Автор работы: Пользователь скрыл имя, 18 Марта 2014 в 09:25, дипломная работа
Данный дипломный проект направлен на усовершенствование существующего проекта локальной вычислительной сети с целью улучшения ее основных характеристик.
При проектировании сети нужно выбрать аппаратные средства, использование которых позволит объединить здания компании, находящиеся на расстоянии 200 метров друг от друга, заменив при этом используемый оптоволоконный кабель (Приложение 2). Для удовлетворения возрастающих требований приложений к пропускной способности коммуникационных систем и учитывая размер сети, необходимо предусмотреть некоторый запас быстродействия, который определил бы нормальное функционирование системы в течение нескольких лет.
ВВЕДЕНИЕ 4
ПОСТАНОВКА ЗАДАЧИ 6
1 АНАЛИТИЧЕСКИЙ ОБЗОР ОРГАНИЗАЦИИ 6
1.1 Анализ исходного состояния корпоративной сети предприятия 6
1.1.1 Типы линий связи 7
1.1.2 Коммуникационное оборудование 7
1.1.3 Топология сети 8
1.1.4 Сетевые операционные системы 9
1.1.5 Методы и средства защиты информации 11
1.2 Определение недостатков сети и путей их устранения 12
2 РЕАЛИЗАЦИЯ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ 16
2.1 Описание и сравнительный анализ применяемых локальных вычислительных сетей 16
2.2 Размещение сервера 22
2.3 Выбор топологии сети 24
2.4 Выбор типа кабеля 29
2.5 Обоснование технологии локальных сетей 33
2.6 Выбор способа передачи данных между двумя зданиями 37
2.7 Сетевые операционные системы для локальных сетей 38
2.8 Основные административные блоки – домены 44
2.9 Анализ и выбор сетевого оборудования локальной вычислительной сети 48
2.10 Организация доступа в глобальную сеть 56
2.11 Выбор аппаратно-программного обеспечения узлов сети 57
3 ПРЕДЛОЖЕНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ В СЕТИ 63
3.1 Основные принципы защиты информации 63
3.2 Требования к защите информации в ЛВС организации 65
3.3 Средства защиты информации в ЛВС 65
3.3.1Технические средства защиты информации 66
3.3.2Программные средства защиты информации 66
3.4Обеспечение антивирусной защиты 70
3.5Система разграничения доступа к информационным ресурсам
OOO «Геоинженеринг» 71
3.6Обеспечение защиты информации в беспроводной сети 77
3.7Дополнительная модернизация сети 81
3.7.1Система кондиционирования 81
3.7.2Система резервного хранения данных 90
4 ОБОБЩЁННАЯ КОНЦЕПЦИЯ МОДЕРНИЗАЦИИ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНЙ СЕТИ 94
5 РАСЧЁТ НАДЁЖНОСТИ 96
6 РАСЧЕТ ПРОПУСКНОЙ СПОСОБНОСТИ 99
7 ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКАЯ ЧАСТЬ 104
7.1 Резюме 104
7.2 Бизнес-план 105
7.3 Финансовый план 109
7.4 Расчет себестоимости проектируемой сети 110
7.5 Расчет годового экономического эффекта от обновления сети 114
8 БЕЗОПАСНОСТЬ И ЭКОЛОГИЧНОСТЬ ПРОЕКТА 119
8.1 Производственный микроклимат 119
8.2 Производственное освещение 121
8. 3 Воздействие шума 125
8.4 Электромагнитные излучения 125
8.5 Электропожаробезопасность 127
8.6 Эргонометрические характеристики рабочего места 128
ЗАКЛЮЧЕНИЕ 132
СПИСОК ЛИТЕРАТУРЫ 134
ПРИЛОЖЕНИЕ 1
ПРИЛОЖЕНИЕ 2
Реализация второй фазы интеграции e-Token в части использования ключа для обеспечения юридически значимого документооборота с использованием ЭЦП, должно быть вынесено на этап технического проектирования и доработки комплексного решения, согласно скорректированной Концепции информационной безопасности (согласованной с ФСБ и ФСТЭК). Должна быть произведена отработка доработанных решений на объектах опытной зоны и представлено технико-экономическое обоснование использования.
Системы защиты типа «электронный замок» устанавливается на рабочие станции пользователей и соответствующие сервера и обеспечивают выполнение следующих функций:
В рамках реализации мер по обеспечению разграничения и контроля доступа к информации во всех звеньях вычислительной системы, в соответствии с установленными требованиями безопасности для информационного обмена, предлагается использовать биометрические технологии которые идентифицируют пользователя по его, сугубо личным, биометрическим признакам, таким, как отпечаток пальца или цифровая фотография.
Подсистема обнаружения вторжений обеспечивает выполнение следующих функций:
Для создания надежной системы защиты информации циркулирующей в ЛВС необходимо обеспечить периодическое резервное копирование и архивирование информационных ресурсов. Выполнение этих функций реализуется программно-техническими средствами защиты.
Наиболее критичные данные, требующие наличия резервной копии:
Периодическое резервное копирование позволяет:
- обеспечить возможность еженедельного полного резервного копирования информации на сервере;
- обеспечить возможность ежедневного оперативного инкрементального резервного копирования информации на сервере;
- обеспечить возможность восстановления информации на сервере после сбоев;
При сбоях и отказах программно-технических средств для обеспечения сохранности информации выполняется:
- проведение резервного копирования баз данных средствами СУБД Oracle;
- проведение резервного копирования информации на серверах с использованием средств Veritas Backup Exec 8.6 и HP Storage Works MSL 6000;
- проверка восстановления баз данных из архивных копий средствами СУБД Oracle;
- восстановление баз данных после сбоев средствами СУБД Oracle;
- восстановление информации на сервере после сбоев с использованием средств Veritas Backup Exec 8.6 и HP Storage Works MSL 6000.
Средства восстановления обеспечивают восстановление программных и информационных компонент СОБИ с резервных копий. Восстановление СОБИ предусмотрено путем повторной записи программных модулей с инсталляционного комплекта системы, а также из легальной копии файла конфигурации.
Средства управления и контроля функционирования ЛВС позволяют создавать и обеспечивать удаленное выполнение специализированных сценарных запросов на проведение регламентных операций по резервному копированию на клиентских ПК.
Для реализации требований по периодическому резервному копированию ресурсов, таких как:
недостаточно иметь возможность копирования файловых структур.
Необходимо обеспечить поставку на каждый объект автоматизации специальных компонентов резервного копирования БД:
- поставка специализированного ОПО резервного копирования БД;
- поставка специализированных
технических средств
Регламент резервного копирования на объектах автоматизации (осуществляется автоматически во внерабочее время):
- оперативное инкрементальное резервное копирование должно проводиться по рабочим дням с понедельника по четверг в вечернее и ночное время (начинаться после 20:00 по местному времени и заканчиваться до 8:00 следующего дня) ;
- полное резервное копирование
должно проводиться по
Запуск задач резервного копирования должен осуществляться автоматически с использованием планировщика задач ОС Windows и/или СУБД Oracle.
Контроль успешного завершения выполнения задач должен осуществляться администратором (ответственным лицом) объекта автоматизации утром следующего рабочего дня.
3.6 Обеспечение
защиты информации в
Создателей и администраторов сети всегда волнует и будет волновать проблема защиты используемых в сети данных. Вне зависимости от ценности этих данных, безопасность сети должна стоять на первом месте. Для обеспечения защиты информации беспроводного канала связи предлагается выполнить следующие действия:
- отключение трансляции SSID;
- создание списка МАС-адресов;
- выбрать уровень шифрования;
- снизить мощность передатчика.
Идентификатор сети (SSID) является уникальным показателем, описывающим сеть. Фактически это имя сети, которое должны знать все, кто собирается к ней подключаться. Поэтому прежде чем отключить транслирование идентификатора сети, необходимо обязательно сообщите его всем пользователям сети, в том числе потенциальным.
По умолчанию мост сообщает идентификатор сети всем беспроводным устройствам, находящимся в радиусе его действия. При сканировании эфира беспроводной клиент может обнаружить мост и его SSID, после чего подключиться к нему, настроив необходимые параметры.
Соответственно, не зная SSID-точки моста, подключиться к нему будет сложно, хотя с помощью специализированного программного обеспечения это возможно.
Отключение трансляции SSID нельзя считать полноценным способом защиты сети. Однако таким образом вполне можно отсеять некоторую часть начинающих «любителей», поэтому рекомендуется все-таки использовать эту возможность.
Практически все устройства позволяют отключить вещание SSID. Для этого необходимо зайти в настройки устройства и изменить значения соответствующих параметров.
При работе с практически любой точкой доступа или мостом можно создавать списки исключений, содержащие МАС-адреса беспроводных устройств, которым позволено подключаться к данной точке доступа или мосту.
Можно легко создать список МАС-адресов, которые однозначно идентифицируют подключаемые устройства. Это позволит обеспечить дополнительную защиту сети от атак. Такая защита может остановить только неопытных вредителей, не имеющих на вооружении нужных утилит. С помощью специальных утилит можно достаточно легко подменить свой МАС-адрес перехваченным, после чего через точку доступа проникнуть в сеть.
Чтобы создать такой список адресов, необходимо запустить утилиту конфигурирования моста. В открывшемся окне перейти на вкладку Filters (Фильтры) и в области IEEE802.11 Access Setting (Настройка доступа для устройств IEEE802.11) установить флажок Access Control (Контроль доступа). Затем задать этому параметру значение Accept (Принимать), чтобы указать точке доступа, что устройства с указанными МАС-адресами могут к ней подключаться.
Современное беспроводное оборудование позволяет использовать для шифрования протоколы WEP, WPA и WPA2. Протокол WEP поддерживает все существующее оборудование, даже самое «древнее». Иногда именно «древность» оборудования становится причиной использования данного протокола. Протокол WEP представляет собой самый простой и неэффективный способ шифрования данных.
Дело в том, что он использует для шифрования статичный ключ, а множество специализированных программ без особого труда способны проанализировать передаваемые данные и определить такой ключ. Конечно, ключ может иметь разную длину, вплоть до 256 бит, однако этот факт влияет лишь на время взлома, а не на его качество.
Протоколы WPA и WPA2 представляют собой более новую спецификацию. Этот способ шифрования на сегодняшний день является наиболее предпочтительным поскольку позволяет оперировать динамичными ключами, а значит, фактически исключает возможность взлома ключа, который может меняться каждые 10 тысяч пакетов.
Как бы там ни было, мосты обязательно должны использовать протокол шифрования, вне зависимости от того, в каком режиме они функционируют.
Для настройки протокола безопасности необходимо воспользоваться утилитой конфигурирования, которая поставляется в комплекте с радиомостом. Необходимо запустив данную утилиту перейти в ее окне на вкладку Security (Безопасность).
На данной вкладке можно выбрать необходимый протокол и настроить параметры шифрования и подключения к радиомосту.
Далее необходимо выбрать ключ шифрования, указав его длину, тип и непосредственно символьное наполнение. При работе радиомоста может использовать четыре разных ключа шифрования, к которым можно обращаться в любое время. При этом одновременно может использоваться только один, выбранный в данный момент, ключ.
Чтобы выбрать нужный ключ, достаточно задать в поле Active Key Index (Индекс активного ключа) номер ключа и настроить его. Если выбран тип ключа ASCII, то при вводе самого ключа желательно использовать редко употребляемые словосочетания. При этом нужно помнить, что ключ имеет фиксированную длину, например 5 или 13 символов (в зависимости от выбранной длины ключа).
Так как в сети используется достаточно новое оборудование, которое поддерживает новейшие протоколы шифрования, то необходимо настроить параметры протокола WPA. Для этого на вкладке Security (Безопасность) необходимо установить флажок Authentication (Аутентификация) и выбрать из соответствующего раскрывающегося списка значение WPA-EAP или WPA-PSK. В результате появится дополнительная вкладка — IEEE802.11 WPA, на которой можно настроить некоторые параметры протокола.
При использовании сервера аутентификации RADIUS, лучше выбрать для параметра Authentication (Аутентификация) значение WPA-EAP, поскольку это лучшая на данный момент степень защищенности сети. Далее указать IP-адрес и порт RADIUS-сервера. Из раскрывающегося списка Cipher Type (Тип шифра) выбрать необходимый вариант: TKIP или AES. Шифр TKIP обеспечивает динамическую генерацию ключа и проверку целостности пакетов с возможностью их шифрования с помощью разных ключей, что на порядок выше свойств протокола WEP. Шифр AES является представителем последнего достижения шифрования и обладает самым мощным алгоритмом шифрования, поддерживающим ключ длиной 256 бит.
Как известно, каждое беспроводное устройство передает данные с помощью приемника и передатчика радиоволн. От мощности передатчика зависит радиус беспроводной сети, а от чувствительности приемника — качество восприятия сигнала. Поскольку радиоволны — вещь неконтролируемая и никогда нельзя предугадать, кто может их принимать, неплохим вариантом защиты сети является подбор мощности передатчика вполне достаточной для покрытия всей радиосети. При этом можно отсечь недоброжелателей, которые могут «пристроиться» к сети, находясь, например, за стенкой соседнего дома или в машине на стоянке, расположенной рядом с передатчиком. Другое преимущество такого предприятия — экономия энергии.