. 4500 27000 Cisco TrendNet TEW-AO09D 6 шт. 430 2580 Cisco POES5-EU 10 шт. 150 1500 Cisco Airnet 1020 Series 802.11x 2 шт. 2150 4300 Cisco TrendActiveNet TEW-AO30D 2 шт. 1580 3160 Кабель UTP 5 Nexans 182 м 8 1456 Кабель канал средний 182 м 30 5460 Гофра 30 мм 182 м 7,5 1365 Разъем типа «папа» RJ-45 64 1,5 96 Организация канала WiMax 1 17000 17000 Монтаж кабельного канала: пластик, размер менее 40х40мм за 1м. (Высота менее 2 м) 182 м. 42 7644 Установка коннектора RJ-45, RJ-12 за 1шт. 64 28 1792 Укладка кабеля в кабельные каналы: кабель UTP за 1м. (Высота менее 2 м) 182м 9 1638 Проход сквозь гипсокартонное перекрытие за 1шт. 10 168 1680 Проход сквозь кирпичное перекрытие (толщиной более 18 см) за 1шт. 4 420 1680 Проход сквозь бетонное перекрытие (толщиной более 18 см ) за 1шт. 5 560 2800 Итого: 79471
В таблице 5.2 приведен расчет трудоемкости основных видов работ

Таб. 5.2 Трудоемкость основных видов работ
Наименование работы Категория работников Общая трудоемкост, человеко-дня Старший научный сотрудник Инженер без
категории Выдача технического задания 1 - 1 Подбор литературы 1 - 1 Анализ существующей сети 1 6 7 Анализ оборудования и программного обеспечения 2 8 10 Составление плана модернизации 1 21 22 Выработка рекомендаций и выводов 1 4 5 Оформление полученных результатов и выводов 1 3 4 Итого: 8 42 50
Расчет основной заработной платы приведен в таблице 5.3.

Таб. 5.3 Расчет основной заработной платы
Наименование категории работников Трудоемкость Должностной оклад, р. Премии и доплаты, р. Месячный фонд заработной платы, р. Фонд заработной платы на весь объем работ, р. Чел – дни Чел – месяцы Премии Доплаты Старший научный сотрудник 8 0,39 3000 300 495 3795 1480,1 Инженер без категории 42 2,02 1900 190 313,5 2403,5 4855,07 Итого: 6335,17
Затраты на оплату труда определим прямым расчетом на основании данных о трудоемкости работ. Результаты расчета основной заработной платы приведены в таблице 5.3. Премии составляют 10% от должностного оклада, доплаты по районному коэффициенту – 15% от суммы должностного оклада и премии. Фонд заработной платы на весь объем работ представляет собой месячный фонд заработной платы с учетом трудоемкости в человеко-месяцах. Трудоемкость в человеко-месяцах определяется делением трудоемкости в человеко-днях на количество рабочих дней в месяце (20,75 день).
Итог: 85806,17 р

5.2. Эксплуатационная себестоимость

Таблица 5.4 Сводная таблица капитальных и эксплуатационных затрат
вид категория Капитальные Эксплуатационные Программное обеспечение 18600 руб
Оборудование 82560 руб Персонал 5695,97 руб
Формула совокупных расходов может быть представлена формулой 5.1:
Орасх = Зп + А + Спо + Соб (5.1)
Где
Орасх – Общий расход , занятого обслуживанием программного или технического средства, с отчислениями на социальные нужды;
А – расходы на амортизацию оборудования (аппаратных средств), программного обеспечения;
Зп - зарплата обслуживающего персонала;
Спо – стоимость программного обеспечения;
Соб – стоимость оборудования.

Орасх = 82560 + 5695,97 + 860 + 18600 = 107715,97

Так как сотрудники занимаются выполнением поставленной задачи ежемесячно в равных объемах планируемого времени, то годовая заработная плата работника рассчитывается по формуле 5.2:
ЗПг = ЗПм * 12 (5.2)
ЗПмес = 5695,97 руб
ЗПг = 68351,64 руб

Далее необходимо рассчитать дополнительную заработную плату работников. В дополнительную заработную плату работников включается оплата отпусков и т.д. Дополнительная заработная плата устанавливается в процентах к основной заработной плате с учетом премий и районного коэффициента.

, (5.3)

где СЗ.ОС – величина основной заработной платы, р.;
;


Общий фонд заработной платы определяется выражением:

. (5.4)

где


СЗ.ОС – величина основной заработной платы, р.
Определим общий фонд заработной платы:



Отчисления на социальное страхование составляют 35,8% от суммы основной (ФЗП) и дополнительной (ДЗП) заработной платы, т.е. от общего фонда заработной платы и включаются в затраты по проведению анализа работы сети.



Общие расходы на оплату труда и отчисления на социальные нужды составляют р.
В качестве оборудования применялся персональный компьютер (ПК).
Общая сумма затрат на амортизацию ПК определяется:

(5.5)
где Кд – первоначальная стоимость ПК “Pentium IV”;
Ку – первоначальная стоимость монитора;
q – норма амортизационных отчислений, которая для вычислительной техники составляет 20%, исходя из срока полезного использования 5 лет.
Фр – количество рабочих часов в году;
Тр – время работы ПК и монитора;
Кд = 13000 р.;
Ку = 9000 р.

(5.6)

где Р - количество рабочих дней в году;
Ч – количество рабочих часов за сутки;
Ки – коэффициент использования;
Ки = 0,9
Фр при пятидневной рабочей неделе в году составляет 249 дней по 8 часов и с учетом простоя оборудования в ремонте примет значение:

Т.к. ПК необходим для выдачи технического задания, составления плана модернизации и оформления полученных результатов и выводов, то Тр составляет 35 дней по 8 часов:

Таким образом, затраты на амортизацию составляют:


Расходы на электроэнергию. Для расчета расходов на электроэнергию необходимо знать установленную мощность оборудования Pуст и рассчитать активную мощность:

(3.5)

где k – коэффициент спроса, учитывающий загруженность машины в сутки;
Руст - установленная мощность оборудования.
k = 0,8.
Pуст = 300 Вт.



Общий расход электроэнергии:

(3.6)

где Ра – расходы на электроэнергию;
Тр – рабочее время; Тр =280 ч.
Ц – цена за единицу электроэнергии.
Ц = 0,96 (р/кВтч);
Таким образом, затраты на электроэнергию составляют:



Кроме затрат на оплату труда и социальные нужды, на амортизацию, обслуживание и оплату потребленной электроэнергии необходимо учесть накладные расходы (затраты на содержание управленческого аппарата и вспомогательных рабочих) и плановые накопления (прибыль), которые составляют 12,36% и 35% от суммы всех затрат соответственно.



5.3. Итоговая стоимость проекта
Данные о затратах на исследования и доработку локальной вычислительной сети приведены в таблице 5.4.

Таб. 5.4 Расходы на проектно-изыскательские работы
Статья расходов Удельный вес, % Сумма, р. Основная заработная плата 36,37 6335,17 Дополнительная заработная плата 3,09 538,48 Отчисления на социальные нужды 14,35 2500,1 Расходы на амортизацию оборудования 3,94 687,19 Расходы на электроэнергию 0,37 64,51 Накладные расходы 10,01 1744,0 Плановые накопления 31,85 5548,9 Итого 100 17418,35
НДС – 18%
Итого с НДС – 20553,65 р.

Таким образом, затраты на проектно-изыскательские работы локальной вычислительной сети составляют 20553,65 рублей. При этом основными видами расходов на проектно-изыскательские работы, являются основная заработная плата отчисления на социальные нужды.
Сводный расчет стоимости ЛВС представлен в таблице 5.5.

Таб. 5.5 Сводный расчет стоимости ЛВС
Наименование работ и затраты Стоимость р. Цена разработки 20553,65 Монтажные работы
Оборудование, ПО и материалы 79 471 Итого в текущих ценах 2008 г.-2009 г. 100024,65

Вывод: подводя, итоги технико-экономического обоснования мы увидели, что современная компьютерная сеть коммерческого предприятия, требует грамотного подхода на всех этапах разработки и строительства, что сказывается на увеличении конечной стоимости. но, учитывая предъявляемые требования к стабильности работы сети, информационно вычислительного оборудования, хранения и обработки информации, вложения являются оправданными.
Заключение

Введение сети в инфраструктуру предприятия ООО «Спецтехмонтаж», заложило прочный фундамент для дальнейшего развития сетей в указанной организации
За время дипломного проектирования была проведена следующая работа:
Изучена локальная вычислительная сеть.
Проанализирован рынок IP телефонии. Выбраны устройства необходимые для организации IP телефонии.
Изучены варианты соединения и настройки сети.
Разработана структурная схема ЛВС предприятия.
Произведена компьютеризация рабочих мест с объединением их в локальную вычислительную сеть, с наличием сервера, сетевого принтера, и доступом к сети Интернет.
Выполнение данной работы обеспечит наиболее скоростную и производительную работу рабочего персонала.
Для внедрения данного проекта необходимо приобрести:
Модуль с портом E1 для подключения цифровой АТС к маршрутизатору Cisco 3845.
Источник бесперебойного питания IPPON Back Power.
При изучении проекта были выделены основные характеристики экономического обоснования внедрения данного проекта:
Выбрано оптимальное решение соединения всех зданий по телефонному каналу связи, так как прокладка кабеля была бы слишком трудоёмкой и повлекли бы много затрат на её установление
При выборе оборудования не распространялись по разным производителям, и старались выбирать устройства одной марки. В логической структуре сети, все станции соединяются с главным зданием при помощи модема, через выделенный Internet по VPN тоннелю (IPSec)
Сокращение затрат на администрирование. Теперь вместо двух сетей данных используется только одна, соответственно сокращается количество персонала, занимающегося обслуживанием ИТ - инфраструктуры. Более того, обучение персонала служб автоматизации не потребует значительных ресурсов, так как при управлении сети используется то же программное обеспечение для удаленного администрирования из окна Web-браузера, что и при управлении другими сетевыми устройствами. Сотрудники информационных служб хорошо знакомы с этим ПО.
Основным требованием, предъявляемым к проектируемой ЛВС, является безопасность данных. Для этого были приняты меры в виде установки бесперебойного питания, выделение специальных комнат и грамотной настройки сетевого оборудования.
Литература

1. Брау Д. Грядет год стандарта Н.323? / Сети и системы связи, №14.
2. Вендров А.М. CASE-технологии. Современные методы и средства проектирования информационных систем. – М.: Финансы и статистика, 2003. – 176 с.
3. Вендров А.М. Практикум по проектированию программного обеспечения экономических информационных систем: Учеб. пособие. — М.: Финансы и статистика, 2002. — 192 с.: ил.
4. Габбасов Ю.Ф. Internet 2000. – СПб.: БХВ – Санкт – Петербург, 2000.
5. Гольдштейн Б.С., Ехриель И.М., Рерле Р.Д. Интеллектуальные сети. М.: Радио и связь, 2001.
6. Евсюков К.Н., Колин К.К. Основы проектирования информационно- вычислительных систем. — М.: Статистика, 2007.
7. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы: (Сборник): ГОСТ 34.003 - 90, РД 50 - 680 - 88, РД 50 - 682 - 89, ГОСТ 34. 201 - 89 - ГОСТ 34.602.89 – М.: Изд-во стандартов, 2002. — 150 с.
8. Кузнецов А.Е., ПинчукА. В., Суховицкий А.Л. Построение сетей IP- телефонии / Компьютерная телефония, 2000, №6.
9. Кузнецов С.Д. Проектирование и разработка корпоративных информационных систем. Центр информационных технологий. М.: МГУ, 2008 – http://www.citforum.ru/cfin/prcorpsys/
10. Кульгин М. Технологии корпоративных сетей. Изд. «Питер», 1999.
11. Леонтьев В.П. Персональный компьютер: универсальный справочник пользователя. М.: 2000
12. Могилев А.В. Пак Н.И. Хеннер Е.К. Информатика. М.: изд. «Академия», 2001
13. Силич В.А. Содержательные модели систем и их использование при проектировании АСУ. — Томск: Изд-во ТГУ, 1984. – 115 с.
14. Маршавин Р.А., Ляпунов С.И. Глобальный бизнес и информационные технологии, Учебное пособие. М.:2005 г..
15. Стиф Мак-Квери, Келли Мак-Грю, Стефан Фой. Передача голосовых данных по сетям Cisco Frame Realy, ATM и IP М. Издательский дом “Вильямс”, 2002 – 506с.
16. Уиллис Д. Интеграция речи и данных. В начале долгого пути./Сети и системы связи, 1999.-№16.
17. Бабаева З.Д. Бухгалтерский учет финансово-хозяйственной деятельности организаций: методология, задачи, тесты, ситуации. Учебное пособие (УМО). - М.: Финансы и статистика. 2006. - 544 с
19. Левин М.П. 100% самоучитель работы в сети Интернет: Учебное пособие. Издательство: "Технолоджи - 3000" – 2004. – 200c.
20. Норенков И.П. Автоматизированное проектирование. - М., 2000 – 163 с.
21. Пятибратов А. П., Гудыно Л. П., Кириченко А. А. Вычислительные системы, сети и телекоммуникации / Под. ред. А. П. Пятибратова. М.: Финансы и статистика, 2001. - 512 с
22. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы. СПБ: Издательство "Питер", 2000. - 672 с.
Приложение 1: Физическая структура сети


Приложение 2: Логическая структура сети



Левин М.П. 100% самоучитель работы в сети Интернет: Учебное пособие. Издательство
Пятибратов А. П., Гудыно Л. П., Кириченко А. А. Вычислительные системы, сети и телекоммуникации
Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы
Кузнецов А.Е., ПинчукА. В., Суховицкий А.Л. Построение сетей IP- телефонии / Компьютерная телефония
Вендров А.М. CASE-технологии. Современные методы и средства проектирования информационных
Вендров А.М. CASE-технологии. Современные методы и средства проектирования информационных систем
Вендров А.М. CASE-технологии. Современные методы и средства проектирования информационных систем
Кузнецов С.Д. Проектирование и разработка корпоративных информационных систем
Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы.
Стиф Мак-Квери, Келли Мак-Грю, Стефан Фой. Передача голосовых данных по сетям Cisco Frame Realy, ATM и IP М
Вендров А.М. Практикум по проектированию программного обеспечения экономических информационных систем
Евсюков К.Н., Колин К.К. Основы проектирования информационно- вычислительных систем
Пятибратов А. П., Гудыно Л. П., Кириченко А. А. Вычислительные системы, сети и телекоммуникации
Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы
Вендров А.М. Практикум по проектированию программного обеспечения экономических информационных систем












3