Корпоративные сети
Так, в каждой комнате здания должно быть разведено достаточное количество
оконечных розеток, к которым подключаются сетевые адаптеры компьютеров,
даже если в настоящее время в таком количестве розеток и нет необходимости.
Эти ненужные розетки могут никуда не подключаться, но быть подведенными к
ближайшему кроссовому шкафу, чтобы подключиться к новому концентратору,
когда это станет необходимо. Начальная избыточность структурированной
кабельной системы окупится достаточно быстро, так как стоимость наращивания
кабелей и розеток в действующей кабельной системе всегда выше, чем их
установка в период установки всей кабельной системы. К избыточности
приводит также желание получить ясную структуру кабельной системы, так как
здесь иногда приходится жертвовать элегантным, но отклоняющимся от общей
схемы решением, в пользу избыточного, но единообразного решения.
Преимущества структурированной кабельной системы:
. Универсальность. Структурированная кабельная система при продуманной
организации может стать единой средой для передачи компьютерных данных
в локальной вычислительной сети, организации локальной телефонной
сети, передачи видеоинформации и даже передачи сигналов от датчиков
пожарной безопасности или охранных систем. Это позволяет
автоматизировать многие процессы по контролю, мониторингу и управлению
хозяйственными службами и системами жизнеобеспечения.
. Увеличение срока службы. Срок морального старения хорошо
структурированной кабельной системы может составлять 8-10 лет.
. Уменьшение стоимости добавления новых пользователей и изменения их
мест размещения. Стоимость кабельной системы в основном определяется
не стоимостью кабеля, а стоимостью работ по его прокладке (затраты на
выполнение работ по инсталляции кабельной системы зачастую в 2-3 раза
превосходят стоимость материалов и оборудования). Поэтому более
выгодно провести однократную работу по прокладке кабеля, возможно с
большим запасом по длине, чем несколько раз выполнять прокладку,
наращивая длину кабеля. Это помогает быстро и дешево изменять
структуру кабельной системы при перемещениях персонала или смене
приложений.
. Возможность легкого расширения сети. Структурированная кабельная
система является модульной, поэтому ее легко наращивать, что позволяет
легко и ценой малых затрат переходить на более совершенное
оборудование, удовлетворяющее растущим требованиям к системам
коммуникаций.
. Обеспечение более эффективного обслуживания. Структурированная
кабельная система облегчает обслуживание и поиск неисправностей по
сравнению с шинной кабельной си- стемой.
. Надежность. Структурированная кабельная система имеет повышенную
надежность поскольку обычно производство всех ее компонентов и
техническое сопровождение осуществляется одной фирмой-производителем.
Большинство стандартных сетевых технологий, как старых (Ethernet,
TokenRing, FDDI), так и новых (FastEthernet, 100VG-AnyLAN, ATM), использует
три основных типа кабелей - неэкранированную витую пару (UTP),
экранированную витую пару (STP) и многомодовый оптоволоконный кабель. В
состав любой кабельной системы входят кабели различных типов, каждый из
которых имеет свою область или области назначения.
Для определения областей назначения того или иного типа кабеля полезно
выделять в кабельной системе отдельные подсистемы. В типичную иерархическую
структурированную кабельную систему входят горизонтальные и вертикальные
подсистемы, а также подсистема кампуса. Горизонтальные подсистемы работают
в пределах отдела и соединяют кроссовый шкаф этажа с розетками
пользователей. Подсистемы этого типа соответствуют этажам здания.
Вертикальные подсистемы работают внутри здания, соединяют кроссовые шкафы
каждого этажа с центральной аппаратной здания. Кампусовская система,
работающая в пределах территории между зданиями, соединяет несколько зданий
с главной аппаратной всего кампуса. Эта часть кабельной системы обычно
называется backbone (или магистралью).
Помимо технических характеристик при выборе кабеля нужно учитывать, какая
кабельная система уже установлена на вашем предприятии, и какие тенденции и
перспективы существуют на рынке в данный момент.
В России СКС нашли коммерческое применение сравнительно недавно - в начале
90-х годов в результате рыночных реформ и появления частного бизнеса. До
этого локальные сети и учрежденческие АТС, как правило, были не
интегрированы друг с другом.
Хотя в настоящее время наибольшее число инсталляций СКС осуществляются в
мелких локальных сетях (с числом ПК от 10 до 20), многие крупные
предприятия, учреждения и банки в последние годы также проявляют
заинтересованность в установке у себя структурированных кабельных систем.
Благодаря отсутствию унаследованного оборудования, в России, как правило,
используются самые современные системы от ведущих производителей.
Наибольшая доля рынка принадлежит таким известным западным маркам, как
LucentTechnologies, BICCBrand-Rex, MOD-TAP, Alcatel, Siemens, AMP, IBM, а
также российским маркам, как "АйТи".
Среди российских компаний-системных интеграторов, способных реализовать
крупные проекты кабельных систем, специалисты отмечают IBS, "АйТи",
"Черус", "Демос", R-Style, "Ланит", LVC, "Крок", "Руслан". Они располагают
отделами, специализирующимися по локальным сетям, структурированным
кабельным системам и голосовой связи.
Основная доля рынка СКС принадлежит LucentTechnologies. Около 73%
установленных систем используют проводку UTP.
Решения на основе экранированного кабеля связываются главным образом с
системами TokenRing, но все большее число заказчиков в России предпочитает
использовать эти кабели и в других сетях передачи данных. Коаксиальный
кабель для горизонтальной проводки пользовался популярностью 2 года назад,
но в последнее время он был вытеснен кабелями с витыми парами.
В последние два года существенные изменения произошли и в распределении
рынка между кабелями разных категорий. Доля кабелей Категории 3 уменьшилась
с двух третьих в 1994 до 37% в 1996 году.
Согласно прогнозам, весь рынок кабелей для передачи данных будет расти на
14,7% ежегодно, и в 2001 году его объем составит 29,9 млн. долларов.
Наиболее быстрые темпы роста ожидаются на рынке STP - 33,6% ежегодно в
денежном исчислении, далее следуют оптические кабели и UTP - 22,1% и 16,2%
соответственно. Доля коаксиального кабеля будет неуклонно снижаться.
Сегодня в мире существуют три весьма сходных между собой стандарта на
кабельные системы для ЛВС:
1. американский стандарт TIA/EIA 568A;
2. международный стандарт ISO/IEC 11801;
3. европейский стандарт EN50173.
Все эти стандарты кабельных систем определяет основные параметры
неэкранированной витой пары UTP, экранированной витой пары STP и волоконно-
оптического кабеля, то есть тех видов кабелей, которые покрывают все
разнообразие физических уровней современных стандартов для локальных сетей.
Необходимо отметить, что стандарт EIA/TIA 568A относится только к сетевому
кабелю. Но реальные системы, помимо кабеля, содержат также коннекторы,
розетки, распределительные панели и др., т.е. все, что в совокупности
составляет понятие кабельной системы. Использование только кабеля типа 5 не
гарантирует создание кабельной системы этой категории. Все составные части
кабельной системы также должны удовлетворять требованиям соответствующей
категории, то есть работать без ухудшения электрических параметров
передаваемых сигналов в заданных частотах. Важное значение имеет также
технология инсталляции всех компонентов системы, нарушение которой приведет
к снижению категории.
К числу наиболее распространенных стандартизованных структурированных
кабельных систем относятся кабельная система CablingSystem, разработанная
компанией IBM, кабельные системы PremisesDistributedSystem и SYSTIMAX,
разработанные AT&T, а также кабельная система OPENDECсonnect корпорации
DigitalEquipment. Различные производители дают своим кабельным системам
различные названия, но общие принципы их организации остаются одинаковыми.
Наряду с кабельными системами, соответствующими этим стандартам, в
настоящее время имеется ряд проектов новых широкополосных кабелей,
например, медных кабелей категории 6. Появились сообщения о гарантированных
скоростях передачи данных 350 и 622 Мб/с обеспечиваемых новыми продуктами.
Но стандартов на новые широкополосные кабели пока не существует.
Специалисты высказывают большие сомнения в рыночном успехе этого проекта:
во-первых, проблема совместимости с огромным числом уже установленных
кабельных систем категорий 3 и 5, во-вторых, высокая стоимость, сравнимая
со стоимостью сетей на основе волоконно-оптического кабеля, в-третьих,
необходимость надежного заземления, которую не всегда просто реализовать.
Еще далеко не исчерпаны возможности кабельных систем категории 5. Вполне
вероятно, они смогут поддерживать и сети GigabitEthernet. Если же говорить
о высокоскоростных сетях (ATM и GigabitEthernet на скоростях 622 и 1000
Мбит/с соответственно), то для их реализации хорошо подходит волоконно-
оптический кабель.
Поэтому, если вы думаете над тем, как улучшить работу кабельной системы, то
естественным решением является ее модернизация путем прокладки
горизонтального кабеля (проводки на этажах) категории 5, а в качестве
магистрали оптического кабеля. В любом случае необходимо получить гарантию
на кабельную систему и предусмотреть возможность последующей ее
модернизации в будущем.
4. Стратегии защиты данных
4.1. Комплексный подход - необходимое условие надежной защиты корпоративной
сети
Построение и поддержка безопасной системы требует системного подхода. В
соответствии с этим подходом прежде всего необходимо осознать весь спектр
возможных угроз для конкретной сети и для каждой из этих угроз продумать
тактику ее отражения. В этой борьбе можно и нужно использовать самые
разноплановые средства и приемы - организационные и законодательные,
административные и психологические, защитные возможности программных и
аппаратных средств сети.
Законодательные средства защиты - это законы, постановления правительства и
указы президента, нормативные акты и стандарты, которыми регламентируются
правила использования и обработки информации ограниченного доступа, а также
вводятся меры ответственности за нарушения этих правил.
Административные меры - это действия общего характера, предпринимаемые
руководством предприятия или организации. Администрация предприятия должна
определить политику информационной безопасности, которая включает ответы на
следующие вопросы:
какую информацию и от кого следует защищать;
кому и какая информация требуется для выполнения служебных обязанностей;
какая степень защиты требуется для каждого вида информации;
чем грозит потеря того или иного вида информации;
как организовать работу по защите информации.
К организационным (или процедурным) мерам обеспечения безопасности
относятся конкретные правила работы сотрудников предприятия, например,
строго определенный порядок работы с конфиденциальной информацией на
компьютере.
К морально-этическим средствам защиты можно отнести всевозможные нормы,
которые сложились по мере распространения вычислительных средств в той или
иной стране (например, Кодекс профессионального поведения членов Ассоциации
пользователей компьютеров США).
К физическим средствам защиты относятся экранирование помещений для защиты
от излучения, проверка поставляемой аппаратуры на соответствие ее
спецификациям и отсутствие аппаратных "жучков" и т.д.
К техническим средствам обеспечения информационной безопасности могут быть
отнесены:
системы контроля доступа, включающие средства аутентификации и авторизации
пользователей;
средства аудита;
системы шифрования информации;
системы цифровой подписи, используемые для аутентификации документов;
средства доказательства целостности документов (использующие, например,
дайджест-функции);
системы антивирусной защиты;
межсетевые экраны.
Все указанные выше средства обеспечения безопасности могут быть реализованы
как в виде специально разработанных для этого продуктов (например,
межсетевые экраны), так и в виде встроенных функций операционных систем,
системных приложений, компьютеров и сетевых коммуникационных устройств.
4.2. Усугубление проблем безопасности при удаленном доступе. Защитные
экраны - firewall'ы и proxy-серверы
Обеспечение безопасности данных при удаленном доступе - проблема если и не
номер один, то, по крайней мере, номер два, после проблемы обеспечения
приемлемой для пользователей пропускной способности. А при активном
использовании транспорта Internet она становится проблемой номер один.
Неотъемлемым свойством систем удаленного доступа является наличие
глобальных связей. По своей природе глобальные связи, простирающиеся на
много десятков и тысяч километров, не позволяют воспрепятствовать
злонамеренному доступу к передаваемым по этим линиям данным. Нельзя дать
никаких гарантий, что в некоторой, недоступной для контроля точке
пространства, некто, используя, например, анализатор протокола, не
подключится к передающей среде для захвата и последующего декодирования
пакетов данных. Такая опасность одинаково присуща всем видам
территориальных каналов связи и не связана с тем, используются ли
собственные, арендуемые каналы связи или услуги общедоступных
территориальных сетей, подобные Internet.
Однако использование общественных сетей (речь в основном идет об Internet)
еще более усугубляет ситуацию, хотя бы потому, что в такой сети для доступа
к корпоративным данным в распоряжении злоумышленника имеются более
разнообразные и удобные средства, чем выход в чистое поле с анализатором
протоколов. Кроме того, огромное число пользователей увеличивает
вероятность попыток несанкционированного доступа.
Безопасная система - это система, которая, во-первых, надежно хранит
информацию и всегда готова предоставить ее своим пользователям, а во-
вторых, система, которая защищает эти данные от несанкционированного
доступа.
Межсетевой экран (firewall, брандмауэр) - это устройство, как правило,
представляющее собой универсальный компьютер с установленным на нем
специальным программным обеспечением, который размещается между защищаемой
(внутренней) сетью и внешними сетями, потенциальными источниками опасности.
Межсетевой экран контролирует все информационные потоки между внутренней и
внешними сетями, пропуская данные, в соответствии с заранее установленными
правилами. Эти правила являются формализованным выражением политики
безопасности, принятой на данном предприятии.
Межсетевые экраны базируются на двух основных приемах защиты:
1. пакетной фильтрации;
2. сервисах-посредниках (proxyservices).
Эти две функции можно использовать как по отдельности, так и в комбинации.
Пакетная фильтрация. Использование маршрутизаторов в качестве firewall
Фильтрация осуществляется на транспортном уровне: все проходящие через
межсетевой экран пакеты или кадры данных анализируются, и те из них,
которые имеют в определенных полях заданные ("неразрешенные") значения,
отбрасываются.
Пропуск во внутреннюю сеть пакетов сетевого уровня или кадров канального
уровня по адресам (MAC-адреса, IP-адреса, IPX-адреса) или номерам портов
TCP, соответствующих приложениям. Например, для того, чтобы трафик telnet
не пересекал границу внутренней сети, межсетевой экран должен
отфильтровывать все пакеты, в заголовке TCP которых указан адрес порта
процесса-получателя, равный 23 (этот номер зарезервирован за сервисом
telnet). Сложнее отслеживать трафик FTP, который работает с большим
диапазоном возможных номеров портов, что требует задания более сложных
правил фильтрации.
Конечно, для фильтрации пакетов может быть использован и обычный
маршрутизатор, и действительно, в Internet 80% пакетных фильтров работают
на базе маршрутизаторов. Однако маршрутизаторы не могут обеспечить ту
степень защиты данных, которую гарантируют межсетевые экраны.
Главные преимущества фильтрации межсетевым экраном по сравнению с
фильтрацией маршрутизатором состоят в следующем:
. межсетевой экран обладает гораздо более развитыми логическими
способностями, поэтому он в отличие от маршрутизатора легко может,
например, обнаружить обман по IP-адресу;
. у межсетевого экрана большие возможности аудита всех событий,
связанных с безопасностью.
Сервисы - посредники (Proxy-services)
Сервисы-посредники не допускают возможности непосредственной передачи
трафика между внутренней и внешней сетями. Для того, чтобы обратиться к
удаленному сервису, клиент-пользователь внутренней сети устанавливает
логическое соединение с сервисом-посредником, работающим на межсетевом
экране. Сервис-посредник устанавливает отдельное соединение с "настоящим"
сервисом, работающим на сервере внешней сети, получает от него ответ и
передает по назначению клиенту - пользователю защищенной сети.
Для каждого сервиса необходима специальная программа: сервис-посредник.
Обычно, защитный экран включает сервисы-посредники для FTP, HTTP, telnet.
Многие защитные экраны имеют средства для создания программ-посредников для
других сервисов. Некоторые реализации сервисов-посредников требуют наличия
на клиенте специального программного обеспечения. Пример: Sock - широко
применяемый набор инструментальных средств для создания программ-
посредников.
Сервисы-посредники не только пересылают запросы на услуги, например,
разработанный CERN сервис-посредник, работающий по протоколу HTTP, может
накапливать данные в кэше межсетевого экрана, так что пользователи
внутренней сети могут получать данные с гораздо меньшим временем доступа.
Журналы событий, поддерживаемые сервисами-посредниками, могут помочь
предупредить вторжение на основании записей о регулярных неудачных
попытках. Еще одним важным свойством сервисов-посредников, положительно
сказывающимся на безопасности системы, является то, что при отказе
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29
|