Разработка обновления компьютерной сети организации, занимающейся созданием оцифрованной картографической продукции

Крипто-Про TLS – модуль сетевой аутентификации для Крипто-Про CSP. Предоставляет средства аутентификации отправителя (клиента) и адресата (сервера), используя протокол TLS (Transport Layer Security) и российские криптографические стандарты, осуществляет шифрацию и контроль целостности передаваемых данных.

Secure Pack Rus – сервисный пакет для Microsoft Windows XP и Microsoft Windows Server 2003, позволяющий сертифицировать Microsoft Windows SP 3 в соответствие с требованиями по защите конфиденциальной информации ФСБ России (уровень АК2).

Также на предприятии имеется небольшая сеть для пользования Интернет-ресурсами. Она объединяет всего несколько компьютеров и не требует мощного сервера.

Поэтому в качестве сервера используется обычный персональный компьютер, оснащенный  серверной комплектацией, то есть операционной системой и пакетами  программ,  оптимизированных под выполнение компьютером функций сервера и  содержащие в своем составе комплект программ для реализации типичного набора сервисов.

 

5. Методы и средства защиты информации

 

  Специфика данной  организации такова, что ей необходимо  обеспечивать надежные хранение  данных и передачу больших  объемов информации.

Поэтому для защиты информации используются правовые, организационные (административные), физические и технические (аппаратно-программные) меры защиты:

- для администрирования  сетей организован специальный  отдел;

- адресация устройств  в сети производится автоматически, для чего реализована служба DHCP, диапазоны адресов определяет администратор; в сети а так же реализованы службы: DNS и WINS;

- управление учетными  записями строго регламентировано: создание/удаление/изменение записей  в домене, а так же назначение  прав доступа отражается документально (ведется список пользователей и их прав доступа – AСL);

- все базы данных и  документы, хранящиеся на серверах (в том числе база почтового  сервера), архивируется согласно установленному регламенту;

- везде установлено однотипное антивирусное программное обеспечение (Kaspersky Internet Security 2009). Обновление проходит централизованно.

- для постоянного контроля  работоспособности сети и отдельных  ее служб, а так же контроля  за производительностью серверов, выделены специальные рабочие места, снабженные необходимым программным обеспечением;

- пользователям сети объяснена  важность сохранения конфиденциальности  личного пароля, а групповой политикой  определены требования к паролям: длинна не менее 6 символов, использование  в пароле как букв так и цифр, смена пароля происходит каждые 24 дня;

- доступ в серверную  комнату строго ограничен. Все  установленное  за пределами данного  помещения коммутационное  оборудование  защищено от воздействий неквалифицированного  персонала;

- ведется строгий аудит доступа ко всем ресурсам сети;

-  сотрудники ИТ-отдела  имеют подробную карту ресурсов  сети и матрицу доступа пользователей  к ним;

- выход в Интернет строго  контролируется: выделены специальные  АРМ, пользование которыми требует  специального разрешения, ведется журнал посещения и осуществляется контроль трафика (не все сотрудники имеют доступ к данному ресурсу);

- для повышения безопасности  передачи документов по электронной  почте используются ключи доступа, ЭЦП и осуществляется проверка  потери информации (Крипто-Про);

- на предприятии организован  пропускной режим и установлены  камеры внутреннего и наружного  слежения; обеспечена круглосуточная  охрана;

-  используется система охранной сигнализации -комплекс технических средств (устройств), обеспечивающих обнаружение несанкционированного проникновения в помещение, либо на ограниченную территорию и сообщение о данном событии заинтересованным лицам.

Под словом «система» подразумевается целый комплекс устройств для обеспечения полнофункциональной работы системы в целом.

 

2. Определение недостатков сети и пути их устранения

 

После исследования текущего состояния сети организации, необходимо определить конкретные задачи, которые требуется решить на пути модернизации.

Крупным недостатком является отсутствие описательной документации или хотя бы маркировки кабелей, без которых поиск неисправного сегмента сети может занять большое количество времени, в связи с чем необходимо упорядочить кабельную систему, используя современные решения в области структурированных кабельных сетей (СКС), привести ее в соответствие с обновленной структурой, промаркировать и описать.

Еще одним из недостатков  является использование волокно – оптического кабеля для связи двух зданий ООО «Геоинженеринг». Использование  данного канала проблематично из-за  быстро разрастающихся деревьев и так же из-за высокой вероятности обрыва оптоволокна  во время сильного ветра. Таким образом, возможным выходом из данной ситуации может быть использование радиоканала.

Еще одним недостатком является нарушение температурного режима в серверной комнате, где совершенно отсутствует система кондиционирования, учитывая небольшое пространство помещения и отсутствие резервного сервера и сервера данных для хранения картографических материалов,  это недопустимо, так как высоковероятен отказ сервера и, как следствие, остановка работы всего предприятия. Поэтому просто необходимо разработать систему кондиционирования и принять меры по повышению отказоустойчивости системы в целом.

Можно отметить недостаточно высокую скорость передачи данных в сети, в связи с ее высокой загруженностью, следовательно, коммуникационные устройства сети  нужно заменить на более скоростные и управляемые. Структура сети должна быть оптимизирована: необходимо убрать лишние промежуточные и устаревшие звенья, нарастить новые ветви сети там, где это необходимо. Сеть уже сейчас не имеет возможности для увеличения рабочих станций, а потребность в большем  количестве  новых автоматизированных  рабочих мест возросла (Приложение 1, таблица 1).  С  увеличением размеров сети и объема сетевого трафика необходимо увеличивать количество серверов. Распределение задач среди нескольких серверов гарантирует, что каждая задача будет выполняться самым эффективным способом из всех возможных.

Отдельно нужно отметить, что системы резервного копирования данных практически нет, что совершенно не соответствует потребностям предприятия. В сети имеются ПК, выделенные для резервного копирования, но большая часть информации хранится на бумаге в архивных помещениях. Это затрудняет процесс обращения к ней и ведет к неэффективному использованию полезных площадей предприятия.    У RAID-решений много плюсов, однако, хранить на них редко используемую информацию экономически нецелесообразно. Бывают ситуации, когда к некоторым файлам пользователи не обращаются несколько месяцев подряд, а потом количество обращений к ним резко возрастает. Такое нередко происходит при работе с электронными архивами. Чтобы удешевить стоимость хранения данных и при этом иметь возможность быстро обратиться к любому файлу, надо использовать роботизированные библиотеки.

Защита от вредоносных программ (вирусов) так же организована на низком уровне. Необходимо проанализировать существующие средства защиты и выбрать наиболее подходящие для конкретного предприятия.

Для связи ООО «Геоинженеринг» с областными организациями используется глобальная вычислительная сеть (ГВС) Интернет, организованная по  АDSL–технологии. Стоит отметить, что не все областные организации вообще имеют соединение с Интернет и обмен информацией с ними происходит посредством факсов, пересылки дисков и передачи данных лично. Помимо временных потерь, это еще и угроза безопасности защите информации. Для решения данных проблем предприятию требуется:

  - организация соединений  между всеми областными подразделениями и центром через сеть Internet;

- развертка системы централизованного  аудита обмена информацией по  сети;

- разработка политик безопасности, регламентирующих связь между  центральным офисом и «областью».

Выполнение указанных задач приведет КС нашего предприятия к требуемым кондициям.

 

2. РЕАЛИЗАЦИЯ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ

 

1. Описание и сравнительный анализ применяемых локальных вычислительных сетей

 

В одноранговой сети все компьютеры равноправны: нет иерархии среди компьютеров и нет выделенного сервера. Как правило, каждый компьютер функционирует и как клиент, и как сервер; иначе говоря, нет отдельного компьютера, ответственного за администрирование всей сети. Все пользователи самостоятельно решают, какие данные на своем компьютере сделать общедоступными по сети.

Рисунок 2.1 Одноранговая сеть

Одноранговые сети называют также рабочими группами. Рабочая группа — это небольшой коллектив, поэтому в одноранговых сетях чаще всего не более 10 компьютеров. Поскольку каждый компьютер является одновременно и клиентом, и сервером, нет необходимости в мощном центральном сервере или в других компонентах, обязательных для более сложных сетей. Одноранговые сети обычно дешевле сетей на основе сервера, но требуют более мощных (и более дорогих) компьютеров. Требования к производительности и к уровню защиты для сетевого программного обеспечения, как правило, ниже, чем в сетях с выделенным сервером. Выделенные серверы функционируют исключительно в качестве серверов, но не клиентов или рабочих станций. В такие операционные системы, как Microsoft Windows NT Workstation, Microsoft Windows for Workgroups и Microsoft Windows 95, встроена поддержка одноранговых сетей. Поэтому, чтобы установить одноранговую сеть, дополнительного программного обеспечения не требуется.

Одноранговая сеть характеризуется рядом стандартных решений:

- компьютеры расположены  на рабочих столах пользователей;

- пользователи сами выступают  в роли администраторов и обеспечивают  защиту информации;

- для объединения компьютеров в сеть применяется простая кабельная система.

Одноранговая сеть вполне подходит там, где:

- количество пользователей  не превышает 10 человек;

- пользователи расположены  компактно;

- вопросы защиты данных  не критичны;

- в обозримом будущем  не ожидается значительного расширения фирмы и, следовательно, сети.

Если эти условия выполняются, то, скорее всего, выбор одноранговой сети будет правильным (чем сети на основе сервера).

Сетевое администрирование решает ряд задач, в том числе: управление работой пользователей и защитой данных; обеспечение доступа к ресурсам; поддержка приложений и данных; установка и модернизация прикладного программного обеспечения.

В типичной одноранговой сети системный администратор, контролирующий всю сеть, не выделяется. Каждый пользователь сам администрирует свой компьютер.

Все пользователи могут “поделиться” своими ресурсами с другими. К совместно используемым ресурсам относятся каталоги, принтеры, факс-модемы и т.п.

В одноранговой сети каждый компьютер должен:

- большую часть своих вычислительных ресурсов предоставлять локальному пользователю (сидящему за этим компьютером);

- для поддержки доступа  к ресурсам удаленного пользователя (обращающегося к серверу по  сети) подключать дополнительные  вычислительные ресурсы.

Защита подразумевает установку пароля на разделяемый ресурс, например на каталог. Централизованно управлять защитой в одноранговой сети очень сложно, так как каждый пользователь устанавливает ее самостоятельно, да и «общие» ресурсы могут находиться на всех компьютерах, а не только на центральном сервере. Такая ситуация представляет серьезную угрозу для всей сети, кроме того, некоторые пользователи могут вообще не установить защиту. Если вопросы конфиденциальности являются принципиальными, рекомендуем выбрать сеть на основе сервера.

Поскольку в одноранговой сети каждый компьютер функционирует и как клиент, и как сервер, пользователи должны обладать достаточным уровнем знаний, чтобы работать и как пользователи, и как администраторы своего компьютера.

Если к сети подключено более 10 пользователей, то одноранговая сеть, где компьютеры выступают в роли и клиентов, и серверов, может оказаться недостаточно производительной. Поэтому большинство сетей использует выделенные серверы. Выделенным называется такой сервер, который функционирует только как сервер (исключая функции клиента или рабочей станции). Они специально оптимизированы для быстрой обработки запросов от сетевых клиентов и для управления защитой файлов и каталогов.

Рисунок 2.2  Сеть на основе сервера

С увеличением размеров сети и объема сетевого трафика необходимо увеличивать количество серверов. Распределение задач среди нескольких серверов гарантирует, что каждая задача будет выполняться самым эффективным способом из всех возможных.

Круг задач, которые должны выполнять серверы, многообразен и сложен. Чтобы приспособиться к возрастающим потребностям пользователей, серверы в больших сетях стали специализированными. Например, в сети Windows NT существуют различные типы серверов.

Файл-серверы и принт-серверы управляют доступом пользователей соответственно к файлам и принтерам. Например, чтобы работать с текстовым процессором, необходимо, прежде всего, запустить его на своем компьютере. Документ текстового процессора, хранящийся на файл-сервере, загружается в память компьютера, и, таким образом, можно работать с этим документом на своем компьютере. Другими словами, файл-сервер предназначен для хранения файлов и данных.