Организация защиты доверенной локальной вычислительной сети предприятия

Основное направление развития современных сетевых операционных систем (Network Operation System - NOS) - перенос вычислительных операций на рабочие станции, создание систем с распределенной обработкой данных. Это в первую очередь связано с ростом вычислительных возможностей персональных компьютеров и все более активным внедрением мощных многозадачных операционных систем: UNIX, Windows NТ, Windows 2000, NetWare и т.д. Кроме того, внедрение объектно-ориентированных технологий (ОLЕ, DСЕ, IDAPI) позволяет упростить организацию распределенной обработки данных. В такой ситуации основной задачей NOS становится объединение неравноценных операционных систем рабочих станций и обеспечение транспортного уровня для широкого круга задач: обработка баз данных, передача сообщений, управление распределенными ресурсами сети.

В сети данные циркулируют по кабелям, соединяющим отдельные компьютеры различным образом. Большинство сбоев и ошибок внутри сети происходит из-за некачественного или дефектного кабеля или кабельного разъема. В зависимости от топологии поиск неисправности может быть весьма трудоемок [4].

Витая пара - относительно дешевая разновидность передающей линии, представляющая собой два провода, перекрученных друг с другом с определенным шагом.

Этот кабель может быть экранированным и неэкранированным. Экранированный кабель более устойчив к электромагнитным помехам. Однако на практике чаще используется неэкранированный кабель, так как такой тип кабеля применяется для разводки телефонных линий и дешевле экранированного. Используется при скоростях передачи 10, 100, 1000 Мбит/с. Недостатками данного кабеля являются высокий коэффициент затухания сигнала и высокая чувствительность к электромагнитным помехам, поэтому максимальное расстояние между активными устройствами в ЛВС при использовании витой пары до 100 метров.

Коаксиальный кабель - кабель, состоящий из одного центрального проводника, заключенного в изолятор, поверх которого расположен другой проводник.

Этот кабель может использоваться в двух различных системах передачи данных: без модуляции сигнала и с модуляцией. В первом случае цифровой сигнал используется в таком виде, в каком он поступает из ПК и сразу же передается по кабелю на приемную станцию. Для скорости передачи 10 Мбит/с длина тонкого кабеля - до 180 м, а толстого - до 500 м. Во втором случае цифровой сигнал превращают в аналоговый и направляют его на приемную станцию, где он снова превращается в цифровой. Операция превращения сигнала выполняется модемом; каждая станция должна иметь свой модем. Этот способ передачи является многоканальным (обеспечивает передачу по десяткам каналов, используя для этого всего лишь один кабель). Длина кабеля может достигать до 50 км. Передача сигнала с модуляцией более дорогостоящая, чем без модуляции. Поэтому наиболее эффективно его использование при передаче данных между крупными предприятиями.

Оптоволоконный кабель является перспективной технологией, используемой в ЛВС. Носителем информации является световой луч, который модулируется сетью и принимает форму сигнала. Такая система устойчива к внешним электрическим помехам и таким образом возможна очень быстрая и безошибочная передача данных (до 2 Гбит/с), при этом обеспечивается секретность передаваемой информации. Количество каналов в таких кабелях огромно. Передача данных выполняется только в симплексном режиме, поэтому для организации обмена данными устройства необходимо соединять двумя оптическими волокнами (на практике оптоволоконный кабель всегда имеет четное, парное количество волокон). К недостаткам можно отнести большую стоимость, а также сложность подсоединения.

Рассмотрим подробнее оборудование, используемое в локальных сетях.

Концентраторы - эти устройства, позволяющие перенаправлять информацию одной или более ветвям, удобны для формирования сети произвольной топологии. Выпускается ряд типов концентраторов, они отличаются по количеству, типу и длине подключаемых кабелей и могут автоматически управлять подсоединенными сегментами (включать и выключать их в случае обнаружения сбоев и обрывов).

Приемопередатчики (трансиверы) - это устройства, предназначенные для приема пакетов от контроллера рабочих станций сети и передачи их в сеть.

Повторители (repeater) - устройства для восстановления и усиления сигналов в сети, служащие для увеличения ее длины. С помощью этих устройств можно объединить несколько сегментов сети с шинной топологией, увеличивая общую протяженность сети.

Мосты используются для соединения в основном идентичных сетей, имеющих некоторые физические различия.

Шлюзы (gateway) - устройства (компьютер), служащие для объединения сетей с совершенно различными протоколами обмена. Шлюзы выполняют протокольное преобразование для сети, в частности преобразование сообщения из одного формата в другой или из одной системы кодирования в другую.

Маршрутизаторы (роутеры) - эти устройства устанавливают соединение в сети. Они обеспечивают достаточно сложный уровень сервиса, так как могут выполнять «интеллектуальные» функции: выбор наилучшего маршрута для передачи сообщения, адресованного другой сети; управление сбалансированной нагрузкой в сети путем равномерного распределения потоков данных; защиту данных; буферизацию передаваемых данных; различные протокольные преобразования. Такие возможности маршрутизаторов особенно важны при построении базовых сетей крупных организаций.

Факс-модемы, в отличие от модемов, обеспечивают скоростную передачу данных только в одном направлении и используют свои собственные стандарты. Они лучше справляются с передачей информации, чем с приемом. В настоящее время выпускаются и комбинированные модемы (модем данных/факс-модем).



3. Выбор оборудования разрабатываемой локальной сети администрации муниципального района Бижбуляк

3.1. Коммутаторы

В качестве коммутаторов выбираем оборудование компании D-link и Asus - коммутатор DES-3828P и два коммутатора GX1026i.

Современные управляемые коммутаторы третьего уровня серии DES-38хх, входящие в семейство D-Link xStack, обеспечивают высокую производительность, масштабируемость, безопасность, многоуровневое качество обслуживания (QoS), передачу питания по сети Ethernet (Power Over Ethernet) и возможность подключения резервного источника питания. Коммутаторы серии DES-38хх можно объединять в виртуальный стек и управлять ими через единый IP-адрес. Устройства поддерживают IP-маршрутизацию и расширенные функции, обычно присущие более дорогим коммутаторам на основе шасси. Технология Single IP Management позволяет бесшовно объединять коммутаторы серии DES-38хх с гигабитными коммутаторами семейства xStack, имеющими возможность подключения к магистрали сети на скорости 10 Гбит/с.

Коммутатор DES-3828P (рис. 3.1) обеспечен расширенной поддержкой VLAN, включая 4 Кб записей VLAN, GARP/GVRP и 802.1Q для повышения безопасности и производительности сети. Управление полосой пропускания позволяет ограничить трафик для каждого порта и управлять объемом передаваемого трафика. В DES-3828P реализована возможность подключения резервных источников питания, увеличивая время доступности сети в случае возникновения проблем с электропитанием. Другие функции коммутатора, повышающие надежность и доступность сети включают агрегирование каналов 802.3ad Link Aggregation, 802.1d Spanning Tree и 802.1w Rapid Spanning Tree [12].



Рис. 3.1 - Коммутатор DES-3828P

DES-3828P содержит набор многоуровневых функций (L2, L3, L4) QoS/CoS, гарантирующих, что критичные к задержкам сетевые сервисы, такие как VoIP и видеоконференции будут обслуживаться с надлежащим приоритетом. Поддерживается 8 очередей приоритетов 802.1p/TOS/DiffServ, с классификацией на основе МАС-адреса источника/приемника, IP-адреса источника/приемника и/или номера порта TCP/UDP. Поддержка многоадресных пакетов IP позволяет доставлять трафик приложений, требовательных к полосе пропускания одновременно нескольким получателям не внося дополнительных накладных расходов на источник и приемник и используя минимальную полосу пропускания.

В коммутаторе DES-3828P сосредоточен широкий набор функций обеспечения безопасности и контроля доступа. Он включает списки контроля доступа уровней 2/3/4 на основе МАС-адреса, номера порта коммутатора, IP-адреса и/или номера порта TCP/UDP, управление ARP-штормом и контроль МАС-адресов. Совместно с управлением сетевыми приложениями, эти функции безопасности гарантируют не только доступ в сеть авторизованных пользователей, но и предотвращение распространения по сети вредоносного трафика.

Технические характеристики DES-3828P:

количество портов коммутатора: 24 x Ethernet 10/100 Мбит/сек, Uplink 2 x Ethernet 10/100/1000 Мбит/сек;

внутренняя пропускная способность: 12.8 Гбит/сек;

размер таблицы MAC адресов: 16384;

статическая маршрутизация;

протоколы динамической маршрутизации: IGMP v1, IGMP v2, IGMP v3, RIP v1, RIP v2, OSPF;

объем оперативной памяти: 32 Мб;

Для организации сети необходимы коммутаторы с поддержкой VLAN. В качестве таких коммутаторов выбираем коммутаторы второго уровня GX1026i компании Asus (рис. 3.2).

Web-управляемый коммутатор GX1026i является эффективным ценовым решением и идеально подходит для решения задач, которые требуют таких функций и сервисов как сегментация VLAN, QoS, аутентификация 802.1х, удобный интерфейс управления.

Графический интерфейс пользователя (GUI) позволяет настраивать QoS, VLAN, безопасность системы без использования командной строки, которая используется в большинстве других управляемых коммутаторах.

Рис. 3.2 - Коммутатор GX1026i

Основные возможности и характеристики:

IEEE 802.3x Flow Control в режиме Full Duplex и Backpressure в режиме Half Duplex;

функция автоопределения;

автоизучение MAC-адресов;

архитектура Store & Forward неблокируемая матрица;

Bandwidth Control и Broadcast Storm Control;

VLAN Uplink, Port based VLAN, Tag based VLAN и VLAN Configuration;

режим CoS priority (Port based, IP TOS/DS based и TCP/UDP port based);

trunking;

port-mirroring;

port-setting for Speed/Disable, Flow control;

MAC Address based Security;

IGMP snooping;

таблица MAC адресов: 4096;

размер буфера 2.75Мб;

Simple Network Management Protocol (SNMP) [12].

3.2 Серверы

В качестве серверов выбираем решение от фирмы Aquarius - два сервера AquaServer T50 D68 серии «Telecom» (рис. 3.3). Один из серверов будет выступать в качестве сервера доступа. На нем будет располагаться часть общих сетевых ресурсов, в том числе файловый сервер, поэтому он будет отличаться от второго наличием четырех дополнительных жёстких дисков объёмом 1000 Gb. Второй сервер будет выступать в качестве маршрутизатора. Так же возьмет на себя часть сетевых ресурсов таких как: общий доступ к интернету и официальный сайт администрации.

Рис. 3.3 - Сервер AquaServer T50 D68

Сервер Aquarius Server T50 D68 является двухпроцессорным, который использует память стандарта DDR3, поддерживает до 8 жестких дисков SATA (при этом сохраняется возможность установки SAS дисков) и обладает возможностью построения RAID массивов уровней 0,1, 1E в базовой конфигурации. Комплектуется резервным блоком питания с возможностью горячей замены и поставляется в корпусе формата 2U для монтажа в стойку.

Сервер построен на базе набора микросхем Intel® 5500. Скорость системной шины Quick Path Interconnect (QPI) в этом сервере достигает 6.4 GT/s, что позволяет использовать в нем самые современные многоядерные процессоры. Новые процессоры Intel® Xeon® имеют интегрированный контроллер памяти, а также поддерживают технологию Hyper Threading, позволяющую каждому ядру процессора обрабатывать два потока команд одновременно. Сервер наиболее эффективен при установке процессоров серии Xeon LV (пониженного напряжения) с термопакетом (TDP) не более 60W, удобен для построения кластеров и тех систем, где требуется большая вычислительная мощность при плотной компоновке.

Благодаря использованию в сервере Aquarius Server T50 D68 новейших процессоров, а также оперативной памяти с меньшим энергопотреблением (DDR 3), значительно улучшается энергоэффективность решения, а прирост производительности достигает 30% при выполнении задач, оптимизированных под многопоточность (мультимедийные приложения, базы данных, поисковые системы).

Таким образом, Aquarius Server T50 D68 - оптимальное соотношение между производительностью и энергопотреблением при безусловном выполнении требований высокой отказоустойчивости и масштабируемости.

Дублирование всех основных компонентов и наличие внушительной дисковой подсистемы с возможностью построения отказоустойчивых конфигураций (вплоть до RAID 60) при помощи 8-портового SAS RAID контроллера позволяет использовать Aquarius Server T50 D68 в качестве сервера баз данных, сервера резервного копирования, а также для обеспечения работы других ресурсоемких задач и сервисов, требующих максимальной надежности и критичных к сбоям.

Конфигурация сервера доступа:

процессор: 2 x Intel Xeon 5600, 4 MB кэш, 2.40 GHz, 5.86 GT/s;

оперативная память: 4 GB ECC DDR3 RDIMM 1333/1066 MHz;

видеоконтроллер: встроенный, объём видеопамяти 8MB;

слоты расширения: 2*PCI-E x8 (x8 link)(Full-Height/Full-Length), 1*PCI-E x4 (x4 link)(Full-Height/Half-Length);

поддержка RAID: RAID 0, 1, 10, 5;

жёсткие диски: 2 x 3.5” hot-swap HDD SATA 250 Gb, 4 x 3.5” hot-swap HDD SATA 1000 Gb;

сетевой адаптер: 3 x Intel® PCI-E Gb LAN Intel 82574L;

источник питания: 2 x 770W с возможностью горячей замены;

оптический привод: slim DVD-RW;

разъёмы внешних устройств: 1 x COM, 2 x PS/2, 3 x RJ45, 4 x USB (из них 2 - на передней панели), 1 x VGA;

клавиатура, мышь.

Конфигурация сервера маршрутизации:

процессор: Intel Xeon 5600, 4 MB кэш, 2.40 GHz, 5.86 GT/s;

оперативная память: 4 GB ECC DDR3 RDIMM 1333/1066 MHz;

видеоконтроллер: встроенный, объём видеопамяти 8MB;

слоты расширения: 2*PCI-E x8 (x8 link)(Full-Height/Full-Length), 1*PCI-E x4 (x4 link)(Full-Height/Half-Length);

поддержка RAID: RAID 0, 1, 10, 5;

жёсткие диски: 2 x 3.5” hot-swap HDD SATA 250 Gb;

сетевой адаптер: 3 x Intel® PCI-E Gb LAN Intel 82574L;

источник питания: 2 x 770W с возможностью горячей замены;

оптический привод: slim DVD-RW;

разъёмы внешних устройств: 1 x COM, 2 x PS/2, 3 x RJ45, 4 x USB (из них 2 - на передней панели), 1 x VGA;

клавиатура, мышь [12].



3.3 Сетевые хранилища

Для хранения данных и резервного копирования, а так же для повседневного использования в служебных целях необходимо автономное сетевое хранилище. С этой целью выбираем сетевой дисковый накопитель DNS-340L компании D-link.

Сетевой дисковый массив DNS-340L (рис. 3.4) с четырьмя отсеками для жестких дисков является удобным решением для организации совместного доступа и осуществления резервного копирования важных данных, в том числе и путем создания персонального «облака». Благодаря высокопроизводительному дисковому накопителю DNS-340L все данные будут сохранены и надежны защищены.

Дисковый накопитель DNS-340L поддерживает работу жестких дисков в различных конфигурациях (Standard, JBOD, RAID 0, RAID 1, 5, 10), позволяющих выбрать наиболее подходящую из них в зависимости от заданных требований. В режиме Standard создается до двух отдельных разделов. JBOD объединяет диски в один том. RAID 0 объединяет диски в массив с чередованием данных для обеспечения максимальной производительности. В RAID 1 содержимое одного жесткого диска дублируется на другой, что обеспечивает максимальную надежность. RAID 5 использует пространство трех установленных дисков, а четвертый диск используется в качестве резервного. RAID 10 - это RAID 0, составленный из нескольких RAID1 массивов. RAID 10 представляет собой зеркалированный массив, данные в котором записываются последовательно на несколько дисков, что обеспечивает защиту и высокую скорость передачи данных. DNS-340L поддерживает режим «горячей» замены, позволяя таким образом заменить жесткий диск без выключения питания или перезагрузки устройства.

Сетевой дисковый накопитель DNS-340L оснащен файловым Web-сервером, позволяющим загружать документы, фотографии и другие мультимедийные файлы независимо от местонахождения.

В сетевой накопитель DNS-340L можно установить 3,5-дюймовые SATA жесткие диски емкостью до 6 ТБ1. Установка дисков не представляет сложности - снимается верхняя панель, и вставляются жесткие диски в отсеки. USB-порты, удобно расположенные на лицевой и задней панели накопителя, можно использовать либо для совместного доступа к USB-принтеру, либо для подключения внешнего USB-накопителя с целью выполнения резервного копирования одним нажатием кнопки. Также можно подключить источник бесперебойного питания (ИБП) для обеспечения сохранности данных в случае отключения питания.

Рис. 3.4 - Сетевой дисковый массив DNS-340L

Основные характеристики:

поддерживаемые типы жестких дисков: 3,5-дюймовые SATA жесткие диски емкостью до 6 ТБ1;

дисплей: OLED 256х64;

интерфейсы устройства: 2 порта 10/100/1000 Gigabit Ethernet, 1 порт USB 3.0, 2 порта USB 2.0, разъем для внешнего адаптера питания.

Жесткие диски в комплект поставки не входят, поэтому докупаем к устройству четыре жестких диска SATA 1000 Gb. Диски конфигурируем в рейд-массив 5 уровня (RAID 5) [12].



3.4 Источник бесперебойного питания

В качестве источника бесперебойного питания выбираем IPPON Smart Winner 3000.

IPPON Smart Winner 3000 (рис. 3.5) - источник бесперебойного питания линейно-интерактивного типа с синусоидальной формой выходного напряжения. Надежно обеспечивает стабилизированное питание для компьютерной техники (ПК, сервера, сетевого оборудования) и другого чувствительного к качеству электропитания периферийного компьютерного оборудования.

Рис. 3.5 - Источник бесперебойного питания IPPON Smart Winner 3000

Источник бесперебойного питания IPPON Smart Winner 3000 многофункционален - оснащён интерфейсными портами для подключения к сетевому серверу или другому управляющему компьютеру; поддержка протокола SNMP позволяет пользователю осуществлять управление и мониторинг параметров дистанционно. SNMP карта приобретается отдельно.

Основные характеристики:

выходная мощность: 3000 VA;

входная мощность: 2100 Вт.

Работа от электросети:

номинальное входное напряжение: 220/230/240 В +/- 30% (в режиме «Широкого диапазона»);

диапазон напряжений: 154-288 В;

выходная частота: 50/60 Гц +/- 3 Гц (автовыбор).

Работа от батарей:

номинальное выходное напряжение: 220/230/240 В +/- 5% (выбирается пользователем);

выходная частота: 50/60 Гц +/- 0,1 Гц (автовыбор);

время перехода на батареи: типичное время 2-6 мс, и 13 мс для режима «генератор»;

нижний порог перехода на батареи: 154/161/168 В +/-4% (выбирается пользователем);

верхний порог перехода на батареи: 264/276/288 В +/-4% (выбирается пользователем).

Коммутатор DES-3828P, серверы AquaServer T50 D68, сетевой фильтр монтируются в телекоммуникационном шкафу 19-дюймовый EcoLine 42U, оборудованном источником бесперебойного питания IPPON Smart Winner 3000 [12].



4. Методика расчета параметров ЛВС

Для расчета параметров ЛВС следует сформировать исходные данные.

Зададим конфигурацию сети. По заданию выпускной квалификационной работы разрабатываемая сеть должна охватывать здание администрации муниципального района Бижбуляк. Локальная сеть будет иметь древообразную структуру.

Сформируем следующие исходные данные для расчета параметров локальной вычислительной сети:

разрабатываемая локальная вычислительная сеть Fast Ethernet имеет топологию дерево;

спецификация сети предусматривает физический канал в виде неэкранированной витой пары UTP 5 категории со скоростью передачи, В = 100 Мбит/с.

Зададим исходные данные сети:

протяженность сети S = 100 м (максимальное расстояние между станцией и коммутатором);

скорость модуляции, В = 100 Мбит/с;

число станций М = 60;

скорость распространения сигнала по кабелю связи V = 2,3 · 105 Км/с;

максимальное число коммутаторов между двумя станциями nк=3;

средняя длина служебной части кадра Lc = 320 бит;

закон распределения длин служебной части кадра (обычно детерминированный) с = 0;

среднее значение интенсивности сообщений, поступающих от каждой станции ср = 10 (1/с).

Сеть примем однородной.

На основании указанных исходных данных произведем расчет времени задержки в сети и определим ее пропускную способность при различных длинах кадров, после чего построим зависимость коэффициента задержки от нормированной скорости передачи.

Время распространения сигнала по кабелю между двумя наиболее удаленными станциями рассчитывается по формуле:

р = S/VЛВС, (4.1)

где S - протяженность сети;

VЛВС - скорость распространения сигнала по кабелю связи.

р = 100/2,3 · 105 = 0,434 мкс

Максимальное время задержки сигналов в коммутаторах определяется по формуле:

кт = nк(Lк/B) (4.2)

где nк - максимальное число коммутаторов между двумя станциями;

Lк - максимальная задержка одного коммутатора в битах.

Подставим исходные значения и получим:

кт = 3· (14/100·106) = 0,42 нс.

Полное время распространения сигнала по кабелю рассчитывается по формуле:

кт к, (4.3)

где кт - максимальное время задержки сигналов в коммутаторе.

Тогда полное время распространения сигнала по кабелю связи будет равно:

ктк = 0,00042 + 0,434 = 0,435 мкс.



Время передачи информационной части кадра описывается следующей зависимостью:

, (4.4)

где LИ - длина информационной части кадра;

В - скорость передачи данных в ЛВС.

Для различных длин информационной части получим:

Длительность служебной части кадра определяется по формуле:

, (4.5)

где Lc - длина служебной части кадра;

В - скорость передачи данных в ЛВС.

Длина служебной части кадра величина постоянная, следовательно:

с1 = с2 = с3 = с4= с = 320/100 · 106 = 3,2 мкс.

Суммарная средняя длительность передачи кадра определяется как:

, (4.6)

и для различных длин информационной части кадра составляет:

Степень детерминированности процесса можно охарактеризовать коэффициентом вариации.

Коэффициент вариации указывает насколько случайная величина интервала ср отклоняется от своего среднего значения и определяется по формуле:

, (4.7)

где - среднеквадратическое отклонение

В нашем случае среднеквадратическое отклонение определяется как:

(4.8)

Время передачи информационного поля величина случайная со средним значением и, а закон распределения - экспоненциальный, то его среднеквадратическое отклонение:

(4.9)

Время передачи служебной части кадра носит детерминированный характер (остается постоянным), при этом среднеквадратическое отклонение будет равно:



Учитывая все выше написанное, получим:

(4.10)

Соответствующие значения коэффициентов вариации, для различных величин информационной части кадра будут равны:

Суммарное значение интенсивности поступления сообщений

, (4.11)

где М - число станций.

1/с

Загрузка прибора обслуживания потоком сообщений от i-ой станции:

(4.12)

А суммарная загрузка сети со сторон всех станций:

(4.13)

В нашем случае:

(4.14)

и для различных длин информационной части кадра составляет:

По полученным значениям можно увидеть, что при увеличении длины кадра, суммарная загрузка сети также увеличивается.

Коэффициент дальнодействия или нормированный коэффициент задержки распространения сигнала, определяется соотношением:

, (4.15)

где - полное время распространения сигнала;

- суммарная средняя длительность кадра.

Подставив известные значения, получим:

Так как сеть однородна, то время задержки сообщений, нормированное по отношению к ср, определяется соотношением:

(4.16)

Подставив ранее полученные значения в формулу (4.16), получим:

- при Lи =800 бит:

- при Lи =1200 бит:

- при LИ =6000 бит:

- при LИ=12000 бит:

время задержки доставки:

Пропускная способность канала определяется по формуле:

(4.17)

Таким образом, получаем:

Предельно допустимое значение суммарной интенсивности, при котором загрузка достигает пропускной способности канала, определяется как:

(4.18)

Минимальное время задержки доставки (R=0) определяется соотношением:

(4.19)

Подставляя данные, получаем:

При малых значениях загрузки время доставки , незначительно превышает минимальное время задержки доставки .

Определим зависимость нормированного времени доставки сообщений от значения коэффициента загрузки R, рассчитанную по формуле (4.16) для различных длин кадров. Результаты расчетов сведем в таблицы 4.1, 4.2.



Таблица 4.1 - Коэффициент загрузки при 1 и 2

Коэффициент загрузки, R	Время задержки сообщений	Коэффициент загрузки, R	Время задержки сообщений
0	1,019	0	1,014
0,1	1,241	0,1	1,244
0,2	1,487	0,2	1,494
0,3	1,771	0,3	1,777
0,4	2,121	0,4	2,114
0,5	2,605	0,5	2,552
0,6	3,421	0,6	3,216
0,7	5,569	0,7	4,574
0,8	?	0,8	11,310

Таблица 4.2 - Коэффициент загрузки при 3 и 4

Коэффициент загрузки, R	Время задержки сообщений	Коэффициент загрузки, R	Время задержки сообщений
0	1,003	0	1,002
0,1	1,252	0,1	1,253
0,2	1,516	0,2	1,518
0,3	1,802	0,3	1,805
0,4	2,123	0,4	2,124
0,5	2,500	0,5	2,495
0,6	2,983	0,6	2,960
0,7	3,692	0,7	3,620
0,8	5,056	0,8	4,802
0,9	10,468	0,9	8,521

На основе вышеприведенных расчетов построим график (рис. 4.1) зависимости нормированного времени доставки сообщений от значения коэффициента загрузки R.



Рис. 4.1 - График зависимости нормированного времени доставки сообщений от значения коэффициента загрузки R



5. Обеспечение безопасности персональных данных в информационных системах персональных данных администрации муниципального района Бижбуляк

Согласно приказу ФСТЭК № 21 от 18.02.2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем меры по обеспечению безопасности персональных данных при их обработке в ИСПДн для каждого из уровней защищенности персональных данных [13].

В приказе ФСТЭК № 21 от 18.02.2013 г. прописан состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, а именно:

идентификация и аутентификация субъектов доступа и объектов доступа;

управление доступом субъектов доступа к объектам доступа;

ограничение программной среды;

защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;

регистрация событий безопасности;

антивирусная защита;

обнаружение (предотвращение) вторжений;

контроль (анализ) защищенности персональных данных;

обеспечение целостности информационной системы и персональных данных;

обеспечение доступности персональных данных;

защита среды виртуализации;

защита технических средств;

защита информационной системы, ее средств, систем связи и передачи данных;

выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;

управление конфигурацией информационной системы и системы защиты персональных данных.

На основании приказа ФСТЭК № 21 от 18.02.2013 г. для обеспечения 4-ого уровня защищенности персональных данных необходимо применить:

средства вычислительной техники не ниже 6 класса;

системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса;

межсетевые экраны 5 класса.

В таблице 5.1 приведен состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения 4-ого уровня защищенности персональных данных.

Таблица 5.1 - Состав и содержание мер по обеспечению безопасности персональных данных

Условное обозначение и номер меры	Содержание мер по обеспечению безопасности персональных данных	Уровни защищенности персональных данных
		4
ИАФ.1	Идентификация и аутентификация пользователей, являющихся работниками оператора	+
ИАФ.3	Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов	+
ИАФ.4	Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации	+
ИАФ.5	Защита обратной связи при вводе аутентификационной информации	+
ИАФ.6	Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)	+
УПД.1	Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей	+
УПД.2	Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа	+
УПД.3	Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами	+
УПД.4	Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы	+
УПД.5	Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы	+
УПД.6	Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)	+
УПД.13	Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети	+
УПД.14	Регламентация и контроль использования в информационной системе технологий беспроводного доступа	+
УПД.15	Регламентация и контроль использования в информационной системе мобильных технических средств	+
УПД.16	Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)	+
РСБ.1	Определение событий безопасности, подлежащих регистрации, и сроков их хранения	+
РСБ.2	Определение состава и содержания информации о событиях безопасности, подлежащих регистрации	+
РСБ.3	Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения	+
РСБ. 7	Защита информации о событиях безопасности	+
АВ3.1	Реализация антивирусной защиты	+
АВ3.2	Обновление базы данных признаков вредоносных компьютерных программ (вирусов)	+
АНЗ.2	Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации	+
ЗСВ.1	Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации	+
ЗСВ.2	Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин	+
ЗТС.3	Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены	+
ЗТС.4	Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр	+
ЗИС.3	Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи	+

Все рабочие станции администрации являются членами домена, соответственно все учетные записи пользователей хранятся на сервере доступа, на них заданы пароли и определены групповые политики, также ведется регистрация всех сеансов пользователей.

На сервере маршрутизации, для обеспечения декларированного доступа в Интернет, устанавливаем программный продукт «Traffic Inspector FSTEC». Это комплексное решение с сертификатом ФСТЭК для построения ИСПДн, не требующее дорогостоящего оборудования, обеспечивающее сетевую защиту (сертифицированный межсетевой экран), безопасность подключений, контроль трафика и сетевую статистику доступа.

Для обеспечения защиты информационных систем «1С: Зарплата и кадры бюджетного учреждения 8» и «1С: Бухгалтерия государственного учреждения 8», базы данных этих систем будем хранить на разделах файлового сервера, доступ к которым разграничен групповыми политиками и правами доступа. Антивирусную защиту файлового сервера и рабочих станций обеспечим программным продуктом «Kaspersky Business Space Security». «Kaspersky Business Space Security» имеет сертификат соответствия ФСТЭК, что дает возможность его использования в организациях с повышенными требованиями к уровню безопасности [11].

Защита файлового сервера включается в себя:

файловый антивирус;

сетевой экран;

систему обнаружения вторжений;

мониторинг уязвимостей.

Защита рабочих станций включает в себя:

файловый антивирус;

почтовый антивирус;

веб-антивирус;

«IM-антивирус»;

технологию лечения активного заражения;

мониторинг системы;

проактивную защиту;

мониторинг активности программ;

систему обнаружения вторжений;

сетевой экран;

контроль устройств.

В информационной системе «1С: Документооборот 8» реализован механизм аудита доступа к данным, содержащим персональные сведения, для чего должна быть включена соответствующая настройка программы.

Этот программный комплекс получил сертификат соответствия ФСТЭК № 2137, который подтверждает, что программный комплекс «1С: Предприятие 8.2» признан программным средством общего назначения со встроенными средствами защиты информации от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну.

По результатам сертификации подтверждено соответствие требованиям руководящих документов:

по защите от несанкционированного доступа - по 5 классу;

по уровню контроля отсутствия недекларированных возможностей - по 4 уровню контроля;

подтверждена возможность использования для создания автоматизированных систем до класса 1Г включительно.

Обязательные для обеспечения работы информационной системы СУФД-онлайн являются компоненты СЗИ и СКЗИ, а именно:

СКЗИ «Континент-АП» или СКЗИ АПКШ «Континент»;

СКЗИ «КриптоПро CSP».

Поэтому для эффективной работы системы и обеспечение информационной безопасности СУФД-онлайн устанавливаем СКЗИ «Континент-АП» версии 3.6, имеющий в наличие сертификат ФСТЭК.

СКЗИ «Континент-АП» версии 3.6 обеспечивает гарантированную криптостойкость защищенного соединения, с шифрованием трафика по ГОСТ 28147-89 с современной ключевой схемой.

Персональный межсетевой экран СКЗИ «Континент-АП» обеспечивает безопасное подключение к сетям общего пользования и разграничение доступа к сетевым ресурсам АРМ.

Идентификация и аутентификация удаленного пользователя при установке соединения осуществляются на основе сертификатов открытых ключей стандарта X.509. Все политики доступа удаленных сотрудников настраиваются администратором VPN-сети организации при помощи программы управления ЦУС «Континент».

Информационная система «СБИС» имеет встроенные СЗИ и обладает всеми необходимыми сертификатами ФСТЭК и ФСБ.

Информационная система «1С-Битрикс: Официальный сайт государственной организации» реализована на основе продукта «1С-Битрикс: Управление сайтом», который в свою очередь имеет сертификат соответствия ФСТЭК. «1С-Битрикс: Официальный сайт государственной организации» обладает высоким уровнем безопасности с точки зрения отражения угроз на веб-сайты и защиты конфиденциальных данных. На веб-сайте организовано разграничение прав доступа для различных категорий пользователей.

Также система имеет модуль «Проактивная защита», который обеспечивает целый комплекс мер по защите веб-сайта:

проактивный фильтр;

веб-антивирус;

защита авторизованных сессий;

контроль активности;

журнал вторжений;

защита административных разделов по IP(Internet Protocol);

стоп-листы;

контроль целостности скрипта.

Веб-сайт располагается за межсетевым экраном программного продукта «Traffic Inspector FSTEC» что делает его практически неуязвимым к сетевым атакам.

Для обеспечения целостности организовываем резервное копирование баз данных всех вышеперечисленных систем на разделы сетевого хранилища, которые сконфигурированы в рейд-массив 5 уровня (RAID5). RAID (redundant array of independent disks) - массив из нескольких дисков, управляемых контроллером, взаимосвязанных скоростными каналами и воспринимаемых внешней системой как единое целое. В зависимости от типа используемого массива может обеспечивать различные степени отказоустойчивости и быстродействия. RAID5 использует дополнительную запись контрольных сумм, которая позволяет восстановить информацию в случае выхода из строя одного из дисков. RAID5 имеет самые низкие потери при резервировании путем создания контрольных сумм.

Заключение

В рамках выпускной квалификационной работы был произведен анализ информационных систем администрации, и на основании нормативно-правовой и методической базы РФ в области обеспечения информационной безопасности определены уровни защищенности систем, и определены способы и средства защиты информации в администрации района Бижбуляк.

Также был произведен расчет характеристик проектируемой сети, сделан анализ времени доставки сообщений для различных значений длины кадра и различных значений нагрузки сети.

На основании расчетов была построена зависимость нормированного времени доставки сообщений при различных величинах коэффициента загрузки сети. Проанализировав построенную зависимость, можно сделать вывод, что при небольшой загрузке сети, задержка в доставке сообщений будет минимальна, а пропускная способность сети будет высокой.

Для данной сети было выбрано аппаратное обеспечение, программное обеспечение серверов и рабочих станций.

Использованные в работе материалы и концепции из опубликованной научной литературы и других источников, в том числе ресурсов Интернет, которые указаны в списке литературы.



Список использованных источников

1. Администрация МР Бижбулякский район РБ [Электронный ресурс] - Режим доступа: https://bizhbulyak.bashkortostan.ru/, свободный. - Загл. с экрана.

2. Ватаманюк, А. И. Создание, обслуживание и администрирование сетей [Текст]: Компьютерная литература / А. И. Ватаманюк. - СПб. : Питер, 2010г. - 232 с.

3. Гребешков, А. Ю. Вычислительная техника, сети и телекоммуникации [Текст]: Электронная библиотека / А. Ю. Гребешков. - Самара: ИНУЛ ПГУТИ, 2014.-191 с.

4. Закер К. Компьютерные сети. Модернизация и поиск неисправностей [Текст]: Электронная библиотека / К. Закер. - БХВ - Петербург, 2004г. - 1008 с.

5. Информационные системы [Электронный ресурс] - Режим доступа: www.consultant.ru, www.1c.ru, www.1c-bitrix.ru, www.lotusnotes.ru, свободный. Загл. с экрана.

6. Козик, П. В. Технологии современных сетей Ethernet. Методы коммутации и управления потоками данных[Текст]: Учебное пособие / В. П. Козик, Е. В. Смирнова - БХВ - Петербург, 2012г. - 272 с.

7. Курносов, А. П. Практикум по информатике [Текст]: Учебное пособие / Под ред. А. П. Курносова - Воронеж: ВГУ, 2007г. - 430 с.

8. Малышев, Р. А. Сети ЭВМ и средства телекоммуникаций. Часть 1. Локальные вычислительные сети [Текст]: Конспект лекций / РГАТА. - Рыбинск, 2009г. - 143 с.

9. Олифер, В. Г. Компьютерные сети: Принципы, технологии, протоколы [Текст]: Учебное пособие для вузов / В. Г. Олифер, Н. А. Олифер - СПб: Питер, 2002г. - 668 с.

10. Основы компьютерных сетей [Текст]: Компьютерная литература (сетевые технологии. / Б. Д. Виснадул [и др.]. - 2007г. - 272 с.

11. Постановление Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [Электронный ресурс] - Режим доступа: http://base.garant.ru/70252506/, свободный. Загл. с экрана.

12. Серверы, коммутаторы и сетевые адаптеры [Электронный ресурс] - Режим доступа: www.d-link.com, ru.asus.com, www.aq.ru, свободный. Загл. с экрана.

13. Федеральный закон Российской Федерации от ФЗ от 27 июля 2006 г. № 152-ФЗ (ред. от 21.07.2014) «О персональных данных» [Электронный ресурс] - Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_61801/, свободный. Загл. с экрана.



Приложение

Структурная схема ЛВС

Размещено на Allbest.ru

...