Компьютерные сети и сетевые технологии
/b>NNTP (Network News Transport Protocol, протокол передачи новостей) предназначен для тиражирования статей в распределенной системе ведения дискуссий UseNet. UseNet состоит из нескольких групп, называемыми группами новостей. Группы новостей организованы в определенном порядке, основанном на распределении дискуссий по темам, например, отдых, спорт, новости, информация, религия и др. Внутри каждой из этих групп может быть от нескольких до тысяч групп, которые обладают своей структурой. Группы новостей позволяют пользователям с общими интересами обмениваться интересными сообщениями, отправлять свои статьи и отвечать на заметки других пользователей. После того как статья отправлена в группу новостей UseNet, она рассылается через сервис на другие компьютеры Интернет, где установлен сервис UseNet. Этот сервис позволяет вести дискуссии по выбранной теме, осуществлять фильтрацию статей по ключевым словам и т.д. 5. Протокол удаленного терминала TELNET Протокол удаленного терминала TELNET предоставляет возможность работать на удаленном компьютере сети, поддерживающим сервис TELNET. Принцип работы этого сервиса заключается в том, что пользователь работает с удаленным компьютером, не замечая свой собственный. Хотя физически все данные вводятся пользователем в свой компьютер, но попадают они в удаленный компьютер, т.е. собственный компьютер пользователя является только средством, обеспечивающим сеанс связи. Этот сервис составлял в прошлом основу работы Интернет. В настоящее время TELNET используется, в основном, для удаленного администрирования сети. Кроме указанных выше наиболее популярных протоколов в Интернет используются и другие протоколы, такие как сетевая файловая система (NSF), мониторинг и управление сетью (SNMP), удаленное выполнение процедур (RPC), сетевая печать и д.р. 6. Структурные компоненты сети Интернет Кроме рассмотренных выше важнейших структурных компонент глобальной сети Интернет, таких как маршрутизаторы, DNS - серверы, а также серверы соответствующих протоколов прикладного уровня в Интернет широко используются понятия файрволл (firewall), брандмауэр и провайедер (provider) Файрволл Файрволлом называется программмно-аппаратный комплекс защищающий локальную сеть от несанкционированного доступа, например, от атак хакеров или проникновения вирусов. У пожарных так именуется стена из огнеупорного материала, предотвращающая распространение огня. В сети файерволл обеспечивает фильтрацию прохождения информации в обе стороны и блокирует несанкционированный доступ к компьютеру или локальной сети извне. Как уже указывалось выше, любое соединение в Интернет инициируется какой-либо протоколом прикладного уровня, использующим работы свой порт, идентифицируемый номером. Файрволл позволяет контролировать использование портов и протоколов, "прятать" неиспользуемые порты для исключения атаки через них, а также запрещать/разрешать доступ конкретных приложений к конкретным IP- адресам. Другими словами, контролировать все, что может стать орудием хакера и недобросовестных фирм. Файрволл должен сам быть неприступным для внешних атак. В основном файрволлы работают на сетевом уровне и осуществляют фильтрацию пакетов, хотя можно организовать защиту и на прикладном или канальном уровне. Технология фильтрации пакетов является самым дешевым способом реализации файрволла, т.к. в этом случае можно проверять пакеты различных протоколов с большой скоростью. Фильтр анализирует пакеты на сетевом уровне и не зависит от используемого приложения. Брандмауэр Брэндмауэр -- это своего рода программный файрволл. Но если быть более точным, то файрволл -- это непосредственно компьютер, стоящая между локальной и внешней сетью, брэндмауэр- это программное средство контроля за входящей и исходящей информацией. Программы- брандмайэры встраиваются в стандартные операционные системы, например, в Windows 2000, Windows XP или могут устанавливаться на proxi сервере. Провайдер Провайдер -это поставщик доступа к Интернет. Другими словами - это любая организация, предоставляющая частным лицам или организациям выход в Интернет. Провайдеры вообще разделяются на два класса: · поставщики доступа Интернет (Internet access providers - ISP) · поставщики интерактивных услуг (online service providers - OSP). ISP может быть предприятием, которое оплачивает быстродействующее соединение с одной из компаний являющихся частью Интернет (такие, как AT$T, Sprint или MCI в США). Это могут быть также национальные или международные компании, которые имеют их собственные сети (типа WorldNetЮ Белпак, ЮНИБЕЛ и д.р.) OSP, иногда называемые просто "интерактивные услуги", также имеют собственные сети, но обеспечивают дополнительные информационные службы, не доступные для клиентов, которые не подписались на данные услуги. Например, OSP Microsoft предлагают пользователям доступ к Интернета-сервису фирмы Microsoft, также как к America Online, IBM и нескольким другим. ISP- провайдеры являются наиболее распространенными. Обычно крупный провайдер имеет собственную "точку присутствия" POP (point-of-presence) и городах, где происходит подключение локальных пользователей. Различные провайдеры для взаимодействия друг с другом договариваются о подключения к так называемым точкам доступа NAP (Network Access Points), посредством которых происходит объединение информационных потоков сетей, принадлежащих отдельному провайдеру. В Интернете действуют сотни крупных провайдеров, их магистральные сети связаны через NAP, что обеспечивает единое информационное пространство глобальной компьютерной сети Интернет. Лекция 13. Безопасность компьютерных сетей 1. Угрозы компьютерным сетямОсновным из принципов построения и функционирования глобальной сети Интернет является принцип ее доступности и открытости. Это обуславливает, с одной стороны, невероятные темпы развития сети, а с другой стороны, существенно обостряет процессы обеспечения безопасности. По самым скромным оценкам потери фирм и банком от несанкционированного доступа ежегодно составляют сотни миллионов долларов. Поэтому вопросы обеспечения безопасности компьютерных сетей является крайне актуальной задачей. Отметим некоторые основные приемы нарушения безопасности компьютерной сети и противодействия этому. Физический несанкционированный доступ Подключение дополнительного компьютерного терминала к каналам связи путем использования шнура в момент кратковременного выхода из помещения пользователя.ПротиводействиеПокидая рабочее место не оставлять персональный компьютер в активном режиме или надежно закрывать помещение.Компьютерный абордаж (взлом системы)Подбор пароля к системе вручную или с использование специальной программы.ПротиводействиеОграничение количества попыток неправильного ввода пароля с последующей блокировкой компьютера.Маскарад (Мистификация)Проникновение в сеть, выдавая себя за законного пользователя, с применением его паролей и других идентифицирующих шифров. Создание условий, когда законный пользователь осуществляет связь с нелегальным пользователем, будучи абсолютно уверенным, что он работает с необходимым ему абонентом.ПротиводействиеНеобходимо использовать надежные средства идентификации и аутентификации, блокирование попыток взлома системы, контроль входа в нее. Необходимо фиксировать все события в системном журнале для последующего анализа.Сборка мусораПосле окончания работы обрабатываемая информация не всегда полностью удаляется. Часть данных, оставшаяся на дисках и оперативной памяти, собирается и обрабатывается.ПротиводействиеЗаполнение памяти нулями или единицами, перезапись информации в другое место.ЛюкиНедокументированная производителем программного обеспечения точка входа в программный модуль используется для активного воздействия на эту программу. ПротиводействиеПри приемке программного обеспечения необходимо производить анализ программ с целью обнаружения люка.Троянский коньПрограмма, выполняющая невидимые для пользователя действия в дополнение к выполняемым программам. В основном «ворует» и запоминает коды всех нажатых клавиш клавиатуры пользователя.ПротиводействиеСоздание закрытой среды использования программного обеспечения.ВирусПрограмма, которая заражает другие программы путем включения в них своих кодов, при этом зараженная программа имеет способность дальнейшего размножения. Вирусы в основном разрушают программное обеспечение.ПротиводействиеИспользование антивирусного программного обеспечения и специальных программ.ЧервьРаспространяющееся через сеть программа, не оставляющаяся своей копии на винчестере пользователя. ПротиводействиеИспользование антивирусного программного обеспечения и специальных программ.«Жадные» программыПрограммы, монопольно захватывающие ресурсы системы, не давая другим программам его использования.ПротиводействиеОграничение времени исполнения программКроме указанных вышеуказанных приемов используется ряд других, таких как бухинг (электронное блокирование), наблюдение, скрытые каналы и др.Отметим, что приемы нарушения безопасности компьютерной сети делятся на так называемые конструктивные и деструктивные. При конструктивном воздействии основной целью несанкционированного доступа является получение копии конфиденциальной информации, т.е. можно говорить о разведывательном характере воздействия. При деструктивном воздействии конечной целью является разрушение информационного ресурса. 2. Где может нарушаться безопасность сетиИспользование протокола TCP/ IPВ протоколе TCP/ IP используется принцип ожидания получения квитанции о правильности получения сегмента информации. В случае неполучения подтверждения сервер удаленного доступа фиксирует незавершенное соединение. Программное обеспечение современных серверов может обрабатывать ограниченное количество незавершенных соединений, что приводит к фактическому блокированию доступа к серверным ресурсам при большом количестве незавершенных соединений. Кроме этого, большинство реализаций протокола TCP/ IP имеет ограничение на количество соединений, которые могут быть установлены в единицу времени. Все соединения, превышающие это количество, не будут временно обрабатываться, и ждать своей очереди. Если посылать, например, сорок запросов на соединение в одну минуту, то сервер будет блокировать любой доступ приблизительно на десять минут. Периодическое повторение этой операции может привести к полному отключению сервера от сети.Подмена URL - адресов для перенаправления запросовТакая подмена становится возможной за счет перехвата и анализа «на лету» пакетов. В общем случае меняется заголовок IP- пакета и пакет перенаправляется на специальный сервер. Вся информация, проходящая через маршрутизатор, перенаправляется на этот сервер.Электронная почта в основном взламывается путем на внесения искажений в конфигурационные файлы SMTP- и POP - серверы или банальным взломом паролей доступа.Ресурсы рассылки новостей USENET можно изменять путем несанкционированного получения привилегированного доступа к потоку новостей.. В случае взлома сервер один из пользователей получает возможность отправки запросов класса slave (ведомый сервер) и тем самым заблокировать доступ пользователей системы к каналу распространения новостей, а также создать для себя лично эффективный канал снятия новостей.Методы несанкционированного доступа к ресурсам WWW ориентированы в основном на нештатное использование программ- браузеров HTML - страниц, а также на применение программ, расширяющих функциональные возможности браузеров для решения несвойственных им задач. Одним из наиболее эффективных путей снижения эффективности работы сети состоит в увеличении бесполезного или даже вредного, с точки зрения решаемых задач, сетевого трафика. Этот метод основан на особенности психологии людей безоговорочно доверять информации, полученной из сети. Это особенность можно использовать для распространения дезинформации за счет ее размещения на тех серверах, ссылки на которые являются для клиента подтверждением достоверности информации. Иногда создаются бесконечные циклы для автоматической загрузки других HTML- файлов. Несложная комбинация указателей в двух или более файлах позволяет создать замкнутый круг, когда браузер будет постоянно загружать файлы, не отображая при этом никакой полезной информации. Большие возможности для несанкционированного доступа к Web - страницам предоставляет язык создания Web - приложений Java. Средства поддержки приложений, написанных на Java, называются апплетами (applets). Поскольку в Web- документе никак не сообщается, что за той или иной кнопкой скрывается Java- апплет, то пользователь заранее не может определить, что произойдет дальше при выборе необходимого документа или операции. Существуют также методы несанкционированного доступа на WWW - серверы. Среди них можно отметить такие как переполнение буфера входных/выходных данных сервера, что приводит к повреждению данных или фрагментов кода, полное выведение Web- сервера из строя путем помещения в оперативную память сервера недопустимых команд, считывание файла паролей сервера, уничтожение журнала регистрации работы пользователей в сети и т.д.3. Методы и средства защиты информации в компьютерных сетях Накопленный опыт технологий защиты информации в компьютерных сетях показывает, что только комплексный подход к защите информации может обеспечить современные требования безопасности. Комплексный подход подразумевает комплексное развитие всех методов и средств защиты.Рассмотрим кратко основные методы и средства обеспечения безопасности информации в компьютерных сетях.Методы защиты информации делятся:· препятствия· управление доступом· маскировка· регламентация · принуждение· побуждениеПрепятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (компьютеру, сетевому оборудованию)Управление доступом - метод защиты информации регулированием использования всех ресурсов системы. Управление доступом включает следующие функции защиты:-идентификация пользователей, персонала и ресурсов системы, путем присвоения каждому объекту персонального идентификатора;- опознавание объекта или субъекта по предъявляемому им идентификатору; - проверка полномочий на запрашиваемые ресурсы;- регистрация обращений к защищаемым ресурсам;- реагирование при попытках несанкционированных действийМаскировка - метод защиты информации с помощью ее криптографического закрытия (шифрования). В настоящее время этот метод является наиболее надежным. Известны три основных алгоритма: алгоритм DES, современный алгоритм Clipper (Capston) и так называемая общественная инициатива - алгоритм PGP.Алгоритм шифрования DES (Data Encryption Standard) был разработан в начале 70- х годов. Алгоритм шифрования был реализован в виде интегральной схемы с длиной ключа в 64 символа (56 символов используются непосредственно для алгоритма шифрования и 8 для обнаружения ошибок). Расчет алгоритмов в то время показывал, что ключ шифрования может иметь 72 квадриллиона комбинаций. Алгоритм DES был принят в США в качестве федерального стандарта обработки информации в 1977 году, а в середине 80- х был утвержден как международный стандарт, который каждые пять лет проходит процедуру подтверждения. Для оценки уровня защиты информации аналитики приводят такие факт: современный компьютер стоимостью 1 млн долларов раскроет шифр за 7 часов, стоимостью 10 млн долларов - за 20 минут, 100 млн долларов - за 2 минуты. Агенство национальной безопасности США имеет такой компьютер. Новый метод шифрования информации - технология Clipper - разработан агентсвом национальной безопасности США для защиты от прослушивания телефонных разговоров. Для защиты данных этот метод носит название Capston. В основе метода положен принцип двух ключей- микросхем, обеспечивающие шифрование информации со скоростью до 1 гигабита в секунду. Пользователи получают ключи в двух пунктах, управляемых правительственными органами или частными концернами. Система ключей состоит из двух интегральных схем "Clipper chip" и "Capston chip" и алгоритма шифрования SKIPJACK. Алгоритм шифрования шифрует символьные блоки данных с помощью 80 - символьного ключа в 32 прохода. Он в 16 миллионов раз мощнее алгоритма DES и считается, только через несколько десятков лет компьютеры стоимостью 100 млн долларов смогут расшифровывать информацию за 2 минуты. Для сети Интренет разработан специальный протокол шифрования SKIP (Simple Key management for Internet Protocol ), управляющий шифрованием потоков информации. Отметим, что в настоящее время федеральные власти США запрещают экспорт протокола SKIP, поэтому во многих странах предпринимаются попытки создания его аналога. Криптографические программные средства PGP (Pretty Good Privacy) были разработаны в 1991 году американским программистом Ф. Циммерманном для зашифровки сообщений электронной почты. Программа PGP свободна для доступа в Интернет и может быть установлена на любой компьютер. Принцип работы программы PGP основан на использовании двух программ- ключей: одной у отправителя, а другой у получателя. Программы- ключи защищены не паролями, а шифровальной фразой. Расшифровать сообщение можно, только используя два ключа. Программа PGP использует сложный математический алгоритм, что вместе с принципом использования двух ключей делает дешифрацию практически невозможной. Появление программ PGP вызвало скандал в правоохранительных кругах США, так они лишают возможности контроля за информацией. Отметим, что криптографические алгоритмы широко используются для защиты электронной цифровой подписи. Более полную информацию о криптографических методах можно получить на сайте www.cripto.com или www.confident.ru Регламентация - метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводился бы к минимуму. Принуждение - такой метод защиты информации, пр котором пользователи и администраторы сети вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности. Побуждение - метод защиты, который побуждает пользователей и администраторов сети не нарушать установленных за счет соблюдения моральных и этических норм. Средства защиты информации делятся: · технические средства · программные средства · организационные средства · морально- этические · законодательные 4. Защита информации в сети Интернет Несмотря на предпринимаемые меры, проблема несанкционированного доступа к русурсам Интернет до конца не решена, хотя и сформулирован ряд положений по обеспечению безопасности обработки информации. Авторизация доступа к Интернет предназначена прежде всего для учета использования ее ресурсов и оплаты услуг. Поэтому, как правило, авторизация доступа осуществляется провайдерами и предназначена исключительно для коммерческого использования. Различные провайдеры предоставляют своим клиентам различную степень свободы. Так, например, при выделенном TCP/IP подключении пользователь оказывается привязанным к конкретному географическому адресу. При подключении по коммутируемым каналам связи выход в сети может быть осуществлен с любого телефонного аппарата. Кроме этого конкуренция провайдеров на рынке привела к новому виду предоставления услуг - гостевому, позволяющему работать в сети без регистрации и оплаты. В этом случае сетевой адрес назначается провайдером динамически и проконтролировать такого пользователя, если он занимается хакерской деятельностью, является достаточно сложной задачей. Единственной возможностью является анализ регулярных попыток пользователя получить доступ к ресурсам, которые не пользуются популярностью у других абонентов. Основным средством защиты сети Интернет от несанктионированного доступа в настоящее время является файрволл. Как отмечалось в предыдущих лекциях, файрволлы контролируют информационные потоки между локальными сетями, причем уровень контроля определяется в первую очередь сферой интересов компании, структурой локальной сети и целями, ради которых локальная сеть подключается к Интернет. Система файрволл обеспечивает защиту программного обеспечения сервера и пользователей от доступа без соответствующей авторизации, но в то же время не препятствует нормальной работе штатных протоколов (электронная почта, ftp, WWW и др.). Во многих организациях файрволл используется для хранения данных с открытым доступом, например, информация о продуктах и услугах, сообщения об ошибках и т.д. Дополнительный контур защиты, организованный с помощью файрволла, реализуется за счет объединения точек контроля доступа и обеспечения безопасности в одном и том же месте, как аппаратно, так и программно. Отметим, что системы класса файрволл не в состоянии обеспечить защиту от вирусов и червей, они также беззащитны перед атакой, когда в поражаемую систему под видом сетевой почты копируется какая- либо программа, которая после открытия почтового ящика запускается на выполнение. Существует метод защиты локальной сети, который используется для защиты сетей крупных банков в США при их подключении к Интернет, когда блокируются все внешние потоки информации и в локальную сеть поступают лишь копии разрешенных сообщений. В этом случае между локальной сетью и сетью Интернет нет точек непосредственного соприкосновения, а весь поток информации обрабатывается proxi- сервером. В случае, если с любого компьютера локальной сети поступает запрос к ресурсам Интернет, то proxi - сервер проверяет у пользователя права доступа к Интернет. В ходе сеанса связи система безопасности регистрирует всех пользователей внешней связью, имена пересылаемых файлов, все сообщения копируются. Предусмотрено сохранение более подробной информации. Как правило, для ограничения доступа внешних пользователей к локальной сети составляются таблицы контроля доступа, так называемый access control lists, которые используются маршрутизаторами при получении пакетов. Отметим, что создавать такие таблицы довольно сложно, а их просмотр снижает производительность сети. По оценке специалистов системы безопасности, установленные на маршрутизаторах, менее надежны, чем основанные на применении файрволлов и proxi- серверов. С другой стороны, сами файрволлы и proxi- сервера могут быть атакованы взломщиками. Поэтому оптимальным является комбинированный подход: маршрутизатор отвергает нежелательные запросы доступа и передает все остальные запросы файрволлу и далее proxi - серверу. В перспективе файрволлы должны уступить место встроенным системам безопасности, протоколы Интернет должны предусмотреть процедуры, обеспечивающие проверку прав пользователей , целостности сообщений, а также шифрование информации. В настоящее время комитет по стандартам Интернет работают над такими протоколами, но совершенно не ясно, когда закончится эта работа. Кроме этого ведутся работы по новому программному обеспечению маршрутизаторов, где будет использоваться метод обмена ключами. В целом можно констатировать, что в ближайшем будущем ожидается интенсивное развитие новых направлений в методах и технологиях защиты информации в сети Интернет, в основе которых лежит принцип не разрозненных решений, а концепция интегральной безопасности. 5. Стандарты безопасности информацииОсновы стандартов на безопасность были заложены изданными в 1983 году "Критериями оценки надежных компьютерных систем". Этот документ, изданный в США национальным центром компьютерной безопасности (NCSC - National Computer Security Center), часто называют Оранжевой Книгой. Утвержденная в 1985 году в качестве правительственного стандарта, Оранжевая Книга определяет основные требования и специфицирует классы для оценки уровня безопасности готовых и коммерчески поддерживаемых компьютерных систем. В соответствии с требованиями Оранжевой книги, безопасной считается такая система, которая "посредством специальных механизмов защиты контролирует доступ к информации таким образом, что только имеющие соответствующие полномочия лица или процессы, выполняющиеся от их имени, могут получить доступ на чтение, запись, создание или удаление информации". Иерархия надежных систем, приведенная в Оранжевой Книге, помечает низший уровень безопасности как С, высший как А, промежуточный как B. В класс D попадают системы, оценка которых выявила их несоответствие требованиям всех других классов. Основные свойствами, характерными для С-систем, являются: наличие подсистемы учета событий, связанных с безопасностью, избирательный контроль доступа. Избирательный контроль заключается в том, что каждый пользователь в отдельности наделяется или лишается привилегий доступа к ресурсам. Уровень С делится на 2 подуровня: С1 и С2. Уровень С2 предусматривает более строгую защиту, чем С1. В соответствии с этим уровнем требуется отслеживание событий, связанных с нарушениями защиты, детальное определение прав и видов доступа к данным, предотвращение случайной доступности данных (очистка освобожденной памяти). На уровне С2 должны присутствовать средства секретного входа, которые позволяют пользователям идентифицировать себя путем ввода уникального идентификатора (ID) входа и пароля перед тем, как им будет разрешен доступ к системе. Требования уровней В и А гораздо строже и редко предъявляются к массово используемым продуктам. Различные коммерческие структуры (например, банки) особо выделяют необходимость аудита, службы, соответствующей рекомендации С2. Любая деятельность, связанная с безопасностью, может быть отслежена и тем самым учтена. Это как раз то, что требует С2, и то, что обычно нужно банкам. Однако, коммерческие пользователи, как правило, не хотят расплачиваться производительностью за повышенный уровень безопасности. Уровень безопасности А занимает своими управляющими механизмами до 90% времени компьютера. Более безопасные системы не только снижают эффективность, но и существенно ограничивают число доступных прикладных пакетов, которые соответствующим образом могут выполняться в подобной системе. Лекция 14. Проектирование компьютерных сетей 1. Анализ требований Нельзя построить хорошую корпоративную сеть без ясного понимания деловых целей предприятия и без четкого плана достижения этих целей. Первый шаг, заключающийся в определении проблем предприятия и, следовательно, целей проекта называется анализом требований. Анализ требований к сети поможет оценить деловую значимость информационно-техно- логических решений, определить главные цели и выбрать приоритеты для отдельных частей компьютерной системы, которую вы хотите улучшить или расширить. Четкое определение требований к функциям сети поможет избежать реализации не нужных свойств сети, что сэкономит средства вашего предприятия. Тщательный анализ требований к сети является основой для написания хорошего технического задания, на базе которого системные интеграторы смогут разработать проект сети. Наконец, ясное понимание целей поможет сформулировать критерии качества для оценки и тестирования реализованной сети. Для выполнения анализа требований к корпоративной сети необходимо: · оценить текущее состояние локальных сетей и парка компьютеров на предприятии, что поможет выявить, какие проблемы требуют решения; · определить цели и выгоды от корпоративной сети, что поможет вам правильно спроектировать сеть; · обосновать перед руководством предприятия необходимость покупок; · написать эффективное техническое задание; · определить критерии для оценки качества сети. Различные фирмы выполняют анализ требований к сети различными способами с различной степенью детализации в соответствии с традициями предприятия и его технической политикой. Документ, описывающий требования к сети, может быть объемом от 10 до 150 страниц. Некоторые предприятия выполняют такой анализ сами. Другие предприятия прибегают к помощи консультантов или системных интеграторов. Это делается в тех случаях, когда персонал отдела автоматизации не имеет достаточного опыта в проектировании и установке сетей. Кроме того, использование независимых консультантов или системных интеграторов в силу их объективности поможет взглянуть по-новому на проблемы и на их решения. 2. Предпроектное обследование и построение функциональной модели предприятия Сеть предприятия предназначена для того, чтобы выполнять производственные функции, поэтому следует оценить ее роль в производственной структуре предприятия. Поэтому в дальнейшей компьютерную сеть будем называть корпоративной сетью предприятия. Для успешного построения корпоративной сети нужно построить функциональную модель (или, по-другому, бизнес-модель), из которой потом получить техническую и физическую модели сети. Большинство крупных системных интеграторов придерживаются такой стратегии. Архитектура приложений и вычислительной системы играет ключевую роль в деловой архитектуре предприятия. Бизнес предприятия базируется на архитектуре управления данными, на приложениях и архитектуре сети. Успешный анализ требований и успешное построение корпоративной сети требуют от технического специалиста умения думать как бизнесмен. Общей ошибкой некоторых руководителей проектов является мышление только в технических и технологических терминах. Перед тем, как начать оценивать требования к корпоративной сети, нужно провести предпроектное обследование предприятия, т.е. получить общее представление о том, что происходит в каждом отделе. Именно бизнес-модель описывает, как делаются дела на предприятии. В ней обычно не упоминается компьютерная система, она скорее концентрируется на деловой практике и последовательности работ. Сначала строится модель, в которой отражается последовательность работ всего предприятия, а затем строится модель для последовательности работ в каждом отделе. Детально описывается, как выполняются работы, кто выполняет эти работы и каковы взаимосвязи между рабочими группами и отделами. Для разработки бизнес-модели необходимо собрать рабочую группу, состоящую из руководителей отделов, ведущих специалистов и сотрудников отдела автоматизации. Следует обратить внимание на следующие моменты: · необходимо назначить руководителя работы; · нужно опросить руководителей отделов и конечных пользователей корпоративной сети, чтобы определить их функции и выяснить, как их компьютерные системы помогают им в работе; · необходимо выяснить, как работа переходит из одного отдела в другой, и каким образом информация и задачи передаются от одного сотрудника к другому; · необходимо узнать, в чем заключаются зависимости - кто утверждает какой-либо этап работы и в какой последовательности должны завершаться этапы; · нужно понять, какие узкие места имеются у системы - слишком большое время ответа или же неэффективная обработка данных. Результатом предпроектного обследования является функциональная бизнес-модель предприятия с определением основных информационных потоков. Построение модели поможет также получить поддержку руководства предприятия, так как покажет, что разработчики сети понимают и производственные моменты предприятия, а не только технические. Общая стратегия заключается в том, чтобы доказать руководителю выгоду от внедрения корпоративной сети. 3. Построение технической модели Системные требования После разработки бизнес-модели предприятия и определения того, какие процедуры требуют изменения или улучшения, необходимо построить техническую модель сети. Техническая модель описывает в достаточно общих терминах, какое компьютерное оборудование нужно использовать, чтобы достичь целей, определенных в бизнес-модели. Чтобы построить техническую модель, нужно провести инвентаризацию существующего оборудования, определить системные требования, оценить сегодняшнее и завтрашнее состояния техники. Инвентаризация проводится для того, чтобы точно знать, чем располагаете предприятие и что нужно приобрести. Для такой большой системы, как корпоративная сеть, очень важно, чтобы каждый элемент, будь то кабель или плата памяти, был промаркирован и учтен. После инвентаризации существующей вычислительной системы необходимо определить требования к новой системе. Для определения технических параметров сети рассматриваются системные требования не с технической точки зрения, а с позиций руководителей, менеджеров и конечных пользователей. Для выяснения системных требований необходимо ответить на следующие вопросы: · Что нужно соединять? С каким количеством людей и в пределах какой территории требуется общаться сотрудникам. Объем и распределение трафика поможет определить требуемую мощность компьютеров, а также типы и скорости коммуникационного оборудования и сервисов. · Что из существующего аппаратного и программного обеспечения будет использоваться в новой системе? Какие системы нужно оставить в разрабатываемой корпоративной сети? Нужно ли эти системы соединять в сеть? Будут ли существующие системы нормально работать в новой сети? Существуют ли какие-либо стандарты предприятия, существуют ли преобладающие приложения? Какое оборудование и приложения нужно добавить, чтобы достигнуть поставленных производственных целей? · Какие объемы информации будут передаваться по сети? Объем передаваемой информации определяет требуемую пропускную способность сети. Это определяется подсчетом количества пользователей сети, среднего количества выполняемых транзакций в день каждым из пользователей и среднего объема транзакции. Такой подсчет поможет определить технологию доступа к среде передачи данных (Ethernet, FDDI и т.д.) и требования к глобальным сервисам. · Какое время реакции сети является приемлемым? Будут ли пользователи ждать одну секунду, полсекунды или две секунды? Такие измерения помогут определить требования к скорости оборудования, приложений и коммуникационных связей. · В течение какого времени сеть существенно необходима для работы предприятия? Нужна ли сеть 24 часа в день и 7 дней в неделю или же только в течение 8 часов в день и 5 дней в неделю? Нужно ли увеличить сегодняшние параметры использования сети? · Какие требования предъявляются к среднему времени устранения неисправностей? Как отражаются операции по обслуживанию и ремонту сети на эффективности ведения дел предприятием? Какие убытки понесет предприятие, если сеть будет неисправна в течение одного часа? Каков будет ущерб от простоя сети в течение двух часов? · Каков планируемый рост системы? Каков текущий коэффициент использования сети и как он может измениться в течение ближайших 6 месяцев, одного года, двух лет? · Даже если вы тщательно спланировали сеть, но не учли возможности ее роста и развития, то системные требования придется изменить и увеличить. Рост сети нужно планировать заранее, а не просто реагировать на фактический рост ее нагрузки. Разработка технической модели После того, как системные требования определены, нужно описать техническую модель корпоративной сети. На этом этапе нужно определить, каким образом предполагается удовлетворить производственные требования с технической точки зрения. Например, если строится сеть для отдела закупок, то технология Fast Ethernet очевидно будет излишней, даже если в отделе обрабатывается большое число документов. В то же время в инженерном отделе технология Fast Ethernet будет более целесообразна, так как там имеют дело с большими файлами. Можно также рассмотреть целесообразность сети Ethernet с отдельными сегментами для каждого пользователя. Построение хорошей сети означает постоянное сопоставление технических новшеств и потребностей предприятия. Нужно использовать только такие технические решения, которые необходимы. Необходимо сделать тщательный выбор между передовой технологией и технологией, проверенной временем. Например, Ethernet и TokenRing являются проверенными технологиями, а ATM - сравнительно новой. Не многие проектировщики хорошо с ней знакомы, а капиталовложения необходимо сделать значительные. Далее нужно оценить, какое семейство технических средств удовлетворяет производственным потребностям. Здесь также определяются топология сети, коммуникационные связи и пропускная способность. Далее нужно выяснить, какие технологии и технические средства станут доступными в ближайшее время, а также каковы долгосрочные перспективы этих новшеств. Необходимо оценить, сможет ли проектируемая сеть принять завтрашние технологические новинки. Построение физической модели После того, как для сети выбрана техническая модель, необходимо оценить, насколько она удовлетворяет производственным требованиям. Нужно вернуться к бизнес-модели и сопоставить ее требования с техническими решениями. Вряд ли технические решения будут полностью удовлетворять требованиям бизнес-модели, но к этому надо стремиться. Например, если предприятии сотрудники часто перемещаются из отдела в отдел, то требованием бизнес-модели является высокая мобильность. Техническая модель должна в таком случае обеспечивать быстрое присоединение и отсоединение рабочей станции. После того, как устанавливается факт, что техническая модель соответствует требованиям, нужно построить физическую модель. Физическая модель конкретизирует специфику технической модели. Физическая модель является очень подробным описанием сети, в то время как техническая модель использует для ее описания более общие термины. Этап физического моделирования требует более детального знакомства с имеющимися продуктами. Здесь необходимо оценить свойства и функции подходящих продуктов и решить, какие из них наилучшим образом удовлетворяют требованиям разрабатываемой системы. На стадии физического моделирования точно описаываются, какие компоненты нужны, в каком количестве, где они будут расположены и как эти компоненты соединяются друг с другом в корпоративную сеть. Этот этап завершается разработкой технического задания. Разработка технического задания После того, как были разработаны бизнес-модель, техническая и физическая модели, необходимо разработать техническое задание. Техническое задание базируется в основном на информации, собранной на этапе анализа требований. Сложность проектируемой корпоративной сети и опыт предприятия определят глубину и широту охвата технического задания. Техническое задание может иметь объем и 5, и 50, и более страниц. Как и на этапе анализа требований, техническое задание готовится самим предприятием сами или с помощью консультанта. Если привлекается консультант, то, очевидно, что техническое задание будут более полными и завершенными, чем если бы его готовило само предприятие. Техническое задание, подготовленное консультантом, должно включать полное описание проекта сети и список оборудования, которое нужно купить, так что поставщикам останется только назвать цену. Если предприятие само готовит техническое задание, то оно больше полагается на предложения системных интеграторов и меньше думать о стоимости. В общем случае техническое задание должно содержать разделы: Введение Во введении дается обзор содержания технического задания. Оно коротко описывает предприятие, его сеть, производственные цели и примерные этапы установки сети. Цели создания сети на предприятии Этот раздел описывает, как предприятие представляет использование сети для решения производственных проблем.. Здесь следует также указать, имеется ли какой-либо проект автоматизированной информационной системы, связанный с данной сетью, но не отраженный в данном техническом задании. Здесь отмечаются общие цели создания сети, полученные из анализа потребностей вашего предприятия. Например, предприятию нужны коммуникации со всеми подразделениями и филиалами, при этом нужно включить в сеть существующее оборудование и используемые в настоящее время приложения, новые приложения. Перечисляется используемое в настоящее время оборудование, типы и количество компьютеров каждого типа в каждом подразделении и филиале. Описывается кабельная система. Указываются существующие стандарты предприятия и определяются этапы внедрения. Требования к предложениям системных интеграторов В этом разделе необходимо указать, что хотелось бы увидеть в предложениях системных интеграторов. Это поможет сравнить в дальнейшем предложения разных системных интеграторов: · Технические требования. Здесь можно указать требуемый перечень характеристик (название, номер модели, цена и т.п.) для программного и аппаратного обеспечения. Можно попросить также представить схему проектируемой сети, а также сроки поставки оборудования. · Сведения о интеграторах. Наряду с техническими требованиями можно запросить сведения о самих интеграторах-поставщиках. В этом случае интеграторы должны включить в свои предложения описания своих предыдущих разработок, данных о сотрудниках, которые будут проектировать и устанавливать сеть, информацию о финансовом состоянии фирмы-интегратора, а также указать клиентов, для которых выполнялись аналогичные работы. Требования к техническим аспектам сети Этот раздел должен основываться на разработанной технической модели. Указываются, какие компоненты должна содержать сеть. Указываются требования к приложениям. Формулируется, прежде всего, требования, какие приложения нужны: электронная почта, база данных, средства автоматизации документооборота, средства коммуникации и д.р. Устанавливаются требования к средствам коммуникаций. Нужно ли пользователям взаимодействовать с другими офисами, мейнфреймами, миникомпьютерами или другими источниками информации в режиме on-line. Определяется, есть ли у предприятия предпочтение по отношению к определенной клиентской операционной системе, к сетевой операционной системе или к пользовательскому интерфейсу. Системные спецификации Раздел системных спецификаций технического задания описывает технические спецификации компонентов сети: · Уровень отделов. Техническое задание описывает спецификации для рабочих станций, принтеров, файл-серверов, приложений, утилит печати, коммуникационных утилит и утилит электронной почты. Если требуется высокая отказоустойчивость, то описываются желаемые компоненты для ее обеспечения, такие как зеркальные серверы, источники бесперебойного питания и устройства архивирования. Техническое задание должно определить требуемое среднее время безотказной работы компонентов сети. · Уровни кампусов и предприятия. Техническое задание определяет требуемые характеристики мостов, маршрутизаторов, модемов, факс-серверов, шлюзов к миникомпьютерам и мейнфреймам, коммуникационных программ и программного обеспечения широкого применения, такого как электронная почта. Должно быть определено приемлемое среднее время доступности сети. Сетевые проблемы Этот раздел содержит информацию из физической модели сети: · Сетевая операционная система. В техническом задании следует запросить системного интегратора определить тип корпоративной сетевой операционной системы, если на предприятии она не стандартизована. Системный интегратор должен обосновать свой выбор. · Сетевое и коммуникационное оборудование. · Межсетевое взаимодействие. Каким образом будут соединены сети отделов? Техническое задание требует от интегратора обоснования выбора метода межсетевого взаимодействия, а также выбора изготовителя оборудования. · Глобальные связи. Какие глобальные связи будут использованы для соединения с другими офисами? В предложении должны быть описаны требования для каждого филиала, причем они должны быть обоснованы по характеристикам пропускной способности, стоимости и управляемости. Будут ли они публичными или частными сервисами? · Удаленный доступ. В предложении интегратора должен быть описан способ удаленного доступа. Это особенно важно, если сотрудники предприятия используют ноутбуки или же много перемещаются и в то же время нуждаются в доступе к сети. Требуются ли только входящие соединения удаленного доступа или и исходящее также? Будут ли они использовать сети других корпораций? · Безопасность. Какую схему безопасности необходимо использовать, чтобы защитить сеть от случайного или преднамеренного вторжения? Какая защита от вирусов предусмотрена в сети? · Доступность сети. В течение какого времени сеть должна быть доступной? Какая избыточность оборудования предусматривается для обеспечения надежной работы сети в течение всего периода доступности? Какие требования предъявляются к среднему времени между отказами для наиболее ответственных компонентов сети? В течение какого времени поставщики должны устранять проблемы с их оборудованием? · Управление сетью. Каким образом будет управляться сеть? Как будут устраняться неисправности? Какой инструментарий требуется для этого? Будет ли управление осуществляться удаленно? Сколько людей потребуется для управления сетью? · Масштабируемость сети. В предложениях должно быть указано, как сеть сможет удовлетворять потребности предприятия в будущем. Для этого в техническом задании должна быть дана оценка возможного роста предприятия и корпоративной сети на год вперед. В предложениях, в свою очередь, должно быть указано, какое максимальное количество пользователей, серверов, мостов, маршрутизаторов и шлюзов сможет обслуживать данная сеть без значительного уменьшения производительности. Кроме указанных разделов техническое задание содержит разделы инсталляция сети, обучение персонала и обслуживание сети. 3. Разработка и опытная эксплуатация сети Разработка и инсталляция сети проводится фирмой разработчиком (сетевым интегратором). После настройки сети предприятием и фирмой - разработчиком подписывается Акт ввода сети в опытную эксплуатацию. Опытная эксплуатация необходима для проверки соответствия созданной сети техническому заданию, для устранения ошибок, возникших во время проектирования и инсталляции сети. Во время опытной эксплуатации вносятся также коррективы, связанные с изменением структуры предприятия. Завершается опытная эксплуатация подписанием Акта о передаче сети в промышленную эксплуатацию. 4. Промышленная эксплуатация и сопровождение сети В процессе выполнения этого этапа осуществляются исправления в работе всех частей сети при возникновении сбоев, регистрация этих случаев в журналах, отслеживание технико-экономических характеристик работы сети и накопление статистики о качестве работы всех компонентов сети. На этапе сопровождение и модернизация сети выполняется анализ собранного статистического материала, а также анализ соответствия параметров работы сети требованиям окружающей среды. Анализ осуществляет создаваемая для этих целей комиссия. Результаты анализа позволяют: сделать заключение о необходимости модернизации всей сети или ее частей определить объемы доработок, сроки и стоимость выполнения модернизации в случае выявления факта морального старения сети комиссией принимается решение о целесообразности проведения ее утилизации или разработки новой Литература 1.Кульгин М. Технология корпоративных сетей. Энциклопедия -Спб: Издательство «Питер», 2000. - 704 с. 2. Компьютерные сети. Принципы, технологии, протоколы / В.Г. Олифер, Н.А. Олифер.- Спб: Издательство «Питер», 1999. - 672 с. 3. Гук М. Аппаратные средства локальных сетей. Энциклопедия - Спб: Издательство «Питер», 2000. - 576 с 4. Зотов С. Протоколы Internet - Спб: BHV - санкт-Петербург, 1998.- 304 с.
Страницы: 1, 2, 3, 4, 5, 6
|