Разработка обновления компьютерной сети организации, занимающейся созданием оцифрованной картографической продукции

Автор работы: Пользователь скрыл имя, 18 Марта 2014 в 09:25, дипломная работа

Краткое описание

Данный дипломный проект направлен на усовершенствование существующего проекта локальной вычислительной сети с целью улучшения ее основных характеристик.
При проектировании сети нужно выбрать аппаратные средства, использование которых позволит объединить здания компании, находящиеся на расстоянии 200 метров друг от друга, заменив при этом используемый оптоволоконный кабель (Приложение 2). Для удовлетворения возрастающих требований приложений к пропускной способности коммуникационных систем и учитывая размер сети, необходимо предусмотреть некоторый запас быстродействия, который определил бы нормальное функционирование системы в течение нескольких лет.

Содержание

ВВЕДЕНИЕ 4
ПОСТАНОВКА ЗАДАЧИ 6
1 АНАЛИТИЧЕСКИЙ ОБЗОР ОРГАНИЗАЦИИ 6
1.1 Анализ исходного состояния корпоративной сети предприятия 6
1.1.1 Типы линий связи 7
1.1.2 Коммуникационное оборудование 7
1.1.3 Топология сети 8
1.1.4 Сетевые операционные системы 9
1.1.5 Методы и средства защиты информации 11
1.2 Определение недостатков сети и путей их устранения 12
2 РЕАЛИЗАЦИЯ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ 16
2.1 Описание и сравнительный анализ применяемых локальных вычислительных сетей 16
2.2 Размещение сервера 22
2.3 Выбор топологии сети 24
2.4 Выбор типа кабеля 29
2.5 Обоснование технологии локальных сетей 33
2.6 Выбор способа передачи данных между двумя зданиями 37
2.7 Сетевые операционные системы для локальных сетей 38
2.8 Основные административные блоки – домены 44
2.9 Анализ и выбор сетевого оборудования локальной вычислительной сети 48
2.10 Организация доступа в глобальную сеть 56
2.11 Выбор аппаратно-программного обеспечения узлов сети 57
3 ПРЕДЛОЖЕНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ В СЕТИ 63
3.1 Основные принципы защиты информации 63
3.2 Требования к защите информации в ЛВС организации 65
3.3 Средства защиты информации в ЛВС 65
3.3.1Технические средства защиты информации 66
3.3.2Программные средства защиты информации 66
3.4Обеспечение антивирусной защиты 70
3.5Система разграничения доступа к информационным ресурсам
OOO «Геоинженеринг» 71
3.6Обеспечение защиты информации в беспроводной сети 77
3.7Дополнительная модернизация сети 81
3.7.1Система кондиционирования 81
3.7.2Система резервного хранения данных 90
4 ОБОБЩЁННАЯ КОНЦЕПЦИЯ МОДЕРНИЗАЦИИ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНЙ СЕТИ 94
5 РАСЧЁТ НАДЁЖНОСТИ 96
6 РАСЧЕТ ПРОПУСКНОЙ СПОСОБНОСТИ 99
7 ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКАЯ ЧАСТЬ 104
7.1 Резюме 104
7.2 Бизнес-план 105
7.3 Финансовый план 109
7.4 Расчет себестоимости проектируемой сети 110
7.5 Расчет годового экономического эффекта от обновления сети 114
8 БЕЗОПАСНОСТЬ И ЭКОЛОГИЧНОСТЬ ПРОЕКТА 119
8.1 Производственный микроклимат 119
8.2 Производственное освещение 121
8. 3 Воздействие шума 125
8.4 Электромагнитные излучения 125
8.5 Электропожаробезопасность 127
8.6 Эргонометрические характеристики рабочего места 128
ЗАКЛЮЧЕНИЕ 132
СПИСОК ЛИТЕРАТУРЫ 134
ПРИЛОЖЕНИЕ 1
ПРИЛОЖЕНИЕ 2

Прикрепленные файлы: 1 файл

Диплом ЛВС.doc

— 4.87 Мб (Скачать документ)

Реализация второй фазы интеграции e-Token в части использования ключа для обеспечения юридически значимого документооборота с использованием ЭЦП, должно быть вынесено на этап технического проектирования и доработки комплексного решения, согласно скорректированной Концепции информационной безопасности (согласованной с ФСБ и ФСТЭК). Должна быть произведена отработка доработанных решений на объектах опытной зоны и представлено технико-экономическое обоснование использования.

Системы защиты типа «электронный замок» устанавливается на рабочие станции пользователей и соответствующие сервера и обеспечивают выполнение следующих функций:

  • идентификацию и аутентификацию пользователей;
  • двухфакторную аутентификацию (E-token): на этапе загрузки ОС на конкретной вычислительной установке (по PIN) и на этапе авторизации должностного лица в АС путем разграничения доступа к прикладным программам через авторизацию
  • регистрацию попыток доступа к ПЭВМ;
  • запрет загрузки ОС со съемных носителей;
  • контроль целостности программной среды;
  • хранение ключевой информации (E-token) для организации абонентского шифрования с использованием электронных ключей и российских криптоалгоритмов для организации безопасного информационного взаимодействия;
  • шифрование данных на дисках, при этом, возможности по идентификации и аутентификации пользователей, а также регистрация попыток доступа к ПЭВМ не зависят от типа использующейся ОС.
  1. Биометрические технологии

В рамках реализации мер по обеспечению разграничения и контроля доступа к информации во всех звеньях вычислительной системы, в соответствии с установленными требованиями безопасности для информационного обмена, предлагается использовать биометрические технологии которые идентифицируют пользователя по его, сугубо личным, биометрическим признакам, таким, как отпечаток пальца или цифровая фотография.

  1. Подсистема обнаружения вторжений

Подсистема обнаружения вторжений обеспечивает выполнение следующих функций:

  • мониторинг трафика, циркулирующего в ЛВС автосалона на сетевом, транспортном и прикладном уровнях;
  • обнаружение информационных атак на ресурсы ЛВС;
  • блокирование сетевого трафика, нарушающего политику безопасности, определённую администратором безопасности;
  • оповещение администратора безопасности об обнаруженных атаках.

Обеспечение периодического резервного копирования и архивирования информационных ресурсов.

Для создания  надежной  системы защиты информации циркулирующей в ЛВС необходимо обеспечить периодическое резервное копирование и архивирование информационных ресурсов. Выполнение этих функций реализуется программно-техническими средствами защиты.

Наиболее критичные данные, требующие наличия резервной копии:

  • общесистемные настройки транспортной архитектуры;
  • общесистемные настройки интеграционных компонентов;
  • общесистемные справочники и классификаторы (БД Oracle);
  • информация прикладного СПО в виде файловой архитектуры;
  • информация прикладного СПО в виде таблиц БД Oracle;
  • структура и наполнение портала (Web-сервера);
  • неструктурированные данные объекта автоматизации.

Периодическое резервное копирование позволяет:

- обеспечить возможность еженедельного полного резервного копирования информации на сервере;

- обеспечить возможность ежедневного оперативного инкрементального резервного копирования информации на сервере;

- обеспечить возможность восстановления информации на сервере после сбоев;

При сбоях и отказах программно-технических средств для обеспечения сохранности информации выполняется:

- проведение резервного копирования баз данных средствами СУБД Oracle;

- проведение резервного копирования информации на серверах с использованием средств Veritas Backup Exec 8.6 и HP Storage Works MSL 6000;

- проверка восстановления баз данных из архивных копий средствами СУБД Oracle;

- восстановление баз данных  после сбоев средствами СУБД Oracle;

- восстановление информации на сервере после сбоев с использованием средств Veritas Backup Exec 8.6 и HP Storage Works MSL 6000.

Средства восстановления обеспечивают восстановление программных и информационных компонент СОБИ с резервных копий. Восстановление СОБИ предусмотрено путем повторной записи программных модулей с инсталляционного комплекта системы, а также из легальной копии файла конфигурации.

Средства управления и контроля функционирования ЛВС позволяют создавать и обеспечивать удаленное выполнение специализированных сценарных запросов на проведение регламентных операций по резервному копированию на клиентских ПК.

Для реализации требований по периодическому резервному копированию ресурсов, таких как:

  • общесистемные справочники и классификаторы (в виде структур БД Oracle);
  • информация прикладного СПО в виде таблиц БД Oracle;
  • структура и наполнение портала (Web-сервера);
  • неструктурированные данные объекта автоматизации,

недостаточно иметь возможность копирования файловых структур.

Необходимо обеспечить поставку на каждый объект автоматизации специальных компонентов резервного копирования БД:

- поставка специализированного  ОПО резервного копирования БД;

- поставка специализированных  технических средств резервного  копирования: стримеров, библиотек.

Регламент резервного копирования на объектах автоматизации (осуществляется автоматически во внерабочее время):

- оперативное инкрементальное  резервное копирование должно  проводиться по рабочим дням  с понедельника по четверг  в вечернее и ночное время (начинаться  после 20:00 по местному времени  и заканчиваться до 8:00 следующего дня) ;

- полное резервное копирование  должно проводиться по пятницам  в вечернее и ночное время (начинаться  после 20:00 по местному времени  и заканчиваться до 8:00 следующего  дня) или в нерабочие дни (суббота, воскресенье).

Запуск задач резервного копирования должен осуществляться автоматически с использованием планировщика задач ОС Windows и/или СУБД Oracle.

Контроль успешного завершения выполнения задач должен осуществляться администратором (ответственным лицом)  объекта автоматизации утром следующего рабочего дня.

 

3.6 Обеспечение  защиты информации в беспроводной  сети

 

Создателей и администраторов сети всегда волнует и будет волновать проблема защиты используемых в сети данных. Вне зависимости от ценности этих данных, безопасность сети должна стоять на первом месте. Для обеспечения защиты информации беспроводного канала связи предлагается выполнить следующие действия:

- отключение трансляции SSID;

- создание списка МАС-адресов;

- выбрать уровень шифрования;

- снизить мощность передатчика.

Идентификатор сети (SSID) является уникальным показателем, описывающим сеть. Фактически это имя сети, которое должны знать все, кто собирается к ней подключаться. Поэтому прежде чем отключить транслирование идентификатора сети, необходимо обязательно сообщите его всем пользователям сети, в том числе потенциальным.

По умолчанию мост сообщает идентификатор сети всем беспроводным устройствам, находящимся в радиусе его действия. При сканировании эфира беспроводной клиент может обнаружить мост и его SSID, после чего подключиться к нему, настроив необходимые параметры.

Соответственно, не зная SSID-точки моста, подключиться к нему будет сложно, хотя с помощью специализированного программного обеспечения это возможно.

Отключение трансляции SSID нельзя считать полноценным способом защиты сети. Однако таким образом вполне можно отсеять некоторую часть начинающих «любителей», поэтому рекомендуется все-таки использовать эту возможность.

Практически все устройства позволяют отключить вещание SSID. Для этого необходимо зайти в настройки устройства и изменить значения соответствующих параметров.

При работе с практически любой точкой доступа или мостом можно создавать списки исключений, содержащие МАС-адреса беспроводных устройств, которым позволено подключаться к данной точке доступа или мосту.

Можно легко создать список МАС-адресов, которые однозначно идентифицируют подключаемые устройства. Это позволит обеспечить дополнительную защиту сети от атак. Такая защита может остановить только неопытных вредителей, не имеющих на вооружении нужных утилит. С помощью специальных утилит можно достаточно легко подменить свой МАС-адрес перехваченным, после чего через точку доступа проникнуть в сеть.

Чтобы создать такой список адресов, необходимо запустить утилиту конфигурирования моста. В открывшемся окне перейти на вкладку Filters (Фильтры) и в области IEEE802.11 Access Setting (Настройка доступа для устройств IEEE802.11) установить флажок Access Control (Контроль доступа). Затем задать этому параметру значение Accept (Принимать), чтобы указать точке доступа, что устройства с указанными МАС-адресами могут к ней подключаться.

Современное беспроводное оборудование позволяет использовать для шифрования протоколы WEP, WPA и WPA2. Протокол WEP поддерживает все существующее оборудование, даже самое «древнее». Иногда именно «древность» оборудования становится причиной использования данного протокола. Протокол WEP представляет собой самый простой и неэффективный способ шифрования данных.

Дело в том, что он использует для шифрования статичный ключ, а множество специализированных программ без особого труда способны проанализировать передаваемые данные и определить такой ключ. Конечно, ключ может иметь разную длину, вплоть до 256 бит, однако этот факт влияет лишь на время взлома, а не на его качество.

Протоколы WPA и WPA2 представляют собой более новую спецификацию. Этот способ шифрования на сегодняшний день является наиболее предпочтительным поскольку позволяет оперировать динамичными ключами, а значит, фактически исключает возможность взлома ключа, который может меняться каждые 10 тысяч пакетов.

Как бы там ни было, мосты обязательно должны использовать протокол шифрования, вне зависимости от того, в каком режиме они функционируют.

Для настройки протокола безопасности необходимо воспользоваться утилитой конфигурирования, которая поставляется в комплекте с радиомостом. Необходимо запустив данную утилиту перейти в ее окне на вкладку Security (Безопасность).

На данной вкладке можно выбрать необходимый протокол и настроить параметры шифрования и подключения к радиомосту.

Далее необходимо выбрать ключ шифрования, указав его длину, тип и непосредственно символьное наполнение. При работе радиомоста может использовать четыре разных ключа шифрования, к которым можно обращаться в любое время. При этом одновременно может использоваться только один, выбранный в данный момент, ключ.

Чтобы выбрать нужный ключ, достаточно задать в поле Active Key Index (Индекс активного ключа) номер ключа и настроить его. Если выбран тип ключа ASCII, то при вводе самого ключа желательно использовать редко употребляемые словосочетания. При этом нужно помнить, что ключ имеет фиксированную длину, например 5 или 13 символов (в зависимости от выбранной длины ключа).

Так как в сети используется достаточно новое оборудование, которое поддерживает новейшие протоколы шифрования, то необходимо настроить параметры протокола WPA. Для этого на вкладке Security (Безопасность) необходимо установить флажок Authentication (Аутентификация) и выбрать из соответствующего раскрывающегося списка значение WPA-EAP или WPA-PSK. В результате появится дополнительная вкладка — IEEE802.11 WPA, на которой можно настроить некоторые параметры протокола.

При использовании сервера аутентификации RADIUS, лучше выбрать для параметра Authentication (Аутентификация) значение WPA-EAP, поскольку это лучшая на данный момент степень защищенности сети. Далее указать IP-адрес и порт RADIUS-сервера. Из раскрывающегося списка Cipher Type (Тип шифра) выбрать необходимый вариант: TKIP или AES. Шифр TKIP обеспечивает динамическую генерацию ключа и проверку целостности пакетов с возможностью их шифрования с помощью разных ключей, что на порядок выше свойств протокола WEP. Шифр AES является представителем последнего достижения шифрования и обладает самым мощным алгоритмом шифрования, поддерживающим ключ длиной 256 бит.

Как известно, каждое беспроводное устройство передает данные с помощью приемника и передатчика радиоволн. От мощности передатчика зависит радиус беспроводной сети, а от чувствительности приемника — качество восприятия сигнала. Поскольку радиоволны — вещь неконтролируемая и никогда нельзя предугадать, кто может их принимать, неплохим вариантом защиты сети является подбор мощности передатчика вполне достаточной для покрытия всей радиосети. При этом можно отсечь недоброжелателей, которые могут «пристроиться» к сети, находясь, например, за стенкой соседнего дома или в машине на стоянке, расположенной рядом с передатчиком. Другое преимущество такого предприятия — экономия энергии.

Информация о работе Разработка обновления компьютерной сети организации, занимающейся созданием оцифрованной картографической продукции