Модернизация корпоративной сети БУЗ ВО "Вытегорской ЦРБ"

Размещено на http://www.allbest.ru/

94

Оглавление

• ВВЕДЕНИЕ
• 1. АНАЛИТИЧЕСКАЯ ЧАСТЬ
• 1.1 Аналитический обзор корпоративной сети
• 1.2 Анализ существующей сети и информационных потоков
• 1.3 Разработка требований к ЛВС
• 1.3.1 Постановка задачи
• 1.3.2 Общие требования к ЛВС
• 1.3.3 Требования к элементам ЛВС
• 1.3.4 Требования к монтажу ЛВС
• 1.3.5 Требования к заземлению и электропитанию
• 1.3.6 Требования к системе администрирования и маркировке элементов ЛВС
• 1.3.7 Тестирование ЛВС
• 1.3.8 Требования к активному сетевому оборудованию
• 2. ПРОЕКТНАЯ ЧАСТЬ
• 2.1 Разработка структурной схемы корпоративной сети
• 2.2 Выбор активного и пассивного оборудования
• 2.3 Разработка системной защиты от несанкционированного доступа
• 2.4 Разработка «последней мили»
• 2.5 Выбор программного обеспечения
• 3. ТЕХНОЛОГИЧЕСКАЯ ЧАСТЬ
• 3.1 Разработка монтажной схемы сети
• 3.2 Средства и критерии оценки сети
• 3.3 Тестирование участков сети и анализ результатов
• 4. ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКАЯ ЧАСТЬ
• 4.1 Составление сметы затрат на разработку
• 4.2 Расчет стоимости эксплуатации ЛВС
• 4.3 Расчет эффективности ЛВС
• 4.4 Инструкция системному администратору сети
• 5. БЕЗОПАСНОСТЬ ЖИЗНЕДЕЯТЕЛЬНОСТИ
• 5.1 Анализ опасных вредных факторов и возможных чрезвычайных ситуаций, возникающих при разработке ЛВС
• 5.2 Расчет освещенности на рабочих местах
• 5.3 Расчет искусственной освещенности рабочего места
• 5.4 Пожарная безопасность
• ЗАКЛЮЧЕНИЕ
• СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
• ПРИЛОЖЕНИЯ


ВВЕДЕНИЕ

Актуальность дипломной работы заключается в том, что в настоящее время практически любая компания использует в своей работе локальную вычислительную сеть.

Объединение компьютерного оборудования в сети позволяет определенно повышать производительность труда. Офисные ЛКС используют как для организационных (или офисных) нужд, так и для общения, обучения и других целей.

Основными функциями локальных офисных сетей являются:

· образование внутренних систем обработки информации, которые содержат автоматизированный набор баз данных (общие или индивидуальные, распределенные и сосредоточенные);

· информационный обмен между клиентскими системами в сетях, связь и передача данных, ограничение до минимумов ручного документооборота в условии современной работы современного предприятия;

· способствование принятию решений управленческого характера, предоставляющая персоналу предприятия доступ к достоверной и оперативной информацию для принятия и оценки своевременных решений;

· регулирование обработки данных, относящаяся к объединению в сети автоматизированных рабочих мест (АРМ) для работников разного профиля на конкретном предприятии, опуская определенную разность в способах и объемах расчетов;

· организация обмена электронными сообщениями (электронная почта, система мгновенных сообщений) для быстрого получения разнообразных сведений, необходимые в хозяйственно-производственной деятельности;

· совместный доступ к дорогостоящим ресурсам: запоминающим устройствам большой емкости, высокоскоростным печатающим устройствам, крупным средствам обработки информации, прикладным программным средствам, базам данных, базам знаний.

Управление работой локальной офисной сети и обеспечением всех вышеупомянутых функций обеспечивается сетевыми операционными системами (СОС), системами программных средств, которые объединены общими свойствами и архитектурой, наделенными протоколами коммуникаций и операционными механизмами взаимодействий вычислительных процессов.

Объектом исследования дипломной работы являются «Компьютерные сети», а предметом исследования - «Разработка ЛВС районной больницы».

Целью дипломной работы является разработка ЛВС районной больницы.

Практическая значимость работы заключается в том, что разработанный проект будет внедрен на рассматриваемом предприятии.

При написании дипломной работы использовались научные труды следующих основных авторов: Верещагина Е.С. [8], Кенин А.А. [15], Осмоловский С.А. [22], Поляк-Брагинский А.С. [25], Семенов А.Н. [27], и др.

Дипломная работа состоит из трех глав.

Первая глава посвящена анализу существующей ЛВС районной больницы.

Во второй главе проводится проектирование ЛВС, в том числе выбор физической топологии ЛВС, кабеля и коммутирующего оборудования, планировка СКС, выбор сетевого оборудования.

В третьей главе описан порядок тестирования ЛВС, четвертая глава посвящена оценке стоимости проекта и определению его возможной экономической эффективности.



1. АНАЛИТИЧЕСКАЯ ЧАСТЬ

1.1 Аналитический обзор корпоративной сети

Учреждение вместе с филиалами имеет 65 компьютеров. Имеется главное здание, три отделения и два филиала , планы которых представлены в графической части. Необходимо обеспечить централизованное хранение и высокую безопасность данных. Обеспечить связь с другими центрами.

Проектируемая локальная сеть (ЛВС) должна отвечать самым современным требованиям к сетям госучреждений, обеспечивать надежное централизованное хранение и защиту данных, передавать данные с высокой скоростью и связываться с другими филиалами. Кроме того, дальнейшее расширение сети не должно быть связано с высокими затратами. При дальнейшем приобретении организацией ПЭВМ сеть должна позволить простое расширение. Также необходимо максимально использовать имеющееся программное и аппаратное обеспечение и ранее проложенные коммуникации.

Центром технической архитектуры является серверная комната, в которой расположена телекоммуникационная стойка со следующим оборудованием:

· Сервер приложений

· Файл-сервер

· Маршрутизатор LevelOne FBR-4000;

· Модем ZyXEL P660RU3 EE

· ИБП Delta J 1-3 Series UPS

Сервера размещены на единой аппаратной основе - серверах 2U Ascod Intel со следующими характеристиками:

· Платформа серверная Intel SR2625URBRP;

· Процессор: XEON LGA1366 E5504;

· RAM: 3 x 1Gb DDR3 1066MHz Kingston ECC Reg;

· HDD: 4 х WD 500Gb WD5000BEVT 2,5" SATA-II 16Mb;

· Привод: AXXSATADVDRWROM Slim DVD-RW;

· Батарея: RAID ENABLING KEY / AXXRAKSW5;

· Рельсы: Intel AXXHERAIL2;

· Кабель сетевой: EURO

Маршрутизатор LevelOne FBR-4000 расположен в металлическом корпусе, позволяющим устанавливать устройство в стандартную 19-ти дюймовую стойку. Все индикаторы находятся на передней панели, здесь же расположены все порты. Маршрутизатор имеет следующие индикаторы: Питание/Power, System, Packets, и 16 индикаторов, отображающих состояние портов. Портов также 16: первые четыре порта предназначены для подключения внешних каналов (WAN), далее следуют 10 портов для подключения локальных устройств (LAN) и все это дополняют два порта демилитаризованной зоны (DMZ). Все порты 10/100Base-TX. На передней панели расположена клавиша сброса настроек, которая спрятана за специальное отверстие, во избежание случайных нажатий.

Технические характеристики маршрутизатора LevelOne FBR-4000 приведены в таблице 1.1.

Таблица 1.1 - Основные характеристики LevelOne FBR-4000

Наименование	Значение
LAN	10 портов + 2 порта DMZ/LAN FastEthernet, Автоматическое определение MDI/MDI-X
WAN интерфейс	4 порта FastEthernet, Автоматическое определение MDI/MDI-X
Подключение WAN	Статический IP, динамический IP, PPTP, PPPoE
Маршрутизация	RIP 1 и 2; Статическая маршрутизация
Управление	Web SNMP
Пропускание VPN	PPTP, IPSec
Сервер	IPSec
Максимальное количество туннелей	40
Шифрование	DES, 3DES, AES (128,192,256 бит)
Аутентификация	MD5, SHA1, SHA2 (256,384,512 бит)
Балансировка нагрузки	Да
Брандмауэр NAT	Да
Брандмауэр SPI	Да

Доступ в Интернет организован по выделенной линии по технологии ADSL со скоростью до 2 мбит/сек.

В качестве ADSL-модема используется ZyXELP660RU3 EEсо следующими характеристиками:.

Характеристики модема:

· 1 разъем RJ-11 для подключения к телефонной линии

· 4 разъема RJ-45 ethernet (10base-T/100base-TX)

· RADSL (ANSI T1.413 Issue 2)

· Прозрачный мост IEEE 801.1d

· Маршрутизация протокола IP

· Динамический обмен маршрутами (RIP v1/v2)

· Работа с интерактивным телевидением и IP-телефонией

· обнаружения устройств и управления ими

· Резервирование ADSL-соединения через вспомогательный сетевой шлюз.

В подразделениях учреждения доступ к ресурсам сети осуществляется с помощью управляемого коммутатора LinksysEtherFast EZXS16W.(таблица 2).

Таблица 1.2 - Основные характеристики LinksysEtherFast EZXS16W

Наименование характеристики	Значение характеристики
Тип устройства	коммутатор для рабочей группы
Корпус	настольный корпус - цвет: черный / синий
Тип сети	FastEthernet Ethernet
Кол-во базовых портов	16 (16 макс.)
MDI	1 совместно используемый порт с автоматическим переключением
Скорость передачи по UPLINK	100 Мбит/сек.
Интерфейсы	Ethernet 10/100BaseT * RJ-45 (uplink / базовыйпорт) 15 x Ethernet 10/100BaseT * RJ-45 (базовыйпорт)
Электропитание	внешний адаптер питания - 100 / 240В (перемен.ток)

У каждого сотрудника на рабочем месте размещены компьютер TEK Office (таблица 3), а также МФУ Kyocera ECOSYS M2535dn или МФУ Kyocera FS-1135MFP.

Таблица 1.3 - Технические характеристики рабочих станций TEK Office

Наименование характеристики	Значение характеристики
Процессор	Intel® Celeron® D 331 (2667) 256K 533Mhz EM64T LGA775 BOX
Системная плата	Intel® LGA775 D102GGC2L
Оперативная память	DDR2 DRAM 1 GB 533 Mhz PC-4200 Kingston
Жесткий диск	800Gb Seagate ST380815AS Serial ATA-2, 7200rpm, 8Mb,NCQ
Видео - контроллер	Integrated ATI* Radeon* X300 based graphics
CD-ROM | Дисковод	DVD-ROM IDE 16x/48x Sony | 3.5" 1.44Mb Mitsumi
Аудио-контроллер	Intel® High Definition Audio subsystem using the Realtek* ALC883 audio codec
Сетевая карта	10/100 Mbits/sec LAN subsystem using the Realtek* 8101L LAN adapter device

Кроме того, в больнице существует комната печати, оснащенная следующим оборудованием:

· МФУ Xerox WorkCentre 5222 A3;

· МФУ Xerox WorkCentre 7220 A3;

· плоттер HP Designjet Z2100 44in Photo.

Рабочие места оснащены персональными компьютерами со следующими характеристиками:

Сист.блок HP 8200 Еlite CMT Core i3-2120

Монитор HP 21.5" 2211x Black Backlit LCD LED

Toughbook Panasonic CF-31 _ CF-31MZCAXF9

Для обеспечения бесперебойного питания серверного оборудования применяются источники бесперебойного питания ИБП Delta J 1-3 Series UPS.

1.2 Анализ существующей сети и информационных потоков

После анализа деятельности подразделений больницы предприятия был проведен расчет, результаты которого была построена таблица 1 в которой показан средний объём трафика за один день в Мбайт, отправляемый и принимаемый подразделениями фирмы, а так же между отделами центра и филиалами.

Информационная нагрузка одной информационной связи определяется по результатам анализа документооборота в обоих направлениях между данным подразделением и каждым подразделением, непосредственно с ним связанным. Исходным носителям информации считается стандартный лист формата А4, содержащий 2000 алфавитно-цифровых знаков и пробелов. При 8-битном кодировании информационная емкость такого листа составляет Е=200*8=16000 бит.

Необходимо заметить, что трафик складывается из собственно рабочей информации плюс 10% служебной информации, также учитываем (условно), что при передаче по сети информации она увеличивается в 1,8 раза за счет помехоустойчивого кодирования.

В таблице 4 показан средний объём информации за один рабочий день (8 часов) в Мбайт, отправляемый и принимаемый подразделениями больницы, а также между отделами центра и филиалами.



Таблица 1.4 - Характеристика информационных потоков

Отделы отсылают информацию	отделы получают информацию
		1	2	3	4	5	6	7	8	Филиал1	Филиал2
	1		7	5	7	20	5	8	4	15	15
	2	13		13	8	15	12	7		-	6
	3	-	13		13	8	15	12	7	13	8
	4	-	-	-	-	15	-	-	-	-	7
	5	180	8	8	8	-	8	5	15	3	3
	6	-	-	13		13	8	15	12	7	13
	7	-	-	-	-	15	-	-	-	24	2
	8	-	13		13	8	15	12	7	13	13
	Филиал1	8		-	-	20	-	-	-	23	15
	Филиал2	8	-	-	-	20	-	-	-	-	-

Обозначения:

1 - Главный врач;

2 - Бухгалтерия;

3 - Учетчики;

4 - хирургия;

5 - секретариат;

6 - инфекционное отделение;

7 - гинекология;

8 - экономисты;

филиал 1 - филиал в нашем городе;

филиал 2 - филиал в городе Вологда.

Суммарная часовая информационная нагрузка всех организационных связей предприятия равна:

(1.1)



где N - число организационных связей в схеме предприятия.

На гистограмме, рис 1 для каждого рабочего часа показывается значение ИНS, и выбирается максимальное значение ИНS, макс для рабочего дня (цикла) предприятия, которое является исходным для определения потребной полезной пропускной способности базовой технологии проектируемой сети.

Общая пропускная способность Ср сети определяется по формуле:

(1.2)

где k1=(1,1-1,5) - коэффициент учета протокольной избыточности стека протоколов, измеренного в практикуемой сети; для стека TCP/IP k1»1,3;

k2 - коэффициент запаса производительности для будущего расширения сети, обычно k2»2.

Рисунок 1.1 - Гистограмма информационной нагрузки

Основными проблемами, возникающими при пользовании сетью, являются [3]:

1. Большие задержки при работе пользователей с сетевыми ресурсами, что не позволяет полноценно использовать файлы и данные, находящиеся в сети.

2. Низкая надежность и масштабируемость системы из-за устаревшего оборудования и инфраструктуры.

3. Недостаточная управляемость и безопасность из-за отсутствия средств управления сетью и средств защиты информации.

4. Низкая производительность системы из-за устаревшего сетевого оборудования.

У ряда задач, возложенных на отдельные серверы, повысились требования к ресурсам и отказоустойчивости, в результате чего сервера требуют модернизации или замены.

Многие компоненты сети, такие как почтовый сервер, сервер базы данных и другие, не имеют резервирования, поэтому при выходе из строя одной составляющей работа системы прекращается совсем либо в какой-то ее части, ремонт или же замена неисправного оборудования требует значительного времени.

Система резервного энергообеспечения отсутствует, что в случае кратковременного пропадания электропитания на предприятии или резких скачках напряжения создает реальную угрозу функционированию локальной сети. Источники бесперебойного питания выработали срок эксплуатации, к тому же установлены не всех серверах и рабочих станциях.

В качестве среды передачи данных используется морально устаревший кабель типа витая пара категории 3. Кабельная система развивалось стихийно, без учета критических параметров из-за отсутствия стратегии ее расширения, что в настоящее время не позволяет расширить ее, что требуется в связи с увеличением количества рабочих мест.

Кроме того, здание арендовано компанией, что накладывает ограничения по монтажу кабельных конструкций.

В связи со сравнительно низкой производительности каждого отдельно взятого сервера, количество серверов необходимых для обеспечения работы предприятия сравнительно велико, в связи с этим страдает управляемость сети и безопасность.

В итоге, имеющаяся на предприятии локальная сеть не отвечает требованиям современного бизнеса, не позволяет осуществить скоростной и бесперебойный обмен информацией между пользователями, не обеспечивает защиту информации на необходимом уровне от всех видов угроз. Кроме того, конфигурация сети такова, что не позволяет увеличивать количество пользователей и реагирует блокировкой работы при увеличении трафика.

В результате значительная часть времени сотрудников предприятия используется нерационально, с малой эффективностью, а также с существенными нарушениями требований к безопасности хранящейся информации, часть которой должна быть отнесена к конфиденциальной.

Кроме того, существуют следующие недостатки:

* не все подразделения подключены к сети;

* маленькая пропускная способность сети;

* отсутствие необходимых серверов;

* нет необходимой защиты сети;

* нет средств для безопасного удалённого администрирования;

* нет возможности организовать сетевые сервисы.

Существующая в компании ЛВС не удовлетворяет насущным нуждам, поэтому в первую очередь необходимо:

* увеличить пропускную способность сети;

* обеспечить возможность масштабирования ЛВС;

* обеспечить сохранность самого здания и межкабинетных стен и межэтажных перекрытий.

* увеличить пропускную способность канала для доступа в сеть Internet;

* обеспечить необходимую защиту сети и данных.

В сложившейся ситуации существует два решения вышеуказанных проблем:

* проектирование и построение абсолютно новой локальной сети предприятия на основе современных, ранее неиспользовавшихся технологий;

* модернизация существующей ЛВС с максимальным использованием уже имеющихся программных и аппаратных решений.

Проектирование ЛВС является первым этапом создания ЛВС на предприятии. Главная задача, стоящая перед разработчиками ЛВС, заключается в доскональном изучении бизнес-процессов компании для выявления наиболее подходящих технических решений, выборе оборудования, рекомендаций по обслуживанию и управлению всей инфраструктурой ЛВС объекта. В процессе создания ЛВС нужно учитывать уже существующие или широко распространенные возможности, как объединение проложенной телефонной сети с проектируемой ЛВС, улучшение телефонной связи средствами IP-телефонии, объединение ЛВС с остальными информационными инфраструктурами. Необходимым становится разработка стабильной системы безопасности и разделение прав доступа в создаваемой ЛВС. Главным принципом создания ЛВС становится стандартизация применяемых технологий и оборудования, что дает возможность обеспечить простую взаимозаменяемость модулей, элементов питания, снизить расходы на ЗИП.

Создание новой ЛВС позволяет в полной мере использовать современные сетевые технологии, вложить в систему возможность дальнейшей модернизации, однако является длительным и дорогостоящим процессом, который к тому же парализует рабочие процессы пользователей.

Модернизация существующей системы может протекать по двум вариантам:

* экстенсивный - развитие по пути увеличения количества существующих сегментов, составляющих системы без качественного их изменения.

Положительные качества метода - сравнительно небольшие финансовые затраты и необязательность прерывания рабочего процесса.

Этот метод имеет свои недостатки:

* в общем итоге неэффективность финансовых вложений;

* трудно заложить в такую сеть возможности дальнейшей ее модернизации;

* степень конфиденциальности распределённых данных так и остается низкой;

* невозможно полноценно защитить хранимые данные;

* недостаточная скорость обработки информации;

* невозможность централизованного резервного копирования;

* высокие затраты используемых ресурсов;

* высокая вероятность возникновения похожей проблемы через короткий промежуток времени.

Второй метод - интенсивный - развитие с применением современных технологий, подразумевающей под собой значительное изменение существующей системы.

При модернизации ЛВС данным методом становится возможным проектирование и создание сети, отвечающей требованиям бизнеса и легко поддающейся дальнейшей модификации.

1.3 Разработка требований к ЛВС

1.3.1 Постановка задачи

Под информационной системой здания понимается компьютерная, телефонная подсистемы и система электропитания. Необходимо осуществить поставку материалов для построения ЛВС, оборудовать рабочие места необходимыми коммутационными элементами для подключения к информационной системе здания и обеспечить все подсистемы гарантированным электропитанием (учесть существующие электрические розетки ).

Предполагается объединение в единую сеть всех вычислительных ресурсов.

В здании сеть должна развертываться исходя из принципов построения структурированных кабельных систем. Каждое рабочее место специалиста должно быть оснащено 2 универсальными портами для подключения к информационной системе.

* первый порт - телефония;

* второй порт - локальная вычислительная сеть.

При выборе мест расположения информационных розеток исходить из равномерного распределения рабочих мест по площади помещения (одно рабочее место занимает минимум 6 м2 рабочей площади). Необходимо предусмотреть 20% резерв по количеству рабочих мест.

Кабельная система должна обеспечивать простоту изменения физической топологии сети, добавление резервных линий связи, подключение новых компонент сети.

Специфика решаемых Заказчиком комплекса задач предполагает наличие эффективной системы управления сетью, которая должна обеспечивать не только решение текущих задач администрирования, но и обеспечивать повышенные требования системы с точки зрения безопасности, разграничения доступа и надежности.

ЛВС должна обеспечивать автоматизированную обработку и решение экономических, инженерных и других задач на основе использования средств вычислительной техники и связи, ведение информационных архивов, создание и поддержку отказо- и помехоустойчивого режима функционирования технических средств, а также обеспечение достаточного уровня защиты информационных потоков данных.

1.3.2 Общие требования к ЛВС

Создаваемая структурированная кабельная система должна соответствовать стандартам TIA/EIA-568B, отвечать требованиям, предъявляемым к кабельным системам категории 5E и должна предусматривать возможность сертификации ЛВС и гарантию на используемые материалы не менее 20-ти лет.

1.3.2.1 Надежность

Оборудование в составе ЛВС должно обеспечивать постоянство физических характеристик канала между портом активного оборудования ЛВС и абонентским оборудованием вне зависимости от трассы коммутации на панелях переключения распределительных узлов.

Постоянство физических параметров канала должно обеспечиваться при последующих перекроссировках вне зависимости от их числа (но не более определенного производителем оборудования ЛВС).

Разрыв любого канала ЛВС возможен только при коммутации на панелях переключения распределительных узлов.

Используемые в ЛВС оборудование и материалы не должны допускать изменений физико-химических параметров в результате воздействия окружающей среды в течение всего гарантийного срока эксплуатации ЛВС при условии соблюдения заданных производителем ЛВС условий эксплуатации.

В случае выхода из строя любого из каналов ЛВС должна обеспечиваться возможность перехода на использование альтернативного канала из числа резервных при помощи изменения соединений на панелях переключения распределительных узлов.

1.3.2.2 Безопасность

Должен быть ограничен доступ персонала объекта к оборудованию распределительных узлов.

Используемое оборудование и материалы не должны допускать возможности нанесения вреда здоровью или поражения персонала электрическим током, или электромагнитными излучениями при условии соблюдения правил эксплуатации оборудования.

1.3.2.3 Комплексность

На объекте должна обеспечиваться совместимость архитектурных, дизайнерских, технических и технологических решений, применяемых в рамках построения ЛВС.

Для реализации ЛВС на всех этапах должно применяться кабельное и коммутационное оборудование одного производителя для возможности сертификации ЛВС и постановки ее на долгосрочное гарантийное обеспечение .

1.3.2.4 Однородность

Применить унифицированные типы кабелей и разъемов в рамках рабочих мест, горизонтальной подсистемы, подсистем внутренних магистралей, а также распределительных узлов, вне зависимости от типов подключаемого абонентского оборудования и активного оборудования различных подсистем.

1.3.2.5 Расширяемость

Обеспечить возможность увеличения абонентской емкости ЛВС за счет включения дополнительных линий горизонтальной подсистемы, без необходимости прокладки новых кабельных трасс, кабельных каналов, нарушения интерьера рабочих помещений, а также без остановки работы персонала объекта.



1.3.3 Требования к элементам ЛВС

ЛВС должна состоять из сертифицированных компонентов. Все применяемые материалы должны иметь документальное подтверждение (сертификаты, лицензии, гигиенические заключения, подтверждение требованиям нормативно-технических документов на пожаростойкость и пожаробезопасность), если таковое предусмотрено требованиями Российского законодательства к материалам, указанным в техническом решении участника размещения заказа.

Структурированная кабельная система должна включать в себя следующие подсистемы:

Центральный распределительный узел.

Центральный распределительный узел должен быть логическим центром ЛВС здания и должен обеспечивать установку кроссового оборудования подсистем внутренних магистралей, активного оборудования, серверов и источников бесперебойного питания. Шкаф следует располагать как можно ближе к геометрическому центру обслуживаемой рабочей зоны.

Центральный распределительный узел должен размещаться в специализированном помещении с ограниченным доступом либо совмещаться с одним из этажных распределительных узлов. В шкафу должен быть обеспечен необходимый (не менее 30%) запас по свободному месту для установки дополнительного оборудования.

В стойке должен быть обеспечен необходимый (не менее 30%) запас по свободному месту для установки дополнительного оборудования при увеличении числа рабочих мест.

Количество коммутационных шнуров для подключения рабочих мест к портам активного сетевого оборудования и к телефонным панелям должно соответствовать количеству рабочих мест в зоне обслуживания распределительного узла.

Подсистема внутренних магистралей

Подсистема внутренних магистралей должна представлять собой отрезки кабельных линий, соединяющие центральный распределительный узел с этажными рабочими местами.

Подсистема внутренних магистралей должна строиться по топологии "звезда" с центром в распределительном узле здания с использованием неэкранированного кабеля витая пара категории 5е.

Отрезки кабелей подсистемы внутренних магистралей ЛВС должны оканчиваться на патч-панелях с разъемами типа RJ-45.

Часть подсистемы внутренней магистрали, предназначенной для обслуживания работы телефонной сети должны оканчиваться на патч-панелях с разъемами типа RJ-45.

Горизонтальная подсистема

Горизонтальная подсистема должна представлять собой отрезки кабельных линий, соединяющих информационные разъемы розеток рабочих мест с портами патч-панелей RJ-45-го типа, входящих в состав распределительного узла.

Горизонтальная подсистема должна строиться с использованием неэкранированного кабеля витая пара категории 5е.

Горизонтальная подсистема ЛВС реализовывается по топологии "простая звезда", центром которой является распределительный узел;

Максимальная длина кабельной линии горизонтальной подсистемы не должна превышать 90 м.

Горизонтальная кабельная система в коридорах здания должна быть выполнена с применением пластикового короба фирмы Legrand и гофрошланга типа DKC над фальшпотолком.

Для подвода кабеля к месту установки информационной розетки на рабочем месте использовать пластиковые короба фирмы Legrand.

Подсистема рабочего места

Рабочие места должны представлять собой точки подключения абонентского оборудования ЛВС и телефонной сети к ЛВС.

Рабочее место ЛВС должно включать одну двухпортовую информационную розетку с внешним интерфейсом RJ-45.

Расположение рабочих мест определяется по согласованию с Заказчиком. Планы этажей зданий с указанием расположения рабочих мест и мест установки оборудования предоставляется на этапе проектирования кабельной сети здания.

Любая информационная розетка рабочего места может быть использована как для подключения рабочей станции пользователя, так и телефонного аппарата.

Для подключения рабочих станций к портам информационной розетки должны быть использованы неэкранированные коммутационные шнуры категории 5е длиной не менее 2-х метров.

1.3.4 Требования к монтажу ЛВС

Монтаж ЛВС осуществляется из материалов в соответствии с рабочим проектом. Рабочий проект предоставляется по запросу, через контактное лицо, указанное в конкурсной документации.

Монтаж ЛВС должен осуществляться в соответствии с требованиями действующих стандартов, квалифицированным персоналом по компонентам ЛВС.

Схему присоединения проводников 4-x парного кабеля выполнить по типу Т568В.

Для прохода через межэтажные перекрытия и стены должны быть предусмотрены закладные трубы, имеющие сечения, достаточные для прокладки необходимого количества кабелей с учетом технологического резерва с выполнением требований стандартов по уровню заполнения кабелем.

В процессе готовности кабелепроводов к укладке кабеля должен быть проведен контроль отсутствия на внутренних поверхностях острых углов и заусенец.

1.3.5 Требования к заземлению и электропитанию.

Заземление активного оборудования ЛВС должно осуществляться через соответствующие сетевые кабели с заземляющим выводом путём подключения к земляному контуру помещения, в котором они располагаются, а также путём соединения металлических корпусов компонентов ЛВС с защитным заземлением.

Требования к компонентам ЛВС по защитному заземлению должны быть выполнены согласно ГОСТ 25804.4 и соответственно стандарта TIA/EIA-607-1994.

На корпусе коммуникационного шкафа ЛВС возле внешнего элемента заземления должен быть нанесен знак заземления.

Присоединение компонентов ЛВС к контуру защитного заземления должно выполнятся в одной точке при помощи отдельного заземляющего проводника.

Электрическое сопротивление цепей заземления между шиной заземления и каждой доступной для прикосновения обслуживающего персонала металлической частью устройства должно быть не более 4 Ом, согласно требованию ПУЭ.

1.3.6 Требования к системе администрирования и маркировке элементов ЛВС

Система администрирования должна быть выполнена таким образом, чтобы была точная идентификация всех компонентов, составляющих кабельную систему, а также кабельных трасс, телекоммуникационных шкафов, помещений в которых монтируется кабельная система.

Каждая метка должна быть долгоживущей, доступной и читаемой.

Все кабели внутренней и горизонтальной подсистемы должны быть промаркированы, как минимум в двух местах - вблизи места подключения к розетке на рабочем месте и вблизи точки подключения к коммуникационной панели.

1.3.7 Тестирование ЛВС

После проведения работ по монтажу ЛВС все кабели из неэкранированной витой пары проверяются на соответствие для кабельных сетей категории 5е для внутриофисных помещений.

Тестирование производится для каждого канала передачи данных. Канал передачи данных включает в себя: пассивное оборудование от абонентской розетки на рабочем месте, до порта на коммутационной панели в соответствующем кроссовом центре.

1.3.8 Требования к активному сетевому оборудованию

Активное сетевое оборудование должно обеспечить объединение и подключение автоматизированных рабочих мест к централизованным вычислительным ресурсам сети на основе современных и перспективных сетевых технологий - Fast Ethernet, Gigabit Ethernet.

Активное сетевое оборудование должно обеспечивать:

· круглосуточный режим работы;

· высокую надежность и отказоустойчивость оборудования;

· возможность гибкого наращивания конфигурации ЛВС;

· возможность подключения централизованных ресурсов непосредственно к высокоскоростной магистрали сети;

· повышенную пропускную способность на участках с наиболее интенсивным трафиком;

· минимизацию задержек при обращении к серверам;

· малое время восстановления оборудования после отказов в сети;

· возможность самодиагностирования сетевого оборудования и простоту локализации неисправностей;

· работу оборудования в диапазоне рабочих температур от +5 до +40 С.

· единообразие применяемого оборудования (все активное оборудование ЛВС от одного производителя).

· подключение пользователей по технологии 10/100/1000 Ethernet, с автоматическим определением скорости подключения;

· технологию объединения портов для создания единого логического соединения на портах Fast Ethernet, Gigabit Ethernet;

· возможность использования как для высокоскоростной передачи данных, так и низкоскоростных аналоговых сигналов;

· соединение периферийного активного сетевого оборудования и центрального активного сетевого оборудования по технологии Gigabit Ethernet. 

2 ПРОЕКТНАЯ ЧАСТЬ

2.1 Разработка структурной схемы корпоративной сети

ЛВС предназначена для построения сетевой инфраструктуры и обеспечения сетевого взаимодействия оборудования, подключаемого к корпоративной сети. Она должна обеспечивать подключение конечных устройств во всем здании (ПК, ноутбуков, принтеров и других периферийных устройств с сетевым интерфейсом). ЛВС должна обеспечить также высокоскоростное отказоустойчивое подключение серверного оборудования.

Создаваемая сетевая инфраструктура ЛВС обеспечивает:

- высокоскоростную многоуровневую коммутацию;

- возможность масштабирования;

- возможность выделения изолированных сегментов с ограниченным доступом.

- Сетевое оборудование обеспечивает:

- ограничение и контроль доступа к сетевым устройствам;

- разграничение и контроль трафика внутри виртуальных сетей (VLAN) по второму - третьему уровню модели OSI и между виртуальными сетями по третьему уровню модели OSI;

- разграничение и контроль трафика на уровне коммутаторов ядра между VLAN по третьему-четвертому уровню модели OSI;

- коммутаторы уровня доступа обеспечивают функции автоматической настройки VLAN и функции маркирования пакетов на этих интерфейсах;

- поддержку технологий передачи трафика многоадресной рассылки: IP PIM (Sparse), IGMP, IGMP snooping;

- коммутаторы уровня распределения и ядра поддерживают следующие протоколы маршрутизации: RIPv2, OSPF.

Логическая структура любой локальной вычислительной сети представлена на рисунке 2. Для таких систем характерна многоуровневая, иерархичная структура.

Уровень доступа к среде передачи данных - это уровень, где компьютеры пользователей подключаются к аппаратуре передачи данных (workgroup switch), здесь происходит первичная авторизация пользователей (PC).

Рисунок 2.1 - Логическая структура любой локальной вычислительной сети

Уровень агрегации и распределения, на котором выполняется маршрутизация для групп и для отдельных пользователей. На этом уровне, так же, выполняются запрещающие и разрешающие правила продвижения IP трафика и мониторинг сетевых процессов.

Уровень коммутации трафика. В «идеальных» ЛВС здесь не должно происходить никаких вычислений (определение маршрутов, мониторинг и т.д.) операций. Задачей этого уровня является скоростная коммутация пакетов из одних сетей в другие.

Основываясь на направлениях разработки сети, специфики размещения рабочих мест, а также для соблюдения указанных в техническом задании требований, определимся с конкретными характеристиками разрабатываемой ЛВС.

Планируемая сеть, исходя из физического расположения рабочих станций, будет организована по топологии «дерево с активными узлами». Этот вариант, несмотря на относительно высокую стоимость реализации и необходимость наличия активного оборудования (а также источников питания для него), обеспечит высокую надежность и управляемость сети. Такое решение также является наиболее экономичным с точки зрения необходимого количества кабеля.

Топологии «звезда» и «шина» не отвечают предъявляемым требованиям: в первом случае при наличии одного центра необходимо значительно большее количество кабеля, что увеличивает сложность его прокладки и общую стоимость сети; во втором случае высокая вероятность возникновения коллизий при одновременной работе нескольких машин на передачу не позволяет обеспечить требуемое качество работы сети.

Как указывалось выше, нам необходимо использовать не одноранговую сеть со всеми присущими ей недостатками, а иерархическую, с выделенными серверами. Для этого построим сеть на основе маршрутизатора и коммутаторов, которые будут объединять группы локальных пользователей.

Для построения сети выберем архитектуру Ethernet. Это обеспечит нам следующие преимущества:

- оборудование Ethernet является наиболее распространенным, простым и дешевым, существует возможность выбрать тип используемого кабеля, активного и пассивного оборудования из широкого спектра, представленного на рынке. Другие типы локальных сетей не обладают такими характеристиками (100VG-AnyLAN, Token-Ring) или нуждаются в дорогостоящем оборудовании (FDDI).

- Ethernet -доминирующая технология в современных локальных сетях, поддерживающая скорость до 10 Гбит/сек и постоянно увеличивающая это значение; при возможной дальнейшей модернизации (переходе на 10 или даже 40-гигабитные сети Ethernet,) понадобится заменить лишь часть оборудования.

В данной сети необходимо иметь следующие серверы:

1. файл-сервер;

2. почтовый сервер;

3. сервер резервного копирования;

4. сервер администрирования;

5. сервер прикладного программного обеспечения.

Внутреннюю сеть разобьем на две части:

- серверный сегмент;

- пользовательский сегмент

Разбиение внутренней сети также упростит ее администрирование, обезопасит остальные сегменты сети от атак недобросовестного сотрудника из локальной сети, позволит обеспечить масштабирование каждого сегмента.

В сети отсутствует система резервирования данных, что ставит под угрозу сохранность информации в случае возникновения нештатной ситуации (перепад напряжения, неисправность рабочей станции или сервера и т. д.).

Поэтому считаем необходимым спроектировать в ЛВС систему резервного копирования.

Простейшим и оправданным в нашем случае способом защиты данных от потерь в сетях офисных ПК является централизованное копирование данных на высокопроизводительном стримере большой емкости, подключенном к серверу с использованием интерфейса SCSI. В такой схеме представлены следующие основные компоненты: клиент системы резервного копирования и сервера. Клиент системы резервного копирования - компьютерная система, данные из которой подлежат резервному копированию. Система в нашем случае должна быть представлена файловым сервером, сервером приложений и баз данных, а также программным компонентом, который считывает данные из устройств хранения и отправляет их на сервер резервного копирования. Такое программное обеспечение обычно поставляется в комплекте систем резервного копирования. Серверы резервного копирования - системы, которые копируют данные и регистрируют выполненные операции. Технологически сервера резервного копирования делятся на два типа: Мaster-сервер и Media - сервер. Мaster-сервер - сервер управления системой резервного копирования. В его задачу входит планирование операций резервного копирования и восстановления, а также ведения каталога резервных копий. Программный компонент сервера управления резервным копированием, выполняющий функции, менеджера резервного копирования. Media - сервер - сервер копирования резервируемых данных. Его основной задачей является выполнение команд поступающих от Master-сервера, по копированию данных. К серверам данного типа подключаются устройства хранения резервных копий. Устройство хранения резервных копий - накопители на лентах, магнитных или оптических дисках. Процедура создания резервных копий представляется собой трехстороннее взаимодействие между клиентом, Master-сервером и Media-сервером. Клиент отправляет список файлов, подлежащих резервному копированию, на Master-сервер, а данные со своих томов на Media-сервер. В свою очередь менеджер резервного копирования инициирует и контролирует выполнение заданий в соответствии с заданным расписанием. Media-сервер выбирает одно или несколько устройств хранения, загружает носители информации, принимает от клиента по сети и записывает их на носители резервных копий. Аналогичным образом только в обратном направлении происходит восстановление данных из резервных копий.

Структурная схема предлагаемой локальной сети изображена на рисунке 2.2.

Рисунок 2.2 - Структурная схема предлагаемой ЛВС

2.2 Выбор активного и пассивного оборудования

Выбор оборудования основывается на распространенности производителя сетевого оборудования на российском рынке, его достижений, стоимости, технической поддержки, гарантии на срок службы.

Для стабильной работы всей ЛВС будем выбирать сетевые карты, концентраторы, коммутаторы одного бренда.

Сейчас на рынке есть огромный выбор коммутационного оборудования от различных фирм, например, популярных D-Link, Intel, 3-Com, Compex.

Выбор всего оборудования будет происходить между Intel и 3-Com, компаний, являющихся лидерами сетевых технологий.

Подбор коммутационного оборудования начинаем с хаба (HUB).

Все выбранные концентраторы для рассматриваемой технологии Fast Ethernet должны иметь следующие параметры и обладать представленными ниже характеристиками.

Устройства должны:

* Работать от сети переменного тока через внешний адаптер-выпрямитель,

* Поддерживать 100Мбит/с модульные гнезда (RJ-45), в качестве основных портов;

* Иметь дополнительные разъемы BNC для будущей возможности объединения концентраторов;

* Принадлежать 2 классу;

* Поддерживать полный дуплекс;

* Автоматически отключаться, если на портах имеются постоянные ошибки;

* Отвечать по нормативам безопасности следующим стандартамIEEE 802,3; ISO 8802/3 и UL1950, EN 60950 и т.д.;

* Быть удобными и простыми в процессе установке и использовании.

А также иметь:

* Логичное определение неисправностей (наличие на передней панели светодиодных индикаторов состояния соединения, портов, коллизий, уровня загрузки);

* Компактное и удобное исполнение;

* Бесплатную линию консультации и расширенную гарантию на срок службы.

Вышеприведённым параметрам соответствуют такие коммутаторы, как HP, Asus и D-link, отражённые таблице 2.1. Изучим их характеристики и цену.

Таблица 2.1 - Сравнение коммутаторов

Модель	D-link DES-1016A	HP V1405-16G Switch	ASUS FX-D1162
Средняя цена	1 043 руб.	5 863 руб.	1 340 руб.
Количество портов коммутатора		16	16
Базовая скорость передачи данных	10/100 Мбит/сек	10/100/1000 Мбит/сек	10/100 Мбит/сек
Возможность установки в стойку	ДА	--	--
Внутренняя пропускная способность (Гбит/сек)	3.2	32	3.2
Размер таблицы MAC адресов	8192	4096	4096
Поддержка Jumbo Frame	--	ДА	--
Поддержка IEEE 802.1p (Priority tags)	--	ДА	ДА
Ширина (мм)	280	160	185
Высота (мм)	44	40	45
Глубина (мм)	126	208	124
Вес (кг)		0.86	0.772

Из выше рассмотренных коммутаторов выберем D-link DES-1016A, т.к. по сравнению с ASUS FX-D1162 он значительно дешевле и уже имеет достаточный запас портов (16). По сравнению с ASUS FX-D1162 данный коммутатор выигрывает в цене при равных возможностях.

Рассмотрим таблицу 2.2. в которой приведены характеристики и параметры маршрутизаторов [2].

Таблица 2.2 - Параметры маршрутизаторов

	NETGEAR FVS318	D-link DFL-860	D-link DSA-3110
Средняя цена	4 371 руб.	17 649 руб.	8 154 руб.6
Количество портов коммутатора	8	7	7
DHCP-сервер	ДА	ДА	--
Межсетевой экран (Firewall)	ДА	ДА	--
SPI	ДА	--	--
WAN-порт	Ethernet 10/100 Мбит/сек	Ethernet 10/100 Мбит/сек
Количество WAN-портов		2
Число поддерживаемых VPN-туннелей	8	300	50
Объем оперативной памяти (Мб)	16		64
Объем флэш-памяти (Мб)	1
Консольный порт	--	ДА	ДА
Web-интерфейс	ДА	--	ДА
Поддержка Telnet	--	ДА	ДА
Поддержка SNMP	--	ДА	--
Поддержка IGMP v1	--	ДА	--
Поддержка IGMP v2	--	ДА	--
Поддержка IGMP v3	--	ДА	--
Статическая маршрутизация	ДА	--	ДА
Автоматическое определение MDI/MDIX	ДА	--
Поддержка IEEE 802.1p (Priority tags)	--	ДА	--
Поддержка IEEE 802.1q (VLAN)	--	ДА	--
Ширина (мм)	253	280	239
Высота (мм)	35	44	30
Глубина (мм)	181	214	156
Вес (кг)	0.935		1.2
Дополнительная информация		встроенный аппаратный сигнатурный антивирус	Концентратор доступа по VPN. 4 независимо конфигурируемых интерфейса.

Из рассмотренных выше маршрутизаторов при почти равных возможностях по цене NETGEAR FVS318 намного дешевле других, поэтому остановим свой выбор на NETGEAR FVS318.

Для рассматриваемой сети нужен недорогой, но надежный сервер. Выбор предлагается произвести из серверов средней ценовой категории. HP ProLiant DL320G6 - сервера для монтирования в стойку 1U. Новейшие четырёхъядерные процессоры Intel® Xeon® 5500, возможность выбора модулей памяти DDR3 Registered или Unbuffered DIMM, технологии SAS и PCI Express Gen2 формируют высокопроизводительную систему, идеально подходящую для ресурсоемких приложений. DL320 G6 - это сверхплотная платформа с высокой отказоустойчивостью, обеспечиваемой резервными блоками питания, вентиляторам, зеркалированной памятью, встроенной технологией RAID и комплексной системой удаленного управления Lights-Out.

Сервер HP ProLiant ML150 G6 - это доступная масштабируемая платформа для растущего бизнеса. Резервные вентиляторы и блоки питания обеспечивают эффективный контроль питания и уровня температуры для поддержания работоспособности системы. Решение TPM предоставляет эффективные функции шифрования данных для их надежной защиты.

Сравнение серверов приведено в таблице 2.3.

Таблица 2.3 - Сравнение серверов

Наименование	Сервер IBM System x3650 M5 Express (5462K3G)	HP Proliant DL380 Gen9 (768347-425)
Производитель	IBM	HP
Форм-фактор корпуса	2U	2U
Код производителя	5462K3G	768347-425
Процессор
Производитель процессора	Intel	Intel
Линейка	Xeon	Xeon
Тактовая частота	3500 МГц	2400 МГц
Количество ядер	4	6
Модель процессора	E5-2637V3	E5-2620V3
Количество установленных процессоров	1	1
Максимальное количество процессоров	2	2
Оперативная память
Объём установленной памяти	16384 Мб	16384 Мб
Тип памяти	DDR-4	DDR-4
Количество слотов	24	24
Жесткий диск
Интерфейс	SATA/SAS	SAS
Количество установленных дисков	не установлены	2, 300 Гб
Форм-фактор HDD	2.5"	2.5"
Максимальное количество HDD	8	8
Стоимость, рублей	256 700	224 820

Как видно из таблицы 2.35, при одинаковой конфигурации сервер HP Proliant DL380 Gen9 (768347-425) имеет уже два установленных HDD , кроме того, данный сервер немного дешевле второго, поэтому выбираем сервер HP Proliant DL380 Gen9.

В проектируемой сети будет использоваться один маршрутизатор и 2 коммутатора. Количество коммутаторов определено исходя из расположения компьютеров на плане помещения и количества портов в каждом коммутаторе.

2.3 Разработка системной защиты от несанкционированного доступа

В общем случае под угрозой для системы защиты информации или объекта понимается потенциально возможное действие или событие, реализация которого может принести ущерб интересам защищаемого объекта или его владельцу. Определение списка возможных угроз защиты информации составляется с целью формирования полного описания требований по защите информации к формируемой системе защиты. Также перечень угроз для объекта с указанием вероятности их реализации необходимы для анализа возможных рисков для защищаемой системы и формулировки требований к используемым методам и способам защиты информации к системе обеспечения информационной безопасности автоматизированной системы. Данный список должен быть составлен с учетом классификации угроз и уязвимостей, а также рисков по ряду признаков. Каждый из таких признаков может отражать одно из выделенных требований к системам защиты информации. При этом для каждого признака могут быть детализированы относящиеся к нему угрозы.

Одним из видов программно-аппаратных комплексов для предотвращения потерь данных являются DLP-системы.

DLP-системы (Data Leak Prevention) - система предотвращения утечек важной информации из информационной системы под влиянием внешних факторов, а также программные или программно-аппаратные устройства или комплексы для обеспечения защиты от таких утечек. Такие системы формируются в результате анализа информационных потоков, пересекающих границу защищаемой информационной системы[36].

Каждая из компаний- разработчиков систем защиты от утечек (DLP) предлагает, как правило, аналогичную структуру системы, отличающуюся только в деталях.

Основными модулями такой системы являются [40]:

· контролирующие модули для каждого канала, по которому возможна утечка;

· агентские модули, устанавливаемые на рабочих местах конечных пользователей;

· управляющее звено с панелью управления для администратора системы.

На рисунке 2.3 показана типовая схема расположения структурных элементов DLP в информационной системе организации [21].

Рисунок 2.3 - Типовая архитектура построения системы DLP

Таким образом, DLP эффективно обеспечивает защиту информации от намеренного несанкционированного распространения как сотрудниками, так и посторонними лицами, имеющими какие-то права доступа в систему.

В настоящее время на рынке представлено большое количество DLP-систем.

Рассмотрим для сравнения некоторые из них, а именно:

· Zecurion DLP.

· Дозор Джет 4.0.24.

· Symantec Data Loss Prevention,

· Гарда Предприятие.

Сравнить продукты можно по нескольким критериям:

· Позиционирование системы на рынке;

· Системные требования;

· Используемые технологии детектирования;

· Контролируемые каналы передачи данных;

· Возможности контроля подключаемых внешних устройств;

· Управление системой и обработка инцидентов;

· Отчетность.

Для того, чтобы выбрать DLP систему для внедрения в компании, будем использовать метода анализ иерархий [2].

Данный метод является математическим инструментом, позволяющим применить системный подход к многокритериальным проблемам принятия решений. Этот метод позволяет в интерактивном режиме определить, какой вариант решения проблемы наиболее согласуется с теми требованиями, которые определены к ее решению.

Данный метод применяется в следующем порядке:

1) Вначале определяется цель и варианты ее достижения;

2) Строится модель проблемы в виде иерархии с определением критериев для выявления качества альтернатив;

3) Определяется приоритет каждого критерия и каждого элемента иерархии методом попарного сравнения;

4) Выявление глобальных приоритетов вариантов путем сравнения приоритетов критериев;

5) Определение корректности сделанных выводов;

6) Определение предпочтительного варианта на основании исследования.

Целью сравнения в данном случае является выбор наиболее соответствующей DLP системы для предотвращения утечек в информационной системе компании. Для этого сравним три из четырех рассмотренных ранее систем защиты от утечек информации, а именно Zecurion DLP, Symantec DLP, Гарда Предприятие по десяти независимым характеристикам (три канала утечек, шесть методов предотвращения утечек информации, а также наличие сертификации).

Данные, которые необходимы эксперту для определения функциональности каждой из систем, для настоящего сравнения получены с сайтов производителей, из документации и по результатам тестирования ознакомительных версий программ.