Корпоративные сети

Так, в каждой комнате здания должно быть разведено достаточное количество

оконечных розеток, к которым подключаются сетевые адаптеры компьютеров,

даже если в настоящее время в таком количестве розеток и нет необходимости.

Эти ненужные розетки могут никуда не подключаться, но быть подведенными к

ближайшему кроссовому шкафу, чтобы подключиться к новому концентратору,

когда это станет необходимо. Начальная избыточность структурированной

кабельной системы окупится достаточно быстро, так как стоимость наращивания

кабелей и розеток в действующей кабельной системе всегда выше, чем их

установка в период установки всей кабельной системы. К избыточности

приводит также желание получить ясную структуру кабельной системы, так как

здесь иногда приходится жертвовать элегантным, но отклоняющимся от общей

схемы решением, в пользу избыточного, но единообразного решения.

Преимущества структурированной кабельной системы:

. Универсальность. Структурированная кабельная система при продуманной

организации может стать единой средой для передачи компьютерных данных

в локальной вычислительной сети, организации локальной телефонной

сети, передачи видеоинформации и даже передачи сигналов от датчиков

пожарной безопасности или охранных систем. Это позволяет

автоматизировать многие процессы по контролю, мониторингу и управлению

хозяйственными службами и системами жизнеобеспечения.

. Увеличение срока службы. Срок морального старения хорошо

структурированной кабельной системы может составлять 8-10 лет.

. Уменьшение стоимости добавления новых пользователей и изменения их

мест размещения. Стоимость кабельной системы в основном определяется

не стоимостью кабеля, а стоимостью работ по его прокладке (затраты на

выполнение работ по инсталляции кабельной системы зачастую в 2-3 раза

превосходят стоимость материалов и оборудования). Поэтому более

выгодно провести однократную работу по прокладке кабеля, возможно с

большим запасом по длине, чем несколько раз выполнять прокладку,

наращивая длину кабеля. Это помогает быстро и дешево изменять

структуру кабельной системы при перемещениях персонала или смене

приложений.

. Возможность легкого расширения сети. Структурированная кабельная

система является модульной, поэтому ее легко наращивать, что позволяет

легко и ценой малых затрат переходить на более совершенное

оборудование, удовлетворяющее растущим требованиям к системам

коммуникаций.

. Обеспечение более эффективного обслуживания. Структурированная

кабельная система облегчает обслуживание и поиск неисправностей по

сравнению с шинной кабельной си- стемой.

. Надежность. Структурированная кабельная система имеет повышенную

надежность поскольку обычно производство всех ее компонентов и

техническое сопровождение осуществляется одной фирмой-производителем.

Большинство стандартных сетевых технологий, как старых (Ethernet,

TokenRing, FDDI), так и новых (FastEthernet, 100VG-AnyLAN, ATM), использует

три основных типа кабелей - неэкранированную витую пару (UTP),

экранированную витую пару (STP) и многомодовый оптоволоконный кабель. В

состав любой кабельной системы входят кабели различных типов, каждый из

которых имеет свою область или области назначения.

Для определения областей назначения того или иного типа кабеля полезно

выделять в кабельной системе отдельные подсистемы. В типичную иерархическую

структурированную кабельную систему входят горизонтальные и вертикальные

подсистемы, а также подсистема кампуса. Горизонтальные подсистемы работают

в пределах отдела и соединяют кроссовый шкаф этажа с розетками

пользователей. Подсистемы этого типа соответствуют этажам здания.

Вертикальные подсистемы работают внутри здания, соединяют кроссовые шкафы

каждого этажа с центральной аппаратной здания. Кампусовская система,

работающая в пределах территории между зданиями, соединяет несколько зданий

с главной аппаратной всего кампуса. Эта часть кабельной системы обычно

называется backbone (или магистралью).

Помимо технических характеристик при выборе кабеля нужно учитывать, какая

кабельная система уже установлена на вашем предприятии, и какие тенденции и

перспективы существуют на рынке в данный момент.

В России СКС нашли коммерческое применение сравнительно недавно - в начале

90-х годов в результате рыночных реформ и появления частного бизнеса. До

этого локальные сети и учрежденческие АТС, как правило, были не

интегрированы друг с другом.

Хотя в настоящее время наибольшее число инсталляций СКС осуществляются в

мелких локальных сетях (с числом ПК от 10 до 20), многие крупные

предприятия, учреждения и банки в последние годы также проявляют

заинтересованность в установке у себя структурированных кабельных систем.

Благодаря отсутствию унаследованного оборудования, в России, как правило,

используются самые современные системы от ведущих производителей.

Наибольшая доля рынка принадлежит таким известным западным маркам, как

LucentTechnologies, BICCBrand-Rex, MOD-TAP, Alcatel, Siemens, AMP, IBM, а

также российским маркам, как "АйТи".

Среди российских компаний-системных интеграторов, способных реализовать

крупные проекты кабельных систем, специалисты отмечают IBS, "АйТи",

"Черус", "Демос", R-Style, "Ланит", LVC, "Крок", "Руслан". Они располагают

отделами, специализирующимися по локальным сетям, структурированным

кабельным системам и голосовой связи.

Основная доля рынка СКС принадлежит LucentTechnologies. Около 73%

установленных систем используют проводку UTP.

Решения на основе экранированного кабеля связываются главным образом с

системами TokenRing, но все большее число заказчиков в России предпочитает

использовать эти кабели и в других сетях передачи данных. Коаксиальный

кабель для горизонтальной проводки пользовался популярностью 2 года назад,

но в последнее время он был вытеснен кабелями с витыми парами.

В последние два года существенные изменения произошли и в распределении

рынка между кабелями разных категорий. Доля кабелей Категории 3 уменьшилась

с двух третьих в 1994 до 37% в 1996 году.

Согласно прогнозам, весь рынок кабелей для передачи данных будет расти на

14,7% ежегодно, и в 2001 году его объем составит 29,9 млн. долларов.

Наиболее быстрые темпы роста ожидаются на рынке STP - 33,6% ежегодно в

денежном исчислении, далее следуют оптические кабели и UTP - 22,1% и 16,2%

соответственно. Доля коаксиального кабеля будет неуклонно снижаться.

Сегодня в мире существуют три весьма сходных между собой стандарта на

кабельные системы для ЛВС:

1. американский стандарт TIA/EIA 568A;

2. международный стандарт ISO/IEC 11801;

3. европейский стандарт EN50173.

Все эти стандарты кабельных систем определяет основные параметры

неэкранированной витой пары UTP, экранированной витой пары STP и волоконно-

оптического кабеля, то есть тех видов кабелей, которые покрывают все

разнообразие физических уровней современных стандартов для локальных сетей.

Необходимо отметить, что стандарт EIA/TIA 568A относится только к сетевому

кабелю. Но реальные системы, помимо кабеля, содержат также коннекторы,

розетки, распределительные панели и др., т.е. все, что в совокупности

составляет понятие кабельной системы. Использование только кабеля типа 5 не

гарантирует создание кабельной системы этой категории. Все составные части

кабельной системы также должны удовлетворять требованиям соответствующей

категории, то есть работать без ухудшения электрических параметров

передаваемых сигналов в заданных частотах. Важное значение имеет также

технология инсталляции всех компонентов системы, нарушение которой приведет

к снижению категории.

К числу наиболее распространенных стандартизованных структурированных

кабельных систем относятся кабельная система CablingSystem, разработанная

компанией IBM, кабельные системы PremisesDistributedSystem и SYSTIMAX,

разработанные AT&T, а также кабельная система OPENDECсonnect корпорации

DigitalEquipment. Различные производители дают своим кабельным системам

различные названия, но общие принципы их организации остаются одинаковыми.

Наряду с кабельными системами, соответствующими этим стандартам, в

настоящее время имеется ряд проектов новых широкополосных кабелей,

например, медных кабелей категории 6. Появились сообщения о гарантированных

скоростях передачи данных 350 и 622 Мб/с обеспечиваемых новыми продуктами.

Но стандартов на новые широкополосные кабели пока не существует.

Специалисты высказывают большие сомнения в рыночном успехе этого проекта:

во-первых, проблема совместимости с огромным числом уже установленных

кабельных систем категорий 3 и 5, во-вторых, высокая стоимость, сравнимая

со стоимостью сетей на основе волоконно-оптического кабеля, в-третьих,

необходимость надежного заземления, которую не всегда просто реализовать.

Еще далеко не исчерпаны возможности кабельных систем категории 5. Вполне

вероятно, они смогут поддерживать и сети GigabitEthernet. Если же говорить

о высокоскоростных сетях (ATM и GigabitEthernet на скоростях 622 и 1000

Мбит/с соответственно), то для их реализации хорошо подходит волоконно-

оптический кабель.

Поэтому, если вы думаете над тем, как улучшить работу кабельной системы, то

естественным решением является ее модернизация путем прокладки

горизонтального кабеля (проводки на этажах) категории 5, а в качестве

магистрали оптического кабеля. В любом случае необходимо получить гарантию

на кабельную систему и предусмотреть возможность последующей ее

модернизации в будущем.

4. Стратегии защиты данных

4.1. Комплексный подход - необходимое условие надежной защиты корпоративной

сети

Построение и поддержка безопасной системы требует системного подхода. В

соответствии с этим подходом прежде всего необходимо осознать весь спектр

возможных угроз для конкретной сети и для каждой из этих угроз продумать

тактику ее отражения. В этой борьбе можно и нужно использовать самые

разноплановые средства и приемы - организационные и законодательные,

административные и психологические, защитные возможности программных и

аппаратных средств сети.

Законодательные средства защиты - это законы, постановления правительства и

указы президента, нормативные акты и стандарты, которыми регламентируются

правила использования и обработки информации ограниченного доступа, а также

вводятся меры ответственности за нарушения этих правил.

Административные меры - это действия общего характера, предпринимаемые

руководством предприятия или организации. Администрация предприятия должна

определить политику информационной безопасности, которая включает ответы на

следующие вопросы:

какую информацию и от кого следует защищать;

кому и какая информация требуется для выполнения служебных обязанностей;

какая степень защиты требуется для каждого вида информации;

чем грозит потеря того или иного вида информации;

как организовать работу по защите информации.

К организационным (или процедурным) мерам обеспечения безопасности

относятся конкретные правила работы сотрудников предприятия, например,

строго определенный порядок работы с конфиденциальной информацией на

компьютере.

К морально-этическим средствам защиты можно отнести всевозможные нормы,

которые сложились по мере распространения вычислительных средств в той или

иной стране (например, Кодекс профессионального поведения членов Ассоциации

пользователей компьютеров США).

К физическим средствам защиты относятся экранирование помещений для защиты

от излучения, проверка поставляемой аппаратуры на соответствие ее

спецификациям и отсутствие аппаратных "жучков" и т.д.

К техническим средствам обеспечения информационной безопасности могут быть

отнесены:

системы контроля доступа, включающие средства аутентификации и авторизации

пользователей;

средства аудита;

системы шифрования информации;

системы цифровой подписи, используемые для аутентификации документов;

средства доказательства целостности документов (использующие, например,

дайджест-функции);

системы антивирусной защиты;

межсетевые экраны.

Все указанные выше средства обеспечения безопасности могут быть реализованы

как в виде специально разработанных для этого продуктов (например,

межсетевые экраны), так и в виде встроенных функций операционных систем,

системных приложений, компьютеров и сетевых коммуникационных устройств.

4.2. Усугубление проблем безопасности при удаленном доступе. Защитные

экраны - firewall'ы и proxy-серверы

Обеспечение безопасности данных при удаленном доступе - проблема если и не

номер один, то, по крайней мере, номер два, после проблемы обеспечения

приемлемой для пользователей пропускной способности. А при активном

использовании транспорта Internet она становится проблемой номер один.

Неотъемлемым свойством систем удаленного доступа является наличие

глобальных связей. По своей природе глобальные связи, простирающиеся на

много десятков и тысяч километров, не позволяют воспрепятствовать

злонамеренному доступу к передаваемым по этим линиям данным. Нельзя дать

никаких гарантий, что в некоторой, недоступной для контроля точке

пространства, некто, используя, например, анализатор протокола, не

подключится к передающей среде для захвата и последующего декодирования

пакетов данных. Такая опасность одинаково присуща всем видам

территориальных каналов связи и не связана с тем, используются ли

собственные, арендуемые каналы связи или услуги общедоступных

территориальных сетей, подобные Internet.

Однако использование общественных сетей (речь в основном идет об Internet)

еще более усугубляет ситуацию, хотя бы потому, что в такой сети для доступа

к корпоративным данным в распоряжении злоумышленника имеются более

разнообразные и удобные средства, чем выход в чистое поле с анализатором

протоколов. Кроме того, огромное число пользователей увеличивает

вероятность попыток несанкционированного доступа.

Безопасная система - это система, которая, во-первых, надежно хранит

информацию и всегда готова предоставить ее своим пользователям, а во-

вторых, система, которая защищает эти данные от несанкционированного

доступа.

Межсетевой экран (firewall, брандмауэр) - это устройство, как правило,

представляющее собой универсальный компьютер с установленным на нем

специальным программным обеспечением, который размещается между защищаемой

(внутренней) сетью и внешними сетями, потенциальными источниками опасности.

Межсетевой экран контролирует все информационные потоки между внутренней и

внешними сетями, пропуская данные, в соответствии с заранее установленными

правилами. Эти правила являются формализованным выражением политики

безопасности, принятой на данном предприятии.

Межсетевые экраны базируются на двух основных приемах защиты:

1. пакетной фильтрации;

2. сервисах-посредниках (proxyservices).

Эти две функции можно использовать как по отдельности, так и в комбинации.

Пакетная фильтрация. Использование маршрутизаторов в качестве firewall

Фильтрация осуществляется на транспортном уровне: все проходящие через

межсетевой экран пакеты или кадры данных анализируются, и те из них,

которые имеют в определенных полях заданные ("неразрешенные") значения,

отбрасываются.

Пропуск во внутреннюю сеть пакетов сетевого уровня или кадров канального

уровня по адресам (MAC-адреса, IP-адреса, IPX-адреса) или номерам портов

TCP, соответствующих приложениям. Например, для того, чтобы трафик telnet

не пересекал границу внутренней сети, межсетевой экран должен

отфильтровывать все пакеты, в заголовке TCP которых указан адрес порта

процесса-получателя, равный 23 (этот номер зарезервирован за сервисом

telnet). Сложнее отслеживать трафик FTP, который работает с большим

диапазоном возможных номеров портов, что требует задания более сложных

правил фильтрации.

Конечно, для фильтрации пакетов может быть использован и обычный

маршрутизатор, и действительно, в Internet 80% пакетных фильтров работают

на базе маршрутизаторов. Однако маршрутизаторы не могут обеспечить ту

степень защиты данных, которую гарантируют межсетевые экраны.

Главные преимущества фильтрации межсетевым экраном по сравнению с

фильтрацией маршрутизатором состоят в следующем:

. межсетевой экран обладает гораздо более развитыми логическими

способностями, поэтому он в отличие от маршрутизатора легко может,

например, обнаружить обман по IP-адресу;

. у межсетевого экрана большие возможности аудита всех событий,

связанных с безопасностью.

Сервисы - посредники (Proxy-services)

Сервисы-посредники не допускают возможности непосредственной передачи

трафика между внутренней и внешней сетями. Для того, чтобы обратиться к

удаленному сервису, клиент-пользователь внутренней сети устанавливает

логическое соединение с сервисом-посредником, работающим на межсетевом

экране. Сервис-посредник устанавливает отдельное соединение с "настоящим"

сервисом, работающим на сервере внешней сети, получает от него ответ и

передает по назначению клиенту - пользователю защищенной сети.

Для каждого сервиса необходима специальная программа: сервис-посредник.

Обычно, защитный экран включает сервисы-посредники для FTP, HTTP, telnet.

Многие защитные экраны имеют средства для создания программ-посредников для

других сервисов. Некоторые реализации сервисов-посредников требуют наличия

на клиенте специального программного обеспечения. Пример: Sock - широко

применяемый набор инструментальных средств для создания программ-

посредников.

Сервисы-посредники не только пересылают запросы на услуги, например,

разработанный CERN сервис-посредник, работающий по протоколу HTTP, может

накапливать данные в кэше межсетевого экрана, так что пользователи

внутренней сети могут получать данные с гораздо меньшим временем доступа.

Журналы событий, поддерживаемые сервисами-посредниками, могут помочь

предупредить вторжение на основании записей о регулярных неудачных

попытках. Еще одним важным свойством сервисов-посредников, положительно

сказывающимся на безопасности системы, является то, что при отказе

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29