Contribution to International Economy

  • Розробка програмно-технічних пропозицій для створення аппаратно-програмного комплексу збереження та захисту інформаційних ресурсів

 РЕФЕРАТ

 

Пояснювальна записка до дипломного проекту «Аппаратно-програмний комплекс збереження та захисту інформаційних ресурсів» викладена на 83 с., містить 31 рисунок, 3 таблиці, 24 літературних джерела.

 

Об’єкт дослідження — процеси збереження та захисту інформації.

 

Предмет дослідження — методи та засоби збереження та захисту інформації.

 

Мета дослідження – розробка програмно-технічних пропозицій для створення аппаратно-програмного комплексу збереження та захисту інформаційних ресурсів, що дозволить забезпечити потрібний рівень захисту інформаційних ресурсів комерційного банку.

У роботі раасмотриваются підходи і пропонуються технічні рішення по забезпеченню безпечної взаємодії філій комерційного банку між собою, організації видаленого доступу клієнтів банку і захисту інформаційних ресурсів банку, доступних з мережі Інтернет.

 

Результати дипломного проекту можуть бути використані при проектуванні засобів збереження та захисту інформаційних ресурсів для комерційних організацій.

 

Безпека, інформація, інформаційнІ ресурси, комп'ютерна мережа, захист інформації, видалений доступ.

 

 

 

 


Зміст

 

ВСТУП

            4

1. АНАЛІЗ МЕТОДІВ І ЗАСОБІВ збереження та захисту інформаційних ресурсів В КОМП'ЮТЕРНИХ СИСТЕМАХ І МЕРЕЖАХ

 

 

7

1.1. Загальні вимоги до системи захисту інформаційних ресурсів банку

7

1.2. Аналіз захищеності  комп'ютерної мережі, як частина аудиту його безпеки

 

10

1.3. Аналіз погроз безпеці комп'ютерної мережі

16

1.4. Початкові дані на дослідження

26

2. ДОСЛІДЖЕННЯ ТА МОДЕРНІЗАЦІЯ КОМП'ЮТЕРНОЇ МЕРЕЖІ БАНКУ

 

28

2.1. Дослідження технологій побудови комп'ютерної мережі філії банку

28

2.2. Модернізація функціонування комп'ютерної мережі

35

2.2.1. Проектування клієнтського залу

37

2.2.2. Проектування мережі офісної будівлі

38

2.2.3. Проектування мережі адміністративного офісу

41

2.3. Вибір технологій організації каналу передачі даних між філіями банку

45

2.3.1. Технологія ISDN

49

2.3.2. Використання VPN

64

3. Розробка аппаратно-програмного комплексу збереження та захисту інформаційних ресурсів
на основі комп'ютерної мережі банку

 

 

51

3.1. Вибір засобів збереження та захисту інформаційних ресурсів

51

3.1.1. Вимоги до складу засобів захисту інформації

51

3.1.2. Загальна схема захисту

52

3.2. Програмні рішення по збереженню та захисту інформаційних ресурсів в комп'ютерній мережі банку

 

54

3.2.1. Налаштування серверу  Microsoft Windows

54

3.2.2. Налаштування міжмережевого екрану Check Point FireWall

56

3.3. Апаратні рішення по збереженню та захисту інформаційних ресурсів в комп'ютерній мережі банку

 

68

3.4. Проектування захищеного каналу передачі даних між філіями банку на основі VPN

 

72

4. ДОДАТКОВІ ЗАХОДИ по збереженню та захисту інформаційних ресурсів банку НА ОСНОВІ ЗАПРОПОНОВАНИХ РІШЕНЬ

 

 

78

4.1. Виявлення каналів просочування інформації комп'ютерної мережі

79

4.2. Створення служби безпеці і служби охорони

89

4.3.   Заходи щодо запобігання просочуванню інформації по технічному каналу

 

92

ВИСНОВОК

95

СПИСОК ВИКОРИСТОВУВАНИХ ДЖЕРЕЛ

96

ДОДАТОК А. Калькуляція собівартості системи захисту інформації

103

ДОДАТОК Б. Аналіз методів і засобів захисту інформації
в комп'ютерних системах і мережах

 

110

 


ВСТУП

 

В умовах багатократних щорічно зростаючих інформаційних потоків,  вже практично  неможливо  уявити чітку взаємодію банківських структур,  торгових і посередницьких фірм, державних установ і інших організацій без сучасної обчислювальної техніки і комп'ютерних мереж. Інакше довелося б містити гігантський  штат  обробників паперових документів і кур'єрів,  причому надійність і швидкість функціонування такої системи все одно була б модемним зв'язком, що значно нижче  надавався, і комп'ютерними мережами. Результатом еволюції комп'ютерних технологій з'явилися обчислювальні мережі. Обчислювальна мережа – це складний комплекс взаємозв'язаних і погоджено функціонуючих програмних і апаратних компонентів.

В даний час використання обчислювальних мереж дає підприємству численні можливості. Кінцевою метою використання обчислювальних мереж в організації є підвищення ефективності його роботи, яке може виражатися, наприклад, в збільшенні прибутку банку.

Останнім часом почав переважати інший спонукальний мотив розгортання мереж, набагато важливіший, ніж економія засобів при розділенні дорогих ресурсів. Цим мотивом стало прагнення забезпечити користувачам мережі оперативний доступ до обширної корпоративної інформації.

Використання мережі приводить до вдосконалення комунікацій, тобто до поліпшення процесу обміну інформацією і взаємодії між співробітниками організації, а також її клієнтами. Мережі знижують потребу організації в інших формах передачі інформації, таких як телефон або звичайна пошта.

При цьому, обов'язковій організації мережі, що становить, є створення системи захисту інформації, організації, що зберігається і оброблюваній в локально-обчислювальній мережі. Оскільки забезпечення безпеки і цілісності комерційної інформації є невід'ємній складовій розвитку будь-якої організації.

Отже, розробка ефективною систем захисту інформаційних ресурсів на основі локально-обчислювальних мереж є  актуальним завданням для кожної організації.

Одному з різновидів організації, які не можуть здійснювати свою повсякденну діяльність без комп'ютерної мережі і відповідно без ефективної систем захисту інформації є банки. У даній організації вся оброблювана інформація має статус комерційної таємниці або персональних даних.

Таким чином, метою даної роботи є розробка програмно-технічних пропозицій для створення аппаратно-програмного комплексу збереження та захисту інформаційних ресурсів, що дозволить забезпечити потрібний рівень захисту інформаційних ресурсів комерційного банку.

Об’єкт дослідження — процеси збереження та захисту інформації.

Предмет дослідження — методи та засоби збереження та захисту інформації.

Відповідно до цієї мети в роботі поставлені і вирішені наступні часткові задачі:

1. Аналіз методів і засобів збереження та захисту інформаційних ресурсів в комп'ютерних системах і мережах.

2. Аналіз загальних вимог до захисту інформаційних ресурсів банку.

3. Аналіз погроз безпеці комп'ютерної мережі.

4. Виявлення каналів просочування інформації в комп'ютерної мережі.

5. Дослідження технологій побудови комп'ютерної мережі філії банку.

6. Модернізація функціонування комп'ютерної мережі.

7. Модернізація організації каналу передачі даних між філіями банку.

8. Вибір засобів збереження та захисту інформаційних ресурсів.

9. Розробка програмних та технічних рішень по збереженню та захисту інформаційних ресурсів в комп'ютерній мережі банку.

10. Проектування захищеного каналу передачі даних між філіями банку.

11. Розробка рекомендацій щодо створення служби безпеці і служби охорони.

12. Розробка заходів щодо підбору і роботи з персоналом.

13. Розробка заходів щодо запобігання просочуванню інформації по технічному каналу.

Наукова новизна отриманих результатів дипломної роботи полягає в розробці і дослідженні ефективності пропозицій для створення аппаратно-програмного комплексу збереження та захисту інформаційних ресурсів.

При цьому отримані наступні нові наукові результати:

1. Вперше запропоновані програмно-технічні пропозиції, які на відміну від відомих розроблені для комерційного банку з наявністю віддалених філіалів і дозволяють розробити ефективний аппаратно-програмний комплекс збереження та захисту інформаційних ресурсів.

2. Вдосконалені методи збереження та захисту інформаційних ресурсів в частині організації функціонування компютерних мереж, які на відміну від відомих використовують додаткові програмно-апаратні засоби захисту інформації, що дозволяє організувати захищений канал звязку між віддаленими філіями комерційної організації.

Крім того, практичне значення роботи визначається можливістю застосування запропонованих рішень і їх технічної реалізації не тільки при створенні і вдосконаленні системи збереження та захисту інформаційних ресурсів комерційного банку, але й в інших комерційних організаціях, де використовуються компютерні мережі.

Зважаючи на поставлені завдання структура роботи складатиметься з чотирьох розділів:

            розділ 1 – аналіз методів і засобів збереження та захисту інформаційних ресурсів в комп'ютерних системах і мережах;

            розділ 2 - дослідження та модернізація комп'ютерної мережі банку;

            розділ 3 - розробка аппаратно-програмного комплексу збереження
та захисту інформаційних ресурсів на основі комп'ютерної мережі банку;

            розділ 4 - додаткові заходи по збереженню та захисту інформаційних ресурсів банку на основі запропонованих рішень.


РОЗДІЛ 1

АНАЛІЗ МЕТОДІВ І ЗАСОБІВ збереження та захисту інформаційних ресурсів В КОМП'ЮТЕРНИХ СИСТЕМАХ І МЕРЕЖАХ

 

1.1. Загальні вимоги до захисту інформаційних ресурсів банку

 

Інформаційна безпека – стан захищеності інформаційного середовища суспільства, формування, що забезпечує її, використання і розвиток на користь громадян, організацій, держави [3].

Контроль стану захисту ресурсів - перевірка відповідності організації і ефективності захисту інформації,  встановленим вимогам і/або нормам в області захисту інформації [6].

Ліцензія – документ, що встановлює повноваження фізичних і юридичних осіб відповідно до закону і інших правових актів для здійснення діяльності в області зв'язку [1].

Користувач інформації – суб'єкт, що користується інформацією, отриманою від її власника, власника або посередника відповідно до встановлених прав і правил доступу до інформації або з їх порушенням [2].

Правила фільтрації – перелік умов, по яких з використанням заданих критеріїв фільтрації здійснюється дозвіл або заборона подальшої передачі пакетів (даних), і перелік дій, вироблюваних міжмережевим екраном (МЕ) по реєстрації і/або здійсненню додаткових захисних функцій [12].

Ресурси - дані, програмні, програмно-апаратні або апаратні засоби, використовувані для забезпечення виконання автоматизованою системою (АС) встановлених функцій [10].

Ризик - потенційна небезпека нанесення збитку в результаті реалізації деякої загрози [10].

Сертифікат – документ, підтверджуючий, що належним чином ідентифіковане устаткування або послуга зв'язку відповідають вимогам нормативних документів [1].

Система захисту ресурсів – сукупність органів і/або виконавців, використовувана ними техніка захисту інформації, а також об'єкти захисту, організовані і функціонуючі по правилах, встановлених відповідними правовими, організаційно-розпорядливими і нормативними документами по захисту інформації.     

Засіб захисту ресурсів – технічний,  програмний засіб, речовина і/або матеріал, призначені або використовувані для захисту інформації [6].     

Мета безпеки - викладений намір протистояти встановленим погрозам і/або задовольняти встановленій політиці безпеки організації і припущенням [10].

Система захисту конденфициальной інформації повинна відповідати наступним нормативно-методичним документам:

 ГОСТ Р 50922-96 — Захист інформації. Основні терміни і визначення.

Р 50.1.053-2005 — Інформаційні технології. Основні терміни і визначення в області технічного захисту інформації.

ГОСТ Р 51188—98 — Захист інформації. Випробування програмних засобів на наявність комп'ютерних вірусів. Типове керівництво.

ГОСТ Р 51275-99 — Захист інформації. Об'єкт інформатизації. Чинники, що впливають на інформацію. Загальні положення.

ГОСТ Р Ісо/мек 15408-1-2002 — Інформаційна технологія. Методи і засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 1. Введення і загальна модель.

ГОСТ Р Ісо/мек 15408-2-2002 — Інформаційна технологія. Методи і засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 2. Функціональні вимоги безпеки.

ГОСТ Р Ісо/мек 15408-3-2002 — Інформаційна технологія. Методи і засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 3. Вимоги довіри до безпеки.

ГОСТ Р Ісо/мек 15408 — «Загальні критерії оцінки безпеки інформаційних технологій» — стандарт, що визначає інструменти і методику оцінки безпеки інформаційних продуктів і систем; він містить перелік вимог, по яких можна порівнювати результати незалежних оцінок безпеки, — завдяки чому споживач ухвалює рішення про безпеку продуктів. Сфера додатку «Загальних критеріїв» — захист інформації від несанкціонованого доступу, модифікації або витоку, і інші способи захисту, що реалізовуються апаратними і програмними засобами.

ГОСТ Р Ісо/мек 17799 — «Інформаційні технології. Практичні правила управління інформаційною безпекою». Пряме застосування міжнародного стандарту з доповненням — ISO/IEC 17799:2005.

ГОСТ Р Ісо/мек 27001 — «Інформаційні технології. Методи безпеки. Система управління безпекою інформації. Вимоги». Пряме застосування міжнародного стандарту — ISO/IEC 27001:2005.

ГОСТ Р 51898-2002 — Аспекти безпеки. Правила включення в стандарти.

 

 

 


1.2. Аналіз захищеності  комп'ютерної мережі, як частина аудиту її безпеки

 

Аудит є незалежною експертизою окремих областей функціонування банку. Розрізняють зовнішній і внутрішній аудит. Зовнішній аудит – це, як правило, разовий захід, що проводиться за ініціативою керівництва організації або акціонерів. Рекомендується проводити зовнішній аудит регулярно, а, наприклад, для багатьох фінансових організацій і акціонерних суспільств це є обов'язковою вимогою. Внутрішній аудит є безперервною діяльністю, яка здійснюється на підставі «Положення про внутрішній аудит» і відповідно до плану, підготовка якого здійснюється підрозділом внутрішнього аудиту і затверджується керівництвом організації. Аудит безпеки інформаційних систем є одній з складових ІТ аудиту. Цілями проведення аудиту безпеки є [17]:

аналіз рисок, пов'язаних з можливістю здійснення погроз безпеці відносно ресурсів ІС банка;

оцінка поточного рівня захищеності ІС банкам;

локалізація вузьких місць в системі захисту ІС банка;

оцінка відповідності ІС існуючим стандартам в області інформаційної безпеки;

вироблення рекомендацій по впровадженню нових і підвищенню ефективності існуючих механізмів безпеки ІС банка.

Етап збору інформації аудиту, є найбільш складним і тривалим. Це пов'язано з відсутністю необхідної документації на інформаційну систему (ІС) і з необхідністю щільної взаємодії аудитора з багатьма посадовими особами  банку [18].

 Отримання інформації про організацію, функціонування і поточний стан ІС здійснюється аудитором в ході спеціальних організованих інтерв'ю з відповідальними особами компанії, шляхом вивчення технічної і організаційно-розпорядливої документації, а також дослідження ІС банка з використанням спеціалізованого програмного інструментарію [17].

На одному з етапів аудиту визначаються призначення і принципи функціонування ІС. Вони багато в чому визначають існуючі ризики і вимоги безпеки, що пред'являються до системи. Для цього з'ясовуються наступні питання [19]:

Які послуги і яким чином надаються кінцевим користувачам?

Які основні види додатків, функціонує в ІС?

Кількість і види користувачів, що використовують ці застосування?

Також необхідна наступна документація, звичайно, якщо така взагалі є в наявність [18]:

Функціональні схеми;

Опис автоматизованих функцій;

Опис основних технічних рішень;

Інша проектна і робоча документація на інформаційну систему.

 Далі, потрібна детальніша інформація про структуру ІС банка. Це дозволить з'ясувати, яким чином здійснюється розподіл механізмів безпеки по структурних елементах і рівнях функціонування ІС. У зв'язку з цим з'ясовуються наступні питання [18]:

З яких компонентів (підсистем) полягає ІС?

Функціональність окремих компонент?

Де проходять межі системи?

Які точки входу є?

Як ІС взаємодіє з іншими системами?

Які канали зв'язку використовуються для взаємодії з іншими ІС?

Які канали зв'язку використовуються для взаємодії між компонентами системи?

По яких протоколах здійснюється взаємодія?

Які програмно-технічні платформи використовуються при побудові системи?

На цьому етапі необхідно отримати наступну документацію [18]:

Структурна схема ІС банка;

Схема інформаційних потоків;

Опис структури комплексу технічних засобів інформаційної системи;

Опис структури програмного забезпечення;

Опис структури інформаційного забезпечення;

Розміщення компонентів інформаційної системи.

Підготовка значної частини документації на ІС, зазвичай, здійснюється вже в процесі проведення аудиту. Коли всі необхідні дані по ІС, включаючи документацію, підготовлені, можна переходити до їх аналізу.

Методи аналізу даних аудиту визначаються вибраними підходами до проведення аудиту, які можуть істотно розрізнятися.

Перший підхід, найскладніший, базується на аналізі рисок. Спираючись на методи аналізу рисок, аудитор визначає для обстежуваної ІС індивідуальний набір вимог безпеки, що найбільшою мірою враховує особливості даної ІС, середовища її функціонування і погрози безпеці, що існують в даному середовищі. Даний підхід є найбільш трудомістким і вимагає найвищої кваліфікації аудитора. На якість результатів аудиту, в цьому випадку, сильно впливає використовувана методологія аналізу і управління ризиками і її застосовність до даного типу ІС [17].

Другий підхід, самий практичний, спирається на використання стандартів інформаційної безпеки. Стандарти визначають базовий набір вимог безпеки для широкого класу ІС, який формується в результаті узагальнення світової практики. Стандарти можуть визначати різні набори вимог безпеки, залежно від рівня захищеності ІС банку, який потрібно забезпечити, її приналежності (комерційна організація, або державна установа), а також призначення (фінанси, промисловості, зв'язок і тому подібне). Від аудитора в даному випадку потрібно правильно визначити набір вимог стандарту, відповідність яким потрібно забезпечити для даної ІС. Необхідна також методика, що дозволяє оцінити цю відповідність. Із-за своєї простоти (стандартний набір вимог для проведення аудиту вже заздалегідь визначений стандартом) і надійності (вимоги стандарту ніхто не спробує оспорити), описаний підхід найбільш поширений на практиці (особливо при проведенні зовнішнього аудиту). Він дозволяє при мінімальних витратах ресурсів робити обгрунтовані виводи про стан ІС [17].

Третій підхід, найбільш ефективний, припускає комбінування перших два. Базовий набір вимог безпеки, що пред'являються до ІС банка, визначається стандартом. Додаткові вимоги, в максимальному ступені особливості функціонування даної, що враховують, ІС, формуються на основі аналізу рисок. Цей підхід є набагато простішим першого, оскільки велика частина вимог безпеки вже визначена стандартом, і, в той же час, він позбавлений недоліку другого підходу, що укладає в тому, що вимоги стандарту можуть не враховувати специфіки обстежуваної ІС [17].

Аналіз рисок - це те, з чого повинна починатися побудова будь-якої системи інформаційної безпеки. Він включає заходи щодо обстеження безпеки ІС, з метою визначення того які ресурси і від яких погроз треба захищати, а також в якому ступені ті або інші ресурси потребують захисту. Визначення набору адекватних контрзаходів здійснюється в ході управління ризиками. Ризик визначається вірогідністю спричинення збитку і величиною збитку, що наноситься ресурсам ІС, у разі здійснення загрози безпеці [17].

Аналіз рисок полягає в тому, щоб виявити існуючі ризики і оцінити їх величину (дати їм якісну, або кількісну оцінку). Процес аналізу рисок ділиться на декілька послідовних етапів [19]:

Ідентифікація ключових ресурсів ІС банка;

Визначення важливості тих або інших ресурсів для організації;

Ідентифікація існуючих погроз безпеці і уязвимостей, що роблять можливим здійснення погроз;

Обчислення рисок, пов'язаних із здійсненням погроз безпеці.

Ресурси ІС можна розділити на наступні категорії:

Інформаційні ресурси;

Програмне забезпечення;

Технічні засоби (сервери, робочі станції, активне мережеве устаткування і т.п.)

Людські ресурси.

У кожній категорії ресурси діляться на класи і підкласи. Необхідно ідентифікувати тільки ті ресурси, які визначають функціональність ІС і істотні з погляду забезпечення безпеки [17].

Важливість (або вартість) ресурсу визначається величиною збитку, що наноситься у разі порушення конфіденційності, цілісності або доступності цього ресурсу. Зазвичай розглядаються наступні види збитку [17]:

Дані були розкриті, змінені, видалені або сталі недоступні;

Апаратура була пошкоджена або зруйнована;

Порушена цілісність програмного забезпечення.

Збитку може бути завданий організації в результаті успішного здійснення наступних видів погроз безпеці [18]:

локальні і видалені атаки на ресурси ІС;

стихійні лиха;

помилки, або умисні дії персоналу ІС;

збої в роботі ІС, викликані помилками в програмному забезпеченні або несправностями апаратури.

Під уязвимостями зазвичай розуміють властивості ІС, що роблять можливим успішне здійснення погроз безпеці [18].

Величина риски визначається на основі вартості ресурсу, вірогідності здійснення загрози і величини уразливості по наступній формулі [17]:

 

          ,                           (1.1)

 

Завдання управління ризиками полягає у виборі обгрунтованого набору контрзаходів, що дозволяють понизити рівні рисок до прийнятної величини. Вартість реалізації контрзаходів має бути менше величини можливого збитку. Різниця між вартістю реалізації контрзаходів і величиной можливого збитку має бути назад пропорційна вірогідності спричинення збитку.

Якщо для проведення аудиту безпеки вибраний підхід, що базується на аналізі рисок, то на етапі аналізу даних аудиту зазвичай виконуються наступні групи завдань [19]:

Аналіз ресурсів ІС банка, включаючи інформаційні ресурси, програмні і технічні засоби, а також людські ресурси;

Аналіз груп завдань, що вирішуються системою, і бізнес процесів;

Побудова (неформальною) моделі ресурсів ІС, що визначає взаємозв'язки між інформаційними, програмними, технічними і людськими ресурсами, їх взаємне розташування і способи взаємодії;

Оцінка критичності інформаційних ресурсів, а також програмних і технічних засобів;

Визначення критичності ресурсів з урахуванням їх взаимозависимостей;

Визначення найбільш вірогідних погроз безпеці відносно ресурсів ІС і уязвимостей захисту, що роблять можливим здійснення цих погроз;

Оцінка вірогідності здійснення погроз, величини уязвимостей і збитку, що наноситься організації у разі успішного здійснення погроз;

Визначення величини рисок для кожної трійки: загроза – група ресурсів – уразливість.

Перерахований набір завдань, є достатньо загальним. Для їх вирішення можуть використовуватися різні формальні і неформальні, кількісні і якісні, ручні і автоматизовані методики аналізу рисок. Суть підходу від цього не міняється.

Оцінка рисок може даватися з використанням різних як якісних, так і кількісних шкал. Головне, щоб існуючі ризики були правильно ідентифіковані і проранжированы відповідно до ступеня їх критичності для  банку. На основі такого аналізу може бути розроблена система першочергових заходів щодо зменшення величини рисок до прийнятного рівня [17].

 


1.3. Аналіз погроз безпеці комп'ютерної мережі

 

Загроза - сукупність умов і чинників, що визначають потенційну або реально існуючу небезпеку виникнення інциденту, який може привести до нанесення збитку функціонуванню АС, активам, що захищаються, або окремим особам [12].

Погрози, за способом їх створення, можна умовно розділити на наступні три типи: природні, технічні, створені людьми [14]. Природні погрози [14]:

Стихійні лиха (осідання, повені і т п.);

Пожежі;

Магнітні бурі – можуть привести до серйозних збоїв електронного устаткування;

Радіоактивне випромінювання – виводить з ладу напівпровідникові прилади і як наслідок електронного устаткування.

Природні погрози приводять до відмови в обслуговуванні за рахунок фізичного руйнування устаткування, втрати даних із-за збоїв системи унаслідок вказаних погроз [14].

Технічні погрози [14]:

Відключення або коливання електроживлення і інших засобів забезпечення – може привести до простого відключення або виходу з ладу устаткування, як наслідок відмова в лудінні, втрата або спотворення даних;

Відмови і збої апаратно-програмних засобів – приводять до відмови в лудінні і/або спотворення і втрати даних, порушення ліній зв'язку;

Електромагнітні випромінювання і наведення – приводять до спотворення, втрати даних, витоки за рахунок ПЕМІН;

Витоки через канали зв'язку (оптичні, електричні, акустичні) – можуть привести до несанкціонованого перехоплення, зняття інформації.

Погрози створені людьми:

1  Зовнішній порушник особа не є співробітником СТУ і що проводить дії що порушують політикові безпеки СТУ [14].

2  Внутрішній порушник особа є співробітником СТУ і що проводить дії що порушують політикові безпеки СТУ, співробітник може, як бути так і не бути користувачем системи [14].

3  Ненавмисні дії – дії викликані цікавістю, по незнанню, зокрема політики безпеки, або унаслідок помилок в роботі, без наміру заподіяти який-небудь збиток [14]:

Обслуговуючий персонал – може випадково: відключити електроживлення, висмикнути patch-корд або інший мережевий кабель;

Управлінський персонал (адміністратори системи) – можливі помилки адміністрування, необережні дії, що призвели збій в системі;

Програмісти-розробники – помилки при написанні програм, що приводять до переповнювання буфера, виконання довільної коди, несанкціонованого доступу і іншим уязвимостям;

Користувачі системи – можуть запустити незнайому програму, яка виявиться шкідливою.

4  Навмисні дії – усвідомлені дії, переслідуючі певну незаконну мету [14]:

Обслуговуючий персонал – може навмисно вивести з ладу устаткування, відключити електроживлення, упровадити шкідливу апаратну закладку і т.п.;

Управлінський персонал (адміністратори системи) – може скопіювати, змінити, пошкодити, знищити інформацію, що захищається, або порушити працездатність засобів, де вона зберігається або обробляється, оскільки має все має рацію доступу, може спеціально наділити якого-небудь користувача зайвими правами і т.п.;

Програмісти-розробники – можуть при створенні програми навмисно створити в ній «чорні входи», «троянські» і інші шкідливі функції;

Користувачі системи – можуть намагатися здійснити і здійснювати несанкціонований доступ до інформації, що захищається, і інформації інших користувачів, навмисно запускати шкідливі програми і навмисно порушувати нормальний режим роботи системи.

          Описану вище класифікацію погроз можна наочно представити у вигляді схеми, вона приведена на рис. 1.1.

 

Рис. 1.1. Класифікація погроз безпеці інформації

 

У даній роботі навмисно залишаться без уваги природні і технічні погрози, оскільки вони не входять в тему даної роботи. Дані погрози можуть бути реалізовані на рівнях інформаційної системи, виділимо чотири рівні [16], ділення представлене на рис. 1.2.

 

 

 

Рис. 1.2. Рівні інформаційної системи

 

Рівень прикладного програмного забезпечення (ПО), що відповідає за взаємодію з користувачем. Прикладом елементів ІС, що працюють на цьому рівні, можна назвати текстовий редактор Word, електронні таблиці Excel, поштову програму Outlook Express, системи MS Query і так далі [16].

Рівень системи управління базами даних (СУБД), що відповідає за зберігання і обробку даних інформаційної системи. Прикладом елементів ІС, що працюють на цьому рівні, можна назвати СУБД Oracle, MS SQL Server, Sybase і навіть MS Access [16].

Рівень операційної системи (ОС), що відповідає за обслуговування СУБД і прикладного програмного забезпечення. Як приклади елементів ІС цього рівня можна привести ОС Microsoft Windows 2000, Sun Solaris, Novell NetWare [16].

Рівень мережі, що відповідає за взаємодію вузлів інформаційної системи. Для цього рівня характерними прикладами відповідних елементів ІС є модулі, що взаємодіють по протоколах TCP/IP, IPS/SPX або SMB/NetBIOS [16].

Всі порушники діляться на дві категорії зовнішні і внутрішні. У свою чергу, внутрішні порушники діляться на зареєстрованих і незареєстрованих користувачів в системі. Зареєстровані користувачі діляться, відповідно до наявних прав, на простих користувачів, привілейованих користувачів і адміністраторів. Зовнішні порушники діляться на користувачів ВІТС ФТС і користувачів мережі Internet [14]. Для наочності класифікація порушників представлена на малюнку 1.3.

Внутрішнім порушником може бути особа з наступних категорій співробітників [14]:

користувачі СТУ;

обслуговуючий персонал (системні адміністратори, адміністратори ЛВС, інженери, обслуговуючі устаткування СТУ);

співробітники-програмісти, супроводжуючі системне і прикладне програмне забезпечення;

технічний персонал (робочі підсобних спеціальностей, прибиральниці), що працює в будівлях, в яких розміщується устаткування СТУ;

інші співробітники підрозділів, що мають санкціонований доступ в будівлі, де розташовано устаткування передачі і обробки інформації СТУ.

 

 

 

Рис. 1.3. Класифікація порушників

 

Передбачається, що несанкціонований доступ на об'єкти СТУ сторонніх осіб виключається організаційними заходами (охорона території, організація пропускного режиму) [14].

Припущення про кваліфікацію внутрішнього порушника формулюються таким чином.

Внутрішній порушник [14]:

є висококваліфікованим фахівцем в області розробки і експлуатації програмного забезпечення і технічних засобів, знає специфіку завдань, що вирішуються в мережі СТУ, є системним програмістом, здатним програмно модифікувати роботу операційних, зокрема мережевих операційних систем;

правильно представляє функціональні особливості роботи мережі СТУ і закономірності формування в ній масивів інформації і потоків запитів до них;

може використовувати тільки штатне устаткування і технічні засоби, що є у складі СТУ.

Внутрішні порушники підрозділяються на чотири категорій (від А до D) залежно від способу доступу і повноважень доступу [14].

Категорія А: Не зареєстровані мережі СТУ особи, що мають санкціонований доступ в приміщення з устаткуванням.

Особи, що відносяться до категорії А [14]:

можуть мати доступ до будь-яких фрагментів інформації про термінальне і серверне устаткування СТУ і встановленому на них програмному забезпеченні;

можуть мати в своєму розпорядженні будь-які фрагменти інформації про топологію мережі (комунікаційній частині підмережі) і про використовувані комунікаційні протоколи і їх сервіси.

Категорія В: зареєстрований користувач мережі СТУ, що здійснює доступ до системи по ЛВС і з видаленого робочого місця. Особа, що відноситься до категорії В [14]:

знає щонайменше одне легальне ім'я доступу (спосіб доступу);

володіє всіма необхідними атрибутами, що забезпечують доступ до мережі СТУ (наприклад, паролем);

має в своєму розпорядженні інформацію про топологію ЛВС СТУ, технічних і програмних засобах обробки інформації в СТУ;

має можливість прямого (фізичного) доступу до фрагментів технічних засобів СТУ.

Категорія З: зареєстрований користувач з повноваженнями системного адміністратора [14]. Особа, що відноситься до категорії C [14]:

володіє всіма можливостями осіб категорії B;

володіє повною інформацією про системний і прикладний програмний, забезпеченні СТУ;

володіє повною інформацією про технічні засоби і конфігурацію мережі СТУ;

має доступ до всіх технічних засобів обробки інформації і даних, володіє правами конфігурації і адміністративного налаштування технічних і програмних засобів обробки інформації.

Категорія D: адміністратори устаткування (програмного забезпечення) СТУ [8]. Особа, що відноситься до категорії D [14]:

володіє  можливостями внесення помилок, програмних «закладок», «троянських коней», вірусів в ПО СТУ на стадії впровадження і супроводу ПО;

може мати в своєму розпорядженні будь-які фрагменти інформації про топологію ЛВС СТУ і технічних засобах обробки СТУ.

Зовнішній порушник –  це особи, що мають можливість впливати на мережу СТУ і її ресурси тільки зовні. Зовнішні порушники діляться на дві категорії А і B [14].

Категорія А: всі користувачі ВІТС ФТС не входять до числа внутрішніх користувачів СТУ [14].

Категорія В: користувачі загальнодоступної мережі Internet [14].

Припущення про кваліфікацію зовнішнього порушника формулюються таким чином.

Зовнішній порушник [14]:

є висококваліфікованим фахівцем в області розробки і експлуатації програмного забезпечення і технічних засобів, знає специфіку завдань, що вирішуються в мережі СТУ, є системним програмістом, здатним програмно модифікувати роботу операційних, зокрема мережевих операційних систем;

знає мережеве і канальне устаткування, протоколи передачі даних, використовуваних в СТУ;

знає особливості системного і прикладного програмного забезпечення, а також технічних засобів СТУ;

знає функціональні особливості роботи системи і закономірності формування в ній масивів інформації і потоків запитів до них.

Під час функціонування вузлів мережі відбуваються різні події, які змінюють стани цих вузлів. Дані події можуть бути представлені з погляду безпеки за допомогою двох складових — дії і адресата. Дії — це кроки, системи (користувачем, процесом і т. д.), що робляться суб'єктом, для досягнення якогось результату. До дій можна віднести читання, копіювання, модифікацію, видалення і так далі Адресат – це логічний (обліковий запис, процес або дані) або фізичний (вузол мережі, мережа, компонент) об'єкт системи. І хоча багато захисних засобів припускають ще і третій параметр — джерело події. Він винесений за рамки опису моделі події безпеки, оскільки цей параметр стає значущим тільки у разі реального осуществ­ления атаки і нанесення збитку.

Прикладом події є доступ користувача до файлу. У тому випадку, коли подія виконується відповідно до політики безпеки, то це — рядова подія. Подія — мінімальна одиниця, якій опери­руют сучасні засоби захисту.

Як тільки подія порушує політику безпеки, воно відразу рассматри­вается як частина атаки.

Атакою на інформаційну систему називається дія або послідовність зв'язаних між собою дій порушника, які приводять до реалізації загрози шляхом використання уязвимостей цієї інформаційної системи [16].

Існують різні типи класифікації атак. Наприклад, ділення на пасивні і активні, зовнішні і внутрішні атаки, умисні і ненавмисні [22]. Проте щоб не заплутати у великому різноманітність класифікацій, мало застосовних на практиці, хотілося б представити більш "життєву" класифікацію [23]:

видалене проникнення (remote penetration) — атака, яка дозволяє реалізувати видалене управління комп'ютером через мережу. Прикладом такої програми є SubSeven або BackOrifice;

локальне проникнення (local penetration) — атака, що приводить до діставання несанкціонованого доступу до вузла, на якому вона запущена. Прикладом такої програми є GetAdmin [16];

видалена відмова в обслуговуванні (remote denial of service) —  така, яка дозволяє порушити функціонування системи або перенавантажувати комп'ютер через Internet. Прикладом такої атаки є Teardrop або trinOO;

локальна відмова в обслуговуванні (local denial of service) — атака, що дозволяє порушити функціонування системи або перенавантажувати комп'ютер, на якому вона реалізується. Як приклад такої атаки можна привести ворожий апрет, який завантажує центральний процесор нескінченним циклом, що приводить до неможливості обробки запитів інших застосувань;

мережеві сканери (network scanners) — програми, які аналізують топологію мережі і виявляють сервіси, доступні для атаки. Прикладом такої програми можна назвати систему nmap;

сканери уязвимостей (vulnerability scanners) — програми, що здійснюють пошук уязвимостей на вузлах мережі. Такі програми можуть бути використані для реалізації атак. Приклади — система SATAN або ShadowSecurityScanner [16];

зломщики паролів (password crackers) — програми, які підбирають паролі користувачів.  Прикладом  зломщика паролів може служити LOphtCrack для Windows або John the Ripper для UNIX;

аналізатори протоколів (sniffers) — програми, які "прослуховують" мережевий трафік. За допомогою цих програм можна автоматично шукати ідентифікатори і паролі користувачів, інформацію про кредитні карти і так далі Аналізатором протоколів можна назвати Microsoft Network Monitor, NetXRay компанії Network Associates або LanExplorer [16].

Атаки з боку хакерів і зарубіжних держав все частіше реалізуються (цей показник за даними звіту за рік росте), тоді як по решті позицій, навпаки, помічається зниження [16].

Поширеність атак, виходячи із статистичних даних, виглядає таким чином [16]:

 

 

Рис. 1.4. Частота виявлення атак

 

Як видно з діаграми (рис. 1.4) найчастішими є вірусні атаки і зловживання в Internet з боку співробітників, в той же час за даними статистики атаки типу «відмова в обслуговуванні» неухильно росте [16].

На підставі відомостей, отриманих в результаті аналізу ІВС СТУ, визначений список погроз, які реально існують для локально обчислювальних мереж СТУ. Для формування цього списку були використані наступні дані: про організацію ІВС СТУ, побудова ЛВС СТУ, про використовувані операційні системи серверів і робочих станцій, про використовуваних в СТУ локальних і мережевих застосуваннях.

Погрози:

Відкриті користувачем для загального користування ресурси робочих станцій;

Доступ користувача до всього сервера, в частині портів і служб;

Доступ з ВІТС ФТС до всієї мережі СТУ;

Доступ з мережі СТУ будь-якого користувача у ВІТС ФТС;

Прості і (або) короткі паролі;

Ігнорування оновлень і патчів на системне і прикладне програмне забезпечення;

Зайві права у користувачів, як наслідок навмисні і ненавмисні дії персоналу з порушення безпеки.

 


1.4. Початкові дані на дослідження

 

Комп'ютерна мережа банку, Е-mail, Internet, “свій” Web-сервер, наявність маршрутизатора, доступ в Internet видаленого клієнта (підключеного до мережі через додатковий модем), LAN-сервер з БД обмеженого доступу, шлюз в Internet.

Мережею є домен Windows NT з сервером Windows. Будь-який користувач домена може дістати доступ до сервера з будь-якої робочої станції, ввівши ім'я і пароль. Головний контроллер домена виконує наступні функції:

пізнання користувачів домена по імені і паролю;

надання доступу до дискових ресурсів сервера;

контроль за доступом користувачів домена до файлів і принтерів робочих станцій;

надання доступу до ресурсів Internet і електронній пошті.

У мережі банку використовується модель "клієнт-сервер", коли одні комп'ютери або програми, звані серверами, надають доступ до своїх ресурсів, а інші, звані клієнтами, користуються цими ресурсами. При цьому сервер чекає підключення клієнтів, а клієнт при підключенні шукає відповідний сервер. На одному комп'ютері може працювати декілька серверних програм, а одна програма може працювати на різних комп'ютерах. Найчастіше використовуються файлові і поштові серверні служби.

З'єднання клієнта з сервером здійснюється за допомогою протоколу - набору правил встановлення, підтримки з'єднання і передачі даних між програмами. Одні служби підтримують роботу по декількох протоколах, інші працюють тільки по одному з них.

При роботі в домені Windows NT  робочі станції є клієнтами мережі Microsoft.

Протокол TCP/IP є базовим в мережі Internet, де він служить основою для складніших протоколів взаємодії. TCP/IP за умовчанням не встановлюється при налаштуванні мережі.

Протокол IPX/SPX є базовим для доступу до файл-серверам і підтримується більшістю мережевих систем, а також використовується багатьма мережевими програмами для обміну даними між станціями. Протокол NETBEUI використовується в мережах Microsoft і вважається за ефективніший, ніж IPX/SPX. При установці клієнтської частини для мереж Microsoft ці протоколи встановлюються автоматично.

Склад ресурсів, що захищаються.

До тих, що захищаються відносяться всі ресурси мережі, які включають:

Хости мережі (такі як ПК; включає операційні системи, додатки і дані хостов);

Пристрої мережі (маршрутизатор, міжмережевий екран);

Дані мережі (дані, які передаються по даній мережі).

Перелік актуальних погроз для банку.

Існує декілька основних типів погроз, що представляють велику небезпеку для банку:

Маскарад. Використання механізмів ідентифікації і авторизації підвищує упевненість в тому, що користувач, з яким ви встановлюєте зв'язок, не є підставною особою і що йому можна надати санкціонований доступ [12].

Прослуховування. Під час передачі даних про користувачів (призначених для користувача ідентифікаторів і паролів) або приватні конфіденційні дані по незахищених каналах ці дані можна підслуховувати і згодом зловживати ними. Методи шифровки даних знижують вірогідність цієї загрози [12].

Маніпулювання даними. Дані, які зберігаються на яких-небудь носіях або передаються по каналах зв'язку, в принципі можна змінити. У багатьох методах шифрування використовується технологія захисту цілісності даних, що запобігає їх несанкціонованій зміні [12].

Відмова від обслуговування (Denial of Service - DOS). Відмова від обслуговування є різновидом хакреської атаки, в результаті якої важливі системи стають недоступними. Це досягається шляхом переповнювання системи непотрібним трафіком, на обробку якого йдуть всі ресурси системної пам'яті і процесора [12].

 


РОЗДІЛ 2

ДОСЛІДЖЕННЯ ТА МОДЕРНІЗАЦІЯ КОМП'ЮТЕРНОЇ МЕРЕЖІ БАНКУ

 

2.1. Дослідження технологій побудови комп'ютерної мережі філії банку

 

Допустимо, у власності банка  є одне поверхова філія, в якій буде знаходиться 10 робочих станцій. Ці 10  робочих станцій підключаються до комутатора, який розташований в апаратній на відстані 23 метрів. Комутатор з'єднується з оптоволоконним конвертором, який пов'язаний з «серверною» в центральному офісі. Адміністративний офіс знаходиться на відстані 200 метрів від магазина. Це п'ятиповерхове приміщення, де встановлено 50 робочих станцій, для працівників банку, що знаходяться на кожному поверсі. На кожному поверсі встановлений комутатор і оптоволоконний конвертор для зв'язку з “серверною”. Середня відстань від комутатора до робочих станцій складає не більше 50 метрів. Всі поверхи адміністративного офісу пов'язані з “серверною”, за допомогою оптоволоконного кабелю. “Серверна” адміністративного офісу також як і філія пов'язана з “серверною” центральному офісі.

Офісна будівля центрального офісу банку складається з 5-ти поверхів на яких розташовуються такі відділи:

Юридичний

Менеджерів

Відділ програмістів і системних адміністраторів

Фінансовий відділ

Економічний.

Поверхи по своєму плануванню однакові, на кожному поверсі встановлений комутатор і оптоволоконний конвертор, всі поверхи пов'язані з “серверною” на третьому поверсі. На кожному знаходиться по чотири робочі кімната, расчитанные на чотири робочих місця. Відстань від комутатора до робочої станції в середньому складає 25 метрів.    

Кабель в приміщенні укладається в пластиковий короб шириною 10 див., кабель який безпосередньо підводиться до робочої станції укладуется в короб шириною 2 див., на кінці такого короба встановлюється мережева розетка.

Виходячи з цього, спроектуємо кабельну систему з урахуванням  використовуваних технологій і типів кабелю.

Кабельна система є фундаментом будь-якої мережі. Відповіддю на високі вимоги до якості кабельної системи стали структуровані кабельні системи, що є набором комутаційних елементів (кабелів, роз'ємів, коннекторів, кросових панелей і шаф), а також методика їх сумісного використання, яка дозволяє створювати регулярні, легко розширювані структури зв'язків в обчислювальних мережах.

Як кабельне устаткування використовуємо виту пару і волоконно-оптичний кабель.

Витаючи пара (UTP/STP, unshielded/shielded twisted pair) в даний час є найбільш поширеним середовищем передачі сигналів в локальних мережах. Кабелі UTP/STP використовуються в мережах Ethernet, Token Ring і ARCnet. Вони розрізняються по категоріях (залежно від смуги пропускання) і типі провідників (гнучкі або одножильні). У кабелі 5-ої категорії, як правило, знаходиться вісім провідників, перевитих попарно (тобто чотири пари).

Всі кабелі складаються з 4 пар (дві для передачі файлів, інші два для передачі голосу). Для з'єднання кабелів з устаткуванням  використовують вилки і розетки RJ-45. З'явилися так само кабелі категорії 6, з частотою до 200 Мгц, і категорій 7, з частотою до 600 Мгц, які обов'язково екрануються.

Структурована кабельна система, побудована на основі витої пари 5-ої категорії, має дуже велику гнучкість у використанні. Її ідея полягає в наступному.

На кожне робоче місце встановлюється не менше двох (рекомендується три) чотирипарних розеток RJ-45. Кожна з них окремим кабелем 5-ої категорії з'єднується з кросом або патч - панеллю, встановленою в спеціальному приміщенні, — серверною. У це приміщення заводяться кабелі зі всіх робочих місць, а також міські телефонні введення, виділені лінії для підключення до глобальних мереж і тому подібне У приміщенні, природно, вмонтовуються сервери, а також офісна АТС, системи сигналізації і інше комунікаційне устаткування.

Завдяки тому, що кабелі зі всіх робочих місць зведені на загальну панель, будь-яку розетку можна використовувати як для підключення робочого місця до ЛВС, так і для телефонії або взагалі чого завгодно.

Для з'єднання магістральних каналів використовуватимемо оптоволоконний кабель — найбільш перспективна і забезпечуюча найбільшу швидкодію середовище розповсюдження сигналів для локальних мереж і телефонії. У локальних мережах оптоволоконні кабелі використовуються для роботи по протоколах АТМ і FDDI.

Оптоволокно, як зрозуміло з його назви, передає сигнали за допомогою імпульсів світлового випромінювання. Як джерела світла використовуються напівпровідникові лазери, а також світлодіоди. Оптоволокно підрозділяється на одно- і багатомодове.

Одномодове волокно дуже тонке, його діаметр складає близько 10 мікрон. Завдяки цьому світловий імпульс, проходячи по волокну, рідше відбивається від його внутрішньої поверхні, що забезпечує менше загасання. Відповідно одномодове волокно забезпечує велику дальність без застосування повторителей. Теоретична пропускна спроможність одномодового волокна складає 10 Гбіт/с. Його основні недоліки — висока вартість і висока складність монтажу. Одномодове волокно застосовується в основному в телефонії.

Багатомодове волокно має більший діаметр — 50 або 62,5 мікрона. Цей тип оптоволокна найчастіше застосовується в комп'ютерних мережах. Більше загасання в багатомодовому волокні пояснюється вищою дисперсією світла в нім, із-за якої його пропускна спроможність істотно нижча — теоретично вона складає 2,5 Гбіт/с.

Для з'єднання оптичного кабелю з активним устаткуванням застосовуються спеціальні роз'єми.

Найбільш часто застосовними типами з'єднувачів є:

SMA — це з'єднувач з різьбовим з'єднанням. Він був найбільш поширений, оскільки першим був стандартизований, але зараз його застосування скорочується.

ST — це з'єднувач байонетного типу. Він найбільш популярний, оскільки забезпечує точніше і надійніше з'єднання.

FC-PC — цей тип з'єднувача є комбінацією різьбового і байонетного з'єднувачів. Він не настільки популярний, як ST, але об'єднує кращі якості з'єднувачів SMA і ST.

SC — цей швидкорознімний з'єднувач завойовує все велику популярність на ринку.

Патч-панель, або панель з'єднань, є групою розеток RJ-45, змонтованих на пластині шириною 19 дюймів. Це стандартний розмір для універсальних комунікаційних шаф — рэков (rack), в яких встановлюється устаткування (концентратори, сервери, джерела безперебійного живлення і тому подібне). На зворотному боці панелі змонтовані з'єднувачі, в які вмонтовуються кабелі.

Кабелі з багатожильними гнучкими провідниками використовуються як патч-кордов, тобто сполучних кабелів між розеткою і мережевою платою, або між розетками на панелі з'єднань або кросі. Кабелі з одножильними провідниками — для прокладки власне кабельної системи. Монтаж роз'ємів і розеток на ці кабелі абсолютно ідентичний, але зазвичай кабелі з одножильними провідниками вмонтовуються на розетки робочих місць користувачів, панелі з'єднань і кроси, а роз'єми встановлюють на гнучкі сполучні кабелі.

Як правило, застосовуються наступні види роз'ємів:

RJ-11 і RJ-12 — роз'єми з шістьма контактами. Перші зазвичай застосовуються в телефонії загального призначення — ви можете зустріти такий роз'єм на шнурах імпортних телефонних апаратів. Другий зазвичай використовується в телефонних апаратах, призначених для роботи з офісними МІНІ-АТС, а також для підключення кабелю до мережевих плат ARCnet;

RJ-45 — восьмиконтактний роз'єм, що використовується зазвичай для підключення кабелю до мережевих плат Ethernet або для комутації на панелі з'єднань.

Виходячи з викладеного, спроектуємо структуровану кабельну систему, що відповідає технічним вимогам.

Структурована кабельна система будується ієрархічно, з головною магістраллю і численними відгалуженнями від неї.

Типова ієрархічна структура структурованої кабельної системи включає:

горизонтальні підсистеми (в межах поверху);

вертикальні  підсистеми (усередині будівлі);

підсистему  кампусу (в межах однієї території з декількома будівлями).

Використання структурованої кабельної системи замість хаотично прокладених кабелів дає підприємству багато переваг:

універсальність

збільшення терміну служби

зменшення вартості додавання нових користувачів і зміни їх місць розміщення

можливість легкого розширення мережі

забезпечення ефективнішого обслуговування

надійність

Структурована кабельна система включає:

Горизонтальна підсистема (в межах поверху);

Абонентська частина;

Стаціонарна частина;

Комутаційна частина;

Вертикальна підсистема (між поверхами);

Підсистема кампусу (в межах однієї території з декількома будівлями).

Горизонтальна підсистема характеризується великою кількістю відгалужень кабелю, оскільки його потрібно провести до кожної призначеної для користувача розетки. Тому до кабелю, використовуваного в горизонтальній проводці, пред'являються підвищені вимоги до зручності виконання відгалужень, а так само зручності його прокладки в приміщеннях. При виборі кабелю приймаються до уваги наступні характеристики: смуга пропускання, відстань, фізична захищеність, електромагнітна перешкодозахисна, вартість. У горизонтальній підсистемі використовуватимемо технологію Fast Ethernet з її специфікацією 100BaseTX.

100BASE-TX  - для двохпарного кабелю на неекранованій витій парі UTP категорії 5 або екранованій витій парі STP Type 1 (макс. довжина рівна 100м., швидкість передачі даних рівна 100Мб/с.);

Горизонтальну підсистему, тобто поверхову, можна розділити на три частини:

Абонентська частина – складається з розеток RJ-45, сполучених патч-кордом.

Стаціонарна частина – є патч-корд, який сполучає розетки з шафкою з мережевим устаткуванням.

Комутаційна частина – це патч-корд між комутатором і розетками на патч-панели.

Розглянемо більш докладніше, на кожному поверсі встановлюється комутатор, від якого розходяться кабелі до мережевих розеток, в які будуть підключені робочі станції користувачів. Комутатор встановлюється в настінну шафу для того, щоб приховати комутатор від стороннього погляду і проникнення сторонніх.

Вертикальна підсистема. Кабель вертикальної підсистеми, який сполучає поверхи будівлі, повинен передавати дані на великі відстані і з більшою швидкістю в порівнянні з кабелем горизонтальної підсистеми. Вона складається з протяжніших відрізань кабелю, кількість відгалужень набагато менша, ніж в горизонтальній підсистемі. Для простоти монтажу тут використовуватиметься оптоволокно. Оптоволоконні кабелю з кожного поверху проводяться в серверну де кроссируются з комутатором через оптоволоконний конвертор. Відповідно на кожному поверсі в шафі те ж коштує оптоволоконний конвертор який сполучає поверх з серверною.

Тут використовуватиметься технологія Gigabit Ethernet, її специфікація 1000Base-LX .

Підсистема кампусу є об'єднанням декількох будівель між собою. Для даної підсистеми оптимальнее всього побудувати кабельну систему на основі оптоволоконного кабелю.

 Таким чином, з “серверної” кожної будівлі виходить оптоволоконний кабель який сполучає одну серверну з іншою. Тут також використовуватиметься технологія Gigabit Ethernet, специфікації 1000Base-LX.

Виходячи з цього виберемо необхідне мережеве устаткування.

На сьогоднішній день існує безліч фірм, що випускають мережеве устаткування. Найбільш популярними є 3COM, Cisco, Allied Telesyn, ATI, D-Link, та інші. Різноманітність фірм утрудняє вибір устаткування, оскільки деякі фірми займаються виробництвом вже давно, є престижними і встановлюють високі ціни на свої продукти. Інші менш відомі встановлюють ціни нижчі, але якість теж може бути нижче. Поява кожної нової фірми і її продуктів загострює конкуренцію на ринку і призводить до зниження цін на устаткування. Мережі стають все більш доступними.

3COM  проводить весь спектр мережевого устаткування. Вона займає перше місце по загальних постачаннях устаткування для локальних мереж.

CISCO відома на ринку мережевих продуктів, як виробник маршрутизаторів і концентраторів. Останнім часом непогано зарекомендували себе комутатори для робочих груп. Ці фірми продають свою продукцію в порівнянні з іншими фірмами по нижчих цінах.

Проаналізувавши схему з'єднань, виберемо наступне устаткування:

            Комутатор 3COM 2426T – для зв'язку комп'ютерів на поверхах

            Конвертор PLANET Gigabit convector 1000Base – TX to  1000Base –LX – для зв'язку комутаторів на поверхах і “серверних” між будівлями.

 

2.2. Модернізація функціонування комп'ютерної мережі

 

Для наочності роботи локально-обчислювальної мережі розробимо проект мережі в програмному середовищі NETCRACKER.

Призначення системи: автоматизоване проек­тирование і моделювання локальних і корпора­тивных комп'ютерних мереж в цілях мінімізації витрат часу і засобів на розробку, верифика­цию проектів.

Функції:

створення проекту мережі;

анімаційне моделювання мережі;

моделювання трафіку мережі і збір статистики;

створення багаторівневих мережевих проектів;

вибір оптимальних компонентів мережі;

використання бази даних мережевих компонентів;

інтерактивне проектування мережі.

Мінімальні умови застосування системи NetCracker:

Pentium II;

50 Мбайт вільного простору на жорсткому диску;

256 Мбайт (512 Мбайт, рекомендується) оперативної пам'яті; відеопам'ять

Super VGA з роздільною здатністю 800x600;

параметри налаштування екрану мають бути встановлені High Color (16-разряд­ная колірна палітра, 65536 квітів);

Таким чином, повна структурна схема всіх будівель поверхів і відділів і кімнат, де розташовується мережа, має наступний вигляд:

 

Рис. 2.1. Структурна схема будівель

 

Будівлі Банку розподілені на невеликій території. Ці будівлі утворюють кампус. Кампус складається з трьох будівель: Центрального офісу, адміністративного офісу, і філії №1.

Будівлі сполучені за технологією  Gigabit Ethernet. Розглянемо будівлі

детальніше.

 

2.2.1. Проектування клієнтського залу.

Структура мережі клієнтського залу має наступний вигляд, який показаний на Рис. 2.2.

Користувачі мережі в залі підключаються до комутатора, який знаходиться в серверній залу.



Рис. 3.2. Клієнтський зал філії

 

     Склад “серверною” залу представлений на рис.  2.3.

 

 

Рис. 2.3. Серверна клієнтського залу

 

У “серверній стоїть”,  комутатор і оптоволоконний конвертор.

Комутатор підключений до оптоволоконного конвертора, який пов'язаний з серверною в центральному офісі.

Розглянемо операторські клієнтського залу.

Операторські показані на рис. 2.4. У операторських встановлені по чотири робочих станцій.

 

Рис. 2.4. Операторські залу

 

Технічний склад операторських клієнтського залу ідентичний.

 

2.2.2. Проектування мережі офісної будівлі.

Офісна будівля має наступну структуру

 

 

Рис. 2.5. Офісна будівля

 

Як показано на рис. 2.5 офіс має 5 поверхів, кожен з яких

є відділом. У офісному будівля розташовані наступні відділи:

Юридичний відділ – 1-й поверх

Менеджери – 2-й поверх

Відділ програмістів і системних адміністраторів – 3-й поверх

Фінансовий відділ – 4-й поверх

Економ відділ – 5-й поверх

Всі відділи або поверхи офісу пов'язані з серверною що знаходиться на третьому поверсі і побудовані за технологією Gigabit Ethernet.

Кожен поверх офісної будівлі по плануванню однаковий, так що розглянемо тільки один з поверхів офісу.

 

Рис. 2.6. Вид другого поверху

 

На малюнку видно що, на поверсі чотири кімнати, розглянемо кімнати детальніше. На рис. 2.7 показана кімната в якій знаходяться чотири робочі станції і мережевий принтер, для друку. Принтер, як і робочі станції пов'язані з комутатором, який знаходит



Другие работы по теме: